Segurança da Informação ***** Padrões de Segurança da ... · controles do SoA devem ser implementados, quem irá fazer o trabalho, quando, com ... 1.2.11. Implementar programas

ALOYANA – AMANDA – ISABELLA – MARIANA - ROGÉRIO

Programa Nacional de Acesso ao Ensino Técnico e Emprego – PRONATEC

Universidade Estácio de Sá – West Shopping

Segurança da Informação

*****

Padrões

de

Segurança

da

Informação

Professor Lôbo

Alunos: Aloyana Couto da Silva

Amanda dos Santos Correa

Isabella Costa da Silva

Mariana Rosa

Rogério C. da Costa

Rio de Janeiro, 7 de Julho de 2015


Conteúdo

Introdução .........................................................................................................................3

WG1-Sistemas de Gerenciamento de Segurança da Informação .....................................5

ISO 27000: Vocabulário de Gestão da Segurança da Informação ...................................5

ISO 27001: Sistema de Gestão de Segurança da Informação – Requisitos .....................6

ISO 27002: Código de Práticas para Controle da Segurança da Informação ...................9

ISO 27003: Diretrizes para Implantação de um Sstema de Gestão da Segurança da Informação .........11

ISO 27004: Tecnologia da informação — Técnicas de segurança — Gestão da

segurança da informação — Medição ............................................................................12

ISO 27005: Gestão de Riscos de Segurança da Informação ..........................................13

ISO 27006: Requisitos para Organismos que Prestam Auditoria e Certificação de

Sistemas de Gestão de Segurança da Informação ..........................................................14

WG2-Mecanismos de Criptografia e Segurança ............................................................16

WG3-Critérios para Avaliação de Segurança .................................................................17

WG4-Controles e Serviços de Segurança .......................................................................18

WG5-Tecnologias de Gerenciamento de Identidades e Privacidade ..............................19

Considerações Finais ......................................................................................................19

Referências Bibliográficas ..............................................................................................20

Anexo .............................................................................................................................21


Introdução

O objetivo deste trabalho é chamar a atenção para a grande quantidade de

Padrões de Segurança da Informação, disponibilizados pela: International Organization

for Standardization - ISO (Organização Internacional para Padronização). A ISO é

uma entidade de padronização e normatização que foi criada em Genebra, na Suíça, em

1947. O objetivo principal da ISO é aprovar normas internacionais de todas as áreas

técnicas, como normas técnicas, classificações de países, normas de procedimentos e

processos. No Brasil, a ISO é representada pela Associação Brasileira de Normas

Técnicas – ABNT, criada em 1940.

Conforme Marco Aurélio Maia que é especialista de Segurança da Informação

da Empresa Brasileira Módulo, o tema Segurança da Informação desperta muito

interesse dentre executivos, gerentes, técnicos e, sobretudo, de empresários dos mais

variados ramos. Principalmente, porque a segurança abrange diversas áreas, tais como:

Segurança Física, Infraestrutura Tecnológica, Aplicações e Conscientização

Organizacional. Ainda segundo Maia, cada uma dessas áreas apresenta os seus próprios

riscos, ameaças potenciais, controles aplicáveis e soluções de segurança que podem

minimizar o nível de exposição ao qual a empresa está exposta, com o intuito de

garantir segurança para o seu principal patrimônio que é a informação.

A ISO possui um Comitê Técnico conhecido como Joint ISO/IEC Technical

Committee JTC 1, cujo tema de trabalho é Tecnologia da Informação. Dentro do JTC 1,

existe um subcomitê chamado SC 27 (Subcommittee IT Security Tecchniques – SC 27),

que trata dos padrões internacionais relacionados às técnicas de segurança de TI. Sendo

que IEC é a International Electrotechnical Commission, que é forte aliada da ISO neste

subcomitê. Além da série 27000 que todos os profissionais de Segurança da Informação

devem conhecer, existem dezenas de outros padrões relacionados à segurança de TI.

Considerando-se tantos Padrões de Segurança, o especialista de Segurança da

Informação Nelson Correa do Monolithos lança uma pergunta: “Mas como gerenciar

essa montanha de padrões relativos à Segurança de TI?”. Em resposta a esta questão,

Correa apresenta 5 áreas bem definidas e foram criados 5 grupos de trabalho (WG –

work groups) que se responsabilizam pelo desenvolvimento e manutenção dos padrões

ISO/IEC relativos à Segurança de TI, são eles:

3


1. WG 1 (Information Security Management Systems) – Sistemas de

Gerenciamento de Segurança da Informação.

2. WG 2 (Cryptography and Security Mechanisms) – Mecanismos de Criptografia

e Segurança.

3. WG 3 (Security Evaluation Criteria) – Critérios de Avaliação de Segurança.

4. WG 4 (Security Controls and Services) – Controles e Serviços de Segurança.

5. WG 5 (Identity Management and Privacy Technologies) – Tecnologias de

Gerenciamento de Identidades e Privacidade.

Desta forma, diante de tantos padrões, este trabalho também objetiva focar no

grupo de trabalho 1, cujo tema é Sistemas de Gerenciamento de Segurança da

Informação.

4


WG1-Sistemas de Gerenciamento de Segurança da Informação

Geralmente, quando se fala em Segurança da Informação, o tema é associado a

hackers e vulnerabilidades em sistemas, onde o principal entendimento é de que a

empresa precisa de um bom antivírus, um firewall e ter todos os seus “patches”

aplicados no ambiente tecnológico. Não há dúvida de que são questões importantes,

porém a Segurança da Informação não está limitada a somente esses pontos.

É de praxe que as empresas protejam seus ativos de valor, tenham

responsabilidade social e pratiquem a boa governança. Muitas organizações são

obrigadas a cumprir legislação específica ou seguir regras definitivas para seu grupo de

negócio. Assim, se faz necessário implementar e gerenciar práticas de Segurança da

Informação. A série ISO/IEC27000 estabelece as normas para os Sistemas de

Gerenciamento de Segurança da Informação:

1.1 ISO/IEC 27000: Information Security Management Systems – Overview

and Vocabulary (Vocabulário de Gestão da Segurança da Informação)

1.2 ISO/IEC 27001: Information Security Management Systems – Requiremen

(Sistema de Gestão de Segurança da Informação - Requisitos), 2013.

1.3 ISO/IEC 27002: Code of Practice for Information Security Management

(Código de Práticas para Controle da Segurança da Informação), 2013.

1.4 ISO/IEC 27003: Information Security Management System Implementation

Guidance (Diretrizes para Implantação de um Sstema de Gestão da

Segurança da Informação), 2011.

1.5 ISO/IEC 27004: Information Security Management Measurements ( Gestão

da Segurança da Informação — Medição), 2010.

1.6 ISO/IEC 27005: Information Security Risk Management ( Gestão de Riscos

de Segurança da Informação), 2011.

1.7 ISO/IEC 27006: Requirements for Bodies Providing Audit and Certification

of Information Security Management Systems (Requisitos para Organismos

que Prestam Auditoria e Certificação de Sistemas de Gestão de Segurança da

Informação)

1.1. ISO 27000: Vocabulário de Gestão da Segurança da Informação

A série ISO 27000 está de acordo com outros padrões de sistemas de gerência

ISO, como Sistemas de Gerência da Qualidade - ISO 9001 e Sistemas de Gerência

5

http://www.modulo.com.br/solucoes/gestao-de-riscos-e-vulnerabilidades-de-ti-

https://pt.wikipedia.org/wiki/ISO_9001

https://pt.wikipedia.org/wiki/ISO_14001


Ambiental - ISO 14001, ambos em acordo com suas estruturas gerais e de natureza a

combinar as melhores práticas com padrões de certificação.

1.2. ISO 27001: Sistema de Gestão de Segurança da Informação - Requisitos

Quando uma empresa está começando implementar a ISO 27001, é natural

procurar uma maneira fácil para fazer isso. Segundo o especialista em segurança da

informação Dejam Kosutic, da 27001 Academy: “ ... não há maneira fácil de fazer

isso.”. Mas para facilitar o entendimento, ele apresenta uma lista com os dezesseis

passos que uma empresa tem de executar se quiser obter a certificação ISO 27001:

1.2.1. Obter o apoio da gerência

Dejam diz que esse procedimento não é levado muito a sério e de acordo com a

sua experiência este é o principal motivo do fracasso dos projetos de ISO 27001: “a

gerência não fornece um número suficiente de pessoas para trabalhar no projeto ou

fornece pouco dinheiro.”.

1.2.2. Tratar como um projeto

A implementação da ISO 27001 é complexa, envolve várias atividades, muitas

pessoas e dura vários meses, podendo durar mais de um ano. Deve-se definir claramente

o que deve ser feito, quem vai fazê-lo e em que período de tempo, isto é, aplicar gestão

de projetos. Caso contrário, esse processo pode nunca terminar, afirma Dejam.

1.2.3. Definir o escopo

Em se tratando de uma grande organização, Dejam diz que tem sentido

implementar a ISO 27001 em apenas uma parte da organização, reduzindo

significativamente o risco do projeto.

1.2.4. Escrever uma política do Sistema de Gerenciamento de Segurança da

Informação - SGSI

A Política do SGSI é o documento de mais alto nível em seu SGSI. Ela não deve

ser muito detalhada, mas deve definir algumas questões básicas da segurança da

informação em sua organização. Dejam questiona: “Mas qual é o seu objetivo se não é

detalhada?”. Em resposta: “O objetivo é que a gerência defina o que deseja alcançar e

como controlar isso.”.

6

http://www.iso27001standard.com/pt-br/o-que-e-a-iso-27001/?utm_source=27001academy&utm_medium=article&utm_content=text-iso-27001&utm_campaign=101221-blog


1.2.5. Definir a metodologia da avaliação de riscos

Conforme Dejam, a avaliação de riscos é a tarefa mais complexa do projeto da

ISO 27001, cujo objetivo é definir as regras para a identificação de ativos,

vulnerabilidades, ameaças, impactos e probabilidade, e definir o nível de risco aceitável.

Se essas regras não forem claramente definidas, a empresa pode se encontrar em uma

situação em que obterá resultados inutilizáveis.

1.2.6. Realizar avaliação de riscos e tratamento de riscos

Nesta etapa, deve-se implementar o que se definiu no passo anterior. O que,

segundo Dejam, pode demorar vários meses para grandes organizações, então a empresa

deve coordenar esse esforço com muito cuidado. O objetivo é obter uma visão

abrangente sobre os perigos para a informação da organização. Para tanto, deve-se

escrever um relatório de avaliação de riscos, que deve ser aprovado.

1.2.7. Escrever a declaração de aplicabilidade

Terminado o processo de tratamento de riscos, a empresa saberá exatamente

quais controles do Anexo A precisará (há um total de 133 controles, mas a empresa

provavelmente não precisará de todos eles). O objetivo deste documento, cujo nome é

Statement of Applicability – SoA, é listar todos os controles e para definir quais são

aplicáveis e quais não são, e as razões para essa decisão, os objetivos a serem

alcançados com os controles e uma descrição de como eles serão implementados, diz

Dejam.

1.2.8. Elaborar o Plano de tratamento de riscos

O objetivo do Plano de tratamento de riscos é definir exatamente como os

controles do SoA devem ser implementados, quem irá fazer o trabalho, quando, com

que orçamento etc. Esse documento é, na verdade, um plano de implementação focado

em seus controles, sem o qual a empresa não seria capaz de coordenar os próximos

passos do projeto.

1.2.9. Definir como medir a eficiência dos controles

Dejam mostra outra tarefa que frequentemente é subestimada: “se a empresa não

pode medir o que fez, como pode ter certeza de ter cumprido o objetivo?”. Portanto, não

7


se deve esquecer de se definir a forma como a empresa irá medir o cumprimento dos

objetivos que definiu, tanto para o SGSI inteiro quanto para cada controle aplicável na

Declaração de aplicabilidade.

1.2.10. Implementar os controles e procedimentos obrigatórios

Nesta etapa, a empresa deve aplicar os quatro procedimentos obrigatórios (um

procedimento para o controle de documentos, um procedimento para auditorias internas

do SGSI, um procedimento para ação corretiva e um procedimento para ação

preventiva.) e os controles aplicáveis do Anexo A.

Dejam diz que esta é a tarefa mais arriscada do seu projeto. Ela normalmente

envolve a aplicação de novas tecnologias, mas acima de tudo, a implementação de

novos comportamentos na organização.

1.2.11. Implementar programas de treinamento e conscientização

Se a empresa deseja que a sua equipe implemente todas as novas políticas e

procedimentos, primeiro ela tem de explicar a eles porque isso é necessário e treiná-los

para serem capazes de trabalhar como previsto. A ausência dessas atividades é a

segunda razão mais comum para o fracasso do projeto da ISO 27001.

1.2.12. Operar o SGSI

Esta é a parte em que a ISO 27001 torna-se uma rotina diária da sua

organização. A palavra crucial aqui é: “registros”. Auditores amam registros – sem

registros será muito difícil provar que qualquer atividade foi realmente executada. Mas,

em primeiro lugar, os registros devem ajudá-lo – com eles a empresa pode monitorar o

que está acontecendo – a empresa saberá com certeza se seus funcionários (e

fornecedores) estão realizando suas tarefas como exigido.

1.2.13. Monitorar o SGSI

O que está acontecendo em seu SGSI? Quantos incidentes a empresa tem, de que

tipo? Todos os procedimentos são executados corretamente?

É aqui que os objetivos para seus controles e metodologia de medição se unem:

você tem de verificar se os resultados obtidos estão alcançando o que você definiu em

seus objetivos. Se não estão, você sabe que algo está errado e que precisa executar ações

corretivas e/ou preventivas.

8


1.2.14. Realizar auditoria interna

Muitas vezes as empresas não estão cientes de que estão fazendo algo errado,

por outro lado, algumas vezes elas sabem, mas não querem que ninguém descubra isso.

Mas desconhecer problemas existentes ou possíveis pode prejudicar a organização. A

empresa precisa realizar auditorias internas para descobrir essas coisas. O objetivo aqui

não é iniciar ações disciplinares, mas tomar ações corretivas e/ou preventivas.

1.2.15. Executar análise crítica da gestão

A gerência não tem de configurar o firewall, mas deve saber o que está

acontecendo no SGSI, ou seja, se todos realizaram suas funções, se o SGSI está obtendo

os resultados desejados. Com base nisso, a gerência deve tomar algumas decisões

cruciais.

1.2.16. Ações corretivas e preventivas

O objetivo do sistema de gestão é assegurar que tudo o que está errado (as

chamadas “inconformidades”) seja corrigido ou, de preferência, prevenido. Portanto, a

ISO 27001 exige que as ações corretivas e preventivas sejam realizadas de forma

sistemática, o que significa que a causa básica de uma inconformidade deve ser

identificada e, então, resolvida e verificada.

1.3. ISO 27002: Código de Práticas para Controle da Segurança da Informação

A ISO 27002 tem aceitação global e é um ótimo diferencial de mercado. Manter

a informação segura, íntegra, confiável e sempre disponível aumenta a competitividade

e a agilidade na tomada de decisões, diz Mário Peixoto que é Consultor de Segurança da

Informação do Webinsider.

Esta norma é conhecida como Código de Práticas para Gestão de Segurança da

Informação. Ainda conforme Mário Peixoto, a ISO 27002 refere-se a quais requisitos

devem ser implementados pela organização, sendo também um guia que orienta a

utilização dos controles de segurança.

Segundo Mário Peixoto, como tecnologia, pessoas, gestão, processos, segurança

e negócios estão sempre andando juntos, nada mais coerente, que os projetos de TI,

estarem alinhados às melhores práticas de gestão em segurança da informação. Pois, se

9


“a informação é a alma do negócio”, não basta apenas ser detentor dela, mas

principalmente, saber como lidar com os chamados ativos da informação, provendo seus

princípios elementares: integridade, confidencialidade e disponibilidade.

Esta norma não é usada para auditorias e certificações, porém grande parte de

seu framework está consistente em diversos alicerces de boas práticas de gestão em

projetos, organização de processos e pessoas, assim como na metodologia de

ferramentas adequadas.

Portanto, pode-se notar que o gerenciamento de projetos, possui elementos

aderentes ao que se propõe na ISO 27002, quando, por exemplo, trata-se a

comunicação, quando se trabalha a gestão de riscos, os ativos e todo ciclo de vida de um

projeto, assim como existe para com a informação, pois esta maturidade levará a

conseguir constituir de forma menos traumática a formação do SGSI – Sistema

Gerencial de Segurança da Informação, que é parte integrante para fomentar

concretamente a norma 27002.

Como o objetivo da ISO 27002 é gerenciar a segurança da informação dentro da

organização, seguem alguns exemplos de projetos para com a ISO 27002:

1.3.1. Atualização de um sistema de controle de atividades e entregas. Por exemplo,

um JTRAC, que é uma fonte aberta e altamente personalizável de um aplicativo

web escrito em Java;

1.3.2. Um sistema de controle de versões documentais e desenvolvimento. Por

exemplo um Subversion, que é um sistema de controle de versão;

1.3.3. Ações organizacionais e de comunicação . Por exemplo, fomentando a chamada

gestão do conhecimento com WIKI, blogs, planos de conscientização utilizando

a comunicação interna;

1.3.4. Operações para melhores práticas de controle de acesso. Por exemplo, um

projeto de Identity and Access Management, isto é, gerenciamento de

identificação e acesso.

Todo este conjunto de “sistemas” acopla-se para formar este projeto de SGSI. Veja

algumas das razões básicas para se adotar a ISO 27002:

10


1.3.5. Governança Corporativa;

1.3.6. Melhoria da eficácia da Segurança da Informação;

1.3.7. Diferencial de mercado;

1.3.8. Atender aos requisitos de partes interessadas e clientes;

1.3.9. Única norma com aceitação global;

1.3.10. Redução potencial no valor do seguro;

1.3.11. Focada nas responsabilidades dos funcionários;

1.3.12. A norma cobre TI bem como a organização, pessoal e instalações;

1.3.13. Conformidade com as legislações.

1.4. ISO 27003: Diretrizes para Implantação de um Sstema de Gestão da

Segurança da Informação

Conforme o site Target, esta Norma foca os aspectos críticos necessários para a

implantação e projeto bem sucedidos de um Sistema de Gestão da Segurança da

Informação - SGSI, de acordo com a ABNT NBR ISO IEC 27001:2005. A norma

descreve o processo de especificação e projeto do SGSI desde a concepção até a

elaboração dos planos de implantação. Ela descreve o processo de obter a aprovação da

direção para implementar o SGSI, define um projeto para implementar um SGSI

(referenciado nesta Norma como o projeto SGSI), e fornece diretrizes sobre como

planejar o projeto do SGSI, resultando em um plano final para implantação do projeto

do SGSI.

Ainda segundo o Target, esta norma fornece explanações e recomendações e não

especifica quaisquer requisitos. Destina-se a ser usada em conjunto com as NBR

ISO/IEC 27001 :2005 e NBR ISO/IEC 27002:2005, porém não se destina a modificar

e/ou reduzir os requisitos especificados ou nas recomendações fornecidas. A

implantação de um SGSI é uma atividade importante e é normalmente executada na

organização como um projeto. Essa norma explica a implantação de um SGSI com foco

na elaboração, planejamento e definição do projeto. O processo de planejamento da

implantação final do SGSI contém cinco fases, sendo que cada fase é representada por

uma seção separada. Todas as seções têm uma estrutura similar. As cinco fases são:

1.4.1. Obtendo aprovação da direção para iniciar o projeto do SGSI (Seção 5);

11


1.4.2. Definindo o escopo do SGSI, limites e a política do SGSI (Seção 6);

1.4.3. Conduzindo a análise dos requisitos de segurança da informação (Seção 7);

1.4.4. Conduzindo a análise/avaliação de riscos e planejando o tratamento do risco

(Seção 8);

1.4.5. Definindo o SGSI (Seção 9).

1.5. ISO 27004: Tecnologia da informação — Técnicas de segurança — Gestão

da segurança da informação — Medição

Texto fiel à ISO/IEC 27004

A norma tem como objetivo ajudar as organizações a medir, relatar e,

consequentemente, melhorar sistematicamente a eficácia dos seus Sistemas de Gestão

de Segurança da Informação.

Esta norma fornece orientação sobre o desenvolvimento e a utilização de

medidas e de medição, a fim de avaliar a eficácia de um sistema implementado de

gerenciamento de segurança da informação (ISMS) e controles ou grupos de controles,

conforme especificado na norma ISO / IEC 27001. Isto incluiria política, informações

gestão de riscos de segurança, os objetivos de controle, controles, processos e

procedimentos, e apoiar o processo da sua revisão, ajudando a determinar se qualquer

um dos ISMS processos ou controles precisam ser mudados ou melhorados.

O uso de 'monitoramento, medição, análise e avaliação' em ISO / IEC 27001 é

confuso e será explicado, expandindo-se em ISO 27004.

As seções a seguir são fundamentais:

Informações gerais medida de segurança;

Responsabilidades de gestão;

Medidas e desenvolvimento medição;

Operação de medição;

A análise dos dados e resultados da medição de relatórios;

A avaliação do programa de medição de Segurança da Informação e melhoria.

12


Anexo A sugere um modelo no qual a descrever uma métrica, enquanto o Anexo B

oferece alguns exemplos trabalhados.

O padrão é bastante detalhado em termos de mecânica de processos de medição.

Ele laboriosamente descreve como coletar "medidas básicas", o uso de agregação e

cálculos matemáticos para gerar "medidas de derivados", e em seguida, aplicar técnicas

analíticas e critérios de decisão para criar "indicadores" utilizados para efeitos de gestão

ISMS. Infelizmente, ele não oferece muita orientação sobre quais medidas básicas,

medidas ou indicadores derivados pode realmente valer a pena todo esse esforço em

termos de permitir a gestão para gerenciar a segurança da informação.

1.6. ISO 27005: Gestão de Riscos de Segurança da Informação

Esta norma define o processo de gestão de risco como atividades coordenadas

para dirigir e controlar o risco de uma organização. Conforme Konzen e Fontoura (IX

Simpósio de Excelência em Gestão em Tecnologia – 2012), o processo de gestão de

riscos é definido por oito atividades. Para cada atividade da norma são propostas

diretrizes para implementação que serão brevemente descritas a seguir:

1.6.1. Definição do contexto: Definir o escopo e limites que serão levados em

consideração na gestão de riscos. Deverão ser descritos os processos que fazem

parte do escopo, garantindo a identificação dos ativos relevantes para a gestão

dos riscos. Além disso, a definição do contexto inclui determinar os critérios

gerais de aceitação dos riscos para a organização e as responsabilidades para a

gestão de riscos. A atividade de análise/Avaliação de Riscos é subdividida em

outras três atividades: Identificação de riscos; Estimativa de riscos; e Avaliação

de riscos.

1.6.2. Identificação de riscos: Identificar os eventos que possam ter impacto negativo

nos negócios da organização. Devem ser identificados os ativos, suas

vulnerabilidades e as ameaças que podem causar danos aos ativos. Identificar as

consequências que as perdas de confidencialidade, de integridade e de

disponibilidade podem ter sobre os ativos.

1.6.3. Estimativa de riscos: Atribuir valor ao impacto que um risco pode ter e a

probabilidade de sua ocorrência, de forma qualitativa ou quantitativa. Estimar o

risco através da combinação entre a probabilidade de um cenário de incidente e

suas consequências.

1.6.4. Avaliação de riscos: Determinar a prioridade de cada risco através de uma

comparação entre o nível estimado do risco e o nível aceitável estabelecido pela

organização. O ponto de decisão 1, visto na Figura 1, verifica se a avaliação dos

riscos foi satisfatória, conforme os critérios estabelecidos pela organização. Caso

não seja satisfatória, a atividade pode ser reiniciada de forma que se possa

revisar, aprofundar e detalhar ainda mais a avaliação, assegurando que os riscos

possam ser adequadamente avaliados.

1.6.5. Tratamento do risco: Implementar controles para reduzir, reter, evitar ou

transferir os riscos. Se o tratamento do risco não for satisfatório, ou seja, não

13


resultar em um nível de risco residual que seja aceitável, deve-se iniciar

novamente a atividade ou o processo até que os riscos residuais sejam

explicitamente aceitos pelos gestores da organização.

1.6.6. Aceitação do risco: Registrar formalmente a aprovação dos planos de tratamento

do risco e os riscos residuais resultantes, juntamente com a responsabilidade

pela decisão.

1.6.7. Comunicação do risco: Desenvolver planos de comunicação dos riscos para

assegurar que todos tenham consciência sobre os riscos e controles a serem

adotados.

1.6.8. Monitoramento e análise crítica de riscos: Monitorar continuamente os riscos e

seus fatores a fim de identificar eventuais mudanças no contexto. Certificar que

o processo de gestão de riscos de segurança da informação e as atividades

relacionadas permaneçam apropriados nas circunstâncias presentes.

A norma ISO/IEC 27005 não inclui uma metodologia específica para a gestão de

riscos de segurança da informação, cabendo a cada organização definir a melhor

abordagem conforme o contexto na qual está inserida.

1.7. ISO 27006: Requisitos para Organismos que Prestam Auditoria e

Certificação de Sistemas de Gestão de Segurança da Informação

Texto fiel à ISO/IEC 27006

Esta Norma especifica requisitos e fornece orientação para organismos que

prestem auditoria e certificação de um sistema de gestão de segurança da informação

(ISMS), para além dos requisitos contidos dentro de ISO / IEC 17021 e ISO / IEC

27001. Pretende-se principalmente para apoiar a acreditação de certificação dos

organismos prestadores de certificação SGSI.

Os requisitos constantes da presente Norma Internacional precisam ser

demonstrados em termos de competência e confiabilidade por qualquer organismo de

certificação SGSI, e as orientações contidas nesta Norma Internacional proporciona

interpretação adicional destes requisitos para qualquer organismo de certificação SGSI.

NOTA: Esta Norma pode ser usada como um documento de critérios para o

credenciamento, avaliação por pares ou outros serviços de auditoria processos.

Para efeitos do presente documento, os termos e definições dados na ISO / IEC 17021,

ISO / IEC 27001 a seguir, valem.

1.7.1. Certificado: emitido por um organismo de certificação de acordo com as

condições de sua acreditação e tendo um símbolo ou declaração de acreditação.

14


1.7.2. Organismo de Certificação: terceiro que avalia e certifica o SGSI de uma

organização cliente em relação ao ISMS (Sistemas de Gestão de Segurança da

Informação) das normas publicadas, e qualquer documentação suplementar

exigida pelo sistema.

1.7.3. Documento de Certificação: documento indicando que o SGSI de uma

organização cliente está em conformidade com as normas do SGSI especificado

e com qualquer documentação suplementar exigida pelo sistema.

1.7.4. Marca: legalmente registrada ou um símbolo protegido de outra forma, emitido

sob as regras de um órgão reconhecido ou de um organismo de certificação,

indicando que a confiança adequada nos sistemas operados por alguém ou por

indivíduos relevantes em conformidade com os requisitos de um determinado

padrão.

1.7.5. Organização: empresa, corporação, firma, autoridade ou instituição, ou parte ou

uma combinação desses, incorporada ou não, pública ou privada, que tem suas

próprias funções e administrações e é capaz de garantir que a segurança da

informação é exercida.

15


WG2-Mecanismos de Criptografia e Segurança

Existe uma grande preocupação por parte da ISO/IEC em definir padrões sobre o

uso de técnicas e mecanismos de criptografia em serviços de segurança que possam dar

garantias para gerenciamento de chaves, não repúdio, assinaturas digitais, autenticação e

demais temas relacionados. Exemplos de padrões deste grupo:

• ISO/IEC 9797-1: Message Authentication Codes (MACs) – Part 1: Mechanisms using

a block cipher

• ISO/IEC 9798-1: Entity authentication – Part 1: General

• ISO/IEC 9979: Procedures for the registration of cryptographic algorithms

• ISO/IEC 10118-1: Hashfunctions – Part 1: General

• ISO/IEC 11770-1: Key management – Part 1: Framework

• ISO/IEC 15846-1: Cryptographic techniques based on elliptic curves – Part 1: General

• ISO/IEC 18033-3: Encryption algorithms – Part 3: Block ciphers

16


WG3-Critérios para Avaliação de Segurança

Inspirados no Common Criteria for Information Technology Security

Evaluation, ou simplesmente Commom Criteria, foram desenvolvidos padrões para

avaliação e certificação de produtos, componentes e sistemas de TI. Seus objetivos são

definir critérios de avaliação, metodologia para a aplicação destes critérios e

procedimentos administrativos para a avaliação, a certificação de acreditação. Exemplos

de padrões deste grupo:

• ISO/IEC 15408-1: Evaluation criteria for IT security – Part 1: Introduction and general

model

• ISO/IEC 15408-2: Evaluation criteria for IT security – Part 2: Security functional

requirements

• ISO/IEC 15408-3: Evaluation criteria for IT security – Part 3: Security assurance

requirements

• ISO/IEC 15443-1: A framework for IT Security assurance – Part 1: Overview and

framework

• ISO/IEC 15443-2: A framework for IT Security assurance – Part 2: Assurance

Methods

• ISO/IEC 15443-3: A framework for IT Security assurance – Part 2: Analysis of

Assurance Methods

• ISO/IEC 18045: A framework for IT Security assurance – Methodology for IT

Security Evaluation

17

http://www.commoncriteriaportal.org/


WG4-Controles e Serviços de Segurança

Identificou-se uma quantidade de padrões que abordavam serviços e aplicações

relativos à norma ISO/IEC 27001, como objetivos de controle e os próprios controles. É

isto que esse grupo de trabalho desenvolve. Abaixo alguns exemplos destes padrões:

• ISO/IEC 18043: Selection, deployment and operations of intrusion detection systems

• ISO/IEC 18044: Information security incident management

• ISO/IEC 24762: Guidelines for information and communications technology disaster

recovery services

• ISO/IEC 27033-1: Network Security – Part 1: Guidelines for network security

• ISO/IEC 27034-1: Guidelines for Application Security – Part 1: Overview and

Concepts

18


WG5-Tecnologias de Gerenciamento de Identidades e Privacidade

Esse grupo é responsável pelo desenvolvimento de padrões relativos ao

gerenciamento de identidades, biometria e proteção de informações pessoais. Veja

alguns exemplos deste grupo:

• ISO/IEC 24760: A framework for identity management

• ISO/IEC 29100: A privacy framework

• ISO/IEC 29101: A privacy reference architecture

• ISO/IEC 29115: Entity authentication assurance

Considerações Finais

Muitos são os padrões de segurança estabelecidos pela ISSO/IEC, no entanto o

sistema é passível às invasões provenientes de muitas naturezas. Segundo Marco

Aurélio Maia da Módulo, um Gestor de Segurança da Informação, deve estar atento a

itens como: ambiente, tecnologia, processos e pessoas. Em cada uma dessas vertentes

surgem diversas iniciativas, por exemplo, Políticas, Normas e Procedimentos, Controle

de Acesso Físico e Lógico, Auditoria, Questões Legais, Continuidade de Negócios,

Criptografia, Gerenciamento de Incidentes, Segurança da Rede, Conscientização dos

Usuários, dentre outros. Ele diz ainda que é importante deixar claro que a Segurança

não está ligada somente a ações de hackers, um vírus que infectou uma estação de

trabalho ou um patch que não foi aplicado a um servidor da rede.

19


Referências Bibliográficas

Empresa Módulo, site http://www.modulo.com.br/modulo/empresa. Acesso 18 de Junho

2015.

Empresa Módulo, site http://segurancadainformacao.modulo.com.br/seguranca-da-informacao.

Acesso 18 de Junho de 2015.

Associação Brasileira de Normas Técnicas, site http://www.abnt.org.br/abnt/conheca-a-

abnt. Acesso 19 de Junho de 2015.

27001 Academy http://www.iso27001standard.com/pt-br/blog/2010/12/21/lista-de-

verificacao-para-implementacao-da-iso-27001/. Acesso 20 de Junho de 2015.

Site http://pt.notices-pdf.com/iso-27004-pdf.html#a5. Acesso 20 de Junho de 2015.

Webinsider, site http://webinsider.com.br/2012/11/12/seguranca-da-informacao-vale-

muito-aplicar-a-iso-27002/ . Acesso 20 de Junho de 2015.

Target – Facilitadores da Informação, site

https://www.target.com.br/pesquisa/resultado.aspx?pp=16&c=42368 . Acesso 21 de

Junho de 2015.

Target – Facilitadores da Informação, site

https://www.target.com.br/Home.aspx?pp=27&c=2382 . Acesso 21 de Junho de 2015.

ISO/IEC 27004, site http://www.iso27001security.com/html/27004.html. Acesso 21 de

Junho de 2015.

Portal GSTI, site http://www.portalgsti.com.br/2013/12/ISO-27000.html. Acesso 21 de

Junho de 2015.

IX Simpósio de Excelência em Gestão em Tecnologia – 2012, site

http://www.aedb.br/seget/arquivos/artigos12/57616827.pdf. Acesso 21 de Junho de

2015.

20

http://www.modulo.com.br/modulo/empresa

http://segurancadainformacao.modulo.com.br/seguranca-da-informacao

http://www.abnt.org.br/abnt/conheca-a-abnt

http://www.abnt.org.br/abnt/conheca-a-abnt

http://www.iso27001standard.com/pt-br/blog/2010/12/21/lista-de-verificacao-para-implementacao-da-iso-27001/

http://www.iso27001standard.com/pt-br/blog/2010/12/21/lista-de-verificacao-para-implementacao-da-iso-27001/

http://pt.notices-pdf.com/iso-27004-pdf.html#a5

http://webinsider.com.br/2012/11/12/seguranca-da-informacao-vale-muito-aplicar-a-iso-27002/

http://webinsider.com.br/2012/11/12/seguranca-da-informacao-vale-muito-aplicar-a-iso-27002/

https://www.target.com.br/pesquisa/resultado.aspx?pp=16&c=42368

https://www.target.com.br/Home.aspx?pp=27&c=2382

http://www.iso27001security.com/html/27004.html

http://www.portalgsti.com.br/2013/12/ISO-27000.html

http://www.aedb.br/seget/arquivos/artigos12/57616827.pdf


Anexo

Introdução

Segurança, desafios e padrões no espaço cibernético.

Vivemos na sociedade da informação. Com o fenômeno da internet, é possível acessar

informações de quase todo o mundo. Estima-se que cerca de 2 bilhões de pessoas

tenham acesso à grande rede. Os indivíduos e suas máquinas estão, de alguma forma,

conectados por redes. De fato, a sociedade se tornou dependente da tecnologia da

informação (TI) para quase tudo. Parece que não vivemos mais sem água, comida, luz e

conexão de rede – banda larga, de preferência.

A esse ambiente virtual, criado pelo homem, sem fronteiras e com alcance global,

chamamos de espaço cibernético (cyberspace). Ele é veloz, dinâmico e está em franca

expansão. Ao mesmo tempo é lógico, caótico e hostil. Na prática, é formado por

dispositivos computacionais, conectados por redes ou não, onde informações transitam,

são processadas e armazenadas

Na onda do crescimento da rede, teve início a desenfreada corrida pelo desenvolvimento

de softwares e sistemas operacionais. Não havia preocupações com segurança na

programação. Estava claro que um ambiente fragilizado por tantas vulnerabilidades não

iria ficar “impune”. Logo começaram a surgir as primeiras ameaças com capacidades de

impor danos: vírus, worms, spywares, keyloggers e uma infinidade de pragas virtuais –

malicious software (malware).

Tais ameaças virtuais se tornaram mais danosas na medida em que “intenções” humanas

as viam como “oportunidades” de exploração. Assim, práticas ilegais, vandalismos,

fraudes, crimes, espionagens, terrorismo e a guerra passaram a fazer parte da lista.

Para “apimentar” o cenário, a carência de marcos legais e de acordos internacionais com

maiores adesões dificultam a atribuição de um ataque cibernético. Só é possível

combater o anonimato das ações havendo cooperação internacional. As técnicas de

despistamento são fáceis de utilizar, pois há uma imensa quantidade de servidores proxy

públicos abertos em todo o mundo. Além disso, redes peer to peer criadas para garantir

a privacidade dos usuários são usadas por atacantes (TOR e I2P).

Por causa do famigerado anonimato, há hoje uma tendência em atribuir

“responsabilidades” ao país de onde parte a “última milha” do ataque. Ou seja, a origem

é utilizado fora das fronteiras do país-alvo, é de fácil localização. Obviamente, essa

21


política é defendida pelos países mais alvejados. Recentemente, os EUA declararam que

poderiam responder a ataques cibernéticos com armas convencionais, fundamentando-

se no direito de retaliar citado no princípio da autodefesa, previsto na Carta das Nações

Unidas. É uma evidente tentativa de dissuasão.

Em 2001, surgiu a primeira iniciativa internacional para tratar de crimes cibernéticos, a

Convenção de Budapeste. Ocorrida no âmbito da Comunidade Europeia, o único país

convidado a participar, além do bloco europeu, foram os EUA. Portanto, o Brasil não é

signatário desse tratado. Vale ressaltar que, para alcançar efetividade global, é preciso

um grande número de adesões. Para que isso ocorra de fato, a iniciativa deve pertencer à

Organização das Nações Unidas (ONU).

No Brasil, o Projeto de Lei sobre Crimes de Informática tramita no Congresso Nacional

desde 1999 (PL 84/99). De lá para cá, vem sofrendo alterações na sua “peregrinação

legislativa” em busca do esperado amadurecimento. Contudo, a tecnologia não espera e

novidades nos surpreendem a cada dia. Esse avanço “enlouquece” os legisladores do

mundo inteiro, que mais parecem “carros retardatários” tomando voltas do nosso

saudoso Ayrton Senna. Nesse campo, toda Lei deveria ser a mais genérica e simples

possível, deixando, para a regulamentação, os detalhes necessários. Ainda no campo

regulatório, em 2008, foi publicada a Estratégia Nacional de Defesa (END), que definiu

três setores estratégicos para as Forças Armadas: o nuclear, o espacial e o cibernético.

Diante desse cenário, devemos estar preparados. Sabemos que não há sistemas ou redes

totalmente seguros, mas podemos adotar uma abordagem realista que um bom processo

de GRC (Governança, Riscos e Compliance) pode oferecer. Conhecer as próprias

fraquezas (vulnerabilidades), e assim as ameaças e os impactos que estas podem causar

ao negócio, é o começo quando pensamos em gestão de riscos.

Assim, muitos são os termos que orbitam a mente de um gestor de segurança da

informação: governança de TI, gestão de riscos, infraestruturas críticas, disponibilidade,

integridade, confidencialidade, autenticidade, resiliência, tratamento de incidentes,

capacitação de recursos humanos, família ISO 27000, política de segurança e plano de

continuidade de negócios, segurança de borda, protocolos seguros no backbone, Ipv6,

gestão de patches, auditorias, controles de USB, data loss prevention (DLP),

Information Right Managment (IRM), autenticação com múltiplos fatores, certificação

digital, virtualização e segurança da nuvem, Intrusion Prevention System (IPS),

correlacionamento de logs e monitoramento 24/7, análise de tráfego da rede, política do

menor privilégio, forense computacional, varreduras de vulnerabilidades e testes de

22


invasão, segurança de redes sem fio, Network Access Control (NAC), controle de

smartphones, certificação de sistemas (softwares e hardware), segurança física do

ambiente, defesa em profundidade com provedores, engenharia social, antispam,

phishing, controle de acesso web, criptografia de dados, Virtual Privacy Network

(VPN), VoIP, DNSSEC, zero day malware, exploit, time based security, engenharia

reversa, segurança e defesa cibernética.

No entanto, é uma boa gestão de riscos que irá determinar prioridades, opções de

tratamento e o quanto realmente investir. Aí está o segredo: quais são os seus processos

de negócio? Quais são os sistemas e serviços que os sustentam? Que ativos (tecnologia,

processo, pessoas, ambiente e fornecedores) compõem tais sistemas e serviços? Mapear

suas relevâncias lhe dará foco no que realmente importa.

O desafio de gerir a segurança do espaço cibernético é grandioso. Harmonizar ações

envolvendo pessoas, processos e tecnologias é a chave. Possuir uma visão do ponto de

vista ofensivo é a nova fronteira. Saber pensar ofensivamente (Ethical Hacking) não

significa atacar para se defender, mas entender a anatomia de um ataque em prol da

proteção da rede. Manter-se atualizado é vital. Ler, estudar, pesquisar, participar de

eventos dentro e fora do País e ter uma rede sociotécnica ativa.

O mundo vem se estruturando para se contrapor às ameaças cibernéticas. Países como

EUA, Rússia, China, Alemanha, França e Estônia, entre outros, já possuem estruturas

em operação. Destaca-se o CDCCOE (NATO Cooperative Cyber Defence Centre of

Excellence), em Tallinn (Estônia), considerado referência na Europa. Ressalta-se que a

Estônia sofreu um ataque cibernético de grande escala em 2007.

Os EUA possuem uma estrutura bem mais complexa. A NSA (National Security

Agency), dentre suas tarefas nas áreas de criptografia e inteligência, conduz atividades

de Computer Network Operations (CNO) a fim de garantir vantagens no espaço

cibernético para os EUA e seus aliados. O DHS (Department of Homeland Security)

atua na segurança cibernética dos sítios governamentais (. gov) e comerciais (.com), por

meio do Centro de Tratamento e Resposta a Incidentes em Redes (US-CERT). Além

disso, o DHS vem promovendo a campanha nacional “Stop.Th ink.Connect” para

conscientizar a população. O FBI (Federal Bureau of Investigation) combate crimes e

terrorismos cibernéticos.

Para defender as redes militares (.mil) e realizar ações cibernéticas em proveito das

operações militares, foi criado, em 2009, o US Cyber Command, dentro do

Departamento de Defesa (DoD). O USCYBERCOM é composto pelas seguintes

23


estruturas: Fleet Cyber Command/ Tenth Fleet (Navy), Air Force Space

Command/Twenty- Fourth Air Force (Air Force), Army Cyber Command/ Second

Army (Army) e United States Marine Corps Forces Cyberspace Command (Marine

Corps).

No Brasil, os principais atores em evidência são o Gabinete de Segurança Institucional

da Presidência da República (GSI-PR), por meio do Departamento de Segurança da

Informação e Comunicações (DSIC), atualmente responsável pela segurança cibernética

dos sítios governamentais (CERT.gov) e da Agência Brasileira de Inteligência (ABIN).

A Secretaria de Assuntos Estratégicos (SAE), que vem promovendo o tema na esfera

governamental, e o CERT.br, vinculado ao Comitê Gestor da Internet no Brasil

(CGI.br) – que é o elo com os demais CERT do mundo. A Polícia Federal (PF) é o

órgão responsável pela repressão e pelo combate ao crime cibernético no Brasil, sem

prejuízo para a atuação das polícias estaduais que se especializarem.

No tocante à defesa cibernética, competência do Ministério da Defesa (MD), um grupo

de trabalho vem elaborando a doutrina de preparo e emprego, sua estrutura e suas

atribuições. O futuro Centro ou Comando de Defesa Cibernética das Forças Armadas

(CDCFA), provavelmente estará subordinado ao Estado Maior Conjunto das Forças

Armadas (EMCFA). Essa estrutura terá a tarefa de coordenar a defesa cibernética no

âmbito das forças armadas, especialmente no planejamento e na execução de Operações

Conjuntas.

O Brasil é uma grande nação. A segurança e a defesa do nosso espaço cibernético de

interesse não é tarefa só do setor público. O sucesso está em antecipar a cooperação

público-privada – é o caminho que nos levará à excelência que desejamos. É

indispensável o envolvimento de toda a sociedade: universidades, empresas, pessoas,

instituições e o setor público.

Dentro do contexto de Padrões de Segurança, este trabalho visa abordar a importância

da segurança da informação em ambiente corporativo e doméstico, visto que o assunto

de Segurança da Informação é extenso, iremos prioriza-lo nos dois grupos mencionados

acima.

Perigos da Internet

Independente do tipo de tecnologia usada, ao conectar o seu computador à rede ele pode

estar sujeito a ameaças, como:

24


Furto de dados: informações pessoais e outros dados podem ser obtidos tanto

pela interceptação de tráfego como pela exploração de possíveis

vulnerabilidades existentes em seu computador.

Uso indevido de recursos: um atacante pode ganhar acesso a um computador

conectado à rede e utilizá-lo para a prática de atividades maliciosas, como obter

arquivos, disseminar spam, propagar códigos maliciosos, desferir ataques e

esconder a real identidade do atacante.

Varredura: um atacante pode fazer varreduras na rede, a fim de descobrir

outros computadores e, então, tentar executar ações maliciosas, como ganhar

acesso e explorar vulnerabilidades ;

Interceptação de tráfego: um atacante, que venha a ter acesso à rede, pode

tentar interceptar o tráfego e, então, coletar dados que estejam sendo

transmitidos sem o uso de criptografia;

Exploração de vulnerabilidades: por meio da exploração de vulnerabilidades,

um computador pode ser infectado ou invadido e, sem que o dono saiba,

participar de ataques, ter dados indevidamente coletados e ser usado para a

propagação de códigos maliciosos. Além disto, equipamentos de rede

(como modems e roteadores) vulneráveis também podem ser invadidos, terem as

configurações alteradas e fazerem com que as conexões dos usuários sejam

redirecionadas para sites fraudulentos.

Ataque de negação de serviço: um atacante pode usar a rede para enviar grande

volume de mensagens para um computador, até torná-lo inoperante ou incapaz

de se comunicar.

Ataque de força bruta: computadores conectados à rede e que usem senhas

como método de autenticação, estão expostos a ataques de força bruta. Muitos

computadores, infelizmente, utilizam, por padrão, senhas de tamanho reduzido

e/ou de conhecimento geral dos atacantes.

Ataque de personificação: um atacante pode introduzir ou substituir um

dispositivo de rede para induzir outros a se conectarem a este, ao invés do

dispositivo legítimo, permitindo a captura de senhas de acesso e informações

que por ele passem a trafegar.

Empresas VS Segurança da Informação

25


O avanço acelerado das Tecnologias da Informação e da Comunicação nos últimos

anos, em especial a Internet e a mobilidade constituiu a Sociedade da Informação e do

Conhecimento.

A nova era tecnológica tem trazido importantes ganhos para a humanidade,

proporcionando crescimento e produtividade; mas, em contrapartida, tem colocado as

organizações diante de riscos inerentes ao acesso ou ao ataque às informações

armazenadas nos sistemas computacionais corporativos.

A informação, ativo cada vez mais valorizado, impacta diretamente na continuidade dos

negócios e na sua credibilidade. Por conta disso, as empresas têm buscado soluções para

mitigar esses riscos, estabelecendo um conjunto de boas práticas por meio de políticas

de segurança gerenciadas em diferentes instâncias com funções e responsabilidades bem

definidas. Tudo isso para assegurar o nível de segurança adequado ao negócio.

Este é o conceito de Gestão da Segurança da Informação que abrange a criação de

processos voltados ao monitoramento contínuo da integridade das informações, à

prevenção de ataques e ao furto dos dados, assegurando em casos emergenciais o pronto

restabelecimento dos sistemas e o acesso seguro às informações das companhias.

No nosso país, o Comitê Brasileiro sobre as Normas de Gestão de Segurança da

Informação (série 27000) é responsável por normatizar essa questão. O grupo é formado

por especialistas que colaboram com a ISO (International Organization for

Standardization) para o desenvolvimento de padrões internacionais nesta esfera.

A Norma ISO 27000 é um padrão internacional sobre as boas práticas na Gestão da

Segurança da Informação, que levam empresas ao nível máximo de excelência

internacional em Segurança da Informação.

As normas de Gestão da Segurança da Informação se fundamentam em 10 premissas

básicas aplicadas em qualquer tipo de organização, sendo elas:

- Política de Segurança da Informação

- Segurança Organizacional

- Classificação e controle dos ativos de informação

- Segurança em pessoas

- Segurança Física e Ambiental

- Gerenciamento das operações e comunicações

- Controle de Acesso

- Desenvolvimento de Sistemas e Manutenção

- Gestão da continuidade do negócio e a Conformidade.

26


Essas premissas abrangem o conjunto de melhores práticas a serem seguidas pelas

companhias tais como: a estruturação do plano diretor de segurança e de contingência; a

definição da política de segurança da informação; a análise de riscos, vulnerabilidades e

testes de invasão; a implementação de controles de segurança; autenticação e

autorização.

Toda essa orientação está prevista no Sistema de Gestão da Segurança da Informação

(SGSI), um conjunto de processos e procedimentos, baseado em normas ISO,

implementado para prover segurança no uso dos ativos tecnológicos de uma empresa.

Tal sistema deve ser seguido por todos aqueles que se relacionam direta ou

indiretamente com a infraestrutura de TI da organização.

A implantação do SGSI envolve primeiramente a análise de riscos na infraestrutura de

TI para identificar os pontos vulneráveis e as falhas nos sistemas que deverão ser

corrigidos. Em seguida, são definidos processos para detectar e responder aos incidentes

de segurança e procedimentos para auditoria.

Este sistema garante segurança e integridade às informações das organizações. “Os

bancos quando implementaram as primeiras soluções de internet banking ainda não

possuíam soluções avançadas de Segurança da Informação alinhadas a esse conceito e

tiveram grandes prejuízos com os roubos virtuais”, comenta José Antonio Antonioni,

Diretor de Qualidade e Competitividade da SOFTEX, organização não-governamental

que promove atividades de inovação e desenvolvimento por meio da educação, cultura e

treinamento apropriados, de natureza técnica e mercadológica em Tecnologia de

Software.

Com foco nas ameaças iminentes e na evolução constante da tecnologia, o Comitê

Brasileiro trabalha neste momento no desenvolvimento de novas normativas

relacionadas aos programas de auditoria do SGSI.

Essas diretrizes irão orientar a condução de auditorias internas e externas de acordo com

a ISO/IEC 27001:2005 (Sistemas de Gestão de Segurança da Informação – Requisitos)

formando auditores líderes no SGSI com capacidade analítica para identificar eventuais

riscos e/ou oportunidades de melhoria no processo de Segurança da Informação.

A expectativa do Comitê é que as organizações realizem, o mais breve possível, a

reestruturação da área de auditoria atualizando o conhecimento dos auditores e

aplicando essas novas metodologias.

Rede Doméstica VS Segurança da Informação

27


1.1 Cuidados Gerais

Alguns cuidados que você deve tomar ao usar redes, independentemente da tecnologia,

são:

Mantenha seu computador atualizado, com as versões mais recentes e com todas

as atualizações aplicadas;

Utilize e mantenha atualizados mecanismos de segurança, como programa

antimalware e firewall pessoal;

Seja cuidadoso ao elaborar e ao usar suas senhas;

Utilize conexão segura sempre que a comunicação envolver dados confidenciais;

Caso seu dispositivo permita o compartilhamento de recursos, desative esta

função e somente a ative quando necessário e usando senhas difíceis de serem

descobertas.

1.2 Wi-Fi

Wi-Fi (Wireless Fidelity) é um tipo de rede local que utiliza sinais de rádio para

comunicação.

Redes Wi-Fi se tornaram populares pela mobilidade que oferecem e pela facilidade de

instalação e de uso em diferentes tipos de ambientes. Embora sejam bastante

convenientes, há alguns riscos que você deve considerar ao usá-las, como:

Por se comunicarem por meio de sinais de rádio, não há a necessidade de acesso

físico a um ambiente restrito, como ocorre com as redes cabeadas. Devido a isto, os

dados transmitidos por clientes legítimos podem ser interceptados por qualquer

pessoa próxima com um mínimo de equipamento (por exemplo,

um notebook ou tablet);

Por terem instalação bastante simples, muitas pessoas as instalam em casa (ou

mesmo em empresas, sem o conhecimento dos administradores de rede), sem

qualquer cuidado com configurações mínimas de segurança, e podem vir a ser

abusadas por atacantes, por meio de uso não autorizado ou de "sequestro";

Em uma rede wi-fi pública (como as disponibilizadas em aeroportos, hotéis e

conferências) os dados que não estiverem criptografados podem ser

indevidamente coletados por atacantes;

28


Uma rede wi-fi aberta pode ser propositadamente disponibilizada por atacantes

para atrair usuários, a fim de interceptar o tráfego (e coletar dados pessoais) ou

desviar a navegação para sites falsos.

Para resolver alguns destes riscos foram desenvolvidos mecanismos de segurança,

como:

WEP (Wired Equivalent Privacy): primeiro mecanismo de segurança a ser

lançado. É considerado frágil e, por isto, o uso deve ser evitado.

WPA (Wi-Fi Protected Access): mecanismo desenvolvido para resolver

algumas das fragilidades do WEP. É o nível mínimo de segurança que é

recomendado.

WPA-2: similar ao WPA, mas com criptografia considerada mais forte. É o

mecanismo mais recomendado.

Cuidados a serem tomados:

Habilite a interface de rede Wi-Fi do seu computador ou dispositivo móvel somente

quando usá-la e desabilite-a após o uso;

Desabilite o modo ad-hoc (use-o apenas quando necessário e desligue-o quando não

precisar). Alguns equipamentos permitem inibir conexão com redes ad-hoc, utilize essa

função caso o dispositivo permita;

Use, quando possível, redes que oferecem autenticação e criptografia entre o cliente e o

AP (evite conectar-se a redes abertas ou públicas, sem criptografia, especialmente as

que você não conhece a origem);

Considere o uso de criptografia nas aplicações, como por exemplo, PGP para o envio

de e-mails, SSH para conexões remotas ou ainda vpns;

Evite o acesso a serviços que não utilizem conexão segura ("https");

Evite usar WEP, pois ele apresenta vulnerabilidades que, quando exploradas, permitem

que o mecanismo seja facilmente quebrado;

Use WPA2 sempre que disponível (caso seu dispositivo não tenha este recurso, utilize

no mínimo WPA).

Cuidados ao montar uma rede sem fio doméstica:

Posicione o AP longe de janelas e próximo ao centro de sua casa a fim de reduzir a

propagação do sinal e controlar a abrangência (conforme a potência da antena do AP e

do posicionamento no recinto, sua rede pode abranger uma área muito maior que apenas

a da sua residência e, com isto, ser acessada sem o seu conhecimento ou ter o tráfego

capturado por vizinhos ou pessoas que estejam nas proximidades);

29


Altere as configurações padrão que acompanham o seu AP. Alguns exemplos são:

Altere as senhas originais, tanto de administração do AP como de autenticação de

usuários;

Assegure-se de utilizar senhas bem elaboradas e difíceis de serem descobertas;

Altere o SSID (Server Set identifier);

Ao configurar o SSID procure não usar dados pessoais e nem nomes associados ao

fabricante ou modelo, pois isto facilita a identificação de características técnicas do

equipamento e pode permitir que essas informações sejam associadas a possíveis

vulnerabilidades existentes;

Desabilite a difusão (broadcast) do SSID, evitando que o nome da rede seja anunciado

para outros dispositivos;

Desabilite o gerenciamento do AP via rede sem fio, de tal forma que, para acessar

funções de administração, seja necessário conectar-se diretamente a ele usando uma

rede cabeada. Desta maneira, um possível atacante externo (via rede sem fio) não será

capaz de acessar o AP para promover mudanças na configuração.

Não ative WEP, pois ele apresenta vulnerabilidades que, quando exploradas, permitem

que o mecanismo seja facilmente quebrado;

Utilize WPA2 ou, no mínimo, WPA;

Caso seu AP disponibilize WPS (Wi-Fi Protected Setup), desabilite-o a fim de evitar

acessos indevidos;

Desligue seu AP quando não usar sua rede.

Bluetooth é um padrão para tecnologia de comunicação de dados e voz, baseado em

radiofrequência e destinado à conexão de dispositivos em curtas distâncias, permitindo a

formação de redes pessoais sem fio. Está disponível em uma extensa variedade de

equipamentos, como dispositivos móveis, videogames, mouses, teclados, impressoras,

sistemas de áudio, aparelhos de GPS e monitores de frequência cardíaca. A quantidade

de aplicações também é vasta, incluindo sincronismo de dados entre dispositivos,

comunicação entre computadores e periféricos e transferência de arquivos.

Embora traga muitos benefícios, o uso desta tecnologia traz também riscos, visto que

está sujeita às várias ameaças que acompanham as redes em geral, como varredura,

furto de dados, uso indevido de recursos, ataque de negação de serviço, interceptação de

tráfego e ataque de força bruta.

30


Um agravante, que facilita a ação dos atacantes, é que muitos dispositivos vêm, por

padrão, com o bluetooth ativo. Desta forma, muitos usuários não percebem que

possuem este tipo de conexão ativa e não se preocupam em adotar uma postura

preventiva.


mantenha as interfaces bluetooth inativas e somente as habilite quando fizer o uso;

configure as interfaces bluetooth para que a opção de visibilidade seja "Oculto" ou

"Invisível", evitando que o nome do dispositivo seja anunciado publicamente. O

dispositivo só deve ficar rastreável quando for necessário autenticar-se a um novo

dispositivo ("pareamento");

altere o nome padrão do dispositivo e evite usar na composição do novo nome dados

que identifiquem o proprietário ou características técnicas do dispositivo;

sempre que possível, altere a senha (PIN) padrão do dispositivo e seja cuidadoso ao

elaborar a nova;

evite realizar o pareamento em locais públicos, reduzindo as chances de ser rastreado ou

interceptado por um atacante;

fique atento ao receber mensagens em seu dispositivo solicitando autorização ou PIN

(não responda à solicitação se não tiver certeza que está se comunicando com o

dispositivo correto);

no caso de perda ou furto de um dispositivo bluetooth, remova todas as relações de

confiança já estabelecidas com os demais dispositivos que possui, evitando que alguém,

de posse do dispositivo roubado/perdido, possa conectar-se aos demais.

1.4 Banda larga fixa

Banda larga fixa é um tipo de conexão à rede com capacidade acima daquela

conseguida, usualmente, em conexão discada via sistema telefônico. Não há uma

definição de métrica de banda larga que seja aceita por todos, mas é comum que

conexões deste tipo sejam permanentes e não comutadas, como as discadas.

Usualmente, compreende conexões com mais de 100 Kbps, porém esse limite é muito

variável de país para país e de serviço para serviço3.

Computadores conectados via banda larga fixa, geralmente, possuem boa velocidade de

conexão, mudam o endereço IP com pouca frequência e ficam conectados à Internet por

longos períodos. Por estas características, são visados por atacantes para diversos

propósitos, como repositório de dados fraudulentos, para envio de spam e na realização

de ataques de negação de serviço.

31

http://cartilha.cert.br/redes/#footnote003


O seu equipamento de banda larga (modem ADSL, por exemplo) também pode ser

invadido, pela exploração de vulnerabilidades ou pelo uso de senhas fracas e/ou padrão

(facilmente encontradas na Internet). Caso um atacante tenha acesso ao seu

equipamento de rede, ele pode alterar configurações, bloquear o seu acesso ou desviar

suas conexões para sitesfraudulentos.


altere, se possível, a senha padrão do equipamento de rede (verifique no contrato se isto

é permitido e, caso seja, guarde a senha original e lembre-se de restaurá-la quando

necessário);

desabilite o gerenciamento do equipamento de rede via Internet (WAN), de tal forma

que, para acessar funções de administração (interfaces de configuração), seja necessário

conectar-se diretamente a ele usando a rede local (desta maneira, um possível atacante

externo não será capaz de acessá-lo para promover mudanças na configuração).

1.5 Banda Larga Móvel

A banda larga móvel refere-se às tecnologias de acesso sem fio, de longa distância, por

meio da rede de telefonia móvel, especialmente 3G e 4G4.

Este tipo de tecnologia está disponível em grande quantidade de dispositivos móveis

(como celulares, smartphones e tablets) e é uma das responsáveis pela popularização

destes dispositivos e das redes sociais. Além disto, também pode ser adicionada a

computadores e dispositivos móveis que ainda não tenham esta capacidade, por meio do

uso de modemsespecíficos.

Assim como no caso da banda larga fixa, dispositivos com suporte a este tipo de

tecnologia podem ficar conectados à Internet por longos períodos e permitem que o

usuário estejaonline, independente de localização. Por isto, são bastante visados por

atacantes para a prática de atividades maliciosas.

32

http://cartilha.cert.br/redes/#footnote004

Documents

Segurança da Informação ***** Padrões de Segurança da ... · controles do SoA devem ser implementados, quem irá fazer o trabalho, quando, com ... 1.2.11. Implementar programas