Professional Documents
Culture Documents
Monografia apresentada ao Curso de Administrao com Habilitao em Anlise de Sistemas do Centro Universitrio - UNIVATES
AGRADECIMENTOS
RESUMO
Acontinuidadedosnegciosempresariaisdepende,emgrandeparte, do perfeito funcionamento de seus Sistemas de Informao (SI). Para garantir esseperfeitofuncionamentonecessriaumarigorosagestodaseguranados SI,gestoessaquetemnasAuditoriasumapartefundamental.Auditoriasso feitasdeacordocomumametodologiadeapoio,dentreasquaissedestacamas metodologiasbasedaNBRISO/IEC17799(CdigodePrticaparaaGestoda SeguranadaInformao). Se por um lado, h uma razovel literatura disponvel sobre como montarauditorias,poroutro,hescassezdepublicaesquejulguemaeficcia detaisauditorias.Estamonografiatemcomoobjetivoproporumcritrio,simples edefcilaplicao,paraavaliaraeficciadeauditoriasdeSI,tomandocomo mtrica a sua aderncia a NBR ISO/IEC 17799. Atravs de estudo de caso realizadoeconsiderandoaslimitaesdotrabalho(foramanalisadasapenastrs, dasonzecategoriasdaNBR)considerasequefoialcanadooobjetivoproposto.
ABSTRACT
Thecontinuityofbusinessenterprisedepends,inlargepart,onthe perfectactionoftheirInformationSystems(IS).Toprovidetheperfectoperationis necessaryaISsecuritymanagement,bymeansofAuditingprocesses.Auditings are made in accordance with a methodology to support them; among these methodologiesstandoutmethodologiesbasedonNBRISO/IEC17799(Cdigo dePrticaparaaGestodaSeguranadaInformao). Ifthereisareasonableliteratureavailableonhowtomountauditing, publicationsthatjudgetheeffectivenessofsuchauditsareinafewnumber.This paper proposes a criterion, simple and easy to implement, to estimate the effectivenessofISauditing,bycomparingitsadherencetotheNBRISO/IEC 17799. Through case studies done and considering the work limitations (only three,oftheelevencathegoriesofNBRwereanalysed)itisconsideredthatthe goalproposedwasreached.
SUMRIO
LISTADETABELAS......................................................................................... 08 LISTADEFIGURAS.......................................................................................... 09 LISTADEGRFICOS........................................................................................ 10 LISTADEABREVIATURAS.............................................................................. 11 1.INTRODUO............................................................................................... 12 1.1Definiodoproblema........................................................................... 12 1.1.1OqueSeguranadaInformao......................................................... 12 1.1.2AuditoriasdeSistemasdeInformao................................................... 13 1.1.3Contextualizaodoproblema............................................................... 13 1.2Objetivosdotrabalho............................................................................. 14 1.2.1Objetivogeral.......................................................................................... 14 1.2.2Objetivosespecficos............................................................................. 14 1.3Composiodotrabalho....................................................................... 15 2.FUNDAMENTAOTERICA..................................................................... 17 2.1SeguranaemSistemasdeInformao............................................... 17 2.1.1SistemasdeInformao(SI).................................................................. 18 2.1.2SeguranadosSI................................................................................... 18 2.2Normasepadresdesegurana.......................................................... 20
2.2.1CommonCriteria(ISO15408)............................................................... 21 2.2.2ISO/IECTR13335................................................................................. 21 2.2.3COBIT(ControlObjectivesforInformationandRelatedTechnologies) 23 2.2.4ISO/IEC27001....................................................................................... 23 2.3ANBRISO/IEC17799............................................................................. 25 2.4GestodasOperaeseComunicao............................................... 28 2.5ControledeAcesso................................................................................ 28 2.6 Aquisio, Desenvolvimento e Manuteno dos Sistemas de Informao........................................................................................................ 29 2.7Consideraesparciais......................................................................... 30 3.METODOLOGIA............................................................................................. 31 3.1Omtodo................................................................................................. 31 3.2Quantoaosmeiosdeinvestigao....................................................... 32 3.2.1Pesquisabibliogrfica............................................................................ 32 3.2.2Estudodecaso...................................................................................... 33 3.2.3Sujeitodapesquisa............................................................................... 34 3.3Caracterizaodaempresa................................................................... 34 3.4Acoletadedados................................................................................... 34 3.5CritriopropostoparaavaliaraeficciadeauditoriasdeSI............. 35 3.5.1Montagemdoroteirodeavaliao......................................................... 35 3.5.2Definiodamtricaaserutilizada....................................................... 41 3.5.3Tratamentodosdados........................................................................... 43 4.RESULTADOSOBTIDOS.............................................................................. 44 4.1Anlisedosresultadosobtidos............................................................ 44 4.1.1Quantoaocaptulo7daNormaNBRISO/IEC17799,Gerenciamento dasoperaesecomunicaes......................................................................... 47 4.1.2Quantoaocaptulo8daNormaNBRISO/IEC17799,Controlede acessos.............................................................................................................. 48 4.1.3Quantoaocaptulo9daNormaABNTNBRISO/IEC17799:2005, Aquisio,desenvolvimentoemanutenodesistemasdeinformao........... 49 4.1.4Influnciadecadacaptulonototaldapesquisa................................... 50
4.1.5Resultadogeralobtidopelaempresa.................................................... 51 4.2Sugestesparamelhoriadosresultadosobtidos.............................. 52 4.2.1Sugestesparamelhoriasnogerenciamentodasoperaese comunicaes..................................................................................................... 53 4.2.2Sugestesparamelhoriasnoscontrolesdeacesso............................. 54 4.2.3Sugestesparamelhoriasnaaquisio,desenvolvimentoe manutenodesistemasdeinformao............................................................ 55 5.CONCLUSO................................................................................................ 56 5.1Concluses............................................................................................. 56 5.2Limitaesdotrabalho.......................................................................... 59 5.3Trabalhosfuturos................................................................................... 59 REFERNCIASBIBLIOGRFICAS.................................................................. 60
LISTADETABELAS
Tabela1:Relaodasquestescomoscaptulosecategorias........................ 36 Tabela2:Correlaodasquestesporcaptulo................................................ 38 Tabela3:Pontuaoparaasrespostasobtidasnapesquisa............................ 42 Tabela4:Nveissegurana................................................................................ 42 Tabela5:ResultadosobtidosRespostas........................................................ 44 Tabela6:RespostasparaquestesrelacionadasaoGerenciamentodas operaesecomunicaes................................................................................ 47 Tabela7:RespostasparaquestesrelacionadasaoControledeacessos....... 48 Tabela8:Respostasrelacionadasaaquisio,desenvolvimentoe manutenodosSI............................................................................................. 49 Tabela9:Totaldequestesporcaptulo............................................................ 50 Tabela10:Classificaoporpossibilidadederespostasparaototalde questes............................................................................................................. 51
LISTADEFIGURAS
Figura1:Principaisameaasseguranadainformao...................................19
LISTADEGRFICOS
48 49 50 51
Grfico4:Distribuiodecaptulosemrelaoaquantidadedequestes...... 51
LISTADEABREVIATURAS
ABNTAssociaoBrasileiradeNormasTcnicas BSBritishStandard DNSDomainNameServer IECInternationalElectrotechnicalCommission ISInternationalStandard ISOInternationalOrganizationforStandartization NBRNormaBrasileira NISTNationalInstituteforStandardsandTechnology PDCAPlan,Do,Check,Act SISistemasdeInformao RFCRequestForComents TITecnologiadaInformao
1.INTRODUO
1.1Definiodoproblema.
1.1.1Oqueseguranadainformao?
SegundoNBRISO/IEC17799:2005,aseguranadainformaoa proteo da informao contra vrios tipos de ameaas, buscando garantir a continuidade do negcio pela minimizao de riscos e pela maximizao do retornosobreosinvestimentosedasoportunidadesdenegcio.ASeguranada Informao obtida a partir da implementao de um conjunto de controles
13 adequados, incluindo polticas, processos, procedimentos, estruturas organizacionaisefunesde software e hardware.Estescontrolesprecisamser estabelecidos, implementados, monitorados, analisados criticamente e melhorados,nosdiversossistemasporondefluiainformao,paragarantirque osobjetivosdonegcioedeseguranadaorganizaosejamatendidos (NBR ISO/IEC17799:2005). 1.1.2AuditoriasemSistemasdeInformao Auditoriassoatividadesquemonitoram,analisam,criticameavaliam ofuncionamentoefetivodoscontrolesdaseguranadossistemasdeinformao de uma instituio. AsAuditorias visam ajudar as pessoas responsveis pelos processosaalcanarosmelhoresresultados,pelaverificaodofuncionamento dosatuaiscontroles,bemcomofornecendoumabaseparaajudaramelhorara efetividadedaaodessescontroles(NBRISO/IEC17799:2005). 1.1.3Contextualizaodoproblema Auditoriassofeitasdeacordocomumametodologiadeapoio,dentre asquaissedestacamasmetodologiasbasedaNBRISO/IEC17799(Cdigode PrticaparaaGestodaSeguranadaInformao).Seporumlado,huma razovel literatura disponvel sobre como montar auditorias, por outro, h escassezdepublicaesquejulguemaeficciadetaisauditorias,tomandocomo mtrica a aderncia da auditoria s normas e padres internacionais de seguranadesistemasdeinformao,comoasupracitada(Cascarino,2007).
14 1.2Objetivosdotrabalho
Esta monografia tem como objetivo, atravs do estudo de caso realizadoeconsiderandoaslimitaesdotrabalho(foramanalisadasapenastrs, dasonzecategoriasdaNBR),oseguinte: 1.2.1Objetivogeral Proporumcritrio,simplesedefcilaplicao,paraavaliaraeficcia deauditoriasdesistemasdeinformao,tomandocomomtricaasuaaderncia aNBRISO/IEC17799. 1.2.2Objetivosespecficos Realizarumarevisodaliteraturasobreseguranadesistemasde informao e sobre algumas das normas internacionais que recomendam as melhores prticas para o estabelecimento de controles efetivos para minimizar problemasdesegurana,emespecialaNBRISO/IEC17799; Montagemdeumroteiroqueimplementeumcritrioparaavaliaro grau de aderncia a NBR ISO/IEC 17799 dos processos de uma auditoria de sistemasdeinformao; Aplicar o roteiro proposto,em um estudo de caso simples, tendo comoalvouma empresaquetemaauditoriadesistemasdeinformaocomo umadesuasatividades.
15 1.3EstruturadoTrabalho Estetrabalhoestestruturadoemcincocaptulos,asaber: (1)Estaintroduo,comacontextualizaodoproblema,osobjetivos dotrabalhoeasuaestruturao; (2) O captulo Fundamentao Terica que apresenta os conceitos bsicoseessenciaisaoacompanhamentodotrabalhoequetambmservede embasamento terico para a construo do critrio objetivo principal da monografia.Nessecaptulosoapresentados:osconceitosbsicosdareada seguranadesistemasdeinformao;sovistas,deformaresumida,algumas dasprincipaisnormasinternacionaisqueabordamoassunto,emespecialaNBR ISO/IEC17799:2005etrsdeseusonzecaptulos. Considerandovastidodo assunto e as limitaes inerentes a um Trabalho de Concluso de Curso, o trabalho limitouse a 3, dos 11 captulos existentes na norma, a saber: Gerenciamento das Operaes e Telecomunicaes, Controle de Acessos e Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao. O principal critrio utilizado para seleo dos captulos (e posterior seleo de algumasdassuascategorias)foiarelevnciae/ouinteraodosassuntosali tratados com os principais possveis causadores de falhas na gesto de segurana da informao, os usurios utilizadores dos itens apontados nas checagemdoscontrolesrelacionadosnoroteirodeavaliao; (3)Nocaptulotrs(Metodologia)sodiscutidosmtodoemeiosde investigao,feitaacaracterizaodaempresaalvodoestudodecasoeso apresentadososquatropassosqueconstituemocritriodeavaliao,objetivo
16 principaldotrabalho; (4)OcaptuloResultadosObtidostabulaosresultadosobtidospela aplicaodocritriosobrealgunsdosprocessosdeauditoriautilizadosporuma empresadeconsultorianareadeseguranadesistemasdeinformao.luz databulao,discutemseosdadosobtidoseseatribuiograudeadernciaa NBR ISO/IEC 17799 dos processos de auditoria da empresa alvo, em ltima anlise,aeficciadaauditoriajulgadaluzdaquelasnormas. (5) Por fim, o captulo cinco (Concluso) sintetiza os resultados obtidos, aponta as limitaes do estudo feito e aponta para possveis futuros trabalhossobreoassunto.
2.FUNDAMENTAOTERICA
2.1SeguranaemSistemasdeInformao
18 2.1.1SistemasdeInformao(SI) SistemasdeInformao(SI)podemserdefinidoscomoacombinao de recursos humanos e computacionais que inter relacionam a coleta, o armazenamento,arecuperao,adistribuioeousodedados,comoobjetivo de eficincia gerencial (planejamento, controle, comunicao e tomada de deciso) nas organizaes. Adicionalmente, os SI podem tambm ajudar aos gerentes e usurios a analisar problemas, criar novos produtos ou servios e visualizarquestescomplexas.(DefinioMEC(98)/SBC).
2.1.2SeguranadosSI A Norma ISO 74982, originalmente IS 74982, do NIST (National Institute for Standards and Technology) exige cinco princpios bsicos para obtenodaseguranadosSI: (1)Confidencialidadeosistemadevedispordecondiesparamanteros dadosconfidenciaisrestritosapenasaoacessodosusuriosautorizados. (2)Integridadedosdadosprovproteocontraameaasvalidadee consistnciadosdados. (3)Disponibilidadeasseguraqueosrecursosdeinformticaestejamem condiesnormaisdeoperaoedisponveisparaousurio,nomomentoem queforemsolicitados.
19 (4)Autenticidadeasseguraaquemrecebeuumamensagem,acerteza daidentidadedequemaenviou. (5) No repdio (Irretratabilidade) busca evitar que o remetente ou destinatrionegueoenvioourecebimentodamensagem. Umfatointeressantefoiobservadonapesquisaqueabrange50%das 1000maioresempresasbrasileiras,realizadapelaMduloSecuritySolutions: cada vez mais preocupante o fato dos funcionrios insatisfeitos provocarem perdase/oudanosnasempresasemquetrabalhamoutrabalharam.
Figura1:Principaisameaasseguranadainformao. Fonte:PesquisaNacionaldeSeguranadaInformao(MDULO)
A reviso de acessos outro fator determinante na segurana da informao.Caruso(1993)dizquedevidoafatoresexternos,taiscomofriasou licena,provocamapassagemdetarefasdeumfuncionrioparaoutro.Quandoo primeiro retorna, na maioria das vezes, os acessos do substituto no so canceladose,omaispreocupante,elejrecebeutodoconhecimentonecessrio parautilizaraquelasinformaesquejnosomaispertinentesaele.
20 Gil (1994) chama a ateno para a administrao da segurana e propeummodelo,divididoemtrs(03)fases,paraexecutlo: (1)Planejamento: Estabelecerresponsabilidadesaosenvolvidoscomareadesegu rana; Definirumapolticadesegurana; Levantarriscos. (2)Operacionalizao:Avaliarosriscos; Aplicarapolticadesegurana; Estabelecerumplanodecontingncia; Treinar. (3)Acompanhamento: Analisarosrelatriosoperacionais,tticoseestratgicosdesegu rana; Avaliao: Confrontarosresultadosrealizadoscomoesperado.
2.2Normasepadresdesegurana
Sistemas de Informao, em geral, so sistemas heterogneos, formados por diferentes plataformas de hardware e software (Sistemas Operacionais(SO)eaplicativos).Aexploraodasfalhasdesegurana,dentro deumambientecomputacionalheterogneocadavezmaioremaissofisticada efeita,essencialmente,atravsdequatrovetores: (1) SerHumano;
21
(2) Sistemasaplicativos; (3) Sistemasoperacionaise (4) Rede. H uma razovel bibliografia sobre a gesto da Segurana dos SI (dissertaes, teses, livros e artigos) tendo como base diversas Normas internacionais,taiscomo: 2.2.1CommonCriteria(ISO15408) AISO 15408, tambm conhecido como Common Criteria, trata das definies de componentes (tcnicos) de segurana visando um processo de avaliaodesistemas. O CommonCriteria permitecomparaesentreprodutosfornecendo umconjuntoderequisitosdeseguranaemedidasdegarantiaaplicadasaeles durante a avaliao. Logo, ao final da avaliao de dois produtos podese compararasfunesdeseguranaeosnveisdegarantiafornecidosporambos, deformaaescolheroprodutoquemaisseadequarsnecessidadesdocliente. 2.2.2 ISO/IECTR13335 AnormaISO/IEC13335compostade5partes,dentrodotemageral de Tecnologia da Informao e chamada de GMITS (Guidelines fort he ManagementofITSecurity).Ascincopartesso:
22 Parte1:ConceptsandmodelsforITsecurity. Publicadaem1996,forneceumavisogeraldosconceitosemodelos fundamentaisusadosparadescreveragestodeseguranadeTI. Parte2:ManagingandplanningITSecurity. Publicadaem1997,tratadorelacionamentodareadeseguranada informao com as demais reas da organizao, principalmente a rea de seguranacorporativa. Parte3:TechniquesforthemanagementofITSecurity. Publicadaem1998,descrevetcnicasdegestodeseguranaparaa readeTecnologiadaInformao,tratandoemespecialdagestoderiscocom tcnicasdeanlisederisco. Parte4:Selectionofsafeguards. Publicada em 2000. Fornece um catlogo de contramedidas, e um guiaparaaseleodestas. Parte5:Managementguidanceonnetworksecurity. Publicada em 2001. Complementa a parte quatro desta ISO, acrescentandofatoresrelevantesparaaconexodeSIemredes.
23 2.2.3 COBIT (Control Objectives for Information and Related Technologies) Objetiva fornecer boas prticas para a gesto de processo de tecnologia da informao eliminando divergncias entre riscos de negcios, questestcnicas,controlesemedidasdedesempenho. AmetodologiaCOBITconsisteem6publicaes,comofoconona segurana da Informao, mas sim no planejamento das tecnologias da informao de acordo com o objetivo da organizao. Possui, ainda alguns controlesespecficosparaseguranadainformao,dentreestecontrolestemse aferramentaMaturityModels,modelosparaanlisedematuridadedeprocessos, quepodeserutilizadanoprojetodeseguranadainformao. 2.2.4ISO/IEC27001 A norma ISO 27001:2005 uma evoluo do padro britnico BS 77992:2002, que define requisitos para um Sistema Gesto de Segurana da Informao. O padro foi incorporado pela The International Organization for Standardization (ISO), organizao que estabelece padres internacionais de certificaoemdiversasreas. AnormaISO27001:2005anormaBS77992:2002revisada,com melhoriaseadaptaes,contemplandoocicloPDCAdemelhoriaseavisode processosqueasnormasdesistemasdegestojincorporaram.
24 Abaixo,umbrevehistricodaevoluodanormaatchegaraISO 27001: 1995: primeira verso da BS 77991 (BS 77991:1995 Tecnologia da InformaoCdigodeprticaparagestodaseguranadainformao) 1998: primeiraversodaBS77992(BS77992:1998Sistemadegestoda SeguranadaInformaoEspecificaeseguiaparauso) 1999: reviso da BS 77991 (BS 77991:1999 Tecnologia da Informao Cdigodeprticaparagestodaseguranadainformao) 2000: publicaodaNormaISO/IEC17799(ISO/IEC17799:2000Tecnologia da Informao Cdigo de prtica para gesto da segurana da informao tambmreferenciadacomoBSISO/IEC17799:2000) 2001: primeiraversodanormanoBrasil,NBRISO/IEC17799(NBRISO/IEC 17799:2001 Tecnologia da Informao Cdigo de prtica para gesto da seguranadainformao) 2002:revisodanormaBS7799parte2(BS77992:2002Sistemadegesto daSeguranadaInformaoEspecificaeseguiaparauso) Agosto/2005: segundaversodanormanoBrasil,NBRISO/IEC17799(NBR ISO/IEC17799:2005TecnologiadaInformaoCdigodeprticaparagesto daseguranadainformao)
25 Outubro/2005: norma ISO 27001 (ISO/IEC 27001:2005 Tecnologia da Informao Tcnicas de segurana Sistema de gesto da Segurana da InformaoRequisitos) Acompanhandooprocessodeevoluohistricaapresentadoacima, podeseobservarqueanormaISO/IEC17799,queaevoluodaBS77991, incorporada pela ISO em 2000, tambm foi revisada, e ambas as normas, a ISO/IEC27001eaISO/IEC17799,jestoalinhadas.Oprximopassosera converso da ISO/EC 17799:2005 em ISO/IEC 27002, previsto para 2008, formandoassimafamliaISO/IEC27000quetrataraspectosmaisamplosde SeguranadaInformao.
2.3ANBRISO/IEC17799
26 1. Polticadeseguranadainformao ondedescreveaimportnciae relaciona os principais assuntos que devem ser abordados numa poltica de segurana. 2. Organizandoaseguranadainformao abordaaestruturadeuma gernciaparaaseguranadeinformao,assimcomoabordaoestabelecimento deresponsabilidadesincluindoterceirosefornecedoresdeservios. 3. Gestodeativos trabalhaaclassificao,oregistroeocontroledos ativosdaorganizao. 4.Seguranaemrecursoshumanostemcomofocooriscodecorrentede atos intencionais ou acidentais feitos por pessoas. Tambm so abordados: a inclusoderesponsabilidadesrelativassegurananadescriodoscargos,a formadecontrataoeotreinamentoemassuntosrelacionadossegurana. 5.Seguranafsica edoambiente abordaanecessidadedesedefinir reasdecirculaorestritaeanecessidadedeprotegerequipamentoseainfra estruturadetecnologiadeInformao. 6.Gerenciamentodasoperaesecomunicaes abordaasprincipais reas que devem ser objeto de especial ateno da segurana. Dentre estas reas destacamse as questes relativas a procedimentos operacionais e respectivasresponsabilidades,homologaoeimplantaodesistemas,gerncia de redes, controle e preveno de vrus, controle de mudanas, execuo e guardadebackup,controlededocumentao,seguranadecorreioeletrnico, entreoutras.
27 7.Controledeacessoabordaocontroledeacessoasistemas,adefinio de competncias, o sistema de monitorao de acesso e uso, a utilizao de senhas,dentreoutrosassuntos. 8.Aquisio,desenvolvimentoemanutenodesistemasdeinformao aborda os requisitos de segurana dos sistemas, controles de criptografia, controledearquivoseseguranadodesenvolvimentoesuportedesistemas. 9.Gestodeincidentesdesegurana dainformao includanaverso 2005,apresentadoisitens:Notificaodefragilidadeseeventosdeseguranada informaoegestodeincidentesdeseguranadainformaoemelhorias. 10.Gestodacontinuidadedonegcio reforaanecessidadedeseter umplanodecontinuidadeecontingnciadesenvolvido,implementado,testadoe atualizado. 11.Conformidadeabordaanecessidadedeobservarosrequisitoslegais, taiscomoapropriedadeintelectualeaproteodasinformaesdeclientes. O planejamento das aes relativas norma deve atender a um conjuntoderequisitos,dentreosquaisumrequisitobsico:Auditorias.
28 2.4GestodasOperaeseComunicao Oobjetivoprincipaldogerenciamentodasoperaesecomunicaes garantir a operao segura e correta dos recursos de processamento da informao.Paratalprecisogarantir,aluzdaNormaNBRISO/IEC17799:2005, que os controles aplicados satisfaam as condies desejadas. As categorias selecionadosnestecaptulodaNormasoasseguinte: Proteocontracdigosmaliciososemveis: Proteo contra vrus, worms, spywares, trojans, ou qualquer cdigo malicioso capaz de danificar, remover,capturar,divulgareutilizarrecursoscomputacionaisouinformaessem oconhecimentodousurioparafinsilegaisounopermitidos. Cpiasdesegurana: Toda proteo contra perdas inesperadas, desastreseatmesmoproblemascommanutenoouerrodousurio. Trocadeinformaes: Definiesemedidasdeseguranaparatoda equalquertrocadeinformaooriginadaoudestinadaorganizao,desdea trocadeemailatotransportedasmdiasdebackup.
2.5ControledeAcesso
29 As regras de controle de acesso devem levar em considerao as polticas para autorizao e disseminao da informao. A seguir so relacionadasascategoriasselecionadosnestecaptulodaNorma. Gerenciamentodeacessodousurio: Gerenciamento de
comorealizadooacessodousurio,quaisseusprivilgios,direitosdeacessoe comogerenciadasuasenhadeacesso.Tambmtratadaanlisederegistros (logs)dequeconsultado,executadoealteradopelousurio. Computaomveletrabalhoremoto: abordacomosodefinidose gerenciadosotrabalhoremotoeacomputaomvel,comoredeswireless,pela organizao. Trata tambm de como o usurio obtm acesso e at o que possvelacessarapartirderedesexternasoumveis.
A aquisio, desenvolvimento e manuteno, devem garantir que a segurana parte integrante dos sistemas de informao. Sistemas de informaoincluemsistemasoperacionais,infraestrutura,aplicaesdenegcio, produtosdeprateleira,servioseaplicaes.Acategoriautilizadanoroteiropara auditoria deste captulo diz respeito gesto de vulnerabilidades tcnicas, as quaissoespecialmentevisadasporpossveisatacantes,poispodempermitiro acesso e a manipulao de informaes vitais para o negcio de uma organizao.
2.7Consideraesparciais
Este captulo buscou dar o embasamento terico necessrio ao acompanhamentodo trabalho, abordando osassuntos: papel dasauditorias, a Norma NBR ISO/IEC17799:2005, em especialtrsdos seusonze tpicos. A seleodessestrstemas(GestodasOperaeseComunicao;Controlede Acesso e Aquisio, Desenvolvimento e Manuteno dos Informao)foijustificadanoitem1.3(2). No prximo captulo ser discutida a metodologia usada e ser apresentadoocritriopropostoparaavaliaraeficciadeauditoriasdasegurana desistemasdeinformao,objetivoprincipaldestetrabalho. Sistemas de
3.METODOLOGIA
Este captulo apresenta o Roteiro proposta para a avaliao da eficciadeauditoriasdesistemasdeinformao,descrevendoqualomtodoe tipodepesquisautilizadanotrabalho,osmeiosdeinvestigaoutilizadosparaa coletaeotratamentodosdadosdentrodouniversodapesquisa.
3.1OMtodo
Mtodooinstrumentodoconhecimentoqueproporcionaorientao geralparafacilitaroplanejamentodeumapesquisa,paracoordenarinvestigaes einterpretarosresultados,devendoseradequadoaotipodepesquisa (Fachin, 2003).Tambm considerado umcaminho, uma forma lgica de pensamento (Vergara,2004).
32 Este trabalho foi desenvolvido a partir do mtodo fenomenolgico defendido por Husserl (18591938), que consiste em isolar num fenmeno as influncias necessrias para estudlo e uslo, podendo considerar posteriormenteligaesabandonadas. Omtododevarejoutilizadofoiocomparativo.Conforme Gil(1999), estemtodoprocedepelainvestigaode[...]fenmenosoufatos,comvistaa ressaltarasdiferenasesimilaridadesentreeles.
3.2Quantoaosmeiosdeinvestigao
Apesquisafoidesenvolvidadeformadescritivaeaplicada.Descritiva, pois apresenta a descrio das caractersticas de determinada populao ou fenmenoouoestabelecimentoderelaesentrevariveis(Gil,1999;Vergara, 2004).Aplicada,dadoquesepropeaumafinalidadeprtica,pelaimplantao na empresa analisada de um plano estratgico em funo das variveis e caractersticasapresentadasapartirdeummodeloproposto(Vergara,1997).Os meiosdeinvestigaoutilizadosnestetrabalhoforamosseguintes. 3.2.1PesquisaBibliogrfica Desenvolvidaapartirdematerialjelaborado,constitudodelivrose monografias (Gil, 1999), bem como revistas, jornais, internet, newsletters, peridicos,requestforcomentsRFCs,NormaABNTNBRISO/IEC17799:2005, etodomaterialdisponvelaopblicoemgeral(Vergara,2004).
33 3.2.2EstudodeCaso Oestudodecasolimitadoemumaoupoucasunidades,entendidas essas como uma pessoa, uma famlia, um produto, uma empresa, um rgo pblico, uma comunidade ou mesmo um pas. Tem carter de profundidade e detalhamento(Vergara,2004). Normalmenteoestudodecasousadoquandoopesquisadortem umcontrolesobreosacontecimentosequantoofocoseencontraemfenmenos inseridosemalgumcontextodavidareal(Yin,2005).Ainda,segundoFernandes (1963), ele usado quando se deseja analisar situaes concretas, nas suas particularidades. Esteestudodecasofoidesenvolvidoemumaempresadepequeno portesituadaemLajeado,RioGrandedoSul.Aempresaalvotrabalhanareade assessoria tecnolgica e prestao de servios na rea de tecnologia da informaoe,viaderegra,iniciaseustrabalhospormeiodeumaauditoriada seguranadossistemasdeinformaodocliente,visandoobterumdiagnstico dasituao.Comooprodutofinaldaempresapesquisadaofornecimentode serviosnareadeTI,paraempresasqueautilizamcomomeioparaviabilizar seusnegcios,deextremaimportnciaqueaempresaXestejaalinhadacom padresinternacionais,comoaNBRISO/IEC17799:2005,paraqueodiagnstico por ela realizada via auditoria seja eficaz e ilustre a realidade da empresa auditada.
34 3.2.3Sujeitodapesquisa Ossujeitosdapesquisasoaspessoasquefornecemosdadosqueo pesquisadornecessita(Vergara,2004). Nesteestudo,o sujeitodapesquisaofundadoreproprietrioda empresa que est completando 7 anos de existncia, trabalha nas reas administrativas,comercialetcnica.FormadoemAnlisedeSistemasecursando psgraduaoemGestoEmpreendedoradeNegcios.
3.3Caracterizaodaempresa
Atualmenteaempresacontacom4colaboradores,sendo2tcnicos com dedicao exclusiva para atendimento a clientes, uma secretria e o proprietrio e administrador que trabalha na rea comercial / administrativa e eventualmentenareatcnica.Aescolhafoifeitadevidoaofatodeexistircontato diretoentreopesquisadoreosujeitodapesquisa.
3.4Acoletadedados
35 Aentrevistaumprocedimentonoqualopesquisadorfazperguntas ao sujeito da pesquisa. A entrevista pode ser informal ou aberta, que uma conversainformaletemporobjetivocoletarosdadosparaapesquisa,ouainda por pauta, onde so agendados vrios pontos para serem explorados com o entrevistado(Vergara,2005). A entrevista foi realizada por email e posteriormente discutida pessoalmentedemaneirainformalparareavaliao.
3.5CritriopropostoparaavaliareficciadeauditoriasdeSI
Ocritriopropequatropassos,asaber:(1)Montagemdoroteirode avaliao;(2)Definiodamtricaaserutilizada;(3)Tratamentodosdados;(4) Anlisedosresultadosobtidos. 3.5.1MontagemdoRoteirodeavaliao Este item explica os critrios utilizados para a montagem do questionrio,compostopor40(quarenta)questesequeservirdebasepara aferiodograudeadernciasNBRISO/IEC17799,dosprocessosdeauditoria utilizadospelaempresaalvo. Aspesquisasdecampoedocumentalforamrealizadascombasena gestodeseguranadainformaodefinidanaNBRISO/IEC17799:2005ena RequestForComentes2196RFC2196SiteSecurityHandBook,quedefinem tecnicamentecomoabuscadasinformaesdeveserconduzidaeoscritriosde
36 interpretao dos dados obtidos. A utilizao de padres de segurana conhecidos estabelece melhores prticas para a implantao da gesto de seguranadainformao. Umaboapartedosprocessosdeauditoriaempregadospelaempresa alvodoestudodecasosebaseiaemcontrolesdasoperaesdeentradaesada de dados e, em decorrncia, de controles do acesso aos dados. Uma outra preocupao dos processos de auditoria examinados com vulnerabilidades tcnicasapresentadasporsistemas,quersistemasdesenvolvidosemcdigolivre, queremsoftwareproprietrio. Considerando os fatores acima citados, optouse por montar as quarenta questes base dos captulos e respectivas categorias abaixo indicadas.
CaptulosdaISO/IEC 17799:2005
Categoria
6.GestodasOperaese 6.4.Proteocontracdigos Comunicao maliciososemveis 6.5.Cpiasdesegurana 6.8.Trocadeinformaes 7.ControledeAcesso 7.2.Gerenciamentodeacessodo usurio 7.7.Computaomveletrabalho remoto 8.Aquisio, Desenvolvimentoe ManutenodoSistemas deInformao 8.6.Gestodevulnerabilidades tcnicas
Tabela1:Relaodasquestescomoscaptulosecategorias
37 Gil(1999)comentaquealgunsautoresestabelecemcomoregrageral queonmerodeperguntasdeumquestionrionodeveultrapassaratrinta.O questionrioparaaferiodograudeseguranaemqueaempresapesquisada se encontra possui 40 questes. Este nmero foi estabelecido devido o detalhamento necessrio para o levantamento de informaes essenciais para queaaferiodograudesejadocontextualizeoresultadomaisprximopossvel darealidadeencontrada,permitindoassimumareavaliaodoplanejamentode trabalho nos pontos mais crticos e melhoria nos resultados aps seguidas aplicaesdoquestionrio. ParaestequestionriofoiutilizadocomobaseotrabalhodeAnderle (2004).NoreferidotrabalhoaautorautilizouaNBRISO/IEC17799,pormno props nenhuma mtrica que possibilitasse avaliar o resultado obtido. Como referncia para a criao da mtrica de avaliao foi utilizado o trabalho de Fiegenbaum(2006). Abaixo sero demonstrados exemplos de como o questionrio foi construdoparaageraodoroteiro: Para a criao da primeira questo, a referncia utilizada foi o captulo 7 da ABNT NBR ISO/IEC 17799:2005, que prev a proteo contra cdigos maliciosos e mveis, como por exemplo, a existncia formal de procedimentosaseremtomadosassimqueumcdigomaliciosoencontrado. Paraaquesto21,foiutilizadoocaptulo8daABNTNBRISO/IEC 17799:2005,quesugereoregistro (log) formaldetodasaesexecutadaspelo usurio.
N 1
Captulo 7.4.1
Questo Hdefiniesdocumentadasedeconhecimentodosusurios sobre procedimentos que devem ser tomados assim que for encontradoalgumcdigomalicioso. So instalados e atualizados regularmente softwares de deteco e remoo de cdigo maliciosos para o exame de computadoresemdiasmagnticas,deformapreventivaoude formarotineira H verificao, antes do uso, da existncia de cdigos maliciososnosarquivosemmdiaspticasoueletrnicas,bem como arquivos transmitidos e recebidos atravs de redes, e verificaodaexistnciademalwareempginasweb. Ousodecdigomvelcontroladoeoperadeacordocom umapolticadeseguranadainformaoclaramentedefinidae divulgadaparausuriosdecdigosmveis. Cdigomveisautorizados possuemcontrolescriptogrficos deautenticaoexclusivaparaexecuo. Existeumapolticaregularparaaexecuodosprocedimentos decpiadesegurana. Existem vrias cpias de segurana em diferentes locais, inclusiveforadasdependnciasdaorganizao. Existemprocedimentosdefinidosparaousodecomunicao semfio(wireless),levandoemcontaosriscoenvolvidos. Soutilizadastcnicas,comoasdecriptografia,paraproteger a confidencialidade, a integridade e a autenticidade das informaes.
7.4.1
7.4.1
7.4.2
5 6 7 8 9
39 10 7.8.2 Somantidoserespeitadososprocedimentosdefinidospara assegurararastreabilidadedoseventoseonorepdio,como exemplo tcnico para o norepdio, a utilizao correta de DNS reverso para aceitao dos emails originados na organizao pelos servidores de outras organizaes, para empresas que tem pouca utilizao da TI e a utilizao de sistemas de reconhecimento de assinatura eletrnica para empresasqueestonumpatamarmaiselevadonautilizao daTI). Soutilizadasnormastcnicasparaagravaoeleituradas informaes geradas por softwares (log) que transmitem mensagensporredes. So estabelecidos procedimentos para a verificao da identificaodostransmissoresdeinformaes. O meio de transmisso de informaes confidenciais confivel. So adotados mtodos de confirmao de recebimento de mensagem. So adotados procedimentos que asseguram o correto endereamentoetransportedasmensagens. So utilizados mtodos de proteo das mensagens eletrnicas contra acesso no autorizado, modificao ou negaodeservio. Soutilizadastcnicas,comoassinaturasdigitais,paravalidar aspectoslegaisnatransaodemensagenseletrnicas. Existem procedimentos de identificao e tratamento das vulnerabilidades conhecidas nos sistemas administrativos e contbeis onde as informaes so compartilhadas com diferentesreasdaorganizao. Hrestriodoacessoainformaodetrabalhorelacionado com indivduos especficos, como por exemplo, grupo de trabalhoporprojetosousetor. utilizadoidentificadordeusurio(IDdeusurio)nicopara assegurararesponsabilidadedecadausurioporsuasaes. mantidoumregistro(log)formaldetodasaesexecutadas pelousurioinclusivenocasoderejeiodeacesso.
11 7.8.1
17 7.8.4 18 7.8.5
19 7.8.5
2 0
8.2.1
21 8.2.1
40 22 8.2.1 Soadotadosprocedimentosimediatosderemoo,bloqueio oualteraodedireitosdeacessodeusuriosquemudaram decargosoufunes,oudeixaramaorganizao. Os privilgios so concedidos aos usurio conforme necessidadedeusoecombaseemeventosalinhadoscoma polticadecontroledeacesso,verificandoassimseousurio tem autorizao do proprietrio do sistema para o uso do sistemadeinformaoouservio. Os privilgios so concedidos ao usurio assim que todo o processo de autenticao concludo e todos privilgios do usurioregistrado(log). Existemprocedimentosparaverificaraidentidadedousurio antes de fornecer uma senha temporria, de substituio ou nova. So utilizadas tcnicas de expirao de senhas, forando assim que os usurios dos sistema troquem suas senhas periodicamente. As senhas nunca so armazenadas nos sistemas de um computadordeformadesprotegida. Osdireitosdeacessodeusuriossorevisadoseanalisados criticamente em intervalos regulares, e realocados quando movidosdeumtipodeatividadeparaoutradentrodamesma organizaoounocasodeencerramentodecontrato. As alocaes de privilgios so verificadas em intervalos regulares de tempo para garantir que privilgios no autorizadosforamobtidos. As modificaes de privilgios para contas de usurios so registradas(log)paraanlisecrticaperidica. Autilizaodecomputaomvelestdefinidaempolticae inclui requisitos de proteo fsica, controles de acesso, tcnicasdecriptografia,cpiasdeseguranaeproteocontra vrusclarasedeconhecimentodeseususurios. O acesso remoto s informaes da organizao atravs de redes pblicas, usando os recursos de computao mvel, ocorre apenas aps o sucesso da identificao e da autenticaodousurio.
23
8.2.2
24
8.2.2
25
8.2.3
26
8.2.3
27 28
8.2.3 8.2.4
29
8.2.4
30 31
8.2.4 8.7.1
32
8.7.1
41 33 8.7.1 Autilizaoderedessemfio(wireless)feitacomprotocolos de segurana robustos e que no possuam fragilidades explorveis. Oacessoremotoaossistemasinternosesinformaesda organizaofeitoatravsdelinhadecomunicaosegura. O acesso ao equipamento de propriedade particular garantidopormeiolegalparaverificaraseguranadamquina ou durante investigao devido a amea de acesso no autorizado informao da organizao por outras pessoas que utilizam o local ou equipamento, como familiares por exemplo. Equipamentosquesoutilizadosparaacessoremotoatendem osrequisitosdeproteocontravruserequisitosdefirewall. Existem uma equipe responsvel pela gesto de vulnerabilidades tcnicas, incluindo o monitoramento de vulnerabilidades, a anlise/avaliao de riscos de vulnerabilidades, patches, acompanhamento dos ativos e qualquercoordenaoderesponsabilidadesrequeridas. Assimqueumavulnerabilidadetcnicaidentificada,aequipe responsvelavaliaosriscosassociadoseasaesaserem tomadas. Patches parasistemasutilizadosnaorganizaosotestados e avaliados antes de serem instalados para assegurar a efetividade e que no tragam efeitos que no possam ser tolerados. mantidoumregistrodeauditoriadetodososprocedimentos realizados pela equipe responsvel pela gesto de vulnerabilidadestcnicas.
34 35
8.7.2 8.7.2
36 37
8.7.2 9.6.1
38
9.6.1
39
9.6.1
40
9.6.1
Tabela2:Correlaodasquestesporcaptulo
3.5.2Definiodamtricaaserutilizada Hquatro(4)possibilidadesdepontuaoparaasrespostasobtidas:
42 Resposta Desconheo Indicaqueaempresa Desconheceaexistnciadaboaprtica recomendadapelaABNTNBRISO/IEC 17799:2005 Temconhecimentodaboaprticamasnoa adota Adotaparcialmenteaboaprtica Estdeacordocomaboaprtica Pontuao 0
1 2 4
Tabela3:Pontuaoparaasrespostasobtidasnapesquisa
Nvel 0 Nulo
Identificao
Grau
Desconhece as boas prticas para a Entre0e1 gesto de segurana da informao recomendadaspelaNormaABNTNBR ISO/IEC17799:2005.
43 1 Baixo Humaconscinciageraldagestode Entre2e4(no segurana da informao, porm no includo) atendeasprticasrecomendadaspela NormaISO. Os processos so padronizados, Entre4e7(no documentados e implantados, porm includo) nem todos os nveis da organizao entendemanecessidadedagestode seguranadainformao. Hoentendimentodetodososnveis Entre7e9(no da organizao sobre a necessidade includo) dagestodeseguranadainformao. Os processos so monitorados e constantemente avaliados. H o incio doprocessodemelhoriacontnua. Todos os riscos so identificados e Entre9e10 devidamente gerenciados. Os processos so constantemente melhoradoserefinadosparagarantira gestodaseguranadainformao.
Mdio
Alto
Mximo
Tabela4:Nveissegurana
3.5.3Tratamentodosdados O tratamento dos dados no trabalho foi qualitativo, onde os dados foram analisados e interpretados de acordo com a entrevista e a pesquisa bibliogrfica,especialmentecombase noscaptulos7,8e9da NBRISO/IEC 17799:2005. Noprximocaptuloseroapresentadososresultadosdaaplicao doroteiroaoestudodecaso.
4.RESULTADOSOBTIDOS
4.1Anlisedosresultadosobtidos
Questo 1 2 3 4
Resultado 1 2 4 0
Comentrios a empresa X no observa o prescrito no captulo 6.4.1daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo6.4.1daNBRISO/IEC17799 aempresaXestdeacordocomocaptulo6.4.1da NBRISO/IEC17799 aempresaXdesconheceocaptulo 6.4.2 daNBR ISO/IEC17799
45 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 0 4 2 2 1 2 2 2 1 2 2 2 1 1 2 2 aempresaXdesconheceocaptulo 6.4.2 daNBR ISO/IEC17799 aempresaXestdeacordocomocaptulo6.5.1da NBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo6.5.1daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo6.8.1daNBRISO/IEC17799 a empresa X no observa o prescrito no captulo 6.8.1daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo6.8.2daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo6.8.2daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo6.8.3daNBRISO/IEC17799 a empresa X no observa o prescrito no captulo 6.8.3daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo6.8.3daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo6.8.4daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo6.8.4daNBRISO/IEC17799 a empresa X no observa o prescrito no captulo 6.8.4daNBRISO/IEC17799 a empresa X no observa o prescrito no captulo 6.8.5daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo6.8.5daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo7.2.1daNBRISO/IEC17799
46 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 2 2 2 2 1 1 4 2 1 1 2 4 1 2 1 1 a empresa X observa parcialmente o prescrito no captulo7.2.1daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo7.2.1daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo7.2.2daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo7.2.2daNBRISO/IEC17799 a empresa X no observa o prescrito no captulo 7.2.3daNBRISO/IEC17799 a empresa X no observa o prescrito no captulo 7.2.3daNBRISO/IEC17799 aempresaXestdeacordocomocaptulo7.2.3da NBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo7.2.4daNBRISO/IEC17799 a empresa X no observa o prescrito no captulo 7.2.4daNBRISO/IEC17799 a empresa X no observa o prescrito no captulo 7.2.4daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo7.7.1daNBRISO/IEC17799 aempresaXestdeacordocomocaptulo7.7.1da NBRISO/IEC17799 a empresa X no observa o prescrito no captulo 7.7.1daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo7.7.2daNBRISO/IEC17799 a empresa X no observa o prescrito no captulo 7.7.2daNBRISO/IEC17799 a empresa X no observa o prescrito no captulo 7.7.2daNBRISO/IEC17799
47 37 38 39 40 Total GrauM Nvelde segurana 2 2 1 1 70 4,375 2 Mdio a empresa X observa parcialmente o prescrito no captulo8.6.1daNBRISO/IEC17799 a empresa X observa parcialmente o prescrito no captulo8.6.1daNBRISO/IEC17799 a empresa X no observa o prescrito no captulo 8.6.1daNBRISO/IEC17799 a empresa X no observa o prescrito no captulo 8.6.1daNBRISO/IEC17799 Pontuaomxima=160
Tabela5:ResultadosobtidosRespostas
Aseguirserotratadososresultadosobtidosnoroteirodeavaliao. 4.1.1Resultadosobtidosquantoaocaptulo7daNormaNBRISO/IEC 17799,Gerenciamentodasoperaesecomunicaes. Atabela6eogrfico1demonstramosresultadosobtidosnaseo sobreGerenciamentodasoperaesecomunicaes.Nestasessosotratadas questesquebuscamoconhecerseaempresapossuipolticaseprocedimentos estruturados formalmente e de conhecimento de todos colaboradores sobre proteo contra cdigos maliciosos e mveis, cpias de segurana e troca de informaes.
Captulo 6 da ABNT NBR ISO/IEC 17799:2005 Respostas Percentual do captulo Percentual do total 2 10,53 5 10 52,63 25 5 26,32 12,5 2 10,53 5 19 100 47,5
48
Questes relacionadas ao captulo 6 da Norma em %
10,53 10,53
Concordo
26,32
52,63
Grfico1:Distribuioderespostasnasquestesrelacionadasaocaptulo6
A anlise das respostas para as questes relativas ao captulo 6 (Gerenciamento das operaes e comunicaes) da ISO/IEC 17799:2005 no roteiro estabelecido, define o grau de eficcia de 4,342 em relao a confiabilidadedaauditoriaprestadapelaempresaX,encaixandoaassimaonvel 2emrelaoaosnveisdesegurana. 4.1.2Resultadosobtidosquantoaocaptulo8daNormaNBRISO/IEC 17799,Controledeacessos. Atabela7eogrfico2demonstramosresultadosobtidosnaseo sobreControledeacessos.Nestasessosotratadasquestesquebuscamo conhecer se a empresa possui polticas e procedimentos estruturados formalmenteedeconhecimentodetodoscolaboradoressobregerenciamentode acessodousurio,computaomveletrabalhoremoto.
Captulo 7 da ABNT NBR ISO/IEC 17799:2005 Respostas Percentual do captulo Percentual do total 2 11,76 5 8 47,06 20 7 41,18 17,5 0 0 0 17 100 42,5
Tabela7:RespostasparaquestesrelacionadasaoControledeacessos
49
Questes relacionadas ao captulo 7 da Norma em %
11,76
41,18
47,06
Grfico2:Distribuioderespostasnasquestesrelacionadasaocaptulo7
A anlise das respostas para as questes relativas ao captulo 7 (Controledeacessos)daISO/IEC17799:2005noroteiroestabelecido,defineo graudeeficciade4,558emrelaoaconfiabilidadedaauditoriaprestadapela empresaX,encaixandoaassimaonvel2emrelaoaosnveisdesegurana. 4.1.3Resultadosobtidosquantoaocaptulo9daNormaABNTNBR ISO/IEC17799:2005,Aquisio,desenvolvimentoemanutenodesistemasde informao. Atabela8eogrfico3demonstramosresultadosobtidosnaseo sobre Aquisio, desenvolvimento e manuteno de sistemas de informao. Nesta sesso so tratadas questes que buscam o conhecer se a empresa possuipolticaseprocedimentosestruturadosformalmenteedeconhecimentode todoscolaboradoressobregestodevulnerabilidadestcnicas.
Captulo 8 da ABNT NBR ISO/IEC 17799:2005 Respostas Percentual do captulo Percentual do total 0 0 0 2 50 5 2 50 5 0 0 0 4 100 10
Tabela8:Respostasrelacionadasaaquisio,desenvolvimentoemanutenodosSI
50
50
50
Discordo Desconheo
Grfico3:Distribuioderespostasnasquestesrelacionadasaocaptulo8
A anlise das respostas para as questes relativas ao captulo 8 (Aquisio,DesenvolvimentoeManutenodosSI)daISO/IEC17799:2005no roteiroestabelecido,defineograudeeficciade3,73emrelaoaconfiabilidade daauditoriaprestadapelaempresaX,encaixandoaassimaonvel1emrelao aosnveisdesegurana. 4.1.4Influnciadecadacaptulonototaldapesquisa Atabela9eogrfico4demonstramosresultadosobtidoslevandoem consideraoquantodototaldoquestionriofoiocupadoporcadacaptuloda NormaNBRISO/IEC17799.
Quanto cada captulo representa do total Percentual do total Nmero de Questes 47,5 19 42,5 17 10 4
Tabela9:Totaldequestesporcaptulo
51
Quando cada captulo representa do total em %
10
47,5 42,5
Grfico4:Distribuiodecaptulosemrelaoaquantidadedequestes
35
50
Grfico5:Distribuiodototalderespostas
52 possvelobservarnogrfico5,queaempresaXapresenta10%dos itens em total acordo com as boas prticas recomendadas pela Norma ABNT NBRISO/IEC17799:2005,orestantedoresultandoestdivididoem50%para concordo parcialmente, 35% para discordo e 5% para desconheo. Esta visualizaopermiteestabeleceraeficciadaauditoriaprestadapelaempresaX levandoemconsideraoaconformidadedeseuscontrolesemrelaoaNBR ISO/IEC 17799. O roteiro estabelecido define o grau de eficcia de 4,375 em relaoaconfiabilidadedaauditoriaprestadapelaempresaXquantoasegurana dainformaoparaosseusclientes, encaixandoaassimaonvel2,mdio,em relaoaosnveisdesegurana.Emoutraspalavrasaempresapossuiprocessos padronizados, documentados e implantados, porm nem todos os nveis da organizaoentendemanecessidadedagestodeseguranadainformao.A discussosobreosnveisdaorganizaoentenderemanecessidadedagesto deseguranadainformaoserabordadamaisdetalhadamentenaconcluso.
4.2Sugestesparamelhoriadosresultadosobtidos
Esseitemcontacomsugestesparamelhoriadosresultadosobtidos apsotratamentodosdadoscoletados.Devemseratacadosprimeiramenteos pioresresultadosobtidos.Ecomfoconessesresultadosdevemsertomadasas decises sobre onde os investimentos de tempo e recursos, tanto financeiro quandohumano,seroaplicados.
53 4.2.1Sugestesparamelhoriasnogerenciamentodasoperaese comunicaes. Conformeaanlisedasquestes,doroteirodeauditoria,referenteao captulodegerenciamentodasoperaesecomunicaespossvelverificarque os piores resultados esto nas questes 4 e 5, que so desconhecidas pelo sujeitodapesquisa,enasquestes1,9,13,17e18,asquaisosujeitodiscorda dasboasprticasdefinidaspelaNBRISO/IEC17799. Abrindo as questes citadas acima e seus resultados, comeando pelasquestesqueobtiveramospioresresultados,sugeridocomopontode partida para um plano de trabalho que vise a melhoria destes resultados as seguintesaes: 1 A elaborao e divulgao de uma poltica formal para regulamentarousocdigomvelcontrolado. 2 Implementao de controles criptogrficos de autenticao exclusivaparaexecuodecdigomveisautorizados. 3 Elaborao formal de procedimentos que devem ser tomados assimqueforencontradoalgumcdigomalicioso. 4 Implementao de tcnicas criptogrficas, para proteger a confidencialidade,aintegridadeeaautenticidadedasinformaes. 5Implantaodemeiossegurosparaatransmissodeinformaes confidenciais. 6Utilizaodeassinaturasdigitais,paravalidaraspectoslegaisna transaodemensagenseletrnicas. 7Criaodeprocedimentosdeidentificaoetratamentodas
54 vulnerabilidades conhecidas nos sistemas administrativos e contbeis onde as informaessocompartilhadascomdiferentesreasdaorganizao. 4.2.2Sugestesparamelhoriasnoscontrolesdeacesso Nas questes referentes ao captulo sobre controle de acessos da NBRISO/IEC17799,asseguintessugestesparamelhoriapodemsertomadas comopremissasparaelaboraodeumplanodetrabalhoquevisafortalecera seguranadainformaoemrelaoaocontroledeacessos. 1Implementaodeprocedimentosparaverificaraidentidadedo usurioantesdefornecerumasenhatemporria,desubstituioounova. 2Utilizaodetcnicasdeexpiraodesenhas. 3Verificaesdeprivilgiosemintervalosregularesdetempo. 4Registrodemodificaesdeprivilgiosparacontasdeusurios. 5Autilizaoderedessemfio (wireless) demaneiracontroladae comutilizaodosmelhoresdeprotocolosdeseguranadisponveis. 6Garantirpormeiolegaloacessoaoequipamentodepropriedade particularparaverificaraseguranadamquinaouduranteinvestigao. 7 Utilizao de equipamentos que atendem os requisitos de proteocontravruserequisitosdefirewallparaacessoremoto.
55 4.2.3 Sugestes para melhorias na aquisio, desenvolvimento e manutenodesistemasdeinformao Nasquestesreferentesaaquisiodesenvolvimentoemanuteno desistemasdeinformao,ltimocaptulodaNBRISO/IEC17799utilizadona elaborao do roteiro de auditoria, existe uma particularidade. O nmero de questes relacionadas aestecaptulo inferior aosdemais captulostomados como referencia para elaborao do questionrio. Isso se deve ao fato da relevnciaqueocaptuloapresentouquandoconfrontadocomoprincipalcritrio paraseleo,apresentadonocaptuloanterior(item3.5.1),masnopossvel estabelecerumnveldeconfianaemrelaoaseguranadainformaosem avaliar o controle sobre vulnerabilidades tcnicas. As seguintes sugestes so propostas para a melhoria dos resultados obtidos em relao as questes analisadas. 1Estabelecerprocedimentosdetestesem Patches parasistemas utilizadosnaorganizaoantesdesereminstalados.
2Manterumregistroparatodososprocedimentosrealizadospela equiperesponsvelpelagestodevulnerabilidadestcnicas.
5.CONCLUSO
Estecaptuloapresentaasconclusesdestamonografia,bemcomo aslimitaesdotrabalhoeassugestesparatrabalhosfuturos.
5.1Concluses
O objetivo geral deste trabalho foi propor uma metodologia para avaliaodequoeficazumaauditoriaemseguranadainformao,luzda NBRISO/IEC17799:2005,emumaempresadeLajeado,quetemcomoatividade fimaprestaodeservionareadeTI. Osobjetivosespecficosforam: (1)Revisodaliteraturaparaestabelecer umembasamentoterico cientfico para o entendimento da necessidade de segurana da informao,
57 conhecimento de normas e padres reconhecidos, adotados e exigidos internacionalmente,paraorganizaesqueatuamdiretamentenarea. (2)Montagemdeumroteiroparaavaliaraeficciadaauditoria. (3)AplicaodoestudodecasodentrodeumaempresadeLajeado quetenhacomoatividadefimaprestaodeservionareadeTIeparaavaliar anecessidadedosclientesnacriaodosplanosdeserviospropostos. Para atingir os objetivos o trabalho apresentou a importncia da informao para a sobrevivncia dos negcios de uma organizao e a importnciaestratgicadareadeTIparaamesma. O processo de implantao da segurana da informao dispende grandesesforosporpartedaorganizaoeparatantotodosocolaboradores, partindodaaltadiretoria,devemestarenvolvidos. Ametodologia para avaliao daeficcia deauditorias propostafoi baseada na ABNT NBR ISO/IEC 17799:2005 Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto da segurana da informao.Epermiteaobtenodeumamtricaparaaferirograudeeficcia deauditoriasemseguranadainformao. A pesquisa foi realizada com o responsvel por uma empresa que atuanareadeprestaodeserviosemTI.Essaempresatemcomoproduto finalofornecimentodesoluesemTIparaempresasqueutilizamaTIcomo meioparachegaremaosseusprodutosfinais.
58 Amonografiaapresentouumroteiroparaaavaliaodaeficciade auditorias. E segundo os resultados obtidos aps a aplicao do roteiro e tratamentodosdadosfoipossvelafirmarque:ograudeeficciadasauditorias feitaspelaempresaestudadade4,375.Posicionandoaempresanonvelmdio de aplicao de boas prticas para garantir a segurana da informao em conformidadecomaNBRISO/IEC17799,ouemoutraspalavras,aempresaX possuiprocessospadronizados,documentadoseimplantados,pormnemtodos osnveisdaorganizaoentendemanecessidadedagestodeseguranada informao. H,portantoanecessidadedeconscientizaros3nveisdaempresaX (direo,apoioadministrativoeapoiotcnico)danecessidadedautilizaoplena, em seus processos de auditoria, das boas prticas recomendadas pela NBR ISO/IEC17799.NocasodaempresaXistonotarefadifcil,emvirtudedo pequeno nmero de colaboradores. Em uma empresa com maior nmero de colaboradorestaltarefaporcertoseriamaiscomplicada. Oitem4.2,quepropemelhoriasnaobtenodosresultadosobtidos deve ser tomado como ponto de partida para a elaborao de um plano de trabalho,queviseenquadraraempresaauditadaaoscontrolespropostospela Norma. Semprelevandoemconsideraoqueainformaoabrange todosos colaboradores da organizao e por este motivo todos devem conhecer as polticaseprocedimentosformaisparagarantiraseguranadainformao.
59 5.2Limitaesdotrabalho Otrabalhoapresentouasseguinteslimitaes: Nolevaemconsideraofatoshistricos,portersidoadotadoo mtodofenomenolgico. Osresultadosobtidossoaplicadossomenteaempresapesquisada enopodemsergeneralizados. O questionrio para aferir o grau de eficcia de auditorias no utilizoutodososcaptulosdaNormaABNTNBRISO/IEC17799:2005.
5.3Trabalhosfuturos
Comosugestoparanovostrabalhosesteestudopermiteaavaliao progressivadeauditoriasparaomelhoramentocontnuodonveldeseguranada informaoecomprovaodesuaeficcia.Portanto,sugereseutilizaromtodo deavaliaoregularmenteparachecagemdoscontroleseelaboraodeplano detrabalhosnareadeTI. Prximos estudos devem ser baseados na ISO/IEC 27001 ou na ISO/IEC27002,previstapara2008,levandoemconsideraoumreavaliaodos captulosecontrolesutilizadosparaaelaboraodoroteirodeavaliao.
REFERNCIASBILIOGRFICAS
ABNT NBR ISO/IEC 17799:2005. Tecnologia da informao Tcnicas de seguranaCdigodeprticaparaagestodeseguranadainformao.Riode Janeiro,2005. ANDERLE,Angelita. SegurananoProcessodeIntegraodeSistemasde Informao:AplicaodaISO/IEC17799.SoLeopoldo,2004. ASCIUTTI,CsarAugusto.AlinhandoABNTNBRISO/IEC17799e27001para aAdministraoPblicaUSP. Disponvelem:http://www.security.usp.br/artigos/2ESECOM_USP09112006 ArtigoByAsciuttiCesarAV104.pdf BSI. ISO17799 If your information's not save, your future's not secure. Disponvelem:http://www.bsiamericas.com CASCARINO, Richard E. Auditor's guide to information systems auditing. EditoraJohnWiley&Sons,Inc.NewJersey,2007 CARUSO, Carlos A.A.; STEFFEN, Flvio D. Segurana em Informtica e de informaes.2.ed.SoPaulo:SENAC,1999. CAUBIT, Rosngela. O que a ISO 27001 afinal?. Disponvel em: http://www.modulo.com.br/checkuptool/artigo_16.htm.Acessoem:27/10/2007
FACHIN, Odlia. Fundamentos de Moetodologia. 4 ed. So Paulo. Saraiva, 2003. FERNANDES, Florestan. A sociedade numa era de revoluo social. So Paulo.Nacional,1963. FIEGENBAUM, Ana Paula. Maturidade da Gesto de Segurana de Informao,combasenaNBRISO/IEC17799.Lajeado,2006 GIL,AntnioLoureiro.SeguranaemInformtica:ambientesmainframeede microinformtica, segurana empresarial e patrimonial. So Paulo. Atlas, 1994. GIL,AntnioCarlos.Mtodosetcnicasdepesquisasocial.5ed.SoPaulo. Atlas,1999. HUSSERL, Edmund. "Investigaes lgicas: sexta investigao: elementos de uma elucidao fenomenolgica do conhecimento". Coleo Os Pensadores,SoPaulo,NovaCultural,1988. LAVILLE, Christian e DIONNE, Jean. A construo do saber: manual de metodologiadepesquisaemcinciashumanas.PortoAlegres.EditoraUFMG. 1999. MARTINS, Alade Barbosa. UMA ABORDAGEM METODOLGICA BASEADA EM NORMAS E PADRES DE SEGURANA. ESTUDO DE CASO CETREL S/A. Disponvel em: http://www.linorg.cirp.usp.br/SSI/SSI2004/Poster/P03_ssi04.pdf RFC2196. SiteSecurityHandbook.Disponvelsem http://www.rfc.net/.Acesso em:18set.2006. VERGARA,Sylvia.C. ProjetoseRelatriosdePesquisaemAdministrao. SoPaulo.Atlas,1997. VERGARA,Sylvia.C.ProjetoseRelatriosdePesquisaemAdministrao.5 ed.SoPaulo.Atlas,2004.
VERGARA, Sylvia. C. Mtodos de pesquisa em Administrao. 5 ed. So Paulo.Atlas,2005. YIN,RobertK. Estudodecaso:planejamentoemtodos.3.edPortoAlegre. Bookman,2005.