Académique Documents
Professionnel Documents
Culture Documents
FAQI
Roselaine Gomes1, Fabio Silveira2, Vitor3,
Abstract: This paper presents a compilation of recommendations for security best practices that can be implemented by businesses of any size or sector andtailored to meet the standards of ISO27002 standards.The basement was obtained from the edition of ISO/IEC 27.002:2005-Information technology Security techniquesCode of practice for information security management.
Resumo:O presente artigo apresenta uma Compilao de recomendaes para melhores prticas de segurana, que podem ser aplicadas por empresas de qualquer porte ou setor e adequada de acordo com os padres das normas ISO27002. O embasamento se obteve a partir da edio da ABNT NBR ISO/IEC 27.002:2005 - Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto da segurana da informao.
1.
Segundo a Norma Brasileira ABNT NBR ISO/IEC 27.002:2005, as informaes de uma empresa essencial para o negcio de uma organizao, e precisa ser protegida, principalmente com o aumento da interconectividade, agora exposta a grande variedade de ameaas e vulnerabilidade. Segurana da informao obtida a partir da implementao de um conjunto de controles adequados incluindo polticas, processos, procedimentos, estruturas organizacionais e funes de software e hardware. essencial que uma organizao identifique os seus requisitos de segurana da informao, analisando e avaliando riscos para a organizao, como ameaas aos ativos e as vulnerabilidades. Estimativas de probabilidade de ocorrncia das ameaas e do impacto potencial ao negcio. De acordo com a norma, outra fonte a legislao vigente, e as regras da organizao estabelecem, alm do ambiente sociocultural. Ser analisado tambm, os princpios, objetivos e os requisitos do negcio que apoiaro sua organizao. Uma vez que os requisitos estejam identificados, convm que controles apropriados sejam selecionados a partir da Norma ou das necessidades da associao. A Norma ISO 27000 um padro internacional sobre as boas prticas na Gesto da Segurana da Informao, que levam empresas ao nvel mximo de excelncia internacional em Segurana da Informao.
A segurana da informao padronizada atravs da norma ISO 27000, que tem por objetivo a proteo das informaes organizacionais e ativos de TI. Para muitas empresas, as informaes tem mais valor $$ do que os ativos fsicos.
2.
Principais controles Proteo de dados e privacidade de informaes pessoais; Proteo de registros organizacionais; Direitos de propriedade intelectual; Documento da poltica de segurana de informao; Atribuio de responsabilidades; Conscientizao, educao e treinamento em segurana da informao; Processamento correto nas aplicaes; Gesto de vulnerabilidade tcnicas; Gesto da continuidade do negcio; Gesto de incidentes de segurana da informao e melhorias;
A ISO/IEC 27002 um cdigo de boas prticas, ou seja, um documento consultivo genrico, e no verdadeiramente uma norma ou especificao formal, como a ISO/IEC 27001. Ela define um conjunto estruturado de controles, sugeridos para tratar os riscos de segurana das informaes que abrangem os aspectos da confidencialidade, integridade e disponibilidade. As organizaes que adotam a norma ISO/IEC 27002 visam avaliar seus prprios riscos segurana das informaes e aplicar os controles adequados a fim de minimiz-los utilizando esta norma como orientao. A norma sugere um vasto nmero de controles a serem vistos adiante, no entanto, ela no indica ou mostra quais controles podem ou no serem aplicados para cada caso em estudo, o que um dos objetivos deste trabalho. Alm disso, nenhum dos controles sugeridos pela norma obrigatrio, mas se uma organizao que deseja ser certificada conforme a norma ISO/IEC 27001 optar, por exemplo, por no aprovar algo to comum como a utilizao de antivrus em suas mquinas, esta certamente deve estar preparada para demonstrar que esta deciso foi alcanada atravs de uma opo racional de gesto dos riscos de processo, e no apenas devido a uma ordem superior.
Aps a introduo, o escopo, a terminologia e a estrutura das sees, a norma ISO/IEC 27002 especifica 39 objetivos de controle para proteger os ativos ligados s informaes das ameaas sua confidencialidade, integridade e disponibilidade. Estes objetivos de controle, em efeito, compreendem uma especificao genrica de requisitos funcionais para uma arquitetura de gerenciamento de controles de segurana da informao em uma organizao. Contestar este objetivos de controle seria algo um tanto quanto incomum, pois seria muito difcil criar um argumento convincente para explicar o porqu de uma organizao no estar em conformidade com estes objetivos de controle. Porm,alguns destes no so aplicveis a todos os casos, os controles genricos da norma no refletem necessariamente os requisitos necessrios a cada organizao. No entanto, na maioria dos casos, estes objetivos de controle fornecem um excelente ponto de partida para definir um conjunto abrangente de axiomas ou de princpios de alto nvel para polticas de segurana da informao, apenas com algumas ligeiras modificaes em sua redao [I2K, 2008].
Porm, as organizaes podem implementar um Sistema de Gesto da Segurana da Informao como um todo, baseado na norma ISO/IEC 27001, valendo-se da norma ISO/IEC 27002 como fonte de controles ou tambm utilizando outras fontes, a fim de obter informaes de segurana monitorando/gerenciando os processos.
3. Consideraes gerais
Polticas que reflitam os objetivos do negcio; Abordagem e estrutura para a implementao, manuteno, monitoramento e melhoria da segurana da informao; Comprometimento e apoio de todos os nveis gerenciais; Bom entendimento dos requisitos, da anlise e avaliao de riscos; Divulgao eficiente para todos os envolvidos.
4. Capitulo 12
Aquisies, desenvolvimento e manuteno de sistemas de informao
Rege que a segurana da informao dever tambm ser levada em considerao durante os processos de especificao, construo/aquisio, anlise, implementao e manuteno dos sistemas de TI a fim de garantir a segurana da organizao em todas as etapas anteriores. Esta seo diz respeito a este tema fornecendo subsdios para a implementao de controles de segurana nestas etapas e est dividida em: Requisitos de segurana de sistemas de informao, Processamento correto nas aplicaes, Controles criptogrficos, Segurana dos arquivos do sistema, Segurana em processo de
poder gerar ao negocio. Portanto, qualquer produto que seja desenvolvido ou comprado deve ter controles de segurana que estejam vinculados ao negcio.
Prevenir a ocorrncia de erros, perdas, modificaes no autorizadas ou mal uso de informaes em aplicaes.
Segurana dos servios do sistema Convm que acessos aos sistemas e a cdigo fonte de programas sejam controlados, e que cuidados sejam tomados para evitar exposio de dados sensveis em ambiente de testes. Garantindo a segurana de arquivos de sistema.
Procedimentos para controlar a instalao de software em sistemas operacionais. Para minimizar os riscos aos sistemas operacionais, so recomendados os seguintes procedimentos:
a) Atualizaes ao sistema operacional sejam feitos somente por administradores treinados; b) Criar um ponto de retorno seguro antes que a mudana seja implementada; c) Verificar os riscos caso o fornecedor de softwares descontinue as atualizaes s verses antigas de seus softwares. d) Os softwares podem depender de outros softwares e mdulos fornecidos externamente, os quais convm ser monitorados e controlados para evitar mudanas no autorizadas.
Convm que os dados de testes sejam selecionados com cuidado, protegidos e controlados. Para os testes, deve-se evitar o uso de banco de dados que contenham informaes pessoais de pessoas reais. Mas se os mesmos forem utilizados convm que os detalhes e contedos sensveis sejam removidos ou modificados para evitar o reconhecimento da pessoa. Outras medidas: a) Antes de fazer qualquer tipo de cpia parcial ou total do banco de dados tem que
ter tido uma aprovao para o mesmo; b) Aps a concluso dos testes, os dados utilizados para o mesmo sejam apagados;
Convm que o acesso ao cdigo fonte de programa e de itens selecionados seja estritamente controlado, com a finalidade de prevenir a introduo de funcionalidade no autorizada e para evitar mudanas no intencionais.
Convm que os gerentes responsveis pelos sistemas, aplicativos sejam tambm responsveis pela segurana dos ambientes de projetos ou suporte. Mantendo a segurana de sistemas, aplicativos e da informao
Convm que os procedimentos de controle de mudanas sejam documentados e reforados com a finalidade de minimizar a corrupo dos sistemas instalados; Convm que os programadores de suporte tenham acesso somente s partes do sistema necessrio para o cumprimento de suas tarefas; Convm que o processo inclua uma anlise/avaliao de riscos, anlise do impacto das mudanas e a especificao dos controles de segurana requeridos; Convm que, quando praticvel, os procedimentos de controle de mudanas sejam integrados: a) A garantia que as mudanas sejam submetidas por usurios autorizados;
b) A anlise crtica dos procedimentos de controle e integridade para assegurar que a mudana no os comprometam;
4.5.2 Captulo 12.5.2 operacional Convm que aplicaes crticas de negcios sejam analisadas criticamente e testados quando sistemas operacionais so mudados, para garantir que no haver impacto. Convm que o processo compreenda: a) Uma anlise crtica dos procedimentos de controle e integridade dos controles para assegurar que no foram comprometidos pelas mudanas implementadas Anlise crtica tcnica das aplicaes aps mudanas no sistema
b) A garantia de que as mudanas pretendidas sejam comunicadas em tempo hbil para permitir os testes e anlises crticas antes da implementao das mudanas
Convm que as modificaes em pacotes de software sejam desencorajadas e limitadas s mudanas necessrias e que todas as mudanas sejam estritamente controladas. Quando possvel, convm que pacotes de software de terceiros sejam utilizados sem modificaes. Quando precisar de modificaes convm que sejam considerados os seguintes itens: a) A obteno do consentimento do fornecedor;
b) A possibilidade de obteno junto ao fornecedor das mudanas necessrias como atualizao padro do programa;
c) O impacto resultante para a manuteno futura do software como resultado das mudanas;
Se mudanas forem necessrias, convm que o software original seja mantido e as mudanas aplicadas numa cpia claramente identificada
Convm que oportunidades para vazamento de informaes sejam prevenidas. Convm que os seguintes itens sejam considerados, para eliminar o risco de vazamento de informaes. a) de informaes ocultas; A varredura do envio de mdia e comunicaes para verificar a presena
b)
comunicaes para reduzir a possibilidade de terceiros deduzirem informaes a partir do comportamento dos sistemas;
c)
Convm que a organizao supervisione e monitore o desenvolvimento terceirizado de software. Convm que sejam considerados os seguintes itens quando do desenvolvimento de software terceirizados: a) Acordos de licenciamento, propriedade do cdigo e direitos de
propriedade intelectual
b)
c) realizado
d) do cdigo
To comum a exposio de falhas nos sistemas de informao e tais falhas acarretarem em perdas para o negocio cria-se uma oportunidade de gerir estas falhas. Identificado tal oportunidade no sentido de administrar as vulnerabilidades expostas pelos sistemas a ISO 17799 possui um procedimento que descreve alguns pontos a serem questionados e um processo a ser cumprido com o objetivo de contornar estas vulnerabilidades. Segundo a norma, uma vulnerabilidade deve ser identificada em tempo hbil, ouseja, antes de gerar uma perda ao negocio. Assim que identificada devero ser tomadas medidas corretivas para lidar com os riscos associados. Uma vez que uma vulnerabilidade tenha sido identificada, convm a organizao avaliar os riscos associados e as aes a serem tomadas. Exemplo: patches corretivos ou aplicao de outros controles, como: desativao de servios, ativao de firewalls nas fronteiras da rede. Quando optado pela aplicao de um pach corretivo convm levar em considerao os riscos associados a sua instalao no sentido de gerar uma segunda falha ao sistema. Portanto um pach corretivo pode no abordar o problema corretamente e pode causar efeitos colaterais negativos.
e-manuteno-2011