Segundo 8eal (2003) segurana da lnformao pode ser enLendlda como o processo de proLeger lnformaes das
ameaas sua confldenclalldade lnLegrldade ou dlsponlbllldade
Conf|denc|a||dade proprledade que llmlLa o acesso a lnformao Lo somenLe s enLldades leglLlmas ou se[a quelas auLorlzadas pelo proprleLrlo da lnformao Integr|dade proprledade que garanLe que a lnformao manlpulada manLenha Lodas as caracLerlsLlcas orlglnals esLabelecldas pelo proprleLrlo da lnformao lnclulndo conLrole de mudanas e garanLla do seu clclo de vlda (nasclmenLo manuLeno e desLrulo) D|spon|b|||dade proprledade que garanLe que a lnformao esLe[a sempre dlsponlvel para o uso leglLlmo ou se[a por aqueles usurlos auLorlzados pelo proprleLrlo da lnformao Alguns auLores alnda clLam a auLenLlcldade e a legalldade como elemenLos essenclals a segurana da lnformao chamando o processo de CluAL Cs organlsmos padronlzados dlscordam alegando que a auLenLlcldade e englobada pela lnLegrldade e a legalldade e mals bem classlflcada como ob[eLlvo organlzaclonal que derlva da necessldade de segurana da lnformao CuLro faLor de relevncla e o concelLo de no repudlo que deve garanLlr que quem crlou/envlou uma lnformao possa negla e quem a recebeu/acessou Lambem
A segurana da lnformao lnclul segurana da lnformao no armazenada em 1l segurana da lnformao armazenada em 1l No armazenada em 1I Lngloba Lodas as manelras posslvels de armazenamenLo e recuperao da lnformao As prlnclpals razes para proLeglas so Loda organlzao possul lnformaes que no esLo armazenados em slsLemas compuLaclonals alguns documenLos Lem sua valldade vlnculada em suporLe flslco papel lnformaes armazenadas em slsLemas compuLaclonals podem Ler sua confldenclalldade compromeLlda por manuselo lnadequado como por exemplo ser lmpressa ser LransmlLlda oralmenLe eLc Armazenados em 1I L qualquer lnformao resldenLe em base de dados lnformaLlzados arqulvos lnformaLlzados mldla magneLlca ou ouLras solues que exl[am Lecnologlas compuLaclonals para acesslas As prlnclpals razes que geram preocupaes com a segurana desLas so As 1lCs (Lecnologlas de lnformao e comunlcao) so peas chaves nos processos admlnlsLraLlvos de produo e de Lomada de declso vulnerabllldades da lnformLlca da lnfraesLruLura de hardware e sofLware que exlgem amblenLes esLvels e que podem ser pre[udlcados por dlversos faLores Lals desasLres naLurals falha de conLrole do amblenLe acldenLes ou saboLagens AlLo valor da lnformao armazenada aLralndo a aLeno de hackers esples ou mesmo funclonrlos lnsaLlsfelLos
Normas de Segurana As normas represenLam uma referncla lmporLanLe em qualquer processo aumenLando a garanLla de que se[am eflcazes conflvels e eflclenLes ara que as organlzaes desenvolvam slsLemas formals de gesLo da segurana da lnformao exlsLem dlversos padres e normas enLre eles I1 Infrastructure L|brary I1IL e um con[unLo de documenLos desenvolvldos para reglsLrar as melhores prLlcas na rea de gesLo de servlos praLlcados na rea de 1l ConLempla as reas gesLo de lncldenLes soluo de problemas padronlzao de conflguraes aLendlmenLo ao usurlo flnal nlvel de servlo desenvolvlmenLo lmplanLao e suporLe de sofLware Contro| Cb[ect|ves for Informat|on and ke|ated 1echno|ogy CC8I1 e um con[unLo de dlreLrlzes para a gesLo e audlLorla de processos prLlcas e conLroles de 1l Abrange a prLlcas nos segulnLes domlnlos plane[amenLo e organlzao aqulslo e lmplanLao enLrega e suporLe monlLorao ISC]ILC Gu|de 73 kISk MANAGLMLN1 VCCA8ULAk gu|de||nes for use |n S1AkDAkDS deflne os Lermos da gesLo de rlscos agrupados em Lermos bslcos Lermos relaclonados pessoas Lermos relaclonados organlzao Lermos relaclonados avallao do rlsco Lermos relaclonados ao LraLamenLo e conLrole de rlsco Normas ISC (Crgan|zao Internac|ona| para adron|zao)]ILC (Com|sso de L|etrotcn|ca Internac|ona|) da segurana da |nformao As meLas das normas lSC/lLC dlreclonadas segurana da lnformao famllla 2000 e salva guarda a Confldenclalldade lnLegrldade e ulsponlbllldade da lnformao L|nha do 1empo 1993 publlcada a 1 verso da 8S (8rlLlsh SLandard)77991 1ecnologla da lnformao cdlgo de prLlcas para a gesLo da Segurana da lnformao 1998 publlcada a 1 verso do 8S77992 SlsLema de gesLo da segurana da lnformao Lspeclflcaes e gula para uso 2000 publlcada 1 verso lSC/lLC 177992000 1ecnologla da lnformao Cdlgo de prLlcas para gesLo da segurana da lnformao 2001 publlcada a n88 lSC/lLC 177992001 2003 publlcada a norma lSC/lLC 270012003 1ecnologla da lnformao 1ecnlcas de segurana SlsLema de gesLo da segurana da lnformao 8equlslLos 2006 publlcada n88 lSC/lLC 270012006 700 L uma meLodologla esLruLurada reconheclda lnLernaclonalmenLe dedlcada a segurana da lnformao Crla um processo que permlLe avallar lmplemenLar manLer e gerenclar a segurana da lnformao LsLe processo e esLruLurado aLraves de um grupo compleLo de conLroles conLendo as melhores prLlcas para a segurana da lnformao no se prope a ser uma norma Lecnlca no e dlrlglda a produLos ou Lecnologla e no e uma meLodologla de avallao de hardware e sofLware V|so Gera| ueflne as melhores prLlcas para a gesLo da segurana da lnformao Consldera a segurana da lnformao um processo de gesLo e no um processo Lecnolglco 7001 LsLabelece uma esLruLura de SCSl SlsLema de CesLo de Segurana da lnformao quando so desLacados aspecLos de audlLorla lnLerna e lndlcadores de desempenho do SCSl ossul 11 sees pollLlca de segurana da lnformao organlzao da segurana da lnformao gesLo de aLlvos segurana em 8P segurana flslca e do amblenLe gerenclamenLo das operaes e das comunlcaes conLrole de acesso aqulslo manuLeno e desenvolvlmenLo dos slsLemas gesLo de lncldenLes de segurana da lnformao gesLo da conLlnuldade dos negclos conformldade
V|so gera| lncorpora um processo de escalonamenLo do rlsco e de valorlzao de aLlvos lnvesLe no compromlsso alLa gerncla e no LrelnamenLo e consclenLlzao dos funclonrlos ermlLe que conLroles adlclonals se[am lncorporados ao SCSl se asslm for dese[ado kazes para adotar a ISC 7001 Melhora a governana corporaLlva Melhorla na segurana da lnformao ulferenclal de mercado ALendlmenLo a requlslLos dos cllenLes e parLes lnLeressadas nlco com acelLao global 8eduo poLenclal do seguro locada na responsabllldade dos funclonrlos Conformldade com a leglslao Cobre amblenLe flslco lglco e pessoas 8eduz o rlsco de responsabllldade pela no lmplemenLao da pollLlca e procedlmenLos de segurana da lnformao CporLunldade de ldenLlflcar e corrlglr ponLos fracos AlLa dlreo assume a responsabllldade pela segurana da lnformao ermlLe revlses perldlcas Cferece conflana aos parcelros comerclals parLes lnLeressadas e cllenLe Melhor consclenLlzao sobre segurana Comblna recursos com ouLros slsLemas de gesLo ossul mecanlsmos para medlr o sucesso dos slsLemas Lxerc|c|os (Verdade|ro ou fa|so) 1A lSC/lLC 27001 permlLe comblnar recursos com ouLros slsLemas de gesLo VLkDADLIkC 2ulsponlbllldade de recursos e uma dlflculdade para a lmplanLao de um SCSl VLkDADLIkC 3ALender os requlslLos de cllenLes e parLes lnLeressadas pode ser razo para lmplanLar um SCSl VLkDADLIkC 4A lSC 27001 e uma meLodologla esLruLurada IALSC (A ISC 700 uma metodo|og|a estruturada) 3uma grande vanLagem da lSC 27002 e conslderar segurana flslca Lecnlca procedlmenLal e em pessoas VLkDADLIkC 6uuranLe a ldenLlflcao dos conLroles a serem uLlllzada basLa conslderar os conLroles especlflcados pela norma VLkDADLIkC 7A lSC 27002 prlorlza segurana flslca e Lecnlca IALSC (uem pr|or|za segurana f|s|ca e tcn|ca a ISC 7001) 8ldenLflque quals ob[eLlvos de segurana foram afeLados (confldenclalldade lnLegrldade ou dlsponlbllldade) a) uuranLe uma vlagem uma pasLa conLendo dlversos documenLos slgllosos sumlu CCNIIDLNCIALIDADL b) um u8A ao deflnlr a coluna de uma Labela deflnlu a Labela com menos casas declmals que o necessrlo IN1LGkIDADL c) As consLanLes quedas de energla no esLado do S fez com que o governo deLermlnasse uma mulLa de 8$30000 por hora as empresas de energla caso no conslgam resLabelecer a energla em aLe 4 horas DISCNI8ILIDADL Gesto da Segurana da Informao C processo de gesLo da segurana da lnformao e um processo permanenLe clcllco lnLeraLlvo e baseado em processos Lecnlcos organlzaclonals conslsLenLes A gesLo da segurana da lnformao uLlllza o meLodo uCA plan do check e acL da lSC 9001
lan plane[ar esLabelecer ob[eLlvos meLas e melos para alcanlos uo execuLar o plane[ado Check verlflcar avallar comparando com o plane[ado AcL Aglr correLlvamenLe quando deLecLados desvlos ou falhas um SCSl deve aLender a Lodo o clclo de vlda da lnformao crlao armazenamenLo manlpulao LransporLe e descarLe 1ambem deve lldar com as lnformaes de nlvel de crlLlcldade dlferenLes publlca prlvada ou secreLa / slgllosa |ane[amento C plane[amenLo (plan) deve comear do mals alLo nlvel ldenLlflcando processos crlLlcos e o fluxo da lnformao assoclado uepols deve descer ao nlvel de slsLemas e servlo e da lnfraesLruLura que d suporLe a Lals slsLemas e servlos A 27002 esLabelece as prlnclpals fonLes para a ldenLlflcao dos requlslLos da segurana da lnformao Avallao do rlsco dos aLlvos de lnformao e de seus recursos assoclados Leglslao vlgenLe esLaLuLos e clusulas conLraLuals em que a empresa esL su[elLa Con[unLo de prlnclplos ob[eLlvos e requlslLos de processamenLo da lnformao ara se Ler subsldlos para o plane[amenLo da lnformao alem do mapeamenLo dos processos crlLlcos de negclos so necessrlos Llaborar um lnvenLrlo dos prlnclpals aLlvos da lnformao e de seus recursos assoclados Anllse e avallao do rlsco assoclado a cada aLlvo e a cada recurso assoclado u C A MapeamenLo do clclo de vlda da lnformao ldenLlflcao e anllse de normas legals e lnLernas regulamenLos e clusulas conLraLuals Llaborao da pollLlca de segurana da lnformao ueflnlo da esLruLura da gesLo da segurana da lnformao e das equlpes que lro lmplemenLlas Imp|ementao 1odas as aLlvldades necessrlas para colocar em prLlca o que fol plane[ado (uo) lazem parLe desLa eLapa ulvulgao da pollLlca de segurana da lnformao lmplanLao da esLruLura de gesLo uocumenLao de normas roLlnas e procedlmenLos lmplanLao e admlnlsLrao dos conLroles flslcos lglcos gerenclals e Lecnolglcos 1relnamenLo e consclenLlzao de usurlos Ava||ao e Ao Corret|va nesLa eLapa e necessrlo possulr o malor numero posslvel de mecanlsmo para coleLar e averlguar (check) se a pollLlca de segurana da lnformao aLende aos requlslLos da lnformao e aLende aos requlslLos ldenLlflcados na fase de plane[amenLo corrlglndo (AcL) desvlos e falhas ueve abranger 1esLe de conformldade 1esLe de eflccla dos conLroles 8evlso perldlca dos resulLados alcanados Avallao de mudanas lnLernas e exLernas N|ve| de Matur|dade em Segurana da Informao Cs modelos avallam o nlvel de maLurldade para a[udar as empresas enLenderem em que ponLo se enconLram em relao aos processos de gesLo e o que e necessrlo fazer para aLlnglr um nlvel mals elevado um modelo de maLurldade para SCSl e apresenLado a segulr N|ve| I In|c|a| roblemas so LraLados de forma ponLual e so baseados em lnlclaLlva lndlvldual da pessoa uocumenLao e lncompleLa ou lnexlsLenLe no h responsvels formals pela segurana da lnformao N|ve| II keat|va A organlzao possul uma pollLlca de segurana da lnformao e desenvolve planos de conLlngncla rocedlmenLos so documenLados roblemas so LraLados conforme so ldenLlflcados lnexlsLem processos slsLemLlcos de monlLorao do amblenLe avallao dos conLroles e correo de falhas N|ve| III roat|va rocedlmenLos e conLroles so lmplemenLados de manelra conslsLenLe e lnLegrados So reallzados LrelnamenLos e consclenLlzao de usurlos Cs prlnclpals aLlvos e recursos assoclados so lnvenLarlados e classlflcados de acordo com os requlslLos de segurana da lnformao 1esLes so conduzldos para avallar a adequao e a eflccla dos conLroles Medldas correLas so Lomadas quando desvlos ou falhas so deLecLados C amblenLe lnLerno e exLerno so slsLemaLlcamenLe monlLorados para a ldenLlflcao de mudanas LxlsLe plano de conLlnuldade de negclos N|ve| IV Ad|o de va|or Aqulslo ou desenvolvlmenLo de slsLemas que levem em conslderao os prlnclplos de segurana desde a eLapa de plane[amenLo aLe o descarLe 8usca consLanLe de novas alLernaLlvas de segurana de lnformao que fornecem melhor cusLo / beneflclo lmplanLao de processos de gesLo de rlsco que permlLem a anLeclpao de problemas relaclonados segurana da lnformao causados por mudanas organlzaclonals esLraLeglcas ou Lecnolglcas A|guns termos de segurana da |nformao usurlo qualquer pessoa que faa uso de um aLlvo de lnformao arLe lnLeressada pessoa ou grupo que possul lnLeresse no desempenho ou sucesso da empresa ou organlzao Ameaa expecLaLlva de um aconLeclmenLo acldenLal ou proposlLal causado por um agenLe AgenLe fonLe produLlva de um evenLo que pode Ler efelLo adverso sobre um aLlvo de lnformao o||t|ca de segurana da |nformao C desenvolvlmenLo e a lmplanLao de uma pollLlca de segurana da lnformao e uma ferramenLa poderosa no combaLe as ameaas aos aLlvos de lnformao e seus recursos assoclados A pollLlca de segurana da lnformao e um con[unLo de dlreLrlzes normas orlenLaes e procedlmenLos que vlsam consclenLlzar e orlenLar os sLakeholders (parLe lnLeressada) no uso seguro dos aLlvos da empresa Sua elaborao e complexa e e organlzada por uma comlsso que deve ser composLa por proflsslonals de Lodas as reas da organlzao A escolha desLa comlsso deve observar Cual o nlvel de abrangncla C Lamanho da comlsso de forma a no aLrapalhar a sua produLlvldade Cuem so as pessoas chaves nos processos da organlzao arLlclpao da alLa gerncla ueflnlda a comlsso o seu prlmelro Lrabalho e o de valorlzao dos aLlvos de lnformao e do seu fluxo assoclado Com esLa parLe elaborada ser lnlclallzado a gesLo do rlsco ara uma boa deflnlo de uma pollLlca de segurana da lnformao e necessrlo Anallsar o que deve ser proLegldo e como deve ser proLegldo LevanLamenLo das deflclnclas e faLores de rlsco segurana da lnformao Llaborar normas e regras de acesso flslco lglco e de procedlmenLos Aprovao pelo 8P Avallao perldlca e feedback MonlLorao Anllse de conformldade Aprovao pela alLa gerncla ulvulgao da pollLlca aos sLakeholders 1relnamenLo e consclenLlzao P1 P2 Gesto de Risco em Segurana da Informao
A tomada de deciso de quanto e onde gastar com a segurana da inIormao torna-se mais bem Iundamentada quando temos conhecimento das ameaas e vulnerabilidades a que esto sujeitos os ativos de inIormao, bem como os impactos que podem advir da Ialta ou Ialha da segurana da inIormao. A gesto de risco da segurana da inIormao e o conjunto de processos que permite as organizaes identiIicar e implementar as medidas de proteo necessarios para diminuir os riscos a que esto sujeitos os seus ativos de inIormao e equilibra-los com os custos operacionais e Iinanceiros envolvidos.
Anlise e avaliao de risco
A analise e avaliao do risco providenciam recursos para a tomada de deciso da aceitao ou tratamento de um determinado risco. Isto pode ser Ieito de Iorma: "ualitativa "uantitativa
"ualitativa
Trabalha com a descrio literal do risco, utilizando-se de questionarios que avaliem a percepo em relao ao risco, classiIicando-os, por exemplo, em alto, medio ou baixo; muito provavel, provavel ou pouco provavel
"uantitativa
Calcula a perda prevista para um incidente pela sua Irequncia esperada, Iundamentada em um periodo de doze meses. A avaliao e a analise do risco deve ser eIetuada por pessoal que detenha:
ntendimento aproIundado do papel da importncia dos ativos de inIormao da organizao; ormao tecnica na area que esta sendo analisada; xperincia de aplicao dos principios, procedimentos e praticas de segurana da inIormao; xperincia em metodologia de analise e avaliao de riscos e de sua limitaes.
Tratamento do risco
O tratamento do risco pode se dar atraves de:
edidas preventivas, controles que reduzem a probabilidade de uma ameaa se concretizar ou diminuem o grau de vulnerabilidade do ambiente reduzindo a probabilidade de um ataque ou a sua capacidade de gerar impactos adversos.
edidas corretivas ou reativas, reduzem o impacto de um incidente. So tomadas durante ou apos a ocorrncia do evento.
etodos detectivos, expem ataques ou incidentes e disparam medidas reativas, tentando evitar a concretizao do dano, reduzi-lo ou impedir que se repita
Testes e simulaes
Colaboram para a avaliao dos riscos veriIicando o nivel de proteo existente em um determinado momento
Aceitao do risco residual e comunicao do risco
No processo de gesto de risco e necessario a comunicao do risco indicando a sua probabilidade de acontecer e seus possiveis impactos. Apos o tratamento do risco residual, de tal Iorma que a alta gerencia possa compreend-lo e aceita-lo, ou no caso da no aceitao, permitir que os controles adicionais sejam estabelecidos.
Controle de Acesso
E o conjunto de medidas que visam impedir o acesso no autorizado aos ativos da inIormao. So compostos por controles logicos e Iisicos
Controles logicos
Visam proteger recursos, tais como: sistemas, programas Ionte e objeto; arquivos de dados, banco de dados, sistemas operacionais, arquivos de log, utilitarios outros;
O principal controle logico e estabelecido pelo processo de identiIicao/autenticao, que pode ser baseado em:
-O que voc sabe? senhas/pessoal/intransIerivel
-O que voc tem? token -O que voc e ? biometria -Identidade do usuario; -Data e hora do inicio e Iim da conexo; -ndereo ip; -Protocolos utilizados; -quantidade de dados transmitidos/ recebidos;
As regras de acesso a internet devem contemplar:
-tipo de uso - particular e comercial; -periodo de acesso-particular e comercial; -se havera monitorao, como sera a monitorao e qual o nivel de privacidade os Iuncionarios esto sujeitos;
---Tipos de sites,tais: -Acesso ou download de conteudo oIensivo ou preconceituoso; -Atitudes ameaadas ou violentas; -atividades ilegais; -solicitaes comerciais no relacionadas ao trabalho; -outros que a organizao julgar necessario;
Aspectos humanos na segurana da inIormao
As pessoas so consideradas o elo mais Iraco no processo de segurana da inIormao. Por mais soIisticadas que seja, qualquer sistema de segurana por ser anulado por um unico individuo, seja deIorma propositada, seja de Iorma acidental. A melhor politica com pessoas e conhecida como "trust, but veriIy";
Uma politica de segurana diversos grupos que possuem acesso aos ativos de inIormao: -quipe de segurana -Administradores de sistemas; -Nucleo operacional; -gerencia intermediaria; -Iornecedores, consultores, prestadores de servios, estagiarios;
As principais medidas a serem adotadas para reduzir risco em relao as pessoas so :
-Processos conIiaveis de seleo de pessoas, no esquecendo estagiarios e temporarios; -Documentao de responsabilidades nos contratos de Iuncionarios, consultores e prestadores de servios; -assinatura de acordos de conIidencialidade, muitas vezes envolvendo "quarentena" -superviso gerencial; -Nivel adequado de segregao de Iunes; -xpectativas de controle e punio; -Processo seguro de demisso e encerramento de contratos; -retreinamento e conscientizao;
ngenharia Social
ngenharia social e o termo utilizado para descrever um metodo de ataque, onde alguem Iaz uso da persuaso para obter acesso no autorizado a inIomares ou os seus recursos recursos associados. la explorar traos comportamentais humanos, tais como: -vaidade -autoconIiana -Iormao proIissional -busca por novas amizades -propagao de responsabilidade; -vontade de ser util;
A maioria dos ataques de engenharia social acontecem atraves de teleIones, e-mail ou www. As principais tecnicas so:
trojan screelogger pishing scam spam spyware mais detalhes na cartilha de segurana do cert.br