OURINHOS - SP JUNHO/2011 1 Sumr! 1 SEGURANA DA INFORMAO....................................................................................3 2 LEIS ......................................................................................................................................16 3 PESQUISA DE SEGURANA DA INFORMAO ......................................................20 4 NORMAS..............................................................................................................................24 5 CLASSIFICAO DA INFORMAO..........................................................................34 6 ROSI......................................................................................................................................40 7 DESCARTE E SANITIZAO DE MDIAS...................................................................46 CONTROLE DE ACESSO.................................................................................................60 ! SEGURANA PARA TELEINFORM"TICA E COMUNICA#ES...........................63 10 $ISO DA GO$ERNANA DE TI..............................................................................7 2 1 Segurana da Informao 1"1 I#$r!%u&'! Por que to importante proteger as informaes nos dias de hoje? Ser possvel manter a segurana de uma organizao, onde as informaes so ativos de extrema importncia para sua sobrevivncia? Devido s organizaes estarem fortemente ligadas a Tecnologias (servidores, internet, banco de dados, e-comerce, etc), os riscos que trazem essas Tecnologias so riscos para o negcio, e as falhas na proteo dos ativos da informao correlacionados com essa Tecnologia, transformam-se em perdas financeiras, comprometem a imagem da empresa e reduzem a eficincia operacional, chegando ao extremo de levar a encerrar suas operaes. Restrita no passado para reas de nicho, como bancria, aeroespacial ou aplicaes militares a segurana digital cresce lentamente mas segura, tornando-se assunto de todos. As organizaes tm a necessidade de criar e manter um ambiente tecnolgico no qual os processos de negcio possam funcionar de forma correta e segura. Significa assegurar a confidencialidade e privacidade dos dados na organizao, bem como a sua integridade. Para que esses objetivos sejam alcanados, no devemos dar nfase apenas a implantao de hardware e software, mas a realizao eficiente do processo de Gerenciamento de Risco de TI 1 , no qual todos os riscos devem ser identificados e minimizados. 1"2 I#(!rm)&'! um conjunto de dados que representam um ponto de vista. Dados no so informaes, estes aps uma analise ou processo geram informao. A informao possui significado e causa impacto em grau maior ou menor, tornando o elemento essencial da extrao e criao do conhecimento. 1 TI Tecnologia da Informao 3 conhecimento s pode ser formado a partir da exposio do individuo a informao. Os aspectos da gerao de conhecimento a partir da informao o principal interesse das organizaes. Expor colaboradores a informao gera conhecimento, melhora a tomada de deciso e proporciona valor aos negcios, Como pode ser visto na figura 3. Proporcionar valor contribui diretamente para o lucro. possvel afirmar que a informao um bem, um ativo da organizao e deve ser preservada e protegida. possvel encontrar informao na forma escrita, impressa, armazenada em arquivos( discos, cds, etc) e at transitando nos meios de comunicao.
Figura 1 Valor da Informao
1"* A m+!r$,#-) %) #(!rm)&'! Atualmente, as informaes tornam-se o objeto de maior valor para as empresas. O avano da informtica e das redes de comunicao nos mostra um novo cenrio, no qual os objetos do mundo real esto representados por bits e bytes, sem deixar de ter o mesmo valor que os objetos reais e, na maioria das vezes, o valor ainda maior. Segundo alguns estudos realizados, apenas 6% das empresas que sofrem um desastre informtico sobrevivem. Os demais 94% desaparecem, mais cedo ou mais tarde. Algumas 4 pesquisas, ainda que mais moderadas, confirmam essa tendncia ao indicar que duas de cada cinco empresas que enfrentam ataques ou danos em seus sistemas deixam de existir. 1". S/0ur)#&) %) #(!rm)&'! a proteo da informao, de diversos tipos de ameaas, para garantir a continuidade dos negcios, minimizar os danos e maximizar o retorno do investimento e as oportunidades de negcio. Segundo a NBR 27001, segurana da informao consiste na preservao da confidencialidade, integridade e disponibilidade da informao. Tambm suplementa, outras propriedades, tais como autenticidade, responsabilidade, no repdio e confiabilidade, podem estar includas. Para a Academia Latino Americana de Segurana da Informao, as empresas esto expostas a ameaas constantes em seus ativos, o que pode representar prejuzos inestimveis. As vulnerabilidades em nossos sistemas de informao podem representar problemas de grande impacto negativo para a empresa, a importncia de compreender os conceitos necessrios para que se possa combat-los e defender as informaes de possveis ataques uma forma de sobrevivncia para a empresa. A segurana da informao tem a finalidade de proteger as informaes registradas, independente de onde estejam situadas: impressas em papel, nos discos rgidos dos computadores ou at mesmo na memria das pessoas que as conhecem. E elementos so: as informaes, os equipamentos que oferecem suporte a elas e as pessoas que as utilizam. A necessidade de segurana j excede o limite da produtividade e da funcionalidade, de forma que a velocidade e a eficincia tornam-se uma vantagem competitiva nos processos de negcios e a falta de segurana nos meios tecnolgicos que permitem essa velocidade e eficincia, muitas vezes pode acarretar prejuzos inestimveis. 5 Figura 2 Elementos que fazem Parte da Comunicao. Aumentar o nvel de segurana de sistemas de informao um desafio para qualquer organizao. O primeiro passo neste empenho avaliar a exposio atual da organizao e decidir que passos esta devem seguir. Tomar decises e, encontrar solues pode ser a parte mais difcil do processo de assegurar os sistemas de informao. Existem alguns riscos em relao a segurana que devem ser considerados como: a falta de classificao da informao quanto ao seu valor, o controle de acesso mal definido, dificuldade de controle do administrador, a Internet, o trfego de informaes e senhas pela rede, e-mails enviados, qualquer conexo entre redes pode ser considerada um risco. No se pode garantir total segurana, pois no existe segurana a prova de hackers. A segurana complexa, envolvendo aspectos humanos, sociais e tecnolgicos (GEUS; NAKAMURA). Por esse motivo cabe a organizao definir o nvel necessrio de segurana, mas assumindo os riscos. Administrar a segurana de uma organizao, no uma tarefa fcil, pois a segurana inversa a produtividade. Para minimizar os riscos o administrador restringe o acesso dos usurios aos servios e dessa forma afeta a sua produtividade 6 1"1 A$2!3 De acordo com a NBR 27001, tudo que constitui valor para a organizao considerado ativo. Um ativo todo elemento que compe o processo da comunicao, partindo da informao, seu emissor, o meio pelo qual ela transmitida, at chegar a seu receptor (MICROSOFT TECHNET BRASIL). E ainda informa que, os ativos so elementos que precisam ser protegidos, pois constituem valor para as empresas e, por esse motivo precisam de uma proteo adequada para que seus negcios no venham a ser prejudicados. Os elementos que fazem parte do que chamamos de ativos so trs: As informaes, os equipamentos que oferecem suporte a elas, as pessoas que as utilizam. Tabela 1 ru!os de "ti#os A" I#(!rm)&4/35 Neste grupo de ativos, tudo que contm informao registrada, em meio eletrnico ou fsico. Exemplo: documentos, relatrios, correspondncias, patentes, cdigo de programao, planilhas de remunerao de funcionrios, etc.1 6" E7u+)m/#$!3 7u/ !(/r/-/m Su+!r$/ 6"1 S!($8)r/5 Este grupo de ativos formado pelos programas usados na execuo dos processos, por exemplo: o acesso, a leitura, o trnsito e o armazenamento das informaes. Alguns exemplos so: sistemas operacionais (Unix, Windows, Linux, sistemas informatizados, 7 aplicativos especficos etc.), programas de correio eletrnico e sistemas de suporte, entre outros. 6"2 H)r%8)r/5 Equipamentos tecnolgicos que oferecem suporte informao durante sua utilizao, trnsito e armazenamento. Por exemplo: os computadores, os servidores, os mainframes, os meios de armazenamento, os equipamentos de conectividade, roteadores, switchs,etc. 6"* Or0)#9)&'!5 Componentes da estrutura fsica e organizacional das empresas. Exemplos de estrutura organizacional : a estrutura departamental e funcional, o quadro de alocao dos funcionrios, a distribuio de funes e os fluxos de informao da empresa. Exemplos de ambiente fsico: salas e armrios onde esto localizados os documentos sala de ser!idores de ar"ui!os# C" U3ur!35 O grupo usurios so os indivduos que utilizam os equipamentos da empresa e que trabalham com a informao, desde a alta direo at os usurios finais da informao, incluindo os grupos que mantm em funcionamento a estrutura tecnolgica, como tcnicos, operadores e ministradores de ambientes tecnolgicos . 1": Pr#-;+!3 <3-!3 %) 3/0ur)#&) %) #(!rm)&'! Proteger os ativos significa defende-los das ameaas que podem prejudicar sua funcionalidade: corrompendo-a, tendo acesso a ela de forma indevida, ou eliminando-a ou furtando-a. Existem trs princpios bsicos usados como base para proteo desses ativos: Integridade: Confidencialidade Disponibilidade da informao. $ 1":"1 I#$/0r%)%/ %) #(!rm)&'!5 O princpio da integridade nos permite garantir que a informao no tenha sido alterada em seu contedo. Um exemplo de falta de integridade ocorre quando a informao corrompida, falsificada ou roubada. Como seria se o quadro de salrios dos funcionrios fosse alterado acidentalmente ou propositalmente? Esse um exemplo de dano que a empresa sofre com a falta de integridade das informaes. 1":"2 C!#(%/#-)=%)%/ %) #(!rm)&'!5 O princpio da confidencialidade da informao assegura o acesso apenas das pessoas autorizadas informao que ser compartilhada. So informaes que precisam ser mantidas em sigilo, a quebra desse sigilo pode acarretar danos inestimveis. Exemplo: nmero e senha do carto de crdito, da conta bancria,etc 1":"* D3+!#<=%)%/ %)3 #(!rm)&4/35 O princpio da disponibilidade das informaes garante que a informao possa ser acessada no momento em que for solicitada. A configurao segura de um ambiente fundamental. Fazer cpias de segurana backup tambm importante. 1"> Am/)&) Ativos sempre tero vulnerabilidades, que podem submet-los as ameaas. As ameaas so agentes que exploram os pontos fracos ou vulnerabilidades (falhas na segurana), provocando perdas ou danos aos ativos, afetando os negcios da empresa. As ameaas podem colocar em risco a integridade, a confidencialidade e a disponibilidade das informaes. Ameaas esto ligadas a causas que representam riscos, so elas: Causas naturais ou no-naturais Causas internas ou externas % Figura $ Princ%!ios &'sicos da (egurana da Informao 1">"1 T+!3 %/ )m/)&)3 "s ameaas esto di#ididas em tr)s grandes gru!os* Am/)&)3 #)$ur)3 ? condi+es da natureza que !odem !ro#ocar danos aos ati#os como fogo, inundao, terremotos. I#$/#-!#)3 ? so ameaas !remeditadas, fraudes, #andalismo, sabotagens, es!ionagem, in#as+es e furtos de informa+es. I#2!=u#$r)3 ? so ameaas !rocedentes de atitudes inconscientes de usu'rios, !or #%rus eletr-nicos, causados !ela falta de con.ecimento na utilizao dos ati#os, como erros e acidentes. Tabela 2 Princi!ais ameaas /s informa+es das em!resas 1& 1. Virus 2. 0i#ulgao de sen.as $. 1ac2ers 3. Funcion'rios insatisfeitos 4. "cessos inde#idos 5. Vazamento de informa+es 6. Erros e acidentes 7. Fal.as na segurana f%sica 8. "cessos remotos inde#idos 19. (u!er!oderes de acesso 12. Pirataria 1$. :i;o inform'tico 13. 0i#ulgao inde#ida 14. <oubo=Furto 15. Fraudes 1"@ Au=#/r)<=%)%/ Os pontos fracos ou vulnerabilidades so os meios pelos quais as ameaas, afetam a confidencialidade, a disponibilidade e a integridade das informaes de uma empresa. Pode- se esperar que, medida que a tecnologia avana, mais expostas ficam as informaes. Por esse motivo importante conhecer a estrutura geral de como se classificam as vulnerabilidades ou pontos fracos, responsveis pelos danos causados por uma srie de ameaas. 1"@"1 Au=#/r)<=%)%/3 (;3-)3 Encontra'se no ambiente em "ue esto sendo armazenadas ou (erenciadas as informa)*es# Exemplo: Instala+es inadequadas do es!ao de trabal.o "us)ncia de recursos !ara o combate a inc)ndios 0is!osio desorganizada dos cabos de energia e de rede >o?identificao de !essoas e de locais, entre outros. Com!utadores* !odem sofrer danos internacionais ou naturais. @eios de transmisso. "mbiente* inc)ndio, inundao, terremoto. Figura 3 Pontos Fracos ou Vulnerabilidades 11 1"@"2 Au=#/r)<=%)%/3 #)$ur)3 +o a"ueles relacionados ,s condi)*es da natureza "ue podem colocar em risco as informa)*es# Exemplo: "mbientes sem !roteo contra inc)ndios :ocais !rA;imos a rios !ro!ensos a inunda+es Infra?e;tratora inca!az de resistir /s manifesta+es da natureza, como terremotos, maremotos, furac+es, etc. 1"@"* Au=#/r)<=%)%/3 %/ B)r%8)r/ Defeitos de fabricao ou configurao dos equipamentos da empresa que possibilitem o ataque ou a alterao dos mesmos. Exemplo: A ausncia de atualizaes de acordo com as orientaes dos fabricantes dos programas utilizados A conservao inadequada dos equipamentos. 1"@". Au=#/r)<=%)%/3 %/ 3!($8)r/3 Possibilitam a ocorrncia de acessos indevidos aos sistemas de computador. A configurao e a instalao indevidas dos programas de computador; Os aplicativos; Os sistemas operacionais. 1"@"1 Au=#/r)<=%)%/3 %!3 m/!3 %/ )rm)9/#)m/#$! Se os meios que armazenam as informaes no forem utilizados de forma adequada, seu contedo fica vulnervel a uma srie de ameaas que podero afetar a integridade, a disponibilidade e a confidencialidade das informaes. 12 Exemplo: Prazo de #alidade e e;!irao 0efeito de fabricao :ocal de armazenamento em locais insalubres ou com alto n%#el de umidade, magnetismo ou est'tica, mofo, etc. Com!utadores* !odem sofrer danos internacionais ou naturais. @eios de transmisso. Pessoa* !or natureza tendem a di#ulgar informa+esBcon#ersa informalC. Processos* falta de regra es!ecifica nas em!resas em relao a informao. "mbiente* inc)ndio, inundao, terremoto. 1"@": Au=#/r)<=%)%/3 %/ -!mu#-)&'! Os meios que transitem as informaes, seja por cabo, satlite, fibra ptica ou ondas de rdio, tambm necessitam de segurana. A falha na comunicao faz com que uma informao fique indisponvel para os seus usurios, ou fique disponvel para pessoas que no deveriam ter acesso a ela, permitindo que sejam alteradas, afetando sua integridade. A ausncia de sistemas de criptografia nas comunicaes; A m escolha dos sistemas de comunicao para envio de mensagens. 1"@"> Au=#/r)<=%)%/3 Bum)#)3 Esto relacionadas aos danos que as pessoas podem causar s informaes e ao ambiente tecnolgico que lhes oferece suporte. Exemplo: (en.as fracasD Falta de uso de cri!tografia na comunicaoD 13 Com!artil.amento de identificadores como nome de usu'rio. Pessoa* !or natureza tendem a di#ulgar informa+esBcon#ersa informalC. Processos* falta de regra es!ecifica nas em!resas em relao a informao. 1"C Im+)-$! Refere-se a perdas ou prejuzo, causado nos negcios ou pessoas devido a um incidente de Segurana da Informao., podendo causar perdas financeiras, danos a imagem de pessoas ou empresas, Exemplo: perda de cliente, perda de produtividade, danos morais. Fica evidente que o grau de ameaa e de vulnerabilidade influenciam diretamente a pobabilidade de ocorrer um impacto. Assim se uma empresa atuar diretamente nestes pontos, ir diminuir a probabilidade de ocorrer um impacto. 1"10 R3-! Risco a probabilidade de que as ameaas explorem os pontos fracos causando perdas ou danos aos ativos e impactando os negcios, ou seja afetando: a confidencialidade, a integridade e a disponibilidade da informao. (ACADEMIA LATINO AMERICANA DE SEGURANA DA INFORMAO;2010; P.2) Os riscos aumentam medida que as ameaas conseguem explorar as vulnerabilidades provocando danos nos ativos. Esses danos podem ocasionar a perda da confidencialidade, a integridade ou a disponibilidade da informao causando impactos no negcio da empresa. <I(CE F "@E"G" H VI:>E<"&I:I0"0E. 1"11 ED-/=E#-) !+/r)-!#)= %)3 /m+r/3)3 As organizaes que focam a excelncia operacional, oferecem produtos de qualidade em relao ao mercado. A padronizao das operaes uma forte caracterstica. 14 Tudo isso suportado por uma gama de informaes em organizadas e disponveis. O que podia ocorrer se o sistema de informao que compem os processos de suprimento e atendimento estiverem fora do ar, se os procedimentos ficarem indisponveis. Figura 4 Ciclo de segurana No resta a menor duvida de que possuir um sistema de gesto de segurana da informao que mantm a disponibilidade, a integridade e a confidencial idade das informaes uma necessidade. Um sistema de gesto de segurana da informao SGSI o primeiro passo definir em que direo seguir etapas do planejamento Definio do Escopo>> Poltica para SGSI>> Analise de Risco >> Tratamento do Risco. 15 2 Leis " e#oluo da internet no trou;e a!enas benef%cios !ara a sociedade, como globalizao, comercio eletr-nico, acesso a informa+es entre outras, #ieram tambJm os crimes #irtuais e di#ersas e;!ress+es algumas utilizadas de forma equi#ocada como* Kcrimes de inform'ticaL, Kcrimes tecnolAgicosL, Kcrimes cibernJticosL, crimes #irtuais etc. E termo adotado foi* Mcrimes inform'ticosN, este termo traduz, de forma am!liati#a, os crimes cometidos contra ou utilizando sistemas informati#os. " Erganizao !ara Coo!erao Econ-mica e 0esen#ol#imento da E>I BErganizao das >a+es InidasC define o conceito de crimes inform'ticos como* Mqualquer conduta ilegal no Jtica, ou no autorizada, que en#ol#a !rocessamento autom'tico de dados e=ou transmisso de dadosN. E Ouiz uil.erme uimares Feliciano, define crimes inform'ticos como* Mrecente fen-meno .istArico?sAcio?cultural caracterizado !ela ele#ada incid)ncia de il%citos !enais Bdelitos, crimes e contra#en+esC que t)m !or obOeto material ou meio de e;ecuo o obOeto tecnolAgico inform'tico B.ardPare, softPare, redes, etc.CN . Para combater os crimes inform'ticos ou !unir quem os comete, foram criadas algumas leis como* " :ei 11.266 de 6 de fe#ereiro de 2995, que acrescentou ao CAdigo de Processo Ci#il o artigo 274?", artigo 274?&, artigo 274?C, "rtigo 143?", artigo 15$, artigo 15$?", entre outros, descritos a seguir* Ar$0! 2@1-A FCG%0! P/#)=H" "cesso no autorizado a rede de com!utadores, dis!ositi#o de comunicao ou sistema informatizado. "cessar, mediante #iolao de segurana, rede de com!utadores, dis!ositi#o de comunicao ou sistema informatizado, !rotegidos !or e;!ressa restrio de acesso* Pena ? recluso, de 1 BumC a $ Btr)sC anos, e multa. Par'grafo Qnico ? (e o agente se #ale de nome falso ou da utilizao de identidade de terceiros !ara a !r'tica do crime, a !ena J aumentada de se;ta !arte. Comete o crime quem acessa uma rede de com!utadores Bque no J a!enas a Internet, !ode ser uma rede de com!utadores conectados entre si, como uma rede 16 coor!orati#a ou de go#ernoC #iolando alguma medida de segurana, em rede ou sistema informatizado ou dis!ositi#o de comunicao que conten.a e;!ressa restrio de acesso. Ar$0! 2@1-6 FCG%0! P/#)=H" Ebteno, transfer)ncia ou fornecimento no autorizado de dado ou informao. Ebter ou transferir, sem autorizao ou em desconformidade com autorizao do leg%timo titular da rede de com!utadores, dis!ositi#o de comunicao ou sistema informatizado, !rotegidos !or e;!ressa restrio de acesso, dado ou informao neles dis!on%#el* Pena ? recluso, de 1 BumC a $ Btr)sC anos, e multa. Par'grafo Qnico ? (e o dado ou informao obtida desautorizadamente J fornecida a terceiros, a !ena J aumentada de um tero. Esse no#o crime tambJm busca !roteger os dados eletr-nicos B!or e;em!lo, fotos !essoais, um trabal.o acad)mico ou art%stico, etc.C de ser obtido ou transferido sem autorizao !ara terceiros. @as quando e;atamente ocorre esse crimeR .0iferentemente do crime anterior, esse acontece quando ocorre a transfer)ncia ou obteno do dado eletr-nico sem a autorizao do titular da rede de com!utadores ou do !ro!riet'rio, ou do dis!ositi#o de comunicao ou sistema informatizado. Ar$0! 2@1-C FCG%0! P/#)=H" Nos crimes definidos neste Captulo somente se procede mediante representao, salvo se o crime cometido contra a Unio, Estado, Municpio, empresa concessionria de servios pblicos, agncias, fundaes, autarquias, empresas pblicas ou sociedade de economia mista e subsidirias." O pargrafo acima determina que os dois crimes anteriores (Art. 285-A e 285-B), s procedem se houver representao da pessoa ofendida, isso quer dizer, que polcia ou o Ministrio Pblico no podem processar por conta prpria. Ar$0! 11.-A FCG%0! P/#)=H" 17 Divulgar, utilizar, comercializar ou disponibilizar dados e informaes pessoais contidas em sistema informatizado com finalidade distinta da que motivou seu registro, salvo nos casos previstos em lei ou mediante expressa anuncia da pessoa a que se referem, ou de seu representante legal. Pena - deteno, de 1 (um) a 2 (dois) anos, e multa. Pargrafo nico - Se o agente se vale de nome falso ou da utilizao de identidade de terceiros para a prtica do crime, a pena aumentada da sexta parte. Esse crime busca punir uma conduta tornou-se muito comum nos dias atuais, a divulgao de fotos e informaes pessoais (dados da receita federal comercializados por camels por exemplo). Comete o crime quem divulga as fotos ou dados sem a permisso dos donos (ou representantes legais dos donos) das fotos ou dados. Ar$0! 1:* FCG%0! P/#)=H" Destruir, inutilizar ou deteriorar coisa alheia ou dado eletrnico alheio: Esse artigo j existe no Cdigo Penal, apenas acrescentamos o "dado eletrnico" para proteg-lo de dano. Ar$0! 1:*-A FCG%0! P/#)=H" Insero ou difuso de cdigo malicioso. Inserir ou difundir cdigo malicioso em dispositivo de comunicao, rede de computadores, ou sistema informatizado. Pena - recluso, de 1 (um) a 3 (trs) anos, e multa. Esse crime comete quem difunde vrus ou o insere em rede de computadores. Note-se que esse crime, tal como os demais, no existe em modalidade culposa, apenas dolosa, o que quer dizer que aquele que recebe o vrus e sem perceber passa a distribu-los, no comete crime (no existe dolo na conduta). 1$ Pargrafo 1 - Se do crime resulta destruio, inutilizao, deteriorao, alterao, dificultao do funcionamento, ou funcionamento desautorizado pelo legtimo titular, de dispositivo de comunicao, de rede de computadores, ou de sistema informatizado: Pena - recluso, de 2(dois) a 4 (quatro) anos, e multa. Pargrafo 2 - Se o agente se vale de nome falso ou da utilizao de identidade de terceiros para a prtica do crime, a pena aumentada de sexta parte".
1% 3 Pesquisa de Segurana da Informao A modulo technology for risk management : Fundada em 1985 a modulo especializada em tecnologia para gesto de risco. 250 profissionais permanentemente atualizados. Pesquisa realizada com cerca de 600 profissionais atuantes na rea de segurana e tecnologia da informao. Pesquisa nos seguintes setores: Viso por segmento Organizao do governo so as menos quantificadas, 56% no sabem dizer em quanto ficou o prejuzo, no comercio 26% no financeiro 24% e no industrial 36% Quando identificado o problema, no setor financeiro os causadores so os fraudadores j no setor industrial so os ex-funcionrios. O setor financeiro o que mais tomam providencia legal e possuem planejamento de segurana. 2& Problemas que geram perdas financeiras. *= 54% devido a falha na poltica de segurana, falta de conscientizao ou treinamento dos colaboradores. Estruturao da rea de segurana da informao 21 Empresas com CSO Financeiro 26S Telecomunica+es 2$S Empresas com departamento de segurana. Financeiro 45S Telecomunica+es 49S Comercio $8S (er#ios $4S Nvel de conhecimento sobre normas e legislao. Possui con.ecimento 3$S Possui !ouco con.ecimento 24S Possui Con.ecimento mas no adotou medidas 23S >o !ossui 7S Empresas que possuem procedimento metodologia formalizado 54S >o !ossuem e $4S !ossuem Valor gasto com capacitao de funcionrios: 28S atJ <T1999,99 18S atJ <T2999,99 27S acima de <T4999,99 23S atJ <T4999,99 Profissionais da equipe que possuem certificao: 45% nenhuma 22 21% MCSO-Modulo Certified Securit Officer ! e"ame #$5%%&%% & Cur'o #$2(5%&%%) 14% Outro' *% CISS+-Certified Informat S'tem 'ecurit +rofe''ional, Mantida -elo !ISC). 4% CISM-Certified Information Securit Manager/& criado -ela IS0C0 1% CIS0- Certified Information S'tem 0uditor Principais Medidas *"1 Or0/m %!3 /2/#$!3 %/ 3/0ur)#&) %) I#(!rm)&'! As origens dos problemas de segurana podem ser dividida em trs categorias conforme tabela. 2atural 3en4meno' Meteorol5gico' 0cidental 6rro' de 7'u8rio' ou 3alha' no' Si'tema' Intencional In9a':e'&Terrori'mo Ideologico' ou crimino'o 6'-ionagem e Intelig;ncia com-etiti9a Chantagem e e"tor'o 23 4 Normas As normas e metodologias so as melhores prticas em segurana da informao e governana de TI, reconhecidas mundialmente e bastante utilizadas. A busca por padres de mercado e as dificuldades das reas de TI, tornam essas normas e metodologias necessrias para que as empresas possam sustentar seus prprios modelos e estruturas de controle, j que as transformaes tecnolgicas exigem constantes atualizaes desses modelos. Atualmente a tecnologia da informao est enraizada em todas as empresas, da mais simple a mais complexa, passando por todos os tamnhos, ajudando a dirigir os negcios. O sucesso da empresa depende da alta disponibilidade das informaes, da segurana e desempenho dos servios de TI. Esta dependncia foi quem determinou o desenvolvimento de normas que propem prticas para implantao de sistemas de gesto dos servios de TI ."1 H3$Gr-! ."1"1 A6NT ISO/IEC 2>002 / 1>>CC ISO/IEC 27002:2005- Information technology -- Security techniques -- Code of practice for information security management ISO/IEC- 17799- Information Technology- Security tec- Code of Pratice for Inf. Security Management. So provavelmente as mais conhecidas normas sobre segurana da informao, seu surgimento teve incio com a preocupao em gerar uma srie de procedimentos sobre segurana da informao na Inglaterra, mais especificamnete no DTI- Department of Trade and Industry. Um grupo criado em 1987 tinha a misso de criar um conjunto de critrios que pudesse proporcionar a validao da segurana da informao e um cdigo de boas praticas que orientasse na implementao das aes, este trabalho gerou uma norma em 1989. 24 Este cdigo orientava na aplicao das aes de segurana da informao, mas ainda era difcil validar essas aes ou assegurar que estavam sendo realizadas. Para isso foi criada uma lista de verificaes, surgindo assim as normas: BS-7799-1 BS-7799-2 Inmeras melhorias foram implementadas e passou a ser utilizada fora da Inglaterra, contribuindo com a ISO ( International Organization for Standard ) . Em 2000 a BS-7799-1 foi lanada como ISO 17.799 Information technology -- Security techniques -- Code of practice for information security management Porm a segunda parte, ou seja a BS-7799-2 no foi transformada em ISO, gerando um demanda por normas internacionais. A British Standard adequou a BS-7799-2 aos padres ISO (9000 e 14000),passando a ser usada como norma para certificao de segurana da informao em 2002. Formando um instrumento para orientao na implantao de um Sistema de Gesto de segurana da informao (SGSI). Em 2007 a ISO 17799 foi renomeada para ISO 27.002 denominada: ABNT-NBR ISSO/IEC 27002 Tecnologia da informao Tcnicas de segurana Cdigo de Prtica para a gesto da segurana da informao. Esta norma oferece diretrizes e princpios gerais para iniciar implementar e manter a melhor Gesto de SI e as definies bsicas do que a Segurana da Informao, o sua necessidade e como estabelecer os requisitos de segurana. ."1"2 ISO/IEC 2>001 ? SGSI - S3$/m)3 %/ G/3$'! %/ S/0ur)#&) %) I#(!rm)&'! FISMS - I#(!rm)$!# S/-ur$I M)#)0/m/#$ SI3$/mH E uma norma internacional utilizada como padro para os sistemas de gesto de segurana da informao, foi publicada pelo International Organization for Standardization (ISO) e pelo International Electrotechnical Commision (IEC) 25 A Norma 27001 foi idealizada para cobrir todos os tipos de organizaes , pois seus requisitos so genricos. O Sistema de Gesto de Segurana da Informao (SGSI), define como sero reduzidos os riscos para segurana da informao atravs da aplicao planejada de objetivos, diretrizes, polticas, procedimentos, modelos e outras medidas administrativas. Um Sistema de Gerenciamento de Segurana da Informao (SGSI), uma cadeia de decises tomadas para gerenciar a segurana da informao, incluindo pessoas, infra- estrutura e negcios, diminuindo os riscos a um nvel aceitvel, ao mesmo tempo que mantm em ponto de vista os objetivos do negcio e as expectativas do cliente. Um SGSI um sistema de gesto anlogo a um Sistema da Qualidade e como tal passvel de certificao. Esta certificao se d a partir das evidncias (documentos e prticas) do conjunto de controles implantados e que devem ser continuamente executados e devidamente registrados. Segundo a NBR 27001(2006), o SGSI projetado para certificar a seleo de controles de segurana apropriados e ajustados para proteger os ativos de informao, o modelo conhecido como "Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. O sistema de gesto da segurana da informao consiste na parte do sistema de gesto global, fundamentada na abordagem de riscos do negcio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurana da informao. 26 Durante o processo de estabelecimento e gerenciamento a organizao deve: Definir o escopo e os limites do SGSI nos termos das caractersticas do negcio da organizao, sua localizao, ativos e tecnologia. A definio do escopo inclui o levantamento dos ativos que sero envolvidos, tais como: Equipamentos; sistemas; nome da organizao; estrutura de comunicao (Internet, correio eletrnico); pessoas; servios; infra- estrutura de rede interna e externa e classificao da informao. medida que evolui, o projeto deve ser revisado e detalhado (ciclo PDCA). Esta reviso baseada no escopo do projeto, pois a declarao do escopo um documento que contm a base para as futuras decises. A delimitao do escopo extremamente necessria, pois quanto maior o escopo maior a complexidade do SGSI a ser implementado. ."1"* ISO/IEC 2>00* ? Gu) %/ Im+=/m/#$)&'! %! S3$/m) %/ G/r/#-)m/#$! %/ S/0ur)#&) %) I#(!rm)&'!" Denominada como: ISO/IEC 27003:2010 Information technology Security techniques Information security management system implementation guidance. Foi publicada no incio de fevereiro 2010, a fim de fornecer um guia para a implementao de controles relacionados com a gesto de um SGSI, permitindo fazer um planejamento claro sobre como implementar e definir uma estratgias segurana relacionada com o negcio de uma empresa de acordo com os requisitos da ISO 27001. 27 A sequncia mostrada na figura a seguir mostra um guia baseado na 27003 com as principais fases para implementao de um sistema de gesto de segurana da informao. ."1". ISO / IEC 2>00. T/-#!=!0) %) #(!rm)&'! - TJ-#-)3 %/ 3/0ur)#&) - G/3$'! %/ 3/0ur)#&) %) #(!rm)&'! - M/%&'! Esta norma abrange medidas de gesto da segurana da informa, geralmente conhecido como mtricas de segurana. A norma foi publicada em dezembro de 2009. A norma se destina a ajudar as organizaes a medir, gerar relatrio sobre a sistemtica de segurana da informao e portanto, melhorar a eficcia dos seus Sistemas de Gesto de Segurana da Informao. Oferece orientao sobre o desenvolvimento e a utilizao de medidas e de medio, a fim de avaliar a eficcia de um sistema de gesto implementado de segurana da informao (SGSI) e controles ou grupos de controles, como especificado na ISO/IEC 27001. Isso pode incluir a poltica, a informao de gesto de riscos de segurana, objetivos de controle, processos e procedimentos para apoiar sua reviso, ajudando a determinar se qualquer um dos processos do SGSI ou controles precisam ser mudados ou melhorados. BS ISO / IEC 27004 d as seguintes recomendaes sobre as atividades como base para uma organizao cumprir os requisitos de medio especificadas na norma ISO/IEC 27001: 2$ 1. Medidas de desenvolvimento (isto , medidas bsicas, medidas derivadas e indicadores 2. Implementao e operao de um Programa de Medio de Segurana da Informao 3. Coletar e analisar dados 4. Desenvolvimento de resultados de medio 5. Comunicao dos resultados de medio desenvolvidos para as partes interessadas 6. Utilizando os resultados de medio, fatores que contribuem para ISMS decises relacionadas 7. Utilizando os resultados de medio para identificar as necessidades para melhorar o SGSI implementado incluindo seu escopo, polticas, objetivos, controles, processos e procedimentos 8. Facilitar a melhoria contnua do Programa de Medio de Segurana da Informao. Um dos fatores que iro impactar a capacidade da organizao para alcanar a medio o seu tamanho. Geralmente o tamanho e a complexidade do negcio, em combinao com a importncia da segurana da informao afetam o grau de medida necessria, tanto em termos do nmero de medidas a serem selecionados e a frequncia da recolha e anlise de dados. Para as PME (Pequenas e Mdias Empresas), o programa de medio menos abrangente de segurana sero suficientes, enquanto que as grandes empresas iro implementar e operar vrios programas de medio de Segurana da Informao. A nica informao do Programa de Medio de Segurana pode ser suficiente para uma organizao de pequeno porte, enquanto que para as grandes empresas necessidade de vrios programas de medio de Segurana da Informao. 2% A orientao fornecida por esta Norma ir resultar na produo de documentao que ir contribuir para demonstrar que a eficcia de controle est sendo medido e avaliado. Esta norma bem detalhada em termos de mecnica de processos de medio. Ela laboriosamente descreve como coletar "medidas bsicas", a agregao de uso e clculos matemticos para gerar "medidas derivadas", e ento aplicar tcnicas de anlise e critrios de deciso para criar "indicadores", utilizada para ajudar no SGSI. Infelizmente, ele no oferece muita orientao sobre quais medidas bsicas, medidas derivadas ou indicadores pode realmente valer a pena em todo esse esforo. Embora seja consensual que a orientao pragmtica sobre mtricas de segurana extremamente necessrio pela profisso e que complementam os padres ISO27k restantes, este foi um projeto longo e difcil para a ISO / IEC JTC1/SC27. Em parte, isso ocorre porque o campo de mtricas de segurana bastante imaturo. Como com a norma ISO / IEC 27003, centenas de pginas de comentrios dos organismos nacionais foram recebidos ainda na fase final FCD e poucos foram resolvidas antes da publicao. Parece provvel que muitos comentrios tero de ser revistos em uma reviso ps-publicao da norma, embora isso no est planejado ... ."1"1 ISO / IEC 2>001 T/-#!=!0) %) #(!rm)&'! ? TJ-#-)3 %/ S/0ur)#&) ? G/r/#-)m/#$! %/ R3-! /m S/0ur)#&) %) I#(!rm)&'! Conhecida internacionalmente como ISO/IEC 27005 Information technology Security Techniques - Information security risk management, esta norma suporta os conceitos gerais especificados na norma ISO/IEC 27001 e projetado para auxiliar a implementao satisfatria de segurana da informao com base em uma abordagem de gesto de risco, esta norma ajuda a organizao a definir seu modelo de gerenciamento de risco. aplicvel a todos os tipos de organizaes (por exemplo, empresas comerciais, agncias governamentais, organizaes sem fins lucrativos) que pretendam gerir os riscos que poderiam comprometer a segurana de informao da organizao. Trata-se de um padro pesado, embora a parte principal tem apenas 24 pginas, sendo o resto em sua maioria, anexos com exemplos e informaes adicionais para os usurios. 3& Embora a norma defina risco como "uma combinao das conseqncias que se seguem derivadas da ocojrrncia de um evento indesejado e da probabilidade de ocorrncia do evento", o processo de anlise de risco descritos na norma indica a necessidade de identificar os ativos de informao em risco, as ameaas potenciais ou fontes de ameaas, as vulnerabilidades potenciais e as potenciais consequncias (impactos), se os riscos se materializar. Exemplos de ameaas, vulnerabilidades e impactos esto tabulados nos anexos, embora incompleta, estes podem ser teis para os riscos relativos de ativos de informao sob avaliao. clara a verificao que sistemas de segurana automatizados ferramentas de avaliao de vulnerabilidade so insuficientes para a anlise de risco, sem levar em conta outras vulnerabilidades alm das ameaas e impactos: a simples existncia de certas vulnerabilidades no significa necessariamente que sua organizao enfrenta riscos inaceitveis se as ameaas correspondentes ou impactos de negcios so insignificantes em determinadas situao particulares. A norma inclui uma seo e anexo sobre a definio do mbito e limites da gesto de riscos de segurana que deve ser o foco do SGSI. A norma no especifica, recomenda ou mesmo nomeia um mtodo especfico, sistemtico e rigoroso de anlise de riscos at mesmo a criao do plano de gerenciamento de riscos. O padro deliberadamente permanece agnstico 2 sobre os mtodos de avaliao quantitativa e qualitativa de risco, essencialmente, recomendando que os usurios escolham os mtodos que melhor lhes convm. Observe o plural - 'mtodos' - o que implica que diferentes mtodos podem ser utilizados, uma avaliao de risco de alto nvel pode ser seguida por um aprofundamento na anlise de risco nas reas de alto risco. Os prs e contras dos mtodos quantitativos de avaliao de risco so um pouco confuso nesta norma. 2
<ue't:e' metaf='ica' inace''=9ei' ao e'-=rito humano -or no 'erem -a''=9ei' de an8li'e -ela ra>o, 31 ."1": ISO / IEC 2>00: A $/-#!=!0) %) #(!rm)&'! - TJ-#-)3 %/ 3/0ur)#&) ? R/7u3$!3 +)r) !r0)#3m!3 7u/ +r/3$/m 3/r2&!3 %/ )u%$!r) / -/r$(-)&'! %/ 33$/m)3 %/ #(!rm)&'! %/ 0/3$'! %/ 3/0ur)#&) Esta norma especifica os requisitos e fornece orientao para organismos que prestam auditoria e certificao de um sistema de gesto de segurana da informao (SGSI), alm dos requisitos contidos na ISO/IEC 27001. destinada principalmente a apoiar a acreditao de organismos de certificao que fornecem certificao em SGSI, sendo que as exigncias contidas nesta norma precisam ser demonstradas em termos de competncia e confiabilidade por qualquer organismo de certificao. Estas certificaes incluindo reunies de informao, reunies de planejamento, anlise de documentos e acompanhamento de itens que no esto em conformidades com a norma. Organizar e participar como palestrante em cursos de formao, desde que, estes cursos digam respeito gesto da segurana da informao e sistemas de gesto relacionados a auditoria. Os organismos de certificao devem limitar-se prestao de informaes genricas e conselhos que esto disponveis no domnio pblico. As atividades de auditoria tm o nico objetivo de determinar uma certificao, no entanto, tais atividades no deve resultar na prestao de recomendaes ou conselhos, e sim agregar valor durante as auditorias de certificao e visitas de vigilncia, atravs da identificao de oportunidades de melhoria sem recomendar solues especficas. O organismo de certificao deve ter critrios para a formao de equipes de auditoria que garante: O conhecimento do padro do SGSI e outros documentos normativos pertinentes; A compreenso da segurana da informao; A compreenso da avaliao e gesto de riscos a partir da perspectiva de negcios; Conhecimento tcnico da atividade a ser auditada; Conhecimento geral dos requisitos regulamentares pertinentes para ISMSs; 32 Conhecimento de sistemas de gesto; A compreenso dos princpios de auditoria com base na ISO 19011; Conhecimento do SGSI reviso eficcia e avaliao da eficcia de controle. Mas especificamente esta norma informa as caractersticas necessrias para a um profissional ou empresa que fornece certificao do SGSI, incluindo uma viso das competncias dos auditores. 33 5 Classificao da informao 1"1 I#$r!%u&'! O processo de classificao da informao consiste em identificar quais so os nveis de proteo que as informaes demandam e estabelecer classes e formas de identific-las. Alm de determinar os controles de proteo necessrios a cada uma delas O fato de algumas informaes demandarem mais protees que outras cria dois cenrios indesejveis que as organizaes buscam evitar: Informaes sensveis ou crticas sem nveis de proteo adequado, geralmente incidentes de segurana que trazem prejuzos e comprometem a eficcia das operaes; Informaes que no precisam de proteo, sendo protegidas de forma excessiva, consumindo recursos de forma desnecessria e direcionando erroneamente o escasso oramento de segurana 1"2 Pr!$/&'! Quando adotamos uma viso de proteo focada unicamente nas ameaas e nas vulnerabilidades que um local o um sistema possuem, corremos um grande risco de no estarmos protegendo a informao mais criticas e sensveis ao longo de todo o seu ciclo de vida. Esses ciclos possuem diversas fases, desde a criao e o descarte, passando pela manipulao, processamento, armazenamento etc. A melhor forma de protegermos as informaes justamente pela adoo de uma abordagem que analisa as demandas de segurana pela tica do prprio ativo e suas necessidades. Dessa forma, podemos combinar diversos mecanismos e obtermos nveis de proteo uniformes independentes da forma como a informao est sendo usada 34 1"* E-!#!m) Quando maior o nvel de proteo que um controle oferece. Maiores so os custos financeiros em termos de aquisio e manuteno. Controles costumam trazer custos indiretos como perda de produtividade e outras inconvenincias. Benefcios O Processo de classificao da Informao traz diversos benefcios para uma organizao. Dos benefcios mais tangveis e mensurveis podemos dizer : 1"*"1 C!#3-/#$9)&'! O Programa de Classificao da Informao requer o envolvimento de praticamente de todas as pessoas dentro da organizao. Esse envolvimento faz com que as pessoas tenham uma dimenso maior das dificuldades de proteger os ativos de informao e da infinidade de situaes que podem comprometer essa proteo. Responsabilidades A Classificao da Informao necessita de uma diviso e atribuio de responsabilidades para poder trabalhar. Essas responsabilidades dizem a respeito a quem deve classificar, quem deve proteger e que cuidados os usurios devem tomar , entre outras coisas. A definio desses papeis distribui o peso da proteo entre os colaboradores de uma organizao, fazendo com que todos fiquem responsveis por ela. Nveis de proteo A atribuio de responsabilidades e melhora da conscincia dos colaboradores faz com que eles mesmos tragam situaes que demandam proteo e que , muitas vezes, fogem aos olhos daqueles que devem se responsabilizar pela proteo. Ningum conhece melhor o fluxo das informaes que as pessoas que fazem uso delas Tomadas de decises Quando as informaes so bem categorizados no ponto de vista da segurana, o processo de tomada de decises, sejam relacionadas a Gesto de SI ou a prpria organizao, extremamente beneficiada. Uso dos recursos Recursos desperdiado em um controle normalmente fazem falta em um outro lugar no qual, a organizao ter uma situao inversa, isto , falta de controle de informaes criticas que esto armazenadas junto com outras que no precisam de proteo. 35 E;em!los As informaes so classificadas mediante sua necessidade de sigilo. Porm uma organizao tambm pode elaborar procedimentos para classific-las perante suas necessidades de integridades e disponibilidades Decreto 4.553 Casa Cvel nveis de classificao em nvel federal Cada nvel de classificao criado visando a um tipo de informao, temos que desenvolver critrios para avaliar uma informao Exemplos de Rtulos G%&'()% *(+,-.'-(% E/0(',+, P(-&+1+, 3 7ltra-Secreto Irre'trita Secreto +rotegida Confidencial Confidencial #e'er9ado #e'trita Irrestrita: Informao Pblica (incluindo informaes consideradas pblicas pela legislao, ou atravs de uma poltica de divulgao de rotina). Disponvel ao pblico, todos os funcionrios, empreiteiros, subempreiteiros e agentes. Protegida: Informao que sensvel para a empresa e precisa de ser protegida. Acesso autorizado (para funcionrios, fornecedores, subcontratados e agentes). uma informao necessria para realizar uma funo ou trabalho: "need-to-know". Confidencial: Informao mais sensvel que est disponvel apenas para uma funo especfica ou grupo especfico de pessoas. Restringido: Informao que altamente sensvel e est disponvel apenas para indivduos especficos (ou posies especficas). ? 6'te -adro @ utili>ado -elo +uAlic Sector CIO Council !+SCIOC& 2%%4) do Canad8, 36 1". C!#-/$!3 1"."1 P!=;$-) %/ C=)33(-)&'! %) I#(!rm)&'! A Classificao da Informao deve ser constituda por uma poltica , nesse caso a Poltica de Classificao da informao o nome utilizado para refenciar o conjunto de normas , procedimento e instrues existente na poltica de Segurana da Informao Por meio do uso dessa poltica que definimos quais os tipos de classificao existentes, com seus respectivos critrios de avaliao e proteo, alm das responsabilidades associados ao processo como um todo. O conjunto de documentos que tem apoio direto de alta direo da organizao , permitira mostrar comprometimento e definir todo o funcionamento das atividades relacionadas Classificao da informao Need-to-Know Define a necessidade que uma pessoa possui , devido rotina diria de trabalho e desempenho de suas funes, de acessar determinadas informaes. Essa terminologia foi criado no ambiente militar / governo, podemos utiliza-las para fazer referncia . A necessidade que usurios de uma organizao possuem de acessar certas informaes. Esse conceito fundamental ara entendermos Least privilege Least Privilege So todas as pessoas devem ter todos os direitos de acesso necessrios para o desempenho de suas funes . Porm , nada mais que o mnimo deve ser permitido , Quando maior a exposio maiores sero os riscos associados a ela. O conceito de need-to-know , postulando que o conceito de privilgio mnimo garantir a todos os usurios que no tenham acesso a nada que no faa parte de seu nedd-to-know. 1"."2 C=)33(-)&'!K D/3-=)33(-)&'! / R/-=)33(-)&'!" Os dois procedimentos bsicos da Classificao da Informaes so a Classificao e a Desclassificao das informaes Classificaes Atribuir um nvel de classificao a um informao , Faz com que as informaes passe a se sujeitar s protees especificas pelo nvel de classificao escolhido . Algumas organizaes optam por criar um nvel de classificao onde, a partir da implementao do progrma de CI, todas as informaes da organizao passam a se 37 enquadrar nesse nvel. No existe o estado - no-classificado. , eliminando o processo de classificae e desclassificao. Nesse caso o procedimento de reclassificao permitido. Reclassificao Alterao no nvel classificao de um informao . So nvel de proteo mais baixa, de forma a evitar o comprometimento da confidencialidade Desclassificao Remoo do nvel de proteo. Aplicvel apenas quando o estado -no-classificado. for previsto . Pode ser feita de forma automtica, o prazo cairia de alguns anos para o nveis mais baixos de classificao at dcadas para os mais altos no setor governamental 1"."* P)+J3 %/ R/3+!#3)<=%)%/3 Uma das principais funes da Classificao da informao definir e atribuir responsabilidades relacionadas a segurana diversas pessoas dentro de uma organizao . Esses papeis e responsabilidades variam de acordo com a relao que a pessoa tem com a informao em questo. Proprietrio da Informao responsabilidade do proprietrio atribuir os nveis de classificao que uma informao demanda. Dessa forma ele tambm ser participado do processo de escolha dos nveis de proteo e ser tambm exposto ao processo de balancear as necessidades de proteo, com a facilidade de uso e o oramento disponvel para se investir em controles. Exemplo : O papel de dono normalmente deve ser exercido por um gerente da rea cujas informaes so de sua responsabilidade direta Umas das responsabilidades do dono so a classificao /reclassificao /desclassificao das informaes, definir requisitos de proteo para cada nvel de classificao,, autorizar pedidos de acesso a informaes de sua propriedade e autorizar a divulgao de informaes Custodiante aquele que zela pelo armazenamento e preservao de informaes que no lhe pertencem Exemplos : Administradores de Banco de Dados , Servidores de Arquivos ou cofres para armazenamento de ativos valiosos . Existe dois tipos de Custodiante : 3$ a) O proprietrio de Aplicao Um profissional de perfil tcnico responsvel pela administrao e funcionamento de algum sistema , cabe a ele proteg-las e garantir que enquanto eles se encontrem sob sua responsabilidade os requisitos da classificao em termos de proteo estejam sendo obedecidos. b) O proprietrio do Processo - a pessoa responsvel pelo processo de negcio, um exemplo um processo de emisso de nota fiscal , que so informaes sendo geradas e processadas ao longo do seu funcionamento. Equipe de segurana o ponto de apoio das unidades de negcios de forma de desenvolver, implementar e monitorar estratgias de segurana que atendem aos objetivos da organizao, responsvel pela avaliao e seleo de controles apropriados para oferecer as informaes os nveis de proteo exigidos por cada classificao . Esse equipe no pode assumir a total responsabilidade pela proteo, j que deve ser compartilhada por todos. Cabe ela sim selecionar os melhores controles, conscientizar os usurios a respeito do seu uso, administr-los e monitor-las, alm de verificar se todos na organizao colaboram com as medidas. Gerente de Usurios Responde pela ao de grupos de usurios de sua responsabilidade, alm dos funcionrios reponde pela ao dos visitantes, prestadores de servios que fazem o uso de informaes da organizao Desempenha outro papel fundamental que a solicitao, transferncia e revogao de IDs de acesso para os seus funcionrios. Usurio Final Pessoal que faz uso constante das informaes e o que mais tem contato com elas , o responsvel pelo seguimento das recomendaes de segurana. 3%