2. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
2
Entendendoeimplementandoa
NormaABNTNBRISO/IEC17799:2005
Apostila desenvolvida pelo Instituto Online em parceria com a
Microsoft Informática
http://www.instonline.com.br/
Revisão 1.0 – março de 2006
COORDENADORES TÉCNICOS
Arthur Roberto dos Santos Júnior
Fernando Sergio Santos Fonseca
Paulo Eustáquio Soares Coelho
3. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
3
COMO USAR ESSE MATERIAL
Este é um material de apoio para o curso “Entendendo e implementando a ABNT NBR
ISO/IEC 17799:2005” ministrado pela Academia de Segurança Microsoft. Durante o
curso serão apresentados vários Webcasts com o conteúdo deste material
acompanhado de slides e voz para ilustrar os conceitos e práticas. A cópia desses
slides está em destaque na apostila, seguida de textos com informações que serão
abordadas pelo instrutor nos respectivos Webcasts.
LABORATÓRIO :TÍTULOAQUI
Os laboratórios de cada módulo do curso são identificados dessa forma e
seu roteiro está especificado sob o título.
VÍDEO
Indica que será apresentado um filme para ilustrar as práticas ou conceitos.
4. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
4
ÍNDICE
APRESENTAÇÃO...............................................................................................................................6
1 – INTRODUÇÃO: EVOLUÇÃO E CONCEITOS ......................................................................................7
Objetivos.........................................................................................................................8
Informação: bem que se deve proteger..........................................................................9
Evolução da segurança da Informação ........................................................................11
O Problema clássico de segurança da informação ......................................................16
O que é uma norma?....................................................................................................18
2 – AS PRINCIPAIS NORMAS DE SEGURANÇA DA INFORMAÇÃO ......................................................... 20
Objetivos.......................................................................................................................21
ITIL – Information Technology Infraestructure Library..................................................22
CobiT – Control Objectives for Information and Related Technology...........................24
BS 15000 / ISO 20000– Normas de gestão de serviços ..............................................26
BS 7799 - British Standard 7799...............................................................................29
ISO/IEC FDIS 17799:2005(E) – Information technology – Security techniiques - Code of
practice for information security management ABNT NBR 17799:2005 – Tecnologia da
informação – técnicas de segurança – Código de prática para a gestão da segurança da
informação....................................................................................................................31
Comparação entre as principais normas......................................................................34
Sistema de Gestão de Segurança da Informação – SGSI...........................................35
Ferramentas para gerenciamento de TI – (MOF – MSF – BSC).................................37
3 - INTRODUÇÃO À ABNT NBR/ISO/IEC 17799:2005.................................................................. 41
Objetivos.......................................................................................................................42
conceitos básicos de Segurança da Informação..........................................................43
Objetivos da Segurança da Informação .......................................................................45
Como implantar um sistema de sergurança da informação? .......................................47
5. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
5
4 – ANÁLISE/AVALIAÇÃO E TRATAMENTO DE RISCOS ...................................................................... 50
Objetivo ........................................................................................................................51
Analisando/avaliando os riscos de segurança da informação......................................52
Tratando os riscos de segurança da informação .........................................................56
5 – POLÍTICA DE SEGURANÇA DA INFORMAÇÃO .............................................................................. 60
Objetivo ........................................................................................................................61
O que é uma política de serurança da informação.......................................................62
Criando uma política de segurança da informação ......................................................63
Conteúdo do documento formal da política de segurança da informação ..................73
6 – ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO ...................................................................... 76
Objetivo ........................................................................................................................77
Estruturação da segurança da informação: Gestão de autorização de novos recursos78
Estruturação da segurança da informação: Acordos de confidencialidade e sigilo para
acessos de funcionários, parte externa e cliente..........................................................80
NORMAS TÉCNICAS ....................................................................................................................... 83
REFERÊNCIAS BIBLIOGRÁFICAS ..................................................................................................... 84
6. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
6
APRESENTAÇÃO
Os desafios para a implantação de um ambiente de segurança em qualquer empresa,
independente do tamanho, são enormes. O maior problema é implementar as políticas
e normas de segurança em um sistema real, que possui aplicações em funcionamento,
hardware em produção, softwares proprietários e de terceiros e, acima de tudo,
pessoas. É literalmente como trocar o pneu com o carro andando.
Como a maior parte das informações vitais para o sucesso de uma organização reside
em computadores, perdas de dados podem ser catastróficas. Os riscos de um negócio
com sistema de segurança da informação inadequado são incalculáveis. Segurança da
informação é manter a confidencialidade, integridade e disponibilidade da informação.
Ela abrange muito mais do que a segurança da informação de TI. Ela cobre a
segurança de toda e qualquer informação da empresa, esteja ela em meios
eletrônicos, papel ou até mesmo na mente dos funcionários.
Motivados pela busca de soluções para esses desafios, diversos profissionais de
várias áreas e organizações, vêem se esforçando para criar normas que sistematizem
o trabalho de criar ambientes seguros de TI. Um desses resultados foi consolidado
com a norma ABNT NBR ISO/IEC 17799:2005. Utilizando-se essa norma, que é um
guia de melhores práticas, simplifica-se o trabalho de adoção e implementação de
políticas e padrões definidos, bem como da posterior verificação da conformidade dos
resultados alcançados.
O objetivo deste curso é entender as características de alguns padrões de segurança
e, em especial, fazer um estudo dos códigos de prática para gestão da segurança da
informação contidos na norma ABNT NBR ISO/IEC 17799:2005, proporcionando um
entendimento de como implementar, manter e melhorar a gestão da segurança da
informação nas empresas.
Ao final deste curso você estará apto a:
Entender os padrões empregados para a gestão da segurança da informação;
Entender a evolução destes padrões;
Descrever os controles contidos na norma ABNT NBR ISO/IEC 17799:2005;
Conceituar cada controle da norma;
Através de um estudo de caso, implementar a norma em uma empresa.
7. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
7
1 – INTRODUÇÃO: EVOLUÇÃO E CONCEITOS
NESTE CAPÍTULO SERÃO APRESENTADOS UMA BREVE EVOLUÇÃO DAS NORMAS DE
SEGURANÇA E OS PRINCIPAIS CONCEITOS DE SEGURANÇA DA INFORMAÇÃO.
Módulo
2
Capítulo
1
8. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
8
OBJETIVOS
Segurança é um termo que transmite conforto e tranqüilidade a quem desfruta de seu
estado. Entender e implementar este “estado” em um ambiente empresarial exigem
conhecimento e práticas especializadas que somente são possíveis com o emprego e
uso de um código de práticas de segurança, contidos em uma norma, como a ABNT
NBR ISO/IEC 17799:2005.
Neste capítulo veremos alguns conceitos fundamentais para a compreensão das
metodologias de implantação de segurança da informação, iniciando com um breve
histórico sobre a evolução das normas de segurança da informação. Ao final do
capítulo conheceremos as principais normas aplicáveis para se obter um ambiente
seguro e eficiente para a informação.
Ao final deste capítulo você estará apto a entender:
O que é informação;
A evolução da segurança da informação;
As primeiras práticas de segurança;
O problema clássico de segurança da informação;
O que é uma norma.
9. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
9
INFORMAÇÃO: BEM QUE SE DEVE PROTEGER
O objetivo deste estudo é obter um ambiente seguro para a informação. Mas o que é
informação?
Segundo o dicionário Aurélio [1
], informação é o conjunto de dados acerca de alguém
de ou de algo. Estendendo esse conceito, podemos dizer que a informação é a
interpretação desses dados. De nada vale um conjunto de dados sem que se faça a
interpretação dos mesmos para se extrair um conhecimento útil.
As organizações necessitam da informação para tomar decisões objetivando seus fins
(o sucesso). Isto mostra o quão poderosa é a informação. Sem ela não há estratégias,
não há mudanças ou até mesmo não existiria a empresa. Uma conseqüência natural
da importância da informação é a extrema vulnerabilidade a que a empresa se expõe
caso haja perda de dados vitais, como plantas de projetos, planilhas de custos,
documentos contábeis, financeiros, etc. Quanto maior for a organização maior será sua
dependência da informação.
A informação pode estar armazenada de várias formas: impressa em papel, em meios
digitais (discos, fitas, CDs, DVDs, disquetes), na mente das pessoas, em imagens
armazenadas em fotografias e filmes. Quando lidamos com segurança da informação,
é necessário pensar em sua confidencialidade, integridade e disponibilidade em
qualquer um desses meios, utilizando todos os recursos disponíveis, e não somente os
tecnológicos.
Devemos tratar a informação como um ativo da empresa com a mesma importância
que qualquer outro bem palpável. Por isso, deve ser protegida contra roubo, problemas
ambientais, vandalismo, dano acidental ou provocado.
10. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
10
Quanto mais interconectada for uma empresa, maior será a complexidade dos
sistemas por onde trafegam e são armazenadas as informações e, conseqüentemente
maior será a preocupação com o nível de segurança a ser implantado a fim de garantir
a confidencialidade, confiabilidade, disponibilidade e integridade da informação que ela
detém.
A disciplina de segurança da informação trata do conjunto de controles e processos
que visam preservar os dados trafegam ou são armazenados em qualquer meio.
As modernas tecnologias de transporte, armazenamento e manipulação dos dados,
trouxeram enorme agilidade para as empresas, mas ao mesmo tempo trouxeram
também novos riscos. Ataques de crackers (black hat hackers), de engenharia social,
vírus, worms, negação de serviço, espionagem eletrônica são noticiadas pela impressa
todos os dias. Diante deste cenário, a segurança da informação torna-se imprescindível
para as organizações, sejam elas do setor público ou privado.
11. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
11
EVOLUÇÃO DASEGURANÇADAINFORMAÇÃO
Desde a pré-história, cerca de 20000 anos antes de Cristo (AC), o homem já sentia
necessidade de transmitir e perpetuar a informação. Usava pinturas nas pedras para
expressar seu cotidiano. Em 3500 AC, registrou-se o primeiro sistema de linguagem
escrita na Suméria. A partir daí várias civilizações desenvolveram seus próprios
métodos de registro e transmissão da informação, dentre eles podemos destacar:
os hieróglifos e o papiro no antigo Egito, em 3000 AC;
o ábaco dos babilônios, 1800 AC;
os primitivos livros chineses de bambu ou madeira presos por cordas datados de
1300 anos AC;
o processo chinês de fabricação de papel, de 105 DC alcançando Bagdá em
753 DC;
a fotografia de 1826;
o telégrafo eletromagnético de Samuel Morse, em 1837;
as primeiras transmissões de rádio em broadcast em 1917;
o primeiro computador digital em 1943.
12. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
12
Todo este processo milenar nos levou até as modernas tecnologias de transmissão e
armazenamento digital de dados no século 20 [
2
].
Todos aqueles métodos de armazenamento padeciam de um problema: como
preservar essas informações para que fossem acessadas após sua geração? No ano
600 da era cristã o rei Ashurbanipal em Nineveh organizou a primeira biblioteca, cujo
acervo sobrevive até os dias atuais com cerca de 20000 placas. É um exemplo
clássico da necessidade da transmissão da informação armazenada.
Desde o início, o desafio era conter as diversas ameaças à informação, algumas das
quais enfrentamos até hoje: incêndios, saques, catástrofes naturais, deterioração do
meio de armazenamento.
À medida que a sociedade evoluía, a preocupação com a segurança das informações
aumentava, principalmente no quesito confidencialidade. Foram criados vários
processos de cifragem da informação, que tinham a função de alterar o conteúdo das
mensagens antes de seu envio. Ao capturar uma mensagem o inimigo obtinha apenas
um texto cifrado e não a mensagem original. Isso permitiu que segredos e estratégias
fossem trocados de forma segura entre aliados. Por exemplo, a cifragem de César foi
usada para troca de informações entre os exércitos durante o império romano; a
máquina de cifrar “Enigma” foi utilizada como uma grande arma de guerra pelos
alemães durante o período da segunda grande guerra. Atualmente a criptografia e a
esteganografia continuam sendo largamente utilizadas em diversas aplicações de
transferência e armazenamento de dados.
O surgimento dos computadores e de sua interconexão através de redes
mundialmente distribuídas permitiu maior capacidade de processamento e de
distribuição das informações. Com essa capacidade de comunicação, surgiu também a
necessidade da criação de mecanismos que evitassem o acesso e a alteração
indevida das informações. Como resultado surgiram várias propostas e publicações de
normas de segurança em todo o mundo.
13. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
13
Conforme Chappman [3
], o ano de 1967, foi o ano em que a segurança de
computadores passou a ter atenção oficial nos Estados Unidos. Nesta época foi criada
uma força tarefa cujo foco era a construção de mecanismos de segurança de
computadores que deveriam ser desenvolvidos para prover a proteção de informações
classificadas e do compartilhamento de recursos do sistema; este esforço resultou em
um documento denominado Security Controls for Computer Systems: Report of
Defense Science Boad Task Force on Computer Security editado por W. H. Ware [
4
].
Este relatório representou o trabalho inicial de identificação e tratamento do problema
clássico de segurança de computadores.
Em 1978, o Departamento de Defesa dos Estados Unidos, publicou um conjunto de
regras para avaliação da segurança das soluções disponibilizadas. Ficou conhecido
como “The Orange Book”. Em 1978, teve início o processo de escrita do Orange Book,
denominado DoD 5200.28-STD, que foi concluído em 15 de agosto 1983, com o
documento CSC-STD-001-83 - Library No. S225,711 - DEPARTMENT OF DEFENSE
TRUSTED COMPUTER SYSTEM EVALUATION CRITERIA (TCSEC) [5
].
Paralelamente foi publicado o documento An Introduction to Computer Security: The
NIST Handbook [
6
], proposto pelo National Institute of Standards and Technology -
U.S. Department of Commerce.
Para facilitar sua aplicação, as normas de segurança foram divididas em vários
controles. Cada controle seria responsável por atender a um dos quesitos da norma. O
uso de controles permite uma visão modular da questão da segurança e a aplicação
contextualizada das normas às organizações.
À medida que as organizações cresciam, as redes de computadores e os problemas
de segurança também cresciam. Não demorou muito para ficar claro que proteger
somente os sistemas operacionais, as redes e as informações que trafegavam por elas
não era o suficiente. Com isto, foram criados comitês com o objetivo de desenvolver
mecanismos mais eficientes e globais de proteção à informação. Desses pode-se
destacar o Comercial Computer Security Centre, criado pelo governo britânico e que
publicaria mais tarde a norma BS-7799.
A BS-7799 foi a primeira norma homologada a apresentar soluções para o tratamento
da informação de uma maneira mais ampla. Segundo esta norma, todo tipo de
informação deve ser protegido, independentemente da sua forma de armazenamento,
seja analógica ou digital, e de seu valor para a organização. No ano de 2000, houve a
homologação da primeira parte da BS-7799 pela ISO. Esta homologação originou a
Norma Internacional de Segurança da Informação - ISO/IEC 17799, sendo composta
por 10 macros controles, cada qual subdividido em controles específicos.
Em abril de 2001, a versão brasileira da norma ISO foi disponibilizada para consulta
pública. Em setembro do mesmo ano a ABNT homologou a versão brasileira que
passou a ser denominada NBR ISO/IEC 17799:2000. A Norma trouxe mais do que
14. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
14
vários controles de segurança. Ela permitiu a criação de um mecanismo de certificação
das organizações, através da BS 7799-2 e posteriormente através da ISO 27001.
Em 30 de setembro de 2005, passou a ter validade a segunda edição atualizada da
norma brasileira. Foi publicada sob o número ABNT NBR ISO/IEC 17799:2005, que é
equivalente à norma ISO/IEC 17799:2005, entrando em vigor a partir de novembro de
2005.
Uma família de normas está atualmente em desenvolvimento e adotará um esquema
de numeração usando uma série de números 27000 em seqüência. Incluem normas
sobre requisitos de sistemas de gestão da segurança da informação, gestão de riscos,
métricas e medidas, e diretrizes para implementação, tais como [7
]:
ISO 27000 - Contém vocabulário e definições utilizados nas normas da série ISO
27000. Em desenvolvimento, tem sua publicação prevista para 2008 e deve absorver a
ISO Guide 73 - Risk Management Vocabulary.
ISO 27001 - publicada em outubro de 2005, substitui a BS7799-2, tornando-se a
norma para certificação da segurança da informação. Nesta norma são organizados os
requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar
o SGSI (Sistema de Gestão da Segurança da Informação, ou ISMS, Information
Security Management System da sigla em inglês).
ISO 27002 - organiza os controles de segurança da informação, reunindo as melhores
práticas para a segurança da informação realizada mundialmente. Trata-se na
realidade da ISO 17799:2005.
ISO 27003 – Não oficialmente trajar-se-á de um guia de implementação.
ISO 27004 - Information Security Management Metrics and Measurement, voltada
para a medição da efetividade da implementação do SGSI e dos controles de
segurança da informação implementados. Encontra-se em desenvolvimento e a sua
publicação deverá ocorrer em 2007.
ISO 27005 - Novo padrão para gerenciamento de riscos, deverá substituir a BS7799-3
em 2007. Reunirá diretriz e orientação para a identificação, avaliação, tratamento e
gestão suportada dos riscos sobre os recursos do escopo compreendidos no SGSI.
ISO 27006 - Este documento tem o título provisório de "Guidelines for information and
communications technology disaster recovery services", baseada na SS507, padrão de
Singapura para continuidade do negócio e recuperação de desastres. Ainda sem
previsão para publicação.
15. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
15
Diversas iniciativas de organizações governamentais já aplicam normas específicas
internas baseadas em normas internacionais e nacionais. No Brasil a política de
segurança da Informação nos órgãos e nas entidades da administração pública federal
é regulamentada através do Decreto Presidencial No
3.505, de 13 de junho de 2.000.
Esse decreto enfatiza em seu artigo 3
o
inciso I, o seguinte objetivo:
“dotar os órgãos e as entidades da Administração Pública Federal de instrumentos
jurídicos, normativos e organizacionais que os capacitem científica, tecnológica e
administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o
não-repúdio e a disponibilidade dos dados e das informações tratadas, classificadas e
sensíveis” [8
].
Esse decreto representa a importância que as entidades devem dar à segurança da
informação. Atendendo a esse decreto, diversos organismos governamentais
desenvolvem seus códigos de boas práticas em segurança da informação que devem
ser seguidos pelas pessoas que de alguma forma estão relacionadas com os
ambientes informatizados.
Empresas privadas também se valem dos códigos de conduta propostos pelas normas,
a fim de obterem a certificação de segurança da informação, garantindo relações de
negócio com seus parceiros e clientes, em que a mútua confiança no sigilo da
informação é imprescindível.
16. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
16
OPROBLEMACLÁSSICO DE SEGURANÇADAINFORMAÇÃO
Um dos grandes trunfos da grande expansão dos sistemas computacionais é a enorme
facilidade de compartilhamento de recursos e informações. Os benefícios que a
conectividade em rede, em especial a Internet, proporciona a toda a humanidade,
dispensam maiores comentários. Porém, essa conectividade pode expor os
computadores e as redes como um todo a diversas ameaças.
A partir da década de 90, o boom da Internet trouxe também o boom dos ataques às
redes de computadores. A segurança de dados deixou de ser apenas uma
preocupação com a perda da informação devido a um acidente com os meios de
armazenamento ou a uma operação indevida do usuário. Tem-se agora a ameaça de
ataques via rede, podendo haver roubo das informações, vandalismos que as
destruam ou simplesmente técnicas de negação de serviço impedindo o acesso aos
dados.
Outra grande fonte de ameaça é o ataque interno, esse muitas vezes até mais difícil de
ser contido devido ao nível de acesso e a proximidade que usuário tem à rede e aos
seus recursos físicos. Neste caso, como resolver o problema de permitir o acesso a
certas informações aos usuários autorizados e, simultaneamente, como negar o
acesso aos usuários não autorizados?
Essa questão remete a outra: “O que precisa ser protegido, contra quem e como?” [9
].
- Como permitir o acesso a certas informações aos usuários
autorizados e, simultaneamente, como negar o acesso aos
usuários não autorizados?
- Como permitir o acesso a certas informações aos usuários
autorizados e, simultaneamente, como negar o acesso aos
usuários não autorizados?
17. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
17
Segundo Thomas A. Wadlow [10
], “A segurança deverá ser proporcional ao valor do
que se está protegendo”. Ou seja, a implantação do sistema de segurança da
informação tem de apresentar um custo benefício que torne a tentativa de ataque tão
cara que desestimule o atacante, ao mesmo tempo em que ela é mais barata do que o
valor da informação protegida.
Quando o valor do ativo que se está protegendo é tão alto que o dano causado ao
mesmo é difícil de ser calculado, devemos assumir o valor da informação como
altíssimo, imensurável. Um exemplo a se analisar seria um receituário de
medicamentos para pacientes internados em um hospital. Este sistema de informação
lida com dados que podem colocar em risco a vida humana caso a integridade dos
dados seja corrompida, neste caso não temos como fazer uma análise quantitativa do
impacto, pois a vida humana é tida como mais valiosa que qualquer ativo.
Mesmo não se tratando de um valor imensurável, temos ainda os ativos que são vitais
para a empresa e aqueles que podem levar a implicações legais. Quando estamos
lidando com a análise de valor destes bens, consideramos que o dano nos mesmos
pode resultar em grande perda de credibilidade pela empresa e até mesmo no
posterior encerramento de suas atividades.
Neste contexto, a segurança da informação é a proteção da informação em si, dos
sistemas, da infraestrutura e dos serviços que a suporta, contra acidentes, roubos,
erros de manipulação, minimizando assim os impactos dos incidentes de segurança.
18. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
18
OQUE É UMANORMA?
Segundo o Aurélio[
1
], norma é aquilo que se estabelece como base ou medida para a
realização de alguma coisa. Quando não há padrões, podemos ter diversos problemas
como: baixa qualidade do produto, incompatibilidade com outros produtos existentes,
produtos não confiáveis ou até mesmo perigosos, além de não termos como compara-
lo com outros produtos, devido à falta de um referencial comum.
As normas contribuem para fazer com que os processos de fabricação e fornecimento
de produtos e serviços sejam mais eficientes, seguros e limpos. Ela facilita os negócios
entre fornecedores e clientes, seja no comércio local ou internacional, uma vez que
estabelece padrões a serem seguidos por todos, garantindo interoperabilidade entre
serviços, processos e produtos.
Conforme definido pela Associação Brasileira de Normas Técnicas (ABNT), os
objetivos da normalização são:
Comunicação: proporcionar meios mais eficientes na troca de informação entre o
fabricante e o cliente, melhorando a confiabilidade das relações comerciais e de
serviços;
Segurança: proteger a vida humana e a saúde;
Proteção do consumidor: prover a sociedade de mecanismos eficazes para aferir
qualidade de produtos;
Eliminação de barreiras técnicas e comerciais: evitar a existência de
regulamentos conflitantes sobre produtos e serviços em diferentes países,
facilitando assim, o intercâmbio comercial.
Norma tem o
propósito de
definir regras,
padrões e
instrumentos de
controle para dar
uniformidade a um
processo, produto
ou serviço.
Norma tem o
propósito de
definir regras,
padrões e
instrumentos de
controle para dar
uniformidade a um
processo, produto
ou serviço.
19. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
19
Diversas normas foram criadas especificamente para o tratamento da questão sobre a
segurança da informação. No próximo capítulo são apresentadas essas normas.
20. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
20
2 – AS PRINCIPAIS NORMAS DE SEGURANÇA DA
INFORMAÇÃO
AS CARACTERÍSTICAS DAS PRINCIPAIS NORMAS PARA GESTÃO DE AMBIENTE DE TI
SÃO APRESENTADAS NESTE CAPÍTULO: ITIL, COBIT, BS 15000 / ISO 20000, BS
7799, ISO/IEC 17799:2005(E) E ABNT NBR ISO/IEC 17799:2005.
SERÁ TAMBÉM ABORDADO O QUE É UM SISTEMA DE GESTÃO DE SEGURANÇA DA
INFORMAÇÃO (SGSI). ALGUMAS FERRAMENTAS PARA AUXÍLIO NA IMPLANTAÇÃO
DO SGCI, COMO MOF, MSF E BSC SÃO CITADAS AO FIM DO CAPÍTULO.
Capítulo
2
21. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
21
OBJETIVOS
Atualmente a tecnologia da informação dirige os negócios. O sucesso da empresa
depende da alta disponibilidade, segurança e desempenho dos serviços de TI. Esta
dependência determinou o desenvolvimento de normas que propõem práticas para
implantação de sistemas de gestão dos serviços de TI.
Algumas das principais normas para práticas e controles de TI e para implantação de
processos de segurança de TI, são:
ITIL
BS15000 / ISO 20000;
CobiT.
BS 7799 / ISO 17799;
ABNT NBR ISO/IEC 17799:2005 (norma brasileira baseada na ISO 17799).
Ao final deste capítulo você estará apto a:
Descrever as principais normas criadas para a gestão dos serviços de TI;
Entender o que é um sistema de gestão da segurança da informação (SGSI);
Os passos para a criação de um SGSI;
Conhecer algumas ferramentas para gestão de ambientes de TI.
ABNT NBR ISO/IEC
17799:2005
ISO/IEC FDIS
17799:2005(E)
BS 7799
Normas de
segurança de TI
BS15000
ISO 20000
Normas para
práticas e
controles
internos de TI
Organização
responsável
Norma
ABNT NBR ISO/IEC
17799:2005
ISO/IEC FDIS
17799:2005(E)
BS 7799
Normas de
segurança de TI
BS15000
ISO 20000
Normas para
práticas e
controles
internos de TI
Organização
responsável
Norma
22. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
22
ITIL– INFORMATION TECHNOLOGY INFRAESTRUCTURE LIBRARY
O aumento nos investimentos e na complexidade das operações de TI, levou as
empresas a buscarem modelos que facilitassem:
A descrição e os objetivos dos vários serviços e ambientes de TI;
A representação de como esses serviços se inter-relacionam;
A orientação para a implementação destes serviços com sucesso.
O Information Technology Infraestructure Library (ITIL) é uma resposta a essa busca.
Trata-se de um conjunto de orientações desenvolvido pelo Office of Government of
Commerce (OGC), órgão do governo britânico. Descreve um modelo de processo
integrado de melhores práticas para prover a qualidade de serviços de TI.
O ITIL foi criado em 1989. Seu desenvolvimento foi motivado pelo reconhecimento da
dependência de TI pelas organizações, o que levou ao aumento da necessidade de
qualidade de serviço no setor.
Em 2000 o OGC trabalhou em conjunto com o British Standards Institution (BSI) e o IT
Service Management Forum (itSMF) na revisão da documentação do ITIL. Assim, o
BSI Management Overview (PD0005), a BS15000-1 (Especificações para gestão de
serviços) e a série ITIL formam parte da mesma estrutura lógica.
• Desenvolvido pelo governo britânico (OGC -Office
Government Commerce) - 1989
• Conjunto de melhores práticas para gerenciamento de
serviços em TI
– Organizações e processos
– Infraestrutura de TI
• Hardware, software e rede
• Aplicações
• 1996 – Lançado na America do norte
23. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
23
O BSI Management Overview é uma introdução às orientações detalhadas do ITIL. A
documentação ITIL oferece informações expandidas e um guia para os assuntos
tratados na BS15000.
Os objetivos do ITIL são:
Fornecer um guia para a gestão estratégica, tática e operacional para a
infraestrutura de TI;
Melhorar a eficiência;
Reduzir riscos;
Prover compatibilidade com os requerimentos da ISO9001.
As melhores práticas do ITIL cobrem cinco processos que suportam os serviços:
Gestão de incidentes;
Gestão de problemas;
Gestão de mudanças;
Gestão de configurações;
Gestão de fornecimento.
O ITIL também inclui cinco processos de fornecimento de serviço:
Gestão de capacidade;
Gestão financeira;
Gestão de disponibilidade;
Gestão de nível de serviço;
Gestão de continuidade de serviços de TI.
Nas palavras de Malcom Fry em entrevista a ITWEB em 25/11/2003 [11
], os dois
valores mais óbvios para as empresas que adotam o ITIL são: “um é o vocabulário
comum compartilhado pelos profissionais de TI das empresas usuárias e dos
fornecedores de software. Isso reduz confusões, aumenta o entendimento e aperfeiçoa
a comunicação entre eles. O outro é ambas equipes e gerentes passam a entender o
funcionamento dos processos de trabalho de serviços de TI a partir de uma mesma
fonte”.
24. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
24
COBIT– CONTROL OBJECTIVES FOR INFORMATIONAND RELATED TECHNOLOGY
Objetivos do negócio
Eficiência
Confidencialidade
Integridade
Disponibilidade
Compatibilidade
Conformidade
Confiabilidade
Pessoas
Sistemas aplicativos
Tecnologia
Infraestrutura
Dados
Governaça em TI
Fonte: CobiT Executive Summary – IT Governance Institute
Recursos de TI
Fornecimento
e suporte
Monitoramento
e Avaliação
Informação
Aquisição e
implementação
Planejamento
e organização
O CobiT (Control Objectives for Information and related Technology) é um conjunto de
práticas que visam auxiliar a gestão e controle de iniciativas de TI nas empresas
reduzindo os riscos correspondentes. Sua primeira edição foi publicada em 1996 pela
ISACA (Information System Audit and Control Foundation). Atualmente encontra-se na
sua quarta edição publicada em 2005.
O tema principal do CobiT é a orientação aos negócios. É desenhado para ser
empregado não somente por usuários e auditores, mas principalmente para servir de
guia para os proprietários dos processos dos negócios.
O modelo do CobiT fornece ferramentas para facilitar a distribuição de
responsabilidades pela diretoria de negócios. O modelo inclui uma série de 34
objetivos de controle, um para cada processo de TI, agrupados em 4 domínios:
Planejamento e organização;
Aquisição e implementação;
Entrega e suporte;
Monitoramento e avaliação.
25. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
25
Esta estrutura cobre todos os aspectos da informação e da tecnologia que a suporta.
Através dos 34 objetivos de controles, a direção de processos do negócio pode se
assegurar que um sistema de controle é fornecido para o ambiente de TI.
Os domínios norteiam a implantação de processos que conduzirão aos corretos
investimentos nos recursos de TI (dados, aplicações, tecnologia e pessoas). A partir do
levantamento detalhado dos processos, é possível determinar o que se deseja e o que
é necessário para atingir esse objetivo.
As orientações de gestão CobiT são genéricas e orientadas a ações com o propósito
de responder questões de gerenciamento como:
Aonde eu posso chegar e se os custos são justificados pelo benefício? A
resposta a essa questão permite mapear onde a organização está, como ela se
posiciona em relação as melhores organizações do seu ramo e em relação aos
padrões internacionais, e onde a organização deseja chegar;
Quais são os indicadores de desempenho? Aqui são definidos os indicadores
que medirão se o desempenho dos processos de TI está na direção correta para
se atingir os objetivos.
Quais são os fatores críticos de sucesso? Isso definirá orientações de
implementação para se alcançar o controle sobre os processos de TI;
Quais os riscos de não se atingir os objetivos? É uma forma clara de se
enxergar em que terreno vai pisar e conhecer os riscos do negócio;
Como medir e comparar? A resposta definirá as medidas que informarão a
gerência, após o evento, se o processo de TI alcançou os requerimentos do
negócio.
26. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
26
BS 15000 / ISO20000– NORMAS DE GESTÃO DE SERVIÇOS
A BS 15000 foi a primeira norma formal para gestão de serviços de TI (Tecnologia da
Informação) desenvolvido pela British Standards Institution (BSI). Foi publicado em 15 de
novembro de 2000. Embora seja baseada no modelo de processos do ITIL, fornece
especificações claras para implementação de um processo de gestão de TI.
O escopo da norma abrange um sistema de gestão de serviços de TI e forma a base para
a avaliação dessa gestão.
O esquema de certificação foi formalmente lançado em 1o
de julho de 2003 e é
administrado pelo IT Service Management Forum (itSMF). Baseado diretamente na norma
fornece certificação para sistemas de gestão de TI.
A BS 15000 define uma série de processos para a gestão de serviços. A parte 1 especifica
13 processos (figura acima) e é a base para implementar e certificar um sistema de
gerenciamento para fornecimento de serviços de TI. A parte 2 é um código de práticas
que amplia os requerimentos da Parte 1. Juntas elas fornecem ferramentas completas
para as empresas entenderem como melhorar os serviços fornecidos a seus clientes,
sejam eles internos ou externos. O escopo da norma cobre os seguintes itens:
Escopo dos serviços de sistema de gestão;
DesenhoDesenho dede ServiServiççosos ee ProcessosProcessos dede gestgestããoo
Gestão de segurança
da informação
Gestão de
disponibilidade e
continuidade de
serviço
Gestão de
Capacidade de
Serviço
Gestão financeira
Gestão de nível de serviço
Relatórios de serviço
ProcessosProcessos dede ControleControle
Gestão de Configuração
Gestão de mudanças
Gestão de entregas
Gestão de Incidentes
Gestão de Problemas
Gestão de
relacionamento
de negócios
Gestão de
fornecedores
ProcessosProcessos dede suportesuporte aa serviserviççosos
Processos de
Entrega de serviços
Processos de
Relacionamento
Processos de Resolução
DesenhoDesenho dede ServiServiççosos ee ProcessosProcessos dede gestgestããoo
Gestão de segurança
da informação
Gestão de
disponibilidade e
continuidade de
serviço
Gestão de
Capacidade de
Serviço
Gestão financeira
Gestão de nível de serviço
Relatórios de serviço
ProcessosProcessos dede ControleControle
Gestão de Configuração
Gestão de mudanças
Gestão de entregas
Gestão de Incidentes
Gestão de Problemas
Gestão de
relacionamento
de negócios
Gestão de
fornecedores
ProcessosProcessos dede suportesuporte aa serviserviççosos
Processos de
Entrega de serviços
Processos de
Relacionamento
Processos de Resolução
27. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
27
Termos e definições;
Planejamento e implementação dos processos de gestão de serviços;
Planejamento e implementação de gestão de novos serviços ou modificações
destes.
Essa norma é destinada a provedores de serviço, em especial para provedores de
serviços de TI. Entretanto seus requerimentos são independentes do tipo de
organização e podem ser aplicados a empresas grandes e pequenas de qualquer
setor.
Em 16 de dezembro de 2005 foi publicada pela ISO a nova norma ISO 20000. Ela
evoluiu a partir da norma BS 15000. As alterações em relação ao BS 15000 são
mínimas, mas passa a ser um formato internacional mais adequado para aplicação em
diversos países.
Assim, como sua predecessora, a ISO 20000 é dividida em duas partes: a ISO 20000-
1, promove a adoção de processos integrados para a gestão de serviços a fim de
alcançar os requerimentos dos clientes e do negócio. A ISO 20000-2 é um código de
práticas e descreve as melhores práticas para a gestão de serviços dentro do escopo
da ISO 2000-1.
A transição da BS15000 para a ISO/IEC 20000
“A norma ISO/IEC 20000 substituiu a BS 15000 em 5 de dezembro de 2005.
Certificações contra a BS 15000 continuarão até junho de 2006 para habilitar aqueles
que já iniciaram a conclusão do processo de certificação. A Certificação BS 15000
deverá fazer transição para a ISO/IEC 20000 em 5 de junho de 2007”. (Fonte: Gartner
Research em 05/01/2006).
Relacionamento entre a BS 15000 / ISO 20000 e o modelo ITIL
As normas BS 15000 e ISO 20000 são alinhadas em seus objetivos com o modelo
ITIL:
O ITIL é um conjunto de melhores práticas que, uma vez adotadas, auxiliarão as
organizações a encontrarem a qualidade de gestão de serviço requerida pelas
normas BS 15000 / ISO 20000;
28. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
28
A BS 15000 / ISO 20000 determina o padrão que os processos de gestão de
serviços devem almejar e testa se as melhores práticas foram realmente
adotadas.
O relacionamento entre os modelos é mostrado abaixo. O modelo ITIL serviu de
base para o desenvolvimento da BS 15000. Esta por sua vez serviu de base para
o desenvolvimento da ISO/IEC 20000.
Sua
implementaçãoProcedimentos internos e
instruções de trabalho
ITIL – Melhores práticas
Orientações de
Gestão PD 0005
BS 15000-2
Melhores
Práticas
Visão de Gestão
O que alcançar
Código de
práticas
BS
15000-1
Critérios de
avaliação
Sua
implementaçãoProcedimentos internos e
instruções de trabalho
ITIL – Melhores práticas
Orientações de
Gestão PD 0005
BS 15000-2
Melhores
Práticas
Visão de Gestão
O que alcançar
Código de
práticas
BS
15000-1
Critérios de
avaliação
29. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
29
BS 7799 - BRITISH STANDARD 7799
A norma britânica BS 7799 (British Standard 7799), publicada em sua primeira versão
em 1995 é um código de práticas planejado para ser usado como uma referência para
os gerentes e responsáveis pela segurança da informação nas organizações. Deve
servir de base para a criação de uma política de segurança.
A segunda versão da BS 7799 é composta de duas partes:
Parte I: BS 17799-1:1999 é um catálogo que agrupa 36 objetivos de controle que
devem ser aplicados para se encontrar o nível requerido de segurança da
informação. Os objetivos de controle são decompostos em 127 medidas de
controle que explicam com mais ou menos detalhes os pontos que devem ser
trabalhados para a implementação dessas medidas. O foco desta parte é a
gestão de riscos, cujo objetivo é auxiliar a organização a planejar sua política de
segurança através da identificação dos controles relevantes para seus negócios.
Parte II: BS 7799-2:1999 apresenta um SGSI - Sistema de Gestão da
Segurança da Informação (Information Security Mangement System – ISMS) em
seis etapas sucessivas. A revisão da BS 7799-2:1999, sob a referência “draft BS
7799-2:2002”, tem o objetivo de reaproximar as normas de qualidade ISO 9001 e
ISO 14001. A parte II é usada para preparar avaliações da eficiência do SGSI
para qualquer aplicação, departamento ou para organização como um todo.
Compõe-se de quatro fases:
- Avaliação de riscos: verificação das ameaças que podem surgir, as
vulnerabilidades a essas ameaças, o impacto que essas ameaças podem
Definir uma política de segurançaDefinir uma política de segurança
Definir o domínio de aplicação do
sistema de gestão de segurança da
informação
Definir o domínio de aplicação do
sistema de gestão de segurança da
informação
Empreender uma avaliação dos riscosEmpreender uma avaliação dos riscos
Tratamento dos riscosTratamento dos riscos
Escolher os objetivos e medidas de
controle que devem serem trabalhadas
Escolher os objetivos e medidas de
controle que devem serem trabalhadas
Preparar uma declaração de
aplicabilidade
Preparar uma declaração de
aplicabilidade
Definir uma política de segurançaDefinir uma política de segurança
Definir o domínio de aplicação do
sistema de gestão de segurança da
informação
Definir o domínio de aplicação do
sistema de gestão de segurança da
informação
Empreender uma avaliação dos riscosEmpreender uma avaliação dos riscos
Tratamento dos riscosTratamento dos riscos
Escolher os objetivos e medidas de
controle que devem serem trabalhadas
Escolher os objetivos e medidas de
controle que devem serem trabalhadas
Preparar uma declaração de
aplicabilidade
Preparar uma declaração de
aplicabilidade
30. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
30
ter e, considerando esses fatores, uma avaliação do nível de risco em
cada caso.
- Gestão de riscos: uma vez avaliado os riscos, a tarefa é reduzi-los a um
nível aceitável. Isto pode ser conseguido através da aplicação das
medidas listadas na BS 7799 para prevenir todos os riscos em conjunto,
reduzir as ameaças, vulnerabilidades e impactos, tomar medidas para
detectar os riscos, reagir e recupera-se deles.
- Implementação de meios de segurança: determinado o nível de segurança
e quais riscos devem ser tratados, o responsável pela segurança da
informação deve repassar as medidas listadas na BS 7799 para
determinar quais são aplicáveis em cada caso.
- Declaração de aplicabilidade: esta declaração estabelece quais controles
devem ser implementados. Cada passo implementado deve ser registrado
e documentado. O registro deve mostrar que cada ação requerida pela
declaração de aplicabilidade foi executada. As ações devem ser revisadas
de tempos em tempos para assegurar que as mesmas ainda preenchem
os objetivos.
A organização que baseia o seu SGSI estipulado no BS 7799 pode obter o certificado
de um órgão autorizado.
A BS 7799-2 já é largamente usada em vários países, como Inglaterra, Austrália,
Noruega, Brasil e Japão, como documento de referência para a certificação de
gerenciamento de segurança de informação.
31. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
31
ISO/IEC FDIS 17799:2005(E) – INFORMATION TECHNOLOGY – SECURITYTECHNIIQUES -
CODE OF PRACTICE FOR INFORMATION SECURITY MANAGEMENT
ABNTNBR17799:2005 –TECNOLOGIADAINFORMAÇÃO –TÉCNICAS DE SEGURANÇA–
CÓDIGO DE PRÁTICAPARAAGESTÃO DASEGURANÇADAINFORMAÇÃO
A ISO/IEC 17799 é um código de práticas com orientações para gestão de segurança
da informação. Apresenta uma descrição geral das áreas normalmente consideradas
importantes quando da implantação ou gestão de segurança da informação na
organização.
A ISO/IEC 17799 teve sua origem com a BS 7799. Em 1995 o BSI publicou a primeira
norma de segurança, BS 7799. Tinha como objetivo tratar os assuntos relacionados
com segurança de e-commerce. Em 1999 o BSI publicou a segunda versão da BS
7799, incluindo muitas melhorias e aperfeiçoamentos. No final de 2000, a ISO
(International Organization for Standartization) adotou e publicou a primeira parte da
norma BS 7799, sob o nome de ISO/IEC 17799:2000.
A ISO/IEC 17799:2000 não incluía a segunda parte da BS 7799, que se refere à
implementação. Era um conjunto de orientações para as melhores práticas de
segurança aplicáveis em organizações de qualquer porte.
EstruturaEstrutura dada ISO/IEC 17799:2005ISO/IEC 17799:2005
Política de
segurança Organização
segurança
da
Classificação de
bens e controles
Segurança
em RH
Segurança
Física e do
Ambiente
Gestão
das
operações e
comunicações
Controles
de
acesso
Aquisição,
de sistemas
desenvolvimento.
e manutenção
Gestão de incidentes
de segurança
da informação
Gestão de
continuidade
de negócio
Conformidade
InformaInformaçãçãoo
segurasegura
32. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
32
Em 2 de novembro de 2005, a ISO publicou a segunda edição da norma, sob o título
ISO/IEC FDIS 17799:2005(E) ― Information techniques - Security techniques ― Code
of practice for information security management (2nd edition). Esta edição cancela e
substitui a norma ISO/IEC 17799:2000, a qual foi tecnicamente revisada. O termo FDIS
significa Final Draft International Standard (Esboço final de norma internacional).
A ISO/IEC FDIS 17799:2005(E) aborda tópicos em termos de políticas e práticas
gerais. O documento identifica um ponto de partida para o desenvolvimento de
especificações da organização. Trata os seguintes tópicos:
Política de segurança;
Organização da segurança da informação;
Gestão de ativos;
Segurança em recursos humanos;
Segurança física e do ambiente;
Gerenciamento das operações e comunicações;
Controle de acessos;
Aquisição, desenvolvimento e manutenção de sistemas de informação;
Gestão de incidentes de segurança da informação;
Gestão de continuidade de negócios;
Conformidade.
A ISO/IEC FDIS 17799:2005(E) não fornece material definitivo ou específico para
qualquer tópico de segurança. Ela serve como um guia prático para o desenvolvimento
de padrões de segurança organizacional e auxilia na criação de atividades
confidenciais interorganizacional.
A norma brasileira ABNT NBR ISO/IEC 17799:2005 – Tecnologia da informação –
Técnicas de segurança – Código de prática para a gestão de segurança da informação
será alvo de todo o restante deste curso a partir do próximo capítulo. Foi publicada em
31 de agosto de 2005 e entrou em vigor em 30 de setembro de 2005, sendo totalmente
equivalente à ISO/IEC 17799:2005.
A Associação Brasileira de Normas Técnicas (ABNT) é o Fórum Nacional de
Normalização. A ABNT NBR ISO/IEC 17799:2005 foi elaborada no Comitê Brasileiro
de Computadores e Processamento de Dados (ABNT/CB-21), pela comissão de
Estudos de Segurança Física em Instalações de Informática (CE-21:204.01). Teve o
patrocínio ouro das seguintes empresas:
Microsoft;
Bradesco;
AXUR information Security;
Aceco TI;
33. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
33
Serasa;
Samarco;
PricewaterhouseCoopers;
e-Módulo security;
Visanet;
TIVIT IT Creativity;
Suzano Papel e Celulose.
34. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
34
COMPARAÇÃO ENTREAS PRINCIPAIS NORMAS
Cada norma apresenta pontos fortes e fracos. Assim, deve-se observar o que se
deseja na organização e a partir daí, aplicar a norma que mais se adequar às
necessidades.
Uma norma apenas não esgota o assunto e não abrange todas os aspectos
necessários para se obter um ambiente seguro e com qualidade de serviços em TI. Ao
invés disso, as normas se complementam, sendo que uma pode fornecer ferramentas
mais detalhadas de um aspecto do que outra. Por exemplo:
O ITIL apresenta forte detalhamento de processos para se obter qualidade de
serviço em TI, mas não aborda o aspecto de segurança que é melhor tratado na
ISO/IEC 17799.
Enquanto a CobiT é uma forte ferramenta para determinação de métricas, o ITIL
é mais bem empregado quando se deseja levantamento de processos.
Tanto a ISO/IEC 17799 quanto a CobiT são adequadas para se determinar qual
o estado atual da organização no que se refere à qualidade de serviço e
segurança da informação.
Resumindo, as normas podem ser aplicadas de forma conjunta na busca pela
excelência nos serviços de TI.
É um guia
genérico sem
material
específico
- Controle de
segurança
ISO/IEC 17799
São linhas
gerais que não
indicam “como”
fazer
- Controles
-Métricas
- Processos
CobiT
Segurança e
desenvolvimento
de sistemas
- Processos de
operação
ITIL
Ponto fracoPonto forteNorma
É um guia
genérico sem
material
específico
- Controle de
segurança
ISO/IEC 17799
São linhas
gerais que não
indicam “como”
fazer
- Controles
-Métricas
- Processos
CobiT
Segurança e
desenvolvimento
de sistemas
- Processos de
operação
ITIL
Ponto fracoPonto forteNorma
35. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
35
SISTEMADE GESTÃO DE SEGURANÇADAINFORMAÇÃO – SGSI
Não se pode dizer que há segurança da informação, a menos que ela seja controlada
e gerenciada. É comum ouvirmos dizer que um hardware seguro é aquele que está
desligado. Esta frase expressa a dificuldade de se criar um nível de segurança
infalível. A segurança da informação é um processo que visa minimizar os riscos a
níveis aceitáveis.
Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de
ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo
pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto
mantém em perspectiva os objetivos do negócio e as expectativas do cliente.
O processo de implantação de um SGSI é semelhante a um processo de qualidade
ISO 9001, no qual se aplicam os princípios do PDCA (Plan-Do-Check-Act ou Planejar-
Fazer-Checar-Agir). Basicamente deve-se obedecer aos seguintes passos:
Desenho do SGSIDesenho do SGSI
Análise dos riscosAnálise dos riscos
Tratamento dos riscosTratamento dos riscos
Definição de controlesDefinição de controles
ImplementaçãoImplementação
Melhoria contínuaMelhoria contínua
Planejar
Fazer
ChecarAuditoriaAuditoria
Agir
Desenho do SGSIDesenho do SGSI
Análise dos riscosAnálise dos riscos
Tratamento dos riscosTratamento dos riscos
Definição de controlesDefinição de controles
ImplementaçãoImplementação
Melhoria contínuaMelhoria contínua
Planejar
Fazer
ChecarAuditoriaAuditoria
Agir
36. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
36
1. Desenho do SGSI: seleção do modelo através do qual o SGSI irá atuar (tipo de
norma: BS7799, ISO/IEC 17799, etc...). Planejamento inicial das fases do
projeto. Levantamento dos ativos envolvidos (equipamentos, infraestrutura,
sistemas, pessoas e serviços);
2. Avaliação dos riscos: identificar e avaliar ameaças e vulnerabilidades.Para cada
ameaça deve ser atribuído um nível de risco;
3. Tratamento dos riscos: é o gerenciamento dos riscos, envolvendo as atividades
que tentarão impedir um ataque antes que ele ocorra e/ou reduzirão os efeitos da
ameaça;
4. Definição de controles: a necessidade de controles é um resultado da avaliação
de riscos. Sua escolha é feita com base na relação custo-benefício de sua
implantação. Os controles podem ser baseados em software, hardware, pessoas
ou processos;
5. Implementação: Implantação em si das contramedidas de segurança;
6. Auditoria: verificação se as condições estabelecidas nos passos anteriores
ocorrem de maneira satisfatória;
7. Melhoria contínua: aprimoramento contínuo do SGSI através da busca de
assertivas que dêem mais valor às atividades de segurança da informação.
A implementação do SGSI é extremamente facilitada através do uso de softwares que
além de coletar informações importantes, possuem ferramentas para auxílio em todo o
ciclo. Algumas destas ferramentas serão tratadas na próxima sessão.
37. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
37
FERRAMENTAS PARAGERENCIAMENTO DE TI– (MOF– MSF – BSC)
Todos os gestores de TI sonham com um instrumento que reflita a cada momento a
realidade dos processos de seu setor. Várias metodologias e softwares foram
desenvolvidos para atuar como ferramentas de apoio para a gerência de soluções de
TI e criar políticas de segurança.
MOF – Microsoft Operations Framework
MSF – Microsoft Solutions Framework
BSC – Balaced ScoreCard
MOF – Microsoft Operations Framework
MSF – Microsoft Solutions Framework
BSC – Balaced ScoreCard
38. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
38
Microsoft® Operations Framework (MOF)
O Microsoft® Operations Framework (MOF) é a leitura do ITIL aplicada ao ambiente
Microsoft. O MOF inclui orientações de como planejar, empregar e manter a excelência
nos processos operacionais de TI em soluções de serviços construídos com produtos e
tecnologia Microsoft. Porém, como o MOF aborda basicamente os processos de
construção de soluções, pode ser aplicado por qualquer plataforma. O MOF foca sua
atenção no gerenciamento das operações.
O MOF descreve um ciclo de vida que pode ser aplicado em qualquer solução de
serviço. Esse ciclo é dividido em quadrantes de atuação, assim descritos:
Mudanças: tem o foco nos problemas decorrentes da necessidade de introduzir
mudanças no ambiente. Introduz novos serviços, tecnologias, sistemas,
aplicações, hardware e processos;
Operação: foca na execução de tarefas diárias rotineiras decorrentes das
operações do sistema;
Suporte: resolve incidentes e problemas apontados pelos clientes com o menor
tempo possível minimizando os impactos;
Otimização: tratamento das mudanças a fim de otimizar custos, desempenho,
capacidade e disponibilidade nos serviços de TI.
Com o guia MOF, a organização estará apta a avaliar a maturidade da gestão de
serviços de TI, priorizar processos de maior interesse e aplicar princípios e melhores
práticas para otimizar o gerenciamento de plataformas Windows Server.
39. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
39
Microsoft Solutions for Framework (MSF)
O Microsoft Solutions for Framework (MSF) é um modelo para implementação de
soluções criadas pela Microsoft que reúne recursos, pessoas e técnicas a fim de
orientar a organização para assegurar que a infraestrutura de tecnologia e soluções
alcancem os objetivos do negócio. Foi criada pela Microsoft para gerenciamento
interno. Posteriormente foi estendido a clientes auxiliando as organizações a encontrar
a excelência operacional.
Os componentes do MSF podem ser aplicados individual ou coletivamente para obter
melhores índices de sucesso em projetos de desenvolvimento de software,
implantação de infraestrutura e integração de aplicações.
O MSF guia os diferentes tipos de projetos com o foco na gestão de pessoas,
processos e elementos tecnológicos. Interage com o MOF para prover uma transição
suave para o ambiente operacional, o qual é um requerimento para projetos de longo
prazo.
Para a Microsoft o MSF é mais uma disciplina do que uma metodologia. É um conjunto
de melhores práticas que conduzem as organizações a melhorar seus serviços,
obtendo maior confiabilidade, disponibilidade e segurança enquanto reduzem custos. É
uma coleção de guias para o rápido sucesso de soluções de tecnologia da informação,
com baixo risco, enquanto permite alta qualidade de resultados.
40. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
40
Balanced ScoreCard (BSC)
O Balanced ScoreCard (BSC) é uma metodologia que estabelece um sistema de
medição de desempenho das organizações. Foi proposto por Kaplan e Norton em
1992 ao nível empresarial. Gold (1992,1994) e Willcocks (1995) conceitualmente
descreveram como aplicar o balanced scorecard a funções de TI e seus processos. O
Balanced Scorecard é uma ferramenta para planejar a implementação de estratégias e
obter melhoria contínua em todos os níveis da organização. É um conjunto de medidas
que dão aos gerentes uma visão rápida e compreensiva dos negócios.
O BSC mede o desempenho da organização sob a óptica de quatro perspectivas que
assim se inter-relacionam: a melhoria do aprendizado e crescimento dos
empregados resulta em melhoria dos processos internos do negócio, os quais criam
melhores produtos e serviços e, conseqüentemente, maior satisfação do cliente e
maior participação no mercado, conduzindo a melhores resultados financeiros para a
organização [12
]:
Resultados financeiros,
Satisfação do cliente,
Processos internos do negócio e
Aprendizado e crescimento.
Financeiro
Para triunfar financeiramente,
como devemos aparecer para
nossos acionistas?
Financeiro
Para triunfar financeiramente,
como devemos aparecer para
nossos acionistas?
Objetivos e
Estratégia
Processos internos
de negócios
Para satisfazer nossos
acionistas e clientes, que
processos de negócios
devemos destacar?
Processos internos
de negócios
Para satisfazer nossos
acionistas e clientes, que
processos de negócios
devemos destacar?
Aprendizado e
Crescimento
Para alcançar nosso objetivo,
como mnateremos nossas
habilidades para mudanças
e melhorias?
Aprendizado e
Crescimento
Para alcançar nosso objetivo,
como mnateremos nossas
habilidades para mudanças
e melhorias?
Clientes
Para alcançar nossos
objetivos, como deveremos
aparecer para nossos
clientes?
Clientes
Para alcançar nossos
objetivos, como deveremos
aparecer para nossos
clientes?
Financeiro
Para triunfar financeiramente,
como devemos aparecer para
nossos acionistas?
Financeiro
Para triunfar financeiramente,
como devemos aparecer para
nossos acionistas?
Objetivos e
Estratégia
Processos internos
de negócios
Para satisfazer nossos
acionistas e clientes, que
processos de negócios
devemos destacar?
Processos internos
de negócios
Para satisfazer nossos
acionistas e clientes, que
processos de negócios
devemos destacar?
Aprendizado e
Crescimento
Para alcançar nosso objetivo,
como mnateremos nossas
habilidades para mudanças
e melhorias?
Aprendizado e
Crescimento
Para alcançar nosso objetivo,
como mnateremos nossas
habilidades para mudanças
e melhorias?
Clientes
Para alcançar nossos
objetivos, como deveremos
aparecer para nossos
clientes?
Clientes
Para alcançar nossos
objetivos, como deveremos
aparecer para nossos
clientes?
41. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
41
3 - INTRODUÇÃO À ABNT NBR/ISO/IEC
17799:2005
NESTE CAPÍTULO INICIAREMOS O ESTUDO DA NORMA ABNT NBR ISO/IEC
17799:2005. VEREMOS OS CONCEITOS BÁSICOS ABORDADOS PELA NORMA E UMA
FORMA PRÁTICA DE INICIAR A IMPLANTAÇÃO DE UM PROCESSO DE PLANEJAMENTO
DE GESTÃO E MONITORAMENTO DE SEGURANÇA DE TI.
Capítulo
3
42. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
42
OBJETIVOS
Neste capítulo veremos os conceitos básicos de segurança da informação, sua
definição e passos gerais para sua implantação.
Ao final deste capítulo você estará apto a:
Conceituar a segurança da informação;
Entender quais as fontes de requisitos de segurança da informação;
Entender em linhas gerais quais os passos a serem trilhados para a obtenção de
uma ambiente seguro para a informação.
43. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
43
CONCEITOS BÁSICOS DE SEGURANÇADAINFORMAÇÃO
Toda e qualquer informação, que seja um elemento essencial para os negócios de
uma organização, deve ser preservada pelo período necessário, de acordo com sua
importância. A informação é um bem como qualquer outro e por isso deve ser tratada
como um “ativo”.
A interconexão das empresas através de links cabeados e/ou sem fio (wireless),
internos e/ou externos, pessoas e ações da natureza, podem expor vulnerabilidades
que colocam em risco as informações. Assim, faz-se necessário a implantação de
processos de segurança que protejam a informação contra essas ameaças.
A fim de proporcionar o bom entendimento das abordagens que serão feitas nesse
curso, é importante conceituarmos alguns termos. Outros não tratados diretamente
nesta sessão são descritos ao longo do curso.
Ameaça (threat): causa potencial de um incidente indesejado, que caso se
concretize pode resultar em dano.
Ativo (asset): e qualquer coisa que tenha valor para um indivíduo ou uma
organização: hardware de computadores, equipamentos de rede, edificações,
software, habilidade de produzir um produto ou fornecer um serviço, pessoas,
imagem da organização, etc...
Ativo
Ameaças
Impacto
Risco
Vulnerabilidade
Ativo
Ameaças
Impacto
Risco
Vulnerabilidade
44. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
44
Incidente de segurança (security incident): é qualquer evento em curso ou
ocorrido que contrarie a política de segurança, comprometa a operação do
negócio ou cause e cause dano aos ativos da organização.
Impacto (impact): conseqüências de um incidente de segurança.
Risco (risk): combinação de probabilidade da concretização de uma ameaça e
suas conseqüências do impacto causado por este evento.
Vulnerabilidade (vulnerability): fragilidade ou limitação de um ativo que pode ser
explorada por uma ou mais ameaças.
45. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
45
OBJETIVOS DASEGURANÇADAINFORMAÇÃO
Qualquer tipo de informação deve ser protegido, esteja ele escrito ou desenhado em
papel, armazenado em meios magnéticos, em filmes ou falado.
“A segurança da informação é obtida através da implantação de controles adequados,
políticas, processos, procedimentos, estruturas organizacionais e funções de software
e hardware”.
O objetivo da segurança da informação é garantir o funcionamento da organização
frente às ameaças a que ela esteja sujeita.
A norma ABNT NBR ISO/IEC 17799:2005 “estabelece diretrizes e princípios para
iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma
organização”. Essa frase confirma que a norma está alinhada com os objetivos de
todas as outras normas criadas com o mesmo fim, conforme visto no capítulo 2.
Continuidade do negócio
Minimização do risco ao negócio
Maximização do retorno sobre os
investimentos
Oportunidades de negócio
ABNT NBR ISO/IEC 17799:2005ABNT NBR ISO/IEC 17799:2005
Proteção da informação contra vários tipos de ameaças
para garantir:
Continuidade do negócio
Minimização do risco ao negócio
Maximização do retorno sobre os
investimentos
Oportunidades de negócio
ABNT NBR ISO/IEC 17799:2005ABNT NBR ISO/IEC 17799:2005
Proteção da informação contra vários tipos de ameaças
para garantir:
46. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
46
É consenso das normas da área que os objetivos gerais da segurança da informação
visam preservar a confiabilidade, integridade e disponibilidade da informação. Esse é
um conceito da antiga ISO/IEC 17799:2000. Porém, é citado nesse curso por se tratar
de um conceito amplamente difundido.
Confiabilidade: tem o objetivo de garantir que apenas pessoas autorizadas
tenham acesso à informação. Essa garantia deve ser obtida em todos os níveis,
desde a geração da informação, passando pelos meios de transmissão,
chegando a seu destino e sendo devidamente armazenada ou, se for necessário,
destruída sem possibilidade de recuperação. Esse processo tende a ser mais
dispendioso, quanto maior for a necessidade de proteção da informação e, é
claro, quanto maior for o valor da informação a ser protegida. Modernos
processos de criptografia aliados a controles de acesso, são necessários nessa
etapa.
Integridade: O objetivo da integridade é garantir que a informação não seja
alterada, a não ser por acesso autorizado. Isso significa dizer que uma
informação íntegra não é necessariamente uma informação correta, mas sim que
ela não foi alterada em seu conteúdo. Esse processo é a proteção da informação
contra modificações não autorizadas ou acidentais.
Disponibilidade: Garantir que a informação sempre poderá ser acessada quando
for necessário. Esse objetivo é conseguido através da continuidade de serviço
dos meios tecnológicos, envolvendo políticas de backup, redundância e
segurança de acesso. De nada adianta ter uma informação confiável e íntegra
se ela não está acessível quando solicitada.
A ABNT NBR ISO/IEC 17799:2005 amplia o conceito acima enfatizando mais os
resultados da implantação de um ambiente de segurança da informação, quando
define que “segurança da informação é a proteção da informação de vários tipos de
ameaças para garantir a continuidade do negócio, minimizar o risco do negócio,
maximizar o retorno sobre os investimentos e as oportunidades de negócio”.
47. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
47
COMO IMPLANTAR UM SISTEMADE SERGURANÇADAINFORMAÇÃO?
Um processo de planejamento de gestão e monitoramento de segurança de TI, pode
variar muito em uma organização. Devido aos diferentes estilos, tamanho e estrutura
das organizações, o processo deve se adequar ao ambiente em que será usado. Alguns
passos em linhas gerais são apresentados a seguir:
1. Identificar os requisitos de segurança da informação. Basicamente, existem três
fontes principais de requisitos de segurança da informação:
Obtida através da análise/avaliação de riscos para a organização.
Obtida a partir da legislação vigente a que a organização, seus parceiros
comerciais e provedores de serviço devem atender.
Obtida a partir dos princípios, objetivos e requisitos do negócio.
2. Análise do ambiente de segurança. É o levantamento periódico dos riscos de
segurança da informação, identificando as ameaças e vulnerabilidades. Os
resultados desse passo irão direcionar a determinação das ações gerenciais que
nortearão todo o processo de segurança da informação.
Identificando os requisitos de segurança da informação
Análisando do ambiente de segurança
Selecionando controles
Implementando o ambiente de segurança
Adminstrando o ambiente de segurança
ABNT NBR ISO/IEC 17799:2005ABNT NBR ISO/IEC 17799:2005
Identificando os requisitos de segurança da informação
Análisando do ambiente de segurança
Selecionando controles
Implementando o ambiente de segurança
Adminstrando o ambiente de segurança
ABNT NBR ISO/IEC 17799:2005ABNT NBR ISO/IEC 17799:2005
48. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
48
3. Seleção de controles. Com os riscos identificados e com as medidas de
tratamento desses riscos já providenciadas agora é necessário implementar
controles que assegurarão a redução dos riscos a níveis aceitáveis. A seleção de
controles pode ser feita a partir dessa norma ou de outra que atenda as
necessidades da organização. Esses controles incluem:
Proteção de dados e privacidade de informações pessoais;
Proteção dos registros organizacionais;
Direitos de propriedade intelectual;
Documento de política de segurança da informação;
Atribuição de responsabilidades;
Treinamento e educação em segurança da informação;
Processamento correto nas aplicações a fim de prevenir erros, perdas,
modificação não autorizada ou mau uso de informações em aplicações;
Gestão de vulnerabilidades técnicas;
Gestão de continuidade de negócios;
Gestão de incidentes de segurança e melhorias.
4. Implementação do ambiente de segurança. Consiste em:
Criação, educação e disseminação interna da política de segurança da
informação para todos os envolvidos.
Uma estrutura para a implementação, manutenção, monitoramento e
melhoria da segurança da informação;
Comprometimento de todos os níveis gerenciais;
Provisão de recursos financeiros para as atividades de gestão da segurança
da informação.
5. Administração do ambiente de segurança. Inclui:
Estabelecimento de um processo de gestão de incidentes de segurança;
Implementação de um sistema de medição, que colha dados para a avaliação
de desempenho da gestão de segurança;
Obtenção de sugestões de melhorias;
Implementação de melhorias levantadas no processo.
49. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
49
Um fluxograma mais detalhado das fases do processo é proposto pela norma ISO/IEC
13335-2 - Information technology — Guidelines for the management of IT Security —
Part 2: Managing and Planning IT Security. Essa norma é citada na ABNT NBR
ISO/IEC 17799:2005 como informações adicionais para o processo de implantação da
segurança de TI. O fluxograma reproduzido abaixo deixa claro que os trabalhos devem
ser iniciados a partir dos objetivos de mais alto nível da empresa, ou seja, os negócios,
e segue passando por definições de estratégia de segurança de TI até a elaboração de
uma política de segurança de TI. É importante que todas as atividades sejam tratadas
dentro do estilo e maneira da organização realizar negócios.
Visão do processo de planejamento e gestão de segurança de TI
segundo a ISO/IEC 13335:2
Política de segurança de TIPolítica de segurança de TI
Aspectos organizacionais da segurança de TIAspectos organizacionais da segurança de TI
Análise de RiscosAnálise de Riscos
Recomendações de segurança de TIRecomendações de segurança de TI
Política de segurança de sistemas de TIPolítica de segurança de sistemas de TI
Planejamento de segurança de TIPlanejamento de segurança de TI
Medidas
de proteção
Medidas
de proteção
Divulgação e conciência da
Política de segurança de TI
Divulgação e conciência da
Política de segurança de TI
Reavaliação da Política de segurança de TIReavaliação da Política de segurança de TI
Gestão
de riscos
Implementação
Política de segurança de TIPolítica de segurança de TI
Aspectos organizacionais da segurança de TIAspectos organizacionais da segurança de TI
Análise de RiscosAnálise de Riscos
Recomendações de segurança de TIRecomendações de segurança de TI
Política de segurança de sistemas de TIPolítica de segurança de sistemas de TI
Planejamento de segurança de TIPlanejamento de segurança de TI
Medidas
de proteção
Medidas
de proteção
Divulgação e conciência da
Política de segurança de TI
Divulgação e conciência da
Política de segurança de TI
Reavaliação da Política de segurança de TIReavaliação da Política de segurança de TI
Gestão
de riscos
Implementação
50. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
50
4 – ANÁLISE/AVALIAÇÃO E TRATAMENTO DE
RISCOS
GERENCIAR SEGURANÇA DE TI INCLUI A ANÁLISE A AVALIAÇÃO DE RISCOS E COMO
REDUZI-LOS A UM NÍVEL ACEITÁVEL. É NECESSÁRIO LEVAR EM CONTA OS
OBJETIVOS DA ORGANIZAÇÃO, BEM COMO AS NECESSIDADES ESPECÍFICAS DE
CADA SISTEMA E SEUS RISCOS.
NESTE CAPÍTULO VEREMOS COMO FAZER UMA AVALIAÇÃO DE RISCOS E COMO
MINIMIZÁ-LOS.
CapítuloCapítulo
4
51. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
51
OBJETIVO
Sistemas de informação estão constantemente sujeitos a riscos provenientes de ações
maliciosas, acidentes ou erros inadvertidos de usuários.
Avaliar os riscos potenciais e tomar ações para minimizá-los, é tarefa de uma gestão
de segurança da informação.
Neste capítulo serão abordadas as melhores práticas para avaliação de riscos e como
tratá-los.
Ao final deste capítulo você estará apto a:
Identificar, quantificar e priorizar os riscos;
Determinar ações de gestão apropriadas para o gerenciamento dos riscos de
segurança da informação;
Estabelecer os critérios de aceitação dos riscos;
Tomar decisões sobre o tratamento dos riscos.
52. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
52
ANALISANDO/AVALIANDO OS RISCOS DE SEGURANÇADAINFORMAÇÃO
Segundo as definições da norma, risco é a “combinação da probabilidade de um
evento e de suas conseqüências”.
Por evento de segurança da informação, entenda-se uma “ocorrência identificada de
um sistema, serviço ou rede, que indica uma possível violação da política de
segurança da informação, ou falha de controles, ou uma situação previamente
desconhecida, que possa ser relevante para a segurança da informação”. O evento é
então a concretização de uma ameaça, que por sua vez é a “causa potencial de um
incidente indesejado, que pode resultar em dano para um sistema ou organização”.
Portanto, avaliar riscos, passa pela avaliação de ameaças e vulnerabilidades.
O principal desafio à segurança da informação das organizações é identificar e
qualificar os riscos e ameaças às suas operações. Este é o primeiro passo no
desenvolvimento e gerenciamento de um efetivo programa de segurança. Identificar
os riscos e ameaças mais significantes tornará possível determinar ações apropriadas
para reduzi-los.
Uma vez identificados, os riscos devem ser qualificados para que sejam priorizados em
função de critérios de aceitação de riscos e dos objetivos relevantes para a
organização. Esta atividade é apenas um elemento de uma série de atividades de
gerenciamento de riscos, que envolvem implementar políticas apropriadas e controles
O que deve
ser
protegido
Contra qual
ameaça
Avaliação
do
risco
Recomendações
O que deve
ser
protegido
Contra qual
ameaça
Avaliação
do
risco
Recomendações
53. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
53
relacionados, promover a conscientização das medidas, e monitorar e avaliar políticas
e controles efetivos.
A avaliação de riscos e ameaças não resulta em uma seleção de mecanismos de
prevenção, detecção e resposta para redução de riscos. Ao contrário ela simplesmente
indica as áreas onde esses mecanismos devem ser aplicados, e a a prioridade que
deve ser designada para o desenvolvimento de tais mecanismos. No contexto de
gerenciamento de riscos, a avaliação de riscos e ameaças irá recomendar como
minimizar, prevenir e aceitar os riscos.
Como os riscos e ameaças podem mudar com o passar dos tempos, é importante que
a organização periodicamente reavalie os mesmos e reconsidere as políticas e
controles selecionados.
54. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
54
Existem vários caminhos que podem comprometer um ativo, conforme o nível de
contra-medidas implementadas. A figura acima dá uma idéia de que não há segurança
totalmente garantida, mas sim implementações sujeitas a falhas. Isso não deve ser
desanimador, pois implementar algumas contra-medidas, é melhor do que não
implementar nenhuma. A avaliação de riscos, visa exatamente, determinar se as
contra-medidas existentes são suficientes ou não.
Ameaças não
intencionais
Ameaças mal
intencionadas
Incidentes
catastróficos
Razões e
objetivos
Ferramentas
Técnicas e
Métodos
Ferramentas
Técnicas e
Métodos
Ferramentas
Técnicas e
Métodos
Ativos
Boas políticas de
segurança
bloqueiam alguns
ataques
Controles e
diretrizes de
segurança
Vulnerabilidades
Fracas diretrizes de
segurança podem
permitir uma
ataque
Nenhum controle
ou diretriz de
segurança
Caminhos para se comprometer um ativo
Ameaças não
intencionais
Ameaças mal
intencionadas
Incidentes
catastróficos
Razões e
objetivos
Ferramentas
Técnicas e
Métodos
Ferramentas
Técnicas e
Métodos
Ferramentas
Técnicas e
Métodos
Ativos
Boas políticas de
segurança
bloqueiam alguns
ataques
Controles e
diretrizes de
segurança
Vulnerabilidades
Fracas diretrizes de
segurança podem
permitir uma
ataque
Nenhum controle
ou diretriz de
segurança
Caminhos para se comprometer um ativo
55. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
55
Independente do tipo de risco a ser considerado, uma avaliação de riscos geralmente
inclui os seguintes passos:
Identificar ameaças que podem causar danos e afetar ativos e operações
críticas. Ameaças incluem itens como intrusões, crimes, empregados
insatisfeitos, terrorismo e desastres naturais;
Estimar a probabilidade da concretização das ameaças, baseado em
informações históricas e julgamento de conhecimentos individuais;
Identificar e qualificar o valor, susceptibilidade e criticidade da operação e do
ativo que poderá ser afetado se a ameaça se concretizar, a fim de determinar
quais operações e ativos são mais importantes;
Identificar o custo das ações para eliminar ou reduzir o risco. Isto poderá incluir a
implementação de novas políticas organizacionais e procedimentos, bem como
controles físicos ou técnicos;
Documentar os resultados e desenvolver planos de ação.
Identificar ameaçasIdentificar ameaças
Estimar probabilidade
de concretização
de cada ameaça
Estimar probabilidade
de concretização
de cada ameaça
Identificar
o que a ameaça
afetará
Identificar
o que a ameaça
afetará
Identificar custos de
redução de riscos
Identificar custos de
redução de riscos
Documentar resultados
e criar planos de ação
Documentar resultados
e criar planos de ação
Passos para uma avaliação de riscos
Identificar ameaçasIdentificar ameaças
Estimar probabilidade
de concretização
de cada ameaça
Estimar probabilidade
de concretização
de cada ameaça
Identificar
o que a ameaça
afetará
Identificar
o que a ameaça
afetará
Identificar custos de
redução de riscos
Identificar custos de
redução de riscos
Documentar resultados
e criar planos de ação
Documentar resultados
e criar planos de ação
Passos para uma avaliação de riscos
56. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
56
TRATANDO OS RISCOS DE SEGURANÇADAINFORMAÇÃO
O nível de riscos à segurança da informação aumenta conforme aumenta o nível das
ameaças e vulnerabilidades, como pode ser visto na matriz de gerenciamento de
riscos [13
] acima.
O nível do risco existente em uma organização pode ser categorizado como:
Alto: requer imediata atenção e implementação de contra-medidas;
Médio: Requer atenção e implementação de contra-medidas em um futuro
próximo;
Baixo: Requer alguma atenção e consideração para implementação de contra-
medidas como boas práticas de negócios.
Cada ameaça e vulnerabilidade identificada também deve ser qualificada. Essa
classificação varia conforme a organização e o departamento. Por exemplo, a ameaça
de enchente preocupa muito mais organizações instaladas nas proximidades de rios
do que aquelas instaladas em regiões áridas. Danos causados a banco de dados de
pesquisas de marketing podem ser menos danosos do que danos causados a
informações relativas ao fluxo financeiro da organização.
Os níveis de qualificação das ameaças podem ser assim definidos:
Alto nível de
vulnerabilidade
Alto nível
de
ameaças
Baixo nível de
vulnerabilidade
Baixo nível
de
ameaças
Médio risco
Médio risco Alto risco
Baixo risco
Matriz de gerenciamento de riscos
Alto nível de
vulnerabilidade
Alto nível
de
ameaças
Baixo nível de
vulnerabilidade
Baixo nível
de
ameaças
Médio risco
Médio risco Alto risco
Baixo risco
Matriz de gerenciamento de riscos
57. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
57
Não aplicável: significa que a ameaça considerada não é relevante para a
situação examinada;
Baixo: não há histórico e considera-se que é improvável a concretização da
ameaça;
Médio: significa que há algum histórico e probabilidade que a ameaça se
concretize;
Alto: significa que há um histórico significante e uma avaliação de que a ameaça
está por acontecer.
O objetivo da análise de riscos é identificar e avaliar os riscos e ameaças pelo qual o
sistema de TI e seus ativos estão expostos, a fim identificar e selecionar
contramedidas apropriadas.
O tabela da página seguinte [14
] ilustra como a avaliação das informações de ameaças
pode ser qualificada com base nos ativos que são colocados em risco.
A avaliação de ameaças conforme a tabela inclui:
a. Descrever as ameaças em termos de quem, como e quando;
b. Estabelecer em qual classe de ameaça a ameaça se enquadra;
c. Determinar a probabilidade da concretização da ameaça;
d. Determinar as conseqüências nas operações do negócio, caso a ameaça se
concretize;
e. Calcular se o impacto das conseqüências leva a seqüelas pouco sérias, sérias
ou excepcionalmente graves.
f. Calcular a taxa de exposição para cada ameaça, em termos da severidade
relativa para a organização.
58. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
58
Ativo Descreva o ativo
Agente /
evento
- Descreva a ameaça
Classificação
da ameaça
- Quebra de sigilo: ameaça a confidencialidade da informação
(Interceptação, manutenção imprópria, craker, procedimentos)
- Interrupção: ameaça a disponibilidade da informação
(terremoto, fogo, inundação, código malicioso, falha de energia)
- Modificação: ameaça a integridade da informação (entrada
errada de dados, códigos maliciosos, crakers)
- Destruição: terremoto, fogo, inundação, vandalismo, pico de
energia)
- Remoção ou perda: ameaça a confidencialidade e
disponibilidade (Roubo de dados ou sistemas em mídias portáteis
como notebooks, Cds, disquetes)
Probabilidade
da ocorrência
- Baixo: a ameaça nunca se concretizou e é pouco provável que
ocorra
- Médio: há histórico de ocorrência e pode vir a ocorrer
- Alto: há histórico de ocorrência e grande probabilidade de ocorrer
Conseqüência
da ocorrência
Lista de conseqüências para a organização caso a ameaça se
concretize: relata as perdas ou outras conseqüências caso a
ameaça se concretiza
Impacto
Determinar o impacto para a organização em termos de custo
associados com perda de confiabilidade, integridade e
disponibilidade. O impacto pode ser:
- Excepcionalmente grave
- Sério
- Pouco Sério
Avaliação
da
ameaça
Taxa de
exposição
Valor numérico de 1 a 9:
- Excepcionalmente grave: 6 a 9
- Sério: 4 a 6
- Pouco Sério: 1 a 3
59. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
59
A tabela a seguir, mostra um modelo genérico de avaliação de riscos e
recomendações. Juntamente com a tabela anterior pode ser usado para auxiliar na
tomada de decisão que deve ser feita para o tratamento de cada risco identificado.
Segundo a norma, possíveis opções de tratamento do risco incluem:
a. Aplicar controles apropriados para reduzir os riscos;
b. Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem
claramente à política da organização e aos critérios para aceitação de risco;
c. Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos;
d. Transferir os riscos associados para outras partes, por exemplo, seguradoras ou
fornecedores.
Ativo Descreva o ativo
Contra-medidas
existentes
DESCREVA: contra-medidas existentes para
combater a ameaça
Vulnerabilidades
DESCREVA: as vulnerabilidades relacionadas com a
ameaça
Avaliação de riscos
Riscos
AVALIE os riscos como:
- Baixo
- Médio
- Alto
Contra-medidas
propostas
RECOMENDA-SE: implementação de novas contra-
medidas ou remoção de contra-medidas
desnecessárias
Riscos projetados
AVALIE: os riscos projetados como:
- Baixo
- Médio
- Alto
Recomendações
Avaliação de
contra-medidas
AVALIE AS CONTRA-MEDIDAS COMO:
- Completamente satisfatória
- Satisfatória na maioria dos aspectos
- Necessita melhoras
60. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
60
5 – POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
NESTE CAPÍTULO VEREMOS COMO CRIAR UMA POLÍTICA DE SEGURANÇA DA
INFORMAÇÃO
Capítulo
5
61. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
61
OBJETIVO
Escrever uma política de segurança da informação envolve comprometimento de
diversas áreas de interesse e deve ser abraçada por todos, desde a direção da
organização até cada um dos funcionários, clientes e fornecedores com acesso ao
sistema de informação, ou que possam de alguma forma comprometer o ativo
protegido.
O documento de política de segurança da informação deve ser elaborado de forma a
servir como uma regra a ser seguida. Constantemente exigirá atualizações que reflitam
as necessidades do negócio e a realidade da organização.
Neste capítulo veremos como criar e organizar uma política de segurança da
informação nas organizações.
Ao final deste capítulo você estará apto a:
Conceituar o que é uma política de segurança da informação;
Fazer uma análise crítica da política de segurança da informação;
Estabelecer uma criteriosa política de segurança da informação conforme os
requisitos do negócio;
Entender os documentos requeridos para a implantação e divulgação da política
de segurança da informação;
62. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
62
O QUE É UMAPOLÍTICADE SERURANÇADAINFORMAÇÃO
Segundo a norma ABNT NBR ISO/IEC 17799:2005, uma política de segurança da
informação visa “Prover uma orientação e apoio da direção para a segurança da
informação de acordo com os requisitos do negócio e com as leis e regulamentações
relevantes”, ou seja, ela propõe uma política que sistematize um processo a fim de
minimizar as preocupações da direção com a segurança de seus ativos.
Escrever uma política é uma tarefa muitas vezes difícil e deve contar com o
envolvimento de várias pessoas, de vários departamentos. Isso não deve ser
desanimador e não se deve procrastinar o início dos trabalhos, haja vista a fragilidade
a que o negócio pode estar exposto.
Se necessário, para implementar e manter esta política, deverá ser utilizada
consultoria especializada, com conhecimento nos diversos aspectos da segurança dos
bens de informação e das tecnologias que os apóiam.
Possuir uma política de segurança da informação na organização é importantíssimo
para o sucesso dos negócios. É preferível uma política mal escrita do que nenhuma
política.
“Prover uma orientação e apoio da direção para a
segurança da informação de acordo com os requisitos
do negócio e com as leis e regulamentações
relevantes”
É preferível uma política
mal escrita do que nenhuma
política.
“Prover uma orientação e apoio da direção para a
segurança da informação de acordo com os requisitos
do negócio e com as leis e regulamentações
relevantes”
É preferível uma política
mal escrita do que nenhuma
política.
63. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
63
CRIANDO UMAPOLÍTICADE SEGURANÇADAINFORMAÇÃO
O primeiro passo para a criação de uma política de segurança da informação é ter
alguém responsável por ela. Deve haver uma área responsável pela política de
segurança da informação, que se incumbirá de sua criação, implantação, revisão,
atualização e designação de funções. Nessa área deve ser escolhido um gestor
responsável pela análise e manutenção da política. Para garantir a aplicação eficaz da
política, o ideal é que o alto escalão, como diretoria, gerentes e supervisores façam
parte dessa área, além de usuários, desenvolvedores, auditores, especialistas em
questões legais, recursos humanos, TI e gestão de riscos.
Thomas A. Wadlow [10
], propõe um processo para se estabelecer uma política que
prevê a possibilidade de implantação imediata na organização sem muita delonga. A
princípio o processo não requer o engajamento imediato da direção, que, aos poucos
deverá ser incluída. Essa abordagem, leva em consideração a experiência na
implantação do processo da política.
Como a norma é explícita no comprometimento da direção, neste curso adotaremos
uma abordagem adaptada de Thomas A. Wadlow como o ponto de partida para a
tarefa de implantação da política de segurança da informação. Vamos supor que você
leitor foi escolhido como o responsável pela implantação da política de segurança da
informação. Siga os passos abaixo para dar início aos trabalhos o quanto antes:
1. Escreva o esboço do documento
2. Apresente seu esboço para a diretoria
3. Crie um comitê de política e segurança
4. Divulgue a política
5. Leve a política a sério
6. Acate sugestões
7. Reavalie periodicamente
8. Refaça o processo
1. Escreva o esboço do documento
2. Apresente seu esboço para a diretoria
3. Crie um comitê de política e segurança
4. Divulgue a política
5. Leve a política a sério
6. Acate sugestões
7. Reavalie periodicamente
8. Refaça o processo
64. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
64
1. Escreva o esboço do documento da política de segurança para sua
organização. Esse documento deve ser genérico, possuir apenas suas idéias
principais, sem preocupação com precisão. Não deverá possuir mais do que 5
páginas. Escreva também uma justificativa para sua implantação, sempre com o
foco nos negócios e riscos a que a organização está sujeita caso não se
implante a política de segurança da informação.
Procure fazer um documento com foco nos processos de negócio, e não na
tecnologia. Para obter o apoio da diretoria é necessário que se mostre qual
operação está em risco.
1. Escreva o esboço do documento
2. Apresente seu esboço para a diretoria
3. Crie um comitê de política e segurança
4. Divulgue a política
5. Leve a política a sério
6. Acate sugestões
7. Reavalie periodicamente
8. Refaça o processo
Criando uma política de segurança da informação
1. Escreva o esboço do documento
2. Apresente seu esboço para a diretoria
3. Crie um comitê de política e segurança
4. Divulgue a política
5. Leve a política a sério
6. Acate sugestões
7. Reavalie periodicamente
8. Refaça o processo
Criando uma política de segurança da informação
65. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
65
2. Apresente seu esboço para a diretoria. O objetivo é angariar a confiança no
projeto e o engajamento da direção. Uma vez que ela esteja convencida da
importância da política, você terá carta branca para a o início da implantação.
O apoio da diretoria é fundamental para o sucesso da política de segurança. Em
algumas situações somente com o apoio da diretoria será possível aplicar as
políticas criadas.
1. Escreva o esboço do documento
2. Apresente seu esboço para a diretoria
3. Crie um comitê de política e segurança
4. Divulgue a política
5. Leve a política a sério
6. Acate sugestões
7. Reavalie periodicamente
8. Refaça o processo
Criando uma política de segurança da informação
1. Escreva o esboço do documento
2. Apresente seu esboço para a diretoria
3. Crie um comitê de política e segurança
4. Divulgue a política
5. Leve a política a sério
6. Acate sugestões
7. Reavalie periodicamente
8. Refaça o processo
Criando uma política de segurança da informação
66. Academia Latino-Americana de Segurança da Informação
Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1
66
3. Crie um comitê de política de segurança. Esse comitê deverá ser formado por
pessoas interessadas na criação da política de segurança e devem ser de
setores distintos na organização. Com base em seu documento, a função do
comitê será:
a. escrever as regras para a política;
b. definir atribuições;
c. detalhar os procedimentos bem como as penas para violações da
mesma;
d. aprovar as normas estipuladas e alterações propostas.
O comitê terá a função legisladora do processo. Porém, continua sendo sua a
responsabilidade pela aplicação da política. O comitê deverá se reunir pelo
menos uma vez a cada três meses e, extraordinariamente, se houver
necessidade. A reunião tem o objetivo de avaliar e aprimorar a política de
segurança, os incidentes ocorridos e as ações tomadas para correção.
O documento criado por você, juntamente com o comitê, deverá ter uma
linguagem simples a fim de que todos os usuários a entendam e possam aplicá-
la com facilidade. Assim, para que a política de segurança da informação seja
eficaz, o documento será na verdade, um conjunto de políticas inter-
relacionadas. A partir deste momento, você já terá em mãos um documento
oficial que deverá ser aceito e aprovado pela direção. Dependendo da natureza
da organização esse documento tende a ser muito extenso com dezenas ou
centenas de páginas.
1. Escreva o esboço do documento
2. Apresente seu esboço para a diretoria
3. Crie um comitê de política e segurança
4. Divulgue a política
5. Leve a política a sério
6. Acate sugestões
7. Reavalie periodicamente
8. Refaça o processo
Criando uma política de segurança da informação
1. Escreva o esboço do documento
2. Apresente seu esboço para a diretoria
3. Crie um comitê de política e segurança
4. Divulgue a política
5. Leve a política a sério
6. Acate sugestões
7. Reavalie periodicamente
8. Refaça o processo
Criando uma política de segurança da informação