Gestão Segurança Informação NBR 27001

Gesto da
Segurana da Informao
NBR 27001 e NBR 27002
Flvia Estlia Silva Coelho Luiz Geraldo Segadas de Arajo Edson Kowask Bezerra
A RNP Rede Nacional de Ensino e Pesquisa qualificada como uma Organizao Social (OS), sendo ligada ao Ministrio da Cincia, Tecnologia e Inovao (MCTI) e responsvel pelo Programa Interministerial RNP, que conta com a participao dos ministrios da Educao (MEC), da Sade (MS) e da Cultura (MinC). Pioneira no acesso Internet no Brasil, a RNP planeja e mantm a rede Ip, a rede ptica nacional acadmica de alto desempenho. Com Pontos de Presena nas 27 unidades da federao, a rede tem mais de 800 instituies conectadas. So aproximadamente 3,5 milhes de usurios usufruindo de uma infraestrutura de redes avanadas para comunicao, computao e experimentao, que contribui para a integrao entre o sistema de Cincia e Tecnologia, Educao Superior, Sade e Cultura.
Ministrio da Cultura Ministrio da Sade Ministrio da Educao Ministrio da Cincia, Tecnologia e Inovao
Gesto da
NBR 27001 e NBR 27002
Gesto da
NBR 27001 e NBR 27002
Rio de Janeiro Escola Superior de Redes 2014
Copyright 2014 Rede Nacional de Ensino e Pesquisa RNP Rua Lauro Mller, 116 sala 1103 22290-906 Rio de Janeiro, RJ
Diretor Geral Nelson Simes Diretor de Servios e Solues Jos Luiz Ribeiro Filho
Escola Superior de Redes

Coordenao Luiz Coelho Edio Pedro Sangirardi Reviso Lincoln da Mata Coordenao Acadmica de Segurana e Governana de TI Edson Kowask Bezerra Equipe ESR (em ordem alfabtica) Adriana Pierro, Celia Maciel, Cristiane Oliveira, Derlina Miranda, Elimria Barbosa, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato, Renato Duarte e Yve Marcial. Capa, projeto visual e diagramao Tecnodesign Verso 2.0.0 Este material didtico foi elaborado com fins educacionais. Solicitamos que qualquer erro encontrado ou dvida com relao ao material ou seu uso seja enviado para a equipe de elaborao de contedo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e Pesquisa e os autores no assumem qualquer responsabilidade por eventuais danos ou perdas, a pessoas ou bens, originados do uso deste material. As marcas registradas mencionadas neste material pertencem aos respectivos titulares. Distribuio
Rua Lauro Mller, 116 sala 1103 22290-906 Rio de Janeiro, RJ http://esr.rnp.br info@esr.rnp.br
Dados Internacionais de Catalogao na Publicao (CIP) C622g Coelho, Flavia Estlia Silva Gesto da segurana da informao: NBR 27001 e NBR 27002 / Flavia Estlia Silva Coelho, Luiz Geraldo Segadas de Arajo, Edson Kowask Bezerra. Rio de Janeiro: RNP/ESR, 2014. Bibliografia: p. 197-198. ISBN 978-85-63630-12-4
1. Tecnologia da informao - Tcnicas de segurana. 2. Sistemas de gesto de segurana da informao - Requisitos. 3. Tecnologia da informao Cdigo de prtica para a gesto de segurana da informao. I. Arajo, Luiz Geraldo Segadas de. II. Bezerra, Edson Kowask. III. Ttulo. CDD 005.8
Sumrio
A metodologia da ESRxiii Sobre o curso xiv A quem se destinaxiv Convenes utilizadas neste livroxiv Permisses de usoxv Sobre o autorxvi
1. Fundamentos da segurana da informao

Por que se preocupar com segurana?1 Exerccio de nivelamento 1 Fundamentos de segurana da informao1 Definies2 Exerccio de fixao 1 Definies3 Modelos de ataque3 Exerccio de fixao 2 Modelos de ataque4 Formas de ataque4 Exerccio de fixao 3 Formas de ataque5 Arquitetura de segurana5 Servios de segurana5 Exerccio de fixao 4 Servios de segurana7 Segurana da informao7 Preparando a organizao 8 Requisitos de segurana9
iii
Anlise/avaliao de riscos9 Exerccio de fixao 5 Seleo de controles10 Controles para a segurana da informao10 Exerccio de fixao 6 Controles para a segurana da informao12 Itens relevantes para a segurana da informao12 Atividades envolvidas13 Fatores crticos para o sucesso da segurana da informao13 Roteiro de Atividades 115 Atividade 1.1 Identificando ataques15 Atividade 1.2 Identificando vulnerabilidades15 Atividade 1.3 Identificando a forma de ataque16 Atividade 1.4 Associando categorias de servios de segurana17 Atividade 1.5 Estudo de caso: sua organizao18
2. Cdigo de prtica
Estrutura da norma19 Exerccio de nivelamento 1 Cdigo de prtica19 Estrutura da norma19 Seo 5 Polticas de segurana da informao20 Exerccio de fixao 1 Seo 5 Poltica de segurana21 Seo 6 Organizao da segurana da informao21 Exerccio de fixao 2 Seo 6 Organizao da segurana da informao23 Seo 7 Segurana em Recursos Humanos23 Exerccio de fixao 3 Seo 7 Segurana em Recursos Humanos24 Seo 8 Gesto de ativos25 Exerccio de fixao 4 Seo 8 Gesto de ativos26 Seo 9 Controle de acesso27 Seo 10 Criptografia30 Exerccio de fixao 6 Seo 10 Criptografia30 Seo 11 Segurana fsica e do ambiente31 Exerccio de fixao 7 Seo 11 Segurana fsica e do ambiente32 Seo 12 Segurana nas operaes33 Exerccio de fixao 8 Seo 12 Segurana nas operaes37
iv
Seo 13 Segurana nas comunicaes38 Exerccio de fixao 9 Seo 13 Segurana nas comunicaes39 Seo 14 Aquisio, desenvolvimento e manuteno de sistemas40 Exerccio de fixao 10 Seo 14 Aquisio, desenvolvimento e manuteno de sistemas42 Seo 15 Relacionamento na cadeia de suprimento43 Exerccio de fixao 11 Seo 15 Relacionamento na cadeia de suprimento44 Seo 16 Gesto de incidentes de segurana da informao44 Exerccio de fixao 12 Seo 16 Gesto de incidentes de segurana da informao45 Seo 17 Aspectos da segurana da informao na gesto da continuidade do negcio46 Exerccio de fixao 12 Seo 17 Aspectos da segurana da informao na gesto da continuidade do negcio47 Seo 18 Conformidade47 Exerccio de fixao 14 Seo 18 Conformidade48 Roteiro de Atividades 49 Atividade 2.1 Conhecendo a norma NBR ISO/IEC 27002:201349 Atividade 2.2 Entendendo a norma NBR ISO/IEC 27002:201349 Atividade 2.3 Trabalhando com a norma NBR ISO/IEC 27002:201350 Atividade 2.4 Estudo de caso: sua organizao 51
3. Sistema de Gesto da Segurana da Informao

Viso geral e escopo53 Exerccio de nivelamento 1 SGSI53 Modelo PDCA54 Exerccio de fixao 1 Modelo PDCA55 Sistema de Gesto da Segurana da Informao (SGSI)55 Contexto da Organizao56 Liderana56 Exerccio de fixao 2 Liderana57 Planejamento57 Exerccio de fixao 3 Planejamento58 Apoio58 Exerccio de fixao 4 Apoio61 Operao61 Avaliao do desempenho62 Melhoria63 Anexo A63 Lista de verificao para implantao de um SGSI64 v
Roteiro de Atividades 367 Atividade 3.1 Conhecendo o ciclo PDCA67 Atividade 3.2 Contexto da organizao67 Atividade 3.3 Planejamento67 Atividade 3.4 Apoio68 Atividade 3.5 Documentos68 Atividade 3.6 Operao69
4. Poltica de segurana da informao

Definio71 Exerccio de nivelamento 1 Poltica de segurana da informao71 Diagrama72 Exerccio de fixao 1 Diagrama73 Arquitetura das polticas de segurana73 Escopo73 Exerccio de fixao 2 Escopo74 Questionamentos importantes74 Etapas75 Identificar a legislao75 Exerccio de fixao 3 Identificar a legislao75 Identificao dos recursos crticos76 Exerccio de fixao 4 Identificao dos recursos crticos76 Anlise das necessidades de segurana76 Elaborao da proposta e discusso aberta77 Exerccio de fixao 5 Elaborao da proposta77 Documentao77 Aprovao e implementao78 Exerccio de fixao 6 Aprovao e implementao78 Comunicao da poltica e treinamento78 Manuteno79 Exerccio de fixao 7 Manuteno79 Boas prticas79 Boas prticas80 Boas prticas para escrever o texto da poltica81
vi
Roteiro de Atividades 482 Atividade 4.1 Entendendo a poltica de segurana da informao82 Atividade 4.2 Elaborando uma poltica de segurana da informao83 Atividade 4.3 Implementando uma poltica de segurana83 Atividade 4.4 Desenvolvendo uma poltica de segurana na sua organizao83
5. Gesto de riscos
Definies87 Exerccio de nivelamento 1 Gesto de riscos87 Questes determinantes88 Gesto de riscos88 Exerccio de fixao 1 Gesto de riscos89 Anlise e avaliao de riscos89 Analisando os riscos90 O que proteger?91 Exerccio de fixao 2 O que proteger91 Vulnerabilidades e ameaas91 Anlise de impactos93 Exerccio de fixao 3 Anlise de impacto94 Matriz de relacionamentos 94 Exerccio de fixao 4 Matriz de relacionamento94 Clculo dos riscos95 Avaliao de riscos95 Exemplo 2 Anlise de risco96 Exerccio de fixao 5 Avaliao de riscos98 Tratamento de riscos de segurana98 Exerccio de fixao 6 Tratamento de riscos de segurana98 Exerccio de fixao 7 Tratamento de riscos99 Tratamento de riscos na segurana de Recursos Humanos100 Exerccio de fixao 8 Tratamento de riscos na segurana de recursos humanos100 Tratamento de riscos na segurana de acesso100 Exerccio de fixao 9 Tratamento de riscos na segurana de acesso103 Tratamento de riscos na segurana das comunicaes103 Exerccio de fixao 10 Tratamento de riscos na segurana das comunicaes104
vii
Tratamento de riscos e negcios104 Comunicao de riscos107 Roteiro de Atividades 5109 Atividade 5.1 Entendendo os conceitos de gesto de risco109 Atividade 5.2 Realizando a gesto de riscos109 Atividade 5.3 Realizando a gesto de riscos110 Atividade 5.4 Realizando a gesto de riscos na sua organizao111
6. Gerncia de operaes e comunicaes

Exerccio de nivelamento 1 Gerncia de operaes e comunicaes113 Objetivos113 Procedimentos e responsabilidades operacionais114 Exerccio de fixao 1 Procedimentos e responsabilidades operacionais115 Proteo contra softwares maliciosos115 Exerccio de fixao 2 Proteo contra softwares maliciosos116 Cpias de segurana116 Exerccio de fixao 3 Cpias de segurana117 Poltica de backups117 Exemplos117 Exerccio de fixao 4 Poltica de backups117 Tratamento de mdias e documentos118 Exerccio de fixao 5 Tratamento de mdias e documentos118 Gerncia de segurana das redes118 Exerccio de fixao 6 Gerncia da segurana das redes119 Transferncia de informaes e softwares119 Monitoramento119 Roteiro de Atividades 6121 Atividade 6.1 Segurana da informao na gerncia de operaes e comunicaes121 Atividade 6.2 Implementando a segurana da informao na gerncia de operaes e comunicaes de sua organizao122
7. Segurana de acesso e ambiental

Exerccio de nivelamento 1 Segurana de acesso e ambiental123 Poltica de controle de acessos123
viii
Exerccio de fixao 1 Poltica de controle de acesso124 Controles de acesso lgico124 Exerccio de fixao 2 Controles de acesso lgico126 Controles de acesso fsico127 Exerccio de fixao 3 Controles de acesso fsico128 Controles ambientais129 Exerccio de fixao 4 Controles ambientais130 Segurana de Recursos Humanos130 Exerccio de fixao 5 Segurana de Recursos Humanos131 Roteiro de Atividades 7133 Atividade 7.1 Entendendo a segurana de acesso e a segurana ambiental133 Atividade 7.2 Polticas de acesso 133 Atividade 7.3 Implementando a segurana de acesso e ambiental na sua organizao134
8. Segurana organizacional
Exerccio de nivelamento 1 Segurana organizacional137 Infraestrutura organizacional para a segurana da informao137 Importncia da infraestrutura137 Atribuio de responsabilidades138 Exerccio de fixao 1 Atribuio de responsabilidades138 Coordenao da segurana da informao139 Exerccio de fixao 2 Coordenao da segurana da informao139 Tratamento de ativos139 Proteo dos ativos140 Exerccio de fixao 3 Proteo dos ativos140 Inventrio de ativos140 Exerccio de fixao 4 Inventrio de ativos141 Proprietrio de ativo141 Exerccio de fixao 5 Proprietrio do ativo142 Segurana da informao e terceiros142 A razo do tratamento diferenciado142 Possveis riscos143 Exerccio de fixao 6 Possveis riscos143 Tratamento dos clientes144
ix
Acordos especficos144 Gerncia de servios de terceiros145 Roteiro de Atividades 8147 Atividade 8.1 Entendendo a segurana organizacional147 Atividade 8.2 Realizando a segurana organizacional147 Atividade 8.3 Implementando a segurana organizacional148
9. Gesto de continuidade de negcios

Exerccio de nivelamento 1 Gesto de continuidade de negcios151 Continuidade de negcios151 Gesto da continuidade de negcios152 Exerccio de fixao 1 Gesto da continuidade de negcios152 Segurana da informao e gesto da continuidade de negcios153 Exerccio de fixao 2 Segurana da informao e gesto da continuidade de negcios154 Anlise de riscos e continuidade de negcios154 Exerccio de fixao 3 Anlise de riscos e continuidade de negcios154 Plano de continuidade de negcios154 Estrutura155 Desenvolvimento e implementao155 Exerccio de fixao 4 Desenvolvimento e implementao156 Testes156 Manuteno e reavaliao157 Exerccio de nivelamento 2 Gesto de incidentes de segurana158 Notificao de eventos adversos159 Exerccio de fixao 5 Notificao de eventos adversos159 Procedimentos da gesto de incidentes de segurana159 Exerccio de fixao 6 Procedimentos da gesto de incidentes de segurana160 Planos de contingncias160 Fases do planejamento160 Exerccio de fixao 7 Plano de contingncias162 Anlise de impacto162 Exerccio de fixao 8 Anlise de impacto162 Identificao dos recursos, funes e sistemas crticos163 Definio do tempo para recuperao e elaborao de relatrio163
Anlise de alternativas de recuperao163 Exerccio de fixao 9 Anlise de alternativas de recuperao164 Relatrio de alternativas de recuperao164 Desenvolvimento do plano de contingncias165 Treinamentos e testes165 Exerccio de fixao 10 Treinamentos e testes166 Avaliao e atualizao do plano166 Boas prticas166 Roteiro de Atividades 9169 Atividade 9.1 Entendendo os conceitos de Gesto de Continuidade de Negcios169 Atividade 9.2 Executando a continuidade de negcios169 Atividade 9.3 Executando a continuidade de negcios e a gesto de incidentes na sua organizao170
10. Conformidade
Legislao e direito digital no Brasil173 Exerccio de nivelamento 1 Conformidade173 Importncia da legislao174 Direito digital174 Exerccio de fixao 1 Direito digital175 Legislao e direito digital no Brasil175 Legislao aplicvel segurana da informao176 Exerccio de fixao 2 Legislao aplicvel segurana da informao177 Exemplos de infraes digitais177 Direito digital e necessidades atuais178 Lei de Acesso a Informao179 Verificao da conformidade com requisitos legais180 Legislao vigente180 Propriedade intelectual180 Cuidados com a propriedade intelectual181 Exerccio de fixao 3 Cuidados com a propriedade intelectual182 Proteo de registros organizacionais182 Cuidados para a proteo de registros organizacionais183 Proteo de dados e privacidade de informaes pessoais183
xi
Preveno do mau uso de recursos de processamento da informao183 Controles de criptografia184 Verificao da conformidade com polticas e normas de segurana da informao185 Normas de segurana no Brasil185 Evoluo das normas186 Segurana da informao na Administrao Pblica Federal187 Conformidade com polticas e normas190 Trabalhando as no-conformidades190 Conformidade tcnica190 Exerccio de fixao 4 Conformidade tcnica191 Auditoria de sistemas de informao191 Cuidados na auditoria192 Outros padres relevantes192 Outras legislaes pertinentes193 Roteiro de Atividades 10195 Atividade 10.1 Entendendo a legislao195 Atividade 10.2 Realizando a conformidade195 Atividade 10.3 Executando a conformidade na sua organizao196
Bibliografia 197
xii

A Escola Superior de Redes (ESR) a unidade da Rede Nacional de Ensino e Pesquisa (RNP) responsvel pela disseminao do conhecimento em Tecnologias da Informao e Comunicao (TIC). A ESR nasce com a proposta de ser a formadora e disseminadora de competncias em TIC para o corpo tcnico-administrativo das universidades federais, escolas tcnicas e unidades federais de pesquisa. Sua misso fundamental realizar a capacitao tcnica do corpo funcional das organizaes usurias da RNP, para o exerccio de competncias aplicveis ao uso eficaz e eficiente das TIC. A ESR oferece dezenas de cursos distribudos nas reas temticas: Administrao e Projeto de Redes, Administrao de Sistemas, Segurana, Mdias de Suporte Colaborao Digital e Governana de TI. A ESR tambm participa de diversos projetos de interesse pblico, como a elaborao e execuo de planos de capacitao para formao de multiplicadores para projetos educacionais como: formao no uso da conferncia web para a Universidade Aberta do Brasil (UAB), formao do suporte tcnico de laboratrios do Proinfo e criao de um conjunto de cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA).
A metodologia da ESR
A filosofia pedaggica e a metodologia que orientam os cursos da ESR so baseadas na aprendizagem como construo do conhecimento por meio da resoluo de problemas tpicos da realidade do profissional em formao. Os resultados obtidos nos cursos de natureza terico-prtica so otimizados, pois o instrutor, auxiliado pelo material didtico, atua no apenas como expositor de conceitos e informaes, mas principalmente como orientador do aluno na execuo de atividades contextualizadas nas situaes do cotidiano profissional. A aprendizagem entendida como a resposta do aluno ao desafio de situaes-problema semelhantes s encontradas na prtica profissional, que so superadas por meio de anlise, sntese, julgamento, pensamento crtico e construo de hipteses para a resoluo do problema, em abordagem orientada ao desenvolvimento de competncias. Dessa forma, o instrutor tem participao ativa e dialgica como orientador do aluno para as atividades em laboratrio. At mesmo a apresentao da teoria no incio da sesso de aprendizagem no considerada uma simples exposio de conceitos e informaes. O instrutor busca incentivar a participao dos alunos continuamente.
xiii
As sesses de aprendizagem onde se do a apresentao dos contedos e a realizao das atividades prticas tm formato presencial e essencialmente prtico, utilizando tcnicas de estudo dirigido individual, trabalho em equipe e prticas orientadas para o contexto de atuao do futuro especialista que se pretende formar. As sesses de aprendizagem desenvolvem-se em trs etapas, com predominncia de tempo para as atividades prticas, conforme descrio a seguir: Primeira etapa: apresentao da teoria e esclarecimento de dvidas (de 60 a 90 minutos). O instrutor apresenta, de maneira sinttica, os conceitos tericos correspondentes ao tema da sesso de aprendizagem, com auxlio de slides em formato PowerPoint. O instrutor levanta questes sobre o contedo dos slides em vez de apenas apresent-los, convidando a turma reflexo e participao. Isso evita que as apresentaes sejam montonas e que o aluno se coloque em posio de passividade, o que reduziria a aprendizagem. Segunda etapa: atividades prticas de aprendizagem (de 120 a 150 minutos). Esta etapa a essncia dos cursos da ESR. A maioria das atividades dos cursos assncrona e realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dvidas e oferecer explicaes complementares. Terceira etapa: discusso das atividades realizadas (30 minutos). O instrutor comenta cada atividade, apresentando uma das solues possveis para resolv-la, devendo ater-se quelas que geram maior dificuldade e polmica. Os alunos so convidados a comentar as solues encontradas e o instrutor retoma tpicos que tenham gerado dvidas, estimulando a participao dos alunos. O instrutor sempre estimula os alunos a encontrarem solues alternativas s sugeridas por ele e pelos colegas e, caso existam, a coment-las.
Sobre o curso
O propsito do curso desenvolver competncias necessrias para a implementao da gesto da segurana da informao. Durante o curso o participante apresentado aos conceitos e definies bsicas da segurana da informao contido nas normas de segu rana ABNT NBR ISO/IEC 27001 e IEC 27002 edio 2013. Com base nelas compreender os conceitos de poltica de segurana e gesto de riscos, conhecer as boas prticas para a segurana dos recursos humanos e computacionais, segurana fsica e direito digital. O curso garante ao participante todo o conhecimento necessrio para iniciar um processo de implementao da gesto da segurana da informao na sua instituio.
A quem se destina
O curso destina-se aos gestores e profissionais de TIC que necessitam adquirir competncias na rea de segurana da informao. Tambm podero se beneficiar profissionais que desejam aplicar o conhecimento em gesto da segurana da informao em qualquer tipo de organizao.
Convenes utilizadas neste livro

As seguintes convenes tipogrficas so usadas neste livro: Itlico Indica nomes de arquivos e referncias bibliogrficas relacionadas ao longo do texto.
xiv
Largura constante
Indica comandos e suas opes, variveis e atributos, contedo de arquivos e resultado da sada de comandos. Comandos que sero digitados pelo usurio so grifados em negrito e possuem o prefixo do ambiente em uso (no Linux normalmente # ou $, enquanto no Windows C:\).
Contedo de slide q
Indica o contedo dos slides referentes ao curso apresentados em sala de aula.
Smbolo w
Indica referncia complementar disponvel em site ou pgina na internet.
Smbolo d
Indica um documento como referncia complementar.
Smbolo v
Indica um vdeo como referncia complementar.
Smbolo s
Indica um arquivo de adio como referncia complementar.
Smbolo !
Indica um aviso ou precauo a ser considerada.
Smbolo p
Indica questionamentos que estimulam a reflexo ou apresenta contedo de apoio ao entendimento do tema em questo.
Smbolo l
Indica notas e informaes complementares como dicas, sugestes de leitura adicional ou mesmo uma observao.
Permisses de uso
Todos os direitos reservados RNP. Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra. Exemplo de citao: COELHO, Flvia Estlia Silva; ARAJO, Luiz Geraldo Segadas de. Gesto da Segurana da Informao NBR 27001 e 27002. Rio de Janeiro: Escola Superior de Redes, RNP, 2014.
Comentrios e perguntas
Para enviar comentrios e perguntas sobre esta publicao: Escola Superior de Redes RNP Endereo: Av. Lauro Mller 116 sala 1103 Botafogo Rio de Janeiro RJ 22290-906 E-mail: info@esr.rnp.br
xv
Sobre o autor
Flvia Estlia Silva Coelho possui Bacharelado em Cincia da Computao e Mestrado em Informtica pela Universidade Federal de Campina Grande. Desde 2001, atua em ensino de Graduao e Ps-Graduao Lato Sensu, em projetos de pesquisa e desenvolvimento nas reas de computao distribuda e segurana da informao. professora efetiva da Universidade Federal Rural do Semi-rido (UFERSA), desde 2009, e Java Champion (Oracle), desde 2006. Luis Geraldo Segadas de Arajo possui especializao em Gesto de Segurana de Informao, Redes de Computadores e Infraestrutura Computacional. Trabalhou para diversas empresas, entre elas a Fundao Petros, tendo atuado tambm como consultor, com destaque no BNDES e na TBG. Possui experincia em ensino, tendo sido professor na Universidade Estcio de S e no Infnet, alm de instrutor na RNP/ESR. Possui amplo conhecimento em normas, em especial nas ISO/IEC 27001 e 27002. Bacharel em Sistemas de Informao pela PUC-RJ, Ps-graduado em Redes de Computadores pela UFRJ e mestre em Administrao de Empresas, tambm na PUC-RJ. Possui as certificaes CISSP, CISA e CISM, sendo capacitado em planejamento, elaborao de poltica de segurana, normas, anlise de riscos, diagnstico e auditoria. Atualmente mora no Canad. Edson Kowask Bezerra profissional da rea de segurana da informao e governana h mais de quinze anos, atuando como auditor lder, pesquisador, gerente de projeto e gerente tcnico, em inmeros projetos de gesto de riscos, gesto de segurana da informao, continuidade de negcios, PCI, auditoria e recuperao de desastres em empresas de grande porte do setor de telecomunicaes, financeiro, energia, indstria e governo. Com vasta experincia nos temas de segurana e governana, tem atuado tambm como palestrante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados em segurana e governana. professor e coordenador de cursos de ps-graduao na rea de segurana da informao, gesto integrada, de inovao e tecnologias web. Hoje atua como Coordenador Acadmico de Segurana e Governana de TI da Escola Superior de Redes.
xvi
1
Fundamentos da segurana da informao
objetivos
Explicar as definies mais importantes e preocupaes comuns a considerar em termos de segurana da informao nas organizaes; Selecionar servios e controles para a segurana da informao e identificar os fatores crticos de sucesso.
conceitos
Servios de segurana; Gesto da segurana da informao; Ameaas, vulnerabilidades, ataques e controles.
Por que se preocupar com segurana?

Problemas mais comuns: 11 Destruio de informaes e outros recursos. 11 Modificao ou deturpao de informaes. 11 Roubo, remoo ou perda da informao ou de outros recursos. 11 Revelao de informaes. 11 Interrupo de servios. As organizaes cada vez mais reconhecem o valor e as vulnerabilidades de seus ativos.
Exerccio de nivelamento 1 e Fundamentos de segurana da informao

O que segurana para voc?
O que voc entende por segurana da informao?
A segurana da informao um ponto crtico para a sobrevivncia das organizaes na era da informao. Vrios so os problemas envolvidos, ao passo que a sociedade depende das informaes armazenadas nos sistemas computacionais para a tomada de deciso em empresas, rgos do governo, entre outros contextos organizacionais.
Captulo 1 - Fundamentos da segurana da informao
A informao pode existir em diversos formatos: impressa, armazenada eletronicamente, falada, transmitida pelo correio convencional de voz ou eletrnico etc. Seja qual for o formato ou meio de armazenamento ou transmisso, recomenda-se que ela seja protegida adequadamente. Sendo assim, de responsabilidade da segurana da informao proteg-la de vrios tipos de ameaas, para garantir a continuidade do negcio, minimizar riscos e maximizar o retorno dos investimentos. Felizmente, crescente a conscientizao das organizaes frente ao valor e s vulnerabilidades de seus ativos no que diz respeito segurana. Hoje em dia, a segurana da informao determinante para assegurar competitividade, lucratividade, atendimento aos requisitos legais e a imagem da organizao junto ao mercado, s organizaes, tanto no setor pblico quanto no setor privado. Em tais contextos, a segurana da informao um componente que viabiliza negcios, tais como e-Gov (governo eletrnico) ou e-commerce (comrcio eletrnico).
Definies
11 Segurana da informao. 11 Incidente de segurana. 11 Ativo. 11 Ameaa. 11 Vulnerabilidade. 11 Risco. 11 Ataque. 11 Impacto. Segurana da Informao compreende a proteo das informaes, sistemas, recursos e demais ativos contra desastres, erros (intencionais ou no) e manipulao no autorizada,
objetivando a reduo da probabilidade e do impacto de incidentes de segurana. Todos esses controles necessitam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados para que assegurem que os objetivos do negcio e a segurana da informao da organizao sejam atendidos (item 0.1 da norma ABNT NBR ISO/IEC 27002:2013).
Gesto da Segurana da Informao NBR 27001 e NBR 27002
A segurana da informao a proteo da informao de vrios tipos de ameaas para garantir a continuidade do negcio, minimizando os riscos e maximizando o retorno sobre os investimentos e as oportunidades de negcio. A segurana da informao obtida como resultado da implementao de um conjunto de controles, compreendendo polticas, processos, procedimentos, estruturas organizacionais e funes de hardware e software. Em particular, os controles necessitam ser estabelecidos, implementados, monitorados, analisados e continuamente melhorados, com o intuito de atender aos objetivos do negcio e de segurana da organizao. A identificao de controles adequados requer um planeja mento detalhado. A seguir so detalhados alguns conceitos: 11 Incidente de segurana: corresponde a qualquer evento adverso relacionado segurana; por exemplo, ataques de negao de servios (Denial of Service DoS), roubo de informaes, vazamento e obteno de acesso no autorizado a informaes; 11 Ativo: qualquer coisa que tenha valor para a organizao e para os seus negcios. Alguns exemplos: banco de dados, softwares, equipamentos (computadores e notebooks), servidores, elementos de redes (roteadores, switches, entre outros), pessoas, processos e servios;
11 Ameaa: qualquer evento que explore vulnerabilidades. Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao; 11 Vulnerabilidade: qualquer fraqueza que possa ser explorada e comprometer a segurana de sistemas ou informaes. Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas. Vulnerabilidades so falhas que permitem o surgimento de deficincias na segurana geral do computador ou da rede. Configuraes incorretas no computador ou na segurana tambm permitem a criao de vulnerabilidades. A partir dessa falha, as ameaas exploram as vulnerabilidades, que, quando concretizadas, resultam em danos para o computador, para a organizao ou para os dados pessoais; 11 Risco: combinao da probabilidade (chance da ameaa se concretizar) de um evento ocorrer e de suas consequncias para a organizao. Algo que pode ocorrer e seus efeitos nos objetivos da organizao; 11 Ataque: qualquer ao que comprometa a segurana de uma organizao; 11 Impacto: consequncia avaliada de um evento em particular.
Exerccio de fixao 1 e Definies

Explique o que so ativos.
Como voc explicaria na sua organizao o termo vulnerabilidade?
Modelos de ataque
11 Interrupo. 11 Interceptao. 11 Modificao. 11 Fabricao.
Fonte da informao
Destino da informao (a) Fluxo Normal
(b) Interrupo
(c) Interceptao
(d) Modicao
(e) Fabricao
Figura 1.1 Modelos de ataque.
H quatro modelos de ataque possveis: 11 Interrupo: quando um ativo destrudo ou torna-se indisponvel (ou inutilizvel), caracterizando um ataque contra a disponibilidade. Por exemplo, a destruio de um disco rgido; 11 Interceptao: quando um ativo acessado por uma parte no autorizada (pessoa, programa ou computador), caracterizando um ataque contra a confidencialidade. Por exemplo, cpia no autorizada de arquivos ou programas; 11 Modificao: quando um ativo acessado por uma parte no autorizada (pessoa, programa ou computador) e ainda alterado, caracterizando um ataque contra a integridade. Por exemplo, mudar os valores em um arquivo de dados; 11 Fabricao: quando uma parte no autorizada (pessoa, programa ou computador) insere objetos falsificados em um ativo, caracterizando um ataque contra a autenticidade. Por exemplo, a adio de registros em um arquivo.
Na figura 1.1, observamos o fluxo normal da informao de uma origem para um destino (a). Na sequncia, o esquema apresenta cada um dos modelos de ataques possveis: uma interrupo (b), interceptao (c), modificao (d) e fabricao (e).
Exerccio de fixao 2 e Modelos de ataque

Explique o modelo de ataque da interceptao.
Formas de ataque
Ataques passivos: 11 Resultam na liberao dos dados.
Ataques ativos: 11 Resultam na alterao ou destruio dos dados.
O ataque um ato deliberado de tentar se desviar dos controles de segurana com o objetivo de explorar as vulnerabilidades. Existem as seguintes formas de ataque: 11 Ataques passivos: ataques baseados em escutas e monitoramento de transmisses, com o intuito de obter informaes que esto sendo transmitidas. A escuta de uma conversa telefnica um exemplo dessa categoria. Ataques dessa categoria so difceis de detectar porque no envolvem alteraes de dados; todavia, so possveis de prevenir com a utilizao de criptografia; 11 Ataques ativos: envolvem modificao de dados, criao de objetos falsificados ou negao de servio, e possuem propriedades opostas s dos ataques passivos. So ataques de difcil preveno, por causa da necessidade de proteo completa de todas as facilidades de comunicao e processamento, durante o tempo todo. Sendo assim, possvel detect-los e aplicar uma medida para recuperao de prejuzos causados.
Exerccio de fixao 3 e Formas de ataque

Explique dentro do ambiente da sua organizao como ocorreria um ataque ativo.
Arquitetura de segurana
11 Proteo de dados contra modificaes no autorizadas. 11 Proteger os dados contra perda/roubo/furto. 11 Proteo de dados contra a divulgao no autorizada. 11 Garantir a identidade do remetente correto dos dados. 11 Garantir a identidade correta do destinatrio dos dados. A arquitetura de segurana proposta pelo modelo ISA (interconexo de sistemas abertos),
definido na norma ISO 7498-2, estabelece os seguintes objetivos ou requisitos de segurana:

1. Proteo de dados contra modificaes no autorizadas; 2. Proteger os dados contra perda/furto/roubo; 3. Proteo de dados contra a divulgao no autorizada; 4. Garantir a identidade do remetente correto dos dados; 5. Garantir a identidade correta do destinatrio dos dados.
Servios de segurana
Objetivos: 11 Aumento da segurana. 11 Utilizao de mecanismos de segurana.
Categorias de servios de segurana. 11 Confidencialidade. 11 Autenticidade. 11 Integridade. 11 No repdio. 11 Conformidade. 11 Controle de acesso. 11 Disponibilidade. Neste tpico, sero tratados os objetivos e categorias de servios de segurana a serem
considerados no contexto da segurana da informao. De acordo com o padro ISO 7498-2, que compreende os aspectos relacionados segurana no modelo Open Systems Interconnection (OSI), os servios de segurana so medidas preventivas escolhidas para combater ameaas identificadas. Os servios de segurana aumentam a segurana da informao contra ataques fazendo uso de um ou mais mecanismos de segurana. Em muitas literaturas esses servios tambm so citados como princpios bsicos de segurana. Os servios e mecanismos de segurana devem ser aplicados de modo a atender aos requisitos de segurana da organizao, levando em considerao o equilbrio entre as necessidades de segurana e custos respectivos. Em especial, ao identificar e priorizar servios de segurana, essencial fazer uma anlise dos riscos e impactos provveis que compreendem toda a organizao em questo. 11 Confidencialidade: compreende a proteo de dados transmitidos contra ataques passivos, isto , contra acessos no autorizados, envolvendo medidas como controle de acesso e criptografia. A perda da confidencialidade ocorre quando h uma quebra de sigilo de uma determinada informao (exemplo: a senha de um usurio ou administrador de sistema) permitindo que sejam expostas informaes restritas as quais seriam acessveis apenas por um determinado grupo de usurios; 11 Autenticidade: est preocupada em garantir que uma comunicao autntica, ou seja, origem e destino podem verificar a identidade da outra parte envolvida na comunicao, com o objetivo de confirmar que a outra parte realmente quem alega ser. A origem e o
destino tipicamente so usurios, dispositivos ou processos; 11 Integridade: trata da garantia contra ataques ativos por meio de alteraes ou remoes no autorizadas. relevante o uso de um esquema que permita a verificao da integridade dos dados armazenados e em transmisso. A integridade pode ser considerada sob dois aspectos: servio sem recuperao ou com recuperao. Uma vez que os ataques ativos so considerados no contexto, a deteco, em vez da preveno, o que importa; ento, se o comprometimento da integridade detectado, pode-se report-lo e o mecanismo de recuperao imediatamente acionado. A integridade tambm um pr-requisito para outros servios de segurana. Por exemplo, se a integridade de um sistema de controle de acesso a um Sistema Operacional for violada, tambm ser violada a confidencialidade de seus arquivos. A perda de integridade surge no momento em que uma determinada informao fica exposta ao manuseio por uma pessoa no autorizada, que efetua alteraes que no foram aprovadas e no esto sob o controle do proprietrio (corporativo ou privado) da informao; 11 No repdio: compreende o servio que previne uma origem ou destino de negar a transmisso de mensagens, isto , quando dada mensagem enviada, o destino pode provar que esta foi realmente enviada por determinada origem, e vice-versa;
11 Conformidade: dever de cumprir e fazer cumprir regulamentos internos e externos impostos s atividades da organizao. Estar em conformidade estar de acordo, seguindo e fazendo cumprir leis e regulamentos internos e externos; 11 Controle de acesso: trata de limitar e controlar o acesso lgico/fsico aos ativos de uma organizao por meio dos processos de identificao, autenticao e autorizao, com o objetivo de proteger os recursos contra acessos no autorizados; 11 Disponibilidade: determina que recursos estejam disponveis para acesso por entidades autorizadas, sempre que solicitados, representando a proteo contra perdas ou degradaes. A perda de disponibilidade acontece quando a informao deixa de estar acessvel por quem necessita dela. Seria o caso da perda de comunicao com um sistema importante para a empresa, que aconteceu com a queda de um servidor ou de uma aplicao crtica de negcio, que apresentou uma falha devido a um erro causado por motivo interno ou externo ao equipamento ou por ao no autorizada de pessoas com ou sem m inteno.
Exerccio de fixao 4 e Servios de segurana

Explique como sua organizao protege a confidencialidade.
Explique o que vem a ser autenticidade e integridade.
Segurana da informao
Viso geral de gesto da segurana da informao: 11 Preparando a organizao. 11 Requisitos de segurana. 11 Anlise/avaliao de riscos.
11 Itens relevantes. 11 Atividades envolvidas. Neste tpico, so detalhados os aspectos principais relacionados gesto da segurana da informao, com a apresentao de uma viso geral das preocupaes, responsabilidades e atividades envolvidas.
11 Seleo de controles.
Legislao
ISO 27001/2013
Anlise de risco
Poltica de segurana
Normas Mudanas tecnolgicas Procedimentos

A figura 1.2 apresenta uma viso geral da segurana da informao. As mudanas tecnol gicas so uma constante presena no dia a dia da organizao. Essas mudanas podem fazer surgir novas vulnerabilidades e riscos, ou ainda aumentar os j existentes, o que precisa ser acompanhado atravs de uma anlise de riscos dinmica e atualizada, permitindo o levantamento dos nveis dos riscos e da forma de trat-los. Simultaneamente necessrio conhecer a legislao que a organizao obrigada a seguir e a levantar os requisitos de segurana necessrios para atend-la. A partir desses requisitos legais, identificar os controles necessrios e aqueles apontados pela anlise de risco, com o uso das normas de segurana. A partir dos controles identificados, necessrio gerar as polticas, normas e procedimentos para a implementao dos controles.
Figura 1.2 Viso geral da segurana da informao.
Preparando a organizao
preciso ter em mente as respostas aos seguintes questionamentos:
11 O que proteger? 11 Contra o qu ou quem? 11 Qual a importncia de cada recurso? 11 Qual o grau de proteo desejado? 11 Quanto tempo, recursos financeiros e humanos se pretende gastar para atingir os objetivos de segurana desejados? 11 Quais as expectativas dos diretores, clientes e usurios em relao segurana da informao? Antes de pensar em gesto da segurana da informao em uma organizao, preciso ter em mente as respostas aos seguintes questionamentos: 1. O que proteger? Ativos da organizao necessitam de proteo. 2. Contra o qu ou quem? Quais so as ameaas que podem afetar a organizao e de que forma e por quem essas ameaas podem ser exploradas.
3. Qual a importncia de cada recurso? Como cada recurso de informao participa do

Processo de negcio Conjunto de aes e atividades que coexistem e interagem entre si de forma lgica e coerente para desenvolver um entregvel (produto) que atenda aos requisitos de qualidade e s expectativas do cliente, seja ele interno ou externo.
processo de negcio da organizao. 4. Qual o grau de proteo desejado? Que requisitos de proteo o negcio exige e que nvel de proteo necessrio. 5. Quanto tempo, recursos financeiros e humanos se pretende gastar para atingir os objetivos de segurana desejados? Que recursos esto disponveis para os objetivos de segurana e o que pode ser feito com os recursos existentes. 6. Quais as expectativas dos diretores, clientes e usurios em relao segurana da informao? O que eles esperam da segurana da informao para o negcio da organizao. Com respostas a essas perguntas, pode-se prosseguir com o processo de estabelecimento da segurana da informao e de sua gesto na organizao.
Requisitos de segurana
H trs fontes a considerar: 11 Anlise/avaliao de riscos da organizao. 11 Legislao vigente, estatutos, regulamentaes e clusulas contratuais da organizao. 11 Conjunto de princpios, objetivos e requisitos do negcio. H trs fontes principais a considerar ao estabelecer os requisitos de segurana da informao de uma organizao:
11 Anlise/avaliao de riscos: considera os objetivos e estratgias de negcio da organizao,
d
Mais informaes podem ser consultadas na norma ABNT ISO/IEC 27002:2013 no item 0.2.
resultando na identificao de vulnerabilidades e ameaas aos ativos. Nesse contexto, leva-se em conta a probabilidade de ocorrncia de ameaas e o impacto para o negcio. 11 Legislao vigente: estatutos, regulamentao e clusulas contratuais a que devem atender a organizao, seus parceiros, terceirizados e fornecedores. 11 Conjunto de princpios: objetivos e requisitos de negcio para o processamento de dados que a organizao deve definir para dar suporte s suas operaes.
Anlise/avaliao de riscos
11 Gastos com controles precisam ser balanceados de acordo com os dados potenciais.
q
d
Mais informaes podem ser obtidas na norma ABNT NBR ISO/ IEC 27005:2013.
11 Resultados direcionam e determinam aes gerenciais. 11 Tarefa peridica, para contemplar mudanas. Na anlise/avaliao de riscos, os gastos com os controles devem ser balanceados de acordo com o impacto que falhas potenciais de segurana causaro aos negcios. Sendo assim, deve ser efetuada periodicamente, com o intuito de contemplar mudanas na organizao. Os resultados auxiliam no direcionamento e determinao das aes gerenciais e das prioridades para o gerenciamento de riscos da segurana da informao. A avaliao compara o risco estimado com critrios predefinidos para determinar a importncia ou valor do risco para a organizao.
Seleo de controles
11 Controles devem ser implementados para garantir a reduo de riscos. 11 Dependem das decises da organizao quanto aos riscos. 11 Podem ser selecionados a partir de normas preestabelecidas ou de conjunto de controles especficos. Por exemplo, as normas: 22 ABNT NBR ISO/IEC 27002:2013. 22 ABNT NBR ISO/IEC 27001:2013. Aps a identificao de requisitos de segurana, anlise/avaliao dos riscos e tomadas de deciso quanto ao tratamento de riscos em uma organizao, pode-se, enfim, selecionar e implementar os controles adequados. Controles so medidas ou um conjunto de medidas adotadas para tratar vulnerabilidades e reduzir o risco de incidentes de segurana da informao. Controle, tambm conhecido como contramedida, corresponde a qualquer mecanismo til para gerenciar riscos,
incluindo polticas, procedimentos, diretrizes, prticas ou estruturas organizacionais que podem ser de natureza administrativa, tcnica, de gesto ou legal. Os controles podem ser selecionados a partir de normas preestabelecidas (por exemplo, as normas ABNT NBR ISO/IEC 27002:2013 e ABNT NBR ISO/IEC 27001:2013) ou de um conjunto de controles especficos para a organizao. Em particular, os controles selecionados devem estar de acordo com a legislao e regulamentao nacionais e internacionais vigentes e relevantes segurana da informao e ao negcio da organizao. Alguns exemplos de controle: 11 Barreiras, portas, cartazes de proibida a entrada e catracas; 11 Crachs, controle de visitantes e CFTV; 11 Senhas, fechaduras e controles biomtricos; 11 Polticas de segurana, termos de responsabilidade e treinamento; 11 Antivrus, backup e controle de acesso lgico.
Controles biomtricos Uso da biometria para verificar ou identificar acesso a recursos como computadores, notebooks, smartphones, redes de computadores, aplicaes, bases de dados e outros hardwares e softwares que necessitem ter o seu acesso protegido. Biometria o uso de caractersticas fsicas ou comportamentais das pessoas como forma de identific-las unicamente.
Exerccio de fixao 5 e Seleo de controles

Explique o que so controles.
Controles para a segurana da informao

Controles considerados essenciais, do ponto de vista legal: 11 Proteo de dados e privacidade. 11 Proteo de registros organizacionais. 11 Direitos de propriedade intelectual.
10
Controle, por definio, um modo de gerenciar riscos, podendo incluir polticas, procedimentos, diretrizes e prticas que podem ser de natureza administrativa, tcnica, legal ou de gesto. Alguns controles podem ser considerados como primeiros passos para a segurana da informao nas organizaes, tendo como base requisitos legais e/ou melhores prticas para a segurana da informao. Sob o ponto de vista legal, h os controles considerados essenciais e que dependem da legislao vigente, a saber: 11 Proteo de dados e privacidade de informaes pessoais; 11 Proteo de registros organizacionais; 11 Direitos de propriedade intelectual.
Controles considerados como boas prticas: 11 Poltica de segurana da informao. 11 Atribuio de responsabilidades. 11 Conscientizao, educao e treinamento em segurana da informao. 11 Processamento correto em aplicaes. 11 Gesto de vulnerabilidades. 11 Gesto da continuidade do negcio. 11 Gesto de incidentes de segurana da informao.
J os controles considerados como boas prticas para a segurana da informao compreendem: 11 Documento da poltica de segurana da informao; 11 Atribuio de responsabilidades para a segurana da informao; 11 Conscientizao, educao e treinamento em segurana da informao; 11 Processamento correto nas aplicaes; 11 Gesto das vulnerabilidades tcnicas; 11 Gesto da continuidade do negcio; 11 Gesto de incidentes de segurana da informao. Vale ressaltar que selecionar ou no determinado controle deve ser uma ao baseada nos ponto de partida, uma vez que estes no substituem a seleo de controles baseada na anlise/avaliao de riscos. notria, ainda, a conscientizao de que uma poltica de segurana da informao no deve ser definida de modo genrico. As organizaes devem ser analisadas caso a caso, de forma a identificar suas necessidades de segurana para que, assim, seja desenvolvida e implantada uma poltica adequada. Em adio, a poltica deve atribuir direitos e responsabilidades s entidades que lidam diretamente com informaes e recursos computacionais das organizaes. Sendo assim, qualquer evento que resulte em descumprimento da poltica considerado incidente de segurana. Outra questo a ser considerada a gesto da continuidade do negcio, a qual preocupa-se com planos de contingncia e de continuidade, com destaques para o planejamento para garantir a recuperao aps desastres.
riscos especficos da organizao. Sendo assim, considere os controles apontados como
11
Exerccio de fixao 6 e Controles para a segurana da informao

Quais so os controles considerados essenciais sob o ponto de vista legal?
Na sua organizao, quais controles aplicados so considerados como melhores prticas?
Itens relevantes para a segurana da informao

11 Poltica de segurana da informao. 11 Segurana organizacional. 11 Gesto de ativos. 11 Segurana em Recursos Humanos. 11 Segurana fsica e de ambiente. 11 Gerenciamento de operaes e comunicaes. 11 Controle de acesso. 11 Aquisio, desenvolvimento e manuteno de SI. 11 Gesto de incidentes de segurana. 11 Gesto da continuidade do negcio.
A gesto da segurana da informao incentiva a adoo de polticas, procedimentos, guias e demais elementos relevantes, cujo escopo deve compreender o gerenciamento de riscos baseado em anlises de custo/benefcio para a organizao. Nesse contexto, para a gesto da segurana da informao, os itens listados a seguir so relevantes:
11 Poltica de segurana da informao; 11 Segurana organizacional; 11 Gesto de ativos; 11 Segurana em Recursos Humanos; 11 Segurana fsica e do ambiente; 11 Gesto das operaes e comunicaes; 11 Controle de acesso; 11 Gesto de incidentes de segurana da informao; 11 Gesto da continuidade do negcio. Todos os itens so tratados em detalhes na norma ABNT NBR ISO/IEC 27002:2013 e sero explicados na sequncia deste curso.
12
Atividades envolvidas
11 Gerncia de segurana dos sistemas. 11 Gerncia dos servios de segurana. 11 Gerncia dos mecanismos de segurana. 11 Gerncia da auditoria de segurana. Atividades adicionais consideradas no escopo da gesto da segurana da informao: 11 Gesto da segurana dos sistemas, que engloba todos os aspectos de segurana dos sistemas de uma organizao, tais como administrao da poltica de segurana, procedimentos de recuperao aps desastres, entre outros. de responsabilidade
desta gerncia a constante atualizao com respeito a problemas, riscos e solues de segurana mais recentes; 11 Gerncia de servios de segurana, incluindo a seleo dos mecanismos de segurana mais adequados para atend-los; 11 Gerncia dos mecanismos de segurana disponveis para atender aos requisitos de segurana da organizao; 11 Gerncia da auditoria de segurana, revisando e verificando registros e eventos de segurana, com o objetivo de avaliar a adequao dos controles do sistema, sua aderncia poltica de segurana, e de recomendar mudanas adequadas ou necessrias aos controles empregados na organizao.
Fatores crticos para o sucesso da segurana da informao

Fatores crticos para o sucesso: 11 Poltica de segurana da informao. 11 Abordagem e estrutura para implementao, manuteno, monitoramento e melhorias da segurana da informao. 11 Comprometimento dos nveis gerenciais. 11 Entendimento dos requisitos de segurana da informao, da anlise, avaliao e gesto de riscos. 11 Divulgao eficiente.
da informao nas organizaes: 11 A poltica de segurana da informao, objetivos e prticas devem refletir os objetivos de
Gesto de riscos Envolve atividades para direcionar e controlar uma organizao em termos de riscos. Sendo assim, compreende anlise, avaliao, tratamento e aceitao de riscos.
negcio da organizao; 11 A abordagem e a estrutura adotadas para a implementao, manuteno, monitoramento e melhoria da segurana da informao devem ser compatveis com a cultura da organizao; 11 Todos os nveis gerenciais da organizao devem estar comprometidos e apoiando a segurana da informao; 11 Os requisitos de segurana da informao, a anlise, avaliao e gesto de riscos devem ser bem entendidos (e em detalhes); 11 A segurana da informao deve ser divulgada, de modo eficiente, a todas as entidades da organizao (presidentes, diretores, gerentes, funcionrios, contratados etc.).
A seguir, so apresentados alguns fatores considerados crticos para o sucesso da segurana
13
11 Distribuio e comunicao de diretrizes, polticas e normas para todas as partes envolvidas. 11 Proviso de recursos financeiros para a gesto da segurana da informao. 11 Proviso da conscientizao, treinamento e educao adequados. 11 Estabelecimento de um processo eficiente de gesto de incidentes de segurana. 11 Implementao de um sistema de medio da gesto da segurana da informao. 11 Todos os itens da poltica de segurana devem ser distribudos e comunicados para as entidades da organizao. 11 Recursos financeiros devem ser providos para a gesto da segurana da informao. 11 Meios de conscientizao, treinamento e educao adequados devem ser providos.
11 Deve-se estabelecer um processo eficiente para a gesto de incidentes de segurana da informao. 11 preciso implantar um mecanismo para medir e avaliar a efetividade da gesto da segurana da informao, com subsequentes sugestes de melhorias.
14
Roteiro de Atividades 1
Atividade 1.1 Identificando ataques
Para cada situao a seguir, indique o modelo de ataque aplicvel. Justifique sua resposta: Situao Adio de um registro falsificado em um banco de dados. Desabilitar um sistema de arquivos. Modificao de dados trafegando na rede. Inutilizao fsica de um componente de hardware. Captura de dados em rede, atravs de escutas. Alterao de um programa para que execute de modo diferente. Modelo de ataque Justificativa
Atividade 1.2 Identificando vulnerabilidades

Para cada uma das situaes a seguir, cite pelo menos uma vulnerabilidade possvel de ser explorada para concretizar uma ameaa segurana da informao de uma organizao. Justifique as suas respostas: 1. Pessoal de servio dirio de mensageiro realizando entrega e coleta de mensagens.
2. Ex-funcionrios que deixaram a empresa porque foram dispensados.

Captulo 1 - Roteiro de Atividades 1
15
3. Funcionrio viajando a servio da organizao e acessando a rede remotamente.
4. Utilizao de notebook pessoal sem cadastro na lista de ativos.
5. Computador de trabalho logado, sem o usurio nas proximidades.
Atividade 1.3 Identificando a forma de ataque

Identifique a forma de ataque aplicvel a cada situao a seguir. Justifique sua resposta: 1. Captura e acesso a um arquivo transferido de um cliente a um servidor via rede.
2. Alterao de parte de uma mensagem legtima.
3. Anlise de trfego de uma rede, utilizando um sniffer.
16
4. Interrupo de uma rede, por causa de uma sobrecarga de trfego que degradou a sua performance.
5. Utilizao de login e senha de outro usurio.
Atividade 1.4 Associando categorias de servios de segurana

Para cada contexto apresentado a seguir, indique o(s) servio(s) diretamente associado(s): 1. Manuteno de informaes secretas, realizada por meio de cdigos para a transmisso em rede.
2. Duplicao de servidores de misso-crtica.
3. No abrir arquivos ou executar programas anexados em e-mails sem antes verific-los com um antivrus.
4. Usurios devem declarar por que so necessrias alteraes em seus privilgios na organizao e a relao do pedido com as atividades por ele desempenhadas.
17
5. vedado aos usurios o direito de modificar, remover ou copiar arquivos que pertenam a outro usurio, sem a sua permisso expressa.
Atividade 1.5 Estudo de caso: sua organizao

Considerando sua organizao atualmente, faa uma rpida anlise da situao da segurana da informao e responda: 1. Quais so os controles do ponto de vista legal e de boas prticas que sua organizao necessita? Justifique.
2. Quais so os fatores crticos de sucesso da segurana da informao na sua organizao?
18
2
Cdigo de prtica
objetivos
Conhecer a norma ABNT NBR ISO/IEC 27002:2013 e selecionar, relacionar e combinar seus controles.
conceitos
Estrutura e sees da norma ABNT NBR ISO/IEC 27002:2013 e seus objetivos.
Estrutura da norma
A norma ABNT NBR ISO/IEC 27002:2013 (Tecnologia da Informao Tcnicas de segurana Cdigo de prtica para controles de segurana da informao), foi preparada para servir como um guia prtico para o desenvolvimento e a implementao de procedimentos e controles de segurana da informao em uma organizao.
Exerccio de nivelamento 1 e Cdigo de prtica

O que voc entende por cdigo de prtica?
Estrutura da norma
Apresentao da norma ABNT NBR ISO/IEC 27002:2013: 11 Possui 14 sees. 11 Possui 35 objetivos de controle.
q
Captulo 2 - Cdigo de prtica
11 A verso atual possui 114 controles. Estruturada para fornecer um cdigo de boas prticas para gesto da segurana, a norma organizada em captulos de 0 a 18. Os captulos de 0 a 4 apresentam os temas de introduo (0), Escopo (1), Referncia normativa (2), Termos e definies (3) e Estrutura desta norma (4). A partir do captulo 5, a norma passa a chamar cada captulo de seo. Assim, existem catorze sees especficas apresentando os cdigos de prticas da gesto da segurana. Cada seo define um ou mais objetivos de controle. As catorze sees formam o total de 35 objetivos de controle. A seo 4 da norma apresenta sua estrutura.
19
Existem 114 controles e eles so os elementos que definem o que a norma 27002 considera como importante para um processo de segurana da informao. Os controles identificados por nmeros (xx.xx.xx) so estruturados atravs de: Os controles da norma so apresentados como boas praticas para que a organizao adote uma postura preventiva e pr ativa diante das suas necessidades e requisitos de segurana da informao. 11 Controle: descrio e definio do controle; 11 Diretrizes para a implementao: informaes auxiliares mais detalhadas na implementao do controle; 11 Informaes adicionais: informaes complementares. Todo o trabalho deste captulo ser desenvolvido com o manuseio e leitura dos tpicos apresentados na norma NBR ISO/IEC 27002:2013.
18. Conformidade 17. Aspectos da segurana da informao na gesto da continuidade do negcio 16. Gesto de incidentes da segurana da informao 15. Relacionamento na cadeia de suprimento 14. Aquisio, desenvolvimento e manuteno de sistemas 13. Segurana nas comunicaes 12. Segurana nas operaes
0. Introduo 1. Escopo 2. Referncia normativa 3. Termos e denies 4. Estrutura desta norma
ABNT NBR ISO/IEC 27002:2013 Cdigo de Prtica para controles de segurana da informao
5. Polticas de segurana da informao 6. Organizao da segurana da informao 7. Segurana em recursos humanos 8. Gesto de ativos 9. Controle de acesso
Figura 2.1 Sequncia estrutural da norma.
11. Segurana fsica e do ambiente 10. Criptograa
No sentido horrio, observa-se a sequncia estrutural da norma destacando-se as catorze sees de controles de segurana da informao (sees de 5 a 18).
Seo 5 Polticas de segurana da informao

5.1. Poltica de segurana da informao 11 Objetivo: 22 Prover orientao da Direo e apoio para a segurana da informao de acordo com os requisitos do negcio e com as leis e regulamentaes relevantes. A seo 5 da norma trata da poltica de segurana da informao e seus requisitos. O
objetivo da categoria de controle fornecer orientao e apoio da direo para a segurana 20
da informao, atravs do estabelecimento de uma poltica clara e objetiva, alinhada com os objetivos de negcio da organizao. A seo 5 apresenta como deve ser desenvolvido, mantido e atualizado o documento da poltica.
Objetivo Prover orientao da Direo e apoio para a segurana da informao de acordo com os requisitos do negcio e com as leis e regulamentaes relevantes. 5. Polticas de segurana da informao 5.1.1 . Polticas para segurana da informao 5.1 . Orientao da direo para segurana da informao 5.1.2 . Anlise crtica das polticas para segurana da informao
Figura 2.2 Seo 5.1 Poltica de segurana da informao.
Essa seo composta por uma categoria principal de segurana (5.1 Poltica de segurana da informao) e por dois controles (5.1.1 e 5.1.2). O controle 5.1.1 (Polticas para segurana da informao) mostra, nas Diretrizes para implementao, o que convm que o documento da poltica contenha e a importncia de que ela seja comunicada a todos. Apresenta ainda exemplos de polticas especificas para apoiarem as polticas de segurana da informao. O controle 5.1.2 (Anlise crtica da poltica de segurana da informao) apresenta como convm que seja realizada a anlise crtica pela direo da organizao a intervalos planejados ou quando mudanas importantes ocorrerem.
Exerccio de fixao 1 e Seo 5 Poltica de segurana

Utilizando a norma, explique: O objetivo da categoria de controle 5.1.
A letra b das diretrizes para implementao do controle 5.1.1.
Seo 6 Organizao da segurana da informao

6. Organizao da segurana da informao

Figura 2.3 Seo 6 Organizao da segurana da informao.
6.1 . Organizao Interna 6.2 . Dispositivos mveis e trabalho remoto
+ +
A seo 6 (Organizao da segurana da informao) tem como objetivos apresentar controles para uma estrutura para gerenciar a segurana da informao dentro da organizao e tambm os controles para que possa ser mantida a segurana dos recursos de processamento da informao, quando disponibilizados atravs de dispositivos mveis ou trabalho remoto. Em Informaes adicionais do controle 6.2.2, apresenta o entendimento de trabalho remoto segundo a norma 27002:2013.
21
Na seo 6 encontraremos os controles que devem ser aplicados estrutura funcional da segurana da informao. A seo 6 possui duas categorias principais de segurana: 6.1 (Organizao interna) e 6.2 (Dispositivos mveis e trabalho remoto).
Objetivo Estabelecer uma estrutura de gerenciamento para iniciar e controlar a implementao e operao da segurana da informao dentro da organizao. 6.1.1 . Responsabilidade e papis pela segurana da informao 6.1.2 . Segregao de funes 6.1 . Organizao interna 6.1.3 . Contato com autoridades 6.1.4 . Contato com grupos especiais 6. Organizaco da segurana da informao 6.1.5 . Segurana da informao no gerenciamento de projetos
6.2 . Dispositivos mveis e trabalho remoto
Figura 2.4 Sesso 6 Categoria de controle 6.1 e seus controles.
A categoria 6.1 (Organizao interna) possui cinco controles que devem ser implementados. Esses controles, como podem ser vistos na norma, tratam da estruturao da segurana, seus processos de autorizao, confidencialidade e contatos com outros grupos. Observe que o controle 6.1.5 trata da segurana da informao no gerenciamento de projetos. Independente do tipo de projeto, a norma destaca a importncia em se pensar segurana da informao desde o momento inicial. A segurana da informao deve fazer parte de todo o processo, e ser periodicamente analisada, revista e corrigida para estar sempre atualizada com os requisitos de segurana da informao.
Recomendamos uma rpida leitura da categoria 6.1 da norma 27002:2013.

6.1 . Organizao interna
Figura 2.5 Seo 6 Categoria de controle 6.2 e seus controles.
6. Organizaco da segurana da informao
Objetivo Garantir a segurana das informaes no trabalho remoto e no uso de dispositivos mveis. 6.2.1 . Poltica para o uso de dispositivo mvel 6.2 . Dispositivos mveis e trabalho remoto 6.2.2 . Trabalho remoto
22
A categoria 6.2 (Dispositivos mveis e trabalho remoto) trata dos controles necessrios para que a organizao possa gerenciar a segurana das informaes no trabalho remoto e no uso de dispositivos mveis. Atente para o detalhamento das diretrizes para implementao, que relaciona o essencial a ser observado na segurana da informao.
Exerccio de fixao 2 e Seo 6 Organizao da segurana da informao

Utilizando a norma, explique os controles: 6.1.2.
6.1.3.
6.1.5.
Seo 7 Segurana em Recursos Humanos

7.1. Antes da contratao 11 Objetivo: 22 Assegurar que os funcionrios e partes externas entendam suas responsabilidades e estejam em conformidade com os papis para os quais eles foram selecionados. 7.2. Durante a contratao 11 Objetivo: 22 Assegurar que os funcionrios e partes externas estejam conscientes e cumpram as suas responsabilidades de segurana da informao. 7.3. Encerramento e mudana da contratao 11 Objetivo: 22 Proteger os interesses da organizao como parte do processo de mudana ou encerramento da contratao.
mao durante o ciclo de vida da prestao de servios por profissional na organizao. Esses controles so organizados pela norma em trs categorias: 11 7.1. Antes da contratao; 11 7.2. Durante a contratao; 11 7.3. Encerramento e mudana da contratao.
A seo 7 (Segurana em Recursos Humanos) trata dos controles de segurana da infor-
23
Objetivo Assegurar que funcionrios e partes externas entendem as suas responsabilidades e esto em conformidade com os papis para os quais eles foram selecionados. 7.1 . Antes da contratao 7.1.1 . Seleo 7.1.2 . Termos e condies de contratao Objetivo Assegurar que funcionrios e partes externas esto concientes e cumprem as suas responsabilidades pela segurana da informao. 7.2.1 . Responsabilidade da direo 7. Segurana e recursos humanos 7.2 . Durante a contratao 7.2.2 . Conscientizao, educao e treinamento em segurana da informao 7.2.3 . Processo disciplinar Objetivo Proteger os interesses da organizao como parte do processo de mudana ou encerramento da contratao. 7.3.1 . Responsabilidades pelo encerramento ou mudana da contratao
7.3 . Encerramento e mudana da contratao
Os controles em cada categoria so organizados dentro das necessidades mnimas de segurana a serem observadas em cada uma delas. 11 Categoria 7.1 (Controles especficos para antes da contratao): processo de seleo e condies dos contratos de recursos humanos; 11 Categoria 7.2 (Controles durante a prestao dos servios propriamente ditos): nessa categoria, encontram-se os controles de responsabilidades, de capacitao dos recursos humanos em segurana da informao e do processo disciplinar, caso ocorra uma violao da segurana da informao; 11 Categoria 7.3 (Controles especficos para o encerramento ou mudana de contratao):
Figura 2.6 Seo 7 Categorias de controle 7.1, 7.2 e 7.3 com seus controles.
mudana de rea, de cargo, promoo, entre outras): nessa categoria destacam-se os controles de devoluo de ativos e retirada de direitos de acesso; Como partes externas entende-se todo aquele que no efetivamente pertencente aos quadros da organizao. Assim, temos como exemplos de partes externas vendedores, fornecedores, agncias governamentais, terceirizados, prestadores de servio temporrio e clientes entre outros.
Exerccio de fixao 3 e Seo 7 Segurana em Recursos Humanos

24
7.2.2.
7.2.3.
7.3.1.
Seo 8 Gesto de ativos

8.1. Responsabilidade pelos ativos 11 Objetivo: 22 Identificar os ativos da organizao e definir as devidas responsabilidades pela proteo dos ativos. 8.2. Classificao das informaes 11 Objetivo: 22 Assegurar que a informao receba um nvel adequado de proteo, de acordo com a sua importncia para a organizao. 8.3 Tratamento de mdias 11 Objetivo: 22 Prevenir a divulgao no autorizada, modificao, remoo ou destruio da informao armazenada nas mdias.
Na seo 8 (Gesto de ativos) so apresentadas duas categorias de controles de segurana da informao: 11 8.1 (Responsabilidade pelos ativos): apresenta os controles que se referem proteo dos ativos da organizao; 11 8.2 (Classificao das informaes): controles para a classificao da informao, dando a elas um nvel adequado de segurana; 11 8.3 (Tratamento de mdias): lista os controles para gerenciamento e tratamento das diversas mdias.
25
Objetivo Identicar os ativos da organizao e denir as devidas responsabilidades pela proteo dos ativos. 8.1.1 . Inventrio dos ativos 8.1 . Responsabilidade pelos ativos 8.1.2 . Proprietrio dos ativos 8.1.3 . Uso aceitvel dos ativos 8.1.4 . Devoluo de ativos Objetivo Assegurar que a informao receba um nvel adequado de proteo, de acordo com a sua importncia para a organizao. 8.2.1 . Classicao da informao 8. Gesto de ativos 8.2 . Classicao da informao 8.2.2 . Rtulos e tratamento da informao 8.2.3 . Tratamento dos ativos Objetivo Prevenir a divulgao no autorizada, modicao, remoo ou destruio da informao armazenada nas mdias. 8.3.1 . Gerenciamento de mdias removveis 8.3 . Tratamento de mdias 8.3.2 . Descarte de mdias 8.3.3 . Transferncia fsica de mdias
A categoria 8.1 (Responsabilidade pelos ativos) tem o objetivo de alcanar e manter a proteo adequada dos ativos da organizao, apresentando os controles que devem ser aplicados no tratamento da segurana da informao nos ativos. No controle 8.1.1 da norma, em Informaes adicionais, citada a norma ABNT NBR ISO/IEC 27005 Gesto de riscos de segurana da informao, na qual so descritos alguns tipos de ativos. J a categoria 8.2 apresenta os controles para a classificao da informao que devem ser
Figura 2.7 Seo 8 Categorias de controles de segurana 8.1, 8.2 e 8.3 com seus controles.
aplicados e a importncia dessa atividade para a gesto de ativos. Na categoria 8.3 so listados os controles e diretrizes necessrios ao tratamento das mdias. Para mais informaes sobre classificao da informao leia a ABNT NBR 16167:2013 Segurana da Informao Diretrizes para classificao, rotulao e tratamento da informao, e tambm o Decreto N 7.845, de 14 de novembro de 2012).
d
Saiba mais
Consulte as normas ABNT NBR ISO 55000:2014 Gesto de ativos Viso geral, princpios e termino logia e ABNT NBR ISO 55001:2014 Gesto de ativos Sistemas de gesto Requisitos.
Exerccio de fixao 4 e Seo 8 Gesto de ativos

26
8.1.2.
8.2.1.
8.3.2.
Seo 9 Controle de acesso

9.1 . Requisitos do negcio para controle de acesso 9.2 . Gerencamento de acesso do usurio 9. Controle de acesso 9.3 . Responsabilidades dos usurios 9.4 . Controle de acesso ao sistema e aplicao +
Figura 2.8 Seo 9 e suas quatro categorias de controles de segurana.
Na seo 9 (Controle de acesso) so encontradas as categorias que tratam dos controles necessrios ao controle de acesso lgico. Diferentemente da seo 11 (Segurana fsica e do ambiente), na seo 9 so tratados aspectos relativos a privilgios de acesso, senhas, acesso a rede, entre outros. Nessa seo existem quatro categorias de controles de segurana.
27
Objetivo Limitar o acesso informao e aos recursos de processamento da informao. 9.1 . Requisitos do negcio para controle de acesso 9.1.1 . Poltica de controle de acesso 9.1.2 . Acesso s redes e aos servios de rede
Objetivo Assegurar acesso de usurio autorizado e prevenir acesso no autorizado a sistemas e servios. 9.2.1 . Registro e cancelamento de usurio 9. Controle de acesso 9.2.2 . Provisionamento para acesso de usurio 9.2.3 . Gerenciamento de direitos de acesso privilegiados 9.2 . Gerencamento de acesso do usurio 9.2.4 . Gerenciamento da informao de autenticao secreta de usurios 9.2.5 . Anlise crtica dos direitos de acesso de usurio 9.2.6 . Retirada ou ajuste dos direitos de acesso 9.3 . Responsabilidades dos usurios 9.4 . Controle de acesso ao sistema e aplicao
Figura 2.9 Categorias de controle de segurana 9.1 e 9.2 com seus controles
Na categoria 9.1 (Requisitos de negcio para controle de acesso), o objetivo limitar o acesso informao e aos recursos de processamento da informao. A categoria 9.2 (Gerenciamento de acesso do usurio) tem por objetivo assegurar o acesso de usurio autorizado e prevenir acesso no autorizado a sistemas e servios. Os controles so:
11 9.2.1 (Registro de usurio): descreve a convenincia da existncia de um procedimento formal de registro e cancelamento de usurio; 11 9.2.2 (Provisionamento para acesso de usurio): apresenta a necessidade de um processo formal de provisionamento de acesso; 11 9.2.3 (Gerenciamento de direitos de acesso privilegiados): apresenta a necessidade de que a concesso de senhas seja controlada; 11 9.2.4 (Gerenciamento da informao de autenticao secreta de usurios): destaca que a concesso de informao de autenticao seja controlada por um processo de gerenciamento formal; 11 9.2.5 (Anlise crtica dos direitos de acesso de usurio): apresenta a convenincia do gestor conduzir anlises crticas peridicas dos direitos de acesso; 11 9.2.6 (Retirada ou ajuste dos direitos de acesso): apresenta a importncia da retirada dos acessos logo aps o encerramento das atividades dos funcionrio e partes externas. A categoria 9.3 (Responsabilidades dos usurios) objetiva tornar os usurios responsveis pela proteo das suas informaes de autenticao. Possui o controle:
28
11 9.3.1 (Uso da informao de autenticao): trata da necessidade de os usurios seguirem as boas prticas no uso da informao secreta;
9.1 . Requisitos do negcio para controle de acesso 9.2 . Gerencamento de acesso do usurio
+ Objetivo Tornar os usurios responsveis pela proteo das suas informaes de autenticao.
9. Controle de acesso
9.3 . Responsabilidades dos usurios
9.3.1 . Uso da informao de autenticao secreta
Objetivo Prevenir o acesso no autorizado aos sistemas e aplicaes. 9.4.1 . Restrio de acesso informao 9.4.2 . Procedimentos seguros de entrada no sistema (log-on)
Figura 2.10 Seo 9 Categorias de controle de segurana 9.3 e 9.4 com seus controles.
9.4 . Controle de acesso ao sistema e aplicao
9.4.3 . Sistema de gerenciamento de senha 9.4.4 . Uso de programas utilitrios privilegiados 9.4.5 . Controle de acesso ao cdigo-fonte de programas
A categoria 9.4 (Controle de acesso ao sistema e aplicao) tem como objetivo prevenir o acesso no autorizado aos sistemas e aplicaes. Possui os seguintes controles: 11 9.4.1 (Restrio de acesso informao): apresenta a convenincia de que os usurios recebam acesso somente aos servios que tenham sido autorizados a usar; 11 9.4.2 (Procedimentos seguros de entrada no sistema log on): apresenta a convenincia de que o sistema sejam controlado por um procedimento seguro; 11 9.4.3 (Sistema de gerenciamento de senha): apresenta a convenincia de que os sistemas de gerenciamento de senhas assegurem senhas de qualidade; 11 9.4.4 (Uso de programas utilitrios privilegiados): destaca a importncia de se ter sob controle programas utilitrios que possam sobrepor os controles dos sistemas e aplicaes; 11 9.4.5 (Controle de acesso ao cdigo-fonte de programas): apresenta a convenincia da
Exerccio de fixao 5 e Seo 9 Controle de acessos
restrio de acesso ao cdigo-fonte.
29
9.2.2.
9.2.4.
9.2.6.
9.4.2.
Seo 10 Criptografia
Objetivo Assegurar o uso efetivo e adequado da criptograa para proteger a condencialidade, autenticidade e/ou a integridade da informao. 10. Criptograa 10.1 . Controles criptogrcos 10.1.1 . Poltica para o uso de controles criptogrcos 10.1.2 . Gerenciamento de chaves
Figura 2.11 Seo 10 e sua categoria de controle de segurana.
A seo 10 (Criptografia) possui a categoria 10.1, Controles criptogrficos, que tem como objetivo assegurar o uso efetivo e adequado da criptografia. Os controles so: 11 10.1.1 (Poltica para o uso de controles criptogrficos): convm ter uma poltica sobre o uso de controles criptogrficos. 11 10.1.2 (Gerenciamento de chaves): apresenta a convenincia do uso, proteo e tempo
de vida das chaves criptogrficas.
Exerccio de fixao 6 e Seo 10 Criptografia

10.1.2.
30
Seo 11 Segurana fsica e do ambiente

11.1. reas seguras 11 Objetivo: 22 Prevenir o acesso fsico no autorizado, danos e interferncias com os recursos de processamento das informaes e nas informaes da organizao. 9.2. Equipamento 11 Objetivo: 22 Impedir perdas, danos, furto, ou comprometimento de ativos e interrupo das operaes da organizao.
Tendo como objetivo o tratamento da segurana fsica e do ambiente, a seo 11 (Segurana fsica e do ambiente) apresenta duas categorias principais de segurana da informao: 11 11.1. reas seguras; 11 11.2. Equipamento. Os controles de segurana da categoria 11.1 (reas seguras) tratam especificamente das necessidades de segurana de acesso fsico s instalaes. So apresentados controles de segurana para o permetro fsico, controles de entrada nas reas internas e externas, reas seguras, reas com acesso pblico e de entrega de material.
31
Objetivo Prevenir o acesso fsico no autorizado, danos e interferncias com os recursos de processamento das informaes e nas informaes da organizao. 11.1.1 . Permetro de segurana fsica 11.1.2 . Controle de entrada fsica 11.1.3 . Segurana em escritrios, salas e instalaes 11.1 . reas seguras 11.1.4 . Porteo contra ameaas externas e do meio ambiente 11.1.5 . Trabalhando em reas seguras 11.1.6 . reas de entrega e de carregamento Objetivo Impedir perdas, danos, furto ou comprometimento de ativos e interrupo das operaes da organizao. 11.2.1 . Localizao e proteo do equipamento 11.2.2 . Utilidades 11.2.3 . Segurana do cabeamento 11.2.4 . Manuteno dos equipamentos 11.2 . Equipamento 11.2.5 . Remoo de ativos 11.2.6 . Segurana de equipamentos e ativos fora das depndencias da organizao 11.2.7 . Reutilizao ou descarte seguro de equipamentos 11.2.8 . Equipamento de usurio sem monitorao
11. Segurana fsica e do ambiente
11.2.9 . Poltica de mesa limpa e tela limpa Na categoria 11.2 (Equipamento) esto os controles de segurana que se referem proteo fsica dos ativos e ao seu funcionamento sem interrupes. nesta categoria que se encontram os controles para a instalao de equipamentos, fornecimento de energia, ar-condicionado, manuteno dos ativos, reutilizao e venda/alienao de ativos.
Exerccio de fixao 7 e Seo 11 Segurana fsica e do ambiente

32
11.1.4.
11.2.5.
11.2.9.
Seo 12 Segurana nas operaes

11 12.1. Responsabilidade e procedimentos operacionais. 11 12.2. Proteo contra malware. 11 12.3. Cpias de segurana. 11 12.4. Registros e monitoramento. 11 12.5. Controle de software operacional. 11 12.6. Gesto de vulnerabilidades tcnicas. 11 12.7. Consideraes quanto auditoria de sistema da informao. A seo 12 (Segurana nas operaes) a seo da norma que trata das operaes dos servios tecnolgicos da organizao. Essa seo possui sete categorias de controle de segurana da informao, e cada uma delas apresenta controles que convm serem apli-
cados no dia a dia das operaes e comunicaes da organizao. a seo que apresenta os controles de segurana que atendem maioria das vulnerabilidades relativas a aspectos operacionais do cotidiano da rea de TIC.
33
Objetivo Garantir a operao segura e correta dos recursos de processamento da informao. 12.1.1 . Documentao dos procedimentos de operao 12.1 . Responsabilidades e procedimentos operacionais 12.1.2 . Gesto de mudanas 12.1.3 . Gesto de capacidade 12.1.4 . Separao dos ambientes de desenvolvimento, teste e produo Objetivo Assegurar que as informaes e os recursos de processamento da informao esto protegidos contra malware. 12.2 . Proteo contra malware 12.2.1 . Controles contra malware Objetivo Proteger contra a perda de dados. 12.3 . Responsabilidades dos usurios 12.4 . Registros e monitoramento 12.5 . Controle de software operacional 12.6 . Gesto de vulnerabilidades tcnicas 12.7 . Consideraes quanto auditoria de sistema da informao 12.3.1 . Cpias de segurana das informaes
12. Segurana nas operaes
+
Figura 2.13 Seo 12 Categorias de controle de segurana 12.1, 12.2 e 12.3, com seus controles.
Na categoria 12.1 (Responsabilidades e procedimentos operacionais) so mostrados os controles que buscam garantir a operao segura e correta dos recursos computacionais. Nela so descritos os controles:
11 12.1.1 (Documentos dos procedimentos de operao): devem ser aplicados para documentar os procedimentos; 11 12.1.2 (Gesto de mudanas): define como devem ser controladas as modificaes e alteraes; 11 12.1.3 (Gesto de capacidade): trata do monitoramento e sincronizao dos recursos com as projees de capacidade futura para garantir o desempenho requerido; 11 12.1.4 (Separao dos ambientes de desenvolvimento, teste e produo): descreve como esses ambientes devem ser separados para reduzir o risco de acessos ou modifica es no autorizadas. A categoria 12.2 (Proteo contra malware) tem como um dos objetivos manter o nvel de segurana adequado e das entregas de servios em consonncia com os acordos. Essa categoria possui os seguintes controles: 11 12.2.1 (Controles contra malware): trata de controles de deteco e preveno para proteger contra malware junto com um programa de conscientizao do usurio.
34
Na categoria 12.3 (Cpias de segurana), o objetivo proteger contra a perda de dados, mantendo a integridade e disponibilidade da informao, atravs do seguinte controle: 11 12.3.1 (Cpias de segurana das informaes): trata da necessidade de que cpias de segurana (backup) das informaes e dos softwares sejam efetuadas e testadas regularmente. 12.1 . Responsabilidades e procedimentos operacionais 12.2 . Proteo contra malware 12.3 . Cpias de segurana 12. Segurana nas operaes
+ + Objetivo Registrar eventos e gerar evidncias. 12.4.1 . Registros de eventos 12.4.2 . Proteo das informaes dos registros de eventos (logs) 12.4.3 . Registro de eventos (log) de administrador e o operador 12.4.4 . Sincronizao dos relgios Objetivo Assegurar a integridade dos sistemas operacionais.
12.4 . Registros e monitoramento
12.5 . Controle de software operacional

Figura 2.14 Seo 12 Categorias de controles de segurana 12.4 e 12.5, com seus controles.
12.5.1 . Instalao de software nos sistemas operacionais
12.6 . Gesto de vulnerabilidades tcnicas 12.7 . Consideraes quanto auditoria de sistema da informao
A categoria 12.4 (Registros e monitoramento) tem por objetivo detectar atividades no autorizadas de processamento da informao de forma a registrar eventos e gerar evidncias. Os controles so: 11 12.4.1 (Registros de eventos): onde so descritos os procedimentos para o registro dos logs de eventos; 11 12.4.2 (Proteo das informaes dos registros de eventos logs): mostra as dire11 12.4.3 (Registros de eventos log de administrador e operador): convm que as atividades dos administradores e operadores do sistema sejam registradas; 11 12.4.4 (Sincronizao dos relgios): convm que todos os sistemas relevantes tenham seus relgios sincronizados.
trizes para a proteo dos logs contra acesso no autorizado e adulterao.
35
Na categoria 12.5 (Controle de software operacional), o objetivo manter a integridade e disponibilidade dos Sistemas Operacionais, atravs do seguinte controle: 11 12.5.1 (Instalao de software nos Sistemas Operacionais): trata da necessidade da implementao de procedimentos para controlar a instalao de software em sistemas operacionais. A categoria 12.6 (Gesto de vulnerabilidades tcnicas) objetiva prevenir a explorao de vulnerabilidades tcnicas. Essa categoria possui dois controles: 11 12.6.1 (Gesto de vulnerabilidades tcnicas): trata da necessidade do gerenciamento e controle das vulnerabilidades tcnicas em tempo hbil; 11 12.6.2 (Restries quanto a instalao de software): descreve a necessidade de defi nio de regras e critrios para a instalao de software pelo usurio.
12.1 . Responsabilidades e procedimentos operacionais 12.2 . Proteo contra malware 12.3 . Cpias de segurana 12. Segurana nas operaes 12.4 . Registros e monitoramento 12.5 . Controle de software operacional
+ +
+ Objetivo Prevenir a explorao de vulnerabilidades tcnicas.
12.6 . Gesto de vulnerabilidades tcnicas
12.6.1 . Gesto de vulnerabilidades tcnicas 12.6.2 . Restries quanto instalao de software Objetivo Minimizar o impacto das atividades de auditoria nos sistemas operacionais. 12.2.1 . Controles de auditoria de sitemas de informao
12.7 . Consideraes quanto auditoria de sistema da informao
Na categoria 12.7 (Consideraes quanto auditoria de sistemas da informao), descrito o controle que deve ser aplicado para minimizar o impacto das atividades de auditoria nos Sistemas Operacionais: 11 12.7.1 (Controles de auditoria de sistemas de informao): descreve as atividades e requisitos de auditoria para que sejam planejados cuidadosamente.
Figura 2.15 Seo 12 Categorias de controles de segurana 12.6 e 12.7, com seus controles.
36
Exerccio de fixao 8 e Seo 12 Segurana nas operaes

12.2.2.
12.4.1.
12.5.1.
12.6.2.
12.7.1.
12.4.3.
37
Seo 13 Segurana nas comunicaes

Na seo 13 (Segurana nas comunicaes), so encontradas as categorias que tratam dos controles necessrios para a segurana das comunicaes. Nesta seo existem duas categorias principais de segurana. Objetivo Assegurar a proteo das informaes em redes e dos recursos de processamento da informao que as apoiam. 13.1.1 . Controles de redes 13.1 . gerenciamento da segurana em redes 13.1.2 . Segurana dos servios de rede 13.1.3 . Segregao de redes Objetivo Manter a segurana da informao transferida dentro da organizao e com quaisquer entidades externas. 13.2.1 . Polticas e procedimentos para transferncia de informaes 13.2 . Equipamento 13.2.2 . Acordos para transferncia de informaes 13.2.3 . Mensagens eletrnicas 13.2.4 . Acordos de condencialidade e no divulgao
13. Segurana nas comunicaes
de A categoria 13.1 (Gerenciamento da segurana em redes) objetiva garantir a proteo das informaes em redes e a proteo da infraestrutura de suporte. Essa categoria possui trs controles: 11 13.1.1 (Controle de redes): trata da necessidade do gerenciamento e controle adequado das redes, incluindo a informao em trnsito; 11 13.1.2 (Segurana dos servios de rede): descreve a necessidade de que os nveis de
servios de rede sejam identificados e includos nos acordos de nveis de servio. 11 13.1.3 (Segregao de redes): apresenta a importncia da segregao em redes dos diversos grupos. A categoria 13.2 (Transferncia de informao) objetiva manter a segurana na troca de informaes internamente e com entidades externas. Possui os seguintes controles: 11 13.2.1 (Polticas e procedimentos para transferncia de informaes): convm que sejam estabelecidas polticas e procedimentos para a proteo da troca de informaes; 11 13.2.2 (Acordos para a troca de informaes): convm estabelecer acordos para a troca de informaes; 11 13.2.3 (Mensagens eletrnicas): convm que as mensagens sejam devidamente protegidas; 11 13.2.4 (Acordos de confidencialidade e no divulgao): convm que os requisitos para confidencialidade ou acordos de no divulgao sejam identificados e analisados.
38
Exerccio de fixao 9 e Seo 13 Segurana nas comunicaes

13.1.2.
13.1.3.
13.2.1.
13.2.4.
39
Seo 14 Aquisio, desenvolvimento e manuteno de sistemas

14.1 . Requisitos de segurana de sistema de informao 14. Aquisio, desenvolvimento e manuteno de sistemas 14.2 . Segurana em processos de desenvolvimento e de suporte + 14.3 . Dados para teste +
Figura 2.18 Categorias principais de segurana 14.1 e 14.2 com seus controles.
Figura 2.17 Seo 12 com suas trs categorias principais de segurana.
Na seo 14 (Aquisio, desenvolvimento e manuteno de sistemas de informao) esto os controles relativos s atividades de aquisio, desenvolvimento e manuteno de softwares. O objetivo nesta seo desenvolver a segurana da informao nos aplicativos da organizao. Esta seo possui 6 categorias principais de segurana.
Objetivo Garantir que a segurana da informao seja parte integrante de todo o ciclo de vida dos sistemas de informao. Isto tambm inclui os requisitos para sitemas de informao que fornecem servios sobre as redes pblicas. 14.1.1 . Anlise e especicao dos requisitos de segurana de informao 14.1 . Requisistos de segurana de sistema de informao 14.1.2 . Servios de aplicao seguros em redes pblicas 14.1.3 . Protegendo as transaes nos aplicativos de servios Objetivo Garantir que a segurana da informao esteja projetada e implementada no ciclo de vida de desenvolvimento dos sistemas de informao. 14.2.1 . Polticas de desenvolvimento seguro
14.2.2 . Procedimentos para controle de mudanas de sistemas 14. Aquisio, desenvolvimento e manuteno de sistemas 14.2.3 . Anlise crtica tcnica das aplicaes aps mudanas nas plataformas operacionais 14.2 . Segurana em processos de desenvolvimento e de suporte 14.2.4 . Restries sobre mudanas em pacotes de software 14.2.5 . Princpios para projetar sistemas seguros 14.2.6 . Ambiente seguro para desenvolvimento 14.2.7 . Desenvolvimento terceirizado 14.2.8 . Teste de segurana do sistema 14.2.9 . Teste de aceitao de sistemas 14.3 . Dados para teste
40
A categoria 14.1 (Requisitos de segurana de sistemas de informao) tem por objetivo garantir que a segurana parte integrante dos sistemas de informao. Possui o seguinte controle: 11 14.1.1 (Anlise e especificao dos requisitos de segurana): define procedimentos de segurana nas aplicaes que transitam sobre redes pblicas; 11 14.1.2 (Servios de aplicao seguros em redes pblicas): define controles de segurana nas especificaes de requisitos de novos sistemas. A categoria 14.2 (Segurana em processos de desenvolvimento e de suporte) tem como objetivo manter a segurana de sistemas aplicativos e da informao. Possui os controles: 11 14.2.1 (Poltica de desenvolvimento seguro): aborda a necessidade de que sejam estabelecidas regras para o desenvolvimento de sistemas; 11 14.2.2 (Procedimentos para controle de mudanas de sistemas): convm que a implementao de mudanas seja controlada com a utilizao de procedimentos formais de controle de mudanas; 11 14.2.3 (Anlise crtica tcnica das aplicaes aps mudanas nas plataformas operacionais): apresenta a convenincia de que aplicaes crticas sejam analisadas criticamente e testadas quando Sistemas Operacionais so mudados; 11 14.2.4 (Restries sobre mudanas em pacotes de software): apresenta a convenincia de que todas as mudanas sejam estritamente controladas; 11 14.2.5 (Princpios para projetar sistemas seguros): cita que princpios para projetar sistemas seguros sejam estabelecidos e documentados; 11 14.2.6 (Ambiente seguro para desenvolvimento): apresenta a necessidade das organizaes estabeleam ambientes seguros de desenvolvimento; 11 14.2.7 (Desenvolvimento terceirizado): convm que a organizao supervisione e monitore o desenvolvimento terceirizado de softwares; 11 14.2.8 (Teste de segurana do sistema): apresenta a necessidade de que testes de funcionalidade de segurana sejam realizados durante o desenvolvimento. 11 14.2.9 (Teste de aceitao de sistemas): Convm que programas de testes de aceitao sejam estabelecidos.
41
14.1 . Requisistos de segurana de sistema de informao
Objetivo Garantir que a segurana da informao esteja projetada e implementada no ciclo de vida de desenvolvimento dos sistemas de informao. 14.2.1 . Polticas de desenvolvimento seguro 14.2.2 . Procedimentos para controle de mudanas de sistemas 14. Aquisio, desenvolvimento e manuteno de sistemas 14.2.3 . Anlise crtica tcnica das aplicaes aps mudanas nas plataformas operacionais 14.2.4 . Restries sobre mudanas em pacotes de software 14.2.5 . Princpios para projetar sistemas seguros 14.2.6 . Ambiente seguro para desenvolvimento 14.2.7 . Desenvolvimento terceirizado 14.2.8 . Teste de segurana do sistema 14.2.9 . Teste de aceitao de sistemas
14.2 . Segurana em processos de desenvolvimento e de suporte
Objetivo Assegurar a proteo dos dados usados para teste 14.3 . Dados para teste 14.3.1 . Proteo dos dados para teste
A categoria 14.3 (Dados para teste) tem como objetivo assegurar a proteo dos dados para teste. O controle :
11 14.3.1 (Proteo dos dados para teste): convm que os dados de teste sejam selecionados e controlados.
Exerccio de fixao 10 e Seo 14 Aquisio, desenvolvimento e manuteno de sistemas

Figura 2.19 Seo 12 Categorias principais de segurana 14.2 e 14.3, com seus controles.
14.1.2.
42
14.2.1.
14.2.7.
14.3.1.
Seo 15 Relacionamento na cadeia de suprimento

Objetivo Garantir a proteo dos ativos da organizao que so acessados pelos fornecedores. 15.1.1 . Poltica de segurana da informao no relacionamento com os fornecedores 15.1 . Segurana da informao informao na cadeia de suprimento suprimento 15.1.2 . Identicando segurana da informao nos acordos com fornecedores 15.1.3 . Cadeia de suprimento na tecnologia da informao e comunicao 15. Relacionamento na cadeia de suprimento Objetivo Manter um nivel acordado de segurana da informao e de entrega de servios em consonncia com os acordos com fornecedores. 15.2.1 . Monitoramento e anlise crtica de servios com fornecedores 15.2.2 . Gerenciamento de mudanas para servios com fornecedores
15.2 . Gerenciamento da entrega do servio do fornecedor
Figura 2.20 Seo 15 com suas duas categorias de controle de segurana e controles.
A seo 15 (Relacionamento na cadeia de suprimento) trata do processo de segurana nos relacionamentos com os fornecedores . Possui duas categorias principais de segurana. A categoria 15.1 (Segurana da informao na cadeia de suprimento) tem por objetivo assegurar a proteo dos ativos da organizao acessados pelos fornecedores. Possui os controles: 11 15.1.1 (Poltica de segurana da informao no relacionamento com fornecedores): define que sejam acordados e documentados os requisitos de segurana para mitigar os riscos; 11 15.1.2 (Identificando segurana da informao nos acordos com fornecedores): convm que todos os requisitos de segurana da informao sejam estabelecidos e acordados com cada fornecedor. 11 15.1.3 (Cadeia de suprimento na tecnologia da informao e comunicao): convm que acordos com fornecedores incluam requisitos para contemplar os riscos de segurana.
43
A categoria 15.2 (Gerenciamento da entrega do servio do fornecedor) tem por objetivo manter o nvel acordado de segurana e de entrega em consonncia com os acordos com fornecedores. Os controles so: 11 15.2.1 (Monitoramento e anlise crtica de servios com fornecedores): apresenta a convenincia de auditar e analisar criticamente a entrega dos servios executados; 11 15.2.2 (Gerenciamento de mudanas para servios com fornecedores): apresenta a necessidade de gerenciar as mudanas no provisionamento dos servios pelos fornecidores.
Exerccio de fixao 11 e Seo 15 Relacionamento na cadeia de suprimento

15.1.2.
15.2.1
Figura 2.21 Seo 16, com suas categorias principais de segurana e controles.
Seo 16 Gesto de incidentes de segurana da informao
Objetivo Assegurar um enfoque consistente e efetivo para gerenciar os incidentes de segurana da informao, incluindo a comunicao sobre fragilidades e eventos de segurana da informao.
16.1.1 . Responsibilicades e procedimentos 16.1.2 . Noticao de eventos de segurana da informao 16.1.3 . Noticando fragilidades de segurana da informao 16.1.4 . Avaliao e deciso dos eventos de segurana da informao 16.1.5 . Resposta aos incidentes de segurana da informao 16.1.6 . Aprendendo com os incidentes de segurana da informao 16.1.7 . Coleta de evidncias
16.Gesto de incidentes de segurana da informao
16.1 . Gesto de incidentes de segurana da informao e melhorias
44
A seo 16 (Gesto de incidentes de segurana da informao) trata do processo de notificao de eventos de segurana, responsabilidades e coleta de evidncias. Possui duas categorias principais de segurana. A categoria 16.1 (Gesto de incidentes de segurana da informao e melhorias) tem por objetivo assegurar que fragilidades e eventos de segurana sejam comunicados, permitindo a tomada de ao corretiva em tempo real. Possui os controles: 11 16.1.1 (Responsabilidades e procedimentos): apresenta a convenincia de que responsabilidades e procedimentos sejam estabelecidos para assegurar respostas rpidas; 11 16.1.2 (Notificao de eventos de segurana da informao): define que os eventos de segurana sejam relatados atravs dos canais apropriados o mais rapidamente possvel; 11 16.1.3 (Notificando fragilidades de segurana da informao): convm que todos os recursos humanos sejam instrudos a registrar e notificar qualquer observao ou suspeita de fragilidade em sistemas e servios; 11 16.1.4 (Avaliao e deciso dos eventos de segurana da informao): apresenta que os eventos de segurana sejam avaliados e classificados como incidentes; 11 16.1.5 (Resposta aos incidentes de segurana da informao): define que devem existir procedimentos documentados para que os incidentes sejam reportados; 11 16.1.6 (Aprendendo com os incidentes de segurana da informao): apresenta a convenincia de que sejam estabelecidos mecanismos para quantificar e monitorar os tipos e custos dos incidentes; 11 16.1.7 (Coleta de evidncias): apresenta a necessidade de que evidncias sejam coletadas, armazenadas e apresentadas em conformidade com a legislao pertinente.
Exerccio de fixao 12 e Seo 16 Gesto de incidentes de segurana da informao

16.1.2.
16.1.5
16.1.7
45
Seo 17 Aspectos da segurana da informao na gesto da continuidade do negcio

Objetivo Convm que a continuidade da segurana da informao seja contemplada nos sistemas de gesto da continuidade do negcio da organizao. 17.1.1 . Planejando a continuidade da segurana da informao 17.1 . Continuidade da segurana da informao 17.1.2 . Implementando a continuidade da segurana da informao 17.1.3 . Vericao, anlise crtica e avaliao da continuidade da segurana da infomao Objetivo Assegurar a disponibilidade dos recursos de processamento da informao. 17.2 . Redundncias 17.2.1 . Disponibilidade dos recursos de processamento da informao
17. Aspectos da segurana da informao na gesto da continuidade do negcio
A seo 17 (Aspectos da segurana da informao na gesto da continuidade do negcio) trata dos aspectos de continuidade no caso de ocorrncia de um desastre. Essa seo possui duas categorias principais de segurana. A categoria 17.1 (Continuidade da segurana da informao) tem por objetivo no permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos de falhas ou desastres significativos, alm de assegurar a sua retomada em tempo hbil, se for o caso. Os controles so: 11 17.1.1 (Planejando a continuidade da segurana da informao: convm que os requisitos para segurana da informao e a continuidade da gesto de segurana sejam determinados; 11 17.1.2 (Implementando a continuidade da segurana da informao): convm estabe Gesto da Segurana da Informao NBR 27001 e NBR 27002
Figura 2.22 Seo 17, com suas duas categorias principais de segurana e seus controles.
lecer, documentar, implementar e manter os processos, procedimentos e controles para assegurar a continuidade para a segurana da informao; 11 17.1.3 (Verificao, anlise crtica e avaliao da continuidade da segurana da informao): convm que os controles sejam verificados em intervalos regulares; A categoria 17.2 (Redundncias) tem por objetivo assegurar a disponibilidade dos recursos de processamento da informao. Possui um controle: 11 17.2.1 (Disponibilidade dos recursos de processamento da informao): apresenta a necessidade de que deve haver redundncia suficiente para atender aos requisitos de disponibilidade.
46
Exerccio de fixao 12 e Seo 17 Aspectos da segurana da informao na gesto da continuidade do negcio

17.1.3.
Seo 18 Conformidade
Objetivo Evitar violao de quaisquer obrigaes legais, estatutrias, regulamentares ou contratuais relacionadas segurana da informao e de quaisquer requisitos de segurana. 18.1.1 . Identicao da legislao aplicvel e de requisitos contratuais 18.1 . Conformidade com requisitos legais e contratuais 18.1.2 . Direitos de propriedade intelectual 18.1.3 . Proteo de registros 18. Conformidade 18.1.4 . Proteo e privacidade da informaes de identicao pessoal 18.1.5 . Regulamentao de controles de criptograa Objetivo Assegurar que a segurana da informao esteja implementada e operada de acordo com as polticas e procedimentos da organizao. 18.2.1 . Anlise crtica independente da segurana da segurana da informao 18.2 . Anlise crtica independente da segurana da informao 18.2.2 . Conformidade com as polticas e procedimentos de segurana da informao 18.2.3 . Anlise crtica da conformidade tcnica
Figura 2.23 Seo 18, com suas duas categorias principais de segurana e seus controles.
estejam de acordo com qualquer legislao (legalidade), como regulamentaes, estatutos ou obrigaes contratuais. Essa seo possui trs categorias principais de segurana. A categoria 18.1 (Conformidade com requisitos legais e contratuais) tem por objetivo evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de quaisquer requisitos de segurana da informao. Possui os seguintes controles: 11 18.1.1 (Identificao da legislao aplicvel e de requisitos contratuais): apresenta a convenincia de que todos os requisitos legais e contratuais sejam explicitamente defi nidos, documentados e mantidos;
A seo 18 (Conformidade) estabelece que os requisitos de segurana da informao
47
11 18.1.2 (Direitos de propriedade intelectual): apresenta a convenincia de que procedimentos sejam implementados para garantir a conformidade em relao aos direitos de propriedade intelectual; 11 18.1.3 (Proteo de registros): apresenta a convenincia de que os registros sejam protegidos contra perda, destruio e falsificao; 11 18.1.4 (Proteo e privacidade de informaes de identificao pessoal): apresenta a convenincia de que a privacidade e a proteo de dados sejam asseguradas; 11 18.1.5 (Regulamentao de controles de criptografia): convm que controles criptogrficos sejam usados em conformidade com a legislao em vigor. A categoria 18.2 (Anlise crtica da segurana da informao) tem por objetivo garantir que a segurana da informao esteja implementada e operada de com as polticas e procedimentos. Seus controles so: 11 18.2.1 (Anlise crtica independente da segurana da informao): apresenta a convenincia de que os gestores realizem em perodos regulares a anlise crtica; 11 18.2.2 (Anlise crtica da conformidade tcnica): apresenta a convenincia de que os sistemas de informao sejam periodicamente verificados em sua conformidade.
Exerccio de fixao 14 e Seo 18 Conformidade

18.1.2.
18.1.4.
18.2.1.
18.3.1.
48
Roteiro de Atividades
Atividade 2.1 Conhecendo a norma NBR ISO/IEC 27002:2013
1. Cite e justifique a categoria de controle de segurana da informao da norma NBR ISO/ IEC 27002:2013, que trata da segurana fsica.
2. Ao analisar a documentao sobre segurana da informao da sua instituio, no foi identificada a existncia de nenhuma poltica de segurana da informao. Cite e justifique a categoria de controle de segurana da informao da norma NBR ISO/IEC 27002:2013 que trata de poltica de segurana.
3. Como est estruturada cada categoria de controle?
Atividade 2.2 Entendendo a norma NBR ISO/IEC 27002:2013

1. Qual o objetivo de controle da categoria 10.1 (Controles criptogrficos)?
49
2. Descreva o controle 6.1.1 (Responsabilidades e Papeis pela segurana da informao).
3. Explique as diretrizes para a implementao do controle 11.2.9 (Poltica de mesa limpa e tela limpa).
4. Descreva as informaes adicionais para 18.1.4 (Proteo e privacidade de informaes de identificao pessoal).
Atividade 2.3 Trabalhando com a norma NBR ISO/IEC 27002:2013

Em trabalho para a implementao de um sistema de gesto de segurana da informao, durante a realizao da anlise de risco, foram identificadas diversas vulnerabilidades, apresentadas no quadro a seguir. De posse da NBR ISO/IEC 27002:2013, indique o controle ou os controles dessa norma que devem ser implementados para tratar cada uma dessas vulnerabilidades. A primeira vulnerabilidade respondida como exemplo. No ordem 01 02 03 04 05 06 Vulnerabilidade Proteo fsica (porta) de acesso sala dos servidores inadequada. Rede eltrica instvel. Controle de recrutamento inadequado de mo de obra. Falta de conscientizao de segurana. Armazenamento inadequado do backup. Inexistncia de controle de mudanas no desenvolvimento de software. Transferncia de chaves e senhas em texto puro. Controle(s) n(s) 11.1.2
07
50
No ordem 08 09 10 11
Vulnerabilidade Documentos armazenados em local desprotegido. Documentos classificados deixados expostos sobre a mesa. Falta de proteo contra vrus e cdigos maliciosos. Uso de dados de produo para testes de software em desenvolvimento. Controle inadequado/inexistente para realizao de trabalho remoto. Controle inadequado de servios terceirizados. Falta de procedimento para remoo de equipamentos para manuteno. Falta plano de testes dos planos de continuidade. Funcionrio utilizando recursos computacionais para uso pessoal (download de filmes e msicas). Mesma senha utilizada por vrios usurios. No foram identificados sistemas ou procedimentos para entrada fsica em reas seguras. No existe um procedimento de classificao das informaes. O funcionrio que controla os servidores de aplicao desconhecia o procedimento em caso de eventos de segurana.
Controle(s) n(s)
12 13 14
15 16
17 18
19 20
Atividade 2.4 Estudo de caso: sua organizao

Considerando as respostas dadas para sua organizao no estudo de caso do Roteiro de Atividades anterior, analise a situao da organizao de acordo com as sees da
norma e responda: 1. Quais sees da norma j esto plenamente implementadas na sua organizao? Quais esto parcialmente? Justifique.
51
2. Quais sees so extremamente necessrias de acordo com os negcios da sua organizao? Justifique.
3. Como voc justificaria a necessidade de uso da norma e implementao dos seus controles? Justifique.
52
3
Sistema de Gesto da Segurana da Informao
objetivos
Apresentar uma viso geral e escopo do Sistema de Gesto da Segurana da Informao (SGSI), assim como uma anlise crtica e detalhamento dos controles.
conceitos
Modelos SGSI.
Viso geral e escopo

O Modelo de Sistema de Gesto de Segurana da Informao (SGSI) integra a estratgia da organizao, sendo influenciado por fatores como: 11 Necessidades e objetivos. 11 Requisitos de segurana. 11 Processos. 11 Estrutura organizacional.
A norma ABNT NBR ISO/IEC 27001:2013 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gesto de Segurana da Informao (SGSI).
Captulo 3 - Sistema de Gesto da Segurana da Informao
Exerccio de nivelamento 1 e SGSI

O que voc entende por gesto?
O que voc entende por sistema de gesto?
A adoo de um SGSI deve ser uma deciso estratgica para a organizao. A especificao e a implementao do SGSI de uma organizao so influenciadas pelas suas necessidades e objetivos, requisitos de segurana, processos empregados e tamanho e estrutura da organizao.
53
esperado que a implementao de um SGSI seja escalada conforme as necessidades da organizao; por exemplo, uma situao simples requer uma soluo de um SGSI simples.
Modelo PDCA
Partes interessadas Plan Estabelecimento SGSI Partes interessadas
Do Implementao e operao do SGSI
Act Manuteno e melhoria do SGSI
Expectativas e requisitos de segurana da informao
Monitoramento e anlise crtica do SGSI Check
Segurana da informao gerenciada
A norma ISO 27001 adota o modelo conhecido como Plan-Do-Check-Act (PDCA), que aplicado para estruturar todos os processos do Sistema de Gesto da Segurana da Informao (SGSI). O modelo PDCA compe um conjunto de aes em sequncia estabelecida pelas letras que compem a sigla: P (plan: planejar), D (do: fazer, executar), C (check: verificar, controlar) e finalmente o A (act: agir, atuar corretivamente): 11 Plan (planejar: estabelecer o SGSI): estabelecer a poltica, objetivos, processos e procedimentos do SGSI relevantes para a gesto de riscos e melhoria da segurana da informao, para produzir resultados de acordo com as polticas e objetivos globais de uma organizao;
Figura 3.1
Modelo PDCA.
11 Do (fazer: implementar e operar o SGSI): implementar e operar a poltica, controles, processos e procedimentos do SGSI; 11 Check (checar: monitorar e analisar criticamente o SGSI): avaliar e, quando aplicvel, medir o desempenho de um processo frente poltica, objetivos e experincia prtica do SGSI e apresentar os resultados para a anlise crtica pela direo; 11 Act (agir: manter e melhorar o SGSI): executar as aes corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e na anlise crtica realizada pela direo ou em outra informao pertinente, para alcanar a melhoria contnua do SGSI.
54
Saiba mais
Exerccio de fixao 1 e Modelo PDCA

Explique o modelo PDCA.
A norma ABNT NBR ISO/IEC 27003:2011 Tecnologia da informao Tcnicas de segurana Diretrizes para implantao de um sistema de gesto da segurana da informao apresenta de forma detalhada os aspectos crticos necessrios para a implantao e projetos bem-sucedidos de um Sistema de Gesto da Segurana da Informao (SGSI), de acordo com a ABNT NBR ISO IEC 27001:2005. A norma descreve o processo de especificao e projeto do SGSI desde a concepo at a elaborao dos planos de implantao. A norma descreve o processo de obter a aprovao da direo para implementar o SGSI, define um projeto para implementar um SGSI (referenciado nesta Norma como o projeto SGSI), e fornece diretrizes sobre como planejar o projeto do SGSI, resultando em um plano final para implantao do projeto do SGSI.
Explique como o modelo PDCA pode ser aplicado ao SGSI.
Sistema de Gesto da Segurana da Informao (SGSI)

Requisitos gerais: 11 A organizao deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI. Estabelecendo e gerenciando o SGSI. Requisitos da documentao. O Sistema de Gesto da Segurana da Informao (SGSI), em ingls Information Security Management System (ISMS), um processo estruturado de tratamento da segurana da informao nos diversos setores. Veremos agora seus principais pontos, para uma perfeita implementao.
10. Melhoria 9. Avaliao do desempenho 8. Operao 7. Apoio
4. Contexto da Organizao
+ +
27001:2013
5. Liderana
6. Planejamento +
+
Figura 3.2 Viso da estrutura da Norma NBR ISO/ IEC 27001:2013.
A norma NBR ISO/IEC 27001:2013 est estruturada em dez sesses e um anexo. As sesses de 1 a 3 tratam do escopo, da referncia normativa e termos e definies. As demais sesses a partir da 4 buscam de forma objetiva e genrica apresentar os requisitos aplicveis a todas as organizaes, independentemente do tipo, tamanho ou natureza. Vejamos a seguir cada fase da gesto de um Sistema de Gesto da Segurana da Informao (SGSI): 11 4. Contexto da organizao; 11 5. Liderana; 11 6. Planejamento; 11 7. Apoio; 11 8. Operao; 11 9. Avaliao do desempenho; 11 10. Melhoria; 11 Anexo A.
55
Contexto da Organizao
11 Entendendo a organizao e seu contexto. 11 Entendendo as necessidades e as expectativas das partes interessadas. 11 Determinar o escopo do sistema de gesto da segurana da informao. 11 Sistema de gesto da segurana da informao. Este captulo aborda a necessidade de entender todo o contexto da organizao, ou seja,
interpretar ou analisar toda a organizao para determinar as questes internas e externas que possam afetar a capacidade do sistema de gesto da segurana da informao. De acordo com a ABNT NBR ISO/IEC 27003:2011 Tecnologia da Informao Tcnicas de segurana Diretrizes para implantao de um sistema de gesto da segurana da informao, normalmente, para iniciar o projeto do SGSI, necessria a aprovao da direo da organizao. Para isso, importante que a primeira atividade a ser desempenhada seja coletar informaes relevantes que demonstrem o valor de um SGSI para a organizao, esclarecendo por que necessria a implantao de um SGSI. importante que a organizao determine as partes interessadas importantes para o sistema de da segurana da informao e os requisitos que essas partes interessadas demandam de segurana da informao.
4.1 . Entendendo a organizao e seu contexto 4.2 . Entendendo as necessidades e as expectativas das partes interessadas 4.3 . Determinando o escopo do sistema de gesto da segurana da informao 4.4 . Sistema de gesto da segurana da informao
4. Contexto da Organizao
+
Figura 3.3 Etapas da seo 4 Contexto da Organizao da norma ABNT NBR ISO/IEC 27001:2013.
Na determinao do escopo, a organizao deve considerar as questes internas e externas, os requisitos e as interfaces, e dependncias entre as atividades desempenhadas pela organizao. As seguintes atividades so necessrias: 11 Definir o escopo e os limites organizacionais; 11 Escopo e limites da Tecnologia da Informao e Comunicao (TIC); 11 Escopo e limites fsicos; 11 O negcio, a organizao, sua localizao, ativos e aspectos tecnolgicos do escopo, polticas;
Liderana
11 Liderana e comprometimento. 11 Poltica. 11 Autoridades, responsabilidades e papis organizacionais.
56
5.2 Poltica de Segurana da Informao: 11 Apropriada ao propsito. 11 Incluir os objetivos de segurana da informao ou a estrutura para estabelec-los. 11 Incluir comprometimento em satisfazer os requisitos aplicveis. 11 Incluir comprometimento com a melhoria contnua. 11 Deve: 22 Estar disponvel. 22 Ser comunicada. 22 Estar disponvel para as partes interessadas. 5.1 . Liderana e comprometimento
Figura 3.4 Etapas da seo 5 Liderana da norma ABNT NBR ISO/IEC 27001:2013.
5. Liderana
5.2 . Poltica 5.3 . Autoridades, responsabilidades e papis organizacionais
A norma destaca a importncia, para o sucesso do SGSI, do requisito liderana. O envolvimento da Alta Direo, atravs da sua liderana e comprometimento, devem ser demonstrados durante todo o processo do SGSI. Essa liderana inicia-se pelo estabelecimento da poltica de segurana e os objetivos de segurana da informao compatveis com a direo estratgica da organizao. A poltica deve ser formalizada e comunicada, e ainda ser apropriada ao propsito da organizao, entre outros.
Leia a seo 5 da norma ABNT NBR ISO/IEC 27001:2013.
Exerccio de fixao 2 e Liderana

Explique o requisito de definir poltica de segurana no estabelecimento de um SGSI. Use a norma 27001.
Planejamento
11 6.1 Aes para contemplar riscos e oportunidades. 22 Geral. 22 Avaliao de riscos de segurana da informao. 22 Tratamento de riscos de segurana da informao. 11 6.2 Objetivo de segurana da informao e planejamento para alcan-los. 6.1 . Aes para contemplar riscos e oportunidades 6. Planejamento 6.2 . Objetivo de segurana da informao e planejamento para alcan-los
Figura 3.5 Etapas da seo 6 Planejamento da norma ABNT NBR ISO/IEC 27001:2013.
57
A seo 6 aborda as etapas de planejamento de um SGSI que incluem definir e aplicar um processo de avaliao de riscos de segurana da informao. Todo esse processo deve ser documentado e retido. Todo o processo de avaliao e tratamento dos riscos dever estar alinhado com os princpios e diretrizes das normas ABNT NBR ISO 31000 e ABNT NBR ISO 27005. A norma ABNT NBR ISO/IEC 27003:2011 Tecnologia da Informao Tcnicas de segurana Diretrizes para implantao de um sistema de gesto da segurana da informao cita em suas diretrizes para implementao que a avaliao da segurana da informao a atividade para identificar o nvel existente de segurana da informao (ou seja, os atuais procedimentos organizacionais de tratamento da proteo da informao). O objetivo fundamental da avaliao de segurana da informao fornecer informaes de apoio necessrias para a descrio do sistema de gesto sob a forma de polticas e diretrizes. O desempenho de uma anlise/avaliao de riscos de segurana dentro do contexto de negcios apoiado pelo escopo do SGSI essencial para a conformidade e a implementao bem-sucedida do SGSI, de acordo com a ABNT NBR ISO/IEC 27001:2013.
Leia a seo 6 da norma ABNT NBR ISO/ IEC 27001:2013.
Exerccio de fixao 3 e Planejamento

Cite dois objetivos de segurana da informao.
Apoio
11 Recursos. 11 Competncia. 11 Conscientizao. 11 Comunicao. 11 Informao documentada.
22 Geral. 22 Criando e atualizando. 22 Controle da informao documentada. 7.1 . Recursos 7.2 . Competncia 7. Apoio 7.3 . Conscientizao 7.4 . Comunicao 7.5 . Informao documentada Essa seo trata dos recursos necessrios para o estabelecimento, implementao, manuteno e melhoria contnua do SGSI.
Figura 3.6 Etapas da seo 7 Apoio da norma ABNT NBR ISO/IEC 27001:2013.
58
Outro aspecto tratado sobre a definio das competncias necessria das pessoas. O Anexo B (informativo) Papis e responsabilidades pela Segurana da Informao, da norma ABNT NBR ISO/IEC 27003:2011 Tecnologia da Informao Tcnicas de segurana Diretrizes para implantao de um sistema de gesto da segurana da informao, apresenta a tabela a seguir com uma lista exemplificada de papis e responsabilidades pela segurana informao: Papel Alta administrao (exemplo: COO, CEO, CSO e CFO). Gerentes de linha (isto , o ltimo nvel de comando na escala hierrquica Diretor-executivo de Segurana da Informao. Comit de Segurana da Informao (membro do comit). Equipe de Planejamento da Segurana da Informao (membro da equipe). Parte interessada. Breve descrio da responsabilidade o responsvel pela viso, decises estratgicas e pela coordenao de atividades para dirigir e controlar a organizao. Tem a responsabilidade final pelas funes organizacionais.
Tem a responsabilidade e a governana globais em relao segurana da informao, garantindo o correto tratamento dos ativos de informao. responsvel por tratar ativos de informao e tem um papel de liderana no SGSI da organizao. responsvel durante as operaes, enquanto o SGSI est sendo implantado. A Equipe de Planejamento trabalha em diversos departamentos e resolve conflitos at que a implantao do SGSI seja concluda. No contexto das outras descries de papis relativos segurana da informao, a parte interessada aqui definida primariamente como pessoas e/ou rgos que esto fora das operaes normais como o conselho e os proprietrios (tanto proprietrios da organizao, se esta for parte de um grupo de empresas ou se for governamental, quanto proprietrios diretos, como acionistas de uma organizao privada). Outros exemplos de partes interessadas podem ser companhias associadas, clientes, fornecedores e demais organizaes pblicas, como agncias governamentais de regulao financeira ou bolsa de valores, se a organizao no estiver listada. O administrador de sistema responsvel por um sistema de TI. o gerente de todos os recursos de TI (por exemplo, o Gerente do Departamento de TI). A pessoa responsvel pela segurana fsica, por exemplo, construes etc., normalmente chamado de Gerente de instalaes. A(s) pessoa(s) responsvel(eis) pela estrutura de gerenciamento de risco da organizao, incluindo avaliao de risco, tratamento de risco e monitoramento de risco. Muitos riscos de segurana da informao tm aspectos legais, e o consultor jurdico responsvel por levar esses riscos em considerao. (So) a(s) pessoa(s) com responsabilidade global pelos funcionrios.
Administrador de sistema. Gerente de TI. Segurana Fsica.
Gerncia de Risco.
Consultor Jurdico.
Recursos Humanos.
59
Papel Arquivo.
Breve descrio da responsabilidade Todas as organizaes tm arquivos contendo informaes vitais e que precisam ser armazenadas por longo tempo. As informaes podem estar localizadas em vrios tipos de mdia, e convm que uma pessoa especfica seja responsvel pela segurana desse armazenamento.
Dados Pessoais.
Se for exigncia legal, pode haver uma pessoa responsvel por ser o contato com um conselho de inspeo de dados ou organizao oficial similar que supervisione a integridade pessoal e questes de privacidade. Se uma organizao desenvolve seus prprios sistemas de informao, algum tem a responsabilidade por esse desenvolvimento. Convm que seja feita referncia a especialistas e experts, responsveis por determinadas operaes em uma organizao quanto ao interesse destes nos assuntos pertinentes ao uso do SGSI nas suas reas especficas de atuao. Consultores externos podem emitir opinies com base em seus pontos de vista macroscpicos da organizao e em suas experincias na indstria. Contudo, pode ser que os consultores no tenham conhecimento aprofundado da organizao e suas operaes. Cada empregado igualmente responsvel pela manuteno da segurana da informao no seu local de trabalho e em seu ambiente. O auditor responsvel por avaliar o SGSI. O instrutor ministra treinamentos e executa programas de conscientizao. Em uma organizao maior, h geralmente algum na organizao local que responsvel pelos assuntos de TI, e provavelmente tambm pela segurana da informao. Esse no , em si, um papel de responsabilidade propriamente dito, mas, em uma organizao maior, pode ser muito til durante o estgio de implementao contar com pessoas que tenham conhecimento aprofundado sobre a implementao do SGSI e que possam apoiar o entendimento sobre a implementao e as razes que estiverem por trs dela. Essas pessoas podem influenciar positivamente a opinio das outras e podem tambm ser chamadas de Embaixadoras.
Desenvolvedor de Sistema.
Especialista/Expert.
Consultor Externo.
Empregado/Funcionrio/ Usurio. Auditor. Instrutor. Responsvel pela TI ou pelos Sistemas de Informao (SI) locais. Defensor (pessoa influente).
Tabela 3.1 Lista exemplificada de papis e responsabilidades pela segurana da informao. Anexo B da norma ABNT NBR ISO/IEC 27003:2011 Diretrizes para implantao de um sistema de gesto da segurana da informao.
A comunicao e as atividades de conscientizao so etapas importantes para o sucesso de um SGSI. A organizao deve implementar um programa de conscientizao, treinamento e educao em segurana da informao para que toda a organizao entenda seus papis e suas competncias para executarem as operaes necessrias ao SGSI. A documentao dentro de um SGSI um importante fator de sucesso, pois demonstrar a relao dos controles implementados com os resultados esperados. A documentao muitas vezes ser a evidncia necessria para averiguar que um SGSI est implementado de forma correta e eficiente, permitindo que as aes possam ser rastreveis e passveis de reproduo.
60
Saiba mais
Os documentos listados a seguir so requisitos gerais e a base documental para que possa ser realizada a auditoria de um SGSI: 1. Declarao da poltica de segurana e objetivos do SGSI; 2. Escopo; 3. Procedimentos e controles; 4. Descrio da metodologia de anlise/avaliao de riscos; 5. Relatrio de anlise/avaliao de riscos; 6. Plano de tratamento de riscos; 7. Procedimentos necessrios para garantia da efetividade, operao e controles; 8. Descrio da medio da efetividade dos controles; 9. Registros requeridos. 11 Declarao da poltica de segurana e objetivos do SGSI. 11 Escopo. 11 Procedimentos e controles. 11 Descrio da metodologia de anlise/avaliao de riscos. 11 Relatrio de anlise/avaliao de riscos.
Declarao de aplicabilidade um documento formal contendo os controles aplicados, os controles no aplicados, os controles no aplicveis e os controles adicionais. uma listagem de todos os controles da norma assinalando: os controles aplicados e riscos que esto sendo tratados; os controles no aplicados e as justificativas da sua no aplicao; e os controles no aplicveis no ambiente da organizao com suas justificativas.
d
11 Plano de tratamento de riscos. 11 Procedimentos necessrios para garantia da efetividade, operao e controles. 11 Descrio da medio da efetividade dos controles. 11 Registros requeridos. 11 Declarao de aplicabilidade.
Exerccio de fixao 4 e Apoio

Por que essa fase importante? Use a norma 27001 para responder.
Operao
11 Planejamento operacional e controle. 11 Avaliao de riscos de segurana da informao. 11 Tratamento de riscos de segurana da informao.
61
8.1 . Planejamento operacional e controle 8. Operao 8.2 . Avaliao de riscos de segurana da informao 8.3 . Tratamento de riscos de segurana da informao Na seo 8 a norma trata das atividades ligadas a operao do SGSI. Nesta etapa a organizao planeja todos os passos necessrios para atender os requisitos de segurana da informao e implementar as aes necessrias. A organizao deve manter tudo documentado, processos e mudanas, para que possa gerar confiana de que tudo esta seguindo o planejado. A organizao deve ainda implementar uma metodologia para realizar avaliaes de risco e, a partir da sua aplicao, implementar um plano de tratamento nos riscos identificados.
Figura 3.7 Etapas da seo 8 Operao da norma ABNT NBR ISO/IEC 27001:2013.
Avaliao do desempenho
11 Monitoramento, medio, anlise e avaliao. 11 Auditoria interna. 11 Anlise crtica pela Direo. 9.1 . Monitoramento, medio, anlise e avaliao 9. Avaliao do desempenho 9.2 . Auditoria interna 9.3 . Anlise crtica pela Direo
Figura 3.8 Etapas da seo 9 Avaliao do desempenho da norma ABNT NBR ISO/IEC 27001:2013.
Nesta seo, de avaliao do desempenho, a norma destaca a importncia do monitoramento para verificar a eficcia do SGSI, atravs da determinao do que deve ser monitorado e medido.
Anlise crtica dos relatrios de resposta a incidentes
Preparao e coordenao de atividades de monitoramento
Vericaes regulares
Registros de atividades de monitoramento Monitorando o desempenho do SGSI Informaes para a direo
Vericao e divulgao da implementao do controle de segurana
A implantao do SGSI deve ser avaliada em intervalos regulares por meio de auditorias internas e independentes. Essas auditorias serviro para conferir e avaliar as experincias obtidas na prtica, do dia a dia. Uma auditoria deve ser planejada levando em considerao o status e a importncia dos processos e reas a serem auditadas, bem como o resultado das auditorias anteriores.
Figura 3.9 Fluxo do processo de Monitoramento segundo a norma ABNT NBR ISO/IEC 27003 Diretrizes para implantao de um sistema de gesto da segurana da informao.
62
d
Devem ser definidos critrios de auditoria, abrangncia, frequncia e mtodo. Essenciais em qualquer sistema de gesto, as atividades de monitorao e anlise crtica so fundamentais para o sucesso de um SGSI, por permitirem o acompanhamento, atravs de evidncias, e tambm o processo de melhoria contnua do sistema. A anlise crtica pela Direo deve analisar criticamente o SGSI em intervalos regulares planejados, para assegurar a sua contnua adequao, pertinncia e eficcia aos objetivos estratgicos da organizao.
Melhoria
Etapas da seo 10 Melhoria da norma ABNT NBR ISO/IEC 27001:2013.
Figura 3.10
11 No conformidade e ao corretiva. 11 Melhoria contnua.
10. Melhoria
10.1 . No conformidade e ao corretiva 10.2 . Melhoria contnua
A seo 10 aborda os aspectos de melhoria e aperfeioamento do SGSI, quando uma no conformidade ocorre, a fim de que a organizao possa tomar as aes necessrias para
No conformidade o no atendimento a um requisito; um fato que contraria um requisito, sendo comprovado por evidncias. Em determinados casos, a falta de evidncia uma evidncia. No Conformidade Maior: quando um requisito inteiro da norma no atendido, caracterizando uma falha sistmica. Tambm podero acontecer quando falhas existirem nos produtos e for constatado que os clientes esto recebendo produtos com falhas. Caracteriza tambm o acmulo de no conformidades menores a um mesmo item normativo ou ento a reincidncia de uma no conformidade menor identificada em uma auditoria externa anterior. No Conformidade Menor: lapso do controle de um requisito pr-estabelecido; apesar de no ser grave, indica no cumprimento de um processo especfico.
controlar e corrigir. Essa fase busca apresentar os requisitos que a organizao, de forma regular e estruturada, deve atender para que o seu SGSI mantenha-se dentro do processo de melhoria contnua do PDCA. A organizao deve continuamente melhorar a eficcia do SGSI por meio do uso da poltica de segurana da informao, objetivos de segurana, resultados de auditoria, anlise de eventos monitorados, aes corretivas e preventivas e reviso da direo. 11 Aes corretivas: a organizao deve tomar aes corretivas para eliminar as causas das no conformidades com os requisitos do SGSI, para evitar a sua repetio; 11 Aes preventivas: a organizao deve determinar aes para eliminar as causas de no conformidades potenciais com os requisitos da SGSI, para evitar a sua ocorrncia. A melhoria contnua deve ser um processo implantado na organizao buscando o constante aperfeioamento e melhoria de todo o sistema de gesto da segurana da informao.
Anexo A
11 Controles e objetivos de controle. 11 Alinhados com a ABNT NBR ISO/IEC 27002:2013 (Sees 5 a 18). 11 Devem ser usados com 6.1.3 Tratamento de riscos de segurana da informao. O Anexo A da norma ABNT NBR ISO/IEC 27001:2013 lista os controles que, de acordo com a norma, devem ser implementados na implementao de um SGSI. Os controles so semelhantes aos existentes na ABNT NBR ISO/IEC 27002:2013, com a diferena de que contm o
verbo dever, que apresenta circunstncias que so externas ao participante envolvido numa situao de segurana , mas que a tornam necessria, com um sentido de dever, ter de. Assim, os controlem devem ser implementados para que seja possvel que se tenha um SGSI.
63
Porm, pode haver o caso de que nem todos os controles listados podem ou necessitam ser implementados. Nesse caso, a organizao, ao criar um documento chamado Declarao de Aplicabilidade, deve fazer constar os controles no implementados e os motivos da no aplicao. No anexo A, o nmero do controle antecedido pela letra A. Assim, quando se refere a um controle do Anexo A da norma 27001:2013, este deve ser feito da seguinte forma: A.xx.xx.xx. No caso da norma 27002:2013, a referncia tem apenas os nmeros: xx.xx.xx. Apesar de os controles serem semelhantes, o anexo A da norma 27001:2013 usado para a implementao de controles dentro de um ambiente de SGSI, enquanto os controles da norma 27002:2013 so um cdigo de boas prticas de segurana da informao.
Leia o Anexo A da norma ABNT NBR ISO/ IEC 27001:2013.
Lista de verificao para implantao de um SGSI

A seguir apresentada, como sugesto, uma lista de verificao para implantao de um SGSI, criada com base nas normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27003:2011: Atividade 01 02 03 Identificar os objetivos de negcio da organizao. Conhecer os sistemas de gesto existentes na organizao. Definir objetivos, necessidades de segurana da informao e requisitos de negcio para o SGSI. Reunir normas regulamentares, de conformidade e do setor pertinentes organizao. Definir escopo preliminar do SGSI. Resultado
Tabela 3.2 Exemplo de uma lista de verificao para implantao de um SGSI.
11Lista de objetivos de negcio corporativo. 11Descrio dos sistemas de gesto existentes. 11Resumo dos objetivos, das necessidades de segurana da informao e dos requisitos de negcio para o SGSI. 11Resumo das normas regulamentares, de conformidade e do setor pertinentes organizao. 11Descrio do escopo preliminar do SGSI. 11Definio dos papis e responsabilidades do SGSI. 11Plano de negcio e plano de projeto proposto. 11Aprovao da direo para iniciar o projeto da implementao do SGSI. 11Descrio dos limites organizacionais. 11Funes e estrutura da organizao. 11Troca de informaes atravs dos limites.
04 05
06 07
Criar o plano de negcio e o plano de projeto para aprovao da direo. Obter aprovao e comprometimento da direo para iniciar o projeto da implementao do SGSI. Definir os limites organizacionais.
08
11Processos de negcio e as responsabilidades pelos ativos da informao de dentro e de fora do escopo. 09 Definir limites de tecnologia da informao e comunicao. 11Descrio dos limites do TIC. 11Descrio dos sistemas de informao e redes de telecomunicaes, detalhando o que est dentro e o que est fora do escopo. 11Descrio dos limites fsicos do SGSI. 11Descrio da organizao e de suas caractersticas geogrficas, detalhando o escopo interno e o externo.
10
Definir os limites fsicos.
64
Atividade 11 12 13 Finalizar os limites para o escopo do SGSI. Desenvolver a poltica do SGSI. Definir os requisitos de segurana da informao que apoiam o SGSI.
Resultado 11Documento descrevendo o escopo e os limites do SGSI. 11Poltica do SGSI aprovada pela direo. 11Lista dos principais processos, funes, locais, sistemas de informao e redes de comunicao.
11Requisitos da organizao sobre confidencialidade, disponibilidade, integridade e autenticidade. 11Requisitos da organizao contemplando requisitos de segurana da informao legais, regulamentares, contratuais e do negcio.
14
Ativos identificados dentro do escopo do SGSI.
11Descrio dos principais processos da organizao.
11Identificao dos ativos de informao dos principais processos da organizao. 11Classificao dos processos e ativos crticos. 11Documento da avaliao e da descrio do status real da segurana da informao, incluindo controles de segurana da informao existentes (qual o real status da segurana da informao na organizao?).
15
Conduzir a anlise/avaliao de segurana da informao.
11Documento de deficincia da organizao analisadas e avaliadas (quais os problemas? Que solues so possveis?). 11Escopo para a anlise/avaliao de riscos (dentro do escopo do SGSI).
16
Conduzir uma avaliao de risco.
11Critrios de aceitao de riscos. 17 Selecionar os objetivos de controle e os controles.
11Metodologia de anlise/avaliao de riscos aprovada e alinhada com o contexto de gesto estratgica de riscos da organizao (vide ABNT NBR ISO/IEC 31000 e ABNT NBR ISO/IEC 27005). 11Anlise/avaliao de alto nvel de riscos documentada.
11Identificar a necessidade de uma anlise/avaliao de riscos mais detalhada. 11Anlise/avaliao de riscos detalhada e documentada. 11Resultados agregados da anlise/avaliao de riscos. 11Riscos e suas opes de tratamento identificadas.
18
Obter aprovao da direo para implementar o SGSI.
19 20 21 22
Aprovao da direo para os riscos residuais. Autorizao da direo para implementar e operar o SGSI. Preparar a Declarao de Aplicabilidade. Definir a segurana organizacional.
11Aprovao documentada da direo para os riscos residuais propostos (convm que seja a sada da atividade anterior). 11Autorizao documentada da direo para implementar e operar o SGSI. 11Declarao de Aplicabilidade. 11Estrutura da organizao e seus papis e responsabilidades relacionados segurana da informao. 11Identificao de documentao relacionada ao SGSI. 11Modelos de registros do SGSI e instrues de uso e armazenamento.
11Documento de poltica de segurana da informao.
11Linha de base de polticas e procedimentos de segurana da informao (e, se aplicvel, planos para desenvolver polticas, procedimentos especficos, entre outros).
11Objetivos de controle e controles selecionados para reduo do risco.
65
Atividade 23 Projetar a segurana fsica e de TIC.
Resultado 11Planos de projeto de implementao para o processo de implementao dos controles de segurana selecionados para a segurana fsica e de TIC . 11Procedimentos descrevendo os processos de comunicao de informaes e de analise crtica pela direo. 11Descries para auditoria, monitoramento e medio. 11Detalhar um programa de treinamento e conscientizao. 11Plano de projeto de implementao para os processos de implementao aprovados pela direo. 11Um plano de projeto de implementao do SGSI especfico para a organizao, abrangendo a execuo de atividades planejadas para a segurana da informao fsica, de TIC e organizacional, bem como os requisitos especficos do SGSI para implement-lo de acordo com os resultados das atividades abrangidas pelas normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27003.
24 25 26 27 28
Definir a segurana da informao especfica para o SGSI. Definir a auditoria e monitoramento. Definir um programa de conscientizao. Produzir o plano de projeto final do SGSI. Plano de projeto final do SGSI.
66
Atividade 3.1 Conhecendo o ciclo PDCA
Descreva as principais atividades de um SGSI em cada etapa do ciclo PDCA (Plan-Do-Check-Act).
Atividade 3.2 Contexto da organizao

Relacione os requisitos que, segundo a norma, devem constar obrigatoriamente no estabelecimento do contexto da organizaode um SGSI (Sistema de Gesto de Segurana da Informao).
Atividade 3.3 Planejamento

Quais so as aes para contemplar riscos e oportunidades?
67
Quais os objetivos de segurana da informao para a sua organizao? Justifique sua resposta.
Atividade 3.4 Apoio

Qual a importncia da conscientizao e comunicao?
Atividade 3.5 Documentos

Quais so os documentos que devem ser includos no SGSI?
68
O que a Declarao de Aplicabilidade?
Atividade 3.6 Operao

Considerando o atual status da segurana da informao na sua instituio, apresente as etapas da Operao mnimas e necessrias para que a implementao do SGSI ocorra num prazo de at um ano. Indique os prazos a serem considerados em cada etapa.
De acordo com a sua resposta anterior, cite sequencialmente os documentos necessrios para essa implementao.
69
70
4
Poltica de segurana da informao
objetivos
Identificar os requisitos, construir e usar uma poltica de segurana da informao.
conceitos
Poltica de segurana, normas, procedimentos e boas prticas.
Definio
11 Conjunto de regras gerais que direcionam a segurana da informao e so suportadas por normas e procedimentos. 11 Devem ser seguidas por toda a organizao, orientando a segurana da informao, conforme o ramo de negcio, legislao e normas vigentes. 11 A poltica de segurana deve ser clara e objetiva. 11 E pode ser considerada um documento jurdico.
Inicialmente, sero vistos os seguintes tpicos referentes poltica de segurana: definio, escopo e algumas questes relevantes a considerar, com vistas ao seu desenvolvimento e sua implantao nas organizaes.
O que voc entende por poltica?
Na sua opinio, como deve ser uma poltica de segurana?
Captulo 4 - Poltica de segurana da informao
Exerccio de nivelamento 1 e Poltica de segurana da informao
71
A poltica de segurana da informao um conjunto de diretrizes apoiado por normas e procedimentos, que determinam as regras e prticas a serem seguidas para assegurar a segurana da informao, de acordo com o ramo de negcio e requisitos legais, contratuais, regulamentares e normativos aplicveis a todo o escopo da organizao. Ela definir as diretrizes, os limites, as responsabilidades e os objetivos dos controles que devero ser implementados e implantados para garantir os requisitos de proteo da segurana da informao na organizao. Sendo assim, a poltica de segurana deve ser claramente definida, publicada e mantida atualizada e apoiada pelos dirigentes da organizao. A importncia da poltica de segurana para o SGSI alta, uma vez que representa um documento formal, at mesmo com valor jurdico.
l Saiba mais
Antes de iniciar este captulo, faa uma leitura completa da Seo 5 Polticas de Segurana da Informao, da norma ABNT NBR ISO/IEC 27002:2013.
Diagrama
Polticas de segurana (diretrizes) ISO 27001 Leis
Estratgico
Normas (o qu)
Ttico
Procedimentos (como)
Operacional
Instrues (detalhes)
Registros
Evidncias
Figura 4.1 Sequncia e relao da poltica de segurana com fases do planejamento.
Polticas
Gesto da Segurana da Informao - NBR 27001 e NBR 27002
Diretrizes que devem ser seguidas. Responde ao porqu de realizar a Segurana da Informao, definindo diretrizes genricas do que deve ser realizado pela organizao para alcanar a Segurana da informao. Regras bsicas de como deve ser implementado o controle ou conjunto de controles, que foram definidos nas polticas. Respondem o qu fazer para se alcanar as diretrizes definidas na poltica de segurana. Atividades detalhadas de como deve ser implementado o controle ou conjunto de controles. Respondem como fazer cada item definido nas normas especficas e suas polticas. Descrio de uma operao ou conjunto de operaes para a execuo da implementao de controles de segurana da informao. Mecanismos adotados para permitir a coleta e comprovao da aplicao dos controles de segurana da informao, sua eficcia e eficincia. Permitir a rastreabilidade e uso em auditorias.
Normas
Procedimentos
Instrues Evidncias
Tabela 4.1 A Poltica de segurana da informao em detalhes.
72
A poltica de segurana de uma organizao composta por diretrizes gerais que serviro de base para as normas, procedimentos e instrues referentes segurana da informao. Devem estar alinhadas com a norma ABNT ISO 27001, com a legislao vigente e com as normas gerais pelas quais a organizao se orienta.
Exerccio de fixao 1 e Diagrama

Quais so os procedimentos formalizados existentes na rea de TI da sua organizao?
Arquitetura das polticas de segurana

No existe uma arquitetura padro para a definio das polticas de segurana. Elas devem seguir e atender aos requisitos de negcios da organizao e sua cultura organizacional. Para uma boa estruturao das polticas de segurana, podemos ter por base as dimenses da segurana da informao apresentadas no livro Praticando a Segurana da Informao: Polticas de Segurana da informao Regulamentao e regras de negcio
Acesso informao Gesto de riscos
Classicao da informao
Proteo tcnica Recursos da informao
Flexibilidade operacional
Desenvolvimento de aplicativos
Conscientizao e treinamento
Figura 4.2 Estrutura baseada na Norma Internacional ISO/ IEC 27002:2013.
Continuidade do negcio
Ambiente fsico e infraestrutura
Modelo operativo da SI
Tratamento de incidentes de Segurana da informao Estas podem ser vistas como as polticas de segurana necessrias, mas que devem ser adequadas s necessidades de cada organizao. de suma importncia que cada organizao estabelea a arquitetura que precisa ter para atender aos seus requisitos de segurana e de negcios.
Escopo
11 Estabelece princpios para a proteo, o controle e o monitoramento de recursos e informaes. 11 Estabelece as responsabilidades da segurana da informao. Em uma organizao, a poltica de segurana deve:
73
11 Estabelecer os princpios a serem seguidos com o intuito de proteger, controlar e monitorar seus recursos e sua informao; 11 Em especial, a poltica de segurana da informao pode ser integrada a outras polticas e planos vigentes na organizao, tais como polticas de contingncia e plano estratgico de negcios. 11 Ao definir o escopo da poltica, detalhar os limites de aplicao dela, citando os ambientes, fsicos, lgicos e organizacionais que so aplicveis e tipos de usurios, entre outros.
Exerccio de fixao 2 e Escopo

Qual o detalhamento necessrio para definir o escopo da poltica de segurana da sua organizao?
Questionamentos importantes
11 O que se quer proteger? 11 Contra o qu ou quem? 11 Quais so as ameaas mais provveis? 11 Qual a relevncia de cada recurso? 11 Qual o grau de proteo requerido? 11 Quanto tempo, recursos financeiros e humanos se pretende gastar? 11 Quais as expectativas dos usurios e clientes?
Com o objetivo de definir uma poltica de segurana da informao para uma organizao, deve-se ter em mente as respostas s seguintes questes: 11 O que se quer proteger? Ativos da organizao necessitam de proteo.
11 Contra o qu ou quem? Quais so as ameaas que podem afetar a organizao e de que forma e por quem estas ameaas podem ser exploradas? 11 Quais so as ameaas mais provveis? Identificar dentre as ameaas as que possuem maior probabilidade de ocorrer. 11 Qual a relevncia de cada recurso a ser protegido? Importncia do recurso dentro do processo de negcio. 11 Qual o grau de proteo requisitado? Requisitos de proteo que o negcio exige. Qual nvel de proteo necessrio? 11 Quanto tempo, recursos financeiros e humanos sero disponibilizados? Quais recursos esto disponveis para os objetivos de segurana? O que pode ser feito com os recursos existentes? 11 Quais as expectativas dos usurios e clientes? O que esperam da segurana da informao para o negcio da organizao, servios e produtos? Com isso, podem ser aplicados mecanismos de segurana adequados aos requisitos de segurana indicados na poltica. Em adio, com as devidas respostas em mente, pode-se analisar os riscos e requisitos legais e de normas, de acordo com a poltica de segurana.
74
Etapas
11 Identificar a legislao. 11 Identificar recursos crticos. 11 Analisar necessidades de segurana. 11 Elaborar proposta e promover discusso aberta. 11 Apresentar documento. 11 Aprovar e implementar. 11 Comunicar e treinar. 11 Manter a poltica de segurana.
A poltica de segurana deve ser implantada segundo um processo formal, embora flexvel, de modo a permitir alteraes de acordo com as necessidades. Uma proposta tpica para a implantao de uma poltica de segurana da informao compreende: 11 Identificar a legislao aplicvel na organizao; 11 Identificar os recursos crticos; 11 Classificar as informaes da organizao, observando no apenas a rea de informtica, mas todos os setores e suas respectivas informaes; 11 Analisar as necessidades de segurana, com o objetivo de verificar possveis ameaas, riscos e impactos na organizao; 11 Elaborar a proposta para a poltica de segurana; 11 Discutir abertamente com todos os envolvidos o contedo da proposta apresentada; 11 Aprovar a poltica de segurana; 11 Implementar a poltica de segurana; 11 Manter, periodicamente, a poltica de segurana, procurando identificar as melhorias necessrias e efetuar as revises cabveis. A seguir, cada uma das fases citadas ser detalhada.
Identificar a legislao
Toda organizao submetida a vrias leis, regulamentaes, normas do rgo regulamentador da sua rea de negcios, que devem ser seguidas e atendidas sob o risco grave toda legislao para que as polticas de segurana no venham a atentar contra qualquer uma delas.
de penalidades no caso de no cumprimento. Assim, importantssimo o levantamento de
Exerccio de fixao 3 e Identificar a legislao

Qual a importncia da identificao da legislao para o desenvolvimento da poltica de segurana?
75
Identificao dos recursos crticos

11 Hardware. 11 Software. 11 Dados. 11 Pessoas. 11 Documentao. 11 Suprimentos. 11 Entre outros.
A primeira fase do processo de implantao de uma poltica de segurana compreende a identificao dos recursos crticos da organizao, ou seja, aqueles recursos sob risco de segurana. Por exemplo, considerando cenrios da tecnologia da informao, podemos apresentar os seguintes recursos como crticos: 11 Hardware, tais como servidores, equipamentos de interconexo (roteadores, comutadores etc.), linhas de comunicao, entre outros; 11 Software, tais como Sistemas Operacionais, aplicativos, ferramentas de auxlio a atividades de negcio, utilitrios etc.; 11 Dados (em processamento ou em transmisso), backups, logs, bases de dados etc.; 11 Pessoas, em termos de usurios (internos e externos, quando conveniente), funcionrios e dirigentes; 11 Documentao a respeito de softwares, sistemas de informao, entre outros; 11 Suprimentos, tais como papel, fitas magnticas, CDs/DVDs etc. Considerando um cenrio diferente, outros tipos de recursos podem ser levantados.
Exerccio de fixao 4 e Identificao dos recursos crticos

Cite dois recursos crticos da sua organizao que devem ser levados em conta no processo de desenvolvimento da poltica de segurana.
Anlise das necessidades de segurana

Engloba a anlise de riscos: 11 Ameaas e impactos. Busca-se identificar: 11 Componentes crticos. 11 Grau de proteo adequado. 11 Custos potenciais. 11 Adequao s boas prticas.
76
Ao analisar as necessidades de segurana, deve-se considerar a anlise de riscos, em especial as ameaas e impactos, de modo a determinar os elementos crticos na organizao, os custos associados e o grau de segurana adequado. A anlise de riscos completa e correta o ponto-chave para a poltica de segurana adequada a uma organizao e, consequentemente, para a gesto da segurana da informao. A gesto de riscos ser detalhada nos captulos 6 e 7, incluindo mais informaes a respeito da anlise de riscos. Outro ponto a ser observado so as recomendaes das boas prticas existentes na rea de segurana da informao. Seguir essas boas prticas colaborar para que a organizao seja vista como preocupada com a segurana da sua informao.
Elaborao da proposta e discusso aberta

A proposta deve contemplar: 11 Recursos crticos. 11 Anlise das necessidades de segurana. A proposta deve ser discutida entre os envolvidos: 11 Dirigentes da organizao, em especial. A proposta de poltica de segurana de uma organizao deve ser elaborada com base no levantamento de recursos crticos e na anlise das necessidades de segurana realizadas previamente para que, assim, os objetivos de segurana sejam identificados de maneira adequada, de acordo com o negcio e os riscos que envolvem a organizao.
A poltica de segurana deve, normalmente, ser desenvolvida e apresentada pelo Comit de Segurana da Informao. Esse comit contar com representantes de vrias reas, principalmente a rea jurdica, TI e RH, e dever ter um perodo estabelecido. Uma vez elaborada, a proposta deve ser discutida abertamente com todos os funcionrios envolvidos diretamente com o assunto e, em especial, com os dirigentes da organizao, uma vez que o apoio deles crucial para a implantao da poltica de segurana.
Exerccio de fixao 5 e Elaborao da proposta

Quem desenvolver a poltica de segurana da sua organizao?
Documentao
11 Definio de segurana da informao, suas metas, escopo e importncia. 11 Declarao do comprometimento dos dirigentes da organizao. 11 Objetivos de controle e os devidos controles. 11 Anlise, avaliao e gerenciamento de riscos. 11 Explanao resumida das polticas, princpios, normas e requisitos. 11 Definio das responsabilidades gerais e especficas quanto gesto da segurana. 11 Referncias a documentos que apoiem a poltica.
77
A poltica de segurana de uma organizao deve ser documentada, e o documento gerado deve ser aprovado por seus dirigentes para que possa ser publicado e divulgado para todos os envolvidos. Vale ressaltar a necessidade de a poltica de segurana estar alinhada aos objetivos e estratgias de negcio da organizao. O contedo da poltica de segurana deve conter, por recomendao da norma ABNT NBR ISO/IEC 27002:2013, os seguintes itens: 11 Definio de segurana da informao, suas metas, escopo e relevncia para a organizao; 11 Declarao do comprometimento dos dirigentes da organizao com a poltica de segurana; 11 Indicao dos objetivos de controle e dos controles, incluindo a anlise/avaliao e gerenciamento dos riscos; 11 Explicao sucinta a respeito das polticas, princpios, normas e requisitos necessrios para garantir conformidade com a legislao, regulamentos, contratos e normas de segurana; 11 Definio das responsabilidades para com a gesto da segurana da informao; 11 Referncias a documentos que apoiem a poltica de segurana. Vale ressaltar que a poltica de segurana pode ser composta por vrias polticas especficas, tais como poltica de senhas, de backup etc.
Aprovao e implementao
11 Aprovao, em especial dos dirigentes da organizao. 11 Implementao. A fase de aprovao da poltica de segurana corresponde ao resultado positivo conseguido aps a anlise da proposta elaborada e apresentada organizao. Em particular,
exige-se o apoio por parte dos dirigentes da organizao como uma forma de garantir os primeiros passos para a implementao da poltica de segurana e as condies adequadas sua manuteno. Na implementao, devem ser considerados todos os aspectos relacionados implantao dos mecanismos de segurana (solues tcnicas, administrativas etc.) apropriados para assegurar que as necessidades de segurana levantadas previamente sejam atendidas a
contento na organizao.
Exerccio de fixao 6 e Aprovao e implementao

Quem aprovar a poltica de segurana da sua organizao?
Comunicao da poltica e treinamento

A divulgao da poltica de segurana e sua comunicao a toda a organizao outro aspecto importante para sua implementao. Recomenda-se, a propsito, que a divulgao faa parte de programas de formao de funcionrios novatos e de reciclagem dos antigos, alm de ser efetuada periodicamente. Essa divulgao da poltica deve ser formal e efetiva, informando todos os detalhes da sua implementao, como deve ser cumprida e as penalidades, se for o caso, da sua no observncia. Lembre-se de que a melhor medida de preveno a educao.
78
Manuteno
A poltica de segurana deve ser analisada periodicamente ou quando ocorrerem mudanas significativas. Deve considerar: 11 Oportunidades para melhoria. 11 Mudanas no ambiente organizacional (negcios, legislao ou tecnologias). 11 Tendncias de ameaas e vulnerabilidades. 11 Incidentes de segurana ocorridos. A poltica de segurana da informao adotada em uma organizao deve ser periodicamente analisada (recomenda-se anualmente), com o objetivo de manter sua adequao e eficincia. Tambm deve ser revista nos casos de mudanas significativas em termos de negcios e avanos tecnolgicos. Na anlise, busca-se: 11 Melhorias para a prpria poltica, melhorias de controles, alocao de recursos e atribuio de responsabilidades;
11 Atender a mudanas nos negcios, recursos disponveis, condies tcnicas e tecnolgicas; 11 Apresentar uma resposta a mudanas que afetam diretamente o modo de gerenciar a segurana da informao; 11 Atender a mudanas em aspectos contratuais, regulamentares e legais; 11 Atender a recomendaes de autoridades ou rgos relevantes. Recomenda-se que tal anlise seja efetuada por um funcionrio ou equipe responsvel pela gesto da poltica de segurana. Em seguida, deve-se gerar o novo documento da poltica de segurana e este, por sua vez, deve ser reconhecido e apoiado pelos dirigentes da organizao.
Exerccio de fixao 7 e Manuteno

Como deve ser definido o tempo para manuteno de uma poltica de segurana?
Boas prticas
11 Apoio explcito da alta direo. 11 Determinar o que fazer para cada tipo de potencial violao poltica de segurana. 11 Estabelecer uma estrutura organizacional de responsabilidades. 11 Estabelecer procedimentos de segurana de pessoal. 11 Informar a todos os envolvidos os riscos e suas responsabilidades. A poltica de segurana tem um papel determinante nas organizaes e, por sua vez,
recomendvel consider-la como um conjunto de regras a ser fielmente seguido e gerido de maneira adequada. Sendo assim, torna-se evidente a relao entre a gesto da segurana da informao e a poltica de segurana de uma organizao.
79
Com o objetivo de obter melhores resultados, so recomendadas as seguintes boas prticas, ao considerar a poltica de segurana de uma organizao: 11 A alta direo da organizao deve apoiar e acreditar que as polticas de segurana da informao vo proteger as suas informaes. Assim, o patrocnio da alta direo importante para que os objetivos da poltica de segurana sejam alcanados. Esse apoio deve iniciar com o desenvolvimento da poltica, passar por sua assinatura e divulgao, chegando at a manuteno da eficincia e da sua atualizao. 11 Nem sempre possvel detectar uma violao poltica de segurana; todavia, em situaes nas quais haja possibilidade, relevante identificar a causa em primeira instncia, como erro, negligncia, desconhecimento da poltica etc. Recomenda-se, ainda, que na prpria poltica de segurana constem os procedimentos a serem seguidos caso uma violao acontea, de acordo com sua gravidade, determinando, ainda, as aes corretivas necessrias e a punio dos responsveis diretos pelo problema. Note que, assim como j citado no captulo 2, a punio pode variar dependendo da infrao, podendo ser levada alada da justia; todavia, cabe instituio divulgar a poltica de segurana, a legislao vigente e as responsabilidades especficas a todos os seus funcionrios. 11 salutar estabelecer uma estrutura organizacional responsvel pela segurana da informao na organizao, com o intuito de definir os responsveis por aprovar, revisar e gerenciar a implantao da poltica de segurana na organizao. Tais atividades podem ser efetuadas por um funcionrio ou equipe. 11 Deve-se trabalhar a segurana de pessoal visando minimizar ou at mesmo evitar problemas de segurana da informao com causa proveniente de erros humanos. Todos os integrantes da organizao devem ter conhecimento a respeito dos riscos de segurana e das suas responsabilidades perante a questo da segurana. Com isso, sempre recomendvel a divulgao de boas prticas, normas, legislao e padres vigentes.
Boas prticas
11 Controlar e classificar os recursos computacionais disponveis. 11 Estabelecer controles de acesso lgico e fsico. 11 Administrar os recursos computacionais segundo os requisitos de segurana.
11 Auditar a segurana periodicamente. O controle e a classificao dos recursos computacionais da organizao so relevantes. A classificao efetuada de acordo com as condies crticas do recurso para os negcios. Em particular, deve-se associar cada recurso a um responsvel direto na organizao. Recomenda-se a implantao de controles de acesso lgico e fsico que estabeleam os limites de acesso, estes controlados por dispositivos de controle de entrada e sada. Quanto aos recursos computacionais e demais ativos da organizao, importante administr-los segundo os requisitos vigentes de segurana da informao. A auditoria de segurana da informao deve ser uma atividade peridica na organizao, a fim de verificar se a poltica de segurana est sendo eficiente e se h necessidade de atualizaes.
80
Boas prticas para escrever o texto da poltica

11 Definir o objetivo do documento. 11 Usar textos curtos e objetivos, escritos na linguagem do pblico da organizao. 11 Definir papis e responsabilidades. 11 Evitar o uso de termos tcnicos ou em lngua estrangeira. 11 Evitar o uso de no. 11 Evitar o uso de exceto ou em princpio. 11 Criar na poltica um item para as definies e conceitos. 11 Penalizao. Utilizar a colaborao do Jurdico e do RH. 11 Criar regras e recomendaes factveis de serem aplicadas e cumpridas. 11 Atentar para a correo gramatical. Evitar grias e termos de duplo sentido. 11 Solicitar que o Jurdico da organizao avalie.
11 Definir o objetivo do documento: descrever qual o objetivo do documento e o que a orga nizao deseja comunicar com o documento da poltica; 11 Usar textos curtos e objetivos, escritos na linguagem do pblico da organizao. Seja claro na mensagem que deseja passar, de tal forma que o texto seja entendido por todos. Seja explcito e no deixe dvidas ou incertezas; 11 Definir papis e responsabilidades com relao poltica de segurana; 11 Evitar o uso de termos tcnicos ou em lngua estrangeira. Ningum obrigado a conhecer a terminologia tcnica que no da sua rea de atuao; 11 Evitar o uso de no. Caso necessrio utilizar proibido, negar, vedado, entre outras; 11 Evitar o uso de exceto ou em princpio. Esses termos deixam a abertura para desculpas por no cumprimento; 11 Criar na poltica um item para as definies e conceitos. Definir no incio do documento todos os conceitos, definies, termos tcnicos e siglas que sero empregados nas polticas; 11 Penalizao. Definir as possveis penalidades para aqueles usurios que no cumprirem a poltica. Utilizar a colaborao do Jurdico e do RH; 11 Criar regras e recomendaes factveis de serem aplicadas e cumpridas por toda a orga11 Atentar para a correo gramatical. As polticas devem ser exemplo da apresentao escrita da linguagem. Evitar grias e termos de duplo sentido; 11 Solicitar que o Jurdico da organizao avalie e aponha o seu de acordo.
nizao e em todos os nveis hierrquicos;
81
Diretrizes para elaborao de poltica de segurana da informao e comunicaes nos rgos e entidades da APF
O DSIC publicou em 30 de junho de 2009 a norma complementar 03/IN01/DSIC/GSIPR, que apresenta as diretrizes para a elaborao das polticas de segurana da informao para a Administrao Pblica Federal (APF), do Departamento de Segurana da Informao e Comunicaes (DSIC) do Gabinete de Segurana Institucional da Presidncia da Repblica (GSIPR). Na norma complementar 03/IN01/DSIC/GSIPR consta como deve ser a elaborao da poltica na APF, recomendando itens a serem contemplados (5.3 da norma complementar). importante observar que ela institui: 11 Gestor de Segurana da Informao e Comunicaes do rgo ou entidade da APF; 11 Comit de Segurana da Informao e Comunicaes do rgo ou entidade da APF; 11 Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais do rgo ou entidade da APF.
w
fundamental a leitura do documento na ntegra, que deve ser acessado em: http://dsic.planalto.gov. br/documentos/ nc_3_psic.pdf
82
Atividade 4.1 Entendendo a poltica de segurana da informao
Segundo a norma NBR ISO/IEC 27002:2013, qual o objetivo de controle da poltica de segurana da informao?
Segundo a norma NBR ISO/IEC 27002:2013, quais as diretrizes para a implementao de uma poltica de segurana?
Atividade 4.2 Elaborando uma poltica de segurana da informao

Voc foi designado(a) para apresentar uma proposta de poltica de segurana para o servio de correio eletrnico na sua instituio. Descreva e justifique as etapas que adotar para concluir uma proposta:
Quem dever aprovar sua proposta? Justifique sua resposta.
83
Atividade 4.3 Implementando uma poltica de segurana

Qual a atividade essencial aps a concluso e aprovao da poltica? Apresente a sua justificativa.
Atividade 4.4 Desenvolvendo uma poltica de segurana na sua organizao

Como responsvel pela rea de TI, voc foi designado(a) para compor o Comit de Segurana da Informao da sua organizao. O comit atualmente est fazendo a reviso de alguns textos de polticas de segurana. 1. Analise os textos da poltica a seguir, aponte os erros existentes e reescreva-os: a. Os usurios no devem empregar clientes de Internet Service Provider (ISP) e linhas dial-up para acessar a internet com os computadores da organizao X. Toda atividade de acesso internet deve passar atravs dos firewalls da organizao X, de modo que os controles de acesso e os mecanismos de segurana possam ser aplicados.
b. Um documento que possua informao classificada como secreta ou altamente confi dencial nunca pode ser enviada a uma impressora da rede sem que l esteja uma pessoa autorizada para proteger sua confidencialidade durante e aps a impresso.
84
c. Os geradores secundrios e backup de energia devem ser empregados onde seja necessrio para assegurar a continuidade dos servios durante falhas ou falta de energia eltrica.
2. Em uma reunio do comit, foi perguntado a voc, como especialista no assunto, que apresentasse quais devem ser as primeiras polticas de segurana a serem trabalhadas e desenvolvidas. Qual a sua resposta? Justifique.
85
86
5
Gesto de riscos
objetivos
Entender, descrever e avaliar o processo de gesto de riscos.
conceitos
Definio de gesto de riscos, anlise/avaliao de risco e aceitao, tratamento e comunicao de riscos.
Definies
11 Risco. 11 Gesto de riscos. 11 Anlise de riscos. 11 Avaliao de riscos. 11 Aceitao de riscos. 11 Tratamento de riscos. 11 Comunicao de riscos.
Exerccio de nivelamento 1 e Gesto de riscos

O que risco para voc?
O que voc entende por gesto de riscos?

Captulo 5 - Gesto de riscos
Risco de segurana uma combinao de ameaas, vulnerabilidades e impactos. Ameaas so eventos que exploram vulnerabilidades (fragilidades) e podem causar danos. O impacto a consequncia de uma vulnerabilidade ter sido explorada por uma ameaa. No tocante gesto de riscos, algumas definies so consideradas importantes e so apre sentadas a seguir: 11 A gesto de riscos compreende todas as aes tomadas para controlar os riscos em uma organizao, incluindo anlise/avaliao, tratamento, aceitao e comunicao dos riscos;
87
11 A anlise de riscos identifica e estima riscos, considerando o uso sistemtico de informaes. Engloba a anlise de ameaas, vulnerabilidades e impactos, e considerada o ponto-chave da poltica de segurana da informao de uma organizao; 11 A avaliao de riscos compara o risco estimado na anlise com critrios predefinidos, objetivando identificar a importncia do risco para a organizao; 11 A aceitao de riscos engloba o levantamento do nvel aceitvel de riscos para uma organizao de acordo com seus requisitos especficos de negcio e segurana; 11 O tratamento de riscos corresponde seleo e implementao de medidas para modificar um dado risco. A comunicao de riscos envolve as iniciativas de divulgao dos riscos aos funcionrios, dirigentes e terceiros (estes ltimos, quando cabvel e necessrio).
Questes determinantes
11 Identificar ameaas. 11 Identificar impactos. 11 Determinar a probabilidade de concretizao de ameaas. 11 Entender os riscos potenciais. 11 Classificar os riscos: 22 Por nvel de importncia. 22 Por grau de severidade das perdas. 22 Por custos envolvidos. Para realizar uma efetiva gesto de riscos, preciso levantar, inicialmente, as ameaas e impactos, a probabilidade de concretizao de ameaas e os riscos potenciais. recomen-
dvel classificar os riscos segundo os critrios: nvel de importncia, grau de severidade de perdas e custos envolvidos com a preveno ou recuperao aps desastres. Se o custo para a preveno de uma ameaa for maior que seu dano potencial, aconselhvel considerar outras medidas. As decises devem ser tomadas considerando-se a importncia do ativo ameaado para a continuidade dos negcios da organizao.
Observe que a anlise de ameaas e vulnerabilidades procura identificar a probabilidade de ocorrncia de cada evento adverso e as consequncias do dano causado, enquanto a anlise de impactos deve identificar os recursos crticos para a organizao, isto , aqueles que mais sofrero com os danos. Uma vez que bastante difcil definir com preciso a probabilidade de uma ameaa ocorrer e os respectivos danos causados, recomenda-se estabelecer uma lista de ameaas potenciais, de recursos impactados, de requisitos de segurana afetados e grau de impacto (por exemplo, altssimo, alto, moderado, baixo e muito baixo).
Gesto de riscos
Implementar em trs nveis: 11 1 nvel Tecnologia.
o
11 2o nvel Processos. 11 3o nvel Pessoas.
88
Informao
Educao
Conhecimento
Mudana de conduta
Preveno dos riscos
Figura 5.1 Sequncia para a mudana de conduta e preveno dos riscos.
A gesto de riscos deve considerar os trs nveis a seguir para sua implementao: tecnologias, processos e pessoas. A tecnologia garante a adequao tcnica necessria ao tratamento adequado dos riscos; os processos asseguram que as atividades que compreendem a gesto de riscos sejam consideradas de forma sistemtica; e, por fim, as pessoas, de modo que os funcionrios e dirigentes identifiquem suas responsabilidades, conheam os riscos e possam ajudar no sentido de sua reduo e controle. Instrumentos como a poltica de segurana da informao e um cdigo de conduta so recomendados no contexto. Em termos das medidas de segurana, recomenda-se ateno para as seguintes categorias: preventivas, em carter estrutural (por exemplo, uma poltica formal de controle de acesso lgico); corretivas, em carter emergencial (planos de contingncia, por exemplo); e orientativas, em carter educacional (treinamentos, cartilhas, palestras etc.). Em particular, lembre-se de que a orientao e a informao so essenciais para a reduo de riscos. Portanto, atente para a importncia do seguinte fluxo de gesto de riscos: informao conhecimento mudana de conduta educao preveno dos riscos.
Exerccio de fixao 1 e Gesto de riscos

Quais os trs nveis a considerar na gesto de riscos?
Anlise e avaliao de riscos

11 O que proteger? 11 Quais as vulnerabilidades e ameaas? 11 Como analisar? 22 Anlise de impacto. 22 Probabilidades de ameaa. 22 Matriz de relacionamentos. 22 Clculo dos riscos. 22 Avaliao de riscos.
Neste tpico, sero apresentados os aspectos relevantes para a anlise/avaliao de riscos nas organizaes. Em especial, sero apresentadas algumas classificaes para as anlises
de impacto, definio de probabilidades e clculos de riscos. Identifica, quantifica/qualifica e prioriza os riscos de segurana da informao. Essencial para: 11 Gesto de riscos. 11 Proposio de medidas de segurana adequadas.
89
Consideraes: 11 Devem ser sistemticas. 11 Devem usar mtodos especficos. 11 Devem ser realizadas periodicamente.
A anlise/avaliao de riscos envolve a identificao, quantificao e qualificao dos riscos de segurana da informao, tendo como base os objetivos da organizao. Envolve ainda a priorizao de riscos, considerando os critrios de riscos aceitveis. uma atividade que indica como proceder para assegurar uma adequada gesto de riscos de segurana da informao e um apropriado conjunto de medidas de segurana para a organizao em questo. Algumas consideraes quanto anlise/avaliao de riscos devem ser contempladas: 11 Devem ser realizadas de modo sistemtico, com o objetivo de identificar os riscos (anlise) e qualificar os riscos (avaliao). A anlise de riscos mede ameaas, vulnerabilidades e impactos em determinado ambiente, a fim de guiar a adoo de medidas apro priadas aos negcios e aos requisitos de segurana da organizao; 11 Devem usar mtodos especficos que permitam a comparao entre resultados obtidos, bem como sua reproduo; 11 Devem ser realizadas periodicamente, ou sempre que os requisitos de segurana, ativos, vulnerabilidades e/ou objetivos de negcio sofrerem alguma mudana.
Analisando os riscos
Considerar: 11 Danos causados por falhas de segurana. 11 Probabilidade de falhas ocorrerem. Questes relevantes: 11 O que proteger? 11 Quais as vulnerabilidades e ameaas? 11 Como analisar?
Resultado: 11 Dados que guiam a gesto de riscos. Na anlise de riscos, deve-se considerar os danos provveis aos negcios, resultantes de falhas de segurana; a probabilidade de falhas ocorrerem frente s vulnerabilidades e ameaas existentes; e as medidas de segurana implementadas (quando for o caso) de forma que, ao final, sejam levantados os dados necessrios a uma adequada gesto de riscos. Nesse sentido, algumas questes devem ser respondidas: 11 O que proteger? 11 Quais as vulnerabilidades e ameaas? 11 Como analisar? A resposta a essas questes essencial para a execuo e gerao de resultados na anlise de riscos.
90
O que proteger?
Deve-se analisar as ameaas e vulnerabilidades antes. Ativos tpicos: 11 Hardware. 11 Software. 11 Dados. 11 Pessoas. 11 Documentos. 11 Sistemas de informao. 11 Valores intangveis. 11 Contratos etc. Nesta fase, devem ser considerados todos os ativos envolvidos no escopo do SGSI da organizao, em especial aqueles diretamente relacionados aos objetivos de negcios. Portanto,
trata-se de uma fase que no pode ser subjetiva, isto , recomenda-se fazer um levantamento cuidadoso dos ativos, levando-se em conta parmetros e categorias de seleo, por exemplo. Em particular, deve-se analisar antes as ameaas e vulnerabilidades dos ativos que se quer proteger, de modo que sejam levantados todos os eventos adversos que possam, porventura, explorar as fragilidades de segurana da organizao, causando danos. So exemplos de ativos considerados cruciais aos negcios da organizao: hardware, software, dados, pessoas, documentos, sistemas de informao, contratos, entre outros.
Exerccio de fixao 2 e O que proteger

Cite exemplos de ativos crticos na sua organizao.
Vulnerabilidades e ameaas
11 Determinar as vulnerabilidades e ameaas aos ativos a proteger. 11 Determinar o impacto. 11 Considerar: 22 Compromisso com a informao. 22 Confidencialidade.
22 Disponibilidade. Aps identificar os ativos que devem ser protegidos na organizao, deve-se levantar as probabilidades de cada ativo estar vulnervel a ameaas. Para tanto, deve-se atentar para o compromisso com as informaes, criando listas de prioridade, por exemplo; e para o comprometimento potencial de servios de segurana, tais como confidencialidade, integridade e disponibilidade.
22 Integridade.
91
Exemplos de ameaas tpicas: 11 Desastres naturais. 11 Falhas no fornecimento de energia eltrica. 11 Roubo. 11 Ameaas programadas. 11 Falhas de hardware. 11 Falhas de software. 11 Erros humanos. A seguir, so apresentadas algumas ameaas tpicas em ambientes de TI:
11 Desastres naturais que afetam a instalao fsica da organizao. Durante o desastre, os controles de acesso fsico podem ser comprometidos e alguns recursos com informaes confidenciais podem ser violados com facilidade; 11 Falhas no fornecimento de energia eltrica, que afetam parte do hardware da organizao. Com o hardware danificado, os servios tornam-se indisponveis; 11 Ameaas programadas, como vrus e bombas lgicas, que afetam softwares. Com isso, cdigos no autorizados podem revelar ao mundo externo informaes confidenciais, tais como senhas; 11 Falhas de hardware. Com isso, o equipamento comprometido pode ser enviado para manuteno sem o cuidado prvio de apagar informaes confidenciais nele contidas; 11 Falhas de software, corrompendo dados; 11 Erros humanos que afetam qualquer sistema da organizao, permitindo, assim, a revelao de informaes confidenciais; por exemplo, imprimir informaes confidenciais em uma impressora pblica. Analisar considerando: 11 Custos. 11 Nvel de proteo requerido. 11 Facilidades de uso.
A anlise de risco pode ser: 11 Qualitativa. 11 Quantitativa. A anlise de riscos deve medir as ameaas, vulnerabilidades e impactos de modo que o resultado possa servir como guia para a adoo de medidas de segurana adequadas aos requisitos de negcio da organizao, considerando-se, para tanto, custos associados, nvel de proteo requisitado pelos ativos e facilidades de uso. Em particular, pode-se considerar a anlise de risco sob termos qualitativos, objetivando atender aos requisitos de negcio, ou sob termos quantitativos, com o intuito de assegurar que os custos com medidas preventivas, corretivas e orientativas no ultrapassem o valor do ativo em questo, no que se refere ao patrimnio da organizao e tambm continuidade dos negcios.
92
Tipo de dado Resultado clnico Pesquisa de mercado Patentes dependentes

Tabela 5.1 Exemplo para dados de determinada organizao.
Classificao Pesquisa Pesquisa Proprietria Administrativo Financeira Proprietria
Importncia Alto Baixo Alto Baixo Mdio Mdio
Memorandos Salrios de empregados Caracterstica de novo produto
No exemplo, considerou-se o ativo Dados e, ainda, os objetivos de negcio de determinada organizao para estabelecer uma classificao dos dados (administrativa, financeira, cliente, pesquisa, proprietria) e a devida importncia atribuda a cada categoria.
Anlise de impactos
Pode considerar o impacto em curto e longo prazo. Exemplo de classificao: 11 0 irrelevante. 11 1 efeito pouco significativo. 11 2 sistemas no disponveis por determinado perodo. 11 3 perdas financeiras. 11 4 efeitos desastrosos, sem comprometimento dos negcios. 11 5 efeitos desastrosos, comprometendo os negcios. Impacto a consequncia de uma ameaa quando ela ocorre. Sendo assim, por exemplo,
considerando controles de acesso inadequados, podemos citar impactos como a alterao no autorizada de dados e aplicativos, e a divulgao no autorizada de informaes, que, por sua vez, causam problemas diretos organizao. Sendo assim, importante analisar os impactos, visando uma adequada gesto de riscos na organizao. Para analisar impactos, pode-se considerar uma proposta de classificao especfica de apoio. Tipicamente, os impactos causados por ameaas organizao so analisados sob dois aspectos: curto e longo prazo, considerando o tempo em que um dado impacto permanece afetando os negcios. Neste contexto, pode-se considerar a seguinte proposta para categorizar impactos: 11 0, impacto irrelevante; 11 1, efeito pouco significativo que no afeta a maioria dos processos de negcios da instituio; 11 2, sistemas no disponveis por determinado perodo de tempo, podendo causar perdas 11 3, perdas financeiras de maior vulto e perda de clientes; 11 4, efeitos desastrosos, mas que no comprometem a sobrevivncia da organizao; 11 5, efeitos desastrosos que comprometem a sobrevivncia da organizao.
de credibilidade e imagem comercial, alm de pequenas perdas financeiras;
93
Exerccio de fixao 3 e Anlise de impacto

Explique o que uma anlise de impacto.
Matriz de relacionamentos
Ameaas Erros humanos Instalao de hardware e software no autorizados Cdigos maliciosos Bugs dos Sistemas Operacionais Invaso Desastres naturais Desastres causados por pessoas Falhas em equipamentos Sabotagem Grampo telefnico Monitoramento de trfego na rede Modificao de informaes Acesso a arquivos de senhas Uso de senhas frgeis Usurios internos praticando atos ilegais
Impacto
Probabilidade
A matriz de relacionamentos um modo simplificado de visualizao das ameaas, impactos e probabilidades de acordo com o exemplo proposto, isto , relacionando, para cada ameaa potencial na organizao, seu impacto e probabilidade de ocorrncia. Por exemplo, podem ser utilizadas as categorias de 0 a 5 para cada item, conforme apresentado anteriormente.
Tabela 5.2 Ameaas x Impactos x Probabilidades.
Exerccio de fixao 4 e Matriz de relacionamento

Preencha a tabela anterior de Ameaas x Impacto x Probabilidade com valores de 0 a 5, de acordo com o ambiente de TI da sua organizao.
94
Clculo dos riscos

11 Riscos so calculados a partir da relao entre impacto e probabilidade de ocorrncia. 11 Considerando as propostas de classificao anteriores: 22 0 (valor mnimo), nenhum risco. 22 25 (valor mximo), risco altssimo. 11 Quanto maior o risco, maior a importncia de se aplicar uma medida de segurana especfica. Riscos so calculados a partir da relao entre impacto e probabilidade de ocorrncia, ou seja, risco = impacto * probabilidade.
Em particular, considerando as classificaes propostas para impacto e probabilidade ante riormente apresentadas, ao efetuar a multiplicao, obtm-se uma faixa de valores para o risco de 0 (nenhum risco) at 25 (risco altssimo). Pode-se, ento, considerar essa proposta geral, por exemplo, para calcular os riscos gerais da organizao e propor medidas de segurana adequadas a seu devido tratamento, considerando, para tanto, um nvel aceitvel de riscos, j que nem todos os riscos, devido aos custos, tm a garantia de serem reduzidos por meio de medidas de segurana.
Avaliao de riscos
Modos: 11 Qualitativo. 11 Quantitativo. Conhecer os impactos relevante.
Ao avaliar riscos, procura-se uma base que sirva para efeitos de comparao; por exemplo, anlise e avaliao de riscos efetuadas em pocas anteriores. O conhecimento prvio de impactos e probabilidades de riscos sempre relevante para uma avaliao adequada e completa. Por outro lado, h basicamente dois modos de realizar a avaliao de riscos: 11 Qualitativo: a avaliao de riscos atravs da estimativa qualitativa aquela que utiliza atributos qualificadores e descritivos para avaliar. No so atribudos valores financeiros. considerada muito subjetiva. Exemplo: Alto, Mdia, Baixa e Muito Baixa; 11 Quantitativo: a avaliao de riscos atravs da estimativa quantitativa aquela que utiliza valores numricos financeiros para cada um dos componentes coletados durante a iden tificao dos riscos. Exemplo: probabilidade de 50%; impacto: R$ 100.000,00. Nos exemplos a seguir so mostradas duas anlises de riscos realizadas no mesmo ambiente, mas com formas diferentes de clculo do risco. Observe os critrios utilizados em
cada uma.
Exemplo 1 Anlise de risco

Numa determinada instituio de ensino foi determinado que a rea de TI realizasse um levantamento de riscos da rede administrativa em trs departamentos: Engenharia, Financeiro e Administrativo. Para tanto, foi utilizado como metodologia o conceito de riscos como resultado da probabilidade vezes o impacto, tendo como parmetros qualitativos alto, mdio e baixo, com pesos atribudos a cada um para o clculo do risco. Aps realizar a etapa de anlise de riscos, voc realizou a avaliao dos riscos, chegando ao resultado a seguir:
95
rea Departamento de Engenharia Departamento Administrativo Departamento Financeiro
Probabilidade de ocorrer Avaliao Mdia Mdia Mdia Peso 2 2 2
Impacto caso ocorra Avaliao Mdio Baixo Alto Peso 2 1 3
Risco = P x I Peso 4 2 6 Avaliao Mdio Baixo Alto

Tabela 5.3 Resultado da avaliao de riscos.
Critrio de Probabilidade Alta Mdia Baixa Tem ocorrido com frequncia mensal Ocorreu pelo menos uma vez nos ltimos seis meses No existe registro/ histrico de ocorrncia
Peso 3 2 1
Tabela 5.4 Critrio de probabilidade utilizado.
Critrio Impacto Alto Mdio Baixo Caso ocorra, causar grandes prejuzos financeiros Na ocorrncia seus prejuzos, causaro impacto financeiro de at R$ 10 mil Na ocorrncia seus prejuzos, no causaro impacto financeiro
Peso 3 2 1
Tabela 5.5 Critrio de impacto utilizado.
Risco Alto Mdio Baixo

>4 >2 e <=4 <=2

Tabela 5.6 Critrio de risco utilizado.
Exemplo 2 Anlise de risco

Numa determinada instituio da rea de ensino, foi determinado que a rea de TI realizasse um levantamento de riscos da rede administrativa em trs departamentos: Engenharia, Financeiro e Administrativo. Para tanto, foi utilizada uma metodologia desenvolvida por uma consultoria que calcula os riscos da instituio atravs de uma frmula que se utiliza de parmetros como criticidade, disponibilidade, confidencialidade entre outros. Aps realizar a etapa de anlise de riscos, voc realizou a avaliao dos riscos, chegando ao resultado a seguir: rea Departamento de Engenharia Departamento Administrativo Departamento Financeiro Criticidade da rede 2 2 2 Disponibilidade da rede 3 3 3 Confidencialidade da rede 1 2 3 Importncia da rede 6 12 18 EO 0,1 0,5 0,3
Tabela 5.7 Resultado da avaliao de riscos.
ED 0,3 0,5 0,3
RR 3,8 3 8,8
96
Valores para Criticidade, Disponibilidade e Confidencialidade Qual a criticidade desta rede para o negcio da rea? Qual a importncia do requisito Disponibilidade ou Confidencialidade para a segurana da rede na rea?
Tabela 5.8 Valores dos critrios para Criticidade, Disponibilidade e Confidencialidade.
Alta Mdia Baixa
3 2 1
Valores de EO e ED Muito baixo Baixo Moderado

Tabela 5.9 Valores para evitar a ocorrncia e a degradao.
0,1 0,3 0,5 0,7 0,9
Alto Muito Alto
Convenes IR EO
Tabela 5.10 Convenes utilizadas.
Importncia da rede. Evitar a ocorrncia. Evitar a degradao. Risco relativo
Qual a importncia da rede para os negcios? Qual a probabilidade atual de evitar a ocorrncia. Qual a possibilidade atual de evitar a degradao. IR*[(1-EO)*(1-ED)] Clculo do risco nesta metodologia.
ED RR
Para o exemplo apresentado, o ativo analisado a rede da organizao. Como pode ser visto, algumas convenes foram utilizadas para mapear a importncia de servios especficos de segurana, tais como disponibilidade, integridade e confidencialidade em uma anlise, e na outra apenas a probabilidade e o impacto. Ao final, o resultado expresso foi gerado a partir da proposta para a medio de riscos naquela organizao. Determina os critrios para indicar se um risco aceitvel. Aspectos a considerar: 11 Requisitos legais e de segurana. 11 Objetivos organizacionais. 11 Custo x benefcio. Essa uma atividade que objetiva determinar os critrios a considerar para indicar se um risco aceitvel ou no para a organizao.
Um risco considerado aceitvel quando, por exemplo, aps a avaliao, considerado baixo ou seu tratamento representa custos inviveis para a organizao. Para determinar se um risco aceitvel ou no, alguns aspectos devem ser levados em conta: 11 Requisitos legais, regulamentares, contratuais e de segurana; 11 Objetivos de negcio; 11 Relao custo x benefcio para a aquisio/implementao de medidas de segurana em relao aos riscos que devem ser reduzidos.
97
Exerccio de fixao 5 e Avaliao de riscos

O que e como deve ser determinado o risco aceitvel?
Tratamento de riscos de segurana

11 Compreende a colaborao entre partes: 22 Dirigentes, funcionrios, auditores, consultores etc. 11 Objetivos: 22 Aprovar metodologias e procedimentos de segurana da informao. 22 Assegurar a conformidade com a poltica de segurana. 22 Coordenar a implantao de controles. 22 Educar para a segurana da informao. Aps a anlise, avaliao e definio dos critrios aceitveis para os riscos na organizao, deve-se indicar o procedimento para tratar os riscos. Entre as alternativas de tratamento, destacam-se:
11 Selecionar e implementar medidas de segurana adequadas para reduzir os riscos a um nvel aceitvel (de acordo com os critrios definidos na Aceitao de riscos); 11 Implementar medidas preventivas contra riscos, no permitindo que as vulnerabilidades sejam exploradas para a concretizao do risco; 11 Transferir os riscos para terceiros atravs de contratos com seguradoras, por exemplo. Vale lembrar que os riscos de segurana variam de acordo com o local (cenrio ou contexto) e, com isso, importante considerar tal fato ao determinar as medidas de segurana mais adequadas. Ateno para a aplicao de medidas de segurana, pois, dependendo da organizao, estas podem ser inviveis. Por exemplo, aplicar registros (logs) para todas as
atividades dos usurios pode ir de encontro legislao vigente e privacidade das pessoas em seu ambiente de trabalho. Vale ressaltar ainda que monitorar, avaliar e propor melhorias regularmente nas medidas de segurana e, por consequncia, no tratamento de riscos, uma prtica recomendada para aumentar a eficcia da gesto de riscos na organizao.
Exerccio de fixao 6 e Tratamento de riscos de segurana

Quais os objetivos do tratamento de riscos?
98
Aspectos importantes no tratamento de riscos: 11 Metodologias e procedimentos de segurana da informao. 11 Conformidade com a poltica de segurana. 11 Medidas de segurana: 22 Corretivas. 22 Preventivas. 22 Orientativas.
O tratamento de riscos uma atividade a ser realizada aps a anlise/avaliao de riscos da organizao, com o objetivo de auxiliar na reduo dos riscos at um nvel aceitvel. Sendo assim, o uso de procedimentos e medidas de segurana deve ser implementado nessa atividade, sejam medidas preventivas, corretivas ou orientativas. Vale salientar que quaisquer medidas que envolvam monitoramento regular de pessoas e/ ou sistemas devem ser implementadas conforme a legislao vigente. Deve-se ainda atentar durante a fase do tratamento do risco para segmentos importantes para que sejam implementados controles e que devem constar do escopo do tratamento: 11 Recursos humanos. 11 Controles de acesso lgico. 11 Controles de acesso fsico. 11 Controles ambientais. 11 Comunicaes. 11 Continuidade de servios. 11 Contratao de servios de terceiros. 11 Controle organizacional. 11 Controle de mudanas. Em termos de tratamento de riscos de segurana, algumas reas so consideradas essenciais organizao na garantia de seus objetivos de negcio. Destacam-se, entre tais reas, preocupaes com riscos, impactos e devido tratamento para Recursos Humanos, segurana de acesso e de comunicaes, alm dos negcios. 11 Segurana de Recursos Humanos. 11 Segurana de acesso. 11 Segurana nas comunicaes. 11 Segurana e negcios.
Quais as reas essenciais da sua organizao na garantia dos seus objetivos de negcio?
Exerccio de fixao 7 e Tratamento de riscos
99
Neste tpico, sero apresentados vrios exemplos de riscos, impactos e tratamentos adequados para assegurar que as organizaes contemplem a segurana em termos de recursos humanos, controles de acesso, comunicaes e negcios. Vale ressaltar que h outras preocupaes relevantes em relao a riscos e impactos de segurana nas organizaes; outras informaes sobre anlise de riscos podem ser obtidas na norma ABNT NBR ISO/IEC 27005:2011 e aplicadas, independentemente do ramo de negcio das organizaes. Essa norma estudada em detalhes no curso Gesto de Riscos em TI.
Tratamento de riscos na segurana de Recursos Humanos

As pessoas devem ter conscincia de suas responsabilidades e dos riscos e ameaas de segurana. Deve-se ainda atentar para eventos adversos que representem riscos. Uma prtica boa e recomendada para minimizar os riscos de segurana nas organizaes educar, conscientizar e treinar (quando for necessrio) os recursos humanos: funcionrios,
terceiros, parceiros etc. Em particular, algumas prticas tambm auxiliam a atingir tal objetivo: 11 Assegurar que as pessoas conheam, entendam e respeitem suas responsabilidades para com a reduo de riscos de segurana da organizao, especialmente, em termos de roubos, fraudes e mau uso de recursos e informaes; 11 As pessoas devem estar conscientes de que importante notificar seus superiores a respeito de quaisquer eventos adversos que representem riscos (potenciais ou reais) segurana da organizao; 11 As pessoas devem conhecer as possveis ameaas e riscos de segurana, de forma que entendam seu papel quanto segurana da informao na organizao. De modo especial, todos devem efetuar suas aes em conformidade com a poltica de segurana vigente, reduzindo, assim, a ocorrncia de erros humanos e, consequentemente, os riscos.
Exerccio de fixao 8 e Tratamento de riscos na segurana de recursos humanos

Quais medidas voc ir propor para o tratamento de riscos de segurana de recursos humanos na sua organizao?
Tratamento de riscos na segurana de acesso

11 Atentar para os fatores de risco. 11 Considerar a anlise/avaliao de riscos: 22 Definir permetros de segurana. 22 Proteger equipamentos e dispositivos de armazenamento. 22 Minimizar riscos de corrupo de sistemas operacionais. 22 Reduzir riscos de ameaas fsicas. 11 Educao e conscientizao so cruciais.
100
Ao considerar a segurana de acesso, inicialmente relevante a preocupao com fatores de risco para o contexto, tais como as responsabilidades atribudas a funcionrios e terceiros, o valor dos ativos acessveis e os direitos sobre o encerramento de atividades, por exemplo. Nas organizaes, o nvel de proteo requerido pelos diversos controles de acesso determinado em funo da anlise/avaliao de riscos. Sendo assim, deve-se atentar para os resultados obtidos com tal atividade para determinar medidas adequadas de segurana com o objetivo, por exemplo, de: 11 Definir os permetros de segurana para a segurana fsica e do ambiente; 11 Proteger adequadamente os equipamentos (internos ou externos s dependncias da organizao) contra acessos no autorizados, perdas ou danos, perigos do prprio ambiente, vazamento de informaes, entre outros; 11 Avaliar se adequado destruir determinado dispositivo que armazena informaes crticas ao negcio da organizao, ou se cabvel envi-lo para conserto em local autorizado pelo fabricante do dispositivo; 11 Minimizar os riscos de corrupo de Sistemas Operacionais, como garantir que sua atualizao seja efetuada apenas por pessoas competentes e autorizadas para tal; 11 Reduzir os riscos de ameaas como furtos, incndios, exploses, poeira, efeitos qumicos, enchentes, falhas no fornecimento de energia eltrica etc. 11 A educao e a conscientizao dos usurios crucial para a segurana da informao, uma vez que a adequada utilizao de recursos e informaes, como ferramentas de trabalho, fortalece a cultura de segurana da organizao como um todo. Exemplos de riscos relacionados ao controle de acesso lgico inadequado: 11 Alterao no autorizada de dados e aplicativos. 11 Divulgao no autorizada de informaes. 11 Introduo de cdigos maliciosos. Impactos: 11 Perdas financeiras decorrentes de fraudes, restauraes etc. 11 Inviabilidade de continuidade dos negcios. H uma srie de riscos diretamente relacionados ao controle inadequado de acesso lgico aos recursos e informaes. Eis alguns exemplos: divulgao no autorizada de informaes; modificaes no autorizadas em dados e aplicativos e introduo de cdigos maliciosos nos sistemas. Sendo assim, a inexistncia ou inadequao de controles de acesso lgico afeta diretamente os recursos e informaes, aumentando os riscos. Alm disso, os impactos podem ser maiores medida que se consideram os aplicativos e informaes crticas aos negcios da organizao poder sofrer aes judiciais. Exemplos de tratamentos para um adequado controle de acesso lgico: 11 Restringir e monitorar o acesso a recursos crticos. 11 Utilizar criptografia. 11 No armazenar senhas em logs. 11 Conscientizar os usurios para que no divulguem suas senhas. 11 Conceder acesso apenas aos recursos necessrios s atividades dos funcionrios. 101
organizao. Caso existam obrigaes legais envolvidas com o controle de acesso lgico, a
Conforme visto no exemplo anterior, importante considerar medidas de segurana adequadas para efetuar o controle de acesso lgico nas organizaes. Nesse sentido, algumas prticas so recomendadas: 11 Restrio e monitoramento de acesso a recursos crticos da organizao, tais como servidores, documentos etc; 11 Utilizar criptografia forte, assegurando a confidencialidade das informaes; 11 No armazenar senhas em logs, permitindo o acesso posterior por pessoas no autorizadas; 11 Conscientizar as pessoas para que no divulguem suas senhas, verbalmente ou por e-mail, nem as armazenem em arquivos; 11 Conceder acesso s pessoas apenas aos recursos realmente necessrios para a execuo de suas atividades. Exemplos de riscos relacionados ao controle de acesso fsico inadequado: 11 Roubo de equipamentos. 11 Atos de vandalismo. Impactos: 11 Perdas financeiras. 11 Facilidades para ataques contra controles de acesso lgico. H vrios riscos diretamente relacionados ao controle inadequado de acesso fsico nas organizaes. Alguns exemplos: roubo de equipamentos ou de seus componentes internos e atos de vandalismo, como cortes de cabos eltricos. Sendo assim, a inexistncia ou inadequao de controles de acesso fsico tambm pode facilitar a atuao de invasores que atacam diretamente os controles de acesso lgico aplicados aos recursos e informaes. Exemplos de tratamentos para um adequado controle de acesso fsico: 11 Identificar funcionrios e visitantes. 11 Controlar a entrada/sada de equipamentos. 11 Supervisionar a atuao da equipe de limpeza, manuteno e vigilncia. Conforme visto no exemplo anterior, importante considerar medidas de segurana ade Gesto da Segurana da Informao NBR 27001 e NBR 27002
quadas para efetuar o controle de acesso fsico nas organizaes. Nesse sentido, algumas prticas so recomendadas: 11 Estabelecer formas de identificao capazes de distinguir funcionrios de visitantes; 11 Controlar a entrada e a sada de equipamentos, registrando, por exemplo, data, horrio e responsvel; 11 Supervisionar as atividades das equipes de limpeza, manuteno e vigilncia, principalmente se terceirizadas. Exemplos de riscos relacionados ao controle ambiental inadequado: 11 Desastres naturais. 11 Falhas no fornecimento de energia eltrica. Impactos: 11 Danos em equipamentos. 11 Indisponibilidade de servios. 11 Perdas financeiras.
102
H vrios riscos diretamente relacionados ao controle ambiental inadequado ou inexistente. Como exemplos, considere desastres naturais e falhas no fornecimento de energia eltrica. Os impactos compreendem danos em equipamentos, perdas de dados ou indisponibilidade de servios, por exemplo, gerando perdas financeiras e de imagem comercial. Exemplos de tratamentos para um adequado controle ambiental: 11 Uso de material resistente a fogo. 11 Manuteno de nmero suficiente de extintores de incndio. 11 Controle de focos de problemas com gua. 11 Controle de temperatura, umidade e ventilao. 11 Manuteno da limpeza e conservao do ambiente.
Exerccio de fixao 9 e Tratamento de riscos na segurana de acesso

Que riscos na segurana de acesso voc identifica dentro do seu ambiente na sua organizao?
Quais medidas voc vai propor para o tratamento de riscos na segurana de acesso na sua organizao?
Tratamento de riscos na segurana das comunicaes

11 Disponibilizar medidas de segurana adequadas s comunicaes. 11 Consideraes: 22 Proteo de conexes a servios de rede. 22 Garantir a segurana para a comunicao wireless. Para garantir a segurana nas comunicaes, relevante considerar a anlise/avaliao de
riscos, com o intuito de adequar as medidas de segurana aos requisitos de comunicao necessrios aos negcios da organizao. A gerncia das comunicaes tambm recomendvel. Nesse contexto, algumas prticas so recomendadas: 11 Proteger conexes que disponibilizem servios de rede, principalmente aquelas que operam diretamente com informaes e aplicaes crticas para o negcio da organizao; 11 Identificar as medidas de segurana adequadas para a comunicao wireless, tais como autenticao forte e seleo de frequncias; 11 Definir a periodicidade da reviso dos direitos de acesso rede e seus servios, atribu dos a funcionrios, colaboradores, terceiros etc.
103
Exerccio de fixao 10 e Tratamento de riscos na segurana das comunicaes

Quais medidas voc vai propor para o tratamento de riscos na segurana das comunicaes da sua organizao?
Tratamento de riscos e negcios

Proteger recursos e informaes para atingir objetivos de negcio. Atentar para: 11 Aplicaes crticas aos negcios. 11 Controlar novos contratos e parcerias. 11 Identificar necessidades de integridade das mensagens. 11 Estabelecer uma poltica para uso adequado de criptografia. 11 Identificar e reduzir riscos continuidade de negcios. A segurana da informao deve ser adequada garantia da proteo aos recursos e informaes da organizao, segundo seus objetivos de negcio. Nesse contexto, algumas consideraes devem ser levadas em conta. Por exemplo: 11 Atentar para riscos relacionados diretamente s aplicaes crticas aos negcios, em termos, principalmente, do uso de recursos e informaes compartilhadas;
11 Controlar adequadamente novas situaes que influenciem o compartilhamento de informaes e recursos, tais como novos contratos ou parcerias, objetivando o tratamento de potenciais riscos de acesso no autorizado; 11 Em termos do uso de criptografia, deve-se considerar o tipo e a qualidade de algoritmos adequados s necessidades. aconselhvel elaborar uma poltica especfica que elucide o modo correto de uso, reduzindo os riscos de uso inadequado, por exemplo; 11 Todas as mudanas devem ser controladas, e os riscos e impactos envolvidos devem ser considerados para determinar as medidas de segurana adequadas;
11 Em particular, a gesto da continuidade de negcios deve incluir mecanismos para identificar e reduzir riscos, de forma a complementar a anlise/avaliao global de riscos, auxiliando prontamente processos que necessitem de respostas imediatas. Exemplo de risco relativo continuidade de servios: 11 Backup irregular. Impactos: 11 Perdas financeiras. Tratamento para a continuidade adequada de servios: 11 Poltica de backup. 11 Conscientizao dos funcionrios. As cpias de segurana (backups) so uma importante ferramenta de apoio continuidade dos servios e, por consequncia, dos negcios; todavia, riscos associados a procedimentos inadequados de backup regular causam impactos como desperdcio de tempo e recursos, e, por conseguinte, perdas financeiras. Sendo assim, medidas como uma poltica formal de backup e a promoo contnua de treinamento e conscientizao dos funcionrios
104
quanto segurana (incluindo orientaes sobre cpias de segurana pessoais) so recomendadas para as organizaes. Exemplo de risco relativo contratao de servios de terceiros: 11 No ter certeza de que o terceiro emprega medidas de segurana compatveis. Impactos: 11 Perdas financeiras. 11 Comprometimento dos negcios. A seguir so apresentados alguns riscos e impactos diretamente relacionados a problemas com a contratao de servios de terceiros. Entre os riscos, pode-se destacar a incerteza de que o terceiro (ou prestador de servio) emprega medidas de segurana compatveis com aquelas adotadas na organizao, considerando como base todas as normas da organizao. Exemplos de tratamento para um adequado controle da contratao de terceiros: 11 Definir clusulas contratuais que responsabilizem o terceiro por questes de segurana. 11 Definir clusulas contratuais que possibilitem atualizaes nos servios e sistemas. Para tratar riscos como os apresentados no exemplo anterior, algumas medidas so recomendadas: instituir clusulas contratuais que definam claramente as responsabilidades do terceiro, visando a segurana da organizao, alm de incluir clusulas contratuais que possibilitem alteraes nos servios e sistemas em funo de novos objetivos de negcio.
Para pensar
Um contrato de prestao de servios deve contemplar, pelo menos, os seguintes itens: custos bsicos; direitos das partes (ao final do contrato); indenizaes no caso de perdas; direitos de propriedade sobre as informaes; direitos de propriedade intelectual; repasse de informaes tcnicas e documentaes; possibilidade de alteraes; padres de segurana da organizao e padres de qualidade.
Exemplos de clusula contratual de segurana da informao: Constitui obrigao da CONTRATADA sempre que utilizar sistema com interface com os sistemas da CONTRATANTE: quando solicitado por escrito pela CONTRATANTE, realizar prioritariamente as alteraes para sanar possveis problemas de segurana ou de vulnerabilidade nos sistemas que tenham sido comunicados pela CONTRATANTE. Exemplos de riscos relativos ao controle organizacional inadequado: 11 Violaes de acesso no autorizadas.
Impactos: 11 Perda de informaes. 11 Desperdcio de investimentos. O controle organizacional compreende todos os aspectos relativos proteo da organizao, de acordo com seus objetivos de negcio e tendo como base os riscos, como: violao no autorizada de acesso a recursos e informaes, roubo de equipamentos e planejamento inadequado do crescimento computacional.
105
11 Planejamentos inadequados.
Exemplos de tratamento para um adequado controle organizacional: 11 Definir responsabilidades para cada cargo da hierarquia organizacional. 11 Atender legislao vigente.
Para o exemplo anterior, algumas recomendaes quanto a medidas de segurana so diretamente aplicveis: 11 Definir as responsabilidades dos cargos em funo da hierarquia organizacional, de modo que as atividades sejam devidamente realizadas. 11 Atender legislao vigente e aos requisitos contratuais e regulamentares relativos segurana na organizao.
Exemplos de riscos relativos ao controle inadequado de mudanas: 11 Uso de hardware e software no autorizados. 11 Dificuldades de manuteno. 11 Mudanas inesperadas e acidentais. Impactos: 11 Incompatibilidades. 11 Decises equivocadas. 11 Perdas financeiras. Um controle de mudanas adequado para as organizaes deve contemplar solues para riscos, tais como: 11 Uso de hardware e software no autorizados; 11 Dificuldade de manuteno por falta de documentao e procedimentos especficos; 11 Mudanas inesperadas ou acidentais.
Exemplos de tratamento para um adequado controle de mudanas: 11 Documentar as alteraes efetuadas. 11 Avaliar o impacto de mudanas.
11 Definir procedimentos de emergncia. 11 Planejar mudanas. Algumas medidas de segurana para um adequado controle de mudanas so propostas a seguir: 11 Documentar todas as alteraes e atualizaes efetuadas e implement-las apenas com a devida autorizao; 11 Avaliar o impacto das mudanas antes de implement-las; 11 Definir o procedimento em situaes de emergncia; 11 Planejar mudanas de modo a minimizar o impacto para o dia a dia da organizao.
106
Comunicao de riscos
11 Ativos so elementos essenciais ao negcio da organizao. 11 Ativos devem ser inventariados. 11 Todo ativo deve ter um responsvel por manter sua segurana. Esta atividade engloba todas as aes para a divulgao dos riscos, de forma a informar e orientar os envolvidos, objetivando, assim, a reduo (e muitas vezes, a eliminao) dos riscos na organizao.
107
108
Atividade 5.1 Entendendo os conceitos de gesto de risco
Apresente os conceitos de gesto de risco a seguir e cite exemplos de cada fase: Fase Anlise de riscos Conceito Exemplo
Avaliao de riscos
Aceitao de riscos
Tratamento de riscos
Comunicao de riscos
Atividade 5.2 Realizando a gesto de riscos

1. Explique o que uma anlise de impacto.
2. Como calculado o risco? Justifique.
3. Quais so os modos de avaliao de riscos existentes?
109
4. Descreva o que significa tratar o risco.
Atividade 5.3 Realizando a gesto de riscos

1. Descreva as atividades que voc desenvolver na sua organizao para realizar a anlise de risco. Quais sero os objetivos desta anlise?
2. Considerando as atividades desenvolvidas anteriormente, analise um servidor de aplicao (ou o processo de controle de acesso fsico) da sua organizao apontando o que se pede:
a. 3 (trs) ameaas.
b. 6 (seis) vulnerabilidades.
c. Probabilidade de cada vulnerabilidade ser explorada (Alta, Mdia ou Baixa).
d. Criticidade do ativo para os negcios da organizao (Alta, Mdia ou Baixa).
110
e. Impacto para cada vulnerabilidade se explorada e concretizando a ameaa (Alta, Mdia ou Baixa).
f. Risco do ativo considerado (utilize os pesos, parmetros e clculo do exemplo anterior).
Atividade 5.4 Realizando a gesto de riscos na sua organizao

1. Apresente as necessidades de gesto de risco para sua organizao. Justifique sua resposta.
2. Escreva um escopo inicial e relacione dois profissionais para compor a equipe de anlise. Justifique sua resposta.
111
112
6
Gerncia de operaes e comunicaes
objetivos
Descrever responsabilidades, selecionar e aplicar controles e procedimentos da gerncia de operaes e comunicaes.
conceitos
Definio, procedimentos e responsabilidades da gerncia de operaes e comunicaes e gerncia de segurana de redes.
Exerccio de nivelamento 1 e Gerncia de operaes e comunicaes

Qual o seu entendimento de gerncia de operaes e comunicaes?
Como sua organizao realiza a gerncia de operaes e comunicaes?
Objetivos
11 Assegurar que as operaes sejam realizadas de acordo com os requisitos de segurana. 11 Gerenciar os servios terceirizados. 11 Proteger contra cdigos maliciosos. 11 Prover cpias de segurana. 11 Gerenciar a segurana das redes. 11 Controlar o manuseio de mdias. 11 Controlar a transferncia de informaes e softwares. 11 Garantir o monitoramento global de operaes e comunicaes. A gerncia de operaes e comunicaes destina-se a assegurar que os requisitos de segurana da informao sejam atendidos, considerando-se a operao dos recursos computacionais e comunicaes na organizao.
q
Captulo 6 - Gerncia de operaes e comunicaes
Sendo assim, tal gerenciamento engloba o tratamento de servios terceirizados, a proteo contra cdigo malicioso, a poltica de cpias empregada, a segurana das redes, mdias
113
e transferncia de softwares e informaes, alm do monitoramento global de todos os aspectos relacionados a operaes e comunicaes na organizao.
Procedimentos e responsabilidades operacionais

11 Documentar procedimentos operacionais. 11 Controlar mudanas operacionais. 11 Estabelecer procedimentos para o gerenciamento de incidentes. 11 Segregar responsabilidades. 11 Separar facilidades de desenvolvimento, testes e operao.
No tocante aos procedimentos e responsabilidades operacionais, algumas prticas so consideradas essenciais, com o objetivo de assegurar a adequao das operaes aos requisitos de segurana da informao da organizao. Tais prticas so detalhadas a seguir: 11 Documentar procedimentos operacionais de modo formal e flexvel (no sentido de permitir modificaes, quando necessrias e autorizadas), englobando o tratamento de operaes de manuteno, manipulao de erros e demais condies adversas, contratos de suporte, procedimentos de recuperao, gerao de cpias de segurana, entre outros 11 Controlar mudanas operacionais, definindo responsabilidades gerenciais e, sempre que praticvel, integrar os procedimentos de controle de mudanas de aplicaes e sistemas operacionais. relevante manter registros de auditoria, quando mudanas forem efetuadas 11 Estabelecer procedimentos para o gerenciamento de incidentes, como ao para assegurar uma resposta rpida, efetiva e ordenada aos incidentes de segurana 11 Segregar responsabilidades, com o objetivo de reduzir riscos de m utilizao dos sistemas, por exemplo, impedindo que uma nica pessoa possa acessar, modificar ou usar ativos sem a devida autorizao. Sendo assim, importante separar o gerenciamento de certas responsabilidades ou reas de responsabilidade, de forma que as possibilidades de modificaes no autorizadas sejam reduzidas 11 Separar facilidades de desenvolvimento, testes e operao, indicando um nvel de separao necessrio para prevenir problemas operacionais, principalmente em termos de acessos ou modificaes no autorizadas. Por exemplo, as regras para a mudana do estado de um
software (desenvolvimento para produo) devem ser definidas e documentadas. Exemplo: Tratando responsabilidades operacionais: 11 Os usurios que operam os sistemas de TI da organizao devem assinar um termo de responsabilidade antes de obter acesso a eles. A assinatura do termo representa que o usurio entende e concorda com as polticas e normas de segurana e tem conhecimento a respeito da legislao vigente e aplicvel aos casos de no cumprimento. 11 No exemplo, apresentada uma regra que faz referncia a um termo de responsabilidade que determina, por sua vez, todas as responsabilidades do usurio quanto operao adequada dos sistemas de TI da organizao, conforme as polticas e normas da segurana da informao vigentes e, ainda, determina a aplicao de legislao em caso de no cumprimento.
11 Planejamento de capacidade. 11 Homologao.
114
O planejamento prvio importante para garantir os recursos necessrios aos sistemas, facilitando a sua aprovao na organizao. Nesse contexto, so importantes o planejamento de capacidade e um processo adequado de homologao. No planejamento de capacidade, atenta-se para as demandas por capacidades futuras, com o propsito de disponibilizar o poder de processamento e armazenamento adequados aos requisitos impostos. salutar tambm a preocupao com as tendncias em relao a aplicaes e sistemas de informao, entre outros aspectos influenciadores para o contexto. Quanto homologao, importante identificar previamente os critrios de aprovao e aceitao, e os testes adequados para os sistemas. Alguns critrios relevantes: desempenho, capacidade de processamento, recuperao de erros, planos de contingncia e medidas de segurana adotadas. Em particular, todos os critrios e premissas considerados para a homologao devem ser definidos, acordados, documentados e testados.
Exerccio de fixao 1 e Procedimentos e responsabilidades operacionais

Explique a prtica de segregar responsabilidades.
Explique como deve ser o planejamento de capacidade.
Proteo contra softwares maliciosos

So vrias as possibilidades, como vrus, cavalos de troia, bombas lgicas etc. A proteo deve se basear na conscientizao de segurana, controle de acesso e mudanas. Algumas prticas: 11 Controle da conformidade com licenas. 11 Controle de riscos associados a arquivos e softwares obtidos via rede. 11 Instalao e atualizao regular de antivrus.
Diante da variedade de softwares maliciosos existentes atualmente, de suma importncia assegurar controles em relao aos recursos de processamento da informao e softwares nas organizaes. Algumas prticas podem ser aplicadas ao contexto, como o uso de softwares de deteco de cdigos maliciosos, antivrus, controle de acesso rgido, um controle adequado de mudanas, proibio do uso de software no autorizado e cuidados com arquivos e softwares obtidos via rede. Algumas verificaes tambm so recomendadas: verificar a presena de cdigo malicioso nos arquivos e mdias ticas ou eletrnicas transmitidos via rede, recebidos por correio eletrnico, pginas web tanto nos servidores como nas estaes de trabalho dos funcionrios da organizao. Regras para a proteo contra cdigos maliciosos: 11 No abrir arquivos ou executar programas anexados a e-mails sem antes verific-los com um programa de deteco de vrus. 11 No utilizar o formato executvel em arquivos compactados, j que tal formato facilita a propagao de vrus. 11 Utilizar programas de computadores licenciados para uso por parte da organizao, de acordo com as disposies especficas estabelecidas em contrato. 115
No exemplo, so apresentadas regras aplicveis a qualquer organizao, com o objetivo de estabelecer recomendaes para a proteo contra cdigos maliciosos e que possam, porventura, causar incidentes de segurana. Em particular, apresenta-se tambm uma regra para a instalao de programa, como uma medida preventiva instalao de softwares maliciosos.
Exerccio de fixao 2 e Proteo contra softwares maliciosos

Cite algumas prticas que podem ser aplicadas para a proteo contra software malicioso. D exemplos.
Cite algumas regras que possam ser aplicadas na sua organizao.
Cpias de segurana
11 Medida para assegurar a integridade e a disponibilidade de ativos. 11 Gerao e recuperao de cpias devem ser testadas. 11 Prticas recomendadas: 22 Documentar procedimentos de recuperao. 22 Definir o modo e a frequncia adequados ao negcio e segurana da informao. 22 Armazenar cpias em locais remotos. 22 Testar mdias e procedimentos de recuperao. As cpias de segurana (backups) representam controles cujo objetivo assegurar a integridade e a disponibilidade de ativos. Nesse contexto, deve-se atentar no apenas para a
gerao das cpias, mas tambm para que a gerao seja regular e testada, e que a recuperao seja efetuada em um tempo aceitvel. So recomendadas algumas prticas para o tratamento de cpias de segurana:
11 Registrar e documentar os procedimentos de recuperao a partir de cpias de segurana; 11 Definir o modo (se completo ou incremental) e a frequncia da gerao de cpias, de acordo com a criticidade dos ativos e os requisitos de negcio e de segurana da organizao; 11 Armazenar as cpias em locais remotos ou distantes o suficiente para no serem afe tadas por desastres ocorridos em local especfico da organizao; 11 Identificar os nveis adequados de proteo fsica e ambiental das cpias; 11 Aplicar testes regulares s mdias usadas na gerao de cpias; 11 Testar regularmente os procedimentos de recuperao. Os backups devem manter cpias de informaes essenciais ao negcio e devem ser testados regularmente para satisfazer os requisitos dos planos de continuidade de negcios.
116
Exerccio de fixao 3 e Cpias de segurana

Quais os objetivos das cpias de segurana?
Cite algumas prticas que possam ser aplicadas na sua organizao.
Poltica de backups
11 Determinada segundo a importncia dos sistemas e informaes. 11 Estratgias podem considerar uma combinao de mtodos. 11 Sistemas crticos devem manter duas cpias de segurana. 11 Essencial ao plano de contingncia da organizao.
Manter backups completos e atualizados um elemento importante para os planos de contingncia da organizao, uma vez que se pode comparar sistemas e dados atuais com os backups em caso de problemas e, em seguida, efetuar a devida recuperao. A poltica de backups determinada segundo o grau de importncia dos sistemas e informaes para o negcio da organizao; por isso, estabelece os procedimentos, os testes e a infraestrutura necessrios proteo do backup, a fim de assegurar a continuidade dos negcios em casos de desastres ou incidentes de segurana. Em termos de estratgias, pode-se determinar backups completos ou incrementais (em um ou mais nveis), com periodicidade varivel segundo a importncia do sistema ou informao em questo.
Exemplos
Regras para o tratamento de cpias de segurana: 11 A cada funcionrio cabe efetuar, regularmente, cpias de segurana dos seus dados. 11 Manter registros das cpias de segurana geradas. 11 Guardar as cpias de segurana em local seguro e distinto daquele onde se encontra
No exemplo, so apresentadas regras aplicveis a qualquer organizao, com o objetivo de estabelecer prticas quanto gerao e manuteno de cpias de segurana.
Exerccio de fixao 4 e Poltica de backups

Como deve ser determinada a poltica de backup?
117
a informao original.
Tratamento de mdias e documentos

Deve-se usar procedimentos adequados para assegurar a segurana. Algumas prticas: 11 Considerar a classificao da informao antes de sua manipulao. 11 Controlar acessos. 11 Descartar de modo seguro. 11 Estabelecer regras para mdias em trnsito.
As mdias magnticas (discos, fitas, DVDs/CDs etc.) e documentaes devem ser protegidas contra ameaas por interrupo, interceptao, modificao e fabricao. Nesse sentido, algumas prticas so aplicveis: 11 Considerar a classificao da informao antes de estabelecer procedimentos e medidas de segurana para seu processamento, armazenamento e transmisso; 11 Controlar o acesso ao contedo de mdias e documentos; 11 Descartar mdias e documentos de forma segura, tendo como base procedimentos formais. Por exemplo, utilizando incinerao ou triturao; 11 Para mdias em trnsito, deve-se estabelecer regras claras quanto aos transportadores, embalagens, modos de entrega (em mos, via postal etc.).
Exerccio de fixao 5 e Tratamento de mdias e documentos

Cite duas prticas que devem ser adotadas na sua organizao para o tratamento de mdias e documentos
Gerncia de segurana das redes

Deve-se aplicar medidas para garantir a segurana das redes. Algumas prticas: 11 Segregar responsabilidades. 11 Identificar os requisitos de gerenciamento de servios de rede.
11 Tratar acessos e equipamentos remotos. 11 Aplicar medidas que assegurem a confidencialidade, a integridade e a disponibilidade dos recursos envolvidos. importante utilizar medidas adequadas para a segurana das redes nas organizaes, de acordo com a poltica de segurana e os requisitos legais, contratuais e regulamentares. Para tanto, recomenda-se considerar as responsabilidades operacionais para com a rede e os procedimentos necessrios (incluindo acessos remotos) para a coordenao de seu gerenciamento. Algumas prticas so recomendadas para o contexto: 11 Separar as responsabilidades operacionais da rede de outras operaes; 11 Identificar os requisitos de segurana, nveis de servio e requisitos de gerenciamento de servios de rede aplicveis organizao (sejam internos ou terceirizados). Servios de redes englobam, por exemplo, o fornecimento de conexes e solues de segurana, tais como firewalls; 11 Determinar responsabilidades e procedimentos adequados para o gerenciamento das redes e equipamentos remotos;
118
11 Aplicar medidas de segurana para garantir a confidencialidade e a integridade dos dados em trfego e a disponibilidade dos recursos envolvidos nas comunicaes.
Exerccio de fixao 6 e Gerncia da segurana das redes

Cite duas prticas que devem ser adotadas na sua organizao para a gerncia da segurana das redes.
Transferncia de informaes e softwares

Deve-se proteger todos os recursos envolvidos com transferncias internas e externas. Algumas prticas: 11 Proteo contra cdigos maliciosos. 11 Definir regras para o uso seguro de recursos eletrnicos. 11 Estabelecer regras para transferncias sem fio (wireless). 11 Garantir conformidade com a legislao. 11 Atribuir responsabilidades.
Deve-se garantir a segurana em quaisquer modalidades de transferncia (interna ou entre a organizao e terceiros) de informaes e softwares. Vale ressaltar que, para o contexto, so recursos considerados pertinentes: correio eletrnico, voz, vdeo, comrcio eletrnico, downloads e aquisio de software junto a fornecedores, por exemplo. Em particular, as transferncias de informaes e softwares entre organizaes devem ser realizadas conforme as regras de uma poltica formal especfica (ou acordos especficos) e requisitos legais, contratuais e regulamentares vigentes. De modo geral, as seguintes prticas podem ser consideradas: 11 Proteo contra softwares maliciosos; 11 Definir claramente regras para o uso de recursos eletrnicos, tais como e-mail e servios web. Por exemplo, restringindo retransmisses de mensagens de e-mail recebidas para endereos eletrnicos externos; 11 Definir procedimentos para a segurana no uso de comunicao sem fio (wireless); 11 Garantir que os recursos utilizados nas transferncias de informao e softwares estejam de acordo com a legislao vigente; 11 Declarar claramente as responsabilidades das partes envolvidas em casos de ocorrncia de incidentes de segurana.
Monitoramento
Procedimento regular para a segurana da informao em termos de operaes e comunicaes. Devem ser mantidos: 11 Logs de operao. 11 Logs de falhas. 11 Logs de auditoria.
119
O monitoramento das operaes e comunicaes deve ser uma tarefa regular e apoiada pelos dirigentes da organizao, com o intuito de garantir a adequada segurana da informao com relao aos recursos operacionais e de comunicao disponveis, e de acordo com as necessidades levantadas aps a anlise/avaliao de riscos de segurana da organizao. tambm recomendvel que todos os eventos relacionados ao monitoramento sejam devidamente registrados atravs de logs de operao, de falhas e de auditoria, pelo menos. Em especial, as atividades de monitoramento e registro devem ser realizadas conforme a legislao vigente. Todos os logs devem ser protegidos contra acessos no autorizados. As prticas a seguir podem ser adotadas para a manuteno adequada dos registros: 11 O log de operaes deve manter informaes como as atividades de operadores e administradores de sistemas, horrio de inicializao e encerramento de sistemas, erros e aes corretivas aplicadas, por exemplo; 11 O log de falhas deve registrar as falhas e as respectivas aes corretivas tomadas. Em particular, relevante que existam regras claras para a manipulao de relatrios de falhas na organizao Logs de auditoria devem ser mantidos de forma a registrar as atividades dos usurios, problemas de segurana, alteraes de configurao dos sistemas, todos os acessos realizados, por um perodo de tempo adequado s atividades de auditoria e monitoramento. Exemplos de procedimentos com logs: 11 No permitido o acesso no autorizado ao e-mail de terceiros. As tentativas de acesso devem ser registradas em log, inclusive as originadas por administradores do sistema. 11 Deve ser possvel reconstituir todas as atividades dos usurios a partir de logs. Os procedimentos usados para tal monitoramento devem considerar mecanismos de responsabilizao claros e divulgados nos meios de comunicao internos da organizao. So exemplificados procedimentos relevantes a considerar em termos de gerao de logs em determinada organizao. Os exemplos podem ser considerados para organizaes reais e tm o objetivo de permitir o monitoramento de operaes e atividades dos usurios, em particular.
120
Atividade 6.1 Segurana da informao na gerncia de operaes e comunicaes
Voc foi designado para desempenhar as funes de gerncia de operaes e comunicaes. Abaixo so apresentadas algumas situaes em que voc dever dizer o que deve ser feito e apresentar a sua justificativa: No 01 Situao Entrada de um novo funcionrio na empresa, que ser usurio do sistema de controle financeiro da organizao. O banco de dados foi corrompido e no havia backup. Uma mquina servidora apresentou problemas e necessita ser encaminhada para manuteno fora do ambiente do datacenter. A Gerncia de Recursos Humanos informou que adquiriu um novo sistema e determinou que este deve ser instalado no servidor de aplicaes que lhe atende atualmente. A Gerncia de Pesquisa e Desenvolvimento avisou que a administrao do servidor de aplicaes, do banco de dados e do controle de verses ser feita pelo mesmo pesquisador. Num levantamento realizado por uma consultoria externa para levantamento da maturidade em segurana da informao, identificou-se que vrios computadores de docentes esto sem antivrus instalados. Foi identificado na diviso financeira que houve uma alterao nos arquivos, mas no foi possvel identificar quem executou tal alterao. Respostas/Procedimentos Justificativa
02
03
04
05
06
07
121
Atividade 6.2 Implementando a segurana da informao na gerncia de operaes e comunicaes de sua organizao
Voc ainda integrante do comit de segurana da informao, e dever apresentar propostas para a segurana da informao na gerncia de operaes e comunicaes da sua organizao. Elabore para cada um dos itens a seguir cinco tpicos que devem ser abordados em cada poltica: a. Cpias de segurana.
b. Procedimentos contra software malicioso.
c. Tratamento de mdias.
d. Tratamento de documentos.
e. Segurana das redes.
f. Transferncia de informaes.
122
7
Segurana de acesso e ambiental
objetivos
Descrever procedimentos e responsabilidades, e selecionar e aplicar controles e procedimentos de segurana de acesso e ambiental.
conceitos
Poltica de controles de acesso, controles de acesso lgico e fsico, controle ambiental e segurana em Recursos Humanos.
Exerccio de nivelamento 1 e Segurana de acesso e ambiental

O que voc entende por acesso fsico?
O que voc entende por acesso lgico?
Poltica de controle de acessos

Classificao da informao Processo para definir a sensibilidade da informao e quem tem acesso a essa informao, permitindo assim definir nveis e critrios de acesso que garantam a segurana da informao. Vide ABNT NBR 16167:2013 Segurana da Informao Diretrizes para classificao, rotulao e tratamento da informao.
Deve ser definida e documentada. Considerar, pelo menos: 11 Informaes x negcios. 11 Classificao das informaes. 11 Requisitos para autorizao. 11 Anlise regular dos controles.
q
Captulo 7 - Segurana de acesso e ambiental
A poltica de controle de acessos deve ser definida e documentada para as organizaes no sentido de garantir as devidas medidas e procedimentos de segurana aos recursos lgicos e fsicos, em conformidade com os requisitos do negcio. Sendo assim, a poltica de controle de acesso deve considerar, pelo menos: 11 Informaes manipulveis por aplicaes de negcios e os riscos inerentes; 11 A classificao das informaes; 11 Legislao, requisitos regulamentares e contratuais vigentes pertinentes proteo de acesso; 11 Requisitos para autorizao formal de pedidos de acesso e remoo de direitos;
123
11 Requisitos para verificao regular dos controles de acesso. Observe que a poltica em questo deve contemplar, em conjunto, controles de acesso lgico e fsico.
Exerccio de fixao 1 e Poltica de controle de acesso

O que deve ser considerado na poltica de controle de acesso?
Controles de acesso lgico

Medidas e procedimentos para a proteo de recursos computacionais, como redes, arquivos, aplicativos etc. Considerar: 11 Identificao dos recursos a proteger. 11 Atribuio adequada de direitos de acesso e seu devido monitoramento. 11 Educao para a segurana da informao. Em termos de controle de acesso lgico, sero vistos a seguir subtpicos que contemplam as principais preocupaes e boas prticas para o contexto, alm de apresentar aspectos
fundamentais ao controle de acesso lgico conforme os requisitos de segurana global e de negcios das organizaes. O controle de acesso lgico compreende um conjunto de medidas e procedimentos adotados pela organizao ou intrnsecos aos softwares e sistemas utilizados, e visa proteger recursos computacionais e informaes, de modo a assegurar: 11 Que apenas usurios autorizados obtenham acesso aos recursos e que esses recursos sejam aqueles realmente necessrios execuo de suas atividades; 11 Que o acesso a recursos crticos seja restrito e monitorado adequadamente. Em outras palavras, pode-se considerar que o controle de acesso lgico um processo que utiliza medidas preventivas e procedimentos especficos para que usurios ou processos
Estude a Seo 9 da norma ABNT NBR ISO/ IEC 27002:2013: Controle de acesso.
acessem recursos de modo adequado. 11 Ao tratar do controle de acesso, inicialmente deve-se identificar os recursos a serem protegidos. Eis alguns dos tipicamente identificados em organizaes: aplicativos (cdigos-fonte e objeto), arquivos de dados e de senhas, redes, utilitrios, Sistemas Operacionais, arquivos de log, entre outros. Lembre-se de que conscientizar usurios uma tarefa importante no sentido de garantir a eficcia das medidas e dos procedimentos adotados para o controle de acesso. Sendo assim, uma boa prtica que os usurios se mantenham informados a respeito de suas responsabilidades sobre a manuteno dos controles de acesso da organizao. Funes relacionadas: 11 Identificao. 11 Autenticao. 11 Autorizao. 11 Monitoramento. 11 Gerncia.
124
As funes diretamente relacionadas ao controle de acesso lgico so: identificao e auten ticao, para usurios e processos, e atribuio, gerncia e monitoramento de direitos de acesso, ou privilgios que indicam exatamente o grau de autorizao de acesso. 11 Identificao: todo usurio/processo que possa vir a acessar recursos computacionais deve ser identificado unicamente no ambiente, por exemplo, via login, com o objetivo de permitir um controle de aes utilizando logs; 11 Autenticao: alm da identificao, o usurio deve fornecer alguma informao com plementar para provar que essa a sua verdadeira identidade. Por exemplo, um usurio que faz um logon numa estao de trabalho informa a sua identificao (login) e uma senha esse o autenticador que permite que o sistema verifique se a identidade do usurio verdadeira. Portanto, a autenticao tem por objetivo dispor um modo de verificao da identidade de usurios/processos antes de estes obterem acesso aos recursos. Sendo assim, h basicamente trs modos possveis: prova por caractersticas (fsicas), prova por posse e prova por conhecimento. Por exemplo, usando reconhecimento facial ou de voz, smart cards e senhas (ou tokens), respectivamente; 11 Atribuio: a atribuio de direitos e permisses de acesso pode ser determinada sob dois aspectos: o que um usurio/processo pode fazer ou o que pode ser feito com determinado recurso. Na primeira possibilidade, cada usurio ou recurso recebe uma permisso (ou capacidade) que, por sua vez, define todos os seus direitos de acesso a outros recursos. Na segunda, usam-se listas de controle de acesso (ou ACLs Access Control Lists) para cada recurso, definindo, assim, os direitos de acesso de outros recursos ou usurios sobre o recurso associado a essas listas; 11 Monitoramento: pode ser realizado atravs da verificao de logs, trilhas de auditoria, mecanismos de deteco de invaso, entre outros, que possam servir para tomar decises a respeito de medidas corretivas adequadas em casos de incidentes de segurana; 11 Gerncia: responsvel por aplicar medidas adequadas aos riscos inerentes a controles de acesso lgico inadequados, em funo das determinaes dispostas na poltica de segurana.
A gerncia de controles de acesso lgico tem o objetivo de reduo de riscos. Consideraes: 11 Classificao e valor dos ativos lgicos. 11 Necessidades reais de acesso. 11 Responsabilidades dos usurios. A gerncia de controles de acesso lgico deve aplicar medidas que reduzam riscos, observando, para tanto, algumas consideraes definidas na poltica de segurana da organizao, a saber: 11 Classificao dos sistemas e informaes; 11 Necessidades de obteno de acesso a sistemas e dados; 11 Responsabilidades dos usurios; 11 Valores dos ativos; 11 Demais informaes relevantes para um controle de acesso lgico apropriado.
Em especial, ao tratar da gerncia de controle de acesso lgico no que diz respeito autorizao, importante considerar a manuteno adequada dos direitos de acesso a novos recursos e o uso de dispositivos mveis (notebooks, palms etc.) em funo de seus riscos inerentes.
125
Exemplos de recomendaes para o uso de senhas na gerncia de controles de acesso lgico: 11 dever da gerncia de segurana desabilitar contas inativas, sem senhas ou com senhas padronizadas. 11 A senha inicial de usurios deve ser gerada de modo que j esteja expirada, forando a entrada de uma nova senha no primeiro logon. 11 Devem ser bloqueadas contas de usurios aps determinado nmero de tentativas de acesso sem sucesso. Esses so exemplos de recomendaes para processos de autenticao baseados em senhas e que podem ser utilizados em organizaes reais. Recomenda-se orientar os usurios no sentido de escolherem senhas mais seguras, evi-
tando o uso de senhas muito curtas ou muito longas (aconselha-se o uso de oito caracteres) o que pode gerar efeitos colaterais, como escrever senhas em papel; evitando, ainda, o uso de uma mesma senha para acessos a sistemas/recursos distintos. interessante, tambm, o uso de geradores de senhas aleatrias, aumentando a confiabilidade dos sistemas de autenticao. 11 Boas prticas: 11 Atribuir direitos de acesso conforme as necessidades. 11 Revisar regularmente os acessos atribudos. 11 Controlar contas e senhas. 11 Manter e analisar logs regularmente. Para a devida gesto dos controles de acesso lgico de uma organizao, algumas boas prticas so recomendadas a seguir: 11 Atribuir direitos de acesso aos usurios, segundo as necessidades reais de seu trabalho/cargo; 11 Revisar regularmente as listas de controle de acesso e capacidades; 11 Disponibilizar contas de usurios apenas a pessoas autorizadas; 11 Armazenamento de senhas criptografadas;
w
Para obter detalhes sobre boas prticas no uso de senhas, consulte: https:// security.web.cern.ch/ security/recommendations/en/passwords. shtml e http://www. csirt.pop-mg.rnp.br/ docs/senhas.pdf
11 Manter e analisar logs e trilhas de auditoria.
Exerccio de fixao 2 e Controles de acesso lgico

Quais as funes diretamente relacionadas ao controle de acesso lgico?
O que deve ser considerado ao tratar da gerncia de controle de acesso lgico no que diz respeito autorizao?
126
Cite duas boas prticas recomendadas para a gesto dos controles de acesso lgico da sua organizao.
Controles de acesso fsico

11 Medidas preventivas e procedimentos para a proteo de recursos fsicos.
d
Estude a Seo 11 Segurana fsica e do ambiente da norma ABNT NBR ISO/IEC 27002:2013.
11 So uma barreira adicional segurana de acesso lgico. Sero vistas, a seguir, as principais preocupaes e boas prticas para o controle de acesso fsico, com a apresentao de aspectos fundamentais e as influncias provenientes dos requisitos de segurana global e de negcios das organizaes. Os controles de acesso fsico tm o objetivo de aplicar medidas preventivas para proteger equipamentos, documentaes, suprimentos e informaes contra acessos no autorizados, perdas etc. Sendo assim, tais controles servem como uma barreira adicional de segurana para o controle de acesso lgico. Considerar, ainda, o uso de reas protegidas e permetros de segurana. Nas reas protegidas (com controle de acesso rgido), recomenda-se o processamento de informaes crticas para o negcio da organizao. Os permetros de segurana protegem reas que disponham de facilidades de processamento; por exemplo, um balco de controle de acesso com registros e superviso efetivos. Categorias: 11 Controles administrativos. 11 Controles explcitos. No tocante a controles de acesso fsico, h duas categorias: 11 Controles administrativos: compreendem medidas e procedimentos administrativos para a proteo fsica da organizao. Em termos prticos, aconselha-se, nesse contexto, aplicar formas de identificao nica de funcionrios e visitantes, e at mesmo de catego rias de funcionrios; exigir a devoluo de ativos da organizao em casos de demisso de funcionrios; controlar a entrada/sada de visitantes; exigir mesa limpa e organizada, entre outros; 11 Controles explcitos: implementados atravs do uso de fechaduras, cadeados, cmeras de vdeo, alarmes e guardas de segurana, por exemplo.
Exemplo de recomendao para o controle de acesso fsico a equipamentos: 11 O acesso a equipamentos especficos de hardware deve ser restrito a funcionrios competentes, com uso registrado e baseado nas necessidades da organizao. Neste exemplo, apresentada uma recomendao para o controle de acesso fsico nas
organizaes, podendo ser includa em organizaes reais como item da poltica de controle de acesso e da poltica de segurana.
127
Gerncia de controles de acesso fsico: 11 Identificam riscos e procuram minimizar impactos. 11 Apoiada pela poltica de segurana da informao e poltica de controles de acesso. 11 Deve considerar a relao custo x benefcio. A gerncia de controles de acesso fsico deve procurar levantar os riscos potenciais e impactos causados por incidentes originados por falhas de segurana fsica, aplicando medidas adequadas organizao. Observe que, conforme expresso anteriormente, as medidas e procedimentos para con-
troles de acesso fsico devem constar na poltica de controles de acesso, apoiando, assim, a poltica de segurana da informao da organizao; consequentemente, tais documentos em conjunto apoiam a gerncia de controles de acesso fsico. Boas prticas: 11 Uso de tcnicas de identificao. 11 Devoluo de ativos. 11 Controle de entrada e sada de visitantes. 11 Vigilncia 24 x 7. 11 Rever e atualizar direitos de acesso. 11 Manter mesa e tela limpas. Entre as boas prticas para o adequado controle de acesso fsico (e sua gerncia), destacam-se: 11 Usar tcnicas visveis de identificao; 11 Exigncia da devoluo de ativos da organizao quando o funcionrio detentor dos mesmos for demitido ou desligado de suas funes; 11 Supervisionar a entrada e sada dos visitantes, registrando data, horrio de permanncia e local visitado (setor, departamento etc.); 11 Determinar a vigilncia perene (24 x 7) na organizao; 11 Rever e atualizar regularmente os direitos de acesso;
11 Incentivar a poltica da mesa limpa, entre outros.
Exerccio de fixao 3 e Controles de acesso fsico

Qual o objetivo do controle de acesso fsico?
O que so controles explcitos e controles administrativos?
Cite duas boas prticas recomendadas para a gesto dos controles de acesso fsico da sua organizao.
128
Controles ambientais
11 Visam a proteo de recursos contra ameaas disponibilidade e integridade. 11 possvel aplicar medidas preventivas e/ou corretivas. Em termos de controle ambiental, so apresentadas algumas prticas especficas para a
reduo de riscos associados a ameaas no ambiente das organizaes, conforme os requisitos de segurana global e de negcios. Os controles ambientais visam proteger a organizao em termos, especificamente, da disponibilidade e da integridade de seus recursos, isto , contra desastres naturais e falhas no fornecimento ou descargas de energia eltrica, por exemplo. Dependendo da ameaa, pode-se estabelecer medidas preventivas e/ou corretivas. A seguir, sero apresentadas boas prticas para assegurar os controles ambientais adequados. Ameaas especficas e medidas: 11 Incndios. 11 Falhas no fornecimento de energia eltrica. 11 Descargas eltricas. 11 Ameaas que envolvam gua. 11 Problemas com temperatura e ventilao. Conforme foi visto, h vrias ameaas em termos ambientais para as organizaes. Eis uma lista dessas principais ameaas e das medidas respectivas a serem aplicadas para seu controle: 11 Incndios: aconselhvel o uso de dispositivos de deteco de fumaa ou calor, a instalao de para-raios, a adoo de polticas antifumo, a disposio de um nmero sufi ciente de extintores de incndio, a instalao de sistemas automticos de combate ao fogo, a verificao regular de todos os dispositivos empregados contra incndios e o treinamento de funcionrios quanto a sua utilizao; 11 Falhas na energia eltrica e descargas eltricas naturais: so recomendados estabilizadores, nobreaks, geradores alternativos de energia eltrica, instalao de para-raios, desligamento de equipamentos em situao de tempestades fortes; 11 Ameaas que envolvam gua: relevante a instalao de equipamentos em locais com baixa suscetibilidade gua, cuidados de manuteno com o telhado, rede de esgotos e encanamentos e aparelhos de ar-condicionado;
11 Temperatura e ventilao: deve-se considerar, nesse caso, cuidados com canaletas de ventilao, circulao de ar, dispositivos que auxiliem no monitoramento da temperatura e na ventilao do ambiente e a manuteno regular dos equipamentos envolvidos.
Boas prticas: 11 Planejamento de alocao dos equipamentos e mveis. 11 Manuteno da limpeza e conservao. 11 Implantao de dispositivos de combate ao fogo e reduo do impacto de problemas com energia eltrica. 11 Vistoria regular de dispositivos.
129
Segue uma lista de boas prticas para garantir o controle ambiental adequado nas organizaes: 11 Planejar a disposio de mveis e equipamentos, facilitando a circulao das pessoas; 11 Manter a limpeza e a conservao do ambiente; 11 Implantar sistemas de combate automtico ao fogo; 11 Instalar dispositivos que minimizem os efeitos de falhas no fornecimento de energia eltrica; 11 Manuteno adequada de potenciais focos de problemas com gua; 11 Vistoriar regularmente todos os dispositivos relacionados diretamente conservao da segurana do ambiente.
Exerccio de fixao 4 e Controles ambientais

Qual o objetivo dos controles ambientais?
Cite duas boas prticas recomendadas para a gesto dos controles de acesso fsico da sua organizao.
Segurana de Recursos Humanos

11 Antes da contratao. 11 Encerramento e mudana de contrato. 11 Educao para a segurana da informao.
q
d
Acompanhe com a leitura da seo 7 Segurana em Recursos Humanos, da norma ABNT NBR ISO/ IEC 27002:2013.
Neste tpico, sero apresentados alguns dos principais aspectos relacionados segurana da informao nas organizaes a segurana dos Recursos Humanos, que, por sua vez, representa um dos pilares para a segurana da informao adequada e conscientizada em termos de possveis erros humanos. Sendo assim, sero vistas algumas prticas e preocu Gesto da Segurana da Informao NBR 27001 e NBR 27002
paes para o tratamento de pessoas, desde a seleo, considerando tambm a educao delas em termos de segurana da informao. Antes da contratao: 11 Deixar claros papis e responsabilidades (inclusive legais). 11 Rgido processo de seleo: Verificar referncias, conhecimentos e ndole. 11 O contrato deve contemplar termos e condies especficas, fortalecido pelo cdigo de conduta e termo de confidencialidade. A seleo de candidatos deve ser rgida em funo, principalmente, do cargo pretendido e de sua criticidade para os negcios. Considere que candidato pode representar futuro funcionrio, funcionrio que visa mudar de cargo ou, ainda, prestador de servios. Durante a seleo de pessoas, a organizao deve deixar claras as responsabilidades e os papis do candidato, em caso de contratao, perante a segurana da informao, atravs da apresentao de uma descrio detalhada e dos termos e condies de contratao.
130
Sendo assim, importante destacar, em documentos a serem assinados pelo contratado, requisitos como agir de acordo com a poltica de segurana da informao e notificar superiores a respeito de eventos adversos que possam caracterizar riscos de segurana organizao. A seleo em si, conforme dito antes, deve ser rgida o suficiente para contemplar a verifi cao de referncias satisfatrias de carter; a confirmao das qualificaes acadmicas e profissionais; podendo inclusive considerar verificaes financeiras (de crdito) e de registros criminais. Vale ressaltar tambm que pode ser relevante, dependendo da situao, uma seleo rgida de fornecedores e terceiros. Os termos e condies devem ser claramente expostos no contrato, de modo que este seja assinado indicando que o contratado concorda com suas responsabilidades perante a segurana da informao da organizao (inclusive as responsabilidades legais). Neste contexto, so tambm convenientes a orientao para que seja seguido um cdigo de conduta e a assinatura de um termo de confidencialidade antes da disponibilizao do acesso ao contratado. O acordo de confidencialidade deve contemplar os requisitos para proteo de informa es confidenciais, considerando a legislao vigente aplicvel. Em particular, seu contedo deve compreender, pelo menos, uma definio da informao a ser protegida, o tempo de durao do acordo, responsabilidades e aes dos envolvidos para prevenir divulgaes no autorizadas, escopo de direitos dos funcionrios para o uso das informaes, direitos de auditoria e monitoramento, e aes especficas para casos de violao do acordo. Encerramento e mudana de contrato: 11 Exigir responsabilidades e requisitos de segurana. 11 Devolver ativos. 11 Retirar direitos de acesso. Ao encerrar ou mudar o contrato de um funcionrio (ou terceiro), importante que a organizao viabilize meios adequados para um processo ordenado e coordenado. Neste contexto, algumas prticas so aplicveis: 11 No ato do desligamento de uma funo, a comunicao deve informar a respeito dos requisitos de segurana e das responsabilidades legais exigidas; 11 Devoluo de ativos, tais como equipamentos, documentos, softwares, computadores mveis, cartes de crdito, cartes de acesso, crachs etc.; 11 Retirar direitos de acesso a informaes e recursos. No caso de mudanas de cargo, deve-se rever os direitos, de modo a no permitir acessos que no foram aprovados para tiver conhecimento a respeito de senhas de contas que permanecero ativas aps sua sada, estas devem ser alteradas.
a nova funo. Se, por exemplo, o funcionrio com atividades encerradas na organizao
Exerccio de fixao 5 e Segurana de Recursos Humanos

Durante o processo de sada da organizao de um colaborador por encerramento de contrato o que deve ser realizado?
131
Educao para a segurana da informao: 11 Promover regularmente a conscientizao e treinamentos. 11 Divulgar riscos, quem procurar e a quem relatar problemas. 11 Deve ser uma tarefa contnua nas organizaes. Se funcionrios ou terceiros no estiverem realmente conscientes em termos de suas responsabilidades e obrigaes para com a segurana da informao da organizao, podem ser considerados, por si s, como riscos, podendo causar impactos aos negcios. Sendo assim, deve-se promover regularmente treinamentos, palestras e atividades de
divulgao de orientaes para a segurana da informao a todas as pessoas, de modo que estas conheam os procedimentos de segurana, faam uso correto de recursos, servios oferecidos e informaes. Nos processos de educao para a segurana da informao, importante conscientizar as pessoas em termos dos riscos, e inform-las a quem devem relatar eventos adversos e procurar para obter orientaes. Atravs de iniciativas para a educao em segurana da informao, consegue-se minimizar riscos, j que as pessoas so sensibilizadas para seguir as regras da segurana da informao no seu dia a dia. Exemplo de recomendao para a conduta de pessoas perante o uso de recursos e informaes crticas: 11 A organizao se reserva o direito de revogar os privilgios de usurio a qualquer sistema e a qualquer momento em funo de condutas ofensivas ou prejudiciais ou, ainda, que afetem a capacidade de outras pessoas executarem suas funes adequadamente. Neste exemplo, apresentada uma recomendao para o tratamento de pessoas nas organizaes, explicitando especialmente regras para sua conduta diante dos negcios e manipulao de recursos e informaes crticas. Tal recomendao tambm pode ser aplicada para uma segurana eficiente de Recursos Humanos.
132
Atividade 7.1 Entendendo a segurana de acesso e a segurana ambiental
Voc foi designado(a) para realizar uma avaliao da segurana de acesso e segurana ambiental de sua organizao. A seguir so apresentadas algumas situaes que foram encontradas e para as quais voc dever dizer o que deve ser feito e apresentar a sua justifi cativa para isso: No 01 02 Situao Funcionrios sem identificao (crach). Visitantes andando pela organizao sem qualquer identificao ou registro da sua entrada. Sala de arquivo documental sem extintores ou sistema de deteco. Os colaboradores terceirizados no realizaram nenhum treinamento sobre segurana da informao. Foi identificado que ex-funcionrios ainda possuam contas de usurios de alguns sistemas. No setor de registro contbil os funcionrios compartilham a mesma senha. Na rea de pesquisa e desenvolvimento foi descoberto de que alguns funcionrios de nvel tcnico possuam acesso a reas restritas aos pesquisadores. Respostas/Procedimentos Justificativa
03
04
05
06
07
Atividade 7.2 Polticas de acesso

1. Qual o mnimo que deve constar numa poltica de controle de acesso?
2. O que so controles de acesso lgico? E de acesso fsico?
133
3. Quais so as categorias de controles de acesso fsico existentes? Quais as diferenas entre elas?
4. Cite duas ameaas ambientais e seus respectivos controles ambientais.
Atividade 7.3 Implementando a segurana de acesso e ambiental na sua organizao

Voc ainda integrante do comit de segurana da informao, dever apresentar algumas propostas para a segurana da informao na segurana de acesso e ambiental da sua organizao. Assim, elabore para cada um dos itens a seguir cinco tpicos que devem ser abordados em cada respectiva poltica e justifique apresentando os controles da norma que a poltica est atendendo: a. Controle de acesso lgico.
b. Senhas.
c. Acesso fsico.
134
d. Controles ambientais.
e. Segurana de Recursos Humanos.
135
136
8
Segurana organizacional
objetivos
Descrever procedimentos e responsabilidades e selecionar e aplicar controles para a segurana organizacional.
conceitos
Infraestrutura organizacional para a segurana da informao, tratamento de ativos e segurana da informao de terceiros.
Exerccio de nivelamento 1 e Segurana organizacional

O que voc entende por segurana organizacional?
Como feita a segurana organizacional na sua instituio?
Infraestrutura organizacional para a segurana da informao

11 Importncia da infraestrutura. 11 Atribuio de responsabilidades.
Estude a Seo 6 da norma ABNT NBR ISO/ IEC 27002:2013 Orga nizando a segurana da informao.
infraestrutura de apoio segurana da informao nas organizaes. Em especial sero tratadas a razo da importncia da infraestrutura, a relevncia da atribuio de responsabilidades e questes relacionadas coordenao.
Importncia da infraestrutura
Fornece todas as condies para a gesto da segurana da informao na organizao. Uma recomendao definir uma estrutura de gerenciamento para controlar a elabo rao e implantao da segurana da informao.
137
Captulo 8 - Segurana organizacional
11 Coordenao da segurana da informao. Neste tpico sero apresentados os aspectos relevantes para o estabelecimento de uma
Para garantir a segurana da informao em determinada organizao, deve-se atentar para a necessidade do estabelecimento de uma infraestrutura que propicie o seu gerenciamento. Inicialmente, vlido definir uma estrutura de gerenciamento prpria para o controle da implantao da segurana da informao. Em particular, se for o caso, relevante a contratao de consultoria especializada com o propsito de elabor-la e implant-la na organizao.
Atribuio de responsabilidades
11 Deve-se atribuir responsabilidades de acordo com a poltica de segurana. 11 Funcionrios podem delegar tarefas de segurana da informao, mas no podem delegar responsabilidades. 11 Se necessrio, preciso instituir o cargo de gestor de segurana da informao. Preocupaes: 11 reas de responsabilidade. 11 Responsabilidades dos funcionrios. 11 Processos a serem implementados.
Atribuir responsabilidades uma atividade considerada crucial para a segurana da informao, devendo ser realizada de acordo com a poltica de segurana da informao da organizao. Funcionrios (ou pessoas em determinados cargos) que possuam responsabilidades definidas formalmente na poltica de segurana podem delegar atividades relacionadas diretamente segurana da informao, todavia, no se eximindo das responsabilidades. Sendo assim, relevante que, nos casos de delegao, os funcionrios que delegam a atividade avaliem se esta est sendo realizada conforme a poltica de segurana, legislao e normas vigentes. Para cada ativo e procedimento de segurana da informao, importante atribuir responsabilidades a um funcionrio (ou cargo). Em outras palavras, o funcionrio (ou cargo) dever efetuar a gesto do ativo ou procedimento segundo determinao da poltica de segurana. Dependendo do tamanho e das vulnerabilidades da organizao, pode-se estabelecer o cargo de gestor da segurana da informao, que responde, em primeira instncia, pela segurana global da organizao e ainda auxilia no desenvolvimento da poltica de segu Gesto da Segurana da Informao NBR 27001 e NBR 27002
rana e define a estratgia para a sua divulgao, exigindo seu cumprimento por todos. Ao gestor, cabe estar sempre atualizado em relao aos problemas, riscos e solues de segurana; selecionar os mecanismos de segurana mais adequados aos problemas de segurana especficos da organizao; e verificar a adequao da poltica de segurana, mecanismos e procedimentos de segurana da informao adotados.
Exerccio de fixao 1 e Atribuio de responsabilidades

Que atribuies devem ser atribudas ao gestor da segurana da informao?
138
Por que a atribuio de responsabilidades uma atividade crucial para a segurana da informao?
Coordenao da segurana da informao

Compreende a colaborao entre partes, como dirigentes, funcionrios, auditores, consultores etc. Objetivos: 11 Aprovar metodologias e procedimentos de segurana da informao. 11 Assegurar a conformidade com a poltica de segurana. 11 Coordenar a implantao de controles. 11 Educar para a segurana da informao.
Para a efetividade da segurana da informao em uma organizao, seus dirigentes devem montar uma equipe multidisciplinar (dirigentes e funcionrios de vrios departamentos, por exemplo) para coordenar as atividades necessrias. Se necessrio, pode-se tambm instituir um comit especfico. Em particular, recomenda-se que a coordenao atue nas seguintes atividades: 11 Avaliar e aprovar metodologias e procedimentos necessrios segurana da informao; 11 Controlar todos os procedimentos, com o intuito de assegurar a conformidade com a poltica de segurana da organizao; 11 Coordenar a implantao de controles de segurana da informao, tais como medidas contra acessos no autorizados; 11 Divulgar adequadamente para toda a organizao os procedimentos, os controles e a poltica de segurana. Lembre-se sempre de que a conscientizao das pessoas pode ser considerada to relevante quanto o uso de outros mecanismos de segurana baseados em tecnologia.
Exerccio de fixao 2 e Coordenao da segurana da informao

Em que atividades o comit deve atuar?
d
Estude a Seo 8 da norma ABNT NBR ISO/ IEC 27002:2013 Gesto de ativos.
11 Proteo de ativos. 11 Inventrio de ativos. 11 Proprietrio de ativo. Uma vez que os ativos so elementos essenciais para o negcio das organizaes, este tpico apresenta os aspectos primordiais a serem considerados. Sero apresentadas as
preocupaes com a proteo dos ativos e dos procedimentos recomendados, para fins de gesto de ativos e recuperao aps desastres: inventrio e designao de proprietrio para cada ativo da organizao.
139
Tratamento de ativos
Proteo dos ativos

11 Ativos so elementos essenciais ao negcio da organizao. 11 Ativos devem ser inventariados. 11 Todo ativo deve ter um responsvel por manter sua segurana.
Os ativos da organizao so elementos importantes para o negcio; sendo assim, sua proteo adequada deve ser estabelecida e mantida. Exemplos: 11 Equipamentos; 11 Bases de dados; 11 Servios de iluminao; 11 Acordos; 11 Procedimentos de suporte tcnico; 11 Trilhas de auditoria; 11 Aplicativos; 11 Sistemas de informao; 11 Pessoas; 11 Imagem comercial da organizao. Para tal proteo, so recomendados dois procedimentos: inventariar os ativos e associar a cada um deles um proprietrio, responsvel pela manuteno de sua segurana. A seguir, sero apresentados mais detalhes a respeito de cada procedimento.
Exerccio de fixao 3 e Proteo dos ativos

O que so ativos?
Inventrio de ativos
O inventrio essencial para recuperao aps desastres e compreende: 11 Identificar ativos. 11 Catalogar ativos. 11 Manter o catlogo. No inventrio de ativos, deve-se estruturar e manter os ativos devidamente identificados. Na identificao, as informaes relevantes tipicamente so: o tipo do ativo, configurao, sua criticidade para os negcios da organizao, localizao, informaes sobre o trata-
mento de backups e licenas. Ainda no inventrio, deve-se identificar o proprietrio de cada ativo e a classificao da informao, quando cabvel. Em casos de recuperao aps desastres, o inventrio de ativos representa um dos itens essenciais para sua efetividade. E, para a gesto de riscos, o inventrio uma premissa.
140
Exerccio de fixao 4 e Inventrio de ativos

Quais informaes devem constar no inventrio de ativos?
Proprietrio de ativo
Aquele que o responsvel autorizado sobre o(s) ativo(s). 11 Proprietrio no dono do ativo! Atividades: 11 Garantir a classificao dos ativos. 11 Definir e analisar, periodicamente, as restries de acesso aos ativos.
O proprietrio de um ativo o responsvel pela manuteno da sua segurana, efetuando, ento, atividades como: 11 Garantir a classificao adequada dos ativos; 11 Definir e analisar, periodicamente, as restries de acesso ao ativo. So exemplos de proprietrios de ativos o gerente de RH (Recursos Humanos) da organizao, responsvel por documentos especficos, e o desenvolvedor responsvel por sua estao de trabalho. Vale ressaltar que, se necessrio e cabvel, pode-se atribuir ao gestor da segurana da informao a responsabilidade por determinados ativos, principalmente aqueles diretamente relacionados segurana da informao, como a prpria poltica de segurana. Exemplo: Inventrio do ativo base de dados. 11 Tipo: dados. 11 Criticidade para os negcios: alta. 11 Localizao: sala de servidores da organizao. 11 Tratamento de backup: incremental e dirio. 11 Proprietrio: administrador do banco de dados. Este exemplo apresenta algumas informaes a respeito do ativo base de dados de uma organizao. Pode-se observar que: 11 O tipo considerado dados. A classificao de ativos pode variar de uma organizao para outra; todavia, tipicamente pode-se categorizar em hardware, software, dados, 11 A criticidade do ativo considerada alta, visto que os dados so essenciais ao negcio da organizao. Pode-se associar a criticidade atribuda segundo as categorias utilizadas na anlise/avaliao de riscos para a organizao. Para exemplificar, pode-se classificar ativos como de alta, moderada ou baixa criticidade; 11 A localizao do ativo a sala de servidores da organizao, visto que se trata de uma base de dados armazenada em um banco de dados;
documentao etc.;
141
11 O tratamento de backup aplicado ao ativo incremental e dirio. Para todos os ativos relevante indicar a poltica de backup para fins de gesto de incidentes, em particular. Para fins de conhecimento, a poltica pode determinar, de acordo com o grau de criticidade do ativo, o backup completo ou incremental e seu perodo (mensal, quinzenal, semanal ou dirio, por exemplo). Por fim, indica-se o responsvel pela segurana do ativo. No caso, o administrador do banco de dados da organizao.
Exerccio de fixao 5 e Proprietrio do ativo

Qual a responsabilidade do proprietrio do ativo?
Cite atividades que devem ser realizadas pelo proprietrio do ativo.
Segurana da informao e terceiros

11 A razo do tratamento diferenciado. 11 Possveis riscos. 11 Tratamento dos clientes. 11 Acordos especficos. 11 Gerncia de servios de terceiros.
relevante estabelecer procedimentos adequados antes de disponibilizar acessos por parte de terceiros. Neste tpico, sero tratados o porqu do tratamento diferenciado dos terceiros e possveis riscos envolvidos; como tratar com os clientes a respeito da manuteno de acordos especficos para o contexto e os procedimentos recomendados para a gerncia de
servios terceirizados.
Estude a Seo 15 da norma ABNT NBR ISO/ IEC 27002:2013 Relacionamento na cadeia de suprimento.
A razo do tratamento diferenciado

Deve-se manter a segurana de recursos e informaes acessveis a terceiros. 11 Acessveis = processados, transmitidos ou gerenciados. Considerar: 11 Possveis riscos. 11 Acordos especficos.
Deve-se considerar um tratamento diferenciado para os recursos e informaes que sejam processados, transmitidos ou gerenciados por partes externas, por exemplo, empresas prestadoras de servio, com o objetivo de permitir tais acessos em conformidade com a poltica de segurana da informao vigente na organizao. Para tanto, relevante efetuar uma anlise dos potenciais riscos envolvidos e as possveis medidas de segurana adequadas ao tratar com partes externas. Em especial, as medidas
142
de segurana e demais critrios especficos quanto segurana da informao devem ser definidos em acordo entre as partes.
Possveis riscos
preciso identificar, analisar e avaliar os riscos, e implementar medidas de segurana antes de disponibilizar o acesso a terceiros. Devem ser considerados: 11 Recursos de processamento. 11 Valor da informao. 11 Pessoas envolvidas. 11 Prticas e procedimentos para o tratamento de incidentes de segurana. 11 Requisitos legais, regulamentares e contratuais. No tratamento da segurana da informao em relao a terceiros, h potenciais riscos especficos. Sendo assim, importante analisar e avaliar os riscos envolvidos diretamente
com os acessos externos, aplicando as medidas de segurana adequadas antes de disponibilizar o acesso. A seguir, so apresentados alguns dos principais aspectos a considerar para o contexto: 11 Identificar os recursos aos quais terceiros podem ter acesso; 11 Indicar o tipo de acesso a cada recurso; 11 Conhecer o valor e a criticidade das informaes disponibilizadas a terceiros; 11 Aplicar medidas de segurana condizentes aos riscos para cada informao acessada por terceiros; 11 Considerar as pessoas que podero acessar a informao no lado dos terceiros; 11 Implantar prticas e procedimentos para o tratamento de incidentes de segurana; 11 Considerar os requisitos legais, contratuais e regulamentares aplicveis ao contexto.
Exemplo de regras para tratamento de terceiros: 11 No permitida a revelao de identificao, autenticao e autorizao deuso pessoal ou uso de recursos autorizados por intermdio de tais itens por parte de terceiros. 11 No permitido o fornecimento de informaes a terceiros a respeito dos servios disponibilizados na organizao, exceto os de natureza pblica ou mediante autorizao de equipe/gestor competente. Neste exemplo, so apresentadas regras de tratamento das informaes e servios por vistas segurana da informao.
Exerccio de fixao 6 e Possveis riscos

Quais aspectos devem ser considerados em relao segurana da informao de terceiros?
143
parte de terceiros, cujo objetivo demonstrar a aplicao de procedimentos formais com
Tratamento dos clientes

Deve-se identificar todos os requisitos de segurana antes de disponibilizar o acesso aos clientes. Preocupaes: 11 Proteo dos ativos. 11 Descrio detalhada do produto/servio a ser fornecido. 11 Polticas de controle de acesso. 11 Responsabilidades legais.
Ao tratar com clientes, a organizao deve identificar, antecipadamente, todos os requisitos de segurana diretamente relacionados ao acesso externo a ativos e informaes. Sendo assim, recomenda-se: 11 Proteger os ativos, usando mecanismos de segurana adequados e indicar aes corretivas a serem aplicadas nos casos de comprometimento; 11 Descrever, em detalhes, o produto/servio a ser fornecido; 11 Considerar as polticas de controle de acesso vigentes; 11 Indicar as responsabilidades legais da organizao e do cliente.
Acordos especficos
Deve-se considerar a segurana da informao ao estabelecer acordos com terceiros. Considerar, pelo menos: 11 Poltica de segurana. 11 Medidas de segurana aplicadas ao ativo envolvido. 11 Treinamento de funcionrios. 11 Atribuio de responsabilidades. 11 Processo para gesto de mudanas. 11 Classificao da informao disponibilizada. Nos acordos, os requisitos de segurana devem ser contemplados a fim de assegurar o conhecimento e cumprimento deles por parte de terceiros.
Essencialmente, recomenda-se considerar, nos acordos, os seguintes aspectos: 11 A poltica de segurana da informao vigente; 11 O uso de medidas de segurana para a proteo de ativos; 11 Treinamento e conscientizao das pessoas em termos da segurana da informao e suas responsabilidades; 11 Processo claro de gerncia de mudanas; 11 Polticas de controle de acesso; 11 Direito de efetuar auditoria; 11 Requisitos para a continuidade de servios; 11 Responsabilidades legais, contratuais e regulamentares aplicveis.
144
Inclusive, podem ser definidos acordos de confidencialidade, de modo que os requisitos de segurana contemplados expressem as necessidades da organizao quanto ao valor das informaes para o negcio. Esses acordos protegem a informao, ao passo que determinam as responsabilidades dos envolvidos quanto proteo, uso e divulgao das informaes da organizao. Sendo assim, os acordos de confidencialidade podem ser esta belecidos entre a organizao e terceiros, e entre a organizao e seus funcionrios. Em organizaes nas quais a gesto da segurana da informao for terceirizada, os acordos devem estabelecer detalhes a respeito do modo como os terceiros garantiro a segurana atendendo a obrigaes legais e aos requisitos do negcio.
Gerncia de servios de terceiros

Servios disponibilizados e acordos com terceiros devem ser monitorados. Boas prticas: 11 Considerar a segurana da informao ao elaborar acordos de entrega de servios. 11 Disponibilizar solues tcnicas para monitoramento. 11 Monitorar e analisar servios entregues e logs. 11 Gerenciar mudanas nos servios. Os servios terceirizados em determinada organizao devem ser gerenciados com o propsito de garantir adequao aos requisitos de segurana da informao e aos negcios. Sendo assim, os acordos estabelecidos entre a organizao e terceiros devem ser gerenciados e controlados adequadamente. Prticas apropriadas: 11 Deve-se considerar medidas de segurana, nveis de servio e requisitos de entrega de
servios ao elaborar os acordos de entrega de servios terceirizados. Tais acordos devem ser verificados para que os requisitos de segurana acordados sejam cumpridos; 11 relevante dispor de solues tcnicas e recursos suficientes para monitorar os acordos e requisitos de segurana estabelecidos; 11 Deve-se monitorar e analisar regularmente servios e logs fornecidos por terceiros; 11 Deve-se gerenciar as mudanas em termos de servios terceirizados, considerando melhorias possveis, atualizaes de polticas, estabelecimento de novos controles de segurana e uso de novas tecnologias, por exemplo. 11 Exemplo: 22 Clusula contratual Segurana da informao. A CONTRATADA obriga-se a utilizar programas de proteo e segurana da informao que busquem evitar qualquer acesso no autorizado aos seus sistemas, seja atravs de link com os demais sistemas da CONTRATANTE ou, ainda, por utilizao de e-mail.
seja em relao aos que eventualmente estejam sob sua responsabilidade direta,
145
146
Atividade 8.1 Entendendo a segurana organizacional
1. Explique a importncia da atribuio de responsabilidades para a segurana da informao na sua organizao.
2. Como e onde deve atuar a Coordenao da Segurana da Informao?
Atividade 8.2 Realizando a segurana organizacional

1. Descreva como deve ser tratado e executado o inventrio dos ativos.
2. Explique a razo do tratamento diferenciado de recursos e informaes acessveis a terceiros. Apresente um exemplo prtico da sua organizao.
3. Descreva os procedimentos que devem ser adotados no tratamento dos clientes.
147
4. Cite dois exemplos prticos para a gerncia de servios de terceiros.
Atividade 8.3 Implementando a segurana organizacional

Voc ainda integrante do comit de segurana da informao e dever apresentar algumas propostas para a segurana da informao na segurana organizacional da sua organizao. Assim, elabore para cada um dos itens abaixo cinco tpicos que devem ser abordados em cada poltica: a. Ativos.
b. Terceiros prestadores de servios na rea de TI.
c. Terceiros prestadores de servios na rea de servios gerais.
d. Terceiros prestadores de servios na rea de TI.
e. Fornecedores de material de escritrio.
148
f. Clientes.
g. Acordos.
h. Responsabilidades na segurana da informao.
149
150
9
Gesto de continuidade de negcios
objetivos
Identificar os requisitos e organizar a continuidade de negcios; identificar e selecionar os procedimentos da gesto de incidentes de segurana.
conceitos
Gesto da continuidade de negcios, segurana da informao e continuidade de negcios, plano de continuidade de negcios e gesto de incidentes.
Exerccio de nivelamento 1 e Gesto de continuidade de negcios

O que voc entende por continuidade de negcios?
Como feita a continuidade de negcios na sua instituio?
Continuidade de negcios
11 Dependncia de tecnologia e sistemas computacionais. 11 Impactos diversos. 11 preciso considerar:
q
Captulo 9 - Gesto de continuidade de negcios
22 Medidas de recuperao de desastres. 22 Plano de contingncias. 22 Plano de continuidade de negcios. 11 Preocupao dos dirigentes deve ser constante. Neste tpico, sero vistos aspectos considerveis para a continuidade de negcios, bem como para a sua gesto. Hoje, as organizaes so dependentes da tecnologia e dos sistemas computacionais. Assim, perdas de equipamentos e informaes podem impactar o negcio da organizao, causando perdas financeiras, de mercado e, at mesmo, dependendo da gravidade das ameaas, provocando sua dissoluo.
Estude a seo 17 Aspectos da segurana da informao na gesto da continuidade do negcio da norma ABNT NBR ISO/IEC 27002:2013..
151
Nesse contexto, so mais que necessrias a conscientizao a respeito da necessidade de recuperao de desastres e o plano de contingncia ambos estratgicos para atender aos objetivos de negcio da organizao. Em adio, relevante, ainda, um plano de continuidade de negcios. Vale ressaltar que os dirigentes da organizao so responsveis por analisar seus recursos e informaes, de modo a identificar a importncia de cada um deles para a continuidade dos negcios. O plano de continuidade de negcios de responsabilidade dos dirigentes da organizao. A equipe de gerncia da segurana pode auxiliar nessa tarefa, mas no pode ser responsabilizada por sua inteira implementao. Tal auxlio pode contemplar a criao, manuteno, divulgao e coordenao do plano de contingncias.
Gesto da continuidade de negcios

11 Combina medidas de preveno e recuperao. 11 Aspectos relevantes: 22 Identificar os processos crticos de negcios. 22 Integrar a gesto da segurana da informao. 11 O plano de continuidade de negcios deve ser implementado. A gesto da continuidade de negcios combina medidas de preveno e recuperao, com o objetivo de impedir a indisponibilidade de servios e atividades do negcio, protegendo,
assim, os processos crticos contra impactos causados por falhas ou desastres e, no caso de perdas, prover a recuperao dos ativos envolvidos e restabelecer o funcionamento normal da organizao em um intervalo de tempo aceitvel. Em particular, imprescindvel identificar os processos crticos na organizao e, em seguida, integrar a gesto da segurana da informao em funo das exigncias da gesto da continuidade de negcios. Alguns exemplos de processos crticos so as operaes gerais, tratamento dos funcionrios, materiais, transporte e instalaes considerando, para o contexto, seus requisitos especficos de continuidade. Sendo assim, importante implementar um plano de continuidade de negcios com vistas recuperao dos processos crticos, dentro do intervalo
de tempo aceitvel ao negcio em caso de desastres. Vale salientar que o plano de continuidade de negcios global para a organizao, mas a segurana da informao deve ser considerada como um de seus componentes. Para obter mais detalhes a respeito da continuidade de negcios, consulte as normas: 11 ABNT NBR 15999-1:2007 Errata 1:2008 Gesto de continuidade de negcios Parte 1: Cdigo de prtica; 11 ABNT NBR ISO 22301:2013 Segurana da sociedade Sistema de gesto de continuidade de negcios Requisitos.
Exerccio de fixao 1 e Gesto da continuidade de negcios

Qual o objetivo da gesto da continuidade de negcios?
152
Quais os processos crticos da sua instituio?
Segurana da informao e gesto da continuidade de negcios

A segurana da informao estratgica. Consideraes: 11 Compreenso dos riscos. 11 Identificao dos processos e ativos crticos. 11 Compreenso dos impactos. 11 Contratos de seguro. 11 Identificao de medidas aplicveis. 11 Identificao dos recursos requeridos. 11 Proteo de recursos de processamento. 11 Documentao detalhada. 11 Testes e manuteno dos planos. Neste tpico, sero apresentadas as principais consideraes para a integrao da segu-
rana da informao gesto da continuidade de negcios. Em especial, tratando da anlise de riscos e sua importncia para ambos. A segurana da informao deve ser contemplada como um item estratgico a considerar para a continuidade de negcios de uma organizao. Sendo assim, ao tratar a incluso da segurana da informao no contexto especfico, as seguintes consideraes devem ser atendidas: 11 Compreenso dos riscos organizao em termos de probabilidades e impactos; 11 Identificao dos processos crticos do negcio e dos ativos diretamente relacionados; 11 Compreenso dos impactos gerados por incidentes de segurana aos negcios; 11 Identificao de contratos de seguro estabelecidos para os ativos crticos da organizao; 11 Identificao das medidas preventivas, corretivas e orientadoras aplicveis; 11 Identificao dos recursos financeiros, de infraestrutura, tcnicos e ambientais necess rios para o levantamento dos requisitos de segurana; 11 Considerao a respeito das medidas relacionadas segurana de Recursos Humanos;
11 Considerao a respeito das medidas que asseguram a proteo de recursos de processamento; 11 Documentao detalhada sobre os requisitos de segurana da informao a serem includos; 11 Formalizao de testes e da manuteno dos planos (de continuidade de negcios e de contingncias, por exemplo). Exemplo de questo a ser considerada no plano de continuidade de negcios: 11 Perda da capacidade de proteo, processamento e recuperao das informaes manipuladas nos computadores da organizao, podendo ocasionar problemas na realizao de seus negcios e no cumprimento de metas previamente estabelecidas em contrato com seus clientes.
153
O exemplo apresenta um problema a ser tratado no plano de continuidade de negcios das organizaes.
Exerccio de fixao 2 e Segurana da informao e gesto da continuidade de negcios

Segundo o ambiente da sua organizao, qual a importncia da compreenso dos impactos gerados por incidentes de segurana aos negcios?
Anlise de riscos e continuidade de negcios

Compreende: 11 Identificar eventos adversos. 11 Analisar riscos (de toda a espcie). Em funo dos resultados da anlise, deve-se elaborar um planejamento de estratgias para a continuidade de negcios.
A gesto da continuidade do negcio deve comear pela identificao dos eventos adversos (identificao das possveis ameaas), seguida de uma anlise de riscos no apenas de segurana, mas de todos os processos de negcio , com o intuito de determinar o impacto das interrupes, tanto em relao escala de dano causado quanto ao perodo de recuperao. Ambas as atividades devem ser executadas com o total envolvimento dos responsveis pelos processos e recursos do negcio. Dependendo dos resultados da anlise de riscos, um planejamento especfico deve ser desenvolvido para determinar a estratgia a ser usada para alcanar a continuidade de negcios. Nessa estratgia, deve-se determinar, por exemplo, o intervalo de tempo aceitvel para recuperao dos sistemas crticos. Com isso, h condies de decidir como e onde investir em medidas de segurana, protegendo os ativos e mantendo as atividades dentro de sua maior normalidade. Uma vez desenvolvido o plano, ele deve ser validado e implementado pelos dirigentes da organizao.
Exerccio de fixao 3 e Anlise de riscos e continuidade de negcios

Qual a finalidade da realizao de uma anlise de risco na gesto da continuidade de negcios?
Plano de continuidade de negcios

11 Estrutura. 11 Desenvolvimento e implementao. 11 Testes. 11 Manuteno e reavaliao.
154
Neste tpico, sero mostradas as fases de implementao de um plano de continuidade de negcios tipicamente propostas para organizaes reais, de modo a considerar todos os requisitos de segurana da informao para a continuidade dos negcios.
Estrutura
Contemplar, pelo menos: 11 Responsabilidades individuais requeridas. 11 Indicao de gestor. 11 Condies para acionamento. 11 Procedimentos para operao temporria durante recuperao. 11 Procedimentos emergenciais. 11 Procedimentos de recuperao. 11 Especificao do cronograma de testes e manuteno. 11 Treinamentos. A estrutura de um plano de continuidade de negcios normalmente deve contemplar:
11 As responsabilidades individuais requeridas para cada uma das atividades propostas no plano; 11 Indicao de um gestor especfico; 11 As condies necessrias para acionamento do plano; por exemplo, como avaliar o evento adverso, a quem notificar etc; 11 Procedimentos que assegurem a operao temporria dos processos e sistemas de negcio enquanto a recuperao estiver em execuo; 11 Procedimentos emergenciais para as situaes nas quais h incidentes que impactam diretamente os negcios; 11 Procedimentos de recuperao de processos e operaes de negcio em um intervalo de tempo aceitvel; 11 Especificao do cronograma de manuteno e testes do plano; 11 Promoo de treinamentos a respeito da continuidade de negcios. Como premissa, destaca-se a necessidade de os ativos e recursos crticos estarem aptos a desempenhar os procedimentos emergenciais e de recuperao propostos no plano.
Considerar, pelo menos: 11 Identificao das responsabilidades e procedimentos. 11 Identificao do grau aceitvel de perdas. 11 Implantao dos procedimentos de recuperao. 11 Conscientizao quanto s responsabilidades. 11 Testes. 11 Manuteno regular. 11 Cpias do plano em locais distintos.
155
Desenvolvimento e implementao
Durante o planejamento da continuidade de negcios, alguns itens so determinantes e indicam o contedo a ser includo no plano com vistas tambm segurana da informao: 11 Identificao das responsabilidades e procedimentos relativos continuidade de negcios; 11 Identificao do grau aceitvel de perdas de informaes e servios; 11 Implantao dos procedimentos destinados recuperao das operaes de negcio e da disponibilidade da informao, considerando o intervalo de tempo aceitvel para o restabelecimento do funcionamento normal das operaes; 11 Conscientizao das pessoas em termos de suas responsabilidades e conhecimento dos procedimentos envolvidos; 11 Testes; 11 Manuteno regular do plano, objetivando refletir mudanas significativas nos negcios da organizao. relevante considerar todas as dependncias externas ao negcio e contratos existentes, em especial, no que diz respeito legislao especfica aplicvel. Recomenda-se, ainda, que sejam mantidas (atualizadas e protegidas) cpias do plano de continuidade de negcios em ambientes remotos, como uma medida de contingncia para situaes de desastres.
Exerccio de fixao 4 e Desenvolvimento e implementao

No ambiente da sua organizao, cite trs itens que so determinantes durante o planejamento da continuidade de negcios.
Testes
O plano de testes indica como e quando cada componente do plano deve ser testado. Tcnicas possveis: 11 Testes de cenrios.
11 Simulaes. 11 Teste de recuperao tcnica. 11 Teste de recuperao em local alternativo. 11 Testes de facilidade de fornecedores e servios. 11 Ensaio completo. O plano de continuidade de negcios deve ser testado regularmente como forma de assegurar sua atualizao e eficincia. Os testes devem garantir tambm que todos os integrantes da equipe de recuperao e outros funcionrios relevantes possuem conhecimento dos planos. Os testes devem indicar como e quando cada um de seus componentes deve ser testado. recomendvel testar os componentes individuais dos planos frequentemente. Vrias tcnicas podem ser utilizadas de modo a garantir a exatido com a qual os planos operaro na vida real. Entre elas, destacam-se: 11 Teste de vrios cenrios (discutindo os acordos de recuperao, por exemplo, usando interrupes);
156
11 Simulaes (particularmente teis para o treinamento de pessoal em seus postos e funes de gerenciamento de crise); 11 Teste de recuperao tcnica (assegurando que os sistemas de informao podem ser efetivamente recuperados); 11 Teste de recuperao em um local alternativo (executando os processos do negcio em paralelo com as operaes de recuperao fora do local principal); 11 Testes de facilidades de fornecedores e servios (garantindo que os servios e produtos fornecidos por fontes externas satisfazem os requisitos contratados); 11 Ensaio completo (testando a organizao, o pessoal envolvido, os equipamentos, as facilidades de processamento e os processos para confirmar que podem enfrentar e superar interrupes do ambiente operacional).
Manuteno e reavaliao
11 Manuteno regular. 11 Atualizar o plano em virtude de mudanas. 22 Nos negcios (objetivos e/ou estratgias). 22 Aquisio de novos equipamentos e sistemas. 22 Legislao. 11 Deve-se estabelecer responsabilidades para reavaliaes regulares.
O plano de continuidade de negcios deve passar por uma manuteno em intervalos regulares de tempo e ser atualizado de forma a garantir sua efetividade. Alm de mudanas nos negcios, entre outras, apresentadas a seguir, que possam indicar necessidades de melhorias do plano, os testes realizados devem ser devidamente documentados e servir como fonte de dados para atualizaes. Mudanas relevantes a serem consideradas na manuteno do plano compreendem a aquisio de novos equipamentos, de novos sistemas (ou a atualizao destes), mudanas de estratgias de negcio e mudanas na legislao. recomendvel estabelecer a responsabilidade para as revises regulares. A identificao das modificaes j ocorridas no negcio, mas ainda no includas no plano, um sinal de que h necessidade de manuteno. O processo de controle de mudana deve garantir que os planos atualizados sero distribudos pelos setores responsveis (e para o local remoto, de modo adequado). Exemplo de recomendao para a continuidade de negcios Comprometimento do ambiente de TI: 11 Em caso de comprometimento comprovado da segurana do ambiente de TI por algum evento no previsto, todas as senhas de acesso devero ser modificadas. Nesses casos, uma verso segura do Sistema Operacional, assim como dos softwares de segurana, dever ser baixada novamente, e as alteraes recentes de usurios e privilgios do sistema devem ser revisadas a fim de detectar modificaes no autorizadas de dados. O exemplo apresenta procedimentos recomendados para serem acionados devido ocorrncia de desastres no ambiente de TI, visando a continuidade de negcios.
157
Exemplo de diretriz para a conscientizao em segurana da informao e continuidade de negcios: 11 A divulgao das regras, riscos, procedimentos e polticas de segurana aos usurios finais deve ser objeto de campanhas internas permanentes, seminrios de conscientizao e quaisquer outros meios ou iniciativas para a consolidao da educao para a segurana da informao.
A diretriz mostrada no exemplo compreende diretamente as preocupaes com a educao para a segurana da informao e, por consequncia, auxilia no sentido de garantir a continuidade de negcios da organizao. O DSIC publicou a Norma Complementar 06/IN01/DSIC/GSIPR Gesto de Continuidade de Negcios em Segurana da Informao e Comunicaes, que aborda o tema de continuidade de negcios para os rgos da Administrao Pblica Federal (APF).
Exerccio de nivelamento 2 e Gesto de incidentes de segurana

O que voc entende por continuidade de negcios?
Como feita a continuidade de negcios na sua instituio?
11 Notificao de eventos adversos. 11 Procedimentos da gesto de incidentes de segurana. 11 Definio de responsabilidades e procedimentos efetivos. 11 Aplicar medidas corretivas aps notificao. 11 Monitoramento regular apropriado como medida de deteco.
Neste tpico, sero apresentados alguns dos principais aspectos relacionados segurana da informao nas organizaes a gesto de incidentes de segurana, apresentando, assim, as preocupaes relativas notificao de incidentes e aos procedimentos necess rios sua gesto. Estude a seo 16 Gesto de incidentes de segurana da informao da norma ABNT NBR ISO/IEC 27002:2013. A gesto de incidentes de segurana da informao engloba a definio de responsabilidades e procedimentos efetivos para o controle de eventos adversos (incidentes) aps a notificao. Sendo assim, a gesto de incidentes envolve procedimentos para a notificao de eventos adversos de segurana e aplicao de medidas adequadas para sua resoluo. Vale observar que, alm da notificao, importante um efetivo monitoramento da organizao como medida de deteco de incidentes de segurana.
158
Notificao de eventos adversos

11 Efetuada para acionar as medidas adequadas em tempo aceitvel. 11 As pessoas devem ser conscientizadas a respeito dos procedimentos de notificao. 11 As notificaes devem ser emitidas aos responsveis diretos pela gesto de incidentes. Uma srie de eventos adversos (ou incidentes de segurana) pode ocorrer nas organizaes, como, por exemplo, perdas de equipamentos e recursos; sobrecarga de sistemas;
violaes de controles de acesso fsico/lgico; mau funcionamento de hardware/software, cdigos maliciosos, negao de servio (DoS Denial of Service), uso imprprio de sistemas de informao, entre outros. A notificao de eventos adversos deve ser efetuada para que a ao corretiva adequada seja aplicada em tempo hbil. Nesse sentido, importante que todas as pessoas (funcionrios, terceiros etc.) sejam informadas a respeito dos procedimentos formais necessrios para a notificao e que, assim, se tornem responsveis por notificar qualquer evento adverso ou vulnerabilidade que possa causar impacto segurana da informao da organizao. Vale salientar que as notificaes devem ser emitidas para o responsvel (pessoa ou equipe) direto por receb-las na organizao. Com isso, importante identificar quem o respon svel antecipadamente e de modo formal. Alm disso, pode-se utilizar ferramentas como formulrios especficos para auxiliar as pessoas na preparao da notificao e, ainda, registrar o evento adverso.
Exerccio de fixao 5 e Notificao de eventos adversos

Qual a finalidade da notificao de eventos adversos?
Procedimentos da gesto de incidentes de segurana

Aes efetivas, rpidas e ordenadas. Compreendem: 11 Planos de contingncias. 11 Identificao e anlise da causa do incidente.
Para a gesto de incidentes de segurana, preciso estabelecer procedimentos adequados a serem seguidos aps sua notificao. Nesses procedimentos, devem constar as aes efetivas a serem tomadas de modo ordenado e rpido. Os procedimentos de gesto de incidentes de segurana devem contemplar: 11 Planos de contingncia; 11 Identificao e anlise da causa do incidente de segurana. A anlise, em particular, deve fornecer informaes a respeito dos tipos, quantidades e custos relativos aos incidentes de segurana de modo a dar uma ideia do impacto de sua ocorrncia para a organizao (negcios, principalmente) e, por consequncia, dar indcios a respeito das necessidades quanto ao a ser tomada; 11 Planejamento e implementao de uma ao corretiva que evite a repetio do incidente.
159
11 Planejamento e implementao de medidas corretivas.
Uma questo relevante deve ser considerada: manter procedimentos que determinem quem contatar e quando contatar em casos de incidentes que envolvam autoridades como, por exemplo, corpo de bombeiros e agentes de fiscalizao. Manter tais informaes importante tanto para a gesto de incidentes de segurana quanto para a gesto da continuidade dos negcios. O DSIC publicou a Norma Complementar 05/IN01/DSIC/GSIPR Criao de Equipes de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR), que apresenta modelos de criao de ETIR para os rgos da Administrao Pblica Federal (APF).
Exerccio de fixao 6 e Procedimentos da gesto de incidentes de segurana

O que deve ser contemplado nos procedimentos da gesto de incidentes de segurana?
Planos de contingncias
Aspectos importantes: 11 Recursos financeiros, humanos e de infraestrutura. Fases: 11 Resposta imediata a desastres. 11 Processo de recuperao.
A seguir sero apresentados os aspectos relacionados importncia dos planos de contingncia nas organizaes e suas fases de planejamento. Implementar (planejar, elaborar e implantar) um plano de contingncias envolve recursos financeiros, acordos, cooperao dos funcionrios e, muitas vezes, auxlio de consultorias tcnicas externas e empresas especializadas em segurana ou seguros. Em adio, devem ser tambm considerados os custos com treinamentos, testes e manuteno do plano. Um plano de contingncias deve contemplar duas fases: resposta imediata a desastres
(inclusive incidentes de segurana) e processo de recuperao. Na primeira fase, deve-se considerar as decises gerenciais quanto s medidas a serem aplicadas e, na segunda fase, deve-se definir os procedimentos necessrios ao restabelecimento das funes, sistemas e recursos. O plano de contingncias pode incluir etapas distintas (e complementares) de recuperao, de modo que, ao longo do tempo, o funcionamento normal da organizao seja restabelecido. A seguir, sero apresentadas descries de fases que compreendem o planejamento de contigncias e os respectivos detalhes.
Fases do planejamento
11 Atividades preliminares. 11 Anlise de impactos. 11 Anlise de alternativas de recuperao. 11 Desenvolvimento do plano de contingncias.
160
11 Treinamento. 11 Testes. 11 Avaliao e atualizao do plano. Antes do planejamento, importante responder s seguintes questes: 11 Quais so os objetivos? 11 Qual o oramento? 11 Quais so os prazos? 11 Quais so os recursos humanos disponveis? 11 Quais so os equipamentos e demais suprimentos necessrios? 11 Quais so as responsabilidades da equipe responsvel pelo planejamento?
Com todas as respostas, pode-se iniciar o planejamento de contingncias, seguindo as fases: 11 Atividades preliminares, envolvendo a conscientizao dos dirigentes da organizao, a identificao dos recursos e informaes crticas, anlise de custos e definio de prazos; 11 Anlise de impacto, visando identificar os impactos causados por interrupo de servios providos por cada sistema computacional da organizao, considerando, para tanto, a importncia de cada um deles para a continuidade dos negcios; 11 Anlise das alternativas de recuperao, que procura verificar a relao custo x benefcio das vrias opes para recuperao aps desastres. importante que, exatamente aps essa fase, seja elaborado e entregue aos dirigentes da organizao um documento relatando as anlises e recomendaes para a continuidade dos negcios; 11 Desenvolvimento do plano de contingncias aps a anlise do relatrio apresentado ao final da fase anterior; tem por objetivo elaborar o contedo do plano; 11 Treinamento, objetivando a conscientizao das pessoas quanto a suas responsabilidades perante o plano; 11 Teste do plano de contingncias, visando identificar melhorias atravs de adaptaes ou correes; 11 Avaliao dos resultados e atualizao do plano, na qual os resultados dos testes so avaliados e iniciado o processo de modificao do plano conforme as melhorias propostas.
Atividades preliminares
11 Iniciativas para a conscientizao dos dirigentes. 11 Levantamento preliminar de recursos, sistemas e funes crticas aos negcios. As atividades preliminares do planejamento de contingncias compreendem basicamente todas as iniciativas de conscientizao dos dirigentes a respeito das necessidades e um estudo preliminar a respeito dos itens crticos para a organizao.
q
No possvel implantar um plano de contingncias sem a real sensibilizao dos dirigentes da organizao, muito menos sem seu apoio total. No estudo preliminar dos servios crticos, so levantados recursos, sistemas e funes crticas aos negcios da organizao, e tambm custos, prazos e recursos humanos necessrios realizao da anlise de impacto (a prxima fase do planejamento). Note aqui a importncia de apresentar esse estudo aos dirigentes da organizao, com o intuito de obter sua aprovao.
161
Exerccio de fixao 7 e Plano de contingncias

Quais so as fases de um plano de contingncia e o que deve ser contemplado em cada fase?
Quais so as atividades preliminares do planejamento de contingncia?
Anlise de impacto
Atividade importante para a tomada de decises estratgicas. Subfases: 11 Identificao e classificao dos recursos, sistemas e funes crticas. 11 Definio do tempo para recuperao. 11 Elaborao de relatrio especfico.
Nesta fase, so identificados e classificados, em funo de sua importncia para os negcios da organizao, as funes, os sistemas e recursos, considerando, para tanto, as possveis ameaas a que esto expostos. Essa anlise um elemento importante para que os dirigentes possam tomar decises a respeito dos investimentos a serem aplicados em medidas de segurana, com vistas continuidade de seus negcios. No processo de anlise de impactos, importante realizar entrevistas com diferentes gerentes de equipe de setores especficos e crticos para os negcios da organizao, equipes de suporte e usurios de sistemas. A anlise de impacto pode ser dividida em trs subfases: identificao dos recursos, funes e sistemas crticos, definio do tempo para recuperao e elaborao de relatrio. Pode causar
Ameaa
Dano
Impacto
Indiretos
$$$$$
Diretos
Figura 9.1
Sequncia at o impacto.
Exerccio de fixao 8 e Anlise de impacto

Especifique as subfases de uma anlise de impacto:
162
Identificao dos recursos, funes e sistemas crticos

11 Identificar e classificar segundo as prioridades para os negcios. 11 Essencial tomada de decises quanto a contingncias.
Nesta subfase, deve-se considerar tanto a identificao de recursos, funes e sistemas crticos, quanto sua classificao. Segue uma proposta para classificao que pode ser usada em organizaes reais: 11 Altamente importantes (essenciais); 11 De importncia mdia; 11 De baixa importncia. Note que identificao e classificao geram dados essenciais tomada de deciso a respeito do escopo do plano de contingncia, garantindo um funcionamento da organizao em um nvel de servio aceitvel.
Definio do tempo para recuperao e elaborao de relatrio

Determinar o intervalo de tempo aceitvel para paradas. No relatrio, destacar: 11 Recursos, sistemas e funes identificadas e classificadas. 11 Descrio das potenciais ameaas. 11 Intervalo de tempo aceitvel para recuperao. 11 Levantamento de recursos necessrios recuperao aps desastres. Na subfase de definio do tempo para recuperao, determina-se o intervalo de tempo
aceitvel de indisponibilidade de cada funo, recurso e sistema em funo da criticidade e do impacto relativos. Como resultado, tem-se o intervalo de tempo aceitvel para a recuperao do recurso, sistema ou funo. No relatrio, deve-se destacar: 11 Os recursos, sistemas e funes identificados e classificados em ordem de importncia para a organizao; 11 Uma descrio das ameaas potenciais para cada recurso, sistema e funo;
11 O intervalo de tempo tolervel para a recuperao de cada recurso, sistema e funo; 11 O levantamento de recursos humanos, instalaes, equipamentos e servios requisitados para o restabelecimento e recuperao de cada recurso, sistema e funo. Ao final das trs subfases, o relatrio basear os dirigentes da organizao na tomada de deciso quanto implantao do plano de contingncias.
Anlise de alternativas de recuperao

Considerar necessidades reais da organizao. Existem vrias alternativas: 11 Preveno e deteco de acidentes. 11 Poltica adequada de backup. 11 Armazenamento e recuperao de dados. 11 Seguros.
163
Nesta fase, alternativas como preveno e deteco de acidentes, controle de backups, estratgias confiveis para armazenamento e recuperao de dados, seguros, espelhamento de sistemas e recursos, entre outras alternativas de recuperao no caso de desastres, so analisadas e selecionadas para serem implantadas em casos especficos de necessidade de contingncia, considerando os resultados obtidos nas fases anteriores do planejamento. Em termos de preveno e deteco de acidentes, recomendvel considerar equipamentos de deteco e combate a incndios; a manuteno preventiva de equipamentos; a proteo de documentos no magnticos (impressos, por exemplo); a segurana adequada de recursos humanos etc. A poltica de backup um dos elementos mais importantes de um plano de contingncias; afinal, um sistema que passou por problemas pode ser comparado com seu backup (se mantido atualizado e completo), possibilitando sua restaurao. Portanto, cabe poltica de backup determinar todos os procedimentos necessrios proteo das informaes da organizao de acordo com sua importncia para os negcios. Vale lembrar que a infraestrutura e os procedimentos de backup devem ser testados regularmente, para que a recuperao, em caso de problemas de segurana, seja realmente assegurada. Em termos de armazenamento de dados, deve-se considerar a segurana adequada aplicada mdia e o local de armazenamento utilizado, inclusive considerando o armazenamento remoto de cpias. Para a recuperao de dados armazenados, recomendado testar regularmente os procedimentos de restaurao usados. Lembre-se de que, se a recuperao de dados for falha, de nada servir manter backups. Deve-se tambm considerar a possibilidade de contratar seguros para cobrir potenciais perdas causadas por incidentes de segurana.
Exerccio de fixao 9 e Anlise de alternativas de recuperao

Por que a poltica de backup importante em um plano de contingncia?
Relatrio de alternativas de recuperao

11 Descrio das opes. 11 Estimativas de custos. 11 Vantagens e desvantagens. 11 Recursos necessrios.
Aps a anlise de alternativas, deve-se elaborar um relatrio detalhado a respeito das opes para recuperao, estimativas de custos e vantagens e desvantagens de cada alternativa. Cabe tambm destacar os recursos humanos, financeiros e de infraestrutura requeridos para a prxima fase. Tal relatrio tambm apoiar os dirigentes da organizao nas tomadas de deciso estratgicas quanto ao plano de contingncia.
164
Desenvolvimento do plano de contingncias

11 Designar equipe responsvel. 11 Determinar como responder a desastres. 11 Identificar aplicativos crticos. 11 Manter inventrio de arquivos, dados, Sistema Operacional e utilitrios. 11 Levantar necessidades especiais. Durante o desenvolvimento do plano de contingncias, deve-se atentar para as seguintes orientaes, pelo menos:
11 Designar uma equipe para implantar o plano de contingncias, inclusive dividindo-a por rea de atuao. Por exemplo, equipe gerencial, que tratar da coordenao das atividades relacionadas, e equipe de resposta imediata a incidentes, que acionar as medidas adequadas aos incidentes de segurana ocorridos; 11 Determinar como responder a desastres em tempo hbil, contemplando a identificao e compreenso do problema; conteno de danos; identificao dos danos causados; restaurao dos sistemas e eliminao das causas dos desastres; 11 Identificar os aplicativos crticos, aos quais devero ser aplicadas medidas emergenciais em situaes de desastre; 11 Manter um registro (ou inventrio) de arquivos, dados, programas, Sistema Operacional e utilitrios relacionados aos aplicativos crticos, assegurando que todos sero includos nos procedimentos de backup e recuperao; 11 Levantar as necessidades de condies especiais requeridas por parte das redes de comunicao; 11 Considerar cuidados como retirada de pessoal e garantia da segurana de documentos em papel e em meios magnticos.
Treinamentos e testes
11 Treinamentos devem ser regulares e compreender teoria, prticas e simulaes. 11 Testes podem ser feitos nas categorias: 22 Integral. 22 Parcial.
Deve-se considerar nesta fase iniciativas para a conscientizao dos funcionrios e terceiros quanto ao plano de contingncias da organizao. Sendo assim, os treinamentos devem ser regulares, envolvendo simulaes, teoria e prtica. Uma das garantias que a organizao pode considerar, em termos do plano de contingncias, o resultado dos testes aplicados a ele. Em termos prticos, os testes podem ser classificados nas seguintes categorias: 11 Integral, envolvendo situaes prximas realidade da organizao; por exemplo, contemplando a verificao de procedimentos de transferncia de pessoas e processamento para locais de reserva; 11 Parcial, restrita a partes do plano de contingncias ou a certas atividades ou aplicativos;
165
22 Simulado.
11 Simulado, considerando representaes da situao de desastre; por exemplo, desocupao do prdio da organizao em uma simulao de incndio. Durante os testes, deve-se cronometrar todos os eventos relacionados e registrar todos os problemas ocorridos, se possvel indicando uma classificao de acordo com sua gravidade.
Exerccio de fixao 10 e Treinamentos e testes

Como podem ser classificados os testes?
Avaliao e atualizao do plano

A avaliao e atualizao do plano devem ser contnuas e refletir mudanas: 11 Nos negcios. 11 No ambiente. 11 Em questes administrativas.
Em funo de mudanas nos objetivos de negcio, mudanas administrativas e de ambiente computacional, por exemplo, deve-se tambm atualizar o plano de contingncias, de modo que este reflita tais mudanas, minimizando impactos ocasionados por falhas de segurana. Exemplos de recomendaes para a preveno de incidentes de segurana da informao: 11 No permitido, a menos que com a devida autorizao, interferir, sobrecarregar ou desativar um servio, inclusive aderir ou cooperar com ataques de negao de servios internos ou externos. 11 vetada aos usurios a execuo de testes ou tentativas de comprometimento de controles internos. Esta prtica permitida apenas a pessoas com competncia e funo tcnica na organizao, durante atividades de monitoramento e anlise de riscos, com a autorizao legtima para tal. Os exemplos apresentam algumas recomendaes que podem fazer parte da poltica de
segurana ou das diretrizes de segurana da informao, objetivando a ocorrncia de incidentes de segurana. Todas as recomendaes so consideradas genricas e aplicveis em organizaes reais.
Boas prticas
11 Documentar incidentes de segurana. 11 Identificar recursos, sistemas e funes crticas. 11 Analisar impactos. 11 Avaliar alternativas e selecionar as adequadas. 11 Elaborar o plano segundo as necessidades reais. 11 Promover treinamentos peridicos. 11 Efetuar testes regulares. 11 Manter o plano atualizado.
166
Na procura por uma adequada gesto de incidentes e um plano de contingncias efetivo para uma organizao, algumas prticas so recomendadas: 11 Documentar todos os incidentes de segurana e aes tomadas, para possibilitar uma investigao posterior das causas; 11 Identificar recursos, funes e sistemas crticos e suas prioridades em funo dos negcios; 11 Analisar o impacto ocasionado por ameaas de segurana na organizao; 11 Avaliar alternativas de recuperao, procurando identificar as mais adequadas ao contexto; 11 Elaborar o plano de contingncias de acordo com os recursos disponveis (financeiros, de recursos humanos e de infraestrutura); 11 Treinar pessoas, conscientizando-as a respeito de suas responsabilidades junto ao plano de contingncias; 11 Efetuar testes regulares no plano de contingncias e nos procedimentos de recuperao estabelecidos na organizao.
167
168
Atividade 9.1 Entendendo os conceitos de Gesto de Continuidade de Negcios
1. Explique o que a Gesto de Continuidade de Negcios.
2. Que consideraes devem ser atendidas no tratamento da segurana da informao no contexto da continuidade de negcios?
Atividade 9.2 Executando a continuidade de negcios

1. Qual a estrutura mnima de um Plano de Continuidade de Negcios (PCN)?
2. O que a gesto de incidentes de segurana deve contemplar?
3. Qual a importncia da notificao de eventos adversos?
169
4. Quais devem ser os procedimentos da gesto de incidentes de segurana?
5. Descreva o que deve ser feito durante a anlise de impacto no decorrer das fases do planejamento de contingncias.
6. Explique o que o tempo de recuperao e, atravs de um exemplo prtico, indique como ele deve ser empregado.
Atividade 9.3 Executando a continuidade de negcios e a gesto de incidentes na sua organizao

1. Como integrante do comit de segurana da informao, voc foi indicado(a) para apresentar um plano de Continuidade de Negcios (PCN) para sua organizao. Durante a apresentao do tema, considerando a atual estrutura e objetivos da sua instituio, que atividades devem ser listadas para desenvolver este plano?
170
2. Voc assumiu a responsabilidade de estruturar uma equipe de Tratamento e Respostas a Incidentes para redes computacionais (ETIR) para sua organizao. Como voc vai estruturar esta equipe? Que profissionais da sua organizao integraro o ETIR? Quais sero os objetivos do ETIR?
171
172
10
Conformidade
objetivos
Verificar a conformidade com polticas e normas de segurana da informao e avaliar a conformidade com a legislao.
conceitos
Legislao e direito digital no Brasil, verificao da conformidade com requisitos legais e auditoria.
Legislao e direito digital no Brasil

11 Importncia da legislao. 11 Direito digital. 11 Legislao e direito digital no Brasil. 11 Direito digital e necessidades atuais.
Em termos de legislao e direito digital no Brasil, sero apresentados os seguintes subtpicos: 11 Importncia da legislao, mostrando os itens relevantes, em termos de legislao, para a segurana da informao; 11 Direito digital, apresentando a definio e questes relacionadas; 11 Legislao e direito digital no Brasil, dando uma viso geral a respeito das leis vigentes atualmente, com respeito tecnologia e segurana da informao; 11 Direito digital e necessidades atuais, identificando as necessidades atuais quanto ausncia de legislao especfica no que se refere ao direito digital no Brasil; 11 Estudo de caso, objetivando apresentar uma atividade prtica correspondente, com o intuito de oferecer aos participantes uma reflexo a respeito de possveis medidas pre Captulo 10 - Conformidade
ventivas para o caso estudado.
Exerccio de nivelamento 1 e Conformidade

O que voc entende por conformidade?
173
Como feita a conformidade na sua instituio?
Importncia da legislao
Nas organizaes, deve-se evitar o comprometimento e violao de: 11 Leis criminais ou civis. 11 Estatutos. 11 Regulamentaes. 11 Obrigaes contratuais. 11 Requisitos de segurana da informao. Os aspectos legais especficos devem ser considerados (legislao varia de acordo com o pas). crescente a preocupao com a legislao e padres relacionados segurana da infor-
mao, dada a sua importncia para a sociedade atual. Sendo assim, vrios projetos legislativos, padres e normas j foram definidos ou esto em evoluo ou em desenvolvimento. As leis, em particular, garantem a proteo dos direitos aplicveis segurana da informao e preveem sanes legais s situaes de fraude. Com base em padres e normas, as organizaes podem estabelecer suas polticas de segurana e processo de auditoria adaptados ao seu ramo de negcio. Vale esclarecer que, na maioria dos casos, padres tm mbito internacional, enquanto normas e leis, mbito nacional. Sendo assim, h variaes quanto a padres, normas e leis aplicadas em pases distintos. As organizaes devem garantir proteo contra a violao de quaisquer leis criminais ou civis, estatutos, regulamentaes, obrigaes contratuais e requisitos de segurana da informao, objetivando a garantia de conformidade legal e da sade institucional. Nesse contexto, recomendam-se os servios de consultoria prestados por empresas ou profissio nais especializados na rea jurdica (direito digital) e da segurana da informao. Na procura por conformidade legal, salutar que a organizao busque e se mantenha atualizada quanto legislao vigente e normas e padres de segurana aplicveis. No Brasil, a
Associao Brasileira de Normas Tcnicas (ABNT) estabelece normas a serem seguidas por produtos e servios, inclusive aqueles relacionados segurana da informao. Em nvel internacional, destacam-se, na rea, a International Organization for Standardization (ISO) e a International Electrotechnical Comission (IEC). Entre as normas diretamente relacionadas gesto da segurana da informao, destacam-se as normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013.
Direito digital
Estabelece os princpios e instrumentos jurdicos que atendem era digital, e envolve questes multidisciplinares: 11 Civil. 11 Trabalhista. 11 Constitucional. 11 Consumidor.
174
11 Penal. 11 Autoral. 11 Contratual. O direito digital compreende um conjunto de princpios fundamentais e instrumentos jur-
dicos que atendem aos requisitos da era digital e envolvem questes multidisciplinares relevantes, a saber: civil, trabalhista, constitucional, do consumidor, penal, autoral e contratual. A seguir, so apresentados questionamentos exemplares relativos s questes tratadas na alada do direito digital: 11 Questo civil: a montagem de um website falsificado na internet, prejudicando determinada organizao, pode ocasionar indenizao por danos morais e materiais? 11 Questo trabalhista: a demisso de um funcionrio por mau uso de correio eletrnico caracterizada como justa causa? 11 Questo constitucional: o monitoramento do e-mail dos funcionrios viola o direito privacidade? 11 Questo do consumidor: o compartilhamento de dados coletados na internet fere o Cdigo de Defesa do Consumidor (CDC)? 11 Questo penal: se um funcionrio instalar programas piratas na mquina de trabalho, a empresa responde judicialmente? 11 Questo autoral: a empresa tem direito aos cdigos-fonte dos softwares que encomenda a terceiros? 11 Questo contratual: os e-mails trocados entre as partes podem ser usados como prova de uma relao contratual? Exemplo de recomendao para uso de recursos de TI, definida na poltica de segurana: 11 Somente atividades lcitas, ticas e administrativamente admitidas devem ser realizadas pelo usurio no mbito da infraestrutura de TI, ficando os transgressores sujeitos lei penal, civil e administrativa, na medida da conduta, dolosa ou culposa, que praticarem. A recomendao proposta no exemplo aplicvel s organizaes, uma vez que seja devidamente documentada na poltica de segurana e que esta seja efetiva na organizao, isto , devidamente implementada, divulgada e exigida.
Exerccio de fixao 1 e Direito digital

O que direito digital e como se aplica na sua organizao?
Legislao e direito digital no Brasil

As leis no avanam a passos largos. Histrico: 11 Cdigo de Defesa do Consumidor, 1990. 11 Propriedade Industrial Lei 9.279, 1996. 11 Constituio Federal, 1988.
175
Captulo 10 - Conformidade
11 Propriedade Intelectual Lei 9.610, 1998. 11 Cdigo Penal Lei 9.983, 2000 Lei 11.106, 2005. 11 Cdigo Civil, 2002/2003. 11 Novas regulamentaes Sarbanes, Basilia II e CVM 358, 2003/2004. fato que a tecnologia da informao avana a passos largos e a era digital se consolida;
todavia, as leis que compreendem o direito digital no Brasil no conseguem acompanhar tal evoluo. Pode-se notar tal evidncia com base no histrico a seguir, que apresenta, por sua vez, algumas leis e cdigos relacionados ao direito digital no Brasil. importante ressaltar, assim, que h responsabilidades civis e criminais para os que trabalham com tecnologia da informao e segurana da informao no Brasil. Portanto, organizaes pblicas e privadas, servidores pblicos e funcionrios devem conhecer suas responsabilidades e atribuies legais.
Legislao aplicvel segurana da informao

11 Decreto 3.505, 13 de junho de 2000, do Poder Executivo, Artigos 1 e 3. 11 Artigo 5 da Constituio Federal. 11 Lei 8.112/90, Inciso VIII do Artigo 116. 11 Lei 9.609/98, Artigo 12. 11 Cdigo Penal, Artigos 307 e 308. 11 Decreto 5.110, 2004. 11 Decreto 5.244, 2004. 11 PLC 35/2012 Projeto de lei da Cmara dos Deputados que tipifica crimes cibernticos. 11 PL 2.126/11 Proposta do marco civil da internet 11 PLS 00481/2011 Crimes de constrangimento e ameaa praticados nas redes sociais.
O Decreto 3.505, de 13 de junho de 2000 do Poder Executivo, em seu Artigo 3, determina os objetivos da poltica da informao a serem aplicados nas organizaes: 11 IV Estabelecer normas jurdicas necessrias efetiva implementao da segurana
da informao; 11 V Promover as aes necessrias implementao e manuteno da segurana da informao. O Artigo 5 da Constituio Federal determina em X: So inviolveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurando o direito indenizao pelo dano material ou moral decorrente de sua violao. A Lei 8.112/90, inciso VIII do Artigo 116, determina: O servidor pblico tem o dever de guardar sigilo sobre assunto da repartio. E, no artigo 132, define a pena de demisso para o servidor que revelar segredo de que se apropriou em razo do cargo ou funo. A Lei 9.609/98 determina, no Artigo 12: Violar direitos de autor de programa de computador: pena de deteno de 6 meses a 2 anos ou multa. O Cdigo Penal determina, no Artigo 307: Atribuir-se ou atribuir a terceiro falsa identidade para obter vantagem, em proveito prprio ou alheio, ou para causar dano a outrem: pena de deteno de 3 meses a um ano ou multa. E no Artigo 308: Usar, como prprio, passaporte, ttulo de eleitor ou qualquer documento de identidade alheia ou ceder a outrem, para que dele se utilize, prprio ou de terceiro: pena de deteno de 4 meses a 2 anos e multa.
176
O Decreto 5.110, de 2004, que acresce inciso ao Artigo 7 do Decreto 3.505/2000, institui a poltica de segurana da informao nos rgos e entidades da administrao pblica. O Decreto 5.244, de 2004, dispe sobre a composio e o funcionamento do Conselho Nacional de Combate Pirataria e Delitos Contra a Propriedade Intelectual e institui outras providncias. Decreto N 7.845, de 14 de novembro de 2012, que Regulamenta procedimentos para credenciamento de segurana e tratamento de informao classificada em qualquer grau de sigilo, e dispe sobre o Ncleo de Segurana e Credenciamento (substituiu o Decreto 4553); Links interessantes: 11 Imprensa Nacional: www.in.gov.br 11 Presidncia da Repblica Federativa do Brasil Legislao: www.presidencia.gov.br/legislacao/ 11 Legislao Especfica Relacionada Segurana da Informao: http://dsic.planalto.gov.br/legislacaodsic/54 11 Documentos considerados sigilosos da Portaria n 25, de 15 de maio de 2012: http://sintse.tse.jus.br/documentos/2012/Mai/16/portaria-no-25-de-15-de-maio-de-2012-classifica
Exerccio de fixao 2 e Legislao aplicvel segurana da informao

Qual o objetivo do decreto 3.505, de 13 de junho de 2000?
Exemplos de infraes digitais

A tabela seguinte apresenta exemplos de infraes digitais ocorridas em ambiente corporativo com a caracterizao do crime e a legislao: Conduta Enviar vrus, comando, instruo ou programa de computador que destrua equipamento ou dados eletrnicos. Publicar foto em rede de relacionamento contendo gestos ou imagens obscenas. Copiar um contedo sem mencionar a fonte; baixar MP3 ou filme, ilegalmente. Crime Dano. Legislao Art. 163, Cd. Penal Art. 233, Cd. Penal Art. 184, Cd. Penal Pena Deteno de 1 a 6 meses ou multa. Deteno de 3 meses a 1 ano ou multa. Deteno de 3 meses a 1 ano ou multa (se a violao for com o intuito de lucro: recluso de 1 a 4 anos e multa). Deteno de 1 ms a 1 ano ou multa. Recluso de 1 a 3 anos e multa.
Ato obsceno.
Violao de direito autoral.
Criar uma comunidade virtual que ridicularize pessoas por conta de suas religies. Participar de comunidade virtual que discrimine pessoas por conta de sua etnia (por exemplo: eu odeio nordestino, eu odeio negros).
Escrnio por motivo religioso. Discriminao por preconceito de raa, cor, etnia, religio ou procedncia nacional.
Art. 208, Cd. Penal Art. 20, Lei 7716/89
177
Conduta Enviar e-mail dizendo caractersticas negativas de uma pessoa (por exemplo: feia, gorda, ignorante, incompetente etc.). Enviar e-mail a terceiros contendo informao considerada confidencial. Enviar e-mail dizendo que vai matar a pessoa ou causar-lhe algum mal. Enviar e-mail com remetente falso ou fazer cadastro em loja virtual com nome de terceiros.
Crime Injria (expor-se na internet pode virar difamao).
Legislao Art. 140, Cd. Penal Art. 139, Cd. Penal Art. 153, Cd. Penal Art. 147, Cd. Penal Art. 307, Cd. Penal
Pena Deteno de 1 a 6 meses ou multa. Deteno de 3 meses a 1 ano e multa. Deteno de 1 a 6 meses ou multa. Deteno de 1 a 6 meses ou multa. Deteno de 3 meses a 1 ano ou multa, se o fato no constituir elemento de crime mais grave. Deteno de 6 meses a 2 anos e multa. Recluso de 1 a 4 anos e multa. Deteno de 3 meses a 2 anos e multa.
Divulgao de segredo. Ameaa. Falsa identidade.
Falar em chat ou comunidade que algum cometeu algum crime (por exemplo: fulano um ladro). Efetuar transferncia financeira atravs de internet banking com dados bancrios de terceiros. Funcionrio pblico acessar a rede corporativa e alterar informaes sem autorizao.
Calnia.
Art. 138, Cd. Penal Art. 155, Cd. Penal Art. 313-B, Cd. Penal
Furto.
Modificao ou alterao no autorizada de sistemas de informao.
Direito digital e necessidades atuais

Exemplos: 11 Privacidade x monitoramento. 11 Segurana da informao x usurio. 11 Responsabilidade por atividades realizadas. 11 Limites de responsabilidade em ambientes externos. 11 Guarda da prova.
Tabela 10.1 Infraes digitais em ambiente corporativo. Fonte: Patricia Peck Pinheiro Advogados.
Em termos de necessidades atuais quanto legislao e ao direito digital, h uma srie de questes indefinidas, tais como as exemplificadas a seguir: 11 Privacidade x monitoramento, por exemplo, quanto ao uso, por parte de funcionrios, de endereo de e-mail corporativo para receber contedo privado; 11 Segurana da informao x usurio, em particular, no sentido de estabelecer claramente os direitos e sanes legais aplicveis em caso de problemas; 11 Responsabilidades por atividades realizadas em equipamentos da empresa so relevantes, pois equipamentos so ativos e devem ser utilizados de modo a no ocasionar processos judiciais; 11 Limites de responsabilidades em ambientes externos devem ser considerados ao lidarmos com solues como acesso remoto rede da organizao ou solues de home office; 11 Quanto necessidade da guarda da prova, documentos digitais, tais como e-mail, no possuem legislao especfica que determine seu uso como prova.
178
Enquanto a legislao referente ao direito digital no for estabelecida por completo, regras claras para a conduta dos funcionrios, dirigentes, terceirizados e demais envolvidos devem ser elaboradas pelas organizaes. Tal conduta deve ser monitorada e controlada, e os usurios devidamente orientados a respeito de seus limites e responsabilidades quanto s aes realizadas na organizao. sempre importante lembrar que divulgar e orientar so os dois principais fatores para limitar riscos.
Lei de Acesso a Informao

11 Lei de acesso a informaes pblicas, Lei n 12.527, de 18 de novembro de 2011. 11 Trata dos procedimentos a serem observados para o cumprimento do direito constitucional da garantia de acesso s informaes. 11 Princpio: as informaes referentes atividade do Estado, em qualquer nvel, so pblicas, salvo excees expressas na legislao. 11 Poltica de Classificao da Informao. Em 18 de novembro de 2011, foi sancionada a lei de acesso a informaes pblicas, Lei n 12.527, de 18 de novembro de 2011, que foi regulamentada pelo Decreto N 7.724, de 16 de maio de 2012.
A Lei de Acesso a Informao (LAI) trata dos procedimentos a serem observados para o cumprimento do direito constitucional da garantia de acesso s informaes. A LAI possui um princpio bastante simples: as informaes referentes atividade do Estado, em qualquer nvel, so pblicas, salvo excees expressas na legislao. Dessa forma, ela regulamenta o direito informao garantida pela Constituio Federal, no inciso XXXIII, do Captulo I dos Direitos e Deveres Individuais e Coletivos: todos tm direito a receber dos rgos pblicos informaes de seu interesse particular, ou de interesse coletivo ou geral, que sero prestadas no prazo da lei, sob pena de responsabilidade, ressalvadas aquelas cujo sigilo seja imprescindvel segurana da sociedade e do Estado. Assim, a divulgao de informaes ganha procedimentos para facilitar e otimizar o acesso. Existem duas vertentes principais para o acesso informao: disponibilizao para consulta, situao em que a informao solicitada pelo interessado; e divulgao de informa-
d
O DSIC publicou em junho de 2013 a Norma Complementar n 01/IN02/NSC/GSIPR e seus anexos (Anexo A e Anexo B) Disciplina o Credenciamento de Segurana de Pessoas Naturais, rgos e Entidades Pblicas e Privadas para o Tratamento de Informaes Classificadas.
es de interesse coletivo ou geral atravs da publicao no site institucional. A Lei n 12.527/11 prev excees ao acesso informao nos seguintes casos de informaes classificadas como sigilosas pelas autoridades competentes e as relacionadas s demais hipteses legais de sigilo, como as informaes pessoais, relativas intimidade, vida privada, honra e imagem. Nesse ponto, destaca-se a importncia da rea de TI da organizao bem como dos procedimentos quanto segurana da informao para que seja preservado o sigilo e a privacidade quando for o caso. Outro ponto importante que para poder tratar adequadamente informaes (vide item 8.2 da ABNT NBR ISO/IEC 27002:2013 e Decreto N 7.845, de 14 de novembro de 2012). Ainda sobre classificao da informao, a ABNT tem a norma ABNT NBR 16167:2013 Segurana da Informao Diretrizes para classificao, rotulao e trata mento da informao.
as informaes, a organizao necessita implementar uma poltica de classificao das
179
Verificao da conformidade com requisitos legais

11 Legislao vigente. 11 Propriedade intelectual. 11 Proteo de registros organizacionais. 11 Proteo de dados e privacidade de informaes pessoais. 11 Preveno do mau uso de recursos de processamento das informaes. 11 Controles de criptografia. Em termos da verificao da conformidade com requisitos legais, sero apresentados os seguintes subtpicos: Legislao vigente, mostrando as questes importantes a considerar em termos de documentos legais da prpria organizao e da legislao vigente no Brasil. Os tpicos Propriedade intelectual, Proteo de registros organizacionais, Proteo de
dados e privacidade de informaes pessoais, Preveno do mau uso de recursos de processamento das informaes e Controles de criptografia so apresentados com o objetivo de indicar algumas das preocupaes com a segurana da informao e legislao vigentes nas organizaes. Em particular, esses tpicos so devidamente documentados como recomendaes nas normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013.
d
Estude a seo 18 Conformidade da norma ABNT NBR ISO/ IEC 27002:2013.
Legislao vigente
Recomenda-se definir, documentar e manter: 11 Requisitos estatutrios. 11 Requisitos regulamentares. 11 Requisitos contratuais. 11 Definir e documentar controles especficos e responsabilidades individuais. importante, nas organizaes, considerar a legislao em termos de estatutos, regulamentos e contratos vigentes, alm de considerar a legislao especfica e vigente no pas.
Dessa forma, todos os requisitos envolvidos com tais itens devem ser definidos, documen Gesto da Segurana da Informao NBR 27001 e NBR 27002
tados e mantidos na organizao. Concomitantemente, relevante tambm definir e documentar todos os controles e respon sabilidades exigidos para garantir os requisitos estatutrios, regulamentares e contratuais.
Propriedade intelectual
Aplica-se ao uso de: 11 Material com direitos autorais. 11 Software proprietrio. Recomenda-se implantar procedimentos para garantir a conformidade com os requisitos legais, regulamentares e contratuais. Recomenda-se, para qualquer material ou software proprietrio protegido por lei de pro-
priedade intelectual, implementar procedimentos adequados que garantam a conformidade da organizao em relao a requisitos legais, regulamentares e contratuais.
180
Por exemplo, esses requisitos podem determinar restries quanto cpia de determinado material com direitos autorais ou, ainda, que somente seja utilizado material desenvolvido pela prpria organizao. Aplicar cuidados contra a violao da propriedade intelectual relevante, principalmente porque tal situao pode conduzir a aes legais civis e at criminais.
Cuidados com a propriedade intelectual

11 Divulgar poltica de conformidade (definio do termo Uso Legal) com os direitos de propriedade intelectual. 11 Adquirir software de boa reputao. 11 Conscientizar os envolvidos nos termos das polticas de conformidade. 11 Garantir que os ativos possuam requisitos para proteo da propriedade intelectual e manter seus registros. 11 Manter provas e evidncias da propriedade. 11 Controlar o nmero de licenas em uso.
Conforme vimos, as organizaes devem se preocupar com a propriedade intelectual e, com isso, implementar procedimentos adequados que culminem com a proteo das organizaes frente a questes legais, estatutrias e contratuais. Sendo assim, a norma ABNT NBR ISO/IEC 27002:2013 recomenda alguns cuidados relevantes, a saber: 11 Divulgao de uma poltica de conformidade com os direitos de propriedade intelectual que, por sua vez, defina claramente o uso legal de qualquer material, software ou informao protegida contra a violao da propriedade intelectual; 11 Em processos de aquisio de software, estes devem ser obtidos apenas a partir de fontes reconhecidas e de boa reputao; 11 Manter todas as pessoas da organizao, independentemente do cargo, conscientes a respeito das polticas de proteo da propriedade intelectual e das aes disciplinares a serem aplicadas nos casos de violao; 11 Indicar cada ativo da organizao que possua requisitos diretamente relacionados proteo dos direitos de propriedade intelectual, mantendo, ainda, seu devido registro; 11 Manter todas as evidncias quanto a licenas, manuais e afins na organizao; Monitorar as licenas, visando garantir que o uso do nmero mximo de licenas adquiridas no seja excedido. 11 Garantir que apenas software licenciado seja instalado. 11 Implantar uma poltica para licenas. 11 Estabelecer uma poltica para transferncias de software.
11 Utilizar ferramentas adequadas de auditoria. 11 Cumprir termos e condies para software e informaes obtidas de fontes pblicas. 11 Garantir a integridade de registros comerciais. 11 No copiar, em parte ou em todo, documentos com direitos autorais. 11 Efetuar o controle quanto aos softwares, garantindo a instalao apenas daqueles licenciados e devidamente autorizados; 11 Implantar uma poltica para a manuteno adequada das condies de licenas;
181
11 Definir uma poltica para reger a transferncia de softwares para outras organizaes; 11 Assegurar que as ferramentas de auditoria utilizadas so adequadas; 11 Satisfazer a todos os termos e condies para materiais, softwares e informaes obtidas a partir de redes pblicas; 11 Proteger registros comerciais, tais como filmes, udios e outros, contra duplicaes, con verses ou extraes no permitidas pela lei de direito autoral; 11 Proteger partes ou a totalidade de livros, artigos, relatrios etc., contra cpias no autorizadas e violao da lei de direito autoral vigente. Produtos de software proprietrio so fornecidos sob um contrato de licenciamento que define os termos e condies da licena, como, por exemplo, limitando a cpia de um software apenas para a criao de uma cpia de segurana. Direitos de propriedade intelectual so aplicados a softwares, documentos, projetos, marcas, patentes e licenas de cdigos-fonte.
Exerccio de fixao 3 e Cuidados com a propriedade intelectual

Cite trs cuidados com a proteo intelectual adotados pela sua instituio.
Proteo de registros organizacionais

11 Recomenda-se proteger registros contra perdas, destruio ou falsificao. 11 Recomenda-se classificar os registros da organizao: 22 Registros de base de dados. 22 Registros de transaes. 11 Recomenda-se manusear e armazenar mdias de acordo com as recomendaes do fornecedor.
11 Nas organizaes, recomenda-se proteger os registros categorizados como essenciais ao negcio contra perdas, destruio e falsificao, de modo a garantir conformidade com seus requisitos estatutrios, regulamentares e contratuais. 11 Alguns registros podem precisar ser retidos de forma segura para atender a requisitos estatutrios, contratuais ou regulamentares ou, ainda, atender a requisitos do negcio. Por exemplo, aqueles registros que evidenciam a conformidade de uma organizao perante os requisitos estatutrios, regulamentares e contratuais que, assim, garantem a defesa da organizao contra aes legais civis ou criminais. 11 Em adio, os registros tambm podem ser categorizados com o objetivo de aplicar defi nies particulares, tais como o perodo de reteno e tipo de mdia de armazenamento. Por exemplo, registros de auditoria, registros da contabilidade e registros transacionais que possuem tempo de reteno de 6 meses, 1 ano e 3 meses, armazenados em meio magntico, papel e meio magntico, respectivamente. 11 As chaves de criptografia usadas para garantir confidencialidade ou autenticidade de registros tambm devem ser armazenadas durante o tempo de reteno respectivo. 11 Adicionalmente, considera-se que todas as mdias de armazenamento sejam protegidas contra deteriorao se utilizadas de acordo com a prescrio do fornecedor.
182
l
Saiba mais
Mais informaes a respeito de gerncia de registros podem ser encontradas na norma ISO 15489-1.
O tempo de reteno aplicado a registros organizacionais (Tabela de Temporabilidade) definido em leis e regulamentaes nacionais, tais como a Resoluo n 14, de 24 de outubro de 2001 do Conselho Nacional de Arquivos (CONARQ), entre outras.
Cuidados para a proteo de registros organizacionais

11 Estabelecer diretrizes para reteno, armazenamento, tratamento e disponibilidade de registros e informaes. 11 Definir um cronograma para reteno. 11 Disponibilizar um inventrio de fontes de informao cruciais para a organizao.
Consulte as normas e recomendaes do Conselho Nacional de Arquivos (CONARQ): http://www.conarq. arquivonacional.gov.br
w Para garantir a proteo dos registros de uma organizao, a norma ABNT NBR ISO/IEC
11 Implantar controles para a proteo dos registros e informaes. 27002:2013 recomenda os procedimentos a seguir: 11 Estabelecimento de diretrizes para a reteno, armazenamento, tratamento e disponibilidade de registros e informaes; 11 Definir um cronograma para a reteno, de modo a indicar os registros essenciais e o respectivo perodo em que ser aplicado; 11 Manuteno de um inventrio compreendendo as fontes de informaes consideradas fundamentais para a organizao; 11 Implementao de controles adequados proteo dos registros e informaes.
Proteo de dados e privacidade de informaes pessoais

11 A proteo e a privacidade de dados e informaes pessoais devem ser asseguradas na legislao, regulamentaes e contratos. 11 Na organizao deve-se implantar, divulgar e efetuar a gesto de uma poltica de privacidade e proteo. Nas organizaes recomenda-se garantir a proteo de dados e a privacidade das informaes pessoais, em conformidade com a legislao, regulamentos e contratos vigentes. Para tanto, as organizaes podem criar uma equipe que definir, implantar, divulgar e gerenciar uma poltica de proteo e privacidade, buscando, concomitantemente, a
conformidade com a legislao, regulamentos e contratos vigentes. Vale ressaltar que todas as pessoas da organizao devem ser orientadas para saber exatamente quais so suas responsabilidades perante a poltica. Alguns pases possuem leis que estabelecem o controle na coleta, processamento e transmisso de dados e informaes pessoais, impondo responsabilidades legais aos diretamente envolvidos em tais etapas.
Recomenda-se proteger os recursos de processamento contra mau uso, por meio de monitoramento, ferramentas, aes disciplinares ou legais. Mau uso significa: 11 Uso no relacionado diretamente ao negcio da organizao. 11 Uso no autorizado.
183
Preveno do mau uso de recursos de processamento da informao
Nas organizaes, os recursos de processamento da informao apoiam o negcio; sendo assim, recomenda-se a proteo dos recursos de processamento da informao contra uso no autorizado ou com objetivos no relacionados ao negcio. Para tanto, pode-se empregar, por exemplo, o monitoramento adequado, ferramentas de apoio (SDI Sistemas de Deteco de Intrusos), aes disciplinares ou legais. Em termos de monitoramento e uso de ferramentas, deve-se atentar para a legislao vigente. Muitas vezes, a organizao deve divulgar a todos os usurios que os recursos de processamento da informao so monitorados. Quanto aos usurios, uma boa prtica conscientiz-los quanto a seus direitos e deveres perante os recursos de processamento disponveis na organizao e na legislao vigente. Para exemplificar, pode-se requerer dos usurios a assinatura de uma declarao do conhe cimento de suas responsabilidades no contexto. E, por conseguinte, tais declaraes devem ser mantidas em segurana pela organizao.
Controles de criptografia
Recomenda-se o uso de criptografia conforme os requisitos legais, regulamentares e contratuais vigentes. Algumas preocupaes relacionadas: 11 Restries importao e/ou exportao de hardware e software para criptografia. 11 Restries importao e/ou exportao de hardware e software com criptografia embutida. 11 Restries quanto ao uso. 11 Definio dos mtodos de acesso informao cifrada.
Nas organizaes, o uso de criptografia deve ser efetuado em conformidade com a legislao, regulamentos, contratos e acordos. Sendo assim, a norma ABNT NBR ISO/IEC 27002:2013 recomenda as seguintes aes, em conformidade com a legislao nacional vigente: 11 Restringir o uso de criptografia; 11 Restringir importao e/ou exportao de hardware e software cujo objetivo a execuo de funes de criptografia; 11 Restringir importao e/ou exportao de hardware e software projetados com funes de criptografia embutidas;
Estude a seo 10 Criptografia da norma ABNT NBR ISO/IEC 27002:2013.
11 Definir mtodos de acesso informao cifrada por hardware ou software a serem utilizados por autoridades de outros pases. Exemplo de recomendao para uso de recursos de TI, definida na poltica de segurana: 11 Os sistemas de TI devero ser utilizados sem violao dos direitos de propriedade intelectual de qualquer pessoa ou empresa, como marcas e patentes, nome comercial, segredo empresarial, domnio na internet, desenho industrial ou qualquer outro material que no tenha autorizao expressa do autor ou proprietrio dos direitos relativos obra artstica, cientfica ou literria. A recomendao proposta no exemplo aplicvel s organizaes objetivando a proteo da propriedade intelectual, uma vez que seja devidamente documentada na poltica de segurana e que esta seja efetiva na organizao, isto , devidamente implementada, divulgada e exigida.
184
Verificao da conformidade com polticas e normas de segurana da informao

11 Normas de segurana no Brasil. 11 Evoluo das normas. 11 Conformidade com polticas e normas. 11 Trabalhando as no-conformidades. 11 Conformidade tcnica. Em termos da verificao da conformidade com polticas e normas de segurana da informao, sero apresentados os seguintes subtpicos: Normas de segurana no
Brasil, mostrando as principais normas vigentes para o contexto. No tpico Evoluo das normas, indica-se uma prospeco quanto sua manuteno. Os tpicos Conformidade com polticas e normas, Trabalhando as no-conformidades e Conformidade tcnica apresentam individualmente as preocupaes e prticas a serem consideradas quanto s polticas e normas vigentes nas organizaes.
Normas de segurana no Brasil

11 Em 2001, a ABNT homologou a NBR ISO/IEC 17799: 22 Verso brasileira da BS ISO/IEC 17799. 11 Em agosto de 2005, foi liberada a segunda verso da NBR ISO/IEC 17799. 11 Em julho de 2007 atualizada para NBR ISO/IEC 27002.
Em 2001, a ABNT disponibilizou a norma ABNT NBR ISO/IEC 17799, uma verso brasileira da BS ISO/IEC 17799, e, desde ento, no Brasil, essa norma vem se destacando como uma das principais referncias para a gesto da segurana da informao. Em seu contedo, a norma trata dos seguintes itens: poltica de segurana da informao, organizao da segurana da informao, gesto de ativos, segurana em recursos humanos, segurana fsica e do ambiente, gesto de operaes e comunicaes, controle de acesso, aquisio, desenvolvimento e manuteno de sistemas de informao, gesto de incidentes de segurana da informao, gesto da continuidade de negcios e conformidades. A seguir, apresentado um histrico da evoluo de padres internacionais e normas vigentes no Brasil: 11 Em 1995, liberada a primeira verso da BS 7799-1 (BS 7799-1:1995 Tecnologia da informao Cdigo de prtica para gesto da segurana da informao). 11 Em 1998, liberada a primeira verso da BS 7799-2 (BS 7799-2:1998 Sistema de gesto da segurana da informao Especificaes e guia para uso). 11 Em 1999, liberada a reviso da BS 7799-1:1995.
11 Em 2000, liberada a primeira verso do padro internacional BS ISO/IEC 17799 (BS ISO/ IEC 17799:2000 Tecnologia da informao Cdigo de prtica para gesto da segurana da informao). 11 Em 2001, a ABNT homologou a NBR 17799, verso brasileira da BS ISO/IEC 17799 (ABNT NBR ISO/IEC 17799:2001 Tecnologia da informao Cdigo de prtica para gesto da segurana da informao). 11 Em 2002, liberada a reviso da BS 7799-2:1998.
185
11 Em agosto de 2005, liberada a segunda verso da ABNT NBR ISO/IEC 177799 (ABNT NBR ISO/IEC 17799:2005 Tecnologia da informao Cdigo de prtica para gesto da segurana da informao).
Evoluo das normas

11 Famlia de normas para o SGSI, sob a denominao ISO/IEC JTC 1/SC 27. 11 Liberadas usando a srie de nmeros 27000, em sequncia. 11 Em 2007, a nova verso da ISO/IEC 17799 foi incorporada ISO/IEC 27002. A ISO desenvolve uma famlia de normas para o Sistema de Gesto da Segurana da Informao (SGSI), cujo contedo engloba os requisitos de tais sistemas, gesto de riscos,
mtricas e medidas de segurana da informao e diretrizes para implementao. A denominao a ser usada a ISO/IEC JTC 1/SC 27, a serem liberadas em sequncia, usando a srie de nmeros 27000. Em 2006, a ABNT homologou a NBR 27001, verso brasileira da ISO/IEC 27001, que possui a seguinte nomenclatura: ABNT NBR ISO/IEC 27001:2001 Tecnologia da informao Sistema de gesto da segurana da informao. A verso atual foi publicada pela ABNT em novembro de 2013 com a seguinte nomenclatura: ABNT NBR ISO/IEC 27001:2013 Tecnologia da informao Sistema de gesto da segurana da informao Requisitos. Atualmente para a rea de segurana da informao esto publicadas, pela ABNT ou pela ISO, as seguintes normas: 11 ABNT NBR ISO/IEC 27003:2011 Tecnologia da informao Tcnicas de segurana Diretrizes para implantao de um sistema de gesto da segurana da informao. 11 ABNT NBR ISO/IEC 27004:2010 Tecnologia da informao Tcnicas de segurana Gesto da segurana da informao Medio. 11 ABNT NBR ISO/IEC 27005:2011 Tecnologia da informao Tcnicas de segurana Gesto de riscos de segurana da informao. 11 ABNT NBR ISO/IEC 27007:2012 Diretrizes para auditoria de sistemas de gesto da segurana da informao. 11 ABNT NBR ISO/IEC 27011:2009 Tecnologia da informao Tcnicas de segurana
Diretrizes para gesto da segurana da informao para organizaes de telecomunicaes baseadas na ABNT NBR ISO/IEC 27002. 11 ABNT NBR ISO/IEC 27014:2013 Tecnologia da Informao Tcnicas de Segurana Governana de segurana da informao. 11 ABNT ISO GUIA 73:2009 Gesto de riscos Vocabulrio. 11 ABNT NBR 15999-1:2007 Verso Corrigida:2008 Gesto de continuidade de negcios Parte 1: Cdigo de prtica. 11 ABNT NBR 16167:2013 Segurana da Informao Diretrizes para classificao, rotu lao e tratamento da informao. 11 ISO/IEC 27000:2014 Information technology Security techniques Information security management systems - Overview and vocabulary. 11 ISO/IEC 27006:2011 Information technology Security techniques Requirements for bodies providing audit and certification of information security management systems.
186
11 ISO/IEC TR 27008:2011 Information technology Security techniques Guidelines for auditors on information security controls. 11 ISO/IEC 27010:2012 Information technology Security techniques Information security management for inter-sector and inter-organizational communications. 11 ISO/IEC TR 27019:2013 Information technology Security techniques Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry. 11 ISO/IEC 27032:2012 Information technology Securitytechniques Guidelines for cybersecurity. 11 ISO/IEC 27033-2:2012 Information technology Securitytechniques Networksecurity Part 2: Guidelines for the design and implementation of networksecurity. 11 ISO/IEC 27034-1:2011 Information technology Security techniques Application security Part 1: Overview and concepts. 11 ISO/IEC 27035:2011 Information technology Security techniques Information security incident management. 11 ISO/IEC 18028-4:2005 Information technology Security techniques IT network security Part 4: Securing remote access. 11 ISO/IEC 18028-5:2006 Information technology Security techniques IT network security Part 5: Securing communications across networks using virtual private networks. 11 ISO/IEC 18033-4:2011 Information technology Security techniques Encryption algorithms Part 4: Stream ciphers. 11 ISO/IEC 29192-1:2012 Information technology Securitytechniques Lightweight cryptography Part 1: General. 11 ISO/IEC 29192-2:2012 Information technology Security techniques Lightweight cryptography Part 2: Block ciphers. 11 ISO/IEC 11770-5:2011 Information technology Security techniques Key management Part 5: Group key management. 11 ISO/IEC 24760-1:2011 Information technology Security techniques A framework for identity management Part 1: Terminology and concepts. 11 ISO/IEC 29128:2011 Information technology Security techniques Verification of cryptographic protocols. 11 ISO/IEC 29100:2011 Information technology Security techniques Privacy framework. 11 ISO 22320:2011 Societal security Emergency management Requirements for incident response.
Segurana da informao na Administrao Pblica Federal

dezembro de 2010, a responsabilidade pelo assessoramento e coordenao das atividades de segurana da informao e da proteo das infraestruturas crticas competncia exclusiva do Gabinete de Segurana Institucional da Presidncia da Repblica (GSIPR). Atravs da Instruo Normativa GSI n 1,de 13 de junho de 2008, que disciplina a Gesto de Segurana da Informao e Comunicaes na Administrao Pblica Federal, direta e indireta, e d outras providncias, foi publicado como a APF deve tratar a gesto da segurana da informao. Nesta IN destacam-se:
No mbito da Administrao Pblica Federal (APF), atravs do Decreto n 7.411, de 29 de
187
Art. 5 Aos demais rgos e entidades da Administrao Pblica Federal, direta e indireta, em seu mbito de atuao, compete: 11 ... 11 IV nomear Gestor de Segurana da Informao e Comunicaes. 11 V instituir e implementar equipe de tratamento e resposta a incidentes em redes computacionais. 11 VI instituir Comit de Segurana da Informao e Comunicaes. 11 VII aprovar Poltica de Segurana da Informao e Comunicaes e demais normas de segurana da informao e comunicaes. O GSI exerce suas atividades de segurana da informao atravs do seu Departamento de
Segurana da Informao e Comunicao (DSIC), que possui, entre outras, as seguintes misses:
Departamento de Segurana da Informao e Comunicao (DSIC): 11 Planejar e coordenar a execuo das atividades de segurana ciberntica e de segurana da informao e comunicaes na administrao pblica federal. 11 Definir requisitos metodolgicos para implementao da segurana ciberntica e da segurana da informao e comunicaes pelos rgos e entidades da administrao pblica federal. 11 Operacionalizar e manter centro de tratamento e resposta a incidentes ocorridos nas redes de computadores da administrao pblica federal. 11 Planejar e coordenar a execuo das atividades de segurana ciberntica e de segurana da informao e comunicaes na administrao pblica federal. 11 Definir requisitos metodolgicos para implementao da segurana ciberntica e da segurana da informao e comunicaes pelos rgos e entidades da administrao pblica federal. 11 Operacionalizar e manter centro de tratamento e resposta a incidentes ocorridos nas redes de computadores da administrao pblica federal.
O DSIC responsvel pela publicao das normas complementares para a APF. Atualmente
existem as seguintes: 11 Norma Complementar n 01/IN01/DSIC/GSIPR, de 15 Out. 2008 Atividade de Normatizao; 11 Norma Complementar n 02/IN01/DSIC/GSIPR, de 14 Out. 2008 Metodologia de Gesto de Segurana da Informao e Comunicaes; 11 Norma Complementar n 03/IN01/DSIC/GSIPR, de 03 Jul. 2009 Diretrizes para a Elaborao de Poltica de Segurana da Informao e Comunicaes nos rgos e Entidades da Administrao Pblica Federal; 11 Norma Complementar n 04/IN01/DSIC/GSIPR, e seu anexo, (Reviso 01), de 15 Fev 2013 Diretrizes para o processo de Gesto de Riscos de Segurana da Informao e Comunicaes GRSIC nos rgos e entidades da Administrao Pblica Federal; 11 Norma Complementar n 05/IN01/DSIC/GSIPR, de 17 Ago. 2009 Disciplina a criao de Equipes de Tratamento e Resposta a Incidentes em Redes Computacionais ETIR nos rgos e entidades da Administrao Pblica Federal;
188
11 Norma Complementar n 06/IN01/DSIC/GSIPR, de 23 Nov. 2009 Estabelece Diretrizes para Gesto de Continuidade de Negcios, nos aspectos relacionados Segurana da Informao e Comunicaes, nos rgos e entidades da Administrao Pblica Federal, direta e indireta APF; 11 Norma Complementar n 07/IN01/DSIC/GSIPR, de 07 Mai. 2010 Estabelece as Diretrizes para Implementao de Controles de Acesso Relativos Segurana da Informao e Comunicaes, nos rgos e entidades da Administrao Pblica Federal, direta e indireta APF; 11 Norma Complementar n 08/IN01/DSIC/GSIPR, de 24 Ago. 2010 Estabelece as Diretrizes para Gerenciamento de Incidentes em Redes Computacionais nos rgos e entidades da Administrao Pblica Federal; 11 Norma Complementar n 09/IN01/DSIC/GSIPR, (Reviso 01), de 15 Fev 2013 Estabelece orientaes especficas para o uso de recursos criptogrficos em Segurana da Informao e Comunicaes, nos rgos ou entidades da Administrao Pblica Federal, direta e indireta. E a Portaria N 10, de 20 de maro de 2013, que da nova redao ao item 5.5 e inclui os subitens 5.5.1 e 5.5.2 na Norma Complementar n 09/IN01/DSIC/GSIPR (Reviso 1); 11 Norma Complementar n 10/IN01/DSIC/GSIPR, de 10 Fev. 2012 Estabelecediretrizes para o processo de Inventrio e Mapeamento de Ativos de Informao, para apoiar a Segurana da Informao e Comunicaes (SIC), dos rgos e entidades da Administrao Pblica Federal, direta e indireta APF; 11 Norma Complementar n 11/IN01/DSIC/GSIPR, de 10 Fev. 2012 Estabelece diretrizes para avaliao de conformidade nos aspectos relativos Segurana da Informao e Comunicaes (SIC) nos rgos ou entidades da Administrao Pblica Federal, direta e indireta APF; 11 Norma Complementar n 12/IN01/DSIC/GSIPR, de 10 Fev. 2012 Estabelece diretrizes e orientaes bsicas para o uso de dispositivos mveis nos aspectos referentes Segurana da Informao e Comunicaes (SIC) nos rgos e entidades da Administrao Pblica Federal (APF), direta e indireta; 11 Norma Complementar n 13/IN01/DSIC/GSIPR, de 10 Fev. 2012 Estabelece diretrizes para a Gesto de Mudanas nos aspectos relativos Segurana da Informao e Comunicaes (SIC) nos rgos e entidades da Administrao Pblica Federal, direta e indireta (APF); 11 Norma Complementar n 14/IN01/DSIC/GSIPR, de 10 Fev. 2012 Estabelece diretrizes para a utilizao de tecnologias de Computao em Nuvem, nos aspectos relacionados Segurana da Informao e Comunicaes (SIC), nos rgos e entidades da Administrao Pblica Federal (APF), direta e indireta; 11 Norma Complementar n 15/IN01/DSIC/GSIPR, de 21 Jun. 2012 Estabelece diretrizes de Segurana da Informao e Comunicaes para o uso de redes sociais, nos rgos e entidades da Administrao Pblica Federal (APF), direta e indireta; 11 Norma Complementar n 16/IN01/DSIC/GSIPR Estabelece as Diretrizes para o DesenPblica Federal, direta e indireta; 11 Norma Complementar n 17/IN01/DSIC/GSIPR, de 09 Abr 2013 Estabelece Diretrizes nos contextos de atuao e adequaes para Profissionais da rea de Segurana da Informao e Comunicaes (SIC) nos rgos e Entidades da Administrao Pblica Federal (APF); 11 Norma Complementar n 18/IN01/DSIC/GSIPR, de 09 Abr 2013 Estabelece as Diretrizes para as Atividades de Ensino em Segurana da Informao e Comunicaes (SIC) nos rgos e Entidades da Administrao Pblica Federal (APF).
volvimento e Obteno de Software Seguro nos rgos e Entidades da Administrao
189
Conformidade com polticas e normas

Lembre-se de que a segurana da informao deve ser analisada periodicamente, e a anlise deve se basear nas polticas e normas em uso. Portanto, as organizaes devem assegurar conformidade com as polticas e normas de segurana da informao. Como se sabe, a poltica de segurana de uma organizao estabelece regras a serem
q
l
seguidas para garantir a segurana de seus ativos. Em adio, existem normas que apoiam as organizaes nesta tarefa. Sendo assim, as organizaes devem garantir que seus sistemas estejam de acordo com as polticas e normas aplicadas para assegurar a segurana da informao, uma vez que a segurana um aspecto a ser analisado periodicamente e tendo como base as polticas empregadas. Em particular, a norma ABNT NBR ISO/IEC 27002:2005 recomenda que os sistemas de informao devem ser auditados segundo as normas de segurana da informao implantadas.
Saiba mais
Alm dessas normas complementares, toda a legislao pertinente segurana da informao na APF e no Brasil pode ser encontrada na ntegra no site do DSIC: http://dsic.planalto.gov. br/legislacaodsic/
Trabalhando as no-conformidades
Ao encontrar uma no-conformidade durante o processo de verificao de conformidade com polticas e normas de segurana, a norma ABNT NBR ISO/IEC 27002:2013 recomenda: 11 Determinar as causas da no-conformidade. 11 Avaliar a necessidade de aes para a no repetio da no-conformidade. 11 Aplicar ao corretiva. 11 Analisar a ao corretiva aplicada.
importante, ainda, manter registros de todos os resultados obtidos nas recomendaes acima.
Conformidade tcnica
Sistemas de informao devem ser periodicamente verificados em sua conformidade tcnica, que pode ser realizada de duas maneiras: 11 Manualmente, auxiliada por ferramentas de apoio. 11 Por engenheiro de sistemas experiente, auxiliado por ferramentas automatizadas.
Testes devem ser planejados, documentados e repetidos. Nas organizaes, importante efetuar a verificao peridica da conformidade de seus sistemas de informao com as normas de segurana da informao implementadas. Para tanto, podem ser utilizados, por exemplo, testes de invaso previamente planejados, durante os quais documentam-se os resultados com a possibilidade de repeti-los quantas vezes for necessrio. A verificao da conformidade tcnica pode ser feita: 11 Manualmente, auxiliada por ferramentas de apoio; 11 Por um especialista, auxiliado por ferramentas automatizadas para a gerao de relatrio tcnico. Exemplos de recomendaes para a conformidade: 11 Cdigo de tica e conduta profissional. 11 Uso de um modelo adequado de identidade digital. 11 Avisar adequadamente a respeito de monitoramento no ambiente eletrnico.
190
11 Atualizar contratos que envolvam clusulas sobre segurana da informao. 11 Definir e publicar polticas objetivas e claras. 11 A poltica de segurana da informao deve ser atualizada, clara e objetiva. A seguir alguns exemplos de recomendaes gerais relacionadas aos cuidados quanto conformidade com polticas e normas de segurana da informao: 11 Definio de um cdigo de tica e conduta profissional, tratando os aspectos da tecno logia e da informao; 11 Definio de um modelo tcnico-legal de identidade digital, que pode, por exemplo, especificar o uso de crachs e certificados digitais, entre outros; 11 Cuidados adequados com avisos de monitoramento no ambiente, em termos de rede, servios de internet, entre outros; 11 Manuteno dos contratos com clusulas sobre segurana da informao, observando controles, auditorias, direitos de propriedade intelectual etc.;
11 Definio formal e publicao de polticas, tanto interna quanto externamente organizao.
Exerccio de fixao 4 e Conformidade tcnica

Explique o que vem a ser conformidade tcnica.
Auditoria de sistemas de informao

Recomenda-se proteger: 11 Os sistemas e as ferramentas usadas na auditoria de sistemas de informao. 11 A integridade das ferramentas de auditoria. 11 Contra o uso no autorizado das ferramentas de auditoria.
Em termos de consideraes quanto auditoria, sero apresentados os seguintes subtpicos: 11 Auditoria, mostrando as principais necessidades de proteo quanto aos instrumentos utilizados pelo processo nas organizaes. 11 Cuidados durante a auditoria, alertando para algumas das preocupaes relevantes a um processo adequado de auditoria na organizao, com o objetivo de garantir a sua conformidade com a legislao, polticas e normas vigentes. Durante a auditoria de sistemas de informao, recomenda-se proteger os sistemas e ferraSendo assim, as atividades de auditoria devem ser realizadas segundo um planejamento adequado, de comum acordo com os dirigentes da organizao, de modo a no influenciar seu negcio. O acesso s ferramentas de auditoria deve ser controlado, e elas devem ser armazenadas em locais separados ou isolados.
mentas empregados, garantindo sua integridade e controle contra acessos no autorizados.
191
Cuidados na auditoria
11 Auditoria acordada com a organizao. 11 Escopo da verificao acordado e controlado. 11 Verificao limitada ao acesso apenas para leitura. 11 Acessos alm da leitura feitos em cpias isoladas, com sua remoo (ou armazenamento com segurana) ao final. 11 Recursos usados identificados e disponveis. 11 Acessos monitorados e registrados. 11 Tudo deve ser documentado. A auditoria deve ser realizada aps o acordo formal com os dirigentes da organizao. Todas as verificaes de conformidade devem ser executadas segundo o acordo formal
estabelecido e devidamente controladas. Em particular, recomenda-se que a verificao seja limitada ao acesso apenas leitura e, quando for necessrio o acesso alm desta, devem ser geradas cpias para uso. Essas cpias devem ser isoladas e armazenadas de modo seguro ou removidas ao final da auditoria. Os recursos devem ser todos identificados unicamente na organizao para, assim, serem disponibilizados auditoria. Todos os acessos devem ser controlados, ou seja, monitorados e registrados. Por fim, todo o processo deve ser documentado.
Outros padres relevantes

Control Objectives for Information Technologies (CobiT 4.1): 11 Framework de governana em TI, apresentando boas prticas para o controle de requisitos, mapas de auditoria, questes tcnicas e riscos de negcio. Information Technology Infrastructure Library (ITIL): 11 Compreende uma biblioteca de boas prticas para a gesto de TI de domnio pblico, focando o cliente e a qualidade dos servios de TI, estabelecendo um conjunto de processos e procedimentos gerenciais.
Control Objectives for Information Technologies (CobiT 4.1) um framework de governana em TI, que apresenta boas prticas para o controle de requisitos, mapas de auditoria, ques Gesto da Segurana da Informao NBR 27001 e NBR 27002
tes tcnicas e riscos de negcio; consiste em quatro domnios: Plan and organize, Acquire and implement, Deliver and support e Monitor and evaluate. Recomenda-se o uso de CobiT como meio para otimizar os investimentos em TI, maximizando o ROI (do ingls Return Of Investments) e fornecendo mtricas para avaliao de resultados. H preocupao com segurana nos domnios CobiT, por exemplo, no processo Define the information architecture process; no domnio Plan and organize existem o esquema de classificao de dados e os nveis de segurana. O CobiT 5 foi lanado em abril de 2012, consolidando e integrando o CobiT 4.1, Val IT 2.0 e frameworks de risco de TI. Alinha-se com estruturas e padres, como o Information Technology Infrastructure Library (ITIL), International Organization for Standardization (ISO), Body Project Management of Knowledge (PMBOK), PRINCE2 e The Open Group Architecture Framework (TOGAF). Esta verso incorpora as ltimas novidades em governana corporativa e tcnicas de gerenciamento. Information Technology Infrastructure Library (ITIL) compreende uma biblioteca de boas prticas (polticas, processos, procedimentos e instrues de trabalho) para a gesto de TI
O COBIT5 trata da governana corporativa e possui entre seus produtos dois guias profissionais direcio nados a segurana da informao: - COBIT5 for Information Security e - COBIT 5 for Risk Demonstra a importncia que os temas segurana da informao e gesto de riscos tm para a governana corporativa.
192
de domnio pblico, focando no cliente e na qualidade dos servios de TI e estabelecendo um conjunto de processos e procedimentos gerenciais organizados em disciplinas. Tornou-se o padro BS-15000, anexo ISO 9000:2000.
w Em particular, a Operations Level Agreement (OLA) e a Service Level Agreement (SLA)

Navegue no CobiT Publications and Downloads: www.isaca.org/cobit
so parte do processo ITIL de segurana da informao, englobando informaes como mtodos de acesso permitidos, acordos a respeito de auditoria e logging, medidas de segurana fsica, treinamento de usurios, procedimentos de autorizao dos usurios e acordos para reportar e investigar incidentes de segurana.
Outras legislaes pertinentes

11 Lei n 9.983, de 14 de julho de 2000 Altera o Decreto Lei n 2848/40 Cdigo Penal tipificao de crimes por computador contra a Previdncia Social e a Administrao Pblica; 11 Decreto 1.171, de 24 de junho de 1994 Cdigo de tica Profissional do Servidor Pblico Civil do Poder Executivo Federal, e outras providncias; 11 Cdigo Processo Penal Lei 3.689, de 03 de outubro de 41, atualizado at as alteraes introduzidas pelas Leis n 11.900, de 08.01.09;Cdigo de Processo Civil Lei 5.869, de 11 de janeiro de 1973;Art. 6 da Lei n 10.683, de 28 de maio de 2003; 11 Art. 8 do Anexo I do Decreto n 5.772, de 8 de maio de 2006;Lei n 7.232 de 29 de Outubro de 1984 Poltica Nacional de Informtica, e d outras providncias; 11 Lei n 8.027 de 12 de abril de 1990 Normas de conduta dos servidores pblicos civis da Unio, das Autarquias e das Fundaes Pblicas, e d outras providncias; 11 Lei n 8.112 de 11 de dezembro de 1990 Regime jurdico dos servidores pblicos civil da Unio, das autarquias e das fundaes pblicas federais; 11 Lei n 8.429 de 2 de junho de 1992 sanes aplicveis aos agentes pblicos nos casos de enriquecimento ilcito no exerccio de mandato, cargo, emprego ou funo na administrao pblica direta, indireta ou fundacional e d outras providncias; 11 Decreto n 6.029 de 1 de fevereiro de 2007 Sistema de Gesto da tica do Poder Executivo Federal, e d outras providncias; 11 Lei n 8.159 de 8 de janeiro de 1991 Poltica nacional de arquivos pblicos e privados e d outras providncias; 11 Decreto n 1.048 de 21 de janeiro de 1994 Sistema de Administrao dos Recursos de Informao e Informtica, da Administrao Pblica Federal, e d outras providncias; 11 Decreto n 3.505, de 13 de junho de 2000, que institui a Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal; 11 Decreto N 7.845, de 14 de novembro de 2012, que Regulamenta procedimentos para credenciamento de segurana e tratamento de informao classificada em qualquer grau de sigilo, e dispe sobre o Ncleo de Segurana e Credenciamento;
11 Lei n 9.983, de 14 de julho de 2000: Altera o Decreto Lei n 2848/40 Cdigo Penal, sobre tipificao de crimes por computador contra a Previdncia Social e a Administrao Pblica; 11 Acrdo 1603/2008 do Plenrio do Tribunal de Contas da Unio TCU; 11 Guia de elaborao do PDTI do SISP (http://www.sisp.gov.br/guiapdti/wiki/Apresentacao); 11 Contrataes de Solues de Tecnologia da Informao pelos rgos e entidades integrantes do Sistema de Administrao dos Recursos de Tecnologia da Informao SISP.
193
194
Atividade 10.1 Entendendo a legislao
1. Na sociedade digital moderna, possvel equilibrar segurana, privacidade e funcionalidade ao mesmo tempo? Explique seu ponto de vista.
Atividade 10.2 Realizando a conformidade

1. Cite e explique pelo menos dois cuidados com a propriedade intelectual citados nas normas ABNT NBR ISO/IEC 27001 e 27002.
2. Quais cuidados devem ser realizados para proteo de registros organizacionais?
3. Quais cuidados sua organizao deve ter durante a realizao de uma auditoria?
195
Atividade 10.3 Executando a conformidade na sua organizao

1. Como integrante do comit de segurana da informao, voc resolveu apresentar um plano de verificao da conformidade para sua organizao. Considerando a atual estrutura e objetivos da sua instituio, quais sero as legislaes que a sua instituio dever seguir?
2. Como voc vai estruturar um processo para que a sua instituio fique em conformidade com as legislaes especficas de segurana da informao? Quais devero ser os objetivos deste trabalho?
196
Bibliografia
11 BEZERRA, E. K.; GESTO DE RISCOS DE TI. Escola Superior de Redes/RNP, 2011. 11 CAUBIT, R.; BASTOS, A. ISO 27001 e 27002 Uma viso prtica. Editora Zouk, 2009. 11 DIAS, C. Segurana e auditoria da tecnologia da informao. Axcel Books, 2000. 11 FONTES, E. Polticas e Normas para a Segurana da Informao. Brasport, 2012. 11 KUROSE, J. F.; ROSS, K. W. Redes de computadores e a Internet. Pearson Education do Brasil, 2003. 11 LYRA, M. R.; SEGURANA E AUDITORIA EM SISTEMA DE INFORMAO. CINCIA MODERNA, 2008. 11 PECK, Patrcia. Direito digital: gesto do risco eletrnico. Aspectos legais e ticos do uso da tecnologia. Palestra no evento Marketing poltico e Internet, 2006. 11 TITTEL, E. Rede de computadores. Coleo Schaum. Bookman, 2003. 11 SEMOLA, Marcos. GESTO DA SEGURANA DA INFORMAO UMA VISO EXECUTIVA. Campus, 2003 11 STALLINGS, W. Network security essentials. Prentice Hall, 2000. 11 ABNT ISO GUIA 73:2009. Gesto de riscos Vocabulrio. 11 Norma ABNT NBR ISO/IEC 27001:2013. Tecnologia da informao Tcnicas de segurana Sistemas de gesto de segurana da informao Requisitos. 11 Norma ABNT NBR ISO/IEC 27002:2013. Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto da segurana da informao. 11 Norma ABNT NBR ISO/IEC 27003:2011. Tecnologia da informao Tcnicas de segurana Diretrizes para implantao de um sistema de gesto da segurana da informao. 11 Norma ABNT NBR ISO/IEC 27005:2011. Tecnologia da informao Tcnicas de segurana Gesto de riscos de segurana da informao. 11 Norma ABNT NBR ISO 55000:2014 Gesto de ativos Viso geral, princpios e terminologia. 11 Norma ABNT NBR ISO 55001:2014 Gesto de ativos Sistemas de gesto Requisitos.
Bibliografia
197
11 Padro ISO/IEC TR 13335-3. Guidelines for the management of IT security: techniques for the management of IT security, 1998. 11 Norma ISO/IEC 18028. Information technology Security techniques IT network security, 2005. 11 Norma NBR 15999-1 e 2. 11 Site DSIC: http://dsic.planalto.gov.br (acessado em dez. 2013). 11 Site GSI: www.gsi.gov.br (acessado em dez. 2013).
198
Flvia Estlia Silva Coelho possui Bacharelado em Cincia da Computao e Mestrado em Informtica pela Universidade Federal de Campina Grande. Desde 2001, atua em ensino de Graduao e Ps-Graduao Lato Sensu, em projetos de pesquisa e desenvolvimento nas reas de computao distribuda e segurana da informao. professora efetiva da Universidade Federal Rural do Semi-rido (UFERSA), desde 2009, e Java Champion (Oracle), desde 2006. Luis Geraldo Segadas de Arajo possui especializao em Gesto de Segurana de Informao, Redes de Computadores e Infraestrutura Computacional. Trabalhou para diversas empresas, entre elas a Fundao Petros, tendo atuado tambm como consultor, com destaque no BNDES e na TBG. Possui experincia em ensino, tendo sido professor na Universidade Estcio de S e no Infnet, alm de instrutor na RNP/ESR. Possui amplo conhecimento em normas, em especial nas ISO/IEC 27001 e 27002. Bacharel em Sistemas de Informao pela PUC-RJ, Ps-graduado em Redes de Computadores pela UFRJ e mestre em Administrao de Empresas, tambm na PUC-RJ. Possui as certificaes CISSP, CISA e CISM, sendo capacitado em planejamento, elaborao de poltica de segurana, normas, anlise de riscos, diagnstico e auditoria. Atualmente mora no Canad. Edson Kowask Bezerra profissional da rea de segurana da informao e governana h mais de quinze anos, atuando como auditor lder, pesquisador, gerente de projeto e gerente tcnico, em inmeros projetos de gesto de riscos, gesto de segurana da informao, continuidade de negcios, PCI, auditoria e recuperao de desastres em empresas de grande porte do setor de telecomunicaes, financeiro, energia, indstria e governo. Com vasta expe rincia nos temas de segurana e governana, tem atuado tambm como palestrante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados em segurana e governana. professor e coordenador de cursos de ps-graduao na rea de segurana da informao, gesto integrada, de inovao e tecnologias web. Hoje atua como Coordenador Acadmico de Segurana e Governana de TI da Escola Superior de Redes.
LIVRO DE APOIO AO CURSO
O curso desenvolve competncias para a implementao da gesto da segurana da informao, ccom base nas normas de segurana ABNT NBR ISO/IEC 27001:2013 e IEC 27002:2013. Atravs delas sero estudados os conceitos de poltica de segurana e gesto de riscos, como tambm as boas prticas para a segurana de recursos humanos e computacionais, segurana fsica e noes de direito digital. O curso garante ao aluno todo o conhecimento necessrio para iniciar um processo de implementao da gesto da segurana da informao na sua instituio. Este livro inclui os roteiros das atividades prticas e o contedo dos slides apresentados em sala de aula, apoiando profissionais na disseminao deste conhecimento em suas organizaes ou localidades de origem.
ISBN 978-85-63630-12-4
9 788563 630124

Gestão Segurança Informação NBR 27001

Uploaded by

Document Information

Original Title

Copyright

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Gestão Segurança Informação NBR 27001

Uploaded by

Copyright:

Gesto da

Rio de Janeiro Escola Superior de Redes 2014

Escola Superior de Redes

Escola Superior de Redes

1. Fundamentos da segurana da informao

3. Sistema de Gesto da Segurana da Informao

4. Poltica de segurana da informao

6. Gerncia de operaes e comunicaes

7. Segurana de acesso e ambiental

9. Gesto de continuidade de negcios

Escola Superior de Redes

Convenes utilizadas neste livro

Servios de segurana; Gesto da segurana da informao; Ameaas, vulnerabilidades, ataques e controles.

Por que se preocupar com segurana?

Exerccio de nivelamento 1 e Fundamentos de segurana da informao

O que voc entende por segurana da informao?

Captulo 1 - Fundamentos da segurana da informao

Exerccio de fixao 1 e Definies

Como voc explicaria na sua organizao o termo vulnerabilidade?

Captulo 1 - Fundamentos da segurana da informao

Destino da informao (a) Fluxo Normal

Figura 1.1 Modelos de ataque.

Exerccio de fixao 2 e Modelos de ataque

Ataques ativos: 11 Resultam na alterao ou destruio dos dados.

Exerccio de fixao 3 e Formas de ataque

definido na norma ISO 7498-2, estabelece os seguintes objetivos ou requisitos de segurana:

Exerccio de fixao 4 e Servios de segurana

Explique o que vem a ser autenticidade e integridade.

Captulo 1 - Fundamentos da segurana da informao

Normas Mudanas tecnolgicas Procedimentos

3. Qual a importncia de cada recurso? Como cada recurso de informao participa do

11 Anlise/avaliao de riscos: considera os objetivos e estratgias de negcio da organizao,

Gesto da Segurana da Informao NBR 27001 e NBR 27002

Exerccio de fixao 5 e Seleo de controles

Controles para a segurana da informao

riscos especficos da organizao. Sendo assim, considere os controles apontados como

Exerccio de fixao 6 e Controles para a segurana da informao

Na sua organizao, quais controles aplicados so considerados como melhores prticas?

Itens relevantes para a segurana da informao

Fatores crticos para o sucesso da segurana da informao

Captulo 1 - Fundamentos da segurana da informao

A seguir, so apresentados alguns fatores considerados crticos para o sucesso da segurana

Gesto da Segurana da Informao NBR 27001 e NBR 27002

Atividade 1.2 Identificando vulnerabilidades

2. Ex-funcionrios que deixaram a empresa porque foram dispensados.

3. Funcionrio viajando a servio da organizao e acessando a rede remotamente.

4. Utilizao de notebook pessoal sem cadastro na lista de ativos.

5. Computador de trabalho logado, sem o usurio nas proximidades.

Atividade 1.3 Identificando a forma de ataque

Gesto da Segurana da Informao NBR 27001 e NBR 27002

2. Alterao de parte de uma mensagem legtima.

3. Anlise de trfego de uma rede, utilizando um sniffer.

5. Utilizao de login e senha de outro usurio.

Atividade 1.4 Associando categorias de servios de segurana

2. Duplicao de servidores de misso-crtica.

Captulo 1 - Roteiro de Atividades 1

Atividade 1.5 Estudo de caso: sua organizao

2. Quais so os fatores crticos de sucesso da segurana da informao na sua organizao?

Gesto da Segurana da Informao NBR 27001 e NBR 27002

Estrutura e sees da norma ABNT NBR ISO/IEC 27002:2013 e seus objetivos.

Exerccio de nivelamento 1 e Cdigo de prtica

0. Introduo 1. Escopo 2. Referncia normativa 3. Termos e denies 4. Estrutura desta norma

11. Segurana fsica e do ambiente 10. Criptograa

Seo 5 Polticas de segurana da informao

objetivo da categoria de controle fornecer orientao e apoio da direo para a segurana 20

Figura 2.2 Seo 5.1 Poltica de segurana da informao.