UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO … EDUARDO RANGEL.pdf · POLÍTICA DE SEGURANÇA DA...
44
UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO SENSU” PROJETO A VEZ DO MESTRE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO, IMPORTANTE INSTRUMENTO DA GESTÃO CORPORATIVA Por: Paulo Eduardo Rangel Orientador Prof. Vilson Sérgio de Carvalho Rio de Janeiro, Março 2005
Transcript of UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO … EDUARDO RANGEL.pdf · POLÍTICA DE SEGURANÇA DA...
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
PROJETO A VEZ DO MESTRE
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO,
IMPORTANTE INSTRUMENTO DA
GESTÃO CORPORATIVA
Por: Paulo Eduardo Rangel
Orientador
Prof. Vilson Sérgio de Carvalho
Rio de Janeiro,
Março 2005
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
PROJETO A VEZ DO MESTRE
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO,
IMPORTANTE INSTRUMENTO DA
GESTÃO CORPORATIVA
Apresentação de monografia à Universidade
Candido Mendes como condição prévia para a
conclusão do Curso de Pós-Graduação “Lato
Sensu” em Finanças e Gestão Corporativa.
Por: Paulo Eduardo Rangel
AGRADECIMENTOS
Aos professores César Lima, Ana
Cláudia, Fernando Spreafico e Pedro
Paulo com os quais tive a honra de
conviver e aprender nas disciplinas
da Pós-Graduação, ao Professor
Vilson Sérgio de Carvalho por sua
paciente e eficiente orientação ao
trabalho, e especialmente à empresa
Cobra Tecnologia, que me acolheu
há 26 anos, pela confiança, incentivo
e oportunidade de aprimoramento
profissional.
DEDICATÓRIA
A minha esposa Irene Ribeiro ,
pelo apoio, compreensão, amor e
incentivo incondicional,
A minha mãe Maria Gomes ,
pelas orações e eterna dedicação, e
Ao meu pai,
Professor Darcy Rangel,
pelo exemplo de vida, pela orientação e
por ser a fonte de toda minha
motivação,
Dedico
iv
RESUMO
O tema abordado neste trabalho é denominado Segurança da
Informação e objetiva a conscientização da importância de sua eficaz
implantação nas empresas e instituições, na elaboração de um planejamento
de segurança eficaz para, assim, protegê-las de maiores riscos, uma vez
que a informação é um bem de valor intangível. Apresenta recursos e
medidas relacionadas à proteção da informação e os riscos relativos às
vulnerabilidades. Ressalta a importância de estratégias na identificação das
necessidades adequadas à segurança da informação. Cita as causas de
ameaças à segurança na integridade das informações e meios de
prevenção. Aborda os controles adotados na prevenção de incidentes,
definindo soluções para minimizar os riscos de segurança. Revela os
elementos necessários nos processos confidenciais, mediante atuação
efetiva de todos as pessoas, evitando, assim, falhas que possam afetar o
bom funcionamento da empresa ou instituição.
v
METODOLOGIA
A metodologia utilizada para conclusão deste trabalho foram
pesquisas a bibliografias e conceitos encontrados em livros, artigos e
Internet, correlacionados diretamente a assuntos sobre o tema proposto,
onde, através da análise destas informações, visamos propiciar uma visão
analítica de como estruturar uma Política de Segurança de Informação
adequada a uma gestão corporativa moderna.
Ressaltamos crédito especial a 9ª Pesquisa Nacional de Segurança
da Informação realizada pela empresa Módulo Security Solutions S.A. e a
Norma NBR ISO/IEC 17799 (Código de prática para a gestão da segurança
da informação) da Associação Brasileira de Normas Técnicas.
vi
SUMÁRIO INTRODUÇÃO.......................................................................................................... 7
CAPÍTULO I - SEGURANÇA DA INFORMAÇÃO........................................... 10
CAPÍTULO II - POLÍTICA DE SEGURANÇA E NORMA ISO 17799 .......... 20
CAPÍTULO III - PESQUISA DE SEGURANÇA DA INFORMAÇÃO ............ 26
ANÁLISES E CONCLUSÕES ............................................................................... 38
BIBLIOGRAFIA CONSULTADA ........................................................................ 41
ÍNDICE..................................................................................................................... 42
FOLHA DE AVALIAÇÃO..................................................................................... 43
7
INTRODUÇÃO
A utilização maciça de recursos de processamento e armazenamento
de informações em grandes computadores nas mais diversas áreas de
atividades humanas e nos mais variados tipos de negócios e aplicações
tornou aguda a dependência em relação ao tipo de recurso utilizado.
Porém, mais importante que o aspecto de indisponibilidade dos
equipamentos é a perda, indisponibilidade ou violação das informações que
guardam. É comum aparecerem nos veículos de comunicação notícias
relacionadas com crimes e fraudes cometidos com o uso de recursos
computacionais, e vale a pena lembrar que é apenas uma pequena parte do
que realmente ocorre, pois as empresa preferem preservar sua imagem.
Esses crimes quando são descobertos já causaram prejuízos em
graus variados, dependendo do ativo fraudado e da natureza do negócio.
Hoje a soma anual dos valores fraudados pode chegar à casa dos bilhões de
dólares no mundo todo.
No Brasil, o assunto passou a representar uma preocupação maior
após a publicação do relatório da Comissão Especial de Proteção de dados,
Comissão 21, da extinta SEI e a formação de uma comissão na ABNT,
denominada Comissão Técnica de Segurança em Informática, destinada a
regulamentar a segurança de instalações de informática no final dos anos
80.
Tem aumentado a conscientização entre empresários e profissionais
da área quanto ao grau de dependência e da vulnerabilidade em relação ao
acervo de informações, ainda que em grau muito baixo. Isso tende a
agravar-se à medida que tanto as atividades administrativas dos negócios
como as atividades de controle de processos em indústrias tornam-se mais
dependentes de recursos de informática. Em alguns casos, a dependência
chega a ser total.
8
A exemplo de outros países, a legislação deve prever e regulamentar
a responsabilidade dos administradores nas empresas, relacionada com a
preservação da segurança e integridade de informações, não importando o
meio de registro que as contenha. Ainda que não se deva chegar ao exagero
de tratar a segurança de informações como um segredo militar ou
diplomático, também não se deve deixar que a segurança fique dependente
principalmente do fato de a maioria das pessoas ignorar a importância de
informações que diariamente lhes passam pelas mãos. Mais cedo ou mais
tarde, aparece alguém que, além de conhecer os meios técnicos para se
apossar das informações, também sabe como obter lucro com elas.
Por todo o exposto, estabelecer uma eficiente política de Segurança
da Informação é tão importante quanto investir no crescimento operacional
da corporação, proporcionando a empresa nível de confiabilidade que
permita proteção aos diversos tipos de ataque que porventura possa vir a
sofrer.
Muitas são as técnicas e ferramentas para se obter acesso indevido à
informação, esteja ela em formato eletrônico, em papel etc. É preciso saber
que de nada adiantará um alto nível de segurança no correio eletrônico, por
exemplo, se o mesmo for posteriormente impresso, transportado,
armazenado e até mesmo descartado sem o mesmo nível de segurança.
A partir da especificação, configuração e implantação de controles
físicos, tecnológicos e humanos preocupados com o manuseio,
armazenamento, transporte e descarte das informações, consegue-se
reduzir e administrar os riscos. Segurança é adotar controles que visem
administrar os riscos, fazendo-os tender a zero. Por mais que tenha
especificado os melhores controles para reduzir e administrar os riscos de
quebra da confidencialidade, integridade e disponibilidade das informações,
nunca estará totalmente seguro.
O objetivo do processo de Segurança de Informações em uma
organização é alcançar a disponibilidade, confidencialidade, integridade,
9
legalidade e auditabilidade da informação. A segurança das informações é
difícil, talvez até mesmo impossível, porém existe a necessidade da proteção
da informação, fator primordial para própria sobrevivência da empresa,
reduzindo assim, os impactos e os riscos de incidentes de segurança.
É necessário ter uma boa Política de Segurança, composta de regras
claras, praticáveis e sintonizadas com a cultura do ambiente tecnológico da
empresa. Deve não apenas proteger as informações confidenciais, mas
também motivar as pessoas que as manuseiam, mediante a conscientização
e envolvimento de todos.
Para termos uma visão adequada de todos este pontos importantes, o
trabalho foi estruturado da seguinte forma:
No capítulo I, apresentamos a segurança de informação com os seus
principais conceitos, sua real necessidade, avaliação dos riscos, controles
necessários e fatores de sucesso para sua implantação.
No capítulo II abordamos aspectos relativos à importância de
implantação de uma eficiente política de segurança e sua conformidade com
a norma ISO/IEC 17799:2001.
No capítulo III, apresentamos importantes dados sobre segurança de
informação, obtidos através da 9ª Pesquisa Nacional de Segurança da
Informação, realizada pela empresa Módulo Security em outubro de 2003.
Concluímos o trabalho, tendo a convicção de ter demonstrado, que a
Segurança da informação deve ser a mobilização de interesses comuns,
coletivos e difusos em prol da defesa e fortalecimento do patrimônio
intangível – a informação - um dos bens mais valiosos de qualquer
organização.
10
CAPÍTULO I
SEGURANÇA DA INFORMAÇÃO Informação é aquilo que sintetiza a natureza de tudo
o que existe ou ocorre no mundo físico
(Carlos Caruso – Junho 1999).
11
SEGURANÇA DA INFORMAÇÃO
1.1 – Conceitos de segurança da informação
A informação é um ativo, entre outros ativos de extrema importância
nos negócios. A informação deve ser protegida de maneira que não ocorra a
possibilidade de acessos não autorizados, alterações indevidas ou sua
indisponibilidade.
A segurança da informação deve ser implantada em todas as áreas
da organização, pois são encontradas em diversos meios como: impresso ou
escrito em papel, armazenado eletronicamente, enviado pelo correio ou
através de meios eletrônicos.
A segurança da informação, conforme mostrado na figura 1, tem
como objetivo a preservação de três princípios básicos pelos quais se
norteia a implementação desta prática:
Confiabilidade – Toda informação deve ser protegida de acordo com o grau de sigilo de seu conteúdo, visando à limitação de seu acesso e uso apenas às pessoas para quem elas são destinadas. Integridade – Toda a Informação deve ser mantida na mesma condição em que foi disponibilizada pelo seu proprietário, visando protegê-las contra alterações indevidas, intencionais ou acidentais. Disponibilidade – Toda a informação gerada ou adquirida por um individuo ou instituição deve estar disponível aos seus usuários no momento em que os mesmos delas necessitem para qualquer finalidade. (SÊMOLA, 2003, p.45).
12
Figura 1: Conceitos Básicos da Segurança da Informação Informação Conjunto de dados utilizados para a transferência de uma mensagem entre indivíduos e/ou máquinas em processos comunicativos (isto é, baseados em troca de mensagens) ou transacionais (isto é, processos em que sejam realizadas operações que envolvam, por exemplo, a transferência de valores monetários). A informação pode estar presente ou ser manipulada por inúmeros elementos deste processo, chamados ativos, os quais são alvos de proteção da segurança da informação. Ativo Todo elemento que compõe os processos, incluindo o próprio processo, que manipulam e processam a informação, a contar a própria informação, o meio em que ela é armazenada, os equipamentos em que ela é manuseada, transportada e descartada. O termo “ativo” possui esta denominação, oriunda da área financeira, por ser considerado em elemento de valor para o individuo ou organização, e que, por esse motivo, necessita de proteção adequada. Existem muitas formas de dividir e agrupar os ativos para facilitar seu tratamento, um deles é: equipamentos, aplicações, usuários, ambientes, informações e processos. Desta forma, torna-se possível identificar melhor as fronteiras de cada grupo, tratando-os com especificidade e aumentando qualitativamente as atividades de segurança.(SÊMOLA, 2003, p. 45 e 46).
13
1.2 – Por que é necessária a segurança da informação A informação e os processos de apoio, sistemas e redes são
importantes ativos e também, estratégicos para os negócios. Confiabilidade,
integridade e disponibilidade, são características chave para a segurança da
informação, é através dessas características que é possível preservar a
competitividade, o faturamento, a lucratividade, o atendimento aos requisitos
legais e a imagem da organização no mercado.
As organizações estão extremamente preocupadas com a segurança
nos sistemas de informação e redes de computadores, esses tipos de
ameaças à segurança podem acarretar em enormes prejuízos aos negócios,
são utilizadas variedades de fontes como, fraudes eletrônicas, espionagem,
sabotagem, entre outras. É necessário garantir a confiabilidade e segurança
de suas transações e combater os ataques causados por vírus, hackers, e
ataques de “denial of service1”, que estão se tornando cada vez mais
comuns, mais ambiciosos e incrivelmente mais sofisticados.
A dependência nos sistemas de informação e serviços significa que as organizações estão cada vez mais vulneráveis às ameaças de segurança. A interconexão de redes públicas e privadas e o compartilhamento de recursos de informação aumentam a dificuldade de se controlar o acesso. A tendência da computação distribuída dificulta a implementação de um controle de acesso centralizado realmente eficiente.(ISO/IEC 17799, 2001, p. 2).
Muitos sistemas de informação não foram projetados para garantir a
segurança, pelo motivo que esses sistemas foram desenvolvidos em uma
época em que não existia a interconexão das redes de computadores. A
segurança que pode ser alcançada por meios técnicos é limitada e convém
1 Denial of Service: ou DoS é uma técnica que consiste em dificultar ou impedir o bom funcionamento de um serviço de Internet, através de um grande volume de requisições de serviço para esse servidor.
14
que seja apoiada por uma gestão e procedimentos apropriados. É
necessário escolher controles que permitam a implantação da segurança,
mas para que os resultados sejam alcançados é necessária à participação
de todos os funcionários da organização, e possivelmente a participação dos
fornecedores, clientes e acionistas.
Os controles de segurança da informação são consideravelmente
mais baratos e mais eficientes se forem incorporados nos estágios do
projeto e da especificação dos requisitos.
1.3 – Como estabelecer os requisitos de segurança
Toda organização para obter segurança de suas informações deve
estabelecer requisitos, conforme a norma ISO/IEC 17799, pode ser dividido
em três fontes principais:
A primeira fonte é derivada da avaliação de risco dos ativos da organização. Através da avaliação de risco são identificadas as ameaças aos ativos, as vulnerabilidades e sua probabilidade de ocorrência é avaliada, bem como o impacto potencial é estimado. A segunda fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros, contratados e prestadores de serviço têm que atender. A terceira fonte são as particularidades da organização, objetivos e requisitos para o processamento da informação que uma organização tem que se desenvolver para apoiar suas operações.(ISO/IEC 17799, 2001, p. 2).
1.4 – Avaliando os riscos de segurança
Os requisitos de segurança são identificados através de uma
avaliação sistemática dos riscos de segurança. Os gastos com os
controles necessitam ser balanceado de acordo com os danos
causados aos negócios gerados pelas potenciais falhas de
segurança. As técnicas de avaliação de riscos podem ser aplicadas
em toda a organização ou apenas em parte dela, assim como em
15
um sistema de informações individuais, componentes de um
sistema especifico ou serviços, quando for viável, prático e útil.
(ISO/IEC 17799, 2001, p. 2).
Na visão holística do risco é conceitual considerar os planos e
identificar os desafios e as características especificas do negócio são os
primeiros passos para modelar uma solução de segurança adequada.
Sendo assim, risco é a probabilidade de ameaças explorarem
vulnerabilidades, provocando perdas de confiabilidade, integridade e
disponibilidade, causando possivelmente, impactos para a organização.
Com os resultados obtidos na avaliação de risco é possível direcionar
e determinar as ações gerenciais e prioridades mais adequadas para um
gerenciamento de riscos da segurança da informação e a selecionar os
controles a serem implementados para a proteção contra estes riscos.
É necessário realizar análises críticas periódicas dos riscos de
segurança e dos controles implementados para:
a) considerar as mudanças nos requisitos de negócios e suas prioridades;
b) considerar novas ameaças e vulnerabilidades;
c) confirmar que os controles permanecem eficientes e adequados.
É de grande importância que as análises críticas sejam executadas
em diferentes níveis de profundidade, dependendo dos resultados obtidos
nas avaliações de riscos e das mudanças nos níveis de riscos é verificado
se é aceitável para o negócio.
A seqüência correta para a verificação das vulnerabilidades, deve ser
primeiro a avaliação de riscos em um nível mais geral, como uma forma de
priorizar recursos em áreas de alto risco, e então em um nível mais
detalhado, para solucionar riscos específicos.
16
1.5 – Controles para garantir a segurança da informação
Uma vez tendo sido identificado os requisitos de segurança, convêm
que os controles sejam selecionados e implementados para assegurar que
os riscos sejam reduzidos a um nível aceitável. Comumente esta atividade
faz parte de uma orientação obtida pela análise de riscos ou por sugestões
de normas específicas de segurança, como a ISO17799, o CobiT2, o
Technical Report 13335 ou, ainda, normas específicas como a de
cabeamento estruturado EIA/TIA586A.
O universo de controles aplicáveis é enorme, pois estamos falando de
mecanismos destinados à segurança física, tecnológica e humana. Se
pensarmos no “peopleware”, ou seja, no capital humano como um dos elos
mais críticos e relevantes para a redução dos riscos, temos alguns controles
como: Seminários de sensibilização, Cursos de capacitação, Campanhas de
divulgação da política de segurança, Crachás de identificação,
Procedimentos específicos para demissão e admissão de funcionários,
Termo de responsabilidade, Termo de confiabilidade, Softwares de auditoria
de acessos, Softwares de monitoramento e filtragem de conteúdo etc...
Muitos controles humanos citados interferem direta ou indiretamente
no ambiente físico, mas este deve receber a implementação de um outro
conjunto de mecanismos voltados a controlar o acesso e as condições de
ambientes físicos, sinalizando registrando, impedindo e autorizando acessos
e estados, dentre os quais podem ser utilizados: Roletas de controle de
acesso físico, Climatizadores de ambiente, Detectores de fumaça,
Acionadores de água para combater o incêndio, Extintores de incêndio,
Cabeamento estruturado, Salas-cofre, Dispositivos biométricos, Smartcards,
Certificados Digitais de Token, Circuitos internos de televisão, Alarmes e
sirenes, Dispositivos de proteção física de equipamentos, Nobreaks,
2 CobiT (Control Objectives for Information and related Tecnhology), modelo utilizado para verificar a governança de Tecnologia da Informação em uma organização.
17
Dispositivos de armazenamento de mídia magnética, Fragmentadores de
papel, Etc.
Assim como ocorre com os controles físicos e humanos, a lista dos
dispositivos aplicáveis aos ativos tecnológicos é extensa; afinal, além da
diversidade e heterogeneidade de tecnologias, ainda temos que considerar a
velocidade criativa do setor que nos apresenta uma nova ferramenta ou
equipamento praticamente a cada dia.Os instrumentos aplicáveis aos ativos
tecnológicos podem ser divididos em três famílias.
Autenticação e autorização
Destinados a suprir os processos de identificação de pessoas,
equipamentos, sistemas e agentes em geral, os mecanismos de
autenticação mostram-se fundamentais para os atuais padrões de
informação, automação e compartilhamento de informações. Sem identificar
a origem de um acesso e seu agente, torna-se praticamente inviável realizar
autorizações condizentes com os direitos de acesso, podendo levar a
empresa a compartilhar informações valiosas sem controle.
Combate a ataques e invasões
Destinados a suprir a infra-estrutura tecnológica com os dispositivos
de software e hardware de proteção, controle de acesso e conseqüente
combate a ataques e invasões, esta família de mecanismos tem papel
importante no modelo de gestão de segurança, à medida que as conexões
eletrônicas e tentativas de acesso indevido crescem exponencialmente.
Privacidade das comunicações
É inevitável falar de criptografia quando o assunto é privacidade das
comunicações. A criptografia é uma ciência que estuda os princípios, meios
18
e métodos para proteger a confiabilidade das informações através da
codificação ou processo de cifração e que permite a restauração da
informação original através do processo de decifração.Largamente aplicada
na comunicação de dados, esta ciência utiliza algoritmos matemáticos e da
criptoanálise, para conferir maior ou menor proteção de acordo com a sua
complexidade e estrutura de desenvolvimento. Quando vemos software de
criptografia de mensagem ou, por exemplo, aplicações que adotam
criptografia, estamos diante de situações em que a ciência foi empregada e
materializada em forma de programas de computador.
1.6 – Ponto de partida para a segurança da informação
Um número de controles pode ser considerado como princípios
básicos, fornecendo um bom ponto de partida para a implementação da
segurança da informação. São baseados tanto em requisitos legais como
nas melhores práticas de segurança da informação normalmente usadas.
Os controles considerados essenciais para uma organização, sob o
ponto de vista legal, incluem:
a) proteção de dados e privacidade de informações pessoais;
b) salvaguarda de registros organizacionais;
c) direitos de propriedade intelectual.
Os controles considerados como melhores práticas para a segurança
da informação incluem:
a) documento da política de segurança da informação;
b) definição das responsabilidades na segurança da informação;
c) educação e treinamento em segurança da informação;
d) relatório dos incidentes de segurança;
e) gestão da continuidade do negócio.
19
Estes controles se aplicam para a maioria dos ambientes
corporativos, seguindo a Norma ISO/IEC 17799, percebemos que somente é
possível utilizar esses controles, se determinarmos anteriormente a seleção
dos controles (item 5), onde coletando as informações através da avaliação
de riscos, é possível verificar as vulnerabilidades e
garantir sua correção.
1.7 – Fatores críticos de sucesso para a implementação
A experiência tem mostrado que os seguintes fatores são geralmente
críticos para o sucesso da implementação da segurança da informação
dentro de uma organização:
a) política de segurança, objetivos e atividades, que reflitam os
objetivos do negócio;
b) um enfoque para a implementação da segurança que seja
consistente com a cultura organizacional;
c) comprometimento e apoio visível da direção;
d) um bom entendimento dos requisitos de segurança, avaliação de
risco e gerenciamento de risco;
e) divulgação eficiente da segurança para todos os gestores e
funcionários;
f) distribuição das diretrizes sobre as normas e política de segurança
da informação para todos os funcionários e fornecedores;
g) proporcionar educação e treinamento adequados;
h) um abrangente e balanceado sistema de medição, que é usado
para avaliar o desempenho da gestão de segurança da informação e
obtenção de sugestões para a melhoria.
20
CAPÍTULO II
POLÍTICA DE SEGURANÇA E NORMA ISO 17799 A ISO 17799 estabelece uma base comum para o
desenvolvimento de normas de segurança
organizacional e das práticas efetivas
da gestão da segurança.
(Alberto Bastos – Janeiro 2002).
21
POLÍTICA DE SEGURANÇA E NORMA ISO 17799 2.1 – Histórico A evolução tecnológica proporciona para as organizações maiores
negócios com seus clientes, fornecedores e colaboradores, onde a
conectividade tem um papel fundamental para alcançar o sucesso.
Com o crescimento do sistema de informações colaborativas, é cada
vez mais crucial manter essas informações seguras e suas fontes confiáveis.
Mas para que essas informações sejam armazenadas e transmitidas de uma
maneira segura, é preciso que sejam estabelecidos controles que garantam
a qualidade e integridade da informação.
Por esse motivo várias organizações começaram a se preocupar com
a segurança da informação, mas não possuíam nenhum tipo de metodologia
e controles que atendessem suas necessidades, pelo motivo de que cada
organização trabalha de uma maneira e suas prioridades entre os níveis de
segurança podem variar de uma organização para a outra.
Com isso a International Organization for Standardization (ISO), onde
seu objetivo é criar normas e padrões universalmente aceitos, criou a Norma
ISO 17799, sendo no Brasil controlada pela Associação Brasileira de Norma
Técnicas (ABNT), como NBR ISO/IEC 17799, que tem como nome
Tecnologia da Informação – Código de prática para a gestão da segurança
da informação, onde proporciona para as organizações os controles
necessários para a segurança da informação.
2.2 – A NBR ISO/IEC 17799 A NBR (Norma Brasileira) ISO/IEC 17799 - Tecnologia da Informação
– Código de prática para a gestão da segurança da informação, é originada
da Norma Britânica BS7799 Parte 13, desenvolvida pela British Standards
3 É a primeira parte da norma, já homologada. Contém uma introdução, definição de extensão e condições principais de uso da norma. Disponibiliza 148 controles divididos em dez partes distintas. É planejado como um documento de referência para implementar "boas práticas" de segurança na empresa.
22
Institute (BSI), com inicio em 1995, e depois padronizada pela International
Organization for Standardization (ISO) em 2000, como ISO/IEC 17799.
Esta norma tem como objetivo fornecer recomendações para a gestão
da segurança da informação para uso dos departamentos responsáveis pela
introdução, implementação ou manutenção da segurança em suas
organizações. Proporcionando uma base comum para o desenvolvimento
das normas de segurança organizacional e das práticas efetivas de gestão
da segurança, e prover confiança nos relacionamentos entre as
organizações. É importante observar que essas recomendações descritas na
norma estejam de acordo com a legislação e regulamentação vigente.
A NBR ISO/IEC 17799, abrange ao todo 10 domínios, reunidos em 36
grupos que se totalizam em 127 controles, sendo seus domínios, a Política
de Segurança, a Segurança Organizacional, a Classificação e Controle dos
Ativos de Informação, a Segurança de Pessoas, a Segurança Física e do
Ambiente, o Gerenciamento das Operações e Comunicações, o Controle de
Acesso, o Desenvolvimento e Manutenção de Sistemas, a Gestão da
Continuidade do Negócio e a Conformidade.
2.3 – Framework e controles de segurança da Norma BS7799 O Framework e os controles de segurança da informação estão
descritos na parte 2 da Norma Britânica BS77994, onde estabelece o
Sistema de Gestão de Segurança da Informação (SGSI), que somados ao
conjunto de controles sugeridos na parte 1 da norma, torna possível a
certificação.
As empresas podem conduzir as ações de segurança sob a orientação de uma base comum proposta pela norma, além de se prepararem indiretamente para o reconhecimento de conformidade
4 A segunda parte da norma, ainda não homologada, cujo objetivo é proporcionar uma base para gerenciar a segurança da informação dos sistemas das empresas.
23
aferido por órgãos credenciados. A certificação da segurança, similar aos reflexos obtidos pela conquista da certificação de qualidade ISO9000, promove melhorias nas relações business-to- business e business-to-consumer, além de adicionar valor à empresa por representar um diferencial competitivo e uma demonstração pública do compromisso com a segurança das informações de seus clientes. As seis fases principais para que se possa alcançar a certificação, se iniciam na: - Definição das diretrizes da política de segurança - Definição do SGSI – Sistema de Gestão de Segurança da Informação - Execução de análise de riscos - Definição de uma estrutura para gerenciamento de risco - Seleção dos objetos de controles e os controles aplicáveis - Preparação da declaração de aplicabilidade dos controles.(SÊMOLA, 2003, p.141).
2.4 – Política de segurança da informação O objetivo da política de segurança da informação é prover à direção
uma orientação e apoio para a segurança da informação. A política de
segurança representa a formalização das ações que devem ser realizadas
para garantir a segurança corporativa. A criação, implementação e
manutenção de uma política de segurança consistem em esforço,
participação e colaboração de todas áreas da empresa. A política de
segurança deve seguir controles internacionais, de modo a facilitar a
auditoria e permitindo que a empresa esteja de acordo com os órgãos que
regem o controle de qualidade.
Segundo a NBR ISO/IEC 17799 (2001, p. 4) “Convém que a direção
estabeleça uma política clara e demonstre apoio e comprometimento com a
segurança da informação através da emissão e manutenção de uma política
de segurança da informação para toda a organização”.
Para que seja possível a implantação da política é necessário que a
alta direção tenha aprovado, comunicado e publicado, de maneira adequada
para os funcionários. É necessário que a alta direção esteja sempre
preocupada com o processo e estabeleça as linhas mestras para a gestão
24
da segurança da informação. Onde devem ser estabelecidas no mínimo as
seguintes orientações:
a) Definição de segurança da informação, resumo das metas e
escopo e a importância da segurança como um mecanismo que habilita o
compartilhamento da informação;
b) Declaração do comprometimento da alta direção, apoiando as
metas e princípios da segurança da informação;
c) Breve explanação das políticas, princípios, padrões, e requisitos de
conformidade de importância específica para a organização, por exemplo:
1) Conformidade com a legislação e cláusulas contratuais;
2) Requisitos na educação de segurança;
3) Prevenção e detecção de vírus e software maliciosos;
4) Gestão da continuidade no negócio;
5) Conseqüências das violações na política de segurança da
informação;
d) Definição das responsabilidades gerais e específicas na gestão da
segurança da informação, incluindo o registro dos incidentes de segurança;
e) Referencias à documentação que possam apoiar a política, por
exemplo, políticas e procedimentos de segurança mais detalhados de
sistemas de informação específicos ou regras de segurança que convém
que os usuários sigam. (ISO/IEC 17799, 2001, p. 4).
Apesar de a maioria dos executivos das Empresas estarem
conscientes da necessidade da criação e cumprimento de uma Política de
Segurança da Informação, faz-se necessário um esforço grande para que as
Unidades de Segurança possam lançar mão dos recursos necessários para
esta criação e manutenção. Portanto, cumpre identificar as soluções
existentes voltadas a esta necessidade.
25
Uma política de segurança é um conjunto de regras e práticas que
regulam como uma organização gerencia, protege e distribui suas
informações e recursos.
A política de segurança deve incluir regras detalhadas, definindo
como as informações e os recursos da organização devem ser manipulados.
Deve definir, também, o que é e o que não é permitido em termos de
segurança, durante a operação de um dado sistema.
Existem dois tipos de políticas:
Política baseada em regras: as regras deste tipo de política utilizam
os rótulos dos recursos e processos para determinar o tipo de acesso que
pode ser efetuado. No caso de uma rede de computadores, os dispositivos
que implementam os canais de comunicação, quando é permitido transmitir
dados nesses canais, etc.
Política baseada em segurança: o objetivo deste tipo de política é
permitir a implementação de um esquema de controle de acesso que
possibilite especificar o que cada indivíduo pode ler, modificar ou usar para
desempenhar suas funções na organização.
26
CAPÍTULO III
PESQUISA DE SEGURANÇA DA INFORMAÇÃO
Um dos mais importantes resultados desta pesquisa é o que
trata da adequação das equipes de segurança das
empresas com legislação, regulamentação
e normas.
(Fernando Nery – Outubro 2003).
27
PESQUISA DE SEGURANÇA DA INFORMAÇÃO
3.1 – Introdução
A empresa Módulo Security apresentou em outubro de 2003 a 9ª
edição da Pesquisa Nacional de Segurança da Informação. Este estudo, é
considerado um dos importantes norteadores do segmento no Brasil, e
apresentou um panorama das principais tendências do mercado nacional,
indicadores e melhores práticas.
Os resultados reforçaram a importância de capacitação e
conscientização como pontos fundamentais para proteção das informações
corporativas.
3.2 – Metodologia
A coleta de dados contou com respostas presenciais e on–line. A
pesquisa quantitativa teve uma amostra de 682 questionários, coletados
entre março e agosto de 2003, junto a profissionais ligados às áreas de
tecnologia e segurança da Informação.
3.3 – Perfil da empresas pesquisadas
28
3.4 – Adequação a legislações, normas e regulamentações
29
3.5 – Principais ameaças à segurança da informação
3.6 – Incidência de ataques e invasões
3.7 – Perdas financeiras por ataques ou invasões
30
3.8 – Principais responsáveis por ataques e invasões
3.9 – Principais pontos de invasão
3.10 – Existência de plano de ação para invasões e ataques
31
3.11 – Principais obstáculos para implementação da segurança
3.12 – Existência de política de segurança
3.13 – Campanha interna de divulgação da política de segurança
32
3.14 – Existência de plano de continuidade de negócios
3.15 – Top 10 medidas de segurança já implementadas
3.16 – Responsáveis pela segurança da informação nas empresas
33
3.17 – Número de profissionais dedicados à segurança
3.18 – Interação no dia-a-dia com a segurança da informação
3.19 – Forma de acesso remoto
34
3.20 – Principais aplicações para Internet
3.21 – Tendência dos investimentos em segurança
3.22 – Orçamento de TI destinado à segurança da informação
35
3.23 – Previsão de top 10 medidas para próximo ano
3.24 – Resumo dos principais destaques da pesquisa
Ü Para 78% dos entrevistados, as ameaças, os riscos e os ataques
deverão aumentar em 2004/2005.
Ü 42% das empresas tiveram problemas com a Segurança da
Informação nos seis meses anteriores à pesquisa.
Ü 35% das empresas reconhecem que tiveram perdas financeiras.
Já o percentual de empresas que não conseguiram quantificar
essas perdas diminuiu de 72%, em 2002, para 65%, em 2003.
Ü Vírus (66%), funcionários insatisfeitos (53%), divulgação de
senhas (51%), acessos indevidos (49%) e vazamento de
informações (47%) foram apontados como as cinco principais
ameaças à segurança das informações nas empresas.
Ü O percentual de empresas que afirmam ter sofrido ataques e
invasões subiu de 43%, em 2002, para 77%, em 2003.
36
Ü 32% dos entrevistados apontam os hackers como os principais
responsáveis por ataques e invasões de sistemas corporativos.
Ü 26% das empresas não conseguem sequer identificar os
responsáveis pelos ataques.
Ü 48% não possuem nenhum plano de ação formalizado em caso de
invasões e ataques.
Ü 60% indicam a internet como principal ponto de invasão em seus
sistemas.
Ü 58% dos entrevistados sentem-se inseguros para comprar em
sites de comércio eletrônico por causa da sensação de falta de
segurança.
Ü A falta de consciência dos executivos é apontada por 23% dos
entrevistados como o principal obstáculo para implementação da
segurança.
Ü 63,5% dos entrevistados adotam a ISO 17799 como a principal
norma que norteia suas empresas.
Ü Política de Segurança formalizada já é realidade em 68% das
organizações.
Ü Apenas 21% das empresas afirmaram possuir um Plano de
Continuidade de Negócios (PCN) atualizado e testado.
Ü 60% das empresas fazem Planejamento de Segurança, sendo que
27% possuem Planejamento para até 1 ano.
37
Ü A área de Tecnologia (49,5%) continua sendo a principal
responsável pelo gerenciamento da Segurança da Informação nas
empresas, seguida pela área específica, Security Office, com
25,5%.
Ü Pelo terceiro ano consecutivo, antivírus (90%), sistemas de backup
(76,5%) e firewall (75,5%) foram apontados como as três medidas
de segurança mais implementadas nas empresas.
Ü 60% afirmam que os investimentos de suas empresas em
Segurança para 2004 vão aumentar.
Ü Em relação ao ano anterior, a pesquisa de 2003 apresenta uma
novidade: 29% dos entrevistados apontaram as fraudes por e-mail
como uma das principais ameaças. Para se ter uma idéia, esse
tipo de ameaça foi um dos incidentes mais registrados pelos
principais grupos de resposta a incidentes de segurança do país
nos últimos meses.
38
ANÁLISES E CONCLUSÕES
Na elaboração desse trabalho constatou-se que a Segurança de
Informações é o elemento chave dentro da organização: envolve aspectos
técnicos, humanos e organizacionais, sendo fundamental a definição e
existência de uma Política para efetiva proteção das informações. O objetivo
da segurança da informação é proteger a empresa contra riscos, apoiada em
um Plano de Cultura de Segurança e uma estrutura de Planejamento de
Segurança, onde se podem identificar as vulnerabilidades e ações pró-ativas
para a proteção das informações.
A pesquisa evidenciou que, na era do conhecimento, a informação é
considerada um dos principais patrimônios de grande parte das
organizações, devendo ser tratada como tal, e protegida nos seus aspectos
de disponibilidade, integridade, confidencialidade e autenticidade. Segurança
é responsabilidade e dever de todos e, como tal, deve ser de conhecimento
de cada profissional da empresa o cumprimento e conscientização de
medidas de proteção dos recursos da informação, pois se trata de questão
de alta prioridade.
A Segurança da Informação tornou-se fator prioritário na tomada de
decisões e nos investimentos das organizações no país. Essa afirmação é
uma das principais conclusões apontadas pelos índices obtidos pela 9ª
Pesquisa Nacional de Segurança da Informação.
Esses dados ficam evidentes quando observamos que 73% das
empresas destinam orçamento específico para área de TI e que, deste total,
28,5% alocam mais de 5% para área de Segurança. Além disso, 60% dos
entrevistados acreditam que os investimentos de suas empresas para 2004
/2005 vão aumentar.
39
A pesquisa traz ainda importantes avanços relacionados com os três
principais aspectos dentro de um projeto de Segurança: Tecnologia
(recursos físicos e lógicos), Pessoas (cultura, capacitação e
conscientização) e Processos (metodologia, normas e procedimentos).
Em termos de Tecnologia, constata-se a consolidação das soluções
técnicas e pontuais (antivírus e firewall, por exemplo) como as principais
medidas de segurança implementadas. Além disso, os profissionais
apontaram como satisfatória a oferta dessas ferramentas e soluções no
mercado.
Em relação a Processos, é preciso ressaltar que as novas exigências
legais (como o Novo Código Civil, a regulamentação Sarbanes e Oxley,
Publicações do Conselho Federal de Medicina, entre outros) tornaram a
Segurança da Informação prioridade entre os requisitos de negócios de
executivos e empresas.
Ainda nessa área, a 9ª Pesquisa revela o fortalecimento da NBR
ISO/IEC 17799 como a principal norma para implementação da Gestão em
Segurança da Informação, complementando outras normas, legislações e
regulamentações que já vinham sendo utilizadas pelas organizações.
Se analisarmos as principais ameaças (vírus, divulgação de senhas e
vazamento de informações) e obstáculos para implementação da Segurança
da Informação (falta de consciência de executivos e usuários) apontados
neste ano, verifica-se a necessidade de um contínuo investimento em
programas de formação, capacitação e conscientização.
O fator positivo é que as organizações já enxergam a necessidade de
reverter esse cenário: Política de Segurança e Capacitação Técnica estão
entre as cinco principais medidas de Segurança a serem implementadas em
2004/2005.
40
Percebe-se que a tarefa de implementação das principais práticas de
segurança da informação na corporação não é uma tarefa fácil, mesmo
quando se trata de uma empresa de pequeno porte. Envolve fatores
objetivos e subjetivos que, ao se somarem, representam um caso
diferenciado, impossível de ser traduzido em uma fórmula. Todavia, o ato de
uma conscientização ampla da necessidade da adoção das práticas de
segurança já é um grande passo tomado pela organização.
Sempre lembrando que o melhor caminho não é a implantação
compulsória, e sim a disseminação da cultura entre cada um dos ambientes
da empresa. Afinal, nem todos os colaboradores e funcionários entendem a
necessidade de mecanismos de controle e de gerenciamento da segurança
da informação.
Esse foi o objetivo principal deste trabalho: demonstrar que a
Segurança da informação deve ser a mobilização de interesses comuns,
coletivos e difusos em prol da defesa e fortalecimento do patrimônio
intangível – a informação -, um dos bens mais valiosos de qualquer
organização.
41
BIBLIOGRAFIA CONSULTADA
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBRISO/IEC17799:
Tecnologia da informação - Código de prática para a gestão da
segurança da informação. Rio de Janeiro, 2001. 56p.
COLTRO, RENATA. Segurança: prioridade coorporativa. Computerworld,
São Paulo, p. 26, 13 mar 2002.
MÓDULO SECURITY SOLUTIONS S/A. 9ª PESQUISA nacional sobre
segurança da informação. 2003. Disponível em:
<http://www.modulo.com.br>. Acesso em: 13 fev. 2005.
MOREIRA, STRINGASCI NILTON. Segurança mínima: uma visão
coorporativa da segurança de informações. Rio de Janeiro: Axcel Books,
2001. 240p.
CARUSO, CARLOS A.A.; STEFFEN, FLÁVIO DENY. Segurança em
informática e de informações. São Paulo: SENAC, 1999. 366p.
SÊMOLA, MARCOS. Gestão da segurança da informação: uma visão
executiva. Rio de Janeiro: Campus, 2003. 160p.
GIL, ANTÔNIO DE LOUREIRO. Auditoria de computadores. São Paulo:
Atlas, 2000. 236p.
SILVA JÚNIOR, JOSÉ BARBOSA . Auditoria em ambiente de Internet. São
Paulo : Atlas, 2001. 178p.
DE SORDI, J.O. Tecnologia da Informação Aplicada aos Negócios. 1.
Ed. São Paulo: Atlas, 2003. 185p.
42
ÍNDICE
INTRODUÇÃO.......................................................................................................... 7
CAPÍTULO I - SEGURANÇA DA INFORMAÇÃO........................................... 10
1.1 – Conceitos de segurança da informação..................................................... 11 1.2 – Por que é necessária a segurança da informação..................................... 13 1.3 – Como estabelecer os requisitos de segurança........................................... 14 1.4 – Avaliando os riscos de segurança .............................................................. 14 1.5 – Controles para garantir a segurança da informação .............................. 16 1.6 – Ponto de partida para a segurança da informação.................................. 18 1.7 – Fatores críticos de sucesso para a implementação................................... 19
CAPÍTULO II - POLÍTICA DE SEGURANÇA E NORMA ISO 17799 .......... 20
2.1 – Histórico....................................................................................................... 21 2.2 – A NBR ISO/IEC 17799 ............................................................................... 21 2.3 – Framework e controles de segurança da Norma BS7799 ....................... 22 2.4 – Política de segurança da informação ........................................................ 23
CAPÍTULO III - PESQUISA DE SEGURANÇA DA INFORMAÇÃO ............ 26
3.1 – Introdução ................................................................................................... 27 3.2 – Metodologia ................................................................................................. 27 3.3 – Perfil da empresas pesquisadas ................................................................ 27 3.4 – Adequação a legislações, normas e regulamentações .............................. 28 3.5 – Principais ameaças à segurança da informação....................................... 29 3.6 – Incidência de ataques e invasões................................................................ 29 3.7 – Perdas financeiras por ataques ou invasões ............................................. 29 3.8 – Principais responsáveis por ataques e invasões ....................................... 30 3.9 – Principais pontos de invasão ...................................................................... 30 3.10 – Existência de plano de ação para invasões e ataques ............................ 30 3.11 – Principais obstáculos para implementação da segurança..................... 31 3.12 – Existência de política de segurança ......................................................... 31 3.13 – Campanha interna de divulgação da política de segurança ................. 31 3.14 – Existência de plano de continuidade de negócios................................... 32 3.15 – Top 10 medidas de segurança já implementadas................................... 32 3.16 – Responsáveis pela segurança da informação nas empresas.................. 32 3.17 – Número de profissionais dedicados à segurança.................................... 33 3.18 – Interação no dia-a-dia com a segurança da informação ....................... 33 3.19 – Forma de acesso remoto ........................................................................... 33 3.20 – Principais aplicações para Internet......................................................... 34 3.21 – Tendência dos investimentos em segurança ........................................... 34 3.22 – Orçamento de TI destinado à segurança da informação ...................... 34 3.23 – Previsão de top 10 medidas para próximo ano ...................................... 35 3.24 – Resumo dos principais destaques da pesquisa ....................................... 35
ANÁLISES E CONCLUSÕES ............................................................................... 38
BIBLIOGRAFIA CONSULTADA ........................................................................ 41
ÍNDICE..................................................................................................................... 42
FOLHA DE AVALIAÇÃO..................................................................................... 43
43
FOLHA DE AVALIAÇÃO
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
PROJETO A VEZ DO MESTRE
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO,
IMPORTANTE INSTRUMENTO DA
GESTÃO CORPORATIVA
Por : Paulo Eduardo Rangel
Data da entrega: 31 / 03 / 2005
Avaliado por: Conceito:
Avaliado por: Conceito:
Avaliado por: Conceito:
Conceito Final:
