Universidade Federal do Rio de Janeiro

Ncleo de Computao Eletrnica

Camila Kawakami Avila

ALCANANDO A CONFORMIDADE DE NORMAS E LEIS INTERNACIONAIS ATRAVS DA NORMA TCNICA ISO/IEC 27002
Uma relao de requisitos fundamentais que atendam s normas e leis de segurana da informao dos diversos setores no cenrio mundial

Rio de Janeiro 2010

Camila Kawakami Avila

ALCANANDO A CONFORMIDADE DE NORMAS E LEIS INTERNACIONAIS ATRAVS DA NORMA TCNICA ISO/IEC 27002 Uma relao de requisitos fundamentais que atendam s normas e leis de segurana da informao dos diversos setores no cenrio mundial

Monografia apresentada para obteno do ttulo de Especialista em Gerncia de Redes de Computadores no Curso de Ps-Graduao Lato Sensu em Gerncia de Redes de Computadores e Tecnologia Internet do Ncleo de Computao Eletrnica da Universidade Federal do Rio de Janeiro NCE/UFRJ.

Orientador: Profo. Luiz Fernando Rust da Costa Carmo, Ph.D. (LAAS/CNRS) - Frana - 1994

Rio de Janeiro 2010

Camila Kawakami Avila

ALCANANDO A CONFORMIDADE DE NORMAS E LEIS INTERNACIONAIS ATRAVS DA NORMA TCNICA ISO/IEC 27002 Uma relao de requisitos fundamentais que atendam s normas e leis de segurana da informao dos diversos setores no cenrio mundial

Monografia apresentada para obteno do ttulo de Especialista em Gerncia de Redes de Computadores no Curso de Ps-Graduao Lato Sensu em Gerncia de Redes de Computadores e Tecnologia Internet do Ncleo de Computao Eletrnica da Universidade Federal do Rio de Janeiro NCE/UFRJ.

Aprovada em maro de 2010.

_____________________________________________ Profo. Luiz Fernando Rust da Costa Carmo, Ph.D. - (LAAS/CNRS) - Frana - 1994

Dedico este trabalho a minha famlia, especialmente minha me, que sempre me incentivou a buscar por novos horizontes e oportunidades.

AGRADECIMENTOS Gostaria de agradecer ao NCE que viabilizou a oportunidade de cursar o programa de treinamento MOT-CN, especialmente ao Nilson Theobald. A todos os colegas de trabalho que conheci e que compartilharam comigo experincias e conhecimentos, principalmente equipe do Suporte de Sistemas do NCE, onde aprendi grande parte do conhecimento que possuo hoje e conheci timas pessoas. A todos os queridos amigos que de alguma forma me ensinaram com suas vivncias e conhecimentos. Ao Fernando Lima pelas sugestes e incentivo. Ao meu noivo, Willer Junior, pela motivao e pacincia. minha famlia pelo estmulo e apoio em todos os momentos. E a todos aqueles que, de alguma forma, contriburam para tornar tudo isso possvel.

RESUMO AVILA, Camila Kawakami. ALCANANDO A CONFORMIDADE DE NORMAS E LEIS INTERNACIONAIS ATRAVS DA NORMA TCNICA ISO/IEC 27002: uma relao de requisitos fundamentais que atendam s normas e leis de segurana da informao dos diversos setores no cenrio mundial. Monografia (Especializao em Gerncia de Redes e Tecnologia Internet). Ncleo de Computao Eletrnica, Universidade Federal do Rio de Janeiro. Rio de Janeiro, 2009.

Com a grande evoluo dos recursos tecnolgicos e a crescente dependncia desses recursos nos processos empresariais, as empresas tornam-se mais vulnerveis a crimes e fraudes digitais. Por esse motivo e por exigncia de clientes e parceiros, a necessidade de conformidade normativa, especialmente no departamento de TI aumentou significativamente nos ltimos anos. Tal necessidade abrange inmeros setores, entre eles: financeiro/contbil, pblico, financeiro de pagamentos com cartes de crdito e sobre cuidados de sade. Neste trabalho foi realizada uma anlise comparativa entre as normas e leis existentes no mercado, tais como as normas do setor financeiro/contbil (Basilia II, Gramm-Leach-Bliley Act GLBA, Sarbanes Oxley - SOX), do setor pblico (Federal Information Security Management Act - FISMA), do setor financeiro de pagamentos com cartes de crdito (Payment Card Industry Data Security Standard - PCI-DSS) e sobre cuidados de sade (Health Insurance Portability and Accountability Act HIPAA), ressaltando as exigncias comuns entre elas e como essas exigncias podem ser implementadas com o auxlio das boas prticas descritas pela ISO 27002. Essa anlise gerou um compendio sobre as mais importantes normas e leis vigentes no mercado informatizado e tem como objetivo auxiliar a equipe de TI a identificar e implementar os requisitos necessrios para alcanar a conformidade com mais de um regulamento.

ABSTRACT AVILA, Camila Kawakami. ALCANANDO A CONFORMIDADE DE NORMAS E LEIS INTERNACIONAIS ATRAVS DA NORMA TCNICA ISO/IEC 27002: uma relao de requisitos fundamentais que atendam normas e leis de segurana da informao dos diversos setores no cenrio mundial. Monografia (Especializao em Gerncia de Redes e Tecnologia Internet). Ncleo de Computao Eletrnica, Universidade Federal do Rio de Janeiro. Rio de Janeiro, 2009.

As a result of technological resources evolution, as well as its dependency on companies lawsuits, companies became more vulnerable to digital crimes and frauds. Due to this fact, in addiction to clients and partners demands, the demand to develop a normative conformity, especially on IT department, increased significantly the last years. It ranges various sectors, including financial/accountantship, public, credit card payments financial and health care. A comparative analysis between patterns and existing market laws was developed in this work. Financial/accountantship sectors standard Basilia II, Gramm-Leach-Bliley Act GLBA, Sarbanes Oxley SOX, public sectors standard Federal Information Security Management Act FISMA, credit card payments financial sectors standard Payment Card Industry Data Security Standard - PCI-DSS and health care sectors standard Health Insurance Portability and Accountability Act HIPAA were compared with ABNT ISO/IEC 27002, highlighting common demands between them and how these demands could be implemented by assuming good practices described in ISO 27002. This analysis leaded to a compendium about the most important patterns and available laws in the computerized market, and it targets to assist IT team to identify and implement necessary requirements to achieve conformity based on more than one regulation.

LISTA DE ABREVIATURAS E SIGLAS ABNT BIS CoBIT ePHIs FISMA FIPS GLBA HIPAA ISMS ISO NIST PCI PHI SOX UPS Associao Brasileira de Normas Tcnicas Bank of International Settlements Control Objectives for Information and related Technology Informaes de Sade Eletrnicas Protegidas Federal Information Security Management Act Federal Information Processing Standards Gramm-Leach-Bliley Act Health Insurance Portability and Accountability Act Information Security Management System International Organization for Standardization National Institute of Standards and Technology Payment Card Industry Protected Health Information Sarbaney-Oxley Uninterruptible Power Supply

LISTA DE FIGURAS

Figura 1 ISO/IEC 27002

Pgina 84

LISTA DE TABELAS

Tabela 1 Anlise comparativa de requisitos

Pgina 49

SUMRIO 1 INTRODUO ...................................................................................................13 2 O QUE SEGURANA DA INFORMAO? ...................................................15 2.1 INFORMAO ...............................................................................................15 2.2 CICLO DE VIDA DA INFORMAO ..............................................................15 2.3 SEGURANA DA INFORMAO..................................................................16 2.4 PRINCPIOS BSICOS DA SEGURANA DA INFORMAO .....................16 2.4.1 O Princpio da Integridade ...................................................................16 2.4.2 O Princpio da Confidencialidade.........................................................16 2.4.3 O Princpio da Disponibilidade .............................................................17 2.5 INCIDENTE DE SEGURANA.......................................................................17 2.6 POLTICA DE SEGURANA..........................................................................17 3 NORMAS E REGULAMENTAES..................................................................19 3.1 REGULAMENTO TCNICO...........................................................................19 3.2 NORMAS TCNICAS.....................................................................................19 3.3 PRINCIPAIS NORMAS E LEIS INTERNACIONAIS .......................................20 3.3.1 Basileia II .............................................................................................20 3.3.2 Gramm-Leach-Bliley Act (GLBA) .........................................................20 3.3.3 Sarbanes-Oxley Act (SOX) ..................................................................22 3.3.4 Federal Information Security Management Act (FISMA)......................23 3.3.5 Payment Card Industry Data Security Standard (PCI - DSS) ..............24 3.3.6 Health Insurance Portability and Accountability Act (HIPAA)...............24 3.3.7 Norma ISO 27002:2005 .......................................................................25 4 PRINCIPAIS CONTROLES DA NORMA ISO/IEC 27002 ..................................26 4.1 POLTICA DE SEGURANA DA INFORMAO ..........................................26 4.2 GESTO DE ATIVOS.....................................................................................27 4.3 SEGURANA EM RECURSOS HUMANOS ..................................................28 4.4 SEGURANA FSICA E DO AMBIENTE .......................................................28 4.5 GESTO DAS OPERAES E COMUNICAES.......................................29 4.5.1 Procedimentos e responsabilidades e controle de documentao ......30 4.5.2 Procedimentos de backups..................................................................30 4.5.3 Controle e preveno de vrus .............................................................31 4.5.4 Procedimentos para uso da internet ....................................................32 4.5.5 Segurana do servio de correio eletrnico.........................................33 4.5.6 Segurana de mdias de armazenamento ...........................................34 4.5.7 Controle de redes ................................................................................35 4.5.8 Controle de acessos ............................................................................35 4.5.9 Controle de acesso de usurios...........................................................35 4.5.10 Utilizao de senhas............................................................................36 4.5.11 Controle de acesso ao sistema operacional ........................................38 4.5.12 Acesso remoto .....................................................................................39 4.5.13 Roteamento de redes ..........................................................................41 4.6 GESTO DE INCIDENTES DE SEGURANA DA INFORMAO ...............41 4.7 CONFORMIDADE ..........................................................................................41 4.7.1 Direito de propriedade intelectual ........................................................42 4.7.2 Conformidade com as polticas e normas de segurana da informao 42 5 ANLISE COMPARATIVA .................................................................................44

6 CONCLUSO ....................................................................................................52 7 REFERNCIAS BIBLIOGRFICAS...................................................................54 ANEXOS ...................................................................................................................60 I BASILEIA II GLOBAL ......................................................................................60 II GRAMM-LEACH-BLILEY ACT (GLBA) ..............................................................66 III SARBANES-OXLEY ACT (SOX)....................................................................69 IV FEDERAL INFORMATION SECURITY MANAGEMENT ACT (FISMA) .....71 V PAYMENT CARD INDUSTRY (PCI) SECURITY STANDARD GLOBAL .74 VI HEALTH INSURANCE PORTABILITY AND ACCOUNTABILITY ACT (HIPAA) ..............................................................................................................76 VII NORMA ABNT NBR ISO/IEC 27002:2005 .....................................................82

13

INTRODUO

Contrariando a tendncia a diminuir investimentos face crise econmica mundial, a necessidade de garantir a Segurana da Informao segue crescente para a continuidade dos negcios, para a conformidade com os regulamentos vigentes e para a proteo aos dados da empresa e de parceiros de negcio. Michael Rasmussen

O advento da Informtica na automao de processos empresariais trouxe novos riscos aliados a uma dependncia inegvel da tecnologia da informao para a agilidade, a continuidade e a perpetuidade dos mais variados tipos de negcios. medida que essa dependncia aumenta, as empresas tornam-se mais vulnerveis a crimes e fraudes cometidos atravs dos recursos computacionais que elas tanto necessitam. Alm disso, a globalizao e as fortes presses econmicas, cada vez mais latentes introduziram e redesenharam os conceitos e prticas de transparncia, equidade, prestao de contas e responsabilidade corporativa, que esto crescentemente aderindo ao mundo empresarial [10]. Ao longo dos ltimos dez anos, houve um impacto significativo e crescente da necessidade de conformidade normativa, especialmente no departamento de TI [1]. Cumprir com essas leis e normas, uma carga crescente para as empresas, que enfrentam um conjunto de desafios normativos, da diretoria s bases de negcio. Os rgos regulamentadores ao redor do mundo tm concentrado as normas em numerosas reas: emprego/trabalho, comrcio global, anticorrupo, controles financeiros/contbeis, entre outros adentrando setores como cincias biomdicas, bancos, seguradoras e servios pblicos. Essa presso por cumprir a conformidade

14

no vem somente de rgos reguladores, mas tambm dos clientes e parceiros de negcios [1]. A partir desse contexto, a preocupao de algumas empresas, integrantes dos mais diversos setores do mercado com o tema Segurana da Informao tem aumentado consideravelmente [10]. Com base nesse cenrio, esta monografia tem como objetivo gerar um compendio sobre as mais importantes normas e padres relacionados Segurana da Informao nos diversos setores do mercado mundial que surgiram atualmente. Os principais aspectos e caractersticas de cada regulamento so apresentados para que de posse desses dados sejam definidos quais controles so necessrios para cada setor. Tais controles sero definidos de acordo com o que sugere a norma tcnica NBR ISO/IEC 27002:2005, que possui uma estrutura mais flexvel para uma abordagem proativa de riscos e da conformidade. O trabalho descrito a seguir estrutura-se da seguinte maneira: o captulo um relata uma breve introduo da proposta e dos temas que sero abordados no decorrer dos demais captulos. O segundo captulo esclarece temas como segurana da informao e alguns de seus principais componentes. O conceito de normas e regulamentaes, assim como a uma breve descrio das mesmas apresentado no captulo 3. No quarto captulo so apresentadas as principais sees da norma ABNT ISO/IEC 27002. O quinto captulo a prpria arquitetura de controles, uma anlise comparativa entre os padres e normas apresentados, enumerando os requisitos necessrios para que uma instituio alcance a conformidade com tais regulamentos. O captulo seis expe a concluso do trabalho e a seo de anexos contm uma descrio detalhada das principais normas e leis, assim como seus requisitos.

15

O QUE SEGURANA DA INFORMAO?

2.1

INFORMAO

Informao aquilo que sintetiza a natureza de tudo o que existe ou ocorre no mundo fsico [2]. Segundo Laudon et al.[3], a informao pode se manifestar de vrias maneiras, isto , de forma escrita, eletrnica ou impressa. Ela representa um conjunto de dados dos quais so modificados e tomam forma til e significativa. Por esse motivo, a informao necessita estar sempre protegida, seja qual for a sua forma de manifestao.

2.2

CICLO DE VIDA DA INFORMAO

De acordo com Smola [4], o ciclo de vida da informao composto e identificado pelos momentos vividos pela informao e que a colocam vulnervel. Esses momentos acompanham os ativos fsicos, humanos e tecnolgicos que fazem uso, alteram ou descartam a informao. O manuseio, o armazenamento, o transporte e o descarte das informaes so etapas que constituem o ciclo de vida da informao. O manuseio a etapa onde a informao criada e manipulada. A etapa de armazenamento, como o prprio nome j diz, consiste no armazenamento da informao, seja em um banco de dados, em um papel, em um DVD, entre outros. A prxima etapa, de transporte, ocorre quando a informao transportada para algum local, no importando o meio no qual a mesma est armazenada. A ltima parte do ciclo da informao o momento de descarte da informao. Essa fase pode ser observada quando, por

16

exemplo, algum documento impresso depositado na lixeira ou um arquivo eletrnico eliminado ou at mesmo quando alguma mdia de armazenamento (CDs, DVDs, disquetes, pen-drives) descartada por apresentar falha no acesso a seus dados. Todas as fases do ciclo da segurana da informao devem ser levadas em considerao no momento do planejamento da poltica de segurana da Organizao para que os princpios da segurana da informao no sejam comprometidos [4].

2.3

SEGURANA DA INFORMAO

De acordo com a ISO/IEC 27002 [5] a proteo da informao contra vrios tipos de ameaas para garantir a continuidade do negcio, minimizar riscos, maximizar o retorno sobre os investimentos e as oportunidades de negcios.

2.4

PRINCPIOS BSICOS DA SEGURANA DA INFORMAO

2.4.1 O Princpio da Integridade O primeiro dos trs princpios da segurana da informao a integridade, essa nos permite garantir que a informao no tenha sido alterada em seu contedo e, portanto, ntegra. Uma informao ntegra uma informao que no foi alterada de forma indevida ou no autorizada [6].

2.4.2 O Princpio da Confidencialidade O princpio da confidencialidade tem como objetivo garantir que a informao no estar disponvel ou divulgada a indivduos, entidades ou processos sem

17

autorizao. Em outras palavras, a garantia do resguardo das informaes dadas pessoalmente em confiana e proteo contra a sua revelao no autorizada [6].

2.4.3 O Princpio da Disponibilidade Para que uma informao possa ser utilizada, ela dever estar disponvel. A disponibilidade da informao permite que a informao seja utilizada quando necessrio, esteja ao alcance de seus usurios e destinatrios e possa ser acessada no momento em que for necessrio utiliz-la [6].

2.5

INCIDENTE DE SEGURANA

Um incidente de segurana definido como qualquer evento adverso que promova alguma ao que comprometa a segurana da informao. Os principais tipos de incidentes de segurana podem ser: tentativas de acesso no autorizado a sistemas ou servios, alterao de sistemas sem consentimento prvio do dono, o no cumprimento ou desrespeito poltica de segurana [5].

2.6

POLTICA DE SEGURANA

A Poltica de Segurana consiste em um conjunto formal de normas, diretrizes, procedimentos e instrues que define os critrios que devem ser adotados e seguidos pela Organizao a fim de minimizar possveis ameaas na segurana da informao. Ela trata dos aspectos tecnolgicos e humanos, e tambm determina as penalidades que devem ser aplicadas quando houver a violao de alguma de suas normas [7].

18

A Poltica de Segurana a base para a proteo das informaes, tendo papel fundamental para as organizaes [8]. Ou ainda, segundo [2], por poltica de segurana entende-se poltica bem elaborada, implantada e em contnuo processo de reviso, vlida para toda a organizao, com regras mais claras e simples possveis e estrutura gerencial e material de suporte a essa poltica, claramente sustentada pela alta hierarquia.

19

NORMAS E REGULAMENTAES

As normas e regulamentaes criadas por diversas empresas podem ser classificadas de acordo com o setor que a empresa presta servios.

3.1

REGULAMENTO TCNICO

So documentos normativos de carter compulsrio que contm requisitos aplicveis a tecnologias de produtos, processos ou servios, relacionados principalmente sade, meio ambiente, defesa do consumidor e prticas enganosas de comrcio. A tendncia internacional atual da regulamentao a de que esta se restrinja a requisitos essenciais do objeto regulamentado, adotando como referncia as normas tcnicas, especialmente as internacionais [9].

3.2

NORMAS TCNICAS

Segundo o Ministrio da Cincia e Tecnologia, so documentos de carter voluntrio e com contedo tcnico obtido por consenso envolvendo o conjunto das partes interessadas, que dispem sobre tecnologias de projeto e fabricao de produtos, concepo e prestao de servios, transferncia de tecnologia e gesto. As normas tcnicas referem-se em geral a classificao, especificao, mtodo de ensaio, procedimento, padronizao, simbologia e terminologia, sendo no Brasil, elaboradas e aprovadas pelo foro brasileiro de normalizao, a Associao Brasileira de Normas Tcnicas (ABNT) [9].

20

3.3

PRINCIPAIS NORMAS E LEIS INTERNACIONAIS

Esta seo tem como escopo apresentar uma breve descrio das principais normas do setor financeiro/contbil (Basilia II, Gramm-Leach-Bliley Act GLBA, Sarbanes Oxley - SOX), do setor pblico (Federal Information Security Management Act - FISMA), do setor financeiro de pagamentos com cartes de crdito (Payment Card Industry Data Security Standard - PCI-DSS), sobre cuidados de sade (Health Insurance Portability and Accountability Act - HIPAA) e sobre a norma ABNT ISO/IEC 27002.

3.3.1 Basileia II O acordo da Basileia II define as metodologias de gerenciamento de risco dos bancos visando garantir a segurana e confidencialidade dos dados dos clientes, na superviso das autoridades bancrias e no fortalecimento da disciplina de mercado. A nova estrutura vem alinhar a avaliao da adequao de capital mais intimamente aos principais elementos dos riscos bancrios e fornecer incentivos aos bancos para aumentar suas capacidades de mensurao e administrao dos riscos. O Basilia II fixa-se em trs pilares (Capital Mnimo Requerido, Reviso no Processo de Superviso e Disciplina de Mercado) e 25 princpios bsicos sobre contabilidade e superviso.

3.3.2 Gramm-Leach-Bliley Act (GLBA) O Gramm-Leach-Bliley Act (GLBA) foi promulgado em 12 de novembro de 1999 e uma lei do Congresso dos Estados Unidos que permitiu aos bancos

21

comerciais e de investimento se consolidarem. A lei foi aprovada para legalizar estas fuses de forma permanente [46]. Historicamente, a indstria conhecida como a indstria de servios financeiros. A principal mudana provocada pela Lei consiste no encorajamento aos indivduos a aplicarem o dinheiro em poupanas e em investimentos na mesma instituio financeira e ela tambm ser capaz de faz-lo em tempos bons e ruins economicamente falando. A conformidade com a GLBA obrigatria. Se uma instituio financeira divulga informaes pblicas ou no, deve haver uma poltica para proteger a informao de ameaas previsveis em termos de segurana e integridade dos dados. A conformidade com a GLBA obrigatria. O Apndice B do regulamento de execuo (51) exige que cada instituio financeira possua documentado um programa de segurana da informao que inclua protees administrativas, tcnicas e fsicas adequadas complexidade da instituio e ao escopo de suas atividades. Para isso, preciso primeiramente, realizar uma avaliao regular dos riscos, capaz de identificar possveis ameaas e riscos segurana da informao, avaliar a probabilidade de ocorrncia e os principais danos potenciais destas ameaas, e avaliar tambm a suficincia de controles para mitigao de tais riscos [52]. As diretrizes descritas no programa devem garantir a confidencialidade das informaes dos clientes, a proteo contra qualquer ameaa ou risco previsvel segurana ou integridade dos dados e a proteo contra acesso no autorizado [50]. O GLBA coloca em prtica trs regras para garantir a segurana e integridade dos dados financeiros, so elas: regra de privacidade financeira, regra de proteo e proteo pretexting (contra engenharia social) [47].

22

3.3.3 Sarbanes-Oxley Act (SOX) Promulgada em 30 de julho de 2002, a Lei Sarbanes-Oxley Act de 2002, uma lei federal norte-americana criada em decorrncia a uma srie de escndalos financeiros ocorridos em grandes empresas (Enron, Tyco International, Adelphia, Peregrine Systems e WorldCom) que acarretou o xodo dos investimentos financeiros na Bolsa de Valores. Segundo [39], a SOX objetiva promover melhor a Governana Corporativa atravs da eficcia dos controles internos que influenciam nos resultados financeiros das organizaes. A anlise e divulgao das informaes financeiras tambm so exigncias da lei. Para isso, os diretores e o Presidente passam a ser responsveis por estabelecer, avaliar e monitorar a estrutura dos controles internos da corporao, onde o no cumprimento das normas exigidas implica no o pagamento de multas e no cumprimento de penas de recluso. Composta por 1107 sees, as mais conhecidas so as sees 302 e 404. Na seo 302 os diretores e o Presidente devem declarar pessoalmente serem responsveis pelos controles internos e processos de divulgao da empresa e na seo 404 so exigidos a realizao de uma avaliao anual dos controles e procedimentos internos para emisso de relatrios financeiros [43][44]. Por isso, tm-se a obrigatoriedade da observncia de prticas de segurana de redes e critrios rgidos para uso de aplicaes terceirizadas por companhias que se encontram ao alcance da presente lei. Alm disso, a seo 404 exige a criao de um framework de controles internos, que pode ser feita segundo as recomendaes de padres como, por exemplo, o COSO (Committee of Sponsoring Organizations of

23

the Treadway Commission) [40] ou COBIT (Control Objectives of Information and Related Technology) [41].

3.3.4 Federal Information Security Management Act (FISMA) O Federal Information Security Management Act de 2002 ("FISMA", 44 USC 3541, et seq.) uma lei federal dos Estados Unidos promulgada em 2002 com o Ttulo III do E-Government Act de 2002 (Pub.L. 107-347 , 116 Stat. 2899) que declara obrigatria a conformidade de todas as agncias governamentais com os padres FIPS (Federal Information Processing Standards) [24] [23].

O FISMA impe um conjunto de procedimentos obrigatrios, conhecidos como requisitos mnimos de segurana para informaes federais, que devem ser seguidos por todos os sistemas de informao utilizados ou acionados pela agncia governamental federal dos Estados Unidos da Amrica (EUA) ou por outra organizao em nome dessa agncia [24]. De acordo com [22], esses requisitos devem seguir os controles de segurana do Special Publication 800-53, que foram desenvolvidos atravs de uma combinao de variadas fontes, que incluem o NIST Special Publication 800-26, a ISO/IEC 17799, entre outras. Tais requisitos englobam itens como avaliao de riscos, certificao, gerenciamento da configurao, planejamento da segurana, proteo do sistema e das comunicaes, segurana do corpo de funcionrios, treinamento, proteo fsica e ambiental, proteo de mdias, plano de Contingncia, manuteno, integridade do sistema e da informao, resposta incidentes, procedimentos de identificao e autenticao, controle de acesso e auditoria.

24

3.3.5 Payment Card Industry Data Security Standard (PCI - DSS) Esta norma se aplica a toda e qualquer empresa que coleta, processa, armazena ou transmite informao de carto de crdito, estando, portanto, obrigada a se adaptar ao padro [19]. Todos os segmentos, que processam dados de carto de crdito e esto ligados rede da associao de cartes, provedores de servios que hospedam sites ou coletam e processam dados de carto de crdito, em nome de membros das redes Visa e Mastercard, etc., e tais como comerciantes e intermediadores esto sujeitos a esta norma [20]. O PCI - DSS composto de seis principais reas que contm doze requerimentos. O documento contm padres de segurana que cobrem os seguintes temas: segregao e segurana de redes; criptografia para proteo de dados de carto; gerenciamento de atualizaes e auditoria de vulnerabilidades em sistemas; medidas de controle de acesso e integridade de arquivos; teste e monitoramento de redes, e ainda gesto de incidentes e manuteno da poltica de segurana da informao [18].

3.3.6 Health Insurance Portability and Accountability Act (HIPAA) O HIPAA (Health Insurance Portability and Accountability Act) um Ato abrangente que governa a privacidade, segurana e transaes eletrnicas das informaes de sade de clientes e pacientes. A legislao, tambm, se aplica a empresas com registros de sade dos funcionrios. A transmisso de informaes de sade deve ter protees fsicas, eletrnicas e administrativas e estes dados devem ser isolados e inacessveis ao acesso no autorizado de forma a assegurar a confidencialidade dessas informaes.

25

3.3.7 Norma ISO 27002:2005 Anteriormente chamada de ISO/IEC 17799, devido a srie ISO 27000, teve sua nomenclatura alterada para ISO 27002. Seu objetivo estabelecer procedimentos para as organizaes desenvolverem, implementarem e avaliarem a gesto da Segurana da Informao. um conjunto de 11 sees de controle que descrevem as principais categorias de segurana da informao e que deve ser usada como um guia prtico para implementao da norma ISO/IEC 27001 [6].

26

PRINCIPAIS CONTROLES DA NORMA ISO/IEC 27002

Esse captulo tem como objetivo reunir os requisitos de maior relevncia sugeridos pela norma tcnica brasileira ISO/IEC 27002:2005 de forma que a implementao dessas diretrizes auxilie as organizaes a estarem em

conformidade com a maioria das leis, normas e regulamentaes existentes. A organizao desses procedimentos foi distribuda de acordo com a maioria das sees de controle contidas na norma. I. Poltica de Segurana da informao II. Gesto de ativos III. Segurana em Recursos Humanos IV. Segurana Fsica e do Meio Ambiente V. Gesto das Operaes e Comunicaes VI. Controle de Acesso VII. Gesto de Incidentes de Segurana da Informao VIII. Conformidade

4.1

POLTICA DE SEGURANA DA INFORMAO

A ISO/IEC 27002 recomenda a criao e implementao de uma poltica de segurana da Informao, um documento que tem como objetivo a conscientizao e orientao de funcionrios, parceiros, fornecedores e clientes para o uso seguro do ambiente informatizado. Esse documento deve conter o conceito de segurana da informao e da sua importncia para a continuidade do negcio, alm de

27

explanar de forma clara e concisa as polticas de segurana da informao especficas para a organizao. Deve ser descrito tambm os requisitos para conscientizao e treinamento em segurana da informao, assim como as aes que sero tomadas para a continuidade do negcio e tambm as sanes aplicadas no caso de seu descumprimento. importante destacar que sua reviso deve ser realizada periodicamente e que o documento necessita de aprovao da direo e deve ser de conhecimento de todos os envolvidos com a segurana da informao.

4.2

GESTO DE ATIVOS

A gesto dos ativos importante, pois pode ser requisitado em outras reas do negcio, como no processo de avaliao e tratamento dos riscos e tem como objetivo a identificao, proteo efetiva e gesto dos ativos. Para isso, convm que esses ativos sejam claros e suas caractersticas documentadas, dentre elas esto: o tipo de ativo, sua localizao e formato (caso possua), informaes sobre licenas e cpias de segurana e a importncia do ativo para o negcio. Todos os ativos devem fazer parte do inventrio, como por exemplo: ativos de informao, de software, fsicos, servios, recursos humanos e ativos intangveis. O controle dos ativos pode ser delegado a um profissional que ficar responsvel pela manuteno do inventrio. Essa seo contempla tambm a classificao do ativo mais importante para o negcio: a informao. A classificao e rotulao da informao tm como finalidade assegurar que a informao receba um nvel adequado de proteo. A classificao da informao estabelece a maneira como a informao dever ser tratada com segurana fsica e lgica de acordo com o seu grau de sigilo. O nvel de proteo pode ser calculado atravs dos trs pilares da segurana da

28

informao: a confidencialidade, a integridade e a disponibilidade da informao; como tambm atravs de outros elementos. Aps as informaes terem sido classificadas estas devem ser rotuladas apropriadamente e o rtulo deve reproduzir tal classificao. Para cada grau de sigilo, as aes a serem tomadas em cada fase do ciclo de vida da informao devem ser documentadas.

4.3

SEGURANA EM RECURSOS HUMANOS

A segurana em recursos humanos tem como objetivo a reduo dos riscos de furto ou roubo, fraude ou mau uso de recursos. Ela envolve a seleo,

treinamento e conscientizao de todos os funcionrios para que eles estejam cientes e aptos a apoiar a Poltica de Segurana da Informao durante a execuo de suas funes. As responsabilidades de cada funcionrio pela segurana da informao devem ser atribudas antes da contratao, de acordo com o cargo a ser ocupado.

4.4

SEGURANA FSICA E DO AMBIENTE

A segurana fsica e do ambiente tem como objetivo a preveno do acesso fsico no autorizado, danos e interferncias s instalaes de processamento de informaes. A segurana do permetro das instalaes da Organizao pode ser alcanada com a utilizao de barreiras fsicas, instalando-se, por exemplo, portas de entrada controladas por carto ou criao de uma rea de recepo com

29

recepcionistas, alm do uso e monitoramento de sistemas de deteco de intrusos e alarmes. O controle de entrada na Organizao pode ser feito exigindo que todos os funcionrios estejam devidamente identificados ao adentrar as instalaes, assim como os visitantes, que devem ter sua estadia supervisionada e registrada. Outra boa prtica manter os equipamentos gerenciados pela Organizao e os gerenciados por terceiros em ambientes fisicamente distintos, separados. Tais locais devem ainda possuir controle de condies ambientais como temperatura e umidade atravs do uso de termmetros e hidrmetros, respectivamente; ou at mesmo integrados ao sistema de alarmes, a fim de evitar que os equipamentos sejam afetados. Recomenda-se tambm a utilizao de UPS (Uninterruptible Power Supply) para manter o funcionamento contnuo de equipamentos crticos e geradores ou mltiplas fontes de energia para o caso de falha do UPS. A segurana do cabeamento outro item que requer ateno. A elaborao do projeto de redes locais deve basear-se nos princpios do cabeamento estruturado, como por exemplo: segregao de cabos de energia e de cabos de telecomunicaes de modo a evitar interferncias; instalao de cabeamento de redes em canaletas; identificao de cabos e equipamentos, manuteno de uma documentao atualizada das conexes minimizando erros de manuteno e se possvel, prover a instalao subterrnea dos cabos que entram nas salas de processamento de dados (CPD).

4.5

GESTO DAS OPERAES E COMUNICAES

Essa seo aborda as principais reas que devem ser tratadas com ateno especial, com o objetivo de garantir a operao segura dos recursos de

30

processamento

da

informao.

Questes

referentes

procedimentos

responsabilidades, controle de documentao, procedimentos de backups, controle e preveno de vrus, procedimentos para acesso Internet, segurana do servio de correio eletrnico, segurana de mdias de armazenamento, controle de redes, entre outras so explanadas com a gesto das operaes e comunicaes.

4.5.1 Procedimentos e responsabilidades e controle de documentao conveniente, em primeiro lugar, definir todos os procedimentos e responsabilidades pela gesto e operao dos recursos de processamento de informaes atravs do desenvolvimento da documentao dos procedimentos operacionais que devem ser sempre mantidos atualizados.

4.5.2 Procedimentos de backups Os procedimentos de cpias de segurana ou backups e recuperao ou restore de dados devem estar descritos na Poltica de Segurana de tal forma que seja capaz de prover orientaes de realizao e recuperao das informaes. Registros das cpias realizadas como por exemplo hora de incio e trmino, o contedo e o tipo de cpia realizado, devem ser documentados. De acordo com a aplicao, sua importncia para o negcio e os meios de armazenamento disponveis, pode-se utilizar como mtodos de cpia os backups do tipo normal, incremental ou diferencial. O armazenamento das cpias pode ser realizado em fitas ou discos e pode ser local ou remoto (atravs da rede), alm disso, pode-se tambm utilizar em conjunto um servidor de backups para armazenamento dos mesmos. Deve-se ainda levar em considerao duas situaes a respeito da restaurao dos dados:

31

pedidos pequenos e rpidos de restaurao; restaurao para recuperao de desastres; Como exemplo para o primeiro caso, podemos citar um usurio que apaga um arquivo por acidente e precisa de sua recuperao imediata. Para a recuperao do arquivo necessrio que a mdia de armazenamento do backup esteja prxima do sistema para onde os dados sero restaurados. Para exemplificar o segundo caso, pode ter ocorrido um desastre de natureza fsica, nesse caso, preciso manter uma cpia do backup em local externo ao site. Para atender ambos os casos o ideal seria manter backups de um conjunto de dados mantidos mais prximos, para pedidos imediatos, que so casos mais frequentes de restaurao e outro armazenado externamente empresa para a recuperao de desastres. Devem ser realizados testes nas mdias de armazenamento para assegurar qure os backups mantidos nos ambientes interno e externo estejam em perfeito estado para serem utilizados e testes de restaurao com a finalidade de avaliar a funcionalidade dos procedimentos, verificar a integridade da informao armazenada, identificar procedimentos ineficazes ou desatualizados e por fim identificar falhas ou defeitos.

4.5.3 Controle e preveno de vrus Para o controle e a preveno contra cdigos maliciosos devem ser estabelecidas polticas formais que considerem diretrizes como: a proibio do uso de softwares no-autorizados e quando necessrio a aquisio e instalao de novos softwares deve ser solicitada equipe de TI (Tecnologia da Informao), que deve ser responsvel pela obteno da licena de uso e homologao do software. A preveno, deteco e remoo de cdigos maliciosos (como por exemplo, vrus, cavalos de Tria, worms, spyware, adware e rootkits) podem ser feitas atravs

32

da utilizao de programas antivrus que devem ter suas bases de definies de vrus atualizadas constantemente e independente da ao do usurio,

preferencialmente. O exame dos sistemas deve ser executado periodicamente e estas verificaes devem incluir: a verificao, antes do uso, da existncia de algum cdigo malicioso em mdias removveis, em pginas web e em arquivos recebidos por meio do servio de correio eletrnico (recomenda-se que essa verificao seja feita em mais de um local, como nos computadores pessoais, nos servidores de correio ou ao entrar na rede). Faz-se necessrio ainda manter todos os sistemas e softwares com os patches de segurana mais recentes, e estes devem ser instalados com o prazo mximo de 30 dias aps seu lanamento.

4.5.4 Procedimentos para uso da internet O uso da internet deve ser descrito formalmente visando a proteo da propriedade intelectual, a privacidade das informaes e qualquer tipo de discriminao. Esse documento deve ser de conhecimento de todos os usurios e deve esclarecer quais so os principais processos que podem vir a causar danos quando utilizados de forma inadequada. Por esse motivo, a monitorao do uso da internet muito importante para registrar os acessos e verificar se o uso do servio est sendo realizado adequadamente. Dados que podem ser monitorados so: a identidade do usurio, data e hora da conexo, endereo IP de origem, quais os protocolos utilizados e a quantidade de dados que foram transmitidos ou recebidos. O Departamento Jurdico da empresa deve ser consultado para analisar aspectos como por exemplo: a permisso do uso da internet para uso pessoal e/ou fins comerciais pelos funcionrios e em qual perodo esse acesso poder ser realizado;

33

como ser realizada a monitorao do uso da Internet e a qual nvel de privacidade os funcionrios esto sujeitos; definio de acessos no permitidos, determinando quais tipos de sites no sero aceitos; As sanes que sero aplicadas no caso de descumprimento do procedimento tambm devem estar descritas no documento.

4.5.5 Segurana do servio de correio eletrnico Tratando-se de segurana da informao, outro item que oferece diversos riscos para a empresa o servio de correio eletrnico. Por ser muito utilizado para troca de informaes rpida e garantia de documentao. Inmeras maneiras de fraudar as mensagens do correio eletrnico tm surgido; sem desconsiderar a sua utilizao por funcionrios mal intencionados. Por esse motivo, a segurana do correio eletrnico deve ser tratada com muita cautela buscando a avaliao de normas legais para evitar a invaso de privacidade e ao mesmo tempo proteger as mensagens eletrnicas. conveniente que as consideraes de segurana a seguir sejam integrantes da Poltica de Segurana: proteo das mensagens contra acesso no autorizado, modificao ou negao de servio; assegurar que o endereamento e o transporte da mensagem estejam corretos; confiabilidade e disponibilidade geral do servio; aspectos legais, como por exemplo, requisitos de assinaturas eletrnicas.

34

4.5.6 Segurana de mdias de armazenamento A preocupao com a segurana e o tratamento de mdias outro fator importantssimo para assegurar que as informaes contidas em discos ou outros meios de armazenamento sejam descartadas de forma segura e protegida quando estas no forem mais necessrias; prevenindo contra a divulgao no autorizada ou modificao das mesmas . A remoo ou transporte de qualquer mdia de armazenamento, seja ela removvel ou no, deve ser previamente autorizada e registrada. Recomenda-se verificar o nvel de confiabilidade do meio de transporte ou servio de entregas utilizado, alm de se definir uma lista de portadores que estejam autorizados a transportar as mdias e por fim sugere-se embalar a mdia em recipientes lacrados e entreg-la em mos. Excepcionalmente, pode-se enviar mais de uma remessa por rotas distintas. No sendo mais necessria a utilizao da mdia ou sendo encontrado algum problema em seu funcionamento o seu descarte deve ser imediato e realizado atravs de aparelhos trituradores ou incineradores ou a partir da contratao de empresas que ofeream servios de coleta e descarte. Para o registro dessas informaes pode-se utilizar um sistema de controle, o qual pode conter o inventrio de todos os recursos de tecnologia da informao da Organizao, como por exemplo, a documentao de todos os elementos da rede, dos recursos de hardware e software, entre outros. O manuseio e descarte das mdias de armazenamento devem ser descritos formalmente, podendo ser parte da Poltica de Segurana da Informao.

35

4.5.7 Controle de redes Controles devem ser implementados de forma a possibilitar a gerncia das redes garantindo a proteo de acesso no autorizado dos servios e aplicaes a elas conectadas. Responsabilidades e procedimentos devem ser definidos para o gerenciamento de equipamentos remotos e controles especiais devem ser estabelecidos para garantir a confidencialidade, integridade e disponibilidade dos dados que trafegam sobre as redes pblicas ou sobre as redes sem fio (wireless)

4.5.8 Controle de acessos Este tpico tem como escopo o controle de acesso a sistemas, a utilizao de senhas, acesso remoto, entre outros. O acesso informao e aos recursos da rede precisa ser controlado com base na segurana da informao e nos requisitos do negcio. Para garantir o acesso somente de usurios autorizados e prevenir o acesso no autorizado aos recursos de TI recomenda-se as boas prticas descritas no decorrer desta seo.

4.5.9 Controle de acesso de usurios Para cada usurio deve ser implementado procedimentos formais que controlem a distribuio de direitos de acesso aos sistemas de informao e servios, como por exemplo: existncia de um procedimento formal de criao e registro de usurio de forma a garantir e revogar acessos; para cada usurio, utilizar um identificador nico, assegurando a

responsabilidade de cada usurio por suas aes;

36

conceder aos usurios um documento por escrito informando-o dos seus direitos de acesso e requerer dos usurios um registro declarando o recebimento e entendimento do documento; bloquear ou remover configuraes de acesso dos usurios que no fazem mais parte da Organizao ou que tiveram seus cargos ou funes alteradas; deve ser concedido a cada usurio somente os privilgios de acesso necessrios para a execuo de suas atividades; a concesso dos direitos de acesso deve ser devidamente autorizada e registrada; incentivar o uso e/ou desenvolvimento de programas que funcionem sem a necessidade de contas com permisses privilegiadas.

4.5.10 Utilizao de senhas O estabelecimento de diretrizes que auxiliem os usurios a criarem e utilizarem senhas seguras uma boa prtica recomendada e a seguir so descritas recomendaes importantes para a criao de senhas.

Tamanho mnimo e Complexidade da senha: esse item tem como principal objetivo evitar ataques de fora bruta e de dicionrio. As senhas devem ser compostas por um nmero mnimo de 6 caracteres e ser formada por caracteres alfanumricos maisculos e minsculos. Esses dois itens garantem um nvel de entropia que torna um ataque de fora bruta invivel. Deve-se evitar tambm o uso de caracteres repetidos ou em sequncias e o uso de palavras contidas nos dicionrios em qualquer idioma, assim como usar apenas caracteres

semelhantes para substituio de letras, isto , utilizar substituies de

37

caracteres semelhantes como, por exemplo, o uso de 1 no lugar de i ou & no lugar de e ou @ no lugar de 'a', como em "m1cr0$0ft" ou "c@mil@". Esse tipo de tcnica tornou-se muito conhecida, facilitando os ataques, entretanto, tais substituies podem ser usadas combinadas com outras tcnicas, visando aumentar a fora da senha. Memorizao de senhas: Uma maneira de minimizar a dificuldade de memorizar senhas complexas seria orientar os usurios a fazerem uso de frases secretas ao invs de senhas ininteligveis, como por exemplo: Meu cozinho Tot tem 2 anos., gerando a senha: mcTt2a. Troca peridica da senha: a alterao das senhas periodicamente deve ser obrigatria para todos os usurios e essa alterao pode ser feita a cada 3 ou 4 meses. Alm de evitar que a senha seja descoberta por pessoas mal intencionadas, esse item auxilia o administrador da rede a encontrar contas de usurio que no so mais utilizadas e que deveriam ter sido excludas ou desabilitadas. Repetio de senhas: a utilizao das ltimas 5 senhas deve ser proibida. Isso impede que o usurio realize a alterao da senha, mas permanea com a mesma. A plataforma Microsoft, por exemplo, utiliza por padro a no utilizao das ltimas 24 senhas, no entanto, um valor mais baixo pode ser definido. Quantidade de tentativas invlidas de acesso: definir um limite de tentativas de acesso invlidas, bloqueando o acesso de forma a evitar a descoberta das senhas. Sugere-se o bloqueio aps trs tentativas falhas. Troca de senhas iniciais (padro): senhas iniciais de sistemas, banco de dados ou outras aplicaes, devem ser alteradas imediatamente aps o seu recebimento em ambiente seguro, antes de sua utilizao.

38

Bloqueio automtico por perodo de inatividade (time out): todos os sistemas devem possuir definido um perodo de tempo mximo para realizar o encerramento de um acesso por inatividade. A senha pessoal, intransfervel e confidencial.

4.5.11 Controle de acesso ao sistema operacional O controle de acesso ao sistema operacional tem como finalidade a implementao de polticas para a preveno de acesso no autorizado aos sistemas operacionais. Para isso, o procedimento de entrada no sistema (log-on) deve exibir somente o mnimo de informaes necessrias ao usurio. Um procedimento de log-on seguro deve seguir as seguintes diretrizes: at que o processo tenha sido finalizado com sucesso, o procedimento no deve exibir nenhum tipo de identificao do sistema; uma mensagem alertando que o computador deve ser utilizado somente por usurios permitidos deve ser sempre exibida; mensagens de ajuda que possam facilitar o log-on de usurios no autorizados no devem ser exibidas; as informaes de entrada devem ser validadas somente quando todos os dados solicitados forem preenchidos e caso haja uma condio de erro, apenas este deve ser informado e no a parte do dado que estaria inconsistente; o nmero de tentativas de entrada no sistema com e sem sucesso devem ser registradas, tendo ainda essa ltima o nmero de tentativas limitadas. Caso esse nmero mximo de tentativas de entrada no sistema seja atingido, uma mensagem de alerta deve ser enviada ao administrador do sistema e um perodo de tempo de espera deve ser configurado antes de permitir que novas tentativas

39

de acesso sejam realizadas; configurao de um perodo de tempo de espera de maneira a impedir tentativas posteriores de acesso; limitar o tempo mximo e mnimo para que o procedimento de entrada seja realizado, ultrapassado esse perodo, o sistema deve encerr-lo; mostrar ao trmino do procedimento de entrada com sucesso:a data e hora da ltima entrada no sistema e detalhes de tentativas falhas desde o ltimo acesso com sucesso; a entrada da senha deve ser feita atravs do uso de smbolos, ocultando-a; a transmisso da senha pela rede deve ser realizada somente com o uso de tcnicas criptogrficas.

4.5.12 Acesso remoto Para que o acesso remoto seguro a aplicaes, documentos e dados da organizao sejam oferecidos de forma segura indicado que algum mtodo de autenticao seja utilizado, como o uso algoritmos criptogrficos, de tokens ou uso de um protocolo de autenticao baseados em desafio-resposta. Se a escolha for utilizar criptografia, pode-se optar por um dos trs tipos principais, dependendo do tipo de garantia desejado (autenticao, integridade, no-repdio e confiabilidade): funes hash, criptografia simtrica e criptografia assimtrica. Os tokens so dispositivos que possuem um chip que geram senhas automaticamente. Nos protocolos que baseiam-se no princpio desafio-resposta, o emissor envia um nmero aleatrio para o receptor e este, ao receber a mensagem transforma o nmero recebido em uma forma especial e o envia para o emissor. No entanto, esse ltimo mtodo pode ser facilmente quebrado devido a possibilidade de um ataque

40

man-in-the-middle, onde uma pessoa m-intencionada no meio dessa comunicao pode receber o desafio, criar uma nova conexo para obter a resposta do desafio e ao obt-la, utiliz-la para autenticar-se com o emissor. O acesso remoto pode ser viabilizado atravs da rede pblica, por exemplo, atravs do uso de uma VPN (Virtual Private Network), ou rede privada virtual, que permite a interligao de dois ou mais locais remotos de forma segura e de baixo custo permitindo a troca de informaes. As tcnicas de autenticao descritas acima podem ser facilmente combinadas com a soluo de VPN. Outra maneira de proporcionar esse acesso seria com o uso de linhas privadas dedicadas, as quais garantem a origem das conexes. No indicado o uso de controles de discagem reversa ou dial-back atravs de modens que possuam tal mecanismo. Tais equipamentos podem permitir conexes no autorizadas, autenticando os usurios remotos que tentam estabelecer uma conexo com a rede da Organizao. Ao utilizar esse controle, o servio de rede que inclua transferncias de chamadas (forward) deve ser desabilitado visando evitar vulnerabilidades associadas ao call forward, ou discagem reversa. O processo de discagem reversa deve assegurar que realmente houve a desconexo no lado da organizao, caso contrrio, o usurio remoto poderia reter a linha aberta simulando a ocorrncia de uma confirmao de retorno de chamada (call back). Por esses motivos, os controles da discagem reversa devem ser cuidadosamente testados quanto a esta possibilidade.

41

4.5.13 Roteamento de redes Em situaes onde a tcnica de traduo de endereos empregada, recomenda-se o uso de gateways de segurana nos pontos de controle da rede interna ou externa para verificar a veracidade dos endereos de origem e destino.

4.6

GESTO DE INCIDENTES DE SEGURANA DA INFORMAO

Procedimentos para o gerenciamento de incidentes devem ser estabelecidos de forma a garantir respostas rpidas e efetivas aos incidentes de segurana. Devem ser definidos procedimentos que cubram os diferentes tipos de incidentes, incluindo falha nos sistemas de informao e indisponibilidade de servios. Um ponto de contato para receber tais notificaes e trat-las com mais rapidez possvel deve ser definido e de conhecimento de toda a fora de trabalho. Os planos de contingncia devem estabelecer procedimentos que

contemplem a anlise e a identificao das causas do incidente, planejamento e implementao de uma ao corretiva que previna a repetio do incidente, comunicao com os afetados ou envolvidos com a recuperao do incidente e notificao da ao tomada autoridade apropriada.

4.7

CONFORMIDADE

Esta ltima seo apresenta a necessidade de observao das obrigaes legais com o objetivo de evitar a violao de qualquer lei, regulamentos ou obrigaes contratuais e de quaisquer requisitos de segurana da informao que possam estar sujeitos aos sistemas de informao.

42

4.7.1 Direito de propriedade intelectual Para proteger qualquer material que possa ser considerado como propriedade intelectual conveniente que as diretrizes a seguir sejam consideradas: divulgao de uma poltica de conformidade com os direitos de propriedade intelectual que defina o uso legal de softwares e de informao; a aquisio de softwares deve ser realizada somente atravs de fontes conhecidas e de boa reputao; manter a constante conscientizao das polticas para proteger direitos de propriedade intelectual e notificar a respeito das aes disciplinares tomadas em caso de violao dessas polticas; manter documentao atualizada de licenas, discos-mestres, manuais, etc; Implementao de controles que assegurem que o nmero mximo de usurios permitidos no exceda o nmero de licenas adquiridas; cumprir termos e condies para software e informao obtidos a partir de redes pblicas.

4.7.2 Conformidade com as polticas e normas de segurana da informao Faz-se necessrio garantir que todos os procedimentos de segurana da informao contidos na poltica de segurana da informao ou em qualquer outro documento formal estejam sendo executados corretamente atendendo a

conformidade com as leis, normas e regulamentaes. Para tal verificao convm que a segurana dos sistemas de informao passe por auditorias regulares. Em caso de no-conformidade como resultado da anlise, recomenda-se que os gestores determinem o que causou a no-conformidade, definam aes para assegurar que no ocorram reincidncias; determinem, implementem e realizem

43

uma anlise das aes corretivas. O resultado e as aes corretivas oriundas das auditorias devem ser registradas para posteriormente serem analisados novamente, caso necessrio.

44

ANLISE COMPARATIVA

Nesta seo realizada uma anlise comparativa entre as normas e leis apresentadas, ressaltando as exigncias comuns entre elas (tabela 01) e como essas exigncias podem ser implementadas com o auxlio das boas prticas descritas pela ISO 27002. Essa anlise tem como objetivo auxiliar a equipe de TI a identificar e implementar os requisitos necessrios para alcanar a conformidade com mais de um regulamento. As normas e padres do setor financeiro/contbil a Basilia II, o GLBA e o SOX tem como foco principal a governana corporativa e transparncia dos dados. O Basilia II tem como exigncias a adoo de um framework de melhores prticas para implementao de novos processos, criao de procedimentos para identificar, analisar e integrar os ativos de TI, a implementao de processos operacionais e controles para o gerenciamento de riscos de TI e a garantia de rastreabilidade de mudanas e auditorias dos dados. Alm da avaliao de riscos, o Basilia tem como principais exigncias a existncia de controles nas seguintes reas: controles de acesso de acordo com a segregao de funes, segurana dos sistemas e comunicao, monitoramento para melhoria contnua de procedimentos e comprometimento da alta administrao com a segurana da informao. O GLBA, assim como o Basilia II, tambm tem como exigncia a realizao de uma avaliao regular capaz de identificar possveis ameaas e riscos segurana da informao, avaliar a probabilidade de ocorrncia e os principais danos potenciais destas ameaas; alm de avaliar tambm a suficincia de controles para mitigao de tais riscos. Esses procedimentos de gerenciamento de riscos devem tambm estar descritos em um programa de segurana da informao

45

que inclua principalmente procedimentos nas reas de autenticao e controle de acesso, controle de acesso fsico, planos de contingncia e processos de auditorias [50]. Esse programa deve ainda, incluir a atribuio de responsabilidade de gerenciamento das salvaguardas de segurana a um funcionrio especfico e um programa de conscientizao e treinamento do corpo de funcionrios. Por ltimo, para alcanar a conformidade com o SOX preciso atender s exigncias da seo 404 da lei, que exige a criao de um framework de controles internos para as atividades relacionadas emisso de relatrios financeiros. E este framework deve ser avaliado, monitorado e anualmente revisado. Para isso, a rea de TI deve cobrir todos os aspectos de segurana e controle das informaes digitais da empresa, devendo assegurar a confiabilidade do sistema operacional, a veracidade dos dados de sada e a proteo de equipamentos e arquivos. Para cumprir essas exigncias todos os processos internos que abrangem desde as metodologias de desenvolvimento de sistemas at as reas de operaes de computadores devem ser revistas. Alm disso, as reas usurias de tais recursos devem ser conscientizadas sobre os aspectos de segurana e cuidados na manipulao das informaes, tais como: e-mails, compartilhamento de diretrios nos microcomputadores, compartilhamento de senhas de acesso aos aplicativos, entre outros. Aspectos de engenharia social tambm devem considerados. Logo, para a criao do framework, presente tanto na lei SOX quanto no Basilia, podem ser utilizadas as recomendaes do COSO, CoBIT, as boas prticas do ITIL e da norma ABNT ISO/IEC 27002. Para estar conforme com os requisitos exigidos pela lei aplicada ao setor pblico dos EUA, o FISMA, preciso que seja desenvolvido, implementado e mantido um programa de segurana, onde responsabilidades especficas devem ser

46

atribudas para sua implementao e gerenciamento. Uma avaliao de riscos deve ser realizada para que ameaas internas e externas possam ser identificadas e controladas. Controles de acesso, incluindo autenticao de usurios devem ser implementados para que pessoas no autorizadas no obtenham acesso aos sistemas e as informaes. O acesso fsico aos locais de armazenamento de informaes e sistemas deve ser permitido somente pessoas autorizadas. As informaes eletrnicas que estejam sendo transmitidas ou armazenadas em meios eletrnicos onde pessoas que no possuam autorizao de uso tenham acesso devem estar protegidas com algum tipo de criptografia e possuir algum mecanismo que garanta a sua integridade. A monitorao dos sistemas deve ser realizada constantemente de maneira a identificar possveis ataques ou intruses e para esses casos, a instituio deve manter um programa de resposta a incidentes. Outra exigncia a existncia de planos de continuidade ou de emergncia, que descrevem procedimentos de como a instituio deve proceder caso ocorra algum desastre natural ou falha tecnolgica. O comprometimento e conhecimento do programa de segurana pelos empregados podem ser alcanados atravs de treinamentos. Por fim, testes nos sistemas e revises devem ser realizados periodicamente para verificar a necessidade de modificaes nos procedimentos contidos no programa de segurana. No setor financeiro de pagamentos, mais precisamente na indstria de cartes de crdito, o PCI-DSS define os seguintes controles: solues de segurana para restringir ao mximo o acesso fsico e lgico aos dados do portador do carto devem ser implementadas. Para cada usurio, deve ser atribudo um identificador nico e restries de acesso aos sistemas devem ser configuradas, autorizando apenas os que necessitam utiliz-los para execuo de suas atividades.

47

Todos os sistemas e equipamentos devem ser verificados, de forma a certificar que as senhas padres ou parmetros de segurana utilizados no sejam os fornecidos pelos fabricantes. A transmisso de dados do portador do carto em rede pblica deve ser codificada. Alm disso, a instituio deve manter um programa de vulnerabilidades que descreva procedimentos para manter os sistemas seguros e declare obrigatria a utilizao de um software de antivrus atualizado e executado ativamente, capaz de gerar logs para auditorias. O PCI-DSS exige ainda que todo o acesso aos recursos de rede e aos dados do portador do carto seja monitorado e armazenado permitindo o acompanhamento e anlise futura, caso necessrio. Tais procedimentos devem ser testados regularmente, a fim de testar sua eficcia ou encontrar alguma vulnerabilidade. E por fim, os procedimentos acima devem ser mantidos em uma poltica de segurana da informao. Para as entidades do setor de sade que necessitem estar em conformidade, as exigncias a seguir descritas precisam ser atendidas. Semelhantemente s normas do setor financeiro, do governo e de cartes de crdito, procedimentos para identificao, anlise e controle de riscos devem ser estabelecidos. Salvaguardas de controle de acesso lgico e fsico aos recursos de rede e sistemas tambm devem ser implementados, assim como procedimentos de utilizao e de segurana das estaes de trabalho, nos quais devem ser utilizadas ferramentas de identificao e autenticao de usurios, onde uma identificao exclusiva deve ser atribuda a cada usurio. Procedimentos para uso, re-uso e descarte de mdias eletrnicas devem ser descritos. Alm desses requisitos, deve ser atribuda a uma pessoa ou setor a responsabilidade pela segurana da informao. Periodicamente, tais procedimentos e controles internos devem ser avaliados de forma a verificar a sua eficcia e necessidade de alterao. Um programa de resposta a incidentes deve

48

ser elaborado, assim como um plano de contingncia e a avaliao desses planos deve ser peridica. Instituies terceiras prestadoras de servio, fornecedores e parceiros devem cumprir com as polticas de segurana adotadas pela entidade de sade. O registro de atividades dos sistemas e dos controles implementados deve ser mantido para fins de auditoria. O HIPAA exige que todos esses procedimentos estejam descritos no documento de poltica de segurana da informao e que toda a fora de trabalho esteja informada do seu contedo. Isso pode ser alcanado atravs de treinamentos e programas de conscientizao. Por fim, a norma ISO/IEC 27002 estabelece diretrizes para implementar e manter a gesto de segurana da informao e essas diretrizes podem ser utilizadas para auxiliar na implementao dos requisitos exigidos pelas normas citadas anteriormente. A norma ISO/IEC 27002 nada mais do que um guia prtico que auxilia o desenvolvimento de procedimentos e prticas para a gesto da segurana da informao. As reas de exigncias comuns referentes a cada uma das normas e regulamentos apresentados foram agrupadas na tabela a seguir, que correlaciona o controle recomendado pelo padro ABNT ISO/IEC 27002.

49

Tabela 1 Anlise comparativa de requisitos

TABELA COMPARATIVA
Exigncias Basilia GLBA SOX FISMA PCI-DSS HIPAA Recomendao ISO 27001 5.1 5.1.1 4 4.1 4.2 6.2.1 12.5.1 12.6.1 14.1.1 14.1.2 7.1 7.1.1 7.1.2 7.1.3 7.2 7.2.1 7.2.2

Criao de uma poltica de segurana

Gesto de riscos

Gesto de ativos

Atribuio de responsabilidades para segurana da informao Cumprimento das normas de segurana por terceiros

6.1.3

6.2 6.2.3 6.1.5 8.1.1 8.1.2 8.1.3 8.3 8.3.1 8.3.3 11.2.1 15.1.1 5.1.1 8.2.2 6.1.6 10.4.1 13.1 13.1.1 13.2.1 14.1.5 15.1.1 10.3.2 10.4.1 10.8.5 14.1.3 14.1.4 11.3 11.3.2 11.3.3 11.5.4 11.5.5 11.5.6

Segurana de recursos humanos

Conscientizao e Treinamento

Procedimentos de resposta a incidentes

Plano de contingncia

Procedimentos para uso e segurana da estao de trabalho

50

TABELA COMPARATIVA
Exigncias Basilia GLBA SOX FISMA PCI-DSS HIPAA Recomendao ISO 27001 6.2.2 6.2.3 8.3.3 11.2.1 11.2.2 11.2.4 11.7.2 9.1.1 9.1.2 9.1.5 9.1.6 10.5.1 9.1.4 9.2.1 10.5.1 10.7.1 11.1. 11.11.1 11.4 11.4.1 11.4.2 11.4.3 11.4.4 11.4.5 11.4.6 11.4.7 11.2.1 11.2.2 11.2.3 11.2.3 11.2.4 11.4.2 11.4.3 11.5.2 11.5.3 11.7.1 10.4.2 10.6.1 10.8.1 10.8.4 10.9.1 10.9.2 10.9.3 11.4.5 11.4.6 11.6 11.6.1 11.6.2 12.3.1 12.3.2 10.4 10.4.1 10.4.2 10.10.1 10.10.2 10.10.3 10.10.4 10.10.5 10.10.6

Controles/Segurana de mdias de armazenamento

Segurana fsica

Segurana Ambiental

Controle de acesso lgico

Procedimentos de identificao e autenticao

Proteo do Sistema e das Comunicaes

Programa de administrao de vulnerabilidades

Implementao de controles para manter a rastreabilidade (registros, logs)

51

TABELA COMPARATIVA
Exigncias Basilia GLBA SOX FISMA PCI-DSS HIPAA Recomendao ISO 27001 15.3 15.3.1 15.3.2 5.1.2 6.1.4 10.3.2 11.4.2 11.5.5 11.5.6 11.7 11.7.1 11.7.2

Auditorias internas

Reviso peridica da poltica de segurana da informao Certificao e Acreditao

Acesso remoto

52

6 CONCLUSO Diante destas breves vises a respeito dos aspectos de segurana, pode-se observar a constante evoluo da segurana com o passar do tempo. O que anteriormente consistia somente em proteger-se contra os crackers, vrus e worms, atualmente evoluiu para uma complexidade de processos de conformidade e gerenciamento de riscos. Garantir a segurana da informao nos dias de hoje envolve a proteo da propriedade intelectual e de vantagens comerciais, monitorao do risco, e principalmente gerenciar a conformidade com a TI e a validao dos controles nas relaes de negcios. Se no passado, o gerente de segurana era um tecnlogo, o de hoje precisa ter competncia legal e de negcios. [1]. Os ativos, os valores e os pilares que so a base dos processos de produo mudaram, a maneira como tratado o patrimnio da empresa tambm mudou e continuar mudando em uma velocidade cada vez maior [4]. Vale ressaltar que vrias polticas so comuns s diferentes leis, normas e regulamentaes citadas neste trabalho, tais como a criao de uma poltica de segurana, a existncia da gesto de riscos, o cumprimento de normas de segurana por terceiros, a conscientizao e treinamento, os procedimentos para uso e segurana da estao de trabalho, controle de acesso lgico, procedimentos de identificao e autenticao, proteo dos sistemas e das comunicaes, o programa de administrao de vulnerabilidades, a realizao de auditorias internas e a necessidade de reviso peridica da poltica de segurana da informao, entre outros. Estas polticas esto presentes como requisitos da norma ISO/IEC 27002:2005, norma tcnica brasileira que auxilia as organizaes a estarem em conformidade com a maioria das leis, normas e regulamentaes existentes relativas

53

Gesto da Segurana da Informao. E ainda assim, com essa diversidade de regulamentos em setores distintos, possvel estar conforme com mais de uma lei, norma ou regulamento devido inexistncia de controles conflitantes entre eles. Atualmente para que uma empresa possa permanecer no mercado mundial e obter vantagens competitivas indispensvel o comprometimento com a gesto da segurana da informao alinhada aos objetivos do negcio. Alm disso, com a implantao de controles de segurana que tenham como objetivo estar conformes com a maioria das leis e normas existentes diversos benefcios so alcanados pela organizao, como por exemplo, maior segurana nos processos de negcio, retorno do investimento aplicado, por meio da reduo de incidentes relacionados segurana e solidificao da imagem associada a Segurana da Informao. Por essa razo importante estar sempre atento ao surgimento de novas normas e regulamentaes, forma e tecnologia adotadas para promover o fluxo de dados da empresa de forma a estar sempre em conformidade com a TI.

54

REFERNCIAS BIBLIOGRFICAS

[1] RASMUSSEN, Michael. Desenvolvendo um programa sustentvel e econmico de conformidade com TI, abril de 2008. Disponvel em http://www.rsa.com/solutions/compliance/wp/9767_DSCE_IT_Com_Prog_WP_0408_ BR.pdf Acessado em outubro de 2009. [2] CARUSO, Carlos A. A.; STEFFEN, Flvio Deny. Segurana em informtica e de informaes. 2. Ed., So Paulo: Senac, 1999, p21-25. [3] LAUDON, Kenneth C, LAUDON, Jane Price. Sistemas de Informao com Internet. 4a. ed. Rio de Janeiro: LTC-Livros Tcnicos e Cientficos S. A, 1999. [4] SMOLA, Marcos. Gesto da segurana da informao: viso executiva da segurana da informao. Rio de Janeiro: Campus, p.9 e p.153, 2003. [5] ABNT ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. ABNT NBR ISO/IEC 27002 - Tecnologia da informao - Tcnicas de segurana - Cdigo de prtica para a gesto de segurana da informao. ABNT, p.ix, p.2, 2005 [6] MICROSOFT. Academia Latino Americana de Segurana da Informao. emodulo, mdulo 2, 2005. Disponvel em http://technet.microsoft.com/pt-br/events/cc752934.aspx#EAYAG Acessado em maro de 2009. [7] MICROSOFT - Academia Latino Americana de Segurana da Informao . emodulo, mdulo 3, cap1, 2005. Disponvel em http://technet.microsoft.com/pt-br/events/cc752934.aspx#EAYAG Acessado em maro de 2009. [8] GEUS, P.L.; NAKAMURA, E.T. Segurana de redes em ambientes cooperativos. 2a ed So Paulo: Futura, 2003, p 173. [9] INMETRO, Definies de Regulamento Tcnico, Norma e Procedimento de Avaliao da Conformidade. Disponvel em http://www.inmetro.gov.br/barreirastecnicas/definicoes.asp Acessado em outubro de 2009. [10] DUPONT, Alexandre. Segurana da Informao Evitando riscos potenciais. Revista Anefac, nmero 12, p.7, janeiro 2005. [11] BIS. BANK FOR INTERNATIONAL SETTLEMENTS. International Convergence of Capital Measurement and Capital Standards A revised framework. Basel Committee on Banking Supervision. November 2005. Disponvel em http://www.bis.org. Acessado em janeiro de 2008.

55

[12] BIS. BANK FOR INTERNATIONAL SETTLEMENTS. Sound Practices for the Management and Supervision of Operational Risk. Basel Committee on Banking Supervision. February 2003. Disponvel em http://www.bis.org. Acessado em janeiro de 2008. [13] CARVALHO, E. J. L de. Gerenciamento do risco operacional em organizaes financeiras. In: DUARTE Jr., A.M., VARGA, G. (org.) Gesto de Riscos no Brasil. Rio de Janeiro, Financial Consultoria, 2003. [14] FILHO, Lopes & ASSOCIADOS. O novo acordo de capital da Basilia (Basilia II). Boletim Risk Bank , 21/08/02 Disponvel em http://www.riskbank.com.br/anexo/basileia2.pdf Acessado em Janeiro de 2009. [15] BOECHAT, Dalton e BERTOLOSSI, Flvio Motta. Basilia II - uma avaliao do impacto das novas regras nas regulaes vigentes e captaes externas. Retrospectiva 2001, Andima, 2001. Disponvel em http://www.andima.com.br/publicacoes/arqs/2001_basileia.pdf Acessado em Janeiro de 2009. [16] BMC Software. Como as solues BMC Software atendem aos requisitos do Acordo Basilia II e da lei Sarbanes-0xley. Disponvel em http://www.cscbrasil.com.br/folhetos/2005/Folheto_SBOX_BAISILEIA.pdf Acessado em fevereiro de 2009. [17] GARCIA, Lucio Fabio Tavares; DUARTE, Rodrigo Mendes. Adequaes Finais ao Acordo Basilia II. Estudo da rea ERS Enterprise Risk Services da empresa Deloitte, So Paulo, novembro de 2004. Disponvel em: http://www4.bcb.gov.br/pre/inscricaoContaB/trabalhos/Apresentacao_Basileia%20II %20BACEN_Deloitte.pdf. Acessado em fevereiro de 2009. [18] Setor de cartes de pagamento (PCI). Padro de segurana de dados Requisitos e procedimentos de avaliao da segurana. Verso 1.2 -Outubro de 2008 Disponvel em https://www.pcisecuritystandards.org/pdfs/pci_dss_portuguese.pdf Acessado em maro de 2009 [19] NEVES, Eduardo Vianna de Camargo. Entendendo o PCI. 2008 Disponvel em http://www.netcentrics.com.br/_downloads/Entendendo_o_PCIDSS.pdf Acessado em maro de 2009 [20] WIKIPEDIA. Payment Card Industry Data Security Standard. Disponvel em http://en.wikipedia.org/wiki/PCI_DSS . Acessado em maro de 2009.

56

[21] BSAFE INFORMATION SYSTEMS. Fisma. Maio 2008. Disponvel em www.bsafesolutions.com/FISMA%20Bsafe%20Road%20Map.pdf Acessado em fevereiro de 2009. [22] FIPS PUBLICATION 200. Minimum Security Requirements for Federal Information and Information Systems. 2006. Disponvel em http://csrc.nist.gov/publications/fips/fips200/FIPS-200-final-march.pdf Acessado em fevereiro de 2009. [23] BARKER, William C. NIST Special Publication 800-53 Revision 2 Recommended Security Controls for Federal Information Systems. http://csrc.nist.gov/publications/nistpubs/800-59/SP800-59.pdf Acessado em fevereiro de 2009. [24] WIKIPEDIA. Federal Information Security Management Act of 2002. Disponvel em http://en.wikipedia.org/wiki/Federal_Information_Security_Management_Act_of_2002 Acessado em fevereiro de 2009. [25] NIST- Computer Security Division. FISMA Overview. Disponvel em http://csrc.nist.gov/groups/SMA/fisma/overview.html Acessado em fevereiro de 2009. [26] WIKIPEDIA. Health Insurance Portability and Accountability Act. Disponvel em http://en.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act Acessado em novembro 2008. [27] MICROSOFT CORPORATION. Regulatory Compliance Demystified: An Introduction to Compliance for Developers, 2008. Disponvel em http://msdn.microsoft.com/en-us/library/aa480484.aspx Acessado em dezembro 2008. [28] US-HHS. Adminstrative Simplification - Administrative Procedures. 2002. Disponvel em http://aspe.os.dhhs.gov/admnsimp/nprm/sec06.htm Acessado em dezembro 2008. [29] US-HHS. Adminstrative Simplification - Physical Safeguards. 2002 Disponvel em http://aspe.os.dhhs.gov/admnsimp/nprm/sec07.htm Acessado em dezembro 2008. [30] US-HHS. Adminstrative Simplification - Technical Security Services to Guard Data Integrity, Confidentiality, and Availability. 2002. Disponvel em http://aspe.os.dhhs.gov/admnsimp/nprm/sec08.htm Acessado em dezembro 2008. [31] US-HHS. Adminstrative Simplification - Technical Security Mechanisms. 2002. Disponvel em http://aspe.os.dhhs.gov/admnsimp/nprm/sec09.htm Acessado em dezembro 2008.

57

[32] US-HHS, HIPAA Administrative Simplification Regulation Text; United States Dept. of Health and Human services. Disponvel em http://www.hhs.gov/ocr/AdminSimpRegText.pdf Acessado em dezembro de 2008. [33] ROIWEBED. RoiAdvise Security Matrix. 2002. Disponvel em: www.roiwebed.com/secure/docs/HIPAAsecuritymatrix.pdf Acessado em janeiro de 2009. [34] NYS OFFICE FOR TECHONOLOGY (OFT). New York State HIPAA Security Matrix Administrative Safeguards. 2003. Disponvel em: http://www.cumc.columbia.edu/it/about/security/docs/NYStateHIPAASecurity.pdf Acessado em janeiro de 2009. [35] HHS. 45 CFR Parts 160 and 164 HIPAA Administrative Simplification: Enforcement; Final Rule. Vol 71, n 32, 2006. Disponvel em http://privacyruleandresearch.nih.gov/pdf/FinalEnforcementRule06.pdf Acessado em janeiro de 2009. [36] American Optometric Association. HIPAA security guidance for health care information in portable computers. Disponvel em http://www.optometryjaoa.com/article/S1529-1839(07)00156-X/ppt Acessado em dezembro de 2008. [37] HHS. Security 101 for Covered Entities.Volume 2, paper 1, 2007. Disponvel em http://www.hhs.gov/ocr/privacy/hipaa/administrative/securityrule/security101.pdf Acessado em fevereiro de 2009. [38] BORGERTH, Vnia Maria da Costa. SOX: Entendendo a Lei Sarbanes-Oxley um caminho para a informao transparente. So Paulo: Thompson Learning, 2007. [39] HAHN, Roberto Carlos. Doutrina: A Lei Sarbanes-Oxley. 2006. Disponvel em http://www.uj.com.br/publicacoes/doutrinas/4161/A_LEI_SARBANESOXLEY Acessado em fevereiro de 2009. [40] BMC Software. Como as solues BMC Software atendem aos requisitos do Acordo Basilia II e da lei Sarbanes-0xley. 2005. Disponvel em http://www.cscbrasil.com.br/folhetos/2005/Folheto_SBOX_BAISILEIA.pdf Acessado em fevereiro de 2009. [41] DELOITTE. Lei Sarbanes-Oxley: Guia para melhorar a governana corporativa atravs de eficazes controles internos. 2003. Disponvel em http://www.deloitte.com/assets/DcomBrazil/Local%20Assets/Documents/guia_sarbanes_oxley%281%29.pdf Acessado em fevereiro de 2009.

58

[42] COSME, J., WILSON, J. e NEVES, R. Sarbanes-Oxley: Impactos para a Segurana da Informao. Disponvel em http://colab.interlegis.gov.br/attachment/wiki/Trabalhos/SarbanesOxley.pdf Acessado em fevereiro de 2009. [43] Oliveira, Tatiane Carla e Campos, Jonas Comin de. Lei Sarbanex Oxley de 2002. 2006. Disponvel em www.inicepg.univap.br/INIC_2006/inic/inic/06/INIC0001037ok.pdf Acessado em fevereiro de 2009. [44] PINHEIRO, Jos Mauricio Santos. Sarbanes-Oxley e o Impacto Sobre a Governana de TI. 2007. Disponvel em http://www.projetoderedes.com.br/artigos/artigo_sarbanes_oxley.php Acessado em fevereiro de 2009. [45] WIKIPEDIA, Information Techonology Controls. Disponvel em http://en.wikipedia.org/wiki/Information_technology_controls. Acessado em fevereiro de 2009. [46] Vijay Gondhalekar, C.R. Narayanaswamy and Sridhar Sundaram. The long-term risk effects of the Gramm-Leach-Bliley Act (GLBA) on the financial services industry. Emerald Group Publishing Limited, volume 12, 2007 Disponvel em http://www.emeraldinsight.com/Insight/viewContentItem.do;jsessionid=DA93C01013 A2D9C736AA17BDEF258FE3?contentType=Book&contentId=1761412 Acessado em maro de 2009. [47] Security Brigade. Gramm-Leach-Bliley Act Compliance. 2008. Disponvel em http://www.securitybrigade.it/compliance/gramm-leach-bliley_act.php Acessado em abril de 2009. [48] WIKIPEDIA. Gramm-Leach-Bliley Act. http://en.wikipedia.org/wiki/Gramm%E2%80%93Leach%E2%80%93Bliley_Act Acessado em abril de 2009. [49] Eletronic Privacy Information Center. The Gramm-Leach-Bliley Act History of the GLBA. 2009 http://epic.org/privacy/glba/#reduce Acessado em julho de 2009. [50] FORTINET. Simplified GLBA Compliance for Community Banks using Fortinet Hardware, Software and Partner Services. WhitePaper. 2006. Disponvel em www.fortinet.com/doc/whitepaper/GLBA-Compliance.pdf Acessado em abril de 2009. [51] FEDERAL Interagency Guidelines Establishing Standards for Safeguarding Customer Information. February 1, 2001.

59

http://www.ffiec.gov/exam/InfoBase/documents/02joisafeguard_customer_info_final_rule-010201.pdf Acessado em janeiro de 2009. [52] BONG, Kevin M. Conducting an electronic information risk assessment for Gramm-Leach-Bliley Act compliance. SANS Institute. 2003. Disponvel em http://www.sans.org/reading_room/whitepapers/auditing/conducting_an_electronic_in formation_risk_assessment_for_grammleachbliley_act_compliance_1053 Acessado em maro de 2010. [53] ISO27001 SECURITY. ISO/IEC 27002. Disponvel em http://www.iso27001security.com/html/27002.html. Acessado em outubro de 2009.

60

ANEXOS

BASILEIA II GLOBAL

O Comit da Basilia (subordinado ao BIS Bank of International Settlements), em 1988, introduziu um padro uniforme para clculo do capital regulatrio mnimo requerido para os bancos internacionalmente ativos denominado de Basilia I [17] . Para incluir uma abordagem de gerenciamento de riscos mais completa e sofisticada, o Comit da Basilia, em 2004, fez um novo acordo de capital denominado Convergncia Internacional de Mensurao e Padres de Capital: Uma Estrutura Revisada, mais conhecido por Basilia II[11]. O Basilia II define os padres mnimos que as instituies financeiras tero de cumprir para modelar, gerir e reportar os requisitos mnimos de capital transversais s mltiplas dimenses de risco [11]. Ele fixa-se em trs pilares

(Capital Mnimo Requerido, Reviso no Processo de Superviso e Disciplina de Mercado) e 25 princpios bsicos sobre contabilidade e superviso. Os trs pilares, estabelecidos pelo Comit da Basilia, so atos que devem funcionar em conjunto e podem ser adequados a todo o setor, no apenas ao setor bancrio internacional[15].

Pilar 1 Capital Mnimo Requerido Nesse pilar as entidades devem manter o requisito mnimo de capital para enfrentar os riscos de [14]:

61

a) Crdito como as possveis perdas devido impossibilidade de o contratante liquidar uma obrigao no momento esperado ou de no faz-lo a qualquer tempo; b) Mercado perdas decorrentes de movimentos adversos nos preos de mercado dos ativos dos bancos que afetam as posies no Balano Patrimonial; c) Operacional perdas diretas ou indiretas decorrente da ineficincia de sistemas, pessoas e controles internos ou por eventos externos.

Para atender a esses requisitos so necessrias aes na rea de TI, como por exemplo [16]: gerenciamento de dados e rastreamento de processos; reduo dos riscos, assim como identificao, anlise e integrao dos ativos de TI; realizar uma avaliao da capacidade e disponibilidade dos sistemas e processos para reduo e gerenciamento dos riscos; definio de dados (logs) a serem coletados, armazenados e analisados.

Pilar 2 - Processo de Reviso Supervisora O segundo pilar tem como finalidade garantir que cada banco tenha processos slidos internos que permitam uma verificao da adequao do seu capital, com base em uma avaliao completa de seus riscos pelas autoridades de fiscalizao. Para este fim, o Comit estabeleceu quatro princpios fundamentais que devem orientar a fiscalizao dos reguladores atravs das instituies [15]: a) os bancos devem dispor de processos para avaliar seu capital global em relao ao perfil de risco das suas posies;

62

b) as autoridades de fiscalizao devem examinar as avaliaes e estratgias da adequao do capital das instituies; c) os bancos devem operar acima dos ndices mnimos de capital regulador, estabelecendo, se necessrio, ndices iniciadores e definidores de capital; d) as autoridades de fiscalizao devem procurar intervir em um estgio inicial, para prevenir que o capital caia abaixo dos nveis mnimos exigidos.

O plano de ao para cumprir com os requisitos do segundo pilar deve incluir [16]: A adoo de um framework de melhores prticas para implementao de novos processos operacionais e de controles para o gerenciamento de riscos; Garantir a rastreabilidade dos dados para que possam ser auditados e mapeamento das mudanas passveis de riscos.

Pilar 3 - Disciplina de Mercado O terceiro pilar incentiva a evidenciao crescente das informaes dos bancos, ou seja, que as instituies financeiras divulguem suas metodologias e procedimentos utilizados, acerca do grau de risco, de modo a assegurar maior transparncia sobre a situao financeira e a solidez de uma instituio[14]. Ainda que no seja obrigatria a divulgao de grande parte das informaes, se os mtodos utilizados pelos bancos forem complexos, os padres de superviso exigidos tambm sero mais rigorosos. Essa exigncia possibilita que os clientes entendam melhor o perfil de risco dos bancos promovendo a disciplina de mercado de maneira a beneficiar as instituies bancrias que se mostrarem mais transparentes e melhor administradas [15].

63

Sound Practices for the Management and Supervision of Operational Risk Em complementao ao Basilia II foi publicado em fevereiro de 2003 pelo Comit de Superviso Bancria da Basilia, o documento Sound Practices for the Management and Supervision of Operational Risk (Boas Prticas Para o Gerenciamento e Superviso do Risco Operacional - BIS, 2003b) constitudo de 10 princpios, onde dois destes so voltados aos rgos superiores e o restante destina-se ao desenvolvimento de uma estrutura de gesto de risco operacional de instituies financeiras[12]. Pode ser observado que os princpios de nmeros um, sete e dez convergem para a governana corporativa [13].

Os 10 princpios do documento Boas Prticas Para o Gerenciamento e Superviso do Risco Operacional

Desenvolvimento de um ambiente apropriado para o gerenciamento de risco Princpio 1: O conselho de diretores deve ter conhecimentos dos principais aspectos dos riscos operacionais do banco como uma categoria distinta de risco que devem ser gerenciados. E dever aprovar e rever periodicamente o framework de gerenciamento de risco operacional do banco. O framework deve prover uma definio slida do risco operacional e estabelecer os princpios de como esse risco deve ser identificado, avaliado, monitorado e controlado/mitigado. Princpio 2: O conselho de diretores deve assegurar que o framework de gerenciamento de risco operacional do banco est sujeita a uma auditoria interna realizada por pessoal devidamente treinado. A funo de auditoria interna no deve ser diretamente responsvel pela gesto do risco operacional.

64

Princpio 3: A administrao snior deve ter a responsabilidade de implementar o framework de gerenciamento de risco operacional aprovada pelo conselho de diretores. O framework deve ser consistentemente aplicado em toda a organizao bancria e todo o corpo de funcionrios deve compreender as suas

responsabilidades no que diz respeito gesto do risco operacional. A administrao snior tambm deve ter como responsabilidade o desenvolvimento de polticas, processos e procedimentos de gerenciamento de risco operacional em todos os produtos, atividades, processos e sistemas.

Identificao, avaliao, monitoramento e controle/mitigao (amenizao) do risco Princpio 4: Os bancos devem identificar e avaliar o risco operacional inerente a todos os produtos, atividades, processos e sistemas. Os bancos tambm devem garantir que, antes de novos produtos, atividades, processos e sistemas serem introduzidos ou realizados, o risco operacional inerente a elas sujeita a avaliao. Princpio 5: Os bancos devem implementar um processo para acompanhar regularmente perfis de risco operacional. Relatrios devem ser enviados regularmente administrao snior e ao conselho de diretores que

apiam/suportam a gesto pr-ativa do risco operacional. Princpio 6: Os bancos devem ter polticas e procedimentos para controlar e/ou amenizar os riscos operacionais. Os bancos devem rever periodicamente as suas estratgias de controle e ajustar seus perfis de risco de acordo com as estratgias apropriadas.

65

Princpio 7: Os bancos devem dispor de planos de contingncia e continuidade do negcio a fim de assegurar a sua capacidade para operar regularmente e limitar as perdas em caso de interrupo/rompimento do negcio.

Funo dos Supervisores Princpio 8: Os supervisores bancrios devem exigir que todos os bancos, independentemente da sua dimenso, possuam um framework eficaz a fim de identificar, avaliar, monitorar e controlar os potenciais riscos operacionais como parte de um enfoque geral para a gesto de riscos. Princpio 9: Os supervisores devem realizar direta ou indiretamente avaliaes regulares das polticas, procedimentos e prticas adotadas em avaliao independente de um banco de polticas, procedimentos e prticas relacionadas aos riscos operacionais. Eles tambm devem garantir a existncia de mecanismos apropriados que lhes permitam manter-se informados do desenvolvimento do banco.

Funo da Divulgao Princpio 10: Os bancos devem tornar pblicas suas informaes a respeito do grau de exposio ao risco de modo a permitir que os participantes do mercado sejam capazes de realizar uma melhor avaliao de cada instituio.

66

II GRAMM-LEACH-BLILEY ACT (GLBA)

O Gramm-Leach-Bliley Act (GLBA) foi promulgado em 12 de novembro de 1999 e uma lei do Congresso dos Estados Unidos que permitiu aos bancos comerciais e de investimento se consolidarem [46]. Por exemplo, o Citibank fundiuse com a Travelers Group, uma companhia de seguros e em 1998 formou o conglomerado Citigroup, uma corporao combinando o banco e os servios de seguro sob marcas tais como Smith Barney, Shearson, Primerica e Travelers Insurance Corporation. Esta combinao, anunciada em 1993 e finalizada em 1994, teria violado o Glass-Steagall Act e o Bank Holding Company Act, atravs da combinao de sociedades de seguros e valores mobilirios. A lei foi aprovada para legalizar estas fuses de forma permanente. Historicamente, a indstria conhecida como a indstria de servios financeiros. A principal mudana provocada pela Lei consiste no encorajamento aos indivduos a aplicarem o dinheiro em poupanas e em investimentos na mesma instituio financeira e ela tambm ser capaz de fazlo em tempos bons e ruins economicamente falando [47] [49].

Privacidade A conformidade com a GLBA obrigatria. O Apndice B do regulamento de execuo (51) exige que cada instituio financeira possua documentado um programa de segurana da informao que inclua protees administrativas, tcnicas e fsicas adequadas complexidade da instituio e ao escopo de suas atividades. Para isso, preciso primeiramente, realizar uma avaliao regular dos riscos, capaz de identificar possveis ameaas e riscos segurana da informao, avaliar a probabilidade de ocorrncia e os principais danos potenciais destas

67

ameaas, e avaliar tambm a suficincia de controles para mitigao de tais riscos [52]. As diretrizes descritas no programa devem garantir a confidencialidade das informaes dos clientes, a proteo contra qualquer ameaa ou risco previsvel segurana ou integridade dos dados e a proteo contra acesso no autorizado [50]. O GLBA coloca em prtica trs regras para garantir a segurana e integridade dos dados financeiros, so elas: regra de privacidade financeira, regra de proteo e proteo pretexting (contra engenharia social) [47].

Regra de Privacidade Financeira Essa regra, prev uma poltica de privacidade entre a empresa e o consumidor e para isso, exige que as instituies financeiras enviem a cada consumidor um aviso particular no momento em que se estabelece a relao com o mesmo, anualmente. O anncio particular deve explicar as informaes recolhidas sobre o consumidor, onde a informao compartilhada, como a informao usada, e a forma como essa informao protegida. O anncio tambm deve identificar o direito do consumidor e optar pela excluso da informao que partilhada por entidade no afiliada atravs do Fair Credit Reporting Act. Caso haja alterao da poltica de privacidade, o consumidor deve ser notificado novamente, para aceitao [47].

Regra de Proteo Tem como objetivo a proteo das informaes do cliente e exige o desenvolvimento de um plano de segurana que descreve a forma como a empresa est preparada e pretende continuar a proteger as informaes pessoais no pblicas dos clientes. Este plano deve incluir [47]: a determinao, pelo menos, um funcionrio para gerenciar as salvaguardas;

68

a construo de uma gesto de risco, sobre cada movimentao de informaes no pblicas; o desenvolvimento, o acompanhamento e testes de um programa para garantir a segurana das informaes; alterar as protees que forem necessrias, caso sejam realizadas alteraes na maneira como a informao coletada, armazenada e utilizada.

Pretexting Protection (Proteo contra Engenharia Social) Pretexting (s vezes chamado de "engenharia social") ocorre quando algum tenta obter acesso a informaes pessoais no pblicas sem a devida autorizao para faz-lo. Isto poder ser realizado tomando o lugar do titular da conta, por telefone, pelo correio, por e-mail, ou mesmo por "phishing" (isto , utilizando um "falso" site ou e-mail para a coleta de dados). O GLBA incentiva as organizaes abrangidas por ele a aplicar salvaguardas contra engenharia social, como por exemplo, a conscientizao dos empregados atravs de treinamentos regulares [48].

69

III SARBANES-OXLEY ACT (SOX)

Promulgada em 30 de julho de 2002, a Lei Sarbanes-Oxley Act de 2002, tambm conhecida como o Public Company Accounting Reform Act and Investor Protection Act de 2002 ou apenas por SOX, uma lei federal norte-americana criada em decorrncia a uma srie de escndalos financeiros corporativos ocorridos em grandes empresas (Enron, Tyco International, Adelphia, Peregrine Systems e WorldCom) que acarretou o xodo dos investimentos financeiros na Bolsa de Valores. Segundo [39], a Lei Sarbanes-Oxley objetiva promover melhor a Governana Corporativa atravs da eficcia dos controles internos que influenciam nos resultados financeiros das organizaes. A anlise e divulgao das informaes financeiras tambm so exigncias da lei. Para isso, os diretores e o Presidente passam a ser responsveis por estabelecer, avaliar e monitorar a estrutura dos controles internos da corporao, onde o no cumprimento das normas exigidas implica no o pagamento de multas e no cumprimento de penas de recluso, inclusive para firmas de auditoria e advocacia contratadas. Dentre as 1107 sees que compe a SOX, as mais conhecidas so as sees 302 e 404, onde na seo 302 os diretores e o Presidente devem declarar pessoalmente serem responsveis pelos controles internos e processos de divulgao da empresa. J a seo 404 exige a realizao de uma avaliao anual dos controles e procedimentos internos para emisso de relatrios financeiros [43][44].

70

A Seo SOX 404 e Tecnologia da Informao Os processos de informao financeira de muitas empresas dependem, em certa forma dos sistemas de TI. Portanto, os controles de tecnologia da informao que tratam especificamente de riscos financeiros podem estar dentro do escopo da seo SOX 404 [45]. A criao de um framework de controles internos, como exigido pela seo 404, pode ser feita segundo as recomendaes de padres como por exemplo, COSO (Committee of Sponsoring Organizations of the Treadway Commission) [40] ou COBIT(Control Objectives of Information and Related Technology) [41]. Para o processo de adequao ao SOX, utilizando-se os controles internos do COSO, cinco componentes so considerados: controle do ambiente, anlise de risco, atividades de controle, informao e comunicao, monitoramento. Esses componentes, na TI, podem ser consolidados em trs reas: segurana de infraestrutura, controle de acesso e plano de contingncia [42].

71

IV FEDERAL INFORMATION SECURITY MANAGEMENT ACT (FISMA)

O Federal Information Security Management Act de 2002 ("FISMA", 44 USC 3541, et seq.) uma lei federal dos Estados Unidos promulgada em 2002 com o Ttulo III do E-Government Act de 2002 (Pub.L. 107-347 , 116 Stat. 2899) que declara obrigatria a conformidade de todas as agncias governamentais com os padres FIPS (Federal Information Processing Standards) [24] [23]. A lei tem por objetivo reforar a segurana dos computadores e da rede dentro do governo federal e entidades associadas (tais como contratantes do governo) pela obrigatoriedade de auditorias anuais. A FISMA chamou a ateno dentro do Governo Federal segurana ciberntica, que j tinha sido muito negligenciada [25].

Processo de cumprimento do FISMA para um sistema de informao O FISMA impe um conjunto de procedimentos obrigatrios, conhecidos como requisitos mnimos de segurana para informaes federais, que devem ser seguidos por todos os sistemas de informao utilizados ou acionados pela agncia governamental federal dos Estados Unidos da Amrica (EUA) ou por outra organizao em nome de uma agncia governamental dos EUA [24]. De acordo com [22] esses requisitos devem seguir os controles de segurana do Special Publication 800-53, que foram desenvolvidos atravs de uma combinao de variadas fontes, que incluem o NIST Special Publication 800-26, a Norma ISO/IEC 17799, o General Accounting Office (GAO), o Federal Information System Controls Audit Manual (FISCAM) e Sade e Servios Humanos (HHS) e Centros de Servios Medicare e

72

Medicaid (CMS) Core Security Requirements. Tais requisitos de segurana abrangem as seguintes reas: Avaliao de Riscos; Certificao, Reconhecimento/Credenciamento e Avaliao da Segurana; Gerenciamento da Configurao; Planejamento da Segurana; Proteo do Sistema e das Comunicaes; Segurana do corpo de funcionrios; Sensibilizao e Formao/Treinamento; Proteo Fsica e Ambiental; Proteo das Mdias; Plano de Contingncia; Manuteno; Integridade do Sistema e da Informao;; Resposta Incidentes; Procedimentos de identificao e autenticao; Controle de acesso e Prestao de Contas e Auditoria.

O FISMA tem como viso promover o desenvolvimento das principais normas de segurana e orientaes para apoiar a sua implementao e o seu cumprimento e para que isso ocorra so abordadas [21]: normas para categorizar a informao e sistemas de informao pelo impacto da misso;

73

normas para requisitos mnimos de segurana da informao e sistemas de informao; orientaes para selecionar controles de segurana adequados para os sistemas de informao; orientaes para avaliar controles de segurana nos sistemas de informao e para determinao da eficcia desses controles; orientaes para a certificao e reconhecimento/credenciamento dos sistemas de informao.

74

V PAYMENT CARD INDUSTRY (PCI) SECURITY STANDARD GLOBAL

O Payment Card Industry Data Security Standard (PCI-DSS) um padro de segurana para proteo de dados de carto de crdito introduzido em 2001 pela VISA dos Estados Unidos. [20] O principal objetivo do padro foi reduzir as fraudes em larga escala com carto de crdito em ambientes de pagamento eletrnico, tanto via Internet quanto em estabelecimentos comerciais tradicionais. Neste sentido, o mercado financeiro de pagamentos, mais especificamente de cartes de crditos tem que estar em conformidade com esta norma, principalmente devido ao crescimento rpido do dinheiro de plstico, o que certamente se tornar uma das principais formas de pagamento nos mercados mundiais [19]. O PCI DSS contempla 12 requerimentos bsicos agrupados em 6 grupos, que so conhecidos como objetivos de controle [18]: Manter uma rede segura Requisito1: Instalar e manter uma configurao de firewall para proteger os dados; Requisito 2: No usar senhas padres de sistema e outros parmetros de segurana fornecidos pelos prestadores de servios; Proteger os dados do portador de carto Requisito 3: Proteger os dados armazenados; Requisito 4: Codificar a transmisso dos dados do portador de carto e as informaes importantes que transitam nas redes pblicas; Manter um programa de gerenciamento de vulnerabilidades Requisito 5: Usar e atualizar regularmente o software antivrus; Requisito 6: Desenvolver e manter seguros os sistemas e aplicativos; Implementar medidas rgidas de controle ao acesso

75

Requisito 7: Restringir o acesso a apenas aqueles que necessitam conhec-los para a execuo de suas funes; Requisito 8: Atribuir um ID nico para cada pessoa que possua acesso ao computador; Requisito 9: Restringir ao mximo o acesso fsico aos dados do portador de carto; Testar e monitorar a rede regularmente Requisito 10: Acompanhar e monitorar todo o acesso aos recursos da rede e dados do portador de carto; Requisito 11: Testar regularmente os sistemas e os processos de segurana; Manter uma poltica que atenda segurana da informao Requisito 12: Manter uma poltica que atenda a segurana da informao.

76

VI HEALTH INSURANCE PORTABILITY AND ACCOUNTABILITY ACT (HIPAA)

O "Health Insurance Portability and Accountability Act" (HIPAA) foi promulgado no dia 26 de agosto de 1996 pelo Congresso do EUA e em abril de 2003 e esperva-se a sua atuao completa em todos os Estados Unidos da Amrica. O HIPAA estabelece regulamentaes federais que determinam padres mnimos onde mdicos, planos de sade, hospitais, provedores individuais de Servios de Sade e fornecedores de assistncia mdica so obrigados a cumprir. [26]. Esses padres foram criados com a finalidade de assegurar a confidencialidade e integridade das informaes de sade eletrnicas protegidas (ePHIs) e do seu uso em transaes eletrnicas, garantindo assim a segurana de sua portabilidade. Quando essas informaes so armazenadas em meio digital elas passam (ePHIs), como por exemplo pronturios mdicos e registros [27]. As informaes pessoais e de sade dos pacientes eram consideradas propriedade da instituio de sade, devido ao fato de serem armazenadas em bancos de dados pertencentes organizao. Esse paradigma foi quebrado, porque de acordo com o conceito do HIPAA, as organizaes proprietrias dos bancos de dados, em conformidade com a Lei so apenas intermedirios, sendo assim responsveis por assegurar a segurana dos proprietrios dessas informaes. Com isso, os pacientes passaram a ter controle sobre suas informaes de sade, o uso do pronturio foi limitado, a garantia da segurana das informaes individuais passou a existir e penalidades foram criadas para punir aqueles que no cumprirem com essas determinaes [27][26]. O HIPAA subdivide-se em duas sees. A primeira delas, denominada Denominao I assegura a portabilidade da cobertura do seguro de sade para os

77

trabalhadores e suas famlias ao mudarem ou perderem seus empregos. A Denominao II trata de provises sobre a Simplificao Administrativa (parte no. 164) e composta por trs subsees: as Regras de Privacidade, as Regras de Intercmbio Eletrnico de Dados e as Regras de Segurana. A regra de Privacidade abrange todos os papis e meios eletrnicos do Protected Health Information (PHI), a Regra de Segurana trata especificamente da Eletronic Protected Health Information (ePHI) [27]. Ela estabelece os trs tipos de garantias de segurana exigidas para o cumprimento: protees administrativas, fsicas e tcnicas para a manuteno da integridade da ePHI [32]. Como o objetivo deste trabalho abordar os tpicos especficos de conformidade tcnica, somente assuntos relacionados a requisitos de Segurana sero estudados. Cada padro tcnico do HIPAA estabelece dois tipos de requisitos: os exigidos e os aplicveis. Requisitos exigidos devem ser cumpridos por todas as organizaes de sade que busquem estar conforme com a legislao do HIPAA [34]. Itens considerados requisitos aplicveis tambm so obrigatrios, mas eles oferecem s organizaes a possibilidade de adequarem-se ou no para estar em conformidade. Para isso, a entidade coberta deve avaliar se razovel e adequado o seu cumprimento. Se a entidade abrangida, com base na avaliao realizada, optar por no implementar os requisitos aplicveis, ento ela deve documentar o motivo e, se necessrio, aplicar uma medida alternativa equivalente [37].

Protees Administrativas So polticas e procedimentos concebidos para mostrar claramente a forma como a entidade vai cumprir esta proteo. As entidades abrangidas (entidades que tm de cumprir os requisitos do HIPAA) [35] devem adotar um conjunto de

78

procedimentos de privacidade e designar um funcionrio para ser responsvel por desenvolver e implementar todas as polticas e os procedimentos exigidos [29]. as polticas e procedimentos devem referenciar a viso da gesto organizacional em conformidade com o controle de segurana e documentada. os procedimentos devem identificar claramente os empregados ou classes de trabalhadores que tero acesso s informaes eletrnicas de sade protegidas (ePHI). Acesso ePHI deve ser restrito aos empregados que necessitem t-la para executar a sua funo. os procedimentos devem abordar autorizao de acesso, criao, modificao e finalizao. entidades devem mostrar que um apropriado programa de treinamento no manuseio de PHI fornecido para os empregados que exercem funes administrativas. entidades abrangidas que delegam parte do negcio a terceiros devem assegurar que os seus fornecedores tambm cumpram com os requisitos HIPAA. As empresas normalmente ganham esta garantia atravs das clusulas contratuais que afirmam que o vendedor ir cumprir os mesmos requisitos de proteo de dados que se aplicam s entidades abrangidas. um plano de emergncia deve ser posto em prtica para responder a emergncias. Entidades abrangidas so responsveis por fazer o backup de seus dados e a recuperao de procedimentos. O plano dever documentar a prioridade dos dados, a anlise de falhas, a anlise das atividades e alterar os procedimentos de controle. as auditorias internas desempenham um papel fundamental no HIPAA pela

reviso de operaes com o objetivo de identificar potenciais violaes de

79

segurana. Polticas e procedimentos que devem documentar especificamente o escopo, freqncia, e os procedimentos de auditoria. As auditorias devem ser rotineiras e, tambm, pontuais. os procedimentos devem documentar instrues para enfrentar e responder s violaes de segurana que so identificados, quer durante a auditoria ou no curso normal das operaes [36].

Protees Fsicas So protees para controlar o acesso fsico inadequado e proteger contra o acesso a dados protegidos. controles devem reger a introduo e remoo de hardware e software da rede. (Quando o equipamento retirado, garantir que o PHI no seja comprometido.) o acesso aos equipamentos que contenham informao de sade deve ser, cuidadosamente, controlada e vigiada. acesso a hardware e software deve ser limitado a pessoas devidamente autorizadas. controles de acesso consistem em planos de segurana das instalaes, manuteno de registros e de visitas e acompanhantes. as polticas so necessrias para um uso adequado da estao de trabalho. As estaes de trabalho devem ser removidas de reas de alto trfego e as telas dos monitores no devem ser vistas diretamente pelo pblico. se as entidades abrangidas utilizam contratantes ou agentes, eles tambm devem estar plenamente treinados nas responsabilidades de seu acesso fsico [29] [33][36].

80

Protees Tcnicas Estas protees controlam o acesso aos sistemas e permitem que as entidades abrangidas protejam as comunicaes contendo PHI que so transmitidas eletronicamente atravs de redes abertas de serem interceptadas por qualquer outra pessoa que no o destinatrio. sistemas de informao de PHI devem ser protegidos contra intruso. Quando as informaes fluem atravs de redes abertas, estas devem estar criptografadas adequadamente. Se sistema fechado/redes so utilizados, o controle de acesso suficiente e a criptografia opcional; cada entidade abrangida responsvel por garantir que os dados dentro de seus sistemas no tenham sido alterados ou apagados de uma maneira no autorizada; corroborao de dados, incluindo o uso de check-sum, doble-keying, mensagem de autenticao e assinatura digital podem ser usados para garantir a integridade dos dados; entidades abrangidas tambm devem autenticar entidades, caso comunique-se com elas; entidades abrangidas devem apresentar documentao de suas prticas de acordo com o HIPAA disposio do governo para demonstrar a conformidade; alm de polticas e procedimentos de acesso a registros, a documentao de tecnologia da informao deve incluir, ainda, um registro por escrito de todas as configuraes dos componentes da rede; anlise de risco documentada e programas de gesto de risco so obrigatrios [36][30][33].

81

Os requisitos tcnicos mandatrios do HIPAA, nos mbitos administrativo, fsico e tcnico podem ser encontrados em [26] [34]. E embora o HIPAA no especifique quais so as solues tecnolgicas necessrias para cumprir esses requisitos, estas podem ser necessrias, tais como [35]: controles de autenticao, como nome de usurio exclusivo, senhas ou uso de dispositivos biomtricos; sistema operacional, aplicao ou mesmo controle de acesso ao diretrio de servio para permitir ou negar o acesso baseado no usurio, em sua funo ou departamento; dispositivos de segurana de rede como firewall ou um sistema de deteco de intruso (IDS); dispositivos de filtragem de contedo, como varredura de e-mail para detectar PHIs vulnerveis sendo enviadas atravs da rede e programas antivrus para detectar softwares mal-intencionados; software de criptografia para proteger PHIs, em repouso ou em trnsito; rede privada virtual (VPN) para garantir acesso a comunicao remota rede-rede; sistemas Logging, incluindo funes built-in logging do sistema operacional e aplicaes para fins de rastreamento de auditoria; poltica de gesto de software para edio e gesto de polticas HIPAA e para auxiliar na conscientizao do usurio final do HIPAA; software de gesto de patchs (programa criado para atualizar ou corrigir um software) e para facilitar a gesto em curso e implantao de atualizaes crticas de software.

82

VII NORMA ABNT NBR ISO/IEC 27002:2005

A norma ISO 27002 foi publicada pela primeira vez no ano de 2005 com o nome de ISO 17799:2005. Sua antecessora, BS7799 originou-se de um cdigo de prtica publicado em 1993 pelo governo britnico (Department of Trade and Industry - DTI), que em 1995 foi publicado como padro pelo BSI (British Standard Institution) como BS7799. Em 2000, foi novamente re-publicado, desta vez pela ISO, tornandose a ISO 17799; e constitua a base atual da norma. Em 2007 uma verso atualizada da norma, a ISO 17799:2005, foi renomeada a fim de ser incorporada ao novo esquema de numerao ISO 27000, que iniciava uma nova srie de padres internacionais para segurana da informao [53]. Ela estabelece diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma Organizao. Os objetivos de controle e os controles desta Norma tm como finalidade ser implementados para atender aos requisitos identificados por meio da anlise/avaliao de riscos. Esta norma pode servir como um guia prtico para desenvolver os procedimentos de segurana da informao da Organizao e as eficientes prticas de gesto da segurana (ISO/IEC 27002) [6]. A ISO 27002 constituda de 11 sees de controles de segurana da informao, cada seo contendo as principais categorias de segurana, onde cada categoria principal de segurana da informao possui um objetivo de controle que define o que deve ser alcanado e um ou mais controles que possam colocados em prtica para atingir esse objetivo de controle. Tais sees e a quantidade de categorias so listadas abaixo [6]: Poltica de Segurana da informao - 1;

83

Organizando a Segurana da informao - 2; Gesto de ativos - 2; Segurana em Recursos Humanos 3; Segurana Fsica e do Meio Ambiente 2; Gesto das Operaes e Comunicaes 10; Controle de Acesso 7; Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao 6; Gesto de Incidentes de Segurana da Informao 2; Gesto da Continuidade do Negcio 1; Conformidade 3.

A Relao entre ISO 27001 e ISO 27002 A ISO/IEC 27001, publicada em 2005, uma norma que define os requisitos para estabelecimento de um Sistema de Gesto de Segurana da Informao (SGSI) utilizando a metodologia do PDCA (Plan-Do-Check-Act) por meio do estabelecimento de uma poltica de segurana, controles e gerenciamento de riscos. Por estar de acordo com tais requisitos, a implementao desse padro pode ser realizada com base nas orientaes da ISO 27002, fazendo com que dessa forma os dois documentos sejam utilizados em conjunto de forma que um complemente o outro.

84

Figura 1 ISO/IEC 27002