8. APLICAÇÃO DE UM SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO (SGSI)
8.3. Processo de desenvolvimento de um SGSI
Mesmo que do ponto de vista da intenção exista uma vontade explícita em adoptar a norma, o sucesso da implementação de um SGSI depende principalmente do envolvimento e aceitação generalizada da organização. O processo de estabelecimento de uma infra-estrutura compatível com as boas práticas da norma pode ser trabalhoso e por isso facilmente o entusiasmo e a dedicação podem esmorecer. O triunfo nessa implementação supõe uma mentalidade e estilo de vida orientado à segurança da informação que deve iniciar a partir da administração da organização. A segurança da informação não é um programa mas sim um processo. Deve ser criada uma base de trabalho para a introdução de um SGSI (figura 34) que permita implementar, gerir, manter e seja indutor dos processos de segurança da informação.
103
Figura 34: Desenvolvimento de um SGSI segundo a ISO 27001 Certificação
Processos
Entradas
Resultados
Guidelines do ISO 270022
3
4
1
Identificação riscos, assets, ameaças, vulnerabilidades ISO 27005 (ISO 13335-3) Guidelines do ISO 27002 Compromisso na implementação de um SGSI, responsabilidades O organismo decide implementar um SGSI Política de Segurança da InformaçãoIdentificação dos Riscos
Selecção dos Objectivos e Controlos Documento (perímetro de segurança) Documentos (política de segurança e estrutura do SGSI) Documentos (identificação dos assets
e listagem dos riscos)
Procedimentos e Relatórios SoA Verificação/Auditoria Procedimentos, Relatórios, Planeamento
5
Definição & Âmbito do SGSI Aplicação de controlos Planear o tratamento dosRiscos (Planeamento) Análise e Avaliação dos
104
Segue uma descrição das etapas e sensibilidades a ter na implementação de um SGSI:
Passo1: Compromisso da administração e definição de responsabilidades
A partir do apoio explícito e evidenciado pela administração numa Política de Segurança da Informação o SGSI define o perímetro de segurança e fornece um roadmap detalhado com a estratégia para cada uma das áreas de controlo do ISO 27002. Estas estratégias podem ser invocadas para a criação das políticas, normas, procedimentos, planos, comités e grupos ou até contratação de pessoas diferenciadas. De início é importante não só potenciar um líder de segurança (ou um CISO) para coordenar, de ponto de vista macro, a gestão adequada a um SGSI, mas também um fórum de segurança de informação de saúde para estruturar o modelo de governo clínico.
Passo 2: Definição e âmbito do SGSI (perímetro de segurança)
Uma das fases iniciais com maior dificuldade é a definição do perímetro de segurança, ou domínio de segurança no qual se pretende aplicar os controlos. Um perímetro de segurança normalmente pode estar focado na disponibilização segura de serviços de TI seja sobre a infra- estrutura como de processos de negócio. O perímetro de segurança pode ou não incluir toda a organização, embora seja obrigatório a organização poder controlar todo o processo. Depois de definido o perímetro de segurança deve ser proposto uma Gap Analysis para uma avaliação de alto nível das desconformidades existentes e que providencia um guia de requisitos de melhoria que dependerá de uma avaliação detalhada do Risco e do modo que será realizado o seu tratamento.
Passo 3: Definição de uma Política de Segurança de Informação
Uma política de segurança da informação pode ter vários formatos. Pode ser um único documento de política global, vários adaptados a várias audiências, ou uma declaração de uma política focada para uma determinada norma. Qualquer modelo terá de ser produzido de forma a mostrar claramente o comprometimento da administração na adopção dessas políticas.
105
Passo 4: Gestão do Risco - identificar, avaliar, e planear o tratamento
A aplicação da norma trata com grande incidência uma forma de gerir o risco. Para isso procura- se identificar qual o nível de conformidade com a norma a partir de uma Gap Analysis que faça uma avaliação do risco. Só é possível o desenvolvimento de uma estratégia para gerir e mitigar o risco se existir de base um inventário dos bens que devem ser protegidos e identificadas as ameaças e vulnerabilidades. Controlos devem ser seleccionados para poder evitar, transferir ou reduzir o risco até um nível aceitável. Uma análise de risco qualitativa é a aproximação à análise de risco mais utilizada. Não são utilizados dados estatísticos mas unicamente uma estimativa de potencial de perda. A maior parte das metodologias que utilizam análise de risco qualitativa fazem uso dos elementos ameaças, vulnerabilidades e controlos de uma forma inter- relacionada. As ameaças são eventos que podem ocorrer e atacar um sistema, tais como fogos, inundações, fraudes, etc. e que estão presentes diariamente. As vulnerabilidades tornam os sistemas mais simples de serem ameaçados provocando impacto. Os controlos são utilizados como elementos mensuráveis das vulnerabilidades e dividem-se em quatro frentes:
1. Desencorajar: reduzem a possibilidade de ataques deliberados;
2. Preventivos: protegem as vulnerabilidades e podem evitar ataques ou possíveis impactos; 3. Correctivos: reduzem o efeito de um ataque e
4. Detecção: descobrem ataques e activam controlos de prevenção e correcção.
Que podem ser adoptadas do seguinte modo:
Identificação dos bens: Um bem pode ser tangível como hardware ou intangível como uma base de dados de uma organização. Por definição um bem tem associado um valor para a organização e por isso necessita de ser protegido. Os bens devem ser identificados e determinado o seu dono. Deve ser atribuído um valor relativo para cada
bem para que seja dada a devida importância quando os riscos são quantificados. Identificar as ameaças: as ameaças exploram ou tomam partido das vulnerabilidades
dos bens para gerar riscos. As ameaças a que cada bem está sujeito devem estar identificadas. Cada bem pode estar sujeito a várias ameaças. Só as ameaças com probabilidade significante de acontecer ou de extremo impacto devem ser consideradas (roubo, alteração de uma base de dados, etc.);
106
Identificar as vulnerabilidades: as vulnerabilidades são reconhecidas como deficiências nos bens que podem ser exploradas pelas ameaças para produzir risco. Um bem pode estar sujeito a várias vulnerabilidades (falta de controlo de acesso a uma base de dados ou backups insuficientes);
Identificar o impacto: o valor do impacto deve ser quantificado e reflectidos numericamente os prejuízos de uma exploração bem sucedida. Este valor permite uma avaliação numa escala relativa da gravidade de um determinado risco independentemente da sua probabilidade. O impacto não está relacionado com a probabilidade. A avaliação e a mitigação do risco é o principal objectivo de um SGSI. Matematicamente, o risco pode ser determinado com base na probabilidade para cada combinação de ameaça/vulnerabilidade vezes o impacto [31].
Risco = Probabilidade x Impacto
No qual a probabilidade é determinada pela ameaças cruzadas com as vulnerabilidades e o impacto do ataque é o custo para a organização associado ao bem afectado. Esta interpretação numérica permite prioritizar com base nos recursos disponíveis, os riscos a mitigar.
A figura 35 apresenta o efeito das diferentes medidas de segurança e como são relacionadas. O significado deste modelo é apresentar uma estrutura de controlo preventivo que ajude a estruturar conceitos e práticas que desencorajem ataques.
Figura 35: Cálculo de risco - antes e após a aplicação de controlos de segurança (adaptado de McCumber62) [31]
62
John McCumber criou um framework que estabelece e avalia a segurança da informação baseado-se numa matriz de cubo de Rubik (3 dimensões) e utilizando as propriedades (confidencialidade, integridade e disponibilidade)
Bem Ameaça Vulnerabilidade RISCO Bem Ameaça Vulnerabilidade RISCO
107
Verifique-se na figura36 a relação entre o risco e o impacto das ameaças para uma organização. Depreende-se que os requisitos de segurança preenchem os controlos que protegem contra as ameaças que exploram as vulnerabilidades dos bens que têm valor para a empresa.
Figura 36: Impacto do risco sobre os bens da organização (adaptada da ISO 27799)
Passo 5: Seleccionar os objectivos e Controlos
O objectivo principal de um controlo de segurança é o de reduzir o efeito conjugado das ameaças e vulnerabilidades à segurança do sistema de informação a um nível tolerado pela empresa. O ideal seria que o controlo fosse capaz de reduzir simultaneamente a probabilidade de ocorrência da ameaça e o seu impacto no negócio (disponibilidade, integridade e confidencialidade). Um controlo devidamente implementado fará diminuir a probabilidade ou o impacto mas até a um determinado limite uma vez que o investimento na aplicação dos controlos pode elevar-se a custos exorbitantes com investimentos sem retorno. Os controlos permitem mitigar os riscos identificados na fase da Avaliação do Risco. Deve ser produzido um documento designado de “Statement of Applicability” que é uma parte do SGSI que documenta como os riscos identificados na Avaliação do Risco da Segurança, são mitigados com a utilização dos controlos seleccionados. Este documento endereça as 11 cláusulas de controlo do ISO 27002, e selecciona ou exclui o uso de controlos.
108