UNIVATES CENTRO UNIVERSITRIO ADMINISTRAO COM HABILITAO EM ANLISE DE SISTEMAS

AUDITORIA DE SISTEMAS DE INFORMAO:

(PROPOSTA DE CRITRIO PARA AVALIAR A EFICCIA)

Aluno: Diego Bianchetti Orientador: Candido Fonseca da Silva

Monografia apresentada ao Curso de Administrao com Habilitao em Anlise de Sistemas do Centro Universitrio - UNIVATES

Lajeado, novembro de 2007

AGRADECIMENTOS

Aosmeuspais,JoneseMariaAnita,peloapoio,estrutura,carinhoe dedicao.Semelesnadaseriapossvel. AoprofessorCandidoFonsecadaSilva,pelaorientaodocaminho seguido. AosamigosLucianoKleineFabrcioPretto. Atodosquefizerampartedessacaminhada.

RESUMO

Acontinuidadedosnegciosempresariaisdepende,emgrandeparte, do perfeito funcionamento de seus Sistemas de Informao (SI). Para garantir esseperfeitofuncionamentonecessriaumarigorosagestodaseguranados SI,gestoessaquetemnasAuditoriasumapartefundamental.Auditoriasso feitasdeacordocomumametodologiadeapoio,dentreasquaissedestacamas metodologiasbasedaNBRISO/IEC17799(CdigodePrticaparaaGestoda SeguranadaInformao). Se por um lado, h uma razovel literatura disponvel sobre como montarauditorias,poroutro,hescassezdepublicaesquejulguemaeficcia detaisauditorias.Estamonografiatemcomoobjetivoproporumcritrio,simples edefcilaplicao,paraavaliaraeficciadeauditoriasdeSI,tomandocomo mtrica a sua aderncia a NBR ISO/IEC 17799. Atravs de estudo de caso realizadoeconsiderandoaslimitaesdotrabalho(foramanalisadasapenastrs, dasonzecategoriasdaNBR)considerasequefoialcanadooobjetivoproposto.

ABSTRACT

Thecontinuityofbusinessenterprisedepends,inlargepart,onthe perfectactionoftheirInformationSystems(IS).Toprovidetheperfectoperationis necessaryaISsecuritymanagement,bymeansofAuditingprocesses.Auditings are made in accordance with a methodology to support them; among these methodologiesstandoutmethodologiesbasedonNBRISO/IEC17799(Cdigo dePrticaparaaGestodaSeguranadaInformao). Ifthereisareasonableliteratureavailableonhowtomountauditing, publicationsthatjudgetheeffectivenessofsuchauditsareinafewnumber.This paper proposes a criterion, simple and easy to implement, to estimate the effectivenessofISauditing,bycomparingitsadherencetotheNBRISO/IEC 17799. Through case studies done and considering the work limitations (only three,oftheelevencathegoriesofNBRwereanalysed)itisconsideredthatthe goalproposedwasreached.

SUMRIO

LISTADETABELAS......................................................................................... 08 LISTADEFIGURAS.......................................................................................... 09 LISTADEGRFICOS........................................................................................ 10 LISTADEABREVIATURAS.............................................................................. 11 1.INTRODUO............................................................................................... 12 1.1Definiodoproblema........................................................................... 12 1.1.1OqueSeguranadaInformao......................................................... 12 1.1.2AuditoriasdeSistemasdeInformao................................................... 13 1.1.3Contextualizaodoproblema............................................................... 13 1.2Objetivosdotrabalho............................................................................. 14 1.2.1Objetivogeral.......................................................................................... 14 1.2.2Objetivosespecficos............................................................................. 14 1.3Composiodotrabalho....................................................................... 15 2.FUNDAMENTAOTERICA..................................................................... 17 2.1SeguranaemSistemasdeInformao............................................... 17 2.1.1SistemasdeInformao(SI).................................................................. 18 2.1.2SeguranadosSI................................................................................... 18 2.2Normasepadresdesegurana.......................................................... 20

2.2.1CommonCriteria(ISO15408)............................................................... 21 2.2.2ISO/IECTR13335................................................................................. 21 2.2.3COBIT(ControlObjectivesforInformationandRelatedTechnologies) 23 2.2.4ISO/IEC27001....................................................................................... 23 2.3ANBRISO/IEC17799............................................................................. 25 2.4GestodasOperaeseComunicao............................................... 28 2.5ControledeAcesso................................................................................ 28 2.6 Aquisio, Desenvolvimento e Manuteno dos Sistemas de Informao........................................................................................................ 29 2.7Consideraesparciais......................................................................... 30 3.METODOLOGIA............................................................................................. 31 3.1Omtodo................................................................................................. 31 3.2Quantoaosmeiosdeinvestigao....................................................... 32 3.2.1Pesquisabibliogrfica............................................................................ 32 3.2.2Estudodecaso...................................................................................... 33 3.2.3Sujeitodapesquisa............................................................................... 34 3.3Caracterizaodaempresa................................................................... 34 3.4Acoletadedados................................................................................... 34 3.5CritriopropostoparaavaliaraeficciadeauditoriasdeSI............. 35 3.5.1Montagemdoroteirodeavaliao......................................................... 35 3.5.2Definiodamtricaaserutilizada....................................................... 41 3.5.3Tratamentodosdados........................................................................... 43 4.RESULTADOSOBTIDOS.............................................................................. 44 4.1Anlisedosresultadosobtidos............................................................ 44 4.1.1Quantoaocaptulo7daNormaNBRISO/IEC17799,Gerenciamento dasoperaesecomunicaes......................................................................... 47 4.1.2Quantoaocaptulo8daNormaNBRISO/IEC17799,Controlede acessos.............................................................................................................. 48 4.1.3Quantoaocaptulo9daNormaABNTNBRISO/IEC17799:2005, Aquisio,desenvolvimentoemanutenodesistemasdeinformao........... 49 4.1.4Influnciadecadacaptulonototaldapesquisa................................... 50

4.1.5Resultadogeralobtidopelaempresa.................................................... 51 4.2Sugestesparamelhoriadosresultadosobtidos.............................. 52 4.2.1Sugestesparamelhoriasnogerenciamentodasoperaese comunicaes..................................................................................................... 53 4.2.2Sugestesparamelhoriasnoscontrolesdeacesso............................. 54 4.2.3Sugestesparamelhoriasnaaquisio,desenvolvimentoe manutenodesistemasdeinformao............................................................ 55 5.CONCLUSO................................................................................................ 56 5.1Concluses............................................................................................. 56 5.2Limitaesdotrabalho.......................................................................... 59 5.3Trabalhosfuturos................................................................................... 59 REFERNCIASBIBLIOGRFICAS.................................................................. 60

LISTADETABELAS

Tabela1:Relaodasquestescomoscaptulosecategorias........................ 36 Tabela2:Correlaodasquestesporcaptulo................................................ 38 Tabela3:Pontuaoparaasrespostasobtidasnapesquisa............................ 42 Tabela4:Nveissegurana................................................................................ 42 Tabela5:ResultadosobtidosRespostas........................................................ 44 Tabela6:RespostasparaquestesrelacionadasaoGerenciamentodas operaesecomunicaes................................................................................ 47 Tabela7:RespostasparaquestesrelacionadasaoControledeacessos....... 48 Tabela8:Respostasrelacionadasaaquisio,desenvolvimentoe manutenodosSI............................................................................................. 49 Tabela9:Totaldequestesporcaptulo............................................................ 50 Tabela10:Classificaoporpossibilidadederespostasparaototalde questes............................................................................................................. 51

LISTADEFIGURAS

Figura1:Principaisameaasseguranadainformao...................................19

LISTADEGRFICOS

Grfico1:Distribuioderespostasnasquestesrelacionadasaocaptulo6 Grfico2:Distribuioderespostasnasquestesrelacionadasaocaptulo7 Grfico3:Distribuioderespostasnasquestesrelacionadasaocaptulo8 Grfico5:Distribuiodototalderespostas.....................................................

48 49 50 51

Grfico4:Distribuiodecaptulosemrelaoaquantidadedequestes...... 51

LISTADEABREVIATURAS

ABNTAssociaoBrasileiradeNormasTcnicas BSBritishStandard DNSDomainNameServer IECInternationalElectrotechnicalCommission ISInternationalStandard ISOInternationalOrganizationforStandartization NBRNormaBrasileira NISTNationalInstituteforStandardsandTechnology PDCAPlan,Do,Check,Act SISistemasdeInformao RFCRequestForComents TITecnologiadaInformao

1.INTRODUO

1.1Definiodoproblema.

1.1.1Oqueseguranadainformao?

Ainformaoumativoque,comoqualqueroutroativoimportante, essencialparaosnegciosdeumaorganizaoeconseqentementenecessita seradequadamenteprotegida.Istoespecialmenteimportantenoambientedos negcios,cadavezmaisinterconectadoeexpostoaumcrescentenmeroea umagrandevariedadedeameaasevulnerabilidades.

SegundoNBRISO/IEC17799:2005,aseguranadainformaoa proteo da informao contra vrios tipos de ameaas, buscando garantir a continuidade do negcio pela minimizao de riscos e pela maximizao do retornosobreosinvestimentosedasoportunidadesdenegcio.ASeguranada Informao obtida a partir da implementao de um conjunto de controles

13 adequados, incluindo polticas, processos, procedimentos, estruturas organizacionaisefunesde software e hardware.Estescontrolesprecisamser estabelecidos, implementados, monitorados, analisados criticamente e melhorados,nosdiversossistemasporondefluiainformao,paragarantirque osobjetivosdonegcioedeseguranadaorganizaosejamatendidos (NBR ISO/IEC17799:2005). 1.1.2AuditoriasemSistemasdeInformao Auditoriassoatividadesquemonitoram,analisam,criticameavaliam ofuncionamentoefetivodoscontrolesdaseguranadossistemasdeinformao de uma instituio. AsAuditorias visam ajudar as pessoas responsveis pelos processosaalcanarosmelhoresresultados,pelaverificaodofuncionamento dosatuaiscontroles,bemcomofornecendoumabaseparaajudaramelhorara efetividadedaaodessescontroles(NBRISO/IEC17799:2005). 1.1.3Contextualizaodoproblema Auditoriassofeitasdeacordocomumametodologiadeapoio,dentre asquaissedestacamasmetodologiasbasedaNBRISO/IEC17799(Cdigode PrticaparaaGestodaSeguranadaInformao).Seporumlado,huma razovel literatura disponvel sobre como montar auditorias, por outro, h escassezdepublicaesquejulguemaeficciadetaisauditorias,tomandocomo mtrica a aderncia da auditoria s normas e padres internacionais de seguranadesistemasdeinformao,comoasupracitada(Cascarino,2007).

14 1.2Objetivosdotrabalho

Esta monografia tem como objetivo, atravs do estudo de caso realizadoeconsiderandoaslimitaesdotrabalho(foramanalisadasapenastrs, dasonzecategoriasdaNBR),oseguinte: 1.2.1Objetivogeral Proporumcritrio,simplesedefcilaplicao,paraavaliaraeficcia deauditoriasdesistemasdeinformao,tomandocomomtricaasuaaderncia aNBRISO/IEC17799. 1.2.2Objetivosespecficos Realizarumarevisodaliteraturasobreseguranadesistemasde informao e sobre algumas das normas internacionais que recomendam as melhores prticas para o estabelecimento de controles efetivos para minimizar problemasdesegurana,emespecialaNBRISO/IEC17799; Montagemdeumroteiroqueimplementeumcritrioparaavaliaro grau de aderncia a NBR ISO/IEC 17799 dos processos de uma auditoria de sistemasdeinformao; Aplicar o roteiro proposto,em um estudo de caso simples, tendo comoalvouma empresaquetemaauditoriadesistemasdeinformaocomo umadesuasatividades.

15 1.3EstruturadoTrabalho Estetrabalhoestestruturadoemcincocaptulos,asaber: (1)Estaintroduo,comacontextualizaodoproblema,osobjetivos dotrabalhoeasuaestruturao; (2) O captulo Fundamentao Terica que apresenta os conceitos bsicoseessenciaisaoacompanhamentodotrabalhoequetambmservede embasamento terico para a construo do critrio objetivo principal da monografia.Nessecaptulosoapresentados:osconceitosbsicosdareada seguranadesistemasdeinformao;sovistas,deformaresumida,algumas dasprincipaisnormasinternacionaisqueabordamoassunto,emespecialaNBR ISO/IEC17799:2005etrsdeseusonzecaptulos. Considerandovastidodo assunto e as limitaes inerentes a um Trabalho de Concluso de Curso, o trabalho limitouse a 3, dos 11 captulos existentes na norma, a saber: Gerenciamento das Operaes e Telecomunicaes, Controle de Acessos e Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao. O principal critrio utilizado para seleo dos captulos (e posterior seleo de algumasdassuascategorias)foiarelevnciae/ouinteraodosassuntosali tratados com os principais possveis causadores de falhas na gesto de segurana da informao, os usurios utilizadores dos itens apontados nas checagemdoscontrolesrelacionadosnoroteirodeavaliao; (3)Nocaptulotrs(Metodologia)sodiscutidosmtodoemeiosde investigao,feitaacaracterizaodaempresaalvodoestudodecasoeso apresentadososquatropassosqueconstituemocritriodeavaliao,objetivo

16 principaldotrabalho; (4)OcaptuloResultadosObtidostabulaosresultadosobtidospela aplicaodocritriosobrealgunsdosprocessosdeauditoriautilizadosporuma empresadeconsultorianareadeseguranadesistemasdeinformao.luz databulao,discutemseosdadosobtidoseseatribuiograudeadernciaa NBR ISO/IEC 17799 dos processos de auditoria da empresa alvo, em ltima anlise,aeficciadaauditoriajulgadaluzdaquelasnormas. (5) Por fim, o captulo cinco (Concluso) sintetiza os resultados obtidos, aponta as limitaes do estudo feito e aponta para possveis futuros trabalhossobreoassunto.

2.FUNDAMENTAOTERICA

2.1SeguranaemSistemasdeInformao

Nocaptuloanterior(item1.1)apresentouseoconceitodeSegurana daInformao,luzdasNBRISO/IEC17799. Opresentecaptulopretendedaraoleitorumembasamentoessencial quantoaoassuntoSeguranaemSistemasdeInformaoequantosNormas queregulamotema,emespecialareferidaNBRISO/IEC17799. Considerandoasrazesexpostasnoitem1.3(2),estetrabalhoficar limitadoaostpicos:Gerenciamentodasoperaesecomunicaes,Controlede acessoeAquisio,DesenvolvimentoeManutenodeSistemasdeInformao daNBRISO/IEC17799.

18 2.1.1SistemasdeInformao(SI) SistemasdeInformao(SI)podemserdefinidoscomoacombinao de recursos humanos e computacionais que inter relacionam a coleta, o armazenamento,arecuperao,adistribuioeousodedados,comoobjetivo de eficincia gerencial (planejamento, controle, comunicao e tomada de deciso) nas organizaes. Adicionalmente, os SI podem tambm ajudar aos gerentes e usurios a analisar problemas, criar novos produtos ou servios e visualizarquestescomplexas.(DefinioMEC(98)/SBC).

2.1.2SeguranadosSI A Norma ISO 74982, originalmente IS 74982, do NIST (National Institute for Standards and Technology) exige cinco princpios bsicos para obtenodaseguranadosSI: (1)Confidencialidadeosistemadevedispordecondiesparamanteros dadosconfidenciaisrestritosapenasaoacessodosusuriosautorizados. (2)Integridadedosdadosprovproteocontraameaasvalidadee consistnciadosdados. (3)Disponibilidadeasseguraqueosrecursosdeinformticaestejamem condiesnormaisdeoperaoedisponveisparaousurio,nomomentoem queforemsolicitados.

19 (4)Autenticidadeasseguraaquemrecebeuumamensagem,acerteza daidentidadedequemaenviou. (5) No repdio (Irretratabilidade) busca evitar que o remetente ou destinatrionegueoenvioourecebimentodamensagem. Umfatointeressantefoiobservadonapesquisaqueabrange50%das 1000maioresempresasbrasileiras,realizadapelaMduloSecuritySolutions: cada vez mais preocupante o fato dos funcionrios insatisfeitos provocarem perdase/oudanosnasempresasemquetrabalhamoutrabalharam.

Figura1:Principaisameaasseguranadainformao. Fonte:PesquisaNacionaldeSeguranadaInformao(MDULO)

A reviso de acessos outro fator determinante na segurana da informao.Caruso(1993)dizquedevidoafatoresexternos,taiscomofriasou licena,provocamapassagemdetarefasdeumfuncionrioparaoutro.Quandoo primeiro retorna, na maioria das vezes, os acessos do substituto no so canceladose,omaispreocupante,elejrecebeutodoconhecimentonecessrio parautilizaraquelasinformaesquejnosomaispertinentesaele.

20 Gil (1994) chama a ateno para a administrao da segurana e propeummodelo,divididoemtrs(03)fases,paraexecutlo: (1)Planejamento: Estabelecerresponsabilidadesaosenvolvidoscomareadesegu rana; Definirumapolticadesegurana; Levantarriscos. (2)Operacionalizao:Avaliarosriscos; Aplicarapolticadesegurana; Estabelecerumplanodecontingncia; Treinar. (3)Acompanhamento: Analisarosrelatriosoperacionais,tticoseestratgicosdesegu rana; Avaliao: Confrontarosresultadosrealizadoscomoesperado.

2.2Normasepadresdesegurana

Sistemas de Informao, em geral, so sistemas heterogneos, formados por diferentes plataformas de hardware e software (Sistemas Operacionais(SO)eaplicativos).Aexploraodasfalhasdesegurana,dentro deumambientecomputacionalheterogneocadavezmaioremaissofisticada efeita,essencialmente,atravsdequatrovetores: (1) SerHumano;

21

(2) Sistemasaplicativos; (3) Sistemasoperacionaise (4) Rede. H uma razovel bibliografia sobre a gesto da Segurana dos SI (dissertaes, teses, livros e artigos) tendo como base diversas Normas internacionais,taiscomo: 2.2.1CommonCriteria(ISO15408) AISO 15408, tambm conhecido como Common Criteria, trata das definies de componentes (tcnicos) de segurana visando um processo de avaliaodesistemas. O CommonCriteria permitecomparaesentreprodutosfornecendo umconjuntoderequisitosdeseguranaemedidasdegarantiaaplicadasaeles durante a avaliao. Logo, ao final da avaliao de dois produtos podese compararasfunesdeseguranaeosnveisdegarantiafornecidosporambos, deformaaescolheroprodutoquemaisseadequarsnecessidadesdocliente. 2.2.2 ISO/IECTR13335 AnormaISO/IEC13335compostade5partes,dentrodotemageral de Tecnologia da Informao e chamada de GMITS (Guidelines fort he ManagementofITSecurity).Ascincopartesso:

22 Parte1:ConceptsandmodelsforITsecurity. Publicadaem1996,forneceumavisogeraldosconceitosemodelos fundamentaisusadosparadescreveragestodeseguranadeTI. Parte2:ManagingandplanningITSecurity. Publicadaem1997,tratadorelacionamentodareadeseguranada informao com as demais reas da organizao, principalmente a rea de seguranacorporativa. Parte3:TechniquesforthemanagementofITSecurity. Publicadaem1998,descrevetcnicasdegestodeseguranaparaa readeTecnologiadaInformao,tratandoemespecialdagestoderiscocom tcnicasdeanlisederisco. Parte4:Selectionofsafeguards. Publicada em 2000. Fornece um catlogo de contramedidas, e um guiaparaaseleodestas. Parte5:Managementguidanceonnetworksecurity. Publicada em 2001. Complementa a parte quatro desta ISO, acrescentandofatoresrelevantesparaaconexodeSIemredes.

23 2.2.3 COBIT (Control Objectives for Information and Related Technologies) Objetiva fornecer boas prticas para a gesto de processo de tecnologia da informao eliminando divergncias entre riscos de negcios, questestcnicas,controlesemedidasdedesempenho. AmetodologiaCOBITconsisteem6publicaes,comofoconona segurana da Informao, mas sim no planejamento das tecnologias da informao de acordo com o objetivo da organizao. Possui, ainda alguns controlesespecficosparaseguranadainformao,dentreestecontrolestemse aferramentaMaturityModels,modelosparaanlisedematuridadedeprocessos, quepodeserutilizadanoprojetodeseguranadainformao. 2.2.4ISO/IEC27001 A norma ISO 27001:2005 uma evoluo do padro britnico BS 77992:2002, que define requisitos para um Sistema Gesto de Segurana da Informao. O padro foi incorporado pela The International Organization for Standardization (ISO), organizao que estabelece padres internacionais de certificaoemdiversasreas. AnormaISO27001:2005anormaBS77992:2002revisada,com melhoriaseadaptaes,contemplandoocicloPDCAdemelhoriaseavisode processosqueasnormasdesistemasdegestojincorporaram.

24 Abaixo,umbrevehistricodaevoluodanormaatchegaraISO 27001: 1995: primeira verso da BS 77991 (BS 77991:1995 Tecnologia da InformaoCdigodeprticaparagestodaseguranadainformao) 1998: primeiraversodaBS77992(BS77992:1998Sistemadegestoda SeguranadaInformaoEspecificaeseguiaparauso) 1999: reviso da BS 77991 (BS 77991:1999 Tecnologia da Informao Cdigodeprticaparagestodaseguranadainformao) 2000: publicaodaNormaISO/IEC17799(ISO/IEC17799:2000Tecnologia da Informao Cdigo de prtica para gesto da segurana da informao tambmreferenciadacomoBSISO/IEC17799:2000) 2001: primeiraversodanormanoBrasil,NBRISO/IEC17799(NBRISO/IEC 17799:2001 Tecnologia da Informao Cdigo de prtica para gesto da seguranadainformao) 2002:revisodanormaBS7799parte2(BS77992:2002Sistemadegesto daSeguranadaInformaoEspecificaeseguiaparauso) Agosto/2005: segundaversodanormanoBrasil,NBRISO/IEC17799(NBR ISO/IEC17799:2005TecnologiadaInformaoCdigodeprticaparagesto daseguranadainformao)

25 Outubro/2005: norma ISO 27001 (ISO/IEC 27001:2005 Tecnologia da Informao Tcnicas de segurana Sistema de gesto da Segurana da InformaoRequisitos) Acompanhandooprocessodeevoluohistricaapresentadoacima, podeseobservarqueanormaISO/IEC17799,queaevoluodaBS77991, incorporada pela ISO em 2000, tambm foi revisada, e ambas as normas, a ISO/IEC27001eaISO/IEC17799,jestoalinhadas.Oprximopassosera converso da ISO/EC 17799:2005 em ISO/IEC 27002, previsto para 2008, formandoassimafamliaISO/IEC27000quetrataraspectosmaisamplosde SeguranadaInformao.

2.3ANBRISO/IEC17799

ANBRISOIEC17799:2005umcdigodeprticasdegestode seguranadainformao.Suaimportnciapodeserdimensionadapelonmero crescentedepessoasevariedadesdeameaasaqueainformaoexpostana rededecomputadores.Oobjetivoexplcitodanormae stabelecerumreferencial paraasorganizaesdesenvolverem,implementaremeavaliaremagestoda seguranadeinformao. EmsuadocumentaoaNBRISO/IEC17799:2005aborda11tpicos principais:

26 1. Polticadeseguranadainformao ondedescreveaimportnciae relaciona os principais assuntos que devem ser abordados numa poltica de segurana. 2. Organizandoaseguranadainformao abordaaestruturadeuma gernciaparaaseguranadeinformao,assimcomoabordaoestabelecimento deresponsabilidadesincluindoterceirosefornecedoresdeservios. 3. Gestodeativos trabalhaaclassificao,oregistroeocontroledos ativosdaorganizao. 4.Seguranaemrecursoshumanostemcomofocooriscodecorrentede atos intencionais ou acidentais feitos por pessoas. Tambm so abordados: a inclusoderesponsabilidadesrelativassegurananadescriodoscargos,a formadecontrataoeotreinamentoemassuntosrelacionadossegurana. 5.Seguranafsica edoambiente abordaanecessidadedesedefinir reasdecirculaorestritaeanecessidadedeprotegerequipamentoseainfra estruturadetecnologiadeInformao. 6.Gerenciamentodasoperaesecomunicaes abordaasprincipais reas que devem ser objeto de especial ateno da segurana. Dentre estas reas destacamse as questes relativas a procedimentos operacionais e respectivasresponsabilidades,homologaoeimplantaodesistemas,gerncia de redes, controle e preveno de vrus, controle de mudanas, execuo e guardadebackup,controlededocumentao,seguranadecorreioeletrnico, entreoutras.

27 7.Controledeacessoabordaocontroledeacessoasistemas,adefinio de competncias, o sistema de monitorao de acesso e uso, a utilizao de senhas,dentreoutrosassuntos. 8.Aquisio,desenvolvimentoemanutenodesistemasdeinformao aborda os requisitos de segurana dos sistemas, controles de criptografia, controledearquivoseseguranadodesenvolvimentoesuportedesistemas. 9.Gestodeincidentesdesegurana dainformao includanaverso 2005,apresentadoisitens:Notificaodefragilidadeseeventosdeseguranada informaoegestodeincidentesdeseguranadainformaoemelhorias. 10.Gestodacontinuidadedonegcio reforaanecessidadedeseter umplanodecontinuidadeecontingnciadesenvolvido,implementado,testadoe atualizado. 11.Conformidadeabordaanecessidadedeobservarosrequisitoslegais, taiscomoapropriedadeintelectualeaproteodasinformaesdeclientes. O planejamento das aes relativas norma deve atender a um conjuntoderequisitos,dentreosquaisumrequisitobsico:Auditorias.

28 2.4GestodasOperaeseComunicao Oobjetivoprincipaldogerenciamentodasoperaesecomunicaes garantir a operao segura e correta dos recursos de processamento da informao.Paratalprecisogarantir,aluzdaNormaNBRISO/IEC17799:2005, que os controles aplicados satisfaam as condies desejadas. As categorias selecionadosnestecaptulodaNormasoasseguinte: Proteocontracdigosmaliciososemveis: Proteo contra vrus, worms, spywares, trojans, ou qualquer cdigo malicioso capaz de danificar, remover,capturar,divulgareutilizarrecursoscomputacionaisouinformaessem oconhecimentodousurioparafinsilegaisounopermitidos. Cpiasdesegurana: Toda proteo contra perdas inesperadas, desastreseatmesmoproblemascommanutenoouerrodousurio. Trocadeinformaes: Definiesemedidasdeseguranaparatoda equalquertrocadeinformaooriginadaoudestinadaorganizao,desdea trocadeemailatotransportedasmdiasdebackup.

2.5ControledeAcesso

Ocontroledeacessos,comooprprionomedefine,responsvel porcontrolaroacessoinformao,recursosdeprocessamentodasinformaes eprocessosdenegcioscombasenosrequisitosdeseguranadainformao.

29 As regras de controle de acesso devem levar em considerao as polticas para autorizao e disseminao da informao. A seguir so relacionadasascategoriasselecionadosnestecaptulodaNorma. Gerenciamentodeacessodousurio: Gerenciamento de

comorealizadooacessodousurio,quaisseusprivilgios,direitosdeacessoe comogerenciadasuasenhadeacesso.Tambmtratadaanlisederegistros (logs)dequeconsultado,executadoealteradopelousurio. Computaomveletrabalhoremoto: abordacomosodefinidose gerenciadosotrabalhoremotoeacomputaomvel,comoredeswireless,pela organizao. Trata tambm de como o usurio obtm acesso e at o que possvelacessarapartirderedesexternasoumveis.

2.6Aquisio,DesenvolvimentoeManutenodos Sistemasde Informao

A aquisio, desenvolvimento e manuteno, devem garantir que a segurana parte integrante dos sistemas de informao. Sistemas de informaoincluemsistemasoperacionais,infraestrutura,aplicaesdenegcio, produtosdeprateleira,servioseaplicaes.Acategoriautilizadanoroteiropara auditoria deste captulo diz respeito gesto de vulnerabilidades tcnicas, as quaissoespecialmentevisadasporpossveisatacantes,poispodempermitiro acesso e a manipulao de informaes vitais para o negcio de uma organizao.

30 Gestodevulnerabilidadestcnicas:fundamentalreconheceressas vulnerabilidades em tempo hbil para avaliao da organizao e tomar as medidasapropriadasparalidarcomosriscosassociados.

2.7Consideraesparciais

Este captulo buscou dar o embasamento terico necessrio ao acompanhamentodo trabalho, abordando osassuntos: papel dasauditorias, a Norma NBR ISO/IEC17799:2005, em especialtrsdos seusonze tpicos. A seleodessestrstemas(GestodasOperaeseComunicao;Controlede Acesso e Aquisio, Desenvolvimento e Manuteno dos Informao)foijustificadanoitem1.3(2). No prximo captulo ser discutida a metodologia usada e ser apresentadoocritriopropostoparaavaliaraeficciadeauditoriasdasegurana desistemasdeinformao,objetivoprincipaldestetrabalho. Sistemas de

3.METODOLOGIA

Este captulo apresenta o Roteiro proposta para a avaliao da eficciadeauditoriasdesistemasdeinformao,descrevendoqualomtodoe tipodepesquisautilizadanotrabalho,osmeiosdeinvestigaoutilizadosparaa coletaeotratamentodosdadosdentrodouniversodapesquisa.

3.1OMtodo

Mtodooinstrumentodoconhecimentoqueproporcionaorientao geralparafacilitaroplanejamentodeumapesquisa,paracoordenarinvestigaes einterpretarosresultados,devendoseradequadoaotipodepesquisa (Fachin, 2003).Tambm considerado umcaminho, uma forma lgica de pensamento (Vergara,2004).

32 Este trabalho foi desenvolvido a partir do mtodo fenomenolgico defendido por Husserl (18591938), que consiste em isolar num fenmeno as influncias necessrias para estudlo e uslo, podendo considerar posteriormenteligaesabandonadas. Omtododevarejoutilizadofoiocomparativo.Conforme Gil(1999), estemtodoprocedepelainvestigaode[...]fenmenosoufatos,comvistaa ressaltarasdiferenasesimilaridadesentreeles.

3.2Quantoaosmeiosdeinvestigao

Apesquisafoidesenvolvidadeformadescritivaeaplicada.Descritiva, pois apresenta a descrio das caractersticas de determinada populao ou fenmenoouoestabelecimentoderelaesentrevariveis(Gil,1999;Vergara, 2004).Aplicada,dadoquesepropeaumafinalidadeprtica,pelaimplantao na empresa analisada de um plano estratgico em funo das variveis e caractersticasapresentadasapartirdeummodeloproposto(Vergara,1997).Os meiosdeinvestigaoutilizadosnestetrabalhoforamosseguintes. 3.2.1PesquisaBibliogrfica Desenvolvidaapartirdematerialjelaborado,constitudodelivrose monografias (Gil, 1999), bem como revistas, jornais, internet, newsletters, peridicos,requestforcomentsRFCs,NormaABNTNBRISO/IEC17799:2005, etodomaterialdisponvelaopblicoemgeral(Vergara,2004).

33 3.2.2EstudodeCaso Oestudodecasolimitadoemumaoupoucasunidades,entendidas essas como uma pessoa, uma famlia, um produto, uma empresa, um rgo pblico, uma comunidade ou mesmo um pas. Tem carter de profundidade e detalhamento(Vergara,2004). Normalmenteoestudodecasousadoquandoopesquisadortem umcontrolesobreosacontecimentosequantoofocoseencontraemfenmenos inseridosemalgumcontextodavidareal(Yin,2005).Ainda,segundoFernandes (1963), ele usado quando se deseja analisar situaes concretas, nas suas particularidades. Esteestudodecasofoidesenvolvidoemumaempresadepequeno portesituadaemLajeado,RioGrandedoSul.Aempresaalvotrabalhanareade assessoria tecnolgica e prestao de servios na rea de tecnologia da informaoe,viaderegra,iniciaseustrabalhospormeiodeumaauditoriada seguranadossistemasdeinformaodocliente,visandoobterumdiagnstico dasituao.Comooprodutofinaldaempresapesquisadaofornecimentode serviosnareadeTI,paraempresasqueautilizamcomomeioparaviabilizar seusnegcios,deextremaimportnciaqueaempresaXestejaalinhadacom padresinternacionais,comoaNBRISO/IEC17799:2005,paraqueodiagnstico por ela realizada via auditoria seja eficaz e ilustre a realidade da empresa auditada.

34 3.2.3Sujeitodapesquisa Ossujeitosdapesquisasoaspessoasquefornecemosdadosqueo pesquisadornecessita(Vergara,2004). Nesteestudo,o sujeitodapesquisaofundadoreproprietrioda empresa que est completando 7 anos de existncia, trabalha nas reas administrativas,comercialetcnica.FormadoemAnlisedeSistemasecursando psgraduaoemGestoEmpreendedoradeNegcios.

3.3Caracterizaodaempresa

Atualmenteaempresacontacom4colaboradores,sendo2tcnicos com dedicao exclusiva para atendimento a clientes, uma secretria e o proprietrio e administrador que trabalha na rea comercial / administrativa e eventualmentenareatcnica.Aescolhafoifeitadevidoaofatodeexistircontato diretoentreopesquisadoreosujeitodapesquisa.

3.4Acoletadedados

O instrumento para a coleta de dados foi uma entrevista semi estruturada.

35 Aentrevistaumprocedimentonoqualopesquisadorfazperguntas ao sujeito da pesquisa. A entrevista pode ser informal ou aberta, que uma conversainformaletemporobjetivocoletarosdadosparaapesquisa,ouainda por pauta, onde so agendados vrios pontos para serem explorados com o entrevistado(Vergara,2005). A entrevista foi realizada por email e posteriormente discutida pessoalmentedemaneirainformalparareavaliao.

3.5CritriopropostoparaavaliareficciadeauditoriasdeSI

Ocritriopropequatropassos,asaber:(1)Montagemdoroteirode avaliao;(2)Definiodamtricaaserutilizada;(3)Tratamentodosdados;(4) Anlisedosresultadosobtidos. 3.5.1MontagemdoRoteirodeavaliao Este item explica os critrios utilizados para a montagem do questionrio,compostopor40(quarenta)questesequeservirdebasepara aferiodograudeadernciasNBRISO/IEC17799,dosprocessosdeauditoria utilizadospelaempresaalvo. Aspesquisasdecampoedocumentalforamrealizadascombasena gestodeseguranadainformaodefinidanaNBRISO/IEC17799:2005ena RequestForComentes2196RFC2196SiteSecurityHandBook,quedefinem tecnicamentecomoabuscadasinformaesdeveserconduzidaeoscritriosde

36 interpretao dos dados obtidos. A utilizao de padres de segurana conhecidos estabelece melhores prticas para a implantao da gesto de seguranadainformao. Umaboapartedosprocessosdeauditoriaempregadospelaempresa alvodoestudodecasosebaseiaemcontrolesdasoperaesdeentradaesada de dados e, em decorrncia, de controles do acesso aos dados. Uma outra preocupao dos processos de auditoria examinados com vulnerabilidades tcnicasapresentadasporsistemas,quersistemasdesenvolvidosemcdigolivre, queremsoftwareproprietrio. Considerando os fatores acima citados, optouse por montar as quarenta questes base dos captulos e respectivas categorias abaixo indicadas.

CaptulosdaISO/IEC 17799:2005

Categoria

Questes 1at5 6e7 8at19 20at30 31at36 37at40

6.GestodasOperaese 6.4.Proteocontracdigos Comunicao maliciososemveis 6.5.Cpiasdesegurana 6.8.Trocadeinformaes 7.ControledeAcesso 7.2.Gerenciamentodeacessodo usurio 7.7.Computaomveletrabalho remoto 8.Aquisio, Desenvolvimentoe ManutenodoSistemas deInformao 8.6.Gestodevulnerabilidades tcnicas

Tabela1:Relaodasquestescomoscaptulosecategorias

37 Gil(1999)comentaquealgunsautoresestabelecemcomoregrageral queonmerodeperguntasdeumquestionrionodeveultrapassaratrinta.O questionrioparaaferiodograudeseguranaemqueaempresapesquisada se encontra possui 40 questes. Este nmero foi estabelecido devido o detalhamento necessrio para o levantamento de informaes essenciais para queaaferiodograudesejadocontextualizeoresultadomaisprximopossvel darealidadeencontrada,permitindoassimumareavaliaodoplanejamentode trabalho nos pontos mais crticos e melhoria nos resultados aps seguidas aplicaesdoquestionrio. ParaestequestionriofoiutilizadocomobaseotrabalhodeAnderle (2004).NoreferidotrabalhoaautorautilizouaNBRISO/IEC17799,pormno props nenhuma mtrica que possibilitasse avaliar o resultado obtido. Como referncia para a criao da mtrica de avaliao foi utilizado o trabalho de Fiegenbaum(2006). Abaixo sero demonstrados exemplos de como o questionrio foi construdoparaageraodoroteiro: Para a criao da primeira questo, a referncia utilizada foi o captulo 7 da ABNT NBR ISO/IEC 17799:2005, que prev a proteo contra cdigos maliciosos e mveis, como por exemplo, a existncia formal de procedimentosaseremtomadosassimqueumcdigomaliciosoencontrado. Paraaquesto21,foiutilizadoocaptulo8daABNTNBRISO/IEC 17799:2005,quesugereoregistro (log) formaldetodasaesexecutadaspelo usurio.

38 Paraaquesto38,foiutilizadoocaptulo9daABNTNBRISO/IEC 17799:2005,quetratadasaesaseremtomadasassimqueumavulnerabilidade tcnicaidentificada.

N 1

Captulo 7.4.1

Questo Hdefiniesdocumentadasedeconhecimentodosusurios sobre procedimentos que devem ser tomados assim que for encontradoalgumcdigomalicioso. So instalados e atualizados regularmente softwares de deteco e remoo de cdigo maliciosos para o exame de computadoresemdiasmagnticas,deformapreventivaoude formarotineira H verificao, antes do uso, da existncia de cdigos maliciososnosarquivosemmdiaspticasoueletrnicas,bem como arquivos transmitidos e recebidos atravs de redes, e verificaodaexistnciademalwareempginasweb. Ousodecdigomvelcontroladoeoperadeacordocom umapolticadeseguranadainformaoclaramentedefinidae divulgadaparausuriosdecdigosmveis. Cdigomveisautorizados possuemcontrolescriptogrficos deautenticaoexclusivaparaexecuo. Existeumapolticaregularparaaexecuodosprocedimentos decpiadesegurana. Existem vrias cpias de segurana em diferentes locais, inclusiveforadasdependnciasdaorganizao. Existemprocedimentosdefinidosparaousodecomunicao semfio(wireless),levandoemcontaosriscoenvolvidos. Soutilizadastcnicas,comoasdecriptografia,paraproteger a confidencialidade, a integridade e a autenticidade das informaes.

7.4.1

7.4.1

7.4.2

5 6 7 8 9

7.4.2 7.5.1 7.5.1 7.8.1 7.8.1

39 10 7.8.2 Somantidoserespeitadososprocedimentosdefinidospara assegurararastreabilidadedoseventoseonorepdio,como exemplo tcnico para o norepdio, a utilizao correta de DNS reverso para aceitao dos emails originados na organizao pelos servidores de outras organizaes, para empresas que tem pouca utilizao da TI e a utilizao de sistemas de reconhecimento de assinatura eletrnica para empresasqueestonumpatamarmaiselevadonautilizao daTI). Soutilizadasnormastcnicasparaagravaoeleituradas informaes geradas por softwares (log) que transmitem mensagensporredes. So estabelecidos procedimentos para a verificao da identificaodostransmissoresdeinformaes. O meio de transmisso de informaes confidenciais confivel. So adotados mtodos de confirmao de recebimento de mensagem. So adotados procedimentos que asseguram o correto endereamentoetransportedasmensagens. So utilizados mtodos de proteo das mensagens eletrnicas contra acesso no autorizado, modificao ou negaodeservio. Soutilizadastcnicas,comoassinaturasdigitais,paravalidar aspectoslegaisnatransaodemensagenseletrnicas. Existem procedimentos de identificao e tratamento das vulnerabilidades conhecidas nos sistemas administrativos e contbeis onde as informaes so compartilhadas com diferentesreasdaorganizao. Hrestriodoacessoainformaodetrabalhorelacionado com indivduos especficos, como por exemplo, grupo de trabalhoporprojetosousetor. utilizadoidentificadordeusurio(IDdeusurio)nicopara assegurararesponsabilidadedecadausurioporsuasaes. mantidoumregistro(log)formaldetodasaesexecutadas pelousurioinclusivenocasoderejeiodeacesso.

11 7.8.1

12 7.8.3 13 7.8.3 14 7.8.3 15 7.8.4 16 7.8.4

17 7.8.4 18 7.8.5

19 7.8.5

2 0

8.2.1

21 8.2.1

40 22 8.2.1 Soadotadosprocedimentosimediatosderemoo,bloqueio oualteraodedireitosdeacessodeusuriosquemudaram decargosoufunes,oudeixaramaorganizao. Os privilgios so concedidos aos usurio conforme necessidadedeusoecombaseemeventosalinhadoscoma polticadecontroledeacesso,verificandoassimseousurio tem autorizao do proprietrio do sistema para o uso do sistemadeinformaoouservio. Os privilgios so concedidos ao usurio assim que todo o processo de autenticao concludo e todos privilgios do usurioregistrado(log). Existemprocedimentosparaverificaraidentidadedousurio antes de fornecer uma senha temporria, de substituio ou nova. So utilizadas tcnicas de expirao de senhas, forando assim que os usurios dos sistema troquem suas senhas periodicamente. As senhas nunca so armazenadas nos sistemas de um computadordeformadesprotegida. Osdireitosdeacessodeusuriossorevisadoseanalisados criticamente em intervalos regulares, e realocados quando movidosdeumtipodeatividadeparaoutradentrodamesma organizaoounocasodeencerramentodecontrato. As alocaes de privilgios so verificadas em intervalos regulares de tempo para garantir que privilgios no autorizadosforamobtidos. As modificaes de privilgios para contas de usurios so registradas(log)paraanlisecrticaperidica. Autilizaodecomputaomvelestdefinidaempolticae inclui requisitos de proteo fsica, controles de acesso, tcnicasdecriptografia,cpiasdeseguranaeproteocontra vrusclarasedeconhecimentodeseususurios. O acesso remoto s informaes da organizao atravs de redes pblicas, usando os recursos de computao mvel, ocorre apenas aps o sucesso da identificao e da autenticaodousurio.

23

8.2.2

24

8.2.2

25

8.2.3

26

8.2.3

27 28

8.2.3 8.2.4

29

8.2.4

30 31

8.2.4 8.7.1

32

8.7.1

41 33 8.7.1 Autilizaoderedessemfio(wireless)feitacomprotocolos de segurana robustos e que no possuam fragilidades explorveis. Oacessoremotoaossistemasinternosesinformaesda organizaofeitoatravsdelinhadecomunicaosegura. O acesso ao equipamento de propriedade particular garantidopormeiolegalparaverificaraseguranadamquina ou durante investigao devido a amea de acesso no autorizado informao da organizao por outras pessoas que utilizam o local ou equipamento, como familiares por exemplo. Equipamentosquesoutilizadosparaacessoremotoatendem osrequisitosdeproteocontravruserequisitosdefirewall. Existem uma equipe responsvel pela gesto de vulnerabilidades tcnicas, incluindo o monitoramento de vulnerabilidades, a anlise/avaliao de riscos de vulnerabilidades, patches, acompanhamento dos ativos e qualquercoordenaoderesponsabilidadesrequeridas. Assimqueumavulnerabilidadetcnicaidentificada,aequipe responsvelavaliaosriscosassociadoseasaesaserem tomadas. Patches parasistemasutilizadosnaorganizaosotestados e avaliados antes de serem instalados para assegurar a efetividade e que no tragam efeitos que no possam ser tolerados. mantidoumregistrodeauditoriadetodososprocedimentos realizados pela equipe responsvel pela gesto de vulnerabilidadestcnicas.

34 35

8.7.2 8.7.2

36 37

8.7.2 9.6.1

38

9.6.1

39

9.6.1

40

9.6.1

Tabela2:Correlaodasquestesporcaptulo

3.5.2Definiodamtricaaserutilizada Hquatro(4)possibilidadesdepontuaoparaasrespostasobtidas:

42 Resposta Desconheo Indicaqueaempresa Desconheceaexistnciadaboaprtica recomendadapelaABNTNBRISO/IEC 17799:2005 Temconhecimentodaboaprticamasnoa adota Adotaparcialmenteaboaprtica Estdeacordocomaboaprtica Pontuao 0

Discordo Concordo parcialmente Concordo

1 2 4

Tabela3:Pontuaoparaasrespostasobtidasnapesquisa

AplicadooquestionrioobtidoumgrauM,dadopelafrmula: M=(TPO*10)/PM,sugeridoporAnderle(2004),onde: TPO:TotaldePontosObtidosePM:PontuaoMximaPossvel ConformeograuMobtido,aeficciadaauditoria(ouseja,asuaaderncia s NBRISO/IEC17799)serclassificadaconformeamtricaabaixo,sugerida peloautordestetrabalho,combasenosGrausdeMaturidadepropostospelo COBIT:

Nvel 0 Nulo

Identificao

Grau

Desconhece as boas prticas para a Entre0e1 gesto de segurana da informao recomendadaspelaNormaABNTNBR ISO/IEC17799:2005.

43 1 Baixo Humaconscinciageraldagestode Entre2e4(no segurana da informao, porm no includo) atendeasprticasrecomendadaspela NormaISO. Os processos so padronizados, Entre4e7(no documentados e implantados, porm includo) nem todos os nveis da organizao entendemanecessidadedagestode seguranadainformao. Hoentendimentodetodososnveis Entre7e9(no da organizao sobre a necessidade includo) dagestodeseguranadainformao. Os processos so monitorados e constantemente avaliados. H o incio doprocessodemelhoriacontnua. Todos os riscos so identificados e Entre9e10 devidamente gerenciados. Os processos so constantemente melhoradoserefinadosparagarantira gestodaseguranadainformao.

Mdio

Alto

Mximo

Tabela4:Nveissegurana

3.5.3Tratamentodosdados O tratamento dos dados no trabalho foi qualitativo, onde os dados foram analisados e interpretados de acordo com a entrevista e a pesquisa bibliogrfica,especialmentecombase noscaptulos7,8e9da NBRISO/IEC 17799:2005. Noprximocaptuloseroapresentadososresultadosdaaplicao doroteiroaoestudodecaso.

4.RESULTADOSOBTIDOS

Neste captulo so apresentados os resultados obtidos aps a aplicaodoroteiropropostoparaauditoria,bemcomocomentriosrelativosa anlisedosresultadosesugestesparasuasmelhorias.

4.1Anlisedosresultadosobtidos

Questo 1 2 3 4

Resultado 1 2 4 0

Comentrios a empresa X no observa o prescrito no captulo 6.4.1daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo6.4.1daNBRISO/IEC17799 aempresaXestdeacordocomocaptulo6.4.1da NBRISO/IEC17799 aempresaXdesconheceocaptulo 6.4.2 daNBR ISO/IEC17799

45 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 0 4 2 2 1 2 2 2 1 2 2 2 1 1 2 2 aempresaXdesconheceocaptulo 6.4.2 daNBR ISO/IEC17799 aempresaXestdeacordocomocaptulo6.5.1da NBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo6.5.1daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo6.8.1daNBRISO/IEC17799 a empresa X no observa o prescrito no captulo 6.8.1daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo6.8.2daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo6.8.2daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo6.8.3daNBRISO/IEC17799 a empresa X no observa o prescrito no captulo 6.8.3daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo6.8.3daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo6.8.4daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo6.8.4daNBRISO/IEC17799 a empresa X no observa o prescrito no captulo 6.8.4daNBRISO/IEC17799 a empresa X no observa o prescrito no captulo 6.8.5daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo6.8.5daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo7.2.1daNBRISO/IEC17799

46 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 2 2 2 2 1 1 4 2 1 1 2 4 1 2 1 1 a empresa X observa parcialmente o prescrito no captulo7.2.1daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo7.2.1daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo7.2.2daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo7.2.2daNBRISO/IEC17799 a empresa X no observa o prescrito no captulo 7.2.3daNBRISO/IEC17799 a empresa X no observa o prescrito no captulo 7.2.3daNBRISO/IEC17799 aempresaXestdeacordocomocaptulo7.2.3da NBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo7.2.4daNBRISO/IEC17799 a empresa X no observa o prescrito no captulo 7.2.4daNBRISO/IEC17799 a empresa X no observa o prescrito no captulo 7.2.4daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo7.7.1daNBRISO/IEC17799 aempresaXestdeacordocomocaptulo7.7.1da NBRISO/IEC17799 a empresa X no observa o prescrito no captulo 7.7.1daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo7.7.2daNBRISO/IEC17799 a empresa X no observa o prescrito no captulo 7.7.2daNBRISO/IEC17799 a empresa X no observa o prescrito no captulo 7.7.2daNBRISO/IEC17799

47 37 38 39 40 Total GrauM Nvelde segurana 2 2 1 1 70 4,375 2 Mdio a empresa X observa parcialmente o prescrito no captulo8.6.1daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo8.6.1daNBRISO/IEC17799 a empresa X no observa o prescrito no captulo 8.6.1daNBRISO/IEC17799 a empresa X no observa o prescrito no captulo 8.6.1daNBRISO/IEC17799 Pontuaomxima=160

Tabela5:ResultadosobtidosRespostas

Aseguirserotratadososresultadosobtidosnoroteirodeavaliao. 4.1.1Resultadosobtidosquantoaocaptulo7daNormaNBRISO/IEC 17799,Gerenciamentodasoperaesecomunicaes. Atabela6eogrfico1demonstramosresultadosobtidosnaseo sobreGerenciamentodasoperaesecomunicaes.Nestasessosotratadas questesquebuscamoconhecerseaempresapossuipolticaseprocedimentos estruturados formalmente e de conhecimento de todos colaboradores sobre proteo contra cdigos maliciosos e mveis, cpias de segurana e troca de informaes.
Captulo 6 da ABNT NBR ISO/IEC 17799:2005 Respostas Percentual do captulo Percentual do total 2 10,53 5 10 52,63 25 5 26,32 12,5 2 10,53 5 19 100 47,5

Possibilidades Concordo Concordo parcialmente Discordo Desconheo Total

Tabela 6: Respostas para questes relacionadas ao Gerenciamento das operaes e comunicaes

48
Questes relacionadas ao captulo 6 da Norma em %
10,53 10,53

Concordo

26,32

Concordo parcialmente Discordo Desconheo

52,63

Grfico1:Distribuioderespostasnasquestesrelacionadasaocaptulo6

A anlise das respostas para as questes relativas ao captulo 6 (Gerenciamento das operaes e comunicaes) da ISO/IEC 17799:2005 no roteiro estabelecido, define o grau de eficcia de 4,342 em relao a confiabilidadedaauditoriaprestadapelaempresaX,encaixandoaassimaonvel 2emrelaoaosnveisdesegurana. 4.1.2Resultadosobtidosquantoaocaptulo8daNormaNBRISO/IEC 17799,Controledeacessos. Atabela7eogrfico2demonstramosresultadosobtidosnaseo sobreControledeacessos.Nestasessosotratadasquestesquebuscamo conhecer se a empresa possui polticas e procedimentos estruturados formalmenteedeconhecimentodetodoscolaboradoressobregerenciamentode acessodousurio,computaomveletrabalhoremoto.

Possibilidades Concordo Concordo parcialmente Discordo Desconheo Total

Captulo 7 da ABNT NBR ISO/IEC 17799:2005 Respostas Percentual do captulo Percentual do total 2 11,76 5 8 47,06 20 7 41,18 17,5 0 0 0 17 100 42,5

Tabela7:RespostasparaquestesrelacionadasaoControledeacessos

49
Questes relacionadas ao captulo 7 da Norma em %
11,76

41,18

Concordo Concordo parcialmente Discordo Desconheo

47,06

Grfico2:Distribuioderespostasnasquestesrelacionadasaocaptulo7

A anlise das respostas para as questes relativas ao captulo 7 (Controledeacessos)daISO/IEC17799:2005noroteiroestabelecido,defineo graudeeficciade4,558emrelaoaconfiabilidadedaauditoriaprestadapela empresaX,encaixandoaassimaonvel2emrelaoaosnveisdesegurana. 4.1.3Resultadosobtidosquantoaocaptulo9daNormaABNTNBR ISO/IEC17799:2005,Aquisio,desenvolvimentoemanutenodesistemasde informao. Atabela8eogrfico3demonstramosresultadosobtidosnaseo sobre Aquisio, desenvolvimento e manuteno de sistemas de informao. Nesta sesso so tratadas questes que buscam o conhecer se a empresa possuipolticaseprocedimentosestruturadosformalmenteedeconhecimentode todoscolaboradoressobregestodevulnerabilidadestcnicas.
Captulo 8 da ABNT NBR ISO/IEC 17799:2005 Respostas Percentual do captulo Percentual do total 0 0 0 2 50 5 2 50 5 0 0 0 4 100 10

Possibilidades Concordo Concordo parcialmente Discordo Desconheo Total

Tabela8:Respostasrelacionadasaaquisio,desenvolvimentoemanutenodosSI

50

Questes relacionadas ao captulo 8 da Norma em %

Concordo Concordo parcialmente

50

50

Discordo Desconheo

Grfico3:Distribuioderespostasnasquestesrelacionadasaocaptulo8

A anlise das respostas para as questes relativas ao captulo 8 (Aquisio,DesenvolvimentoeManutenodosSI)daISO/IEC17799:2005no roteiroestabelecido,defineograudeeficciade3,73emrelaoaconfiabilidade daauditoriaprestadapelaempresaX,encaixandoaassimaonvel1emrelao aosnveisdesegurana. 4.1.4Influnciadecadacaptulonototaldapesquisa Atabela9eogrfico4demonstramosresultadosobtidoslevandoem consideraoquantodototaldoquestionriofoiocupadoporcadacaptuloda NormaNBRISO/IEC17799.

Captulos Cap. 6 Cap. 7 Cap. 8

Quanto cada captulo representa do total Percentual do total Nmero de Questes 47,5 19 42,5 17 10 4

Tabela9:Totaldequestesporcaptulo

51
Quando cada captulo representa do total em %
10

47,5 42,5

Cap. 6 Cap. 7 Cap. 8

Grfico4:Distribuiodecaptulosemrelaoaquantidadedequestes

4.1.5Resultadogeralobtidopelaempresa Atabela10eogrfico5demonstramosresultadosobtidosemcada possibilidadederespostaparaototaldequestesaplicadasnapesquisa.

Classificao por possibilidade de resposta para o total Possibilidades Respostas Percentual Concordo 4 10 Concordo parcialmente 20 50 Discordo 14 35 Desconheo 2 5 Total 40 100
Tabela10:Classificaoporpossibilidadederespostasparaototaldequestes

Quanto cada resposta representa do total em %

10 5

35

Concordo Concordo parcialmente Discordo Desconheo

50

Grfico5:Distribuiodototalderespostas

52 possvelobservarnogrfico5,queaempresaXapresenta10%dos itens em total acordo com as boas prticas recomendadas pela Norma ABNT NBRISO/IEC17799:2005,orestantedoresultandoestdivididoem50%para concordo parcialmente, 35% para discordo e 5% para desconheo. Esta visualizaopermiteestabeleceraeficciadaauditoriaprestadapelaempresaX levandoemconsideraoaconformidadedeseuscontrolesemrelaoaNBR ISO/IEC 17799. O roteiro estabelecido define o grau de eficcia de 4,375 em relaoaconfiabilidadedaauditoriaprestadapelaempresaXquantoasegurana dainformaoparaosseusclientes, encaixandoaassimaonvel2,mdio,em relaoaosnveisdesegurana.Emoutraspalavrasaempresapossuiprocessos padronizados, documentados e implantados, porm nem todos os nveis da organizaoentendemanecessidadedagestodeseguranadainformao.A discussosobreosnveisdaorganizaoentenderemanecessidadedagesto deseguranadainformaoserabordadamaisdetalhadamentenaconcluso.

4.2Sugestesparamelhoriadosresultadosobtidos

Esseitemcontacomsugestesparamelhoriadosresultadosobtidos apsotratamentodosdadoscoletados.Devemseratacadosprimeiramenteos pioresresultadosobtidos.Ecomfoconessesresultadosdevemsertomadasas decises sobre onde os investimentos de tempo e recursos, tanto financeiro quandohumano,seroaplicados.

53 4.2.1Sugestesparamelhoriasnogerenciamentodasoperaese comunicaes. Conformeaanlisedasquestes,doroteirodeauditoria,referenteao captulodegerenciamentodasoperaesecomunicaespossvelverificarque os piores resultados esto nas questes 4 e 5, que so desconhecidas pelo sujeitodapesquisa,enasquestes1,9,13,17e18,asquaisosujeitodiscorda dasboasprticasdefinidaspelaNBRISO/IEC17799. Abrindo as questes citadas acima e seus resultados, comeando pelasquestesqueobtiveramospioresresultados,sugeridocomopontode partida para um plano de trabalho que vise a melhoria destes resultados as seguintesaes: 1 A elaborao e divulgao de uma poltica formal para regulamentarousocdigomvelcontrolado. 2 Implementao de controles criptogrficos de autenticao exclusivaparaexecuodecdigomveisautorizados. 3 Elaborao formal de procedimentos que devem ser tomados assimqueforencontradoalgumcdigomalicioso. 4 Implementao de tcnicas criptogrficas, para proteger a confidencialidade,aintegridadeeaautenticidadedasinformaes. 5Implantaodemeiossegurosparaatransmissodeinformaes confidenciais. 6Utilizaodeassinaturasdigitais,paravalidaraspectoslegaisna transaodemensagenseletrnicas. 7Criaodeprocedimentosdeidentificaoetratamentodas

54 vulnerabilidades conhecidas nos sistemas administrativos e contbeis onde as informaessocompartilhadascomdiferentesreasdaorganizao. 4.2.2Sugestesparamelhoriasnoscontrolesdeacesso Nas questes referentes ao captulo sobre controle de acessos da NBRISO/IEC17799,asseguintessugestesparamelhoriapodemsertomadas comopremissasparaelaboraodeumplanodetrabalhoquevisafortalecera seguranadainformaoemrelaoaocontroledeacessos. 1Implementaodeprocedimentosparaverificaraidentidadedo usurioantesdefornecerumasenhatemporria,desubstituioounova. 2Utilizaodetcnicasdeexpiraodesenhas. 3Verificaesdeprivilgiosemintervalosregularesdetempo. 4Registrodemodificaesdeprivilgiosparacontasdeusurios. 5Autilizaoderedessemfio (wireless) demaneiracontroladae comutilizaodosmelhoresdeprotocolosdeseguranadisponveis. 6Garantirpormeiolegaloacessoaoequipamentodepropriedade particularparaverificaraseguranadamquinaouduranteinvestigao. 7 Utilizao de equipamentos que atendem os requisitos de proteocontravruserequisitosdefirewallparaacessoremoto.

55 4.2.3 Sugestes para melhorias na aquisio, desenvolvimento e manutenodesistemasdeinformao Nasquestesreferentesaaquisiodesenvolvimentoemanuteno desistemasdeinformao,ltimocaptulodaNBRISO/IEC17799utilizadona elaborao do roteiro de auditoria, existe uma particularidade. O nmero de questes relacionadas aestecaptulo inferior aosdemais captulostomados como referencia para elaborao do questionrio. Isso se deve ao fato da relevnciaqueocaptuloapresentouquandoconfrontadocomoprincipalcritrio paraseleo,apresentadonocaptuloanterior(item3.5.1),masnopossvel estabelecerumnveldeconfianaemrelaoaseguranadainformaosem avaliar o controle sobre vulnerabilidades tcnicas. As seguintes sugestes so propostas para a melhoria dos resultados obtidos em relao as questes analisadas. 1Estabelecerprocedimentosdetestesem Patches parasistemas utilizadosnaorganizaoantesdesereminstalados.

2Manterumregistroparatodososprocedimentosrealizadospela equiperesponsvelpelagestodevulnerabilidadestcnicas.

Assugestesparamelhoriafinalizamaapresentaodosresultados obtidoscomapesquisa.Noprximocaptulosoapresentadasasconcluses. Destaformafinalizadaaapresentaodosresultadosobtidoscoma pesquisa.Noprximocaptulosoapresentadasasconsideraesfinais.

5.CONCLUSO

Estecaptuloapresentaasconclusesdestamonografia,bemcomo aslimitaesdotrabalhoeassugestesparatrabalhosfuturos.

5.1Concluses

O objetivo geral deste trabalho foi propor uma metodologia para avaliaodequoeficazumaauditoriaemseguranadainformao,luzda NBRISO/IEC17799:2005,emumaempresadeLajeado,quetemcomoatividade fimaprestaodeservionareadeTI. Osobjetivosespecficosforam: (1)Revisodaliteraturaparaestabelecer umembasamentoterico cientfico para o entendimento da necessidade de segurana da informao,

57 conhecimento de normas e padres reconhecidos, adotados e exigidos internacionalmente,paraorganizaesqueatuamdiretamentenarea. (2)Montagemdeumroteiroparaavaliaraeficciadaauditoria. (3)AplicaodoestudodecasodentrodeumaempresadeLajeado quetenhacomoatividadefimaprestaodeservionareadeTIeparaavaliar anecessidadedosclientesnacriaodosplanosdeserviospropostos. Para atingir os objetivos o trabalho apresentou a importncia da informao para a sobrevivncia dos negcios de uma organizao e a importnciaestratgicadareadeTIparaamesma. O processo de implantao da segurana da informao dispende grandesesforosporpartedaorganizaoeparatantotodosocolaboradores, partindodaaltadiretoria,devemestarenvolvidos. Ametodologia para avaliao daeficcia deauditorias propostafoi baseada na ABNT NBR ISO/IEC 17799:2005 Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto da segurana da informao.Epermiteaobtenodeumamtricaparaaferirograudeeficcia deauditoriasemseguranadainformao. A pesquisa foi realizada com o responsvel por uma empresa que atuanareadeprestaodeserviosemTI.Essaempresatemcomoproduto finalofornecimentodesoluesemTIparaempresasqueutilizamaTIcomo meioparachegaremaosseusprodutosfinais.

58 Amonografiaapresentouumroteiroparaaavaliaodaeficciade auditorias. E segundo os resultados obtidos aps a aplicao do roteiro e tratamentodosdadosfoipossvelafirmarque:ograudeeficciadasauditorias feitaspelaempresaestudadade4,375.Posicionandoaempresanonvelmdio de aplicao de boas prticas para garantir a segurana da informao em conformidadecomaNBRISO/IEC17799,ouemoutraspalavras,aempresaX possuiprocessospadronizados,documentadoseimplantados,pormnemtodos osnveisdaorganizaoentendemanecessidadedagestodeseguranada informao. H,portantoanecessidadedeconscientizaros3nveisdaempresaX (direo,apoioadministrativoeapoiotcnico)danecessidadedautilizaoplena, em seus processos de auditoria, das boas prticas recomendadas pela NBR ISO/IEC17799.NocasodaempresaXistonotarefadifcil,emvirtudedo pequeno nmero de colaboradores. Em uma empresa com maior nmero de colaboradorestaltarefaporcertoseriamaiscomplicada. Oitem4.2,quepropemelhoriasnaobtenodosresultadosobtidos deve ser tomado como ponto de partida para a elaborao de um plano de trabalho,queviseenquadraraempresaauditadaaoscontrolespropostospela Norma. Semprelevandoemconsideraoqueainformaoabrange todosos colaboradores da organizao e por este motivo todos devem conhecer as polticaseprocedimentosformaisparagarantiraseguranadainformao.

59 5.2Limitaesdotrabalho Otrabalhoapresentouasseguinteslimitaes: Nolevaemconsideraofatoshistricos,portersidoadotadoo mtodofenomenolgico. Osresultadosobtidossoaplicadossomenteaempresapesquisada enopodemsergeneralizados. O questionrio para aferir o grau de eficcia de auditorias no utilizoutodososcaptulosdaNormaABNTNBRISO/IEC17799:2005.

5.3Trabalhosfuturos

Comosugestoparanovostrabalhosesteestudopermiteaavaliao progressivadeauditoriasparaomelhoramentocontnuodonveldeseguranada informaoecomprovaodesuaeficcia.Portanto,sugereseutilizaromtodo deavaliaoregularmenteparachecagemdoscontroleseelaboraodeplano detrabalhosnareadeTI. Prximos estudos devem ser baseados na ISO/IEC 27001 ou na ISO/IEC27002,previstapara2008,levandoemconsideraoumreavaliaodos captulosecontrolesutilizadosparaaelaboraodoroteirodeavaliao.

REFERNCIASBILIOGRFICAS

ABNT NBR ISO/IEC 17799:2005. Tecnologia da informao Tcnicas de seguranaCdigodeprticaparaagestodeseguranadainformao.Riode Janeiro,2005. ANDERLE,Angelita. SegurananoProcessodeIntegraodeSistemasde Informao:AplicaodaISO/IEC17799.SoLeopoldo,2004. ASCIUTTI,CsarAugusto.AlinhandoABNTNBRISO/IEC17799e27001para aAdministraoPblicaUSP. Disponvelem:http://www.security.usp.br/artigos/2ESECOM_USP09112006 ArtigoByAsciuttiCesarAV104.pdf BSI. ISO17799 If your information's not save, your future's not secure. Disponvelem:http://www.bsiamericas.com CASCARINO, Richard E. Auditor's guide to information systems auditing. EditoraJohnWiley&Sons,Inc.NewJersey,2007 CARUSO, Carlos A.A.; STEFFEN, Flvio D. Segurana em Informtica e de informaes.2.ed.SoPaulo:SENAC,1999. CAUBIT, Rosngela. O que a ISO 27001 afinal?. Disponvel em: http://www.modulo.com.br/checkuptool/artigo_16.htm.Acessoem:27/10/2007

FACHIN, Odlia. Fundamentos de Moetodologia. 4 ed. So Paulo. Saraiva, 2003. FERNANDES, Florestan. A sociedade numa era de revoluo social. So Paulo.Nacional,1963. FIEGENBAUM, Ana Paula. Maturidade da Gesto de Segurana de Informao,combasenaNBRISO/IEC17799.Lajeado,2006 GIL,AntnioLoureiro.SeguranaemInformtica:ambientesmainframeede microinformtica, segurana empresarial e patrimonial. So Paulo. Atlas, 1994. GIL,AntnioCarlos.Mtodosetcnicasdepesquisasocial.5ed.SoPaulo. Atlas,1999. HUSSERL, Edmund. "Investigaes lgicas: sexta investigao: elementos de uma elucidao fenomenolgica do conhecimento". Coleo Os Pensadores,SoPaulo,NovaCultural,1988. LAVILLE, Christian e DIONNE, Jean. A construo do saber: manual de metodologiadepesquisaemcinciashumanas.PortoAlegres.EditoraUFMG. 1999. MARTINS, Alade Barbosa. UMA ABORDAGEM METODOLGICA BASEADA EM NORMAS E PADRES DE SEGURANA. ESTUDO DE CASO CETREL S/A. Disponvel em: http://www.linorg.cirp.usp.br/SSI/SSI2004/Poster/P03_ssi04.pdf RFC2196. SiteSecurityHandbook.Disponvelsem http://www.rfc.net/.Acesso em:18set.2006. VERGARA,Sylvia.C. ProjetoseRelatriosdePesquisaemAdministrao. SoPaulo.Atlas,1997. VERGARA,Sylvia.C.ProjetoseRelatriosdePesquisaemAdministrao.5 ed.SoPaulo.Atlas,2004.

VERGARA, Sylvia. C. Mtodos de pesquisa em Administrao. 5 ed. So Paulo.Atlas,2005. YIN,RobertK. Estudodecaso:planejamentoemtodos.3.edPortoAlegre. Bookman,2005.