departamentos de T.I. Clcio Oliveira Pinto, Diego Elcain, Raphael Moreno Ps-Graduao em Segurana e Integrao de Redes de Computadores em Ambientes Corporativos Faculdade de Tecnologia SENAC Goinia, GO Brasil contato@cleciooliveira.com, diego@cuidadodigital.com.br, raphaelserrinha12@hotmail.com Abstract. The purpose of this research is to reflect on the Information Security through data collection extracted through a form used in technical companies from Gois. The data collected will be used to demonstrate the level of maturity of organizations when it comes to information security. After understanding the data collected will be demonstrated the risks that the organization is subject to known and processes that can be used to mature the management of Information Security, keeping businesses safer. Resumo. A proposta da presente pesquisa fazer uma reflexo sobre a segurana de informao mediante a coleta de dados extrados atravs de um formulrio tcnico aplicado nas empresas goianas. Os dados coletados serviro para demonstrar o nvel de maturidade das organizaes em se tratando de Segurana da Informao. Aps o entendimento dos dados coletados ser demonstrado os riscos que a organizao est sujeita e conhecer processos que podem ser empregados para amadurecer a Gesto de Segurana da Informao mantendo as empresas mais seguras. 1. Introduo A cada ano o mercado de Segurana Digital vem crescendo, isso devido informao se tornar cada vez mais vulnervel. As demandas de necessidades de se manter competitivo com eficincia nos processos de negcios fizeram com que a informao se tornasse um dos principais ativos das organizaes, que precisa ser protegido a todo custo de qualquer eventualidade. A infraestrutura de TI antes era vista como um dos pilares de suporte das empresas, mas com toda essa evoluo e a necessidade de manter segura a informao, a segurana tornou um fator prioritrio na tomada de deciso e dos investimos das empresas. Hoje esse item j faz parte do negcio das organizaes. Segurana da informao consiste na proteo da informao de vrios tipos de ameaas para garantir a confidencialidade, disponibilidade e integridade da informao a fim de proporcionar a continuidade do negcio, minimizar o risco ao negcio e maximizar o retorno sobre os investimentos e as oportunidades de negcio (ABNTNBRISO/IEC 27002, 2005). Ela essencial para qualquer empresa, independentemente do tamanho, seja ela de grande, mdio ou pequeno porte (Krause (1999) e Albuquerque (2002)). A partir da dcada de 40 surgiram algumas normas tcnicas de segurana visando resolver esses problemas relacionados a segurana da informao, que tratam de boas prticas e uma delas a ABNT NBR ISO/IEC 27002. Com base na norma ABNT NBR ISSO/IEC 27002, iremos estudar as caractersticas das empresas bem como o nvel de entendimento, maturidade e o porte. Com os dados extrados, iremos obter uma viso geral de como as empresas goianas lidam com a Segurana da Informao. Com a concluso dos estudos de pesquisa e tabulao dos dados coletados, esperamos encontrar dois resultados importantes:
Referente a todos os tpicos da NBR ISO/IEC 27002 quais so as mais aplicadas em todas as organizaes. E quais a regras so aplicadas de acordo com tamanho da empresa? Se existe alguma relao de segurana versus porte da empresa? (ACHO QUE SERIA INTERESSANTE REVERMOS ESSA INTRODUO. ATE PORQUE PENSO QUE A CONCLUSO QUE ESPERAMOS OBTER NAO SEJA MAIS ESSA) 2. Referencial Terico Pesquisas realizadas pelas revistas CIO, CSO e Pricewaterhousecoopers entrevista mais de 12.800 executivos incluindo CEO, CFO, CIO, CISO e OSC em mais de 170 pases chega concluso que h resistncia na liberao de recursos para aplicao da Segurana da Informao (COMPUTERWORLD, 2014). Outra pesquisa realizada, dessa vez pela Microsoft mostra que o volume de computadores infectados por vrus proporcional ao volume de sistema operacional pirata (MICROSOFT, 2014). Mais uma pesquisa de extrema importncia realizada pela IDC, mostra que se os nmeros de softwares piratas cassem em 10% nos prximos quatro anos, mais de 500.000 novos postos de trabalhos poderiam ser gerados, podendo criar US$ 142 bilhes em novas atividades econmicas e US$ 32 bilhes em receitas fiscais para 2013 (PLAY-IT-SAFE, 2014). AQUI ESTA FALTANDO UM PARAGRAFO PRA DAR UMA CONCLUSO A IDEIA INFORMADA NOS DOIS PRIMEIROS PARAGRAFOS. CLECIO, VE ISSO. 2.1. ISO A ISO uma organizao internacional formada por um conselho e comits com membros oriundos de vrios pases. Seu objetivo criar normas e padres universalmente aceitos sobre a realizao de atividades comerciais, industriais, cientficas e tecnolgicas. A IEC uma organizao voltada ao aprimoramento da indstria da informao (FERREIRA e ARAJO, 2006). 2.2. NBR/ISO 27002 O objetivo da Norma ABNT NBR ISO/IEC 27002 segundo a prpria NBR ISO/IEC 27002(2005), estabelecer diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao. Os objetivos e os controles tm como finalidade ser implementados para atender aos requisitos identificados por meio da anlise e/ou avaliao de riscos. A norma pode servir como um guia prtico para desenvolver os procedimentos de segurana da informao da organizao e as eficientes prticas de gesto da segurana. As principais informaes da norma se encontram distribuda em 11 sees, que correspondem a controles de segurana da informao que juntas totalizam 39 categorias principais de segurana. Dentro de cada seo contm um nmero de categorias principais de segurana da informao. Estrutura do Padro NBR 270002 Avaliao de risco e tratamento Trata da anlise/avaliao, e tratamento dos riscos, sugerindo que essas avaliaes sejam realizadas periodicamente, na situao de risco e quando alguma mudana significativa ocorrer. necessrio que um escopo definido para ser eficaz. Esse escopo pode ser tanto toda a organizao quanto partes dela. Poltica de segurana: A poltica de segurana normalmente descreve os requisitos da organizao para a segurana da informao, escopo do sistema de gerenciamento de segurana da informao, incluindo as necessidades do negcio, reas e locais cobertos. Polticas especficas e procedimentos dentro do sistema de gerenciamento de segurana da informao devem ser consistentes com a poltica de segurana. Organizao da segurana da informao A organizao da segurana da informao trata de como a organizao gerencia segurana da informao, as responsabilidades de cada pessoa, comit ou frum. Inclui responsabilidades para criar, revisar e seguir procedimentos e polticas. Administrao de ativos utilizada para fazer inventrios de ativos fsicos por exemplo, computadores, impressoras, switches. Essas informaes so vitais para uma organizao, mas o valor dela depende de fatores como, por exemplo, o custo para se obter essas informaes, o custo de atualizao e a extenso do dano causado caso essas informaes vazem para o pblico ou concorrente. Segurana de recursos humanos Este tpico cobre aspectos para reduzir o risco de erro humano e assegurar que a equipe entenda quais so seus direitos e responsabilidades em se tratando de segurana da informao. A organizao deve gerenciar bem os direitos de acessos ao sistema para quem est entrando, se mudando de rea ou deixando a empresa e deve se encarregar de fazer o trabalho de conscientizao sobre segurana, treinamentos e atividades educativas Segurana fsica e do ambiente Detalha qualquer aspecto fsico do controle de acesso para a informao. Os seguintes aspectos devem ser considerados: - Proteo: da informao, dos sistemas de elementos e do acesso fsico, o qual deve ser restrito para pessoas autorizadas. Equipamentos de TI so tentadores para ladres e pode ser danificado por acidentes ou sabotagem. - Manuteno: dos equipamentos de suporte como ar condicionado ou rede eltrica e do ambiente fsico na sala do servidor. Administrao de operaes e comunicaes Manter TI e sistemas de comunicaes seguros fundamental para a maioria das organizaes e coberto nesta seo, a maior seo da ISSO 27002. - Procedimentos e responsabilidades operacionais: tem como objetivo garantir a operao segura e correta dos recursos de processamento da informao atravs da documentao dos procedimentos de operao, mantendo-os atualizados e disponveis a todos os usurios e que qualquer mudana nessa documentao seja autorizada pela direo e que recursos de desenvolvimento, teste e produo sejam separados para reduzir o risco de acessos ou modificaes no autorizadas aos sistemas operacionais. - Gerenciamento de servios terceirizados: tem como objetivo, implementar e manter o nvel apropriado se segurana da informao e de entrega de servios em consonncia com acordos de entrega de servios terceirizados. - Planejamento e aceitao de sistemas: Tem como objetivo minimizar os riscos de falhas nos sistemas atravs de aes como a projeo de requisitos de capacidade futura para reduzir os riscos de sobrecarga dos sistemas, e estabelecimento dos requisitos operacionais dos novos sistemas, atualizaes e novas verses, elaborando suas documentaes e testando antes da sua aceitao de uso. - Proteo contra cdigos maliciosos: Tem como objetivo proteger a integridade do software e da informao atravs da atualizao regular dos softwares de deteco e remoo de cdigos maliciosos e a execuo de verificao, tanto de forma preventiva quanto rotineira. - Back-up: manter a integridade e disponibilidade da informao e dos recursos de processamento de informao. importante a definio da poltica de gerao de cpias de segurana e que ela reflita os requisitos de negcios da organizao. - Gerenciamento da segurana em redes: Tem como objetivo garantir a proteo das informaes em redes e a proteo da infraestrutura de suporte, gerenciando e controlando-as de forma a proteg-las contra ameaas. Firewall e IDS so exemplos para esta finalidade. - Manuseio de mdias: Tem como objetivo prevenir contra divulgao no autorizada, modificao, remoo ou destruio aos ativos, e interrupes das atividades do negcio. As mdias e os dados precisam ser controlados e fisicamente protegidos. O descarte das mdias tambm deve ser feito de forma segura e protegida quando no forem mais necessrios. Controle de acesso Controlar o acesso informao, recursos de processamento das informaes e processos de negcios com base nos requisitos de negcio e segurana da informao. Fatores como procedimento formal de registro e cancelamento de usurio, gerenciamento de privilgios, gerenciamento de senha do usurio, reviso dos direitos dos usurios, o uso de senhas, controle de acesso rede, segregao de rede, controle de acesso ao sistema operacional, trabalho remoto, dentre outros, so abordados neste tpico. Aquisio, desenvolvimento e manuteno de sistemas de informao. Tem como objetivo, garantir que segurana seja parte dos sistemas de informao, o qual inclui: - Requisitos de segurana: consiste na especificao de requisitos para controle de segurana para novos sistemas de informao ou pra melhoria dos sistemas j existentes. - Processamento correto nas aplicaes: tem como objetivo prevenir a ocorrncia de erros, perdas, modificao no autorizada ou mal uso de informaes em aplicaes - Controles criptogrficos: tem como objetivo proteger a confidencialidade, autenticidade ou a integridade das informaes atravs de mtodos criptogrficos. - Segurana dos arquivos do sistema: tem como objetivo garantir a segurana dos arquivos de sistema controlando o acesso aos arquivos de sistema e aos programas de cdigo fonte. - Segurana em processo de desenvolvimento e suporte: tem como objetivo manter a segurana de sistemas, aplicativos e da informao. Convm que ambientes de projeto e de suporte sejam estritamente controlados. - Gesto de vulnerabilidades tcnicas: reduzir os riscos resultantes da explorao de vulnerabilidades tcnicas j conhecidas. Um inventrio de ativos preciso essencial para assegurar que vulnerabilidades potenciais sejam identificadas. Gesto de incidentes de segurana da informao Tem como objetivo trazer orientaes para que fragilidades e eventos de segurana da informao sejam comunicados, permitindo a tomada de ao corretiva em tempo hbil. Para isso deve existir um procedimento de notificao formal para relatar esses eventos de segurana e para que haja mecanismos para quantificar esses incidentes e que essa informao seja usada para identificar incidentes recorrentes. Gesto da continuidade de negcio Tem como objetivo no permitir a interrupo das atividades do negcio e proteger os processos crticos contra falhas ou desastres, e assegurar sua retomada em tempo hbil. Minimizar um impacto sobre a organizao. Convm que sejam identificados os eventos que podem causar interrupes aos processos do negcio, seus impactos e consequncia para segurana da informao. Conformidade Tem como objetivo evitar violaes de quaisquer obrigaes legais, regulamentares ou contratuais. Determina que os gestores garantam que todos os procedimentos de segurana a informao dentro da sua rea esto sendo executados em conformidade com as polticas e normas de segurana de informao, atravs de analises crticas em intervalos regulares. Caso seja encontrada alguma no conformidade, convm que atitudes como a determinao da causa dessa no conformidade, uma ao corretiva, bem como aes para que ela no volte a se repetir sejam tomadas. 3.0. Proposta Este artigo tem como proposta a elaborao de uma pesquisa exploratria e descritiva a fim de coletar informaes relativas as prticas de Segurana da Informao aplicadas nas empresas goianas, independente do setor de atividade ou quantidade de colaboradores e/ou tamanho do parque computacional. Com esses dados extrados, iremos obter uma viso geral de como as empresas goianas tem lidado com a Segurana da inforamao e tentarmos chegar a uma concluso sobre o nvel de maturidade e entendimento das empresas goianas no que tanje a Segurana da Informao. (PROCUREI DETALHAR MELHOR A PESQUISA, E PEGUEI UMA PARTE UTILIZADA NA INTRODUO TAMBM PARA ISSO. VE O QUE ACHAM E O QUE FAZERMOS COM ESSA PARTE REPETIDA DA INTRODUO) 3.1. Seleo de amostra / aptido Foi estabelecido que para participar da pesquisa, as empresas deveriam possuir equipe interna de TI e estarem localizadas na grande Goinia; (Compreende como grande Goinia: Goinia, Anpolis e Aparecida de Goinia). 3.2. Estratgias de coleta de dados A Coleta de Dados desta pesquisa foi realizada atravs da elaborao de um questionrio com 77 perguntas objetivas no qual a resposta apenas sim ou no, ou seja, aquela prtica aplicada ou no na empresa. Para isso, foi utilizado como referncia as sugestes encontradas na norma ABNT NBR ISO/IEC 27002, que esto descritas no tpico 2.2. A empresas obtiveram acesso ao questionrio mediante formulrio eletrnico (Google Form) enviado via e-mail s empresas pesquisadas, sempre destinados ao responsvel pela rea de TI da empresa. Foram entrevistadas ao todo 16 empresas do mercado goiano, sendo: 01 Empresa com 1 a 9 Funcionrios 06 Empresas com 10 a 49 Funcionrios 04 Empresas com 50 a 99 Funcionrios 05 Empresas com mais de 99 Funcionrios Assim que finalizado o perodo para coleta de informaes das empresas, e de posse do resultado apresentando foi possvel identificar trs caractersticas bsicas no que tange a Segurana da Informao. Segurana da Informao em nvel bsico ou primrio, que compreende os seguintes requisitos. a. Identificao dos ativos b. Inventrio dos Ativos c. Processo Disciplinar d. Devoluo de Ativos e. Controle de Cdigos Maliciosos f. Cpias de Segurana g. Gerenciamento de Rede Local h. Descarte Mdias i. Informaes Publicamente Disponveis j. Politicas de Controle de Acesso k. Direitos de Acesso l. Manuteno de Equipamentos m. Reutilizao e Alienao Segura dos Equipamentos n. Gerenciamento de Instalao e Configurao de Software Segurana o da Informao em nvel Intermedirio a. Seleo de Pessoal b. Segregao de Redes c. Documentao dos Sistemas d. Limite e tempo de Sesses e. Gerenciamento de Chaves f. Notificaes de fragilidades. g. Registro de Log's h. Segregao de Funo i. Tratamento de Informao j. Contato com Autoridade k. Manuteno das politicas l. Permetro de Segurana Fsica m. Entrega de Servio Terceirizado n. Papis e Responsabilidades o. Responsabilidade da Direo p. Controle de Cdigos Mveis q. Validao dos dados de entrada r. Computao Mvel e Acesso Remoto s. Monitoramento de uso do Sistema t. Gerenciamento de Mdias Removveis u. Acordos de Confidencialidade v. Conscientizao, Educao e Treinamento. w. Controle de acesso ao cdigo fonte do programa. x. Existe analise de risco dentro da organizao. y. Documentao dos Procedimentos Operacionais Padro z. Aceitao dos Termos de uso dos Ativos da Organizao aa. reas de Teste, Produo e Desenvolvimento esto separadas? bb. Restries em mudanas nos pacotes de software cc. Existe dentro da Organizao Politicas de Segurana da Informao? dd. As ameaas que comprometem a Segurana da Informao esto identificadas? Nvel de Segurana da Informao em nvel avanado. a. Coleta de Evidncias b. Gesto de capacidade c. Segurana do Cabeamento d. Notificaes de eventos. e. Mecanismos de controles efetivos e funcional. f. Identificao das consequncias. g. Politica de Segurana Documentada h. Controle, gesto e manuteno de vulnerabilidade tcnica. i. Aprendendo com incidentes j. Analise / Avaliao dos riscos na Continuidade de Negcios k. Desenvolvimento e implementao dos planos de continuidade. l. Analise Crtica da Politica de Segurana da Informao m. Coordenao da Segurana da Informao n. Aceitao de Sistemas o. Transao On-Line p. Poltica Mesa Limpa, Tela Limpa. q. Politica de Acesso a Rede r. Analise e Especificaes dos Requisitos de Segurana s. Controle do Processamento Interno t. Validao de dados na sada. u. Controles Criptogrficos v. Vazamento de Informaes w. Segurana da Informao na Continuidade do negcio. x. Comrcio Eletrnico y. Comprometimento da Direo com a Segurana da Informao z. Identificando Segurana da Informao com Clientes e Terceiros aa. Rtulos e Tratamento da Informao bb. Ameaa Externa e Meio Ambiente cc. Segurana de Equipamentos fora das Dependncias da Organizao dd. Monitoramento e Analise Crtica ee. Gerenciamento de Mudanas para Servios Terceirizados ff. Segurana dos Servios de Rede Terceirizado gg. Politicas e Procedimentos para Troca de Informaes Com o cruzamento de dados relacionando tamanho da organizao versus aplicabilidade chegamos ao seguinte resultado. Tamanho da empresa Soma das regras Aplicao de Regras Tamanho da empresa 1 a 9 57 12 10 a 49 10 a 49 56 16 10 a 49 10 a 49 49 17 Maior qe 100 10 a 49 !5 19 50 a 99 10 a 49 22 22 10 a 49 10 a 49 16 24 50 a 99 10 a 49 12 26 Maior qe 100 50 a 99 62 !1 50 a 99 50 a 99 !1 !5 10 a 49 50 a 99 24 49 10 a 49 50 a 99 19 5! Maior qe 100 Maior qe 100 5! 5! Maior qe 100 Maior qe 100 69 56 10 a 49 Maior qe 100 5! 57 1 a 9 Maior qe 100 26 62 50 a 99 Maior qe 100 17 69 Maior qe 100 "on#ao $mpresas Media Maior qe 100 21% 5 4!&60 50 a 99 1!6 4 !4&00 10 a 49 190 6 !1&67 1 a 9 57 1 57&00 No entanto essas informaes relatam somente o que cada empresa tem aplicado, por essa razo optamos por definir em trs nveis a fim de trazer um resultado em outra perspectiva, Segurana da Informao em nvel Bsico, Intermedirio e Avanado. 3.3. Referncias ABNT. Tecnologia da Informao - Cdigo de Prtica para a Gesto de Segrana da Informao. NB! IS"#I$C %&&''( )**). ISBN +,-*&-**)%--,. .ispon/0el em1 2Associao Brasileira de Normas T3cnicas4. 56!"S$( 7. $ !"SS( 5. 8!edes de comptadores e a internet1 ma a9ordagem top-do:n;. $ditora Addison <esle=. >?ed.( So Palo. )**@. C"AP6T$!<"!B.( .ispon/0el em1 2Cttp1#:::.compter:orld.com.pt#media#)*%%#*)#Glo9al-State-of-Information-Secrit=- Sr0e=-)*%%.pdf4. Acesso em %) fe0. )*%-. AIC!"S"DT( .ispon/0el em1 2Cttp1##:::.microsoft.com#pt-9r#do:nload#details.aspEF idG'*,+4. Acesso em %) fe0. )*%-. AIC!"S"DT( .ispon/0el em1 2Cttp1##:::.microsoft.com#en- s#ne:s#do:nload#pressHits#antipirac=#docs#idc*>*,%>.pdf4. Acesso em %) fe0. )*%-. PBAI-IT-SAD$( .ispon/0el em1 2Cttp1##:::.pla=-it-safe.net#4. Acesso em %) fe0. )*%-. PBAI-IT-SAD$( .ispon/0el em1 2Cttp1##pla=-it-safe.net#!esmo-para-clientes.pdf4 Acesso em %) fe0. )*%-. BSA # IBC( .ispon/0el em1 2Cttp1##portal.9sa.org#insead#assets#stdies#)*%>soft:are0alestd=J9raKilJportgese.pdf 4. Acesso em %) de fe0. )*%-. SLA"BA( Aarcos. Gesto da segrana da informao1 6ma 0iso eEecti0a. !io de 7aneiro1 Camps( )**>.