Governança da Segurança da Informação
Mauricio Rocha Lyra (org.)
Brasília 2015
Copyright © 2015 de Mauricio Rocha Lyra
Direitos desta edição reservados à Mauricio Rocha Lyra Impresso no Brasil / Printed in Brazil
Todos os direitos reservados. A reprodução não autorizada desta publicação, no todo ou em parte, constitui violação do copyright (Lei nº 9.610/98)
Os conceitos emitidos nesta publicação são de inteira responsabilidade dos respectivos autores 1ª edição – 2015
Capa – Wanderson Tavares Borges
Diagramação – Luciana Mara de Sousa Castro Revisão Técnica – Mauricio Rocha Lyra
ISBN: 978-85-920264-1-7
L992
Lyra, Mauricio Rocha
Governança da Segurança da Informação/ Edição do Autor – Brasília, 2015 160p. 17,5cm x 25cm
ISBN 978-85-920264-1-7
1. Governança. 2. Segurança da Informação. 3. Planos de Segurança da Informação
CDD-600-000 Índices para catálogo sistemático
1. Segurança da informação: Ciência da computação 005.1
PREFACIO
Atualmente, as organizações estão se tornando mais e mais dependentes dos seus sistemas de informação. A clientela, por sua vez, está cada vez mais preocupada com o uso adequado das informações, notadamente com a privacidade dos seus dados pessoais. Entretanto, as ameaças ao principal ativo organizacional, isto é, à informação, aumentam a cada dia. Portanto, como a informação é a base da vantagem competitiva de uma organização, é vital garantir a segurança dessa informação.
Apesar do que pensam alguns, não é possível comprar soluções de prateleira de gestão e Governança de segurança da informação. Essa é uma atividade complexa, que demanda um olhar pleno sobre o ambiente organizacional, abordando temas tais como: estratégia, planejamento, aspectos humanos, normativos e políticas de segurança entre outros.
É essa abordagem sistêmica que nos traz o livro Governança de Segurança da Informação, organizado pelo Prof. Maurício Rocha Lyra, com capítulos escritos por alunos, mestres e doutores da pós-graduação do UNICEUB. O livro cobre desde a estratégia organizacional até aspectos de segurança da informação na produção de software, com foco, sempre, na agregação de valor que essa segurança da informação traz aos negócios.
Vivemos anos difíceis, de crescimento acelerado do crime cibernético, que coloca em xeque todo o comércio eletrônico. Para vencer essas ameaças, precisaremos de modelos de gestão e governança de segurança da informação. Nesse sentido, a publicação deste livro no Brasil é um marco, mostrando uma visão integrada e estratégica, que vai muito além das ferramentas e das soluções prontas do mercado.
João Souza Neto
APRESENTAÇÃO
A Governança é um tema muito presente na sociedade moderna, pois procura apresentar o sistema pelo qual as organizações são dirigidas e monitoradas, melhorando a transparência e a responsabilização das decisões nas corporações. A governança é um tema multifacetado e por isso a Governança da Segurança da Informação exerce seu papel trazendo o foco da discussão para a Segurança da Informação.
A obra inicia abordando a relação entre o planejamento estratégico e a segurança da informação. Remete o debate sobre segurança da informação para o nível estratégico da organização, colocando a questão em termos de danos potenciais e do eventual prejuízo financeiro que ela trará. O entendimento dessa relação auxiliará a alta direção da empresa a reconhecer a importância dos investimentos em segurança da informação para a organização.
O capitulo 1 apresenta os principais conceitos e princípios da segurança da informação que serão utilizados ao longo de toda a obra. O capítulo 2 trata do ciclo de vida da informação e os principais cuidados que devemos tomar com a segurança dos ativos da informação.
O capitulo 3 trabalha a organização da função segurança da informação nas empresas. Apresenta algumas possibilidades com suas características, vantagens e desvantagens e ainda apresenta os profissionais que trabalham com segurança da informação. O capítulo 4 mostra a importância de classificar os ativos da informação apresentando um roteiro de como fazê-lo utilizando a ISO27002.
O capitulo 5 trata dos aspectos humanos da segurança da informação, onde as pessoas são consideradas o elo mais frágil dessa corrente e como a engenharia social atua nessa fragilidade. O capítulo 6 apresenta os pilares da governança da segurança da informação e faz a separação conceitual entre os termos gestão e governança.
Os capítulos 7 e 8 desenvolvem a governança da segurança da informação segundo o COBIT 5 e a ISO27014. Nesses capítulos vamos entender como essa faceta da governança deve ser aplicada nas organizações.
capítulo 9; o Plano Diretor da Segurança da Informação, no capítulo 10; a Política de Segurança da Informação, no capítulo 11; o Plano de Continuidade é visto no capítulo 12 e no capítulo 13 temos o Plano de Contingência.
Por fim, o capitulo 14 apresenta um conjunto de reflexões sobre o impacto da segurança da informação no desenvolvimento de software. Nesse capítulo são apresentados os aspectos de segurança no desenvolvimento de software, a influência das normas de segurança na produção de software, o perfil dos recursos humanos na produção de software seguro e os novos desafios da área de produção de software no contexto da cibersegurança. O autor apresenta um framework a ser seguido na preparação dos aplicativos para a cibersegurança.
Mauricio Rocha Lyra
Sumário
ESTRATÉGIA E SEGURANÇA DE INFORMAÇÃO ... 1
CONCEITOS E PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO ... 9
O CICLO DE VIDA DA INFORMAÇÃO ... 21
ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO ... 27
CLASSIFICAÇÃO DOS ATIVOS DA INFORMAÇÃO ... 37
ASPECTOS HUMANOS DA SEGURANÇA DA INFORMAÇÃO ... 47
GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO ... 59
GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO SEGUNDO A ISO 27014:2013 ... 67
GESTÃO DA SEGURANÇA DA INFORMAÇÃO SEGUNDO O COBIT 5 ... 77
O PLANEJAMENTO ESTRATÉGICO DA SEGURANÇA DA INFORMAÇÃO – PESI ... 95
PLANO DIRETOR DE SEGURANÇA DA INFORMAÇÃO ... 105
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ... 117
PLANO DE CONTINUIDADE DE NEGÓCIOS ... 125
PLANO DE CONTINGÊNCIA ... 135
ASPECTOS DA SEGURANÇA DA INFORMAÇÃO NA PRODUÇÃO DE SOFTWARES ... 145
1
INTRODUÇÃO
ESTRATÉGIA E SEGURANÇA DE INFORMAÇÃO
Autor: Paulo Rogério Foina
Que a Tecnologia da Informação é fundamental para a operação das empresas, já é um fato consolidado e exaustivamente debatido na bibliografia, assim como a necessidade de se preservar os sistemas dos ataques de hackers e as informações dos vazamentos não autorizados. O que queremos mostrar neste capítulo é a necessidade de se tratar a segurança da informação no nível estratégico das organizações e não deixar essa tarefa apenas para as equipes técnicas especializadas.
Para se estabelecer o grau de importância para as informações, que existem dentro de uma organização, é necessário avaliar o dano que a sua perda, ou o seu vazamento, poderá provocar para a operação ou para os negócios. Essa análise deve ser feita durante o planejamento estratégico da empresa
O planejamento estratégico, que as organizações realizam periodicamente, se destina a uma reavaliação crítica da sua situação atual e o estabelecimento de objetivos (estratégicos) para os próximos anos. É nesse planejamento que se estabelece objetivos de lançamento de novos produtos, entrada ou saída de mercados, aquisições, expansões e todos os demais objetivos que afetam a organização como um todo (FOINA, 2013).
Um planejamento estratégico é realizado em três etapas básicas: a) etapa de diagnóstico: onde é analisada criticamente a situação atual da organização em relação aos objetivos propostos anteriormente; b) etapa de prospecção: nessa etapa são desenhados os cenários futuros para o ecossistema da organização e estabelecidos novos objetivos estratégicos para os próximos anos; b) etapa de elaboração de planos: os objetivos estratégicos estabelecidos são desdobrados em planos de ações para cada área de organização (finanças, marketing&vendas, recursos humanos, tecnologia,
2
produção etc.). Posteriormente os planos de ações receberão metas objetivas e orçamentos necessários para a sua realização (Da VEIGA, 2010).
Propomos uma escala de cinco níveis de sensibilidade a ser aferida para cada conjunto de informações referentes a uma mesma entidade ou conceito:
Nível 1 – Informação pública – informação que foi obtida sem ônus, de fontes públicas, ou que foi produzida internamente pela empresa mas que tem interesse público. Essas informações não precisam de controle de acesso e de distribuição. Apenas deve-se cuidar para que elas não sejam danificadas ou alteradas. São exemplos de informações de nível 1: Dados do balanço de empresas de capital aberto; Lista de produtos;
Notícias sobre a empresa.
Nível 2 – Informação restrita - informação que foi adquirida de terceiros com cláusula de sigilo mas que outras empresas também podem adquirir, ou que foi produzida pela empresa e que tem interesse restrito à ela. Essas informações, se vazadas, podem comprometer a imagem da organização mas não sua operação. São exemplos de informações de nível 2: Relatórios de consultoria sobre empresas concorrentes; Dados pessoais dos funcionários e executivos da empresa; Relatos de defeitos de produtos e serviços.
Nível 3 – Informação sigilosa - informação que foi obtida, com exclusividade, de terceiros, ou que foi produzida pela empresa e que trata de decisões, processos ou produtos críticos para a sua operação.
Essas informações, se vazadas ou danificadas, podem gerar decisões erradas e prejudiciais para a operação da empresa ou inviabilizar o lançamento de um novo produto ou serviço. São exemplos de informações de nível 3: Relatórios de investigação de práticas concorrenciais ilegais; Detalhes sobre campanhas de lançamento comercial; Detalhes sobre planos de fusão, aquisição ou fechamento de empresas.
Nível 4 – informação secreta – informação referente a detalhes de produtos e serviços que estão em processo de desenvolvimento ou, decisões sobre significativas alterações do valor patrimonial da empresa.
Essas informações, se vazadas ou danificadas, podem comprometer o protagonismo no lançamento de um novo produto ou ainda permitir que concorrentes o lancem antes da empresa. Podem ainda inviabilizar fusões ou aquisições de empresas ou, pior, leva a empresa a ser alvo de investigação por parte da CVM. São exemplos de informações de nível 4: Detalhes de produtos e serviços em desenvolvimento; Detalhes sore a negociação de compra ou venda de empresas ou filiais; Relatórios sobre falhas graves, em produtos, serviços ou processos internos, que podem afetar o valor das ações da empresa na bolsa de valores;
3 Nível 5 – Informações ultra secretas– informações sobre atos e fatos da organização cujo acesso é limitado apenas à mais alta direção executiva e seus acionistas. Essas informações, se vazadas, podem levar a ações judiciais à empresa ou a seus executivos e acionistas.
Compreendem ainda informações sobre segredos industriais que diferenciam a empresa de seus concorrentes. São exemplos de informações de nível 5: Detalhes sobre operações ilícitas ou de alto risco jurídico; Segredos industriais sobre componentes, insumos ou processos de produção dos principais produtos da empresa ainda não patenteados ou protegidos por lei.
As informações de níveis 1 e 2 não precisam ser tratadas pelo nível estratégico da empresa, bastando as salvaguardas tradicionais das áreas técnicas. Já as demais precisam ser consideradas no planejamento estratégico, pois sua guarda e proteção implicam em despesas significativas e riscos a serem mitigados e compartilhados pela alta direção. As informações de nível 5 devem ficar fora das redes corporativas (em computadores isolados) e, preferencialmente, não documentadas sob qualquer meio ou formato.
A separação das informações nesses níveis de sensibilidade permite que sejam planejados investimentos de salvaguardas e de proteção adequados para cada uma delas, reduzindo assim os custos totais e permitindo a atribuição de responsabilidades explícitas para as pessoas que as manipulam (DOHERTY, 2005).
Para o planejamento das ações de proteção e salvaguarda das informações podemos usar uma tabela, como mostrado a seguir. Nesta tabela colocamos os conjuntos de informações de acordo com o seu nível de sensibilidade (NS) e, nos campos de ações de proteção e de controle de acesso, as ações que precisam ser feitas para garantir o sigilo e integridade em cada um dos níveis de sensibilidade.
No exemplo mostrado na tabela a seguir vemos que uma mesma ação de TIC pode atender a várias ações de proteção e de controle. Quando isso acontece, o curso dessas soluções pode ser compartilhado pelas ações estratégicas correspondentes aumentando o retorno financeiro da sua implantação.
A estimativa de dano potencial corresponde ao valor necessário para corrigir ou reparar o dano provocado pelo vazamento ou pela alteração das informações. Esse valor pode ser baixo, como por exemplo o custo para restaurar um backup do dia anterior, ou pode ser muito alto, como o pagamento de multas elevadas aplicadas pelos órgãos de controle ou ainda os custos dos honorários de advogados a serem contratados para defender a empresa e seus executivos.
4
Tabela de Ações Estratégicas de Segurança
NS Conjunto de informações
Ações de Proteção
Ações de Controle de Acesso
Dano Potencial
(R$)
Ações de TIC
Custos Estimados
(R$)
2 Cadastros de clientes
Backups periódicos
Controles e acesso automáticos
Médio (~R$ 50k)
Software de backup
R$ 20k
LDAP R$ 20k
2 Cadastros de Contas a
Pagar e
Receber
Backups periódicos
Controles e acesso automáticos
Médio (~R$ 50k)
Software de backup
R$ 20k
LDAP R$ 20k
4 Documentos de projetos de pesquisa para novos
produtos
Armazenag
em em
subrede segregada da Internet com criptografia
Biometria avançada
Altíssimo (> R$ 10 milhões)
SW
Criptografia
R$ 20k
Subrede com storage
R$ 50k
Disp.
Biométricos
R$ 30k
4 Ata de
reuniões do Conselho de Administração
Armazenag
em em
subrede segregada da Internet com criptografia
Acesso apenas pelo presidente e secretário com biometria
Alto (acima
R$ 1
milhão)
SW
Criptografia
R$ 20k
Subrede com storage
R$ 50k
Disp.
Biométricos
R$ 30k
5 Relatórios de ações políticas para
promoção do setor
Armazenag
em em
dispositivos isolados de posse da Presidência
Acesso apenas pelo presidente
Altíssimo (acima R$
1 milhão)
SW
Criptografia
R$ 20k
Storage R$ 10k
1 Balanços publicados
Backup periódico
Controle de acesso por senhas
Baixo (<
R$ 10.000)
Software de backup
R$ 20k
1 Cadastros de produtos e preços
Backup periódico
Controle de acesso por senhas
Baixo (<
R$ 10.000)
Software de backup
R$ 20k
5 As ações de proteção e controle de acesso devem ser ações de nível estratégicas que definam parâmetros gerais para proteger as informações de contra danos (alterações indevidas) e vazamentos não autorizados. Cada uma dessas ações será posteriormente desdobrada em ações de TIC capazes de implementar essas ações estratégicas.
Cada uma das ações de TIC deve ser avaliada e ter um custo estimado para sua implantação, assim como, a cada conjunto de informações, deve ser estabelecido um valor decorrente do dano em caso de seu vazamento ou alteração indevida. A comparação entre o valor do potencial dano versus o custo para a sua proteção dará uma dimensão da viabilidade, ou não, de se implementar as ações preconizadas.
A análise proposta objetiva o reconhecimento da alta direção da empresa da importância dos investimentos em segurança da informação para a organização. Sem essa explicitação fica muito difícil para o gestor de TIC justificar os investimentos e gastos com os aparatos de segurança. Lembramos que a alta direção das organizações não precisa conhecer tecnologia mas deve saber muito bem como avaliar investimentos e os retornos financeiros esperados. É nessa linguagem que o gestor de TIC precisa fundamentar suas necessidades orçamentárias para oferecer a segurança desejada pela organização.
Ao trazer a discussão sobre segurança da informação para o nível estratégico da organização, colocamos a questão em termos de danos potenciais e do eventual prejuízo financeiro que ele trará, se não for adequadamente tratado. Ao mesmo tempo, envolvemos toda a alta direção nessa questão facilitando a implantação de procedimentos e normas de controle e gestão de informação. Notem que em nenhum momento da discussão com a alta direção, são abordadas as ferramentas e tecnologias envolvidas mas sim as questões financeiras envolvidas numa potencial invasão dos sistemas de informação.
A alta direção da organização deve preservar os interesses dos acionistas (ou da sociedade, em caso de organizações públicas) e por isso deve estar bem informada sobre os investimentos a serem realizados, sejam eles para qual finalidade for. Cada valor investido deve ter, em contrapartida, um valor maior de retorno, caso contrário não vale a pena ser feito. Com a base de comparação investimento/retorno é sempre monetária, é fundamental que os gestores de TIC consigam transformar os benefícios esperados com seus investimentos em valores monetários comparáveis com os valores a serem investidos.
Aqui reside o maior desafio para os gestores de TIC: converter benefícios intangíveis em benefício monetizados. É preciso ter sempre em mente que todo gasto com TIC deve ser encarado como um investimento e,
6
portanto, deve trazer benefícios financeiros tangíveis e mesuráveis. O envolvimento dos setores afetados com a maior exposição ao risco ajuda a estabelecer o valor do eventual dano para a empresa.
Uma informação terá maior probabilidade de ser atacada quanto maior o valor dela para o atacante. Por essa razão, a ponderação do dano potencial pela probabilidade de ocorrência, como fazemos nas análises de riscos de projetos, não é suficiente para a definição dos investimentos necessários para a mitigação desses riscos. É preciso avaliar também os impactos desses ataques para a imagem e reputação da organização junto ao seu mercado.
Com e elevado grau de digitização das empresas e da sociedade, o acesso indevido a dados empresariais passou a ser muito fácil e rentável para os hackers e crackers. Os melhores programadores são contratados por empresas criminosas especializadas em roubar dados relevantes ou até mesmo “sequestrar” diretórios inteiros cobrando assim um resgate para liberar esses dados1.
Não são apenas empresas que estão sujeitas ao roubo de dados. As pessoas físicas também podem ser afetadas. Recentemente um famoso site de encontros extraconjugais teve os dados dos seus usuários roubados e foi ameaçado de divulga-los se não se retratasse publicamente. Como a empresa não cedeu aos criminosos esses dados foram tornados públicos. Alguns usuários receberam ainda ameaças de divulgação pública do seu nome e das conversas trocadas no site se eles não fizessem um pagamento em Bitcoins2 para esses criminosos.
1 O sequestro de arquivos é feito através do acesso criminoso aos arquivos e a criptografia deles com chave conhecida apenas pelo sequestrador. Se a empresa não tiver backups seguros e atualizados desses dados ela poderá ser obrigada a pagar o resgate cobrado para poder receber a chave de criptografia usada pelos criminosos.
2 Bitcoins é uma moeda virtual muito usada em transações na Internet e que, por não ter registro público, dificulta o rastreamento do seu fluxo.
7 Referências
FOINA, P.R., Tecnologia da informação: planejamento e gestão, 3ª edição, Ed.
Atlas, 2013
DOHERTY, N.F., FULFORD, H., Aligning the information security policy qwith the stracegic information systems plan, Computer & Security, 2005, vol. 25 Da VEIGA, A., ELOFF , J.H.P., A framework and assessment instrument for information security culture, Computers & Security, 2010, Vol. 29
Sobre o autor
Paulo Rogério Foina
Físico com mestrado e doutorado em informática.
Professor, executivo e empresário de computação há mais de 30 anos. Coordena os cursos de graduação em Ciência da Computação e o programa de pós-graduação em Gestão de Tecnologia (Governança de TI e Gerência de Projetos de TI) do Centro Universitário de Brasília - UniCEUB
8
9
CAPÍTULO 1
CONCEITOS E PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO
Autor: Fábio Cabral Torres
1.1 Segurança da Informação
De uma forma simples e direta, a Informação pode ser definida por um conjunto de dados tratados e organizados de tal maneira que tragam algum significado ou sentido dentro de um dado contexto.
A título de exemplo, imagine um encontro entre dois profissionais onde um deles, em um determinado momento, proferisse somente a palavra
“Segurança”. A princípio, tal palavra não traz nenhum sentido ao profissional receptor da mensagem. Não há um contexto; Não há um significado. Portanto, até o momento, a palavra “Segurança” representou apenas um dado qualquer, um dado bruto, um fato, um elemento não interpretado.
Entendido isto, imagine a mesma situação, porém, com uma pequena mudança: O profissional profere uma mensagem da seguinte forma “Estudo Segurança da Informação”. Perceba que desta maneira, o profissional receptor da informação será capaz de compreender a mensagem. Portanto, a presença de um contexto definido (neste caso, o contexto da segurança da informação) e da organização e tratamento dos dados não interpretados (estudar, segurança e informação) trouxe um sentido (significado) para a frase.
Trazendo este entendimento para o lado das organizações, a informação não se trata de um conceito atual. Desde a Era Industrial (inclusive antes disso) até os dias de hoje, a informação é consumida para suprir determinadas necessidades como tomada de decisões estratégicas, incremento de produtividades, aumento da competitividade no mercado, redução de custos, publicidades e marketing, prospecções de negócios, construções de pontes, investimentos em bolsas de valores, compra de produtos, dentre várias outras. A informação é crítica para negócio de uma organização. Importante destacar também que a informação pode assumir diferentes formas como informação falada, escrita, guardada eletronicamente, impressa, etc.
Devido à tamanha importância da informação, a necessidade de protegê-las passou a ser crucial para estas organizações. Afinal de contas, que empresa quer que suas estratégias de negócio sejam vistas pelos seus
10
concorrentes? Ou que executivo, em um momento de decisão de compra de uma determinada empresa, gostaria de ter sua informação manipulada e alterada? De fato, percebe-se que a falta de uma correta abordagem da segurança da informação pode trazer altíssimos prejuízos para uma empresa.
Definido o conceito de informação, faz-se necessário definir o que seria a Segurança da Informação. Há várias definições de diversos autores, porém, destacam-se três, sendo as duas primeiras mais formais e a terceira, mais comum:
1) Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. (ABNT NBR ISO/IEC 27002: 2005)
2) Podemos definir a Segurança da Informação como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade. (Sêmola, 2003, p. 43).
3) A segurança de informação é caracterizada pela aplicação adequada de dispositivos de proteção sobre um ativo ou um conjunto de ativos visando preservar o valor que este possui para as organizações. A aplicação destas proteções busca preservar a confidencialidade, a integridade e a disponibilidade (CID), não estando restritos somente a sistemas ou aplicativos, mas também informações armazenadas ou veiculadas em diversos meios além do eletrônico ou em papel. (Bastos & Caubit, 2009, p. 17).
Verificado os conceitos expostos acima, percebe-se um aspecto comum a todos eles: os elementos “confidencialidade, integridade e disponibilidade” – conhecidos por diversos autores como “CID”. Tais elementos não são uma mera coincidência, mas sim, os três pilares principais (ou princípios básicos) da Segurança da Informação.
Como diria (Lyra, 2008, p.4),
Quando falamos em segurança da informação, estamos nos referindo a tomar ações para garantir a confidencialidade, integridade, disponibilidade e demais aspectos da segurança das informações dentro das necessidades do cliente.
Vejamos os conceitos destes três principais pilares:
• Confidencialidade: “Garantia de que o acesso à informação é restrito aos seus usuários legítimos.” (Beal, 2008, p. 1). Ou seja, seu acesso é permitido apenas a determinados usuários.
11
• Integridade: “Toda informação deve ser mantida na mesma condição em que foi disponibilizada pelo seu proprietário, visando protegê-las contra alterações indevidas, intencionais ou acidentais” (Sêmola, 2003, p. 45). Ou seja, informação não adulterada.
• Disponibilidade: “Garantia de que a informação e os ativos associados estejam disponíveis para os usuários legítimos de forma oportuna” (Beal, 2008, p. 1). Ou seja, independente da finalidade, a informação deve estar disponível.
Além destes, segundo Lyra (2008, p.4), podemos citar mais alguns aspectos complementares para garantia da segurança da informação:
• Autenticação: “Garantir que um usuário é de fato quem alega ser”.
• Não repúdio: “Capacidade do sistema de provar que um usuário executou uma determinada ação”. Lyra (2008, p.4)
• Legalidade: “Garantir que o sistema esteja aderente à legislação”.
• Privacidade: “Capacidade de um sistema de manter anônimo um usuário, impossibilitando o relacionamento entre o usuário e suas ações”.
• Auditoria: “Capacidade do sistema de auditar tudo o que foi realizado pelos usuários, detectando fraudes ou tentativas de ataque”.
A segurança da informação é alcançada através de um conjunto de práticas e atividades como a definição/elaboração de processos, políticas de segurança da informação (PSI), procedimentos, treinamento de profissionais, uso de ferramentas de monitoramento e controle, dentre outros pontos.
E o que proteger? Aquilo que tenha algum valor para seu negócio/organização: Os ativos de informação!
1.2 Ativo de Informação
De acordo com a ISO/IEC 27001:2005, um ativo é “qualquer coisa que tenha valor para organização”. Portanto, podem existir diversos tipos de ativos incluindo a própria informação (contratos e acordos, documentações de sistema, bases de dados, manuais de usuário, trilhas de auditoria, planos de continuidade, etc), pessoas e suas qualificações/experiências, ativos de software (sistemas, aplicativos, ferramentas, etc), ativos físicos (mídias
12
removíveis, equipamentos computacionais, equipamentos de comunicação, etc), serviços (iluminação, eletricidade, refrigeração, etc) e aqueles que são intangíveis como é o caso da reputação da organização. (ABNT NBR ISO/IEC 27002:2005)
Fonte: LYRA (2008) – Adaptado pelo Autor
Um dos fatores críticos de sucesso para a garantia da segurança da informação é a correta identificação, controle e constante atualização dos diferentes tipos de ativos (inventário). Com a finalidade de alcançar uma correta proteção, torna-se importante conhecer o que seria a Gestão de Ativos.
Como principio básico, é recomendado que todo ativo seja identificado e documentado pela organização. A cada um deles deve-se estabelecer um proprietário responsável cujo qual lidará com a manutenção dos controles.
Controles estes que podem ser delegados a outros profissionais, porém, sempre sob a responsabilidade do proprietário.
Pode-se resumir o que foi dito nos dois parágrafos acima pelo quadro abaixo:
Quadro 1: Gestão de Ativos – Responsabilidade pelos Ativos
Fonte: ABNT NBR ISO/IEC 27001:2006
13 Sabendo da responsabilidade dos ativos, deve-se realizar a sua correta classificação com base na importância, criticidade, sensibilidade e seu valor para o negócio. Como resultado, será possível definir os níveis adequados de proteção. (ABNT NBR ISO/IEC 27002: 2005)
Quadro 2: Gestão de Ativos – Classificação da Informação
De acordo com Beal (2008, p. 63), a classificação dos ativos “ocorre de acordo com o valor e o grau de sensibilidade atribuído pela organização”. Logo, muitos ativos com alto grau de sensibilidade, alto impacto no negócio ou no processo, resultam em alto investimento.
Uma criteriosa classificação dos ativos está diretamente ligada ao custo dispendido para “proteger” (não somente a classificação), visto que, através desta, serão definidos o que tem necessidade de ser protegido e o que não tem. Destaca-se que nem todo ativo tem alto grau de sensibilidade, portanto, nem todo ativo deve ser protegido.
A classificação eficiente é aquela que considera as necessidades do negócio, consequentemente, convém que seja feita por alguém que possua elevado conhecimento do negócio da organização.
Para mais detalhes sobre classificação dos ativos, vide capítulo 4 mais adiante.
1.3 Vulnerabilidade
A vulnerabilidade está intimamente ligada ao ponto fraco de um ativo, ou seja, pode ser entendida como uma fragilidade. Trata-se de um erro no procedimento (no caso de sistemas), falha de um agente ou má configuração dos aplicativos de segurança, de maneira não proposital ou proposital, gerando assim, uma informação não confiável. Quando isso ocorre, temos um
“rompimento” de um ou mais princípios da segurança da informação.
Beal (2008, p. 14) elucida o conceito de vulnerabilidade como sendo uma “fragilidade que poderia ser explorada por uma ameaça para concretizar um ataque”.
Em complemento a este conceito, Lyra (2008, p.06) afirma que:
Fonte: ABNT NBR ISO/IEC 27001:2006
14
Essas vulnerabilidades poderão ser exploradas ou não, sendo possível que um ativo da informação apresente um ponto fraco que nunca será efetivamente explorado.
Após serem detectadas falhas é necessário tomar algumas providências. O primeiro passo é identificar a falha, onde esta aconteceu e tentar corrigi-la da melhor maneira.
Sêmola (2003, p.48) cita exemplos de vulnerabilidades:
Físicas - Instalações prediais fora do padrão; salas de CPD mal planejadas; falta de extintores, detectores de fumaça e de outros recursos para combate a incêndio em sala com armários e fichários estratégicos; risco de explosões, vazamento ou incêndio.
Naturais - Computadores são suscetíveis a desastres naturais, como incêndios, enchentes, terremotos, tempestades, e outros, como falta de energia, acúmulo de poeira, aumento umidade e de temperatura etc.
Hardware - Falha nos recursos tecnológicos (desgaste, obsolescência, má utilização) ou erros durante a instalação.
Software - Erros na instalação ou na configuração podem acarretar acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade do recurso quando necessário.
Mídias - Discos, fitas, relatórios e impressos podem ser perdidos ou danificados. A radiação eletromagnética pode afetar diversos tipos de mídias magnéticas.
Comunicação - Acessos não autorizados ou perda de comunicação.
Humanas - Falta de treinamento, compartilhamento de informações confidenciais, não execução de rotinas de segurança, erros ou omissões; ameaça de bomba, sabotagens, distúrbios civis, greves, vandalismo, roubo, destruição da propriedade ou dados, invasões ou guerras."
1.4 Ameaça
No começo deste capítulo, ao definirmos o conceito de Segurança da Informação, foi lançada a seguinte questão: “O que proteger?”. A partir de então, foi destacado que o objetivo da segurança era garantir a confidencialidade, integridade e disponibilidade (e, como vimos, vários outros aspectos) dos elementos de valor da organização, ou seja, dar proteção adequada aos ativos da informação que representassem alta
15 sensibilidade/criticidade para o negócio, preservando assim, os pilares da segurança da informação.
Após a questão “O que proteger” podemos inserir um novo elemento para discursão: “Contra que será protegido?”. A resposta para esta pergunta é relativamente simples: De ameaças!
Beal (2008, p.14) define ameaça como sendo “a expectativa de acontecimento acidental ou proposital, causado por um agente, que pode afetar um ambiente, sistema ou ativo de informação”. Estes agentes podem ser pessoas, eventos, meio ambiente, sistemas, etc.
Exemplos de ameaças acidentais são falhas de hardware, desastres naturais, erros de programação, etc; enquanto que ameaças propositais podem entendidas por roubos, invasões, fraudes, dentre outros.
No que tange às ameaças propositais, podem ser passivas ou ativas, como podemos ver na explicação de Dias (2000, p.57):
• Ativas: “Envolvem alteração de dados”.
• Passivas: “Envolvem invasão e/ou monitoramento, mas sem alteração de informações”.
Sêmola (2003, p. 47) também classifica as ameaças quanto a sua intencionalidade assumindo que as mesmas podem ser divididas em três grupos:
• “Naturais: Ameaças decorrentes de fenômenos da natureza”
• “Involuntárias: Ameaças inconsistentes, quase sempre causadas pelo desconhecimento.”
• “Voluntárias: Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários.”
1.5 Ataque
Conhecidos os conceitos de Vulnerabilidade e Ameaça, torna-se fácil compreender o que seria um ataque. Segundo Beal (2008, p.14), trata-se de um “evento decorrente da exploração de uma vulnerabilidade por uma ameaça”, em outras palavras um ataque representa a concretização de uma ameaça.
Ataques podem ter como foco diferentes princípios da segurança. Um exemplo seria a invasão de uma rede corporativa por um hacker a deixando inoperante. Tal resultado está diretamente ligado ao princípio da disponibilidade, visto que, a informação requerida pelo usuário provavelmente não poderá ser acessada (não estará disponível). Em complementação a essa
16
situação hipotética, suponhamos que o mesmo invasor, além de tornar a rede inoperante, tenha adulterado um arquivo, logo, além da quebra da disponibilidade, este acaba de praticar a quebra de integridade.
Segundo Dias (2000, p.77), os ataques podem ser categorizados em passivos e ativos:
• Passivos: São aqueles que não interferem no conteúdo do recurso que foi atacado, como por exemplo, observação e conhecimento de informações armazenadas nos sistemas institucionais ou análise de tráfego de uma rede.
• Ativos: Prejudicam diretamente o conteúdo do recurso atacado, modificando e eliminando informações ou gerando informações falsas.
1.6 Incidente de Segurança
Conforme exposto na ISO/IEC TR 18044:2004, um incidente pode ser entendido por “um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação”. Ou seja, eventos de segurança indesejados que violem algum dos principais aspectos da segurança da informação (Confiabilidade, integridade, disponibilidade, dentre outros).
São exemplos de incidentes de segurança a perda da integridade de informações, divulgações indevidas, desastres causados por fenômenos da natureza (incendidos, inundações, etc), quedas de energia, greves, invasões por hackers, defeito em equipamentos e muitos outros.
Outro conceito que une definição e exemplo prático de incidente de segurança foi explanado por Beal (2008, p. 15):
Incidente: evento com consequências negativas resultante de um ataque bem-sucedido. Exemplos de incidentes:
dados incorretos armazenados num sistema, inundação que danifica máquinas do CPD, pagamento indevido em decorrência da inclusão indevida de fatura de compra no sistema. Tais incidentes podem não se concretizar, em caso de ataque, se houver controles suficientes para interrompê- los (rejeição de dados incorretos inseridos pelos usuários, barreiras e alertas para evitar que o vazamento de água atinja os equipamentos, controles gerenciais que impeçam o pagamento sem a prévia conferência por um supervisor).
Para fornecer orientações a respeito do gerenciamento de incidentes de segurança da informação voltadas a organizações de grande e médio porte, não podemos deixar de destacar a ISO/IEC 27035:2011. Seu escopo
17 apresenta uma abordagem estruturada e planejada para as seguintes atividades (porém não se limitando):
• Detectar, relatar e avaliar os incidentes de segurança da informação;
• Responder e gerenciar incidentes de segurança da informação;
• Melhorar continuamente a segurança da informação e o gerenciamento de incidentes;
A falta de uma correta gestão dos incidentes de segurança da informação podem causar sérios danos para os negócios. Em outras palavras, um incidente pode ou não trazer um impacto, sendo este último mensurado pela consequência que este causa ao ativo da organização. Logo, um ativo de considerável valor implica em alto impacto e vice-versa.
1.7 Probabilidade e Impacto
A Probabilidade é a possibilidade de uma falha de segurança acontecer, observando-se o grau de vulnerabilidade encontrada nos ativo e as ameaças que porventura venham a influencia-lo (Lyra 2008, p. 06).
Probabilidade, vulnerabilidade e ameaças estão fortemente ligadas. Em um entendimento mais simples, podemos dizer que a probabilidade trata-se das
“chances” de uma vulnerabilidade se tornar uma ameaça.
É perfeitamente possível que um ativo possua várias vulnerabilidades que não representem ameaças, ou seja, podemos falar de uma probabilidade próxima de zero. Porém, é possível que todas essas vulnerabilidades se tornem ameaças.
Em se tratando de impacto, diferente da probabilidade, este se
“localiza” após o incidente. Em outras palavras isso significa que um incidente de segurança da informação pode ou não causar um impacto nos processos/negócios da organização.
Segundo Beal (2008, p.14) seria um “efeito ou consequência de um ataque ou incidente para a organização.".
Complementando este conceito, podemos citar o trecho em que Lyra (2008, p.07) explica o que seria um impacto:
"O impacto de um incidente de segurança é medido pelas consequências que possa causar aos processos de negócios suportados pelo ativo em questão. Os ativos possuem valores diferentes, pois suportam informações com relevâncias diferentes para o negócio da organização.
Quanto maior for o valor do ativo, maior será o impacto de um eventual incidente que possa ocorrer."
18
Dias (2000, p.69) informa que o impacto pode ser pode ser de curto ou longo prazo em função do tempo em que atinge significativamente os negócios da instituição. Dentro deste contexto, temos as seguintes categorias:
0. Impacto irrelevante
1. Efeito pouco significativo, sem afetar a maioria dos processos de negócios da instituição.
2. Sistemas não disponíveis por um determinado período de tempo, podendo causar perda de credibilidade junto aos clientes e pequenas perdas financeiras.
3. Perdas financeiras de maior vulto e perda de clientes para a concorrência.
4. Efeitos desastrosos, porém sem comprometer a sobrevivência da instituição.
5. Efeitos desastrosos, comprometendo a sobrevivência da instituição.
Portanto, conhecidos os conceitos de Ativos de Informação, Vulnerabilidades, Agentes, Ameaças, Ataques, Incidentes de Segurança e Probabilidade e Impacto, vejamos um esboço gráfico que explica a conexão entre todas essas características de uma maneira mais simples.
Imagem 1: Resumo - Relacionamento entre Características dos Ativos de Informação
Fonte: O autor
19 1.8 Referências
BEAL, Adriana. Segurança da Informação. Princípios e Melhores Práticas para a Proteção dos Ativos de Informação nas Organizações. São Paulo. Atlas, 2005 – Reimpressão 2008.
BASTOS Alberto; CAUBIT, Rosângela. Gestão de Segurança da Informação.
ISO 27001 e 27002 Uma Visão Prática. Rio Grande do Sul. Zouk, 2009.
SÊMOLA, Marcos. Gestão da Segurança da Informação. Uma visão executiva. Rio de Janeiro. Elsevier, 2003 – 11º reimpressão.
LYRA, Maurício Rocha. Segurança e Auditoria em Sistemas de Informação Rio de Janeiro. Ciência Moderna, 2008.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001:2005 Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 2006.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:2005 Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 2006.
ISO/IEC 27035:2011 ISO/IEC 27035:2011, Disponível em:
<http://www.iso.org/iso/catalogue_detail?csnumber=44379> Acesso em 03 de Outubro de 2015
Sobre o autor
Fábio Cabral Torres
Consultor da área de Desenvolvimento de Negócios, graduado em Ciência da Computação e Pós-graduando em Governança da TI; atua na elaboração de propostas técnicas e comerciais para serviços de Outsourcing de TI nas áreas de Application Management Services (AMS) e Gestão Tecnológica.
20
21
CAPÍTULO 2
O CICLO DE VIDA DA INFORMAÇÃO
Autores : Leonardo Carvalho Lima Rosemberg de Oliveira Santos
O ciclo de vida da informação diz respeito a todos os momentos onde a informação é criada, até o momento da inutilidade dela acontecendo o descarte.
A criação, obtenção, tratamento, distribuição, uso, armazenamento, descarte, podemos dizer, que essas etapas são a espinha dorsal da informação.
O ciclo de vida da informação passa pela:
1. Identificação das necessidades e dos requisitos (Criação)
Identificar as necessidades de informação dos grupos e indivíduos que integram a organização e de seus públicos externos é um passo fundamental para que possam ser desenvolvidos serviços e produtos informacionais orientados especificamente para cada grupo e necessidade interna e externa.
O esforço de descoberta das necessidades e dos requisitos de informação é recompensado quando a informação se torna mais útil e os seus destinatários, mais receptivos a aplicá-la na melhoria de produtos e processos (usuários internos) ou no fortalecimento dos vínculos e relacionamentos com a organização (usuários externos). (BEAL, 2008)
2. Obtenção
Nesta etapa são desenvolvidos procedimentos para captura e recepção da informação proveniente de uma fonte externa (Em qual quer mídia ou formato), ou da sua criação.
No caso da captura de informações de fontes externas, devemos ter a preocupação com integridade da informação, ou seja, é preciso garantir que é genuína, produzidas por pessoas ou entidades autorizadas, está completa e compatível com os requisitos apontados na etapa anterior. (LYRA, 2008)
22
3. Tratamento
Antes de estar em condições de ser aproveitada é comum que a informação precise passar por processos de organização, formatação, estruturação, classificação, análise, síntese, apresentação e reprodução, com o propósito de torná-la mais acessível, organizada e fácil de localizar pelos usuários. Nesta etapa, a preocupação com a integridade continua em evidência, principalmente se estiverem envolvidas técnicas de adequação do estilo e adaptação de linguagem, contextualização e condensação da informação, entre outras.
O uso dessas técnicas deve levar em conta a preservação das características de quantidade e qualidade necessárias para que a informação efetivamente sirva ao fim a que se propõe. No caso das atividades de reprodução da informação para posterior distribuição, as questões relacionadas à preservação da confidencialidade podem adquirir grande relevância, uma vez que a existência de diversas cópias de uma mesma informação, qualquer que seja a mídia utilizada (computador, papel, disquete, fita de áudio ou vídeo, etc.), amplia os problemas de restrição de acesso aos usuários devidamente autorizados. (BEAL, 2008)
4. Distribuição
Esta etapa consiste em levar a informação até seus consumidores.
Quanto mais capilar for a rede de distribuição, mais eficiente será esta etapa.
Fazendo chegar a informação certa a quem necessita dela para tomada de decisão. (LYRA, 2008)
5. Uso
O uso é sem dúvida a etapa mais importante de todo o processo de gestão da informação, embora seja frequentemente ignorado nos processos de gestão das organizações.
Não é a existência da informação que garante melhore resultados em uma organização, mas sim o uso, dentro de suas finalidades básicas: conhecimento dos ambientes interno e externo da organização e atuação nesses ambientes (Chaumier, 1986).
Na etapa de uso, os objetivos de integridade e disponibilidade devem receber atenção especial: uma informação deturpada, difícil de localizar ou indisponível pode prejudicar os processos decisórios e operacionais da organização. Como já mencionado, a preocupação com o uso legítimo da informação pode levar a requisitos de confidencialidade, destinados a restringir
23 o acesso e o uso de dados e informação as pessoas devidamente autorizadas.
(BEAL, 2008)
6. Armazenamento
Momento em que a informação é armazenada seja em um banco de dados compartilhado, em uma anotação de papel posteriormente postada em um arquivo de ferro, ou ainda, em uma mídia de disquete depositada na gaveta da mesa de trabalho, por exemplo. (SEMOLA, 2003)
7. Descarte
Quando uma informação torna-se obsoleta ou perde a utilizada para a organização, ela deve ser objeto de processos de descarte que obedeçam a normas legais, políticas operacionais e exigências internas. Excluir dos repositórios de informação corporativos os dados e as informações inúteis melhoram o processo de gestão da informação de diversas formas:
economizando recursos de armazenamento, aumentando a rapidez e eficiência na localização da informação necessária, melhorando a visibilidade dos recursos informacionais importantes etc. Entretanto, o descarte de dados e informação precisa ser realizado dentro de condições de Segurança, principalmente no que tange ao aspecto da confidencialidade, e, em menor grau, também de disponibilidade. No que tange à confidencialidade, o descarte de documentos e mídias que contenham dados de caráter sigiloso precisa ser realizado com observância de critérios rígidos de destruição segura (por exemplo, o uso de máquinas fragmentadoras para documentos em papel, ou de softwares destinados a apagar com Segurança arquivos de um microcomputador que, se simplesmente excluídos do sistema, poderiam ser facilmente recuperados com o uso de ferramentas de restauração de dados).
Do ponto de vista da disponibilidade, as preocupações incluem a legalidade da destruição de informação que podem vir a ser exigidas no futuro e a necessidade de preservar dados históricos valiosos para o negócio, entre outras.
São relativamente comuns os casos de descoberta de informações sigilosas ou dados pessoais sujeitos a normas de privacidade em computadores usados quando estes são transferidos de área, doados ou vendidos durante um processo de renovação do parque de computadores da organização. A existência de procedimentos formais de descarte de computadores e mídias pode evitar constrangimentos e prejuízos à imagem e a credibilidade da organização, possibilitando que os itens descartados sejam auditados e tenham seus dados apagados de forma segura antes de serem transferidos para os novos proprietários. (BEAL 2008)
24
Riscos e ameaças à informação durante o ciclo de vida
Para mitigarmos os eventos de riscos de segurança da informação, podemos adotar as seguintes medidas:
A tabela 01 (STONEBURNER, 2004), apresenta a relação entre uma descrição de cada objetivo de segurança (Integridade, disponibilidade e confidencialidade) com as consequências ou impactos caso tais objetivos não sejam alcançados.
Tabela 01 – Objetivo de segurança e sua consequência para a organização.
Objetivo de segurança Causa e consequências Perda de integridade Causa:
Modificações não autorizadas sejam feitas de forma acidental ou intencional. Além disto, a violação da integridade pode ser o primeiro passo para um ataque com sucesso a disponibilidade ou confidenciabilidade da informação.
Consequências:
– Imprecisão das informações, fraude;
– Tomada de decisão errada;
– Reduz a garantia da informação.
Perda de
disponibilidade
Causa:
Se as informações não estiverem disponíveis para o usuário final, a missão da organização pode ser afetado.
Consequências:
– Perda de produtividade por parte dos usuários;
– Impedir que os usuários executem suas atividades normalmente.
Perda de
confiabilidade
Causa:
Divulgação das informações de forma não autorizada.
Consequências:
– Comprometimento da credibilidade;
– Embaraço ou ação legal contra a organização.
Fonte: STONEBURNER (2004, p.25)
Referências
25 ADACHI, Tomi. Gestão de Segurança em Internet Banking - São Paulo: FGV, 2004. 121p. Mestrado. Fundação Getúlio Vargas - Administração. Orientador:
Eduardo Henrique Diniz.
ALBUQUERQUE, Ricardo e RIBEIRO, Bruno. Segurança no Desenvolvimento de Software - Como desenvolver sistemas seguros e avaliar a segurança de aplicações desenvolvidas com base na ISO 15.408. Editora Campus. Rio de Janeiro, 2002.
CARUSO, Carlos A. A.; STEFFEN, Flávio Deny. Segurança em Informática e de Informações - São Paulo: Editora SENAC São Paulo, 1999.
DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Axcel Books. Rio de Janeiro, 2000.
SEMOLA, MARCOS. Gestão da Segurança da Informação. Uma visão executiva Rio de janeiro: Editora Elsevier, 2003
BEAL, ADRIANA. Segurança da informação. Princípios e melhores práticas para a Proteção dos Ativos de Informação nas Organizações.
São Paulo: Editora Atlas- 2008
LYRA, MAURICIO ROCHA. Segurança e Auditoria em Sistemas da Informação.Rio de janeiro: Editora Ciência Moderna Ltda-2008
Stoneburner, Gary GOGUEN. Alice & FERINGA.Alexis : Risk Management Guide for Information Technology Systems, NIST, Washington, 2004.
CUNHA, Renato Menezes. Modelo de governança da segurança da informação no escopo da governança computacional. Recife, 2008.
26
Sobre os autores
Leonardo Carvalho Lima de Sousa.
Formando em Redes de computadores, Pós graduando em Governança de TI, atua na area a 7 anos ,com foco em areas voltadas para gestão de TI .
Rosemberg de Oliveira Santos
Escriturário do Banco de Brasília S.A, graduado em Gestão de Tecnologia da Informação e Pós-graduando em Governança da TI
27
CAPÍTULO 3
ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO
Autor: Edilberg Nunes Barros Luana de Souza Estrela
Diante das mudanças presenciadas por organizações de todo o mundo no cotidiano de suas atribuições corporativas e pela necessidade de acompanhar essas mudanças sem prejuízos informacionais e materiais, a tecnologia da informação tem sido utilizada nos diversos setores organizacionais com o objetivo de agregar valor ao negócio, minimizando as taxas de erros e aumentando o retorno do investimento aos acionistas.
Atualmente a arquitetura corporativa é o termo, o conceito e a estrutura utilizados para transportar a organização do estágio do uso técnico da tecnologia para o estágio do uso direcionado dessa tecnologia para negócio. Isto exige transparência dos objetivos de negócio, padronizações, uso de soluções corporativas sem esquecer situações específicas, uso efetivo de governança e, sobretudo, desejo verdadeiro do comando da organização para isso. (Fontes, 2008, p.43).
Entende-se que a arquitetura corporativa associa a tecnologia da informação com o objetivo de negócio e se tratando de tecnologia, existe a preocupação com a segurança da informação. A arquitetura da segurança da informação é um elemento da arquitetura corporativa, que para Fontes (2008), tem uma característica distinta dos outros elementos. Ela na sua estrutura permeia por todos os elementos da arquitetura corporativa.
Uma arquitetura de segurança define padrões e estruturas que devem ser seguidas pela organização com o objetivo de proteger a informação considerando os requisitos de negócio. Caso a organização esteja muito confusa na pratica teremos um modelo a ser alcançado com dificuldade. Caso a organização esteja menos confusa, com algum esforço alcançaremos a situação desejada.
(Fontes, 2008, p. 44).
Espera-se que esta estrutura possibilite soluções para a corporação de modo a intensificar os controles de segurança da informação existentes, tomando por base, dentre outras, a Norma NBR ISO/IEC 27002, cujo objetivo é prover um modelo para estabelecer, implementar, operar, monitorar, analisar
28
criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).
Para Fontes (2008), a governança é a gestão da gestão, sendo necessário que exista o básico da gestão da segurança da informação. Muitas organizações não possuem essa gestão básica e adotam a governança de tecnologia da informação. Para a gestão da segurança existir, Fontes (2008) sugere que alguns requisitos sejam implementados, sendo que o primeiro deles é a existência de uma pessoa responsável pelo processo de segurança da informação, não sendo essa pessoa responsável pela segurança, mas, responsável pelo processo de segurança, que terá como consequência uma boa política de segurança da informação implementada.
O mesmo Fontes (2008), aponta a necessidade de disponibilidade financeira, tempo e recursos operacionais para a implementação do processo de segurança da informação e sua gestão, e por fim e não mais importante que os itens acima apresentados Fontes preconiza a necessidade de existir um processo de segurança que se inicie na alta administração da organização, uma vez que este processo interfere em muitos aspectos da organização e principalmente nas pessoas e cultura organizacional.
Neste contexto a literatura já elaborada para a segurança da informação sugere o desenvolvimento de uma estrutura que dê suporte físico e geográfico aos processos de implementação de segurança, dentre os quais, apresenta-se o Escritório da Segurança da Informação, cujo objetivo é centralizar os recursos humanos, materiais e estruturais necessários ao desenvolvimento, implantação e acompanhamento das políticas de SI, ou como ocorre em alguns casos, os Comitês de Segurança da Informação, cujos objetivos assemelham-se aos do Escritório, porém, sem a necessidade de centralização dos recursos humanos, materiais e estruturais, necessários ao processo.
Modelos da Organização da Segurança da Informação
No que diz respeito às atribuições de cada uma das estruturas acima descritas, ambas possuem os mesmos propósitos, a saber:
Analisar o posicionamento da empresa no mercado em que se situa, visando mapear seus clientes, fornecedores, concorrentes, produtos/
serviços e os riscos que cada um destes pode representar à empresa;
Definir as políticas de controle de acesso físico às instalações da empresa;
29 Implementar os aspectos sócio-técnicos da Segurança da Informação, mapeando as características sociais referentes ao ambiente da organização e as pessoas que nela vivem e trabalham;
Definir as políticas de controle de acesso lógico aos dados organizacionais;
Desenvolver a matriz de riscos do negócio, identificando, priorizando e qualificando todos os riscos inerentes ao processo mapeando pelo menos uma resposta a cada risco identificado;
Garantir a sustentabilidade do processo de controle da segurança da informação;
Escrever e implementar os acordos de nível de serviço de segurança da informação na empresa;
Avaliar novas tecnologias e suas devidas adequações e aplicações nos processos de segurança da informação organizacional;
Mapear e definir os planos de contingência dos processos organizacionais;
Definir os procedimentos a serem adotados em situações de crises, emergências e desastres para a continuidade de negócio;
Avaliar o nível de proteção atual dos processos organizacionais;
Garantir a eficácia dos processos da segurança da informação por meio de testes periódicos;
Desenvolver políticas de treinamento de funcionários visando garantir o comprometimento destes com os processos de SI organizacionais;
Aplicar políticas de certificação digital de segurança da informação;
Implementar políticas de desenvolvimento de software seguro;
Definir políticas de controle de versão de arquivos;
Promover auditorias nos processos sistêmicos organizacionais;
Regulamentar as políticas de uso dos recursos informacionais da empresa (computadores, redes de dados, e-mails corporativos, ferramentas de redes sociais, etc.).
A implantação do Escritório de Segurança da Informação requer disponibilidade de um ambiente próprio para as instalações físicas e estruturais que darão suporte ao desenvolvimento das atividades descritas no item anterior, proporcionando que a equipe de analistas de Segurança da Informação possa compartilhar experiências, atividades e rotinas inerentes ao processo de suas atribuições diárias. Esta estrutura deve permitir o desenvolvimento das atividades de segurança da informação e possui a grande vantagem de disponibilizar em tempo integral – e em um local exclusivo e de
