Apostila ISO17799 Modulo1

Entendendo e implementando a Norma ABNT NBR ISO/IEC 17799:2005
Academia Latino-Americana de Segurana da Informao Aspectos tericos e prticos para implantao da Norma ABNT NBR ISO/IEC 17799:2005
Mdulo 1
Entendendo e implementando a Norma ABNT NBR ISO/IEC 17799:2005
Apostila desenvolvida pelo Instituto Online em parceria com a Microsoft Informtica
http://www.instonline.com.br/
Reviso 1.0 maro de 2006
COORDENADORES TCNICOS Arthur Roberto dos Santos Jnior Fernando Sergio Santos Fonseca Paulo Eustquio Soares Coelho
Academia Latino-Americana de Segurana da Informao Introduo ABNT NBR ISO/IEC 17799:2005 - Mdulo 1
COMO USAR ESSE MATERIAL

Este um material de apoio para o curso Entendendo e implementando a ABNT NBR ISO/IEC 17799:2005 ministrado pela Academia de Segurana Microsoft. Durante o curso sero apresentados vrios Webcasts com o contedo deste material acompanhado de slides e voz para ilustrar os conceitos e prticas. A cpia desses slides est em destaque na apostila, seguida de textos com informaes que sero abordadas pelo instrutor nos respectivos Webcasts.
LABORATRIO : TTULO AQUI

Os laboratrios de cada mdulo do curso so identificados dessa forma e seu roteiro est especificado sob o ttulo.
VDEO
Indica que ser apresentado um filme para ilustrar as prticas ou conceitos.
NDICE
APRESENTAO ...............................................................................................................................6 1 INTRODUO: EVOLUO E CONCEITOS ......................................................................................7 Objetivos.........................................................................................................................8 Informao: bem que se deve proteger..........................................................................9 Evoluo da segurana da Informao ........................................................................11 O Problema clssico de segurana da informao ......................................................16 O que uma norma?....................................................................................................18 2 AS PRINCIPAIS NORMAS DE SEGURANA DA INFORMAO ......................................................... 20 Objetivos.......................................................................................................................21 ITIL Information Technology Infraestructure Library..................................................22 CobiT Control Objectives for Information and Related Technology...........................24 BS 15000 / ISO 20000 Normas de gesto de servios ..............................................26 BS 7799 - British Standard 7799 ...............................................................................29 ISO/IEC FDIS 17799:2005(E) Information technology Security techniiques - Code of practice for information security management ABNT NBR 17799:2005 Tecnologia da informao tcnicas de segurana Cdigo de prtica para a gesto da segurana da informao....................................................................................................................31 Comparao entre as principais normas ......................................................................34 Sistema de Gesto de Segurana da Informao SGSI ...........................................35 Ferramentas para gerenciamento de TI (MOF MSF BSC).................................37 3 - INTRODUO ABNT NBR/ISO/IEC 17799:2005 .................................................................. 41 Objetivos.......................................................................................................................42 conceitos bsicos de Segurana da Informao ..........................................................43 Objetivos da Segurana da Informao .......................................................................45 Como implantar um sistema de sergurana da informao? .......................................47
4
4 ANLISE/AVALIAO E TRATAMENTO DE RISCOS ...................................................................... 50 Objetivo ........................................................................................................................51 Analisando/avaliando os riscos de segurana da informao......................................52 Tratando os riscos de segurana da informao .........................................................56 5 POLTICA DE SEGURANA DA INFORMAO .............................................................................. 60 Objetivo ........................................................................................................................61 O que uma poltica de serurana da informao.......................................................62 Criando uma poltica de segurana da informao ......................................................63 Contedo do documento formal da poltica de segurana da informao ..................73 6 ORGANIZAO DA SEGURANA DA INFORMAO ...................................................................... 76 Objetivo ........................................................................................................................77 Estruturao da segurana da informao: Gesto de autorizao de novos recursos78 Estruturao da segurana da informao: Acordos de confidencialidade e sigilo para acessos de funcionrios, parte externa e cliente..........................................................80 NORMAS TCNICAS ....................................................................................................................... 83 REFERNCIAS BIBLIOGRFICAS ..................................................................................................... 84
APRESENTAO
Os desafios para a implantao de um ambiente de segurana em qualquer empresa, independente do tamanho, so enormes. O maior problema implementar as polticas e normas de segurana em um sistema real, que possui aplicaes em funcionamento, hardware em produo, softwares proprietrios e de terceiros e, acima de tudo, pessoas. literalmente como trocar o pneu com o carro andando. Como a maior parte das informaes vitais para o sucesso de uma organizao reside em computadores, perdas de dados podem ser catastrficas. Os riscos de um negcio com sistema de segurana da informao inadequado so incalculveis. Segurana da informao manter a confidencialidade, integridade e disponibilidade da informao. Ela abrange muito mais do que a segurana da informao de TI. Ela cobre a segurana de toda e qualquer informao da empresa, esteja ela em meios eletrnicos, papel ou at mesmo na mente dos funcionrios. Motivados pela busca de solues para esses desafios, diversos profissionais de vrias reas e organizaes, vem se esforando para criar normas que sistematizem o trabalho de criar ambientes seguros de TI. Um desses resultados foi consolidado com a norma ABNT NBR ISO/IEC 17799:2005. Utilizando-se essa norma, que um guia de melhores prticas, simplifica-se o trabalho de adoo e implementao de polticas e padres definidos, bem como da posterior verificao da conformidade dos resultados alcanados. O objetivo deste curso entender as caractersticas de alguns padres de segurana e, em especial, fazer um estudo dos cdigos de prtica para gesto da segurana da informao contidos na norma ABNT NBR ISO/IEC 17799:2005, proporcionando um entendimento de como implementar, manter e melhorar a gesto da segurana da informao nas empresas. Ao final deste curso voc estar apto a: Entender os padres empregados para a gesto da segurana da informao; Entender a evoluo destes padres; Descrever os controles contidos na norma ABNT NBR ISO/IEC 17799:2005; Conceituar cada controle da norma; Atravs de um estudo de caso, implementar a norma em uma empresa.
Captulo Mdulo
1 2
1 INTRODUO: EVOLUO E CONCEITOS

NESTE CAPTULO SERO APRESENTADOS UMA BREVE EVOLUO DAS NORMAS DE SEGURANA E OS PRINCIPAIS CONCEITOS DE SEGURANA DA INFORMAO.
OBJETIVOS
Segurana um termo que transmite conforto e tranqilidade a quem desfruta de seu estado. Entender e implementar este estado em um ambiente empresarial exigem conhecimento e prticas especializadas que somente so possveis com o emprego e uso de um cdigo de prticas de segurana, contidos em uma norma, como a ABNT NBR ISO/IEC 17799:2005. Neste captulo veremos alguns conceitos fundamentais para a compreenso das metodologias de implantao de segurana da informao, iniciando com um breve histrico sobre a evoluo das normas de segurana da informao. Ao final do captulo conheceremos as principais normas aplicveis para se obter um ambiente seguro e eficiente para a informao. Ao final deste captulo voc estar apto a entender: O que informao; A evoluo da segurana da informao; As primeiras prticas de segurana; O problema clssico de segurana da informao; O que uma norma.
INFORMAO: BEM QUE SE DEVE PROTEGER
O objetivo deste estudo obter um ambiente seguro para a informao. Mas o que informao? Segundo o dicionrio Aurlio [1], informao o conjunto de dados acerca de algum de ou de algo. Estendendo esse conceito, podemos dizer que a informao a interpretao desses dados. De nada vale um conjunto de dados sem que se faa a interpretao dos mesmos para se extrair um conhecimento til. As organizaes necessitam da informao para tomar decises objetivando seus fins (o sucesso). Isto mostra o quo poderosa a informao. Sem ela no h estratgias, no h mudanas ou at mesmo no existiria a empresa. Uma conseqncia natural da importncia da informao a extrema vulnerabilidade a que a empresa se expe caso haja perda de dados vitais, como plantas de projetos, planilhas de custos, documentos contbeis, financeiros, etc. Quanto maior for a organizao maior ser sua dependncia da informao. A informao pode estar armazenada de vrias formas: impressa em papel, em meios digitais (discos, fitas, CDs, DVDs, disquetes), na mente das pessoas, em imagens armazenadas em fotografias e filmes. Quando lidamos com segurana da informao, necessrio pensar em sua confidencialidade, integridade e disponibilidade em qualquer um desses meios, utilizando todos os recursos disponveis, e no somente os tecnolgicos. Devemos tratar a informao como um ativo da empresa com a mesma importncia que qualquer outro bem palpvel. Por isso, deve ser protegida contra roubo, problemas ambientais, vandalismo, dano acidental ou provocado.
Quanto mais interconectada for uma empresa, maior ser a complexidade dos sistemas por onde trafegam e so armazenadas as informaes e, conseqentemente maior ser a preocupao com o nvel de segurana a ser implantado a fim de garantir a confidencialidade, confiabilidade, disponibilidade e integridade da informao que ela detm. A disciplina de segurana da informao trata do conjunto de controles e processos que visam preservar os dados trafegam ou so armazenados em qualquer meio. As modernas tecnologias de transporte, armazenamento e manipulao dos dados, trouxeram enorme agilidade para as empresas, mas ao mesmo tempo trouxeram tambm novos riscos. Ataques de crackers (black hat hackers), de engenharia social, vrus, worms, negao de servio, espionagem eletrnica so noticiadas pela impressa todos os dias. Diante deste cenrio, a segurana da informao torna-se imprescindvel para as organizaes, sejam elas do setor pblico ou privado.
10
EVOLUO DA SEGURANA DA INFORMAO
Desde a pr-histria, cerca de 20000 anos antes de Cristo (AC), o homem j sentia necessidade de transmitir e perpetuar a informao. Usava pinturas nas pedras para expressar seu cotidiano. Em 3500 AC, registrou-se o primeiro sistema de linguagem escrita na Sumria. A partir da vrias civilizaes desenvolveram seus prprios mtodos de registro e transmisso da informao, dentre eles podemos destacar: os hierglifos e o papiro no antigo Egito, em 3000 AC; o baco dos babilnios, 1800 AC; os primitivos livros chineses de bambu ou madeira presos por cordas datados de 1300 anos AC; o processo chins de fabricao de papel, de 105 DC alcanando Bagd em 753 DC; a fotografia de 1826; o telgrafo eletromagntico de Samuel Morse, em 1837; as primeiras transmisses de rdio em broadcast em 1917; o primeiro computador digital em 1943.
11
Todo este processo milenar nos levou at as modernas tecnologias de transmisso e 2 armazenamento digital de dados no sculo 20 [ ]. Todos aqueles mtodos de armazenamento padeciam de um problema: como preservar essas informaes para que fossem acessadas aps sua gerao? No ano 600 da era crist o rei Ashurbanipal em Nineveh organizou a primeira biblioteca, cujo acervo sobrevive at os dias atuais com cerca de 20000 placas. um exemplo clssico da necessidade da transmisso da informao armazenada. Desde o incio, o desafio era conter as diversas ameaas informao, algumas das quais enfrentamos at hoje: incndios, saques, catstrofes naturais, deteriorao do meio de armazenamento. medida que a sociedade evolua, a preocupao com a segurana das informaes aumentava, principalmente no quesito confidencialidade. Foram criados vrios processos de cifragem da informao, que tinham a funo de alterar o contedo das mensagens antes de seu envio. Ao capturar uma mensagem o inimigo obtinha apenas um texto cifrado e no a mensagem original. Isso permitiu que segredos e estratgias fossem trocados de forma segura entre aliados. Por exemplo, a cifragem de Csar foi usada para troca de informaes entre os exrcitos durante o imprio romano; a mquina de cifrar Enigma foi utilizada como uma grande arma de guerra pelos alemes durante o perodo da segunda grande guerra. Atualmente a criptografia e a esteganografia continuam sendo largamente utilizadas em diversas aplicaes de transferncia e armazenamento de dados. O surgimento dos computadores e de sua interconexo atravs de redes mundialmente distribudas permitiu maior capacidade de processamento e de distribuio das informaes. Com essa capacidade de comunicao, surgiu tambm a necessidade da criao de mecanismos que evitassem o acesso e a alterao indevida das informaes. Como resultado surgiram vrias propostas e publicaes de normas de segurana em todo o mundo.
12
Conforme Chappman [3], o ano de 1967, foi o ano em que a segurana de computadores passou a ter ateno oficial nos Estados Unidos. Nesta poca foi criada uma fora tarefa cujo foco era a construo de mecanismos de segurana de computadores que deveriam ser desenvolvidos para prover a proteo de informaes classificadas e do compartilhamento de recursos do sistema; este esforo resultou em um documento denominado Security Controls for Computer Systems: Report of 4 Defense Science Boad Task Force on Computer Security editado por W. H. Ware [ ]. Este relatrio representou o trabalho inicial de identificao e tratamento do problema clssico de segurana de computadores. Em 1978, o Departamento de Defesa dos Estados Unidos, publicou um conjunto de regras para avaliao da segurana das solues disponibilizadas. Ficou conhecido como The Orange Book. Em 1978, teve incio o processo de escrita do Orange Book, denominado DoD 5200.28-STD, que foi concludo em 15 de agosto 1983, com o documento CSC-STD-001-83 - Library No. S225,711 - DEPARTMENT OF DEFENSE TRUSTED COMPUTER SYSTEM EVALUATION CRITERIA (TCSEC) [5]. Paralelamente foi publicado o documento An Introduction to Computer Security: The NIST Handbook [6], proposto pelo National Institute of Standards and Technology U.S. Department of Commerce. Para facilitar sua aplicao, as normas de segurana foram divididas em vrios controles. Cada controle seria responsvel por atender a um dos quesitos da norma. O uso de controles permite uma viso modular da questo da segurana e a aplicao contextualizada das normas s organizaes. medida que as organizaes cresciam, as redes de computadores e os problemas de segurana tambm cresciam. No demorou muito para ficar claro que proteger somente os sistemas operacionais, as redes e as informaes que trafegavam por elas no era o suficiente. Com isto, foram criados comits com o objetivo de desenvolver mecanismos mais eficientes e globais de proteo informao. Desses pode-se destacar o Comercial Computer Security Centre, criado pelo governo britnico e que publicaria mais tarde a norma BS-7799. A BS-7799 foi a primeira norma homologada a apresentar solues para o tratamento da informao de uma maneira mais ampla. Segundo esta norma, todo tipo de informao deve ser protegido, independentemente da sua forma de armazenamento, seja analgica ou digital, e de seu valor para a organizao. No ano de 2000, houve a homologao da primeira parte da BS-7799 pela ISO. Esta homologao originou a Norma Internacional de Segurana da Informao - ISO/IEC 17799, sendo composta por 10 macros controles, cada qual subdividido em controles especficos. Em abril de 2001, a verso brasileira da norma ISO foi disponibilizada para consulta pblica. Em setembro do mesmo ano a ABNT homologou a verso brasileira que passou a ser denominada NBR ISO/IEC 17799:2000. A Norma trouxe mais do que
13
vrios controles de segurana. Ela permitiu a criao de um mecanismo de certificao das organizaes, atravs da BS 7799-2 e posteriormente atravs da ISO 27001. Em 30 de setembro de 2005, passou a ter validade a segunda edio atualizada da norma brasileira. Foi publicada sob o nmero ABNT NBR ISO/IEC 17799:2005, que equivalente norma ISO/IEC 17799:2005, entrando em vigor a partir de novembro de 2005. Uma famlia de normas est atualmente em desenvolvimento e adotar um esquema de numerao usando uma srie de nmeros 27000 em seqncia. Incluem normas sobre requisitos de sistemas de gesto da segurana da informao, gesto de riscos, mtricas e medidas, e diretrizes para implementao, tais como [7]: ISO 27000 - Contm vocabulrio e definies utilizados nas normas da srie ISO 27000. Em desenvolvimento, tem sua publicao prevista para 2008 e deve absorver a ISO Guide 73 - Risk Management Vocabulary. ISO 27001 - publicada em outubro de 2005, substitui a BS7799-2, tornando-se a norma para certificao da segurana da informao. Nesta norma so organizados os requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar o SGSI (Sistema de Gesto da Segurana da Informao, ou ISMS, Information Security Management System da sigla em ingls). ISO 27002 - organiza os controles de segurana da informao, reunindo as melhores prticas para a segurana da informao realizada mundialmente. Trata-se na realidade da ISO 17799:2005. ISO 27003 No oficialmente trajar-se- de um guia de implementao. ISO 27004 - Information Security Management Metrics and Measurement, voltada para a medio da efetividade da implementao do SGSI e dos controles de segurana da informao implementados. Encontra-se em desenvolvimento e a sua publicao dever ocorrer em 2007. ISO 27005 - Novo padro para gerenciamento de riscos, dever substituir a BS7799-3 em 2007. Reunir diretriz e orientao para a identificao, avaliao, tratamento e gesto suportada dos riscos sobre os recursos do escopo compreendidos no SGSI. ISO 27006 - Este documento tem o ttulo provisrio de "Guidelines for information and communications technology disaster recovery services", baseada na SS507, padro de Singapura para continuidade do negcio e recuperao de desastres. Ainda sem previso para publicao.
14
Diversas iniciativas de organizaes governamentais j aplicam normas especficas internas baseadas em normas internacionais e nacionais. No Brasil a poltica de segurana da Informao nos rgos e nas entidades da administrao pblica federal regulamentada atravs do Decreto Presidencial No 3.505, de 13 de junho de 2.000. o Esse decreto enfatiza em seu artigo 3 inciso I, o seguinte objetivo: dotar os rgos e as entidades da Administrao Pblica Federal de instrumentos jurdicos, normativos e organizacionais que os capacitem cientfica, tecnolgica e administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o no-repdio e a disponibilidade dos dados e das informaes tratadas, classificadas e sensveis [8]. Esse decreto representa a importncia que as entidades devem dar segurana da informao. Atendendo a esse decreto, diversos organismos governamentais desenvolvem seus cdigos de boas prticas em segurana da informao que devem ser seguidos pelas pessoas que de alguma forma esto relacionadas com os ambientes informatizados. Empresas privadas tambm se valem dos cdigos de conduta propostos pelas normas, a fim de obterem a certificao de segurana da informao, garantindo relaes de negcio com seus parceiros e clientes, em que a mtua confiana no sigilo da informao imprescindvel.
15
O PROBLEMA CLSSICO DE SEGURANA DA INFORMAO

- Como permitir o acesso a certas informaes aos usurios autorizados e, simultaneamente, como negar o acesso aos usurios no autorizados?
Um dos grandes trunfos da grande expanso dos sistemas computacionais a enorme facilidade de compartilhamento de recursos e informaes. Os benefcios que a conectividade em rede, em especial a Internet, proporciona a toda a humanidade, dispensam maiores comentrios. Porm, essa conectividade pode expor os computadores e as redes como um todo a diversas ameaas. A partir da dcada de 90, o boom da Internet trouxe tambm o boom dos ataques s redes de computadores. A segurana de dados deixou de ser apenas uma preocupao com a perda da informao devido a um acidente com os meios de armazenamento ou a uma operao indevida do usurio. Tem-se agora a ameaa de ataques via rede, podendo haver roubo das informaes, vandalismos que as destruam ou simplesmente tcnicas de negao de servio impedindo o acesso aos dados. Outra grande fonte de ameaa o ataque interno, esse muitas vezes at mais difcil de ser contido devido ao nvel de acesso e a proximidade que usurio tem rede e aos seus recursos fsicos. Neste caso, como resolver o problema de permitir o acesso a certas informaes aos usurios autorizados e, simultaneamente, como negar o acesso aos usurios no autorizados? Essa questo remete a outra: O que precisa ser protegido, contra quem e como? [9].
16
Segundo Thomas A. Wadlow [10], A segurana dever ser proporcional ao valor do que se est protegendo. Ou seja, a implantao do sistema de segurana da informao tem de apresentar um custo benefcio que torne a tentativa de ataque to cara que desestimule o atacante, ao mesmo tempo em que ela mais barata do que o valor da informao protegida. Quando o valor do ativo que se est protegendo to alto que o dano causado ao mesmo difcil de ser calculado, devemos assumir o valor da informao como altssimo, imensurvel. Um exemplo a se analisar seria um receiturio de medicamentos para pacientes internados em um hospital. Este sistema de informao lida com dados que podem colocar em risco a vida humana caso a integridade dos dados seja corrompida, neste caso no temos como fazer uma anlise quantitativa do impacto, pois a vida humana tida como mais valiosa que qualquer ativo. Mesmo no se tratando de um valor imensurvel, temos ainda os ativos que so vitais para a empresa e aqueles que podem levar a implicaes legais. Quando estamos lidando com a anlise de valor destes bens, consideramos que o dano nos mesmos pode resultar em grande perda de credibilidade pela empresa e at mesmo no posterior encerramento de suas atividades. Neste contexto, a segurana da informao a proteo da informao em si, dos sistemas, da infraestrutura e dos servios que a suporta, contra acidentes, roubos, erros de manipulao, minimizando assim os impactos dos incidentes de segurana.
17
O QUE UMA NORMA?
Norma tem o propsito de definir regras, padres e instrumentos de controle para dar uniformidade a um processo, produto ou servio.
Segundo o Aurlio[1], norma aquilo que se estabelece como base ou medida para a realizao de alguma coisa. Quando no h padres, podemos ter diversos problemas como: baixa qualidade do produto, incompatibilidade com outros produtos existentes, produtos no confiveis ou at mesmo perigosos, alm de no termos como comparalo com outros produtos, devido falta de um referencial comum. As normas contribuem para fazer com que os processos de fabricao e fornecimento de produtos e servios sejam mais eficientes, seguros e limpos. Ela facilita os negcios entre fornecedores e clientes, seja no comrcio local ou internacional, uma vez que estabelece padres a serem seguidos por todos, garantindo interoperabilidade entre servios, processos e produtos. Conforme definido pela Associao Brasileira de Normas Tcnicas (ABNT), os objetivos da normalizao so: Comunicao: proporcionar meios mais eficientes na troca de informao entre o fabricante e o cliente, melhorando a confiabilidade das relaes comerciais e de servios; Segurana: proteger a vida humana e a sade; Proteo do consumidor: prover a sociedade de mecanismos eficazes para aferir qualidade de produtos; Eliminao de barreiras tcnicas e comerciais: evitar a existncia de regulamentos conflitantes sobre produtos e servios em diferentes pases, facilitando assim, o intercmbio comercial.
18
Diversas normas foram criadas especificamente para o tratamento da questo sobre a segurana da informao. No prximo captulo so apresentadas essas normas.
19
Captulo
2 AS PRINCIPAIS NORMAS DE SEGURANA DA

INFORMAO
AS CARACTERSTICAS DAS PRINCIPAIS NORMAS PARA GESTO DE AMBIENTE DE TI SO APRESENTADAS NESTE CAPTULO: ITIL, COBIT, BS 15000 / ISO 20000, BS 7799, ISO/IEC 17799:2005(E) E ABNT NBR ISO/IEC 17799:2005. SER TAMBM ABORDADO O QUE UM SISTEMA DE GESTO DE SEGURANA DA INFORMAO (SGSI). ALGUMAS FERRAMENTAS PARA AUXLIO NA IMPLANTAO DO SGCI, COMO MOF, MSF E BSC SO CITADAS AO FIM DO CAPTULO.
20
OBJETIVOS
Norma
Normas para prticas e controles internos de TI
Organizao responsvel
BS15000 ISO 20000 BS 7799

ISO/IEC FDIS 17799:2005(E) ABNT NBR ISO/IEC 17799:2005
Normas de segurana de TI
Atualmente a tecnologia da informao dirige os negcios. O sucesso da empresa depende da alta disponibilidade, segurana e desempenho dos servios de TI. Esta dependncia determinou o desenvolvimento de normas que propem prticas para implantao de sistemas de gesto dos servios de TI. Algumas das principais normas para prticas e controles de TI e para implantao de processos de segurana de TI, so: ITIL BS15000 / ISO 20000; CobiT. BS 7799 / ISO 17799; ABNT NBR ISO/IEC 17799:2005 (norma brasileira baseada na ISO 17799). Ao final deste captulo voc estar apto a: Descrever as principais normas criadas para a gesto dos servios de TI; Entender o que um sistema de gesto da segurana da informao (SGSI); Os passos para a criao de um SGSI; Conhecer algumas ferramentas para gesto de ambientes de TI.
21
ITIL INFORMATION TECHNOLOGY INFRAESTRUCTURE LIBRARY
Desenvolvido pelo governo britnico (OGC -Office Government Commerce) - 1989 Conjunto de melhores prticas para gerenciamento de servios em TI
Organizaes e processos Infraestrutura de TI
Hardware, software e rede Aplicaes
1996 Lanado na America do norte

O aumento nos investimentos e na complexidade das operaes de TI, levou as empresas a buscarem modelos que facilitassem: A descrio e os objetivos dos vrios servios e ambientes de TI; A representao de como esses servios se inter-relacionam; A orientao para a implementao destes servios com sucesso. O Information Technology Infraestructure Library (ITIL) uma resposta a essa busca. Trata-se de um conjunto de orientaes desenvolvido pelo Office of Government of Commerce (OGC), rgo do governo britnico. Descreve um modelo de processo integrado de melhores prticas para prover a qualidade de servios de TI. O ITIL foi criado em 1989. Seu desenvolvimento foi motivado pelo reconhecimento da dependncia de TI pelas organizaes, o que levou ao aumento da necessidade de qualidade de servio no setor. Em 2000 o OGC trabalhou em conjunto com o British Standards Institution (BSI) e o IT Service Management Forum (itSMF) na reviso da documentao do ITIL. Assim, o BSI Management Overview (PD0005), a BS15000-1 (Especificaes para gesto de servios) e a srie ITIL formam parte da mesma estrutura lgica.
22
O BSI Management Overview uma introduo s orientaes detalhadas do ITIL. A documentao ITIL oferece informaes expandidas e um guia para os assuntos tratados na BS15000. Os objetivos do ITIL so: Fornecer um guia para a gesto estratgica, ttica e operacional para a infraestrutura de TI; Melhorar a eficincia; Reduzir riscos; Prover compatibilidade com os requerimentos da ISO9001. As melhores prticas do ITIL cobrem cinco processos que suportam os servios: Gesto de incidentes; Gesto de problemas; Gesto de mudanas; Gesto de configuraes; Gesto de fornecimento. O ITIL tambm inclui cinco processos de fornecimento de servio: Gesto de capacidade; Gesto financeira; Gesto de disponibilidade; Gesto de nvel de servio; Gesto de continuidade de servios de TI. Nas palavras de Malcom Fry em entrevista a ITWEB em 25/11/2003 [11], os dois valores mais bvios para as empresas que adotam o ITIL so: um o vocabulrio comum compartilhado pelos profissionais de TI das empresas usurias e dos fornecedores de software. Isso reduz confuses, aumenta o entendimento e aperfeioa a comunicao entre eles. O outro ambas equipes e gerentes passam a entender o funcionamento dos processos de trabalho de servios de TI a partir de uma mesma fonte.
23
COBIT CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY

Objetivos do negcio Governaa em TI
Informao
Eficincia Confidencialidade Integridade Disponibilidade Compatibilidade Conformidade Confiabilidade
Monitoramento e Avaliao
Planejamento e organizao
Recursos de TI Fornecimento e suporte

Pessoas Sistemas aplicativos Tecnologia Infraestrutura Dados
Aquisio e implementao
Fonte: CobiT Executive Summary IT Governance Institute
O CobiT (Control Objectives for Information and related Technology) um conjunto de prticas que visam auxiliar a gesto e controle de iniciativas de TI nas empresas reduzindo os riscos correspondentes. Sua primeira edio foi publicada em 1996 pela ISACA (Information System Audit and Control Foundation). Atualmente encontra-se na sua quarta edio publicada em 2005. O tema principal do CobiT a orientao aos negcios. desenhado para ser empregado no somente por usurios e auditores, mas principalmente para servir de guia para os proprietrios dos processos dos negcios. O modelo do CobiT fornece ferramentas para facilitar a distribuio de responsabilidades pela diretoria de negcios. O modelo inclui uma srie de 34 objetivos de controle, um para cada processo de TI, agrupados em 4 domnios: Planejamento e organizao; Aquisio e implementao; Entrega e suporte; Monitoramento e avaliao.
24
Esta estrutura cobre todos os aspectos da informao e da tecnologia que a suporta. Atravs dos 34 objetivos de controles, a direo de processos do negcio pode se assegurar que um sistema de controle fornecido para o ambiente de TI. Os domnios norteiam a implantao de processos que conduziro aos corretos investimentos nos recursos de TI (dados, aplicaes, tecnologia e pessoas). A partir do levantamento detalhado dos processos, possvel determinar o que se deseja e o que necessrio para atingir esse objetivo. As orientaes de gesto CobiT so genricas e orientadas a aes com o propsito de responder questes de gerenciamento como: Aonde eu posso chegar e se os custos so justificados pelo benefcio? A resposta a essa questo permite mapear onde a organizao est, como ela se posiciona em relao as melhores organizaes do seu ramo e em relao aos padres internacionais, e onde a organizao deseja chegar; Quais so os indicadores de desempenho? Aqui so definidos os indicadores que mediro se o desempenho dos processos de TI est na direo correta para se atingir os objetivos. Quais so os fatores crticos de sucesso? Isso definir orientaes de implementao para se alcanar o controle sobre os processos de TI; Quais os riscos de no se atingir os objetivos? uma forma clara de se enxergar em que terreno vai pisar e conhecer os riscos do negcio; Como medir e comparar? A resposta definir as medidas que informaro a gerncia, aps o evento, se o processo de TI alcanou os requerimentos do negcio.
25
BS 15000 / ISO 20000 NORMAS DE GESTO DE SERVIOS
Desenho de Servios e Processos de gesto

Gesto de segurana da informao Gesto de disponibilidade e continuidade de servio Gesto de nvel de servio Relatrios de servio Gesto de Capacidade de Servio Gesto financeira
Processos de Controle
Gesto de Configurao Gesto de mudanas
Processos de Entrega de servios

Gesto de entregas
Processos de Relacionamento
Gesto de relacionamento de negcios Gesto de fornecedores
Processos de Resoluo
Gesto de Incidentes Gesto de Problemas
Processos de suporte a servios servi

A BS 15000 foi a primeira norma formal para gesto de servios de TI (Tecnologia da Informao) desenvolvido pela British Standards Institution (BSI). Foi publicado em 15 de novembro de 2000. Embora seja baseada no modelo de processos do ITIL, fornece especificaes claras para implementao de um processo de gesto de TI. O escopo da norma abrange um sistema de gesto de servios de TI e forma a base para a avaliao dessa gesto. O esquema de certificao foi formalmente lanado em 1o de julho de 2003 e administrado pelo IT Service Management Forum (itSMF). Baseado diretamente na norma fornece certificao para sistemas de gesto de TI. A BS 15000 define uma srie de processos para a gesto de servios. A parte 1 especifica 13 processos (figura acima) e a base para implementar e certificar um sistema de gerenciamento para fornecimento de servios de TI. A parte 2 um cdigo de prticas que amplia os requerimentos da Parte 1. Juntas elas fornecem ferramentas completas para as empresas entenderem como melhorar os servios fornecidos a seus clientes, sejam eles internos ou externos. O escopo da norma cobre os seguintes itens: Escopo dos servios de sistema de gesto;
26
Termos e definies; Planejamento e implementao dos processos de gesto de servios; Planejamento e implementao de gesto de novos servios ou modificaes destes. Essa norma destinada a provedores de servio, em especial para provedores de servios de TI. Entretanto seus requerimentos so independentes do tipo de organizao e podem ser aplicados a empresas grandes e pequenas de qualquer setor. Em 16 de dezembro de 2005 foi publicada pela ISO a nova norma ISO 20000. Ela evoluiu a partir da norma BS 15000. As alteraes em relao ao BS 15000 so mnimas, mas passa a ser um formato internacional mais adequado para aplicao em diversos pases. Assim, como sua predecessora, a ISO 20000 dividida em duas partes: a ISO 200001, promove a adoo de processos integrados para a gesto de servios a fim de alcanar os requerimentos dos clientes e do negcio. A ISO 20000-2 um cdigo de prticas e descreve as melhores prticas para a gesto de servios dentro do escopo da ISO 2000-1. A transio da BS15000 para a ISO/IEC 20000 A norma ISO/IEC 20000 substituiu a BS 15000 em 5 de dezembro de 2005. Certificaes contra a BS 15000 continuaro at junho de 2006 para habilitar aqueles que j iniciaram a concluso do processo de certificao. A Certificao BS 15000 dever fazer transio para a ISO/IEC 20000 em 5 de junho de 2007. (Fonte: Gartner Research em 05/01/2006). Relacionamento entre a BS 15000 / ISO 20000 e o modelo ITIL As normas BS 15000 e ISO 20000 so alinhadas em seus objetivos com o modelo ITIL: O ITIL um conjunto de melhores prticas que, uma vez adotadas, auxiliaro as organizaes a encontrarem a qualidade de gesto de servio requerida pelas normas BS 15000 / ISO 20000;
27
A BS 15000 / ISO 20000 determina o padro que os processos de gesto de servios devem almejar e testa se as melhores prticas foram realmente adotadas. O relacionamento entre os modelos mostrado abaixo. O modelo ITIL serviu de base para o desenvolvimento da BS 15000. Esta por sua vez serviu de base para o desenvolvimento da ISO/IEC 20000.
BS 15000-1 BS 15000-2 Orientaes de Gesto PD 0005
Critrios de avaliao O que alcanar Cdigo de prticas Viso de Gesto
ITIL Melhores prticas Procedimentos internos e instrues de trabalho
Melhores Prticas
Sua implementao
28
BS 7799 - BRITISH STANDARD 7799

Definir uma poltica de segurana Definir uma poltica de segurana
Definir o domnio de aplicao do Definir o domnio de aplicao do sistema de gesto de segurana da sistema de gesto de segurana da informao informao
Empreender uma avaliao dos riscos Empreender uma avaliao dos riscos
Tratamento dos riscos Tratamento dos riscos
Escolher os objetivos e medidas de Escolher os objetivos e medidas de controle que devem serem trabalhadas controle que devem serem trabalhadas Preparar uma declarao de Preparar uma declarao de aplicabilidade aplicabilidade
A norma britnica BS 7799 (British Standard 7799), publicada em sua primeira verso em 1995 um cdigo de prticas planejado para ser usado como uma referncia para os gerentes e responsveis pela segurana da informao nas organizaes. Deve servir de base para a criao de uma poltica de segurana. A segunda verso da BS 7799 composta de duas partes: Parte I: BS 17799-1:1999 um catlogo que agrupa 36 objetivos de controle que devem ser aplicados para se encontrar o nvel requerido de segurana da informao. Os objetivos de controle so decompostos em 127 medidas de controle que explicam com mais ou menos detalhes os pontos que devem ser trabalhados para a implementao dessas medidas. O foco desta parte a gesto de riscos, cujo objetivo auxiliar a organizao a planejar sua poltica de segurana atravs da identificao dos controles relevantes para seus negcios. Parte II: BS 7799-2:1999 apresenta um SGSI - Sistema de Gesto da Segurana da Informao (Information Security Mangement System ISMS) em seis etapas sucessivas. A reviso da BS 7799-2:1999, sob a referncia draft BS 7799-2:2002, tem o objetivo de reaproximar as normas de qualidade ISO 9001 e ISO 14001. A parte II usada para preparar avaliaes da eficincia do SGSI para qualquer aplicao, departamento ou para organizao como um todo. Compe-se de quatro fases: Avaliao de riscos: verificao das ameaas que podem surgir, as vulnerabilidades a essas ameaas, o impacto que essas ameaas podem
29
ter e, considerando esses fatores, uma avaliao do nvel de risco em cada caso. Gesto de riscos: uma vez avaliado os riscos, a tarefa reduzi-los a um nvel aceitvel. Isto pode ser conseguido atravs da aplicao das medidas listadas na BS 7799 para prevenir todos os riscos em conjunto, reduzir as ameaas, vulnerabilidades e impactos, tomar medidas para detectar os riscos, reagir e recupera-se deles. Implementao de meios de segurana: determinado o nvel de segurana e quais riscos devem ser tratados, o responsvel pela segurana da informao deve repassar as medidas listadas na BS 7799 para determinar quais so aplicveis em cada caso. Declarao de aplicabilidade: esta declarao estabelece quais controles devem ser implementados. Cada passo implementado deve ser registrado e documentado. O registro deve mostrar que cada ao requerida pela declarao de aplicabilidade foi executada. As aes devem ser revisadas de tempos em tempos para assegurar que as mesmas ainda preenchem os objetivos.
A organizao que baseia o seu SGSI estipulado no BS 7799 pode obter o certificado de um rgo autorizado. A BS 7799-2 j largamente usada em vrios pases, como Inglaterra, Austrlia, Noruega, Brasil e Japo, como documento de referncia para a certificao de gerenciamento de segurana de informao.
30
ISO/IEC FDIS 17799:2005(E) INFORMATION TECHNOLOGY SECURITY TECHNIIQUES CODE OF PRACTICE FOR INFORMATION SECURITY MANAGEMENT ABNT NBR 17799:2005 TECNOLOGIA DA INFORMAO TCNICAS DE SEGURANA CDIGO DE PRTICA PARA A GESTO DA SEGURANA DA INFORMAO
Estrutura da ISO/IEC 17799:2005
Organizao Conformidade da Gesto de segurana Classificao de continuidade de negcio bens e controles Informao Informao Gesto de incidentes Segurana segura de segurana em RH da informao Segurana Aquisio, desenvolvimento. Gesto Fsica e do e manuteno Controles das Ambiente de sistemas de operaes e acesso comunicaes Poltica de segurana
A ISO/IEC 17799 um cdigo de prticas com orientaes para gesto de segurana da informao. Apresenta uma descrio geral das reas normalmente consideradas importantes quando da implantao ou gesto de segurana da informao na organizao. A ISO/IEC 17799 teve sua origem com a BS 7799. Em 1995 o BSI publicou a primeira norma de segurana, BS 7799. Tinha como objetivo tratar os assuntos relacionados com segurana de e-commerce. Em 1999 o BSI publicou a segunda verso da BS 7799, incluindo muitas melhorias e aperfeioamentos. No final de 2000, a ISO (International Organization for Standartization) adotou e publicou a primeira parte da norma BS 7799, sob o nome de ISO/IEC 17799:2000. A ISO/IEC 17799:2000 no inclua a segunda parte da BS 7799, que se refere implementao. Era um conjunto de orientaes para as melhores prticas de segurana aplicveis em organizaes de qualquer porte.
31
Em 2 de novembro de 2005, a ISO publicou a segunda edio da norma, sob o ttulo ISO/IEC FDIS 17799:2005(E) Information techniques - Security techniques Code of practice for information security management (2nd edition). Esta edio cancela e substitui a norma ISO/IEC 17799:2000, a qual foi tecnicamente revisada. O termo FDIS significa Final Draft International Standard (Esboo final de norma internacional). A ISO/IEC FDIS 17799:2005(E) aborda tpicos em termos de polticas e prticas gerais. O documento identifica um ponto de partida para o desenvolvimento de especificaes da organizao. Trata os seguintes tpicos: Poltica de segurana; Organizao da segurana da informao; Gesto de ativos; Segurana em recursos humanos; Segurana fsica e do ambiente; Gerenciamento das operaes e comunicaes; Controle de acessos; Aquisio, desenvolvimento e manuteno de sistemas de informao; Gesto de incidentes de segurana da informao; Gesto de continuidade de negcios; Conformidade. A ISO/IEC FDIS 17799:2005(E) no fornece material definitivo ou especfico para qualquer tpico de segurana. Ela serve como um guia prtico para o desenvolvimento de padres de segurana organizacional e auxilia na criao de atividades confidenciais interorganizacional. A norma brasileira ABNT NBR ISO/IEC 17799:2005 Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto de segurana da informao ser alvo de todo o restante deste curso a partir do prximo captulo. Foi publicada em 31 de agosto de 2005 e entrou em vigor em 30 de setembro de 2005, sendo totalmente equivalente ISO/IEC 17799:2005. A Associao Brasileira de Normas Tcnicas (ABNT) o Frum Nacional de Normalizao. A ABNT NBR ISO/IEC 17799:2005 foi elaborada no Comit Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21), pela comisso de Estudos de Segurana Fsica em Instalaes de Informtica (CE-21:204.01). Teve o patrocnio ouro das seguintes empresas: Microsoft; Bradesco; AXUR information Security; Aceco TI;
32
Serasa; Samarco; PricewaterhouseCoopers; e-Mdulo security; Visanet; TIVIT IT Creativity; Suzano Papel e Celulose.
33
COMPARAO ENTRE AS PRINCIPAIS NORMAS
Norma ITIL
Ponto forte - Processos de operao - Controles -Mtricas - Processos - Controle de segurana
Ponto fraco Segurana e desenvolvimento de sistemas So linhas gerais que no indicam como fazer um guia genrico sem material especfico
CobiT
ISO/IEC 17799
Cada norma apresenta pontos fortes e fracos. Assim, deve-se observar o que se deseja na organizao e a partir da, aplicar a norma que mais se adequar s necessidades. Uma norma apenas no esgota o assunto e no abrange todas os aspectos necessrios para se obter um ambiente seguro e com qualidade de servios em TI. Ao invs disso, as normas se complementam, sendo que uma pode fornecer ferramentas mais detalhadas de um aspecto do que outra. Por exemplo: O ITIL apresenta forte detalhamento de processos para se obter qualidade de servio em TI, mas no aborda o aspecto de segurana que melhor tratado na ISO/IEC 17799. Enquanto a CobiT uma forte ferramenta para determinao de mtricas, o ITIL mais bem empregado quando se deseja levantamento de processos. Tanto a ISO/IEC 17799 quanto a CobiT so adequadas para se determinar qual o estado atual da organizao no que se refere qualidade de servio e segurana da informao. Resumindo, as normas podem ser aplicadas de forma conjunta na busca pela excelncia nos servios de TI.
34
SISTEMA DE GESTO DE SEGURANA DA INFORMAO SGSI

Desenho do SGSI Desenho do SGSI Anlise dos riscos Anlise dos riscos Tratamento dos riscos Tratamento dos riscos Definio de controles Definio de controles Fazer Implementao Implementao Auditoria Auditoria Melhoria contnua Melhoria contnua Checar Agir
Planejar
No se pode dizer que h segurana da informao, a menos que ela seja controlada e gerenciada. comum ouvirmos dizer que um hardware seguro aquele que est desligado. Esta frase expressa a dificuldade de se criar um nvel de segurana infalvel. A segurana da informao um processo que visa minimizar os riscos a nveis aceitveis. Um Sistema de Gerenciamento de Segurana da Informao (SGSI), uma srie de aes tomadas com o objetivo de gerenciar a segurana da informao, incluindo pessoas, infraestrutura e negcios, reduzindo os riscos a um nvel aceitvel, enquanto mantm em perspectiva os objetivos do negcio e as expectativas do cliente. O processo de implantao de um SGSI semelhante a um processo de qualidade ISO 9001, no qual se aplicam os princpios do PDCA (Plan-Do-Check-Act ou PlanejarFazer-Checar-Agir). Basicamente deve-se obedecer aos seguintes passos:
35
1. Desenho do SGSI: seleo do modelo atravs do qual o SGSI ir atuar (tipo de norma: BS7799, ISO/IEC 17799, etc...). Planejamento inicial das fases do projeto. Levantamento dos ativos envolvidos (equipamentos, infraestrutura, sistemas, pessoas e servios); 2. Avaliao dos riscos: identificar e avaliar ameaas e vulnerabilidades.Para cada ameaa deve ser atribudo um nvel de risco; 3. Tratamento dos riscos: o gerenciamento dos riscos, envolvendo as atividades que tentaro impedir um ataque antes que ele ocorra e/ou reduziro os efeitos da ameaa; 4. Definio de controles: a necessidade de controles um resultado da avaliao de riscos. Sua escolha feita com base na relao custo-benefcio de sua implantao. Os controles podem ser baseados em software, hardware, pessoas ou processos; 5. Implementao: Implantao em si das contramedidas de segurana; 6. Auditoria: verificao se as condies estabelecidas nos passos anteriores ocorrem de maneira satisfatria; 7. Melhoria contnua: aprimoramento contnuo do SGSI atravs da busca de assertivas que dem mais valor s atividades de segurana da informao. A implementao do SGSI extremamente facilitada atravs do uso de softwares que alm de coletar informaes importantes, possuem ferramentas para auxlio em todo o ciclo. Algumas destas ferramentas sero tratadas na prxima sesso.
36
FERRAMENTAS PARA GERENCIAMENTO DE TI (MOF MSF BSC)
MOF Microsoft Operations Framework
MSF Microsoft Solutions Framework
BSC Balaced ScoreCard

Todos os gestores de TI sonham com um instrumento que reflita a cada momento a realidade dos processos de seu setor. Vrias metodologias e softwares foram desenvolvidos para atuar como ferramentas de apoio para a gerncia de solues de TI e criar polticas de segurana.
37
Microsoft Operations Framework (MOF)
O Microsoft Operations Framework (MOF) a leitura do ITIL aplicada ao ambiente Microsoft. O MOF inclui orientaes de como planejar, empregar e manter a excelncia nos processos operacionais de TI em solues de servios construdos com produtos e tecnologia Microsoft. Porm, como o MOF aborda basicamente os processos de construo de solues, pode ser aplicado por qualquer plataforma. O MOF foca sua ateno no gerenciamento das operaes. O MOF descreve um ciclo de vida que pode ser aplicado em qualquer soluo de servio. Esse ciclo dividido em quadrantes de atuao, assim descritos: Mudanas: tem o foco nos problemas decorrentes da necessidade de introduzir mudanas no ambiente. Introduz novos servios, tecnologias, sistemas, aplicaes, hardware e processos; Operao: foca na execuo de tarefas dirias rotineiras decorrentes das operaes do sistema; Suporte: resolve incidentes e problemas apontados pelos clientes com o menor tempo possvel minimizando os impactos; Otimizao: tratamento das mudanas a fim de otimizar custos, desempenho, capacidade e disponibilidade nos servios de TI. Com o guia MOF, a organizao estar apta a avaliar a maturidade da gesto de servios de TI, priorizar processos de maior interesse e aplicar princpios e melhores prticas para otimizar o gerenciamento de plataformas Windows Server.
38
Microsoft Solutions for Framework (MSF)
O Microsoft Solutions for Framework (MSF) um modelo para implementao de solues criadas pela Microsoft que rene recursos, pessoas e tcnicas a fim de orientar a organizao para assegurar que a infraestrutura de tecnologia e solues alcancem os objetivos do negcio. Foi criada pela Microsoft para gerenciamento interno. Posteriormente foi estendido a clientes auxiliando as organizaes a encontrar a excelncia operacional. Os componentes do MSF podem ser aplicados individual ou coletivamente para obter melhores ndices de sucesso em projetos de desenvolvimento de software, implantao de infraestrutura e integrao de aplicaes. O MSF guia os diferentes tipos de projetos com o foco na gesto de pessoas, processos e elementos tecnolgicos. Interage com o MOF para prover uma transio suave para o ambiente operacional, o qual um requerimento para projetos de longo prazo. Para a Microsoft o MSF mais uma disciplina do que uma metodologia. um conjunto de melhores prticas que conduzem as organizaes a melhorar seus servios, obtendo maior confiabilidade, disponibilidade e segurana enquanto reduzem custos. uma coleo de guias para o rpido sucesso de solues de tecnologia da informao, com baixo risco, enquanto permite alta qualidade de resultados.
39
Balanced ScoreCard (BSC)

Financeiro Financeiro
Para triunfar financeiramente, Para triunfar financeiramente, como devemos aparecer para como devemos aparecer para nossos acionistas? nossos acionistas?
Para alcanar nossos Para alcanar nossos objetivos, como deveremos objetivos, como deveremos aparecer para nossos aparecer para nossos clientes? clientes?
Clientes Clientes
Objetivos e Estratgia
Para satisfazer nossos Para satisfazer nossos acionistas clientes, que acionistas eeclientes, que processos de negcios processos de negcios devemos destacar? devemos destacar?
Processos internos Processos internos de negcios de negcios
Para alcanar nosso objetivo, Para alcanar nosso objetivo, como mnateremos nossas como mnateremos nossas habilidades para mudanas habilidades para mudanas melhorias? eemelhorias?
Aprendizado e Aprendizado e Crescimento Crescimento
O Balanced ScoreCard (BSC) uma metodologia que estabelece um sistema de medio de desempenho das organizaes. Foi proposto por Kaplan e Norton em 1992 ao nvel empresarial. Gold (1992,1994) e Willcocks (1995) conceitualmente descreveram como aplicar o balanced scorecard a funes de TI e seus processos. O Balanced Scorecard uma ferramenta para planejar a implementao de estratgias e obter melhoria contnua em todos os nveis da organizao. um conjunto de medidas que do aos gerentes uma viso rpida e compreensiva dos negcios. O BSC mede o desempenho da organizao sob a ptica de quatro perspectivas que assim se inter-relacionam: a melhoria do aprendizado e crescimento dos empregados resulta em melhoria dos processos internos do negcio, os quais criam melhores produtos e servios e, conseqentemente, maior satisfao do cliente e maior participao no mercado, conduzindo a melhores resultados financeiros para a organizao [12]: Resultados financeiros, Satisfao do cliente, Processos internos do negcio e Aprendizado e crescimento.
40
Captulo
3 - INTRODUO ABNT NBR/ISO/IEC 17799:2005

NESTE CAPTULO INICIAREMOS O ESTUDO DA NORMA ABNT NBR ISO/IEC 17799:2005. VEREMOS OS CONCEITOS BSICOS ABORDADOS PELA NORMA E UMA
FORMA PRTICA DE INICIAR A IMPLANTAO DE UM PROCESSO DE PLANEJAMENTO DE GESTO E MONITORAMENTO DE SEGURANA DE TI.
41
OBJETIVOS
Neste captulo veremos os conceitos bsicos de segurana da informao, sua definio e passos gerais para sua implantao. Ao final deste captulo voc estar apto a: Conceituar a segurana da informao; Entender quais as fontes de requisitos de segurana da informao; Entender em linhas gerais quais os passos a serem trilhados para a obteno de uma ambiente seguro para a informao.
42
CONCEITOS BSICOS DE SEGURANA DA INFORMAO
Ativo Ameaas Impacto Risco Vulnerabilidade
Toda e qualquer informao, que seja um elemento essencial para os negcios de uma organizao, deve ser preservada pelo perodo necessrio, de acordo com sua importncia. A informao um bem como qualquer outro e por isso deve ser tratada como um ativo. A interconexo das empresas atravs de links cabeados e/ou sem fio (wireless), internos e/ou externos, pessoas e aes da natureza, podem expor vulnerabilidades que colocam em risco as informaes. Assim, faz-se necessrio a implantao de processos de segurana que protejam a informao contra essas ameaas. A fim de proporcionar o bom entendimento das abordagens que sero feitas nesse curso, importante conceituarmos alguns termos. Outros no tratados diretamente nesta sesso so descritos ao longo do curso. Ameaa (threat): causa potencial de um incidente indesejado, que caso se concretize pode resultar em dano. Ativo (asset): e qualquer coisa que tenha valor para um indivduo ou uma organizao: hardware de computadores, equipamentos de rede, edificaes, software, habilidade de produzir um produto ou fornecer um servio, pessoas, imagem da organizao, etc...
43
Incidente de segurana (security incident): qualquer evento em curso ou ocorrido que contrarie a poltica de segurana, comprometa a operao do negcio ou cause e cause dano aos ativos da organizao. Impacto (impact): conseqncias de um incidente de segurana. Risco (risk): combinao de probabilidade da concretizao de uma ameaa e suas conseqncias do impacto causado por este evento. Vulnerabilidade (vulnerability): fragilidade ou limitao de um ativo que pode ser explorada por uma ou mais ameaas.
44
OBJETIVOS DA SEGURANA DA INFORMAO
Proteo da informao contra vrios tipos de ameaas para garantir: Continuidade do negcio Minimizao do risco ao negcio Maximizao do retorno sobre os investimentos Oportunidades de negcio
ABNT NBR ISO/IEC 17799:2005 ABNT NBR ISO/IEC 17799:2005

Qualquer tipo de informao deve ser protegido, esteja ele escrito ou desenhado em papel, armazenado em meios magnticos, em filmes ou falado. A segurana da informao obtida atravs da implantao de controles adequados, polticas, processos, procedimentos, estruturas organizacionais e funes de software e hardware. O objetivo da segurana da informao garantir o funcionamento da organizao frente s ameaas a que ela esteja sujeita. A norma ABNT NBR ISO/IEC 17799:2005 estabelece diretrizes e princpios para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao. Essa frase confirma que a norma est alinhada com os objetivos de todas as outras normas criadas com o mesmo fim, conforme visto no captulo 2.
45
consenso das normas da rea que os objetivos gerais da segurana da informao visam preservar a confiabilidade, integridade e disponibilidade da informao. Esse um conceito da antiga ISO/IEC 17799:2000. Porm, citado nesse curso por se tratar de um conceito amplamente difundido. Confiabilidade: tem o objetivo de garantir que apenas pessoas autorizadas tenham acesso informao. Essa garantia deve ser obtida em todos os nveis, desde a gerao da informao, passando pelos meios de transmisso, chegando a seu destino e sendo devidamente armazenada ou, se for necessrio, destruda sem possibilidade de recuperao. Esse processo tende a ser mais dispendioso, quanto maior for a necessidade de proteo da informao e, claro, quanto maior for o valor da informao a ser protegida. Modernos processos de criptografia aliados a controles de acesso, so necessrios nessa etapa. Integridade: O objetivo da integridade garantir que a informao no seja alterada, a no ser por acesso autorizado. Isso significa dizer que uma informao ntegra no necessariamente uma informao correta, mas sim que ela no foi alterada em seu contedo. Esse processo a proteo da informao contra modificaes no autorizadas ou acidentais. Disponibilidade: Garantir que a informao sempre poder ser acessada quando for necessrio. Esse objetivo conseguido atravs da continuidade de servio dos meios tecnolgicos, envolvendo polticas de backup, redundncia e segurana de acesso. De nada adianta ter uma informao confivel e ntegra se ela no est acessvel quando solicitada. A ABNT NBR ISO/IEC 17799:2005 amplia o conceito acima enfatizando mais os resultados da implantao de um ambiente de segurana da informao, quando define que segurana da informao a proteo da informao de vrios tipos de ameaas para garantir a continuidade do negcio, minimizar o risco do negcio, maximizar o retorno sobre os investimentos e as oportunidades de negcio.
46
COMO IMPLANTAR UM SISTEMA DE SERGURANA DA INFORMAO?
Identificando os requisitos de segurana da informao Anlisando do ambiente de segurana Selecionando controles Implementando o ambiente de segurana Adminstrando o ambiente de segurana
ABNT NBR ISO/IEC 17799:2005 ABNT NBR ISO/IEC 17799:2005

Um processo de planejamento de gesto e monitoramento de segurana de TI, pode variar muito em uma organizao. Devido aos diferentes estilos, tamanho e estrutura das organizaes, o processo deve se adequar ao ambiente em que ser usado. Alguns passos em linhas gerais so apresentados a seguir: 1. Identificar os requisitos de segurana da informao. Basicamente, existem trs fontes principais de requisitos de segurana da informao: Obtida atravs da anlise/avaliao de riscos para a organizao. Obtida a partir da legislao vigente a que a organizao, seus parceiros comerciais e provedores de servio devem atender. Obtida a partir dos princpios, objetivos e requisitos do negcio. 2. Anlise do ambiente de segurana. o levantamento peridico dos riscos de segurana da informao, identificando as ameaas e vulnerabilidades. Os resultados desse passo iro direcionar a determinao das aes gerenciais que nortearo todo o processo de segurana da informao.
47
3. Seleo de controles. Com os riscos identificados e com as medidas de tratamento desses riscos j providenciadas agora necessrio implementar controles que asseguraro a reduo dos riscos a nveis aceitveis. A seleo de controles pode ser feita a partir dessa norma ou de outra que atenda as necessidades da organizao. Esses controles incluem: Proteo de dados e privacidade de informaes pessoais; Proteo dos registros organizacionais; Direitos de propriedade intelectual; Documento de poltica de segurana da informao; Atribuio de responsabilidades; Treinamento e educao em segurana da informao; Processamento correto nas aplicaes a fim de prevenir erros, perdas, modificao no autorizada ou mau uso de informaes em aplicaes; Gesto de vulnerabilidades tcnicas; Gesto de continuidade de negcios; Gesto de incidentes de segurana e melhorias. 4. Implementao do ambiente de segurana. Consiste em: Criao, educao e disseminao interna da poltica de segurana da informao para todos os envolvidos. Uma estrutura para a implementao, manuteno, monitoramento e melhoria da segurana da informao; Comprometimento de todos os nveis gerenciais; Proviso de recursos financeiros para as atividades de gesto da segurana da informao. 5. Administrao do ambiente de segurana. Inclui: Estabelecimento de um processo de gesto de incidentes de segurana; Implementao de um sistema de medio, que colha dados para a avaliao de desempenho da gesto de segurana; Obteno de sugestes de melhorias; Implementao de melhorias levantadas no processo.
48
Um fluxograma mais detalhado das fases do processo proposto pela norma ISO/IEC 13335-2 - Information technology Guidelines for the management of IT Security Part 2: Managing and Planning IT Security. Essa norma citada na ABNT NBR ISO/IEC 17799:2005 como informaes adicionais para o processo de implantao da segurana de TI. O fluxograma reproduzido abaixo deixa claro que os trabalhos devem ser iniciados a partir dos objetivos de mais alto nvel da empresa, ou seja, os negcios, e segue passando por definies de estratgia de segurana de TI at a elaborao de uma poltica de segurana de TI. importante que todas as atividades sejam tratadas dentro do estilo e maneira da organizao realizar negcios.
Viso do processo de planejamento e gesto de segurana de TI segundo a ISO/IEC 13335:2
Poltica de segurana de TI Poltica de segurana de TI Aspectos organizacionais da segurana de TI Aspectos organizacionais da segurana de TI
Anlise de Riscos Anlise de Riscos Recomendaes de segurana de TI Recomendaes de segurana de TI Poltica de segurana de sistemas de TI Poltica de segurana de sistemas de TI Planejamento de segurana de TI Planejamento de segurana de TI
Gesto de riscos
Divulgao e concincia da Divulgao e concincia da Poltica de segurana de TI Poltica de segurana de TI
Medidas Medidas de proteo de proteo
Implementao
Reavaliao da Poltica de segurana de TI Reavaliao da Poltica de segurana de TI
49
Captulo
4 ANLISE/AVALIAO E TRATAMENTO DE
RISCOS
GERENCIAR SEGURANA DE TI INCLUI A ANLISE A AVALIAO DE RISCOS E COMO REDUZI-LOS A UM NVEL ACEITVEL. NECESSRIO LEVAR EM CONTA OS OBJETIVOS DA ORGANIZAO, BEM COMO AS NECESSIDADES ESPECFICAS DE CADA SISTEMA E SEUS RISCOS. NESTE CAPTULO VEREMOS COMO FAZER UMA AVALIAO DE RISCOS E COMO MINIMIZ-LOS.
50
OBJETIVO
Sistemas de informao esto constantemente sujeitos a riscos provenientes de aes maliciosas, acidentes ou erros inadvertidos de usurios. Avaliar os riscos potenciais e tomar aes para minimiz-los, tarefa de uma gesto de segurana da informao. Neste captulo sero abordadas as melhores prticas para avaliao de riscos e como trat-los. Ao final deste captulo voc estar apto a: Identificar, quantificar e priorizar os riscos; Determinar aes de gesto apropriadas para o gerenciamento dos riscos de segurana da informao; Estabelecer os critrios de aceitao dos riscos; Tomar decises sobre o tratamento dos riscos.
51
ANALISANDO/AVALIANDO OS RISCOS DE SEGURANA DA INFORMAO
O que deve ser protegido Contra qual ameaa Avaliao do risco Recomendaes
Segundo as definies da norma, risco a combinao da probabilidade de um evento e de suas conseqncias. Por evento de segurana da informao, entenda-se uma ocorrncia identificada de um sistema, servio ou rede, que indica uma possvel violao da poltica de segurana da informao, ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao. O evento ento a concretizao de uma ameaa, que por sua vez a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao. Portanto, avaliar riscos, passa pela avaliao de ameaas e vulnerabilidades. O principal desafio segurana da informao das organizaes identificar e qualificar os riscos e ameaas s suas operaes. Este o primeiro passo no desenvolvimento e gerenciamento de um efetivo programa de segurana. Identificar os riscos e ameaas mais significantes tornar possvel determinar aes apropriadas para reduzi-los. Uma vez identificados, os riscos devem ser qualificados para que sejam priorizados em funo de critrios de aceitao de riscos e dos objetivos relevantes para a organizao. Esta atividade apenas um elemento de uma srie de atividades de gerenciamento de riscos, que envolvem implementar polticas apropriadas e controles
52
relacionados, promover a conscientizao das medidas, e monitorar e avaliar polticas e controles efetivos. A avaliao de riscos e ameaas no resulta em uma seleo de mecanismos de preveno, deteco e resposta para reduo de riscos. Ao contrrio ela simplesmente indica as reas onde esses mecanismos devem ser aplicados, e a a prioridade que deve ser designada para o desenvolvimento de tais mecanismos. No contexto de gerenciamento de riscos, a avaliao de riscos e ameaas ir recomendar como minimizar, prevenir e aceitar os riscos. Como os riscos e ameaas podem mudar com o passar dos tempos, importante que a organizao periodicamente reavalie os mesmos e reconsidere as polticas e controles selecionados.
53
Caminhos para se comprometer um ativo

Boas polticas de segurana bloqueiam alguns ataques
Ameaas no intencionais
Controles e diretrizes de segurana
Ferramentas Tcnicas e Mtodos
Vulnerabilidades
Ameaas mal intencionadas
Razes e objetivos
Fracas diretrizes de segurana podem permitir uma ataque
Ativos
Nenhum controle ou diretriz de segurana
Incidentes catastrficos
Existem vrios caminhos que podem comprometer um ativo, conforme o nvel de contra-medidas implementadas. A figura acima d uma idia de que no h segurana totalmente garantida, mas sim implementaes sujeitas a falhas. Isso no deve ser desanimador, pois implementar algumas contra-medidas, melhor do que no implementar nenhuma. A avaliao de riscos, visa exatamente, determinar se as contra-medidas existentes so suficientes ou no.
54
Passos para uma avaliao de riscos

Identificar ameaas Identificar ameaas
Estimar probabilidade Estimar probabilidade de concretizao de concretizao de cada ameaa de cada ameaa Identificar Identificar o que a ameaa o que a ameaa afetar afetar Identificar custos de Identificar custos de reduo de riscos reduo de riscos
Documentar resultados Documentar resultados e criar planos de ao e criar planos de ao
Independente do tipo de risco a ser considerado, uma avaliao de riscos geralmente inclui os seguintes passos: Identificar ameaas que podem causar danos e afetar ativos e operaes crticas. Ameaas incluem itens como intruses, crimes, empregados insatisfeitos, terrorismo e desastres naturais; Estimar a probabilidade da concretizao das ameaas, baseado em informaes histricas e julgamento de conhecimentos individuais; Identificar e qualificar o valor, susceptibilidade e criticidade da operao e do ativo que poder ser afetado se a ameaa se concretizar, a fim de determinar quais operaes e ativos so mais importantes; Identificar o custo das aes para eliminar ou reduzir o risco. Isto poder incluir a implementao de novas polticas organizacionais e procedimentos, bem como controles fsicos ou tcnicos; Documentar os resultados e desenvolver planos de ao.
55
TRATANDO OS RISCOS DE SEGURANA DA INFORMAO

Matriz de gerenciamento de riscos
Alto nvel de vulnerabilidade
Mdio risco Baixo nvel de ameaas Baixo risco
Alto risco Alto nvel de ameaas Mdio risco
Baixo nvel de vulnerabilidade
O nvel de riscos segurana da informao aumenta conforme aumenta o nvel das ameaas e vulnerabilidades, como pode ser visto na matriz de gerenciamento de riscos [13] acima. O nvel do risco existente em uma organizao pode ser categorizado como:
Alto: requer imediata ateno e implementao de contra-medidas; Mdio: Requer ateno e implementao de contra-medidas em um futuro prximo; Baixo: Requer alguma ateno e considerao para implementao de contramedidas como boas prticas de negcios.
Cada ameaa e vulnerabilidade identificada tambm deve ser qualificada. Essa classificao varia conforme a organizao e o departamento. Por exemplo, a ameaa de enchente preocupa muito mais organizaes instaladas nas proximidades de rios do que aquelas instaladas em regies ridas. Danos causados a banco de dados de pesquisas de marketing podem ser menos danosos do que danos causados a informaes relativas ao fluxo financeiro da organizao. Os nveis de qualificao das ameaas podem ser assim definidos:
56
No aplicvel: significa que a ameaa considerada no relevante para a situao examinada; Baixo: no h histrico e considera-se que improvvel a concretizao da ameaa; Mdio: significa que h algum histrico e probabilidade que a concretize;
ameaa se
Alto: significa que h um histrico significante e uma avaliao de que a ameaa est por acontecer.
O objetivo da anlise de riscos identificar e avaliar os riscos e ameaas pelo qual o sistema de TI e seus ativos esto expostos, a fim identificar e selecionar contramedidas apropriadas. O tabela da pgina seguinte [14] ilustra como a avaliao das informaes de ameaas pode ser qualificada com base nos ativos que so colocados em risco. A avaliao de ameaas conforme a tabela inclui: a. b. c. d. Descrever as ameaas em termos de quem, como e quando; Estabelecer em qual classe de ameaa a ameaa se enquadra; Determinar a probabilidade da concretizao da ameaa; Determinar as conseqncias nas operaes do negcio, caso a ameaa se concretize; e. Calcular se o impacto das conseqncias leva a seqelas pouco srias, srias ou excepcionalmente graves. f. Calcular a taxa de exposio para cada ameaa, em termos da severidade relativa para a organizao.
57
Ativo
Agente / evento - Descreva a ameaa
Descreva o ativo
- Quebra de sigilo: ameaa a confidencialidade da informao (Interceptao, manuteno imprpria, craker, procedimentos) - Interrupo: ameaa a disponibilidade da informao (terremoto, fogo, inundao, cdigo malicioso, falha de energia) - Modificao: ameaa a integridade da informao (entrada Classificao errada de dados, cdigos maliciosos, crakers) da ameaa - Destruio: terremoto, fogo, inundao, vandalismo, pico de energia) - Remoo ou perda: ameaa a confidencialidade e disponibilidade (Roubo de dados ou sistemas em mdias portteis como notebooks, Cds, disquetes)
Avaliao Probabilidade ocorra da da ocorrncia - Mdio: h histrico de ocorrncia e pode vir a ocorrer ameaa - Alto: h histrico de ocorrncia e grande probabilidade de ocorrer
Lista de conseqncias para a organizao caso a ameaa se Conseqncia concretize: relata as perdas ou outras conseqncias caso a da ocorrncia ameaa se concretiza Determinar o impacto para a organizao em termos de custo associados com perda de confiabilidade, integridade e disponibilidade. O impacto pode ser: - Excepcionalmente grave - Srio - Pouco Srio Valor numrico de 1 a 9: - Excepcionalmente grave: 6 a 9 - Srio: 4 a 6 - Pouco Srio: 1 a 3
- Baixo: a ameaa nunca se concretizou e pouco provvel que
Impacto
Taxa de exposio
58
A tabela a seguir, mostra um modelo genrico de avaliao de riscos e recomendaes. Juntamente com a tabela anterior pode ser usado para auxiliar na tomada de deciso que deve ser feita para o tratamento de cada risco identificado. Segundo a norma, possveis opes de tratamento do risco incluem: a. Aplicar controles apropriados para reduzir os riscos; b. Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente poltica da organizao e aos critrios para aceitao de risco; c. Evitar riscos, no permitindo aes que poderiam causar a ocorrncia de riscos; d. Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.
Ativo
Contra-medidas existentes Vulnerabilidades Avaliao de riscos Riscos
Descreva o ativo
DESCREVA: contra-medidas existentes para combater a ameaa DESCREVA: as vulnerabilidades relacionadas com a ameaa AVALIE os riscos como: - Baixo - Mdio - Alto RECOMENDA-SE: implementao de novas contramedidas ou remoo de contra-medidas desnecessrias AVALIE: os riscos projetados como:
Contra-medidas propostas
Recomendaes
Riscos projetados
- Baixo - Mdio - Alto AVALIE AS CONTRA-MEDIDAS COMO:
Avaliao de contra-medidas
- Completamente satisfatria - Satisfatria na maioria dos aspectos - Necessita melhoras
59
Captulo
5 POLTICA DE SEGURANA DA INFORMAO

NESTE
CAPTULO VEREMOS COMO CRIAR UMA POLTICA DE SEGURANA DA INFORMAO
60
OBJETIVO
Escrever uma poltica de segurana da informao envolve comprometimento de diversas reas de interesse e deve ser abraada por todos, desde a direo da organizao at cada um dos funcionrios, clientes e fornecedores com acesso ao sistema de informao, ou que possam de alguma forma comprometer o ativo protegido. O documento de poltica de segurana da informao deve ser elaborado de forma a servir como uma regra a ser seguida. Constantemente exigir atualizaes que reflitam as necessidades do negcio e a realidade da organizao. Neste captulo veremos como criar e organizar uma poltica de segurana da informao nas organizaes. Ao final deste captulo voc estar apto a: Conceituar o que uma poltica de segurana da informao; Fazer uma anlise crtica da poltica de segurana da informao; Estabelecer uma criteriosa poltica de segurana da informao conforme os requisitos do negcio; Entender os documentos requeridos para a implantao e divulgao da poltica de segurana da informao;
61
O QUE UMA POLTICA DE SERURANA DA INFORMAO
Prover uma orientao e apoio da direo para a segurana da informao de acordo com os requisitos do negcio e com as leis e regulamentaes relevantes
prefervel uma poltica mal escrita do que nenhuma poltica.
Segundo a norma ABNT NBR ISO/IEC 17799:2005, uma poltica de segurana da informao visa Prover uma orientao e apoio da direo para a segurana da informao de acordo com os requisitos do negcio e com as leis e regulamentaes relevantes, ou seja, ela prope uma poltica que sistematize um processo a fim de minimizar as preocupaes da direo com a segurana de seus ativos. Escrever uma poltica uma tarefa muitas vezes difcil e deve contar com o envolvimento de vrias pessoas, de vrios departamentos. Isso no deve ser desanimador e no se deve procrastinar o incio dos trabalhos, haja vista a fragilidade a que o negcio pode estar exposto. Se necessrio, para implementar e manter esta poltica, dever ser utilizada consultoria especializada, com conhecimento nos diversos aspectos da segurana dos bens de informao e das tecnologias que os apiam. Possuir uma poltica de segurana da informao na organizao importantssimo para o sucesso dos negcios. prefervel uma poltica mal escrita do que nenhuma poltica.
62
CRIANDO UMA POLTICA DE SEGURANA DA INFORMAO
1. Escreva o esboo do documento 2. Apresente seu esboo para a diretoria 3. Crie um comit de poltica e segurana 4. Divulgue a poltica 5. Leve a poltica a srio 6. Acate sugestes 7. Reavalie periodicamente 8. Refaa o processo
O primeiro passo para a criao de uma poltica de segurana da informao ter algum responsvel por ela. Deve haver uma rea responsvel pela poltica de segurana da informao, que se incumbir de sua criao, implantao, reviso, atualizao e designao de funes. Nessa rea deve ser escolhido um gestor responsvel pela anlise e manuteno da poltica. Para garantir a aplicao eficaz da poltica, o ideal que o alto escalo, como diretoria, gerentes e supervisores faam parte dessa rea, alm de usurios, desenvolvedores, auditores, especialistas em questes legais, recursos humanos, TI e gesto de riscos. Thomas A. Wadlow [10], prope um processo para se estabelecer uma poltica que prev a possibilidade de implantao imediata na organizao sem muita delonga. A princpio o processo no requer o engajamento imediato da direo, que, aos poucos dever ser includa. Essa abordagem, leva em considerao a experincia na implantao do processo da poltica. Como a norma explcita no comprometimento da direo, neste curso adotaremos uma abordagem adaptada de Thomas A. Wadlow como o ponto de partida para a tarefa de implantao da poltica de segurana da informao. Vamos supor que voc leitor foi escolhido como o responsvel pela implantao da poltica de segurana da informao. Siga os passos abaixo para dar incio aos trabalhos o quanto antes:
63
Criando uma poltica de segurana da informao
1. Escreva o esboo do documento da poltica de segurana para sua organizao. Esse documento deve ser genrico, possuir apenas suas idias principais, sem preocupao com preciso. No dever possuir mais do que 5 pginas. Escreva tambm uma justificativa para sua implantao, sempre com o foco nos negcios e riscos a que a organizao est sujeita caso no se implante a poltica de segurana da informao. Procure fazer um documento com foco nos processos de negcio, e no na tecnologia. Para obter o apoio da diretoria necessrio que se mostre qual operao est em risco.
64

2. Apresente seu esboo para a diretoria. O objetivo angariar a confiana no projeto e o engajamento da direo. Uma vez que ela esteja convencida da importncia da poltica, voc ter carta branca para a o incio da implantao. O apoio da diretoria fundamental para o sucesso da poltica de segurana. Em algumas situaes somente com o apoio da diretoria ser possvel aplicar as polticas criadas.
65

3. Crie um comit de poltica de segurana. Esse comit dever ser formado por pessoas interessadas na criao da poltica de segurana e devem ser de setores distintos na organizao. Com base em seu documento, a funo do comit ser: a. escrever as regras para a poltica; b. definir atribuies; c. detalhar os procedimentos bem como as penas para violaes da mesma; d. aprovar as normas estipuladas e alteraes propostas. O comit ter a funo legisladora do processo. Porm, continua sendo sua a responsabilidade pela aplicao da poltica. O comit dever se reunir pelo menos uma vez a cada trs meses e, extraordinariamente, se houver necessidade. A reunio tem o objetivo de avaliar e aprimorar a poltica de segurana, os incidentes ocorridos e as aes tomadas para correo. O documento criado por voc, juntamente com o comit, dever ter uma linguagem simples a fim de que todos os usurios a entendam e possam aplicla com facilidade. Assim, para que a poltica de segurana da informao seja eficaz, o documento ser na verdade, um conjunto de polticas interrelacionadas. A partir deste momento, voc j ter em mos um documento oficial que dever ser aceito e aprovado pela direo. Dependendo da natureza da organizao esse documento tende a ser muito extenso com dezenas ou centenas de pginas.
66

4. Divulgue a poltica de segurana da informao. A poltica deve ser de conhecimento de todos e compreensvel para todos que interagem com a organizao, usurios internos e externos. Deve sempre estar nas mos de quem vai utiliz-la. Porm, de nada vale colocar o documento inteiro nas mos de quem vai utilizar apenas uma parte. Se um funcionrio da limpeza precisa saber como limpar um determinado equipamento preservando a integridade fsica do mesmo. Caso veja, por exemplo, um fio desencapado, deve saber a quem avisar para solucionar o incidente. Um funcionrio da contabilidade precisa saber sua senha para acessar o banco de dados pertinente ao seu setor. Precisa saber tambm a quem recorrer caso precise acessar dados antigos, armazenados em fita, e que precisam ser restaurados. Porm, no precisa saber os detalhes de como so realizados os backups. A divulgao eficaz aquela que atinge a pessoa certa com a informao que ela precisa saber. Ela no precisa ler toda a poltica de segurana, mas a parte que lhe interessa. Essa divulgao segmentada fator imprescindvel para o sucesso da empreitada. claro que isso no exclui a necessidade de divulgao de todo o documento caso algum se interesse em l-lo. Uma forma prtica de divulgao a criao de um Web site na intranet da empresa. Nele todas as informaes sobre a poltica devem ser bem redigidas e separadas em sees, facilitando o acesso a polticas gerais s quais todos devem obedecer e a polticas especficas para cada setor. Este site servir de
67
repositrio de tudo o que for estabelecido na poltica e servir tambm para coletar sugestes. Outras formas de divulgao tambm podero ser usadas como um frum, emails peridicos, ferramentas colaborativas de troca de informao. Se a poltica de segurana da informao for divulgada fora da organizao, tome o cuidado de no revelar informaes sensveis. Lembre-se de classificar as informaes sigilosas para acesso apenas a pessoas especficas.
68

5. Trate a poltica e as emendas como regras absolutas com fora de lei. Uma vez que a poltica j do conhecimento de todos, no pode haver violaes da mesma. Caso isso ocorra, devem ser previstos procedimentos que vo de advertncias a punies. As violaes devem ser analisadas em suas causas, conseqncias e circunstncias, a fim de sejam tomadas medidas preventivas e corretivas que alterem a poltica para evitar nova situao de vulnerabilidade. Lembre-se que tudo deve ser documentado. Neste ponto, o apoio da diretoria tratado nos itens 1 e 2 fundamental para que se possa cumprir as punies previstas na poltica. Caso estas deixem de ser cumpridas a poltica perde sua credibilidade e fora junto aos demais colaboradores da organizao.
69

6. Sugestes so sempre bem-vindas. Incentive que os colaboradores proponham sugestes de melhorias. Todas devem ser levadas em considerao. As pessoas que esto na rotina do trabalho, so as que mais esto aptas a levantar problemas de segurana na respectiva rea, ou mesmo provoc-los. Algumas sugestes podem mostrar tambm que a poltica possui um rigor exagerado em determinado item, o que pode tornar seu cumprimento demasiadamente oneroso. Neste caso devemos analisar as crticas e estudar uma forma alter-las ou criar tratamento de excees para garantir o cumprimento das normas. Facilite o canal de comunicao para que as sugestes cheguem ao comit. As sugestes pertinentes devero virar emendas poltica.
70

7. Realize reunies peridicas para consolidar a poltica e as emendas. Essas reunies devero ocorrer pelo menos uma vez ao ano. Devero participar todo o comit de poltica de segurana, a direo, e os responsveis com funes delegadas. O objetivo realizar uma anlise crtica da poltica de segurana vigente, das emendas e dos incidentes relatados. Esta avaliao poder gerar um documento atualizado que inclua todas as alteraes. Neste ponto devemos considerar as sugestes levantadas no item 6 e todas as alteraes do ambiente desde a ultima reunio, para que sirvam como base para o processo de reviso.
71

8. Refaa o processo. A nova declarao gerada no passo 7 dever passar por todo o processo novamente, a fim de que entre em vigor e seja do conhecimento de todos.
Esses passos no so fceis e envolvem muito trabalho, porm criam uma metodologia por etapas que uma vez seguida levar ao sucesso da criao da poltica de segurana da informao.
72
CONTEDO DO DOCUMENTO FORMAL
DA POLTICA DE SEGURANA DA INFORMAO
ao a da inform e seguran Poltica d a. Definio o b. Declara les ra de contro c. Estrutu gislao idade com le d. Conform nto gcio e. Treiname idade de ne o de continu f. Gest olaes ncias das vi g. Consequ bilidades de responsa h. Definio as i. Refernci
O contedo do documento elaborado para a poltica de segurana da informao varia de uma organizao para outra, em funo de sua maturidade, disponibilidade de recursos, necessidades do negcio, rea de atuao, etc... Deve ser simples, objetivo e compreensvel para todos. O Documento consta normalmente de: a. Definio de segurana da informao, metas, escopo e importncia da segurana da informao como mecanismo que possibilita o compartilhamento da informao. Esse item um texto explicativo do que segurana da informao, como o texto apresentado no captulo 3, subitens Conceitos bsicos de Segurana da Informao e Objetivos da Segurana da Informao. b. Declarao do comprometimento da direo apoiando metas e princpios. Mais uma vez, uma etapa bem simples de ser executada. Pode ser apenas uma frase assinada pela direo, como por exemplo: A Diretoria da XYZ S/A declara-se comprometida em proteger todos os ativos ligados Tecnologia da Informao, apoiando as metas e princpios da segurana da informao estabelecidas neste documento, a fim de garantir a confiabilidade, disponibilidade e integridade da informao, alinhada com as estratgias do negcio.
73
O importante nesse item que a assinatura da direo realmente expresse a vontade e engajamento do alto escalo da empresa, apoiando ativamente as aes a serem implantadas e definindo atribuies de forma explcita. c. Estrutura para estabelecer objetivos de controles e controles, incluindo estrutura e anlise/avaliao e gerenciamento de risco. Veja o captulo 4. d. Princpios de conformidade com a legislao e regulamentos contratuais. Aqui deve ser avaliada a questo legal do negcio, suas conformidades com a legislao vigente e com regulamentos e contratos. As clusulas do documento de poltica de segurana da informao devem estar em conformidade com essa avaliao. Por exemplo, caso a organizao seja uma entidade pblica, ela est obrigada a obedecer uma poltica de segurana conforme o decreto presidencial n0 3.505. e. Plano de treinamento em segurana da informao. muito importante que todos os envolvidos com a segurana da informao, tenham no s acesso ao documento de poltica, como tambm sejam instrudos no processo de implantao e uso da poltica. Tendo conhecimento e formao adequada, a eficcia do plano de segurana ter mais chances de sucesso. Alm disso, todos passam a ser co-responsveis pelo processo uma vez que no podem alegar desconhecimento do mesmo. O treinamento poder ser feito, por exemplo, atravs de seminrios programados, distribuies de cartilhas com informaes sobre a segurana da informao, e-mails regulares com dicas sobre o assunto e site de divulgao da poltica. f.
Plano para gesto de continuidade do negcio. um conjunto de estratgias e procedimentos que visam garantir que no haver interrupo das atividades do negcio, alm de proteger os processos crticos no caso de alguma falha. um conjunto de medidas que combinam aes preventivas e de recuperao.
g. Conseqncia das violaes na poltica de segurana. necessrio que todos saibam das conseqncias da violao na poltica. Essas conseqncias passam por punies que devem ser explicitadas no documento. O responsvel pela aplicao da poltica deve estar bem preparado para a eventualidade de ter que, por exemplo, solicitar a demisso de um bom funcionrio que tenha violado a poltica. Isso pode ser constrangedor, mas necessrio. Por isso, explicite e divulgue bem essa parte para evitar desculpas de desconhecimento das normas.
74
Captulo
h. Definio das responsabilidades na gesto da segurana. A designao das responsabilidades pela proteo de cada ativo e pelo cumprimento de processos de segurana da informao especficos devem ser claramente definidas. Essa uma atribuio do comit gestor da poltica. Para que haja o comprometimento dos responsveis, pode ser criado um termo de responsabilidade e sigilo que compromete os envolvidos, internos e externos com a poltica de segurana da organizao. Esses responsveis podem delegar tarefas de segurana da informao para outros usurios, porm continuam responsveis pela mesma. i.
Referncias documentao que apiam a poltica. Esta parte do documento serve para fortalecer ainda mais a poltica, indicando documentos complementares que detalham procedimentos de sistemas implantados ou regras a serem seguidas.
75
6 ORGANIZAO DA SEGURANA DA INFORMAO

NESTE
CAPTULO VEREMOS ALGUNS ASPECTOS COMPLEMENTARES SOBRE COMO ORGANIZAR UMA POLTICA DE SEGURANA DA INFORMAO
76
OBJETIVO
Neste captulo veremos alguns aspectos complementares para a organizao de uma poltica de segurana da informao. Ao final deste captulo voc estar apto a: Entender a importncia do gerenciamento de autorizao de novos recursos; Porque criar acordos de confidencialidade; Lidar com informaes sigilosas quando a operao envolve servios de terceiros.
77
ESTRUTURAO DA SEGURANA DA INFORMAO: GESTO DE AUTORIZAO DE NOVOS

RECURSOS
DISPOSITIVOS MVEIS INTERNET
Gesto de autorizao de novos recursos

DADOS
IDENTIFIQUE-SE
SOFTWARES
IMPRESSORAS
Autorizar o acesso a novos recursos de processamento de informao uma tarefa rotineira de um administrador de rede, que exerce a funo de administrador de usurios. A cada momento algum solicita acesso a uma impressora especfica ou informaes de um banco de dados, ou a qualquer outro recurso. Para autorizar acessos aos recursos, o administrador deve ter em mos um processo de gesto que seja compatvel com a poltica de segurana. Esse processo definir quem poder ter acesso a um recurso. Isso pode ser obtido, por exemplo atravs de controles lgicos de acesso. Estes tm o objetivo de impedir acessos no autorizados, protegendo os equipamentos, aplicativos e arquivos de dados contra perda, modificao ou divulgao no autorizada. O processo de gesto de autorizao de novos recursos, tambm deve prever a verificao de compatibilidade de softwares e hardwares com o sistema. Dispositivos mveis devem ter ateno especial, uma vez que podem introduzir novas vulnerabilidades. Como a maioria dos dispositivos mveis como PDAs e notebooks, j vem de fbrica com interfaces sem fio (wireless) instalada, e como mesmo os dispositivos como placas de redes sem fio e pontos de acesso (access point) so hoje
78
dispositivos do tipo plug & play (conecte e use), eles criam um portal de entrada rede caso configuraes de segurana no sejam adequadamente executadas. Dispositivos sem fio esto cada vez mais populares e seus benefcios para o usurio so inegveis. Porm, as empresas tm de criar processos de segurana especficos que as protejam, como procedimentos de autenticao de usurios, sistemas de varredura para deteco de pontos de acesso clandestinos (muitas vezes conectados rede inocentemente por um funcionrio que deseja usufruir a mobilidade) e incluso de todos os equipamentos em um servio de diretrio.
79
ESTRUTURAO DA SEGURANA DA INFORMAO: ACORDOS DE CONFIDENCIALIDADE E SIGILO PARA ACESSOS DE FUNCIONRIOS, PARTE EXTERNA E CLIENTE
Proteger todo conhecimento tcnico ou informao confidencial contra divulgao no autorizada por: Funcionrios; Ex-funcionrios; Terceirizados; Partes externas; Clientes.
Segurana um problema que envolve principalmente pessoas, mais at do que aspectos fsicos ou aspectos tecnolgicos. Por isso, necessrio que haja procedimentos especficos que tratem com cuidado as pessoas que tm acesso s informaes da organizao. Um dos grandes riscos para segurana da informao, a quebra de sigilo das informaes por parte de funcionrios contratados ou terceirizados e partes externas. Essa quebra de sigilo pode ocorrer intencionalmente ou no. Um funcionrio pode comentar uma informao em simples conversas informais em uma mesa de bar ou no saguo do aeroporto. Essa conversa pode ser ouvida por um concorrente que se beneficiar da informao. Outro risco o ex-funcionrio insatisfeito que divulga a terceiros, informaes cruciais da organizao, ou que j sabendo de sua demisso, toma alguma ao que viole a segurana interna. Para tentar coibir essas aes, o responsvel pela poltica tem a obrigao de orientar um novo funcionrio quanto poltica de segurana e as devidas punies cabveis. Alm de todas as medidas de segurana efetivas implantadas, recomendvel que sejam criados acordos de confidencialidade e sigilo das informaes acessadas dentro
80
da organizao. Esses acordos devem seguir termos legais a fim de que tenham valor jurdico no caso de violao do mesmo. O acordo de confidencialidade e sigilo deve ser bem explcito quanto a natureza do que se est protegendo. Tem o objetivo de proteger todo o conhecimento, tcnico ou informao confidencial capaz de possibilitar seu emprego no processo produtivo econmico. A proteo pretendida pelo acordo ter validade no s dentro do prazo de relao entre as partes, como tambm na ausncia dele. Deve ser considerado que haver obrigao de sigilo enquanto a tecnologia em questo no passar para o domnio pblico. Eventualmente, dependendo do tipo de informao, o acordo de confidencialidade e sigilo poder ser por tempo determinado, permitindo a divulgao do bem protegido ao fim daquele prazo ou em prazo previsto. Empresas parceiras ou contratadas para um determinado servio, tambm podem se beneficiar de informaes sigilosas a que tenham acesso. Por isso, os acordos devem ser aplicados tambm a partes externas a organizao. Uma outra fonte de risco a ser analisada com relao a partes externas, o acesso destes aos recursos de processamento da informao. Leve em considerao que produtos e servios oriundos de partes externas podem reduzir a segurana da informao. Por exemplo, a permisso de acesso a Internet para o notebook de um visitante, deve ser feita com contas especficas com restries de acesso a qualquer outro recurso da rede, pois uma vez conectado o visitante poder explorar vulnerabilidades da rede, ou mesmo sem inteno introduzir algum vrus no sistema. Avalie todos os riscos potenciais que partes externas podem trazer e tome as contramedidas cabveis. Por exemplo, o acesso fsico a computadores por parte de um visitante ou contratado para um servio, ou o acesso lgico deste a banco de dados, ou a uma conexo a rede, etc., s poder ser feito com a autorizao especfica do responsvel pela segurana de TI, o qual dever permitir o acesso apenas aos recursos estritamente necessrios ao trabalho a ser desempenhado. O acesso de clientes e terceiros aos ativos ou s informaes da organizao tambm deve ser controlado e atender aos requisitos de segurana da informao. Para isso, devem ser criados acordos com o cliente, os quais contero todos os riscos identificados e os requisitos de segurana da informao. Tambm devem ser includos procedimentos de controles requeridos em um plano de gesto, como
81
controle com identificadores nicos de acesso, atravs de usurio e senha, nmero de licena para ativao de software adquirido, etc.
82
NORMAS TCNICAS
1. ABNT NBR ISO/IEC 17799:2005 - Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto de segurana da informao. Associao Brasileira de Normas Tcnicas (ABNT). Segunda edio, 2005. 2. ISO/IEC FDIS 17799:2005(E) Information technology Security techniiques Code of practice for information security management. ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission), 2005. 3. ISO/IEC 13335-2 - Information technology - Guidelines for the management of IT Security - Part 2: Managing and Planning IT Security. ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission). 4. Information Technology Infraestructure Library (ITIL). Office of Government of Commerce (OGC), 1989. 5. CobiT (Control Objectives for Information and related Technology). ISACA (Information systems Audit and Control Foundation), 1996. 6. BS 15000:2000 - Specification for IT service management. British Standards Institution (BSI), 2000. 7. ISO/IEC 20000 - IT Service Management Standards. ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission), 2005. 8. BS 7799 - Information security management Part 1: Code of practice for Information security management. British Standard, 1999.
83
REFERNCIAS BIBLIOGRFICAS
1 2 3 4
Novo Dicionrio Aurlio O Dicionrio da Lngua Portuguesa edio de 1999. Timeline of the History of Information - Geoffrey Numberg Chappman
Security Controls for Computer Systems: Report of Defense Science Boad Task Force on Computer Security. Editado por W. H. Ware.
CSC-STD-001-83 - Library No. S225,711 - Department of Defense Trusted Computer System Evaluation Criteria - 15 August 1983.
6
An Introduction to Computer Security: The NIST Handbook Special Publication 800-12. http://www.iso27001security.com/html/iso27000.html.
7 8
Decreto No 3.505, de 13 de junho de 2.000 Presidncia da Repblica Casa Civil.

9
Boran, Sean. IT Security Cookbook, 1996. Acessado em 12/02/2006. Disponvel em http://www.boran.com/security.

10
Segurana de Redes Projeto e gerenciamento de redes seguras Thomas A. Wadlow. Editora Campus, 2000. Entrevista de Malcom Fry, conselheiro executivo independente da Remedy, uma empresa da BMC Software, a ITWEB em 25/11/2003, disponvel em http://www.itweb.com.br/entrevistas/artigo.asp?id=44970.
12 13 14 11
C.W. Von Bergen e Daniel C. Benco - A Balanced Scorecard for Small Business.
www.microsoft.com/brasil/security/guidance/prodtech/win2000/secmod133.mspx#EDF.
Guide to Threat and Risk Assesment for Information Technology Security Information Publication 5 IT Security of the RCMP 1994.
84

Apostila ISO17799 Modulo1

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Apostila ISO17799 Modulo1

Transféré par

Droits d'auteur :

Formats disponibles

Entendendo e implementando a Norma ABNT NBR ISO/IEC 17799:2005

Entendendo e implementando a Norma ABNT NBR ISO/IEC 17799:2005

Apostila desenvolvida pelo Instituto Online em parceria com a Microsoft Informtica

Reviso 1.0 maro de 2006

COMO USAR ESSE MATERIAL

LABORATRIO : TTULO AQUI

1 INTRODUO: EVOLUO E CONCEITOS

INFORMAO: BEM QUE SE DEVE PROTEGER

EVOLUO DA SEGURANA DA INFORMAO

O PROBLEMA CLSSICO DE SEGURANA DA INFORMAO

O QUE UMA NORMA?

2 AS PRINCIPAIS NORMAS DE SEGURANA DA

BS15000 ISO 20000 BS 7799

ITIL INFORMATION TECHNOLOGY INFRAESTRUCTURE LIBRARY

1996 Lanado na America do norte

COBIT CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY

Recursos de TI Fornecimento e suporte

Fonte: CobiT Executive Summary IT Governance Institute

BS 15000 / ISO 20000 NORMAS DE GESTO DE SERVIOS

Desenho de Servios e Processos de gesto

Processos de Entrega de servios

Processos de suporte a servios servi

BS 15000-1 BS 15000-2 Orientaes de Gesto PD 0005

Critrios de avaliao O que alcanar Cdigo de prticas Viso de Gesto

ITIL Melhores prticas Procedimentos internos e instrues de trabalho

BS 7799 - BRITISH STANDARD 7799

Tratamento dos riscos Tratamento dos riscos

COMPARAO ENTRE AS PRINCIPAIS NORMAS

Ponto forte - Processos de operao - Controles -Mtricas - Processos - Controle de segurana

SISTEMA DE GESTO DE SEGURANA DA INFORMAO SGSI

FERRAMENTAS PARA GERENCIAMENTO DE TI (MOF MSF BSC)

MOF Microsoft Operations Framework

MSF Microsoft Solutions Framework

BSC Balaced ScoreCard

Microsoft Operations Framework (MOF)

Microsoft Solutions for Framework (MSF)

Balanced ScoreCard (BSC)

Processos internos Processos internos de negcios de negcios

Aprendizado e Aprendizado e Crescimento Crescimento

3 - INTRODUO ABNT NBR/ISO/IEC 17799:2005

CONCEITOS BSICOS DE SEGURANA DA INFORMAO

Ativo Ameaas Impacto Risco Vulnerabilidade

OBJETIVOS DA SEGURANA DA INFORMAO

ABNT NBR ISO/IEC 17799:2005 ABNT NBR ISO/IEC 17799:2005

COMO IMPLANTAR UM SISTEMA DE SERGURANA DA INFORMAO?

ABNT NBR ISO/IEC 17799:2005 ABNT NBR ISO/IEC 17799:2005

Viso do processo de planejamento e gesto de segurana de TI segundo a ISO/IEC 13335:2

Divulgao e concincia da Divulgao e concincia da Poltica de segurana de TI Poltica de segurana de TI

Medidas Medidas de proteo de proteo

Reavaliao da Poltica de segurana de TI Reavaliao da Poltica de segurana de TI

ANALISANDO/AVALIANDO OS RISCOS DE SEGURANA DA INFORMAO

Caminhos para se comprometer um ativo

Controles e diretrizes de segurana

Ferramentas Tcnicas e Mtodos

Ameaas mal intencionadas

Ferramentas Tcnicas e Mtodos

Ferramentas Tcnicas e Mtodos

Fracas diretrizes de segurana podem permitir uma ataque

Nenhum controle ou diretriz de segurana

Passos para uma avaliao de riscos

Documentar resultados Documentar resultados e criar planos de ao e criar planos de ao

TRATANDO OS RISCOS DE SEGURANA DA INFORMAO

Mdio risco Baixo nvel de ameaas Baixo risco