Embed Size (px)
Citation preview
ESCOLA SUPERIOR ABERTA DO BRASIL - ESAB CURSO DE PÓS-GRADUAÇÃO LATO SENSU EM
ENGENHARIA DE SISTEMAS
NARA SUELY OLIVEIRA BANDEIRA
PRINCIPAIS RISCOS DE SEGURANÇA DA INFORMAÇÃO A QUE AS ORGANIZAÇÕES ESTÃO EXPOSTAS
VILA VELHA - ES
2011
NARA SUELY OLIVEIRA BANDEIRA
PRINCIPAIS RISCOS DE SEGURANÇA DA INFORMAÇÃO A QUE AS ORGANIZAÇÕES ESTÃO EXPOSTAS
Monografia apresentada ao Curso de Pós-Graduação em Engenharia de Sistemas da Escola Superior Aberta do Brasil como requisito para obtenção do título de Especialista em Engenharia de Sistemas, sob orientação da Prof.ª Janaina Costa Binda.
VILA VELHA - ES 2011
NARA SUELY OLIVEIRA BANDEIRA
PRINCIPAIS RISCOS DE SEGURANÇA DA INFORMAÇÃO A QUE AS ORGANIZAÇÕES ESTÃO EXPOSTAS
Monografia aprovada em _____ de _______________ de 2011.
Banca examinadora
________________________________
________________________________
________________________________
VILA VELHA - ES 2011
DEDICATÓRIA
Dedico este trabalho à minha família.
AGRADECIMENTO
À Deus, pela força para conseguir chegar até aqui. À ESAB, pela oportunidade de fazer esse curso. À minha amiga Nadielle, pelo apoio de sempre. A todos que de alguma forma contribuíram para a conclusão desse trabalho.
RESUMO
Palavras-chave: Segurança da Informação. Riscos. Organizações. O trabalho que segue analisa os principais riscos envolvidos na segurança da informação das organizações. Inicialmente, o trabalho contempla um estudo sobre os conceitos importantes do tema segurança da informação, para ajudar no entendimento do tema, e lista as normas ABNT existentes sobre o assunto, principal fonte do trabalho. Em seguida, identifica os vários tipos de riscos de segurança da informação a que as organizações estão expostas, e, com base nas normas ABNT previamente citadas, sugere várias ações que podem ser tomadas para reduzir esses ricos, de acordo com os interesses da organização. O método de pesquisa escolhido foi a pesquisa exploratória, através de livros, artigos de Internet e trabalhos científicos. Evidenciando, por fim, que os riscos de segurança da informação, quando não são conhecidos e devidamente controlados, podem trazer prejuízos para a organização, mas que, através de um estudo específico, eles podem ser reduzidos e deixarem de ser um perigo.
LISTA DE FIGURAS
Figura 1 – Firewall ..................................................................................................... 19
Figura 2 - Chave Simétrica ........................................................................................ 22
Figura 3 - Certificado Digital ...................................................................................... 26
Figura 4 - Modelo PDCA aplicado aos processos de SGSI ...................................... 29
Figura 5 - Processo de gestão de riscos em segurança da informação .................... 32
LISTA DE QUADROS
Quadro 1 - Etapas do modelo PDCA .................................................................................. 29
SUMÁRIO
1. INTRODUÇÃO ...................................................................................................... 11
1.1 PROBLEMA ..................................................................................................... 11
1.2 JUSTIFICATIVA ............................................................................................... 12
1.3 OBJETIVOS ..................................................................................................... 13
1.4 METODOLOGIA .............................................................................................. 13
2. DEFINIÇÃO DE SEGURANÇA DA INFORMAÇÃO ............................................. 15
2.1 VÍRUS .............................................................................................................. 17
2.2 FIREWALL ....................................................................................................... 19
2.3 CRIPTOGRAFIA .............................................................................................. 21
2.4 ASSINATURA DIGITAL ................................................................................... 23
2.5 CERTIFICADO DIGITAL .................................................................................. 24
3. NORMAS ABNT SOBRE SEGURANÇA DA INFORMAÇÃO ............................. 27
3.1 ABNT NBR ISO/IEC 27001:2006 ..................................................................... 27
3.2 ABNT NBR ISO/IEC 27002:2005 ..................................................................... 30
3.3 ABNT NBR ISO/IEC 27004:2010 ..................................................................... 31
3.4 ABNT NBR ISO/IEC 27005:2008 ..................................................................... 32
4. PRINCIPAIS RISCOS ........................................................................................... 34
4.1 ANÁLISE E AVALIAÇÃO DE RISCOS ............................................................. 35
4.2 PRINCIPAIS RISCOS ...................................................................................... 37
4.2.1 Organização da equipe segurança da informação..................................... 37
4.2.2 Ativos de informática .................................................................................. 38
4.2.3 Segurança de equipamentos ..................................................................... 39
4.2.4 Documentação e procedimentos ............................................................... 40
4.2.5 Gerenciamento da rede ............................................................................. 40
4.2.6 Backup ....................................................................................................... 41
4.2.7 Controle de acesso .................................................................................... 42
5. MEDIDAS DE CONTROLE PARA REDUÇÃO DE RISCOS ................................ 43
5.1 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ............................................ 43
5.2 GESTÃO DE ATIVOS ...................................................................................... 45
5.3 GESTÃO DE RECURSOS HUMANOS ............................................................ 46
5.4 SEGURANÇA FÍSICA E DO AMBIENTE ......................................................... 48
5.5 GERENCIAMENTO DAS OPERAÇÕES ......................................................... 50
5.6 CONTROLE DE ACESSO ............................................................................... 52
CONCLUSÃO ........................................................................................................... 54
REFERÊNCIAS ......................................................................................................... 56
11
1. INTRODUÇÃO
Na era do conhecimento, é imprescindível a necessidade de segurança da
informação nas organizações. A informação pode ser considerada um patrimônio e
deve ser protegida em relação à disponibilidade, integridade e confidencialidade. Se
não houver mecanismos de proteção, cedo ou tarde, haverá prejuízo moral ou
material.
A segurança é clara para os gestores da área, que conhecem as necessidades da
organização nesse contexto, mas a questão é como mostrar para a alta
administração a verdadeira necessidade de investimentos em Segurança da
Informação. Uma análise de riscos eficiente pode auxiliar os gestores a encontrarem
as principais ameaças
A análise de risco é parte do gerenciamento de risco, que é uma abordagem
importante para todas as organizações minimizarem os riscos negativos e
maximizarem as oportunidades. Afinal, o risco nos permite enxergar o futuro e suas
consequências, podendo ser positivo ou negativo.
A partir da análise risco, a organização pode controlar os riscos identificados, de
modo que eles não interfiram no bom andamento dos projetos.
Nesse contexto, serão apresentados os principais pontos que devem ser
considerados para uma análise se riscos, a fim de se obter os principais riscos de
segurança da informação a que as empresas estão expostas.
1.1 PROBLEMA
A segurança da informação tem uma influência muito forte nas organizações e, se
não for dada a devida atenção aos riscos dessa área, eles com certeza causarão
12
prejuízos, como furto de informações, documentos, equipamentos, espionagem, e
até denegrir a imagem dela.
As consequências podem ser traduzidas em vários aspectos como perdas
financeiras, paralisação dos serviços essenciais, perda da confiança dos clientes,
falhas de telecomunicação, entre outros, mas uma avaliação prévia dos riscos pode
minimizar muito essa situação.
Diante dessa problemática, a presente pesquisa foi desenvolvida a partir da seguinte
indagação: Quais os riscos de segurança da informação de uma empresa?
1.2 JUSTIFICATIVA
Riscos de segurança da informação desconhecidos e não controlados podem
provocar grandes impactos, positivos ou negativos, às organizações informatizadas,
o que demonstra sua grande importância para seus administradores.
A análise de riscos os identifica e permite aos gestores priorizá-los de acordo com a
severidade ou importância para a organização e tomar medidas preventivas, a fim
de evitar problemas para a organização.
Conhecer e controlar os riscos que podem afetar seu negócio é uma medida cada
vez mais prudente e incentivada às organizações, e os benefícios que ela traz
podem ser se origem econômica e moral.
13
1.3 OBJETIVOS
O objetivo geral dessa pesquisa é analisar os riscos envolvidos na segurança das
informações de uma organização.
Os objetivos específicos são: a) descrever os conceitos de segurança da
informação; b) listar as normas ABNT sobre segurança da informação; c) identificar
os tipos de riscos de segurança da informação; e d) indicar recomendações para
redução dos riscos.
1.4 METODOLOGIA
Pedro Demo (1981, p.7) afirma que “metodologia significa, etimologicamente, o
estudo dos caminhos, dos instrumentos usados para fazer a ciência. É uma
disciplina instrumental, a serviço da pesquisa”.
Para Salomon (2001, p.152) pesquisa “é o trabalho empreendido
metodologicamente, quando surge um problema, para o qual se procura a solução
adequada de natureza científica”.
Partindo desses princípios, o presente trabalho elabora um estudo para analisar os
riscos de segurança da informação das organizações, bem como os principais
conceitos de segurança da informação, suas normas e medidas de controle.
Para o bom andamento do desenvolvimento dos estudos, foi adotado o método de
pesquisa exploratório, através de livros, artigos de Internet e trabalhos científicos.
Para Gil (1999, p.46):
Um trabalho é de natureza exploratória quando envolver levantamento
bibliográfico, entrevistas com pessoas que tiveram (ou tem) experiências
14
práticas com o problema pesquisado e análise de exemplos que estimulem
a compreensão. Possui ainda a finalidade básica de desenvolver, esclarecer
e modificar conceitos e ideias para a formulação de abordagens posteriores.
A análise de dados será através da leitura e organização de todo o material
coletado, para formulação das considerações finais.
15
2. DEFINIÇÃO DE SEGURANÇA DA INFORMAÇÃO
Todas as organizações informatizadas precisam enviar e receber informações
através da rede de computadores, seja com outras empresas, filiais ou clientes. O
grande desafio é prover segurança nessas operações, principalmente quando
tratamos de dados sigilosos, através de mecanismos de segurança.
Segundo Tanenbaum (2003), a segurança é um assunto abrangente e inclui
inúmeros tipos de problemas. Em sua forma mais simples, a segurança se preocupa
em garantir que pessoas mal-intencionadas não leiam ou, pior ainda, modifiquem
secretamente mensagens enviadas a outros destinatários (TANEMBAUM, 2003).
Quando nos referimos à segurança da informação, existe a preocupação não
apenas com os recursos físicos, mas também com os recursos abstratos. Entre os
recursos físicos podem-se citar fitas magnéticas, discos, cabos, switches e
roteadores, que constituem a infraestrutura da rede.
O desenvolvimento de técnicas destinadas a comprometer os serviços ou fornecer
acesso não autorizado a dados que trafegam em redes que seguem a arquitetura
TCP/IP vêm acompanhado do crescimento exponencial da Internet e do uso
constante desta arquitetura em redes coorporativas (MARQUES, 2001).
Nesse contexto, a preocupação com a segurança da informação só aumenta, pois
existe o risco de informações confidenciais serem acessadas, caso não estejam bem
protegidas.
Para prover a proteção aos recursos abstratos é necessário conhecer os princípios
da segurança da informação. Em Kurose e Ross (2006), encontramos as seguintes
definições:
16
a) confidencialidade: Apenas o remetente e o destinatário pretendido podem
entender o conteúdo da mensagem transmitida, que deve estar cifrada de
alguma maneira, para que ela não seja decifrada por algum interceptador;
b) autenticação: O remetente e o destinatário precisam confirmar a
identidade da outra parte envolvida na negociação – confirmar se a outra
parte é realmente quem alega ser;
c) integridade: Mesmo que o remetente e o destinatário consigam se
autenticar reciprocamente, eles também querem assegurar que o
conteúdo da comunicação não seja alteado durante a transmissão;
d) não repúdio: Impede que uma entidade (computador, pessoa etc)
envolvida em uma transação negue sua participação;
e) disponibilidade: Os recursos devem ficar disponíveis para serem usados
por seus usuários legítimos; e
f) controle de acesso: Limita o acesso de recursos apenas a pessoas
autorizadas.
Kurose e Ross (2006, p.514) ainda fazem uma importante observação sobre a
segurança de rede:
Na prática, a segurança da rede envolve não apenas proteção, mas também detecção de falhas de comunicação seguras e ataques à infraestrutura e reação a esses ataques. E muitos casos, um administração pode implementar mecanismos especiais de proteção para reagir a ataques. Nesse sentido, a segurança de rede é conseguida por meio de um ciclo contínuo de proteção, detecção e reação.
A seguir, serão listados alguns tipos de vírus de computadores e algumas técnicas e
tecnologias utilizadas na proteção das informações de redes.
17
2.1 VÍRUS
Para Alecrim (2011, np), vírus são pequenos programas capazes de causar grandes
transtornos a indivíduos, empresas e outras instituições, afinal, podem apagar
dados, capturar informações, alterar ou impedir o funcionamento do sistema
operacional e assim por diante.
E ainda existem outros programas símiles, como worms, cavalos de Tróia, spywares
e rootkits. Portanto, os vírus são apenas uma categoria das “pragas digitais”, que
são programas com fins maliciosos. Alecrim (2011) ainda explica que o termo
malware é usado para generalizar todos esses tipos de programas.
Quando um vírus contamina um computador, além de executar a ação para o qual
foi programado, tenta também se espalhar para outras máquinas, tal como fazem os
vírus biológicos nos organismos que invadem.
Com a ajuda da Internet, os vírus podem se propagar com uma velocidade
inimaginável e contaminar um número expressivo de computadores, explorando
principalmente falhas de segurança, e-mails e downloads.
Segue uma simples explicação dos principais malwares conhecidos:
a) Cavalo de Tróia: um código malicioso que realiza uma função inesperada
e indesejável. Segundo Tanenbaum (2003), essa função pode modificar,
remover, copiar ou criptografar os arquivos do usuário, pelo correio
eletrônico ou FTP. Para que ele execute, a pessoa deve ser convencida a
aceitá-lo/executá-lo, geralmente em anexos ou links em e-mail, download
de programas desconhecidos, download de vídeos, etc. Originalmente, ele
não se multiplica, isso só acontece quando está em conjunto com outro
vírus (TANEMBAUM, 2003).
18
b) Worms: também conhecidos como vermes, são um software criado para
fazer cópias de si mesmo e infectar outros computadores, sem contar com
a interação humana, explorando falhas em aplicativos ou no sistema
operacional. E diferentemente de um vírus, o worm faz isso
automaticamente (ALECRIM, 2011).
c) Spyware: a função dele é coletar informações pessoais do usuário sem
que ele saiba. Essas informações coletadas variam de registros dos sites
acessados até nomes de usuário e senha (BECEIRO, 2008).
d) Rootkits: o grande diferencial desse malware é sua capacidade de se
camuflar no sistema, ou seja, os antivírus e outros softwares de segurança
têm muita dificuldade em encontrá-los. E quando encontrados são de
difícil remoção (ALECRIM, 2011).
Uma das principais ferramentas utilizadas para combater (detectar e remover) essas
pragas digitais são os antivírus. Eles são programas que possuem uma extensa
base de dados com vários tipos de malwares, que deve estar sempre atualizada, e
graças a ela conseguem identificá-los e removê-los do sistema (RUSSEL, 2002).
Russel (2002) ainda explica que apenas o antivírus não é garantia de que os
computadores estarão totalmente seguros. Entre as várias medidas que podem ser
adotadas, é aconselhável que a rede possua um filtro de pacotes, para impedir ou
dificultar que o usuário faça downloads de arquivos maliciosos na Internet, trazendo
assim um risco para o computador.
Atualizações frequentes do sistema operacional e orientação aos usuários para que
não cliquem em links desconhecidos estão entre as outras medidas que podem ser
adotadas.
19
2.2 FIREWALL
Miranda (2008, p.280) definiu Firewall na seguinte forma:
É o nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra. Este conceito inclui os equipamentos de filtros de pacotes e de Proxy de aplicações, comumente associados a redes TCP/IP.
O firewall existe em forma de hardware, software ou na combinação dos dois. A
complexidade desse equipamento vai depender do tamanho da atividade a que ele
se propõe, levando em consideração do tamanho da rede, a política de segurança
em questão e o grau de segurança desejado (COMER, 1998).
Conforme a figura 1, o firewall funciona como uma barreira de segurança entre a
rede local LAN e a Internet, podendo evitar que intrusos acessem informações
confidenciais da rede.
Figura 1 – Firewall Fonte: Thiengo (2008)
Miranda (2008) explica que o filtro de pacotes é o tipo mais comum de Firewall e tem
como objetivo permitir ou negar a entrada de um determinado pacote de
informações em uma rede, levando em consideração o endereço IP ou a porta de
origem e de destino. Possui como vantagens ser mais barato e rápido que os outros
20
tipos de Firewall, uma vez que ele não se importa com o conteúdo dos pacotes.
Entretanto, por fazer apenas uma filtragem superficial, sua principal desvantagem é
ser mais inseguro que os demais (FAVARETO, 2003).
Para Alecrim (2011), os firewalls de aplicação (exemplos de aplicação: SMTP, FTP,
HTTP, etc) são instalados geralmente em computadores servidores e são
conhecidos como proxy. Este tipo não permite comunicação direta entre a rede e a
Internet.
Dessa forma, todo o tráfego deve passar pelo firewall e o Proxy efetua a
comunicação entre ambos os lados.
Este é o tipo mais complexo e o mais seguro, pois todas as aplicações passam por
um Proxy, que faz a avaliação TCP dos pacotes. Porém, vale ressaltar que esse
projeto deve ser realizado por administradores de rede ou profissionais de
comunicação qualificados (MIRANDA, 2008).
A seguir são citadas as três principais razões, segundo Alecrim (2011), para se usar
um firewall:
a) o firewall pode ser usado para ajudar a impedir que sua rede ou seu
computador seja acessado sem autorização. Assim, é possível evitar que
informações sejam capturadas ou que sistemas tenham seu funcionamento
prejudicado pela ação de hackers;
b) o firewall é um grande aliado no combate a vírus e cavalos de Tróia, uma
vez que é capaz de bloquear portas que eventualmente sejam usadas
pelas "pragas digitais" ou então bloquear acesso a programas não
autorizados; e
c) em redes corporativas, é possível evitar que os usuários acessem serviços
ou sistemas indevidos, além de ter o controle sobre as ações realizadas na
rede, sendo possível até mesmo descobrir quais usuários as efetuaram.
21
2.3 CRIPTOGRAFIA
Para Nakamura e Geus (2007, p.301), a criptografia “é uma ciência que tem
importância fundamental para a segurança da informação, ao servir de base para
diversas tecnologias e protocolos, tais como a infraestrutura de claves públicas, o IP
Security e o Wired Equivalent Privacy (WEP)”. Suas propriedades – sigilo,
integridade, autenticidade e não repúdio – garantem o armazenamento, as
comunicações e as transações seguras, essenciais no mundo atual (NAKAMURA;
GEUS, 2007).
Para Marques (2001), a palavra criptografia vem do grego (Kryptos = escondido,
oculto e Grafia = Escrita) e pode ser definida como a arte ou ciência de garantir a
segurança de mensagens, de forma que apenas pessoas autorizadas a leiam. No
contexto da segurança em redes de computadores ela garante confidencialidade,
autenticidade, integridade e não repúdio.
Tanembaum (2003) explica que a criptografia deve cifrar a mensagem original de um
emissor, utilizando uma chave e um algoritmo determinados e, desta forma, gerar
outro texto, chamado de texto cifrado.
O texto cifrado é, então, enviado ao receptor que deve fazer o processo inverso –
utilizar a chave e o algoritmo determinados – para chegar à mensagem original
(TANEMBAUM, 2003). Assim, observa-se que mesmo sendo interceptada por outros
não autorizados, a mensagem só será compreendida se souberem a forma de
decifrá-la.
Em geral, a chave utilizada em processos de criptografia é uma combinação de bits
e, dependendo da forma como a chave é utilizada, a criptografia classifica-se em
simétrica ou assimétrica (RUSSEL, 2002).
Os algoritmos de chave simétrica utilizam a mesma chave para codificação e
decodificação da mensagem. E essa chave deve ser previamente conhecida pelo
22
emissor e pelo receptor (NAKAMURA; GEUS, 2007). A figura 2 demonstra o
funcionamento desse tipo de chave.
Galvão Junior (2011) explica que uma das principais desvantagens da criptografia
simétrica é o uso da mesma chave tanto para criptografar como para descriptografar
os dados. Por isso, todas as partes que enviam e recebem os dados devem
conhecer ou ter acesso à chave de criptografia. Esse requisito cria um problema de
gerenciamento de segurança e problemas de gerenciamento de chave que uma
organização deve considerar em seu ambiente.
Figura 2 - Chave Simétrica Fonte: Nunes (2007)
No entanto, a simplicidade desses algoritmos faz com que eles sejam mais rápidos
que os assimétricos. Em Tanembaum (2003, p. 798), encontramos os exemplos:
a) Data Encryption Standard (DES);
b) Advanced Encryption Standard (AES);
c) Blowfish;
d) Serpent.
23
Já a criptografia assimétrica, por outro lado, envolve o uso de duas chaves distintas:
uma chave pública, usada pelo mundo inteiro para criptografar as mensagens a
serem enviadas para esse usuário, e uma chave privada, que o usuário utiliza para
descriptografar mensagens (TANENBAUM, 2003).
Desta forma, se um emissor utiliza a chave pública de um determinado receptor para
cifrar uma mensagem, esta só poderá ser decifrada pela chave privada que o
receptor deve manter em sigilo absoluto (TANENBAUM, 2003). Assim, garante-se
autenticidade e confidencialidade.
Marques (2001) ressalta que o principal problema da criptografia por chave pública é
que ela é muito mais lenta que a criptografia simétrica. Como exemplo de algoritmos
assim, Marques (2001) cita o RSA, que utiliza chaves compostas de 512, 768, 1024
ou 2048 bits.
2.4 ASSINATURA DIGITAL
Barwinski (2011, np) define a assinatura digital da seguinte forma:
A assinatura digital é uma tecnologia que permite dar garantia de integridade e autenticidade a arquivos eletrônicos. É um conjunto de operações criptográficas aplicadas a um determinado arquivo, tendo como resultado o que se convencionou chamar de assinatura digital.
Graças à assinatura digital, é possível comprovar que a mensagem ou arquivo não
foi alterado e que foi assinado pela entidade ou pessoa que possui a chave privada
utilizada na assinatura, segundo Tanenbaum (2003).
De acordo com o principio da assinatura digital, o emissor assina a mensagem com
sua chave privada e o receptor verifica sua assinatura com a sua chave pública,
garantindo que a mensagem foi realmente emitida pelo assinante (TANEMBAUM,
2003).
24
Barwinski (2011) também explica que no Brasil, com a criação da ICP-Brasil e da MP
2200-2/2001 foi estabelecida a validade legal de documentos assinados
digitalmente, utilizando-se certificados digitais emitidos dentro da cadeia de
certificação da ICP-Brasil.
Russel (2002) complementar o assunto informando que a ICP-Brasil fiscaliza e
audita o processo de emissão de certificados digitais das autoridades certificadoras
integrantes a fim de garantir total confiabilidade do processo de certificação. Desta
forma dá respaldo à presunção legal de integridade, autenticidade e não repúdio dos
arquivos assinados digitalmente.
2.5 CERTIFICADO DIGITAL
Os certificados digitais são um dos elementos que têm como base a criptografia de
chave pública, utilizado por esses protocolos, e são essenciais em um modelo de
segurança como o do ambiente cooperativo, no qual diversos níveis de acesso
devem ser controlados e protegidos (NAKAMURA; GEUS, 2007).
Burguesa (2011) define o certificado digital é um documento eletrônico assinado
digitalmente, contendo a identificação de uma pessoa, sua chave pública (utilizada
na verificação da validade da assinatura) e assinado digitalmente por uma
Autoridade Certificadora.
Puttini (2011, np) explica o uso dos certificados digitais:
Com o uso de certificados digitais, a credibilidade inicial deixa de ser depositada sobre a chave pública a ser usada e passa para um terceiro participante do processo, a autoridade certificadora (Certificate Authority - CA). Ao expedir um certificado, um CA autentica a relação entre entidade e sua chave pública, garantindo que o nome da entidade presente dentro do certificado (DistinguishedName) é o nome do proprietário da chave pública que o mesmo carrega.
25
Teles (2011) afirma que, atualmente, os certificados digitais são frequentemente
usados em sistemas que trabalham com transações financeiras como bancos,
comercio eletrônico, receita federal e outros.
Ainda segundo Teles (2011, np), atualmente existem 6 entidades como Autoridades
Certificadoras na ICP-Brasil:
a) Caixa Econômica Federal;
b) Certisign;
c) Presidência da República;
d) Secretaria da Receita Federal;
e) SERASA; e
f) SERPRO.
A figura 3 mostra as informações contidas em um certificado digital.
26
Figura 3 - Certificado Digital Fonte: Asakura (2011)
27
3. NORMAS ABNT SOBRE SEGURANÇA DA INFORMAÇÃO
A ISO é uma organização internacional formada por um conselho e comitês com
membros oriundos de vários países. Seu objetivo é criar normas e padrões
universalmente aceitos sobre a realização de atividades comerciais, industriais,
científicas e tecnológicas. A IEC é uma organização voltada ao aprimoramento da
indústria da informação (FERREIRA; ARAÚJO, 2006).
Segundo Ferreira e Araújo (2006), em dezembro de 2000 a ABNT (Associação
Brasileira de Normas Técnicas) resolveu acatar a norma ISO como padrão brasileiro
sendo publicada em 2001 a ABNT NBR 17799, que depois foi atualizada para a
ABNT ISO/IEC 27002.
A seguir serão listadas algumas normas elaboradas pela ABNT que tratam da
segurança da informação nas organizações.
3.1 ABNT NBR ISO/IEC 27001:2006
A ISO/IEC 27001 foi traduzida para o português em 2006 e trata dos Sistemas de
Segurança da Informação - Requisitos. Seu capítulo de introdução já define que ela
especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar
criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação
– SGSI documentado dentro do contexto dos riscos de negócio globais da
organização (ABNT 27001, 2006).
A norma ABNT 27001 (2006) ainda afirma que o SGSI é projetado para assegurar a
seleção de controles de segurança adequados e proporcionados para proteger os
ativos de informação e propiciar confiança às partes interessadas.
28
Os requisitos definidos na norma são genéricos e devem ser aplicáveis a todas as
organizações, independentemente de tipo, tamanho e natureza. A abordagem de
processo para a gestão da segurança da informação apresentada pela ABNT 27001
encoraja que seus usuários enfatizem a importância de:
a) entendimento dos requisitos de segurança da informação de uma
organização e da necessidade de estabelecer uma política e objetivos
para a segurança de informação;
b) implementação e operação de controles para gerenciar os riscos de
segurança da informação de uma organização no contexto dos riscos de
negócio globais da organização;
c) monitoração e análise crítica do desempenho e eficácia do SGSI; e
d) melhoria contínua baseada em medições objetivas.
A ABNT 27001 adota o modelo conhecido como “Plan-Do-Check-Act” (PDCA),
conforme a figura 4, aplicado para estruturar todos os processos do SGSI, de forma
que as entradas do processo são as expectativas e requisitos de segurança de
informação da organização. Como saída desse processo, temos a Gestão da
Segurança da Informação propriamente dita. Dessa maneira, essa norma foi
projetada para permitir a uma organização alinhar ou integrar seu SGSI com
requisitos de sistemas de gestão relacionados (ABNT 27001, 2006).
Essa norma vem demonstrando seu importante papel para as organizações, visto
que permite que uma empresa construa de forma muito rápida uma política de
segurança baseada em controles de segurança eficientes. Os outros caminhos para
se fazer o mesmo, sem a norma, são constituir uma equipe para pesquisar o
assunto ou contratar uma consultoria para realizar essas tarefas (INFORMABR,
2007).
29
A figura 4, abaixo, mostra o modelo “Plan-Do-Check-Act” (PDCA), adotado por esta
norma.
Figura 4 - Modelo PDCA aplicado aos processos de SGSI Fonte: ABNT 27001 (2006)
O quadro 1, abaixo, explica o que acontece em cada etapa.
Quadro 1 - Etapas do modelo PDCA Fonte: ABNT 27001 (2006)
30
3.2 ABNT NBR ISO/IEC 27002:2005
A ISO/IEC 27002 foi traduzida para o português em 2005 e fala do Código de prática
para a gestão da segurança da informação.
Seu objetivo é estabelecer diretrizes e princípios gerais para iniciar, implementar,
manter e melhorar a gestão de segurança da informação em uma organização. Os
objetivos definidos na norma proveem diretrizes gerais sobre as metas geralmente
aceitas para a gestão da segurança da informação (ABNT 27002, 2005).
Os objetivos de controle e os controles têm como finalidade ser implementados para
atender aos requisitos identificados por meio da análise/avaliação de riscos. A
norma pode servir como um guia prático para desenvolver os procedimentos de
segurança da informação da organização e as eficientes práticas de gestão da
segurança, e para ajudar a criar confiança nas atividades interorganizacionais
(MATOS, 2010).
A ABNT 27002 (2005) contém 11 seções de controles de segurança da informação,
que juntas totalizam 39 categorias principais de segurança e uma seção introdutória
que aborda a análise/avaliação e o tratamento de riscos.
Cada seção contém um número de categorias principais de segurança da
informação. As 11 seções são: Política de Segurança da Informação (1 categoria);
Organizando a Segurança da Informação (2 categorias); Gestão de Ativos (2
categorias); Segurança em Recursos Humanos (3 categorias); Segurança Física e
do Ambiente (2 categorias); Gestão das Operações e Comunicações (10
categorias); Controle de Acesso (7 categorias); Aquisição, Desenvolvimento e
Manutenção de Sistemas de Informação (6 categorias); Gestão de Incidentes de
Segurança da Informação (2 categorias); Gestão da Continuidade do Negócio (1
categoria); Conformidade (3 categorias).
31
Ela serve como referência para a criação e implementação de práticas de segurança
reconhecidas internacionalmente, incluindo: Políticas, Diretrizes, Procedimentos,
Controles. É um conjunto completo de recomendações para: Gestão da Segurança
da Informação e Controles e Práticas para a Segurança da Informação (MATOS,
2010).
3.3 ABNT NBR ISO/IEC 27004:2010
A norma ABNT NBR ISO/IEC 27004:2010 fornece diretrizes para o desenvolvimento
e uso de métricas e medições para avaliar a eficácia de um Sistema de Gestão de
Segurança da Informação (SGSI) implementado e dos controles ou grupos de
controles, conforme especificado na ABNT NBR ISO/IEC 27001.
De acordo com a norma ABNT 27004 (2010), seus principais objetivos são:
a) avaliar a eficácia dos controles ou grupos de controles implementados,
baseados na NBR ISO IEC 27001;
b) verificar a extensão na qual os requisitos de segurança da informação
identificados foram atendidos, incluindo os requisitos das partes
interessadas pertinentes;
c) fornecer dados confiáveis para a análise crítica pela direção para apoiar a
tomada de decisões, como também para as demais partes interessadas
pertinentes; e
d) adotar ações corretivas e preventivas visando à melhoria contínua do
SGSI.
32
3.4 ABNT NBR ISO/IEC 27005:2008
A norma ABNT NBR ISO/IEC 27005, de 2008, fornece as diretrizes para o
gerenciamento dos riscos de segurança da informação (SI) e dá sustentação aos
conceitos especificados na ISO 27001:2005, a norma de requisitos de sistemas de
gestão da SI, além de auxiliar na implementação e certificação de tais sistemas de
gestão.
De acordo com a norma, o processo de gestão de riscos de SI é composto pelas
atividades mostradas na figura 5:
Figura 5 - Processo de gestão de riscos em segurança da informação Fonte: ABNT 27005 (2008)
33
Esta norma descreve todo o processo necessário para a gestão de riscos de
segurança da informação e as atividades necessárias para a perfeita execução da
gestão. Apresenta práticas para gestão de riscos da segurança da informação. As
técnicas nela descritas seguem o conceito, os modelos e os processos globais
especificados na norma ABNT NBR ISO/IEC 27001, além de apresentar a
metodologia de avaliação e tratamento dos riscos requeridos pela mesma norma
(KOWASK, 2011).
Um risco, no contexto da ISO 27005:2008, é a combinação das consequências que
se seguirão à ocorrência de um evento indesejado e da probabilidade de ocorrência
desse evento. A avaliação de riscos quantifica ou descreve qualitativamente um
risco e permite aos gestores priorizar os riscos de acordo com a sua severidade ou
com outros critérios estabelecidos pela organização (CICCO, 2010).
34
4. PRINCIPAIS RISCOS
Os riscos surgem em decorrência da presença de fraquezas, e, por conseguinte,
vulnerabilidades. Isto ocorre pelo fato de que todos os ativos da empresa estão
sujeitos a vulnerabilidades em maior ou menor escala e, neste caso, estas
vulnerabilidades proporcionam riscos para a empresa, e são causadas muitas vezes
por falhas nos seus controles (WEEGE, 2005).
Neste contexto Beal (2005), acredita que a gestão de risco é o conjunto de
processos que permite às organizações identificar e implementar as medidas de
proteção necessárias para diminuir os riscos a que estão sujeitos os seus ativos de
informação, e equilibrá-los com os custos operacionais e financeiros envolvidos.
Para melhorar o entendimento do assunto, segue a conceituação de termos muito
usados na segurança da informação, de acordo com Gaiveo (2007):
a) vulnerabilidade: termo normalmente utilizado para designar um ponto fraco
ou falha existente num determinado sistema ou recurso, que poderá ser
explorada, propositada ou inadvertidamente, causando prejuízo ao
sistema ou recurso em questão;
b) ameaça: circunstância ou evento cuja verificação ou concretização se
traduz num conjunto de impactos negativos sobre um sistema ou recurso
que apresenta uma ou mais vulnerabilidades passíveis de serem
exploradas pela ameaça em questão;
c) impacto: o conceito de impacto prende-se com o resultado decorrente da
verificação de um determinado evento de segurança sobre um ou mais
recursos, evento este que se traduz normalmente em consequências
nefastas, diretas ou indiretas, para os recursos mencionados; e
d) riscos: potencial associado à exploração de uma ou mais vulnerabilidades
de um recurso (ou conjunto de recursos), por parte de uma ou várias
35
ameaças, com impacto negativo nos recursos afetados, e, por
conseguinte, na atividade e negócio da organização.
Os requisitos se segurança da informação são identificados por meio de uma
análise/avaliação sistemática dos riscos de segurança da informação. Os gatos com
os controles precisam ser balanceados de acordo com os danos causados aos
negócios gerados pelas potenciais falhas na segurança (ABNT 27002, 2005).
A seguir será abordado o tema de análise e avaliação de riscos, de acordo com as
citadas no capítulo anterior, e posteriormente serão identificados os principais riscos
de segurança da informação, com base na norma ISO 27001.
4.1 ANÁLISE E AVALIAÇÃO DE RISCOS
Conforme dito anteriormente, a análise/avaliação de riscos vai identificar os riscos
de segurança da informação, e o resultado ajudará a organização a direcionar e
determinar ações apropriadas para gerenciamento deles.
A norma ABNT 27005 (2008) explica que análise/avaliação de riscos consiste nas
seguintes atividades:
a) análise se riscos (identificação e estimativa); e
b) avaliação de riscos.
Ainda segundo a norma ABNT 27005 (2008), a análise/avaliação de riscos
determina o valor dos ativos de informação, identifica as ameaças e vulnerabilidades
aplicáveis existentes (ou que poderiam existir), identifica os controles existentes e
seus efeitos no risco identificado, determina as consequências possíveis e,
36
finalmente, prioriza os riscos derivados e ordena-os de acordo com os critérios de
avaliação de riscos estabelecidos na definição do contexto.
Essas análises devem ser realizadas periodicamente, para que sejam observadas
as mudanças nos requisitos e na situação dos riscos, ou seja, nos ativos, ameaças,
vulnerabilidades, impactos, e assim realizar as correções e atualizações necessárias
(ABNT 27005, 2008).
Na etapa de Identificação de riscos, dentro da análise riscos, seu propósito é
determinar eventos que possam causar uma perda potencial e deixar claro como,
onde e porque a perda pode acontecer (ABNT 27005, 2008). As subetapas de
identificação de ativos, identificação das ameaças, identificação dos controles
existentes, identificação das vulnerabilidades e identificação das consequências
servem para coletar dados de entrada para a atividade de estimativa de risco.
A norma ABNT 27005 (2008, p.17) ainda afirma que uma estimativa de riscos pode
ser qualitativa ou quantitativa ou uma combinação de ambos, dependendo das
circunstâncias. Na prática, a estimativa qualitativa é frequentemente utilizada para
obter uma indicação geral do nível de risco e para revelar os grandes riscos.
Posteriormente, talvez seja necessário efetuar uma análise quantitativa ou mais
específica nos grandes riscos, devido à complexidade da análise qualitativa em
relação à quantitativa.
A norma ABNT 27005 (2008, p.17) define as 2 estimativas da seguinte forma:
A estimativa qualitativa utiliza uma escala com atributos qualificadores que descrevem a magnitude das consequências potenciais (por exemplo: Pequena, Média e Grande) e a probabilidade dessas consequências ocorrerem. Sua vantagem é a facilidade de compreensão por todos os envolvidos, a desvantagem é a subjetividade.
A estimativa quantitativa utiliza uma escala com valores numéricos (e não as escalas descritivas usadas na estimativa qualitativa) tanto para consequências quanto para a probabilidade, usando dados de diversas fontes. Uma desvantagem é quando os dados factuais e audíveis não estão disponíveis.
37
Na avaliação dos riscos serão tomadas as decisões sobre o que fazer com os riscos
identificados, de acordo com os critérios e prioridades da organização. Essas
decisões são baseadas principalmente no nível de risco aceitável, mas convém que
as consequências, a probabilidade e o grau de confiança da análise também sejam
considerados (ABNT 27005, 2008).
Cabe à organização selecionar seu próprio método de análise/avaliação de riscos
baseado nos seus objetivos e metas de análise/avaliação.
4.2 PRINCIPAIS RISCOS
A seguir serão listados apenas alguns dos vários riscos relacionados à segurança da
informação. Eles serão divididos em algumas categorias, para seu melhor
entendimento.
4.2.1 Organização da equipe segurança da informação
A segurança da informação é tratada em várias áreas de uma organização, não só a
de Informática, portanto a equipe responsável pela segurança deve contar com a
presença de membros dessas áreas, de acordo com a ABNT 27002 (2005).
Um dos trabalhos dessa equipe é a análise de riscos e, conforme dito no início do
capítulo, ela ai levantar todos os riscos dessa organização, mas se a equipe não
conhece o funcionamento dos pontos estratégicos da empresa, esse trabalho ficará
incompleto e, com certeza, vários riscos não serão identificados e tratados (ABNT
27002, 2005).
38
4.2.2 Ativos de informática
A norma ABNT 27002 (2005, p.21) define os ativos como:
Um ativo é tudo aquilo que tem valor para a organização, e quanto maior ela for maior será o cuidado para que esses ativos continuem nela. Dependendo do valor deles, os ativos podem ser subtraídos de alguma forma, seja por funcionários seja por terceiros, prejudicando o patrimônio da organização.
A norma ABNT 27002 (2005) também lista seus vários tipos de ativos:
a) informação (base de dados, documentos, etc);
b) software (aplicativos, utilitários);
c) físicos (equipamentos computacionais e de comunicação);
d) serviços (iluminação, refrigeração); e
e) pessoas e os intangíveis (reputação e imagem).
A norma ABNT 27002 (2005) ainda alerta sobre o uso aceitável dos ativos de
processamento da informação, que devem existir regras para controlar seu uso. Os
usuários dos ativos de informática, principalmente os físicos e de software, podem
fazer mau uso deles, desviando o foco da empresa para fins pessoais além de
poderem danificá-los por não saberem usar adequadamente.
A Internet e o correio eletrônico são os exemplos mais clássicos. O usuário, além de
usá-los para fins pessoais, pode trazer outros riscos, como entrar em sites que
contenham vírus e fazer download de arquivos infectados e que possam
comprometer o computador e a rede (SANTOS, 2011). O que também pode
acontecer quando o usuário clica em links de e-mail de remetentes desconhecidos.
39
O mau uso dos recursos de informática deve-ser muito à falta de uma cultura de
segurança da informação, pois eles não entendem a política de segurança da
informação da empresa, ou a desconhecem (ABNT 27002, 2005). E essa política
não será eficiente enquanto todos os usuários não estiverem conscientes dela e a
praticarem.
A falta de controle da organização sobre esse ativo é outro fator agravante, pois se a
sua localização e o seu responsável não são identificados, a probabilidade de ele
sumir é ainda maior.
4.2.3 Segurança de equipamentos
É necessária uma proteção especial com os ativos da organização, para reduzir os
riscos de acesso não autorizado às informações e para proteger contra perdas e
danos.
A norma ABNT 27002 (2005) relata alguns problemas que a falta de energia pode
causar aos equipamentos, alguns deles podem parar seu funcionamento e trazer
prejuízos para a organização, portanto são necessárias medidas de controle prover
a disponibilidade e integridade desses equipamentos.
Outro ponto que deve ser dada atenção é na hora de alienar, principalmente os
equipamentos computacionais que contem mídias de armazenamento. As
informações importantes devem ser apagadas, destruídas ou sobrescritas por meio
de técnicas específicas, antes de o equipamento ser liberado (ABNT 27002, 2005).
Assim, é possível impedir que dados sensíveis da empresa sejam acessados por
pessoas não autorizadas.
40
4.2.4 Documentação e procedimentos
A falta de padronização nos procedimentos executados pelas equipes, ou apenas de
divulgação, além de demonstrar desorganização, também pode trazer prejuízos
(ABNT 27002, 2005). Por exemplo, uma rotina de backup que deixou de ser
executada, dados para contato com o suporte em dificuldades técnicas e
procedimentos de recuperação em casos de falhas reincidentes, mas não
documentas.
O tempo perdido nessa hora pode ser crucial para o negócio da empresa. E
depende basicamente da organização e comprometimento da equipe. A
documentação das informações da rede, dos procedimentos e sua divulgação
podem ajudar nos trabalhos desenvolvidos pela equipe (ABNT 27002, 2005).
Procedimentos executados erroneamente ou em desacordo com as orientações do
fabricante só contribuem para danificar o equipamento e diminuir sua vida útil. Fato
que seria resolvido com a documentação e divulgação dos procedimentos de
manutenção.
4.2.5 Gerenciamento da rede
Santos (2011, np) relata que “uma das principais ameaças de uma rede é a que vem
de fora, principalmente os ataques e os vírus. Portanto, há necessidade de um bom
sistema de firewall, incluindo um sistema de filtro de pacotes, para proteção dessa
rede”.
Atualmente, o pen drive tem sido uma importante porta de entrada de vírus para as
redes. Por mais segura que ela possa ser, um pen drive infectados de vírus pode
trazer malefícios (SANTOS, 2011).
41
Conforme dito no primeiro capítulo, vírus podem apagar dados, capturar
informações, alterar ou impedir o funcionamento de sistemas, caracterizando um
importante risco para a organização.
Equipamentos computacionais que não atualizam seu sistema operacional e
antivírus regularmente expõem a vulnerabilidade do seu sistema e abrem uma
brecha para o aparecimento de mais vírus. Portanto, é necessário um
gerenciamento das atualizações dos sistemas operacionais e de antivírus de todo o
parque computacional dessa rede, para que ela não comprometa a segurança
(NAKAMURA; GEUS, 2007).
Outro importante ponto é o uso de máquinas particulares na rede de uma empresa
(ABNT 27002, 2005). Uma máquina que não passa pelos cuidados da equipe de
informática daquela organização não está de acordo com as normas dela, portanto
não se sabe se o sistema operacional dela está atualizado, se tem antivírus e se ele
está atualizado, e se a máquina já está infectada por vírus.
4.2.6 Backup
O backup existe para impedir que dados importantes sejam apagados, perdidos,
seja por falha física ou humana, o que caracteriza um importante risco para uma
organização, visto que a informação é um dos seus maiores patrimônios (ABNT
27002, 2005).
A perda de dados essências ou a indisponibilidade de um sistema devido a
problemas no seu banco de dados pode representar grave prejuízo.
42
4.2.7 Controle de acesso
A norma ABNT 27002 (2005) recomenda que o acesso à informação e aos recursos
de processamento da informação deve ser controlado. Pessoas não autorizadas
podem fazer mau uso dos recursos.
Um exemplo prático dessa aplicação é em um servidor de arquivos. Nem todos
podem ser acesso a todos os arquivos, é preciso separar os acessos para cada
usuário.
E o privilégio dado a cada usuário deve ser diferenciado e controlado, de modo que
usuários não excedam o controle de sistemas e, assim, contribuam para falhas e
violações do sistema (SANTOS, 2011).
A norma ABNT 27002 (2005) também trata das responsabilidades que os usuários
dos ativos têm. Eles devem ser responsabilizados por seus atos, a fim de evitar furto
de informação e de recursos de processamento da informação.
43
5. MEDIDAS DE CONTROLE PARA REDUÇÃO DE RISCOS
Para a implementação da segurança da informação, uma série de controles devem
ser aplicados, e a norma ABNT 27002 (2005) serve de referência nesse assunto,
pois mostra o Código de Prática para a gestão de segurança da informação.
Ao implantar os controles de segurança da informação, automaticamente já está
reduzindo os riscos de segurança.
A norma traz vários controles, mas serão listados apenas alguns, considerados mais
relevantes e que estão relacionados com os riscos citados no item 4.2. Eles estão de
acordo com a norma ABNT 27002 (2005), que serviu de principal instrumento de
pesquisa.
5.1 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
A norma ABNT 27002 (2005) afirma que o objetivo da política de segurança da
informação é prover uma orientação e apoio de direção para a segurança da
informação de acordo com os requisitos de negócio e com as leis e
regulamentações pertinentes.
E ainda acrescenta que ela deve estar alinhada com negócio da organização em
questão e demonstrar comprometimento com a segurança da informação através da
publicação e manutenção de uma política.
A norma ABNT 27002 (2005) cita os assuntos que devem ser abordados pelo
documento:
44
a) uma definição de segurança da informação, suas metas globais, escopo e
importância da segurança da informação;
b) uma declaração do comprometimento da direção, apoiando as metas e
princípios da segurança da informação, alinhada com os objetivos
estratégicos do negócio;
c) uma estrutura para estabelecer os objetivos de controle e os controles,
incluindo a estrutura de análise/avaliação de gerenciamento de risco;
d) breve explanação das políticas, princípios, normas e requisitos de
conformidade de segurança da informação específicos para a
organização, incluindo: conformidade com a legislação, requisitos de
conscientização, treinamento e educação de segurança da informação,
gestão da continuidade do negócio e consequências das violações de
segurança da informação.
e) definição das responsabilidades gerais e específicas na gestão da
segurança da informação, incluindo os registros dos incidentes de
segurança da informação; e
f) referência à documentação que possam apoiar a política.
Como passo essência, a norma ABNT 27002 (2005) explica que essa política será
aprovada pela direção da organização e amplamente divulgada para toda a
organização - funcionários e a parte externa interessada – além de ser acessível e
compreensível por todos.
Para que não fique obsoleta e deixe de amparar a organização, esse documento
deve ser analisado criticamente a intervalos a intervalos planejados ou quando
mudanças significativas ocorrerem (ABNT 27002, 2005).
Outro ponto esclarecido pela norma ABNT 27002 (2005) é a figura do gestor da
política de segurança da informação. Ela aconselha que a política de segurança da
informação tenha um gestor, para cuidar do seu desenvolvimento, análise crítica e
45
avaliação. Na análise crítica deve existir um ponto para oportunidades de melhoria,
em resposta às mudanças do sistema organizacional, às circunstâncias do negócio,
às condições legais, ou ao ambiente técnico.
5.2 GESTÃO DE ATIVOS
Ativo é qualquer coisa que tenha valor para a organização e o objetivo da gestão de
ativos é alcançar e manter a proteção adequada dos ativos da organização (ver item
4.2.2).
A norma ABNT 27002 (2005) esclarece que os ativos devem ser claramente
identificados e um inventário de todos os ativos importantes seja estruturado e
mantido. O inventário deve incluir todas as informações necessárias que permitam
recuperar de um desastre, incluindo o tipo do ativo, formato, localização,
informações sobre licença e a importância do ativo no negócio (ABNT 27002, 2005).
A norma ABNT 27002 (2005) ainda afirma que, com base na importância do ativo,
seu valor para o negócio e sua classificação de segurança, níveis de proteção
proporcionais à importância dos ativos sejam identificados.
A norma ABNT 27002 (2005) faz uma importante observação sobre os proprietários
do ativo:
Todas as informações e ativos associados com os recursos de processamento da informação devem ter um proprietário. O termo proprietário, nesse contexto, significa que uma pessoa tem a responsabilidade para controlar a produção, o desenvolvimento, a manutenção, o uso e a segurança dos ativos; não significa que a pessoa tenha realmente qualquer direito de propriedade do ativo.
Conforme relatado no item 4.2.2, o uso dos ativos de processamento de dados
costumam ser mal empregados pelos usuários, portanto, convém que as regras que
tratam do assunto sejam identificadas, documentadas e implementadas. Assim,
todos os usuários que tem acesso a esses recursos devem segui-las.
46
Essas regras devem tratar, principalmente, de assuntos relativos ao uso da Internet
e do correio eletrônico e diretrizes para o uso de dispositivos móveis, especialmente
fora das instalações da organização (ABNT 27002, 2005).
5.3 GESTÃO DE RECURSOS HUMANOS
Para o melhor entendimento do processo, a norma ABNT 27002 (2005) divide a
gestão de recursos em três momentos: antes da contratação, durante a contratação
e encerramento ou mudança da contratação.
Antes da contratação, o objetivo da gestão de recursos humanos é assegurar que os
funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam
de acordo com os seus papéis, e reduzir o risco de furto ou roubo, fraude ou mau
uso de recursos (ABNT 27002, 2005).
Antes da contratação, norma ABNT 27002 (2005) afirma que devem ser definidos os
papeis e as responsabilidades de segurança da informação, incluindo requisitos
como: implementar e agir de acordo com as políticas de segurança da informação
da organização; proteger ativos contra acesso não autorizado e executar processos
e atividades particulares de segurança da informação.
É conveniente que todos os candidatos ao emprego, fornecedores e terceiros sejam
adequadamente analisados, especialmente em cargos com acesso a informações
sensíveis.
Outra importante observação da norma ABNT 27002 (2005) é sobre as condições da
contratação do funcionário:
Como parte de suas obrigações contratuais, é indicado que os funcionários, fornecedores e terceiros concordem e assinem os termos e condições de sua contratação para o trabalho, os quais devem declarar as suas responsabilidades e a da organização para a segurança da informação.
47
Durante a contratação, o objetivo da gestão de recursos humanos é assegurar que
os funcionários, fornecedores e terceiros estejam conscientes das ameaças e
preocupações relativas à segurança da informação e preparados para apoiar
apolítica de segurança da informação durante seus trabalhos e reduzir o erro
humano (ABNT 27002, 2005).
Se os envolvidos não forem conscientizados de suas responsabilidades, eles podem
causar consideráveis danos à organização. Pessoas motivadas tem maior
probabilidade de serem mais confiáveis e de causar menos incidentes de segurança
da informação.
Os usuários dos recursos de informática devem receber treinamento apropriado em
conscientização e atualizações regulares das políticas e procedimentos
organizacionais, para minimizar os riscos de segurança da informação, conforme as
orientações da norma ABNT 27002 (2005).
Ainda esclarecendo o assunto, a norma ABNT 27002 (2005) esclarece que deve ser
realizado um processo disciplinar formal para os funcionários que tenham cometido
uma violação de segurança da informação, para evitar que os usuários violem os
procedimentos e as políticas de segurança da informação, e quaisquer outras
violações de segurança.
Durante o encerramento ou mudança da contratação, o objetivo da gestão de
recursos humanos é assegurar que os funcionários, fornecedores e terceiros deixem
a organização ou mudem de trabalho de forma ordenada (ABNT 27002, 2005).
Após o encerramento de suas atividades, do contrato ou acordo, os funcionários
devem devolver todos os ativos da organização que estejam em sua posse, como
equipamentos, documentos corporativos, softwares, dispositivos móveis, cartões de
crédito e cartões de acesso (ABNT 27002, 2005).
Uma atenção especial deve ser dada aos conhecimentos que o funcionário está
levando consigo. Pensando nisso, a norma ABNT 27002 (2005) lembra que, no caso
48
em que o funcionário possua conhecimentos importantes para a organização, este
conhecimento deve ser documentado e transferido para que não seja perdido pela
organização.
Também devem ser retirados os direitos de acesso do funcionário à informação e
aos recursos de processamento da informação.
5.4 SEGURANÇA FÍSICA E DO AMBIENTE
A norma ABNT 27002 (2005) esclarece que a gestão da segurança física e do
ambiente se preocupa tanto com a segurança física das áreas quanto com a
segurança lógica dos equipamentos. Ou seja, os objetivos dela são prevenir o
acesso físico não autorizado, danos e interferências com as instalações da
organização e, também, impedir perdas, danos, furto, roubo ou comprometimento de
ativos e interrupções das atividades da organização (ABNT 27002, 2005).
As áreas que contenham informações e instalações de processamento da
informação devem ser seguras, protegidas por perímetros de segurança definidos
(barreiras como portões de entrada com cartão ou balcões de recepção) e controles
de acesso apropriados (ABNT 27002, 2005).
A norma ABNT 27002 (2005) afirma que o acesso às áreas seguras deve ser
controlado, apenas pessoas autorizadas devem entrar. Esse controle deve levar em
consideração as seguintes diretrizes:
a) a data e hora da entrada e saída de visitantes devem ser registradas;
b) o acesso às áreas em que são processadas ou armazenadas informações
deve ser controlado e restrito às pessoas autorizadas.
49
c) todos os funcionários e visitantes tenham alguma forma visível de
identificação;
d) aos terceiros que realizem serviços de suporte, seja concedido acesso
restrito às áreas seguras; e
e) os direitos de acesso a áreas seguras sejam revistos e atualizados em
intervalos regulares.
A norma ABNT 27002 (2005) aconselha a implementação de proteção contra
incêndios, enchentes, terremotos, explosões, perturbações, da ordem pública e
outras formas de desastres naturais ou causados pelo homem.
Para a proteção física, bem como diretrizes para o trabalho em áreas seguras, a
norma ABNT 27002 (2005) leva em consideração as seguintes diretrizes:
a) pessoal só tenha conhecimento da existência de áreas seguras, ou das
atividades nela realizadas, apenas se for necessário;
b) seja evitado o trabalho não supervisionado em áreas seguras;
c) as áreas seguras não ocupadas sejam fisicamente trancadas e
periodicamente verificadas; e
d) não seja permitido o uso de máquinas fotográficas, gravadores de vídeo
ou áudio ou de outros dispositivos de gravação, salvo se for autorizado.
Pensando na proteção dos equipamentos, para a norma ABNT 27002 (2005), os
equipamentos de informática devem ser colocados em local protegido para reduzir
os riscos de ameaças e perigos do meio ambiente, bem como as oportunidades de
acesso não autorizado.
Esclarecendo ainda que eles devem ter uma manutenção adequada e preventiva,
para assegurar sua disponibilidade e integridade permanente (ABNT 27002, 2005).
50
Esse trabalho só deve ser feito por pessoal autorizado e qualificado e seguir as
orientações do fabricante.
E, por fim, é importante ressaltar a análise que deve ser feita com os equipamentos
antes de serem alienados. A norma ABNT 27002 (2005) diz que, nesse caso, os
equipamentos e as mídias de armazenamento devem ser analisados para assegurar
que todos os dados sensíveis e softwares licenciados foram removidos com
segurança, pois as informações podem ser comprometidas por um descarte feito
sem os devido cuidados.
5.5 GERENCIAMENTO DAS OPERAÇÕES
Os procedimentos de operação devem ser devidamente documentados pela
organização, além de mantidos atualizados e disponíveis a todos os usuários que
deles necessitem, com o objetivo de garantir a operação segura e correta dos
recursos de processamento da informação (ABNT 27002, 2005).
Para a implementação do gerenciamento das operações, a norma ABNT 27002
(2005) diz que os procedimentos documentados devem envolver atividades
associadas a recursos de processamento e configuração de informações, tais como:
inicialização de computadores, cópias de segurança (backup) e manutenção de
equipamentos.
Quando tecnicamente possível, é aconselhável que os sistemas de informação
sejam gerenciados uniformemente, usando os mesmos procedimentos, ferramentas
e utilitários (ABNT 27002, 2005).
A divulgação dessas informações gera um nivelamento de conhecimento na equipe
de realiza a manutenção nos equipamentos e reduz o tempo para se chegar a uma
solução.
51
A norma ABNT 27002 (2005) aconselha a implantação de procedimentos de controle
para detecção, prevenção e recuperação para proteger contra códigos maliciosos,
assim como a conscientização dos usuários, com o objetivo de proteger a
integridade do software e da informação da organização.
Para que isso aconteça, as seguintes diretrizes devem ser consideradas:
a) estabelecer uma política formal proibindo o uso de softwares não
autorizados;
b) estabelecer uma política formal para proteção contra os riscos associados
com a importância de arquivos e softwares;
c) conduzir análises críticas regulares dos softwares e dados dos sistemas
que suportam processos críticos de negócio;
d) instalar e atualizar regularmente softwares de detecção e remoção de
códigos maliciosos para o exame de computadores e mídias, de forma
preventiva e rotineira;
e) definir procedimentos de gerenciamento e respectivas responsabilidades
para tratar da proteção de código malicioso nos sistemas; e
f) preparar planos de continuidade do negócio adequados para a
recuperação em caso de ataques por código malicioso;
A norma ABNT 27002 (2005) sugere que sejam estabelecidos procedimentos de
rotina para implementar as políticas e estratégias definidas para geração de cópias
de segurança, para garantir que toda informação essencial possa ser recuperada,
em tempo aceitável, após um desastre ou falha de uma mídia.
As redes devem ser adequadamente gerenciadas e controladas, de forma a protegê-
las contra ameaças e manter a segurança e aplicações utilizam estas redes,
incluindo a informação em trânsito.
52
Controles especiais devem proteger a confidencialidade e integridade dos dados
trafegados sobre redes públicas ou redes wireless. É aconselhável que os sistemas
sejam monitorados e eventos de segurança da informação sejam registrados, com o
objetivo de detectar atividades não autorizadas (ABNT 27002, 2005).
Uma atenção especial deve ser data aos logs do sistema. Os registros (logs) de
auditoria devem ser produzidos e mantidos por um período de tempo acordado para
auxiliar futuras investigações e monitoramente de controle de acesso (ABNT 27002,
2005).
Esses registros podem conter dados pessoais confidenciais e de intrusos, então é
necessário tomar medidas de proteção à privacidade deles.
5.6 CONTROLE DE ACESSO
A norma ABNT 27002 (2005, p.65) explica que “a política de controle de acesso
deve ser estabelecida, documentada e analisada criticamente, tornando-se como
base os requisitos de acesso dos negócios e segurança da informação”.
As regras de controle de acesso para cada usuário ou grupo de usuários devem
estar expressas na política de controle de acesso. Convém analisar os controles de
acesso lógico e físico (ver item 5.4).
A norma ABNT 27002 (2005) ainda relata que deve existir um procedimento formal
de registro e cancelamento de usuário para garantir e revogar acessos em todos os
sistemas de informação e serviços, incluindo:
a) utilizar identificador de usuário (ID de usuário) único para assegurar a
responsabilidade de cada usuário por suas ações;
53
b) verificar se o usuário tem autorização do gestor para uso do sistema de
informação ou serviço;
c) verificar se o nível de acesso concedido é apropriado ao propósito do
negócio;
d) dar para os usuários uma declaração por escrito dos seus direitos de
acesso;
e) requerer aos usuários a assinatura de uma declaração indicando que eles
entendem as condições de acesso;
f) manter um registro formal de todas as pessoas registradas para usar o
serviço;
g) remover imediatamente ou bloquear direitos de acesso de usuários que
mudaram de cargos, funções ou deixaram a organização; e
h) verificar periodicamente e remover e bloquear identificadores (ID) e contas
de usuários redundantes;
A concessão e o uso de privilégios devem ser restritos e controlados. Os privilégios
são concedidos de acordo com a necessidade de uso e aprovação do gestor (ABNT
27002, 2005).
Os usuários devem ser incentivados a seguir as boas práticas de segurança da
informação na seleção e uso de senhas, seguindo diretrizes como: manter a
confidencialidade das senhas; evitar manter anotadas senhas; selecionar senhas de
qualidade com um tamanho mínimo; modificar senhas regularmente e não
compartilhar senhas (ABNT 27002, 2005).
54
CONCLUSÃO
Riscos de segurança da informação existem em todas as organizações e podem
provocar sérios prejuízos. Diante disso, o presente trabalho apresentou um estudo
sobre os principais riscos de segurança da informação e suas medidas de controle.
Foram apresentados conceitos importantes sobre o segurança da informação, que
serviram para esclarecer o tema. Assim como as normas ABNT que tratam do
assunto de segurança da informação.
Os principais tipos de risco foram identificados e, posteriormente, sugeridas medidas
de controle para esses riscos. As normas ABNT serviram de base para as
recomendações de controle.
Quando os riscos são identificados previamente, eles podem ser controlados ou
minimizados, de forma que não interfiram no bom andamento do negócio da
organização.
Mas para que esse trabalho aconteça, é necessário que organização abra seus
olhos e dê a devida importância para a equipe de segurança da informação,
inclusive com verba específica.
Foram citadas várias medias de controle no capítulo 5, e para que elas sejam
implementadas é preciso investimento, dedicação e comprometimento dos gestores
e dos usuários dos recursos de TI. O apoio dos gestores da empresa se torna um
fator de sucesso para a implantação e manutenção da segurança da informação.
Apesar de já existirem normas ABNT específicas sobre o assunto, a segurança da
informação ainda enfrenta muitas barreiras nas empresas, pois para que os projetos
consigam ser corretamente implementados todos precisam estar conscientes de sua
importância e trabalharem em prol de um mesmo objetivo.
55
A segurança da informação pode ser vista como uma área estratégica dentro de
uma empresa. Os controles que ela implementa na verdade visam ajudar a empresa
a alcançar seus objetivos e não atrapalhar a rotina dos trabalhadores e gastar
dinheiro indevidamente.
Organizações que cuidam dos seus riscos e que praticam a segurança da
informação no dia a dia da empresa são bem vistas pela sociedade e demonstram
que estão preocupadas com o crescimento do seu negócio.
56
REFERÊNCIAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS E TÉCNICAS – ABNT. NBR ISO/IEC 27001:2006 - Tecnologia da Informação - Técnicas de Segurança - Sistemas de Gestão de Segurança da Informação – Requisitos. Rio de Janeiro: ABNT, 2006. ______. NBR ISO/IEC 27002:2005 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da Informação. Rio de Janeiro: ABNT, 2005. ______. NBR ISO/IEC 27004:2010 - Tecnologia da Informação - Técnicas de Segurança - Gestão da Segurança da Informação – Medição. Rio de Janeiro: ABNT, 2010. ______. NBR ISO/IEC 27005:2008 - Tecnologia da Informação - Técnicas de Segurança - Gestão de Riscos de Segurança da Informação. Rio de Janeiro: ABNT, 2008 . ALECRIM, Emerson. Vírus de Computador e Outros Malwares: o que são e como agem. Disponível em: <http://www.infowester.com/malwares.php>. Acesso em: 21 jul 2011. ______. Firewall: Conceitos e tipos. Disponível em: < http://www.infowester.com/firewall.php>. Acesso em: 21 jul 2011. ASAKURA, M. Pega o nome de um certificado digital. Disponível em: <http://www.flexdocs.com.br/guiaCTe/funcao.certificado.pegar.html>. Acesso em: 15 set 2011. BARWINSKI, Luisa. O que é assinatura digital?. Disponível em: <http://www.tecmundo.com.br/941-o-que-e-assinatura-digital-.htm>. Acesso em: 18 jul 2011. BEAL, Adriana. Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação das organizações. São Paulo: Atlas, 2005. BECEIRO, Francisco Panizo. Tudo sobre Spyware. Disponível em: < http://www.superdicas.com.br/infovir/spyware.asp>. Acesso em: 21 jul 2011. BURGUESA, Ana. Certificado Digital Gratuito. Disponível em: <http://www.sempretops.com/informacao/certificado-digital-gratuito>. Acesso em: 15 set 2011. COMER, Douglas E. Interligação em Rede com TCP/IP. Rio de Janeiro: Campus, 1998.
57
DEMO, Pedro. Metodologia Científica em Ciências Sociais. São Paulo: Atlas, 1981. FAVARETO, André Luiz. Serviços de Redes. 1ª ed. Vila Velha: ESAB, 2003. FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Marcio Tadeu. Política de segurança da informação: Guia prático para embalagem e implementação. Rio de Janeiro: Ciência Moderna, 2006. GAIVEO, Maria M. Análise e Gestão do Risco em Segurança da Informação. Disponível em: <http://elojas.com.pt/artigos/analise-e-gestao-do-risco-em-seguranca-da-informacao>. Acesso em: 21 jul 2011. GALVÃO, Junior. Diferenças entre chaves simétricas e assimétricas para criptografia. Disponível em: < http://pedrogalvaojunior.wordpress.com/2007/11/16/diferencas-entre-chaves-simetrica-e-assimetrica-para-criptografia/>. Acesso em: 21 jul 2011. GIL, A.C. Métodos e técnicas de pesquisa social. São Paulo: Atlas, 1999. INFORMA BR. Segurança da informação. Disponível em: <http://www.informabr.com.br/nbr.htm#13>. Acesso em: 22 jul 2011. KOWASK, Edson. Gestão de riscos de TI: NBR 27005. Rio de Janeiro: RNP/ESR, 2011. Disponível em: <http://pt.scribd.com/doc/55387254/4/Norma-ABNT-NBR-ISO-IEC-27005-2008>. Acesso em: 22 jul 2011. KUROSE, James F.; ROSS, Keith W. Redes de Computadores e a Internet. 3ª Ed. São Paulo: Pearson, 2006. MARQUES, Alexandre Fernandez. Segurança em Redes IP. Monografia Submetida à ASIT, 2001. MATOS, Francisco Marcelo Alencar. Proposta de um checklist para a verificação da segurança física de uma empresa baseada na norma ABNT NBR ISO/IEC 27002:2005. Dissertação apresentada à Faculdade Lourenço Filho para obtenção do título de Bacharel em Ciência da Computação. Fortaleza, 2010. Disponível em: <http://www.flf.edu.br/revista-flf/monografias-computacao/monografia_marcelo_matos.pdf>. Acesso em: 22 de julho de 2011. MIRANDA, Aníbal D. A. Introdução às Redes de Computadores. 1ª ed. Vila Velha: ESAB, 2008. NAKAMURA, Emilio Tissato; GEUS, Paulo Lucio. Segurança de Redes em Ambientes Cooporativos. São Paulo: Novatec, 2007. NUNES, Delio Silva. PKI – Public Key Infrastructure. Disponível em: <http://www.gta.ufrj.br/grad/07_2/delio/Criptografiasimtrica.html>. Acesso em: 19 jul 2011.
58
PUTTINI, Ricardo. Conceitos Fundamentais de Segurança da Informação. Disponível em: <http://www.redes.unb.br/security/ssl3/conceitos.html>. Acesso em: 19 jul 2011. RUSSEL, Ryan. Rede Segura – Network. Rio de Janeiro: Alta Books, 2002. SALOMON, Delcio Vieira. Como Fazer uma Monografia. São Paulo: Martins Fontes, 2001. SANTOS, Luiz Arthur Feitosa. Boas Práticas de Segurança da Informação. Disponível em: <http://www.slideshare.net/luiz_arthur/palestra-mau-uso-da-tecnologia>. Acesso em: 18 jul 2011. TANEMBAUM, Andrew. Sistemas Operacionais Modernos. 2ª Ed. São Paulo: Pearson Prentice Hall, 2003. ______. Redes de Computadores. 4ª Edição. Rio de Janeiro: Elsevier, 2003. TELES, Cristiano. Certificação Digital. Disponível em: <http://www.cristianoteles.com.br/blog/2008/08/certificacao-digital/>. Acesso em: 15 set 2011. THIENGO, Humberto Carvalho. Redes de Computadores I. Disponível em: <http://www.gta.ufrj.br/grad/08_1/firewall/definition.html>. Acesso em: 19 jul 2011. WEEGE, Jose Fernando Marques. Gestão de risco – segurança da informação. Disponível em: <http://www.ftec.com.br/empresajr/revista/autor/pdf/jose.pdf>. Acesso em: 26 maio 2011.
