Академический Документы
Профессиональный Документы
Культура Документы
UNIVERSIDADE DE BRASLIA
INSTITUTO DE CINCIAS EXATAS
DEPARTAMENTO DE CINCIA DA COMPUTAO
ESPECIALIZAO EM GESTO DA SEGURANA DA INFORMAO E
COMUNICAES CEGSIC 2009/2011
Braslia, SETEMBRO/2011
Instituto de Cincias Exatas
Departamento de Cincia da Computao
Curso de Especializao em Gesto da Segurana da Informao e
Comunicaes
Braslia
2011
ALEXIS BRAGA SOTTO MAIOR
Braslia
2011
ALEXIS BRAGA SOTTO MAIOR
Braslia
Setembro de 2011
Desenvolvido em atendimento ao plano de trabalho do Programa de
Formao de Especialistas para a Elaborao da Metodologia Brasileira
de Gesto da Segurana da Informao e Comunicaes - CEGSIC
2009/2011.
2011 Alexis Braga Sotto Maior. Qualquer parte desta publicao pode
ser reproduzida, desde que citada a fonte.
Dedicatria .................................................................................................................. 3
Agradecimentos .......................................................................................................... 5
Sumrio ....................................................................................................................... 8
Resumo ..................................................................................................................... 11
Abstract ..................................................................................................................... 12
3 Metodologia ............................................................................................................ 32
4 Resultados ............................................................................................................. 38
5 Discusso ............................................................................................................... 53
6 Concluses............................................................................................................. 57
Glossrio ................................................................................................................... 64
A ............................................................................................................................ 64
C ............................................................................................................................ 64
I .............................................................................................................................. 64
P ............................................................................................................................ 64
R ............................................................................................................................ 65
V ............................................................................................................................ 65
Apndice A Questionrio sobre a implementao dos controles da norma ABNT
NBR 27002:2005 ....................................................................................................... 66
Resumo
1 Delimitao do Problema
1.1 Introduo
As instituies pblicas federais, assim como qualquer outra instituio, esto
sujeitas a leis, decretos, portarias e diversos outros tipos de normas que impe
limites sua atuao. Entretanto, intencionalmente ou no, os processos operantes
em tais organizaes podem ultrapassar os limites legais estabelecidos, acarretando
em sanes (ALEXANDRINO, 2008).
Estas sanes, quando aplicadas, podem acarretar prejuzos aos cofres do
Estado e danos imagem da instituio, podendo resultar em desvios reais ou
potenciais em relao aos objetivos da organizao. H, portanto, um risco
associado a perdas decorrentes de sanes em razo de descumprimento de
dispositivos legais e a indenizaes por danos a terceiros decorrentes das atividades
desenvolvidas pela instituio (BRASIL, 2006).
Na medida em que os processos de negcio so automatizados e suportados
pela rea de Tecnologia da Informao e Comunicaes (TIC), aes devem ser
tomadas para reduzir a probabilidade, as consequncias negativas, ou ambas,
associadas ao risco legal (ABNT, 2008). No incomum que a investigao de um
incidente de segurana computacional possa levar a aes ou processos legais
(GONDIM, 2010). Neste aspecto, a importncia de uma anlise e avaliao do risco
de segurana da informao revelada no momento em que quantifica ou descreve
o risco qualitativamente e capacita os gestores a priorizar os riscos de acordo com a
sua gravidade percebida ou com outros critrios estabelecidos (ABNT, 2008).
A necessidade de se verificar os aspectos que influenciam o risco legal de
segurana da informao nas organizaes pblicas federais decorre de vrios
14
1.3.3 Escopo
O escopo da pesquisa ser a Coordenao Geral de Tecnologia da
Informao da instituio. Abrange as atividades, operaes, projetos e
interoperabilidade com agentes externos e outras coordenaes dentro da
Secretaria.
1.4 Justificativa
O cenrio atual de grandes ameaas. A cada dia, os processos de negcio
so automatizados e se sustentam na tecnologia para dar respostas cada vez mais
precisas e geis. Esta expanso da dependncia da TIC, na mesma proporo,
eleva o grau das consequncias em caso de incidentes que perturbem estes
processos. A gesto do risco tem, como principal objetivo, tornar um sistema,
informatizado ou no, mais seguro (FERNANDES, 2010b). O mapeamento das
ameaas e vulnerabilidades sobre os ativos crticos da instituio fundamental
para a definio dos controles necessrios a mitigar tais riscos. Este o cerne da
anlise de risco.
Entretanto, as organizaes pblicas, como a instituio pesquisada, no
esto sujeitas apenas s consequncias diretas decorrentes das falhas
16
1.5 Hipteses
Processos crticos da instituio so suportados pela Tecnologia da
Informao, e necessitam de garantias de segurana da informao,
principalmente nos aspectos de disponibilidade e integridade.
Os principais ativos de TIC que suportam os processos crticos esto
sujeitos a diversas vulnerabilidades, que no so reduzidos pelos
controles existentes.
Existe a necessidade de implementar e efetivar controles de segurana
da informao adicionais em conformidade com a ABNT 27002:2005.
18
Controle ineficaz
de identificao e
autorizao de
Ato fraudulento: crimes de
usurios (ex:
CI Aplicao de Forjamento de direitos: Usurio falso. Responsabilizao
senhas de fcil
1.1 negcio malicioso objetiva por danos
deduo,
causados a terceiros
ausncia de
biometria ou
tokens)
Avaliao Estimativa
Probabilidade
Ativo Ameaa Vulnerabilidade Consequncias Impactos do do nvel
do Incidente
Impacto do risco
Controle ineficaz
de identificao Imagem
Ato fraudulento:
e autorizao de comprometida
Forjamento crimes de falso.
Aplicao usurios (ex: de sistema
de direitos: Responsabilizao
de senhas de fcil seguro. Alto Mdio Alto
Usurio por danos
negcio deduo, Prejuzo aos
malicioso causados a
ausncia de cofres da
terceiros
biometria ou instituio.
tokens)
32
3 Metodologia
Implementado
Implementado Parcialmente
Controle da ABNT 27002:2005 mas no Inexistente
e Efetivo Implementado
efetivo
Implementado
Implementado Parcialmente
Controle da ABNT 27002:2005 mas no Inexistente
e Efetivo Implementado
efetivo
Muito baixo 0 1 2 3 4
Baixo 1 2 3 4 5
Impacto ao
Mdio 2 3 4 5 6
negocio
Alto 3 4 5 6 7
Muito alto 4 5 6 7 8
4 Resultados
Tabela 7 Relao de crimes tipificados no Cdigo Penal que podem ser aplicados
Segurana da Informao e Comunicaes
Crime no Cdigo Penal Artigo Definio
Ameaa Art. 147 Ameaar algum, por palavra, escrito ou gesto, ou qualquer outro
meio simblico, de causar-lhe mal injusto e grave (e pargrafos);
Apologia de crime Art. 287 Fazer, publicamente, apologia de fato criminoso ou de autor de
crime (e pargrafos);
Ato obsceno Art. 233 Praticar ato obsceno em lugar pblico, ou aberto ou exposto ao
pblico (e pargrafos);
Calnia Art. 138 Caluniar algum, imputando-lhe falsamente fato definido como crime
(e pargrafos);
Dano Art. 163 Destruir, inutilizar ou deteriorar coisa alheia (e pargrafos);
Difamao Art. 139 Difamar algum, imputando-lhe fato ofensivo sua reputao (e
pargrafos);
Divulgao de Segredo Art. 153 Divulgar algum, sem justa causa, contedo de documento
particular ou de correspondncia confidencial, de que destinatrio
ou detentor, e cuja divulgao possa produzir dano a outrem (e
pargrafos);
Escrito ou objeto obsceno Art. 234 Fazer, importar, exportar, adquirir ou ter sob sua guarda, para fim de
comrcio, de distribuio ou de exposio pblica, escrito, desenho,
pintura, estampa ou qualquer objeto obsceno (e pargrafos);
Estelionato Art. 171 Obter, para si ou para outrem, vantagem ilcita, em prejuzo alheio,
induzindo ou mantendo algum em erro, mediante artifcio, ardil, ou
qualquer outro meio fraudulento (e pargrafos);
Extravio, sonegao ou Art. 314 Extraviar livro oficial ou qualquer documento, de que tem a guarda
inutilizao de livro ou em razo do cargo, soneg-lo ou inutiliz-lo, total ou parcialmente (e
documento pargrafos);
Falsa identidade Art. 307 Atribuir-se ou atribuir a terceiro falsa identidade para obter
vantagem, em proveito prprio ou alheio, ou para causar dano a
outrem (e pargrafos);
Falsidade Ideolgica Art. 299 Omitir, em documento pblico ou particular, declarao que dele
devia constar, ou nele inserir ou fazer inserir declarao falsa ou
diversa da que devia ser escrita, com o fim de prejudicar direito, criar
obrigao ou alterar a verdade sobre fato juridicamente relevante
Falsificao de Documento Art. 298 Falsificar, no todo ou em parte, documento particular ou alterar
Particular documento particular verdadeiro (e pargrafos);
Falsificao de Documento Art. 297 Falsificar, no todo ou em parte, documento pblico, ou alterar
Pblico documento pblico verdadeiro (e pargrafos);
Incitao ao crime Art. 286 Incitar, publicamente, a prtica de crime (e pargrafos);
Injria Art. 140 Injuriar algum, ofendendo-lhe a dignidade ou o decoro (e
pargrafos);
Insero de dados falsos Art. Inserir ou facilitar, o funcionrio autorizado, a insero de dados
em sistema de informaes 313-A falsos, alterar ou excluir indevidamente dados corretos nos sistemas
informatizados ou bancos de dados da Administrao Pblica com o
fim de obter vantagem indevida para si ou para outrem ou para
causar dano (e pargrafos);
Interrupo ou perturbao Art. 266 Interromper ou perturbar servio telegrfico, radiotelegrfico ou
de servio telegrfico ou telefnico, impedir ou dificultar-lhe o restabelecimento (e pargrafos);
telefnico
Modificao ou alterao Art. Modificar ou alterar, o funcionrio, sistema de informaes ou
no autorizada de sistema 313-B programa de informtica sem autorizao ou solicitao de
de informaes autoridade competente (e pargrafos);
Ultraje a culto e Art. 208 Escarnecer de algum publicamente, por motivo de crena ou
impedimento ou funo religiosa; impedir ou perturbar cerimnia ou prtica de culto
perturbao de ato a ele religioso; vilipendiar publicamente ato ou objeto de culto religioso (e
relativo pargrafos);
Violao de Direito Autoral Art. 184 Violar direitos de autor e os que lhe so conexos (e pargrafos);
46
Violao de Segredo Art. 154 Revelar algum, sem justa causa, segredo, de que tem cincia em
profissional razo de funo, ministrio, ofcio ou profisso, e cuja revelao
possa produzir dano a outrem (e pargrafos);
Violao de sigilo Art. 325 Revelar fato de que tem cincia em razo do cargo e que deva
funcional permanecer em segredo, ou facilitar-lhe a revelao (e pargrafos);
Violao do sigilo de Art. 326 Devassar o sigilo de proposta de concorrncia pblica, ou
proposta de concorrncia proporcionar a terceiro o ensejo de devass-lo.
Cabe ressaltar que projetos de lei para tipificar ilcitos penais cometidos em
sistemas informatizados encontram-se em discusso no Congresso Nacional, como
o PL 84/99 do Senador Azevedo (ROHR, 2011).
5 Discusso
instituio, que por sua vez pode resultar em desrespeito a alguma norma a ela
imposta.
Algumas das normas levantadas se aplicam diretamente aos macro
processos da instituio. Os limites temporais para envio da proposta oramentria
anual e da Lei de Diretrizes Oramentrias requerem dos sistemas informatizados
sob responsabilidade da CGTEC garantias de disponibilidade. O cenrio de
incidentes apontou para diversas situaes em que a conseqncia a
indisponibilidade de dados oramentrios, com impacto direto no atraso ou no
envio destes produtos, podendo resultar nas sanes previstas em lei. Como visto,
todo o processo oramentrio regido por lei (como a Lei 4.320/64 e a LRF) e
impe restries quanto forma e aos valores constantes no Oramento. Este
requisito requer garantia de integridade dos processos de TIC que suportam estas
atividades do negcio.
O processo de anlise de riscos definido pela norma ABNT 27005:2008
aplicado ao risco legal buscou, no estudo de caso, identificar os cenrios de
incidentes cujas consequncias podem ser a violao de normas, responsabilizao
da instituio e dano imagem, com impacto negativo aos seus objetivos. Esta
atividade implica em identificar e valorar ativos, ameaas, vulnerabilidades,
consequncias e controles de segurana existentes.
Os ativos identificados na CGTEC esto muito alm de hardware e software.
Os entrevistados apontaram Sistemas Informatizados, processos organizacionais e
pessoas como ativos de grande valor para a instituio. Entretanto, a identificao
das vulnerabilidades e ameaas mostrou situaes de fragilidade na segurana
destes ativos. O trabalho de levantamento do cenrio de incidentes no tentou ser
exaustivo, j que o detalhamento de todas as ameaas possveis explorando todas
as vulnerabilidades existentes fugia ao escopo da pesquisa.
Trs ativos foram identificados como de valor muito alto para a CGTEC. O
primeiro, Sistema Informatizado Crtico n1, suporta grande parte dos processos
crticos da instituio e deve atender aos requisitos de integridade, confidencialidade
e disponibilidade de suas informaes, com vistas a atender os requisitos legais
impostos ao processo oramentrio. Outro ativo, os funcionrios desenvolvedores
de software e analistas de produo, responsvel por compreender os requisitos
de negcio da instituio, automatiz-los, mant-los e garantir sua previsibilidade.
55
TOTAL 29 2 14 13
Total referente
apenas aos ativos
de valor "Muito 7 0 2 5
Alto" para a
Instituio
57
6 Concluses
Glossrio
A
Ameaa. Segundo a norma ABNT ISO/IEC 27002:2005, ameaa a causa potencial
de um incidente indesejado, que pode resultar em dano para um sistema ou
organizao.
Ativo. Segundo a norma ABNT ISO/IEC 27002:2005, ativo qualquer coisa que
tenha valor para a organizao. A norma ABNT ISO/IEC 27005:2008 distingui dois
tipos de ativos: Primrios (Processos e atividades de negcio; Informao) e
Secundrios (Hardware; Software; Rede; Recursos Humanos; Instalaes Fsicas;
Estrutura da organizao).
C
Controle. Segundo a norma ABNT ISO/IEC 27002:2005, controle a forma de
gerenciar o risco, incluindo polticas, procedimentos, diretrizes, prticas ou estruturas
organizacionais, que podem ser de natureza administrativa, tcnica, de gesto ou
legal.
Cenrio de Incidentes. De acordo com a norma ABNT ISO/IEC 27002:2005, um
cenrio de incidentes a descrio de uma ameaa explorando uma certa
vulnerabilidade ou um conjunto delas em um incidente de segurana da informao.
I
Impacto. De acordo com a norma ABNT ISO/IEC 27005:2008, uma mudana
adversa no nvel obtido dos objetivos de negcio.
P
Plano Diretor de Tecnologia da Informao (PDTI). De acordo com Hazan (2009),
um PDTI visa orientar uma organizao no uso correto de seus recursos de
tecnologia da informao, levando-a focalizar nos processos de melhoria contnua
de governana.
65
R
Responsabilidade Civil. a obrigao que pode recair sobre uma pessoa de reparar
o prejuzo causado a outrem por conduta prpria ou de pessoas, animais ou coisas
que dele dependam (LOUREIRO, 2010).
Responsabilidade Civil Objetiva. a obrigao de indenizar, ainda que o causador
do dano no aja com culpa ou dolo, bastando a conduta voluntria, o dano e o nexo
causal entre um e outro (LOUREIRO, 2010).
Riscos de Segurana da Informao. De acordo com a norma ABNT ISO/IEC
27005:2008, a possibilidade de uma determinada ameaa explorar
vulnerabilidades de um ativo ou de um conjunto de ativos, prejudicando a
organizao.
Risco Legal. o risco associado a sanes em razo de descumprimento de
dispositivos legais e a indenizaes por danos a terceiros decorrentes das atividades
desenvolvidas pela instituio (BRASIL, 2006).
V
Vulnerabilidade. Segundo a norma ABNT ISO/IEC 27002:2005, a fragilidade de um
ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas.
66
Implementa
Implementa Parcialmente
do mas no Inexistente
do e Efetivo Implementado
efetivo
Procedimentos e responsabilidades operacionais
Os procedimentos de operao so
documentados, mantidos atualizados e
1 0 0 3 2
disponveis a todos os usurios que deles
necessitam
As modificaes nos recursos de
2 processamento da informao e sistemas 0 1 1 3
so controladas (gesto de mudanas)
As funes so segregadas para reduzir as
oportunidades de modificao ou uso
3 0 1 2 2
indevido no autorizado ou no intencional
dos ativos da instituio
Separao dos recursos de
4 1 2 1 0
desenvolvimento, teste e de produo
Gerenciamento de servios terceirizados
Os controles de segurana, as definies
de servio e os nveis de entrega includos
5 no acordo de entrega de servios 0 0 3 2
terceirizados so implementados,
executados e mantidos pelo terceiro.
Os servios terceirizados so regularmente
6 monitorados, auditados e analisados 0 0 1 4
criticamente.
As mudanas para servios terceirizados
7 so gerenciados e analisados levando-se 0 1 2 2
em conta a criticidade dos sistemas
Planejamento e aceitao dos sistemas
8 A utilizao dos recursos monitorada e 0 0 5 0
67
Quando h a necessidade de um
equipamento ser utilizado fora das
57 2 0 0 4
instalaes da instituio exigida
autorizao pela direo?
Os dispositivos de armazenamento
contendo informaes sensveis so
58 2 0 0 4
fisicamente destrudos ou sobrescritos de
maneira segura?
O servio de bloqueio automtico de tela
de computador est ativo? Isso ir travar o
59 2 0 0 4
computador sempre que for deixado ocioso
por um determinado tempo
Os empregados so avisados para deixar
60 qualquer material confidencial de forma 2 0 0 4
segura e trancada?
proibido retirar equipamentos,
61 informaes ou software sem adequada 2 0 0 4
autorizao?
Inspees regulares so realizadas para
62 detectar remoo de propriedade no 5 0 0 1
autorizada?
As pessoas esto cientes que estas
63 inspees regulares esto sendo 3 0 0 3
realizadas?
Requisitos de segurana de sistemas de informao
Para novos sistemas (ou melhoria destes),
64 na fase de requisitos, so especificados os 0 1 5 1
requisitos para controles de segurana.
Processamento correto nas aplicaes
Os dados de entrada das aplicaes so
65 2 1 3 1
validados.
So incorporadas, nas aplicaes,
checagens de validao com o objetivo de
66 detectar qualquer corrupo de 0 0 5 2
informaes, por erros ou por aes
deliberadas
Os requisitos para garantir a autenticidade
e integridade das mensagens so
67 0 0 4 3
identificados e os controles apropriados so
implementados.
Os dados de sada das aplicaes so
68 1 1 4 1
validados.
Controles criptogrficos
Uma poltica para uso de controles
69 criptogrficos foi desenvolvida e 0 0 1 6
implementada
Um processo de gerenciamento de chaves
70 implementado para apoiar o uso de 0 0 0 7
tcnicas criptogrficas.
Segurana dos arquivos do sistema
So implementados procedimentos para
71 controlar a instalao de software em 1 3 3 0
sistemas operacionais
Os dados de teste so selecionados com
72 0 0 2 5
cuidado, protegidos e controlados
73 O acesso ao cdigo fonte restrito. 0 2 3 2
71
estabelecidos?
Existem procedimentos para cpias de
111 5 0 0 1
segurana?
Existem controles e segurana dos
112 3 0 3 0
servios de Rede?
H mecanismos de segurana e
113 0 0 2 4
tratamento de mdias?
Existe proteo da documentao de
114 0 0 5 1
sistemas?
H mecanismos de segurana do correio
115 4 0 1 0
eletrnico?
Os requisitos do negcio so levados em
116 considerao para definio de controle 3 0 2 1
de acesso?
Existe gerenciamento de acessos do
117 3 0 2 1
usurio?
Existem controles de previnam acesso
118 2 0 3 1
no autorizado aos servios de rede?
Existem controle de acesso ao sistema
119 3 0 3 0
operacional?
Existem controles de acesso s
120 5 0 1 0
aplicaes?
Existe monitorao do uso e acesso ao
121 1 0 4 1
sistema?
Existem controles de segurana para
122 0 0 0 6
computao mvel e trabalho remoto?
Os requisitos de segurana sejam
123 identificados na fase de definio de 0 0 3 3
requisitos?
124 Existe poltica de uso de criptografia? 0 0 0 6
Existem procedimentos de segurana nos
125 0 0 2 4
processo de desenvolvimento e suporte?
As fragilidades e eventos de segurana
126 da informao associados com sistemas 1 0 4 1
de informao so comunicados?
Existem processos de gesto da
127 0 0 1 5
continuidade do negcio?
As conformidades tcnicas e legais so
levadas em considerao no projeto,
128 1 0 4 1
operao, uso e gesto de sistemas de
informao?
Existem recursos e critrios para
129 0 0 2 4
auditoria de sistemas?
Conformidade com Requisitos Legais
Todos os requisitos estatutrios
(exemplo: leis, resolues, portaria, etc.),
regulamentares e contratuais relevantes
130 1 0 5 0
para a instituio so definidos,
documentados e mantidos atualizados
para cada sistema de informao
Procedimentos como poltica de
conformidade, aquisio de software de
fontes seguras, conscientizao dos
usurios e verificao e remoo de
131 0 0 3 3
software pirata so implementados para
garantir a conformidade legal no uso de
material aos quais pode haver direitos de
propriedade intelectual
74