Governança da Segurança da Informação
M������� R���� L��� (���.)
B������� 2015
C�������� � 2015 �� M������� R���� L��� D������� ����� ������ ���������� � M������� R���� L��� I������� �� B����� / ������� �� ������ T���� �� �������� ����������. A ���������� ��� ���������� ����� ����������, �� ���� �� �� �����, ��������� �������� �� ��������� (L�� �� 9.610/98) O� ��������� �������� ����� ���������� ��� �� ������� ���������������� ��� ����������� ������� 1� ������ � 2015 C��� � W�������� T������ B����� D���������� � L������ M��� �� S���� C����� R������ T������ � M������� R���� L���
ISBN: 978-85-920264-1-7
L992 L���, M������� R���� G��������� �� S�������� �� I���������/ E����� �� A���� � B�������, 2015 160�. 17,5�� � 25�� ISBN 978-85-920264-1-7 1. G���������. 2. S�������� �� I���������. 3. P����� �� S�������� �� I��������� CDD�600�000 ������� ���� �������� ����������� 1. S�������� �� ����������: C������ �� ���������� 005.1
PREFACIO Atualmente, as organizações estão se tornando mais e mais dependentes dos seus sistemas de informação. A clientela, por sua vez, está cada vez mais preocupada com o uso adequado das informações, notadamente com a privacidade dos seus dados pessoais. Entretanto, as ameaças ao principal ativo organizacional, isto é, à informação, aumentam a cada dia. Portanto, como a informação é a base da vantagem competitiva de uma organização, é vital garantir a segurança dessa informação. Apesar do que pensam alguns, não é possível comprar soluções de prateleira de gestão e Governança de segurança da informação. Essa é uma atividade complexa, que demanda um olhar pleno sobre o ambiente organizacional, abordando temas tais como: estratégia, planejamento, aspectos humanos, humanos, normativos e políticas de segurança entre outros. É essa abordagem sistêmica que nos traz o livro Governança de Segurança da Informação, organizado pelo Prof. Maurício Rocha Lyra, com capítulos escritos por alunos, mestres e doutores da pós-graduação do UNICEUB. O livro cobre desde a estratégia organizacional até aspectos de segurança da informação na produção de software, com foco, sempre, na agregação de valor que essa segurança da informação traz aos negócios. Vivemos anos difíceis, de crescimento acelerado do crime cibernético, que coloca em xeque todo o comércio eletrônico. Para vencer essas ameaças, precisaremos de modelos de gestão e governança de segurança da informação. Nesse sentido, a publicação deste livro no Brasil é um marco, mostrando uma visão integrada e estratégica, que vai muito além das ferramentas e das soluções prontas do mercado.
João Souza Neto
APRESENTAÇÃO A Governança é um tema muito presente na sociedade moderna, pois procura apresentar o sistema pelo qual as organizações são dirigidas e monitoradas, melhorando a transparência e a responsabilização das decisões nas corporações. A governança é um tema multifacetado e por isso a Governança da Segurança da Informação exerce seu papel trazendo o foco da discussão para a Segurança da Informação. A obra inicia abordando a relação entre o planejamento estratégico e a segurança da informação. Remete o debate sobre segurança da informação para o nível estratégico da organização, colocando a questão em termos de danos potenciais e do eventual prejuízo financeiro que ela trará. O entendimento dessa relação auxiliará a alta direção da empresa a reconhecer a importância dos investimentos em segurança da informação para a organização. O capitulo 1 apresenta os principais conceitos e princípios da segurança da informação que serão utilizados ao longo de toda a obra. O capítulo 2 trata do ciclo de vida da informação e os principais cuidados que devemos tomar com a segurança dos ativos da informação. O capitulo 3 trabalha a organização da função segurança da informação nas empresas. Apresenta algumas possibilidades com suas características, vantagens e desvantagens e ainda apresenta os profissionais que trabalham com segurança da informação. O capítulo 4 mostra a importância de classificar os ativos da informação apresentando um roteiro de como fazê-lo utilizando a ISO27002. O capitulo 5 trata dos aspectos humanos da segurança da informação, onde as pessoas são consideradas o elo mais frágil dessa corrente e como a engenharia social atua nessa fragilidade. O capítulo 6 apresenta os pilares da governança da segurança da informação e faz a separação conceitual entre os termos gestão e governança. Os capítulos 7 e 8 desenvolvem a governança da segurança da informação segundo o COBIT 5 e a ISO27014. Nesses capítulos vamos entender como essa faceta da governança deve ser aplicada nas organizações.
Os capítulos 9 ao 13 apresentam os planos da segurança da informação: O Planejamento Estratégico da Segurança da Informação, no capítulo 9; o Plano Diretor da Segurança da Informação, no capítulo 10; a Política de Segurança da Informação, no capítulo 11; o Plano de Continuidade é visto no capítulo 12 e no capítulo 13 temos o Plano de Contingência. Por fim, o capitulo 14 apresenta um conjunto de reflexões sobre o impacto da segurança da informação no desenvolvimento de software. Nesse capítulo são apresentados os aspectos de segurança no desenvolvimento de software, a influência das normas de segurança na produção de software, o perfil dos recursos humanos na produção de software seguro e os novos desafios da área de produção de software no contexto da cibersegurança. O autor apresenta um framework a ser seguido na preparação dos aplicativos para a cibersegurança.
Mauricio Rocha Lyra
������� ESTRAT�GIA E SEGURAN�A DE INFORMA��O ........................ .................................... ................ 1 CONCEITOS E PRINC�PIOS DA SEGURAN�A DA INFORMA��O ................................ .................... 9 O CICLO DE VIDA DA INFORMA��O ........................................................................................... 21 ORGANIZA��O DA SEGURAN�A DA INFORMA��O ................................................................... 27 CLASSIFICA��O DOS ATIVOS DA INFORMA��O ....................... .................................... .............. 37 ASPECTOS HUMANOS DA SEGURAN�A DA INFORMA��O ........................... .............................. 47 GOVERNAN�A DA SEGURAN�A DA INFORMA��O .................................................................... 59 GOVERNAN�A DA SEGURAN�A DA INFORMA��O I NFORMA��O SEGUNDO A ISO 27014:2013 27014:2 013 ...................... 67 GEST�O DA SEGURAN�A DA INFORMA��O SEGUNDO O COBIT 5 ............................... ............. 77 O PLANEJAMENTO ESTRAT�GICO DA SEGURAN�A S EGURAN�A DA INFORMA��O � PESI ............................ 95 PLANO DIRETOR DE SEGURAN�A DA INFORMA��O ........................... .................................. ... 105 POL�TICA DE SEGURAN�A DA INFORMA��O ........................................................................... 117 PLANO DE CONTINUIDADE DE NEG�CIOS............................ .................................... ................ 125 PLANO DE CONTING�NCIA ............................. ................................ ................... ....................... 135 ASPECTOS DA SEGURAN�A DA INFORMA��O INFOR MA��O NA PRODU��O PR ODU��O DE SOFTWARES S OFTWARES ...................... 145
Governança da Segurança da Informação
INTRODUÇÃO
ESTRATÉGIA E SEGURANÇA DE INFORMAÇÃO A����: P���� R������ F����
Que a Tecnologia da Informação é fundamental para a operação das empresas, já é um fato consolidado e exaustivamente debatido na bibliografia, assim como a necessidade de se preservar os sistemas dos ataques de hackers e as informações dos vazamentos não autorizados. O que queremos mostrar neste capítulo é a necessidade de se tratar a segurança da informação no nível estratégico das organizações e não deixar essa tarefa apenas para as equipes técnicas especializadas. Para se estabelecer o grau de importância para as informações, que existem dentro de uma organização, é necessário avaliar o dano que a sua perda, ou o seu vazamento, poderá provocar para a operação ou para os negócios. Essa análise deve ser feita durante o planejamento estratégico da empresa O planejamento estratégico, que as organizações realizam periodicamente, se destina a uma reavaliação crítica da sua situação atual e o estabelecimento de objetivos (estratégicos) para os próximos anos. É nesse planejamento que se estabelece objetivos de lançamento de novos produtos, entrada ou saída de mercados, aquisições, expansões e todos os demais objetivos que afetam a organização como um todo (FOINA, 2013). Um planejamento estratégico é realizado em três etapas básicas: a) etapa de diagnóstico: onde é analisada criticamente a situação atual da organização em relação aos objetivos propostos anteriormente; b) etapa de prospecção: nessa etapa são desenhados os cenários futuros para o ecossistema da organização e estabelecidos novos objetivos estratégicos para os próximos anos; b) etapa de elaboração de planos: os objetivos estratégicos estabelecidos são desdobrados em planos de ações para cada área de organização (finanças, marketing&vendas, recursos humanos, tecnologia,
1
Governança da Segurança da Informação produção etc.). Posteriormente os planos de ações receberão metas objetivas e orçamentos necessários para a sua realização (Da VEIGA, 2010). Propomos uma escala de cinco níveis de sensibilidade a ser aferida para cada conjunto de informações referentes a uma mesma entidade ou conceito: Nível 1 – Informação pública – pública – informação que foi obtida sem ônus, de fontes públicas, ou que foi produzida internamente pela empresa mas que tem interesse público. Essas informações não precisam de controle de acesso e de distribuição. Apenas deve-se cuidar para que elas não sejam danificadas ou alteradas. São exemplos de informações de nível 1: Dados do balanço de empresas de capital aberto; Lista de produtos; Notícias sobre a empresa. Nível 2 – Informação restrita - informação que foi adquirida de terceiros com cláusula de sigilo mas que outras empresas também podem adquirir, ou que foi produzida pela empresa e que tem interesse restrito à ela. Essas informações, se vazadas, podem comprometer a imagem da organização mas não sua operação. São exemplos de informações de nível 2: Relatórios de consultoria sobre empresas concorrentes; Dados pessoais dos funcionários e executivos da empresa; Relatos de defeitos de produtos e serviços. Nível 3 – Informação sigilosa sigilosa - informação que foi obtida, com exclusividade, de terceiros, ou que foi produzida pela empresa e que trata de decisões, processos ou produtos críticos para a sua operação. Essas informações, se vazadas ou danificadas, podem gerar decisões erradas e prejudiciais para a operação da empresa ou inviabilizar o lançamento de um novo produto ou serviço. São exemplos de informações de nível 3: Relatórios de investigação de práticas concorrenciais ilegais; Detalhes sobre campanhas de lançamento comercial; Detalhes sobre planos de fusão, aquisição ou fechamento de empresas. Nível 4 – informação secreta secreta – informação referente a detalhes de produtos e serviços que estão em processo de desenvolvimento ou, decisões sobre significativas alterações do valor patrimonial da empresa. Essas informações, se vazadas ou danificadas, podem comprometer o protagonismo no lançamento de um novo produto ou ainda permitir que concorrentes o lancem antes da empresa. Podem ainda inviabilizar fusões ou aquisições de empresas ou, pior, leva a empresa a ser alvo de investigação por parte da CVM. São exemplos de informações de nível 4: Detalhes de produtos e serviços em desenvolvimento; Detalhes sore a negociação de compra ou venda de empresas ou filiais; Relatórios sobre falhas graves, em produtos, serviços ou processos internos, que podem afetar o valor das ações da empresa na bolsa de valores; 2
Governança da Segurança da Informação Nível 5 – Informações ultra secretas – informações sobre atos e fatos da organização cujo acesso é limitado apenas à mais alta direção executiva e seus acionistas. Essas informações, se vazadas, podem levar a ações judiciais à empresa ou a seus executivos e acionistas. Compreendem ainda informações sobre segredos industriais que diferenciam a empresa de seus concorrentes. São exemplos de informações de nível 5: Detalhes sobre operações ilícitas ou de alto risco jurídico; Segredos industriais sobre componentes, insumos ou processos processos de produção dos principais produtos da empresa ainda não patenteados ou protegidos por lei. As informações de níveis 1 e 2 não precisam ser tratadas pelo nível estratégico da empresa, bastando as salvaguardas tradicionais das áreas técnicas. Já as demais precisam ser consideradas no planejamento estratégico, pois sua guarda e proteção implicam em despesas significativas e riscos a serem mitigados e compartilhados pela alta direção. As informações de nível 5 devem ficar fora das redes corporativas (em computadores isolados) e, preferencialmente, não documentadas sob qualquer meio ou formato. A separação das informações nesses níveis de sensibilidade permite que sejam planejados investimentos de salvaguardas e de proteção adequados para cada uma delas, reduzindo assim os custos totais e permitindo a atribuição de responsabilidades explícitas para as pessoas que as manipulam (DOHERTY, 2005). Para o planejamento das ações de proteção e salvaguarda das informações podemos usar uma tabela, como mostrado a seguir. Nesta tabela colocamos os conjuntos de informações de acordo com o seu nível de sensibilidade (NS) e, nos campos de ações de proteção e de controle de acesso, as ações que precisam ser feitas para garantir o sigilo e integridade em cada um dos níveis de sensibilidade. No exemplo mostrado na tabela a seguir vemos que uma mesma ação de TIC pode atender a várias ações de proteção e de controle. Quando isso acontece, o curso dessas soluções pode ser compartilhado pelas ações estratégicas correspondentes aumentando o retorno financeiro da sua implantação. A estimativa de dano potencial corresponde ao valor necessário para corrigir ou reparar o dano provocado pelo vazamento ou pela alteração das informações. Esse valor pode ser baixo, como por exemplo o custo para restaurar um backup do dia anterior, ou pode ser muito alto, como o pagamento de multas elevadas aplicadas pelos órgãos de controle ou ainda os custos dos honorários de advogados a serem contratados para defender a empresa e seus executivos. 3
Governança da Segurança da Informação
Tabela de Ações Estratégicas de Segurança NS
2
2
4
4
5
Conjunto de informações
Ações de Proteção
Cadastros de Backups clientes periódicos
Cadastros de Backups Contas a periódicos Pagar e Receber Documentos de projetos de pesquisa para novos produtos
Ata de reuniões do Conselho de Administração
Ações de Controle de Acesso
Dano Potencial (R$)
Ações de TIC
Controles e Médio acesso (~R$ 50k) automáticos
Software de backup
R$ 20k
LDAP
R$ 20k
Controles e Médio acesso (~R$ 50k) automáticos
Software de backup
R$ 20k
LDAP
R$ 20k
Armazenag Biometria em em avançada subrede segregada da Internet com criptografia
Armazenag em em subrede segregada da Internet com criptografia
Altíssimo SW (> R$ 10 Criptografia milhões) Subrede com storage
Acesso Alto (acima apenas pelo R$ 1 presidente e milhão) secretário com biometria
Custos Estimados (R$)
R$ 20k R$ 50k
Disp. R$ 30k Biométricos SW Criptografia
R$ 20k
Subrede com storage
R$ 50k
Disp. R$ 30k Biométricos
Relatórios de ações políticas para promoção do setor
Armazenag Acesso Altíssimo SW em em apenas pelo (acima R$ Criptografia dispositivos presidente 1 milhão) Storage isolados de posse da Presidência
1
Balanços publicados
Backup periódico
Controle de Baixo (< Software acesso por R$ 10.000) de backup senhas
R$ 20k
1
Cadastros de Backup produtos e periódico preços
Controle de Baixo (< Software acesso por R$ 10.000) de backup senhas
R$ 20k
4
R$ 20k R$ 10k
Governança da Segurança da Informação As ações de proteção e controle de acesso devem ser ações de nível estratégicas que definam parâmetros gerais para proteger as informações de contra danos (alterações indevidas) e vazamentos não autorizados. Cada uma dessas ações será posteriormente desdobrada em ações de TIC capazes de implementar essas ações estratégicas. Cada uma das ações de TIC deve ser avaliada e ter um custo estimado para sua implantação, assim como, a cada conjunto de informações, deve ser estabelecido um valor decorrente do dano em caso de seu vazamento ou alteração indevida. A comparação entre o valor do potencial dano versus o custo para a sua proteção dará uma dimensão da viabilidade, ou não, de se implementar as ações preconizadas. A análise proposta objetiva o reconhecimento da alta direção da empresa da importância dos investimentos em segurança da informação para a organização. Sem essa explicitação fica muito difícil para o gestor de TIC justificar os investimentos e gastos com os aparatos de segurança. Lembramos que a alta direção das organizações não precisa conhecer tecnologia mas deve saber muito bem como avaliar investimentos e os retornos financeiros esperados. É nessa linguagem que o gestor de TIC precisa fundamentar suas necessidades orçamentárias para oferecer a segurança desejada pela organização. Ao trazer a discussão sobre segurança da informação para o nível estratégico da organização, colocamos a questão em termos de danos potenciais e do eventual prejuízo financeiro que ele trará, se não for adequadamente tratado. Ao mesmo tempo, envolvemos toda a alta direção nessa questão facilitando a implantação de procedimentos e normas de controle e gestão de informação. Notem que em nenhum momento da discussão com a alta direção, são abordadas as ferramentas e tecnologias envolvidas mas sim as questões financeiras fi nanceiras envolvidas numa potencial invasão dos sistemas de informação. A alta direção da organização deve preservar os interesses dos acionistas (ou da sociedade, em caso de organizações públicas) e por isso deve estar bem informada sobre os investimentos a serem realizados, sejam eles para qual finalidade for. Cada valor investido deve ter, em contrapartida, um valor maior de retorno, caso contrário não vale a pena ser feito. Com a base de comparação investimento/retorno é sempre monetária, é fundamental que os gestores de TIC consigam transformar os benefícios esperados com seus investimentos em valores monetários comparáveis com os valores a serem investidos. Aqui reside o maior desafio para os gestores de TIC: converter benefícios intangíveis intangíveis em benefício monetizados. É preciso ter sempre sempre em mente que todo gasto com TIC deve ser encarado como um investimento e, 5
Governança da Segurança da Informação portanto, deve trazer benefícios financeiros tangíveis e mesuráveis. O envolvimento dos setores afetados com a maior exposição ao risco ajuda a estabelecer o valor do eventual dano para a empresa. Uma informação terá maior probabilidade de ser atacada quanto maior o valor dela para o atacante. Por essa razão, a ponderação do dano potencial pela probabilidade de ocorrência, como fazemos nas análises de riscos de projetos, não é suficiente para a definição dos investimentos necessários para a mitigação desses riscos. É preciso avaliar também os impactos desses ataques para a imagem e reputação da organização junto ao seu mercado. Com e elevado grau de digitização das empresas e da sociedade, o acesso indevido a dados empresariais passou a ser muito fácil e rentável para os hackers e crackers. Os melhores programadores são contratados por empresas criminosas especializadas em roubar dados relevantes ou até mesmo “sequestrar” diretórios inteiros cobrando assim um resgate para liberar esses dados1. Não são apenas empresas que estão sujeitas ao roubo de dados. As pessoas físicas também podem ser afetadas. Recentemente um famoso site de encontros extraconjugais teve os dados dos seus usuários roubados e foi ameaçado de divulga-los se não se retratasse publicamente. Como a empresa não cedeu aos criminosos esses dados foram tornados públicos. Alguns usuários receberam ainda ameaças de divulgação pública do seu nome e das conversas trocadas no site se eles não fizessem um pagamento em Bitcoins 2 para esses criminosos.
1
O ��������� �� �������� � ����� ������� �� ������ ��������� ��� �������� � � ������������ ����� ��� ����� ��������� ������ ���� ������������. S� � ������� ��� ����� ������� ������� � ����������� ������ ����� ��� ������ ��� �������� � ����� � ������� ������� ���� ����� ������� � ����� �� ������������ ����� ����� ����������. 2 B������� � ��� ����� ������� ����� ����� �� ���������� �� I������� � ���, ��� ��� ��� �������� �������, ��������� � ������������ �� ��� �����.
6
Governança da Segurança da Informação Referências FOINA, P.R., Tecnologia da informação: planejamento e gestão, 3ª edição, Ed. Atlas, 2013 DOHERTY, N.F., FULFORD, H., Aligning the information security policy qwith the stracegic information systems plan, Computer & Security, 2005, vol. 25 Da VEIGA, A., ELOFF , J.H.P., A framework and assessment instrument for information security culture, Computers & Security, 2010, Vol. 29
Sobre o autor Paulo Rogério Foina Físico com mestrado e doutorado em informática. Professor, executivo e empresário de computação há mais de 30 anos. Coordena os cursos de graduação em Ciência da Computação e o programa de pós-graduação em Gestão de Tecnologia (Governança de TI e Gerência de Projetos de TI) do Centro Universitário de Brasília UniCEUB
7
Governança da Segurança da Informação
8
Governança da Segurança da Informação
CAPÍTULO 1 CONCEITOS E PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO A����: F���� C����� T�����
1.1 Segurança da Informação De uma forma simples e direta, a Informação pode ser definida por um conjunto de dados tratados e organizados de tal maneira que tragam algum significado ou sentido dentro de um dado contexto. A título de exemplo, imagine um encontro entre dois profissionais onde um deles, em um determinado momento, proferisse somente a palavra “Segurança”. A princípio, tal palavra não traz nenhum sentido ao profissional receptor da mensagem. Não há um contexto; Não há um significado. Portanto, até o momento, a palavra “Segurança” representou apenas um dado qualquer, um dado bruto, um fato, um elemento não interpretado. Entendido isto, imagine a mesma situação, porém, com uma pequena mudança: O profissional profere uma mensagem da seguinte forma “Estudo Segurança da Informação”. Perceba que desta maneira, o profissional receptor da informação será capaz de compreender a mensagem. Portanto, a presença de um contexto definido (neste caso, o contexto da segurança da informação) e da organização e tratamento dos dados não interpretados (estudar, segurança e informação) trouxe um sentido (significado) para a frase. Trazendo este entendimento para o lado das organizações, a informação não se trata de um conceito atual. Desde a Era Industrial (inclusive antes disso) até os dias de hoje, a informação é consumida para suprir determinadas necessidades como tomada de decisões estratégicas, incremento de produtividades, aumento da competitividade no mercado, redução de custos, publicidades e marketing, prospecções de negócios, construções de pontes, investimentos em bolsas de valores, compra de produtos, dentre várias outras. A informação é crítica para negócio de uma organização. Importante destacar também que a informação pode assumir diferentes formas como informação falada, escrita, guardada eletronicamente, impressa, etc. Devido à tamanha importância da informação, a necessidade de protegê-las passou a ser crucial para estas organizações. Afinal de contas, que empresa quer que suas estratégias de negócio sejam vistas pelos seus 9
Governança da Segurança da Informação concorrentes? Ou que executivo, em um momento de decisão de compra de uma determinada empresa, gostaria de ter sua informação manipulada e alterada? De fato, percebe-se que a falta de uma correta abordagem da segurança da informação pode trazer altíssimos prejuízos para uma empresa. Definido o conceito de informação, faz-se necessário definir o que seria a Segurança da Informação. Há várias definições de diversos autores, porém, destacam-se três, sendo as duas primeiras mais formais e a terceira, mais comum: 1) Preservação da confidencialidade, confidencial idade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. envolvidas. (ABNT NBR ISO/IEC 27002: 2005) 2) Podemos definir a Segurança da Informação Informaç ão como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade. (Sêmola, 2003, p. 43). 3) A segurança de informação é caracterizada pela aplicação adequada de dispositivos de proteção sobre um ativo ou um conjunto de ativos visando preservar o valor que este possui para as organizações. A aplicação destas proteções busca preservar a confidencialidade, confidencialidade, a integridade e a disponibilidade (CID), não estando restritos somente a sistemas ou aplicativos, mas também informações armazenadas ou veiculadas em diversos meios além do eletrônico ou em papel. (Bastos & Caubit, 2009, p. 17).
Verificado os conceitos expostos acima, percebe-se um aspecto comum a todos eles: os elementos “confidencialidade, integridade e disponibilidade” – conhecidos por diversos autores como “CID”. Tais elementos não são uma mera coincidência, mas sim, os três pilares principais (ou princípios básicos) da Segurança da Informação. Como diria (Lyra, 2008, p.4), Quando falamos em segurança da informação, estamos nos referindo a tomar ações para garantir a confidencialidade, integridade, disponibilidade e demais aspectos da segurança das informações dentro das necessidades do cliente.
Vejamos os conceitos destes três principais pilares: •
10
Confidencialidade: “Garantia Confidencialidade: “Garantia de que o acesso à informação é restrito aos seus usuários legítimos.” (Beal, 2008, p. 1). Ou seja, seu acesso é permitido apenas a determinados usuários.
Governança da Segurança da Informação •
•
Integridade: Integridade: “Toda informação deve ser mantida na mesma condição em que foi disponibilizada pelo seu proprietário, visando protegê-las contra alterações indevidas, intencionais ou acidentais” (Sêmola, 2003, p. 45). Ou seja, informação não adulterada. Disponibilidade: Disponibilidade: “Garantia de que a informação e os ativos associados estejam disponíveis para os usuários legítimos de forma oportuna” (Beal, 2008, p. 1). Ou seja, independente da finalidade, a informação deve estar disponível.
Além destes, segundo Lyra (2008, p.4), podemos citar mais alguns aspectos complementares para garantia da segurança da informação: •
•
•
•
•
Autenticação: “Garantir que um usuário é de fato quem alega ser”. Não repúdio: “Capacidade do sistema de provar que um usuário executou uma determinada ação”. Lyra (2008, p.4) Legalidade: Legalidade: “Garantir que o sistema esteja aderente à legislação”. Privacidade: “Capacidade de um sistema de manter anônimo um usuário, impossibilitando o relacionamento entre o usuário e suas ações”. Auditoria: “Capacidade do sistema de auditar tudo o que foi realizado pelos usuários, detectando fraudes ou tentativas de ataque”.
A segurança da informação é alcançada através de um conjunto de práticas e atividades como a definição/elaboração de processos, políticas de segurança da informação (PSI), procedimentos, treinamento de profissionais, uso de ferramentas de monitoramento e controle, dentre outros pontos. E o que proteger? Aquilo que tenha algum valor para seu negócio/organização: Os ativos de informação! 1.2 Ativo de Informação De acordo com a ISO/IEC 27001:2005, um ativo é “qualquer coisa que tenha valor para organização”. Portanto, podem existir diversos tipos de ativos incluindo a própria informação (contratos e acordos, documentações de sistema, bases de dados, manuais de usuário, trilhas de auditoria, planos de continuidade, etc), pessoas e suas qualificações/experiências, ativos de software (sistemas, aplicativos, ferramentas, etc), ativos físicos (mídias 11
Governança da Segurança da Informação removíveis, equipamentos computacionais, equipamentos de comunicação, etc), serviços (iluminação, eletricidade, refrigeração, etc) e aqueles que são intangíveis como é o caso da reputação da organização. (ABNT NBR ISO/IEC 27002:2005)
Fonte: LYRA (2008) – Adaptado pelo Autor
Um dos fatores críticos de sucesso para a garantia da segurança da informação é a correta identificação, controle e constante atualização dos diferentes tipos de ativos (inventário). Com a finalidade de alcançar uma correta proteção, torna-se importante conhecer o que seria a Gestão de Ativos. Como principio básico, é recomendado que todo ativo seja identificado e documentado pela organização. A cada um deles deve-se estabelecer um proprietário responsável cujo qual lidará com a manutenção dos controles. Controles estes que podem ser delegados a outros profissionais, porém, sempre sob a responsabilidade do proprietário. Pode-se resumir o que foi dito nos dois parágrafos acima pelo quadro abaixo: Quadro 1: Gestão de Ativos – Responsabilidade pelos Ativos
Fonte: ABNT NBR ISO/IEC 27001:2006
12
Governança da Segurança da Informação Sabendo da responsabilidade dos ativos, deve-se realizar a sua correta classificação com base na importância, criticidade, sensibilidade e seu valor para o negócio. Como resultado, será possível definir os níveis adequados de proteção. (ABNT NBR ISO/IEC 27002: 2005) Quadro 2: Gestão de Ativos – Classificação da Informação
Fonte: ABNT NBR ISO/IEC 27001:2006
De acordo com Beal (2008, p. 63), a classificação dos ativos “ocorre de acordo com o valor e o grau de sensibilidade atribuído pela organização”. Logo, muitos ativos com alto grau de sensibilidade, alto impacto no negócio ou no processo, resultam em alto investimento. Uma criteriosa classificação dos ativos está diretamente ligada ao custo dispendido para “proteger” (não somente a classificação), visto que, através desta, serão definidos o que tem necessidade de ser protegido e o que não tem. Destaca-se que nem todo ativo tem alto grau de sensibilidade, portanto, nem todo ativo deve ser protegido. A classificação eficiente é aquela que considera as necessidades do negócio, consequentemente, convém que seja feita por alguém que possua elevado conhecimento do negócio da organização. Para mais detalhes sobre classificação dos ativos, vide capítulo 4 mais adiante. 1.3 Vulnerabilidade A vulnerabilidade está intimamente ligada ao ponto fraco de um ativo, ou seja, pode ser entendida como uma fragilidade. Trata-se de um erro no procedimento (no caso de sistemas), falha de um agente ou má configuração dos aplicativos de segurança, de maneira não proposital ou proposital, gerando assim, uma informação não confiável. Quando isso ocorre, temos um “rompimento” de um ou mais princípios da segurança da informação. Beal (2008, p. 14) elucida o conceito de vulnerabilidade como sendo uma “fragilidade que poderia ser explorada por uma ameaça para concretizar um ataque”. Em complemento a este conceito, Lyra (2008, p.06) afirma que: 13
Governança da Segurança da Informação Essas vulnerabilidades poderão ser exploradas ou não, sendo possível que um ativo da informação apresente um ponto fraco que nunca será efetivamente explorado.
Após serem detectadas falhas é necessário tomar algumas providências. O primeiro passo é identificar a falha, onde esta aconteceu e tentar corrigi-la da melhor maneira. Sêmola (2003, p.48) cita exemplos de vulnerabilidades: Físicas - Instalações prediais fora do padrão; salas de CPD mal planejadas; falta de extintores, detectores de fumaça e de outros recursos para combate a incêndio em sala com armários e fichários estratégicos; risco de explosões, vazamento ou incêndio. - Computadores são suscetíveis a desastres naturais, Naturais como incêndios, enchentes, terremotos, tempestades, e outros, como falta de energia, acúmulo de poeira, aumento umidade e de temperatura etc.
Hardware - Falha nos recursos tecnológicos (desgaste, obsolescência, obsolescência, má utilização) ou erros durante a instalação. Software - Erros na instalação ou na configuração podem acarretar acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade do recurso quando necessário. Mídias - Discos, fitas, relatórios e impressos podem ser perdidos ou danificados. A radiação eletromagnética pode afetar diversos tipos de mídias magnéticas. Comunicação - Acessos não autorizados ou perda de comunicação. Humanas - Falta de treinamento, compartilhamento de informações confidenciais, não execução de rotinas de segurança, erros ou omissões; ameaça de bomba, sabotagens, distúrbios civis, greves, vandalismo, roubo, destruição da propriedade propriedade ou dados, invasões ou guerras."
1.4 Ameaça No começo deste capítulo, ao definirmos o conceito de Segurança da Informação, foi lançada a seguinte questão: “O que proteger?”. A partir de então, foi destacado que o objetivo da segurança era garantir a confidencialidade, integridade e disponibilidade (e, como vimos, vários outros aspectos) dos elementos de valor da organização, ou seja, dar proteção adequada aos ativos da informação que representassem alta 14
Governança da Segurança da Informação sensibilidade/criticidade para o negócio, preservando assim, os pilares da segurança da informação. Após a questão “O que proteger” podemos inserir um novo elemento para discursão: “Contra que será protegido?”. A resposta para esta pergunta é relativamente simples: De ameaças! Beal (2008, p.14) define ameaça como sendo “a expectativa de acontecimento acidental ou proposital, causado por um agente, que pode afetar um ambiente, sistema ou ativo de informação”. Estes agentes podem ser pessoas, eventos, meio ambiente, sistemas, etc. Exemplos de ameaças acidentais são falhas de hardware, desastres naturais, erros de programação, etc; enquanto que ameaças propositais podem entendidas por roubos, invasões, fraudes, dentre outros. No que tange às ameaças propositais, podem ser passivas ou ativas, como podemos ver na explicação de Dias (2000, p.57): •
•
Ativas: “Envolvem alteração de dados”. Passivas: “Envolvem invasão e/ou monitoramento, mas sem alteração de informações”.
Sêmola (2003, p. 47) também classifica as ameaças quanto a sua intencionalidade assumindo que as mesmas podem ser divididas em três grupos: •
•
•
“Naturais: Ameaças decorrentes de fenômenos da natureza” Involuntárias: Ameaças inconsistentes, “Involuntárias: causadas pelo desconhecimento.”
quase
sempre
“Voluntárias: Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários.”
1.5 Ataque Conhecidos os conceitos de Vulnerabilidade e Ameaça, torna-se fácil compreender o que seria um ataque. Segundo Beal (2008, p.14), trata-se de um “evento decorrente da exploração de uma vulnerabilidade por uma ameaça”, em outras palavras um ataque representa a concretização de uma ameaça. Ataques podem ter como foco diferentes princípios da segurança. Um exemplo seria a invasão de uma rede corporativa por um hacker a deixando inoperante. Tal resultado está diretamente ligado ao princípio da disponibilidade, visto que, a informação requerida pelo usuário provavelmente não poderá ser acessada (não estará disponível). Em complementação a essa 15
Governança da Segurança da Informação situação hipotética, suponhamos que o mesmo invasor, além de tornar a rede inoperante, tenha adulterado um arquivo, logo, além da quebra da disponibilidade, este acaba de praticar a quebra de integridade. Segundo Dias (2000, p.77), os ataques podem ser categorizados em passivos e ativos: •
Passivos: São aqueles que não interferem no conteúdo
do recurso que foi atacado, como por exemplo, observação e conhecimento de informações armazenadas nos sistemas institucionais institucionais ou análise de tráfego de uma rede.
Ativos:
Prejudicam diretamente o conteúdo do recurso atacado, modificando e eliminando informações ou gerando informações falsas. •
1.6 Incidente de Segurança Conforme exposto na ISO/IEC TR 18044:2004, um incidente pode ser entendido por “um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação”. Ou seja, eventos de segurança indesejados que violem algum dos principais aspectos da segurança da informação (Confiabilidade, integridade, disponibilidade, dentre outros). São exemplos de incidentes de segurança a perda da integridade de informações, divulgações indevidas, desastres causados por fenômenos da natureza (incendidos, inundações, etc), quedas de energia, greves, invasões por hackers, defeito em equipamentos e muitos outros. Outro conceito que une definição e exemplo prático de incidente de segurança foi explanado por Beal (2008, p. 15): Incidente: evento com consequências negativas resultante de um ataque bem-sucedido. Exemplos de incidentes: dados incorretos armazenados num sistema, inundação que danifica máquinas do CPD, pagamento indevido em decorrência da inclusão indevida de fatura de compra no sistema. Tais incidentes podem não se concretizar, em caso de ataque, se houver controles suficientes para interrompê- los (rejeição de dados incorretos inseridos pelos usuários, barreiras e alertas para evitar que o vazamento de água atinja os equipamentos, controles gerenciais que impeçam o pagamento sem a prévia conferência por um supervisor).
Para fornecer orientações a respeito do gerenciamento de incidentes de segurança da informação voltadas a organizações de grande e médio porte, não podemos deixar de destacar a ISO/IEC 27035:2011. Seu escopo 16
Governança da Segurança da Informação apresenta uma abordagem estruturada e planejada para as seguintes atividades (porém não se limitando): • • •
Detectar, relatar e avaliar os incidentes de segurança da informação; Responder e gerenciar incidentes de segurança da informação; Melhorar continuamente continuamente a segurança segurança da informação informação e o gerenciamento gerenciamento de incidentes;
A falta de uma correta gestão dos incidentes de segurança da informação podem causar sérios danos para os negócios. Em outras palavras, um incidente pode ou não trazer um impacto, sendo este último mensurado pela consequência que este causa ao ativo da organização. Logo, um ativo de considerável valor implica em alto impacto e vice-versa. 1.7 Probabilidade e Impacto A Probabilidade é a possibilidade de uma falha de segurança acontecer, observando-se o grau de vulnerabilidade encontrada nos ativo e as ameaças que porventura venham a influencia-lo (Lyra 2008, p. 06). Probabilidade, vulnerabilidade e ameaças estão fortemente ligadas. Em um entendimento mais simples, podemos dizer que a probabilidade trata-se das “chances” de uma vulnerabilidade se tornar uma ameaça. É perfeitamente possível que um ativo possua várias vulnerabilidades que não representem ameaças, ou seja, podemos falar de uma probabilidade próxima de zero. Porém, é possível que todas essas vulnerabilidades se tornem ameaças. Em se tratando de impacto, diferente da probabilidade, este se “localiza” após o incidente. Em outras palavras isso significa que um incidente de segurança da informação pode ou não causar um impacto nos processos/negócios processos/negócios da organização. Segundo Beal (2008, p.14) seria um “efeito ou consequência de um ataque ou incidente para a organização.". Complementando este conceito, podemos citar o trecho em que Lyra (2008, p.07) explica o que seria um impacto: "O impacto de um incidente de segurança é medido pelas consequências que possa causar aos processos de negócios suportados pelo ativo em questão. Os ativos possuem valores diferentes, pois suportam informações informações com relevâncias diferentes para o negócio da organização. Quanto maior for o valor do ativo, maior será o impacto de um eventual incidente que possa ocorrer."
17
Governança da Segurança da Informação Dias (2000, p.69) informa que o impacto pode ser pode ser de curto ou longo prazo em função do tempo em que atinge significativamente os negócios da instituição. Dentro deste contexto, temos as seguintes categorias: 0. Impacto 0. Impacto irrelevante 1. 1. Efeito pouco significativo, sem afetar a maioria dos processos de negócios da instituição. 2. 2. Sistemas não disponíveis por um determinado período de tempo, podendo causar perda de credibilidade junto aos clientes e pequenas perdas financeiras. 3. 3. Perdas financeiras de maior vulto e perda de clientes para a concorrência. 4. 4. Efeitos desastrosos, porém sem comprometer a sobrevivência da instituição. 5. Efeitos 5. Efeitos desastrosos, comprometendo a sobrevivência da instituição. Portanto, conhecidos os conceitos de Ativos de Informação, Vulnerabilidades, Agentes, Ameaças, Ataques, Incidentes de Segurança e Probabilidade e Impacto, vejamos um esboço gráfico que explica a conexão entre todas essas características de uma maneira mais simples. Imagem 1: Resumo - Relacionamento entre Características dos Ativos de Informação
18
Fonte: O autor
Governança da Segurança da Informação 1.8 Referências BEAL, Adriana. Segurança da Informação. Informação. Princípios e Melhores Práticas para a Proteção dos Ativos de Informação nas Organizações. São Paulo. Atlas, 2005 – Reimpressão 2008. BASTOS Alberto; CAUBIT, Rosângela. Gestão de Segurança da Informação. ISO 27001 e 27002 Uma Visão Prática. Rio Grande do Sul. Zouk, 2009. Informação. Uma visão SÊMOLA, Marcos. Gestão da Segurança da Informação. executiva. Rio de Janeiro. Elsevier, 2003 – 11º reimpressão. LYRA, Maurício Rocha. Segurança e Auditoria em Sistemas de Informação Rio de Janeiro. Ciência Moderna, 2008. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001:2005 Tecnologia 27001:2005 Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 2006. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:2005 Tecnologia 27002:2005 Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 2006. ISO/IEC
27035:2011
ISO/IEC 27035:2011, Disponível em: Acesso em 03 de Outubro de 2015
Sobre o autor Fábio Cabral Torres Consultor da área de Desenvolvimento de Negócios, graduado em Ciência da Computação e Pós-graduando em Governança da TI; atua na elaboração de propostas técnicas e comerciais para serviços de Outsourcing de de TI nas áreas de Application Management Services (AMS) e Gestão Tecnológica.
19
Governança da Segurança da Informação
20
Governança da Segurança da Informação
CAPÍTULO 2 O CICLO DE D E VIDA DA INFORMAÇÃO A������ : L������� C������� L��� R�������� �� O������� S�����
O ciclo de vida da informação diz respeito a todos os momentos onde a informação é criada, até o momento da inutilidade dela acontecendo o descarte. A criação, obtenção, tratamento, distribuição, uso, armazenamento, descarte, podemos dizer, que essas etapas são a espinha dorsal da informação. O ciclo de vida da informação passa pela: 1. Identificação das necessidades e dos requisitos (Criação) Identificar as necessidades de informação dos grupos e indivíduos que integram a organização e de seus públicos externos é um passo fundamental para que possam ser desenvolvidos serviços e produtos informacionais orientados especificamente para cada grupo e necessidade interna e externa. O esforço de descoberta das necessidades e dos requisitos de informação é recompensado quando a informação se torna mais útil e os seus destinatários, mais receptivos a aplicá-la na melhoria de produtos e processos (usuários internos) ou no fortalecimento dos vínculos e relacionamentos com a organização (usuários externos). (BEAL, 2008)
2. Obtenção Nesta etapa são desenvolvidos procedimentos para captura e recepção da informação proveniente de uma fonte externa (Em qual quer mídia ou formato), ou da sua criação. No caso da captura de informações de fontes externas, devemos ter a preocupação com integridade da informação, ou seja, é preciso garantir que é genuína, produzidas por pessoas ou entidades autorizadas, está completa e compatível com os requisitos apontados na etapa anterior. (LYRA, 2008) 21
Governança da Segurança da Informação
3. Tratamento Antes de estar em condições de ser aproveitada é comum que a informação precise passar por processos de organização, formatação, estruturação, classificação, análise, síntese, apresentação e reprodução, com o propósito de torná-la mais acessível, organizada e fácil de localizar pelos usuários. Nesta etapa, a preocupação com a integridade continua em evidência, principalmente se estiverem envolvidas técnicas de adequação do estilo e adaptação de linguagem, contextualização e condensação da informação, entre outras. O uso dessas técnicas deve levar em conta a preservação das características de quantidade e qualidade necessárias para que a informação efetivamente sirva ao fim a que se propõe. No caso das atividades de reprodução da informação para posterior distribuição, as questões relacionadas à preservação da confidencialidade podem adquirir grande relevância, uma vez que a existência de diversas cópias de uma mesma informação, qualquer que seja a mídia utilizada (computador, papel, disquete, fita de áudio ou vídeo, etc.), amplia os problemas de restrição de acesso aos usuários devidamente autorizados. (BEAL, 2008) 4. Distribuição Esta etapa consiste em levar a informação até seus consumidores. Quanto mais capilar for a rede de distribuição, mais eficiente será esta etapa. Fazendo chegar a informação certa a quem necessita dela para tomada de decisão. (LYRA, 2008) 5. Uso O uso é sem dúvida a etapa mais importante de todo o processo de gestão da informação, embora seja frequentemente ignorado nos processos de gestão das organizações. Não é a existência da informação que garante melhore resultados em uma organização, mas sim o uso, dentro de suas finalidades básicas: conhecimento dos ambientes interno e externo da organização e atuação nesses ambientes (Chaumier, 1986).
Na etapa de uso, os objetivos de integridade e disponibilidade devem receber atenção especial: uma informação deturpada, difícil de localizar ou indisponível pode prejudicar os processos decisórios e operacionais da organização. Como já mencionado, a preocupação com o uso legítimo da informação pode levar a requisitos de confidencialidade, destinados a restringir 22
Governança da Segurança da Informação o acesso e o uso de dados e informação as pessoas devidamente autorizadas. (BEAL, 2008) 6. Armazenamento Momento em que a informação é armazenada seja em um banco de dados compartilhado, em uma anotação de papel posteriormente postada em um arquivo de ferro, ou ainda, em uma mídia de disquete depositada na gaveta da mesa de trabalho, por exemplo. (SEMOLA, 2003) 7. Descarte Quando uma informação torna-se obsoleta ou perde a utilizada para a organização, ela deve ser objeto de processos de descarte que obedeçam a normas legais, políticas operacionais e exigências internas. Excluir dos repositórios de informação corporativos os dados e as informações inúteis melhoram o processo de gestão da informação de diversas formas: economizando recursos de armazenamento, aumentando a rapidez e eficiência na localização da informação necessária, melhorando a visibilidade dos recursos informacionais importantes etc. Entretanto, o descarte de dados e informação precisa ser realizado dentro de condições de Segurança, principalmente no que tange ao aspecto da confidencialidade, e, em menor grau, também de disponibilidade. No que tange à confidencialidade, o descarte de documentos e mídias que contenham dados de caráter sigiloso precisa ser realizado com observância de critérios rígidos de destruição segura (por exemplo, o uso de máquinas fragmentadoras para documentos em papel, ou de softwares destinados a apagar com Segurança arquivos de um microcomputador que, se simplesmente excluídos do sistema, poderiam ser facilmente recuperados com o uso de ferramentas de restauração de dados). Do ponto de vista da disponibilidade, as preocupações incluem a legalidade da destruição de informação que podem vir a ser exigidas no futuro e a necessidade de preservar dados históricos valiosos para o negócio, entre outras. São relativamente comuns os casos de descoberta de informações sigilosas ou dados pessoais sujeitos a normas de privacidade em computadores usados quando estes são transferidos de área, doados ou vendidos durante um processo de renovação do parque de computadores da organização. A existência de procedimentos formais de descarte de computadores e mídias pode evitar constrangimentos e prejuízos à imagem e a credibilidade da organização, possibilitando que os itens descartados sejam auditados e tenham seus dados apagados de forma segura antes de serem transferidos para os novos proprietários. (BEAL 2008) 23
Governança da Segurança da Informação
Riscos e ameaças à informação durante o ciclo de vida Para mitigarmos os eventos de riscos de segurança da informação, podemos adotar as seguintes medidas: A tabela 01 (STONEBURNER, 2004), apresenta a relação entre uma descrição de cada objetivo de segurança (Integridade, disponibilidade e confidencialidade) com as consequências ou impactos caso tais objetivos não sejam alcançados. Tabela 01 – Objetivo de segurança e sua consequência para a organização.
Objetivo de segurança Perda de integridade
Perda disponibilidade
Perda confiabilidade
Causa e consequências
Causa: Modificações não autorizadas sejam feitas de forma acidental ou intencional. Além disto, a violação da integridade pode ser o primeiro passo para um ataque com sucesso a disponibilidade ou confidenciabilidade da informação. Consequências: – Imprecisão das informações, fraude; – Tomada de decisão errada; – Reduz a garantia da informação. de Causa: Se as informações não estiverem disponíveis para o usuário final, a missão da organização pode ser afetado. Consequências: – Perda de produtividade por parte dos usuários; – Impedir que os usuários executem suas atividades normalmente. de Causa: Divulgação das informações de forma não autorizada. Consequências: – Comprometimento da credibilidade; – Embaraço ou ação legal contra a organização. organização.
Fonte: STONEBURNER (2004, p.25)
Referências
24
Governança da Segurança da Informação ADACHI, Tomi. Gestão de Segurança em Internet Banking - São Paulo: FGV, 2004. 121p. Mestrado. Fundação Getúlio Vargas - Administração. Orientador: Eduardo Henrique Diniz. ALBUQUERQUE, Ricardo e RIBEIRO, Bruno. Segurança no Desenvolvimento de Software - Como desenvolver sistemas seguros e avaliar a segurança de aplicações desenvolvidas com base na ISO 15.408. Editora Campus. Rio de Janeiro, 2002. CARUSO, Carlos A. A.; STEFFEN, Flávio Deny. Segurança em Informática e
de Informações - São Paulo: Editora SENAC São Paulo, 1999.
DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Axcel Books. Rio de Janeiro, 2000. SEMOLA, MARCOS. Gestão da Segurança da Informação. Uma visão executiva Rio de janeiro: Editora Elsevier Elsevier,, 2003 BEAL, ADRIANA. Segurança da informação. Princípios e melhores práticas para a Proteção dos Ativos de Informação nas Organizações. São Paulo: Editora Atlas- 2008 LYRA, MAURICIO ROCHA. Segurança e Auditoria em Sistemas da Informação.Rio de janeiro: Editora Ciência Moderna Ltda-2008 Stoneburner, Gary GOGUEN. Alice & FERINGA.Alexis : Risk Management Guide for Information Technology Systems, NIST, Washington, 2004. CUNHA, Renato Menezes. Modelo de governança da segurança da informação no escopo da governança computacional. Recife, 2008.
25
Governança da Segurança da Informação Sobre os autores Leonardo Carvalho Lima de Sousa. Formando em Redes de computadores, Pós graduando em Governança de TI, atua na area a 7 anos ,com foco em areas voltadas para gestão de TI .
Rosemberg de Oliveira Santos Escriturário do Banco de Brasília S.A, graduado em Gestão de Tecnologia da Informação e Pós-graduando em Governança da TI
26
Governança da Segurança da Informação
CAPÍTULO 3 ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO A����: E������� N���� B����� L���� �� S���� E������
Diante das mudanças presenciadas por organizações de todo o mundo no cotidiano de suas atribuições corporativas e pela necessidade de acompanhar essas mudanças sem prejuízos informacionais e materiais, a tecnologia da informação tem sido utilizada nos diversos setores organizacionais com o objetivo de agregar valor ao negócio, minimizando as taxas de erros e aumentando o retorno do investimento aos acionistas. Atualmente a arquitetura corporativa é o termo, o conceito e a estrutura utilizados para transportar a organização do estágio do uso técnico da tecnologia para o estágio do uso direcionado dessa tecnologia para negócio. Isto exige transparência dos objetivos de negócio, padronizações, uso de soluções corporativas sem esquecer situações específicas, uso efetivo de governança e, sobretudo, desejo verdadeiro do comando da organização para isso. (Fontes, 2008, p.43).
Entende-se que a arquitetura corporativa associa a tecnologia da informação com o objetivo de negócio e se tratando de tecnologia, existe a preocupação com a segurança da informação. A arquitetura da segurança da informação é um elemento da arquitetura corporativa, que para Fontes (2008), tem uma característica distinta dos outros elementos. Ela na sua estrutura permeia por todos os elementos da arquitetura corporativa. Uma arquitetura de segurança define padrões e estruturas que devem ser seguidas pela organização com o objetivo de proteger a informação considerando os requisitos de negócio. Caso a organização esteja muito confusa na pratica teremos um modelo a ser alcançado com dificuldade. Caso a organização esteja menos confusa, com algum esforço alcançaremos a situação desejada. (Fontes, 2008, p. 44).
Espera-se que esta estrutura possibilite soluções para a corporação de modo a intensificar os controles de segurança da informação existentes, tomando por base, dentre outras, a Norma NBR ISO/IEC 27002, cujo objetivo é prover um modelo para estabelecer, implementar, operar, monitorar, analisar 27
Governança da Segurança da Informação criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). Para Fontes (2008), a governança é a gestão da gestão, sendo necessário que exista o básico da gestão da segurança da informação. Muitas organizações não possuem essa gestão básica e adotam a governança de tecnologia da informação. Para a gestão da segurança existir, Fontes (2008) sugere que alguns requisitos sejam implementados, sendo que o primeiro deles é a existência de uma pessoa responsável pelo processo de segurança da informação, não sendo essa pessoa responsável pela segurança, mas, responsável pelo processo de segurança, que terá como consequência uma boa política de segurança da informação implementada. O mesmo Fontes (2008), aponta a necessidade de disponibilidade financeira, tempo e recursos operacionais para a implementação do processo de segurança da informação e sua gestão, e por fim e não mais importante que os itens acima apresentados Fontes preconiza a necessidade de existir um processo de segurança que se inicie na alta administração da organização, uma vez que este processo interfere em muitos aspectos da organização e principalmente nas pessoas e cultura organizacional. Neste contexto a literatura já elaborada para a segurança da informação sugere o desenvolvimento de uma estrutura que dê suporte físico e geográfico aos processos de implementação de segurança, dentre os quais, apresenta-se o Escritório da Segurança da Informação, cujo objetivo é centralizar os recursos humanos, materiais e estruturais necessários ao desenvolvimento, implantação e acompanhamento das políticas de SI, ou como ocorre em alguns casos, os Comitês de Segurança da Informação, cujos objetivos assemelham-se aos do Escritório, porém, sem a necessidade de centralização dos recursos humanos, materiais e estruturais, necessários ao processo. Modelos da Organização da Segurança da Informação No que diz respeito às atribuições de cada uma das estruturas acima descritas, ambas possuem os mesmos propósitos, a saber:
Analisar o posicionamento da empresa empresa no mercado em que se situa, situa, visando mapear seus clientes, fornecedores, concorrentes, produtos/ serviços e os riscos que cada um destes pode representar à empresa;
Definir as políticas de controle de acesso físico às instalações da empresa;
28
Governança da Segurança da Informação
Implementar os aspectos aspectos sócio-técnicos sócio-técnicos da Segurança Segurança da Informação, mapeando as características sociais referentes ao ambiente da organização e as pessoas que nela vivem e trabalham;
Definir as políticas de controle de acesso lógico aos dados organizacionais;
Desenvolver a matriz matriz de riscos do negócio, negócio, identificando, priorizando priorizando e qualificando todos os riscos inerentes ao processo mapeando pelo menos uma resposta a cada risco identificado;
Garantir a sustentabilidade do processo de controle controle da segurança da informação;
Escrever e implementar os acordos de nível de serviço serviço de segurança segurança da informação na empresa;
Avaliar novas tecnologias tecnologias e suas devidas devidas adequações e aplicações nos processos de segurança da informação organizacional;
Mapear e definir os planos de contingência dos processos organizacionais;
Definir os procedimentos a serem adotados adotados em situações de crises, crises, emergências e desastres para a continuidade de negócio;
Avaliar o nível de proteção atual dos processos processos organizacionais; organizacionais;
Garantir a eficácia dos processos da segurança da informação por meio de testes periódicos;
Desenvolver políticas políticas de treinamento treinamento de funcionários funcionários visando garantir o comprometimento destes com os processos de SI organizacionais;
Aplicar políticas de certificação digital de segurança da da informação;
Implementar políticas de desenvolvimento desenvolvimento de software seguro;
Definir políticas de controle de versão de arquivos; arquivos;
Promover auditorias auditorias nos processos sistêmicos organizacionais;
Regulamentar as políticas de uso dos recursos informacionais da empresa (computadores, redes de dados, e-mails corporativos, ferramentas de redes sociais, etc.).
A implantação do Escritório de Segurança da Informação requer disponibilidade de um ambiente próprio para as instalações físicas e estruturais que darão suporte ao desenvolvimento das atividades descritas no item anterior, proporcionando que a equipe de analistas de Segurança da Informação possa compartilhar experiências, atividades e rotinas inerentes ao processo de suas atribuições diárias. Esta estrutura deve permitir o desenvolvimento das atividades de segurança da informação e possui a grande vantagem de disponibilizar em tempo integral – e em um local exclusivo e de 29
Governança da Segurança da Informação conhecimento de toda empresa – os recursos humanos e tecnológicos necessários aos andamentos das atividades de SI. Esta estrutura apresenta a desvantagem de contribuir com um custo fixo no plano de contas da organização pincipalmente pelo fato de manter disponíveis em tempo integral a equipe do escritório de segurança da informação, seu parque tecnológico e o ambiente físico (espaço) das instalações. Uma alternativa muito utilizada em empresas de todo mundo para manter uma estrutura de SI fugindo dos altos custos encontrados na implantação dos Escritórios de SI, é a adoção dos Comitês de Segurança da Informação, cujos propósitos são os mesmos dos Escritórios de SI, porém não existe a dedicação exclusiva dos recursos humanos e também não existe a disponibilidade física de um local destinado exclusivamente a este propósito. A adoção de Comitês de SI apresenta a desvantagem de não se ter em tempo integral uma equipe disponível para o cumprimento das atividades da governança de segurança da informação, fato que permite que os custos de um Comitê de SI sejam muito mais baixos que os custos de implantação de um Escritório de SI. No caso dos Comitês de SI, os profissionais alocados nas atividades de governança de segurança da informação continuam com suas atividades seculares em seus postos de trabalho, compartilhando suas horas de trabalho diárias também com os processos do Comitê de SI, motivo principal pelo qual os Comitês de SI possuem um custo menor que os Escritórios de SI. Abaixo são apresentadas as vantagens e desvantagens, tanto do Escritório quanto do Comitê de Segurança da Informação:
������ 1 � ��������� � ������������ ��� ����������� � ������� �� ��
Vantagens Escritório de 1. Disponibilidade da Segurança da equipe em um local fixo Informação 2. Disponibilidade da equipe em tempo integral 3. Atribuições da equipe somente focadas em segurança da informação Comitê de 1. Custo inexistente de Segurança da pagamento para pessoal Informação específico de segurança da informação 2. Custo inexistente com local físico Fonte: os autores
30
Desvantagens 1. Custo com local físico e equipamentos 2. Custo com pagamento de pessoal específico para segurança de informação 1. Não disponibilidade em tempo integral da equipe 2. Equipe com diversas atribuições além de segurança da informação
Governança da Segurança da Informação Localização na estrutura organizacional
A localização departamental da célula de governança da segurança da informação pode apresentar-se hierarquicamente no mesmo nível da diretoria de tecnologia da informação ou pode apresentar-se subordinada a essa. Abaixo são apresentadas estas duas estruturas organizacionais com suas características: 1. Nesse modelo de estrutura organizacional a segurança da informação encontra-se subordinada à diretoria de TI, sendo assim, depende do orçamento da diretoria de TI e também das aprovações das políticas de TI. ������ 1 � ����������� ��������� ������������ � �������� �� �� ����������� � ��������� �� ��
2. Nesse modelo de estrutura de TI, a segurança da informação encontra-se no mesmo nível hierárquico que a Diretoria de TI, sendo assim, possui seu próprio orçamento, ficando independente para criação de políticas e tomadas de decisões. ������ 2 � ����������� ��������� ������������ � �������� �� �� � ����� ����� ����������� �� ��������� �� ��
31
Governança da Segurança da Informação Profissionais da Segurança da Informação
Tal qual ocorre nas demais áreas da tecnologia da informação, a governança de segurança da informação também conta com diversas especialidades de atribuições de recursos humanos. A necessidade da distribuição dos profissionais de segurança da informação dá-se ao fato de que cada profissional precisa responsabilizar-se por determinadas atribuições técnicas para o desempenho dos papéis na segurança da informação organizacional. A informação é algo muito importante para a empresa e sua existência, pois observa-se a crescente necessidade de proteger seus ativos informacionais, por isso várias normas foram escritas para subsidiara área de segurança da informação. Para que essas normas fossem colocadas em prática e com excelência pela organização, foi preciso capacitar pessoas e desenvolver profissionais específicos para que a segurança da informação exista na organização. Esses profissionais têm a responsabilidade de estruturar, desenvolver, implementar e auditar os processos de proteção da informação organizacional. De acordo com a NBR ISO/IEC 27002, o profissional de Segurança da Informação deve possuir algumas características e responsabilidades, dentre as quais, citam-se: Garantir que as atividades da Segurança da Informação sejam executadas em conformidade com a política de Segurança da Informação;
Buscar soluções soluções adequadas à realidade da organização; organização;
Estruturar o processo de segurança;
Trabalhar em paralelo com a auditoria;
Saber por onde começar.
Serão apresentadas abaixo as principais atribuições da governança de segurança da informação, ordenadas do mais alto cargo (importância na cadeia hierárquica da GSI) para o mais baixo cargo, em outras palavras, ordenados do cargo mais estratégico ao mais técnico:
32
Governança da Segurança da Informação CSO – Chief Security Officer (Diretor Geral) Em conformidade com a NBR ISO/IEC 27002, este é o profissional responsável por dirigir toda a cadeia da segurança da informação corporativa do nível técnico ao gerencial estratégico. Entre suas responsabilidades estão, organizar e coordenar as iniciativas da SI que buscam a eficácia e a eficiência para a organização, estabelece procedimentos e transações corporativos. O CSO além de segurança deve conhecer sobre negócios e participar de todas as ações estratégicas da empresa, implantar políticas e escolher as melhores práticas para a necessidade do negócio. Deve atentar a toda forma de segurança, não somente a tecnológica, mas também a segurança física do local. O CSO deve proporcionar à empresa a diminuição de riscos nas operações. Qual a formação necessária?
Ciência da Computação;
Engenharia da Computação;
Auditoria de Sistema;
Governança de Tecnologia da Informação.
CISM – Certified Information Security Manager
São os profissionais que gerenciam, projetam, supervisionam e avaliam a segurança das informações na organização. Que experiências deve possuir? Governança de Segurança da Informação; Gerenciamento de Riscos das Informações; Gestão de Programas de Segurança Segurança da Informação; Gestão de Incidentes e Respostas em em Segurança da Informação. Informação. Qual a formação necessária?
Ciência da Computação;
Engenharia da Computação;
Auditoria de Sistema;
Governança de Tecnologia da Informação;
Análise e Desenvolvimento de Sistemas. 33
Governança da Segurança da Informação CISP – Certified Information Security Profissional São os profissionais que realizam e operam as rotinas e protocolos da segurança das informações na organização. Que experiências deve possuir? Governança de Segurança da Informação; Gerenciamento de Riscos das Informações; Desenvolvimento de Programas de Segurança Segurança da da Informação; Informação; Gestão de Incidentes e Respostas em em Segurança da Informação. Informação. Qual a formação necessária?
Ciência da Computação;
Engenharia da Computação;
Governança de Tecnologia da Informação;
Análise e Desenvolvimento de Sistemas.
CISA - Certified Information Systems Auditor São os profissionais que supervisionam e auditam a segurança das informações na organização. Que experiências deve possuir? Governança de Segurança da Informação; Gerenciamento de Riscos das Informações; Gestão de Programas de Segurança Segurança da Informação; Gestão de Incidentes e Respostas em em Segurança da Informação. Informação. Qual a formação necessária?
34
Auditoria de Sistema;
Governança de Tecnologia da Informação;
Administração de Empresas com ênfase em Tecnologia da Informação;
Análise e Desenvolvimento de Sistemas.
Governança da Segurança da Informação
Referencia Bibliográfica Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27001: Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 2013. Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27002: Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 2013. Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27005: Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 2011. Fontes, Edson. Políticas e normas para a Segurança da Informação, Editora BRASPORT, 1ª edição, 2012 Fontes, Edson. Praticando a Segurança da Informação, Editora BRASPORT, 1ª edição, 2008.
Sobre os autores Edilberg Nunes Barros. Analista de Infraestrutura de TI. Graduado em Sistemas de Informação. Certificado ITILV3F e ISO20000. Cursando MBA Governança de TI. Luana de Souza Estrela Graduação em Gestão Comercial pelo Senac DF, PósGraduação em Governança de TI pelo UniCeub, atua na área de Gerente Comercial.
35
Governança da Segurança da Informação
36
Governança da Segurança da Informação
CAPÍTULO 4 CLASSIFICAÇÃO DOS ATIVOS DA INFORMAÇÃO A����: C����� A������ S��������
4.1 Classificação do Ativo da Informação A ABNT NBR ISO/IEC 27005 (2011) define que “um ativo é algo que tenha valor para a organização” e a ABNT NBR ISO/IEC 27003 (2011) apresenta como diretrizes para implementação do Sistema de Gestão da Segurança da Informação a “classificação da informação (confidencialidade, integridade, disponibilidade, controle de acesso, não repúdio, e/ou outras propriedades importantes para a organização [...]). A classificação abordada neste capítulo, busca manter o foco nas normas ABNT ISO/IEC, que trata da Segurança baseada nos três pilares; confidencialidade, integridade e disponibilidade. Figura 3 Momentos do ciclo de vida da informação, considerando os conceitos básicos da segurança e os aspectos complementares
Fonte: Adaptado de Sêmola (2003, p 11);
37
Governança da Segurança da Informação 4.1.1 Confidencialidade. Sêmola (2003) entende que toda a informação e os dados que a compões devem ser protegidas conforme o grau de sigilo atribuído a ela. Isso remete ao fato de que toda a informação deverá ter sua classificação conforme o nível de sigilo atribuído a seu conteúdo, cada dado ou a informação deve estar acessível apenas a quem tem declarada autorização para conhece-la. O Governo Brasileiro atribui os níveis Ultrassecreto, Secreto, Confidencial e Reservado, definido pelo Decreto nº 60.417, de 11 de março de 1967, já as empresas privadas costumam atribuir outras nomenclaturas como por exemplo: exemplo: Restrita, Confidencial, Interna e Pública. A nomenclatura utilizada é uma adaptação de Lyra (2008) e Sêmola (2003), terá quatro níveis com os seguintes identificadores: Confidencial, Restrita, Interna e Pública. Esta classificação é meramente pedagógica, cada organização deve adotar a nomenclatura que melhor será entendia por seus intervenientes. Apesar de não ser obrigatório, o mais encontrado são quatro níveis de privacidade aplicados, porém pode ser utilizado mais ou menos níveis conforme a necessidade da organização. A informação classificada como Confidencial, Confidencial, está no mais alto grau de restrição, apenas pessoas que comprovadamente necessitem da informação, poderão ter acesso a ela, em condições bem definidas e aceitas. São informações que representam grande valor para a empresa, e a exclusividade é um fator relevante para a manutenção do sua importância e valor. Algumas informações podem se enquadrar nesse nível por força legal. O grau Confidencial, estabelece que deve estar claro quem pode ter acesso, e quem será responsabilizado caso identifique que parte ou toda a informação tornou-se pública, também deve ser definido como será feito a guarda, o acesso, o transporte ou transferência e o descarte, garantindo sua restrição. Recomenda-se atribuir um vencimento a essa classificação. Por exemplo: Um novo produto e sua estratégia de venda, é confidencial até o momento de seu lançamento, depois passa a ser pública. Outro exemplo de uma informação que pode ser classificada como confidencial: a fórmula de um remédio que ainda não foi registrado e patenteado. Informações Restritas, Restritas, são classificadas nesse nível de sigilo, as que representam ativos para a empresa, ou por se tratar de conhecimento exclusivo, ou por normativos externos. O acesso a este conteúdo por pessoas ou processos não autorizados, pode gerar perdas para a organização. Entretanto, são necessárias para algumas pessoas ou setores dentro da organização realizarem seu trabalho. As informações podem se manter como restritas por longos prazos, devido a isso o planejamento do armazenamento deve prever todo o período, o acesso, o transporte, e o descarte, também não podem ser negligenciados. Exemplo de uma informação que pode ser classificada como restrita: o cadastro de cliente.
38
Governança da Segurança da Informação Internas, não devem extrapolar o ambiente da As informações Internas, organização, não representa ameaça significativa, mas o vazamento deve ser evitado. São enquadradas neste nível de sigilo as informações que qualquer membro da organização ou que esteja prestando um serviço para ela pode ter acesso para realizar suas atividades, este é considerado o menor grau de restrição ao acesso aos dados, porém ainda são informações que teve ter sua consulta identificada e autorizada, além de todos os demais ciclos da vida da informação observados. Exemplo de uma informação que pode ser classificada como interna: o processo de montagem em uma esteira de produção. Pública são Pública são todas as demais informações que no geral já são de conhecimento geral, interno e externo, que não apresente nenhum risco para a organização e seus intervenientes, estas informações podem ser divulgadas, sendo que a organização pode ter como objetivo a divulgação, e obter o alcance de um grande número de pessoas ou processos ciente da informação. Exemplo de uma informação que pode ser classificada como pública: os produtos ofertados pela empresa. 4.1.2 Disponibilidade
Há duas formas de avaliar a disponibilidade, a primeira que apresentaremos, é em relação ao tempo estabelecido para sua apresentação, a segunda é a forma de acesso. Lyra (2008) afirma que a informação deve estar disponível no momento que é necessária, caso contrário pode perder sua utilidade, em alguns casos é previsto que as informações possam demorar até ser recuperada ou gerada, então recomenda atribuir um prazo para sua disponibilização, que pode variar de imediatamente até longos períodos. Considerando que uma informação que foi solicitada tenha uma aplicação definida, e a obtenção após o momento determinado para uso pode torná-la desnecessária, os prazos devem estar bem claros para evitar problemas nesse sentido. Cada organização deve estabelecer seus prazos para apresentação para as informações, como por exemplo a nomenclatura a seguir: imediatamente (até uma hora), urgente (até um dia), brevemente (até uma semana), tardio (até um mês), ou definir prazos mais curtos ou longos, permitindo que todos estejam cientes de qual a antecedência exigida para seu fornecimento. Um exemplo onde prazo é crucial, e quando há a necessidade de um relatório, para uma apresentação que ocorrerá em dois dias, se o relatório for obtido após a apresentação ter ocorrido, o relatório não atenderá a necessidade inicial. Se a demora de três dias para o fornecimento é prevista e de conhecimento dos interessados, o requerente pode se planejar 39
Governança da Segurança da Informação para fazer a solicitação em tempo hábil, ou buscar outras fontes ou dados se não houver mais tempo suficiente para sua produção. A ABNT NBR ISO/IEC 27003 (2011) propõem que seja estabelecido os meios de entrada e saída do processos, que basicamente diz respeito a forma de acesso a informação, deve ser considerado os meios possíveis e aceitos, como por exemplo; o acesso a informação pode ser em meios digitais (computador, smartfones, pen-drive, fitas, entre outros dispositivos) ou impresso, ou sonoro, ou áudio visual, dependendo da informação e da utilização. A forma que é disponibilizada a informação, tem grande relevância na definição da segurança de seu ciclo de vida. Uma informação impressa tem seu transporte, armazenamento, controle de acesso, e descarte diferente de uma informação em mídia digital, contudo a mesma informação pode estar presente em ambos os meios, e sua classificação quanto a segurança deve ser a mesma, como já apresentado no tópico anterior. 4.1.3 Integridade
A ABNT NBR ISO/IEC 27002 (2013) atribui a integridade a propriedade de salvaguarda da exatidão e completeza de ativos, ou seja, conforme Sêmola (2003) deve estabelecer mecanismos para proteger de adições, alterações e exclusões não autorizadas, atribuindo a integridade a responsabilidade de garantir a autenticidade, e confiabilidade, evitando o repúdio. A integridade é responsável pela garantia que os dados são registrados por um processo ou indivíduo devidamente autorizado e reconhecido, o ambiente onde os dados são armazenados garante que a alteração ou o descarte serão feitos por processos definidos e devidamente autorizado, permitindo a identificação do usuário ou procedimento responsável, para o transporte, a informação enviada deverá ser exatamente a recebida sendo seu emissor e receptor identificado e autorizado, e protegendo contra desvios, interceptações ou perdas, garantindo o a autenticidade e o não repúdio, como foi descrito melhor no ciclo de vida da informação. 4.2 Atribuindo valor a informação
Stair e Reynolds (2006) classificam as informações como valiosas através dos seguintes atributos: Precisas, Completas, Econômicas, Flexíveis, Confiáveis, Relevantes, Simples, Apresentadas no momento exato, Verificáveis, Acessíveis e Seguras. Seu método de atribuir valor para a informação é abrangente e apresenta-se como efetiva, destacamos que 40
Governança da Segurança da Informação alguns desses atributos já foram englobados acima, os demais buscaremos agrupar neste tópico. Segundo Sêmola (2003) para a informação passar a ser um ativo, esta informação deverá ter um valor definido, que no geral é dado pela sua exclusividade, abrangência, veracidade, e pela quantidade de interessados, outros fatores também ajudam a definir o valor de uma informação, dependendo da organização que os possuem. O valor da informação vai além das palavras escritas, números e imagens: conhecimento, conceitos, ideias e marcas são exemplos de formas intangíveis da informação. Em um mundo interconectado, a informação e os processos relacionados, sistemas, redes e pessoas envolvidas nas suas operações são informações que, como outros ativos importantes, têm valor para o negócio da organização e, consequentemente, consequentemente, requerem proteção contra vários riscos. ABNT NBR ISO/IEC 27002 (2013)
A atribuição de valor a uma informação através da sua exclusividade, exclusividade, é dada pela aplicação da “Lei da oferta e procura” definida pelo mercado, quanto menos forem as fontes da informação, e mais interessados houver, maior poderá ser seu valor, por exemplo: Os números que serão sorteados na loteria, esta informação pode ser muito valorizada, porém se houver mais de um portador desta informação, o valor já será reduzido. O portador de uma informação exclusiva, pode determinar qualquer valor para ela, havendo interessados na informação o valor pode ser confirmado, ou não, porém uma informação que seja de domínio público, tem seu valor estabelecido pelo interessado reduzindo a influência do fornecedor, conforme interpretação da “Lei da oferta e procura” da economia. autenticidade, para Stair e Reynolds (2006), (precisas, A autenticidade, completas, confiáveis e verificáveis) também é um fator determinante para atribuir valor a informação, quanto melhor for a comprovação da sua autenticidade, maior será seu valor, ou considerando que quanto mais duvidosa for a fonte menos valor tem. Aproveitando o exemplo anterior, se o portador dos números da loteria não conseguir comprovar que são autênticos, esta informação não será tão valorizada. A abrangência abrangência ou contextualização da informação também compõem o valor que será atribuído a ela. Stair e Reynolds (2006) considera completa, flexíveis e simples, que engloba a apresentação do senário onde a informação está inserida, deixando mais claro seu conteúdo contribui para sua valorização, contudo excesso de informações acessórias também podem dificultar sua compreensão reduzindo seu valor. Considerando o mesmo exemplo dos números da loteria, se o portador não apresentar em qual sorteio, data, jogo e valor do prêmio, os números, de certa forma, voltam a ser apenas dados, com pouco significado, e pouco valor. 41
Governança da Segurança da Informação
4.3 O processo de classificação da informação Segundo Fontes (2008) “uma das regras básica para o sucesso de um processo de segurança e proteção da informação é tratar esse assunto através de uma abordagem profissional.” Declarando ainda que a principal razão para classificar a informação é que cada informação tem seu nível de confidencialidade e evitar interpretações deferentes pelas pessoas. O texto apresentado a seguir, procura apresentar um roteiro para a classificação da informação, seguindo as recomendações apresentadas na norma ABNT NBR ISO/IEC 27002 (2013), que descreve uma proposta para balizar “em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada”, este objetivo em conjunto as classificações descritas no título anterior remetem a proposta que pautará este roteiro. Convém que as políticas de segurança da informação sejam analisadas criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia. [...] Convém que cada política de segurança da informação tenha um gestor que tenha aprovado a responsabilidade pelo desenvolvimento, análise crítica e avaliação das políticas de segurança da informação. ABNT NBR ISO/IEC 27002 (2013, p4)
4.3.1 Roteiro proposto baseado na ABNT NBR ISO/IEC 27002 (2013). 1. 2. 3. 4.
Nomear e identificar a informação a ser classificada; classificada; Identificar os controles associados a informação; informação; Identificar os proprietários e responsáveis pela informação; Criar um critério que que atendam a necessidade da organização; organização; a. A descrição da da classificação deve ser clara, fazendo sentido sentido no contexto; b. A forma de classificação deve deve permitir que todas as pessoas pessoas envolvidas tenham o mesmo entendimento, aplicando o mesmo critério; c. Recomenda classificar conforme sua confidencialidade, integridade, disponibilidade e valor. 5. Aplicar a classificação da informação; 42
Governança da Segurança da Informação 6. Formalizar a classificação adotada na organização. organização. Como nossa contribuição para provocar o processo de classificação, sugerimos algumas questões que poderão servir de base para elaboração de um questionário ou um quadro com pesos definidos a cada questão, objetivando a padronização no enquadramento da informação dentro dos critérios de classificação apresentados. 1) Valor a) Qual é o grau de exclusividade? exclusividade? b) Qual é o nível de confiabilidade da fonte? c) Qual é a quantidade de informações acessórias acessórias que a acompanham? acompanham? d) Qual é o grau de interesse de terceiros? e) Qual a quantidade de terceiros interessados? f) Qual é a importância importância da informação informação para a organização? organização? 2) Confidencialidade a) A informação é pública? b) Sua divulgação causa algum dano ou prejuízo? c) A divulgação causa constrangimento constrangimento ou inconveniência inconveniência operacional? d) Sua divulgação tem impacto significativo nas operações ou objetivos objetivos táticos? e) Sua divulgação causa alguma alguma sansão ou punição? f) Qual é a validade? 3) Disponibilidade a) Quem ou que processo processo pode ter acesso? acesso? b) Qual é o prazo máximo para a entrega? c) Qual é o meio meio para solicitar? d) Qual é o meio para entrega? e) O prazo de disponibilidade está sujeito a regulamentação externa? f) Quais são os riscos riscos de físicos de vazamento? vazamento? g) Quais são os os riscos lógicos de vazamento? vazamento? h) Quais são os os riscos humanos de vazamento? 4) Integridade a) Quais são os os dados que compõem a informação? b) A fonte da informação é identificada identificada e confirmada? confirmada? c) Em que mídia é disponibilizada a informação? d) Em que mídia é armazenada a informação? 43
Governança da Segurança da Informação e) f) g) h)
Como é feito o transporte? Como são identificados os emissores e receptores? Como é verificado se se o destinatário recebeu? recebeu? Como é verificado se a informação entregue foi exatamente exatamente a mesma emitida? i) Como é realizado o descarte? j) O é verificado que o descarte foi realizado conforme conforme determinado. Fontes (2008), afirma que “uma das regras básicas para o sucesso de um processo de segurança e proteção da informação é tratar esse assunto através de uma abordagem profissional.” A seriedade adotada atribui mais chances da organização ser bem sucedida na proteção das informações.
44
Governança da Segurança da Informação REFERÊNCIAS
informação: Uma visão SÊMOLA, Marcos. Gestão da segurança da informação: executiva. Rio de Janeiro: Elsevier, 2003 – 11ª reimpressão. LYRA, Maurício Rocha. Segurança e Auditoria em Sistemas de Informação. Informação. Rio de Janeiro: Editora Ciência Moderna Ltda, 2008. FONTES, Edilson Luiz Gonçalves. Praticando a segurança da informação. Rio de Janeiro: Brasport, 2008 STAIR, Ralph M.; REYNOLDS, George W. Princípios de sistema de informação: informação: uma abordagem gerencial. São Paulo: Pioneira Thomson Learnin, 2006 – Tradução da 6ª edição norte-americana. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: 27001: Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 2013 ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: 27002: Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 2013 27005: ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27005: Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 2011
Sobre o autor Carlos Alberto Schneider. Tecnólogo em processamento de dados, MBA em planejamento e gestão estratégica. Atua a mais 20 anos com Tecnologia da informação.
45
Governança da Segurança da Informação
46
Governança da Segurança da Informação
CAPÍTULO 5 ASPECTOS HUMANOS DA SEGURANÇA SEGUR ANÇA DA INFORMAÇÃO A������: M���� R�������� R����� J����� S���� C������ �� C��� V�����
Com as atenções voltadas para consoles de administração de ferramentas de novíssima geração, e as preocupações baseadas na infraestrutura de conectividade, soluções de criptografia, detecção de intrusos, entre outros aparatos tecnológicos, é natural, mas não recomendado, que cuidados elementares com os fatores humanos permaneçam em segundo plano. Um dos principais problemas que a segurança da informação deve tratar é a segurança em pessoas. A cooperação dos usuários é essencial para a eficácia da segurança. Eles exercem um forte impacto sobre a confidencialidade, a integridade e a disponibilidade da informação, pois, por exemplo, o usuário que não mantiver a confidencialidade da senha, não evitar o registro da mesma em papéis que não estão guardados em locais seguros, não utilizar senhas de qualidade ou ainda que compartilhe senhas individuais, compromete a segurança da informação. A solução efetiva para integrar pessoas requer ações gradativas e constantes visando criar e fortalecer a cultura de segurança da informação. Esta cultura não pode ficar restrita às organizações, é um trabalho cujo resultado positivo é certo, mas não é imediato e requer planejamento. Os seres humanos costumam modificar seus comportamentos em situações de risco, e suas decisões são baseadas em confiança. A engenharia social se aproveita dessas brechas e da falta de consciência com relação à segurança. Costa (2013), afirma que a melhor arma para combater a engenharia social é a informação. Se os colaboradores de uma empresa não estiverem bem treinados e bem informados dos golpes envolvendo engenharia social, de nada adiantará os demais investimentos em meios tecnológicos voltados para segurança. Mas o que é então a engenharia social? 47
Governança da Segurança da Informação Ao ouvir o nome engenharia social, vem à mente a ideia de algo supervalorizado, o que não é verdade. Engenharia por si só tem o significado de conhecimento adquirido que é executado com performance e arte, seja na construção civil, mecatrônica ou outros. Já a palavra social vem de convivência entre pessoas. A associação engenharia e social tem um sentido diferenciado, quando se trata de segurança da informação, pois unidas formam a maneira que os engenheiros usam de ludibriar pessoas para adquirir informações sigilosas com facilidade sem que estas percebam. A engenharia social é um termo utilizado para qualificar os tipos de intrusão não técnica, que coloca ênfase na interação humana e, frequentemente, envolve a habilidade de enganar pessoas objetivando violar procedimentos de segurança. (Silva Filho, 2004). O engenheiro social é alguém que usa a fraude, a influência e a persuasão contra as empresas, em geral visando suas informações. (Mitnick, 2003). De acordo Mitnick (2003) a diferença entre o engenheiro social e o grifter é que este tem a intenção de enganar indivíduos e o engenheiro as empresas.
Figura 1 – Diferença entre engenheiro social e Grifter
Fonte: Autores
48
Governança da Segurança da Informação Na maioria dos casos, os engenheiros sociais bemsucedidos têm uma habilidade muito boa em lidar com as pessoas. Eles são charmosos, educados e agradam facilmente — os traços sociais necessários para estabelecer a afinidade e confiança. (Mitnick, 2003)
Figura 2 - Perfil do engenheiro social
Fonte: Autores
A tecnologia da informação fornece facilidades variadas como porta de entrada para os fraudulentos. A invasão em computadores por meio de vírus implantados ao realizar um download ou um clique em um link informado no email malicioso são formas de invasão em uma rede corporativa, que pode trazer prejuízos não só financeiro. De acordo com Mitnick (2003) existem três tipos de hackers: os scriptkiddies - são hackers novatos que não possuem interesse em aprender a tecnologia, seu desejo é invadir os computadores; Hackers programadores desenvolvem programas para hackers e expõe na web; Estelionatários - usam o computador como meio fraudulento para roubar r oubar dinheiro, bens ou serviços.
49
Governança da Segurança da Informação Figura 3 – Tipos de Hackers
Fonte: Autores
Além da web, a telefonia também é um alvo fácil para o engenheiro social fazer-se passar por um técnico de uma instituição e assim conseguir informações importantes e aparentemente simples aos olhos do técnico de atendimento, mas, que possui um valor fundamental para se chegar ao objetivo final que é obter recursos financeiros e afins. Vale lembrar que o engenheiro social, visa conseguir informações valiosas com técnicas de enganar pessoas, sem se dar o trabalho de invadir um sistema. Através de um diálogo convincente e envolvente o indivíduo de um help desk por exemplo chega a gerar nova senha no sistema e informa ao transgressor, este consegue de forma fácil e rápida se passa pelo usuário final e tendo em mãos todas as informações precisas sem muito esforço. Mas, ainda não destacamos o principal, todas essas tentativas são realizadas com sucesso por conta de um ator principal que é o homem. No caso da engenharia social, do funcionário, colaborador de uma empresa corporativa. Estudos mostram o quanto é fácil distrair a atenção de uma pessoa, mesmo que aparentemente esteja atenta. São fórmulas usadas por mágicos para trazer a ilusão de suas apresentações. Uma das técnicas adquiridas por Kevin Mitnick, o que o ajudou a ser reconhecido como o rei da engenharia social. Assim como uma marionete é manipulada pelo homem, a vítima de uma extorsão também é, para isso basta que o farsante adquira a confiança do indivíduo, através de um mínimo conhecimento que se tenha da empresa e assim alcançar a informação desejada. E mais ele não explora somente um funcionário da empresa não, ele começa do operacional até chegar ou se passar por um executivo. A figura abaixo demonstra como o engenheiro social
50
Governança da Segurança da Informação consegue manipular a mente humana, fazendo-o tomar iniciativas que favoreça o fraudulento.
Figura 4 - SEES (Social EngineeringEmailSender): EngineeringEmailSender): Utilitário de Auditoria/Ataques Auditoria/Ataques de Engenharia Social e Phishing
Fonte:Internet - Disponível em 60>
Através dessa primeira vítima o engenheiro consegue por meio de uma simples ligação, informações para que dê continuidade ao seu plano e em seguida utiliza-se de outros meios, até que se tenha o mínimo possível de conhecimento de uma empresa para concluir seu plano infalível. i nfalível. E como as empresas tem enxergado este perigo iminente? As empresas têm investido, contratando especialistas em segurança da informação, implantando políticas de segurança para o ambiente organizacional, treinando seus funcionários e bloqueando acessos web em estações de trabalho. De nada adianta, se a conscientização não partir do colaborador, este, se estiver desmotivado pode até dar uma forcinha ao engenheiro social, visando uma vingança devido a sua insatisfação. As técnicas mais costumeiras, que podem ser usadas de maneira individual ou combinadas, são:3
Contatos telefônicos, simulando simulando atendimento de suporte suporte ou uma ação de emergência; Contato através de e-mail, atuando como estudante com interesse em pesquisa sobre determinado assunto ou como pessoa com interesse específico em assunto de conhecimento da vítima;
3
MODULO SECURITY SOLUTIONS, Engenharia Social: Fortalecendo o elo mais fraco, em ���.������.���.��. Acessado em: 27 de setembro 2015
51
Governança da Segurança da Informação Contato através de ferramentas de mensagens mensagens simulando pessoa com afinidades coma vítima; Obtenção de informações informações vazadas por parte da administração administração de rede e funcionários em geral em listas de discussão ou comunidades virtuais na Internet, o que motivaria também um contato posterior mais estruturado; Uso de telefone público, público, para dificultar detecção; detecção; Varredura do lixo informático, para obtenção de informações adicionais para tentativas posteriores de contato; Disfarce de equipe de manutenção; Visita em pessoa, como estudante, estagiário ou pessoa com disfarce de ingenuidade.
Humanos são imperfeitos e situações de risco modificam os comportamentos naturais e decisões serão fortemente baseadas em confiança ou grau de criticidade da situação. Em função desses fatores, sempre existirão brechas em seu caráter ou comportamento pouco consciente com relação a segurança, onde a engenharia social poderá ser eficaz, segundo Mitnick (2003), A verdade é que não existe tecnologia no mundo que evite o ataque de um engenheiro social. Para minimizar essas falhas, a gestão de uma empresa deve considerar altamente relevante as suas informações e assim criar uma cultura corporativa que tenha como prioridade capacitar seus colaboradores a partir da admissão, através de programas de treinamento. As pessoas devem ser treinadas e educadas sobre quais são as informações que devem ser protegidas e como devem protegê-la para que estejam aptas a identificar situações de riscos, como um ataque de Engenharia Social. “Muitas vezes os hackers empregam truques que tiram proveito de vulnerabilidades humanas apelando para emoções ou incitando a curiosidade para levar as pessoas a clicarem em links maliciosos, baixarem programas ou darem informações confidenciais como senha da rede corporativa, do e-mail, etc. As empresas precisam investir na formação contínua para manter funcionários constantemente conscientes das ameaças desses ataques de engenharia social”. 4
4
MODULO SECURITY SOLUTIONS, Seis dicas simples para frustrar os hactivistas, em www.modulo.com.br.
Acessado em: 29 de setembro 2015.
52
Governança da Segurança da Informação Para criar e disseminar essa consciência as organizações devem criar e divulgar suas políticas, normas e procedimentos de segurança da informação através de programas de treinamento e conscientização constantes. As políticas de segurança são instruções claras que fornecem as orientações de comportamento do empregado para guardar as informações, sendo um elemento fundamental no desenvolvimento de controles efetivos para conter possíveis ameaças à segurança, estando entre os instrumentos mais significativos para evitar e detectar os ataques da engenharia social. Os controles efetivos de segurança devem ser definidas em políticas e procedimentos e implementadas pelo treinamento dos empregados. Entretanto, é importante observar que as políticas de segurança, mesmo que sejam seguidas rigorosamente por todos, não evitam todos os ataques da engenharia social. Ao desenvolver uma política de segurança, deve-se levar em consideração que existem funcionários que não têm conhecimento da linguagem técnica. Portando, os jargões técnicos não devem ser usados para que o documento possa ser facilmente entendido por qualquer funcionário. O documento também deve deixar bem claro a importância da política de segurança para que dessa maneira os funcionários não encarem isso como perca de tempo. (Caiado, 2008) Além disso, os empregados devem ser aconselhados sobre as consequências do não-cumprimento das políticas e dos procedimentos de segurança. Um resumo das consequências da violação das políticas deve ser desenvolvido e amplamente divulgado. Por sua vez, um programa de recompensa deve ser criado para os empregados que demonstram boas práticas de segurança ou que reconhecem e relatam um incidente de segurança. Sempre que um empregado for recompensado por frustrar uma quebra de segurança, isso deve ser amplamente divulgado em toda a empresa, como exemplo, um artigo circular da empresa. Um dos objetivos de um programa de conscientização sobre a segurança é a comunicação da importância das políticas de segurança e o dano que a falha em seguir essas regras pode causar. Dada à natureza humana, os empregados às vezes ignoram ou sabotam as políticas que parecem ser injustificadas ou que demandam muito tempo. A gerência tem a responsabilidade de garantir que os empregados entendam a importância das políticas e sejam motivados para atendê-las, e não as tratar como obstáculos a serem contornados. É importante notar que as políticas de segurança das informações não podem ser inflexíveis. Uma empresa precisa mudar à medida que surgem novas tecnologias de segurança, e à medida que as vulnerabilidades de 53
Governança da Segurança da Informação segurança evoluem, as políticas precisam ser modificadas ou suplementadas. Um processo de exame e atualização regular deve ser estabelecido. (Mitnick, 2003). Finalmente, testes periódicos de penetração e avaliações de vulnerabilidade que usam os métodos e as táticas da engenharia social devem ser conduzidos para expor os pontos fracos do treinamento ou a falta de cumprimento das políticas e dos procedimentos da empresa. Antes de usar qualquer tática de teste de penetração simulado, os empregados devem ser avisados de que tais testes podem ocorrer de tempos em tempos. (Mitnick, 2003). O objetivo central de um programa de conscientização sobre segurança deve influenciar as pessoas para que elas mudem seu comportamento e suas atitudes motivando cada empregado a querer entrar no programa e fazer a sua parte para proteger os ativos de informações da organização. Um ótimo motivador nesse caso é explicar como a participação das pessoas beneficiará não apenas a empresa, mas também os empregados individuais. Como a empresa detém determinadas informações particulares sobre cada funcionário, quando os empregados fazem a sua parte para proteger as informações ou os sistemas de informações, na verdade eles estão protegendo também as suas próprias informações. Um programa de treinamento em segurança requer um suporte substancial. O esforço de treinamento precisa atingir cada pessoa que tem acesso a informações confidenciais ou aos sistemas corporativos de computadores, deve ser contínuo e ser sempre revisado para atualizar o pessoal sobre as novas ameaças e vulnerabilidades. Os empregados devem ver que a direção está totalmente comprometida com o programa. Como muitos aspectos da segurança das informações envolvem a tecnologia, é muito fácil para os empregados acharem que o problema está sendo tratado por firewalls e por outras tecnologias de segurança. Um dos objetivos principais do treinamento deve ser a criação em cada empregado da consciência de que eles são a linha de frente necessária para proteger a segurança geral da organização. O treinamento em segurança deve ter um objetivo significativamente maior do que simplesmente impor regras. O conhecimento das táticas da engenharia social e de como se defender dos ataques é importante, mas não servirá para nada se o treinamento não se concentrar bastante na motivação dos empregados para que usem o conhecimento. A maioria das empresas precisa de programas de treinamento adaptados aos distintos grupos de colaboradores, tais como: os gerentes, o pessoal de TI, 54
Governança da Segurança da Informação os usuários de computadores, os assistentes administrativos, os recepcionistas e o pessoal de segurança física. Como o pessoal da segurança física de uma empresa normalmente não é proficiente em computadores, e, exceto talvez de uma forma muito limitada não entre em contato com os computadores da empresa, eles geralmente não são considerados quando da criação de treinamentos desse tipo. Entretanto, os engenheiros sociais podem enganar os guardas de segurança ou outros para que eles lhes permitam a entrada em um prédio ou escritório, ou para que executem uma ação que resulte em uma invasão de computador. Embora os membros da segurança certamente não precisem do mesmo treinamento completo pelo qual passam as pessoas que operam ou usam os computadores, eles não devem ser esquecidos no programa de conscientização sobre a segurança. Após a sessão de treinamento inicial, sessões mais longas devem ser criadas para educar os empregados sobre as vulnerabilidades específicas e técnicas de ataque relativas à sua posição na empresa. Pelo menos uma vez por ano é preciso fazer um treinamento de renovação. A natureza da ameaça e os métodos usados para explorar as pessoas estão sempre mudando, de modo que o conteúdo do programa deve ser mantido atualizado. Além disso, a consciência e o preparo das pessoas diminuem com o tempo, de modo que o treinamento deve se repetir a intervalos razoáveis de tempo para reforçar os princípios da segurança. Novamente a ênfase precisa estar em manter os empregados convencidos sobre a importância das políticas de segurança e motivados para que as sigam, além de expor as ameaças específicas e os métodos da engenharia social. (Mitnick, 2003)
Neste sentido os seguintes meios de controles, não devem faltar no plano de treinamento dos colaboradores: seminários de sensibilização; cursos de capacitação; campanhas de divulgação da política de segurança; crachás de identificação; procedimentos específicos para demissão e admissão de funcionários; termo de responsabilidade; responsabilidade; termo t ermo de confiabilidade; software de auditoria de acessos e software de monitoramento e filtragem de conteúdo. (Alves, 2010)
Desta forma, Sêmola, 2014 considera os termos de responsabilidade e confidencialidade, como mais um importante instrumento de sensibilização e formação de cultura que tem o propósito de formalizar o compromisso e entendimento do funcionário diante de suas novas responsabilidades relacionadas a proteção das informações que manipula. Além disso, esse 55
Governança da Segurança da Informação termo se encarrega de divulgar as punições cabíveis por desvios de conduta e, ainda, esclarecer que a empresa é o legitimo proprietário dos ativos, incluído as informações que fluem pelos processos de negócio e ora são temporariamente custodiadas pelas pessoas. - Termo de Responsabilidade visa resguardar a empresa de sérios riscos de danos, responsabilizando o colaborador, no exercício de sua função, em casos de pirataria, acesso a dados privativos da empresa, má utilização do hardware e software licenciado, entre outros. Este serviço pode compreender ainda, a elaboração de termos de utilização de e-mails para todos os funcionários, de acordo com a política da empresa, conscientizando-os sobre a responsabilidade decorrente do uso do mesmo. - Termo de Confidencialidade de Informações visa manter a confidencialidade das informações obtidas por funcionários e colaboradores no exercício de suas funções. Compreende ainda a conscientização da equipe sobre a importância da padronização de procedimentos para a empresa e para o colaborador, esclarecendo que as informações confidenciais e/ou segredos de negócios podem abranger todo e qualquer dado gerado, coletado ou utilizado nas operações da empresa. Por definição, a engenharia social envolve algum tipo de interação humana. Com frequência, um atacante usa vários métodos de comunicação e tecnologias para tentar atingir o seu objetivo. Por esse motivo, um programa de conscientização bem feito deve tentar abordar alguns ou todos estes itens:
As políticas de segurança segurança relacionadas com senhas de computador computador e voice mail. O procedimento de divulgação de informações ou material confidencial. A política de uso uso do correio eletrônico, eletrônico, incluindo as medidas para para evitar ataques maliciosos de código, tais com vírus, worms e Cavalos de Tróia. Os requisitos de segurança segurança física, tais como o uso uso de crachás. crachás. A responsabilidade de questionar as pessoas que estão nas instalações sem o crachá. As melhores práticas de segurança para para o uso do voice mail. Como determinar a classificação classificação das informações e as medidas adequadas para proteger as informações confidenciais. A eliminação adequada adequada de documentos documentos confidenciais e mídia de computador que contenham, ou que já tenham contido material confidencial. (Mitnick, 2003)
Da mesma forma, se a empresa pretende usar testes para determinar a eficiência das defesas contra os ataques da engenharia social, um aviso deve ser dado para que os empregados tomem conhecimento dessa prática. Deixe 56
Governança da Segurança da Informação que saibam que em algum momento eles podem receber uma ligação telefônica ou outra comunicação que usará as técnicas do atacante como parte de tal teste. Use os resultados desses testes não para punir, mas para definir a necessidade de treinamento adicional em algumas áreas. A maioria das pessoas sabe que o aprendizado, mesmo das questões importantes, tende a desaparecer, a menos que seja reforçado periodicamente. Devido à importância de manter os empregados atualizados sobre o assunto da defesa contra os ataques da engenharia social, um programa constante de conscientização é de importância vital. Um método para manter a segurança sempre na mente do empregado é fazer com que a segurança das informações seja parte específica da função de todas as pessoas que trabalham na empresa. Isso as encoraja a reconhecer o seu papel crucial na segurança geral da empresa. Caso contrário há uma forte tendência de achar que a segurança "não é problema meu". Como disse Kevin Mitinick, não existe tecnologia que evite um ataque de um Engenheiro Social, portanto é necessário um treinamento contínuo para que as pessoas sempre saibam quais são as novas técnicas utilizadas e como lidar com cada uma delas. Outras formas de prevenção da engenharia social são a pesquisas de perfis dos funcionários antes da admissão efetiva na empresa, para se identificar eventuais problemas de conduta de falhas de segurança. Da mesma forma, a gestão dos perfis de acesso após a contratação dos funcionários deve ser constante, os perfis são amplamente usados por organizações para descrever os atributos de cargos ou indivíduos nos sistemas de informação, devendo estar em constante atualização para que acessos indevidos não ocorram.
REFERÊNCIAS BIBLIOGRÁFICAS
ALVES, Cássio B. Segurança da informação vs. Engenharia Social: Como se proteger para não ser mais uma vítima, 2010. BRAGA, Pedro H. C. Técnicas de Engenharia Social, 2010. CAIADO, Marcelo. Engenharia Social e o Fator Humano na Segurança da Informação, 2008.
57
Governança da Segurança da Informação COSTA, Josué. Engenharia Social e Segurança da Informação na Gestão de Pessoas,2013. MENEZEZ, Heleno, Leonardo, JACOBIMO, Moises e Wladys. O Fator Humano naSegurança da Informação, 2004. MITNICK, Kevin D.; SIMON, William L. Mitnick: A arte de enganar. Ataques de hackers: Controlando o fator humano na Segurança da Informação. PearsonEducation do Brasil Ltda, 2003. SÊMOLA, Marcos. Gestão da Segurança da Informação 2ª Edição, 2014. SILVA FILHO, Antônio M. Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informações. Disponível em: Acesso em: 01 out 2015.
Sobre os autores Mosar Rodrigues Rabelo Junior Cursando Pós-Graduação em Governança de Tecnologia da Informação pelo Centro de Ensino Unificado de Brasília – UNICEUB. Bacharel em Ciência da Computação pela Universidade Católica de Brasília – UCB. Coordenador de Gestão de Sistemas de Informação da Coordenação Geral de Tecnologia da Informação no Ministério do Meio Ambiente. Já atuou como Gerente Executivo de Tecnologia da Informação do Serviço Florestal Brasileiro, Chefe da Divisão de Segurança e Infraestrutura de Rede da Coordenação Geral de Tecnologia da Informação e Gestor de Serviços no SERPRO.
Selma Cândida da Cruz Vieira Líder de equipe técnica em suporte a sistemas na empresa Central IT. Cursando pós-graduação em Governança em TI, graduada em Análise e Desenvolvimento de Sistemas.
58
Governança da Segurança da Informação
CAPÍTULO 6 GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO A����: H�������� R������ S������ R������
1. Gestão ou Governança? Qual a diferença? De acordo com a norma ABNT NBR ISO/IEC 27001:2006 a gestão da segurança da informação visa estabelecer, implementar, operar, monitorar, analisar criticamente a decisão estratégica de uma organização. É influenciado por objetivos. Visa ainda a melhoria contínua da segurança da informação e representa as várias atividades diárias que são necessárias para um programa de segurança eficaz e ativo. A governança da segurança da informação tem a missão de descentralizar a gestão da segurança da informação de forma eficiente e transparente, atrelado ao negócio fim da organização e considera os objetivos estratégicos e tendências atuais do mercado. A organização precisa gerenciar todas as suas atividades fins, visando o uso de seus recursos e habilitar assim, as entradas e saídas incorporadas ao seu processo. A concretização dessas atividades de gestão são considerados abordagem de processo. Segundo a Norma ABNT NBR ISO/IEC 27001:2006 a aplicação desses processos para a gestão da segurança da informação apresenta as seguintes vertentes junto aos usuários e sua importância: a) Entendimento dos requisitos de segurança da informação de uma organização e sua necessidade em estabelecer uma política e objetivos para a segurança da informação; b) Implementação e operação de controles para gerenciar riscos de segurança da informação de uma organização no contexto dos riscos do negócio global da empresa; 59
Governança da Segurança da Informação c) Monitoração e análise crítica do desempenho e eficácia da SGSI e melhoria contínua baseada em medições objetivas. A Gestão está voltada para um maior gerenciamento das atividades em que as atividades fins e objetivos sejam traduzidos em primícias chaves para as metas dentro da organização. Os gestores visam garantir que as metas e anseios dos clientes, sejam colocados em práticas pelo setor operacional gerando assim valor agregado e resultado de ganho ou perda para a organização. Na gestão, deve-se ter uma meta estratégica bem definida, na qual irá proporcionar um vínculo fim com a área operacional que irá traduzir na geração de lucro e maior representatividade da empresa no mercado na qual está inserida. Na gestão é adotado o PDCA (Plan-do-Check-Act) que é implementado em seus processos. Figura 1 – Modelo PDCA aplicado aos processos de Gestão da segurança da informação
Fonte: ABNT NBR ISO/IEC 27001:2006
Plan (Planejar) – Estabelece os objetivos e práticas do GSI, em que traz evidencia para a análise gerencial dos riscos e melhoria da SI. Do (Fazer) – Opera a política alinhados aos programas da GSI
60
Governança da Segurança da Informação Check (checar) – Monitora e analisa a GSI. Traz resultados que são avaliados e analisados pela direção envolvida. Act (Agir) – Mantém e melhora a GSI e está inserida na busca de melhores prática junto à GSI da organização. 2 – Objetivo da Gestão Segundo a ABNT NBR ISO/IEC 27001:2006 a gestão da segurança da informação é projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança as partes interessadas. Convém que o negócio seja interpretado de modo que as atividades sejam essênciais aos objetivos da existência da organização. O sistema de gestão inclui a estrutura organizacional, políticas, planejamento, boas práticas, recursos e processos nele inseridos. Estabelece ainda uma estrutura de gerenciamento controlando a implementação da segurança da informação dentro da empresa e envolve todos os colaboradores nela inseridos, podendo ainda contar com agentes externos que auxiliem e cooperem para a melhor adequação da segurança. 3 – Responsabilidades da Gestão da segurança da informação Segundo a ABNT NBR ISO/IEC 27001:2006 a organização deve definir o escopo e os limites da gestão nos termos e características do negócio, sua localização, ativos e tecnologia, incluindo detalhes e justificativas dentro do escopo. A definição da política da gestão inclui características do negócio e estabelece um direcionamento global dos princípios e ações voltadas a segurança em que esteja alinhada ao contexto estratégico da alta administração e visa gerir os riscos e sua manutenção dentro da organização. Estabelece ainda critérios em relação os riscos a serem avaliados e tenha aprovação unanime da alta administração. Dentro das métricas da gestão estão inseridos em seu contexto: a implementação de conscientização e treinamento, gerenciamento das operações e recurso da gestão da segurança da informação, a aplicação de controles capazes de permitir e controlar a detecção de eventos visando assim, os incidentes de segurança da informação. A realização das análises críticas inclui as políticas e objetivos da gestão em que os resultados e incidentes da informação, são resultados claros da eficácia e medição certa de todas as partes inseridas nesse elo organizacional.
61
Governança da Segurança da Informação Dentro da gestão deve haver um maior comprometimento da direção superior, em que a política de gestão e sua garantia visa estabelecer as metas direcionados junto ao plano estratégico da organização, e estabelecer os papéis e responsabilidades da segurança da informação. Os recursos são essenciais para implementação e operacionalização da melhoria continua da gestão e sua eficácia. A política interna da segurança da informação segundo ABNT NBR ISO\IEC 17799:2005 estabelece que ela deve ser aprovada pela direção, publicada e comunicados a todos os funcionários e partes externas envolvidos. Deve ser analisada criticamente a intervalos e planejados de acordo com a continua adequação a eficácia.
As atribuições das atividades e responsabilidades na segurança da informação, visa a conformidade atrelada a política interna da segurança, em que convém que as responsabilidades sejam definidas e obedecidas. Cada local será exigida uma proteção específica de segurança atrelada aos vários colaboradores existentes da organização. Pessoas com tarefas e atividades definidas, de acordo com a segurança da informação, podem descentralizar tarefas a outros usuários, sendo necessário uma maior verificação junto as atividades executadas para melhor monitoramento fim dentro da organização. 4 – Governança da Segurança da Informação De acordo com IT Governance Institute (2005): ( 2005): A governança de TI é de responsabilidade da alta administração (incluindo diretores e executivos), na liderança, nas estruturas organizacionais e nos processos que garantem que a TI da empresa sustente e estenda as estratégias da empresa.
Outra definição é dada por Weill & Ross (2004): Consiste em uma ferramenta para a especificação dos direitos de decisão e responsabilidade, visando encorajar comportamentos desejáveis no uso da TI.
Para a ISSO/IEC 38.500 (ABNT 2009) a governança é o Sistema pelo qual o uso atual e futuro da TI são dirigidos e controlados. Significa avaliar e direcionar o uso da TI para dar suporte à organização e monitorar seu uso para realizar planos. Inclui a estratégia e as políticas de uso da TI dentro da organização.
Quando ela tem alto impacto nas atividades e planos diretos, dizemos que a TI é estratégica e voltada para o negócio fim da organização. Deve-se ter um claro direcionamento do que esperar das iniciativas e ações da segurança da informação. 62
Governança da Segurança da Informação Segundo o Cobit 5 ela projeta em atender as atuais necessidades dos dirigentes de negócio alinhado aos atuais pensamentos de gestão e governança em TI. Ela é de responsabilidade de toda organização e não só da TI. Ela é motivada pelos seguintes fatores de acordo com a figura abaixo: Figura 2 – Fatores motivadores da Governança em TI
Fonte: Fernandes e Abreu, 2012
5 – Objetivos da Governança da Segurança da informação O objetivo da governança é criar meios eficientes de gerenciamento (alinhamento estratégico) em que o foco estar em garantir que as ações implantadas sejam alinhadas aos interesses dos envolvidos e a busca de maiores resultados, alinhados a estratégia fim da organização. Cria valor e realiza os objetivos esperados, otimizando os riscos e recursos. Atrelada ao negócio fim da organização e continuidade do negócio (Gestão de riscos e de recursos). Visa medir os processos e foca nos objetivos do negócio em que a otimização dos investimentos trará valor junto às metas organizacionais (gestão desempenho e valor final).
63
Governança da Segurança da Informação 6 – Benefícios da Governança da Segurança da Informação Aumenta o relacionamento com o cliente final (fornecedores e parceiros), reduzindo assim o vazamento de informações precisas, redução do custo operacional e melhor análise dos processos inseridos dentro da organização e maior transparência e proteção à imagem da organização. Por fim a governança visa alinhar os objetivos estratégicos da alta administração agregando valor ao negócio proposto pela mesma e focando sempre em futuras solicitações resultantes de seu posicionamento frente aos mercados.
64
Governança da Segurança da Informação 7 – Referências. ABNT.NBR ISO/IEC 27001:2006, 27001:2006, Tecnologia da Informação – Técnicas de segurança – Sistema de gestão de segurança da informação – Requisitos – Rio de Janeiro: Associação Brasileira de Normas técnicas, 2006 34p. ITGI (IT Governance Institute). Cobit Quickstart, 2nd edition, Rolling Meadows, IL, 2007 (2007a).
ISACA. COBIT 5 for Information Security. ISACA, ISACA, 2012. WEILL, Peter.; Ross W. Jeanne. IT Governance: How top performers manage IT decision rights for superiors resutls. Boston, Harvard Business Scholl Press, 2004. ABNT.NBR ISO/IEC 38500:2009: Governança corporativa de tecnologia da informação. Rio de Janeiro, Associação Brasileira de Normas técnicas, 2005. Fernandes, Aguinaldo Aragon – Implantando a governança de TI: estratégia à gestão dos processos e serviços/ Vladimir Ferraz de Abreu – 3º ed. – Rio de Janeiro: Brasport, 2012.
Sobre o autor Hallisson Ricardo S. Ribeiro. Administrador de Empresas, Pós Graduando em Governança em TI. Atua a mais 07 anos com suporte da tecnologia da informação.
65
Governança da Segurança da Informação
66
Governança da Segurança da Informação
CAPÍTULO 7 GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO SEGUNDO A ISO 27014:2013 A����: D������ G���� B������
A norma ABNT NBR ISO/IEC 27014:2013 é a recomendação de conceitos e princípios que orienta a qualquer tipo e tamanho de organização sobre governança de segurança da informação. Dessa maneira elas podem avaliar, dirigir, monitorar e comunicar as atividades relacionadas à segurança da informação dentro da organização. O documento dessa norma tem como aplicação os termos e definições da ISO/IEC 27000:2009 e também se atribui dos termos e definições defini ções abaixo. Gerência Executiva – trata-se de pessoa ou grupo de pessoas que tem recebe a responsabilidade através do Corpo Diretivo para a implementação de estratégias e políticas com o objetivo de obedecer e levar a organização ao propósito da organização. Por se tratar da alta administração, a Gerência Executiva pode compreender na composição dos Diretores Executivos (CEO), Chefes de Organizações Governamentais, Diretores Financeiros (CFO), Diretores de Operações (COO), Diretos de Tecnologia de Informação, Diretores de Segurança da Informação (SICO) e também funções semelhantes. Corpo Diretivo – compreende na pessoa ou grupo de pessoas, que possuem a responsabilidade pelo desempenho e conformidade da organização. A composição do corpo diretivo depende do modelo organizacional de cada empresa, mas em sua grande maioria é onde encontrase os membros da presidência da organização. Governança de Segurança da Informação – é o sistema na organização que controla e dirige as atividades de segurança da informação. Parte interessada – também denominado pelo termo stakeholder , compreende em qualquer pessoa ou organização que de alguma maneira afeta, é afetada ou percebe-se afetada por quaisquer atividades da
67
Governança da Segurança da Informação organização, ou seja, desde os usuários finais que podem ser clientes externos até membros da presidência, sócios e acionistas. De acordo com (Manoel, 2014), a Governança de Segurança da Informação tem o seu posicionamento no modelo de governança corporativa de assessorar a presidência, contribuir com os objetivos estratégicos, atuando na área de gestão da organização.
Figura 1 – Termos e definições
Fonte: o autor
A Governança de Segurança da Informação segundo a norma ISO/IEC 27014:2013 tem por necessidade o alinhamento dos objetivos e estratégias de segurança da informação com os objetivos e estratégias do negócio e requer que essa prática esteja conforme leis, regulamentos e contratos, além de ser conveniente a abordagem de gestão de riscos e controles internos. O Corpo Diretivo é o maior responsável por garantir que a segurança da informação tenha eficiência, eficácia, aceitação e o alinhamento dos objetivos e estratégias de negócios concedendo expectativas as partes interessadas, que essas diferem-se de acordo com seus valores e necessidades. Os objetivos da Governança de Segurança da Informação, de acordo com a norma ISO/IEC 27014:2013, pretendem criar o alinhamento estratégico 68
Governança da Segurança da Informação da segurança da informação à estratégia do negócio, entregar valor para o corpo diretivo e as partes interessadas, garantindo que os riscos das informações são corretamente endereçados. Os resultados desejados adquiridos pela implementação eficaz da governança da segurança da informação na organização, com base na norma ISO/IEC 27014:2013, é dar visão ao corpo diretivo sobre a situação da segurança da informação, subsidiando-o com abordagem ágil para tomada de decisões sobre os riscos a informação, compreendendo os investimentos eficientes e eficazes em segurança da informação e abordando as conformidades com requisitos externos legais, regulamentares e contratuais. Uma organização pode possuir vários modelos de áreas de governança, sendo cada um membro de uma organização que enfatiza a importância do alinhamento com os objetivos do negócio. Para o corpo diretivo, em sua grande maioria, atribui-se vantagens quando se desenvolve a compreensão integral, e não apenas de suas partes separadas, de seu modelo de governança, onde a governança de segurança de informação seja uma parte. Pode ser que os modelos de governanças se sobreponham, a exemplo, veja a relação entre governança de segurança da informação e governança de tecnologia da informação na Figura 2.
Figura 2 – Relação entre governança de segurança da informação e governança de tecnologia da informação i nformação
Fonte: Manoel, 2014 69
Governança da Segurança da Informação
A governança de tecnologia da informação abrange recursos necessários para adquirir, processar, armazenar e disseminar a informação e a governança da segurança da informação abrangem a confidencialidade, integridade, e disponibilidade da informação. Ambos os esquemas de governança precisam ser tratados pela Avaliação, Direção e Monitoração, entretanto a governança da segurança da informação requer o processo interno de comunicação. A norma ISO IEC 27014:2013 compreende em visão geral que princípios são regras que atuam como guia de implementação de governança de segurança da informação já os processos são tarefas que viabilizam e mostra relação entre governança e gestão de segurança da informação. Os princípios da governança da segurança da informação têm como missão importante atender às necessidades das partes interessadas e entregar valor para cada uma. Para entrega do objetivo da governança alinhado ao negócio e valor às partes interessadas, a norma ISO IEC 27014:2103 estabelece seis princípios. Esses princípios são estabelecidos como base sólida para a implementação de processos de governança para a segurança da informação, sendo que cada um faz referência ao que convém que ocorra, não é prescrito o como, quando e nem por quem os princípios seriam implementados, pois isso dependerá da natureza da organização. Independentemente do tipo de organização, o corpo diretivo que exige a aplicação desses princípios e designa quem irá implementá-los que tenha responsabilidade, responsabilização e autoridade. Estabelecer a segurança da informação em toda a organização – a Governança da Segurança da Informação, com base na norma ISO/IEC 27014:2013, garante que as atividades de segurança da informação sejam entendidas e integradas, a segurança é tratada em nível organizacional, com a tomada de decisões alinhada ao negócio, a segurança da informação e tudo que for relevante, atividades física e lógica coordenadas de forma rigorosa. A responsabilidade e responsabilização é estabelecida em cada grande ou pequena parte das atividades da organização, ultrapassando as percepções da organização, como o exemplo de informações transferidas e/ou armazenadas por terceiros. Adotar uma abordagem baseada em riscos – a Governança da Segurança da Informação, segundo norma ISO/IEC 27014:2013, é decidida com base em riscos, define a relação do risco da organização, perda de vantagem competitiva, conformidade e riscos de responsabilidade civil, interrupções operacionais, danos à reputação e perdas financeiras ao quanto de segurança é aceitável. É necessário ter consistência e integração à 70
Governança da Segurança da Informação abordagem global de riscos da organização, or ganização, e os recursos para implementação da gestão de riscos são alocados pelo corpo diretivo. Estabelecer a direção de decisões de investimento – com base em resultados de negócios alcançados e a norma ISO/IEC 27014:2013, a Governança da Segurança da Informação estabelece estratégia de investimento em segurança da informação, harmonizando requisitos de negócio aos requisitos da segurança da informação em curto e em longo l ongo prazo, atendendo necessidades atuais e crescentes das partes interessadas. A otimização dos investimentos em segurança da informação para apoio aos objetivos da organização convém ao corpo diretivo garantir a integração com os atuais processos da organização para gastos com capital e operação, conformidade legal e regulatório, para reporte de riscos. Assegurar conformidade com os requisitos internos e externos – a Governança da Segurança da Informação, sendo referenciada pela norma ISO/IEC 27014:2013, garante que as políticas e práticas de segurança da informação estão enquadradas nas regulamentações pertinentes obrigatórias, requisitos de negócio ou contratuais e quaisquer outros requisitos externos ou internos que houver. O corpo diretivo obtém garantia que as atividades de segurança da informação estejam satisfatoriamente de acordo com os requisitos internos e externos autorizando auditorias de segurança independentes. Promover um ambiente positivo de segurança – a Governança da Segurança da Informação, seguindo a norma ISO/IEC 27014:2013, deve ser construída sobre o comportamento humano, visando as crescentes necessidades de todas as partes interessadas, pois o comportamento humano é elemento fundamental para manter o nível apropriado de segurança da informação, caso contrário os objetivos, papéis, responsabilidades, e recursos podem conflitar uns com os outros, fatalmente tendo falhas para cumprimento dos objetivos como resultado. Sendo assim, a harmonização e a orientação entre as partes interessadas são extremamente importantes. É necessário estabelecer uma cultura positiva de segurança da informação, e cabe ao corpo diretivo que exija, promova, e apoie a coordenação das atividades das partes interessadas para obter direção coerente. Com isso será possível implantar programas de educação, treinamento e conscientização em segurança. Analisar criticamente o desempenho em relação aos resultados de negócios – a Governança da Segurança da Informação, conforme a norma ISO/IEC 27014:2013, garantirá a abordagem estabelecida para proteger a informação adequadamente à sua finalidade para apoio à organização, e também garantirá que o desempenho da segurança seja mantido nos níveis necessários para atender os requisitos de negócios atuais e futuros. O corpo diretivo avalia o desempenho da segurança informação em relação ao impacto 71
Governança da Segurança da Informação no negócio, não somente na eficácia e eficiência dos controles de segurança, realizando análises críticas agendadas medindo desempenho para monitoramento, auditoria e melhoria, e resultando na associação do desempenho da segurança da informação ao desempenho do negócio. Os processos são executados pelo corpo diretivo no tocante de avaliação, direção, monitoração e comunicação, sendo que, além disso, o processo de garantia fornece parecer objetivo em relação a Governança de Segurança da Informação e o nível atingido. Na visão geral a norma não cita a gerência executiva, mas ela é exposta na Figura 3 como participante dos processos e suas ações são citadas em cada processo. Vejamos a Figura 3.
Figura 3 – Implementação do modelo de governança para a segurança da informação
Fonte: Manoel, 2014
O processo de avaliação, de acordo com a norma ISO/IEC 27014:2013, Governança de Segurança da Informação considera o atingimento atual e previsto dos objetivos, com base em processos atuais e mudanças planejadas e com isso determina os ajustes necessários para otimizar. O corpo diretivo visa assegurar que as iniciativas de negócio levem em consideração as questões de segurança da informação e responde aos resultados de 72
Governança da Segurança da Informação desempenho da segurança da informação, prioriza e inicia ações necessárias, comumente a gerência executiva garante que a segurança suporte e sustente os objetivos de negócios de forma devida, submete novos projetos e propostas de segurança da informação com impacto significativo para o corpo diretivo. Manoel, 2014, propõe documentos utilizados como as entradas para o processo de avaliação os indicadores de desempenho do processo, indicadores de meta do processo, e para saídas os relatórios de desempenho da Segurança da Informação, número de objetivos avaliados, número de ações de SI implementadas por objetivos. O processo de direção, conforme a norma ISO/IEC 27014:2013, estabelece os objetivos a serem implantados, altera e aloca recursos, prioriza as atividades de políticas e é nesse processo que ocorre a aceitação de riscos materiais e o plano de gestão de riscos. Cabe ao corpo diretivo determinar o apetite ao risco da organização, aprovar a estratégia e política de segurança da informação e alocar investimentos e recursos adequados, e quanto à gerência executiva, cabe desenvolver e implementar a estratégia e política de segurança da informação, alinhar os objetivos de segurança da informação com os objetivos de negócio além de promover uma cultura positiva de segurança da informação. Manoel (2014) propõe documentos utilizados como as entradas para o processo de direção os relatórios de desempenho da Segurança da Informação, relatório de tratamento de incidentes, e para saídas o plano de investimento em Segurança da Informação, políticas de Segurança da Informação aprovadas, plano de gestão de riscos aprovados, estratégias e objetivos de Segurança da Informação. Em se tratando do processo de monitoração, com base na norma ISO/IEC 27014:2013, o interesse é avaliar o atendimento de objetivos estratégicos, onde o corpo diretivo avalia a eficácia das atividades de gerenciamento de segurança da informação, assegura a conformidade com os requisitos internos e externos, considera alterações do ambiente de negócio, legal e regulatório, e seu potencial impacto sobre o risco de informação, e de outro modo, a gerência executiva seleciona as métricas de desempenho apropriadas a partir de perspectiva de negócio, fornece retorno sobre os resultados do desempenho da segurança da informação para o corpo diretivo, contemplando o desempenho das ações previamente identificas pelo corpo diretivo e os seus impactos sobre a organização, tendo por fim a atribuição de alertar o corpo diretivo sobre novos desenvolvimentos que afetam os riscos de informação e segurança da informação. Manoel (2014) propõe documentos utilizados como as entradas para o processo de monitoração o relatório de desempenho da Gestão de Segurança da Informação e como saídas o percentual de processos críticos monitorados, 73
Governança da Segurança da Informação quantidade de ações de melhoria implantadas por atividades de monitoração, quantidade de metas e indicadores dos objetivos de Segurança da Informação atingidas. No processo de comunicação, segundo a norma ISO/IEC 27014:2013, ocorre à troca de informações com partes interessadas sobre segurança da informação às necessidades específicas e também explica as atividades de segurança da informação para as partes interessadas, sendo assim cabendo ao corpo diretivo ser responsável por efetuar essa comunicação ás partes interessadas externas que a organização pratica um nível de segurança da informação conivente com a natureza do seu negócio, notifica à gerência executiva de questão de segurança da informação dos resultados de avaliações externos e solicita ações corretivas, e também reconhece as obrigações regulatórias, expectativas das partes interessadas e as necessidades de negócio com relação à segurança da informação, por outro lado, a gerência executiva é encarrega de aconselhar o corpo diretivo de quaisquer assuntos que necessite de sua atenção e/ou alguma decisão, além de instruir as partes interessadas sobre as ações detalhadas a serem tomadas para apoiar o corpo diretivo no exercer de suas ações. Manoel (2014) propõe documentos utilizados como as entradas para o processo de garantia os requisitos de Segurança da Informação, relatório de desempenho da Segurança da Informação e para saída o relatório de status de Segurança da Informação detalhado. O processo de garantia, seguindo a norma ISO/IEC 27014:2013, compreende em o corpo diretivo autorizar e/ou encomendar auditorias, análises críticas ou certificações independentes e objetivas, com isso, visa identificar e validar os objetivos e ações relacionadas com a execução das atividades de governança e condução de operações para o atingimento do nível desejado de segurança da informação, sendo tarefa do corpo diretivo a encomenda de parecer independente e objetivo sobre o status do cumprimento com a sua responsabilidade para o nível desejado de segurança da informação, e cabendo a gerência executiva apoiar a auditora, análises críticas ou as certificações supracitadas. Manoel, 2014, propõe documentos utilizados como as entradas para o processo de garantia o relatório de escopo da auditoria de Segurança da Informação e para saídas o relatório de auditoria, relatório de conformidade e não conformidade, recomendações para os processos.
74
Governança da Segurança da Informação
Bibliografia ABNT. NBR ISO/IEC 27014:2013, Tecnologia da Informação — Técnicas de Segurança — Governança de segurança da informação. 2013 MANOEL, Sergio da Silva. Governança de Segurança da Informação: Como criar oportunidades para o seu negócio – Rio de Janeiro: Brasport, 2014
Sobre o autor DOUGLAS GOMES BATISTA Graduado em Gestão de Tecnologia da Informação pelo UNISEB - Ribeirão Preto/SP, Pós-Graduando em Governança de TI pelo UNICEUB – Brasília/DF, atualmente é Analista de Infraestrutura de TI na SCYTL Soluções de Segurança e Voto Eletrônico, Coordenador de Informática da Associação dos Servidores do Banco Central de Brasília (ASBAC Brasília) e Consultor Independente em Soluções de Infraestrutura de TI, com experiência de 10 anos na área de tecnologia da informação.
75
Governança da Segurança da Informação
76
Governança da Segurança da Informação
CAPÍTULO 8 GESTÃO DA SEGURANÇA DA INFORMAÇÃO SEGUNDO O COBIT 5 A������: E���� V������ �� S���� M����� �� O������� P����
8.1.
Introdução
Os conceitos e princípios de segurança da informação, bem como a governança e gestão da segurança da informação, foram assuntos mencionados nos capítulos 1 e 6. Assim sendo, este capítulo tem como propósito descrever a gestão da segurança da informação i nformação sob a abordagem do COBIT5®, publicado pelo ISACA® em 2012. O COBIT 5, também chamado de Framework, possui um conjunto de guias ou publicações para profissionais, entre eles o COBIT 5 for Information Security (figura 1). Esta publicação fornece orientações e práticas detalhadas, tanto para os profissionais de segurança da informação, bem como demais partes interessadas nas organizações. O COBIT 5 também reúne, em seu conjunto de publicações, os conhecimentos anteriores dispersos por diferentes frameworks da ISACA e outros modelos, tais como COBIT, BMIS, Risco de TI e Val IT - relacionados à Segurança da Informação – outros baseados nas normas como a série 27000 ISO/IEC, a 1SF - norma de Boas Práticas de Segurança da Informação e US Instituto Nacional de Padrões e Tecnologia (NIST) SP800-53A.
77
Governança da Segurança da Informação Figura-1: Família de produtos COBIT 5
Fonte: ISACA, 2012
Amplamente difundido nos ambientes de negócios das organizações, framework COBIT 5, segundo Souza Neto (2012), foi projetado para atender as necessidades dos dirigentes de negócio e está alinhado com os atuais pensamentos em Gestão e Governança Corporativa de TI. A incorporação do conceito de Governança Corporativa de TI possibilita que a TI seja governada e gerida de uma forma holística nas organizações, considerando os negócios de ponta a ponta, bem como mantém os interesses das partes interessadas (stakeholders), internas e externas, relacionados com a TI. Este assunto será abordado mais adiante, neste capítulo, nos princípios do COBIT 5 relacionados à Segurança da Informação. 8.2.
Princípios de Governança do COBIT 5 relacionados à Segurança da Informação
O framework COBIT COBIT 5 define cinco princípios básicos para governança e gestão da TI (figura 2): • • • • •
Atender às Necessidades das Partes Interessadas Cobrir a Organização de Ponta a Ponta Aplicar um Modelo Único Integrado Permitir uma Abordagem Holística Distinguir a Governança da Gestão
Estes princípios permitem que as organizações construam um modelo eficiente de governança e gestão de TI, otimizando os investimentos em TI e gerando benefícios para as partes interessadas. Por sua vez, o guia do COBIT 5 for Information Security também referencia os mesmos princípios, bem como a relevância de cada para a segurança da informação.
78
Governança da Segurança da Informação Figura – 2: Princípios do COBIT 5
Fonte: ISACA, 2012.
1º Princípio: Atender às Necessidades das Partes Interessadas No guia para segurança da informação este princípio possui a seguinte definição: “As organizações existem para criar valor para as partes interessadas – incluindo partes interessadas da segurança da informação – mantendo o equilíbrio entre a realização de benefícios e a otimização de risco e o uso dos recursos.” (ISACA, 2012. Tradução do autor).
Uma abordagem distinta deste princípio faz Souza Neto (2012, p. 8) ao dizer que no atendimento as partes interessadas: “O objetivo agora é atender a todas as partes interessadas, ampliando o foco para além das áreas de negócio.”
Como ferramenta de auxilio na adequação das necessidades das partes interessadas e dos diferentes e conflitantes objetivos, o framework COBIT 5 usa a Cascata de Objetivos (figura 3), na qual essas necessidades são traduzidas em objetivos corporativos – específicos e praticáveis –, em seguida, desdobrados em objetivos de TI e estes, consequentemente, desdobrados em metas de Habilitadores, de forma adequada ao ambiente da organização. Os Habilitadores compõem o último nível da cascata e serão abordados com mais detalhes em Habilitadores, neste tópico.
79
Governança da Segurança da Informação Figura – 3: Cascata de Objetivos do COBIT 5
Fonte: ISACA, 2012.
Exemplificando a utilidade da Cascata de Objetivos em 4 passos, segundo framework COBIT COBIT 5: Passo 1 – refere-se aos Direcionadores das partes interessadas que influenciam as necessidades das Partes Interessadas. Tais influências advêm do contexto externo - por exemplo mercado, setor, marcos regulatórios, tecnologias - e do contexto interno da organização – por exemplo cultura, organização, inclinação ao risco, etc. Passo 2 – refere-se ao desdobramento das necessidades das partes interessadas em objetivos corporativos. Geralmente, essas necessidades estão relacionadas a um grupo de objetivos corporativos genéricos, definidos pelo COBIT 5 em dezessete no total e estruturados de acordo com as dimensões do Balanced Scorecard (BSC). (BSC). Passo 3 – refere-se ao desdobramento dos objetivos corporativos em objetivos de TI, também estruturados de acordo com as dimensões do Balanced Scorecard de TI (IT (IT BSC). Passo 4 – refere-se ao desdobramento dos objetivos de TI em metas do Habilitador. O bom desempenho dos Habilitadores permitem atingir os objetivos de TI. 80
Governança da Segurança da Informação A Segurança da Informação também compõe o conjunto de necessidade das partes interessadas (direcionadores). Aplicando-se a cascata neste caso, chega-se aos objetivos de segurança de informação corporativos e estes são desmembrados também em objetivos de TI que serão desmembrados em metas para os diferentes habilitadores. 2º Princípio: Cobrir a Organização de Ponta a Ponta Neste princípio, o guia para segurança da informação registra a integração da governança de TI à governança corporativa por: Cobre todas as funções e processos corporativos; O COBIT 5 não se concentra somente na ‘função de TI’, mas considera a tecnologia da informação e tecnologias relacionadas como ativos que devem ser tratados como qualquer outro ativo por todos na organização. Considera todos os habilitadores de governança e gestão de TI aplicáveis à organização de ponta a ponta, ou seja, incluindo tudo e todos - interna e externamente - que forem considerados relevantes para a governança e a gestão das informações e de TI da organização. (ISACA , 2012. Tradução do autor).
A aplicação deste princípio atende a todas as partes interessadas, funções e processos da organização que são relevantes para a segurança da informação.
3º Princípio: Aplicar um Modelo Único Integrado Neste princípio, o guia do COBIT 5 para Segurança da Informação, reúne, especificamente, conhecimentos de outros frameworks e e orientações de importantes normas técnicas relacionadas à Segurança da Informação, já mencionados na introdução do capítulo. Como um framework único e integrado, o COBIT 5 torna-se uma referência consistente de orientação com uma linguagem não técnica no diagnóstico comum do ambiente organizacional, permitindo o seu uso na governança e na gestão corporativa da TI. A figura 4 ilustra o mencionado modelo único e integrado.
81
Governança da Segurança da Informação Figura – 4: Modelo Único e Integrado do COBIT 5
Fonte: ISACA, 2012.
4º Princípio: Permitir uma Abordagem Abordagem Holística O guia do COBIT 5 para Segurança da Informação descreve a abordagem holística deste princípio, como: “Governança e gestão eficiente e eficaz de TI da organização requer uma abordagem holística, levando em conta seus diversos componentes interligados. O COBIT 5 define um conjunto de habilitadores para apoiar a implementação de um sistema abrangente de governança e gestão de TI e informação da organização.” (ISACA , 2012. Tradução do autor).
82
Governança da Segurança da Informação Souza Neto (2012, p. 8) acrescenta outros temas e conceitos que também são considerados numa abordagem holística da organização neste princípio, referenciado a seguir: “A preocupação não é mais exclusivamente com processos, como nas versões anteriores. Agora, temas como comportamento, cultura, ética, competências, princípios, informação, entre outros, também são levados em consideração. Além disso, conceitos do COSO, TOGAF, PMBoK, ITIL, Sarbanes-Oxley, entre outros, também foram incorporados.”
Neste princípio, o framework do COBIT 5 ressalta e define sete categorias de Habilitadores como sendo os vetores para maximização dos investimentos em tecnologia da informação e promovendo promovendo benefícios para as partes interessadas. Esses habilitadores estão descritos mais adiante neste capítulo, em Habilitadores . 5º Princípio: Distinguir a Governança da Gestão Em referência ao guia do COBIT 5 para Segurança da Informação, este aborda uma clara distinção entre governança e gestão. Essas duas funções abrangem diferentes tipos de atividades, envolvem diferentes estruturas organizacionais para atender os objetivos estratégicos, além de atender a propósitos distintos. A referida distinção entre governança e gestão é definida da seguinte forma: Governança: “A governança garante que as necessidades, condições e opções das partes interessadas sejam avaliadas a fim de determinar objetivos corporativos acordados e equilibrados; definindo a direção através de priorizações e tomadas de decisão; e monitorando o desempenho e a conformidade com a direção e os objetivos estabelecidos.” (ISACA , 2012. Tradução do autor).
Gestão: “A gestão é responsável pelo planejamento, desenvolvimento, desenvolvimento, execução e monitoramento das atividades em consonância com a direção definida pelo órgão de governança a fim de atingir os objetivos corporativos.” (ISACA, 2012. Tradução do autor).
O referido guia também ressalta que, na maioria das empresas, a governança é da responsabilidade do conselho de administração, sob a liderança do presidente e a gestão executiva está sob a liderança do diretorpresidente (CEO). Esses distintos papéis, governança da segurança da informação e gestão da segurança da informação, aparecem explicitamente no 83
Governança da Segurança da Informação modelo de referência do COBIT 5 (figura 5) que inclui processos de governança e processos de gestão, ou seja, cada conjunto com as suas próprias responsabilidades. r esponsabilidades.
Figura – 5: Modelo de Referência de Processo do COBIT 5
Fonte: ISACA, 2012
Habilitadores
Conforme mencionado no 4º Princípio – Permitir uma Abordagem Holística, a segurança da informação está relacionada com todos os sete habilitadores, ilustrados na figura 6.
84
Governança da Segurança da Informação Figura – 6: Habilitadores Habilitadores corporativos do COBIT 5
Fonte: ISACA, 2012
Uma das definições apresentada no guia para Segurança da Informação, descreve os habilitadores como: “Habilitadores são fatores que, individual e coletivamente, influenciam se a governança e gestão vai funcionar em toda TI da organização com relação à governança de segurança da informação. Habilitadores são movidos por objetivos da cascata, ou seja, as metas de alto nível, relacionados a TI e definir o que os diferentes habilitadores devem alcançar.” (ISACA. COBIT 5 for Information Security, 2012. Tradução do autor).
Os sete Habilitadores são: Habilitador 1: Princípios, políticas e frameworks - são veículos para a tradução do comportamento desejado em orientações práticas para a gestão diária; inclui informações de segurança, princípios, políticas e frameworks . Habilitador 2: Processos Processos - descrevem um conjunto organizado de práticas para alcançar determinados resultados para atingir os objetivos de TI; inclui detalhes e atividades específicas de segurança da informação. Habilitador 3: Estruturas organizacionais organizacionais - são as principais entidades de tomada de decisão de uma organização; inclui estruturas organizacionais específicas de segurança da informação. i nformação.
85
Governança da Segurança da Informação Habilitador 4: Cultura, ética e comportamento comportamento – está relacionado a pessoas e organizações que muitas das vezes são subestimados como um fator de sucesso nas atividades de governança e gestão; considera também os fatores que determinam o sucesso de governança e gestão da segurança da informação. Habilitador 5: Informações Informações - permeia qualquer organização e inclui todas as informações produzidas e utilizadas pela organização. A Informação é necessária para manter a organização em funcionamento e bem governada. No nível operacional, a informação por si só é muitas vezes o principal produto da organização; inclui informações específicas da segurança da informação. Habilitador 6: Serviços, infraestrutura e aplicativos aplicativos – incluem a infraestrutura, a tecnologia e os aplicativos que fornecem à organização o processamento e os serviços de TI necessários; inclui também serviços específicos para suportar a segurança da informação nas organizações. Habilitador-7: Pessoas, habilidades e competências competências – estão associadas às pessoas e são necessárias para a conclusão bem sucedida de todas as atividades, bem como para a tomada de decisões corretas e medidas corretivas. Reforçando a importância desses habilitadores, é possível afirmar que podem ser aplicados em situações práticas nas empresas, bem como serem usados para implementar a governança e a gestão da segurança da informação, conforme o modelo genérico do COBIT 5 (figura 7). Esse modelo demonstra a estrutura do conjunto de Dimensões comum a todos os habilitadores, de forma simples, efetiva e eficiente, para atingir os resultados desejados, inclusive na implementação da segurança da informação. As Dimensões dos habilitadores são: Partes interessadas Objetivos/metas Ciclo de Vida Boas Práticas
• • • •
O COBIT 5 descreve detalhadamente essa dimensões, mas resumidamente são caracterizadas por: Partes interessadas interessadas – todo habilitador possui partes interessadas Internas e externas à organização. Objetivos/metas – Objetivos/metas – diversas metas para cada habilitador que criam valor ao atingi-las; podem ser divididas em Qualidade intrínseca, Qualidade 86
Governança da Segurança da Informação contextual e Acesso e segurança (habilitadores disponíveis quando, e se, necessário; os resultados são seguros, ou seja, o acesso é restrito a quem de direito e que precisar dele). Ciclo de vida – do habilitador inclui a criação, vida útil operacional e descarte; fases do ciclo de vida: planejar, Projetar, desenvolver/adquirir/criar/implementar, usar/operar, Avaliar/monitorar e Atualizar/descartar. Boas Práticas Práticas – apoiam as metas dos habilitadores; fornece exemplo de como implementar o habilitador; entre outros. Figura – 7: Habilitadores do COBIT 5: Genéricos
Fonte: ISACA, 2012
Conforme ilustrado na figura 7, além das quatro dimensões de habilitadores, o COBIT 5 orienta como controlar o desempenho dos habilitadores de forma específica – considera perguntas e respostas prédefinidas, bem como os indicadores de resultados e indicadores de progresso. Em relação aos indicadores, o de resultados serve para aferir se as metas dos habilitadores foram alcançadas. O indicador de performance refere-se ao efetivo funcionamento dos habilitadores. 8.3.
Iniciativas de implantação de segurança da informação
O guia COBIT 5 para Segurança da Informação, considera que as organizações necessitam definir seus próprios habilitadores para implantação da segurança da informação, bem como os fatores internos e/ou externos no ambiente no qual está inserida, tais como: 87
Governança da Segurança da Informação Ética e cultura para segurança da informação Leis, regulamentos e políticas Regulamentações contratuais aplicáveis Políticas e práticas existentes O nível de maturidade dos dos facilitadores de segurança segurança da informação atual Capacidades de segurança da informação e os recursos disponíveis Práticas da indústria Padrões e estruturas obrigatórias sobre segurança da informação
• • • • •
•
• •
Deve considerar também a definição dos requisitos de segurança da informação da organização, tendo como base o plano de negócios, o seu modelo de gestão, o perfil de risco da informação e o seu apetite ao risco. Além disso, os frameworks de melhores práticas e padrões são úteis apenas se forem adotados e adaptados de forma assertiva porque existem desafios que precisam ser superados e problemas que precisam ser resolvidos para que a gestão estratégica de TI seja implantada com êxito, além de fornecer orientações de como fazer. Para as iniciativas de implementação da segurança da informação, o guia COBIT 5 para Segurança da Informação ilustra um modelo próprio, denominado os três componentes inter-relacionados do ciclo de vida da implementação, cujo objetivo é de tratar a complexidade e os desafios encontrados nessas iniciativas, considerando também os ambientes disponíveis e adequados nas organizações. O mencionado modelo, possui sete fases de implementação e estão agrupadas em três estágios: Gestão do programa (anel externo), Capacitação da mudança (anel intermediário) e Ciclo de vida de melhora continua (anel interno), conforme figura 8.
88
Governança da Segurança da Informação Figura – 8: As sete fases do ciclo de vida da implementação
Fonte: ISACA, 2012
As sete ciclo de vida da implementação, são: Fase 1 – Quais são os Direcionadores? Fase 2 – Onde estamos agora? Fase 3 – Onde queremos estar? Fase 4 – O que precisa ser feito? Fase 5 – Como chegaremos lá? Fase 6 – Chegamos lá? Fase 7 – Como manter o impulso? Apesar de não estarem detalhadas, é possível obter todas as informações no framework do do COBIT 5. É importante mencionar que todas as fases possuem relevância na implementação das iniciativas, sejam relativas à segurança da informação ou não. Entretanto, na implantação da segurança da informação, observa-se que as fases 1, 2, e 3 abordam escopos específicos e orientações relacionados aos habilitadores já abordados neste capitulo, em Habilitadores. 89
Governança da Segurança da Informação A tabela 1 a seguir exemplifica o relacionamento dos escopos e orientações com os habilitadores, conforme mencionado no parágrafo anterior. Tabela – 1: Relacionamento das Fases do Ciclo de Vida de Implantação com os Habilitadores e Escopos dos Habilitadores
Fases do ciclo de vida de implantação
Habilitador
Escopo do habilitador relacionado
Fase 1 – Ambiente de segurança da informação
Habilitador-1
Práticas operacionais apresentadas: Avaliação da segurança da informação, incluindo resultados de auditoria e relatórios de risco.
Fase 2 – Escopo da segurança da informação
Todos
Devem ser avaliados e verificados; O escopo desta fase pode considerar as metas dos processos de TI relacionado à segurança da informação; Considerar os cenários de risco.
Fase 3 - Usando a Habilitador-3 orientação de segurança da informação
Iniciativas de alto impacto e baixo esforço (ganhos); Identificação de Gaps e e potencias soluções; Mudanças são necessárias para o rápido sucesso; Demonstrar o valor gerado para as organizações.
Fonte: Adaptado de Souza Neto, 2012.
8.4.
Gestão da segurança da informação
O COBIT 5 sustenta que as organizações implementem os processos de governança e gestão de forma que as principais áreas de governança e gestão 90
Governança da Segurança da Informação sejam cobertas. Essas áreas compreendem planejar, construir, executar e monitorar (PBRM Plan, Build, Run and Monitor) para cobrir a TI fim-a-fim. No 5º Princípio do COBIT 5 - Distinguir a Governança da Gestão – pelas respectivas definições, fica evidenciado a diferença entre governança e gestão. A figura 9 ilustra essa diferença e identifica os quatro domínios específicos para Gestão no contexto da organização, são eles: • •
•
•
Alinhar, Planejar e Organizar (Align, Plan and Organise – (APO) Construir, Adquirir e Implementar (Build, Acquire and Implement – (BAI) Entregar, Serviços e Suporte (Deliver, Service and Support (DSS) Monitorar, Avaliar e Analisar (Monitor, Evaluate and Assess Assess – (MEA) Figura – 9: Principais áreas de governança do COBIT 5
Fonte: ISACA, 2012
Ressalta-se que, a partir das necessidades do negócio, os processos de governança (Monitorar, Avaliar e Analisar - domínio MEA) alimentam os processos de gestão e, após executar PBRM, retroalimentam e fornecem feedbacks à à governança, criando valor para as partes interessadas. Assim como o framework COBIT 5, o guia COBIT 5 para Segurança da Informação também definem três processos específicos para Gestão da Segurança da Informação: • • •
APO13 - Gerenciar a segurança da informação DSS04 – Gerenciar Continuidade DSS05 - Gerenciar serviços de segurança da informação 91
Governança da Segurança da Informação
Baseado no trabalho de Souza Neto (2012, p. 19 e 20), a título de ilustração dos mencionados processos - APO13, DSS04 e DSS05 -, a tabela 2 consolida os objetivos de cada um, conforme definidos pelo citado autor. Tabela 2 – Processos APO13, DSS04 e DSS05 seus objetivos
Processo Objetivos do Processo APO13
i. Um sistema está em vigor que considera e aborda eficazmente os requisitos de segurança da informação corporativos. ii. Um plano de segurança foi estabelecido, aceito e comunicado a toda a organização. iii. Soluções de segurança da informação são implementadas e operadas consistentemente consistentemente em toda a organização.” organização.”
DSS04
i. Informações críticas de negócios estão disponíveis para o negócio alinhadas com os níveis de serviço mínimos exigidos. ii. Existe resiliência suficiente para serviços críticos. iii. Testes de continuidade de serviços têm verificado a eficácia do plano. iv. Um plano de continuidade atualizado reflete os requisitos de negócios correntes. v. Partes internas e externas foram treinadas no plano de continuidade.
DSS05
i. Segurança de Redes e comunicações comunicações atendendo às necessidades de negócio. ii. Informações processadas, armazenadas e transmitidas por dispositivos periféricos são protegidas. iii. Todos os usuários são unicamente identificáveis e têm direitos de acesso de acordo com o seu papel de negócio. iv. Medidas físicas foram implementadas para proteger as informações de acesso não autorizado, dano e interferência quando estiverem sendo processadas, armazenadas ou transmitidas. v. Informação I nformação eletrônica está adequadamente protegida quando estiver sendo armazenada, transmitida ou destruída.
Fonte: Adaptado de Souza Neto, 2012.
Finalizando toda a abordagem deste tópico e referindo-se a Cascata de Objetivos, apresentada no primeiro princípio do COBIT 5, a título de exemplo, a tabela 3 permite demonstrar como os principais processos de segurança da 92
Governança da Segurança da Informação informação (APO13, DSS04 e DSS05) se relacionam com os objetivos da TI de forma primária, representando o quarto passo da cascata para implantar ou aprimorar a gestão de TI nas organizações. Tabela – 3: Relacionamento Relacionamento dos processos de Gestão G estão da Segurança da Informação com os objetivos de TI
Fonte: Adaptado de ISACA,2012.
93
Governança da Segurança da Informação Referências Bibliográficas ISACA. COBIT 5 for Information Security. ISACA, ISACA, 2012. Souza Neto, J. Gestão e Governança de Segurança da Informação no Ambiente de TI. Material do curso de especialização em gestão da segurança da informação e comunicação – CEGSIC. UNB. 2012.
Sobre os autores Edson Vicente de Souza Formado em Tecnólogo em Processamento de Dados, com MBA em Gerenciamento de Projetos pela UCB, cursando atualmente MBA em Governança em T.I pelo UNICEUB, atuando profissionalmente desde 2006 como Gestor de T.I. Marcos de Oliveira Pinho Cursando Pós-Graduação em Governança da Tecnologia da Informação e Graduado em Tecnologia de Análise e Desenvolvimento de Sistemas da Informação, ambos cursos pelo Centro Universitário de Brasília – UniCEUB. Certificado em ITIL Foundation. Filiado ao PMI internacional e ao capítulo PMI-DF e membro Pesquisador do ISACA Student Group (http://isg.uniceub.br). Experiência de 16 anos em Gestão de Múltiplos Projetos de TI. Atualmente exercendo atividades de Especialista em Projetos no setor bancário público brasileiro.
94
Governança da Segurança da Informação
CAPÍTULO 9 O PLANEJAMENTO ESTRATÉGICO DA SEGURANÇA DA INFORMAÇÃO – PESI A����: A������ J������� �� C����
Por mais que a palavra “planejar” pareça ser prescindível das questões repetitivas e rotineiras da vida, como acordar, tomar banho (não planejamos, por exemplo, em qual ordem lavar as partes do corpo), tomar café da manhã e dirigir-se ao trabalho ou à escola, em alguns casos, percebemos que planejar é necessário. Já diante de outras situações, planejar é indispensável. Numa viagem ao exterior, como ilustração, procuramos obter informações sobre o clima no outro país, a cotação da sua moeda, onde se hospedar, o que visitar e se há ou não exigências de visto, seguro ou vacinas para entrarmos nele. Por meio dessas informações - e de acordo com o período no qual vamos viajar - decidimos que tipos de roupa levar na mala (para frio ou calor) e elaboramos os nossos roteiros (os pontos turísticos e seus horários de funcionamento). Da mesma maneira que as informações são importantes para os nossos planejamentos pessoais, no mundo corporativo a atenção dada às informações alcança níveis de importância bem acima da esfera pessoal. Como diz Sêmola (2003, p.1), não se pode negar que todas as empresas, independentemente de seu segmento e porte, se valem de informações na busca por produtividade, redução de custos, agilidade e embasamento para suas ações estratégicas. Ou seja, a informação é um dos principais patrimônios de uma organização. Portanto, se a informação apresenta todo esse valor, faz-se necessário que as empresas que reconhecem essa importância tenham um cuidado, uma preocupação especial com as suas informações. E, para aquelas que estão atentas a isso, em tese, possuir um planejamento estratégico (principalmente da segurança das suas informações) não seria obrigatório, mas com certeza é muito importante. “Pode-se proteger a informação sem um planejamento estratégico? Sim, é possível. Porém, esta proteção será momentânea e não haverá uma garantia de que ao longo do tempo esta proteção continue.” (FONTES, 2013)
95
Governança da Segurança da Informação De acordo, então, com essas considerações, vê-se que um planejamento estratégico ajuda as empresas, das pequenas às multinacionais, a lidarem com suas particularidades e complexidades: sua organização (presidências, diretorias, a parte financeira, a comercial, a tecnológica); a quantidade de funcionários; a abrangência da sua atuação (local, interestadual, internacional); o tipo de trabalho (manufatura ou indústria); o ramo de atividade (tecnologia, alimentação, vestuário) e a própria essência do negócio (comércio de produtos ou serviços). Outra particularidade que as empresas apresentam entre si (e que um planejamento ajuda a cuidar) é o estágio no qual elas se encontram: umas estão sendo criadas, outras estão em desenvolvimento e algumas orbitam na manutenção das suas atividades. E nesse oceano de características, que as empresas possuem, é seguro que haja mares de informações, das quais parte delas, certamente, está sujeita a alguma vulnerabilidade. Relembrando, entende-se por vulnerabilidades as falhas, os riscos e fragilidades com as quais as empresas estão constantemente lidando, seja na sua origem, desenvolvimento ou preservação. Tais perigos advêm, nas etapas do ciclo de vida da informação, dos incontáveis ambientes (natural, econômico, social) nos quais as organizações estão inseridas e dos diversos agentes com os quais elas se relacionam (funcionários, investidores, clientes). A título de exemplo, sabe-se que as informações contidas em bancos de dados, documentos, relatórios, estudos, pesquisas, testes e etc. podem ser afetadas por fenômenos naturais (falta de energia, incêndios, inundações, terremotos); por guerras; pelo próprio desgaste natural dos equipamentos (pela capacidade de processamento ou a tecnologia se tornarem ultrapassadas) e demais. E, considerando, o aspecto humano, ainda há os ataques cibernéticos, greves, furtos, roubos, omissões e descuidos na utilização da informação (alterações indevidas ou até a perda), entre tantos outros. Para um sistema de controle de objetos (cartas, telegramas, etc.) e seus dados (remetente, destino e conteúdo), numa empresa de correios, por exemplo, a pergunta “Como é armazenada a informação?” provavelmente terá como resposta que é em servidores de bancos de dados. Essa resposta, talvez, seja a mesma que um banco daria se perguntado sobre o controle das informações das suas transferências financeiras. Contudo, cada uma dessas atividades, devido as suas características, possui formas distintas de assegurar a sua informação e, salvo algumas particularidades, é provável que a solução de segurança adotada para uma não servirá para a outra. Portanto, a priorização de ações, para lidar com os problemas que podem afetar a segurança das suas informações, permite às empresas ir de encontro com as boas práticas necessárias para lidar com essa questão. Mais precisamente, elas chegam à importância de definir, de forma geral, as regras 96
Governança da Segurança da Informação que incidirão “sobre todos os momentos do ciclo de vida da informação: manuseio, armazenamento, transporte e descarte, viabilizando a identificação i dentificação e o controle de ameaças e vulnerabilidades.” (SÊMOLA, 2003, p.43) Esse conjunto de regras, conforme visto nos capítulos anteriores, constantemente estará apoiado nos princípios básicos: a Confidencialidade, a Integridade, a Disponibilidade, a Autenticidade e a Legalidade das informações. E foi esmiuçando cada um desses principais conceitos, até aqui, que pudemos fazer ideia da sua complexidade, dos seus desdobramentos e da necessidade de um plano que os contemple.
9.1 – O Plano Estratégico de Segurança da Informação Independente da maneira como a empresa conduz a segurança das suas informações é conveniente ter definido e organizado qual é o direcionamento; o ponto aonde ela aspira chegar; como ela pretende se posicionar (ou posicionar seus produtos ou serviços) no mercado; qual abrangência ela quer dar ao seu negócio (nacional ou global) e em quais valores (ética, confiança, eficiência, etc.) ela deseja pautar as relações com seus funcionários, seus clientes e o meio ambiente. Geralmente, a resposta dessas perguntas é chamada de “visão” da empresa, o objetivo que ela visa alcançar. E, para concretizar essa vontade, ela precisa ter estabelecido um projeto, um plano de ações. Dessa forma, quando se olha para as empresas que se dispõem a delinear, no nível estratégico, a maneira como elas pretendem lidar com as suas informações e a definir quais ações necessárias para garantir a segurança dessas, nos deparamos com o Plano Estratégico de Segurança da Informação. Esse plano, basicamente, visa identificar qual é a situação atual da empresa, como ela lida com a informação hoje e, a partir desse diagnóstico, concentrar-se aonde ela quer chegar no quesito segurança e o que é preciso fazer para realizar isso. Sérgio Manoel (2014, p.69) define: “O Plano Estratégico de Segurança da Informação (PESI) é um processo utilizado para desenvolver e elaborar atividades, a fim de saber o que deve ser executado e de qual maneira deve ser executado, para comunicar e implantar a estratégia escolhida pela organização. Além disso, deve responder a três perguntas básicas: onde estamos? Para onde vamos? Como chegaremos lá? Esse plano é (...) um dos principais fatores para o sucesso de SI em uma organização.” 97
Governança da Segurança da Informação No momento de esboçar esse plano, as organizações podem fazê-lo de forma resumida, pois detalhes (como mudanças de governos, de legislação, de fornecedores, etc.) se alteram com o passar do tempo e as ameaças à informação, resultantes desses agentes, podem (em grau, por exemplo) aumentar, manterem-se nos mesmos níveis ou até deixarem de existir. Todavia, o plano precisa ser flexível e pressupor a possibilidade da mudança, já que essa palavra é intrínseca aos variados aspectos e ambientes nos quais a empresa está inserida, pois constantemente, novas situações surgem e novos fatos ocorrerem. 9.2 - O processo de elaboração do Plano Estratégico de Segurança da Informação Mesmo sendo composto, em suma, só de direcionamentos e orientações, é importante que o plano de segurança se ocupe de certos pontos e atenda certas fases. Segundo Sérgio Manoel (2014, p.85) “a primeira atividade para a elaboração do PESI é a entrevista com a alta direção e a pesquisa sobre os objetivos estratégicos da organização”. Esse ponto inicial, certamente, dará as primeiras orientações à base do plano de segurança, pois ele estará baseado naquilo que desejam as pessoas que administram e conduzem o negócio. A participação dos dirigentes também ajuda na tomada de decisões, as quais promovem o reconhecimento da segurança da informação como um dos elementos que contribuem para o alcance dos objetivos estratégicos da organização. Essas decisões auxiliam a difundir a cultura da segurança na empresa, pois ela precisa ser adotada nos diversos setores e obter a adesão de todos os funcionários. Adiante, ao lembrar que segurança relaciona-se com “estabelecer limites” - desde o simples acompanhamento de tarefas (como os registros em folhas de ponto), até à restrição do acesso de pessoas a dados, documentos, ao maquinário ou aos departamentos da empresa - também se vê que o plano de segurança precisa estar focado no negócio e que esse aspecto não deve ser atravancado pelas limitações que proporcionam segurança e trazem a estabilidade pretendida. Portanto, os objetivos estratégicos da empresa e os objetivos de segurança da informação devem fomentar-se, um ao outro, constantemente.
98
Governança da Segurança da Informação
Figura 1. Alinhamento Estratégico de SI com os Objetivos Estratégicos da Organização.
Fonte: MANOEL (2014,p.90)
Ainda no processo de elaboração, como mais um andamento proposto por Sérgio Manoel (2014, p.85), tem-se “a conformidade com leis e regulamentos os quais a organização é obrigada a cumprir”. Concisamente, isso equivale a buscar a adequação com as legislações gerais e específicas que regulamentam e se relacionam com o negócio, como acordos e contratos feitos com agentes externos, tais como: governos, outras organizações e investidores.
9.2.1 - Diagnóstico de Gestão da Segurança da Informação O próximo passo é o mapeamento das áreas e dos processos, para realizar um diagnóstico de como está a situação da segurança da informação na empresa. Esse diagnóstico, segundo Manoel (2014, p.65) “permite à organização analisar com eficiência o estado atual do ambiente como um todo, determinando o grau de proteção das informações, e, além disso, verificar as principais ameaças e vulnerabilidades às quais os ativos de informação estão expostos.” Mas considerando as possibilidades de tipo de negócio e o estágio onde a empresa se encontra, como definir qual informação é importante ou não para uma empresa? Bem, como estamos falando de segurança da informação nas 99
Governança da Segurança da Informação corporações e se a informação está presente em todos os setores, é razoável dizer que esse diagnóstico precisa ser empregado como um todo. Todavia pode ocorrer que, num primeiro momento, a empresa não tenha condição de realizar um diagnóstico de maneira completa ou não saiba por onde começar. Como lembra Fontes (2013), todas as organizações “têm muitas vulnerabilidades e se somarmos o tempo para resolução de cada uma delas, chegaremos na eternidade.” Com isso conclui-se, com um elevado grau de acerto, que a empresa pode partir de uma análise das informações mais relacionadas aos seus objetivos estratégicos ou daquelas que fazem parte da essência do seu negócio. E como é feito esse diagnóstico? Manoel (2014, p.65-66) recomenda sustentar-se em um modelo de avaliação concordante com as diretrizes do COBIT 5, visto no capítulo passado, e numa análise completa baseada nas seções da norma ISO 27002. Ou seja, identificar qual a dimensão de planejamento e gerenciamento, de cada processo na empresa, para aquele modelo e como está a segurança da informação em cada item (setor ou processo) dessa norma. Essas seções são: “Seção
A5 Política de Segurança da Informação Seção A6 Organizando a Segurança da Informação Seção A7 Segurança em Recursos Humanos Seção A8 Gestão de Ativos Seção A9 Controle de Acessos Seção A10 Criptografia Seção A11 Segurança Física e do Ambiente Seção A12 Segurança de Operações Seção A13 Segurança das Comunicações Seção A14 Aquisição, Desenvolvimento Desenvolvimento e Manutenção de Sistemas de Informação Seção A15 Relacionamento Relacionamento com Fornecedores Seção A16 Gestão de Incidentes de Segurança da Informação Seção A17 Aspectos da Segurança da Informação para a Gestão de Continuidade de Negócios Seção A18 Conformidade”
9.2.2 - Gestão de Riscos de Segurança da Informação Após o diagnóstico de como é feita a gestão da segurança parte-se para um nível mais específico de levantamento, que consiste em identificar os riscos aos quais estão sujeitos um ou alguns elementos em particular da organização; quais são as ações de segurança que ela adota para tratar esse(s) risco(s) e se essas ações são ou não satisfatórias. Em essência, essa investigação procura definir o objeto, analisar e avaliar seu risco. 100
Governança da Segurança da Informação Na definição desse objeto, que será pesquisado, é possível tomar em análise toda organização, um setor dela, um processo ou somente uma determinada informação. E, a partir dessa definição, estabelecer os critérios para avaliá-lo e qual o nível de risco aceito para ele. Já na fase de análise e avaliação são identificados esses riscos e quais são os seus níveis, baseando-se nos princípios da segurança da informação para verificar se há riscos de confidencialidade, integridade e disponibilidade para cada item analisado. Feita essa sondagem, de acordo com Manoel (2014, p.72-73) parte-se para o tratamento dos riscos encontrados, “considerando as opções de reduzir, evitar, transferir ou aceitar o risco, observando: - eficácia dos controles de Segurança da Informação já existentes; - restrições organizacionais, técnicas e estruturais de cada organização; - requisitos legais; e - análise de custo-benefício.” Consolidando as etapas de elaboração do PESI, Manoel (2014, p.86) propõe a realização de um levantamento, de cenários ou ambientes denominado, SWOT, analisando as Forças (S - Strength), as Fraquezas (W Weakness), as Oportunidades (O - Opportunities) e as Ameaças (T - Threat). Ao dividir essa análise em ambientes interno e externo, o SWOT pontua que o exame das forças e fraquezas estão relacionados, geralmente, com os aspectos internos da empresa, enquanto as oportunidades e ameaças apontam para os elementos externos. Conforme a Figura 2 pode-se ver um exemplo dos pontos analisados em uma empresa conforme a matriz SWOT. Terminado esse estudo, a organização delimita as ações necessárias para reduzir ou eliminar as suas fraquezas e potencializar as suas qualidades.
101
Governança da Segurança da Informação
Figura 2. Exemplo de Análise SWOT para uma Empresa.
Fonte: MANOEL (2014, p.86, adaptado)
Assim, desses feitos, obtemos o Plano Estratégico de Segurança da Informação, que como já foi dito, é de grande importância para propiciar às organizações um melhor desempenho em alcançar os seus objetivos estratégicos. Além da importância em garantir a segurança das informações nas empresas, cabe lembrar que o planejamento é um processo contínuo. Como lembra Sêmola (2001, p.12), investir em segurança é “a fronteira entre continuar crescendo ou estar fadado à regressão e possivelmente à descontinuidade.”
9.3 - Períodos de Planejamento Por fim, para facilitar o acompanhamento e a evolução do plano de segurança Manoel (2014, p.104-105) propõe separá-lo em períodos diferentes, com diferentes atividades em cada um. Cada uma dessas fases relaciona-se naturalmente com os estágios que a empresa percorre durante a implantação do PESI (Figura 3).
102
-
Inicialmente, a empresa define, implanta e divulga o seu plano de segurança e inicia as primeiras ações de identificação e redução dos riscos;
-
Depois, ao ter tratado suas principais ameaças e fraquezas (e já com certa vivência da administração da segurança das suas informações), a empresa deve buscar a conformidade com as leis e regulamentos relacionados a sua atividade, como também,
Governança da Segurança da Informação instituir essa regulamentação (na forma de documentos e normas) dentro do seu ambiente; -
Já num último momento, quando estiverem satisfatoriamente estruturadas as suas ações de segurança da informação, a empresa se concentrará em ajustar seus processos para propor os planos de continuidade do negócio.
Figura 3. Evolução do Plano Estratégico de Segurança da Informação.
Fonte: MANOEL (2014,p.105, adaptado)
Satisfeita a etapa de criação e acompanhamento do plano estratégico, a empresa terá um terreno preparado para desenvolver a sua Política de Segurança da Informação. Essa política trará a especificação detalhada “através de Diretrizes, Normas, Procedimentos e Instruções que irão oficializar o posicionamento da empresa ao redor do tema e, ainda, apontar as melhores práticas para o manuseio, armazenamento, transporte e descarte de informações (...).” (SÊMOLA, 2003, p.34). O detalhamento dessas ações de segurança será o refinamento, a especificação detalhada daqueles aspectos macros tratados aqui, no Plano Estratégico de Segurança da Informação. 103
Governança da Segurança da Informação Referências Bibliográficas FONTES, Edison. IT Fórum 365 . Planejamento Estratégico da Segurança da Informação. Ago. 2013. Disponível em: http://itforum365.com.br/blogs/post/173/planejamento-estrategico-daseguranca-da-informacao. Acesso em: 02/10/2015. MANOEL, Sérgio da Silva. Governança de Segurança da Informação : como criar oportunidades para o seu negócio. Rio de Janeiro: Editora Brasport, 2014. MANOEL, Sérgio da Silva. PESI – Plano Estratégico de Segurança da Informação. Disponível em: http://pt.slideshare.net/ModuloSecurity/planoestratgico-de-segurana-da-informao. Acesso em: 05/10/2015. SÊMOLA, Marcos. Analisando Vários Tópicos da Política de Segurança Developers Magazine , ano V, número 54, p.10-13, Fevereiro 2001. SÊMOLA, Marcos. Gestão da segurança da informação : visão executiva da segurança da informação aplicada ao Security Officer. 2ª edição. Rio de Janeiro: Editora Campus, 2003.
Sobre o autor Antonio Jonathas da Costa Jr. Assessor, na área de Informação, no Banco do Brasil. Graduado em Comunicação Social pela Universidade Católica de Brasília, Pós-Graduado em Comércio Exterior e Pós-Graduando em Governança de TI pelo UniCEUB.
104
Governança da Segurança da Informação
CAPÍTULO 10 PLANO DIRETOR DE SEGURANÇA SEGURAN ÇA DA INFORMAÇÃO A����: F����� V���������� �� S����
1. Introdução Segundo Sêmola (2001), o Plano Diretor de Segurança da Informação (PDSI) é mais que um orçamento, pois o plano deve suportar as novas necessidades de segurança que emergem devido à velocidade das mudanças nos fatores físicos, tecnológicos e humanos. Ainda de acordo com Sêmola (2001), a modelagem inicial do PDSI está relacionada com ações de obtenção de informações negociais, de forma a identificar ameaças, vulnerabilidades, riscos e impactos potenciais para o negócio. O PDSI deve especificar as ações e atividades a serem feitas durante sua vigência, contribuindo para a minimização dos riscos e para o alcance do nível de segurança projetado pelo negócio e levando em conta o modelo de gestão corporativa da segurança da informação. Em analogia com a medicina, Sêmola (2001) argumenta que não há um modelo de PDSI que atenda a todo tipo de empresa, mesmo que sejam do mesmo porte ou do mesmo segmento de mercado. Do mesmo modo que um paciente recebe uma receita única e personalizada para a enfermidade, fatores como: ameaças, riscos, sensibilidade e vulnerabilidades físicas, humanas e tecnológicas tornam o problema único. A modelagem do Plano Diretor de Segurança da Informação será dividida em 6 etapas, consolidando as visões de Manoel (2014) e Sêmola (2003): mapeamento das áreas e dos processos de negócio, mapeamento da relevância, estudo de impactos CIDAL, estudo de prioridades GUT, estudo de perímetros e estudo de atividades. Convém destacar que Sêmola (2003) chama a primeira etapa de “identificação dos processos de negócio” e começa a análise diretamente nos processos de negócio. Por outro lado, Manoel (2014), coloca os mapeamentos de relevância, impacto e prioridade como subtópicos da etapa de mapeamento dos processos do negócio.
105
Governança da Segurança da Informação 2. Mapeamento das áreas e dos processos de negócio Manoel (2014), utiliza o termo “área” para se referir a um setor ou departamento da organização, como, por exemplo, a área de recursos humanos. Conforme Manoel (2014), após a identificação das áreas, mapeia-se também o responsável por ela (cargo e nome) e a importância dela para o objetivo estratégico da organização. A avaliação da importância deve ser feita de forma independente e por quem conhece todos os processos de negócio, pois, se o responsável de cada área for entrevistado, ele dirá que a área sob responsabilidade dele é a mais relevante para a organização. Quadro 1 – Relevância da área da organização Relevância da área
Auxílio de interpretação A interrupção das operações da área causa impactos irrelevantes para a organização.
1
Muito baixa
2
Baixa
A interrupção das operações da área causa impactos apenas consideráveis para a organização.
3
Média
A interrupção das operações da área causa impactos parcialmente significativos para a organização.
4
Alta
A interrupção das operações da área causa impactos muito significativos para a organização.
Muito alta
A interrupção das operações da área causa impactos incalculáveis, podendo comprometer a continuidade da organização.
5
Fonte: adaptado de Manoel (2014).
Convém destacar que Sêmola (2003) chama esta etapa de “identificação “identifi cação dos processos de negócio” e começa a análise diretamente por esses processos. Com o envolvimento dos principais gestores com representatividade na empresa, elencam-se os processos de negócio críticos que farão parte das atividades que comporão a solução. Parte-se da premissa de que as ações de segurança devem focar o negócio e as informações i nformações que o sustentam. A identificação dos processos críticos pode se dar com base nos resultados financeiros e estratégicos resultantes. Com isso, é importante o 106
Governança da Segurança da Informação envolvimento dos gestores que possam compartilhar informações sobre esses processos, indo além dos aspectos operacionais. Esse mapeamento inicial, segundo Sêmola (2003), dos processos de negócio busca representar perímetros com funções e características explicitamente específicas, justificando assim ações personalizadas. Com isso, espera-se que os processos negociais críticos para a empresa sejam mapeados, que sejam identificados os gestores-chave desses processos, que comece a integração e o comprometimento dos gestores-chave envolvidos e que inicie-se a compreensão quanto ao funcionamento do negócio. Figura 1 – Mapa de relacionamento entre processos de negócio e infraestrutura
Fonte: adaptado de Sêmola (2003).
3. Mapeamento da Relevância
Nesta fase, após o conhecimento de como o negócio funciona, é feito o mapeamento da relevância dos processos críticos, de forma a evitar distorções ao priorizar as atividades que farão parte da solução. Segundo Sêmola (2003), para que o mapeamento seja adequado, devese envolver um ou mais gestores que conheçam o funcionamento global do negócio sem envolvimento direto nem exclusivo com um ou mais processos 107
Governança da Segurança da Informação específicos ou que sejam imparciais no momento da ponderação da importância, pois esta servirá como referência das ações nas etapas seguintes. Ainda de acordo com Sêmola (2003) e Manoel (2014), uma forma de mensurar a relevância do processo é usando uma escala de 1 a 5, em que, quanto mais próximo do 5, maior é a relevância. Quadro 2 – Escala de relevância do processo da área da organização Relevância do processo
Auxílio de interpretação A interrupção do processo causa impactos irrelevantes para a organização.
1
Muito baixa
2
Baixa
A interrupção do processo causa impactos apenas consideráveis para a organização.
Média
A interrupção do processo causa impactos parcialmente significativos para a organização.
3 4
5
Alta
Muito alta
A interrupção do processo causa impactos muito significativos para a organização. A interrupção do processo causa impactos incalculáveis, podendo comprometer a continuidade da organização.
Fonte: adaptado de Manoel (2014) Como resultado desta etapa, esperam-se que os processos de negócio críticos tenham a relevância mapeada, que os gestores com visão global do negócio sejam envolvidos e que tenha-se a percepção dos fatores importantes considerados por esses gestores. 4. Estudo de Impactos CIDAL CID AL De acordo com Sêmola (2003), esta etapa aponta a sensibilidade de cada processo crítico numa possível quebra de segurança, especificamente dos conceitos de integridade, confidencialidade e disponibilidade e dos aspectos de autenticidade e legalidade.
108
Governança da Segurança da Informação São feitas entrevistas isoladas com o gestor de cada processo e são aplicados os mesmos critérios de classificação definidos no mapeamento da relevância, mas, desta vez, sem levar em conta o negócio como um todo. O entendimento de como o processo reagiria na possibilidade de quebra dos três conceitos e dois aspectos de segurança da informação é um detalhamento importante que ajuda a modelar e dimensionar o PDSI. Quadro 3 – Escalas para classificação de sensibilidade dos processos do negócio Conceitos Classificação de impacto
1
Muito baixo
2
Baixo
3
Médio
4
Alto
5
Muito alto
Confidencialidade
Integridade
Aspectos
Disponibilidade
Autenticidade
Legalidade
Fonte: adaptado de Sêmola (2003) e Manoel (2014).
Como resultados desta etapa, esperam-se que cada processo do negócio tenha a sensibilidade CIDAL classificada, que os gestores com visão isolada de processos específicos sejam envolvidos e que tenha-se a percepção dos fatores importantes considerados por esses gestores.
5. Estudo de prioridades GUT Segundo Sêmola (2003), nesta etapa, ainda reunidos individualmente com o principal gestor de cada processo considerado crítico, estudam-se e pontuam-se as prioridades desses processos usando a matriz GUT: gravidade, urgência e tendência. A definição da prioridade final considera a multiplicação dos valores obtidos em cada dimensão do GUT. Na dimensão gravidade, é considerada a severidade dos impactos associados direta e exclusivamente ao processo de negócio analisado. Nessa dimensão, o questionamento é quão severo seria para o processo de negócio se qualquer um dos conceitos (confidencialidade, integridade e disponibilidade) e aspectos (autenticidade e legalidade) fosse atingido e causasse a quebra da segurança da informação. Como exemplo de Sêmola (2003), como o processo 109
Governança da Segurança da Informação de aprovação de crédito de uma instituição financeira seria afetado se a base de dados dos clientes estivesse corrompida (integridade afetada)? Na dimensão urgência, é considerado o tempo de duração dos impactos associados direta e exclusivamente ao processo de negócio analisado. Nessa dimensão, questiona-se quão urgente seria para solucionar os efeitos da quebra de segurança da informação, independente do conceito ou aspecto afetado, e para diminuir os riscos do processo de negócio em análise. Citando o exemplo de Sêmola (2003), como o processo de aprovação de crédito de uma instituição financeira seria afetado se a base de dados dos clientes ficasse corrompida por 2 dias seguidos? Já a dimensão tendência considera a variação da importância dos impactos associados direta e exclusivamente ao processo de negócio analisado. Nessa dimensão, questiona-se a tendência dos riscos de segurança se nenhuma atividade preventiva ou corretiva for feita, tendo em consideração os planos de curto, médio e longo prazos vinculados à evolução do processo de negócio em análise. Citando o exemplo de Sêmola (2003), como o processo de aprovação de crédito de uma instituição financeira seria afetado se a base de dados dos clientes fosse corrompida a curto, médio e longo prazos? Nesse estudo de prioridade, cada dimensão é pontuada de 1 a 5, em que, quanto mais próxima do 5, maior a priorização. As expressões usadas na escala devem ser lidas com cuidado, pois não devem ser lidas isoladamente, mas devem ser uma forma de medir a importância de cada processo do negócio. Quadro 4 – Escala para classificação de prioridade dos processos do negócio Gravidade Urgência Tendência 1
Sem gravidade
1
Sem pressa
1
Não vai agravar
2
Baixa gravidade
2
Tolerante à espera
2
Vai agravar a longo prazo
3
Média gravidade
3
O mais cedo possível
3
Vai agravar a médio prazo
4
Com alguma urgência
4
Vai agravar a curto prazo
5
Vai agravar imediatamente
4
Alta gravidade
5
Altíssima gravidade
5
Fonte: adaptado de Sêmola (2003).
110
Imediatamente
Governança da Segurança da Informação Como resultados desta etapa, espera-se que cada processo de negócio tenha a prioridade mapeada e que as características desses processos sejam percebidas considerando as dimensões da matriz GUT. 6. Estudo de perímetros
Segundo Sêmola (2003), nesta etapa, considerando o perfil técnico de atividades que formarão a solução corporativa de segurança da informação, são identificados os alvos de infraestrutura relacionados direta e indiretamente com cada processo de negócio tratado individualmente. Também são estudados os ativos responsáveis por sustentar cada um dos processos de negócio. Figura 2 – Representação hipotética da divisão da empresa em processos de negócio e os agrupamentos baseados na similaridade dos ativos físicos, tecnológicos e humanos que os sustentam direta ou indiretamente
Fonte: adaptado de Sêmola (2003).
Com o mapeamento de processos realizado, têm-se os pontos de dor, sua localização e os possíveis impactos caso sejam afetados. Considerando os conceitos (confidencialidade, integridade e disponibilidade) e aspectos (autenticidade e legalidade) da segurança da informação, conforme Sêmola (2003), “os ativos possuem vulnerabilidades que deverão ser eliminadas, minimizadas e administradas pelas ações dos controles de segurança”. Ainda conforme Sêmola (2003), ao contrário das atividades anteriores, nesta etapa os principais gestores das áreas técnica e tática são entrevistados e esses levantam números e informações topológicas, físicas e tecnológicas 111
Governança da Segurança da Informação associadas direta e indiretamente com os processos de negócio. Pode-se, por exemplo, solicitar planta baixa do ambiente físico, mapas topológicos e inventário de equipamento, sistema ou aplicação nas diversas plataformas. Como esta etapa busca identificar os ativos que sustentam o funcionamento do negócio, o que for importante para a operação do ativo deve ser relacionado, inclusive com identificação do funcionamento, como relação de intercâmbio de informações e fluxo de dados. 7. Estudo de atividades Conforme Sêmola (2003), nesta etapa, começa-se a elaboração do PDSI, informando as atividades e projetos necessários e o momento temporal desses, considerando-se a prioridade conseguida baseada na percepção de relevância dos processos negociais. Manoel (2014) sugere uma fórmula para calcular a criticidade de um processo e, consequentemente, indicar aqueles que exigirão mais atenção quanto à Segurança da Informação. Quadro 5 – Cálculo da criticidade de um processo Classificação do impacto = Confidencialidade X Integridade X Disponibilidade/3 Classificação de prioridade = Gravidade X Urgência X Tendência/3 Criticidade = Criticidade = Classificação do impacto X Classificação de prioridade X relevância do processo Fonte: Manoel (2014).
Quadro 6 – Nível de criticidade de um processo Nível
Pontuação da criticidade
Baixo
0 a 2801
Médio
2802 a 5602
Alto
5603 a 8405
Fonte: adaptado de Manoel (2014).
Convém destacar que, para facilitar o entendimento do estudo de impacto, Manoel (2014) desconsidera, no cálculo da criticidade, os aspectos de autenticidade e legalidade sugeridos por Sêmola (2003). Assim, a
112
Governança da Segurança da Informação desconsideração desses (autenticidade e legalidade) pode mudar o nível de criticidade associado a um processo de negócio. De acordo com Sêmola (2003), nesta etapa também são planejadas as ações coordenadas que acontecerão nos ambientes e perímetros isolados, levando em conta as diretrizes de segurança da companhia. Além disso, ocorrem reuniões para interpretação das informações obtidas e comparação destas com os planos de negócio, com os recursos disponíveis e com patamar de segurança atual versus o recomendado para dada atividade. Segundo Sêmola (2003), em paralelo ao levantamento de informações e diagnóstico, recomenda-se iniciar a formação do Comitê Corporativo de Segurança. Ele deve ter as responsabilidades de planejamento, monitoração e execução definidas. Também deve ser posicionado no organograma da companhia e ser oficializado. Esse comitê é composto de representantes das várias áreas estratégicas, contemplando especialidades e visões diferentes; e será responsável por organizar, concentrar e planejar as ações de segurança, podendo redirecionar os planos conforme as mudanças físicas, humanas ou tecnológicas venham a ocorrer. Resumindo, segundo Sêmola (2003), o Comitê Corporativo de Segurança é uma “espinha dorsal” e “deve ser consistente, dinâmico e flexível para representar oficialmente os interesses da empresa perante os desafios do negócio”. De acordo com Sêmola (2003), o Security Officer é “mediador, orientador, questionador, analisador de ameaças, riscos, impactos e do consequente estudo de viabilidade dos próximos passos”. Conforme Fontes (2008), entre os papeis e responsabilidades do Security Officer, estão o fornecimento de meios (políticas, regras, conscientização) para que a segurança da informação de fato ocorra na organização; buscar soluções considerando o porte, o negócio e o momento atual da organização e trabalhar de modo coerente, paralelo e complementar à auditoria. Já o Comitê Interdepartamental de Segurança tem abrangência menor e tem como papeis mensurar os resultados em ambientes específicos, relatar necessidades novas e situações que possam comprometer a informação e seguir as diretrizes no Comitê Corporativo de Segurança. 8. Um caso real Uma questão com a qual a indústria sempre se depara é se os hackers são bons ou ruins para a indústria de jogos. No caso da Sony, ela enfrentou problemas quando um programador, George Hotz, conseguiu obter acesso pleno ao PlayStation 3 e compartilhou sua descoberta.
113
Governança da Segurança da Informação Se por um lado pioneiros nos jogos de computador veem valor no hacker ético, por outro fabricantes de consoles, que dependem da venda de hardware proprietário, costumam tratar hackers como uma ameaça. No caso da Sony, por meio do OtherOS do PS3, Hotz conseguiu acessar o sistema de memória e processador do PS3. A fabricante havia anunciado o OtherOS como funcionalidade na primeira versão do PS3 em 2006. Essa funcionalidade permitia que o dono do PS3 pudesse jogar, assistir filmes, ver fotos, ouvir música e executar um sistema operacional Linux, transformando o PS3 em um computador doméstico. Mas após a divulgação de Hotz, a Sony entendeu que a segurança do sistema havia sido comprometida e temia que usuários executassem jogos ilegais. Alegando preocupações com a segurança, a Sony liberou uma atualização de firmware que desabilitava o OtherOS e processou Hotz. Mas a ação da Sony fez com que o grupo Anonymous “adotasse” a causa. Citando violação dos direitos de privacidade, o Anonymous desencadeou um ataque de negação de serviço contra os websites da Sony e organizou boicotes e protestos mundiais contra a companhia em março de 2011. Mas a guerra estava longe do fim. Em 19 de abril de 2011, técnicos da Sony descobriram um problema no PlayStation Network, um sistema de jogos online contendo dados pessoais das contas de 77 milhões de consumidores. A equipe constatou que 4 dos 30 servidores de rede estavam se reiniciando sem explicação e sujeitos a uma atividade não planejada e incomum. Após desligar esses servidores e descobrir outros 6 possivelmente comprometidos, a Sony desligou toda a PlayStation Network. Após a análise de peritos, a Sony confirmou que intrusos conseguiram acesso não autorizado, inclusive apagando arquivos de log para encobrir os rastros. Embora a Sony não tenha sido capaz de determinar se informação de cartão de crédito havia sido roubada, a brecha, tornada pública em 26 de abril de 2011, causou certo temor em consumidores e políticos, que mais tarde pediram ao Congresso dos EUA uma investigação. As coisas ainda haviam de piorar. Uma equipe técnica da Sony avaliou a infraestrutura de rede dos servidores para o SOE (Sony Online Entertainment) e descobriram uma brecha que pode ter potencialmente exposto dados das contas de cerca de 25 milhões de consumidores, incluindo nome, endereço e senha. Em resposta aos questionamentos do Congresso dos EUA, a Sony alegou que os ataques foram uma represália pela imposição dos direitos de propriedade intelectual.
114
Governança da Segurança da Informação Em resposta aos ataques, a Sony anunciou planos para fortalecer as medidas de segurança, como monitoração automatizada via software, aumento da proteção de dados, firewalls, a mudança do sistema para um novo datacenter e a nomeação de um novo chefe para o escritório de segurança da informação. A questão sobre o que os consumidores deveriam fazer com os produtos que ele adquire, sobre quem controla o console do videogame permanece e vai além da indústria de jogos. Seria como se um fabricante de computador dissesse que não se pode executar um programa a menos que seja autorizado. O caso ressalta a importância de um PDSI, especialmente em saber que processos de negócio seriam afetados afetados - e em em que intensidade intensidade - no caso de quebra de confidencialidade ou disponibilidade em um servidor.
115
Governança da Segurança da Informação Referências FONTES, E. Praticando a Segurança da Informação. Rio de Janeiro: Brasport, 2008. KUSHNER, D. How Sony’s Antipiracy Approach Made It a Hacker Target. Disponível em http://spectrum.ieee.org/consumer-electronics/gaming/howsonys-antipiracy-approach-made-it-a-hacker-target,, acesso em 27 de setembro sonys-antipiracy-approach-made-it-a-hacker-target de 2015. MANOEL, S. S. Governança de Segurança da Informação – Como criar oportunidades para o seu negócio. Rio de Janeiro: Brasport, 2014. SÊMOLA, M. Gestão da Segurança da Informação – Uma visão executiva. Rio de Janeiro: Elsevier, 2003. 12ª tiragem. SÊMOLA, M. Plano diretor de segurança: fator crítico de sucesso. Coluna Firewall – IDGNow, 2001. Disponível em http://www.semola.com.br/disco/Coluna_IDGNow_30.pdf,, acesso em 27 de http://www.semola.com.br/disco/Coluna_IDGNow_30.pdf setembro de 2015.
Sobre o autor Felipe Vasconcelos de Souza Bacharel em Ciência da Computação, tem certificação ITIL v3 Foundation, trabalhou na área de tecnologia da Caixa Econômica Federal, no processo de Gerenciamento de Mudanças, e atualmente está na área de tecnologia do Banco do Brasil.
116
Governança da Segurança da Informação
CAPÍTULO 11 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO A������: A���� A���� A������ V���� R������ M������
1 Introdução 1.1 O que é POSIC? Segundo ISO/IEC 27002 (2013 apud FERRER, 2014, p.19), o objetivo primordial de uma PSIC é prover orientação da Direção e apoio para a segurança da informação de acordo com os requisitos do negócio e com as leis lei s e regulamentações relevantes. Conforme Castro (2012 apud FERRER, 2014, p.20), a Política de Segurança da Informação é basicamente um manual de procedimentos que descreve como os recursos de que manipulam as informações da empresa devem ser protegidos e utilizados, e é o pilar da eficácia da Segurança da Informação, estabelecendo investimentos em recursos humanos e tecnológicos. 1.2 Para que serve? De acordo com Nakamura e Geus (2003 apud FERRER, 2014, p.20), “A elaboração da Política de Segurança deve considerar os processos, os negócios, toda e qualquer legislação que os envolva, os aspectos humanos, culturais e tecnológicos da organização. Ela servirá de base para a criação de normas e procedimentos que especificaram as ações no nível micro do ambiente organizacional, além de ser facilitadora e simplificadora do gerenciamento dos demais recursos da organização.”
1.3 Resultados da implantação bem sucedida Conforme TCU (2007) “O sucesso da POSIC está diretamente relacionado com o envolvimento e a atuação da alta administração. Quanto 117
Governança da Segurança da Informação maior for o comprometimento da gerência superior com os processos de elaboração e implantação da POSIC, maior a probabilidade de ela ser efetiva e eficaz. Esse comprometimento deve ser expresso formalmente, por escrito.”
Logo, uma política de segurança da informação implantada com sucesso torna a empresa assegurada do mal uso de seus dados e faz com que os seus colaboradores mais propícios a terem um melhor rendimento no trabalho.
Seu sucesso está diretamente relacionado ao envolvimento da alta administração e gerências superiores na elaboração e implantação na organização. 1.4 Consequências da não implantação Em Santo (2010) vamos encontrar que Os riscos associados à falta de segurança é o que pode ser perdido, por exemplo, com um bug em seu banco de dados, os hackers podem se beneficiar destas falhas e conseguir se infiltrarem no sistema da organização. Dentro do sistema da empresa eles tem acesso a todos a dados relacionados à empresa, bem como dados de seus clientes. Por esse fato para adotar uma política de segurança da informação deve-se levar em conta isso. Além de fatores naturais como incêndios, inundações, terremotos.
Sobre os benefícios esperados, Santo(2010) explica: Os benefícios esperados são evitar vazamentos, fraudes, espionagem comercial, uso indevido, sabotagens e diversos outros problemas que possam prejudicar a empresa. A segurança visa também aumentar a produtividade dos funcionários através de um ambiente mais organizado e viabilizar aplicações críticas das empresas. Os custos de implantação dos mecanismos variam de acordo com o que a organização pretende implementar.
1.5 Diretriz, norma e procedimento. De acordo com IMA (2015), Diretriz está no nível estratégico e é definida como: Documento elaborado pelo comitê de segurança da informação com base no planejamento estratégico corporativo e informacional descrito pela alta administração da empresa. A partir dela é que 118
Governança da Segurança da Informação são elaboradas e definidas as normas e procedimentos de segurança da informação.
Norma para IMA (2015) está no nível tático e é definida como: Especificação da forma e controle em que será feita a segurança da informação na organização de uma forma tática. Cada norma está associada a uma diretriz e aquela origina diversos procedimentos.
Já o Procedimento, IMA (2015) classifica como operacional e é definido como: A descrição de um padrão operacional que deve ser executado para atingir uma finalidade em um instrumento de manuseio de baixa complexidade. Cada procedimento é documentado originado a partir de uma norma.
Figura 01 – Níveis da Segurança da Informação
Fonte: adptado de http://www.tic.rs.gov.br/upload/GD_20140214144749seguranca.jpg
119
Governança da Segurança da Informação
2 Política de Segurança da Informação Segundo o site AnalistaTI 5, para implementar uma política de segurança da informação é necessário seguir os seguintes passos: 2.1 Planejamento e avaliação do perfil da empresa Analisar o que deve ser protegido, pr otegido, tanto interno como externamente. 2.2 Aprovação da política de segurança pela diretoria. Garantir que a diretoria apoie a implantação da política. 2.3 Análise interna e externa externa dos dos recursos recursos a serem serem protegidos. Estudar o que deve ser protegido, verificando o atual programa de segurança da empresa, se houver, enumerando as deficiências e fatores de risco. 2.4 Elaboração das normas e proibições, proibições, tanto física, lógica e humana. humana. Nesta etapa devemos criar as normas relativas à utilização de programas, utilização da internet, uso de smartphones e tablets, acessos físicos e lógicos, bloqueios de sites, utilização do e-mail, utilização dos recursos tecnológicos, etc. 2.5 Aprovação pelo Recursos Humanos As normas e procedimentos devem ser lidas e aprovadas pelo departamento de Recursos Humanos, no que tange a leis trabalhistas e manual interno dos funcionários da organização. 2.6 Aplicação e Treinamento da Equipe Elaborar um treinamento prático com recursos didáticos, para apresentar a política de segurança da informação, recolhendo declaração de comprometimento dos funcionários. A política deve ficar sempre disponível para todos os colaboradores da organização. 2.7 Avaliação Periódica A política de segurança da informação deve ser sempre revista, nunca pode ficar ultrapassada. 2.8 Feedback A organização deverá designar um colaborador específico para ficar monitorando a política, a fim de buscar informações ou incoerências, que Política de Segurança da Informação – Como fazer?, fazer?, disponível em: Acesso em: 05 de outubro de 2015 5
120
Governança da Segurança da Informação venham a alterar o sistema, tais como vulnerabilidades, mudanças em processos gerenciais ou infraestrutura. 2.9 Atenção à novas tecnologias O setor de TIC deve estar sempre atendo à novas tecnologias e demandas externas, para poder analisar e atualizar constantemente a POSIC da empresa, um exemplo é a utilização indiscriminada de dispositivos móveis (smartphones e tablets) dentro da empresa, também conhecida como Consumerização de TI e o uso de Aplicativos móveis de Mensagens de Texto e Voz, tudo deve estar bem definido, com regras claras na Política de Segurança da Informação.
3 Ciclo de Vida de Política de Segurança da Informação A imagem abaixo apresenta o ciclo de vida da POSIC: Figura 02 – Ciclo de Vida da Política de Segurança da Informação
Fonte 6
6
F����: �������� �� ����://�����.�������������.���/ ����://�����.�������������.���/������������������������������ ����������������������������������������� ����������� ����������������������������� ���������������������������������������������15 ����������������150316065441 0316065441����������������01 ����������������01/95/������������ /95/������������ �������������������������������������������� ����������������������� ������������������������������������������ �������������������������������������������� ��������������������������������� ���������� ����������������16�638.���?��=1426489145
121
Governança da Segurança da Informação 1. Estabelecida: A POSIC é estabelecida pelo CISM (veja capitulo 3). Em seguida, ela é discutida com a diretoria para que a sua aprovação seja obtida. 2. Implementada: Posteriormente, ela deverá ser implementada e o responsável é o CISP (veja capitulo 3). Sendo assim, baseado nas definições apresentadas pelo CISM, o CISP deverá implantar. 3. Monitorada: Ao atingir o monitoramento o CISA irá auditar e verificar se os procedimentos estão sendo seguidos conforme recomendado e implementado. 4. Analisada Criticamente: No próximo passo, a política será analisada criticamente por todos os responsáveis (CISM, CISP, CISA e diretoria). 5. Melhorada: Caso seja identificada alguma melhoria, entra-se na próxima etapa que é realizar a melhoria. Com isso, todos os responsáveis citados anteriormente irão realizar todos os procedimentos do ciclo novamente.
122
Governança da Segurança da Informação
4 Referências SIMÕES, José Carlos Ferrer. ANÁLISE DA MATURIDADE DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DOS ÓRGÃOS DA ADMINISTRAÇÃO PÚBLICA FEDERAL DIRETA. DIRETA. 2014. Disponível em: repositorio.uniceub.br edição , TCU, (2007). Boas Práticas de Segurança da Informação 2ª edição, disponível em Acesso em: 06 de outubro de 2015. SANTO, Adrielle Fernanda Silva do Espírito. SEGURANÇA DA INFORMAÇÃO, INFORMAÇÃO, disponível em: Acesso em: 06 de outubro de 2015. Segurança, IMA. Informática de Municípios Associados S/A. S/A. Política de Segurança, disponível em: a-informacao> Acesso em: 05 de outubro de 2015.
Sobre os autores André Alves Antunes Formado em Análise e Desenvolvimento de Sistemas e pós-graduando em Governança de TI pelo UniCEUB, exfuncionário público e, atualmente, concurseiro. Vitor Rebello Moreira. Formado em Ciência da Computação. Atualmente trabalha com serviços de TI e está a 5 anos no mercado de Tecnologia da Informação
123
Governança da Segurança da Informação
124
Governança da Segurança da Informação
CAPÍTULO 12 PLANO DE CONTINUIDADE DE NEGÓCIOS A����: L������ L��� R������
Introdução As operações das organizações sempre foram e serão vulneráveis a uma vasta gama de riscos e impactos que podem ser ocasionados tanto por desastres (inundações, terremotos, furacões, atentados terroristas, etc) como por pequenos incidentes (quedas de energia, falhas de sistema, vírus de computador, etc). Estes eventos podem acarretar a interrupção parcial ou total das atividades da organização. Segundo o Departamento de Segurança da Informação e Comunicações ligados a Presidência da República (DSIC Norma Complementar 04): Riscos de Segurança da Informação e Comunicações – potencial associado à exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais ativos, por parte de uma ou mais ameaças, com impacto negativo no negócio da organização.
Falhas são inevitáveis, mas o impacto das falhas, o colapso do sistema, a interrupção no fornecimento do serviço e a perda de dados, podem ser evitados pelo uso adequado de técnicas viáveis, normatizadas e disponíveis no mercado. Conforme Wheatman (2001): Muitas organizações que sofrem uma interrupção de suas atividades devido a um desastre nunca se recuperam e 40% das empresas que passaram por essa situação encerraram as atividades num prazo de até 5 anos. Por outro lado, apesar de todos esses indicadores, ainda há organizações que não dão a devida atenção ao assunto, o que pode ser temerário.
Torna-se imprescindível conhecer os problemas potencialmente provocados por falhas no sistema, soluções existentes para evitar falhas ou recuperar o sistema após um evento, assim como o custo associado a essas soluções, nas grandes organizações que prestam serviço por meio eletrônico. Para desenvolvedores de software, projetistas de hardware e administradores de rede, o domínio das técnicas voltadas à disponibilidade 125
Governança da Segurança da Informação torna-se essencial na seleção de tecnologias, na especificação de sistemas e na incorporação de novas funcionalidades aos seus projetos. Todavia, as técnicas de tolerância a falhas têm um alto custo associado. Pode ser a simples necessidade de backup dos dados, que consome espaço de armazenamento e tempo para realizar a cópia, redundância de equipamentos e espelhamento de discos, que consome recursos de hardware sem contribuir para o aumento do desempenho, ou a terceirização da prestação dos serviços. O domínio da área de disponibilidade auxilia administradores e desenvolvedores de sistemas a avaliar a equação custo benefício para o seu caso específico e determinar qual a melhor técnica para seu orçamento. Para a manutenção da disponibilidade dos sistemas, é necessário que se elabore um plano de ação, denominado Plano de Continuidade de Negócios (PCN) que é um termo relativamente novo, resultante da junção de três outros planos. Falando de forma genérica, o PCN é uma metodologia elaborada para garantir a recuperação de um ambiente de produção, independentemente de ocorrências que suspendam suas operações e dos danos nos componentes (softwares, hardware, infraestrutura, etc) por ele utilizados. Continuidade de negócios Continuidade de Negócio é um processo essencialmente proativo, cujo planejamento visa assegurar que uma organização sobreviva a um desastre ou acontecimento imprevisto que promova destruição ou faça estrago em algum de seus ativos críticos, colocando em risco quaisquer de suas funções importantes ao negócio. Portanto, a Continuidade do Negócio visa a manutenção da operacionalidade da organização em um nível aceitável, previamente definido, em resposta a qualquer interrupção provocada por imprevistos. Para a Administração Pública Federal 7 Continuidade de Negócios é o: Processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio, caso estas ameaças se concretizem. Este processo fornece uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder efetivamente e salvaguardar os interesses das partes interessadas, a reputação e a marca da organização, e suas atividades de valor agregado.
Governo Eletrônico. Conceitos e definições. Disponível em http://www.governoeletronico.gov.br/sisp http://www.governoeletronico.gov.br/sisp-conteudo/seg -conteudo/seguranca-da-informa uranca-da-informacao-nocao-nosisp/conceitos-e-definicoe sisp/conceitos-e-definicoes. s. Acesso 29 de set de 2015. 7
126
Governança da Segurança da Informação Segundo a ABNT NBR 15.999-1, Continuidade de Negócios pode ser definido como: Processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio, caso estas ameaças se concretizem. Este processo fornece uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder efetivamente e salvaguardar os interesses das partes interessadas, a reputação e a marca da organização, e suas atividades de valor agregado.
Para proceder a identificação dos riscos e respectivos impactos ao negócio da organização é realizada, preferencialmente, de forma compartimentada para cada uma de suas funções chave, a análise de riscos e a análise no impacto para o negócio, Obtêm-se como produto final informações de apoio a decisão sobre as ameaças e vulnerabilidades existentes, as possíveis consequências e as probabilidades potenciais de ocorrência de cada um dos riscos elencados, bem como os custos para prevenir ou minimizar os danos e o tempo de recuperação. Nessa etapa, os processos de negócio devem ser ordenados em função do seu custo de parada. Todo esse conhecimento é utilizado para a definição das estratégias de Continuidade de Negócios que ficam registradas em um ou mais Planos de Continuidade de Negócios da Organização. Segundo Sêmola (2003): Diferente do que muitos imaginam, uma empresa não possuirá um plano único, mas diversos planos integrados e focados em diferentes perímetros, sejam físicos, tecnológicos ou humanos e, ainda, preocupada com múltiplas ameaças potenciais. Esta segmentação é importante; afinal, uma empresa tem processos cuja tolerância a falha é variável, os impactos idem, assim como o nível de segurança necessário a natureza das informações manipuladas.
Plano de continuidade de negócios O Plano de Continuidade de Negócios (PCN) tem como propósito a garantia da continuidade das principais funções que sustentam o negócio da organização, minimizando, desta forma, os impactos de um possível desastre. Segundo Amaro (2004), o PCN deve ser parte da política de segurança de uma organização complementando assim o planejamento estratégico desta. Nele são especificados procedimentos pré-estabelecidos a serem observados nas tarefas de recuperação do ambiente de sistemas e negócios, de modo a diminuir o impacto causado por incidentes que não poderão ser evitados pelas medidas de segurança em vigor. A expressão Plano de Continuidade de Negócios é normalmente lembrada, apenas como o documento utilizado para o restabelecimento das 127
Governança da Segurança da Informação operações em caso de desastre, quando essa definição é mais corretamente empregada para o Plano de Recuperação de Desastres (PRD), que é parte integrante de um PCN. O PCN deve ser desenvolvido para atender as necessidades de contingência que não forem previstas ou que não puderem ser evitadas, identificando as funções críticas da organização, suas possíveis ameaças e como proceder a continuidade das mesmas, provendo, mesmo com alguma restrição, os serviços essenciais ao negócio, até que as condições normais de operação sejam retomadas. Segundo Dias (2000): O Plano de Continuidade de serviços de informática deve ser planejado com o objetivo de manter a integridade de dados da organização, manter operacionais os serviços de processamento de dados e prover, se necessário, serviços temporários ou com certas restrições até que os serviços normais sejam restaurados.
A redução das consequências negativas ao negócio da organização é um fator crítico de sucesso que deve estar inserido dentre as prioridades do Plano de Continuidade de Negócios por meio da incessante busca pela redução, ao mínimo possível, do tempo de parada dos serviços que poderão ser impactados por um desastre ou incidente. Segundo Wheatman (2001): Muitas organizações que sofrem uma interrupção de suas atividades devido a um desastre nunca se recuperam e 40% das empresas que passaram por essa situação encerraram as atividades num prazo de até 5 anos. Por outro lado, apesar de todos esses indicadores, ainda há organizações que não dão a devida atenção ao assunto, o que pode ser temerário
Para atingir seu objetivo o PCN é composto por diversos outros planos que juntos visam blindar o negócio contra diversos riscos que podem trazer prejuízo. Cada um destes outros planos é focado em uma determinada variável de risco, numa situação de ameaça ao negócio da organização. Conforme Silva (2009), mais de um plano é necessário para complementar o plano de continuidade de negócios, para cada processo do negócio um escopo de procedimentos é detalhado para atender o estado de contingência. Utilizando-se o PCN, garantimos a redução dos possíveis impactos, minimizando-os a níveis toleráveis para a organização. Segundo Marinho (2003), O Plano de Continuidade de Negócios deve documentar as capacidades e requisitos técnicos que suportarão as operações de contingência. Para isso, é imprescindível definir regras bem detalhadas, assim como responsabilidades, equipes e procedimentos relacionados com a recuperação do ambiente informatizado após a ocorrência de um desastre.
Diferença entre Continuidade e Contingência 128
Governança da Segurança da Informação A Continuidade é rotineiramente confundida com a Contingência (abordada no próximo capítulo), sendo assim faz-se necessário esclarecer a diferença estre os dois conceito. As atividades que contemplam a contingência são as mais realizadas pelas organizações. A grande maioria das organizações realiza procedimentos de contingência visando garantir que não ocorra perda de informações caso algum desastre ocorra. No ambiente de tecnologia da informação podemos entender essas atividades como backup de dados e equipamentos. Conforme a ISO/IEC 270008. Estabelecido o ambiente contingente através dos procedimentos de backup, a organização atendeu ao primeiro chamado, o de preservar os dados. Mas se o ambiente computacional (servidores, rede de dados, energia elétrica e comunicação) também for afetado por um incidente, é necessário possuir “outros tipos de backup”, como: servidores reservas, ativos de rede e comunicação redundante, etc. Desta maneira, além de garantir a existência dos dados, estará sendo assegurado que eles poderão ser retornados em algum equipamento para uso. Dentro de todo cenário na Contingência, em nenhum momento se fez menção ao tempo exigido de retorno da informação, ou mesmo qual a quantidade de informação que pode ser perdida se ocorrer um incidente entre os períodos de execução dos backups. O foco da contingência é garantir que existam maneiras de salvaguardar os dados e fazer a sua recuperação, independente de tempo de retorno, capacidade suportada ou mesmo quantidade de dados perdidos.
No entanto somente a Contingência não atende a plena capacidade da organização, ou seja, os equipamentos definidos para suportarem o ambiente durante uma contingência não possuem e mesma capacidade dos equipamentos de produção, limitando assim a quantidade de usuários que serão atendidos. Além disso, o foco são os procedimentos que serão realizados dados a ocorrência de eventos específicos. É por isso que a Continuidade é um passo a mais que a Contingência. As atividades envolvidas no oferecimento de continuidade estão diretamente relacionadas às operações de negócio da organização, o apetite a risco e o tempo de recuperação da organização. Isso significa que além de toda a preocupação de um ambiente contingente, existe o compromisso de disponibilizar as informações dentro de períodos acordados com as áreas de negócio. Neste sentido a Continuidade ISSO/IEC 27000. Contingência, Continuidade e Disponibilidade. Disponibilidade. Disponível em http://iso27000.com.br/index.php? http://iso27000.com.br/index.php?option=com_c option=com_content&view=artic ontent&view=article&id=55:con le&id=55:contcontdis tcontdis p&catid=34:seginfartgeral&Itemi p&catid=34:seginfartgeral&Itemid=53. d=53. Acesso 13 de out de 2015. 8
129
Governança da Segurança da Informação está centrada em manter as operações de negócio ativas. Segundo o exemplo da ISO/IEC 270009. Imagine uma rede de supermercados com uma crise de Tecnologia da Informação. O primeiro grande impacto é a parada imediata da operação de negócio, pois sem os sistemas nem existe forma rápida e simples de continuar as vendas. A Continuidade está preocupada em retornar as operações de negócio dentro de um tempo máximo, pré-estabelecido. Após este tempo, se as operações não retornarem, existe uma chance muito grande da organização não conseguir recuperar as operações de negócio. Em outras palavras, a perda financeira pode ser grande, que a organização não consegue voltar a operar. Para fazer este acordo de tempo com as áreas de negócio e relacionar este mesmo tempo a impactos financeiros, a Continuidade necessita de uma análise especial, denominada Análise de Impacto no Negócio (também conhecida como BIA – Business Impact Analisys). Através desta análise é possível desenhar os possíveis cenários de impacto financeiro devidos a incidentes e crises de Tecnologia da Informação. Além disso, através das técnicas desta análise é realizada identificação dos períodos de tempo suportáveis pelas áreas de negócio. As informações servirão de base para o alinhamento das operações de negócio com as operações de serviços de Tecnologia da Informação.
Assim sendo, a Continuidade reside em voltar as operações de negócio dentro deste espaço temporal apresentado pela Análise de Impacto no Negócio e que foram acordados com as áreas de negócio. Figura 1 – Plano de Continuidade de Negócios
Fonte – Adaptado de www.bcmpedia.org/wiki/business_comunity_plan_(bc_plan)
ISSO/IEC 27000. Contingência, Continuidade e Disponibilidade. Disponibilidade. Disponível em http://iso27000.com.br/index.php? http://iso27000.com.br/index.php?option=com_c option=com_content&view=artic ontent&view=article&id=55:con le&id=55:contcontdis tcontdis p&catid=34:seginfartgeral&Itemi p&catid=34:seginfartgeral&Itemid=53. d=53. Acesso 13 de out de 2015. 9
130
Governança da Segurança da Informação Estrutura do plano de continuidade de negócio O PCN deve apontar quais processos críticos da organização que suportam o negócio da organização e os procedimentos necessários para evitar ou mitigar a indisponibilidade dos serviços, de forma que os processos possam ser recuperados no menos intervalo de tempo possível e de acordo com as prioridades do negócio, após a ocorrência de um desastre. 1. Definição do Escopo A organização deve definir o escopo e descrever o cenário atual levando em conta o nível de maturidade que se encontra. É importante pensar em um plano que seja completo, onde vão existir diversas etapas e versões que serão revisadas e melhoradas. A alta administração como patrocinadora do plano, deve ter conhecimento da abrangência e das limitações do plano que está sendo criado. 2. Avaliação de Ameaças A organização deve realizar uma análise considerando o escopo definido anteriormente. mensurada com valores qualitativos (critico, alto, percorrer várias pessoas e equipes para chegar a ameaças existentes à organização.
das ameaças e riscos A avaliação deve ser médio e baixo) e deve uma visão completa das
3. Análise de Impacto É importante que as consequências de imprevistos (desastres, falhas, indisponibilidades...) passem por uma minuciosa análise de impacto com foco no negócio das organizações. A análise de impacto deve mapear os seguintes itens: Quantificar impactos financeiros, de imagem ou operacionais; Processos de negócio críticos e suas prioridades; Dependências internas e externas; Recursos críticos; Prazos para impactos severos; Tempo de recuperação esperado; • • • • • •
4. Identificar Soluções Baseado nas informações obtidas nas etapas anteriores deve ser avaliado, dentro das diversas soluções possíveis, a opção mais adequada a cada caso levando em conta os critérios pré-estabelecidos pelas necessidades do negócio. 131
Governança da Segurança da Informação 5. Elaboração do PCN O PCN é composto por um conjunto de documentos, procedimentos e manuais que devem ser escritos visando com que as pessoas, em caso de uma situação de contingência, possam seguir as instruções de sorte que o incidente seja contornado e os processos de negócio continuem funcionando. Estes documentos devem ser escritos de maneira clara e concisa contemplando os riscos, as pessoas e suas responsabilidades. Conforme Magalhães (2007), o PCN deve ser elaborado com, pelo menos, os seguintes tópicos: •
•
•
•
•
132
Sumário executivo: executivo: contento, o propósito do plano, autoridade e responsabilidades das pessoas chaves, tipos de emergências que podem ocorrer e o local de gerenciamento da operação. Gerenciamento dos elementos de emergência: emergência: descrevendo os processos de direção e controle, comunicação, recuperação e restauração, administração e logística. Procedimento de resposta a emergência: emergência: a organização deve elaborar checklists para para orientar as ações que devem ser tomadas para proteção das pessoas e a manutenção dos equipamentos, os procedimentos devem conter: alertas para avisos de catástrofes naturais, condução de evacuação, desligamento das operações, proteções, proteção dos dados vitais e restauração das operações. Documentos de suporte: suporte: a organização deve anexar ao PCN alguns documentos, tais como: lista de telefones das pessoas evolvidas no processo, planta das instalações físicas, guias com o desenho da infraestrutura de TI e procedimentos para recuperação dos serviços de TI. Identificar desafios e priorizar atividades: atividades: o PCN deve conter uma lista de tarefas para ser executada definindo quem e quando e determinar como devem ser tratados os problemas identificados na fase de levantamento.
Governança da Segurança da Informação REFERÊNCIAS AMARO, Mariza de O. S. Sua organização está preparada para uma contingência? Programa de Pós-Graduação de Engenharia de Sistemas e Computação. Rio de Janeiro: UFRJ, 2004. Disponível em:. Acesso em 27 de set de 2015. DIAS, C. Segurança e auditoria da tecnologia da informação. ed. Rio de Janeiro: Axcel Books do Brasil, 2000. MAGALHÃES, I. L.; PINHEIRO W. B. Gerenciamento de serviços de TI na prática: uma abordagem com base no ITIL. Porto Alegre: Novatec, 2007. MARINHO, F. Como proteger e manter seus negócios. ed. Rio de Janeiro: Campus, 2003. Gestão de Riscos de Segurança da Informações e Comunicações (GRSIC). Norma Complementar 04. Disponível em http://dsic.planalto.gov.br/documentos-/nc_04_grsic.pdf. Acesso 05 de out de 2015. SÊMOLA, M. Gestão da segurança da informação: visão executiva da segurança da informação: aplicada ao security officer. ed. Rio de Janeiro: Elsevier, 2003. SILVA, Ronaldo; MOURA, Viviane da Cunha; DEPONTI, Euclides; ROSA, Vinícius. Plano de continuidade de negócios: planejamento. Universidade católica de Brasília, 2007. Brasília, DF. Disponível em:. Acesso em 29 de set de 2015. •
WHEATMAN V., After math: disaster recovery, Gartner Research, AV-14-5238, setembro de 2001. Sobre o autor LEANDRO LIMA RAINERI Engenheiro e pesquisador da área de segurança da informação. Com duas pós-graduações em Gestão de Segurança e Governança de TI. Certificado em CompTIA Security +, ISSO/IEC 27002, ITIL, LPI 2 e CCNA.
133
Governança da Segurança da Informação
134
Governança da Segurança da Informação
CAPÍTULO 13 PLANO DE CONTINGÊNCIA A����: R����� B������ L������ M��� T���� M������� C������� ��� R���
Conceitos de Contingência e Plano de Contingência Na gestão de segurança da informação um aspecto de grande importância que deve ser abordado é a contingência, ou melhor, o Plano de Contingência. Cada organização deve incluir em seu planejamento um Plano de Contingência com o objetivo de garantir a disponibilidade de seus serviços, informações e processos de negócio. Dessa forma a organização terá capacidade de restabelecer suas funções críticas. De acordo com o porte da organização o Plano de Contingência é apenas uma pequena parcela do Plano de Continuidade de Negócios definido pelo departamento de Governança Corporativa da empresa. Inicialmente vejamos alguns conceitos de contingência. Para PINHEIRO (2004) contingência é a possibilidade de um fato acontecer ou não. É uma situação de risco existente, mas que envolve um grau de incerteza quanto à sua efetiva ocorrência. Para LAUREANO (2005) o Plano de Contingência é um plano para a resposta de emergência, operações backup, e recuperação após um desastre em um sistema como a parte de um programa da segurança para assegurar a disponibilidade de recursos de sistema críticos e para facilitar a continuidade das operações durante uma crise. Para MARINHO (2014) Plano de Contingência é a definição de processos alternativos para atuação da empresa durante um evento que afete as atividades normais, necessários para funcionamento da organização.
Etapas do Planejamento do Plano de Contingencia
135
Governança da Segurança da Informação De posse dos conceitos pode-se observar a importância que o Plano de Contingência tem para cada organização. Este plano deve fazer parte da estratégia da gestão de segurança das organizações para garantir sua sobrevivência caso aconteçam eventos inesperados. Como exemplo podemos citar as instituições financeiras, a cada ano no período do acordo coletivo da categoria existe a grande possibilidade de suas atividades serem interrompidas devido à mobilização dos funcionários em participar da greve para reivindicar seus direitos. Nesta situação caso as instituições financeiras não possuam um plano de contingência bem estruturado, seus serviços seriam interrompidos causando prejuízos para as instituições e para seus clientes. Esse tipo de risco afeta diretamente a sobrevivência das instituições. Diante desses aspectos podemos nos perguntar: Como as organizações devem se preparar para a contingência? A realização de um planejamento estruturado da gestão da segurança da informação, incluindo a existência de um Plano de Contingência, prepara as organizações para eventos inesperados. Para DIAS (2000) antes da realização do planejamento de contingência, deve ser definidos aspectos administrativos e operacionais, como objetivos, orçamento, prazos, recursos humanos a serem utilizados na contingência, tratando o Plano de Contingência como um projeto da organização. Dessa forma o planejamento para construção de um Plano de Contingência segue as seguintes fases: ������ 4 � ������ �� ������������ �� ����� �� ������������
������ ��������� ���� �����
136
Governança da Segurança da Informação Atividades preliminares: preliminares: conscientização conscientização da alta gerência, identificação dos recursos críticos, análise de custos, definição de prazos e aprovação do projeto proj eto inicial; Análise de impacto: identifica impactos sobre a organização da interrupção de cada sistema e sua real importância para continuidade das atividades da organização; Análise das das alternativas alternativas de recuperação: estudo detalhado das alternativas de recuperação dos serviços balanceando custos e benefícios, apresentando um relatório com o resultado da análise e recomendações. Desenvolvimento do plano de contingências: contingências: definição definição em detalhes do plano e os recursos necessários para sua execução; Treinamento: garantir que todos os funcionários da organização estejam conscientizados e conheçam os riscos envolvidos, a política corporativa, o próprio plano de contingência e seus papeis e responsabilidades; Teste do plano plano de contingências: provar sua exequibilidade. exequibilidade. Após realização dos testes pode-se avaliar se o plano é adequado ou se necessita de adaptações ou correções; Avaliação dos resultados e atualização atualização do plano: plano: realização realização de uma avaliação dos resultados dos testes e implementação das mudanças necessárias.
Classificação dos Planos de Contingencia
Para GALVES10 um Plano de Contingência de TI deve está baseado em três vértices:
10
GALVES, J. W. Gava. Planos de Contingência de TI. Disponível http://www.techoje.com.br/site/techoje/categoria/detalhe_artigo/219. http://www.techoje.com.br/site/techoje /categoria/detalhe_artigo/219. Acessado em 02/10/2015.
em:
137
Governança da Segurança da Informação ������ 5 � �������� �� ����� �� ������������
������ ��������� ���� �����
•
•
•
Vértice PESSOAS - que que trata dos recursos recursos humanos envolvidos nas atividades em Contingência; Vértice ORGANIZAÇÃO - que trata especificamente sobre a disponibilidade e segurança de recursos estruturais e organizacionais para suportar as atividades necessárias em Contingência. Vértice TECNOLOGIA - que que contempla contempla os recursos de hardware, hardware, software e ambientais apoiados em tecnologias de TI e complementares para atender em contingência.
Plano de Gerenciamento da Crise (PGC) Esse é um dos planos que servem de base para o PCN (Plano de Continuidade do Negócio) e que, conforme definido por Veras (2013): “Tem o propósito de definir as responsabilidades de cada membro das equipes envolvidas com o acionamento da contingência antes, durante e depois da ocorrência do incidente. Além disso, tem que definir os procedimentos a serem executados pela mesma equipe no período de retorno à normalidade. O comportamento da empresa na comunicação do fato à imprensa é um exemplo típico de tratamento dado pelo plano.”
A crise deve ser gerenciada, de forma que a organização se antecipe e consiga tomar as melhores decisões, inclusive quanto à forma de comunicação 138
Governança da Segurança da Informação externa. Prever consequências e antecipar possíveis medidas pode mitigar um impacto à imagem organizacional ou até mesmo neutralizar.
Plano de Continuidade Operacional
Os danos diretos e indiretos causados por um período de indisponibilidade de um serviço podem manchar a imagem de uma empresa por bastante tempo. O PCO então tem a missão de reduzir o período de indisponibilidade e conforme definido por Veras (2013): Tem o propósito de definir os procedimentos para contingenciamento dos ativos que suportam cada processo de negócio, objetivando reduzir o tempo de indisponibilidade e, consequentemente, os impactos potenciais ao negócio. Orientar as ações diante da queda de uma conexão à internet exemplifica os desafios organizados pelo plano.
Manter a continuidade da operação não é barato e envolve uma série de variáveis. No entanto, uma economia nesse sentido pode custar muito caro no futuro. Conforme citado por Guindani (2008) Os executivos tendem a encarar o PCN como despesa. Esse é um problema para a realização do projeto e cabe aos responsáveis por seu desenvolvimento modificar tal percepção.
Plano de Recuperação de Desastre (PRD) O PRD tem como propósito, conforme definido por Veras(2013): Definir um plano de recuperação e restauração das funcionalidades dos ativos afetados que suportam os processos de negócio, a fim de restabelecer o ambiente e as condições originais de operação, no menor tempo possível.
Segundo Guindani (2008) É conveniente desenvolver e implementar os procedimentos de resposta a situações de desastre, incluído a criação e a especificação de normas para o gerenciamento de um centro operacional de emergência (COE), utilizando como central de comando durante uma crise.
Estratégias de Contingência
139
Governança da Segurança da Informação Em relação a estratégia que a organização vai definir para o Plano de Contingência, deve-se levar em consideração criticidade do negócio, apetite ao risco da organização e prioridades definidas em seu Plano de Continuidade dos Negócios. Quanto ao nível de criticidade do negócio classificamos as estratégias de contingência como: Hot-site, Warm-site e Cold-site. Para SEMOLA (2003) estão definidas conforme abaixo: Hot-site: Hot-site: estratégia “quente” ou pronta para entrar em operação assim que uma situação de risco ocorrer. O tempo de operacionalização desta estratégia está diretamente ligado ao tempo de tolerância a falhas do objeto. Warm-site: Warm-site: estratégia aplicada a objetos com maior tolerância à paralisação, podendo se sujeitar à indisponibilidade por mais tempo, até o retorno operacional da atividade. Cold-site: esta Cold-site: esta estratégia propõe uma alternativa de contingência a partir de um ambiente com os recursos mínimos de infraestrutura e telecomunicações, desprovido de recursos de processamento de dados. Portanto, aplicável à situação com tolerância de indisponibilidade ainda maior. (SEMOLA 2003)
Quanto à modalidade escolhida da estratégia de contingência classificamos como: Realocação de Operação, Bureau de Serviços, Acordo de Reciprocidade e Autossuficiência, conforme definidas por SEMOLA (2003):
Realocação de Operação: esta estratégia objetiva desviar a atividade atingida pelo evento que provocou a quebra de segurança, para outro ambiente físico, equipamento ou link, pertencentes à mesma empresa. Esta estratégia só é possível com a existência de “folgas” de recursos que podem ser alocados em situações de crise. Bureau de Serviços: Serviços: considera a possibilidade de transferir a operacionalização da atividade atingida para um ambiente terceirizado; portanto, fora dos domínios da empresa. Por sua própria natureza, em que requer um tempo de tolerância maior em função do tempo de reativação operacional da atividade, torna-se restrita a poucas situações. Acordo de Reciprocidade: Reciprocidade: conveniente para atividades que demandariam investimentos de contingência inviáveis ou incompatíveis com a importância da mesma, esta estratégia propõe a aproximação e um acordo formal com empresas que mantêm características físicas, tecnológicas ou humanas semelhantes a sua, e que estejam igualmente dispostas a possuir uma alternativa de continuidade operacional. Estabelecem em conjunto as situações de contingência e definem os procedimentos de compartilhamento de recursos para alocar a atividade atingida no ambiente da outra empresa. Desta forma, ambas obtêm redução significativa dos investimentos. Omissão: Omissão: Aparentemente uma estratégia impensada, a omissão é, muitas vezes, a melhor ou única estratégia possível para determinada atividade. Isso ocorre quando nenhuma outra estratégia é aplicável, quando os impactos possíveis não são 140
Governança da Segurança da Informação significativos ou quando estas são inviáveis, seja financeiramente, tecnicamente ou estrategicamente. (SEMOLA 2003 - adaptado)
Abaixo, tabela com um exemplo de cenário com uma relação entre a criticidade e modalidade, sendo que cada uma das modalidades pode ter um nível de criticidade diferente para cada negócio: ������ 2 � ������� ���������� � �����������
���������� R��������� �� O������� B����� �� S������� A����� �� R������������ O������
����������� �������� ���������
���������
X X X ��� �� ������� ����� ������������� ������ ��������� ���� �����
Nesse contexto da Segurança da Informação apresentamos os principais conceitos e boas práticas a serem seguidas na elaboração e condução de um Plano de Contingência. Verificamos que o Plano de Contingência orienta a organização para prevenção de incidentes bem como a recuperação em caso de desastres e em momentos de crise.
141
Governança da Segurança da Informação BIBLIOGRAFIA SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. Editora Campus Elsevier, 2003. DIAS Cláudia. Segurança e Auditoria da Tecnologia da Informação. Editora Axcel Books, 2000. PINHEIRO, J. Maurício Santos. Conceitos de Redundância e Contingência. Disponível em: http://www.projetoderedes.com.br/artigos/artigo_conceitos_de_redundancia.ph p. Acessado em 30/09/2015. LAUREANO, M. A. Pchek. Gestão de Segurança da Informação. 2005. Disponível em: http://www.mlaureano.org/aulas_material/gst/apostila_versao_20.pdf. http://www.mlaureano.org/aulas_material/gst/apo stila_versao_20.pdf. Acessado em 01/10/2015. MARINHO, Fernando. Riscos, Negócios e Tecnologia. 2014. Disponível em: https://www.linkedin.com/pulse/6-dicas-para-conquistar-investidores-uma-novaempresa-leo-zysman Contingência, Continuidade e Disponibilidade. Disponível em: http://iso27000.com.br/index.php?option=com_content&view=article&id=55:cont contdisp&catid=34:seginfartgeral&Itemid=53. contdisp&catid=34:seginfartger al&Itemid=53. Acessado em 02/10/2015 GALVES, J. W. Gava. Planos de Contingência de TI. Disponível em: http://www.techoje.com.br/site/techoje/categoria/detalhe_artigo/219. Acessado em 02/10/2015. VERAS, Manoel. Arquitetura Corporativa de nuvem: amazon web service ser vice (aws). Editora Brasport, 2013.
142
Governança da Segurança da Informação
Sobre os autores Rejane Bezerra Leandro Mota Formada em Administração de Empresas pela UECE, pósgraduanda em Governança de TI pelo UniCEUB, certificada Cobit5, funcionária do Banco do Brasil S/A na Diretoria de Tecnologia.
Thiago Mesquita Carvalho dos Reis
Formado em Gestão em Tecnologia da Informação pela FACSENAC, pós-graduando em Governança de TI pela UNICEUB, certificado em COBIT FOUNDATION, ITIL FOUNDATION, Gerenciamento de serviços de TI baseado na ISO/IEC 20000 e Segurança da Informação Foundation baseado na ISO/IEC 27002, gerente de relacionamento na empresa Intersmart Comércio Importação Exportação de Equipamentos Eletrônicos, S.A.
143
Governança da Segurança da Informação
144
Governança da Segurança da Informação
CAPÍTULO 14 ASPECTOS DA SEGURANÇA DA INFORMAÇÃO NA PRODUÇÃO DE SOFTWARES A����: F������ M������ �� O�������
14.1 Introdução
Segurança da Informação e Produção de Software deveriam estar em total sinergia, mas ainda existem lacunas a serem preenchidas entre esses dois campos da computação. Obviamente, quando tratamos o tema Segurança da Informação não nos remetemos exclusivamente às informações digitalizadas e armazenadas em sistemas computacionais, mas não podemos negar que a cada dia a produção, armazenamento, transformação e divulgação da informação se dá nesse ambiente. A produção de software se deu ao longo dos anos de diversas formas e ainda está em franca mudança. A Engenharia de Software Software é a área do conhecimento que estuda os modelos de produção e sistematiza processos de desenvolvimento que visam a produção de software com qualidade. Os novos desafios impostos pelas tecnologias emergentes (que provavelmente até o final desta leitura, poderão estar em uso popular) representam forças que pressionam mudanças nesse campo de estudo. Outro fator significativo na produção de software é o aspecto humano, sob o prisma que a atividade ainda é feita intensivamente por pessoas, mesmo considerando a evolução das ferramentas CASE 11 para agilização do processo de desenvolvimento. Entretanto, essa realidade pode mudar nos próximos anos com o avanço da inteligência artificial arti ficial e máquinas inteligentes.
11
CASE �� C������� A���� S������� E���������� (P����� & P��������) � �� �������� �� ����������� �� �������� �� �������� ��� ������� �� ������������ �� ���������� �� ��������
145
Governança da Segurança da Informação Esse capítulo visa a abordar esses esses temas. Explorando a evolução na produção de software e como enfrentar os novos desafios impostos pela Cibersegurança frente às novas tendências tecnológicas.
14.2 Influência da Normas de Segurança da Informação na produção de software.
Para entender os aspectos das questões de segurança inerentes na produção de software é preciso compreender a evolução histórica desses dois elementos. Se tomarmos a família de normas da ISO ISO 27000 2700012 podemos considerar uma evolução significativa com as dimensões da norma de acordo com o sistema de gerenciamento da segurança da informação tais como o gerenciamento de riscos da segurança da informação (ISO 27005), comunicações intra e interinstitucionais (ISO 27010), Guia para proteção pessoal na nuvem (ISO 27018), continuidade do negócio (ISO 27031) e cibersegurança (ISO 27032). Considera-se a norma ISO/IEC 27001 como ponto de partida para a operação de um sistema de gerenciamento da segurança da informação, pois estabelece o elemento principal para o mesmo, seus requisitos. Muitos tem atribuído inclusive à influência única da TI na norma. Isso não é bem verdade, mas podemos considerar que ela auxilia sobremaneira o planejamento de requisitos adequado para a construção e sustentação de sistemas informatizados que garantirão o Sistema de Gerenciamento de Segurança da Informação. Dentre seu corpo de conhecimento, o anexo A da norma ISO 27001 nos alerta para uma série de controles de segurança para serem utilizadas no sentido de aprimorar aprimorar o sistema sistema de de segurança. segurança. Dentre esses elementos destacam-se: A.8 Gestão de ativos – controles relacionados ao inventário de ativos e uso aceitável, e também para a classificação de informação e manuseio de mídias A.9 Controle de acesso – controles para a política de controle de acesso, gestão de acesso de usuários, controle de acesso a sistemas e aplicações, e responsabilidades dos usuários
12
H������� �� ISO 27000 � ����://���.27000.���/�������.���
146
Governança da Segurança da Informação A.10 Criptografia – controles relacionados a gestão de chaves criptográficas A.12 Segurança nas operações – vários controles relacionados a gestão da produção de TI: gestão de mudança, gestão de capacidade, software malicioso, cópia de segurança, registro de eventos, monitoramento, instalação, vulnerabilidades, etc. A.13 Segurança nas comunicações – controles relacionados a segurança em rede, segregação, serviços de rede, transferência de informação, mensageria, etc. A.14 Aquisição, desenvolvimento e manutenção de sistemas – controles definindo requisitos de segurança e segurança em processos de desenvolvimento e suporte A.16 Gestão de incidentes de segurança da informação – controles para reportar eventos e fraquezas, definindo responsabilidades, procedimentos de resposta e coleta de evidências Outra contribuição significativa dos padrões e regulamentações de segurança na produção de software teve início em 1991 com a publicação da norma ISO/IEC 9126. Posteriormente, esse modelo evoluiu para os aspectos do modelo de qualidade, externos, internos e de uso dos sistemas de informação computacionais por meio das normas ISO/IEC 9126-1, ISO/IEC 9126-2, ISO/IEC 9126-3 e ISO/IEC 9126-4. A evolução das normas ISO/IEC 9126 se deu em 2005 com a família ISO/IEC 25000:2005 e revisada em 2014. 2014. Considerando os aspectos aspectos do modelo SQuaRE (Software product Quality Requirements and Evaluation) os aspectos internos, externos e de uso estão sendo revisados pelas ISO/IEC 25023 e ISO/IEC 25022, respectivamente. Isso demonstra claramente a preocupação com os elementos de segurança na produção de softwares como ativo de segurança fundamental para a operação das Instituições e Organizações. Entretanto, observa-se que a produção de software remonta a um passado mais antigo e que as formas de se produzir foram evoluindo constantemente muito em função das novas necessidades de negócio e dos aspectos tecnológicos. tecnológicos. Não obstante esses esses dois fatores, há que se levar levar em consideração o aspecto humano e o modelo mental evolutivo da sociedade. Nesse sentido, (BOHEM, 2006) estabelece uma relação na evolução da produção de software, por meio da Engenharia de Software nos séculos XX e XXI.
147
Governança da Segurança da Informação Para entender como esses dois processos evoluíram ao longo dos anos. Barry Boehm (BOHEM, 2006) faz uma revisão da evolução da Engenharia de Software nos séculos XX e XXI. Seu trabalho estabelece a visão de tese, antítese e síntese baseada em Hegel para explicar o fenômeno na evolução da Engenharia de Software. Nesse sentido, podemos entender entender a evolução da Engenharia de Software desde 1950 até o final dos anos 2000. Na década de 1950 a tese predominante era de que a Engenharia de Software deveria ser encarada como a Engenharia de Hardware, isto porque o Hardware ocupava nesta época o papel principal na Ciência da Computação. Com base nesse pensamento, projetar software era um processo extremamente rígido e nada tolerante à falhas, o que é admissível no projeto de hardware, pois é inviável inviável resolver um problema de projeto projeto após a produção produção de um equipamento físico. Nesse sentido, o primeiro processo de produção de software foi concebido para a criação do maior desafio computacional da época, o SAGE (Semi-Automated Ground Environment) um mecanismo de defesa para os EUA e Canadá. Basicamente um processo processo em cascata cascata (modelo waterfall). Após anos de desenvolvimento e a percepção clara que software não é igual a hardware, a antítese vigente em 1960 era enxergar o software como uma entidade maleável. maleável. As empresas começaram começaram a adotar adotar a técnica “codifica “codifica e conserta” (code and fix), pois a unidade de trabalho não necessitava de consertos para cada elemento produzido, bastava recompilar o produto original. Entretanto, nem todas as empresas e produtores de software sucumbiriam a esse esse modelo. Algumas missões missões críticas, como como por exemplo exemplo os projetos da NASA para Mercury, Gemini e Apollo foram lideradas pela IBM em um modelo de trabalho ainda com foco intenso no processo rígido de produção. Nesses sistemas o elevado nível de confiabilidade exigido impulsionou a indústria para a criação de modelos de produção de software. A Engenharia de Software começava a se delinear impulsionada pelas conferências de 1968 e 1969 organizadas pelo Comitê de Ciência da Organização do Tratado do Atlântico Norte (OTAN ou NATO13). Se observarmos a missão da OTAN, podemos perceber claramente as questões de segurança da informação pautadas nos dois pilares base da Organização que são o político e o militar. Na década de 70 houve uma síntese e uma antítese formando a ideia de que o formalismo e o processo processo clássico eram necessários. Surge a programação estruturada, a linguagem Pascal e muitos estudos como a psicologia da programação de computadores de (WEINBERG, 1971). 13
O���������� �� T������ �� A�������� N���� � ����://���.����.���
148
Governança da Segurança da Informação Já no final dos anos 70, as empresas estavam gastando mais em software do que em hardware. A pressa em codificar codificar e fazer o atalho atalho para a produção, menosprezando os requisitos e o projeto de software fizeram os custos com testes e manutenção disparar. Os anos 80 foram marcados pela síntese de que a produtividade e a escalabilidade deveriam ser o foco na produção de software. software. Surgiram os métodos orientados a objeto, os modelos de maturidade e qualidade (como o CMM14), as fabricas de software além das ferramentas CAD e linguagens 4GL. Já nos anos 90 uma discussão global se estabeleceu: como resolver o Bug do milênio? Muitos sistemas então construídos não estavam preparados para lidar com as datas após 1999, pois poi s simplesmente foram programados com dois dígitos para representar o ano. Sendo assim, as operações operações com data entenderiam “00” como 1900 e não como como 2000. Imagine um cálculo de juros para quitação de dívidas. Ao longo dos anos 90 havia necessidade de se correr contra o relógio na produção de software e uma abordagem ganhava força: o desenvolvimento concorrente ou iterativo. iterativo. Outras eventos eventos importantes da época época foram a criação criação do Linux em 1991, o que desencadeou a força do movimento Open Source criado em 1985 com Richard Stallman pela Free Software Foundation e pelo W3C (World Wide Web Consortium) Consortium) de Berners Berners Lee em 1994. Os usuários passaram também a se preocupar mais com a usabilidade dos softwares do que apenas com as funcionalidades. Os anos no início do novo milênio foram marcados pelo conceito de agilidade e valor agregado agregado na produção produção de software. Com o advento da popularização da Internet, o fenômeno da globalização e o surgimento de grandes empresas como Google o mercado estava cada vez mais presente na produção de software. Em 2000, os membros da NASDAQ votaram para sua reestruturação e spin off resultando em uma companhia voltada para o lucro. Já em 2001 a NASDAQ foi o primeiro mercado de ações a atingir os padrões da ISO 9001. Os métodos ágeis como ASD (Adaptive Software Development), Crystal, DSD (Dynamic Systems Development), XP (Extreme Programming) e SCRUM ganhavam a atenção atenção de desenvolvedores desenvolvedores no mundo. mundo. Em 11 de setembro setembro de 2001, com o atentado às torres gêmeas o mundo deu ainda mais atenção atenção ao tema Segurança. A criticidade e dependabilidade ficaram notórias. Pessoas, sistemas e Organizações estavam totalmente dependentes de software para executar suas rotinas. Foi criado criado um grupo pela ACM (Association of Computing Computing 14
CMM (C��������� ��� M������� M����) ������ ���� S������� E���������� I������� �� U����������� �� C�������� M�����.
149
Governança da Segurança da Informação Machinery) denominado SPUR (Security/Privacy, Usability, and Reliability). As questões ligadas a segurança tomavam participação de forma explícita. Fazendo um paralelo entre as normas e modelos referentes à segurança da informação e a evolução da produção de software de acordo com o quadro 10.1 percebe-se percebe-se uma lacuna lacuna entre esses dois temas. temas. Apesar do tema Segurança da Informação remontar a antiguidade com métodos criptográficos para comunicação (a exemplo da Cifra de César no séc. I a.C) observa-se que as normas e modelos para Sistemas Computacionais evoluíram somente 3 décadas após os modelos de produção de software.
Quadro 10.1 Fatores de Qualidade e Segurança da Informação e Produção de Software ������
����
����
����
��������� � ��������� �� ����������
ISO/IEC 27001:2005 ISO/IEC 9126�2:2003 ISO/IEC 9126�3:2003 ISO/IEC 9126�1 � 9126�4 ISO/IEC 17799 P����� B�������� (BSI) BS 7799 1995 C����� �� P������ ���� G������������ �� S�������� � 1992 ISO/IEC 9126 M����� SW�CMM
���� ���� ����
�������� �� ��������
V���� �������� ���� � ������� A�������� S��������, P����������, U���������� � C������������� C����������� ������ P������� S���������
P������������ � E������������� F��������� S������� �������������� S������� ���� H�������
Fonte: elaborado pelo autor
Reflexões
Pode-se entender portanto que os aspectos de segurança da informação , apesar de remontar a um passado distante no que se refere à criptografia, mecanismos de defesa militar, privacidade não estão diretamente associados com as práticas de engenharia de software. A evolução da engenharia de software também se deu por aspectos mercadológicos competitivos o que precisou de mecanismos ágeis de desenvolvimento rápido e fácil. Tal cenário impõe restrições de investimentos em segurança na área do desenvolvimento de aplicações.
150
Governança da Segurança da Informação 14.3 O Perfil do Recurso R ecurso Humano na Produção de Software e o Tratamento das Questões de Segurança.
A produção de software não se dá exclusivamente por pessoas com capacitação formal em ciência da computação, sistemas de informação, processamento de dados, engenharia da computação e cursos afins. É comum presenciar pessoas com outras formações ou mesmo jovens sem ainda terem concluído o ensino superior nessa atividade. Parte desse comportamento pode ser explicado pela atividade ser desenvolvida como um hobby ou mesmo pelas facilidades tecnológicas para criação de sites, blogs, aplicativos e até mesmo sistemas mais robustos por meio de geradores de código. Entretanto, seja profissional formalmente capacitado ou não, o perfil do desenvolvedor remete às competências ligadas à criatividade, inovação, agilidade. Enfim, características que exploram novas formas de pensamento, pensamento, novas fronteiras tecnológicas, tecnológicas, novo desafios. Esse tipo de perfil criador tende a ignorar ou mesmo dar menos atenção aos riscos inerentes à segurança da informação. Portanto, aliado ao perfil do desenvolvedor e uma certa facilidade na criação de aplicações as questões de segurança ficam de certa forma comprometidas no processo de criação de software. Existem várias brechas para ataques, invasões e roubos de informação. Parte desse fenômeno pode ser explicado pelo comportamento dos usuários em relação relação à segurança da informação. Após a revelação revelação do caso de invasões à privacidade de pessoas, incluindo autoridades globais, por Edward Snowden, os usuários em um primeiro momento tiveram comportamento indicando interesse nesse assunto. Entretanto, em pesquisa recente esse interesse caiu abaixo dos níveis originais (PREIBUSCH, 2015). Há também, para os profissionais da área, a questão da formação curricular. Um exame aprofundado nos currículos sugeridos sugeridos pela ACM para a Ciência da Computação nos mostra que em 2001 o curriculum oficial mencionava a segurança e criptografia apenas no corpo de conhecimento de sistemas operacionais e sistemas centrados em redes como conteúdo optativo (ACM, 2001). Posteriormente em 2008, a ACM já traz no seu curriculum a questão de segurança de maneira mais enfática. Pela primeira primeira vez, explica-se no documento que de modo mais significativo é importante a preocupação em escrever software seguro. (ACM, 2008). 151
Governança da Segurança da Informação Em 2013 a ACM promoveu uma pesquisa para formação da sua base curricular pautada nos relatórios de 2001 e 2008 onde participaram 1500 departamentos de ciência da computação. Dois tópicos foram aclamados como de extrema importância para contemplar o novo currículo como áreas de conhecimento: Computação Paralela e Distribuída e Segurança (ACM, 2013). Até então, esses tópicos figuravam em outras áreas do conhecimento como redes redes de computadores e sistemas operacionais. Foi criada então uma área do conhecimento denominada IAS (Information Assurance and Secuity). Percebe-se portanto que também na formação dos profissionais o tema segurança da informação vem crescendo em importância, mas ainda é algo recente. Obviamente, mudanças mudanças curriculares levam tempo a serem absorvidas absorvidas pelas Instituições de ensino, professores e alunos pela própria natureza da duração destes cursos. Logo, não é difícil de perceber perceber que o reflexo prático deste conhecimento demore um pouco a chegar nos produtos de software de maneira mais ampla.
Reflexões
O tema segurança da informação sob a perspectiva da formação do conhecimento em Ciência da Computação, área fundamental para a criação de sistemas computacionais computacionais tangencia tangencia o conhecimento conhecimento básico. básico. Como pôde ser observado, nas grades de formação o assunto só teve a importância à partir desta década. Os usuários não possuem a preocupação com o tema da maneira como deveriam e portanto, a formação dos requisitos de usuário e por consequência dos requisitos de software minimizam a importância do tema na construção dos softwares. Fato que pode explicar explicar a quantidade de vulnerabilidades vulnerabilidades das aplicações legadas.
14.4 Novos desafios na produção de software e a cibersegurança.
A codificação de de programas (programação (programação de computadores), atividade imprescindível na produção produção de softwares é muito ampla. Pode ser vista desde a criação de um software para automatizar algumas funções em uma planilha 152
Governança da Segurança da Informação de cálculo ou editor de texto, passando por criar jogos, interação com mídias, sistemas transacionais corporativos até sistemas de tempo real e de missão crítica de alta complexidade. Em outubro de 2014, uma pesquisa 15 realizada com os ministérios da educação dos países europeus identificou que a programação de computadores está presente no currículo acadêmico de 12 países como: Bulgaria, Chipre, República Tcheca, Dinamarca, Estônia, Grécia, Irlanda, Itália, Lituânia, Polônia, Portugal e Inglaterra. Os Estados Unidos também estão engajados diretamente nessa motivação de integrar nas escolas fundamentais a Ciência da Computação por meio da programação de computadores. Iniciativas como o Scratch (www.scratch.mit.edu) do MIT (Massachussets Institute of Technology) foram pioneiras para o ensino da programação de computadores para crianças. Atualmente, a plataforma CODE.ORG divulga e promove o aprendizado da programação programação de computadores computadores e governo Americano está diretamente diretamente engajado desde a administração administração Clinton. No final de 2014, 2014, o Presidente Barack Obama participou pessoalmente da Semana da Computação que passou pelos corredores da Casa Branca. A cada dia, outras plataformas de ensino da programação de computadores são lançadas com o intuito de agregar cada vez mais pessoas de diversas formações para o mundo da programação de computadores, tais como: Appinventor do MIT, site que ensina a programar para dispositivos móveis, a plataforma CODEA, que permite programar diretamente do IPAD e a plataforma Alice, que ensina a programação em ambientes 3D e possui apoiadores como Google, Oracle, EA Sports e Disney. Esse cenário nos leva a um futuro próximo (até 10 anos) em que o número de pessoas familiarizadas com a programação de computadores será significativamente maior. Engenheiros, médicos, artistas, psicólogos terão a programação como instrumento de atividade complementar às suas atividades profissionais. Portanto, o cenário que se desenha para o futuro não é de exclusividade para profissionais de Ciência da Computação nas técnicas de programação de computadores. Nesse sentido, iniciativas já vem sendo tomadas por empresas e pela academia. A exemplo exemplo disso, podemos citar o trabalho de (BURNETT (BURNETT & MYERS, 2014) que indicam uma nova era para a Engenharia de Software onde o desafio é levar os conceitos de produção de software profissional para usuários que não são engenheiros de software.
15
P������� ��������� ���� E������� S��������, ��������� �� ����://���.���.���
153
Governança da Segurança da Informação As pesquisas mostram que o número de usuários que utilizam a programação em seus ofícios chega a ser 4 vezes maior do que o número de programadores profissionais e esse número chega a ser 10 vezes maior se considerados apenas usuários que utilizam ferramentas como Excel para automatizar algumas funções básicas. Esse cenário exibe claramente uma pressão no mercado futuro para a construção de aplicativos e ferramentas de apoio que manipulam e integram informações de várias várias fontes e para vários vários públicos. Como essas ferramentas ferramentas para usuários devem ser adaptadas para as suas necessidades é comum que estejam sendo disponibilizadas na nuvem (Cloud Computing). O uso da nuvem minimiza vários aspectos da complexidade do desenvolvimento como a criação do ambiente de programação do desenvolvedor, repositório dos arquivos fonte, configuração e instalação de bancos de dados, sistemas operacionais e infraestrutura computacional de hardware. Nesse sentido sentido empresas empresas como a IBM disponibilizam plataformas plataformas como o Bluemix. Bluemix. Google, Amazon, Amazon, Oracle Oracle e Microsoft também possuem ambientes similares. O uso de plataforma de desenvolvimento na nuvem cria cenários de risco que devem ser endereçados para as questões éticas como segurança, privacidade, integridade e disponibilidade de informações (AKANDE, APRIL, & VAN BELLE, 2013) 2013) e geram um ambiente de insegurança que deve ser tratado tratado de forma contundente pelos provedores (Cloudstack, Amazon AWS, VMWare, Oracle, Adobe, etc.) para evitar atividades criminosas (WLOSINSKI, 2015). Outras tecnologias e oportunidades também irão surgir para atender a demanda por ocasião da Internet das Coisas16 (IoT). A criação de sensores sensores e dispositivos para capturar e produzir dados, redes de comunicação para que as coisas se interconectem e os sistemas computacionais embarcados se proliferarão. Com eles, novos novos riscos à segurança segurança pessoal pessoal da informação também irão surgir em relação à informações médicas, hábitos de consumo, alarmes residenciais, residenciais, operações financeiras (GONZALEZ, 2015).
Reflexões
Os desafios atuais e futuros contam com a proliferação de novas tecnologias e de mais pessoas se envolvendo com a arte da programação. Esse cenário provocará provocará uma imensa quantidade quantidade de soluções em software com potencial grande para ataques e invasões. 16
G���������, ������, ���������� �� �����, ������, �������� �� �����, ������, ���.
154
Governança da Segurança da Informação
14.5 Como se preparar para a Cibersegurança.
Muito se tem discutido sobre segurança da informação e recentemente o termo Cibersegurança Cibersegurança vem vem ganhando ganhando espaço. A ISACA17 ISACA17 (Associação (Associação de Auditoria e Controle de Sistemas de Informação) é uma associação internacional que suporta e patrocina o desenvolvimento de metodologias e certificações para o desempenho das atividades de auditoria e controle em sistemas de informação. Mais conhecida pelo framerwork de Governança de TI, COBIT, a ISACA vem trabalhando na sua plataforma de conhecimento em segurança e formação profissional de Cibersegurança, denominada CSX (Cibersecurity Nexus). O tema tem ganhado muita atenção em função função do crescimento dos Cibercrimes e Ciberataques ocorridos principalmente contra pequenas e médias empresas que possuem linhas de defesa cibernética menos provida de recursos de contramedida. Cibercrimes configuram invasões em meios digitais por pessoas ou Organizações não autorizadas com intuito de roubar informações sigilosas de indivíduos ou Organizações (ROSS, (ROSS, 2015). Dos cibercrimes mais comuns os cometidos contra indivíduos são os mais comentados nas redes sociais e mídia em geral. Após a divulgação de Snowden Snowden sobre as invasões invasões americanas contra países aliados, o que mais se ressaltou foram os cibercrimes cometidos contra os representantes de países. No Brasil, o caso mais pictórico ocorreu contra a Presidente da República. Ciberataques por sua vez implicam em tentativas de danificar uma pessoa ou Organização. O roubo de de uma informação é algo prejudicial, prejudicial, mas não compromete de maneira perene as funções de negócio essenciais de uma empresa. Portanto, o ciberataque impede impede que a Organização Organização cumpra sua missão (ROSS, 2015). As Organização devem portanto tratar de forma adequada as vulnerabilidades em sua Cibersegurança. Cibersegurança. (SHARKASI, 2015) indica 10 áreas de melhoria que devem ser tratadas pelas Organizações: • • • • •
Área 1: Classificação de dados e inventário de ativos Área 2: Riscos de tecnologias emergentes Área 3: Uso de módulos de avaliação de riscos sob medida Área 4: Riscos da computação em nuvem e residência dos dados Área 5: Preocupação com as ameaças internas
17
����://���.�����.���
155
Governança da Segurança da Informação •
• • • •
Área 6: Segurança nos pontos de acesso final (notebooks, smartphones, etc.) Área 7: Dificuldade em lidar com sistemas legados Área 8: Aplicações de compartilhamento de arquivos arqui vos Área 9: Maturidade de segurança e acesso remoto Área 10: Ferramentas de teste para cibersegurança
Fica evidente que precisamos de um modelo para lidar com a Cibersegurança que envolva de maneira iterativa ações consistentes em várias frentes de trabalho. Propomos um modelo de governança de segurança segurança da informação exemplificado na figura 14.1. ������ 14.1 � ������ �� ���������� ���� ��������������
������ ��������� ���� �����
A priorização dos processos de negócio corporativos essenciais para as ações de Cibersegurança pauta-se pelo fato de que proteger tudo pode ser tarefa inviável inviável do ponto de vista do esforço e custo. A classificação classificação da informação e dos ativos, como propõe (SHARKASI, 2015) na área 1 deve ser executada. Saber quais são as informações restritas, sigilosas, em que ativos de informação elas são criadas, transformadas e armazenadas é premissa para saber o que proteger. Incluir no planejamento estratégico as questões relacionadas à Cibersegurança cria condições fundamentais para o comprometimento da alta gestão. Sem esse comprometimento ações isoladas e descompassadas descompassadas não 156
Governança da Segurança da Informação terão os resultados esperados e a falta de recursos financeiros e humanos será o maior desafio. A adoção de frameworks globais como o COBIT 5 e o CSX traz benefícios de conhecimento, formação de profissionais, clareza de ações além de uma ontologia comum e de amplo acesso. Dentre os 37 processos existentes no COBIT 5, três são essenciais para se implementar uma governança de TI nos aspectos de segurança: APO12 – Gerenciar Riscos, Riscos, APO13 - Gerenciar Segurança e DSS05 - Gerenciar Serviços de Segurança (GREENE, 2015). O modelo de governança de segurança deve continuamente avaliar a maturidade da política de segurança. Possuir um método para fazer essa análise é condição imprescindível para que se saiba exatamente o nível de aderência e se os resultados alcançados na avaliação merecem ações de melhoria. O trabalho realizado no Brasil com com a avaliação avaliação de requisitos requisitos claros em conformidade com a ISO 27002:2013 estabelece atributos de regulação, prevenção/controle e responsabilidade/penalidad responsabilidade/penalidades es das políticas de segurança de 40 entidades governamentais (LYRA, 2015). Portanto, um modelo de avaliação de maturidade eficiente deve estar aderente aos padrões globais. Para garantir a Cibersegurança das Organizações, as mesmas devem investir em ferramentas especializadas e confiáveis. confiáveis. Nesse sentido, a opção opção de aquisição deve ser feita evitando os erros comuns devem ser evitados como por exemplo não realizar análises de avaliação em função das necessidades da Organização apenas confiando em um único fornecedor (ANDERSON, 2015). Realizar uma análise SWOT pode ser útil para a avaliação de uma ferramenta de segurança, mas também definir os fatores críticos de sucesso bem como os indicadores chave de desempenho para realizar a escolha certa deve fazer parte desse processo sistemático (ANDERSON, 2015). Por fim, estabelecer uma abordagem para o monitoramento contínuo e identificação e respostas à ameaças devem ser executados para que seja viável um plano de melhoria no modelo de governança de segurança da informação. (VOHDRASKY, 2015) e (GREENE, Cibersecurity Detective Controls - Monitoring to Identify and Respond to Threats, 2015) trazem trabalhos nesse sentido.
Reflexões
157
Governança da Segurança da Informação Os desafios atuais e futuros contam com a proliferação de novas tecnologias e de mais pessoas se envolvendo com a arte da programação. Esse cenário provocará uma imensa quantidade de soluções em software com potencial grande para ataques e invasões. Portanto, necessita-se de uma estratégia contínua para se trabalhar com as ameaças e vulnerabilidades.
158
Governança da Segurança da Informação Bibliografia
ACM. (2013). Computer Science Curricula 2013. New York: ACM. ACM. (2008). Computer Science Curriculum 2008: An Interim Revision of CS 2001. ACM. New York: ACM. ACM. (2001). Computing Curricula 2001 Computer Science. New York: ACM. AKANDE, O. A., APRIL, N. A., & VAN BELLE, J.-P. (2013). Management Issues with Cloud Computing. ICCC (pp. (pp. 119-124). ACM. ANDERSON, K. A. (2015). Evaluating Information Security Solutions. ISACA Journal , Journal , 2 , 36-40. BOHEM, B. (2006). A View of 20th and 21st Century Software Engineering. ICSE’06 (pp. (pp. 20-28). Los Angeles: ACM. BURNETT, M. M., & MYERS, B. A. (2014). Future of End-User Software Engineering: Beyond the Silos. FOSE 14. Hyderabad: ACM. GONZALEZ, M. H. (2015). Internet of Things Offers Great Opportunities and Journal , 2 , 18-23. Much Risk. ISACA Journal , GREENE, F. (2015). Cibersecurity Detective Controls - Monitoring to Identify Journal , 5 , 51-53. and Respond to Threats. ISACA Journal , GREENE, F. (2015). Selected COBIT 5 Procecesses for Essential Enterprise Journal , 2 , 33-35. Security. ISACA Journal , LYRA, M. R. (2015). Checking the Maturity of Security Policies for Information Journal , 2 . and Communication. ISACA Journal , POTTER, M., & PREMKUMAR, G. (1995). Special double issue: diffusion of Database , 26 , pp. technological innovation. (E. R. McLean, Ed.) ACM SIGMIS Database , 105-124. PREIBUSCH, S. (1 de Maio de 2015). Privacy Behaviors After Snowden. Communications of the ACM , ACM , 58 , pp. 48-55.
159
Governança da Segurança da Informação ROSS, S. J. (2015). Information Security Matters: Cyberwhatsit. ISACA Journal , 2 . SHARKASI, O. Y. (2015). Addressing Cybersecurity Vulnerabilities. ISACA Journal , Journal , 5 , 19-29. VOHDRASKY, D. (2015). A Practical Approach to Continuous Controls Journal , 2 , 41-47. Monitoring. ISACA Journal , WEINBERG, G. M. (1971). The Psychology of Computer Programming,. New York: Van Nostrand Reinhold. WLOSINSKI, L. G. (2015). Cloud Insecurities. ISACA Journal , Journal , 2 , 28-32.
Sobre o autor
Mestre em Gestão do Conhecimento e da Tecnologia da Informação, professor nos cursos de Pós Graduação de Gerência de Projetos de TI e Governança de TI do UniCEUB. Professor nos cursos de Engenharia de Computação e Ciência da Computação do UniCEUB desde desde 2001. Coordenador do Projeto Fábrica de Software do UniCEUB. Membro certificado do PMI e Diretor do ISACA-DF. Atua na área de Tecnologia da Informação há mais de 15 anos principalmente como Gerente de Portfólio de Projetos de TI. TI. Coordenou projetos nas áreas de finanças, logística, comercial e de implantação de processos de qualidade e maturidade de software. Atualmente é Coordenador de Processos e Produtos de Software da Empresa Brasileira de Pesquisa Agropecuária (EMBRAPA)
160
Governança da Segurança da Informação
SOBRE O ORGANIZADOR
Doutor em Ciência da Informação pela Universidade de Brasília – UNB. Professor nos cursos de Pós-Graduação de Gerência de Projetos de TI e Governança de TI do UniCEUB. Professor nos cursos de Engenharia de Computação e Ciência da Computação do UniCEUB. É certificado PMP, ITIL, COBIT, RUP, CTFL Certified Tester, MCSO – Segurança da Informação, OCUP – OMG Certified UML Professional e IT Service Management – ISO/IEC 20000. Profissional da área de TI desde 1987, atuando em diversas áreas do setor público e privado. Autor do livro Segurança e Auditoria em Sistema de Informação, publicado pela Editora Ciência Moderna em 2008.
161