Embed Size (px)
Citation preview
CURSO SOBRE GESTÃO DA SEGURANÇA DA INFORMAÇÃO, BASEADO NA NORMA
NBR ISO IEC 17799:2001
R ev: 0
Data:28.03.2005
Nota importante: Material para uso exclusivo dos alunos da Academia Latino Americana de Segurança da Informação. Outras organizações ou instituições interessadas em usar este material devem enviar um pedido formal a CQSI, pelo e-mail [email protected]
CONTEÚDO PROGRAMÁTICO
• MÓDULO I:A IMPORTÂNCIA DA SEGURANÇA DA INFORMAÇÃO PARA AS ORGANIZAÇÕES
• MÓDULO II:CONCEITOS E DEFINIÇÕES
• MÓDULO III:POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E SEGURANÇA ORGANIZACIONAL
• MÓDULO IV:CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO E SEGURANÇA EM PESSOAS
• MÓDULO V:SEGURANÇA FÍSICA E DO AMBIENTE E GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES
• MÓDULO VI:CONTROLE DE ACESSO E DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS
• MÓDULO VII:GESTÃO DA CONTINUIDADE DO NEGÓCIO E CONFORMIDADE
• MÓDULO VIII:CASES STUDIES
MÓDULO I: A IMPORTÂNCIA DA SEGURANÇA DA INFORMAÇÃO PARA AS ORGANIZAÇÕES Cada vez mais no mundo dos negócios percebe-se, nitidamente, a importância de se proteger as informações de uma organização em relação aos seus três principais componentes, que são a confidencialidade a integridade e a disponibilidade. A informação é um dos ativos de grande importância para a organização e que, portanto, precisa ser muito bem protegida. Vivemos atualmente em um mundo online onde a informação, cada vez mais, está exposta a um elevado número de ameaças e vulnerabilidades. Ao implantar um modelo de gestão da segurança da informação baseado nas melhores práticas existentes no mercado, como a norma NBR ISO IEC 17799, as organizações protegem as suas informações das ameaças e vulnerabilidades, assegurando com isto a continuidade dos seus negócios e minimizando os riscos a que estão expostas. Esta proteção é feita a partir da implementação dos controles definidos na norma NBR ISO IEC 17799. A depender da situação, outros controles além dos definidos na norma, poderão também ser implementados. Quando nos referimos às informações, estas podem existir sob várias formas e podem estar armazenadas em diversos meios, a saber:
• Armazenadas nos computadores • Transmitida por meio de redes • Impressa ou escrita em papel • Enviada por fax • Guardadas em fitas ou discos • Nos notebooks e palmtops • Armazenadas em dispositivos do tipo flash memory • Nos telefones celulares
PORQUE ADOTAR A NBR ISO IEC 17799 De um modo geral, as normas publicadas pela Organização Internacional de Normalização, a ISO, têm uma grande aceitação no mercado. Um exemplo disto é a norma ISO 9001:2000, que trata da Gestão da Qualidade, considerada como a mais difundida norma da ISO que existe no mundo. No caso da NBR ISO IEC 17799 que é um Código de Boas Práticas para a Segurança da Informação, a sua aplicação é um pouco mais restrita que a ISO 9001:2000, pois ela não é uma norma voltada para fins certificação.
Entretanto, a NBR ISO IEC 17799 pode ser usada pela maioria dos setores da economia, pois todas as organizações, independentemente do seu porte ou do ramo de atuação, precisam proteger as suas informações sensíveis e críticas. Embora existam normas sobre segurança da informação em vários países, essas normas não têm a abrangência da ISO IEC 17799, que no momento está sendo atualizada e melhorada por um grupo de mais de 50 especialistas de todas as partes do mundo.Foram cerca de três anos de trabalho, analisando mais de 1000 comentários ao projeto da ISO IEC 17799. A nova ISO IEC 17799, que estará disponível a partir do segundo semestre de 2005, é uma norma global e que reflete os mais modernos conceitos mundiais sobre Gestão da Segurança da Informação. Os participantes deste curso precisarão fazer uma atualização em relação à nova norma, a partir de setembro de 2005.
MÓDULO II :CONCEITOS E DEFINIÇÕES Para os efeitos deste curso, aplicam-se as seguintes definições:
1 Ativo:qualquer coisa que tenha valor para a organização (ISO/IEC IS 13335-1:2004)
2 Recursos de processamento da informação:qualquer sistema de processamento da informação, serviço ou infra-estrutura, ou as instalações físicas que os abriguem.
3 Segurança da Informação:preservação da confidencialidade, integridade e disponibilidade da informação
4 Confidencialidade:garantia de que a informação é acessível somente por pessoas autorizadas a terem acesso (NBR ISO IEC 17799:2000)
5 Integridade:salvaguarda da exatidão e completeza da informação e dos métodos de processamento (NBR ISO IEC 17799:2000)
6 Disponibilidade:garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário (NBR ISO IEC 17799:2000)
7 Incidente de segurança da informação:pendente(ISO/IEC TR 18044:2004)
9 Avaliação de risco:Processo global da análise de risco e da valoração do risco (ISO Guide 73:2002)
10 Tratamento do risco : processo de seleção e implementação de medidas para modificar um risco (ISO Guide 73:2002)
11 Ameaça :causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou para a organização (ISO/IEC IS 13335-1:2004)
12 Vulnerabildade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ameaça MÓDULO III:POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E SEGURANÇA ORGANIZACIONAL As principais recomendações da NBR ISO IEC 17799 estão detalhadas nas 10 cláusulas, nos 36 objetivos de controles e nos 127 controles da norma. Deve-se deixar claro que nem todos os controles são, necessariamente, aplicados a uma determinada organização e que, a depender da situação, controles adicionais podem ser recomendados. Convém também esclarecer que a implantação dos requisitos da NBR ISO IEC 17799 não garante, sob hipótese alguma, 100% de segurança. O que se procura, isto sim, é reduzir as ameaças e as vulnerabilidades a um nível aceitável pela organização. A seguir são apresentados alguns dos principais controles recomendados pela NBR ISO IEC 17799, acrescidos de sugestões em função da experiência do instrutor na implantação de Sistemas de Gestão da Segurança da Informação. Cada módulo é acompanhado com exercícios de fixação de conceitos. Recomenda-se ao aluno da Academia Latino América de Segurança da Informação a leitura da norma NBR ISO IEC 17799:2001 . A norma pode ser adquirida acessando o site www.abnt.org.br, ou o e-mail ....... (pendente). 3.POLÍTICA DE SEGURANÇA Política de segurança da informação (item 3.1 da NBR ISO IEC 17799) O principal objetivo deste controle é fornecer à alta direção, orientações e diretrizes relativas à segurança da informação.
Uma das formas da alta direção demonstrar o seu comprometimento com a segurança da informação é por meio da publicação de uma política de segurança da informação. Esta política deve ser assinada pela alta direção e analisada criticamente a intervalos regulares para garantir que ela permanece atualizada frente aos riscos advindos de mudanças ocorridas neste período que possam afetar o ambiente organizacional. Todos os usuários dos recursos de processamento da informação da organização, ou seja, funcionários, prestadores de serviços, pessoal temporário, estagiários, consultores, devem ser treinados na política de segurança da informação. A política deve contemplar os seguintes itens: atendimento à legislação e aos requisitos contratuais, esforços da organização em relação à educação e treinamento em segurança da informação, conseqüências decorrentes das violações nas políticas e nos procedimentos de segurança da informação e como a organização assegura a continuidade dos seus negócios. A política deve enfatizar a importância da organização preservar a confidencialidade, a integridade e disponibilidade das suas informações. 4.SEGURANÇA ORGANIZACIONAL Infra-estrutura da segurança da informação (item 4.1 da NBR ISO IEC 17799) O principal objetivo deste controle é garantir que a segurança da informação tenha um bom gerenciamento. A norma recomenda que seja criada uma estrutura para estabelecer, implementar e monitorar a segurança da informação dentro da organização. Isto pode ser feito de várias formas, como por exemplo, por meio de um comitê ou de um fórum de segurança da informação. É desejável que este fórum seja liderado pela alta direção. As organizações que têm tido sucesso na implantação de sistemas de gestão da segurança da informação contam com a ativa participação da alta direção. Como costuma dizer um renomado Guru da área de gestão: “Sem o comprometimento da alta direção, nenhum modelo de gestão será bem sucedido”. De um modo geral a organização cria um comitê de gestão da segurança da informação ou incorpora as atribuições de segurança da informação, em um comitê já existente. Destacam-se como principais atribuições deste comitê ou fórum: a)Propor, analisar criticamente e aprovar a política de segurança da informação; b)Estar atento às ameaças que os ativos de informação estão expostos, face às constantes mudanças que ocorrem no ambiente da organização; c)Monitorar, periodicamente, os incidentes de segurança da informação que causem impacto aos negócios da organização, evitando a sua repetição e,
onde possível, identificar potenciais incidentes de segurança da informação para prevenir que eles ocorram. É recomendável que representantes de áreas como a Jurídica, Recursos Humanos e Segurança Patrimonial, além da área de Tecnologia da Informação participem deste comitê. Em função das constantes mudanças que hoje passa uma organização, em termos de reestruturação organizacional, introdução de novas tecnologias, novas regulamentações definidas pelos organismos competentes, o comitê deve se reunir, no mínimo, a cada três meses. Novas instalações, atualizações, re-configurações ou quaisquer trabalhos feitos na infra-estrutura de segurança da informação, devem ser aprovados nos níveis apropriados, inclusive pelo gestor de segurança da informação, tecnicamente validados e documentados. Para avaliar a eficácia da implementação da política de segurança da informação é recomendável que ela seja analisada criticamente, de forma independente, demonstrando assim que as práticas da organização estão alinhadas com as suas políticas, normas e procedimentos. Segurança no acesso de prestadores de serviços (item 4.2 da NBR ISO IEC 17799) O principal objetivo deste controle é garantir a segurança dos recursos de processamento da informação e dos ativos de informação da organização, que são acessados pelos prestadores de serviços. Cada vez mais as organizações buscam repassar as atividades que não constituem a sua principal finalidade, para outras empresas. Este número vem crescendo a cada dia. Estima-se que, atualmente, entre 30 a 50% da força de trabalho de uma organização seja constituída de pessoas de outras empresas.Muitas dessas pessoas acessam, processam e, às vezes até operam os recursos de processamento da informação da organização.Por esta razão, torna-se indispensável definir uma política para o acesso dos prestadores de serviços. O acesso do prestador de serviço tanto pode ser físico como, por exemplo, acesso aos escritórios, salas de computadores, salas de reuniões, ou lógico, como por exemplo, acesso ao banco de dados ou aos sistemas de informação da organização. Qualquer que seja o tipo de acesso recomenda-se tomar cuidados especiais para evitar implicações à segurança da informação. São exemplos de prestadores de serviços, as equipes de suporte de software e hardware, parceiros comerciais, pessoal de limpeza, guardas de segurança, estagiários, consultores, pessoal contratado de curta duração.
O primeiro passo, portanto, é avaliar os riscos dos prestadores de serviços que acessam os recursos de processamento da informação e os ativos de informação da organização e então identificar quais controles devem ser implementados para minimizar esses riscos. Terceirização (item 4.3 da NBR ISO IEC 17799) O principal objetivo deste controle é garantir a segurança da informação, quando o seu processamento é repassado para uma outra organização. Uma das formas de proteger a organização contra os riscos da terceirização é ter um contrato assinado que definam claramente quais os requisitos de segurança da informação, os controles a serem implementados e as responsabilidades de ambas as partes. Destacam-se como principais recomendações da norma: a)Considerar os requisitos legais a serem atendidos como, por exemplo, o relativo à proteção de dados; b)Deixar claro quais são as responsabilidades pela segurança da informação das partes envolvidas, não esquecendo de incluir os subfornecedores, quando for o caso; c)Informar como a confidencialidade e integridade serão mantidas, e como a disponibilidade dos serviços será assegurada em caso de desastre ou falha significativa; d)Definir quais os níveis de segurança físicos para os ativos terceirizados; e)Estar ciente de que a organização tem o direito de auditar.
EXERCÍCIOS DE FIXAÇÃO DE CONCEITOS
MÓDULO III:POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E
SEGURANÇA ORGANIZACIONAL NOME: ORGANIZAÇÃO: ASSINALE AS QUESTÕES ABAIXO, CONFIRMANDO(C) OU NÃO(NC), SE SÃO RECOMENDAÇÕES DA NORMA NBR ISO IEC 17799 Recomenda-se ao aluno da Academia Latino Americana de Segurança da Informação a leitura da norma NBR ISO IEC 17799:2000 Perguntas adicionais ao texto teórico apresentado são também colocadas para estimular o raciocínio do estudante e enriquecer os seus conhecimentos sobre a norma. 1.A política de segurança da informação só deve ser do conhecimento dos funcionários da sua Organização. ( )C ( )NC
2. A política de segurança da informação de uma organização deve ser analisada a cada 5 anos. ( )C ( )NC 3.A Política de Segurança da Informação pode ser assinada pelo Gestor da Segurança da Informação. ( )C ( )NC 4.Os incidentes de segurança significativos não precisam, necessariamente, ser discutidos na reunião do Comitê de Gestão da Segurança da Informação. ( )C ( )NC 5.A Alta direção participa das reuniões do Comitê de Gestão da Segurança da informação e preside o Comitê. ( )C ( )NC 6.Os assuntos tratados nas reuniões do Comitê de Gestão da Segurança da informação, não precisam ser formalmente registrados. ( )C ( )NC 7.Os responsáveis pelos ativos de informação estão claramente definidos, porém as suas responsabilidades não constam nas descrições de funções ou em documento equivalente. ( )C ( )NC 8.A introdução de um novo software ou hardware, não necessariamente, precisa de aprovação. ( )C ( )NC 9.O Gestor da Segurança da Informação tem que tomar conhecimento da utilização de novos recursos de processamento da informação ( )C ( )NC 10.A análise crítica independente, da implementação da política de segurança da informação, não faz parte das atividades de um Sistema de Gestão da Segurança da Informação ( )C ( )NC 11.O acesso dos prestadores de serviços aos recursos de processamento da informação precisam ser controlados.
( )C ( )NC 12.As equipes de suporte de software e hardware, que acessam os sistemas de informações ou compartilham as bases de dados não precisam ser contempladas na avaliação de Risco ( )C ( )NC 13.Na identificação dos riscos, feita pela Avaliação de Risco, é necessário considerar o pessoal da limpeza, os guardas de segurança e os consultores. ( )C ( )NC 14.Os contratos com os prestadores de serviços que acessam os recursos de processamento da informação, precisam fazer referência aos requisitos de segurança. ( )C ( )NC 15.O tipo de acesso dado aos prestadores de serviços, seja físico ou lógico, precisa estar formalmente definido ( )C ( )NC 16.O acesso dos prestadores de serviços à informação e aos recursos de processamento da informação, pela urgência do trabalho, pode ser permitido, antes da assinatura de um termo de confidencialidade e do cumprimento da política de segurança da organização ( )C ( )NC 17.O contrato com terceiros deve contemplar a indenização a ser paga à organização, nos casos de violação às normas e políticas da empresa ( )C ( )NC 18.O contrato com terceiros não precisa fazer menção aos eventuais sub-contratados ( )C ( )NC
19.O contrato com terceiros deve assegurar o direito de auditar, monitorar e de revogar as atividades do usuário ( )C ( )NC 20.Quando da terceirização dos serviços, devem ser definidos quais os controles físicos e lógicos a serem adotados, e como a disponibilidade dos serviços será mantida em caso de desastre ( )C ( )NC MÓDULO IV:CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO E SEGURANÇA EM PESSOAS 5. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO Contabilização dos ativos (item 5.1 da NBR ISO IEC 17799) O principal objetivo deste controle é assegurar que os ativos de informação da organização tenham proteção adequada. Uma das formas de assegurar esta proteção é realizar um inventário de todos os principais ativos e definir um responsável por cada um desses ativos. A organização deve manter uma lista atualizada dos seus ativos, deixando claro quem é responsável por esta atualização. São exemplos de ativos:ativos de informação (manuais, normas, procedimentos que apóiam as operações, planos de continuidade), ativos de software(aplicativos, utilitários), ativos físicos(PC, notebooks, roteadores, celulares, mídias, no-break) e serviços (serviços de comunicação, refrigeração) A lista de inventários deve definir, como mínimo, o número do ativo, a sua classificação, quem é o responsável pelo ativo e a sua localização.A lista deve contemplar os ativos que são necessários para assegurar a integridade e disponibilidade da informação, como por exemplo, o fornecimento de energia, as redes de incêndio, os cofres de segurança, os planos de recuperação de desastres, entre outros. Classificação da informação (item 5.2 da NBR ISO IEC 17799) O principal objetivo deste controle é garantir uma proteção adequada dos ativos de informação da organização. Uma das formas de proteção é restringir o acesso à informação apenas às pessoas que dela precisam para executar as suas atividades. Isto é feito por meio da classificação da informação, que indica a importância e o nível de proteção requerido.
Convém lembrar que a classificação deve ser feita apenas para as informações críticas e sensíveis da organização. A norma recomenda que seja adotado um sistema de classificação, definindo quais os níveis de proteção e que medidas especiais devem ser empregadas para o tratamento da informação. Este sistema, por exemplo, pode considerar três níveis de classificação: interno, confidencial e altamente confidencial. Uma informação deve ser classificada como interno quando a sua divulgação não autorizada, principalmente fora da organização seria inadequada ou inconveniente. Uma informação deve ser classificada como confidencial quando a sua divulgação não autorizada, mesmo dentro da organização, pode causar danos à organização. São exemplos de informações classificadas como confidencial:propostas comerciais, informações de marketing, avaliação de concorrentes, informações sobre clientes, informações sobre os funcionários Uma informação deve ser classificada como altamente confidencial quando a sua divulgação não autorizada, mesmo dentro da organização, pode causar sérios prejuízos aos negócios e à imagem da organização. São exemplos de informações classificadas como altamente confidencial: detalhes sobre aquisições importantes e fusões, negócios de alto nível, estratégias da organização e de concorrentes, avaliação de fornecedores e parceiros críticos e informação sobre patentes. Tratamento da informação Todas as informações classificadas, por exemplo, como de uso interno, confidencial e altamente confidencial devem ter um rótulo indicando a sua classificação e um tratamento compatível com o seu nível de importância. As informações classificadas como altamente confidencial, devem ser mantidas permanentemente em gavetas e armários trancados, ou mesmo em cofres, quando não estiverem em uso. Se elas estiverem em meio eletrônico devem ser arquivadas de forma cifrada e com controles de acesso lógico aplicáveis. A sua destruição deve ser feita sempre sob a supervisão de um representante da organização usando, preferencialmente, um fragmentador de modo a assegurar a eliminação completa da informação. As informações classificadas como altamente confidencial devem ser entregues ao destinatário pessoalmente, sempre que possível. Caso sejam transmitidas eletronicamente as mesmas devem ser cifradas.
A transmissão por voz deve ser expressamente proibida e, em nenhuma hipótese, deve ser permitida a transmissão por fax. 6 SEGURANÇA EM PESSOAS Segurança na definição e nos recursos de trabalho (item 6.1 da NBR ISO IEC 17799) O principal objetivo deste controle é reduzir os riscos relacionados com o mau uso dos recursos de processamento da informação, o erro humano, roubo e as fraudes. Uma das formas de reduzir esses riscos é definir, nas descrições de funções, no perfil de competência ou em um documento similar, regras e responsabilidades pela segurança da informação. Estas regras devem estar baseadas na política de segurança da informação da organização. Além dos funcionários, especial atenção deve ser dada aos prestadores de serviços, colaboradores temporários e estagiários que acessam os recursos de processamento da informação da organização. No mínimo, essas pessoas devem assinar um termo de confidencialidade. A norma recomenda que a organização realize uma série de verificações antes da contratação de pessoas que venham a ter acesso às informações críticas e sensíveis como, por exemplo, a apresentação de referencias pessoais e profissionais e a checagem dos dados contidos no curriculum vitae. Os registros relativos à educação e qualificação também devem ser confirmados. Acordos de confidencialidade devem ser assinados tanto pelos funcionários da organização como pelos prestadores de serviços, pessoal temporário e estagiários, antes dos mesmos terem acesso aos recursos de processamento da informação. Treinamento dos usuários (item 6.2 da NBR ISO IEC 17799) O principal objetivo deste controle é assegurar que os usuários estejam conscientes das ameaças aos ativos de informação e à informação, e preparados para apoiar e cumprir com as políticas e procedimentos relativos à segurança da informação. Isto se consegue por meio de um processo de treinamento e educação bem estruturado, destinado às pessoas que acessam os recursos de processamento da informação e as informações críticas e sensíveis da organização, sejam eles funcionários, prestadores de serviços, pessoal temporário ou estagiários.
Respondendo aos incidentes de segurança da informação e ao mau funcionamento (item 6.3 da NBR ISO IEC 17799) O principal objetivo deste controle é minimizar os impactos causados pelos incidentes de segurança da informação e pelo mau funcionamento de software, e aprender com esses incidentes. Uma das formas de reduzir os danos causados pelos incidentes é definir e implementar um procedimento de modo que esses incidentes sejam relatados às pessoas apropriadas, tão logo quanto possível. Todos os usuários dos recursos de processamento da informação devem ser orientados a notificar e reportar às funções pertinentes, quaisquer incidentes de segurança da informação sejam eles reais ou suspeitos.Também deve ser relatado o mau funcionamento de um software, principalmente os que têm impacto na segurança da informação. Alguns dos incidentes de segurança da informação devem ser usados nos programas de treinamento e conscientização para que se conheça exemplo real do que Não deve ser feito. Outro objetivo deste tópico é o de evitar a repetição de um mesmo problema dentro da organização ou, de forma preventiva, evitar a sua ocorrência a partir de exemplos conhecidos de outras organizações. Uma das grandes recomendações da norma é o item relativo ao processo disciplinar. Toda violação às políticas e procedimentos de segurança da informação da organização, deve ser tratada por meio de um processo disciplinar formal. Este processo deve contar com a efetiva participação do pessoal da área Jurídica e de Recursos Humanos além, obviamente, das áreas onde o problema ocorreu. MÓDULO IV:CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE
INFORMAÇÃO E SEGURANÇA EM PESSOAS
EXERCÍCIOS DE FIXAÇÃO DE CONCEITOS NOME: ORGANIZAÇÃO: ASSINALE AS QUESTÕES ABAIXO, CONFIRMANDO(C) OU NÃO(NC), SE SÃO RECOMENDAÇÕES DA NORMA NBR ISO IEC 17799 Perguntas adicionais ao texto teórico apresentado são também colocadas para estimular o raciocínio do estudante e enriquecer os seus conhecimentos sobre a norma.
1.No inventário dos ativos de informação é necessário definir apenas o proprietário responsável por cada ativo. ( )C ( )NC 2.Os ativos de informação a serem considerados no levantamento são os ativos físicos e ativos de software. ( )C ( )NC 3.Manuais de treinamento e procedimentos de operação, não são considerados como ativos de informação. ( )C ( )NC 4.A reputação da organização é um dos mais importantes ativos de informação. ( )C ( )NC 5.Todas as informações da organização precisam ser classificadas e rotuladas. ( )C ( )NC 6. O proprietário ou o autor deve participar da classificação da informação. ( )C ( )NC 7.Uma informação classificada como confidencial deve ser mantida como tal por tempo indeterminado. ( )C ( )NC 8.Os ativos de informação a serem considerados são os existentes em meio físico. ( )C ( )NC 9.As responsabilidades pela segurança da informação devem ser definidas na fase de recrutamento, incluídas nos contratos e monitorada durante a vigência de cada contrato de trabalho. ( )C ( )NC
10.O acordo de confidencialidade só precisa ser assinado pelos funcionários da Organização. ( )C ( )NC 11.Uma verificação da idoneidade de crédito deve ser feita pela organização, para as pessoas que trabalham com informações financeiras ou altamente confidenciais. ( )C ( )NC 12.As pessoas novas ou inexperientes precisam ter autorização para acessar sistemas críticos ou sensíveis. ( )C ( )NC 13.Sinais de estresse ou depressão, mudanças de comportamento ou de estilo de vida, problemas financeiros e ausências freqüentes dos usuários (funcionários da Organização ou contratados) que trabalham com informações críticas ou sensíveis, devem ser levadas em consideração pela organização ( )C ( )NC 14.Os termos do contrato devem contemplar somente o período em que o usuário (funcionários da Organização ou contratados) trabalhou na empresa ( )C ( )NC 15.Os consultores que têm acesso às instalações de processamento das informações também devem assinar um termo de confidencialidade ( )C ( )NC 16.Todos os usuários que acessam os recursos de processamento das informações, devem ser treinados nas políticas e nos procedimentos de segurança da informação da Organização. ( )C ( )NC 17.Os incidentes relacionados com a segurança da informação devem ser notificados dentro de um prazo máximo de 7dias ( )C
( )NC 18.Os diversos tipos de incidentes de segurança da informação(violação às políticas e procedimentos da organização, ameaças, fragilidades, mau funcionamento) só devem ser notificados pelos funcionários da Organização. ( )C ( )NC 19.Deve ser estabelecido um processo disciplinar formal para tratar com os usuários que cometam violações na segurança da informação ( )C ( )NC 20.Alguns dos incidentes de segurança da informação devem ser utilizados nos treinamentos de conscientização dos usuários ( )C ( )NC MÓDULO V:SEGURANÇA FÍSICA E DO AMBIENTE E GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES 7SEGURANÇA FÍSICA E DO AMBIENTE Áreas de segurança (item 7.1 da NBR ISO IEC 17799) O principal objetivo deste controle é evitar o acesso não autorizado, danos e interferências às instalações de processamento da informação e às informações da organização. Uma das formas de prevenir acessos não autorizados é por meio do uso de perímetros de segurança física, com barreiras de segurança e controles de acessos bem definidos. Deve ser verificado se o projeto das instalações levou em consideração possibilidades de danos causados por fogo, inundações, ou outras formas de desastres, sejam causados pelo homem ou pela natureza. Alguns cuidados são de fundamental importância. Por exemplo, a organização deve verificar se os equipamentos de contingência e as cópias de segurança (backup) estão sendo guardadas a uma distância suficiente da instalação principal, para evitar que um desastre nesse local afete todo o sistema.
O uso de dispositivos de fotografia, incluindo telefones celulares, não deve ser permitido no perímetro de segurança, a menos que expressamente autorizado. Segurança dos equipamentos (item 7.2 da NBR ISO IEC 17799) O principal objetivo deste controle é evitar a perda ou o comprometimento dos ativos e a interrupção das atividades da organização. Uma das formas de prevenir essa situação é protegendo os equipamentos de modo a reduzir os riscos de acesso não autorizado. É importante lembrar que os equipamentos remotos devem ser contabilizados no inventário e contemplados na avaliação de risco. Devem ser estabelecidas políticas proibindo o uso de alimentação, bebidas e fumo, próximo dos recursos de processamento da informação. Cuidados para proteger os equipamentos contra falhas de energia e outras anomalias na alimentação elétrica devem ser tomados como, por exemplo, ter uma alimentação múltipla, usar o No-break (UPS) e ter disponível um gerador de emergência.Este gerador deve ser testado regularmente, com base nas instruções do fabricante. A saída de qualquer equipamento de processamento da informação para fora da organização deve ser autorizada e uma política sobre esta questão deve ser estabelecida. Por exemplo, os equipamentos não devem ser deixados desprotegidos em locais públicos, os notebooks devem ser transportados de forma disfarçada e sempre devem permanecer junto ao responsável pelo equipamento, mesmo em viagens de longa distância. Devem ser considerados também outros ativos que contenham informações sensíveis e críticas da organização, como agendas eletrônicas, celulares e papéis importantes. Um outro cuidado a ser tomado é com relação a trabalhos feitos em casa. Os controles para minimizar os riscos decorrentes do uso de equipamentos fora das instalações da organização, devem ser definidos com base em uma avaliação de risco. É importante que exista um procedimento orientando sobre o uso de equipamentos fora das instalações da organização, e proibindo atividades como instalações de jogos, acesso à internet para fins de diversão, ou outras atividades que possam comprometer a confidencialidade, integridade e disponibilidade das informações contidas no equipamento.
Controles Gerais (item 7.3 da NBR ISO IEC 17799) O principal objetivo deste controle é o de evitar o roubo ou a exposição da informação e dos recursos de processamento da informação.
Uma das formas de evitar o roubo ou a exposição é implantar uma política de mesa limpa e tela protegida. Alguns cuidados devem ser tomados como, por exemplo, guardar papéis importantes e mídias em armários trancados, proteger os computadores pessoais com senhas ou outros mecanismos quando não estiverem sendo usados e travar as copiadoras fora do horário normal de trabalho. Devem existir mecanismos que assegurem que os envolvidos foram treinados, conhecem e praticam as políticas e procedimentos da organização. 8 GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES Procedimentos e responsabilidades operacionais (item 8.1 da NBR ISO IEC 17799) O principal objetivo deste controle é garantir que os recursos de processamento da informação operem de forma correta e segura Uma das formas de garantir a operação correta é elaborar procedimentos operacionais que especifiquem a execução detalhada de cada atividade. Estes procedimentos devem ser periodicamente atualizados de modo a refletir as novas tecnologias e mudanças do ambiente. Os procedimentos devem, por exemplo, tratar de questões relacionadas com restrições de uso dos recursos do sistema, erros que ocorram na execução de uma tarefa, contato com pessoal de suporte, reinício e recuperação no caso de falhas dos sistemas, geração de cópias de seguranças, entre outros. A norma recomenda que as modificações nos sistemas e nos recursos de processamento da informação sejam controladas como, por exemplo, mudanças de equipamentos e aquisições de novos softwares. Um dos procedimentos a serem estabelecidos é o de gerenciamento de incidentes para assegurar uma resposta rápida e eficaz aos incidentes relacionados com a segurança da informação. Falhas dos sistemas, inoperância dos serviços, não obtenção do serviço, violação da confidencialidade são exemplos de incidentes de segurança da informação que devem ser reportados. Devem existir mecanismos que assegurem que os envolvidos foram treinados, conhecem e praticam as políticas e procedimentos da organização. Housekeeping (item 8.4 da NBR ISO IEC 17799) O principal objetivo deste controle é assegurar a disponibilidade e integridade dos serviços de processamento da informação. Uma das formas de garantir a disponibilidade é elaborar um procedimento para realizar cópias de segurança (backup) dos principais dados e softwares
que são necessários ao negócio. As cópias de segurança devem ser testadas regularmente e guardadas longe das instalações principais, para evitar que um desastre na instalação principal (incêndio, explosão, ação terrorista) afete também as cópias de segurança. Cuidados devem ser tomados para proteger as mídias usadas nas cópias de segurança, tanto do ponto de vista de proteção física, para evitar o acesso indevido, quanto do ponto de vista de armazenamento, para prevenir quanto à deterioração. Devem existir mecanismos que assegurem que os envolvidos foram treinados, conhecem e praticam as políticas e procedimentos da organização. Segurança e tratamento de mídias (item 8.6 da NBR ISO IEC 17799) O principal objetivo deste controle é proteger as mídias magnéticas e documentos contra roubo, acesso indevido e danos. Uma das formas de garantir esta proteção é elaborar um procedimento para o gerenciamento das mídias, incluindo o seu descarte. Alguns cuidados devem ser tomados com as mídias removíveis (fitas, discos, cartuchos, flash memory) como, por exemplo, apagar o conteúdo da mídia que não será mais utilizada pela organização, solicitar autorização para a remoção da mídia da organização, armazenar a mídia de acordo com as especificações do fabricante e em um ambiente seguro. O descarte das mídias deve ser feito de maneira a evitar que as informações sensíveis e críticas sejam acessadas por pessoas não autorizadas. Devem existir mecanismos que assegurem que os envolvidos foram treinados, conhecem e praticam as políticas e procedimentos da organização. Troca de informações e software (item 8.7 da NBR ISO IEC 17799) O principal objetivo deste controle é evitar a perda ou o mau uso das informações trocadas entre as organizações. Uma das formas de prevenir contra a perda ou mau uso das informações é elaborar e implementar um procedimento que contemple o transporte seguro das mídias, que defina regras para o comércio eletrônico, onde as transações são feitas online por meio de redes públicas, que estabeleça políticas para o uso do correio eletrônico, e que defina cuidados para proteger a integridade da informação divulgada eletronicamente por meio de sistemas disponíveis ao público. Devem existir mecanismos que assegurem que os envolvidos foram treinados, conhecem e praticam as políticas e procedimentos da organização. Cuidados também devem ser tomados para outras formas de troca de informação como, por exemplo, as informações verbais, por fax e vídeo, especialmente no caso de telefones celulares, quando usado em um ambiente público.
MÓDULO V: SEGURANÇA FÍSICA E DO AMBIENTE E GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES
EXERCÍCIOS DE FIXAÇÃO DE CONCEITOS
NOME: ORGANIZAÇÃO: ASSINALE AS QUESTÕES ABAIXO, CONFIRMANDO(C) OU NÃO(NC), SE SÃO RECOMENDAÇÕES DA NORMA NBR ISO IEC 17799 Perguntas adicionais ao texto teórico apresentado são também colocadas para estimular o raciocínio do estudante e enriquecer os seus conhecimentos sobre a norma. 1.A norma recomenda que seja praticada a política de mesa limpa para reduzir o risco de acesso não autorizado ou danos a papéis, mídias, recursos e instalações de processamento das informações. ( )C ( )NC 2.Um perímetro de segurança física é, por exemplo, uma parede , uma porta com controle de entrada baseado em um cartão, ou até mesmo um balcão de controle de acesso registrado manualmente. ( )C ( )NC 3.As barreiras e a sua localização são implantadas independentemente do resultado da avaliação de risco (RA). ( )C ( )NC 4.Barreiras físicas devem ser implantadas, onde necessário, para evitar acessos não autorizados ou contaminação ambiental, tais como as provocadas pelo fogo ou por inundações. ( )C ( )NC 5.Todos os visitantes que acessam as áreas de segurança devem ser checados, mas não é necessário o registro da data e hora de sua entrada e saída. ( )C ( )NC
6. As portas de incêndio situadas no perímetro de segurança devem possuir sensores de alarme e molas para fechamento automático. ( )C ( )NC 7.O acesso às informações sensíveis, instalações e recursos de processamento da informação deve ser controlado e restrito apenas ao pessoal autorizado. ( )C ( )NC 8.Uma trilha de auditoria contendo todos os acessos físicos que ocorreram deve ser mantida pela organização. ( )C ( )NC 9.Os direitos de acesso às áreas de segurança não precisam ser atualizados e valem por tempo indeterminado. ( )C ( )NC 10.As atividades de processamento de informações devem estar indicadas de forma explícita, tanto externa como internamente ao prédio. ( )C ( )NC 11.As fotocopiadoras e máquinas de fax podem ser instaladas em uma área de livre circulação. ( )C ( )NC 12.Os sistemas de detecção de intrusos devem ser instalados por profissionais especializados e testados a intervalos definidos, em todas as portas externas e janelas acessíveis. ( )C ( )NC 13.Os equipamentos de contingência e os meios magnéticos de reserva (backup) podem ser guardados próximo das instalações principais. ( )C ( )NC
14.O trabalho nas áreas de segurança deve ser feito sempre sob supervisão, não apenas por questões de segurança, como principalmente para evitar possibilidades de atividades maliciosas. ( )C ( )NC 15.As áreas de segurança não ocupadas, dispensam da necessidade de verificação periódica. ( )C ( )NC 16.O acesso do pessoal de suporte às áreas de segurança ou às instalações de processamento das informações sensíveis precisa somente de autorização . ( )C ( )NC 17.O uso de bebidas, alimento e fumo nas proximidades das instalações de processamento das informações não é proibido. ( )C ( )NC 18.Os geradores de reserva devem ser testados regularmente, seguindo as instruções do fabricante, e o fornecimento de óleo deve assegurar a utilização do gerador por um período de tempo prolongado. ( )C ( )NC 19.Todos os prédios devem ter proteção contra relâmpagos e filtros de proteção contra raios devem ser instalados nas linhas de comunicação externas. ( )C ( )NC 20.O plano de manutenção dos equipamentos é elaborado de acordo com a experiência do gerente de manutenção, que não considera, necessariamente, as recomendações do fabricante. ( )C ( )NC 21.Os procedimentos de operação devem especificar a execução detalhada de tarefas incluindo requisitos de sincronismo, interdependências com outros sistemas, a hora mais cedo de início e a hora mais tarde do término de tarefas. ( )C ( )NC
22.A organização deve também elaborar procedimentos documentados para as atividades de inicialização e encerramento das atividades dos computadores, geração de cópias de segurança (back-up) e manutenção de equipamentos. ( )C ( )NC 23.As modificações nos sistemas e recursos de processamento da informação não precisam ser controladas. ( )C ( )NC 24.A organização deve estabelecer um procedimento para o gerenciamento de incidente que cubra os principais tipos de incidentes de segurança, tais como: falhas dos sistemas de informação e inoperância de serviços, não obtenção de serviço, erros resultantes de dados incompletos ou inconsistentes e violação de confidencialidade. ( )C ( )NC 25.Os procedimentos para o gerenciamento de incidentes devem contemplar também, uma análise e identificação das causas do incidente, o planejamento e implementação de medidas para evitar a reocorrência do incidente, a coleta de trilhas de auditoria e evidências similares, a comunicação com as pessoas afetadas ou envolvidas na recuperação de incidentes e o relato à autoridade apropriada. ( )C ( )NC 26.As trilhas de auditoria e evidências similares devem ser coletadas e mantidas de forma segura, para permitir uma análise de problemas internos, como evidência para o caso de uma potencial violação de contrato ou de normas reguladoras, ou em casos de delitos civis ou criminais, tais como os relacionados ao uso doloso de computadores ou à legislação de proteção dos dados. ( )C ( )NC 27. A segregação de atividades que requeiram cumplicidade é importante para se evitar a concretização de uma fraude, como por exemplo, a pessoa que emite um pedido de compra, não deve ser a mesma responsável pela confirmação do recebimento da compra. ( )C ( )NC
28.Cópias de segurança dos dados e de software essenciais ao negócio devem ser feitas regularmente e os backups dos sistemas individuais devem ser testados, para garantir os requisitos do plano de continuidade dos negócios. ( )C ( )NC 29.As cópias de segurança e os procedimentos de recuperação podem ser mantidos em qualquer local, desde que devidamente protegidos. ( )C ( )NC 30.A organização deve manter registros das atividades de pessoal de operação, incluindo o horário de início e término dos processamentos, os erros e as ações corretivas adotadas, a confirmação do correto tratamento dos arquivos de dados e dos resultados gerados nos processamentos, bem como a identificação de quem está realizando as operações. ( )C ( )NC 31.O prestador de serviços de coleta e descarte de papel, de equipamentos e de mídias magnéticas, não necessita adotar cuidados especiais, uma vez que a informação será destruída. ( )C ( )NC 32.A organização deve estabelecer um procedimento para o tratamento da informação contida em documentos, sistemas de computadores, computação móvel, redes de computadores, correio eletrônico, correio de voz, uso de fax, para proteger tais informações, contra a divulgação ou uso indevido. ( )C ( )NC 33.O armazenamento das mídias deve ser feito em um ambiente compatível com as especificações do fabricante. ( )C ( )NC 34.A organização deve definir uma política clara para o uso do correio eletrônico, contemplando orientações sobre quando não se deve utilizar o correio eletrônico, proteção de anexos e uso de técnicas de criptografia, quando necessário, para proteger a confidencialidade e integridade das mensagens eletrônicas. ( )C ( )NC
MÓDULO VI:CONTROLE DE ACESSO E DESENVOLVIMENTO
DE MANUTENÇÃO DE SISTEMAS
9 CONTROLE DE ACESSO Requisitos do negócio para controle de acesso (item 9.1 da NBR ISO IEC 17799) O principal objetivo deste controle é monitorar o acesso à informação e aos processos do negócio. Uma das formas de monitorar o acesso é elaborar e implementar uma política de controle de acesso aos sistemas de informação e à informação. Devem existir mecanismos que assegurem que os envolvidos foram treinados, conhecem e praticam as políticas e procedimentos da organização. É neste item da norma que se aplicam dois grandes conceitos. O primeiro é o conceito need to know, ou seja, as pessoas somente precisam acessar os sistemas necessários à execução das suas atividades. A seguinte pergunta deve ser regularmente feita: Porque esta pessoa precisa acessar essas informações da organização ? O segundo conceito parte da premissa de que “Tudo é proibido, a menos que expressamente permitido, ao invés de “Tudo é permitido, a menos que expressamente proibido” Gerenciamento de acessos do usuário (item 9.2 da NBR ISO IEC 17799) O principal objetivo deste controle é prevenir o acesso não autorizado aos sistemas de informação. Uma das formas de evitar o acesso não autorizado é elaborar e implementar procedimentos formais para controlar o acesso dos usuários, autorizando e quando necessário, cancelando o acesso aos sistemas de informação e aos serviços. Os acessos devem ser formalmente controlados e registrados. Convém lembrar que as pessoas que são remanejadas para outra área devem ser imediatamente removidas das listas de acesso. Cuidados especiais devem ser tomados em relação aos administradores e engenheiros de sistemas, bem como com as funções privilegiadas que acessam os recursos de processamento da informação. Com a atual dinâmica no mundo dos negócios, as organizações fazem reestruturação organizacional, realizam fusões e aquisições, como também o chamado downsizing, e com isto muitas pessoas saem e entram na organização.
Portanto é muito importante que, periodicamente, seja feita uma análise crítica dos direitos de acesso do usuário, inclusive com os prestadores de serviços, pessoal temporário e estagiários que acessam os recursos de processamento da informação. Devem existir mecanismos que assegurem que os envolvidos foram treinados, conhecem e praticam as políticas e procedimentos da organização. Responsabilidades do usuário (item 9.3 da NBR ISO IEC 17799) O principal objetivo deste controle é prevenir o acesso não autorizado aos sistemas de informação. A grande responsabilidade que recai sobre os usuários, está relacionada com o uso de senhas. Como boas práticas de segurança, cabe ao usuário: manter a confidencialidade da sua senha, modificar a senha quando houver uma indicação de possível comprometimento, selecionar senhas que não sejam baseadas em nomes de pessoas, telefones ou datas de nascimento, não utilizar caracteres consecutivos como 1,2,3,4 ou a,b,c,d, e, principalmente, não compartilhar a sua senha com outras pessoas. Por outro lado, cabe também à organização, realizar uma ampla campanha de conscientização, por meio de cartazes, palestras, teatros, brindes, quanto ao uso correto das senhas. Computação móvel e trabalho remoto (item 9.8 da NBR ISO IEC 17799) O principal objetivo deste controle é garantir a segurança da informação quando da utilização de computação móvel e de trabalho remoto.
Uma das formas de garantir a segurança da informação é estabelecer e implementar um procedimento para o uso de recursos de computação móvel (notebooks, palmtops, telefones celulares) e de trabalho remoto. Este procedimento deve contemplar cuidados com a proteção física dos equipamentos, controles de acesso, cópias de segurança, proteção contra vírus e instalação de software, dando ênfase para o uso de tais equipamentos em locais públicos, os quais podem estar sujeitos a roubo. Equipamentos como notebook, por exemplo, não devem ser deixados dentro de carros, em salas de reunião ou em quartos de hotéis. Devem ser implementados mecanismos de controle de acesso para os equipamentos de computação móvel que acessam remotamente as informações da organização por meio de redes públicas. Devem existir mecanismos que assegurem que os envolvidos foram treinados, conhecem e praticam as políticas e procedimentos da organização.
10 DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS Requisitos de segurança de sistemas (item 10.1 da NBR ISO IEC 17799) O principal objetivo deste controle é integrar a segurança dentro dos sistemas de informação Uma das formas empregadas é especificar requisitos de segurança nos novos sistemas ou na melhoria dos sistemas existentes. Deve ser lembrado que os requisitos e controles de segurança incorporados na etapa inicial de um projeto são muito mais fáceis e, principalmente,mais econômicos do que se implantados na fase final do projeto. Segurança nos sistemas de aplicação (item 10.2 da NBR ISO IEC 17799) O principal objetivo deste controle é evitar que sejam feitas alterações dos dados dos usuários nos sistemas de aplicações, perdas ou mau uso desses dados. Uma das formas empregadas é validar os dados de entrada para garantir que eles não foram modificados, assegurando assim a integridade da informação. Esta mesma sistemática deve ser aplicada tanto para o processamento interno das informações, como para validar os dados de saída. A validação dos dados visa assegurar que os mesmos estão corretos e não foram modificados, seja por meio de uma ação proposital ou por erro de processamento. Controles de criptografia (item 10.3 da NBR ISO IEC 17799) O principal objetivo deste controle é proteger, por meio de técnicas e sistemas criptográficos, a confidencialidade, a autenticidade e a integridade da informação. Enquanto a criptografia protege a confidencialidade das informações críticas e sensíveis, a assinatura digital visa proteger a autenticidade e integridade dos documentos emitidos em meio eletrônico. Uma das técnicas empregadas na assinatura digital está baseada em um único par de chaves, onde a chave privada é usada para gerar a assinatura e a chave pública para verificar a assinatura. É de fundamental importância garantir a confidencialidade da chave privada pois caso ela seja acessada por um terceiro, essa pessoa poderá assinar documentos. Segurança nos processos de desenvolvimento e suporte (item 10.5 da NBR ISO IEC 17799) O principal objetivo deste controle é manter a segurança da informação do sistema de aplicação e do software
Uma das formas empregadas é adotar um controle rígido quando da implementação de mudanças de modo a minimizar a corrupção dos sistemas de informação. As solicitações dos usuários devem ser analisadas criteriosamente, antes de se realizar uma modificação no software. Questões relativas a acordos sobre licenças, direitos de propriedade intelectual e qualidade do código devem ser consideradas, quando do desenvolvimento de um software por terceiros. É recomendável que este software seja testado, antes de ser instalado.
MÓDULO VI:CONTROLE DE ACESSO E DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS
EXERCÍCIOS DE FIXAÇÃO DE CONCEITOS
NOME: ORGANIZAÇÃO: ASSINALE AS QUESTÕES ABAIXO, CONFIRMANDO(C) OU NÃO(NC), SE SÃO RECOMENDAÇÕES DA NORMA NBR ISO IEC 17799 Perguntas adicionais ao texto teórico apresentado são também colocadas no exercício de fixação de conceitos, para estimular o raciocínio do estudante e enriquecer os seus conhecimentos sobre a norma. 1.A regra básica para o controle de acesso parte da premissa de que “Tudo deve ser proibido, a menos que expressamente permitido”, ao invés de “Tudo é permitido, a menos que expressamente proibido”. ( )C ( )NC 2.Os usuários que tenham mudado de função ou saído da organização, devem ter seus direitos de acesso revogados em até 60 dias. ( )C ( )NC 3.Nos contratos dos usuários deve ser incluída uma cláusula estabelecendo sanções, nos casos de tentativa de acesso não autorizado, seja pelo funcionário da organização, seja por um prestador de serviço.
( )C ( )NC 4.A concessão e o uso de privilégios devem ser restritos e controlados, pois a experiência revela que o uso inadequado de privilégios em sistemas é freqüentemente apontado como o maior fator de vulnerabilidade. ( )C ( )NC 5.O direito de acesso dos usuários deve ser analisado criticamente a cada dois anos e as autorizações para direitos de acesso privilegiados, a cada 12 meses. ( )C ( )NC 6. Os relógios dos computadores devem ser sincronizados para garantir a exatidão dos registros da auditoria, os quais podem ser requeridos por investigações ou como evidências em casos legais ou disciplinares. ( )C ( )NC 7.A organização deve adotar uma política formal para os recursos de computação móvel, tais como, notebooks, palmtops, laptops e telefones celulares. Esta política deve incluir requisitos para a proteção física, controles de acesso, técnicas criptográficas, cópias de segurança e proteção contra vírus. ( )C ( )NC 8.Os recursos de computação móvel devem ser protegidos fisicamente contra roubo, quando deixados em carros, hotéis e locais de reunião. Equipamentos com informações sensíveis e críticas, nunca devem ser deixados sem observação. ( )C ( )NC 9.Os computadores portáteis devem ser carregados como bagagem de mão e disfarçados sempre que possível nas viagens. ( )C ( )NC 10.As atividades de trabalho remoto devem ser realizadas com base em políticas e procedimentos, e autorizadas somente se existirem controles e
acordos de segurança apropriados e em conformidade com a política de segurança da organização. ( )C ( )NC 11.Os controles introduzidos no desenvolvimento do projeto são significativamente mais baratos de implementar e manter do que aqueles incluídos durante ou após a sua implementação. ( )C ( )NC 12.Checagens de validação devem ser implementadas para detectar eventuais corrupções nos dados que foram introduzidos corretamente, como conseqüência de erros de processamento ou através de ações intencionais. ( )C ( )NC 13.O objetivo do controle de criptografia é de assegurar a disponibilidade da informação. ( ) C ( )NC 14.Uma pessoa que tenha assinatura digital possui um par de chaves, uma chave privada (que pode ser revelada a qualquer pessoa) e uma chave pública (que tem que ser mantida em segredo). ( )C ( )NC 15. O acesso físico ou lógico concedido ao fornecedor de software, somente deve ser permitido quando for para realizar atividades de suporte, com a aprovação da gerência e com monitoração. ( )NC ( )NC 16.A organização deve adotar um controle rígido sobre a implementação das mudanças, para minimizar a corrupção dos sistemas de informação . ( )C ( )NC 17.Os pacotes de software podem ser modificados, todas as vezes que forem solicitados pelos usuários . ( )C ( )NC
18.Quando o desenvolvimento de um software for terceirizado, deve ser levado em consideração, os acordos sobre licenças, direitos de propriedade intelectual, certificação da qualidade e da exatidão do trabalho, acordos na eventualidade de haver falhas do prestador de serviço e requisitos contratuais da qualidade do código. ( )C ( )NC 19.Um software desenvolvido por terceiro deve ser testado antes da sua instalação, para detecção de cavalos de Tróia. ( )C ( )NC
MÓDULO VII:GESTÃO DA CONTINUIDADE DO NEGÓCIO E CONFORMIDADE
11 GESTÃO DA CONTINUIDADE DO NEGÓCIO Aspectos da gestão da continuidade do negócio (item 11.1 da NBR ISO IEC 17799) O principal objetivo deste controle é evitar a interrupção das atividades que impactam no negócio e proteger os processos críticos contra possíveis falhas ou, até mesmo, um grande desastre. Uma das formas de evitar a interrupção é elaborar um plano de continuidade do negócio. Este plano deve estar baseado nos resultados da avaliação de risco e nos impactos que a organização possa ter com a interrupção das suas atividades. Também devem ser consideradas as conseqüências de um eventual desastre, falhas de equipamentos e ações propositais. O plano de continuidade dos negócios visa garantir a disponibilidade dos serviços e informações e deve ser analisado periodicamente para garantir que ele se mantém atualizado e alinhado aos negócios da organização. O plano deve ser desenvolvido de modo a restaurar as atividades em um período de tempo acordado com os clientes, parceiros e organismos reguladores. Os procedimentos definidos no plano devem estar documentados e implementados. Os planos devem ser testados e atualizados conforme programação definida. 12 CONFORMIDADE
12.1 Conformidade com requisitos legais (item 11.1 da NBR ISO IEC 17799) O principal objetivo deste controle é evitar a violação de qualquer legislação, regulamentações ou compromissos contratuais, além de quaisquer requisitos de segurança. Uma das formas de evitar a violação é elaborar e implementar um procedimento que garanta que a organização cumpre e respeita as leis de propriedade intelectual e o uso de produtos de software proprietários. O procedimento deve definir como é feito o controle sobre o uso dos software licenciados pela organização. Além disto, a organização deve realizar campanhas de conscientização junto aos usuários, lembrando que o uso não autorizado ou a cópia de material protegido ou de software pode levar a uma ação legal. Um outro ponto a ser destacado refere-se à retenção e guarda dos registros importantes da organização. Recomenda-se elaborar um procedimento que defina cuidados para a proteção dos registros contra a perda, destruição e falsificação. O procedimento deve também fazer referência à forma de armazenagem, ao tempo de indexação e ao descarte do registro. Quanto à proteção de dados e privacidade da informação pessoal, recomenda-se a aplicação de controles apropriados para proteger as informações pessoais de acordo com a legislação pertinente.
MÓDULO VII:GESTÃO DA CONTINUIDADE DO NEGÓCIO E CONFORMIDADE
EXERCÍCIOS DE FIXAÇÃO DE CONCEITOS
NOME: ORGANIZAÇÃO: ASSINALE AS QUESTÕES ABAIXO, CONFIRMANDO(C) OU NÃO(NC), SE SÃO RECOMENDAÇÕES DA NORMA NBR ISO IEC 17799 Perguntas adicionais ao texto teórico apresentado são também colocadas para estimular o raciocínio do estudante e enriquecer os seus conhecimentos sobre a norma.
1.O grande objetivo da gestão da continuidade do negócio é o de não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos e falhas, ou até mesmo, desastres significativos ( )C ( )NC 2.As conseqüências de desastres, falhas de segurança e perda de serviços devem ser analisadas e os planos de contingência desenvolvidos e implementados para assegurar a recuperação dos processos em um prazo máximo de 4 semanas. ( )C ( )NC 3.Os planos devem ser mantidos e testados tornando-se assim, parte integrante dos demais processos gerenciais da organização ( )C ( )NC 4.A identificação dos eventos que podem causar interrupções nos processos do negócio, tais como, falha de equipamentos, inundações, incêndios, sabotagens e espionagens, representa o ponto de partida para a continuidade do negócio ( )C ( )NC 5.O plano de continuidade do negócio deve ser validado pela direção ou pelo Comitê de Segurança da informação. ( )C ( )NC 6.No processo de planejamento deve ser contemplada, a recuperação de serviços específicos para os clientes, dentro do período de tempo definido pela organização. ( )C ( )NC 7.Procedimentos de recuperação devem ser estabelecidos, descrevendo as ações necessárias para a transferência das atividades essenciais do negócio ou dos serviços de infra-estrutura, para localidades alternativas temporárias e para reativação dos processos do negócio no prazo necessário. ( )C ( )NC 8.Para evitar falhas, devido a pressupostos incorretos, omissões ou mudanças de equipamentos e de pessoal, os planos de continuidade do
negócio devem ser testados regularmente, de modo a garantir a sua permanente atualização e efetividade. ( )C ( )NC 9.São exemplos de situações que podem demandar atualizações nos planos de continuidade dos negócios:a aquisição de novo equipamento, a atualização de sistemas operacionais, processos, alterações de pessoal, de endereços, localização, legislação e prestadores de serviços-chave. ( )C ( )NC 10.Procedimentos apropriados devem ser implementados para garantir a conformidade com restrições legais no uso de material, de acordo com as leis de propriedade intelectual, como as leis de direitos autorais, patentes ou marcas registradas. ( ) C ( )NC 11. Cópia de material que tenha direitos autorais não se caracteriza como uma violação do direto autoral, nem leva a uma possível ação legal, envolvendo processos criminais. ( )C ( )NC 12.Os produtos de software proprietários adquiridos pela organização podem ser empregados em quaisquer máquinas, sem restrições de uso . ( )C ( )NC 13. A organização deve manter atenção sobre a política de aquisição e de direitos autorais de software e notificar a intenção de tomar ações disciplinares com os usuários que violarem essas políticas. ( )C ( )NC 14.Os discos-mestres e manuais, entre outros, devem ser mantidos pela organização, como prova da propriedade de licenças. ( )C ( )NC
15.A organização deve conduzir verificações, para assegurar que somente produtos de software autorizados e licenciados sejam instalados. ( )C ( )NC
MÓDULO VIII:CASES STUDIES Os Cases Studies têm como objetivos : 1. Avaliar o entendimento do participante do curso quanto aos 3 componentes principais da informação, ou seja, a confidencialidade, a integridade e a disponibilidade. 2.Identificar qual o item da norma (número e título do item) que poderia ser implementado, para eliminar ou reduzir a vulnerabilidade. Por exemplo, Item da norma (número e título): 9.8.1 Computação móvel O estudo de Caso requer o uso do anexo I e do entendimento dos conceitos abaixo descritos: a)Confidencialidade:garantia de que a informação é acessível somente por pessoas autorizadas a terem acesso b)Integridade:salvaguarda da exatidão e completeza da informação e dos métodos de processamento c)Disponibilidade:garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes, sempre que necessário CASE 1:ASSALTO AO ESCRITÓRIO DE UM SENADOR DA REPÚBLICA Em 2003 um Senador da República teve o seu escritório invadido, tendo os bandidos levado o computador, vários papéis importantes que estavam sobre a mesa, além de documentos recolhidos da lixeira. PARTE A :Identifique qual o componente da informação (apenas um) mais afetado : ( )Confidencialidade ( )Integridade ( )Disponibilidade PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser implementado para minimizar ou eliminar a vulnerabilidade ? Apresente um ou mais itens da norma Item da norma: Item da norma: CASE 2:ROUBO DE UM NOTE BOOK Armando José da Silva, funcionário do Banco BARTICOURT teve o seu notebook roubado, ao deixar aberta a sala de reunião, quando saiu para almoçar. Felizmente ele havia feito o backup de todos os dados, no dia anterior.
PARTE A :Identifique qual o componente da informação (apenas um) mais afetado : ( )Confidencialidade ( )Integridade ( )Disponibilidade PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser implementado para minimizar ou eliminar a vulnerabilidade ? Apresente um ou mais itens da norma Item da norma: Item da norma: CASE 3:ATENTADO AO WORLD TRADE CENTER EM NOVA YORK Um banco tinha dois escritórios funcionando no World Trade Center.O Banco não conseguiu restaurar os seus sistemas operacionais dentro dos prazos acordados com os clientes. PARTE A :Identifique qual o componente da informação (apenas um) mais afetado : ( )Confidencialidade ( )Integridade ( )Disponibilidade PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser implementado para minimizar ou eliminar a vulnerabilidade ? Apresente um ou mais itens da norma Item da norma: Item da norma: CASE 4:ARMAZENAMENTO DE FITAS DE BACK UP Pesquisa realizada na Inglaterra revela que 50% das fitas de backup, quando são restauradas, nunca funcionam. PARTE A :Identifique qual o componente da informação (apenas um) mais afetado : ( )Confidencialidade ( )Integridade ( )Disponibilidade PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser implementado para minimizar ou eliminar a vulnerabilidade ? Apresente um ou mais itens da norma Item da norma:
CASE 5: FUMAÇA ENTRE GIGANTES Em julho de 2004,uma história de espionagem empresarial envolvendo dois gigantes agitou os bastidores da indústria do fumo. A Polícia Civil de São Paulo investigou o furto de documentos confidenciais de uma industria de cigarro, com toda a estratégia de lançamento do seu novo produto, recém chegado ao mercado. O furto ocorreu no dia 03 de julho de 2004, quando a Empresa realizava um evento fechado em um Hotel, para tratar do lançamento do produto. PARTE A :Identifique qual o componente da informação (apenas um) mais afetado : ( )Confidencialidade ( )Integridade ( )Disponibilidade PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser implementado para minimizar ou eliminar a vulnerabilidade ? Apresente um ou mais itens da norma Item da norma: Item da norma: CASE 6: USO NÃO AUTORIZADO DE DISPOSITIVOS TIPO FLASH
MEMORY
Os principais arquivos e processos dos clientes de um escritório em São Paulo foram copiados usando-se o Flash Memory, no momento em que o usuário do computador se afastava do mesmo para ir a uma reunião, deixando o seu computador ligado e sem tela de proteção. PARTE A :Identifique qual o componente da informação (apenas um) mais afetado : ( )Confidencialidade ( )Integridade ( )Disponibilidade PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser implementado para minimizar ou eliminar a vulnerabilidade ? Apresente um ou mais itens da norma Item da norma: Item da norma: CASE 7: USO DE TELEFONES CELULARES E CONVERSAS EM LOCAIS PUBLICOS Em uma viagem de avião entre São Paulo e Rio de Janeiro dois funcionários de um Banco conversavam abertamente sobre a situação das contas de três
grandes empresas que eram clientes do banco. Varias pessoas que estavam no avião ouviram a conversa. PARTE A :Identifique qual o componente da informação (apenas um) mais afetado : ( )Confidencialidade ( )Integridade ( )Disponibilidade PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser implementado para minimizar ou eliminar a vulnerabilidade ? Apresente um ou mais itens da norma Item da norma: Item da norma: CASE 9: GOVERNO SOFRE COM FALHAS DE TECNOLOGIA Em novembro de 2004, 80 mil funcionários do Departamento do Trabalho de um país da Europa, passaram pela maior falha de computadores da sua história. Segundo declaração oficial do departamento, a repartição estava passando por uma "atualização de rotina", quando 80 % dos 100 mil computadores ficaram fora de operação ou desligados. PARTE A :Identifique qual o componente da informação (apenas um) mais afetado : ( )Confidencialidade ( )Integridade ( )Disponibilidade PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser implementado para minimizar ou eliminar a vulnerabilidade ? Apresente um ou mais itens da norma Item da norma: Item da norma: CASE 10: BANCO AMERICANO REVELA PERDA DE DADOS Em dezembro de 2004, um grande banco americano revelou que informações de cerca de um milhão e duzentos mil funcionários do Governo Americano sumiram das fitas dos seus computadores. As fitas continham informações preciosas de cartões de cobrança do Governo Federal. De acordo com a agência de notícias, cerca de 900 mil funcionários podem ter sido afetados.
PARTE A :Identifique qual o componente da informação (apenas um) mais afetado : ( )Confidencialidade ( )Integridade ( )Disponibilidade PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser implementado para minimizar ou eliminar a vulnerabilidade ? Apresente um ou mais itens da norma Item da norma: Item da norma: CASE 11:CÓPIA DE LIVROS Em fevereiro de 2005, uma Copiadora de São Paulo, foi advertida por estar tirando cópias não autorizadas de um livro de Medicina. PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser implementado para minimizar ou eliminar a vulnerabilidade ? Apresente um ou mais itens da norma Item da norma: Anexos: Anexo I :Requisitos da NBR ISO IEC 17799 BIBLIOGRAFIA 1)NBR ISO IEC 17799:2001 – Tecnologia da informação –Código de prática para a gestão da segurança da informação – ABNT-Associação Brasileira de Normas Técnicas 2) ISO IEC 17799 and BS 7799-2 Certification Experiences – Ariosto Farias Jr 7799 Goes Global Seminar- Singapore, April 2004.
![Guia de Avaliacao MPS - softex.br · baseado na Norma Internacional ISO/IEC 15504-2:20032 [ISO/IEC, 2003]. 2 Equivalente à norma nacional NBR ISO/IEC 15504-2 Tecnologia da informação](https://img.document.onl/doc/110x75/5be3d4ba09d3f2ad378c6a41/guia-de-avaliacao-mps-baseado-na-norma-internacional-isoiec-15504-220032.jpg)
