Disciplina: Segurana e Auditoria da Informao - 8 perodo Professor: J os Maurcio S. Pinheiro
AULA 1 Conceitos e Normas para Segurana da Informao
1. Sistemas, Processos e Informaes
Ao observarmos o funcionamento de um setor especfico ou uma organizao em sua totalidade, podemos verificar a existncia de um padro na forma como os diversos recursos (equipamentos, procedimentos, informaes entre outros) juntamente com as pessoas se configuram, fato este que se repete inclusive em organizaes de diversos portes e com caractersticas de operao diferentes. Desta forma se pode perceber que o controle da informao essencial para o monitoramento eficiente dos procedimentos. Com base nesta linha de argumentos surgem as seguintes questes:
Seria possvel estabelecermos um modelo genrico para estudo e compreenso de uma organizao e suas respectivas reas? Como compreender, classificar e modelar os fluxos de informaes intra e extra-organizacionais?
1.1. Sistemas
O termo Sistema poderia ser definido como Conjunto de partes, componentes, que interagem entre si, de forma ordenada, a fim de atingir um objetivo comum. De acordo com esse conceito, todos os sistemas tm partes que interagem entre si, possuem ordem ou normas e visam um objetivo comum. Outra forma de se analisar um sistema seria atravs do modelo baseado em entradas, componentes, sadas e feedback. Neste modelo as entradas correspondem a tudo aquilo que o sistema necessita para operar e que so recursos obtidos externamente. Componentes correspondem aos procedimentos internos do sistema, necessrios para a transformao dos elementos de entrada. J as sadas correspondem aos resultados que o sistema devolve ao meio externo. Feedback corresponde a tipos de sadas que servem de referncia para modificar as entradas e/ou processamento, por exemplo, ao se analisar a queda das vendas atravs de um relatrio, os gestores decidem modificar as polticas de preo da empresa (processamento). A Figura 1 se prope a demonstrar graficamente o relacionamento envolvendo: entradas, componentes, sadas e retroalimentao.
OUTROSTRABALHOSEM: www.projetoderedes.com.br
2
1.1.1. Classificao de Sistemas
Os sistemas podem ser classificados de inmeras formas, que no so mutuamente excludentes. A seguir, temos as principais:
Aberto e Fechado: Sistemas abertos so aqueles que possuem um elevado grau de interao com o ambiente. As organizaes assim como os seres vivos necessitam interagir com o meio externo, realizando trocas de recursos e informaes em todos os nveis da organizao. Os sistemas fechados so o oposto, contudo vale a ressalva de que no possvel a existncia de um sistema completamente fechado, o que ocorre so graus diferentes de interao. Assim um sistema de uma organizao militar tende a ser considerado como mais fechado que um sistema de uma instituio bancria. Adaptvel e No-Adaptvel: Os sistemas adaptveis so aqueles que respondem adaptativamente s mudanas do ambiente atravs de um monitoramento contnuo. Os No-Adaptveis no preveem mudanas significativas diante das alteraes do ambiente. No contexto organizacional, as empresas vistas como sistemas no-adaptveis normalmente no sobrevivem s turbulncias do ambiente de negcio. Sistemas Permanentes e Temporrios: Os permanentes so sistemas sem um prazo predeterminado para deixar de existir. De maneira geral, uma organizao no estabelece um horizonte de vida. Os Sistemas temporrios tm um tempo de operao pr-definido, por exemplo, um sistema composto por pessoas e recursos para executar um projeto especfico.
De acordo com as classificaes acima, podemos inferir que um sistema pode ser classificado simultaneamente em diversas categorias: Por exemplo, um consrcio de empresas formado para participar de uma concorrncia especfica pode ser classificado como: Aberto, adaptvel e temporrio.
3 1.2. Sistema de Informao
um tipo especializado de Sistema, que formado por um conjunto de componentes, inter-relacionados, que visam coletar dados e informaes, manipul-los e process-los para finalmente dar sada novos dados e informaes. Em um Sistema de Informao consideramos que os elementos de entrada e sada so sempre dados e ou informaes, e o conjunto dos procedimentos do processamento no envolvem atividades fsicas e sim manipulao, transformao de dados em informao conforme pode ser observado na Figura 2, a seguir.
Na figura anterior observam-se os diversos componentes de um Sistema de Informao (Entrada, Processamento e Sada), os mecanismos de armazenamento e controle do sistema, alm dos diversos recursos (Hardware, Redes, Software entre outros) que oferecem Suporte.
2. Classificao dos Sistemas de Informao Segundo o Nvel Organizacional
Tal classificao apresenta como critrio de categorizao o nvel organizacional aos quais os sistemas de informao buscam atender. Assim so definidas trs categorias essenciais:
Os Sistemas de Processamento de Transao (SPT) que atendem ao nvel operacional da organizao. Os Sistemas de Informaes Gerenciais (SIG) que atendem ao nvel gerencial.
4 Sistemas de Apoio deciso (SAD) ou Sistemas de Suporte Deciso (SSD) que visam atender s necessidades do nvel estratgico da organizao.
A Figura 3, procura relacionar os tipos de sistemas de informao aos respectivos grupos de usurios envolvidos.
2.1. Sistema Processamento de Transao (SPT)
Esta categoria de sistemas, que utilizada atualmente na maioria das organizaes, monitora, coleta, armazena, processa e distribui os dados das diversas transaes realizadas dentro da empresa, servindo como base para os demais sistemas existentes dentro da mesma. Esses sistemas so considerados de extrema importncia para o funcionamento das organizaes, pois do suporte a diversas operaes do tipo cho-de-fbrica e frente-de-loja, como tambm so essenciais para suportar as atividades de interface, envolvendo atividades tais como: gesto de materiais, faturamento, elaborao de folha de pagamento, entre outras. Toda vez que a empresa produz ou presta um servio, ocorre uma transao que ser processada por um ou mais SPTs. O objetivo principal deste tipo de sistema o fornecimento de todas as informaes legais ou organizacionais referentes empresa, para manter eficientemente os seus negcios. As principais vantagens de utilizao deste tipo de sistema so a preciso e confiabilidade obtidas, reduo no custo e tempo de obteno das informaes. Tais sistemas normalmente processam um grande volume de dados para funes rotineiras e, desta forma, so elaborados para suportar o alto grau de repetio do processo, a realizao de operaes simples, a necessidade de grande capacidade de armazenamento e, por fim, o impacto sobre um grande nmero de funcionrios.
5 2.2. Sistema de Informao Gerencial (SIG)
A nfase dos SIGs est sobretudo na sada das informaes. Esses sistemas extraem as informaes de base de dados compartilhada e de processos que esto de acordo com o que o SIG necessita para suas operaes. Cumpre informar, entretanto, que estes dados so originrios dos SPTs. Segundo Oliveira (1998), aps a coleta dos dados e a transformao dos mesmos em informao, ele tem como principal funo prover o gerente com informaes passadas e presentes sobre as operaes internas e sobre o ambiente da empresa, orientando assim a execuo do processo decisrio e, paralelamente, assegurando que as estratgias do negcio sejam implementadas fazendo com que os objetivos traados sejam alcanados de modo satisfatrio. O SIG influencia as diferentes reas funcionais dentro da organizao, no nvel gerencial, reunindo informaes pertinentes a cada uma delas. As sadas de um SIG envolvem relatrios de natureza variada, sendo os principais listados a seguir:
Relatrios Programados Contm dados rotineiros, que so frequentemente solicitados pela gerencia, com informaes sintticas. Relatrios de Pontos Crticos Visam exibir apenas situaes que esto fora dos parmetros normais, a exemplo de itens de estoque que esto abaixo do ponto mnimo para reposio ou produtos cuja data de validade est prxima do vencimento. Relatrios Ad hoc So documentos concebidos sob demanda, implicam na possibilidade do sistema oferecer facilidades para que sejam criadas novas consultas a partir de novas necessidades dos gerentes.
Enquanto o SPT tem a viso da organizao a partir de cada operao com cada cliente (interno ou externo organizao), o SIG busca agregar os dados de determinada operao, fornecendo informaes consolidadas sobre aquela operao num determinado perodo de tempo, para que o gerente tenha um panorama global inerente quele tipo de operao.
2.3. Sistema de Apoio Deciso (SAD)
Estes sistemas tm como essncia o tratamento de situaes onde os problemas so semi-estruturados ou no-estruturados. Embora os SADs sejam concebidos para atender aos nveis estratgicos, onde problemas desta natureza so mais freqentes, estes podem servir para toda a organizao, pois todos os nveis defrontam-se com problemas pouco- estruturados. Os SADs apresentam como suas principais caractersticas o uso de dados de diferentes fontes, preocupao com o estilo do decisrio e possibilidades de simulao. Tal preocupao, ou estilo cognitivo, importante, uma vez que as formas de percepo dos dados e a formulao do conhecimento diferem para cada pessoa.
6 So exemplos de caractersticas destes sistemas:
Manipulao de grande volume de dados A anlise de longas sries histricas de dados essencial para apoiar anlises e decises eficazes; Obter e processar dados de fontes diversas Os SADs necessitam de um grande volume de dados que retirado a partir de sistemas distintos e de fontes externas e internas, a sua eficincia depende desta capacidade de conexo; Flexibilidade de relatrios e apresentaes Para representar de forma condensada grande volume de informaes, os relatrios devem permitir representaes grficas e textuais, assim como manipulaes de detalhamento ou generalizaes dos dados, conforme necessidade do executivo; Anlise de simulaes por metas Consiste em permitir ao usurio a criao de cenrios hipotticos, visando construir projees de novas situaes de negcio. Estas simulaes utilizam dentre outros, modelos matemticos e estatsticos. Suporte a abordagens de otimizao, satisfao e heurstica As abordagens de otimizao correspondem ao emprego de modelos matemticos determinsticos e estruturados onde a resposta facilmente encontrada. A abordagem de satisfao envolve problemas semiestruturados e modelos de soluo probabilsticos onde no existe um valor nico e sim uma faixa de valores que tem a probabilidade de ocorrer. Nas abordagens de heurstica temos problemas no- estruturados, com grande complexidade onde o sistema pode encontrar uma boa soluo, mas no a melhor.
2.4. Tecnologia por si s no garante segurana da informao
Os dois itens mais importantes no momento de manter as informaes da empresa em segurana so: a elaborao de polticas de segurana e o gerenciamento de suporte adequados, seguido do nvel de conscientizao dos funcionrios. A poltica de segurana atribui os direitos e responsabilidades s pessoas que lidam com os recursos computacionais de uma instituio e com as informaes neles armazenados. Ela tambm define as atribuies de cada um em relao segurana dos recursos com os quais trabalham. Uma poltica de segurana tambm deve prever o que pode ser feito na rede da instituio e o que ser considerado inaceitvel. Tudo o que descumprir a poltica de segurana pode ser considerado um incidente de segurana. Os incidentes de segurana devem ser notificados para os responsveis pela mquina que originou a atividade e tambm para os grupos de resposta a incidentes e abusos das redes envolvidas. De modo geral a lista de pessoas/entidades a serem notificadas inclui os responsveis pela rede que originou o incidente, incluindo o grupo de segurana e abusos, se existir um
7 para aquela rede, bem como o grupo de segurana e abusos da rede em que o usurio est conectado, seja um provedor, empresa, universidade, etc.
3. Uso das Normas Normas so entendidas como um conjunto de regras ou orientaes que visam qualidade, na atuao de uma tarefa. As normas em estudo buscam tornar o ambiente computacional das empresas mais seguro com relao a mitigar os incidentes computacionais, alm de orientar sobre aes a serem tomadas, quando estes incidentes ocorrerem. Aplicar normas de segurana em um ambiente computacional mais do que modismo, uma forma de garantir a existncia de coerncia nas aes dos coordenadores e executores das tarefas de administrao dos ambientes computacionais. Adotar padres reconhecidamente eficientes minimiza-se problemas de incidentes relacionados s operaes sustentadas por computadores.
3.1. Entendendo a ABNT NBR ISO/IEC 27002
Segurana para sistemas de informaes foi um dos primeiros itens a definirem padres. A gerncia de segurana da informao visa identificar os riscos e implantar medidas que de forma efetiva tornem estes riscos gerenciveis e minimizados. A NBR ISO 27002 um cdigo de prticas de gesto de segurana da informao. Sua importncia pode ser dimensionada pelo nmero crescente de pessoas e variedades de ameaas a que a informao exposta na rede de computadores.
3.2. Objetivos da Norma O principal objetivo da Norma estabelecer um referencial para as organizaes desenvolverem, implementarem e avaliarem a gesto da segurana de informao. Em sua documentao a norma aborda 11 tpicos principais:
1. Poltica de segurana - onde descreve a importncia e relaciona os principais assuntos que devem ser abordados numa poltica de segurana. 2. Segurana organizacional - aborda a estrutura de uma gerncia para a segurana de informao, assim como aborda o estabelecimento de responsabilidades incluindo terceiros e fornecedores de servios. 3. Classificao e controle de ativos de informao - trabalha a classificao, o registro e o controle dos ativos da organizao. 4. Segurana em pessoas - tem como foco o risco decorrente de atos intencionais ou acidentais feitos por pessoas. Tambm abordada a incluso de responsabilidades relativas segurana na descrio dos
8 cargos, a forma de contratao e o treinamento em assuntos relacionados segurana. 5. Segurana ambiental e fsica - aborda a necessidade de se definir reas de circulao restrita e a necessidade de proteger equipamentos e a infra-estrutura de tecnologia de Informao. 6. Gerenciamento das operaes e comunicaes - aborda as principais reas que devem ser objeto de especial ateno da segurana. Dentre estas reas destacam-se as questes relativas a procedimentos operacionais e respectivas responsabilidades, homologao e implantao de sistemas, gerncia de redes, controle e preveno de vrus, controle de mudanas, execuo e guarda de backup, controle de documentao, segurana de correio eletrnico, entre outras. 7. Controle de acesso - aborda o controle de acesso a sistemas, a definio de competncias, o sistema de monitorao de acesso e uso, a utilizao de senhas, dentre outros assuntos. 8. Desenvolvimento e manuteno de sistemas - so abordados os requisitos de segurana dos sistemas, controles de criptografia, controle de arquivos e segurana do desenvolvimento e suporte de sistemas. 9. Gesto de incidentes de segurana - includa na verso 2005, apresenta dois itens: Notificao de fragilidades e eventos de segurana da informao e gesto de incidentes de segurana da informao e melhorias. 10. Gesto da continuidade do negcio - refora a necessidade de se ter um plano de continuidade e contingncia desenvolvido, implementado, testado e atualizado. 11. Conformidade - aborda a necessidade de observar os requisitos legais, tais como a propriedade intelectual e a proteo das informaes de clientes.
4. Norma ABNT NBR ISO/IEC-27001 A norma ABNT NBR ISO/IEC 27001:2005 relaciona os requisitos mandatrios na definio do escopo do Sistema de Gesto da Segurana da Informao, a avaliao de riscos, a identificao de ativos e a eficcia dos controles implementados. Esta Norma promove a adoo de uma abordagem de processo para estabelecer e implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI - Sistema de Gerenciamento da Segurana da Informao, de uma organizao. Para esta abordagem, a norma orienta observao de um conjunto de aes e tarefas. Estas aes devem ser planejadas visando eficincia de sua aplicao.
9 4.1. Entendendo a NBR 27001 A abordagem de processo para a gesto da segurana da informao apresentada nesta norma encoraja que seus usurios enfatizem a importncia de:
Entendimento dos requisitos de segurana da informao de uma organizao e da necessidade de estabelecer uma poltica e objetivos para a segurana da informao; Implantao e operao de controles para gerenciar os riscos de segurana da informao de uma organizao no contexto dos riscos de negcio globais da organizao; Monitorao e analise crtica do desempenho e eficcia do SGSI; Melhoria contnua baseada em medies objetivas.
Administrar ambientes computacionais implica em atender as normas e diretrizes da organizao. A no conformidade s normas ou o descumprimento ou a no observncia implica em penalizao legal por omisso a estas. A alegao de desconhecimento no tem valor legal.