Embed Size (px)
Citation preview
UFRJ – UNIVERSIDADE FEDERAL DO RIO DE JANEIRO
ESCOLA POLITÉCNICAMBA EM ENGENHARIA DA COMPUTAÇÃO AVANÇADA
MBCA-3DISCIPLINA DE GOVERNANÇA
DOCENTE: Carlos Henrique Santos da Silva, Msc.
ISO/IEC 27002
Gabriel FerreiraFilipe Muggiati
Mário ValeRodrigo de Souza
Rio de Janeiro
Setembro de 2010
RESUMO
O presente trabalho visa apresentar a norma ISO/IEC 27002, responsável pelas boas práticas de Gestão de Segurança da Informação, as quais envolvem as avaliações de risco, políticas de segurança da informação, gestão de ativos e outros segmentos.
Este trabalho apresenta uma breve introdução sobre a norma, sua evolução cronológica e, posteriormente, apresenta sua estrutura básica. Em seguida são resumidas as principais seções, seus objetivos e processos de controle.
Por fim, é apresetado um estudo de caso com propostas de medidas de segurança da informação para a gestão de continuidade do negócio de uma microempresa.
Palavras-Chave: ISO/IEC-27002, Gestão de Segurança da Informação, Boas Práticas.
ii
SUMÁRIO1. INTRODUÇÃO................................................................................................................................1
1.1 Objetivo.....................................................................................................................................12. INFORMAÇÃO E SEGURANÇA DA INFORMAÇÃO................................................................2
2.1 A Informação como um Ativo....................................................................................................22.2 Segurança da Informação...........................................................................................................22.3 Motivação da Segurança da Informação....................................................................................22.4 Requisitos...................................................................................................................................32.5 Avaliação dos Riscos..................................................................................................................32.6 Seleção de Controles..................................................................................................................42.7 Pontos de Partida.......................................................................................................................4
3. A ISO/IEC 27002..............................................................................................................................63.1 Seções Preliminares...................................................................................................................73.2 Seção 5 – Política de Segurança da Informação........................................................................83.3 Seção 6 – Organizando a Segurança da Informação..................................................................83.4 Seção 7 – Gestão de Ativos........................................................................................................83.5 Seção 8 – Segurança em Recursos Humanos............................................................................83.6 Seção 9 – Segurança Física e do Ambiente...............................................................................93.7 Seção 10 – Gerenciamento das Operações e Comunicações.....................................................93.8 Seção 11 – Controle de Acessos..............................................................................................103.9 Seção 12 – Aquisição, desenvolvimento e manutenção de sistemas de informação...............103.10 Seção 13 – Gestão de Incidentes de Segurança da Informação.............................................103.11 Seção 14 – Gestão da Continuidade do Negócio...................................................................113.12 Seção 15 – Conformidade......................................................................................................11
4. ESTUDO DE CASO......................................................................................................................124.1 Justificativa..............................................................................................................................124.2 A ISO/IEC 27001 e 27002 nas Pequenas e Microempresas....................................................124.3 A Nota Fiscal Eletrônica..........................................................................................................134.4 PROPOSTA: Implementar uma Gestão de Continuidade do Negócio para emissão de NFe em Microempresas...............................................................................................................................134.5 Análise de Riscos.....................................................................................................................134.6 Gestão de Ativos......................................................................................................................144.7 Segurança Física e do Meio Ambiente – Proteção contra ameaças externas e do meio ambiente.........................................................................................................................................144.8 Segurança de Equipamentos....................................................................................................154.9 Manutenção dos Equipamentos...............................................................................................154.10 Procedimentos e Responsabilidades Operacionais................................................................154.11 Proteção contra Códigos Maliciosos......................................................................................164.12 Cópias de Segurança..............................................................................................................164.13 Gestão de Incidentes de Segurança da Informação e melhorias............................................164.14 Testes dos planos de Continuidade do Negócio.....................................................................174.15 Resultados..............................................................................................................................17
5. CONCLUSÕES..............................................................................................................................196. REFERÊNCIAS BIBLIOGRÁFICAS...........................................................................................20
iii
1. INTRODUÇÃO
Atualmente, a informação pode ser considerada um grande ativo para muitas empresas, seja
ela na forma de produto final, como um software, ou na forma de um modelo de negócio. Por isso, é
muito importante que algumas de suas características fundamentais, como a integridade, a
confidencialidade e a disponibilidade sejam garantidas. Assim, surge a Segurança da Informação
que tem como objetivo a proteção de um conjunto de informações que possuem valor para o
negócio, através de medidas como implantação de política e controles de segurança.
Neste contexto, tem-se a ISO/IEC 27002, que é uma norma que apresenta as diretrizes para
um Sistema de Gestão de Segurança da Informação. No Brasil, as normas ISO para segurança da
informação foram adotadas e traduzidas pelas ABNT recebendo a denominação de NBR ISO/IEC
27001:2006 e NBR ISO/IEC 27002:2005.
As empresas que possuem a certificação da ISO-27002 são credenciadas nas diferentes
seções abordadas pela norma, apresentando um Sistema de Gestão de Segurança da Informação,
que aborda desde os Recursos Humanos, passando pelo próprio ambiente físico de trabalho, gestão
de ativos e operações de comunicação das informações.
Enquanto que a norma ISO 27001 refere-se a quais requisitos de sistemas de gestão de
informação devem ser implementados pela organização, a ISO 27002 é um guia que orienta a
utilização de controles de segurança da informação, definindo as melhores práticas para gestão da
Segurança da Informação.
1.1 Objetivo
Este trabalho tem o objetivo de apresentar um histórico, os principais objetivos da ISO/IEC
27002, sua estrutura e um resumo das suas seções, principais objetivos e ferramentas de controle.
Posteriormente será apresentado um estudo de caso com a adoção de algumas medidas de
segurança, previstas pela ISO/IEC 27002, em uma microempresa.
1
2. INFORMAÇÃO E SEGURANÇA DA INFORMAÇÃO
2.1 A Informação como um Ativo
De acordo com a ISO 27002, informação é um ativo que, como qualquer outro ativo
importante para o negócio, tem valor para a organização e consequentemente precisa ser protegida.
2.2 Segurança da Informação
Diante desta avaliação do valor da informação, observa-se a necessidade de protegê-la, neste
contexto, surge a Segurança da Informação e, por conseguinte, os Sistemas de Gestão da Segurança
da Informação.
Os SGSI são baseados em três atributos, conhecidos como a tríade CIA (Confidentiality,
Integrity and Availability), representando os principais fatores que orientam a análise, o
planejamento e a implementação da segurança para um determinado grupo de informações que se
deseja proteger. Outros atributos importantes são a autenticidade e, com o evoluir do comércio
eletrônico e da sociedade da informação, a privacidade, que se tornou outra grande preocupação.
Ainda com relação as diretrizes abordadas pela tríade CIA, podemos defini-las como[2]:
• Confidencialidade: propriedade que limita o acesso a informação tão somente às entidades
legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
• Integridade: propriedade que garante que a informação manipulada mantenha todas as
características originais estabelecidas pelo proprietário da informação, incluindo controle de
mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).
• Disponibilidade: propriedade que garante que a informação esteja sempre disponível para o
uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
2.3 Motivação da Segurança da Informação
Em vista que a informação e os processos de apoio, sistemas e redes são importantes ativos
para negócios, são de principal importância as atividades de definir, manter e melhorar a segurança
2
da informação para que possamos assegurar a competitividade, o fluxo de caixa, a lucratividade, o
atendimento aos requisitos legais e a imagem da organização junto ao mercado.
Com o avanço da tecnologia, o surgimento da internet e vários outros dispositivos
eletrônicos, garantir os principais conceitos da segurança da informação (confidencialidade,
integridade e disponibilidade) ficou ainda mais complexo. Para piorar, devido a ausência da
segurança nas empresas, as informações passaram a serem acessadas, ou até manipuladas,
facilmente por pessoas com ou más intenções ou sem autorização.
Atualmente, numa era onde conhecimento e informação são fatores de suma importância
para qualquer organização ou nação, segurança da informação é um pré-requisito para todo e
qualquer sistema de informações e deve atingir toda a empresa, desde os funcionários, acionistas,
terceiras partes, clientes ou outras partes externas.
2.4 Requisitos
Num primeiro momento, é essencial que uma organização identifique os seus requisitos de
segurança da informação. Existem três fontes principais de requisitos de segurança da informação.
1. Uma fonte é obtida a partir da análise/avaliação de riscos para a organização, levando-se em
conta os objetivos e as estratégias globais de negócios da organização
2. Outra fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais
que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que
atender, além do seu sociocultural.
3. A terceira fonte é um conjunto particular de princípios, objetivos e os requisitos do negócio
para o processamento da informação que uma organização tem que desenvolver para apoiar
suas operações.
2.5 Avaliação dos Riscos
A primeira etapa para se implementar um sistema de gestão da segurança da informação em
uma organização é a avaliação dos riscos envolvidos, que nada mais é do que a comparação entre a
estimativa e os critérios definidos para determinar os níveis de risco de incidentes de segurança da
informação. Onde o risco é a possibilidade de uma determinada ameaça explorar vulnerabilidades 3
de um ativo ou de um conjunto de ativos, prejudicando a organização.
Este avaliação portanto tem, por objetivo, identificar os riscos de segurança presentes na
organização, fornecendo conhecimento para que sejam implementados controles eficazes de
segurança.
Uma avaliação bem feita dará informações à organização para garantir a confidencialidade,
disponibilidade e integridade das informações, além de trazer benefícios como conhecimento real
dos riscos, otimização dos recursos e fornece subsídios para um plano de ação.
2.6 Seleção de Controles
Uma vez que os requisitos de segurança da informação e os riscos tenham sido identificados
e as decisões para o tratamento dos riscos tenham sido tomadas, convém que controles apropriados
sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nível
aceitável. Estes controles podem ser dos mais variados tipos, como senhas de acesso, política de
segurança da informação (PSI), contratos de responsabilidade sobre uso da informação,
equipamento de firewall (proteção contra invasões por hackers), entre muitos outros.
2.7 Pontos de Partida
A NBR 27002 considera que um certo número de controles pode ser considerado um bom
ponto de partida para a implementação da segurança da informação. Estes controles são baseados
tanto em requisitos legais como nas melhores práticas de segurança da informação normalmente
usadas.
De acordo com a norma, os controles considerados essências para uma organização, sob o
ponto de vista legal, incluem, dependendo da legislação aplicável:
a) proteção de dados e privacidade de informações pessoais
b) proteção de registro organizacionais
c) direitos de propriedade intelectual
Os controles considerados práticas para segurança da informação incluem:
4
d) documento da política de segurança da informação;
e) atribuição de responsabilidades para a segurança da informação;
f) conscientização, educação e treinamento em segurança da informação
g) processamento correto nas aplicações;
h) gestão de vulnerabilidades técnicas;
i) gestão da continuidade do negócio;
j) gestão de incidentes de segurança da informação e melhorias.
Esses controles se aplicam para a maioria das organizações e na maioria dos ambientes.
O ponto de partida para a implementação de um sistema de segurança da informação é a
atitude do pessoal, começando pela criação de uma cultura de segurança da informação dentro da
empresa.
5
3. A ISO/IEC 27002
A ISO/IEC 27002 é um padrão de segurança da informação publicado pela ISO
(Internationa Organization for Standardization) e pela Comissão Eletrotécnica Internacional - IEC.
Foi inicialmente nomeada de ISO/IEC 17799:2005 e posteriormente renumerada para ISO/IEC
27002:2005, em julho de 2007.
A ISO/IEC 27002 fornece a recomendação das melhores práticas para a Gestão da
Segurança da Informação a serem utilizadas por aqueles que são responsáveis por iniciar, executar
ou manter Sistemas de Gestão da Segurança da Informação (“estabelecer diretrizes e princípios
gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma
organização”[1]).
Entre as razões oferecidas para adoção estão a melhoria da eficácia da S.I., aceitação global,
redução potencial do valor do seguro, conformidade com as legislações, levando a benefícios como
redução do risco de responsabilidade de não implementação de S.I. ou de políticas e procedimentos,
confiança de parceiros e clientes e mecanismos para medir o sucesso do sistema.
6
Figura 1: Cronologia das normas ISO 27001:2006 e da 27002:2005. Fonte [4].
3.1 Seções Preliminares
3.1.1 Seção 1 - Objetivo
Estabelece os principais objetivos da norma, que são, de acordo com a norma, de iniciar,
implementar, manter e melhorar a gestão da informação de uma organização, através da
implementação dos controles usados para atender os requisitos identificados na avaliação de riscos.
[1]
3.1.2 Seção 2 - Termos e definições
Esta seção apenas define os principais termos usados durante a norma.
3.1.3 Seção 3 - Estrutura da norma
A norma foi baseada na BS 7799-1:1999 e desenvolvida para ser utilizada como um
documento de referência que fornece um conjunto completo de controles de segurança baseados nas
melhores práticas de segurança da informação. Consiste em 11 seções de controle (mais uma seção
introdutória sobre análise/avaliação e o tratamento de riscos), 39 objetivos de controle e 133
controles.
De acordo com a ISO 27002, Cada categoria principal da SI contém:
• Um objetivo de controle que define o que deve ser alcançado;
• Um ou mais controles que podem ser aplicados para alcançar o objetivo de controle.
A ISO apresenta ainda as diretrizes que devem ser adotadas para a implantação dos controles
citados.
3.1.4 Seção 4 - Análise, avaliação e tratamento de riscos:
Esta é uma seção introdutória sobre análise de riscos, que já foi discutida neste trabalho no
capítulo 2.5.
7
3.2 Seção 5 – Política de Segurança da Informação
A organização deve disponibilizar documentos, devidamente revisados e analisados
regulamente, com informações sobres as políticas e normas de segurança referentes à objetivos de
controle, conceitos de segurança da informação, normas e requisitos de conformidades específicos
da organização, critérios de análise, avaliação e gerenciamento de riscos.
3.3 Seção 6 – Organizando a Segurança da Informação
Em uma organização, a estrutura gerencial da Segurança da Informação é divida em partes,
com representantes das áreas da organização e suas devidas responsabilidades. Esses representantes
são responsáveis pelo cumprimento das normas, tais como acordos de confiabilidade de
informações e controle de acesso à determinadas informações sigilosas da organização, tanto para
clientes quanto para terceiros.
3.4 Seção 7 – Gestão de Ativos
A Gestão dos Ativos da organização será analisada pelos proprietários, para que, depois de
feito o levantamento, os ativos sejam mantidos e classificados de acordo com o nível de proteção
adequado para cada um, tornando-se necessária a criação de um documento com as regras bem
definidas sobre o uso desses ativos.
3.5 Seção 8 – Segurança em Recursos Humanos
O setor de Recursos Humanos é responsável pela realização de contratações na organização,
e, por isso, é importante que o setor informe devidamente o contratado sobre suas responsabilidades
e deveres no cargo da organização, assim como fazer análises para precaver vazamentos de
informações sigilosas ou roubo.
O RH também deverá treinar os funcionários, fornecedores e terceiros da organização para
que possam utilizar os recursos disponíveis de forma correta, podendo também estabelecer processo
disciplinar formal para tratar violações de segurança.
8
3.6 Seção 9 – Segurança Física e do Ambiente
As instalações da organização devem ser mantidas em áreas seguras, com níveis e controles
de acessos diferenciados, tanto na questão da segurança da informação quanto na segurança física.
Os equipamentos também são protegidos de ameaças ambientais, mesmo os que se encontram na
organização e os que estão fora do espaço físico da mesma, de acordo com os risco identificados no
Gerenciamento de Riscos.
3.7 Seção 10 – Gerenciamento das Operações e Comunicações
Esta seção trata da definição dos procedimentos e responsabilidades pela gestão e operação
de todos os recursos de processamento das informações. Isto implica também em documentar todos
os procedimentos operacionais realizados na organização, como backups ou procedimentos para o
reinicio ou recuperação em caso de falha do sistema, por exemplo.
Estabelece que os serviços terceirizados devem ser monitorados e deve ser feita uma análise
crítica do que é entregue para verificar se os resultados estão de acordo com o que foi acordado.
Explicita que o planejamento é fundamental para a organização, pois permite minimizar o
risco do sistema de apresentar falhas e permite prever a capacidade futura, de modo a se reduzir os
riscos de sobrecarga.
Recomenda ainda a implementação de mecanismos de monitoração de atividades não
autorizadas de processamento da informação, observando os critérios legais para este tipo de
procedimento.
Por fim, destaca-se que é nesta seção que são estabelecidos os muitos procedimentos
delicados do cotidiano de uma organização, como o tratamento de informações em mídia removível
e a troca de informações, ou seja, tudo que envolve operação e comunicação em uma organização.
9
3.8 Seção 11 – Controle de Acessos
Todo o acesso à informação deve ser feito com base nas necessidades do negócio. Portanto,
deve ser garantido o acesso ao usuário autorizado, mantendo-se o principio da disponibilidade e
prevenindo o acesso do usuário não autorizado, garantindo assim a confidencialidade da
informação.
Os usuários sempre devem ser conscientizados de suas responsabilidades. Isto se refere a
todas a senhas e equipamentos que estejam sob sua responsabilidade. A norma ainda sugere a
“política da mesa e tela limpa”, para tentar mitigar o risco de se obter informações desautorizadas
em ambientes mal organizados.
3.9 Seção 12 – Aquisição, desenvolvimento e manutenção de sistemas de informação
Os requisitos de segurança de sistemas de informação devem ser identificados e acordados
antes do seu desenvolvimento. Isto inclui, de acordo com a norma, sistemas operacionais,
infraestrutura, aplicações de negócios, produtos de prateleira, serviços e aplicações desenvolvidas
pelo usuário.
Como já foi mencionado, estas informações devem ser protegidas garantindo a sua
confidencialidade, autenticidade e integridade por meios criptográficos.
3.10 Seção 13 – Gestão de Incidentes de Segurança da Informação
Esta seção apresenta as ações e procedimentos que devem ser realizados na ocorrência de
um Incidente de SI. Indica a criação de procedimentos formais para a notificação de tais incidentes
(denial of service, código malicioso etc), pois é muito importante que todos os responsáveis sejam
notificados e que seja possível tomar medidas corretivas em tempo hábil. Esta seção também
recomenda que sejam indicados responsáveis para cada tipo de incidente e que sejam estabelecidos
mecanismos para o registro de ocorrências, de modo que sejam armazenadas informações
importantes e que a sua análise possa, eventualmente, evitar futuros incidentes.
10
3.11 Seção 14 – Gestão da Continuidade do Negócio
De acordo com a NBR, a seção de Gestão de Continuidade do Negócio tem como objetivo
impedir a interrupção das atividade do negócio, garantindo a continuidade dos processos
considerados críticos, mesmo em casos de falhas ou de desastres naturais.
Para que esta gestão seja feita de maneira adequada, deve-se, inicialmente, identificar os
riscos que envolvem os processos críticos para o negócio. Uma vez identificados estes riscos e seus
efeitos, pode-se tomar medidas para evitar que aconteçam ou, para ao menos, minimizar os seus
efeitos. Além disso, é possível realizar a transferência destes riscos para terceiros, através de
seguros, por exemplo.
Esta seção também indica que os planos de contingência para a gestão da continuidade do
negócio sejam devidamente documentados, estejam acessíveis, tenham gestores e sejam testados,
para evitar imprevistos.
3.12 Seção 15 – Conformidade
Esta seção tem o objetivo de evitar a violação de qualquer obrigação da organização, seja ela
de caráter legal ou contratual. Para isto, a seção de Conformidade recomenda que seja identificada
toda a legislação aplicável ao negócio. Também estabelece diretrizes para a proteção de direito
intelectual, de dados e a privacidade de informações pessoais.
Além disso, regulamenta o uso da criptografia, que em alguns países é considerada ilegal e,
por isso, eventualmente estabelece restrições a importações e exportações.
Esta seção também estabelece diretrizes para se verificar a conformidade com que os
procedimentos de segurança da informação estão sendo implementados em relação às normas e
políticas da empresa.
11
4. ESTUDO DE CASO
4.1 Justificativa
Inicialmente, é importante observar que objetivo deste trabalho é a apresentação da norma
ISO/IEC 27002, que consiste em um manual de boas práticas da SI e pode, de acordo com
GOMES[5], ser trabalhada sozinha “para melhorar o aspecto de segurança de uma empresa”. A
certificação propriamente dita é feita com norma ISO/IEC 27001, que está de acordo com a ISO
27002 e certifica para seus clientes que uma empresa possui “competência e credibilidade em
segurança de informação”[5], mas GOMES ressalva que, “em contrapartida, obter uma certificação
é um processo demorado, muito trabalhoso e de alto custo.”
Resumindo, GOMES[5] coloca que “Pode-se aplicar a ISO/IEC 27002 sem precisar da
ISO/IEC 27001, mas para se obter a ISO/IEC 27001 é preciso antes, ter implantado todas as práticas
recomendadas pela ISO/IEC 27002.”
4.2 A ISO/IEC 27001 e 27002 nas Pequenas e Microempresas
Tendo em vista o alto custo da certificação ISO/IEC 27001, GOMES [5] apresenta um
cenário preocupante para a Segurança da Informação nas Pequenas e, principalmente,
Microempresas. Isto pode ser exemplificado por alguns dados, citados por AFONSO [6], que “de
acordo com uma pesquisa realizada pelo Instituto Applied Research/SYMANTEC (2009), 30% das
pequenas e médias empresas brasileiras não usam antivírus, 47% delas não contam com
ferramentas de segurança na máquina dos seus usuários, e 42% não implantam ferramentas de
backup e de restauração de desktops.”
De acordo com Gomes[5], um dos principais motivos que levam a essa falta de segurança, é
que os gestores só entendem a importância dos investimentos da Segurança da Informação quando
sofrem uma grande perda. Gomes[5] também observa que a situação nas microempresas é ainda
mais grave, pois apenas 24% destas empresas possuem uma política de segurança e 15%
apresentam treinamentos dos funcionários nesta área.
Isto, segundo Gomes[5], criou um novo nicho de mercado de segurança da informação, para
Micro e Pequenas empresas, que aos poucos está sendo explorado por empresas de segurança que
passaram a oferecer produtos a um custo acessível à estas empresas.
12
4.3 A Nota Fiscal Eletrônica
Nos últimos anos, o governo vem, gradativamente exigindo dos diversos segmentos da
indústria e do comércio, de produtos ou serviços, a emissão da Nota Fiscal Eletrônica. No caso das
grandes empresas, que já possuem todo um SGSI, isto não representa um problema tão crítico.
Porém, no caso de pequenas e microempresas, isto representa um problema imediato de
Continuidade do Negócio1, pois em caso de falhas no sistema de emissão das NFe, a empresa fica
impossibilitada de realizar vendas e, consequentemente, prejuízos financeiros.
4.4 PROPOSTA: Implementar uma Gestão de Continuidade do Negócio para emissão de NFe
em Microempresas.
Portanto, observando a necessidade de pequenas e microempresas adotarem medidas de SI
sem terem os recursos necessários para obterem a certificação da ISO/IEC 27001, este trabalho se
propõe a estabelecer alguns controles para uma Gestão de Continuidade do Negócio mínima,
especificamente no processo de emissão de Nota Fiscal Eletrônica em microempresas. Observa-se,
neste momento, que este trabalho não defende a implantação de ações desorganizadas de SI, mas
apenas de melhorar a gestão da SI em empresas que não tem nenhuma.
Apesar das propostas do estudo de caso seguir a ordem das seções da norma, a análise foi
feita com base nas definições da Seção 14, apresentada no capítulo 3.11 deste trabalho, que trata da
gestão de continuidade do negócio. Esta seção tem um objetivo claro e que é exatamente o desejado
neste trabalho:
“Não permitir a interrupção das atividades do negócio e proteger os processos críticos
contra o efeito de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se
for o caso”.[1]
4.5 Análise de Riscos
Em um primeiro momento, foi feita uma matriz de identificação dos riscos, como é
recomendados pela ISO/IEC 27002. Nesta matriz foram colocados, além dos riscos, quais são os
fatores que ocasionam o evento e as suas eventuais conseqüências.
1 Ver capítulo 3.1113
Evento de Risco Fator de Risco Descrição do
RiscoConseqüência ou Impacto
Indisponibilidade do microcomputador
responsável pela emissão das Notas
Fiscais Eletrônicas
·Falta de Energia Elétrica
·Falha no Microcomputador.Não é possível
emitir NFe
Não será possível realizar
nenhuma venda até que o sistema
seja restabelecido.Ausência do funcionário responsável
pela emissão das Notas Fiscais
Eletrônicas
·Funcionário falta ao trabalho
por motivos pessoais
Uma vez identificados os riscos, pode-se definir quais serão os objetivos e, por conseguinte,
os controles para se mitigar cada um destes riscos. Isto será feito nos capítulos a seguir, na ordem
em que são apresentados pela ISO/IEC 27002.
4.6 Gestão de Ativos.
• Objetivo: “Assegurar que a informação receba um nível adequado de proteção”[1].
• Controle: “Classificar as informações em termo de seu valor, requisitos legais, sensibilidade
e criticidade para a organização”.[1]
• Diretriz adotada: Foram identificados dois ativos básicos, de acordo com os critérios da
tabela abaixo:
ATIVO VALOR REQUISITOS LEGAIS SENSIBILIDADE CRITICIDADEBANCO DE DADOS Alto Não Sim SimARQUIVOS DE NFe Baixo Sim2 Sim Não
• Referência: ISO/IEC 27002 – Seção 7.2.1
4.7 Segurança Física e do Meio Ambiente – Proteção contra ameaças externas e do meio ambiente
• Objetivo: Prevenir danos e interferências com as instalações e informações da organização.
• Controle: “Convém que sejam projetas e aplicadas proteção física contra incêndios,
enchentes, terremotos, explosões e outras formas de desastres naturais ou causados pelo
homem”. [1]
• Diretriz adotada: A norma recomenda que os equipamentos para contingência de backup
fiquem a uma distância segura, para que não sejam afetados por um desastre que afete o
2- A legislação exige que estes arquivos sejam armazenados pela empresa por 5 anos.14
local principal [1]. Por isso, será feito um sistema de backup online dos ativos identificados.
• Referência: ISO/IEC 27002 – Seção 9.1.4, item “b”.
4.8 Segurança de Equipamentos
• Objetivo: Impedir a interrupção das atividades da organização.
• Controle: Convém que os equipamentos sejam protegidos contra falta de energia elétrica.
• Diretriz adotada: “Uso de UPS para suportar as paradas e desligamento dos equipamentos
e manter o funcionamento continuo dos equipamentos que suportam operações críticas do
negócio.”[1]
• Referência: ISO/IEC 27002 – Seção 9.2.2
4.9 Manutenção dos Equipamentos
• Objetivo: Impedir a interrupção das atividades da organização.
• Controle: Será feita a manutenção correta do equipamentos para assegurar sua
disponibilidade e integridade permanentes. [1]
• Diretriz adotada: Manutenção dos equipamentos realizada de acordo com as suas
especificações e somente por pessoal de manutenção autorizado.
• Referência: ISO/IEC 27002 – Seção 9.2.4
4.10 Procedimentos e Responsabilidades Operacionais
• Objetivo: Garantir a operação segura e correta dos recursos de processamento da
informação.
• Controle: “Os procedimentos de operação serão documentados, mantidos atualizados e
disponíveis a todos os usuários que deles necessitem”.[1]
• Diretriz adotada: Criar documentos que especifiquem de forma detalhada a execução de
cada uma das tarefas a seguir:
a) Backup;
b) Procedimento para o reinício e recuperação do sistema em caso de falha;
c) Procedimento de emissão da NFe;
• Referência: ISO/IEC 27002 – Seção 10.1.1 – “a”, “b” e “g”
15
4.11 Proteção contra Códigos Maliciosos
• Objetivo: Proteger a integridade da informação.
• Controle: Convém que sejam implantados controles de detecção, prevenção e recuperação
para proteger contra códigos maliciosos, assim como procedimentos para a devida
conscientização dos usuários .[1]
• Diretriz adotada: O controle contra Códigos Maliciosos será feito através da instalação e
atualização de softwares antivírus e na conscientização dos usuários sobre segurança da
informação. Além disso, será proibido a instalação e uso de softwares não autorizados.
• Referência: ISO/IEC 27002 – Seção 10.4.1 – “a”, “d”
4.12 Cópias de Segurança
• Objetivo: Manter a integridade e a disponibilidade da informação e dos recursos de
processamento de informação.
• Controle: Convém que as cópias de segurança das informações e dos softwares críticos
sejam efetuadas e testadas regularmente.[1]
• Diretriz adotada: As informações identificadas na Gestão de Ativos serão copiadas em um
serviço de backup online, que entre outras coisas garante as seguintes recomendações feitas
pela norma:
a) Freqüência diária;
b) Registro e notificações sobre cópias bem sucedidas e falhas;
c) Armazenamento em um lugar distante;
d) Cópias encriptadas.
Além disso, os softwares que fazem a emissão da NFe serão instalados em um
computador de retaguarda, para uma eventual falha no micro principal. Isto não terá custos
de hardware, pois este pode ser um micro usado pra outras atividades, já que ele só receberá
a base de dados em caso de falha do micro principal.
• Referência: ISO/IEC 27002 – Seção 10.5.1
4.13 Gestão de Incidentes de Segurança da Informação e melhorias
• Objetivo: Assegurar que um enfoque consistente e efetivo seja aplicado à gestão de
incidentes de segurança da informação.
• Controle: Estabelecer responsabilidades e procedimentos para assegurar respostas rápidas,
16
efetivas e ordenadas a incidentes de segurança da informação.
• Diretriz adotada: Serão estabelecidos procedimentos para manusear incidentes de falha no
microcomputador emissor da NFe.
• Referência: ISO/IEC 27002 – Seção 13.1.1
4.14 Testes dos planos de Continuidade do Negócio
• Objetivo: “Não permitir a interrupção das atividades do negócio e proteger os processos
críticos contra o efeito de falhas ou desastres significativos, e assegurar a sua retomada em
tempo hábil, se for o caso”.[1]
• Controle: Os planos de Continuidade do Negócio deverão ser Testados Regularmente
• Diretriz adotada: Serão emitidas, regularmente, NFes do computador de retaguarda, além
da restauração de backup e teste da autonomia da UPS.
• Referência: ISO/IEC 27002 – Seção 14.1.5
4.15 Resultados
Observa-se que a ISO/IEC 27002 permite uma abordagem simples e lógica de medidas que
podem ser tomadas para se identificar e mitigar riscos associados a continuidade do negócio.
Além disso, a aplicação específica, de apenas alguns pontos da norma, permite a elaboração
de soluções com um custo aceitável e compatível com a realidade das microempresas, como mostra
as estimativas das tabelas a seguir:
17
Tabela 1: Custos estimados do investimento necessário para adotar as medidas propostas.
AÇÃO CUSTOInstalar NO Break 600VA no PC do Adriano R$ 300,00Instalar o sistema emissor de NFe em outro micro (Redundância) R$ 50,00Realizar simulação de trocaMicro emissão de NFe (Documentar Procedimento) R$ 50,00Realizar teste de autonomia do nobreak R$ 0,00Realizar Backup ONLINE da base de dados e das NFes 7x por semana R$ 100,00Documentar todo o processo de emissão de NFe R$ 100,00Instalação de Anti-vírus gratuito R$ 30,00INVESTIMENTO INICIAL TOTAL R$ 630,00
Por fim, é importante destacar que este estudo de caso tem um caráter exclusivamente
didático, objetivando um melhor entendimento da ISO/IEC 27002, seus objetivos e diretrizes, e não
deve ser aplicado de maneira prática sem que antes sejam feitas avaliações mais criteriosas dos
riscos, objetivos e controles adotados.
18
Tabela 2: Custos estimados para a manutenção das medidas propostas.
MANUTENÇÃO/ANO CUSTONo Break R$ 150,00Servidor de Backup ONLINE R$ 100,00Micro Servidor R$ 150,00INVESTIMENTO TOTAL/ANO R$ 400,00
5. CONCLUSÕES
Observou-se, com a elaboração deste trabalho, que a informação pode ser um dos principais
ativos de uma empresa, pois possui um valor agregado altíssimo, quando comparada a matéria-
prima produzidas normalmente por países subdesenvolvidos. Porém, a complexidade da ISO/IEC
27002 demostra que protegê-la não é uma tarefa trivial, pois a informação pode se apresentar de
inúmeras formas e, atualmente, com as ferramentas tecnológicas disponíveis, possui uma
mobilidade incrível, podendo estar do outro lado do planeta em uma fração de segundo.
No entanto, é importante destacar que todos estes atributos da informação, como a
mobilidade que foi apontada como uma vulnerabilidade, podem ser encaradas como qualidades.
Esta mobilidade citada, por exemplo, é fundamental para a dinâmica de muitos negócios,
permitindo que processos, envolvendo recursos em vários continentes, sejam executados
simultaneamente. Assim, a segurança da informação é e deve ser cada vez mais importante para que
as organizações possam se posicionar de maneira estratégica no mercado, pois permite que elas
gerenciem suas informações de maneira íntegra, segura e ágil.
No estudo de caso apresentado, observou-se que apenas a análise da norma permite elaborar
planos simples para a mitigação de riscos associados à segurança da informação, o que pode trazer
benefícios significativos para muitas empresas de pequeno porte.
19
6. REFERÊNCIAS BIBLIOGRÁFICAS
[1] ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação. ABNT, 2005.
[2] FONTES, E.,” Segurança Da Informação ”. Editora Saraiva, 2005.
[3] CAMPOS, André. “Sistema de segurança da Informação”. 2 ed. - Florianópolis: Visual Books, 2007.
[4] Gerra, Márcia Regina - Fundamentos da Segurança da Informação com Base na ISO/IEC 27002 - TI Exames
[5] GOMES, Bruno Bellard - Estudo de caso sobre o impacto da implementação da norma nbr ISO/IEC 27002 em micro e pequenas empresas - Sistemas de Informação – Centro Universitário Módulo - Caraguatatuba – SP – Brasil – 2010.
[6] AFONSO, Rodrigo. Por que pequenas empresas investem pouco em segurança?. Disponível em: http://computerworld.uol.com.br/seguranca/2009/06/09/por-que-pequenas-e-medias-empresas-investem-pouco-em-seguranca/ - 2009.
20
