Академический Документы
Профессиональный Документы
Культура Документы
Braslia-DF.
Elaborao
Produo
APRESENTAO.................................................................................................................................. 5
INTRODUO.................................................................................................................................... 8
UNIDADE I
CONHECENDO A SEGURANA DA INFORMAO................................................................................ 10
CAPTULO 1
INTRODUO E CONCEITOS GERAIS DA SEGURANA DA INFORMAO................................ 10
CAPTULO 2
CLASSIFICAO DA INFORMAO........................................................................................ 18
CAPTULO 3
ANLISE DE RISCOS; TIPOS DE INCIDENTE; ATAQUES SEGURANA DA INFORMAO............. 23
UNIDADE II
MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO.......................................................... 29
CAPTULO 1
CRIPTOGRAFIA; SEGURANA FSICA E LGICA....................................................................... 29
CAPTULO 2
MECANISMOS LGICOS PARA GARANTIA DE IDENTIDADE........................................................ 35
CAPTULO 3
MECANISMOS DE PROTEO FIREWALS, IDS, IPS E VPN......................................................... 41
UNIDADE III
SEGURANA ORGANIZACIONAL.......................................................................................................... 50
CAPTULO 1
ESTRUTURANDO A POLTICA DE SEGURANA DA INFORMAO............................................... 50
CAPTULO 2
SISTEMA DE GESTO DE SEGURANA DA INFORMAO SGSI............................................... 63
UNIDADE IV
NORMAS E PADRES............................................................................................................................ 73
CAPTULO 1
ISO 27001 E 27002................................................................................................................ 73
CAPTULO 2
DEMAIS NORMAS E PADRES.................................................................................................. 79
CAPTULO 3
TICA NA COMPUTAO........................................................................................................ 85
REFERNCIAS................................................................................................................................... 90
Apresentao
Caro aluno
Conselho Editorial
5
Organizao do Caderno
de Estudos e Pesquisa
A seguir, apresentamos uma breve descrio dos cones utilizados na organizao dos
Cadernos de Estudos e Pesquisa.
Provocao
Textos que buscam instigar o aluno a refletir sobre determinado assunto antes
mesmo de iniciar sua leitura ou aps algum trecho pertinente para o autor
conteudista.
Para refletir
Questes inseridas no decorrer do estudo a fim de que o aluno faa uma pausa e reflita
sobre o contedo estudado ou temas que o ajudem em seu raciocnio. importante
que ele verifique seus conhecimentos, suas experincias e seus sentimentos. As
reflexes so o ponto de partida para a construo de suas concluses.
Ateno
6
Saiba mais
Sintetizando
7
Introduo
O objetivo desta apostila introduzi-lo aos principais conceitos e boas prticas da
Gesto de Segurana da Informao atual. Aps a sua leitura, espero que voc consiga
aplic-los em seu ambiente de trabalho de maneira a tornar a sua empresa segura o
suficiente aos padres desejados.
Por ltmo, na Unidade IV, Normas e Padres, ilustro e comento as principais normas
vigentes que devem ser seguidas por todos os profissionais que pretendem implementar
uma boa gesto de segurana de informao na empresa.
Objetivos
Conhecer os conceitos e as nomenclaturas principais usados na gesto de
segurana da informao.
8
9
CONHECENDO A
SEGURANA DA UNIDADE I
INFORMAO
CAPTULO 1
Introduo e conceitos gerais da
segurana da informao
Proteo da informao
O contexto atual de um grande crescimento na conectividade de empresas e pessoas
principalmente em relao grande rede mundial que a internet. Com este aumento,
as empresas cada vez mais se utilizam da tecnologia para expandir seus negcios, com
isto, podemos verificar uma grande dependncia da informao e novas oportunidades
de negcios e como o e-comerce, e-busnisses, e-sales entre outros.
10
CONHECENDO A SEGURANA DA INFORMAO UNIDADE I
11
UNIDADE I CONHECENDO A SEGURANA DA INFORMAO
Garantindo que estes conceitos esto sendo aplicados por meio de medidas de segurana
aplicadas, um plano diretor desenvolvido sob medida da empresa e (ou) ativos especficos
traz uma segurana de acordo com os padres normatizados atualmente.
Para contextualizar o contedo, fao uma relao com o mundo real indicando se
o problema apresentado est relacionado com a confidencialidade, integridade ou
disponibilidade. Por exemplo:
2. Fogo nas instalaes prediais: aos ter este incidente, pode acontecer
a perda dos trs princpios da segurana da informao. Principalmente
a integridade e a disponibilidade. A integridade claramente afetada,
pois, aps o incndio, a informao que estava armazenada no prdio no
estaria mais ntegra. Da mesma forma, tambm no estaria disponvel
para manuseio. Quanto confidencialidade, pode-se dizer que no,
necessariamente, foi perdida, mas uma parte importante da informao
pode no ter sido totalmente incinerado e consequentemente pessoas
no autorizadas podem ter cincia dela.
12
CONHECENDO A SEGURANA DA INFORMAO UNIDADE I
seu negcio pois, por esta porta aberta um atacante pode se apoderar
de suas informaes (quebrando a confidencialidade), pode alter-las
(quebrando a integridade) e tambm pode remov-la do ligar (quebrando
a disponibilidade).
O que aconteceria se sua empresa fosse atingida por uma chuva torrencial e
todo um pavimento dela sofresse uma enchente? Faa uma reflexo de quais
conceitos de segurana da informao seriam quebrados.
13
UNIDADE I CONHECENDO A SEGURANA DA INFORMAO
Figura 1.
Estas fases do ciclo devem ser tratadas igualmente sem prioridades nem desdenho a
nenhuma delas, pois o nvel de segurana atingido ser sempre de acordo com o menor
conseguido em uma delas. como uma corrente que tem como medida de segurana a
do elo mais fraco.
Finalmente, seguindo estes conceitos descritos nas normas vigentes como a ISO 27002,
bem como citados por autores como Marcos Smola e Emlio Nakamura, a empresa
estaria no caminho certo para manter suas informaes em segurana.
Segundo Marcos Smola (2009), temos as cinco regras, com as quais concordo:
14
CONHECENDO A SEGURANA DA INFORMAO UNIDADE I
Os sistemas de informao a cada dia aumentam seu espao nas organizaes brasileiras
e mundiais. Este fenmeno faz com que, cada vez mais, elas dependam da informao
e dos ativos que as gerencia para que o negcio continue com o bom rendimento e at
para que ele no sofra um prejuzo ou possa crescer.
Esta dependncia em crescimento uma preocupao para todos. Tanto para os donos
das empresas quanto para os profissionais da rea de tecnologia. Todos se fazem uma
pergunta: como fazer para manter minha informao segura?
Poltica de segurana
A melhor maneira para manter segura a informao, que to importante para
empresa, que exista um ajuste entre a proteo que ser dada a ela com a necessidade
de mostrar a usurios externos a mesma. Para tanto, importante o conhecimento dos
processos da empresa, dos ativos que os protegem e tambm das metodologias que
sero aplicadas para proteg-las. A proteo na medida certa conseguida por meio da
poltica de segurana que deve ser elaborada sob medida, levando em considerao
todas as peculiaridades da organizao. Mais adiante, nesta apostila, serei mais
especfico na descrio deste importante documento.
15
UNIDADE I CONHECENDO A SEGURANA DA INFORMAO
Para contextualizar o assunto, vou classificar, a partir de uma descrio, se ela uma
ameaa, vulnerabilidade e/ou risco. Na realidade, determinadas aes podem ser
isoladamente um dos conceitos ou os trs ao mesmo tempo. Vamos ento analisa-las:
16
CONHECENDO A SEGURANA DA INFORMAO UNIDADE I
Estas anlises feitas no so verdade absoluta. Acredito que se percebe que dependendo
do contexto ou tica que se analisa uma determinada ao ou item pode-se ter um
resultado diferente. Logo, o importante para o aluno se familiarizar com os conceitos de
vulnerabilidade, ameaa e incidente e trabalhar de maneira a reduzir as vulnerabilidades
existentes, para reduzir a possibilidade das ameaas conseguirem causar um incidente
ao negcio.
A partir do momento que se tem a lista de ativos importantes para a empresa, deve-se
relacionar as vulnerabilidades existentes e assim fazer a anlise de riscos.
Anlise de risco a avaliao de que incidente realmente acontea. Esta avaliao pode
ser qualitativa, quando se mensura um conceito ou valor estimado para que o incidente
ocorra (anlise mais usual de ser feita), ou quantitativa, quando calculado exatamente
o valor que seria perdido se ocorresse o incidente (esta anlise muito difcil que seja
possvel de ser feita).
17
CAPTULO 2
Classificao da informao
Existem vrias formas de classifica-la. A ISO 27002:2005 recomenda que ela seja
classificada, porm no estabelece como isto deve ser feito. Dentre os critrios existentes
posso citar: de acordo com o seu valor para a instituio, requisitos legais a serem
atingidos, sensibilidade aos objetivos, bem como requisitos da instituio e criticidade
da informao para a organizao.
Figura 2.
18
CONHECENDO A SEGURANA DA INFORMAO UNIDADE I
Figura 3.
Manuseio da informao: etapa em que ela pode ser utilizada por pessoas
autorizadas.
Inventrio de ativos
Este processo serve para identificar as informaes e o devido responsvel, ou dono,
dela. Tambm neste processo identificado o formato e tipos de mdia dela. Kosutic
(2014) exemplifica assim os formatos possveis:
Documentos eletrnicos.
19
UNIDADE I CONHECENDO A SEGURANA DA INFORMAO
Documentos em papel.
E-mail.
20
CONHECENDO A SEGURANA DA INFORMAO UNIDADE I
Por fim, para exemplificar outra tambm utilizada podemos classifica-las de acordo
com o grau de importncia para empresa, caso exista algum problema de integridade
com ela. Neste caso, podem ser divididas em:
muito importante frisar que essas formas de classificao nos d uma ideia de como
podemos separar a informao por grupos. Ela pode ser executada de vrias maneiras
e mtodos levando em considerao vrios critrios. No existe uma forma correta de
se fazer. importante que se classifique a informao de acordo com a peculiaridade da
atividade, ou at, do ramo de atuao da sua instituio ou empresa.
Rotulagem da informao
Figura 4.
21
UNIDADE I CONHECENDO A SEGURANA DA INFORMAO
Manuseio de ativos
O manuseio de ativos segundo Kosutic (2014) :
22
CAPTULO 3
Anlise de riscos; tipos de incidente;
ataques segurana da informao
Anlise de riscos
A definio de anlise de riscos, segundo a norma ISO 27001, uso sistemtico de
informaes para identificar fontes e estimar o risco.
Esta atividade muito importe como ponto de partida para criao de um Sistema de
Segurana da Informao. Ela executada, conforme a definio, para identificar locais
onde seria necessria a atuao para minimizar, reduzir, transferir ou mitigar os riscos
por meio das medidas de segurana. Ela disposta em 4 (quatro) etapas, segundo a
mesma norma:
Quando esta atividade deve ser executada? Quais os erros comuns cometidos?
Esta atividade deve ser executada sempre que houver a necessidade de implantar ou
reciclar um procedimento ou documento de segurana. Exemplos: desenvolvimento de
um novo sistema, Gesto de continuidade de um processo, Reviso de uma atividade ou
aps um incidente de segurana.
23
UNIDADE I CONHECENDO A SEGURANA DA INFORMAO
Pouca periodicidade: esta atividade deve ser executada sempre que haja
com mudanas de tecnologia ou de procedimentos executados para
empresa, bem como por um perodo compatvel com o processo.
A anlise de risco pode ser feita de forma qualitativa ou quantitativa conforme descrito
anteriormente. A anlise quantitativa, apesar de ser mais precisa, muitas vezes,
impossvel de ser executada.
Qual seria o valor perdido por uma grande empresa e-comerce (venda pela
internet) se um hacker invadisse seu banco de dados de clientes e o divulgasse?
Imagine seus dados pessoais divulgados na rede por causa disto? Voc compraria
novamente nesta empresa?
Desta forma, comum que seja executada uma anlise qualitativa indicando
conceitualmente o risco. Estimando valores, notas ou at cores a cada provvel
incidente. Por exemplo:
24
CONHECENDO A SEGURANA DA INFORMAO UNIDADE I
Quadro 1.
CONFIDENCIALIDADE
DISPONIBILIDADE
INTERGRIDADE
VULNERABILIDADE
Incidentes
A norma ISO 27001 descreve incidente como: um simples ou uma srie de eventos
de segurana da informao indesejados ou inesperados, que tenham uma grande
probabilidade de comprometer as operaes do negcio e ameaar a segurana da
informao.
Tambm importante que exista um processo especfico que o gerencie. Isto significa
que estes devem ser relacionados cronologicamente identificando causas e efeitos, bem
como os responsveis por solucion-los e que atividades foram utilizadas para tal.
Desta forma, por meio do histrico, possvel que sejam prevenidos e tambm
solucionados de forma mais rpida caso ocorram.
A norma ISO 27001 descreve no item h do tpico 4.2.2 isto: Implementar procedimentos
e outros controles capazes de permitir a pronta deteco de eventos de segurana da
informao e resposta a incidentes de segurana da informao.
25
UNIDADE I CONHECENDO A SEGURANA DA INFORMAO
Figura 5.
26
CONHECENDO A SEGURANA DA INFORMAO UNIDADE I
DOS: neste tipo de ataque, o hacker simplesmente para o servio que est
rodando no alvo e assim impossibilita usurios interessados de utiliz-lo.
O DDOS uma verso mais sofisticada que utiliza o mesmo princpio,
porm para atingir o objetivo usa vrias mquinas ao mesmo tempo
espalhadas pela rede.
Figura 6.
27
UNIDADE I CONHECENDO A SEGURANA DA INFORMAO
Figura 7.
Este ltimo tipo de software, por exemplo, uma ferramenta que est sendo utilizada
para ataque de todos os tipos de organizaes, seja ela particular ou privada. Houve at
uma reportagem em programa de televiso de uma emissora bem conceituada alertando
empresas e instituies pblicas a tomarem cuidado com este tipo de software. Em um
caso relatado, uma prefeitura teve todos os dados, em nvel de documentao e banco
de dados, criptografados e assim ficou impossibilitada de exercer suas funes. Pois
sem a senha para decriptar as informaes no poderiam ser manipuladas. Com isso
tiveram que pagar a quantia solicitada pelos sequestradores para poder utiliza-los.
28
MECANISMOS
DE GARANTIA DE UNIDADE II
SEGURANA DA
INFORMAO
CAPTULO 1
Criptografia; segurana fsica e lgica
Criptografia
A palavra criptografia tem como origem morfolgica as palavras krypts, que significa
escondido, e grphein, que em portugus escrita. uma tcnica que foi utilizada
inicialmente por comandantes de maneira que as informaes da guerra pudessem ser
enviadas por mensageiros sem que houvesse perigo de, caso fossem interceptadas,
serem lidas e interpretadas.
A chave de Csar N um exemplo deste incio. Ela consistia em trocar as letras das
palavras pela N vezes da frente seguindo a ordem do alfabeto. Assim, para N=3 teramos
a=d. Com este algoritmo se no texto claro estivesse escrito BOLA o criptografado teria
EROD. Desta maneira o texto perde totalmente o significado inicial.
Segundo Nakamura (2007, p. 301), a cincia que tem importncia fundamental para
a segurana da informao, ao servir como base para diversas tecnologias e protocolos.
29
UNIDADE II MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO
Figura 8.
Fonte: Castell
Segundo Alecrim:
A chave simtrica um tipo de chave mais simples, em que o emissor e o receptor fazem
uso da mesma chave, isto , uma nica chave usada na codificao e na decodificao
da informao.
Quando a chave conhecida pelo emissor e pelo receptor a mesma, chamada simtrica
e o algoritmo que trabalha desta maneira chamado de simtrico. Quando a chave
diferente nas extremidades, chamada de assimtrica e o algoritmo descrito da
mesma forma.
30
MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO UNIDADE II
esconder a informao para que pessoas indesejadas no tenham acesso. Apenas quem
tem a chave correta poder entender a informao.
Como exemplo, destaca-se a forma de criptografia utilizada no meio sem fio que
escolhida no ato em que se seleciona o protocolo de criptografia. O WEP utiliza a
criptografia simtrica e por este motivo mais fcil de ser quebrado. O WPA e o WPA2
utiliza a criptografia assimtrica, dificultando assim, a sua quebra.
Segurana fsica
A segurana fsica a tcnica ou o processo de restringir o acesso ao ambiente apenas
a pessoas devidamente autorizadas. Desta forma, importante segmentar a rea em
permetros designando qual o pessoal autorizado a cada um deles. Podemos listar
alguns controles utilizados:
Controles de acesso.
Controles de intruso.
CFTV.
31
UNIDADE II MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO
Figura 9.
Fonte: Smola
32
MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO UNIDADE II
Segurana lgica
A segurana lgica consiste em garantir proteo a sistema, software, dados, ou seja,
ativos e informaes de maneira que no sejam acessados de forma lgica ou remota.
Neste tipo de segurana, podem ser utilizados muitas tcnicas e dispositivos. Dentre
eles podemos destacar:
Criptografia.
Firewalls.
33
UNIDADE II MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO
34
CAPTULO 2
Mecanismos lgicos para garantia de
identidade
Assinatura digital
Como o prprio nome descreve, este tipo de tcnica serve para garantir a identidade
de uma determinada pessoa e assim que a confidencialidade no foi violada. Ela pode
ser utilizada tanto para garantir a identidade do emissor como tambm do receptor.
Podemos dividir as chaves utilizadas para esta garantia em dois grandes tipos: chave
nica e chave dupla.
Chave nica
rpido na execuo;
35
Figura 10.
Chave dupla
36
MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO UNIDADE II
Figura 11.
Emissor:
Receptor:
Certificado digital
um arquivo ou informao que contm dados de uma pessoa ou instituio. Ele pode
ser armazenado de forma digital por meio de dispositivos como pen drives ou tokens
geradores de cdigos ou at com cartes com lista de senhas. Na prtica, so utilizados
para comprovar sua identidade.
37
UNIDADE II MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO
Figura 12.
Poltica de utilizao.
Este certificado gerado por uma Autoridade Certificadora que a responsvel por
emiti-los e, tambm, autentica-los. Exemplos destas autoridades so: VeriSign, Equifax,
Saphety e a Multicert.
38
MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO UNIDADE II
Alm da Autoridade Certificadora, que pode ser interna ou terceirizada, temos a RA,
autoridade dedicada a realizar o registro dos usurios e o Servio de diretrio, que
funciona como repositrio de chaves, certificados etc.
So funes do PKI:
Registro:
Inicializao:
Certificao:
chaves podem ser geradas pelo usurio ou pelo prprio CA. Atualizaes
devem ser de acordo com a poltica e segurana e quando da ausncia
do usurio na empresa.
Certificao cruzada:
quando 2 CA se autenticam.
Revogao:
Distribuio e publicao:
39
UNIDADE II MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO
Figura 13.
40
CAPTULO 3
Mecanismos de proteo Firewals,
IDS, IPS e VPN
Firewall
um componente ou um conjunto de componentes que restringem o acesso entre uma
rede protegida e a internet, ou entre redes protegidas e a Internet como um todo, ou at
um termo ingls que em portugus significa literalmente parede de fogo e designa uma
medida de segurana implementada com o objetivo de limitar ou impedir o acesso de
terceiros a uma determinada rede ligada internet.
Para sua aquisio, ou escolha, existem vrios itens a serem levados em considerao.
Suporte tcnico: muitas vezes, esta a caracterstica que deve ser mais
criteriosa. O suporte tcnico pode dar dicas de configurao, soluo de
problemas ou at de recuperao do equipamento.
41
UNIDADE II MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO
Figura 14.
IDS/IPS
Tem como objetivo detectar atividades suspeitas, imprprias, incorretas ou anmalas
em uma rede. Ele um elemento importante dentro do arsenal de defesa de uma
organizao. Ao encontrar um destes tipos de atividades, ele pode simplesmente indicar
a ocorrncia (IDS) ou tomar uma ao, como por exemplo, interrompe-la (IPS).
42
MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO UNIDADE II
43
UNIDADE II MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO
Figura 15.
Quadro 2.
Vantagens Desvantagens
Baseado nos logs do sistema. Dificuldade de gerncia em muitos hosts.
Atividades do sistema monitoradas detalhadamente. Diferenciado para os sistemas operacionais.
Detectar Keyboard ataque. No detecta ataques na rede (smurf).
Detecta ataques criptografados. Caso invadido pode perder informaes.
Independente da topologia das redes. Perda de desempenho do host.
Poucos falso-positivos. Necessidade de espao em disco (logs).
44
MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO UNIDADE II
Quadro 3.
VANTAGENS DESVANTAGENS
Dificuldade de deteco para protocolos especficos (portas no
Monitoramento para mltiplas plataformas.
convencionais).
Ataques de rede podem ser detectados. No capaz de monitorar trfego criptografado.
Detectar ataques em tempo real. Dificuldade de utilizao em redes segmentadas.
No causa impacto no desempenho da rede. Alguns so incapazes de tratar fragmentao de pacotes.
Dificuldade de ser detectado pelo hacker. A varredura pausada no detectada.
Detecta atividades suspeitas em servios conhecidos (80, 25, 23, 5900
etc.).
Figura 16.
45
UNIDADE II MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO
IDS 5 detecta ataque a DMZ 2 que passaram pelo firewall, pela VPN ou
por algum outro servio da DMZ 1; deteco de intruses bem-sucedidas.
Na empresa que voc trabalha ou j trabalhou existe algum IDS/IPS? Onde ele
est localizado? Qual o tipo dele? Ela j sofreu algum incidente de segurana
que poderia ser prevenido por meio deste equipamento?
Uma cincia multidisciplinar que vem com um mercado crescente atualmente, devido
ao aumento no nmero de pessoas e empresas se utilizando da internet, seja como
atividade fim, ou at para aumento de desempenho, a Forense Computacional. O
objetivo dela o estudo de tcnicas para preveno, aquisio, recuperao e anlise de
dados em sistemas operacionais.
Por este motivo uma boa prtica que sejam armazenados logs de trfego, dos sistemas
utilizados, configuraes aplicadas com suas respectivas datas e tambm monitorar os
endereos lgicos utilizados em redes internas.
VPN
Este acrnimo significa Virtual Private Network, ou seja, rede privada virtual. Ele
identifica uma rede privada construda sobre a infraestrutura de uma rede pblica,
normalmente a internet. Na prtica, uma conexo em que o acesso e a troca de dados
somente permitido a usurios e/ou redes que faam parte de uma mesma comunidade
46
MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO UNIDADE II
Esta tcnica muito utilizada para conectar matriz, filiais, fornecedores, distribuidores,
parceiros de negcios, clientes e usurios mveis. Ao se conectar as redes internas de
empresas como filiais a uma matriz, VPN identificada como SitetoSite, bem como
conectar usurios remotos a rede interna de forma segura identificada como Cliente
VPN.
A Cliente VPN usa uma VPN para um omputador poder acessar a rede da matriz da
empresa por meio da Internet criando um tnel seguro entre o PC do computador a um
roteador da VPN na matriz.
Figura 17.
47
UNIDADE II MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO
O tunelamento que utilizado nas redes privadas virtuais usa protocolos que
encapsulam os dados do usurio de maneira a deixa-lo protegido tanto para perdade
de confidencialidade como tambem de integridade. Existem muitos protocolos que so
utilizados. Dentre eles podemos citar:
48
MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO UNIDADE II
Figura 18.
Figura 19.
49
SEGURANA UNIDADE III
ORGANIZACIONAL
CAPTULO 1
Estruturando a poltica de segurana
da informao
Introduo
A ISO 27002 a define:
Por a informao ser to importante, deve existir em uma organizao uma srie de
procedimentos, processos, estruturas organizacionais e polticas de maneira a nortear a
forma como proceder e agir para que seja mantida a sua integridade, confidencialidade e
disponibilidade. Tambm importante tanto medidas fsicas, tcnicas e organizacionais.
Esta informao pode estar disposta de vrias formas em uma empresa como, por
exemplo, impressa ou armazenada eletronicamente em um servidor ou dispositivo
mvel.
50
MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO UNIDADE II
Existem controles considerados pela norma como ponto de partida e prticas manter
uma segurana da informao confivel que se aplicam na maioria das empresas seja
ela pblica ou privada. So eles:
51
Gesto de vulnerabilidades tcnicas: deve ser feito auditorias internas e
externas em busca de vulnerabilidades tcnicas de maneira a minimiz-
las a nveis desejados.
Na prtica, ela serve como documento norteador para todos os outros relativos
segurana de uma empresa. Logo ela trata dos aspectos humanos, culturais, e
52
SEGURANA ORGANIZACIONAL UNIDADE III
tecnolgicos de uma empresa, seja ela pblica ou privada. Ela um documento nico,
no sentido de no existir uma poltica de segurana que possa ser aplicada em mais
de uma empresa pois cada um tem suas peculiaridades mesmo que sejam do mesmo
ramo de negcio, por exemplo, estas no teriam as mesmas estruturas fsicas, nem
vizinhana, bem como os mesmos colaboradores.
Planejamento
Segundo Nakamura (2007):
de muita importncia que a poltica seja apoiada pelos altos executivos da empresa e
tambm divulgada para todos os colaboradores. Ela tambm deve ter carter proativo
pois existem estatsticas que demonstram que muitas empresas no sabem que foram
atacadas. Inclusive a tica que, se existe uma certeza, esta que um dia sua empresa
sofrer um ataque. O planejamento deve ser feito como carter geral e mais abrangente
possvel.
O mnimo que deve ser considerado na poltica, quanto a definio dos elementos da
Poltica de Segurana, o documento que a compe no deve ser complexo, para facilitar
sua leitura, e, tambm, no deve ser excessivamente tcnico. Mas deve apresentar
regras e procedimentos bem claros e definidos, tais como:
classificao de informaes;
53
UNIDADE III SEGURANA ORGANIZACIONAL
trilhas de auditoria;
poltica de backup;
Segundo a norma ISO 27002, aps a elaborao da poltica importante haver uma
anlise crtica da mesma. Esta dividida em duas partes: controle e diretrizes para
implementao:
Controle
Elementos
Dentre os elementos que a poltica de segurana adequada deve possuir so os essenciais
para o combate a adversidades.
54
SEGURANA ORGANIZACIONAL UNIDADE III
Figura 20.
Segundo Nakamura:
55
UNIDADE III SEGURANA ORGANIZACIONAL
Esta poltica deve contemplar todos os setores da empresa, desde o estratgico, passando
pelo ttico e por fim o operacional. Para tanto, deve ser conhecido todos os processos
da organizao para que as diretrizes gerais sejam elaboradas. A partir destas diretrizes
sejam relacionadas s normas que sero seguidas por cada segmento ou grupo da
organizao e, a partir destas, os procedimentos e as instrues que cada colaborador
deve seguir.
Por fim, a tarefa de manter a segurana em um nvel desejado pela poltica no acaba
quando de sua implantao. Esta fase apenas o incio, pois, devido a evoluo do
mercado e da organizao, ela tem de estar em constante adaptao.
Poltica de segurana pode ser definida como um grupo de diretrizes que geram normas
as quais se transformam em procedimentos que norteiam as atividades e os processos
de uma organizao de forma a manter a informao da empresa com risco aceitvel.
Estas Diretrizes devem fazer para das atividades exercidas pelo grupo estratgico da
organizao. J todo o grupo ttico desta deve estar ciente das normas a serem seguidas.
E por fim, o grupo operacional deve ter em mos os procedimentos e as instrues que
tero de adotar para que a segurana seja mantida.
Desta forma, podemos dizer que a poltica, no seu contexto geral, pode ser ilustrada
pela figura 21.
56
SEGURANA ORGANIZACIONAL UNIDADE III
Figura 21.
Esta pirmide refora que todos da empresa tm de participar para que seja atingido
o nvel de segurana desejado. Isto que dizer que desde o diretor da empresa at o
faxineiro tm de estar conscientizado de como proceder para que o objetivo geral seja
atingido.
Para que estes benefcios sejam atingidos, as polticas devem ser bem debatidas por
todos da organizao por meio de palestras, reunies e brainstorms compostos por
todos que possam contribuir positivamente.
57
UNIDADE III SEGURANA ORGANIZACIONAL
Diretrizes:
Sistema de classificao.
Responsabilizao.
Perodos de reviso.
Normas:
Procedimentos e instrues:
importante dizer que a poltica de segurana no deve ser esquecida aps a sua
implantao. Como tanto o cenrio interno e tambm o externo das organizaes esto
sempre em constante mudana, ser necessrio que sejam feitos ajustes e mudanas
para que a poltica continue atingindo os seus objetivos.
58
SEGURANA ORGANIZACIONAL UNIDADE III
Maiores obstculos
Alm dos obstculos comuns existentes por qualquer documentao norteadora de
segurana, muitos outros podem surgir durante a implantao. Wood (1999) cita as
seguintes:
O que voc quer dizer com ningum sabe o que fazer depois.
1. Introduo
1.1.2. Objetivos
59
UNIDADE III SEGURANA ORGANIZACIONAL
1.2.2.4. Encarregados
1.2.1.4.1. Confidencialidade
1.2.1.4.2. Integridade
1.2.1.4.3. Autorizao
1.2.1.4.4. Acesso
2. Descrio do sistema
2.1.6.5. Software
60
SEGURANA ORGANIZACIONAL UNIDADE III
2.1.6.6. Interconexes
4.8. Passos-chave
4.8.1. Conteno
4.8.2. Erradicao
4.8.3. Recuperao
4.8.4. Acompanhamento
4.9. Responsabilidades
6. Referncias
Volto a frisar que este serve como um modelo que provavelmente no ser idntico ao
ideal a ser aplicado em sua empresa, mas pode ser um elemento norteador para auxlio
da criao de uma poltica de segurana.
61
UNIDADE III SEGURANA ORGANIZACIONAL
A poltica de segurana:
nica.
62
CAPTULO 2
Sistema de Gesto de Segurana da
Informao SGSI
Introduo
Segundo a ISO 27001:
63
UNIDADE III SEGURANA ORGANIZACIONAL
Figura 22.
O controle (check), etapa descrita por este ciclo, serviria para que as mudanas
internas e externas no aumentassem os riscos. Estes seriam avaliados constantemente
repassando as possveis novas vulnerabilidades para uma adaptao da poltica vigente.
Agora que sabemos o modelo em que foram baseadas as fases do sistema, podemos
descrev-las.
Estabelecer o SGSI
Nesta fase, deve estabelecer o escopo e os limites do SGSI de acordo com as peculiaridades
do negcio.
64
SEGURANA ORGANIZACIONAL UNIDADE III
Implementar o SGSI
Deve formular um plano de tratamento de riscos, implement-lo e medir a eficcia dos
controles estabelecidos. Este plano o cerne desta fase.
65
UNIDADE III SEGURANA ORGANIZACIONAL
Figura 23.
66
SEGURANA ORGANIZACIONAL UNIDADE III
Misso e Escopo
Os processos so as atividades que juntas fazem com que o negcio funcione. A sua
identificao basicamente tem 4 (quatro) fases.
Figura 24.
Fonte: Smola.
67
UNIDADE III SEGURANA ORGANIZACIONAL
Mapeamento de relevncia
A partir do momento que se sabe qual a relevncia de cada processo, entende-se que
se faz necessrio identificar quais conceitos seriam quebrados caso cada processo,
principalmente os mais crticos, parem.
Quadro 4.
Fonte: Smola.
68
SEGURANA ORGANIZACIONAL UNIDADE III
Quadro 5.
Confidencialidade
Disponibilidade
Autencidade
Integridade
Legalidade
Escala
1 No Considervel
2 Relevante
3 Importante
4 Crtico
5 Vital
Fonte: Semola.
O quadro 5 descreve uma tabela na qual pode ser avaliado o processo de venda de uma
empresa.
Estudos de prioridades
1. Quanto a gravidade:
Analisar se, caso algum fato atingir qualquer um dos conceitos e aspectos, provocando
a quebra da segurana, o que aconteceria ao negcio.
1. Sem gravidade.
2. Baixa gravidade.
3. Mdia gravidade.
4. Alta gravidade.
5. Altssima gravidade.
69
UNIDADE III SEGURANA ORGANIZACIONAL
Quadro 6.
Processo de Vendas
Gravidade
Escala
1 Sem gravidade
2 Baixa gravidade
3 Media gravidade
4 Alta gravidade
5 Altssima gravidade
Fonte: Smola.
1. Quanto a urgncia:
Caso ocorra algum incidente com o processo para solucionar os efeitos do ocorrido,
quanto celeridade, como reduzir os riscos no processo, a grande finalidade do plano
diretor. Nesta atividade, voc avaliaria qual a real velocidade seria necessria para
solucionar o problema. Sendo assim poderamos classificar em:
1. Sem pressa.
2. Tolerante espera.
5. Imediatamente.
70
SEGURANA ORGANIZACIONAL UNIDADE III
Quadro 7.
Processo de Vendas
Gravidade
Escala
1 Sem pressa
2 Tolerante a espera
3 O mais cedo possvel
4 Com muita urgncia
5 Imediatamente
Fonte: Smola.
Deve considerar o tempo de durao dos impactos associados segundo Smola: O que
seria do processo de aprovao de crdito de uma a financeira, se a base de dados dos
clientes permanecesse corrompida 2 dias consecutivos?.
1. Quanto a tendncia:
Consiste nos riscos se nenhuma atividade preventiva ou corretiva for aplicada qual
seria a tendncia de acontecer um incidente Neste caso poderamos classificar em um
dos 5 graus abaixo:
1. No vai agravar.
Quadro 8.
Processo de Vendas
Tndncia
Escala
1 No vai gravar
2 Vai agravar em longo prazo
3 Vai agravar em mdio prazo
4 Vai agravar em curto prazo
5 Vai agraver imediatamente
Fonte: Smola.
71
UNIDADE III SEGURANA ORGANIZACIONAL
Por fim, ento, Smola prope que aps a identificao da pontuao, a partir da
multiplicao entre os fatores e os valores encontrados, chegamos a um resultado que
qualifica a importncia do processo. Pode-se, ento, ilustra-lo por meio de cores, por
exemplo:
1. 1-42 (VERDE).
2. 43 83 (AMARELO).
3. 84 125 (VERMELHO).
Neste caso, a cor verde classifica os processos menos crticos e a vermelha os processos
mais crticos.
Estudo de permetros
Neste estudo, voc vai identificar caso a base de dados de clientes seja corrompida
no ser possvel que o processo de identificar devedores da empresa, por exemplo.
Logo este processo depende diretamente do referido banco de dados o qual muito
importante.
Estudo de atividades
72
NORMAS E UNIDADE IV
PADRES
CAPTULO 1
ISO 27001 e 27002
Introduo
As normas ISO 27001 e 27002 praticamente se completam. Uma define os requisitos
para um bom sistema de segurana da informao e a outra identifica controles para
implementao deste sistema. Elas devem ser utilizadas pela empresa juntas com a
implementao dos controles da 27002 para conceber um SGSI ideal para empresa.
73
UNIDADE III SEGURANA ORGANIZACIONAL
Figura 25.
ISO 27001
Formalmente conhecida como ISO 27001:2005, esta norma relaciona os itens genricos
requisitados para um Sistema de Gesto de Segurana da Informao. Contm neles
requisitos de polticas e procedimentos com abordagem tcnica, fsica e organizacional.
Ela possui uma certificao que pode ser obtida por empresas.
1. Introduo.
2. Objetivo.
3. Referncia normativa.
4. Termos e definies.
6. Responsabilidade da direo.
9. Melhoria do SGSI.
74
1. Definio da poltica de segurana.
Estes documentos devem ser protegidos de acordo com o nvel de sigilo indicado de
maneira que apenas pessoal autorizado tenha acesso.
Por fim, por meio de softwares ou visitas programadas, importante que sejam
feitas auditorias, que podem ser internas ou externas, programadas e de surpresa,
supervisionadas pela Direo para comprovao de que todos os colaboradores esto
comprometidos com o Sistema.
Voc acha importante uma empresa obter a certificao ISO 27001? Quais
seriam as vantagens disso? Agora que voc conhece um pouco sobre a norma,
faria diferena se voc soubesse que a empresa que mantm relacionamento
possui esta certificao?
75
UNIDADE IV NORMAS E PADRES
A leitura da norma da norma ISO 27001 completa importante para todos que
pretendem ser profissionais em segurana de TI.
Figura 26.
Fonte: <http://image.slidesharecdn.com/gestodeseguranadainformaoparaconcursos-questescespe01-140701212720-
phpapp01/95/gesto-de-segurana-da-informao-para-concursos-questes-cespe-01-11-638.jpg?cb=1404250115>. Acesso em:
2/9/2016.
ISO 27002
Esta norma contm os controles que devem ser utilizados para implementao dos
conceitos descritos na norma ISO 27001 e deve ser utilizada como conjunto completo
de controles para segurana da informao. Ela possui uma certificao que pode ser
obtida por profissionais. Originalmente nomeada como ISO/IEC 1779, foi publicada em
2000 e atualizada em 2013, quando houve uma alterao no nmero de tpicos de sua
estrutura.
1. Introduo.
2. Objetivo.
3. Normas referenciadas.
76
NORMAS E PADRES UNIDADE IV
4. Termos e definies.
8. Controles de acesso.
11. Criptografia.
19. Conformidade.
A ordem dos tpicos no est de acordo com grau de importncia. Nem significa que
todos eles so obrigatrios. Cabe ao responsvel pela segurana em conjunto com a
Direo da empresa detectar quais os itens mais importantes e quais podem no ser
levados em considerao.
importante ter um objetivo de controle que define o que se deseja alcanar, bem
como um ou mais controles que devem ser aplicados para que estes objetivos sejam
alcanados.
A figura 27 descreve hierarquicamente o que deve ser cumprido, segundo esta norma.
Figura 27.
A leitura da norma da norma ISO 27002 completa importante para todos que
pretendem ser profissionais em segurana de TI.
78
NORMAS E PADRES UNIDADE IV
CAPTULO 2
Demais normas e padres
Cobit
O acrnimo COBIT significa, em ingls, Control Objectives for Information and
Related Technology, ou seja, Objetos de Controle para Informao e Tecnologia. Este
modelo utilizado para governana de TI. Ele contm prticas e tcnicas de controle e
gerenciamento de ativos. Estes podem ser categorizados em:
Para que haja um controle de todos os tipos, o diretor deve nomear um responsvel por
cada um deles. Esta responsabilidade requer habilidade pessoal e treinamento para
79
UNIDADE IV NORMAS E PADRES
tal. Por exemplo, na parte financeira, a maioria das empresas tem um ordenador de
despesas que gerencia pagamentos e despesas.
Figura 28.
Objetivos do
Negcio
Governana de TI
COBIT
Informao
Recursos de TI
Pessoas
Entrega e Sistemas de Aquisio e
Informao
Suporte Tecnologia Implementao
Infraestrutura
Dados
ISO/IEC 15408
Esta norma tem como objetivo definir os processos de desenvolvimento, manuteno e
anlise de sistemas informatizados, contedo funcional de segurana a serem avaliados
em uma avaliao de segurana.
80
NORMAS E PADRES UNIDADE IV
81
UNIDADE IV NORMAS E PADRES
Como se pode verificar pela abrangncia dos tpicos, esta norma contm tudo sobre
os processos e procedimentos de segurana aplicveis em uma empresa, de forma a
atingir um nvel de segurana aceitvel.
ITIL
O acrnimo ITIL IT Infrastructure Library, ou seja, em traduo livre significa
Biblioteca de Infraestrutura de Tecnologia da Informao, foi desenvolvido pela
Agncia Central de Computadores e Telecomunicaes como um conjunto de cdigos
abrangentes e inter-relacionados de melhores prticas para gerenciamento de servios
de TI.
Figura 29.
82
NORMAS E PADRES UNIDADE IV
A adoo das boas prticas propostas pela ITIL visa atingir todos os objetivos descritos
acima. Ela descreve prticas que permitem s empresas, seja ela pblica ou privada,
entregar benefcios, retorno ao investimento e sucesso sustentado.
1. Para o negcio:
83
UNIDADE IV NORMAS E PADRES
3. Para o profissional:
Fortalecimento profissional.
Existe uma norma ou framework que seja mais importante para ser seguido?
Caso voc precisasse implementar todas elas em sua empresa voc iniciaria com
qual delas?
84
CAPTULO 3
tica na computao
Introduo
A tica a cincia importante em todos os seguimentos da sociedade. Ela se confunde
com a palavra moral em portugus.
Segundo Meucci:
muito normal que estes dois termos sejam identificado como o mesmo significado,
porm, apesar de se relacionarem, isto no verdade. na realidade um modo de ser,
ou seja, como agir em uma determinada situao da vida. Logo, ela uma postura
pessoal que pressupe a liberdade de escolha. A moral na realidade fruto dos padres
que a sociedade impe, ou seja, regras determinadas pela prpria sociedade.
A moral baseada nos conceitos pessoais, poca e o lugar em que est sendo aplicada,
ou seja, o que moral para uma pessoa pode no ser para outra. Uma coisa moral no
Brasil pode no ser moral nos Estados Unidos, bem como o que o moral hoje poderia
no ser moral no sculo passado.
85
UNIDADE IV NORMAS E PADRES
J Santos escreveu:
A tica quem define se cada uma das morais valida no ambiente em que
atuam, determina se so boas fontes de aconselhamento na hora de fazer um
escolha do tipo copiar ou no copiar? e verifica se no est havendo alguma
influncia poltica ou social de alguma organizao ou grupo no estabelecimento
destes conceitos. Num futuro prximo, talvez as opinies sejam outras e fatores
tecnolgicos, jurdicos, etc. podem mudar o ponto de vista tico da situao.
Por ser uma questo cultural, importante estudarmos a tica na computao e por
isso que este tpico descrito a seguir.
Figura 30.
TICA MORAL
Princpios ticos Cdigo de conduta
86
tica na computao
Como existe uma grande evoluo na utilizao de tecnologia da informao nos
negcios atuais, mesmo que ela no seja a atividade fim dele, houve um crescimento na
preocupao com a tica neste segmento.
Existe um cdigo de conduta profissional para quem trabalha com tecnologia que
foi desenvolvido pela Association for Computing Machinery, que uma sociedade
composta de pessoas que trabalham e ensinam na rea. O referido cdigo se aplica a
tcnicos usurios e gerentes que trabalham com tecnologias e tambm para os que no
se consideram profissionais.
Segundo Mansur:
87
UNIDADE IV NORMAS E PADRES
Ramos cita que o instituto de tica na computao criou os dez mandamentos para tica
na informtica. Segue abaixo estes mandamentos:
88
NORMAS E PADRES UNIDADE IV
David descreveu um pequeno cdigo de conduta para a rea de informtica que poderia
ser aplicado com pessoas e setores da sociedade. O transcrevo a seguir:
Para com a sociedade em geral, zelando pelo bem estar de todas as pessoas sem
qualquer discriminao, visando construir ou manter uma sociedade livre,
justa e solidria.
Para com os clientes, se estes forem leigos como no caso dos empregadores,
quando o profissional um prestador de servios ou consultor.
Por fim, importante entender que, em qualquer profisso, ou at ao, se deve ter
tica.
89
Referncias
BEZERRA, Felipe. Ciclo PDCA conceito e aplicao (Guia geral). Disponvel em: em:
<http://www.portal-administracao.com/2014/08/ciclo-pdca-conceito-e-aplicacao.
html>. Acessado em: 22/7/2016.
CUNHA, Carolina. tica e moral: qual a diferena? Disponvel em: <em http://
vestibular.uol.com.br/resumo-das-disciplinas/atualidades/etica-e-moral-qual-e-a-
diferenca.htm>. Acessado em: 21/8/2016.
90
REFERNCIAS
LIRA, Adriano. 5 dicas para estabelecer misso, viso e valores na sua empresa.
Disponvel em: <http://revistapegn.globo.com/Primeiro-Ano/noticia/2015/08/5-
dicas-para-estabelecer-missao-visao-e-valores-na-sua-empresa.html>. Acesso em:
30/8/2016.
91
REFERNCIAS
WOOD, Charles Cresson. Infosecurity Magazine. Policies: The path to Less Pain.
More Gain. August 1999.
92