Click here to load reader
Upload
ane-priscila
View
218
Download
3
Embed Size (px)
DESCRIPTION
ISO1779_COBIT
Citation preview
CENTRO UNIVERSITÁRIO LUTERANO DE JI-PARANÁ
SISTEMAS DE INFORMAÇÃO
ANE PRISCILA GONÇALVES
TIAGO PATRICK NOGUEIRA PADILHA
WELLITON SOUZA ALVES
NORMAS E PADRÕES DE SEGURANÇA
JI-PARANÁ
2014
INTRODUÇÃO
A atividade desenvolvida como pesquisa bibliográfica explana sobre as características, processos, práticas e controles das normas e padrões de segurança Cobit, ISO/IEC 17799 e ISO 13335 na área de Tecnologia da Informação. Normas estas importantes para a segurança da informação como a proteção da informação de vários tipos de ameaças para garantir a desenvolvimento do negócio, minimizar o risco, aumentar o retorno sobre os investimentos e as oportunidades.
ISO/IEC 17799
De acordo com (ABNT, 2005) a ABNT NBR ISO/IEC 17799 foi elaborada no
Comitê Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21), pela
Comissão de Estudo de Segurança Física em Instalações de Informática (CE-
21:204.01). O Projeto circulou em Consulta Nacional conforme Edital nº 03, de
31.03.2005, com o número de Projeto NBR ISO/IEC 17799.
Ela enfatiza mais os resultados da implantação de um ambiente de segurança da
informação, quando define que a segurança da informação é a proteção da informação
de vários tipos de ameaças para garantir a desenvolvimento do negócio, minimizar o
risco do negócio, aumentar o retorno sobre os investimentos e as oportunidades de
negócio.
NBR ISO/IEC 17799 é voltada para empresas que desejam desenvolver práticas
eficazes de gestão de informações de segurança e melhorar suas atitudes em relação à
segurança de TI. A norma também fornece informações valiosas para gerentes seniores
sobre questões relacionadas à segurança que podem ser usadas antes da realização de
uma avaliação de risco, incluindo as melhores práticas sobre como identificar ativos
críticos.
Segundo a (ABNT, 2005) a NBR ISO/IEC 17799 e dividida em algumas
clausulas como.
Política de segurança
Segurança organizacional
Classificação e controle dos ativos de informação
Segurança em pessoas
Segurança física e do ambiente
Gerenciamento das operações e comunicações
Controle de acesso
Desenvolvimento e manutenção de sistemas
Gestão de Incidentes de Segurança da Informação
Gestão da continuidade do negócio
Conformidade
Política de Segurança
As políticas de segurança são à base da estrutura de segurança ela fornece
orientação e informações sobre a postura de segurança da empresa. Esta cláusula
proporciona os estados do apoio à segurança da informação, deve ser feita de acordo
com a política de segurança da empresa. Por exemplo, os auditores devem verificar se a
empresa tem uma política de segurança, como ela é mantida, e se ela é disseminada para
todos os funcionários.
Organização da Segurança da Informação
Organização da Segurança da Informação trata da estrutura de elaboração e
organização do programa de segurança, incluindo o quadro adequado para a gestão da
política de segurança, como os ativos de informação devem ser protegidos de terceiros,
e como a segurança da informação é mantida quando o processamento é terceirizado.
Classificação e Controle dos Ativos de Informação
Esta cláusula descreve as melhores práticas para classificar e proteger os ativos,
incluindo dados, software, hardware e serviços públicos. A cláusula também fornece
informações sobre como classificar dados, como os dados devem ser tratados, e como
proteger os ativos de dados de forma adequada.
Segurança em Pessoas
Descreve as melhores práticas para a gestão de pessoal, incluindo práticas de
contratação, procedimentos de rescisão, treinamento para empregados em controles de
segurança, disseminação de políticas de segurança e utilização de procedimentos de
resposta a incidentes.
Segurança Física de Ambientes
Como o nome indica, esta clausula aborda os diferentes aspectos físicos e
ambientais de segurança, incluindo as melhores práticas de organizações podem usar
para minimizar as interrupções de serviço, impedir o acesso físico não autorizado, ou
minimizar o roubo de recursos corporativos.
Gerenciamento das Operações e Comunicações
O Gerenciamento das Operações e Comunicações discute os requisitos relativos
à gestão e operação de sistemas e informação eletrônica. Exemplos de controles de
auditoria nesta área incluem o planejamento do sistema, gerenciamento de rede e e-mail
e segurança de e-commerce.
Controle de Acesso
Esta cláusula de segurança descreve como o acesso a bens sociais devem ser
geridos, incluindo o acesso à informação digital e não digitais, bem como recursos de
rede.
Desenvolvimento e Manutenção
Esta seção aborda o desenvolvimento de sistemas de TI, incluindo aplicações
criadas por terceiros, e como a segurança deve ser incorporada durante a fase de
desenvolvimento.
Gestão de Incidentes de Segurança da Informação
A Gestão de Incidentes de Segurança da Informação identifica as melhores
práticas para a comunicação de questões de segurança da informação e os pontos fracos,
como os procedimentos de notificação e de escalação. Uma vez estabelecida, os
auditores podem rever os controles existentes para determinar se a empresa tem
procedimentos adequados para lidar com incidentes de segurança.
Gestão de Continuidade de Negócios
Esta fornece informações sobre a recuperação de desastres e planejamento de
continuidade de negócios. Ações auditores devem revisar incluem como os planos são
desenvolvidos, mantidos, testados e validados, e se ou não os planos de abordar os
componentes da operação de negócios críticos.
Conformidade
A cláusula final fornece informações aos auditores da informação que podem
usar ao identificar o nível de conformidade de sistemas e controles com políticas
internas de segurança, regulamentos específicos do setor, e legislação do governo.
COBIT (Control Objectives for Information and Related Technology)
História
Criado em 1994 pela ISACF (Information Systems Audit and Control
Foundation) o modelo inicial com objetivos de controle e evoluiu com incorporação de
padrões internacionais técnicos regulatórios para processos de TI. Em 1998 foi lançada
a sua 2ª edição agregando um conjunto de ferramentas e padrões de implementação. Em
2005 foi lançada a 3ª edição que foi publicada pelo ITGI(IT Governace Institute) órgão
criado pela ISACA(Information Systems Audit and Control Association) para melhor
atender. Novamente atualizado em 2005 para a versão 4.0 que veio com praticas e
padrões mais maduros alinhados com modelos como ITIL(Information Technology
Infrastructure Library), COSO() e ISO/IEC17799, em 2007 outra atualização aconteceu
mas não de toda versão algumas alterações pontuais em relação a maior eficácia dos
objetivos de controle e dos processos de verificação e divulgação de resultados.
(FERNANDES, 2008).
Fundamentos da Gestão de Segurança
De acordo com McCarthy, 2013 COBIT é uma estrutura de controle e
administração de TI direcionada para o alinhamento de processos de TI e serve como
complemento de outras prática como a ITIL, ISSO/IEC27000 e CMMI(Capability
Maturity Model). Seu objetivo principal e a avaliação do desempenho e maturidade dos
processos de TI.
Para a gestão da segurança da informação são adotadas as normas da série
ISO/IEC 27000, que contempla:
ISO/IEC 27001, Information Security Management Systems - Requirement,
definida para prover um modelo para estabelecer, implantar, operar, monitorar,
rever, manter e melhorar um Sistema de Gestão da Segurança da Informação.
ISO/IEC 27002, Code of Practice for Information Security Management
(substitui a ISO 177799) que tem o objetivo de servir como um guia prático para
desenvolver os procedimentos de segurança da informação e práticas eficientes
de gestão da segurança para a organização.
Esses padrões devem ser adotados pelas organizações de TI em maior ou menor
escala, dependendo da complexidade do negócio. Quanto mais complexo o negócio
mais formal devem ser a implementação dos processos e seu controle. Se forem
analisadas as técnicas e as práticas recomendadas por esses padrões é possível concluir
que são óbvias para uma boa gestão de TI, entretanto se forem ignoradas as empresas
são colocadas em risco.
A adoção de padrões requer um controle efetivo que avalie continuamente o
desempenho das práticas e das pessoas, garantindo a eficiência da organização. Um
método de acompanhamento das metas pré-definidas pela organização é o Balance
Scorecard. Esse processo permite criar sinergia entre as pessoas, assegurar que a
estratégia seja implementada e avaliar o desempenho da organização.
Abrangência da Norma
O modelo Cobit é utilizado para realizar uma avaliação dos processos de TI
visando identificar as maiores discrepâncias entre os requisitos do negócio e a situação
atual da TI. O escopo do modelo Cobit é aplicável para auditoria e controle de processos
de TI, desde o planejamento da tecnologia até a monitoração e auditoria de todos os
processos. Suas principais características são o foco nos requisitos do negócio, a
orientação para uma abordagem de processos, a utilização extensiva de mecanismos de
controle e o direcionamento para a análise das medições e indicadores de desempenho
obtidos ao longo do tempo. (ABREU E FERNANDES, 2010).
Processos, Práticas, Controles na Área de TI
Como todo os modelos de gestão, o CobiT prevê processos para garantir a
melhoria contínua dos processos implantados. A metodologia de melhoria contínua Six-
sigma pode ser adotada para atender essa exigência. O Six-sigma está baseado no
PDCA (Plan-Do-Control-Act) do Deming.
Os modelos de maturidade de governança são usados para o controle dos
processos de TI e fornecem um método eficiente para classificar o estágio da
organização de TI. A governança de TI e seus processos com o objetivo de adicionar
valor ao negócio através do balanceamento do risco e returno do investimento podem
ser classificados da seguinte forma:
0 Inexistente
1 Inicial / Ad Hoc
2 Repetitivo mas intuitivo
3 Processos definidos
4 Processos gerenciáveis e medidos
5 Processo otimizados
Essa abordagem é derivada do modelo de maturidade para desenvolvimento de
software, Capability Maturity Model Integrated for Software (SW-CMMI), proposto
pelo Software Engineering Institute (SEI). A partir desses níveis, foi desenvolvido para
cada um dos 34 processos do CobiT um roteiro:
Onde a organização está hoje
O atual estágio de desenvolvimento da industria (best-in-class)
O atual estágio dos padrões internacionais
Aonde a organização quer chegar
Os fatores críticos de sucesso definem os desafios mais importantes ou ações de
gerenciamento que devem ser adotadas para colocar sobre controle a gestão de TI. São
definidas as ações mais importantes do ponto de vista do que fazer a nível estratégico,
técnico, organizacional e de processo.
Os indicadores de objetivos definem como serão mensurados os progressos das
ações para atingir os objetivos da organização, usualmente expressos nos seguintes
termos:
Disponibilidade das informações necessárias para suportar as necessidades de
negócios
Riscos de falta de integridade e confidencialidade das informações
Confirmação de confiabilidade, efetividade e conformidade das informações.
Eficiência nos custos dos processos e operações
Indicadores de desempenho definem medidas para determinar como os
processos de TI estão sendo executados e se eles permitem atingir os objetivos
planejados; são os indicadores que definem se os objetivos serão atingidos ou não; são
os indicadores que avaliam as boas práticas e habilidades de TI.
Para avaliação do nível de maturidade utiliza-se o CobiT® Assessment
Process(CAP). O processo avalia os seguintes aspectos: propósito do processo;
resultados do processo; descrição das práticas recomendadas para o processo (BP
– Base Practice); entregáveis do processo (WP – Work Product); e, os processos
dependentes ou requeridos para processo.
Para todas as BPs associadas ao processo avalia-se a capacidade para atender aos
objetivos dos processos de negócio. A partir do resultado da avaliação é planejada ações
para atingir o nível ideal de maturidade do processo.
O CobiT está dividido em quatro domínios:
1. Planejamento e organização.
2. Aquisição e implementação.
3. Entrega e suporte.
4. Monitoração.
Cada domínio cobre um conjunto de processos para garantir a completa gestão
de TI, somando 34 processos:
Planejamento e Organização
1. Define o plano estratégico de TI
2. Define a arquitetura da informação
3. Determina a direção tecnológica
4. Define a organização de TI, os seus processos e seus relacionamentos
5. Gerencia os investimento de TI
6. Comunica os objetivos e direcionamentos gerenciais
7. Gerencia os recursos humanos
8. Gerenciar a qualidade
9. Avalia e gerencia os riscos de TI
10. Gerencia os projetos
Aquisição e implementação
1. Identifica as soluções de automação
2. Adquire e mantém os softwares
3. Adquire e mantém a infraestrutura tecnológica
4. Viabiliza a operação e utilização
5. Adquire recursos de TI
6. Gerencia as mudanças
7. Instala e aprova soluções e mudanças
Entrega e suporte
1. Define e mantém os acordos de níveis de serviços (SLA)
2. Gerencia os serviços de terceiros
3. Gerencia a performance e capacidade do ambiente
4. Assegura a continuidade dos serviços
5. Assegura a segurança dos serviços
6. Identifica e aloca custos
7. Educa e treina os usuários
8. Gerencia a central de serviços e incidentes
9. Gerencia a configuração
10. Gerencia os problemas
11. Gerencia os dados
12. Gerencia a infraestrutura
13. Gerencia as operações
Monitoração
1. Monitora e avalia o desempenho da TI
2. Monitora e avalia os controles internos
3. Assegura a conformidade com requisitos externos
4. Provê governança para a TI
ISO/IEC TR 13335
História
De acordo com a ISO/IEC TR 13335 parte 3 - Techniques for the management of
it security. Publicada em 1998, apresenta técnicas de gestão de segurança para a área de
tecnologia da informação. Pode ser utilizada para trabalhar em conjunto com a BS
7799-2, que sugere quais os processos devem ser implantados para conduzir a gestão de
segurança, enquanto que a ISO 13335-3 descreve as técnicas.
Fundamentos da Gestão de Segurança
Governo e organizações comerciais dependem muito do uso da informação para
conduzir suas atividades empresariais. Compromisso de confidencialidade, integridade,
disponibilidade, não repúdio, responsabilidade, autenticidade e confiabilidade de uma
organização ativa pode ter um impacto adverso. Consequentemente há uma necessidade
crítica para proteger as informações e gerenciar a segurança de sistemas de TIC dentro
das organizações. Esta obrigação de proteger informações é particularmente importante
hoje em dia, o ambiente, porque muitas organizações estão interna e externamente
conectadas por redes de sistemas de TIC não necessariamente controlados por suas
organizações. Assim, a legislação em muitos países requer que a Administração tomar
as medidas adequadas para mitigar relacionado com o negócio de risco eo usa de
sistemas de TIC. Essa legislação pode abranger não só a proteção da privacidade /
dados, mas também os mercados de saúde e financeiros, entre outros.
Abrangência da Norma
As informações fornecidas na ISO / IEC 13335-1 podem não ser diretamente
aplicável a todas as organizações. Em particular, as pequenas organizações não são
susceptíveis de ter todos os recursos disponíveis para executar completamente algumas
das funções descritas. Nestas situações, é importante que os conceitos e as funções
básicas sejam tratados de uma maneira apropriada para a organização. Mesmo em
grandes organizações, algumas das funções discutidas nesta parte não podem ser
realizadas exatamente como descritas.
Processos
Os processos são constituído por um conjunto de orientações genéricas de gestão
da segurança das TI, com 5 partes produzidas nos últimos oito anos, alguns com
atualizações recentes:
2004 - Parte 1: (ISO / IEC 13335-1 de tecnologia da informação - Técnicas de
segurança - Gestão de informação e comunicação de segurança de tecnologia. Parte 1: -
Conceitos e modelos de informação e tecnologia de comunicações de gestão de
segurança) fornece uma visão geral dos conceitos fundamentais e modelos utilizados
para descrever a gestão da segurança das TIC.
1997 - Parte 2: (ISO / IEC 13335-2 Tecnologia de Informação Técnicas de segurança -
Gestão de informação e comunicação de segurança de tecnologia - Parte 2: - Técnicas
de informação e tecnologia de comunicações de gerenciamento de riscos de segurança,
a ser publicado) descreve técnicas de gestão de riscos de segurança apropriadas para o
uso por aqueles envolvidos com atividades de gestão.
Note-se que as partes 3, 4 e 5 são Relatórios Técnicos. Como se observa no prefácio,
ISO / IEC 13335 Parte 1 substitui ISO / IEC TR 13335 Parte 1 e Parte 2. ISO / IEC
13335 Parte 2, quando publicado, irá substituir a norma ISO / IEC TR 13335 Parte 3 e
Parte 4.
1998 - Parte 3: (ISO / IEC TR 13335-3 tecnologia da informação - Técnicas de
segurança - Diretriz para a gestão da segurança de Tecnologia da Informação - Parte 3:
Técnicas para a gestão de segurança de Tecnologia da Informação) descreve técnicas de
gestão de riscos de segurança apropriadas para o uso por aqueles que estão envolvidos
com a gestão atividades.
2000 - Parte 4: (ISO / IEC TR 13335-4 Tecnologia da informação - Técnicas de
segurança - Diretriz para a gestão de segurança de Tecnologia da Informação - Parte 4: -
Seleção de salvaguardas) fornece orientação para a seleção de salva arquivos, e como
isso pode ser apoiada pelo uso de modelos de referência e os controlos. Ele também
descreve como este complementa as técnicas de segurança descritos na Parte 2, e como
métodos de avaliação adicionais podem ser usados para a seleção de salvaguardas.
2001 - Parte 5: (ISO / IEC TR 13335-5 tecnologia da informação - Técnicas de
segurança - Diretriz para a gestão da segurança de Tecnologia da Informação - Parte 5: -
Gestão orientação sobre segurança de rede) fornece orientação no que diz respeito às
redes e comunicações para os responsáveis pela gestão de TI segurança. Esta orientação
apoia a identificação e análise das comunicações fatores que devem ser levados em
conta para estabelecer os requisitos de segurança de rede relacionados. Ele também
contém uma breve introdução aos possíveis áreas de salvaguarda.
Política de segurança de TI
Uma política de segurança corporativa de TI deve ser produzida baseada de
acordo com a estratégia e objetivos de segurança de TI sendo necessário estabelecer e
manter uma política corporativa de segurança consistente com o negócio, segurança,
políticas de TI, legislação e regulamentação.
Atividades relevantes de segurança descritas na política de segurança podem ser
baseadas nas estratégias e objetivos organizacionais, nos resultados das análises de
risco, revisões, acompanhamento de resultados e nos relatórios de incidentes relevantes.
REFERENCIA
FAGUNDES, Eduardo. COBIT um kit de ferramentas para a excelência de TI – Disponível em: http://www.efagundes.com/artigos/cobit.htm
MCCARTHY N., K., Resposta A Incidentes de Segurança Em Computadores - Planos Para Proteção de Informação Em Risco. Porto Alegre, RS: Bookman, 2013.
FERNANDES, Aguinaldo Aragon, Implantando a Governança de TI - da Estratégia à Gestão de Processos e Serviços. Rio de Janeiro: Brasport, 2008.
ABNT.NBR ISSO/IEC 17779:2005: Tecnologia da Informação - Técnicas de Segurança - Código de Prática para Gestão de Segurança da Informação. Rio de Janeiro, Associação Brasileira de Normas Técnicas, 2005.