SEGURANA DA INFORMAO

SERGIO DUQUE CASTILHO

OURINHOS - SP
JUNHO/2011
1
Sumr!
1 SEGURANA DA INFORMAO....................................................................................3
2 LEIS ......................................................................................................................................16
3 PESQUISA DE SEGURANA DA INFORMAO ......................................................20
4 NORMAS..............................................................................................................................24
5 CLASSIFICAO DA INFORMAO..........................................................................34
6 ROSI......................................................................................................................................40
7 DESCARTE E SANITIZAO DE MDIAS...................................................................46
CONTROLE DE ACESSO.................................................................................................60
! SEGURANA PARA TELEINFORM"TICA E COMUNICA#ES...........................63
10 $ISO DA GO$ERNANA DE TI..............................................................................7
2
1 Segurana da Informao
1"1 I#$r!%u&'!
Por que to importante proteger as informaes nos dias de hoje? Ser possvel
manter a segurana de uma organizao, onde as informaes so ativos de extrema
importncia para sua sobrevivncia?
Devido s organizaes estarem fortemente ligadas a Tecnologias (servidores,
internet, banco de dados, e-comerce, etc), os riscos que trazem essas Tecnologias so riscos
para o negcio, e as falhas na proteo dos ativos da informao correlacionados com
essa Tecnologia, transformam-se em perdas financeiras, comprometem a imagem da
empresa e reduzem a eficincia operacional, chegando ao extremo de levar a encerrar suas
operaes.
Restrita no passado para reas de nicho, como bancria, aeroespacial ou aplicaes
militares a segurana digital cresce lentamente mas segura, tornando-se assunto de todos.
As organizaes tm a necessidade de criar e manter um ambiente tecnolgico no
qual os processos de negcio possam funcionar de forma correta e segura. Significa
assegurar a confidencialidade e privacidade dos dados na organizao, bem como a sua
integridade. Para que esses objetivos sejam alcanados, no devemos dar nfase apenas a
implantao de hardware e software, mas a realizao eficiente do processo de
Gerenciamento de Risco de TI
1
, no qual todos os riscos devem ser identificados e
minimizados.
1"2 I#(!rm)&'!
um conjunto de dados que representam um ponto de vista.
Dados no so informaes, estes aps uma analise ou processo geram informao.
A informao possui significado e causa impacto em grau maior ou menor, tornando o
elemento essencial da extrao e criao do conhecimento.
1
TI Tecnologia da Informao
3
conhecimento s pode ser formado a partir da exposio do
individuo a informao.
Os aspectos da gerao de conhecimento a partir da informao o
principal interesse das organizaes.
Expor colaboradores a informao gera conhecimento, melhora a
tomada de deciso e proporciona valor aos negcios, Como pode
ser visto na figura 3.
Proporcionar valor contribui diretamente para o lucro.
possvel afirmar que a informao um bem, um ativo da
organizao e deve ser preservada e protegida.
possvel encontrar informao na forma escrita, impressa,
armazenada em arquivos( discos, cds, etc) e at transitando nos
meios de comunicao.

Figura 1 Valor da Informao

1"* A m+!r$,#-) %) #(!rm)&'!
Atualmente, as informaes tornam-se o objeto de maior valor para as empresas. O
avano da informtica e das redes de comunicao nos mostra um novo cenrio, no qual os
objetos do mundo real esto representados por bits e bytes, sem deixar de ter o mesmo valor
que os objetos reais e, na maioria das vezes, o valor ainda maior.
Segundo alguns estudos realizados, apenas 6% das empresas que sofrem um desastre
informtico sobrevivem. Os demais 94% desaparecem, mais cedo ou mais tarde. Algumas
4
pesquisas, ainda que mais moderadas, confirmam essa tendncia ao indicar que duas de cada
cinco empresas que enfrentam ataques ou danos em seus sistemas deixam de existir.
1". S/0ur)#&) %) #(!rm)&'!
a proteo da informao, de diversos tipos de ameaas, para garantir a
continuidade dos negcios, minimizar os danos e maximizar o retorno do investimento e as
oportunidades de negcio.
Segundo a NBR 27001, segurana da informao consiste na preservao da
confidencialidade, integridade e disponibilidade da informao. Tambm suplementa, outras
propriedades, tais como autenticidade, responsabilidade, no repdio e confiabilidade,
podem estar includas.
Para a Academia Latino Americana de Segurana da Informao, as empresas esto
expostas a ameaas constantes em seus ativos, o que pode representar prejuzos inestimveis.
As vulnerabilidades em nossos sistemas de informao podem representar problemas de
grande impacto negativo para a empresa, a importncia de compreender os conceitos
necessrios para que se possa combat-los e defender as informaes de possveis ataques
uma forma de sobrevivncia para a empresa.
A segurana da informao tem a finalidade de proteger as informaes registradas,
independente de onde estejam situadas: impressas em papel, nos discos rgidos dos
computadores ou at mesmo na memria das pessoas que as conhecem.
E elementos so: as informaes, os equipamentos que oferecem suporte a elas e as
pessoas que as utilizam.
A necessidade de segurana j excede o limite da produtividade e da funcionalidade,
de forma que a velocidade e a eficincia tornam-se uma vantagem competitiva nos processos
de negcios e a falta de segurana nos meios tecnolgicos que permitem essa velocidade e
eficincia, muitas vezes pode acarretar prejuzos inestimveis.
5
Figura 2 Elementos que fazem Parte da Comunicao.
Aumentar o nvel de segurana de sistemas de informao um desafio para
qualquer organizao. O primeiro passo neste empenho avaliar a exposio atual da
organizao e decidir que passos esta devem seguir. Tomar decises e, encontrar solues
pode ser a parte mais difcil do processo de assegurar os sistemas de informao.
Existem alguns riscos em relao a segurana que devem ser considerados como: a
falta de classificao da informao quanto ao seu valor, o controle de acesso mal definido,
dificuldade de controle do administrador, a Internet, o trfego de informaes e senhas pela
rede, e-mails enviados, qualquer conexo entre redes pode ser considerada um risco.
No se pode garantir total segurana, pois no existe segurana a prova de hackers.
A segurana complexa, envolvendo aspectos humanos, sociais e tecnolgicos (GEUS;
NAKAMURA). Por esse motivo cabe a organizao definir o nvel necessrio de segurana,
mas assumindo os riscos.
Administrar a segurana de uma organizao, no uma tarefa fcil, pois a segurana
inversa a produtividade. Para minimizar os riscos o administrador restringe o acesso dos
usurios aos servios e dessa forma afeta a sua produtividade
6
1"1 A$2!3
De acordo com a NBR 27001, tudo que constitui valor para a organizao
considerado ativo.
Um ativo todo elemento que compe o processo da comunicao, partindo da
informao, seu emissor, o meio pelo qual ela transmitida, at chegar a seu receptor
(MICROSOFT TECHNET BRASIL). E ainda informa que, os ativos so elementos que
precisam ser protegidos, pois constituem valor para as empresas e, por esse motivo precisam
de uma proteo adequada para que seus negcios no venham a ser prejudicados.
Os elementos que fazem parte do que chamamos de ativos so trs: As informaes,
os equipamentos que oferecem suporte a elas, as pessoas que as utilizam.
Tabela 1 ru!os de "ti#os
A" I#(!rm)&4/35
Neste grupo de ativos, tudo que contm informao registrada, em meio eletrnico ou
fsico. Exemplo: documentos, relatrios, correspondncias, patentes, cdigo de programao,
planilhas de remunerao de funcionrios, etc.1
6" E7u+)m/#$!3 7u/ !(/r/-/m Su+!r$/
6"1 S!($8)r/5
Este grupo de ativos formado pelos programas usados na execuo dos processos,
por exemplo: o acesso, a leitura, o trnsito e o armazenamento das informaes. Alguns
exemplos so: sistemas operacionais (Unix, Windows, Linux, sistemas informatizados,
7
aplicativos especficos etc.), programas de correio eletrnico e sistemas de suporte, entre
outros.
6"2 H)r%8)r/5
Equipamentos tecnolgicos que oferecem suporte informao durante sua
utilizao, trnsito e armazenamento. Por exemplo: os computadores, os servidores, os
mainframes, os meios de armazenamento, os equipamentos de conectividade, roteadores,
switchs,etc.
6"* Or0)#9)&'!5
Componentes da estrutura fsica e organizacional das empresas.
Exemplos de estrutura organizacional : a estrutura departamental e funcional, o
quadro de alocao dos funcionrios, a distribuio de funes e os fluxos de informao da
empresa.
Exemplos de ambiente fsico: salas e armrios onde esto localizados os
documentos sala de ser!idores de ar"ui!os#
C" U3ur!35
O grupo usurios so os indivduos que utilizam os equipamentos da empresa e que
trabalham com a informao, desde a alta direo at os usurios finais da informao,
incluindo os grupos que mantm em funcionamento a estrutura tecnolgica, como tcnicos,
operadores e ministradores de ambientes tecnolgicos .
1": Pr#-;+!3 <3-!3 %) 3/0ur)#&) %) #(!rm)&'!
Proteger os ativos significa defende-los das ameaas que podem prejudicar sua
funcionalidade: corrompendo-a, tendo acesso a ela de forma indevida, ou eliminando-a ou
furtando-a. Existem trs princpios bsicos usados como base para proteo desses ativos:
Integridade:
Confidencialidade
Disponibilidade da informao.
$
1":"1 I#$/0r%)%/ %) #(!rm)&'!5
O princpio da integridade nos permite garantir que a informao no tenha sido
alterada em seu contedo. Um exemplo de falta de integridade ocorre quando a informao
corrompida, falsificada ou roubada.
Como seria se o quadro de salrios dos funcionrios fosse alterado acidentalmente ou
propositalmente? Esse um exemplo de dano que a empresa sofre com a falta de integridade
das informaes.
1":"2 C!#(%/#-)=%)%/ %) #(!rm)&'!5
O princpio da confidencialidade da informao assegura o acesso apenas das pessoas
autorizadas informao que ser compartilhada. So informaes que precisam ser
mantidas em sigilo, a quebra desse sigilo pode acarretar danos inestimveis. Exemplo:
nmero e senha do carto de crdito, da conta bancria,etc
1":"* D3+!#<=%)%/ %)3 #(!rm)&4/35
O princpio da disponibilidade das informaes garante que a informao possa ser
acessada no momento em que for solicitada. A configurao segura de um ambiente
fundamental. Fazer cpias de segurana backup tambm importante.
1"> Am/)&)
Ativos sempre tero vulnerabilidades, que podem submet-los as ameaas. As
ameaas so agentes que exploram os pontos fracos ou vulnerabilidades (falhas na
segurana), provocando perdas ou danos aos ativos, afetando os negcios da empresa.
As ameaas podem colocar em risco a integridade, a confidencialidade e a
disponibilidade das informaes. Ameaas esto ligadas a causas que representam riscos, so
elas:
Causas naturais ou no-naturais
Causas internas ou externas
%
Figura $ Princ%!ios &'sicos da (egurana da Informao
1">"1 T+!3 %/ )m/)&)3
"s ameaas esto di#ididas em tr)s grandes gru!os*
Am/)&)3 #)$ur)3 ? condi+es da natureza que !odem !ro#ocar danos aos
ati#os como fogo, inundao, terremotos.
I#$/#-!#)3 ? so ameaas !remeditadas, fraudes, #andalismo, sabotagens,
es!ionagem, in#as+es e furtos de informa+es.
I#2!=u#$r)3 ? so ameaas !rocedentes de atitudes inconscientes de
usu'rios, !or #%rus eletr-nicos, causados !ela falta de con.ecimento na
utilizao dos ati#os, como erros e acidentes.
Tabela 2 Princi!ais ameaas /s informa+es das em!resas
1&
1. Virus
2. 0i#ulgao de sen.as
$. 1ac2ers
3. Funcion'rios insatisfeitos
4. "cessos inde#idos
5. Vazamento de informa+es
6. Erros e acidentes
7. Fal.as na segurana f%sica
8. "cessos remotos inde#idos
19. (u!er!oderes de acesso
12. Pirataria
1$. :i;o inform'tico
13. 0i#ulgao inde#ida
14. <oubo=Furto
15. Fraudes
1"@ Au=#/r)<=%)%/
Os pontos fracos ou vulnerabilidades so os meios pelos quais as ameaas, afetam a
confidencialidade, a disponibilidade e a integridade das informaes de uma empresa. Pode-
se esperar que, medida que a tecnologia avana, mais expostas ficam as informaes. Por
esse motivo importante conhecer a estrutura geral de como se classificam as
vulnerabilidades ou pontos fracos, responsveis pelos danos causados por uma srie de
ameaas.
1"@"1 Au=#/r)<=%)%/3 (;3-)3
Encontra'se no ambiente em "ue esto sendo armazenadas ou (erenciadas as
informa)*es#
Exemplo:
Instala+es inadequadas do es!ao de trabal.o
"us)ncia de recursos !ara o combate a inc)ndios
0is!osio desorganizada dos cabos de energia e de rede
>o?identificao de !essoas e de locais, entre outros.
Com!utadores* !odem sofrer danos internacionais ou naturais.
@eios de transmisso.
"mbiente* inc)ndio, inundao, terremoto.
Figura 3 Pontos Fracos ou Vulnerabilidades
11
1"@"2 Au=#/r)<=%)%/3 #)$ur)3
+o a"ueles relacionados ,s condi)*es da natureza "ue podem colocar em
risco as informa)*es#
Exemplo:
"mbientes sem !roteo contra inc)ndios
:ocais !rA;imos a rios !ro!ensos a inunda+es
Infra?e;tratora inca!az de resistir /s manifesta+es da natureza, como
terremotos, maremotos, furac+es, etc.
1"@"* Au=#/r)<=%)%/3 %/ B)r%8)r/
Defeitos de fabricao ou configurao dos equipamentos da empresa que
possibilitem o ataque ou a alterao dos mesmos.
Exemplo:
A ausncia de atualizaes de acordo com as orientaes dos fabricantes dos
programas utilizados
A conservao inadequada dos equipamentos.
1"@". Au=#/r)<=%)%/3 %/ 3!($8)r/3
Possibilitam a ocorrncia de acessos indevidos aos sistemas de computador.
A configurao e a instalao indevidas dos programas de computador;
Os aplicativos;
Os sistemas operacionais.
1"@"1 Au=#/r)<=%)%/3 %!3 m/!3 %/ )rm)9/#)m/#$!
Se os meios que armazenam as informaes no forem utilizados de forma adequada,
seu contedo fica vulnervel a uma srie de ameaas que podero afetar a integridade, a
disponibilidade e a confidencialidade das informaes.
12
Exemplo:
Prazo de #alidade e e;!irao
0efeito de fabricao
:ocal de armazenamento em locais insalubres ou com alto n%#el de umidade,
magnetismo ou est'tica, mofo, etc.
Com!utadores* !odem sofrer danos internacionais ou naturais.
@eios de transmisso.
Pessoa* !or natureza tendem a di#ulgar informa+esBcon#ersa informalC.
Processos* falta de regra es!ecifica nas em!resas em relao a informao.
"mbiente* inc)ndio, inundao, terremoto.
1"@": Au=#/r)<=%)%/3 %/ -!mu#-)&'!
Os meios que transitem as informaes, seja por cabo, satlite, fibra ptica ou ondas
de rdio, tambm necessitam de segurana.
A falha na comunicao faz com que uma informao fique indisponvel para os seus
usurios, ou fique disponvel para pessoas que no deveriam ter acesso a ela, permitindo que
sejam alteradas, afetando sua integridade.
A ausncia de sistemas de criptografia nas comunicaes;
A m escolha dos sistemas de comunicao para envio de mensagens.
1"@"> Au=#/r)<=%)%/3 Bum)#)3
Esto relacionadas aos danos que as pessoas podem causar s informaes e ao
ambiente tecnolgico que lhes oferece suporte.
Exemplo:
(en.as fracasD
Falta de uso de cri!tografia na comunicaoD
13
Com!artil.amento de identificadores como nome de usu'rio.
Pessoa* !or natureza tendem a di#ulgar informa+esBcon#ersa informalC.
Processos* falta de regra es!ecifica nas em!resas em relao a informao.
1"C Im+)-$!
Refere-se a perdas ou prejuzo, causado nos negcios ou pessoas devido a um
incidente de Segurana da Informao., podendo causar perdas financeiras, danos a imagem
de pessoas ou empresas,
Exemplo: perda de cliente, perda de produtividade, danos morais.
Fica evidente que o grau de ameaa e de vulnerabilidade influenciam diretamente a
pobabilidade de ocorrer um impacto. Assim se uma empresa atuar diretamente nestes pontos,
ir diminuir a probabilidade de ocorrer um impacto.
1"10 R3-!
Risco a probabilidade de que as ameaas explorem os pontos fracos causando
perdas ou danos aos ativos e impactando os negcios, ou seja afetando: a confidencialidade,
a integridade e a disponibilidade da informao. (ACADEMIA LATINO AMERICANA
DE SEGURANA DA INFORMAO;2010; P.2)
Os riscos aumentam medida que as ameaas conseguem explorar as
vulnerabilidades provocando danos nos ativos. Esses danos podem ocasionar a perda da
confidencialidade, a integridade ou a disponibilidade da informao causando impactos no
negcio da empresa.
<I(CE F "@E"G" H VI:>E<"&I:I0"0E.
1"11 ED-/=E#-) !+/r)-!#)= %)3 /m+r/3)3
As organizaes que focam a excelncia operacional, oferecem produtos de
qualidade em relao ao mercado.
A padronizao das operaes uma forte caracterstica.
14
Tudo isso suportado por uma gama de informaes em organizadas e disponveis.
O que podia ocorrer se o sistema de informao que compem os processos de suprimento e
atendimento estiverem fora do ar, se os procedimentos ficarem indisponveis.
Figura 4 Ciclo de segurana
No resta a menor duvida de que possuir um sistema de gesto de segurana da
informao que mantm a disponibilidade, a integridade e a confidencial idade das
informaes uma necessidade.
Um sistema de gesto de segurana da informao SGSI o primeiro passo definir
em que direo seguir etapas do planejamento
Definio do Escopo>> Poltica para SGSI>> Analise de Risco >> Tratamento do
Risco.
15
2 Leis
" e#oluo da internet no trou;e a!enas benef%cios !ara a sociedade, como
globalizao, comercio eletr-nico, acesso a informa+es entre outras, #ieram
tambJm os crimes #irtuais e di#ersas e;!ress+es algumas utilizadas de forma
equi#ocada como* Kcrimes de inform'ticaL, Kcrimes tecnolAgicosL, Kcrimes
cibernJticosL, crimes #irtuais etc. E termo adotado foi* Mcrimes inform'ticosN, este
termo traduz, de forma am!liati#a, os crimes cometidos contra ou utilizando sistemas
informati#os.
" Erganizao !ara Coo!erao Econ-mica e 0esen#ol#imento da E>I
BErganizao das >a+es InidasC define o conceito de crimes inform'ticos como*
Mqualquer conduta ilegal no Jtica, ou no autorizada, que en#ol#a !rocessamento
autom'tico de dados e=ou transmisso de dadosN.
E Ouiz uil.erme uimares Feliciano, define crimes inform'ticos como*
Mrecente fen-meno .istArico?sAcio?cultural caracterizado !ela ele#ada incid)ncia de
il%citos !enais Bdelitos, crimes e contra#en+esC que t)m !or obOeto material ou meio
de e;ecuo o obOeto tecnolAgico inform'tico B.ardPare, softPare, redes, etc.CN .
Para combater os crimes inform'ticos ou !unir quem os comete, foram criadas
algumas leis como* " :ei 11.266 de 6 de fe#ereiro de 2995, que acrescentou ao
CAdigo de Processo Ci#il o artigo 274?", artigo 274?&, artigo 274?C, "rtigo 143?",
artigo 15$, artigo 15$?", entre outros, descritos a seguir*
Ar$0! 2@1-A FCG%0! P/#)=H"
"cesso no autorizado a rede de com!utadores, dis!ositi#o de comunicao
ou sistema informatizado.
"cessar, mediante #iolao de segurana, rede de com!utadores, dis!ositi#o
de comunicao ou sistema informatizado, !rotegidos !or e;!ressa restrio de
acesso* Pena ? recluso, de 1 BumC a $ Btr)sC anos, e multa.
Par'grafo Qnico ? (e o agente se #ale de nome falso ou da utilizao de identidade
de terceiros !ara a !r'tica do crime, a !ena J aumentada de se;ta !arte.
Comete o crime quem acessa uma rede de com!utadores Bque no J a!enas a
Internet, !ode ser uma rede de com!utadores conectados entre si, como uma rede
16
coor!orati#a ou de go#ernoC #iolando alguma medida de segurana, em rede ou
sistema informatizado ou dis!ositi#o de comunicao que conten.a e;!ressa
restrio de acesso.
Ar$0! 2@1-6 FCG%0! P/#)=H"
Ebteno, transfer)ncia ou fornecimento no autorizado de dado ou
informao.
Ebter ou transferir, sem autorizao ou em desconformidade com autorizao
do leg%timo titular da rede de com!utadores, dis!ositi#o de comunicao ou sistema
informatizado, !rotegidos !or e;!ressa restrio de acesso, dado ou informao
neles dis!on%#el*
Pena ? recluso, de 1 BumC a $ Btr)sC anos, e multa.
Par'grafo Qnico ? (e o dado ou informao obtida desautorizadamente J
fornecida a terceiros, a !ena J aumentada de um tero.
Esse no#o crime tambJm busca !roteger os dados eletr-nicos B!or e;em!lo,
fotos !essoais, um trabal.o acad)mico ou art%stico, etc.C de ser obtido ou transferido
sem autorizao !ara terceiros.
@as quando e;atamente ocorre esse crimeR .0iferentemente do crime anterior,
esse acontece quando ocorre a transfer)ncia ou obteno do dado eletr-nico sem a
autorizao do titular da rede de com!utadores ou do !ro!riet'rio, ou do dis!ositi#o
de comunicao ou sistema informatizado.
Ar$0! 2@1-C FCG%0! P/#)=H"
Nos crimes definidos neste Captulo somente se procede mediante representao,
salvo se o crime cometido contra a Unio, Estado, Municpio, empresa concessionria de
servios pblicos, agncias, fundaes, autarquias, empresas pblicas ou sociedade de
economia mista e subsidirias."
O pargrafo acima determina que os dois crimes anteriores (Art. 285-A e 285-B), s
procedem se houver representao da pessoa ofendida, isso quer dizer, que polcia ou o
Ministrio Pblico no podem processar por conta prpria.
Ar$0! 11.-A FCG%0! P/#)=H"
17
Divulgar, utilizar, comercializar ou disponibilizar dados e informaes pessoais
contidas em sistema informatizado com finalidade distinta da que motivou seu registro, salvo
nos casos previstos em lei ou mediante expressa anuncia da pessoa a que se referem, ou de
seu representante legal.
Pena - deteno, de 1 (um) a 2 (dois) anos, e multa.
Pargrafo nico - Se o agente se vale de nome falso ou da utilizao de identidade de
terceiros para a prtica do crime, a pena aumentada da sexta parte.
Esse crime busca punir uma conduta tornou-se muito comum nos dias atuais, a
divulgao de fotos e informaes pessoais (dados da receita federal comercializados por
camels por exemplo).
Comete o crime quem divulga as fotos ou dados sem a permisso dos donos (ou
representantes legais dos donos) das fotos ou dados.
Ar$0! 1:* FCG%0! P/#)=H"
Destruir, inutilizar ou deteriorar coisa alheia ou dado eletrnico alheio:
Esse artigo j existe no Cdigo Penal, apenas acrescentamos o "dado eletrnico" para
proteg-lo de dano.
Ar$0! 1:*-A FCG%0! P/#)=H"
Insero ou difuso de cdigo malicioso.
Inserir ou difundir cdigo malicioso em dispositivo de comunicao, rede de
computadores, ou sistema informatizado.
Pena - recluso, de 1 (um) a 3 (trs) anos, e multa.
Esse crime comete quem difunde vrus ou o insere em rede de computadores. Note-se
que esse crime, tal como os demais, no existe em modalidade culposa, apenas dolosa, o que
quer dizer que aquele que recebe o vrus e sem perceber passa a distribu-los, no comete
crime (no existe dolo na conduta).
1$
Pargrafo 1 - Se do crime resulta destruio, inutilizao, deteriorao, alterao,
dificultao do funcionamento, ou funcionamento desautorizado pelo legtimo titular, de
dispositivo de comunicao, de rede de computadores, ou de sistema informatizado:
Pena - recluso, de 2(dois) a 4 (quatro) anos, e multa.
Pargrafo 2 - Se o agente se vale de nome falso ou da utilizao de identidade de
terceiros para a prtica do crime, a pena aumentada de sexta parte".


1%
3 Pesquisa de Segurana da Informao
A modulo technology for risk management :
Fundada em 1985 a modulo especializada em tecnologia para gesto de risco.
250 profissionais permanentemente atualizados.
Pesquisa realizada com cerca de 600 profissionais atuantes na rea de segurana e
tecnologia da informao.
Pesquisa nos seguintes setores:
Viso por segmento
Organizao do governo so as menos quantificadas, 56% no sabem dizer em
quanto ficou o prejuzo, no comercio 26% no financeiro 24% e no industrial 36%
Quando identificado o problema, no setor financeiro os causadores so os
fraudadores j no setor industrial so os ex-funcionrios. O setor financeiro o que mais
tomam providencia legal e possuem planejamento de segurana.
2&
Problemas que geram perdas financeiras.
*= 54%
devido a falha
na poltica de
segurana,
falta de
conscientizao ou treinamento dos colaboradores.
Estruturao da rea de segurana da informao
21
Empresas com CSO
Financeiro 26S
Telecomunica+es 2$S
Empresas com departamento de segurana.
Financeiro 45S
Telecomunica+es 49S
Comercio $8S
(er#ios $4S
Nvel de conhecimento sobre normas e legislao.
Possui con.ecimento 3$S
Possui !ouco con.ecimento 24S
Possui Con.ecimento mas no adotou medidas 23S
>o !ossui 7S
Empresas que possuem procedimento metodologia formalizado
54S >o !ossuem e $4S !ossuem
Valor gasto com capacitao de funcionrios:
28S atJ <T1999,99
18S atJ <T2999,99
27S acima de <T4999,99
23S atJ <T4999,99
Profissionais da equipe que possuem certificao:
45% nenhuma
22
21%
MCSO-Modulo Certified Securit Officer !
e"ame #$5%%&%% & Cur'o #$2(5%&%%)
14% Outro'
*%
CISS+-Certified Informat S'tem 'ecurit
+rofe''ional, Mantida -elo !ISC).
4%
CISM-Certified Information Securit
Manager/& criado -ela IS0C0
1%
CIS0- Certified Information S'tem
0uditor
Principais Medidas
*"1 Or0/m %!3 /2/#$!3 %/ 3/0ur)#&) %) I#(!rm)&'!
As origens dos problemas de segurana podem ser dividida em trs categorias
conforme tabela.
2atural 3en4meno' Meteorol5gico'
0cidental 6rro' de 7'u8rio' ou 3alha' no' Si'tema'
Intencional In9a':e'&Terrori'mo Ideologico' ou
crimino'o
6'-ionagem e Intelig;ncia com-etiti9a
Chantagem e e"tor'o
23
4 Normas
As normas e metodologias so as melhores prticas em segurana da informao e
governana de TI, reconhecidas mundialmente e bastante utilizadas. A busca por padres de
mercado e as dificuldades das reas de TI, tornam essas normas e metodologias necessrias
para que as empresas possam sustentar seus prprios modelos e estruturas de controle, j que
as transformaes tecnolgicas exigem constantes atualizaes desses modelos.
Atualmente a tecnologia da informao est enraizada em todas as empresas, da mais
simple a mais complexa, passando por todos os tamnhos, ajudando a dirigir os negcios. O
sucesso da empresa depende da alta disponibilidade das informaes, da segurana e
desempenho dos servios de TI. Esta dependncia foi quem determinou o desenvolvimento
de normas que propem prticas para implantao de sistemas de gesto dos servios de TI
."1 H3$Gr-!
."1"1 A6NT ISO/IEC 2>002 / 1>>CC
ISO/IEC 27002:2005- Information technology -- Security techniques -- Code
of practice for information security management
ISO/IEC- 17799- Information Technology- Security tec- Code of Pratice for
Inf. Security Management.
So provavelmente as mais conhecidas normas sobre segurana da informao, seu
surgimento teve incio com a preocupao em gerar uma srie de procedimentos sobre
segurana da informao na Inglaterra, mais especificamnete no DTI- Department of Trade
and Industry.
Um grupo criado em 1987 tinha a misso de criar um conjunto de critrios que
pudesse proporcionar a validao da segurana da informao e um cdigo de boas praticas
que orientasse na implementao das aes, este trabalho gerou uma norma em 1989.
24
Este cdigo orientava na aplicao das aes de segurana da informao, mas ainda
era difcil validar essas aes ou assegurar que estavam sendo realizadas. Para isso foi criada
uma lista de verificaes, surgindo assim as normas:
BS-7799-1
BS-7799-2
Inmeras melhorias foram implementadas e passou a ser utilizada fora da Inglaterra,
contribuindo com a ISO ( International Organization for Standard ) . Em 2000 a BS-7799-1
foi lanada como ISO 17.799 Information technology -- Security techniques -- Code of
practice for information security management
Porm a segunda parte, ou seja a BS-7799-2 no foi transformada em ISO, gerando
um demanda por normas internacionais.
A British Standard adequou a BS-7799-2 aos padres ISO (9000 e 14000),passando a
ser usada como norma para certificao de segurana da informao em 2002. Formando um
instrumento para orientao na implantao de um Sistema de Gesto de segurana da
informao (SGSI).
Em 2007 a ISO 17799 foi renomeada para ISO 27.002 denominada:
ABNT-NBR ISSO/IEC 27002 Tecnologia da informao Tcnicas de
segurana Cdigo de Prtica para a gesto da segurana da informao.
Esta norma oferece diretrizes e princpios gerais para iniciar implementar e manter a
melhor Gesto de SI e as definies bsicas do que a Segurana da Informao, o sua
necessidade e como estabelecer os requisitos de segurana.
."1"2 ISO/IEC 2>001 ? SGSI - S3$/m)3 %/ G/3$'! %/ S/0ur)#&) %)
I#(!rm)&'! FISMS - I#(!rm)$!# S/-ur$I M)#)0/m/#$ SI3$/mH
E uma norma internacional utilizada como padro para os sistemas de gesto
de segurana da informao, foi publicada pelo International Organization for
Standardization (ISO) e pelo International Electrotechnical Commision (IEC)
25
A Norma 27001 foi idealizada para cobrir todos os tipos de organizaes , pois seus
requisitos so genricos.
O Sistema de Gesto de Segurana da Informao (SGSI), define como sero
reduzidos os riscos para segurana da informao atravs da aplicao planejada de
objetivos, diretrizes, polticas, procedimentos, modelos e outras medidas administrativas.
Um Sistema de Gerenciamento de Segurana da Informao (SGSI), uma cadeia
de decises tomadas para gerenciar a segurana da informao, incluindo pessoas, infra-
estrutura e negcios, diminuindo os riscos a um nvel aceitvel, ao mesmo tempo que
mantm em ponto de vista os objetivos do negcio e as expectativas do cliente.
Um SGSI um sistema de gesto anlogo a um Sistema da Qualidade e como tal
passvel de certificao. Esta certificao se d a partir das evidncias (documentos e
prticas) do conjunto de controles implantados e que devem ser continuamente executados e
devidamente registrados.
Segundo a NBR 27001(2006), o SGSI projetado para certificar a seleo de
controles de segurana apropriados e ajustados para proteger os ativos de informao, o
modelo conhecido como "Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os
processos do SGSI. O sistema de gesto da segurana da informao consiste na parte do
sistema de gesto global, fundamentada na abordagem de riscos do negcio, para
estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a
segurana da informao.
26
Durante o processo de estabelecimento e gerenciamento a organizao deve:
Definir o escopo e os limites do SGSI nos termos das caractersticas do negcio da
organizao, sua localizao, ativos e tecnologia. A definio do escopo inclui o
levantamento dos ativos que sero envolvidos, tais como: Equipamentos; sistemas; nome da
organizao; estrutura de comunicao (Internet, correio eletrnico); pessoas; servios; infra-
estrutura de rede interna e externa e classificao da informao.
medida que evolui, o projeto deve ser revisado e detalhado (ciclo PDCA). Esta
reviso baseada no escopo do projeto, pois a declarao do escopo um documento que
contm a base para as futuras decises. A delimitao do escopo extremamente necessria,
pois quanto maior o escopo maior a complexidade do SGSI a ser implementado.
."1"* ISO/IEC 2>00* ? Gu) %/ Im+=/m/#$)&'! %! S3$/m) %/
G/r/#-)m/#$! %/ S/0ur)#&) %) I#(!rm)&'!"
Denominada como: ISO/IEC 27003:2010 Information technology Security
techniques Information security management system implementation guidance.
Foi publicada no incio de fevereiro 2010, a fim de fornecer um guia para a
implementao de controles relacionados com a gesto de um SGSI, permitindo fazer um
planejamento claro sobre como implementar e definir uma estratgias segurana relacionada
com o negcio de uma empresa de acordo com os requisitos da ISO 27001.
27
A sequncia mostrada na figura a seguir mostra um guia baseado na 27003 com as
principais fases para implementao de um sistema de gesto de segurana da informao.
."1". ISO / IEC 2>00. T/-#!=!0) %) #(!rm)&'! - TJ-#-)3 %/
3/0ur)#&) - G/3$'! %/ 3/0ur)#&) %) #(!rm)&'! - M/%&'!
Esta norma abrange medidas de gesto da segurana da informa, geralmente
conhecido como mtricas de segurana. A norma foi publicada em dezembro de 2009.
A norma se destina a ajudar as organizaes a medir, gerar relatrio sobre a
sistemtica de segurana da informao e portanto, melhorar a eficcia dos seus Sistemas de
Gesto de Segurana da Informao.
Oferece orientao sobre o desenvolvimento e a utilizao de medidas e de medio,
a fim de avaliar a eficcia de um sistema de gesto implementado de segurana da
informao (SGSI) e controles ou grupos de controles, como especificado na ISO/IEC
27001. Isso pode incluir a poltica, a informao de gesto de riscos de segurana, objetivos
de controle, processos e procedimentos para apoiar sua reviso, ajudando a determinar se
qualquer um dos processos do SGSI ou controles precisam ser mudados ou melhorados.
BS ISO / IEC 27004 d as seguintes recomendaes sobre as atividades como base
para uma organizao cumprir os requisitos de medio especificadas na norma ISO/IEC
27001:
2$
1. Medidas de desenvolvimento (isto , medidas bsicas, medidas derivadas e
indicadores
2. Implementao e operao de um Programa de Medio de Segurana da
Informao
3. Coletar e analisar dados
4. Desenvolvimento de resultados de medio
5. Comunicao dos resultados de medio desenvolvidos para as partes
interessadas
6. Utilizando os resultados de medio, fatores que contribuem para ISMS
decises relacionadas
7. Utilizando os resultados de medio para identificar as necessidades para
melhorar o SGSI implementado incluindo seu escopo, polticas, objetivos,
controles, processos e procedimentos
8. Facilitar a melhoria contnua do Programa de Medio de Segurana da
Informao.
Um dos fatores que iro impactar a capacidade da organizao para alcanar a
medio o seu tamanho. Geralmente o tamanho e a complexidade do negcio, em
combinao com a importncia da segurana da informao afetam o grau de medida
necessria, tanto em termos do nmero de medidas a serem selecionados e a frequncia da
recolha e anlise de dados. Para as PME (Pequenas e Mdias Empresas), o programa de
medio menos abrangente de segurana sero suficientes, enquanto que as grandes
empresas iro implementar e operar vrios programas de medio de Segurana da
Informao.
A nica informao do Programa de Medio de Segurana pode ser suficiente para
uma organizao de pequeno porte, enquanto que para as grandes empresas necessidade de
vrios programas de medio de Segurana da Informao.
2%
A orientao fornecida por esta Norma ir resultar na produo de documentao que
ir contribuir para demonstrar que a eficcia de controle est sendo medido e avaliado.
Esta norma bem detalhada em termos de mecnica de processos de medio. Ela
laboriosamente descreve como coletar "medidas bsicas", a agregao de uso e clculos
matemticos para gerar "medidas derivadas", e ento aplicar tcnicas de anlise e critrios de
deciso para criar "indicadores", utilizada para ajudar no SGSI. Infelizmente, ele no oferece
muita orientao sobre quais medidas bsicas, medidas derivadas ou indicadores pode
realmente valer a pena em todo esse esforo.
Embora seja consensual que a orientao pragmtica sobre mtricas de segurana
extremamente necessrio pela profisso e que complementam os padres ISO27k restantes,
este foi um projeto longo e difcil para a ISO / IEC JTC1/SC27. Em parte, isso ocorre porque
o campo de mtricas de segurana bastante imaturo. Como com a norma ISO / IEC 27003,
centenas de pginas de comentrios dos organismos nacionais foram recebidos ainda na fase
final FCD e poucos foram resolvidas antes da publicao. Parece provvel que muitos
comentrios tero de ser revistos em uma reviso ps-publicao da norma, embora isso no
est planejado ...
."1"1 ISO / IEC 2>001 T/-#!=!0) %) #(!rm)&'! ? TJ-#-)3 %/
S/0ur)#&) ? G/r/#-)m/#$! %/ R3-! /m S/0ur)#&) %) I#(!rm)&'!
Conhecida internacionalmente como ISO/IEC 27005 Information technology
Security Techniques - Information security risk management, esta norma suporta os
conceitos gerais especificados na norma ISO/IEC 27001 e projetado para auxiliar a
implementao satisfatria de segurana da informao com base em uma abordagem de
gesto de risco, esta norma ajuda a organizao a definir seu modelo de gerenciamento de
risco.
aplicvel a todos os tipos de organizaes (por exemplo, empresas comerciais,
agncias governamentais, organizaes sem fins lucrativos) que pretendam gerir os riscos
que poderiam comprometer a segurana de informao da organizao.
Trata-se de um padro pesado, embora a parte principal tem apenas 24 pginas,
sendo o resto em sua maioria, anexos com exemplos e informaes adicionais para os
usurios.
3&
Embora a norma defina risco como "uma combinao das conseqncias que se
seguem derivadas da ocojrrncia de um evento indesejado e da probabilidade de ocorrncia
do evento", o processo de anlise de risco descritos na norma indica a necessidade de
identificar os ativos de informao em risco, as ameaas potenciais ou fontes de ameaas, as
vulnerabilidades potenciais e as potenciais consequncias (impactos), se os riscos se
materializar. Exemplos de ameaas, vulnerabilidades e impactos esto tabulados nos anexos,
embora incompleta, estes podem ser teis para os riscos relativos de ativos de informao
sob avaliao.
clara a verificao que sistemas de segurana automatizados ferramentas de
avaliao de vulnerabilidade so insuficientes para a anlise de risco, sem levar em conta
outras vulnerabilidades alm das ameaas e impactos: a simples existncia de certas
vulnerabilidades no significa necessariamente que sua organizao enfrenta riscos
inaceitveis se as ameaas correspondentes ou impactos de negcios so insignificantes em
determinadas situao particulares.
A norma inclui uma seo e anexo sobre a definio do mbito e limites da gesto de
riscos de segurana que deve ser o foco do SGSI.
A norma no especifica, recomenda ou mesmo nomeia um mtodo especfico,
sistemtico e rigoroso de anlise de riscos at mesmo a criao do plano de gerenciamento
de riscos.
O padro deliberadamente permanece agnstico
2
sobre os mtodos de avaliao
quantitativa e qualitativa de risco, essencialmente, recomendando que os usurios escolham
os mtodos que melhor lhes convm. Observe o plural - 'mtodos' - o que implica que
diferentes mtodos podem ser utilizados, uma avaliao de risco de alto nvel pode ser
seguida por um aprofundamento na anlise de risco nas reas de alto risco. Os prs e contras
dos mtodos quantitativos de avaliao de risco so um pouco confuso nesta norma.
2

<ue't:e' metaf='ica' inace''=9ei' ao e'-=rito humano -or no 'erem -a''=9ei' de an8li'e -ela ra>o,
31
."1": ISO / IEC 2>00: A $/-#!=!0) %) #(!rm)&'! - TJ-#-)3 %/
3/0ur)#&) ? R/7u3$!3 +)r) !r0)#3m!3 7u/ +r/3$/m 3/r2&!3 %/
)u%$!r) / -/r$(-)&'! %/ 33$/m)3 %/ #(!rm)&'! %/ 0/3$'! %/
3/0ur)#&)
Esta norma especifica os requisitos e fornece orientao para organismos que
prestam auditoria e certificao de um sistema de gesto de segurana da informao (SGSI),
alm dos requisitos contidos na ISO/IEC 27001. destinada principalmente a apoiar a
acreditao de organismos de certificao que fornecem certificao em SGSI, sendo que as
exigncias contidas nesta norma precisam ser demonstradas em termos de competncia e
confiabilidade por qualquer organismo de certificao.
Estas certificaes incluindo reunies de informao, reunies de planejamento,
anlise de documentos e acompanhamento de itens que no esto em conformidades com a
norma. Organizar e participar como palestrante em cursos de formao, desde que, estes
cursos digam respeito gesto da segurana da informao e sistemas de gesto relacionados
a auditoria. Os organismos de certificao devem limitar-se prestao de informaes
genricas e conselhos que esto disponveis no domnio pblico.
As atividades de auditoria tm o nico objetivo de determinar uma certificao, no
entanto, tais atividades no deve resultar na prestao de recomendaes ou conselhos, e sim
agregar valor durante as auditorias de certificao e visitas de vigilncia, atravs da
identificao de oportunidades de melhoria sem recomendar solues especficas.
O organismo de certificao deve ter critrios para a formao de equipes de
auditoria que garante:
O conhecimento do padro do SGSI e outros documentos normativos
pertinentes;
A compreenso da segurana da informao;
A compreenso da avaliao e gesto de riscos a partir da perspectiva de
negcios;
Conhecimento tcnico da atividade a ser auditada;
Conhecimento geral dos requisitos regulamentares pertinentes para ISMSs;
32
Conhecimento de sistemas de gesto;
A compreenso dos princpios de auditoria com base na ISO 19011;
Conhecimento do SGSI reviso eficcia e avaliao da eficcia de controle.
Mas especificamente esta norma informa as caractersticas necessrias para a um
profissional ou empresa que fornece certificao do SGSI, incluindo uma viso das
competncias dos auditores.
33
5 Classificao da informao
1"1 I#$r!%u&'!
O processo de classificao da informao consiste em identificar quais so os nveis
de proteo que as informaes demandam e estabelecer classes e formas de identific-las.
Alm de determinar os controles de proteo necessrios a cada uma delas
O fato de algumas informaes demandarem mais protees que outras cria dois
cenrios indesejveis que as organizaes buscam evitar:
Informaes sensveis ou crticas sem nveis de proteo adequado, geralmente
incidentes de segurana que trazem prejuzos e comprometem a eficcia das operaes;
Informaes que no precisam de proteo, sendo protegidas de forma excessiva,
consumindo recursos de forma desnecessria e direcionando erroneamente o escasso
oramento de segurana
1"2 Pr!$/&'!
Quando adotamos uma viso de proteo focada unicamente nas ameaas e nas
vulnerabilidades que um local o um sistema possuem, corremos um grande risco de no
estarmos protegendo a informao mais criticas e sensveis ao longo de todo o seu ciclo de
vida. Esses ciclos possuem diversas fases, desde a criao e o descarte, passando pela
manipulao, processamento, armazenamento etc. A melhor forma de protegermos as
informaes justamente pela adoo de uma abordagem que analisa as demandas de
segurana pela tica do prprio ativo e suas necessidades. Dessa forma, podemos combinar
diversos mecanismos e obtermos nveis de proteo uniformes independentes da forma como
a informao est sendo usada
34
1"* E-!#!m)
Quando maior o nvel de proteo que um controle oferece. Maiores so os custos
financeiros em termos de aquisio e manuteno. Controles costumam trazer custos
indiretos como perda de produtividade e outras inconvenincias.
Benefcios
O Processo de classificao da Informao traz diversos benefcios para uma
organizao. Dos benefcios mais tangveis e mensurveis podemos dizer :
1"*"1 C!#3-/#$9)&'!
O Programa de Classificao da Informao requer o envolvimento de praticamente
de todas as pessoas dentro da organizao. Esse envolvimento faz com que as pessoas
tenham uma dimenso maior das dificuldades de proteger os ativos de informao e da
infinidade de situaes que podem comprometer essa proteo.
Responsabilidades A Classificao da Informao necessita de uma diviso e
atribuio de responsabilidades para poder trabalhar. Essas responsabilidades dizem a
respeito a quem deve classificar, quem deve proteger e que cuidados os usurios devem
tomar , entre outras coisas. A definio desses papeis distribui o peso da proteo entre os
colaboradores de uma organizao, fazendo com que todos fiquem responsveis por ela.
Nveis de proteo A atribuio de responsabilidades e melhora da conscincia dos
colaboradores faz com que eles mesmos tragam situaes que demandam proteo e que ,
muitas vezes, fogem aos olhos daqueles que devem se responsabilizar pela proteo.
Ningum conhece melhor o fluxo das informaes que as pessoas que fazem uso delas
Tomadas de decises Quando as informaes so bem categorizados no ponto de
vista da segurana, o processo de tomada de decises, sejam relacionadas a Gesto de SI ou
a prpria organizao, extremamente beneficiada.
Uso dos recursos Recursos desperdiado em um controle normalmente fazem falta
em um outro lugar no qual, a organizao ter uma situao inversa, isto , falta de controle
de informaes criticas que esto armazenadas junto com outras que no precisam de
proteo.
35
E;em!los
As informaes so classificadas mediante sua necessidade de sigilo. Porm uma
organizao tambm pode elaborar procedimentos para classific-las perante suas
necessidades de integridades e disponibilidades
Decreto 4.553 Casa Cvel nveis de classificao em nvel federal
Cada nvel de classificao criado visando a um tipo de informao, temos que
desenvolver critrios para avaliar uma informao
Exemplos de Rtulos
G%&'()% *(+,-.'-(% E/0(',+, P(-&+1+,
3
7ltra-Secreto Irre'trita
Secreto +rotegida
Confidencial Confidencial
#e'er9ado #e'trita
Irrestrita: Informao Pblica (incluindo informaes consideradas pblicas pela
legislao, ou atravs de uma poltica de divulgao de rotina). Disponvel ao pblico, todos
os funcionrios, empreiteiros, subempreiteiros e agentes.
Protegida: Informao que sensvel para a empresa e precisa de ser protegida.
Acesso autorizado (para funcionrios, fornecedores, subcontratados e agentes). uma
informao necessria para realizar uma funo ou trabalho: "need-to-know".
Confidencial: Informao mais sensvel que est disponvel apenas para uma funo
especfica ou grupo especfico de pessoas.
Restringido: Informao que altamente sensvel e est disponvel apenas para
indivduos especficos (ou posies especficas).
?
6'te -adro @ utili>ado -elo +uAlic Sector CIO Council !+SCIOC& 2%%4) do Canad8,
36
1". C!#-/$!3
1"."1 P!=;$-) %/ C=)33(-)&'! %) I#(!rm)&'!
A Classificao da Informao deve ser constituda por uma poltica , nesse caso a
Poltica de Classificao da informao o nome utilizado para refenciar o conjunto de
normas , procedimento e instrues existente na poltica de Segurana da Informao
Por meio do uso dessa poltica que definimos quais os tipos de classificao
existentes, com seus respectivos critrios de avaliao e proteo, alm das
responsabilidades associados ao processo como um todo. O conjunto de documentos que tem
apoio direto de alta direo da organizao , permitira mostrar comprometimento e definir
todo o funcionamento das atividades relacionadas Classificao da informao
Need-to-Know Define a necessidade que uma pessoa possui , devido rotina diria
de trabalho e desempenho de suas funes, de acessar determinadas informaes. Essa
terminologia foi criado no ambiente militar / governo, podemos utiliza-las para fazer
referncia . A necessidade que usurios de uma organizao possuem de acessar certas
informaes. Esse conceito fundamental ara entendermos Least privilege
Least Privilege So todas as pessoas devem ter todos os direitos de acesso
necessrios para o desempenho de suas funes . Porm , nada mais que o mnimo deve ser
permitido , Quando maior a exposio maiores sero os riscos associados a ela. O conceito
de need-to-know , postulando que o conceito de privilgio mnimo garantir a todos os
usurios que no tenham acesso a nada que no faa parte de seu nedd-to-know.
1"."2 C=)33(-)&'!K D/3-=)33(-)&'! / R/-=)33(-)&'!"
Os dois procedimentos bsicos da Classificao da Informaes so a Classificao e
a Desclassificao das informaes
Classificaes Atribuir um nvel de classificao a um informao , Faz com que as
informaes passe a se sujeitar s protees especificas pelo nvel de classificao
escolhido . Algumas organizaes optam por criar um nvel de classificao onde, a partir da
implementao do progrma de CI, todas as informaes da organizao passam a se
37
enquadrar nesse nvel. No existe o estado - no-classificado. , eliminando o processo de
classificae e desclassificao. Nesse caso o procedimento de reclassificao permitido.
Reclassificao Alterao no nvel classificao de um informao . So nvel de
proteo mais baixa, de forma a evitar o comprometimento da confidencialidade
Desclassificao Remoo do nvel de proteo. Aplicvel apenas quando o estado
-no-classificado. for previsto . Pode ser feita de forma automtica, o prazo cairia de alguns
anos para o nveis mais baixos de classificao at dcadas para os mais altos no setor
governamental
1"."* P)+J3 %/ R/3+!#3)<=%)%/3
Uma das principais funes da Classificao da informao definir e atribuir
responsabilidades relacionadas a segurana diversas pessoas dentro de uma organizao .
Esses papeis e responsabilidades variam de acordo com a relao que a pessoa tem com a
informao em questo.
Proprietrio da Informao responsabilidade do proprietrio atribuir os nveis de
classificao que uma informao demanda. Dessa forma ele tambm ser participado do
processo de escolha dos nveis de proteo e ser tambm exposto ao processo de balancear
as necessidades de proteo, com a facilidade de uso e o oramento disponvel para se
investir em controles.
Exemplo : O papel de dono normalmente deve ser exercido por um gerente da rea
cujas informaes so de sua responsabilidade direta
Umas das responsabilidades do dono so a classificao /reclassificao
/desclassificao das informaes, definir requisitos de proteo para cada nvel de
classificao,, autorizar pedidos de acesso a informaes de sua propriedade e autorizar a
divulgao de informaes
Custodiante aquele que zela pelo armazenamento e preservao de informaes
que no lhe pertencem Exemplos : Administradores de Banco de Dados , Servidores de
Arquivos ou cofres para armazenamento de ativos valiosos .
Existe dois tipos de Custodiante :
3$
a) O proprietrio de Aplicao Um profissional de perfil tcnico responsvel pela
administrao e funcionamento de algum sistema , cabe a ele proteg-las e garantir que
enquanto eles se encontrem sob sua responsabilidade os requisitos da classificao em
termos de proteo estejam sendo obedecidos.
b) O proprietrio do Processo - a pessoa responsvel pelo processo de negcio, um
exemplo um processo de emisso de nota fiscal , que so informaes sendo geradas e
processadas ao longo do seu funcionamento.
Equipe de segurana o ponto de apoio das unidades de negcios de forma de
desenvolver, implementar e monitorar estratgias de segurana que atendem aos objetivos da
organizao, responsvel pela avaliao e seleo de controles apropriados para oferecer as
informaes os nveis de proteo exigidos por cada classificao . Esse equipe no pode
assumir a total responsabilidade pela proteo, j que deve ser compartilhada por todos.
Cabe ela sim selecionar os melhores controles, conscientizar os usurios a respeito do seu
uso, administr-los e monitor-las, alm de verificar se todos na organizao colaboram com
as medidas.
Gerente de Usurios Responde pela ao de grupos de usurios de sua
responsabilidade, alm dos funcionrios reponde pela ao dos visitantes, prestadores de
servios que fazem o uso de informaes da organizao
Desempenha outro papel fundamental que a solicitao, transferncia e revogao
de IDs de acesso para os seus funcionrios.
Usurio Final Pessoal que faz uso constante das informaes e o que mais tem
contato com elas , o responsvel pelo seguimento das recomendaes de segurana.
3%