Segurana da Informao nas Empresas

Uso efetivo de Segurana da Informao em equipes e

departamentos de T.I.
Clcio Oliveira Pinto, Diego Elcain, Raphael Moreno
Ps-Graduao em Segurana e Integrao de Redes de Computadores em Ambientes
Corporativos Faculdade de Tecnologia SENAC Goinia, GO Brasil
contato@cleciooliveira.com, diego@cuidadodigital.com.br,
raphaelserrinha12@hotmail.com
Abstract. The purpose of this research is to reflect on the Information Security through
data collection extracted through a form used in technical companies from Gois. The
data collected will be used to demonstrate the level of maturity of organizations when it
comes to information security. After understanding the data collected will be
demonstrated the risks that the organization is subject to known and processes that can
be used to mature the management of Information Security, keeping businesses safer.
Resumo. A proposta da presente pesquisa fazer uma reflexo sobre a segurana de
informao mediante a coleta de dados extrados atravs de um formulrio tcnico
aplicado nas empresas goianas. Os dados coletados serviro para demonstrar o nvel de
maturidade das organizaes em se tratando de Segurana da Informao. Aps o
entendimento dos dados coletados ser demonstrado os riscos que a organizao est
sujeita e conhecer processos que podem ser empregados para amadurecer a Gesto de
Segurana da Informao mantendo as empresas mais seguras.
1. Introduo
A cada ano o mercado de Segurana Digital vem crescendo, isso devido
informao se tornar cada vez mais vulnervel. As demandas de necessidades de se
manter competitivo com eficincia nos processos de negcios fizeram com que a
informao se tornasse um dos principais ativos das organizaes, que precisa ser
protegido a todo custo de qualquer eventualidade.
A infraestrutura de TI antes era vista como um dos pilares de suporte das
empresas, mas com toda essa evoluo e a necessidade de manter segura a informao,
a segurana tornou um fator prioritrio na tomada de deciso e dos investimos das
empresas. Hoje esse item j faz parte do negcio das organizaes.
Segurana da informao consiste na proteo da informao de vrios tipos de
ameaas para garantir a confidencialidade, disponibilidade e integridade da informao
a fim de proporcionar a continuidade do negcio, minimizar o risco ao negcio e
maximizar o retorno sobre os investimentos e as oportunidades de negcio
(ABNTNBRISO/IEC 27002, 2005). Ela essencial para qualquer empresa,
independentemente do tamanho, seja ela de grande, mdio ou pequeno porte (Krause
(1999) e Albuquerque (2002)).
A partir da dcada de 40 surgiram algumas normas tcnicas de segurana
visando resolver esses problemas relacionados a segurana da informao, que tratam
de boas prticas e uma delas a ABNT NBR ISO/IEC 27002.
Com base na norma ABNT NBR ISSO/IEC 27002, iremos estudar as
caractersticas das empresas bem como o nvel de entendimento, maturidade e o porte.
Com os dados extrados, iremos obter uma viso geral de como as empresas goianas
lidam com a Segurana da Informao.
Com a concluso dos estudos de pesquisa e tabulao dos dados coletados,
esperamos encontrar dois resultados importantes:

Referente a todos os tpicos da NBR ISO/IEC 27002 quais so as mais
aplicadas em todas as organizaes.
E quais a regras so aplicadas de acordo com tamanho da empresa? Se
existe alguma relao de segurana versus porte da empresa? (ACHO
QUE SERIA INTERESSANTE REVERMOS ESSA INTRODUO.
ATE PORQUE PENSO QUE A CONCLUSO QUE ESPERAMOS
OBTER NAO SEJA MAIS ESSA)
2. Referencial Terico
Pesquisas realizadas pelas revistas CIO, CSO e Pricewaterhousecoopers
entrevista mais de 12.800 executivos incluindo CEO, CFO, CIO, CISO e OSC em mais
de 170 pases chega concluso que h resistncia na liberao de recursos para
aplicao da Segurana da Informao (COMPUTERWORLD, 2014).
Outra pesquisa realizada, dessa vez pela Microsoft mostra que o volume de
computadores infectados por vrus proporcional ao volume de sistema operacional
pirata (MICROSOFT, 2014). Mais uma pesquisa de extrema importncia realizada pela
IDC, mostra que se os nmeros de softwares piratas cassem em 10% nos prximos
quatro anos, mais de 500.000 novos postos de trabalhos poderiam ser gerados, podendo
criar US$ 142 bilhes em novas atividades econmicas e US$ 32 bilhes em receitas
fiscais para 2013 (PLAY-IT-SAFE, 2014).
AQUI ESTA FALTANDO UM PARAGRAFO PRA DAR UMA
CONCLUSO A IDEIA INFORMADA NOS DOIS PRIMEIROS PARAGRAFOS.
CLECIO, VE ISSO.
2.1. ISO
A ISO uma organizao internacional formada por um conselho e comits com
membros oriundos de vrios pases. Seu objetivo criar normas e padres
universalmente aceitos sobre a realizao de atividades comerciais, industriais,
cientficas e tecnolgicas. A IEC uma organizao voltada ao aprimoramento da
indstria da informao (FERREIRA e ARAJO, 2006).
2.2. NBR/ISO 27002
O objetivo da Norma ABNT NBR ISO/IEC 27002 segundo a prpria NBR
ISO/IEC 27002(2005), estabelecer diretrizes e princpios gerais para iniciar,
implementar, manter e melhorar a gesto de segurana da informao em uma
organizao.
Os objetivos e os controles tm como finalidade ser implementados para atender
aos requisitos identificados por meio da anlise e/ou avaliao de riscos. A norma pode
servir como um guia prtico para desenvolver os procedimentos de segurana da
informao da organizao e as eficientes prticas de gesto da segurana.
As principais informaes da norma se encontram distribuda em 11 sees, que
correspondem a controles de segurana da informao que juntas totalizam 39
categorias principais de segurana. Dentro de cada seo contm um nmero de
categorias principais de segurana da informao.
Estrutura do Padro NBR 270002
Avaliao de risco e tratamento
Trata da anlise/avaliao, e tratamento dos riscos, sugerindo que essas
avaliaes sejam realizadas periodicamente, na situao de risco e quando alguma
mudana significativa ocorrer.
necessrio que um escopo definido para ser eficaz. Esse escopo pode ser tanto
toda a organizao quanto partes dela.
Poltica de segurana:
A poltica de segurana normalmente descreve os requisitos da organizao para
a segurana da informao, escopo do sistema de gerenciamento de segurana da
informao, incluindo as necessidades do negcio, reas e locais cobertos.
Polticas especficas e procedimentos dentro do sistema de gerenciamento de segurana
da informao devem ser consistentes com a poltica de segurana.
Organizao da segurana da informao
A organizao da segurana da informao trata de como a organizao gerencia
segurana da informao, as responsabilidades de cada pessoa, comit ou frum.
Inclui responsabilidades para criar, revisar e seguir procedimentos e polticas.
Administrao de ativos
utilizada para fazer inventrios de ativos fsicos por exemplo, computadores,
impressoras, switches. Essas informaes so vitais para uma organizao, mas o valor
dela depende de fatores como, por exemplo, o custo para se obter essas informaes, o
custo de atualizao e a extenso do dano causado caso essas informaes vazem para o
pblico ou concorrente.
Segurana de recursos humanos
Este tpico cobre aspectos para reduzir o risco de erro humano e assegurar que a
equipe entenda quais so seus direitos e responsabilidades em se tratando de segurana
da informao.
A organizao deve gerenciar bem os direitos de acessos ao sistema para quem
est entrando, se mudando de rea ou deixando a empresa e deve se encarregar de fazer
o trabalho de conscientizao sobre segurana, treinamentos e atividades educativas
Segurana fsica e do ambiente
Detalha qualquer aspecto fsico do controle de acesso para a informao. Os
seguintes aspectos devem ser considerados:
- Proteo: da informao, dos sistemas de elementos e do acesso fsico, o qual
deve ser restrito para pessoas autorizadas. Equipamentos de TI so tentadores para
ladres e pode ser danificado por acidentes ou sabotagem.
- Manuteno: dos equipamentos de suporte como ar condicionado ou rede
eltrica e do ambiente fsico na sala do servidor.
Administrao de operaes e comunicaes
Manter TI e sistemas de comunicaes seguros fundamental para a maioria das
organizaes e coberto nesta seo, a maior seo da ISSO 27002.
- Procedimentos e responsabilidades operacionais: tem como objetivo
garantir a operao segura e correta dos recursos de processamento da informao
atravs da documentao dos procedimentos de operao, mantendo-os atualizados e
disponveis a todos os usurios e que qualquer mudana nessa documentao seja
autorizada pela direo e que recursos de desenvolvimento, teste e produo sejam
separados para reduzir o risco de acessos ou modificaes no autorizadas aos sistemas
operacionais.
- Gerenciamento de servios terceirizados: tem como objetivo, implementar e
manter o nvel apropriado se segurana da informao e de entrega de servios em
consonncia com acordos de entrega de servios terceirizados.
- Planejamento e aceitao de sistemas: Tem como objetivo minimizar os
riscos de falhas nos sistemas atravs de aes como a projeo de requisitos de
capacidade futura para reduzir os riscos de sobrecarga dos sistemas, e estabelecimento
dos requisitos operacionais dos novos sistemas, atualizaes e novas verses,
elaborando suas documentaes e testando antes da sua aceitao de uso.
- Proteo contra cdigos maliciosos: Tem como objetivo proteger a
integridade do software e da informao atravs da atualizao regular dos softwares de
deteco e remoo de cdigos maliciosos e a execuo de verificao, tanto de forma
preventiva quanto rotineira.
- Back-up: manter a integridade e disponibilidade da informao e dos recursos
de processamento de informao. importante a definio da poltica de gerao de
cpias de segurana e que ela reflita os requisitos de negcios da organizao.
- Gerenciamento da segurana em redes: Tem como objetivo garantir a
proteo das informaes em redes e a proteo da infraestrutura de suporte,
gerenciando e controlando-as de forma a proteg-las contra ameaas. Firewall e IDS so
exemplos para esta finalidade.
- Manuseio de mdias: Tem como objetivo prevenir contra divulgao no
autorizada, modificao, remoo ou destruio aos ativos, e interrupes das atividades
do negcio. As mdias e os dados precisam ser controlados e fisicamente protegidos. O
descarte das mdias tambm deve ser feito de forma segura e protegida quando no
forem mais necessrios.
Controle de acesso
Controlar o acesso informao, recursos de processamento das informaes e
processos de negcios com base nos requisitos de negcio e segurana da informao.
Fatores como procedimento formal de registro e cancelamento de usurio,
gerenciamento de privilgios, gerenciamento de senha do usurio, reviso dos direitos
dos usurios, o uso de senhas, controle de acesso rede, segregao de rede, controle de
acesso ao sistema operacional, trabalho remoto, dentre outros, so abordados neste
tpico.
Aquisio, desenvolvimento e manuteno de sistemas de informao.
Tem como objetivo, garantir que segurana seja parte dos sistemas de
informao, o qual inclui:
- Requisitos de segurana: consiste na especificao de requisitos para controle
de segurana para novos sistemas de informao ou pra melhoria dos sistemas j
existentes.
- Processamento correto nas aplicaes: tem como objetivo prevenir a ocorrncia
de erros, perdas, modificao no autorizada ou mal uso de informaes em
aplicaes
- Controles criptogrficos: tem como objetivo proteger a confidencialidade,
autenticidade ou a integridade das informaes atravs de mtodos
criptogrficos.
- Segurana dos arquivos do sistema: tem como objetivo garantir a segurana
dos arquivos de sistema controlando o acesso aos arquivos de sistema e aos
programas de cdigo fonte.
- Segurana em processo de desenvolvimento e suporte: tem como objetivo
manter a segurana de sistemas, aplicativos e da informao. Convm que
ambientes de projeto e de suporte sejam estritamente controlados.
- Gesto de vulnerabilidades tcnicas: reduzir os riscos resultantes da explorao
de vulnerabilidades tcnicas j conhecidas. Um inventrio de ativos preciso
essencial para assegurar que vulnerabilidades potenciais sejam identificadas.
Gesto de incidentes de segurana da informao
Tem como objetivo trazer orientaes para que fragilidades e eventos de
segurana da informao sejam comunicados, permitindo a tomada de ao corretiva em
tempo hbil. Para isso deve existir um procedimento de notificao formal para relatar
esses eventos de segurana e para que haja mecanismos para quantificar esses incidentes
e que essa informao seja usada para identificar incidentes recorrentes.
Gesto da continuidade de negcio
Tem como objetivo no permitir a interrupo das atividades do negcio e
proteger os processos crticos contra falhas ou desastres, e assegurar sua retomada em
tempo hbil. Minimizar um impacto sobre a organizao.
Convm que sejam identificados os eventos que podem causar interrupes aos
processos do negcio, seus impactos e consequncia para segurana da informao.
Conformidade
Tem como objetivo evitar violaes de quaisquer obrigaes legais,
regulamentares ou contratuais. Determina que os gestores garantam que todos os
procedimentos de segurana a informao dentro da sua rea esto sendo executados em
conformidade com as polticas e normas de segurana de informao, atravs de
analises crticas em intervalos regulares. Caso seja encontrada alguma no
conformidade, convm que atitudes como a determinao da causa dessa no
conformidade, uma ao corretiva, bem como aes para que ela no volte a se repetir
sejam tomadas.
3.0. Proposta
Este artigo tem como proposta a elaborao de uma pesquisa exploratria e
descritiva a fim de coletar informaes relativas as prticas de Segurana da Informao
aplicadas nas empresas goianas, independente do setor de atividade ou quantidade de
colaboradores e/ou tamanho do parque computacional.
Com esses dados extrados, iremos obter uma viso geral de como as empresas
goianas tem lidado com a Segurana da inforamao e tentarmos chegar a uma
concluso sobre o nvel de maturidade e entendimento das empresas goianas no que
tanje a Segurana da Informao. (PROCUREI DETALHAR MELHOR A
PESQUISA, E PEGUEI UMA PARTE UTILIZADA NA INTRODUO TAMBM
PARA ISSO. VE O QUE ACHAM E O QUE FAZERMOS COM ESSA PARTE
REPETIDA DA INTRODUO)
3.1. Seleo de amostra / aptido
Foi estabelecido que para participar da pesquisa, as empresas deveriam possuir
equipe interna de TI e estarem localizadas na grande Goinia;
(Compreende como grande Goinia: Goinia, Anpolis e Aparecida de Goinia).
3.2. Estratgias de coleta de dados
A Coleta de Dados desta pesquisa foi realizada atravs da elaborao de um
questionrio com 77 perguntas objetivas no qual a resposta apenas sim ou no, ou
seja, aquela prtica aplicada ou no na empresa. Para isso, foi utilizado como
referncia as sugestes encontradas na norma ABNT NBR ISO/IEC 27002, que esto
descritas no tpico 2.2.
A empresas obtiveram acesso ao questionrio mediante formulrio eletrnico
(Google Form) enviado via e-mail s empresas pesquisadas, sempre destinados ao
responsvel pela rea de TI da empresa.
Foram entrevistadas ao todo 16 empresas do mercado goiano, sendo:
01 Empresa com 1 a 9 Funcionrios
06 Empresas com 10 a 49 Funcionrios
04 Empresas com 50 a 99 Funcionrios
05 Empresas com mais de 99 Funcionrios
Assim que finalizado o perodo para coleta de informaes das empresas, e de posse do
resultado apresentando foi possvel identificar trs caractersticas bsicas no que tange a
Segurana da Informao.
Segurana da Informao em nvel bsico ou primrio, que compreende os
seguintes requisitos.
a. Identificao dos ativos
b. Inventrio dos Ativos
c. Processo Disciplinar
d. Devoluo de Ativos
e. Controle de Cdigos Maliciosos
f. Cpias de Segurana
g. Gerenciamento de Rede Local
h. Descarte Mdias
i. Informaes Publicamente Disponveis
j. Politicas de Controle de Acesso
k. Direitos de Acesso
l. Manuteno de Equipamentos
m. Reutilizao e Alienao Segura dos Equipamentos
n. Gerenciamento de Instalao e Configurao de Software
Segurana o da Informao em nvel Intermedirio
a. Seleo de Pessoal
b. Segregao de Redes
c. Documentao dos Sistemas
d. Limite e tempo de Sesses
e. Gerenciamento de Chaves
f. Notificaes de fragilidades.
g. Registro de Log's
h. Segregao de Funo
i. Tratamento de Informao
j. Contato com Autoridade
k. Manuteno das politicas
l. Permetro de Segurana Fsica
m. Entrega de Servio Terceirizado
n. Papis e Responsabilidades
o. Responsabilidade da Direo
p. Controle de Cdigos Mveis
q. Validao dos dados de entrada
r. Computao Mvel e Acesso Remoto
s. Monitoramento de uso do Sistema
t. Gerenciamento de Mdias Removveis
u. Acordos de Confidencialidade
v. Conscientizao, Educao e Treinamento.
w. Controle de acesso ao cdigo fonte do programa.
x. Existe analise de risco dentro da organizao.
y. Documentao dos Procedimentos Operacionais Padro
z. Aceitao dos Termos de uso dos Ativos da Organizao
aa. reas de Teste, Produo e Desenvolvimento esto separadas?
bb. Restries em mudanas nos pacotes de software
cc. Existe dentro da Organizao Politicas de Segurana da Informao?
dd. As ameaas que comprometem a Segurana da Informao esto
identificadas?
Nvel de Segurana da Informao em nvel avanado.
a. Coleta de Evidncias
b. Gesto de capacidade
c. Segurana do Cabeamento
d. Notificaes de eventos.
e. Mecanismos de controles efetivos e funcional.
f. Identificao das consequncias.
g. Politica de Segurana Documentada
h. Controle, gesto e manuteno de vulnerabilidade tcnica.
i. Aprendendo com incidentes
j. Analise / Avaliao dos riscos na Continuidade de Negcios
k. Desenvolvimento e implementao dos planos de continuidade.
l. Analise Crtica da Politica de Segurana da Informao
m. Coordenao da Segurana da Informao
n. Aceitao de Sistemas
o. Transao On-Line
p. Poltica Mesa Limpa, Tela Limpa.
q. Politica de Acesso a Rede
r. Analise e Especificaes dos Requisitos de Segurana
s. Controle do Processamento Interno
t. Validao de dados na sada.
u. Controles Criptogrficos
v. Vazamento de Informaes
w. Segurana da Informao na Continuidade do negcio.
x. Comrcio Eletrnico
y. Comprometimento da Direo com a Segurana da Informao
z. Identificando Segurana da Informao com Clientes e Terceiros
aa. Rtulos e Tratamento da Informao
bb. Ameaa Externa e Meio Ambiente
cc. Segurana de Equipamentos fora das Dependncias da Organizao
dd. Monitoramento e Analise Crtica
ee. Gerenciamento de Mudanas para Servios Terceirizados
ff. Segurana dos Servios de Rede Terceirizado
gg. Politicas e Procedimentos para Troca de Informaes
Com o cruzamento de dados relacionando tamanho da organizao versus
aplicabilidade chegamos ao seguinte resultado.
Tamanho da
empresa Soma das regras Aplicao de Regras
Tamanho da
empresa
1 a 9 57 12 10 a 49
10 a 49 56 16 10 a 49
10 a 49 49 17 Maior qe 100
10 a 49 !5 19 50 a 99
10 a 49 22 22 10 a 49
10 a 49 16 24 50 a 99
10 a 49 12 26 Maior qe 100
50 a 99 62 !1 50 a 99
50 a 99 !1 !5 10 a 49
50 a 99 24 49 10 a 49
50 a 99 19 5! Maior qe 100
Maior qe 100 5! 5! Maior qe 100
Maior qe 100 69 56 10 a 49
Maior qe 100 5! 57 1 a 9
Maior qe 100 26 62 50 a 99
Maior qe 100 17 69 Maior qe 100
"on#ao $mpresas Media
Maior qe 100 21% 5 4!&60
50 a 99 1!6 4 !4&00
10 a 49 190 6 !1&67
1 a 9 57 1 57&00
No entanto essas informaes relatam somente o que cada empresa tem
aplicado, por essa razo optamos por definir em trs nveis a fim de trazer um resultado
em outra perspectiva, Segurana da Informao em nvel Bsico, Intermedirio e
Avanado.
3.3. Referncias
ABNT. Tecnologia da Informao - Cdigo de Prtica para a Gesto de Segrana da
Informao. NB! IS"#I$C %&&''( )**). ISBN +,-*&-**)%--,. .ispon/0el em1
2Associao Brasileira de Normas T3cnicas4.
56!"S$( 7. $ !"SS( 5. 8!edes de comptadores e a internet1 ma a9ordagem top-do:n;.
$ditora Addison <esle=. >?ed.( So Palo. )**@.
C"AP6T$!<"!B.( .ispon/0el em1
2Cttp1#:::.compter:orld.com.pt#media#)*%%#*)#Glo9al-State-of-Information-Secrit=-
Sr0e=-)*%%.pdf4. Acesso em %) fe0. )*%-.
AIC!"S"DT( .ispon/0el em1 2Cttp1##:::.microsoft.com#pt-9r#do:nload#details.aspEF
idG'*,+4. Acesso em %) fe0. )*%-.
AIC!"S"DT( .ispon/0el em1 2Cttp1##:::.microsoft.com#en-
s#ne:s#do:nload#pressHits#antipirac=#docs#idc*>*,%>.pdf4. Acesso em %) fe0. )*%-.
PBAI-IT-SAD$( .ispon/0el em1 2Cttp1##:::.pla=-it-safe.net#4. Acesso em %) fe0. )*%-.
PBAI-IT-SAD$( .ispon/0el em1 2Cttp1##pla=-it-safe.net#!esmo-para-clientes.pdf4 Acesso
em %) fe0. )*%-.
BSA # IBC( .ispon/0el em1
2Cttp1##portal.9sa.org#insead#assets#stdies#)*%>soft:are0alestd=J9raKilJportgese.pdf
4. Acesso em %) de fe0. )*%-.
SLA"BA( Aarcos. Gesto da segrana da informao1 6ma 0iso eEecti0a. !io de
7aneiro1 Camps( )**>.