Embed Size (px)
Citation preview
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
AVM FACULDADE INTEGRADA
Gestão na Segurança da Informação
Por: Fernando Antonio Costa Nascentes
Orientador
Prof. Sérgio Majerowicz
Rio de Janeiro
2012
2
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
AVM FACULDADE INTEGRADA
Gestão na Segurança da Informação
Apresentação de monografia à AVM Faculdade
Integrada como requisito parcial para obtenção do
grau de especialista em Gestão Empresarial
Por: Fernando Antonio Costa Nascentes
3
AGRADECIMENTOS
Aos meus filhos Rafael e Gustavo, que
são os meus principais motivadores.
À minha esposa Vivian pelo apoio e
carinho.
4
DEDICATÓRIA
Esse trabalho é dedicado à memória de
minha mãe Sônia, que é a principal
responsável pelas minhas virtudes e
vitórias conquistadas até aqui.
Muitas saudades, te amo demais!
5
RESUMO
Esse trabalho tem como objetivo abordar a importância da Segurança da
Informação no ambiente corporativo. Por muitas vezes informações
importantes e confidenciais são expostas simplesmente por falta de um
cuidado adequado. Esse trabalho está dividido em três capítulos, sendo o
primeiro abordando princípios básicos, conceitos e definições. O segundo
capítulo visa informar alternativas para a implantação de uma segurança da
informação eficiente, reduzindo os riscos nas organizações. E finalmente o
terceiro, cita as conformidades e mecanismos para implantar uma política de
segurança da informação nas organizações.
Sabemos que é impossível evitar completamente o risco do vazamento
de informações, porém, são muitas as ações possíveis para inibir e em muitos
casos evitar o vazamento. Através de melhorias nos processos e de programas
de conscientização. É principalmente isso que vamos tratar nos três capítulos
desse trabalho.
6
METODOLOGIA
Para a realização desse trabalho a metodologia de pesquisa utilizada foi
principalmente bibliografias e sites sobre o tema.
A pesquisa teve como foco os princípios básicos sobre o tema, as
políticas e regulamentações sobre a segurança da informação, a sua
implantação e mecanismos para a sua continuidade.
O trabalho tem como principal objetivo alertar quanto a importância do
tema nas organizações, os riscos e as soluções para o problema.
As principais bibliografias utilizadas foram dos autores Marcos Sêmola,
Marcos Aurélio Laureano e Adriana Beal.
7
SUMÁRIO
INTRODUÇÃO 08
CAPÍTULO I - Conceitos básicos 09
da segurança da informação
CAPÍTULO II - Implantando a Gestão 14
de Segurança da Informação
CAPÍTULO III – Política de Segurança 28
da Informação
CONCLUSÃO 40
BIBLIOGRAFIA 42
WEBGRAFIA 43
ÍNDICE 45
8
INTRODUÇÃO
A presente monografia tem como principal objetivo abordar aspectos relativos à
Segurança da Informação nas organizações.
Falaremos sobre os conceitos básicos, normas, políticas de segurança da
informação, os riscos existentes e as soluções cabíveis.
Esse trabalho está dividido em três capítulos, sendo abordado a importância do
tema, os riscos existentes e conceitos básicos no capítulo um. No capítulo dois
falaremos sobre as vulnerabilidades e como implantar com eficiência dentro
das organizações formas de gestão de segurança da informação. Por último
abordaremos as conformidades da NBR ISSO/IEC 17799:2005, ferramentas
para a criação de políticas de segurança da informação.
Através do mundo cada vez mais globalizado e a necessidade extrema de
velocidade nos processos, a internet torna-se cada vez mais importante.
Porém, com a ação de hackers e de espionagem industrial, o risco de
vazamentos de informações confidenciais e estratégicas dentro das
organizações é cada vez maior, necessitando de investimentos em
equipamentos de segurança, implantação de política de segurança e a sua
manutenção. Porém, ainda assim é impossível eliminar por completo os riscos,
pois, o próprio colaborador da empresa é um sistema de informação,
reforçando a importância da política de segurança da informação dentro das
organizações.
9
CAPÍTULO I
Conceitos básicos da Segurança da Informação
A integridade, confidencialidade e disponibilidade das informações são os
princípios básicos da Segurança da Informação segundo a norma ABNT NBR
ISO/IEC 17799:2005. Visa reduzir os riscos com vazamentos, fraudes, erros,
uso indevido, roubo de informações e vários outros problemas.
Os riscos existem, e cada vez mais evoluídos as formas de invasão, tornando a
implantação de uma política e infra-estrutura de segurança de extrema
importância, devendo coexistir o investimento necessário em ferramentas,
planejamento e uma metodologia bem definida.
Por mais perfeitos que possam ser o planejamento e a metodologia, os seres
humanos são extremamente vulneráveis, devendo ter uma infra-estrutura de
segurança capaz de gerar uma conscientização por parte dos colaboradores e
formas de controle.
10
1.1 Segurança da Informação
A Informação possui diversos conceitos e significados, estando associado a
restrição, comunicação, controle, dados, forma, instrução, conhecimento,
significado, estímulo, padrão, percepção e representação de conhecimento.
Segundo a definição da Norma ISO/IEC 17799:2005, a informação é um ativo
que, como qualquer outro ativo importante, é essencial para os negócios de
uma organização e conseqüentemente necessita ser adequadamente
protegida. Isto é especialmente importante no ambiente dos negócios, cada vez
mais interconectados. Como um resultado deste incrível aumento da
interconectvidade, a informação está agora exposta a uma grande variedade
de ameaças e vulnerabilidades.
A informação sem dúvidas é um dos patrimônios mais importantes das
organizações. Ela pode ser impressa, escrita em papel, eletrônica ou de
diversas outras formas. Elas devem ser protegidas e mantidas em locais
seguros.
Para se converter dados em informações úteis e valiosas é necessário
o estabelecimento de regras e relações para maior organização de dados. A
transformação de dados em informações é um processo, uma série de
tarefas logicamente relacionadas, executadas para atingir um resultado
definido. O processo de definição de relações entre dados requer
conhecimento.
A informação e o conhecimento são vitais para as organizações e profissionais
que pretendem crescer no mercado.
11
Os administradores de hoje devem saber como estruturar e coordenar
as diversas tecnologias de informação e aplicações de sistemas empresariais
para atender às necessidades de informação de cada nível da organização e
às necessidades da organização como um todo.
Segurança é a base para dar às empresas a possibilidade e a
liberdade necessária para a criação de novas oportunidades de negócio. É
evidente que os negócios estão cada vez mais dependentes das tecnologias e
estas precisam estar de tal forma a proporcionar confidencialidade, integridade
e disponibilidade – que conforme observado por (Sêmola, 2003), são os
princípios básicos para garantir a segurança da informação:
• Confidencialidade ou Privacidade: A informação deve ser protegida de
acordo com o grau de sigilo de seu conteúdo, visando à limitação de seu
acesso e uso apenas às pessoas para quem elas são destinadas.
• Integridade dos dados: A Informação deve ser mantida na mesma
condição em que foi disponibilizada pelo seu proprietário, visando protegê-las
contra alterações indevidas, intencionais ou acidentais.
• Disponibilidade: Toda a informação gerada ou adquirida por um
individuo ou instituição deve estar disponível aos seus usuários no
momento em que os mesmos delas necessitem para qualquer finalidade.
O item integridade não pode ser confundido com confiabilidade do
conteúdo (seu significado) da informação. Uma pode ser informação
imprecisa, mas deve permanecer integra (não sofrer alterações por
pessoas não autorizadas).
12
Para que uma informação seja considerada segura deve ser respeitado os
seguintes critérios:
• Legalidade: Garante a legalidade (jurídica) da informação; Aderência de
um sistema à legislação; Característica das informações que possuem valor
legal dentro de um processo de comunicação.
• Privacidade: Foge do aspecto da confiabilidade, pois uma informação
pode ser considerada confidencial, mas não privada.
• Auditoria: Rastreabilidade dos diversos passos que um negócio ou
processo realizou ou que uma informação foi submetida, identificando os
participantes, os locais e horários de cada etapa.
• Autenticidade: Toda a informação deve ter a garantia de identificação
das pessoas ou organizações envolvidas na comunicação.
• Não-repúdio: A informação deve ter a garantia que o emissor de
uma mensagem ou a pessoa que executou determinada transação de
forma eletrônica, não poderá posteriormente negar sua autoria.
A confidencialidade é dependente da integridade, pois se a integridade de um
sistema for perdida, os mecanismos que controlam a confidencialidade não são
mais confiáveis.
A integridade é dependente da confidencialidade, pois se alguma informação
confidencial for perdida (senha de administrador do sistema, por exemplo) os
mecanismos de integridade podem ser desativados.
13
Auditoria e disponibilidade são dependentes da integridade e confidencialidade,
pois estes mecanismos garantem a auditoria do sistema (registros históricos) e
a disponibilidade do sistema (nenhum serviço ou informação vital é alterado).
1.2 Sobre a importância da Gestão na segurança da
Informação
As organizações e seus sistemas de informação são expostos
constantemente a diversos tipos de ameaças à segurança da informação,
como por exemplo, fraudes, espionagem, sabotagem, vandalismo, incêndio e
inundação, danos causados por códigos maliciosos, usuários mal
intencionados, hackers1, e ataques planejados aos sistemas de informação
(crime organizado) estão se tornando cada vez mais comuns, mais ambiciosos
e incrivelmente mais sofisticados.
Definir, alcançar, manter e melhorar a segurança da informação podem
ser atividades essenciais para assegurar a competitividade, a lucratividade, a
redução de custo, o atendimento aos requisitos legais e a imagem da
organização junto ao mercado.
Hoje em dia grande parte das informações nas organizações são
armazenadas e trocadas entre diversos sistemas automatizados. Portanto,
decisões decorrem dessas informações e por esses sistemas.
As informações devem ser corretas, precisas e devem estar
disponíveis, para serem armazenadas, recuperadas, manipuladas ou
processadas.
Hackers - Fanático por computação especializado em desvendar códigos de acesso a
computadores. (Dicionário Folhaonline em http://www1.folha.uol.com.br
14
CAPÍTULO II
IMPLANTANDO A GESTÃO DE SEGURANÇA DA
INFORMAÇÃO
Um SGSI (sistema de gestão de segurança da informação é um conjunto de
processos e procedimentos, baseado em normas e legislação, que uma
organização implementa para prover segurança no uso de seus ativos
tecnológicos (Sêmola, 2003). Esse sistema deve ser aplicado por todos os
aqueles que se relacionam com a infra-estrutura de TI da empresa, como
colaboradores, prestadores de serviço, parceiros e terceirizados.
A implantação de um SGSI envolve a análise de riscos na infra-
estrutura de TI. A referida análise permite identificar os pontos vulneráveis e as
falhas nos sistemas, pelo qual deverão ser corrigidos. No SGSI são definidos
processos para detectar e responder a incidentes de segurança e
procedimentos para auditorias.
No SGSI é de extrema importância a implementação de um programa
de treinamento e conscientização dos usuários nas questões relativas à
Segurança da Informação. Isto em função do usuário ser um ponto fraco para
os casos de invasão de sistemas devido à falta de conhecimento das principais
técnicas utilizadas pelos invasores. Prova disso é o sucesso dos ataques de
spam, onde o usuário recebe um e-mail que o induz a executar um programa
ou a acessar um site que coleta informações e as envia para algum invasor.
15
2.1 A implantação de um SGSI
A implantação da SGSI começa pela definição de quais dos itens
especificados em cada padrão devem ser implementados na organização. Em
resumo é necessário definir se os itens do padrão estão adequados às
características da organização.
O SGSI é um sistema de gestão passível de certificação através das
evidências do conjunto de controles implantados e que devem ser
constantemente executados e registrados. Este modelo de gestão está
baseado no ciclo com melhoria contínua PDCA (Plan-Do-Check-Act) conforme
a figura abaixo (Laureano, 2004).
O Ciclo PDCA é o principal método da Administração pela
Qualidade Total, citado na BS7799 como “meio de facilitar o gerenciamento
do projeto de Segurança da Informação”. Esse modelo inicia com a
16
execução das atividades na fase Plan, passando para as fases Do, Check e
Act, sucessivamente, objetivando que o processo seja executado
constantemente e que a cada novo ciclo, o sistema seja revisado e
desenvolvido.
Etapas do processo:
1. Plan (planejar) Estabelecer o SGSI – Estabelecer a política,
objetivos, processos e procedimentos do SGSI, relevantes para
a gestão de riscos e a melhoria da segurança da informação
para produzir resultados de acordo com as políticas e objetivos
globais de uma organização.
2. Do (fazer) Implementar e operar o SGSI – Implementar e
operar a política, controles, processos e procedimentos do
SGSI.
3. Check (checar) Monitorar e analisar criticamente o SGSI –
Avaliar e, quando aplicável, medir o desempenho de um
processo frente à política, objetivos e experiência prática do
SGSI e apresentar os resultados para a análise crítica pela
direção.
4. Act (agir) Manter e melhorar o SGSI – Executar as ações
corretivas e preventivas, com base nos resultados da auditoria
interna do SGSI e da análise crítica pela direção ou outra
17
informação pertinente, para alcançar a melhoria contínua do
SGSI.
O sucesso do Sistema Integrado de Gestão organizacional, começa
com a garantia de que uma das mais importantes recomendações da ISO
13335 está sendo aplicada. Em suma, deve ser acordado que os
representantes de todos os setores da organização estão comprometidos
com a Política de Segurança da Informação a ser implantada. Este
comprometimento é obtido através da criação de um comitê ou fórum de
segurança da informação, que deve se encontrar regularmente para balizar
e respaldar o trabalho.
.
Uma das funções principais deste comitê é definir o nível de
risco aceitável pela organização. Dependendo do tamanho da organização,
além deste comitê, é recomendada a criação de um departamento de
segurança da informação, sob responsabilidade do Security Officer2.
Algumas organizações podem ter também uma diretoria de segurança que
engloba as áreas de segurança física ou patrimonial e segurança lógica. A
inexistência do comitê afastará o departamento de segurança das decisões
estratégicas, fazendo com que este se torne um departamento meramente
operacional da área de TIo.
A norma BS 7799 oferece as ferramentas para a implantação e
gestão através do modelo PDCA. As fases Plan-Do do PDCA
correspondem às etapas de construção do SGSI envolvendo a elaboração
da política de segurança, definição do escopo, desenvolvimento da análise
de riscos, documentação e seleção dos controles que são aplicados para
reduzir os riscos quando necessário. Assim, a implantação do SGSI se dá
efetivamente nas duas primeiras fases do primeiro ciclo PDCA. Ainda no ciclo
do modelo PDCA, as fases Check-Act estão relacionadas à verificação de
que as medidas de segurança especificadas estão sendo aplicadas, às
18
soluções de segurança utilizadas e à melhoria contínua do conjunto de
segurança, além das auditor3ias periódicas de cada componente do sistema.
2.2 Metodologia de Implantação de um SGCI
Devido a intensidade nos detalhamentos que compõem todos os itens
do processo, torna de extrema complexidade a elaboração de uma
metodologia de implementação para o projeto de segurança da
informação, incluindo os dados técnicos e os de níveis gerenciais. “Através de
uma maior profundidade no detalhamento, a metodologia pode vir a se tornar
uma referência para implantação e gestão de Sistemas da Segurança da
Informação em organizações” (Laureano, 2004)
A implantação de um SGCI deve conter 7 etapas após a sua
concepção: Estabelecimento da Política de Segurança da Informação;
definição do escopo; análise de risco; gerenciamento das áreas de risco;
seleção dos controles; implementação e acompanhamentos dos indicadores e
por fim auditoria do sistema e plano de melhorias.
2.3 A Concepção do Sistema
Trata-se da etapa inicial, preliminar a realização da primeira fase da
metodologia. É vital, pois, essa fase é determinante para analise da viabilidade
do projeto, onde realiza-se o planejamento inicial de todas as etapas, inclusive
algumas estimativas iniciais do orçamento, referente a pessoas, cronograma,
19
escopo, objetivos e metas. Normalmente, a fase de concepção abrange duas
etapas:
a) Diagnóstico da situação atual – nessa fase é verificada a
existência de alguma política de Segurança da Informação,
aproveitando-se de controles já implementados.
b) Planejamento do SGSI e preparação para a sua
implantação – aqui, conforme as normas ISO/IEC TR
13335 e BS7799, é recomendado a formação do comitê
responsável pela implantação do Sistema na organização. A
função principal deste comitê é realizar a formação básica e
principalmente conscientizar os colaboradores. Também é
revisto o planejamento e a preparação do sistema, os
detalhes do projeto, além da definição da Política de
Segurança da Informação da empresa conforme as normas e
estabelecer as metas e objetivos para o Programa de
Gerenciamento da Segurança da Informação
2.4 Estabelecer uma Política de Segurança da
Informação
Para elaborar as políticas de segurança da organização, o comitê
deve ter embasamento nos padrões e normas supramencionados, entre eles a
BS7799/ISO17799 (Beal, 2008).
20
Política de Segurança é um documento que deve necessariamente
descrever as recomendações, as normas, as responsabilidades e as
práticas de segurança. Porém, não existe uma “Política de Segurança Modelo”
que possa ser implementada em toda e qualquer organização, pois a
política deverá ser adequada às características de cada caso. portanto, a
criação de uma política de segurança é um processo complexo e que
necessita de monitoramento constante, além de ser revisada e atualizada.
Ainda assim, os seus resultados normalmente só poderão ser percebidos a
médio e longo prazo.
É de extrema importância para as organizações não somente a
existência de uma política de segurança, mas que a mesma seja realmente
referência para os seus colaboradores, possibilitando garantir os três
princípios básicos da segurança da informação: integridade,
disponibilidade e confiabilidade.
O comitê criado é responsável pela gestão da segurança da
informação, devendo propor as políticas essenciais para gestão da
segurança da informação e seus recursos. Devendo ainda realizar a
implantação, acompanhamento e revisões periódicas.
A Política de Segurança deverá estar adequada a ISO / IEC17799:
Após aprovada pela diretoria, divulgada e publicada, deverá ser revisada
constantemente. A sua publicação deverá ser de forma ampla, extensiva a
todos os colaboradores.
Além disso deverá estar em conformidade com a legislação e
cláusulas contratuais, devendo estabeleceer as responsabilidades gerais e
específicas e as conseqüências das violações.
A Política de Segurança também deverá elencar os seguintes tópicos:
a) Propriedade da Informação – deverá determinar o responsável
pela informação, o colaborador que poderá definir quem terá acesso às
21
informações e que nível de acesso será permitido, além de estabelecer a
periodicidade necessária para a realização do backup desta informação.
b) Classificação da informação – Trata-se da classificação pelo
gestor das informações em relação aos princípios da disponibilidade,
confidencialidade e integridade.
c) Controle de acesso – importante atender ao princípio do menor
privilégio. Toda solicitação de acesso deve necessariamente ser documentada.
Também é muito importante evitar a segregação de função e a manutenção
das auditorias registradas no sistema.
d) Gerência de Usuários e Senhas – As senhas devem ser
individuais, e com trocas periódicas. A responsabilidade da senha é do
usuário proprietário da mesma.
e) Segurança Física – Somente com autorização expressa deverá
ser permitido o acesso a áreas de servidores. Devendo ainda ter controle
quanto à entrada e saída de equipamentos e pessoas, sendo recomendada a
criação de normatizações de controles internos referentes à segurança física,
com a necessidade de auditorias regulares.
f) Desenvolvimento de sistemas ou compra de sistemas /
software – é importante definir um fluxo interno com ênfase nos princípios de
segurança.
g) Plano de continuidade de Negócios – podemos considerar
como uma das mais importantes fases na Política de Segurança, é
recomendado a criação de controles e padrões especificando detalhes
quanto ao plano de contingência e continuidade dos negócios.
22
h) Definição do Escopo – Nessa etapa é incluído o cálculo dos ativos
que serão envolvidos, por exemplo: Nome da organização; equipamentos;
sistemas; estrutura de comunicação; pessoas; serviços; infra-estrutura de
rede interna e externa, classificação da informação... Conforme for evoluindo o
projeto deve ser revisado, baseado no escopo do projeto. A delimitação do
escopo é de extrema importância. Esta etapa gera os seguintes resultados: o
mapa do perímetro da rede de computadores onde será aplicado o SGSI;
o inventário dos ativos e a classificação desses ativos.
As políticas criadas devem ser entendidas e obedecidas por todos
os colaboradores da empresa, além de servir como referência e guia de
segurança da informação. Para o seu sucesso é necessária a realização
de uma campanha de divulgação e conscientização de sua importância para a
organização
2.5 Análise de Risco
Aqui é “realizado o exame da segurança para o escopo definido,
identificando os ativos de informação envolvidos e oo mapeamento de todas os
riscos relacionados a estes” (Sêmola, 2003). A cada ameaça deve ser
apurado o nível de risco. Na implementação da análise de riscos, a ISO 13335
é vital, pois, estabelece detalhadamente a análise de riscos, apresentando
várias estratégias de condução da análise de riscos. “Essas estratégias
podem ser selecionadas em função do tempo e orçamento existente e
dos objetivos. Posteriormente a utilização da BS 7799 na atividade de decidir
a estratégia de gestão de riscos é de grande utilidade” (Beal, 2008).
23
Posteriormente, deverá definir junto à Diretoria da empresa, quais
os níveis de risco toleráveis e não-aceitáveis. Entre os não aceitáveis,
pode-se escolher uma entre as seguintes opções:
• Reduzir o nível de risco – através da aplicação de controles de
segurança.
• Aceitar o risco – considerar a sua existência, porém sem
aplicar qualquer controle.
• Transferir o risco – transferir a responsabilidade de segurança
a um terceiro.
• Negar o risco – recomendado somente ter certeza que a
ameaça não produz nenhum tipo de risco à organização.
•
A análise de riscos pode ser quantitativa (baseada em estatísticas,
numa curva histórica dos registros de incidentes de segurança) ou qualitativa
( baseada em know-how4 e geralmente realizada por pessoas qualificadas).
A abordagem quantitativa é norteada nas informações captadas no
processo qualitativo, ferramentas computacionais específicas para computar
os dados de análise de risco podem ser de grande utilidade nesta fase.
Em sua maioria as empresas tendem a adotar o modelo qualitativo,
pois, é mais ágil já que não requer cálculos complexos. Independentemente do
método adotado, uma Análise de Riscos deve contemplar algumas atividades,
como o levantamento de ativos a serem analisadas, definições de uma
lista de ameaças e identificação de vulnerabilidades nos ativos.
4 Know-How - é o conhecimento de como executar alguma tarefa. (Wikipédia em
http://pt.wikipedia.org/wiki/KnowHow )
24
O relatório de análise de risco necessariamente deve citar a
identificação e classificação de ativos e processos de negócio; análise de
ameaças e vulnerabilidades, além de análise e parametrização de riscos e
definição de tratamento das ameaças.
25
2.6 Gerenciamento das Áreas de Risco
Trata-se de um processo constante, não sendo finalizado com a
implementação de uma medida de segurança. Através desse ciclo (PDCA) com
revisão constante e desenvolvimento, fica mais fácil constatar as áreas que
estão seguras e quais precisam de revisões e alterações.
Aqui é estudado o quanto as vulnerabilidades e ameaças podem custar
a organização. Considerando ser praticamente impossível eliminar todos os
riscos existentes e as vulnerabilidades de segurança, é necessário identificar
os ativos e as ameaças mais intensas, possibilitando priorizar as ações e os
custos com segurança. Após a identificação das ameaças e estudado quais
delas deverão ter atenção, as medidas de segurança devem ser de
imediatamente implementadas.
Nessa etapa também são definidas outras medidas de segurança,
como por exemplo os Planos de Continuidade dos Negócios. Eles têem
como objetivo a manutenção do funcionamento dos serviços essenciais ao
foco da empresa e em situações emergenciais o Response Teams5, que
possibilitam a detecção e avaliação dos riscos em tempo real, permitindo que
as providências necessárias sejam tomadas de forma ágil.
5 Response Teams – É o Grupo de Resposta a incidentes de segurança responsável por receber,
analisar e responder a incidentes de segurança
26
Muito importante a gestão preventiva dos riscos, visando neutralizar
ataques antes mesmo que eles ocorram. Nessa fase pode ser simulado como
uma ameaça poderia afetar ou danificar o sistema de computador e quais as
suas vulnerabilidades. O resultado obtido nessas avaliações pode auxiliar a
implementar diretivas de segurança que vão controlar ou minimizar as
ameaças.
Essa experiência possibilitará o surgimento de um padrão dos
fatores comuns a diferentes ataques. Esse padrão ajuda a identificar as
áreas de vulnerabilidade e que representam mais riscos para a organização.
Este passo está totalmente conectado a fase anterior e, portanto, é de extrema
importância a necessidade de analisar o custo da perda de dados e o custo da
implementação dos controles de segurança.
27
2.7 Seleção dos Controles
Após estabelecer os requisitos de segurança, é importante que os
controles sejam identificados e implementados para a garantia que os riscos
sejam minimizados a um nível tolerável. Dentre todos os controles da BS 7799,
aqueles que são aplicáveis à Gestão de Segurança da Informação deverão ser
selecionados e ainda observado os controles contidos nas demais normas e
técnicas existentes, visando a integração de forma natural ao SGSI.
Não é suficiente instituir uma série de normas internas. Para garantir
a segurança de uma organização é necessário impor procedimentos e
controles para o acesso de pessoas externas (fornecedores, parceiros e até
mesmo clientes) à empresa, definir padrões de atualização de antivírus e do
acesso de empregados ao provedor corporativo; padronizar o portal
institucional e do site comercial.
Posteriormente é necessário a análise e seleção desses controles.
Logo após sua definição, eles devem ser implementados dentro do
escopo pré estabelecido, seguindo as informações geradas durante o
processo de análise de riscos, mantendo o foco nos propósitos do negócio,
evitando prejudicar a atividade fim da empresa.
28
2.8 Auditoria do Sistema
As auditorias internas do SGSI têm o intuito de identificar se os
procedimentos e instruções operacionais são satisfatórios, a adequação dos
setores da organização com os documentos normativos e se as ferramentas
fornecidas são adequadas e suficientes para elaboração dos relatórios
periódicos de análise crítica do SGSI.
É de extrema importância a independência dos auditores, o aprimoramento
constante do SGSI e principalmente na análises que auxiliem a empresa
quanto a segurança da informação, aos seus objetivos e metas.
As falhas detectadas no SGSI devem ser registradas, incluindo ações
para registro e tomada de ação para a sua solução. Após ampla análise das
referidas falhas, deverá ocorrer a implantação de ações corretivas e o registro
das alterações em procedimentos. Após a implantação das ações corretivas,
deverá ocorrer a sua reavaliação antes da sua finalização.
A implantação de um SGSI é um processo que foca
constantemente o desenvolvimento do modelo de gestão da segurança da
informação, sendo de extrema importância o acompanhamento e
gerenciamento do fluxo ( como o ciclo PDCA citado nesse capítulo), devendo
ocorrer principalmente de forma contínua.
29
CAPÍTULO III
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
“A Política de Segurança da Informação (PSI) serve como base ao
estabelecimento de normas e procedimentos que garantem a segurança da
informação, bem como determina as responsabilidades relativas à segurança
dentro da empresa segundo” (Beal, 2008).
Muito importante para a política de segurança da informação é ter uma
visão abrangente em relação a segurança , seja tecnológico, físico ou humano,
e os tratando de forma homogênea. Atualmente não podemos mais restringir
os aspectos de segurança às ações de hackers. Devemos observar a
segurança física das instalações, o comportamento dos funcionários, além de
uma política expressa que além de amplamente divulgada aos colaboradores
gere uma cultura favorável a segurança.
A política de segurança tem como principal objetivo doutrinar toda a
equipe de uma organização, seus usuários e gerentes quanto as suas
obrigações para a preservação da tecnologia e o acesso à informação. As
ferramentas necessárias para o êxito nesses requisitos têm que estar muito
bem especificados na política de segurança da informação. Recomenda-se a
instalação de um ponto de referência onde se possa adquiri, auditar e
configurar sistemas computacionais e redes, para que possam ser adequados
aos supramencionados requisitos.
A política de segurança da informação também tem como fundamento
gerar informação e orientação aliados ao foco do negócio, com as leis e
regulamentações existentes.
Segundo a (ISO/IEC 17799:2005) “Convém que a direção estabeleça
uma política clara e demonstre apoio e comprometimento com a
segurança da informação através da emissão e manutenção de uma política
de segurança da informação para toda a organização”.
30
A Política de Segurança através da sua publicação a toda organização
deve ser mantida e revista quando necessária, devendo ser clara e adequada
ao foco do negócio, além de transmitir a importância para a garantia da
segurança da informação.
Segundo consta no ISSO IEC 27001:2006 que trata de Documento da
política da informação, a mesma é formada por um conjunto de documentos,
que são Diretrizes, Normas e Procedimentos.
A Política de Segurança da Informação deve ser publicada e
comunicada para todos os colaboradores da organização e agentes externos
após a sua devida aprovação pela alta direção.
“A simples utilização de mecanismos de
segurança para a proteção dos recursos
de um sistema de informação não é
suficiente para garantir que os serviços de
segurança desejados sejam alcançados.
Sem a compreensão de todos os
aspectos envolvidos na segurança de um
sistema, todo o trabalho pode estar
comprometido (Beal, 2008)“.
Portanto, a implantação da política de segurança da informação
depende da aprovação da alta direção da organização, que tenha sido
amplamente comunicada e publicada, de forma que todos os colaboradores e
partes externas relevantes tenha acesso. Também é de grande importância
que a alta direção esteja alinhada com a política e estabeleça princípios
básicos, segundo Beal no mínimo contendo:
31
Ø Definição de segurança da informação, resumo das metas e escopo
e a importância da segurança como um mecanismo que habilita o
compartilhamento da informação;
Ø Declaração do comprometimento da alta direção, apoiando as metas
e princípios da segurança da informação;
Ø Breve explanação das políticas, princípios, padrões, e requisitos de
conformidade de importância específica para a organização, por exemplo:
1. Conformidade com a legislação e cláusulas contratuais;
2. Requisitos na educação de segurança;
3. Prevenção e detecção de vírus e software maliciosos;
4. Gestão da continuidade no negócio;
5. Conseqüências das violações na política de segurança da informação;
Também é necessário o registro dos incidentes de segurança, além de
definir as responsabilidades gerais e específicas na gestão da
segurança da informação.
(Beal, 2008)
32
3.1 Normas e Padrões de Segurança da Informação
“Normas e padrões técnicos representam uma referência importante
para a qualidade de qualquer processo. Quando processos de produção de
bens e serviços são desenvolvidos em conformidade com um padrão de
referência de qualidade, aumentam as garantias de que estes sejam eficientes,
eficazes e confiáveis”. (Beal, 2008)
Para apoiar as organizações principalmente com informações sobre as
melhores práticas na gestão da segurança da informação e da tecnologia da
informação (TI), existem algumas referências internacionais sobre o tema, são
elas:
ITIL (It infrastructure library) – O ITIL é um conjunto de documentos
desenvolvidos pelo governo do Reino Unido para registrar as melhores
práticas na área de gestão de serviços de TI. o ITIL contempla as áreas
de gestão de incidentes, problemas, configuração, atendimento ao
usuário final, nível de serviço e desenvolvimento, implantação e suporte
de softwere6, colaborando assim tanto para a padronização e a
melhoria da qualidade do serviço ofertado pela área de TI, quanto para
o estabelecimento de processos voltados para o alcance dos objetivos
de segurança da informação
COBIT (Control objectives information and related technology) - O
COBIT é um conjunto de diretrizes para a gestão e auditoria de processos,
práticas e controles de TI. Desenvolvido pela Informations Systems Audit and
Control Association (ISACF) e pelo IT Governance Institute, o COBIT contém
6 Softwere – Conjunto de programas, procedimentos e regras que permite ao computador a realização de
certas tarefas (Dicionário Enciclopédico Ilustrado Larousse
33
mais de 300 pontos de controle para 34 processos, sendo um deles o de
segurança da informação.
ISO Guide 73 – A ISO/IEC Guide 73 (Risk managemente – vocabulary
– guidelines for use in standards), publicada em 2002, define 29 termos da
Gestão de Riscos, os quais foram agrupados nas seguintes categorias: termos
básicos; termos relacionados a pessoas ou organizações afetadas por riscos;
termos relacionados à avaliação de riscos; termos relacionados a tratamento e
controle de riscos. A norma é útil para uniformizar o entendimento em relação
aos conceitos relacionados ao risco.
ISO 13335 – A ISO/IEC 13335 (Guidelines for the management of IT
security), é um conjunto de diretrizes de gestão de segurança voltadas
especificamente para tecnologia da informação. A norma é composta de cinco
partes, que tratam de conceitos e modelos para a segurança de TI, da
administração e planejamento de segurança de TI, das técnicas para a gestão
da segurança de TI, da seleção de medidas de proteção e da orientação
gerencial em segurança de redes. A ISO 13335 tem por objetivo não só servir
de base para o desenvolvimento e o aprimoramento de uma estrutura de
segurança de TI, como também estabelecer uma referência comum de gestão
de segurança para todas as organizações.
BS 7799 e ISO/IEC 17799 – A “família” de padrões BS 7799 trata da
gestão da segurança da informação. Está dividida em duas partes sendo a
parte 1 desse conjunto de padrões, que corresponde a um “código de práticas
para a gestão da segurança da informação”. A segunda parte do padrão , BS
7799-2, é voltada para a definição de um sistema de gestão de segurança da
informação (ISMS, de Information Security Management System). Especifica
uma série de processos voltados para garantir não só a avaliação e o
tratamento dos riscos, mas também a revisão e melhoria dos processos para
garantir que o ISMS seja atualizado frente às mudanças no ambiente de
negócios e seus efeitos na organização, e oferece certificação. O sistema de
34
controle implementado para gerenciar os riscos é derivado dos controles
mencionados na ISO/IEC 177999 (Beal, 2008, ps. 31,32,33).
3.2 Conformidade com a Norma ABNT NBR ISO/IEC
17799:2005
A norma ABNT NBR ISSO/IEC 17799:2005 tem como principal
objetivo facilitar a gestão da segurança da informação através de
recomendações para uso dos departamentos responsáveis pela
implementação e manutenção da segurança em suas organizações. Através
dela possibilita uma base para o desenvolvimento das normas de segurança da
informação e das práticas efetivas de gestão da segurança
Quando as organizações começaram a se preocupar com a segurança
da informação, não possuíam nenhum tipo de metodologia ou controles
que satisfizessem seus objetivos, pois cada organização possui características
distintas, trabalham de formas diferentes e as preocupações dos níveis de
segurança podem variar de uma empresa para a outra.
A NBR (Norma Brasileira) ISO/IEC 17799 - Tecnologia da Informação –
Código de prática para a gestão da segurança da informação, tem origem na
Norma Britânica BS7799 Parte 13, desenvolvida pela British Standards Institute
(BSI), com inicio em 1995, e depois padronizada pela International
Organization for Standardization (ISO) em 2000, como ISO/IEC 17799.
A International Organization for Standardization (ISO) tem como
objetivo a criação de normas e padrões universalmente aceitos e criou a Norma
35
ISO 17799. No Brasil essa norma é controlada pela Associação Brasileira de
Norma Técnicas (ABNT).
Conforme descrito por Beal, a “NBR ISO/IEC 17799, abrange 10
domínios reunidos em 36 grupos que se totalizam em 127 controles, sendo
seus domínios, a Política de Segurança, a Segurança Organizacional, a
Classificação e Controle dos Ativos de Informação, a Segurança de
Pessoas, a Segurança Física e do Ambiente, o Gerenciamento das
Operações e Comunicações, o Controle de Acesso, o Desenvolvimento e
Manutenção de Sistemas, a Gestão da Continuidade do Negócio e a
Conformidade”.
(Beal, 2008)
1. Política de Segurança – Convém que Alta Direção estabeleça
uma Política clara e demonstre apoio e comprometimento com a
segurança da informação através da emissão e manutenção de
uma política de segurança da informação para toda organização.
2. Segurança Organizacional – Convém que uma Estrutura de
Gerenciamento seja estabelecida para iniciar e controlar a
implementação da segurança da informação dentro da
organização.
3. Classificação e Controle dos Ativos de Informação –
Convém que todos os principais ativos de informação sejam
inventariados e tenham um proprietário responsável.
4. Segurança em Pessoas – Convém que responsabilidades de
segurança sejam atribuídas na fase de recrutamento, incluídas
em contratos e monitoradas durante a vigência de cada contrato
de trabalho.
36
5. Segurança Física e do Ambiente – Convém que os recursos e
instalações de processamento de informações criticam ou
sensíveis do negócio sejam mantidos em áreas seguras.
6. Gerenciamento das Operações e Comunicações – Convém
que os procedimentos e responsabilidades pela gestão e
operação de todos os recursos sejam definidos. Isto abrange o
desenvolvimento de procedimentos operacionais apropriados e
de resposta a incidentes.
7. Controle de Acesso – Convém que o acesso à informação e
processo do negócio seja controlado na base dos requisitos de
segurança e do negócio, para protegê-los contra abusos
internos e ataques externos.
8. Desenvolvimento e Manutenção de Sistemas – Convêm que
todos os requisitos de segurança, incluindo a necessidade de
acordos de contingência, sejam, identificados na fase de
levantamento de requisitos de um projeto e justificados,
acordados e documentados como parte do estudo de caso de
um negócio para um sistema de informação.
9. Gestão da Continuidade do Negócio – Convém que o
processo de gestão da continuidade seja implementado para
reduzir, para um nível aceitável, a interrupção causada por
desastres ou falhas da segurança, através da combinação de
ações de prevenção e recuperação.
10. Conformidade – Convém que consultoria em requisitos legais
específicos seja procurada em organizações de consultoria
jurídica ou profissionais liberais, adequadamente qualificados
37
nos aspectos legais, com as normas e diretrizes internas e com
os requisitos técnicos de segurança.
3.3 Divulgação da Política de Segurança
Não adianta uma organização possuir uma Política de Segurança se
não for devidamente divulgada e respeitada em toda a organização,
envolvendo todos os níveis hierárquicos, além dos usuários externos. Diante de
uma divulgação eficiente das normas e diretrizes, em caso de violação elimina
a possibilidade de alegação do desconhecimento das normas vigentes como
justificativa.
“A responsabilidade pela comunicação da Política de Segurança da
Informação e pela implantação de um programa de conscientização dos
usuários deve ser atribuída formalmente a uma unidade organizacional
(departamento de recursos humanos, assessoria de comunicação ou outra),
que poderá solicitar da unidade de TI e de outros setores da organização sua
colaboração na produção de material de esclarecimentos sobre detalhes da
política. O uso de diferentes instrumentos, como workshops7, murais, boletins e
comunicação eletrônica (intranet8 e e-mail), proporciona um melhor
entendimento e comprometimento dos colaboradores com as questões de
segurança.” (Beal, 2008)
7 Worshop – Treinamento utilizado em grupos de trabalho.
7 Intranet – Rede interna de computadores em que se usam os mesmos programas e protocolos de
comunicação empregados na Internet (Dicionário Enciclopédico Ilustrado Larousse). 7
38
É necessário o investimento em treinamentos de segurança da
informação para todos os usuários, visando a conscientização e divulgação da
política de segurança, e para que a mesma seja seguida por todos. Na
integração de novos funcionários é importante a realização do programa de
treinamento em segurança da informação e para os mais antigos a realização
periódica em treinamentos de reciclagem.
Para uma melhor eficiência é importante selecionar e destacar na
Política de segurança da organização as partes aplicáveis à determinados
grupos específicos de funcionários ou colaboradores. Com isso a compreensão
desses colaboradores é facilitada, reduzindo drasticamente a possibilidade de
alguma norma ou recomendação importante a algum grupo da organização não
ser conhecida. Segue exemplo do Beal: “para encarregados de serviços gerais,
faxineiros, vigilantes e outros colaboradores, que não fazem uso dos recursos
computacionais, mas precisam ser informados das regras relativas às suas
responsabilidades de segurança durante o desempenho de suas atividades,
podem-se excluir os trechos relativos às políticas de TI, mantendo-se as
relativas a manipulação e descarte de documentos em papel e mídias
eletrônicas, procedimentos de controle de acesso físico ao ambiente de
trabalho, forma previstas para a comunicação de incidentes de segurança física
e outros. Igualmente, após um evento relacionado a disseminação de vírus na
rede da organização, uma nova divulgação das diretrizes e procedimentos de
segurança aplicáveis especificamente à prevenção do problema (uso de
antivírus para verificação d com anexos suspeitos etc.) pode renovar a tenção
dos funcionários e evitar a repetição do incidente.”
Conforme falamos é importante a divulgação da Política de Segurança
da Informação de forma direcionada, considerando as prioridades de cada
setor da organização, porém, a versão original e integral deve permanecer
disponível para consulta por todos os colaboradores e seus destinatários a
qualquer momento, para que eventuais dúvidas, problemas e esquecimentos
39
possam ser revistas e se necessário corrigidos, visando a manutenção do nível
de proteção gerado pela política ao longo do tempo.
3.4 Conformidade com a Política de Segurança da
Informação
Para garantir o cumprimento das normas, recomendações e diretrizes
da política de segurança não são suficientes somente a sua elaboração,
aprovação, manutenção e divulgação. É necessário uma avaliação periódica e
quando necessário auditorias, para que qualquer desvio ou descumprimento
das normas seja identificado, corrigido e sendo o caso punido. Essa avaliação
tem que ser abrangente, envolvendo todos os setores da organização.
Dependendo do tamanho da organização é recomendável que as
responsabilidades sejam divididas entre as áreas existentes (RH, TI,
administrativo, comercial,...)
Nos casos de auditorias de conformidade com a Política de Segurança
da Informação, as mesmas podem se extenas ou internas. Nas auditorias
externas, são realizadas por empresas especializadas no assunto. Nas
auditorias internas, as mesmas devem ser realizadas por profissionais que não
participem diretamente das atividades auditadas, para garantir a imparcialidade
necessária e isenção da análise (por exemplo, para conferir o cumprimento das
normas pelos colaboradores da área comercial da organização, é
recomendável designar um funcionário que não seja da referida área). Também
é muito importante divulgar a cada setor da organização as formas pelas quais
podem colaborar com as verificações pertinentes.
40
Para um resultado ainda melhor, é recomendado sempre que possível,
além das auditorias internas, a realização de auditorias externas por empresas
especializadas.
41
CONCLUSÃO
Esse trabalho tem como principal objetivo informar sobre os métodos
de prevenção e controle das ameaças e vulnerabilidades dentro das
organizações, propondo mecanismos e ferramentas para a Gestão da
Segurança da Informação, buscando abordar os principais desafios
relacionados ao tema.
Abordamos a necessidade no desenvolvimento de padrões para os problemas
de segurança em setores tecnológicos, devendo ser utilizados na
implementação de sistemas de informática com baixo risco (uma vez que é
praticamente zerar os riscos) e até mesmo para a sua avaliação. A existência
de um SGSI dentro da organização, viabiliza ao colaborador ou usuário ter
segurança quanto a proteção das suas informações. No caso dos
profissionais técnicos, eles contariam com um modelo de atuação
padronizado, evitando assim que cada área da organização tenha em suas
equipes um padrão desconexo das demais áreas. O ponto forte da
metodologia é viabilizar que o responsável pela implementação do projeto
de segurança tenha uma visão única do sistema de segurança da
informação e dos diversos padrões, controles e métodos que o compõem.
A complexidade de um SGI também é outro ponto importante, pois a
sua implementação e principalmente a manutenção dependem de imensa e
detalhada análise do ambiente tecnológico e organizacional. Além de ser um
processo extremamente técnico e difícil, depende da aprovação da direção da
empresa e envolvimento de todos os colaboradores. Devemos também
considerar a possibilidade de envolver agentes externos como fornecedores e
clientes, dificultando ainda mais a manutenção do ambiente computacinal de
forma segura e portanto, sendo necessário uma gestão cuidadosa e adequada.
Uma grande preocupação na abordagem desse trabalho foi na
exploração de métodos eficientes para a gestão na implementação de um GSI.
42
No capítulo 2 elencamos algumas etapas na criação de um SGSI, devendo ser
compreendidas como modelo gerencial, pois, não são produtos técnicos, e sim
relatórios, procedimentos, formulários ou planos (também conhecidos como
documentos). Por isso abordamos a preocupação em desenvolver a
implementação do SGSI de uma forma mais gerencial do que técnica. Na
verdade, essa é uma tendência nas técnicas de gestão, com foco nos
resultados e não nos processos utilizados
Também muito importante foi abordar que a segurança da informação
não depende somente de obter as tecnologias mais modernas. Antes de
qualquer aquisição de ferramentas tecnológicas para a segurança da
informação é necessário avaliar detalhadamente os riscos e vulnerabilidades
de uma forma amplas, refazendo esse processo periodicamente. Sabemos que
o custo é muito alto para implantar segurança, e no caso de segurança da
informação podemos minimizar o valor investido usando um referencial de
gestão de risco, o que facilita a obtenção de respostas precisas para perguntas
como “o que proteger”, “de que ameaças”, “por que razão”, e “a que custo”.
Outro ponto importante foi a abordagem sobre as diferentes formas de
gerenciar os riscos de segurança da informação. Apesar da importância de
todos os princípios e melhores práticas apresentados ao longo deste trabalho,
devem agregar e não simplesmente substituir a análise detalhada do contexto
organizacional. Devemos considerar que cada organização possui
características próprias e necessidades distintas quanto aos níveis de
proteção, sendo portanto, muito importante a compreensão profunda das suas
características, necessidades, estrutura, capacidade, objetivos, estratégias e
restrições legais dos ativos de informação.
43
BIBLIOGRAFIA
BEAL, Adriana. Segurança da Informação – Princípios e Melhores Práticas
para a Proteção de Ativos de Informação nas Organizações. Editora Atlas.
São Paulo, 2008.
Dicionário Enciclopédico Ilustrado Larousse – São Paulo: Larousse do
Brasil, 2007.
KÜPPERS, B. Informação e a Origem da Vida. Editora Atlas. São Paulo,
1990.
LAUREANO, Marcos Aurelio Pchek. Uma Abordagem Para a Proteção de
Detectores de Intrusão Baseadas em Máquinas Virtuais. Dissertação de
Mestrado apresentado ao Programa de Pós-Graduação em Informática
Aplicada da Pontifícia Universidade Católica do Paraná, 2004.
NBR ISO/IEC 17799:2005 – Tecnologia da informação – Técnicas de
Segurança – Código de Prática para a gestão da segurança da
informação, Rio de Janeiro: ABNT, 2005.
NBR ISO/IEC 27001:2006 – Tecnologia da informação – Sistemas de
gestão de segurança da informação, Rio de Janeiro: ABNT, 2006.
REZENDE, Denis Alcides e ABREU, Aline França. Tecnologia da Informação
Aplicada a Sistemas de Informação Empresariais. Editora Atlas. São Paulo,
2000.
SÊMOLA, Marcos. Gestão da Segurança da Informação – Uma visão
Executiva. Editora Campus. Rio de Janeiro, 2003.
44
WEBGRAFIA
CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurança no Brasil (http://www.cert.br) Acessado em 08/08/2009
Dicionário Folhaonline (http://www1.folha.uol.com.br) Acessado em
08/08/2009
Mandel, Arnaldo. Informação: Computação e Comunicação. Disponível em
http://www.ime.usp.br/~is/abc/abc/abc.html. Acessado em 27/07/2009
Silva Filho, Antonio Mendes da. Segurança da Informação: Sobre a
Necessidade de Proteção de Sistemas Informações. Disponível em
http://www.espacoacademico.com.br/042/42amsf.htm. Acessado em
25/07/2009
Site Security Handbook. 1997 - Guia para Administradores de Sistemas e
Redes, acessado em 31/07/2009.
http://penta.ufrgs.br/gereseg/rfc2196/cap2.htm).
Wikipédia - www.pt.wikipedia.org, Definição de Informação. 2009, acessado em
27/07/2009 http://pt.wikipedia.org/wiki/Informacao
Wikipédia - www.pt.wikipedia.org, Definição de Data Center. 2009, acessado
em 16/08/2009 http://pt.wikipedia.org/wiki/DataCenter
Wikipédia - www.pt.wikipedia.org, Definição de Know-How. 2009, acessado em
16/08/2009 http://pt.wikipedia.org/wiki/KnowHow
45
Lista de Abreviaturas e Siglas
- ABNT - Associação brasileira de normas técnicas - COBIT - Control objectives information and related technology - ISACF - Information Systems Audit And Control Association - ISO - International Organization for Standardzation - ITIL - It Infrastructure library - NBR - Norma Brasileira - PDCA - Plan, Do, Check, Act - PSI - Política de segurança da informação - SGSI - Sistema de gerenciamento de segurança da informação - TI - Tecnologia da informação
46
ÍNDICE FOLHA DE ROSTO 2
AGRADECIMENTO 3
DEDICATÓRIA 4
RESUMO 5
METODOLOGIA 6
SUMÁRIO 7
INTRODUÇÃO 8
CAPÍTULO I
Conceitos Básicos da Segurança da Informação 9
1.1 - Segurança da Informação 10
1.2 - Sobre a importância da Gestão na Segurança da Informação 13
CAPÍTULO II
Implantando a Gestão de Segurança da Informação 14
2.1 O Processo de Implantação de um SGSI 25 15
2.2 Metodologia de Implantação de um SGSI 18
2.3 A Concepção do Sistema 18
2.4 Estabelecimento de uma Política de Segu 10
rança da Informação
2.5 Análise de Risco 22
2.6 Gerenciamento das áreas de risco 24
2.7 Seleção de controles 26
2.8 Auditoria de sistemas 27
47
CAPÍTULO III
Política de Segurança da Informação 28
3.1 - Normas e Padrões de Segurança da Informação 31
3.2- Conformidade com a Norma ISO/IEC 17799:2005 33
3.3 Divulgação da Política de Segurança 36
3.4 Conformidade com a Política de Segurança 38
da Informação
CONCLUSÃO 40
BIBLIOGRAFIA 42
WEBGRAFIA 43
LISTA DE ABREVIATURAS E SIGLAS 44
INDICE 45
