Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,

Políticas de Segurança da Informação

Aécio Costa


A segurança da informação é obtida a partir daimplementação de um conjunto de controles adequados, incluindopolíticas, processos, procedimentos, estruturas organizacionais efunções de software e hardware.

Os Controles necessitam ser:

Estabelecidos Implementados Monitorados Analisados


A Gestão de Segurança da Informação requer acriação de uma política (que deve ser documentada).

E o que é a política de segurança da informação?


A política de segurança da informação nada mais é queum conjunto de práticas e controles adequados, formada pordiretrizes, normas e procedimentos, com objetivo de minimizaros riscos com perdas e violações de qualquer bem.


Outra definição:

Uma política de segurança é a expressão formal dasregras pelas quais é fornecido o acesso aos recursostecnológicos da organização.


Política de SI são:

Normas, procedimentos, ferramentas e responsabilidades àspessoas que lidam com essa informação;

Formalmente documentos que ditam quais são as regras aplicadasdentro da empresa para uso de recursos tecnológicos e descarte deinformações.


Objetivos de uma Política de Segurança da Informação

Proteção do conhecimento e da infraestrutura, a fim de atender:

-Requisitos legais-Viabilizar os serviços prestados -Evitar ou reduzir os riscos e ameaças-Orientar e estabelecer diretrizes para a proteção dos ativos deinformação, prevenção de ameaças e a conscientização daresponsabilidade dos funcionários.


Com a implantação de uma Política temos:

Redução da probabilidade de ocorrência de quebra daconfidencialidade, da integridade e da disponibilidade dainformação

Redução de danos causados por eventuais ocorrências;

Não reincidências.

Usada tanto para prevenir problemas legais como para documentar aaderência ao processo de controle de qualidade.


The International Organization for Standardization (ISO)Instituição internacional com sede na Suíça cuida doestabelecimento de padrões internacionais de certificação emdiversas áreas.


As normas ISO que tratam sobre Gestão de Segurança da Informação são:

ISO 27001

ISO 27002

ISO 27003

ISO 27004

ISO 27005


ISO 27001Define os requisitos para a implementação de um SGSI.

ISO 27002Define boas práticas para a Gestão da segurança da informação.

ISO 27003Guia para implementação de um SGSI.

ISO 27004Define métricas e meios de medição para Avaliar a eficácia de umSGSI.


ISO 27005Define linhas de orientação para a gestão do risco da segurança da informação.


Sistema de Gestão da Segurança Informação (SGSI)

É uma parte do sistema global de gestão, baseado numaabordagem de risco que permite definir, implementar, operacionalizar,monitorizar, manter e melhorar a segurança da Informação segundo anorma.


O Sistema de gestão SGSI, é baseado numaaproximação sistemática dos riscos inerentes aos negócios.

Trata-se de uma abordagem à segurança da informação, numa perspectiva organizacional.

PDCA


PDCA (Plan, Do, Check, Act)

é uma ferramenta gerencial que possibilita a melhoriacontínua de processos e a solução de problemas.


PDCA

-PLAN (PLANEJAR)Estabelecimento de políticas, objectivos, processos e

procedimentos relevantes para a administração do risco e para amelhoria da Segurança da Informação.Planeja os resultados de acordo com a estratégia da organização.

-DO (FAZER/IMPLEMENTAR/OPERAR) Implementação e operacionalização das políticas de controlo,

processos e procedimentos do Sistema.


PDCA

-CHECK (VERIFICAR/MONITORIZAR/REVER)Inspecção da performance dos processos em comparação

com as políticas e objectivos de um SGSI. Estes resultados devem serreportados à gestão para análise.

-ACT (AGIR/MANTER/OPTIMIZAR) Tomada de acções correctivas e preventivas, baseadas nos

resultados das auditorias internas do SGSI e demais informaçõesprovenientes da gestão ou demais fontes relevantes.


Análise e avaliação de riscos

A Gestão dos riscos é um dos aspectos chave da normaISO/IEC 27001, uma avaliação dos riscos é uma das exigênciasdesta norma.


Como resultado da avaliação de riscos, deve ser feitauma lista dos riscos identificados, classificados em ordem degravidade para posteriormente serem tomadas medidas.

E como trata-se os riscos?


Aplicar medidas de segurança: escolher as medidas mais apropriadas para reduzir o custo;

Aceitar o risco: conhecer e conscientemente aceitar o risco, sabendo que este atenta à política de segurança da organização;

Evitar o risco: não permitir acções que possam sequer causar a ocorrência de riscos;

Transferir o risco: transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.

Estas medidas são definidas pela norma ISO/IEC 27002, que dá suporte aodesenvolvimento de planos de segurança e orienta de melhor forma a Gestão daSegurança da Informação.


ISO 27001

A norma tem como principio geral a adopção pelaorganização de um conjunto de requisitos, processos econtrolos com o objectivo de mitigarem e geriremadequadamente o risco da organização.


ISO 27001

É uma abordagem 360º à Segurança da Informação.

Trata-se múltiplos temas tais como:

Segurança Aplicacional Protecção do meio físico Recursos humanos Continuidade de negócio Licenciamento Etc.


ISO 27001

É independente de fabricantes porque se destina aoestabelecimento de processos e procedimentos que depoispodem ser materializados à realidade de cada organização deforma diferente e com a especificidade de cada ambientetecnológico e organizacional.



ISO 27001 - Seção 0 – Introdução

A norma sugere a adoção de uma abordagem de processopara um SGSI, ou seja, que a organização deve identificar e gerenciaros processos envolvidos em um Sistema de Gestão de Segurança daInformação, bem como reconhecer suas interações.


ISO 27001 - Seção 1 – Objetivo

Especificar requisitos para o estabelecimento, implementação,operação, monitoração, análise crítica, manutenção e melhoria de umSistema de Gestão de Segurança da Informação (SGSI).

Os requisitos são genéricos de maneira a permitir que sejamaplicáveis a quaisquer organizações.

Independentemente do tipo, tamanho e natureza.


ISO 27001 - Seção 2 – Referência Normativa

Referência da norma ABNT NBR ISO/IEC 17799:2005


ISO 27001 – Seção 3 – Termos e Definições

São especificados termos e definições tais como:

impacto riscos de segurança da informação ação de evitar o risco estimativa de riscos identificação de riscos redução do risco


ISO 27001 – Seção 4 - Sistema de Gestão de Segurança da Informação

Nesta seção é estruturado todos os processos envolvidosutilizando o ciclo PDCA.


Estabelecer SGSI (Plan)

Compreende toda a preparação necessária para aimplementação do SGSI na organização.

Definir o escopo (abrangência) do SGSIConsidera-se as características do negócio, a organização, sualocalização, ativos e tecnologia. Exclusões de escopo deverão serjustificadas, se houver;

Definir uma Política de SGSIDeve conter princípios para ações relacionadas à Segurança daInformação, sendo aprovada pela direção;


Definir uma metodologia para identificação, análise eavaliação de riscos, bem como a definição de opções detratamento desses riscos.

Requisitos identificados para o negócio; identificação de ativos; Ameaças, vulnerabilidades e impactos desses riscos aos ativos; critérios e níveis para aceitação de riscos (considera-se os impactos

para o negócio); Avaliação da probabilidade real da ocorrência; Estimativa de níveis de riscos e se esses riscos serão aceitos ou se

será necessário tratá-los.


Selecionar objetivos de controle e quais controles serão utilizados para tratar os riscos.

Sugestão como ponto de partida controles derivados da normaABNT NBR ISO/IEC 27002.

Obter aprovação da direção dos riscos propostos, bemcomo da autorização para implementar e operar o SGSI.

Preparar a Declaração de Aplicabilidade.Fornece um resumo das decisões relativas ao tratamento de riscos

(lista dos objetivos de controle e controles selecionados e atualmenteimplementados, bem como quaisquer um deles que tenha sido excluído,devidamente justificado).


Implementar e Operar SGSI (Do)

Compreende o funcionamento do SGSI na organização.

Elaborar e implementar um plano de tratamento de riscosIdentificação da ação apropriada, recursos, responsabilidades e prioridades para a gestão de riscos de segurança;

Implementar controles selecionados anteriormente para atender aos objetivos de controle;


Definir a medição da eficácia dos controles, bem comocomo as medidas que devem ser utilizadas para avaliação daeficácia;

Implementar programas de conscientização e treinamento;

Gerenciar operações e recursos para o SGSI;

Implementar procedimentos e outros controles para detectare responder prontamente a incidentes de segurança dainformação.

Incidente de segurança

Qualquer evento ou fato que ponha em risco a integridade, disponibilidade ou confidencialidade de determinadas informações. Exemplos: infecção de computadores por

vírus, queima de um HD (disco rígido) que contém informações importantes e que não foram copiadas para outra mídia, enchentes e alagamentos, incêndios, corrupção de

arquivos críticos.


Monitorar e Analisar Criticamente SGSI (Check)

É através desta fase que são verificados o desempenhoe a eficácia do SGSI na organização.

Executar procedimentos de monitoração e análise crítica para:

Detectar erros; Tentativas, violações de segurança e incidentes.

Possibilitar à direção verificar se as atividades designadas apessoas ou implementadas via tecnologia são executadas conformeesperado;

Verificar se as ações tomadas para solucionar violações forameficazes;


Realizar regularmente análises críticas da eficácia do SGSI,considerando-se resultados das auditorias de SGSI, incidentes,resultados das medições de eficácia, sugestões, etc.;

Medir a eficácia dos controles;

Realizar análise crítica periódica das avaliações de riscos paraverificar e considerar mudanças ocorridas ao longo do tempo;

Realizar auditorias internas periódicas do SGSI;

Realizar periodicamente a análise crítica do SGSI pela direção;

Atualizar planos de segurança conforme resultados obtidos namonitoração e análise crítica;

Registrar eventos e ações que possam impactar na eficácia ouno desempenho do SGSI.


Manter e melhorar SGSI (Act)

Esta fase foca na manutenção e no aprimoramentocontínuo do SGSI da organização.


Implementar melhorias identificadas no SGSI;

Executar ações preventivas e corretivas aplicando-se aslições aprendidas de outras organizações e/ou advindas daprópria experiência organizacional;

Comunicar ações e melhorias para as partesinteressadas;

Garantir que as melhorias realmente estejam atingindoos objetivos pretendidos.


Requisitos de DocumentaçãoProcedimentos documentados e controles, incluindo aqueles

relacionados ao planejamento, à operação e ao controle dos processosde segurança da informação;

Controle de DocumentosAssegurar que as alterações e as versões dos documentos

sejam identificadas e estejam disponíveis quando necessárias;

Controle de RegistrosElementos utilizados para evidenciar a conformidade aos

requisitos e a eficácia da operação de um SGSI.


ISO 27001 – Seção 5 - Responsabilidades da Direção

Estabelecimento da política do SGSI; Garantindo de que os planos e os objetivos do SGSI são

estabelecidos; Definindo papéis e responsabilidades pela segurança da

informação foram estabelecidos; Comunicando a organização informando a importância do

atendimento dos objetivos de segurança da informação; Provendo recursos suficientes para o SGSI; Definindo critérios para aceitação de riscos e dos níveis de

riscos aceitáveis; Garantindo a execução das auditorias internas e da realização

de análises críticas pela Direção.


Gestão de Recursos

É dever da organização prover recursos para oestabelecimento, implementação, operação, monitoração,análise crítica, manutenção e melhoria de um SGSI.

Assegurar que as pessoas têm as competências necessáriaspara executar atividades relacionadas à segurança dainformação. Contratação de pessoal capacitado Fornecendo treinamentos

Registrar a educação, o treinamento, as habilidades, as experiências e a qualificação do pessoal.


ISO 27001 – Seção 6 - Auditorias Internas do SGSI

Planejamento de auditorias internas para determinar seobjetivos de controle, os controles, os processos eprocedimentos do SGSI atendem:

à norma à legislação pertinente

São definidos ainda os critérios de auditoria, escopo,frequência e métodos a serem utilizados.


As responsabilidades e os requisitos para planejar eexecutar auditorias, relatar resultados e manter registros devemestar definidos em procedimento documentado.


ISO 27001 – Seção 7 - Análise Crítica do SGSI pela Direção

O SGSI deve ser analisado criticamente pela Direção em intervalos planejados.

avaliação de oportunidades para melhoria necessidades de mudança do SGSI

Os resultados dessas análises devem ser documentados e osregistros mantidos.


Entradas e Saídas da Análise Crítica do SGSI pela Direção. Fonte: ABNT, 2006, p. 11-2.


Seção 8 – Melhoria do SGSI

A organização deve continuamente melhorar o SGSI através de:

Política de segurança da informação Resultados das auditorias Análises de eventos monitorados Análise crítica pela Direção Ações corretivas e preventivas.


Requisitos para procedimento documentado de Ação Corretiva e Ação Preventiva. Fonte: ABNT, 2006, p. 12-3.


Conclusão

Concebida prevendo sua compatibilidade com as normas ABNT NBR ISO 9001.


Não é aceitável que uma organização que pretenda estarconforme a norma exclua quaisquer requisitos descritos nasseções 4 a 8. Porém, é observado que:


A regra do jogo da segurança para qualquer organização e podeabranger, entre outras coisas:

Padrões para utilização de criptografia

Regras para utilização do e-mail e acesso à Internet Normas para utilização de programas e equipamentos

Procedimentos para guarda adequada das informações Definição de responsabilidades e perímetros de segurança Plano de contingência (documento adicional que estabelece como responder a incidentes de segurança)

Segurança lógica (políticas de senha, sistemas de autenticação de usuário, programas de detecção de vírus)

Segurança física (acesso de pessoas, guarda e proteção dos equipamentos, condição das instalações elétricas)

Documents

Políticas de Segurança da Informação - Aécio Costa a Seguranca... · ISO 27001 - Seção 0 – Introdução A norma sugere a adoção de uma abordagem de processo para um SGSI,