O Gerenciamento da Segurança da Informação é um processo importante que visa contro- lar a provisão de informações e evitar seu uso não autorizado. Por muitos anos, o Geren- ciamento da Segurança da Informação não foi tratado como assunto de importância nas organizações. A informação hoje é um dos ativos mais valiosos. A segurança da informação é hoje considerada uma das questões críticas da organização, visto que hoje todos os dados estão armazenados em aplicações de TI. Há uma preocupação constante com entrada de vírus, ataques de hacker e acesso não autorizado aos dados nos sistemas.
Objetivo
Objetivos deste processo:
q
1Garantir que o acesso à informação seja fornecido de maneira correta (confidencialidade dos dados).
1Garantir que a informação seja entregue integralmente, precisa e protegida contra a modificação (integridade dos dados).
1Disponibilizar a informação e deixá-la usável quando requerida, preparando os sistemas de TI para que eles possam resistir aos ataques e prevenir falhas de segurança (disponibilidade dos dados).
1Garantir a confiabilidade das transações (troca de informações) que existem na corporação e entre parceiros (autenticidade).
Descrição do processo
O processo de Gerenciamento da Segurança da Informação é baseado na ISO/IEC 27001. Esta norma estabelece uma estrutura de etapas, conforme mostra a figura seguinte, para implantar um sistema de gerenciamento da segurança da informação.
e S er vi ço s d e T I Manter Aprender Melhorar Planejar Implantar Criar conscientização Classificação e registro Segurança pessoal Segurança física Direitos de acesso Gestão de incidentes Implantar Auto-avaliações Incidentes de segurança Auditorias internas e externas Avaliar ANS, ANO Contratos de suporte Declaração de políticas Planejar Controlar Organizar Estabelecer estruturas Alocar responsabilidades Controlar
A atividade de controle é a primeira atividade do gerenciamento de segurança e refere-se à organização e ao gerenciamento do processo, formando a estrutura do Gerenciamento da Segurança da Informação. Esta estrutura descreve os sub-processos, a definição do planeja- mento de segurança, suas implementações, avaliações de implementações e incorporação das avaliações no planejamento anual de segurança (planos de ação). Os relatórios forneci- dos ao cliente através do Gerenciamento de Nível de Serviço são também abordados. Esta atividade define os sub-processos, funções de segurança, papéis e responsabilidades. Ela também descreve a estrutura organizacional, acordos sobre relatórios e linha de controle (quem dá instruções a quem, quem faz o quê, como a implantação será relatada).
Planejar
A atividade de planejamento inclui definir a sessão de segurança do Acordo de Nível de Serviço (ANS) em conjunto com o Gerenciamento de Nível de Serviço, e as atividades em contratos com terceiros relacionados à segurança. Os objetivos no Acordo de Nível de Serviço, definidos em termos gerais, são detalhados e especificados na forma de um Acordo de Nível Operacional (ANO). Um ANO pode ser considerado como um planejamento de segurança para uma unidade do provedor de serviço, como para cada plataforma de TI, apli- cação e rede. A atividade de planejamento não somente recebe dados de entrada do Acordo de Nível de Serviço como também das políticas e princípios do provedor de serviço (de sua atividade de controle). Exemplos destes princípios incluem:
1Cada usuário deve ser identificado de forma única;
Figura 2.12 Processo de gerenciamento de segurança.
Ca pí tu lo 2 - P ro je to d e S er vi ço
infraestrutura de TI, usando dados de entrada fornecidos pelo Gerenciamento de Segu- rança. A atividade de planejamento é discutida com o Gerenciamento de Nível de Serviço para definir, atualizar e compatibilizar com a sessão de segurança do Acordo de Nível de Serviço. O Acordo de Nível de Serviço, por sua vez, deve definir os requisitos de segurança em termos mensuráveis, quando possível. Os requisitos e padrões de segurança do cliente devem ser verificáveis, realistas e possíveis de serem alcançados.
Implantar
O passo de implantação tem o objetivo de implementar todas as medidas específicas no planejamento. A seguinte lista pode servir de suporte a esta atividade:
1Classificação e gerenciamento de recursos de TI:
2Fornecimento de dados de entrada para manutenção dos itens de configuração;
2Classificação de recursos de TI em acordo com as regras acordadas.
1Segurança de pessoal:
2Tarefas e responsabilidades nas descrições de trabalho;
2Seleção;
2Acordos de confidencialidade para o pessoal;
2Treinamento;
2Regras para o pessoal sobre como lidar com incidentes e pontos fracos na segurança;
2Medidas disciplinares;
2Consciência crescente da segurança.
1Gerenciamento da segurança:
2Implantação de responsabilidades e de separação de tarefas;
2Instruções operacionais por escrito;
2Regulamentos internos;
2A segurança deve cobrir o ciclo de vida por inteiro: deve haver regras de segurança para desenvolvimento de sistema, teste, aceitação, operação, manutenção e término;
2Separação do ambiente de teste do ambiente de produção;
2Procedimentos para lidar com incidentes (responsabilidade do Gerenciamento de Incidente);
2Implantação de infraestrutura de recuperação;
2Fornecimento de dados de entrada para o Gerenciamento de Mudança;
2Implantação de medidas de proteção contra vírus;
2Implantação de medidas de gerenciamento para computadores, aplicativos, redes e serviços de rede;
2Lidar com segurança de dados de mídia.
Avaliar
É essencial uma avaliação independente da implantação das medidas planejadas. Esta avaliação é necessária para avaliar o desempenho, sendo também requerida por clientes e terceiros. Os resultados da atividade de avaliação podem ser usados para atualizar as medidas acordadas em consultas com os clientes, e também para sua implantação. Os resultados da avaliação podem
e S er vi ço s d e T I
sugerir mudanças, caso em que uma requisição de mudança é definida e submetida ao processo de gerenciamento de mudança.
Há três formas de avaliação:
1Autoavaliação: primariamente executada pela gestão do processo;
1Auditorias internas: tomadas por auditores internos;
1Auditorias externas: tomadas por auditores externos.
Manutenção
Segurança requer manutenção, pois os riscos mudam em função de mudanças na infra- estrutura de TI e nos processos de negócio e da organização. A manutenção de segurança inclui a manutenção da sessão de segurança do Acordo de Nível de Serviço e a manutenção de planos detalhados de segurança.
A manutenção é feita com base nos resultados da atividade de avaliação e em uma análise de mudanças nos riscos. Estas propostas podem ser tanto introduzidas na atividade de planejamento como na manutenção do Acordo de Nível de Serviço. Em ambos os casos, as propostas podem resultar em atividades a serem incluídas no planejamento anual de segu- rança. Qualquer mudança está sujeita ao processo normal do Gerenciamento de Mudança.
Atividades
O propósito do processo de Gerenciamento da Segurança da Informação é assegurar que os aspectos de segurança com relação aos serviços, e todas as atividades de gerenciamento de ser- viço estejam apropriadamente gerenciadas, controladas e alinhadas às necessidades de negócio. Atividades deste processo:
q
1Produção e revisão de uma Política de Segurança da Informação global e um conjunto de especificações de suporte.
1Comunicação, implementação e reforço da política de segurança.
1Determinação, classificação e documentação de todos os ativos de informação
1Implementação, revisão e melhoria de um conjunto de controles de segurança e determinação de riscos e respostas aos riscos.
1Monitoração e gerenciamento de todas as brechas de segurança e incidentes de segurança maiores.
1Analisar, relatar e reduzir o volume e impactos de brechas de segurança e incidentes.
Ca pí tu lo 2 - P ro je to d e S er vi ço
A interação entre estas atividades é mostrada na figura abaixo.
Sistema de Informação de Gerenciamento de Segurança (SMIS) Comunica, implementa e força aderência à política de segurança Monitora e gerencia incidentes e brechas de segurança
Relata, revê e reduz incidentes maiores e brechas de segurança
Produz e mantém uma Política de Segurança da Informação Determina e categoriza ativos de informação, riscos e vulnerabilidades Regularmente determina, revê e relata riscos e ameaças de segurança
Impõe e revê controles de risco de segurança, revê e implementa mitigação de risco Controles de segurança Relatórios e informação de segurança Riscos de segurança e respostas Política de Segurança da Informação
Funcional
q
O gerente de segurança é responsável por:
1Garantir que os objetivos do processo serão atendidos:
1Desenvolver e manter a política de segurança da informação.
1Comunicar e publicar a política de segurança da informação para todas as áreas da organização.
1Garantir que a política de segurança da informação esteja adequada e de fato sendo seguida na organização.
Relacionamentos
A implementação efetiva e eficiente de uma Política de Segurança da Informação dentro de uma organização será dependente de bons processos de gerenciamento de serviço. Real- mente, a implementação efetiva de alguns processos pode ser vista como um pré-requisito para um controle de segurança eficiente.
Figura 2.13 Interação das atividades do gerenciamento de segurança.
e S er vi ço s d e T I
Interfaces do Gerenciamento da Segurança da Informação com outros processos:
1Gerenciamento de Incidente e Problema: usado no provimento de assistência e na
resolução e subsequente justificativa e correção de incidentes e problemas de segurança. O processo de Gerenciamento de Incidente deve incluir a habilidade de identificar e tratar incidentes de segurança. Equipes da Central de Serviço e Operação de Serviço devem identificar um incidente de segurança;
1Gerenciamento de Continuidade de Serviço de TI: determinação do impacto e risco
do negócio, e o fornecimento de mecanismos de resiliência e recuperação. Um plano de continuidade de serviço é um requisito mandatório na ISO 27001;
1Gerenciamento de Nível de Serviço: auxilia na determinação dos requisitos de segu-
rança, responsabilidade e inclusão com RNS e ANS, juntos com a investigação e resolução de brechas de segurança de componentes e serviços;
1Gerenciamento de Mudança: o Gerenciamento da Segurança da Informação deve
auxiliar na determinação de cada mudança para o controle do impacto sobre a segurança, podendo prover ainda informações sobre mudanças não autorizadas;
1Gerenciamento de Configuração: provê informações de ativos articuladas com a classi-
ficação de segurança, sendo um sistema que quando bem elaborado é extremamente útil para a gestão da segurança;
1Gerenciamento de Disponibilidade: a segurança é frequentemente vista como um ele-
mento deste processo, através dos aspectos de confidencialidade, integridade e disponi- bilidade (CID);
1Gerenciamento de Capacidade: deve considerar implicações de segurança na seleção
e introdução de novas tecnologias, pois a segurança é uma consideração importante na aquisição de novas tecnologias ou softwares;
1Gerenciamento Financeiro: deve prover recursos adequados para o financiamento de
requisitos de segurança;
1Gerenciamento de Fornecedor: deve considerar as condições de acesso aos serviços e
sistemas nos contratos, além das definições de responsabilidades.
Assuntos relacionados a recursos humanos e legais devem ser considerados na inves- tigação de incidentes de segurança.
Benefícios
q
1Assegura que a Política da Segurança da Informação seja mantida e reforçada no preenchimento das necessidades da Política de Segurança do Negócio e dos requisitos de governança corporativa.
1Evidencia as necessidades de segurança em todos os serviços de TI e ativos da organização, assegurando que a política está apropriada para as necessidades da organização.
1Provê garantia dos processos de negócio através do reforço apropriado dos controles de segurança em todas as áreas de TI.
Ca pí tu lo 2 - P ro je to d e S er vi ço
serviços de TI e ativos na organização, assegurando que a política está apropriada para as necessidades da organização.
O Gerenciamento da Segurança da Informação provê ainda a garantia dos processos de negócio pelo reforço apropriado dos controles de segurança em todas as áreas de TI, e pelo gerenciamento do risco de TI alinhado com os processos e direcionamentos da gestão de riscos corporativos e de negócios.
Problemas comuns
Um dos maiores desafios do Gerenciamento da Segurança da Informação é assegurar que existe suporte adequado do negócio pela gerência superior. Sem este apoio será impossível estabelecer um processo efetivo de Gerenciamento da Segurança da Informação. A imple- mentação de política de segurança, de procedimentos e controles na TI perde o rumo com a ausência de apoio pelas instâncias gestoras do negócio. O maior uso de serviços e ativos de TI é fora da área de TI, bem como os riscos e ameaças de segurança decorrentes.
Em algumas organizações, a percepção do negócio é de que a segurança é uma responsabili- dade de TI e, portanto o negócio assume que a TI será responsável por todos os aspectos de segurança e que os serviços serão adequadamente protegidos. Entretanto, sem o compro- metimento e suporte das áreas de negócio, o investimento em controles e procedimentos de segurança será desperdiçado e perderá efetividade.
Se existe um processo de segurança do negócio estabelecido, então o desafio passa a ser a inte- gração e o alinhamento entre a segurança do negócio e a segurança da informação. Alcançado este alinhamento, o desafio transfere-se para a manutenção e alinhamento pelo gerenciamento e controle das mudanças do negócio e de TI, através de controles estritos do Gerenciamento de Mudança e Gerenciamento de Configuração.
Principais fatores críticos de sucesso neste processo:
q
1Manutenção da proteção do negócio contra violações de segurança.
1A determinação de uma política clara e acordada, integrada com as necessidades do negócio.
1Adequação dos procedimentos de segurança e apoio da alta gerência.
1Capacitação efetiva em requisitos de segurança.
1Integração da segurança da informação aos processos e serviços de TI.
1A disponibilidade dos serviços não estar associada aos incidentes de segurança.
1Clareza de propriedade e responsabilidade das políticas de segurança para os clientes.
Indicadores de desempenho
Muitos indicadores podem ser usados para determinar a efetividade e eficiência do processo de Gerenciamento da Segurança da Informação. Entre tais indicadores estão:
q
1Negócio protegido contra violações de segurança.
1Porcentagem na diminuição de brechas de segurança relatadas pela Central de Serviço.
1Porcentagem de diminuição no impacto dos incidentes e brechas de segurança.
1Aumento dos parâmetros no ANS em conformidade com cláusulas de segurança.
1Diminuição no número de não conformidades de segurança detectado durante auditorias e testes de segurança.
e S er vi ço s d e T I