Procedimentos e responsabilidades operacionais

Objetivo: Garantir a operação segura e correta dos recursos de processamento da informação.

Convém que os procedimentos e responsabilidades pela gestão e operação de todos os recursos de processamento das informações sejam definidos. Isto abrange o desenvolvimento de procedimentos operacionais apropriados.

Convém que seja utilizada a segregação de funções quando apropriado, para reduzir o risco de mau uso ou uso doloso dos sistemas.

10.1.1 Documentação dos procedimentos de operação

Controle

Convém que os procedimentos de operação sejam documentados, mantidos atualizados e disponíveis a todos os usuários que deles necessitem.

Diretrizes para implementação

Convém que procedimentos documentados sejam preparados para as atividades de sistemas associadas a recursos de processamento e comunicação de informações, tais como procedimentos de inicialização e desligamento de computadores, geração de cópias de segurança (backup), manutenção de equipamentos, tratamento de mídias, segurança e gestão do tratamento das correspondências e das salas de computadores. Convém que os procedimentos de operação especifiquem as instruções para a execução detalhada de cada tarefa, incluindo:

a) processamento e tratamento da informação; b) backup (ver 10.5);

c) requisitos de agendamento, incluindo interdependências com outros sistemas, a primeira hora para início da tarefa e a última hora para o término da tarefa;

d) instruções para tratamento de erros ou outras condições excepcionais, que possam ocorrer durante a execução de uma tarefa, incluindo restrições de uso dos utilitários do sistema (ver 11.5.4);

e) dados para contatos de suporte para o caso de eventos operacionais inesperados ou dificuldades técnicas;

f) instruções para tratamento de resultados especiais e mídias, tais como o uso de formulários especiais ou o gerenciamento de resultados confidenciais, incluindo procedimentos para a alienação segura de resultados provenientes de rotinas com falhas (ver 10.7.2 e 10.7.3);

g) procedimento para o reinício e recuperação em caso de falha do sistema;

h) gerenciamento de trilhas de auditoria e informações de registros (log) de sistemas (ver 10.10).

Convém que procedimentos operacionais e os procedimentos documentados para atividades de sistemas sejam tratados como documentos formais e as mudanças sejam autorizadas pela direção. Quando tecnicamente possível, convém que os sistemas de informação sejam gerenciados uniformemente, usando os mesmos procedimentos, ferramentas e utilitários.

10.1.2 Gestão de mudanças

Controle

Convém que modificações nos recursos de processamento da informação e sistemas sejam controladas. Diretrizes para implementação

Convém que sistemas operacionais e aplicativos estejam sujeitos a rígido controle de gestão de mudanças. Em particular, convém que os seguintes itens sejam considerados:

a) identificação e registro das mudanças significativas; b) planejamento e testes das mudanças;

c) avaliação de impactos potenciais, incluindo impactos de segurança, de tais mudanças; d) procedimento formal de aprovação das mudanças propostas;

e) comunicação dos detalhes das mudanças para todas as pessoas envolvidas;

f) procedimentos de recuperação, incluindo procedimentos e responsabilidades pela interrupção e recuperação de mudanças em caso de insucesso ou na ocorrência de eventos inesperados.

Convém que sejam estabelecidos os procedimentos e responsabilidades gerenciais formais para garantir que haja um controle satisfatório de todas as mudanças em equipamentos, software ou procedimentos. Quando mudanças forem realizadas, convém que seja mantido um registro de auditoria contendo todas as informações relevantes.

Informações adicionais

O controle inadequado de modificações nos sistemas e nos recursos de processamento da informação é uma causa comum de falhas de segurança ou de sistema. Mudanças a ambientes operacionais, especialmente quando da transferência de um sistema em desenvolvimento para o estágio operacional, podem trazer impactos à confiabilidade de aplicações (ver 12.5.1).

Convém que mudanças em sistemas operacionais sejam apenas realizadas quando houver uma razão de negócio válida para tal, como um aumento no risco do sistema. A atualização de sistemas às versões mais atuais de sistemas operacionais ou aplicativos nem sempre é do interesse do negócio, pois pode introduzir mais vulnerabilidades e instabilidades ao ambiente do que a versão corrente. Pode haver ainda a necessidade de treinamento adicional, custos de licenciamento, suporte, manutenção e sobrecarga de administração, bem como a necessidade de novos equipamentos, especialmente durante a fase de migração.

10.1.3 Segregação de funções

Controle

Convém que funções e áreas de responsabilidade sejam segregadas para reduzir as oportunidades de modificação ou uso indevido não autorizado ou não intencional dos ativos da organização.

Diretrizes para implementação

A segregação de funções é um método para redução do risco de uso indevido acidental ou deliberado dos sistemas. Convém que sejam tomados certos cuidados para impedir que uma única pessoa possa acessar, modificar ou usar ativos sem a devida autorização ou detecção. Convém que o início de um evento seja separado de sua autorização. Convém que a possibilidade de existência de conluios seja considerada no projeto dos controles.

As pequenas organizações podem considerar a segregação de funções difícil de ser implantada, mas convém que o seu princípio seja aplicado sempre que possível e praticável. Onde for difícil a segregação, convém que outros controles, como a monitoração das atividades, trilhas de auditoria e o acompanhamento gerencial, sejam considerados. É importante que a auditoria da segurança permaneça como uma atividade independente.

10.1.4 Separação dos recursos de desenvolvimento, teste e de produção

Controle

Convém que recursos de desenvolvimento, teste e produção sejam separados para reduzir o risco de acessos ou modificações não autorizadas aos sistemas operacionais.

Diretrizes para implementação

Convém que o nível de separação dos ambientes de produção, testes e desenvolvimento que é necessário para prevenir problemas operacionais seja identificado e os controles apropriados sejam implementados. Convém que os seguintes itens sejam considerados:

a) as regras para a transferência de software da situação de desenvolvimento para a de produção sejam definidas e documentadas;

b) software em desenvolvimento e o software em produção sejam, sempre que possível, executados em diferentes sistemas ou processadores e em diferentes domínios ou diretórios;

c) os compiladores, editores e outras ferramentas de desenvolvimento ou utilitários de sistemas não sejam acessíveis aos sistemas operacionais, quando não for necessário;

d) os ambientes de testes emulem o ambiente de produção o mais próximo possível;

e) os usuários tenham diferentes perfis para sistemas em testes e em produção, e que os menus mostrem mensagens apropriadas de identificação para reduzir o risco de erro;

f) os dados sensíveis não sejam copiados para os ambientes de testes (ver 12.4.2). Informações adicionais

As atividades de desenvolvimento e teste podem causar sérios problemas, como, por exemplo, modificações inesperadas em arquivos ou sistemas ou falhas de sistemas. Nesse caso, é necessária a manutenção de um ambiente conhecido e estável, no qual possam ser executados testes significativos e que seja capaz de prevenir o acesso indevido do pessoal de desenvolvimento.

Quando o pessoal de desenvolvimento e teste possui acesso ao ambiente de produção e suas informações, eles podem introduzir códigos não testados e não autorizados, ou mesmo alterar os dados do sistema. Em alguns sistemas essa capacidade pode ser mal utilizada para a execução de fraudes, ou introdução de códigos maliciosos ou não testados, que podem causar sérios problemas operacionais.

O pessoal de desenvolvimento e testes também representa uma ameaça à confidencialidade das informações de produção. As atividades de desenvolvimento e teste podem causar modificações não intencionais no software e informações se eles compartilharem o mesmo ambiente computacional. A separação dos ambientes de desenvolvimento, teste e produção são, portanto, desejável para reduzir o risco de modificações acidentais ou acessos não autorizados aos sistemas operacionais e aos dados do negócio (ver 12.4.2 para a proteção de dados de teste).