INFOSEC COUNCIL – 237. COBIT, ITIL, NBR 17799: OS PADRÕESO uso, pela Organização, de práticas comprovadas identifica que e...
INFOSEC COUNCIL – 24 INFOSEC COUNCIL – 25ação da Governança de TI, para Diretrizes de Auditoria e para a Segurança da Info...
INFOSEC COUNCIL – 26 INFOSEC COUNCIL – 27Os Processos de Apoio são:• SLA;• Segurança;• Informação;• Rede e Operações.Como ...
INFOSEC COUNCIL – 28 INFOSEC COUNCIL – 292) Foi criada uma seção específica sobre Análise/Avaliação e tratamento de riscos...
INFOSEC COUNCIL – 30 INFOSEC COUNCIL – 31PORQUE ADOTAR A NBR ISO IEC 17799:2005As normas publicadas pela Organização Inter...
INFOSEC COUNCIL – 328. PROGRAMAS DE CONSCIENTIZAÇÃO EM SIQual o valor informação que você possui?A pergunta acima é fundam...
INFOSEC COUNCIL – 34 INFOSEC COUNCIL – 35a cada informação produzida uma nota que expresse o seu valor. Feito isso, verifi...
INFOSEC COUNCIL – 37A lista, que nunca se esgota, inclui planos estratégicos, tecnologia, listas de clientes, dados de fun...
INFOSEC COUNCIL – 38 INFOSEC COUNCIL – 3910. SI EXTRAPOLANDO A ORGANIZAÇÃOQuanto mais o Usuário praticar a segurança, mais...
INFOSEC COUNCIL – 4012. CONCLUSÃOPor muito tempo – e ainda hoje – considerada como um “departamento” ou sim-plesmente uma ...
INFOSEC COUNCIL – 42 INFOSEC COUNCIL – 43• A Auditoria Interna, inclusive a de Sistemas, deve zelar para que as regras de ...
Catalogo parte2
Próximos SlideShares
Carregando em…5
×

Catalogo parte2

126 visualizações

Publicada em

0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
126
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
0
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Catalogo parte2

  1. 1. INFOSEC COUNCIL – 237. COBIT, ITIL, NBR 17799: OS PADRÕESO uso, pela Organização, de práticas comprovadas identifica que elaestá alinhada com padrões internacionais e facilitará qualquer audi-toria ou avaliação da organização no que se refere à proteção dainformação.O Profissional de Segurança deve desenvolver ações alinhadascom as melhores práticas para a proteção e controle da infor-mação. Como padrões de mercado aceitos e seguidos pelagrande maioria das organizações e governos encontram-se oCOBIT, ITIL e a Norma NBR ISO/IEC 17799.Essas práticas recomendam a existência de processo formal deconscientização em segurança da informação, porém, não orien-tam como fazer essa conscientização. Então, por que devemos considerar essas práticas? Porque, de algu-ma forma, estaremos seguindo ou respondendo questionamentos que tomam por base essas práticas.Além disso, todas as melhores práticas enfatizam que o elo mais fraco da segurança é exatamente o serhumano.Precisamos estar cientes que cada uma dessas práticas tem abordagem e escopo diferentes. Neste capí-tulo, faremos uma breve descrição de cada um desses 3 padrões e sua inter-relação com a SI.COBIT - COMMON OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGYO COBIT é uma estrutura de relações e processos para dirigir e controlar o ambiente de TI, orientan-do-a às metas da Organização e oferecendo métricas estruturadas com base no BSC em suas 4 perspec-tivas: Financeira, Clientes, Processos e Inovação/Aprendizado.Além da Auditoria de Sistemas, o COBIT é muito utilizado para a Governança de TI, seguindo padrõespara um ambiente globalizado.Cronologia de evolução do COBIT:• 1996: 1ª versão elaborada pela ISACF - Information Systems Audit and Control Foundation;• 1998: 2ª versão, incluindo documentação de alto nível, controles, objetivos detalhados ecriação do ImplementationTool Set;• 2000: 3ª versão, com o foco em Governança de TI;• 2005: versão 4, com adequações para melhor integração com regulamentações e compliance(Basiléia e Sarbanes-Oxley).O COBIT não exclui qualquer padrão aceito para controles de Segurança da Informação e Auditoria; eleos agrega às suas recomendações! Por exemplo:• Padrões técnicos: ISO, EDIFACT etc.;• Códigos de conduta: OECD, ISACA, Conselho Europeu etc.;• Critérios de Qualificação para Sistemas e Processos de TI: ITSEC, TCSEC, ISO9000, SPICE,TickIT, Common Criteria etc.;• Padrões profissionais para Auditoria: COSO, IFAC, AICIPA, CICA, ISACA, IIA, PCIE, GAO.O COBIT 4.0 trata TI em 4 dimensões, denominados Domínios:• Planejar e Organizar: Implica uma visão estratégica para a Governança de TI, que busca amelhor realização dos objetivos organizacionais na área tecnológica;• Adquirir e Implementar: Qualifica tanto a Identificação de soluções a serem desenvolvi-das e/ou adquiridas como a implementação e integração ao ambiente, assegurando que ociclo de vida destas soluções é adequado ao ambiente organizacional;• Entregar e Suportar: Domínio responsável em verificar o tratamento de serviços deman-dados pelos processos de Negócios, recursos para a continuidade operacional, o treinamento ea segurança das operações. É neste domínio que se assegura a entrega de informações atravésdo processamento de dados dos sistemas aplicativos, bem como todo o suporte necessário parasua operação no mal ou em situações anômalas;• Monitorar: Administra o processo de controles da organização de TI e a garantia de inde-pendência nas Auditorias existentes. É fundamental para avaliar contínua e regularmente aqualidade e a conformidade dos controles implantados.Nesses 4 domínios existem, de forma detalhada, 34 processos de controles de alto nível e para estesprocessos foram criados 318 objetivos de controles necessários para analisar e atender aos requisitos deTI e, conseqüentemente, aos objetivos do Negócio.Como resultado de avaliação desses objetivos, criam-se as estratégias para mitigação de riscos existentes,baseados nos resultados obtidos.Para cada um dos 34 processos, o COBIT contempla os Fatores Críticos de Sucesso e determina osIndicadores de Resultados (KGI) e Indicadores de Performance (KPI), que geram as métricas para a avali-INFOSEC COUNCIL – 22
  2. 2. INFOSEC COUNCIL – 24 INFOSEC COUNCIL – 25ação da Governança de TI, para Diretrizes de Auditoria e para a Segurança da Informação.O COBIT apresenta um modelo para atestar a maturidade de cada processo em uma escala de 5 está-gios possíveis, sendo eles:0 – Não existe;1 – Inicial;2 – Repetível e intuitivo;3 – Processos definidos;4 – Gerenciados;5 – Processos otimizados.Para o Security Officer, o COBIT é utilizado como um modelo para um Programa de Segurança daInformação, INTEGRANDO segurança com os objetivos de TI relacionados aos negócios e tambémestruturando Políticas, Normas e Procedimentos de Segurança da Informação.Nos Processos, existem objetivos focados para SI, tais como:DS5: Garantir a Segurança dos Sistemas;PO9: Avaliar e Gerenciar Riscos de TI;DS3: Gerência de Performance e Capacidade;DS7:Treinamentos a Usuários;DS10: Gerência de Problemas e Incidentes;DS12: Gerência de Ambientes (Segurança Física).A estratégia do COBIT 4.0 faz com que ele assuma diversas funções dentro da Organização:• Uma Ferramenta: para a Governança de TI;• Aderência da TI ao Negócio: Requisições orientadas e fundamentadas das áreas-fim daOrganização, atendendo aos objetivos estratégicos;• Garantia de Qualidade: Harmonia e detalhamento para atender aos padrões e práticas de mer-cado, tais como: ITIL, ISO 17799, PMBOK e PRINCE2;• Gestão de Risco: Controles objetivos e detalhados;• Governança Corporativa: habilita e facilita a Arquitetura empresarial (RACI–Responsible,Accountable, Consulted and Informed);• Procedural: Definição de fluxos e processos de TI;• Comunicação:Unifica a linguagem e divulga os processos deTI,em todos os níveis da Organização;• Feedback: estimula os comentários, sugestões e recomendações de evolução.Referências:IT Governance Institute – COBIT 3.0 e 4.0 www.itgovernance.org e www.isaca.orgInformation System Control Journal volume 6 2005VALMIR SCHREIBER, CISA – presidente da ISACA-SPITIL – IT INFASTRUCTURE LIBRARYO ITIL é um conjunto de padrões que provê os fundamentos para o processo de gerenciamento dosrecursos tecnológicos daTI.Apresenta uma abordagem prática dos processos de produção e entrega dosserviços, baseada em experiência. Seu foco, portanto, é no serviço prestado pela TI das Organizações,visando aumentar a qualidade desses serviços.Na Gestão de Segurança, o ITIL possui um processo específico para a Segurança da Informação, enfati-zando a importância do adequado gerenciamento da SI e considerando os SLA’s entre os processos doNegócio e os daTI.Além disso, recomenda que o gerenciamento de Segurança é parte integrante do tra-balho de cada Gerente, em todos os níveis.FUNDAMENTOS - Valor da Informação:• Confidencialidade;• Integridade;• Disponibilidade;• Privacidade;• Anonimato;• Autenticidade;• Não Repúdio.NEGÓCIOTECNOLOGIAPLANEJAMENTODA SEGURANCASLA
  3. 3. INFOSEC COUNCIL – 26 INFOSEC COUNCIL – 27Os Processos de Apoio são:• SLA;• Segurança;• Informação;• Rede e Operações.Como itens fundamentais para a Segurança, o ITIL recomenda fortemente alguns procedimentos quepossibilitam essa evolução:• Catálogo de Serviços: a TI deve publicar na Organização um descritivo de seus serviços, comas respectivas condições, que atendem a cada requisito do Negócio;• OLA’s (Operational Level Agreement): deve ser estabelecido com cada tomador INTERNO deserviço; é um SLA mais“enxuto”, mas prevendo integralmente os serviços e suas condições, inclu-sive custos internos;• UC’s – Underpinning Contracts: são aqueles estabelecidos com provedores externos, nos quaisdevem ser previstas todas as condições, incluindo bônus, penalidades, condições de saída, etc;• BD dos ativos existentes e suas configurações atualizadas, incluindo SW, HW, documentaçãoatualizada, Procedimentos e classificação quanto à Segurança (ver quadro “Valor da Informação”,acima);• Criação de um Service Desk como ponto focal de contato para todos os Usuários de TI; é aárea “dona” de todos os incidentes e seu foco é a continuidade de serviço e manutenção do SLA;incluem-se aí os incidentes de Segurança;• Gestão de Problemas: nessa área são estudados os incidentes, determinando sua relação, causase medidas para evitá-los; essa abordagem permite detectar “brechas” de Segurança e deve pre-ver forte documentação dos incidentes e soluções;• Gestão de Mudanças: coordena TODAS as mudanças em infra-estrutura de TI, apóia-se na do-cumentação dos incidentes e é responsável end-to-end da mudança;OBS: Falhas na Gestão de Mudanças são, historicamente, as causas mais freqüentes de incidentesde Segurança.ATUAÇÃO RECOMENDADA:O ITIL é dividido em 10 Processos Principais e 4 Processos de Apoio (satélites). Os Processos Principaissão agrupados em dois Grupos:Grupo de Suporte aos Serviços (Service Support Set):• Gestão de Configuração e de Ativos;• Controle de Incidentes / Help Desk;• Gestão de Problemas;• Gestão de Mudanças;• Gestão de Liberação.Grupo de Serviços Prestados (Service Delivery set):• Gestão de Níveis de Serviço (SLA);• Gestão de Disponibilidade;• Gestão de Desempenho e Capacidade;• Plano de Continuidade de Negócios;• Custeio e Gestão Financeira.Prevenção/ReduçãoDetecçãoRepressãoCorreçãoAvaliaçãoAmeaçaIncidenteDanosRecuperação
  4. 4. INFOSEC COUNCIL – 28 INFOSEC COUNCIL – 292) Foi criada uma seção específica sobre Análise/Avaliação e tratamento de riscos. Essa seção recomen-da que:a. A análise/avaliação de riscos de SI inclua um enfoque para estimar a magnitude do risco e acomparação contra critérios definidos;b.As análises/avaliações de riscos de SI periódicas, contemplando as mudanças nos requisitos de SI ena situação de risco;c.A análise/avaliação de riscos de SI tenha um escopo claramente definido, que pode ser em todaa Organização ou em parte dela.A análise/avaliação de riscos é uma das três fontes principais para que uma Organização identifique osseus requisitos de SI, além de legislações vigentes, estatutos, regulamentações e cláusulas contratuais quea Organização deva atender; e os princípios, objetivos e requisitos do negócio que venha apoiar as ope-rações da Organização.3) Existe uma nova definição de SI, agora contemplando outras propriedades: autenticidade, não repúdioe confiabilidade. Os componentes principais para a preservação e proteção da informação, como a con-fidencialidade, a integridade e a disponibilidade, foram mantidos na nova definição.4) O conceito de ativos foi ampliado para incluir pessoas e imagem/reputação da Organização, além dosativos de informação, ativos de software, ativos físicos e serviços já existentes na versão 2000.5) Uma nova seção sobre Gestão de Incidentes de SI.6) Os controles existentes foram atualizados, melhorados e incorporados com outros controles.7) 17 novos controles foram incorporados na versão 2005.No Brasil, a ABNT (Associação Brasileira de Normas Técnicas) lançou no dia 24/08/2005 a versão NBRISO IEC 17799:2005; a partir de 2007 será numerada como NBR ISO IEC 27002.• Comitê de Mudanças: autoriza, avalia e aceita as mudanças necessárias; deve ter representantesde todas as áreas (TI, Segurança e Negócio); facilita a introdução das medidas de Segurança e suaevolução; detecta novas vulnerabilidades;• Gestão de Liberação: seu objetivo é controlar a implantação e a distribuição de novas versõesde SW; sua ação é disparada pelo Comitê de Mudanças e controla todos os SW corretos, reco-nhecidos, registrados, legais e autorizados; deve prever sempre uma situação de rollback em casode problemas.Referências:www.itsmf.com • www.itsmf.com.br • www.itil.com.uk • www.cert.br • www.itil.org.ukValmir Schreiber – presidente da ISACA-SPAstor Calasso – diretor da ISACA-SPA NORMA NBR ISO IEC 17799:2005A NBR ISO IEC 17799 é um código de boas práticas para a gestão da Segurança da Informação, atua-lizado pelo Comitê Internacional da ISO IEC.Aprovada pela ISO (em Genebra - 15/06/2005), é o resultado de um trabalho de cinco anos, que envolveaproximadamente 100 especialistas em SI de 35 Países.Mais de 4500 comentários foram analisados e discutidos nas várias reuniões realizadas em Seoul, Berlin,Varsóvia, Québec, Paris, Cingapura, Fortaleza e Viena, entre 2001 e 2005.A nova versão apresenta os mais modernos conceitos sobre Gestão da Segurança da Informação exis-tentes no mercado. As principais mudanças foram:1) Tornou a norma “user friendly”, ou seja, de fácil leitura e entendimento. Apresenta o OBJETIVO DOCONTROLE, define qual o CONTROLE a ser implementado e apresenta DIRETRIZES para a sua imple-mentação. Além disso, ainda apresenta INFORMAÇÕES ADICIONAIS, como, por exemplo, aspectoslegais e referências a outras normas.
  5. 5. INFOSEC COUNCIL – 30 INFOSEC COUNCIL – 31PORQUE ADOTAR A NBR ISO IEC 17799:2005As normas publicadas pela Organização Internacional de Normalização, a ISO, têm uma grande aceitaçãono mercado. Um exemplo disso é a norma ISO 9001:2000, que trata da Gestão da Qualidade, conside-rada como a mais difundida norma da ISO que existe no mundo.No caso da NBR ISO IEC 17799, que é um Código de Boas Práticas para a Segurança da Informação, asua aplicação é um pouco mais restrita que a ISO 9001:2000, pois ela não é uma norma voltada para finscertificação.Entretanto, a NBR ISO IEC 17799 pode ser usada pela maioria dos setores da economia, pois todas asOrganizações, independentemente do seu porte ou do ramo de atuação, do setor público ou privado,precisam proteger as suas informações sensíveis e críticas.As principais recomendações da NBR ISO IEC 17799 estão detalhadas nas 11 seções abaixo, totalizando39 categorias principais de SI:• Política de Segurança da Informação;• Organizando a Segurança da Informação;• Gestão de Ativos;• Segurança em Recursos Humanos;• Segurança Física e do Ambiente;• Gerenciamento das Operações e Comunicações;• Controle de Acesso;• Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação;• Gestão de Incidentes de Segurança da Informação;• Gestão da Contunuidade de Negócios;• Conformidade.A NOVA FAMÍLIA DA NORMAS ISO IEC 27000Como forma de dar suporte à implantação da ISO IEC 27001:2005,o Comitê da ISO IEC que trata da segu-rança da informação decidiu pela criação de uma família de normas sobre Gestão da Segurança daInformação. Esta família foi batizada pela série ISO IEC 27000, a exemplo da série ISO 9000 das normas dequalidade e da série ISO 14000 das normas sobre meio ambiente.Esta nova família estará relacionada com os requisitos mandatórios da ISO IEC 27001:2005, como, porexemplo, a definição do escopo do Sistema de Gestão da Segurança da Informação, a avaliação de riscos,a identificação de ativos e a eficácia dos controles implementados.Na reunião do Comitê ISO IEC, em Nov/2005 (Kuala Lumpur-Malásia), foram aprovadas as seguintes nor-mas e projetos de norma desta nova família:Número: ISO IEC NWIP 27000 (NWIP= New Work Item Proposal)Título: Information Security Management Systems – Fundamentals and VocabularySituação: Ainda nos primeiros estágios de desenvolvimento. Previsão de publicação como norma inter-nacional: 2008/2009.Aplicação: Apresentar os principais conceitos e modelos de SI.Número: ISO IEC 27001:2005Título: Information Security Management Systems - RequirementsSituação: Norma aprovada e publicada pela ISO em 15/10/2005. A ABNT publicará como NormaBrasileira NBR ISO IEC 27001 no primeiro trimestre de 2006.Aplicação: Todas as Organizações; define requisitos para estabelecer, implementar, operar, monitorar,revisar, manter e melhorar um SGSI. É a norma usada para fins de certificação e substitui a norma BritânicaBS 7799-2:2002. Será a base para as Organizações que desejem implantar um SGSI.Número: ISO IEC 27002:2005 (Atual ISO IEC 17799)Título: Information Technology – Code of Practice for IS ManagementSituação: Norma aprovada e publicada pela ISO em 15/06/2005. No Brasil, a ABNT publicou comoNorma Brasileira NBR ISO IEC 17799 no dia 24/08/2005. A partir de 2007, será numerada como NBRISO IEC 27002.Aplicação: Guia prático de diretrizes e princípios gerais para iniciar, implementar, manter e melhorar agestão de SI em uma Organização. Os objetivos de controle e os controles atendem aos requisitos iden-tificados na análise/avaliação de riscos.Número: ISO IEC 1 st WD 27003Título: Information Security Management Systems - Implementation GuidanceSituação: Em desenvolvimento, denominado de WD - Working Draft. Previsão de publicação comonorma internacional: 2008-2009.Aplicação: Fornecer um guia prático para implementação de um SGSI, baseado na ISO IEC 27001.
  6. 6. INFOSEC COUNCIL – 328. PROGRAMAS DE CONSCIENTIZAÇÃO EM SIQual o valor informação que você possui?A pergunta acima é fundamental para iniciar a maioria das campanhas sobre segurançada informação em empresas ou instituições.Na verdade, quando falamos em segurança da informação não nos referimos apenasa algo que pertence somente à instituição na qual realizamos o nosso trabalho.A segu-rança da informação traz consigo um pouco de cada um de nós porque somos nósquem produzimos a informação. Portanto, alterar as informações institucionais é omesmo que alterar informações pessoais, e ninguém deseja ter sua privacidade inva-dida ou seus segredos íntimos revelados. A preservação da intimidade é algo naturalàs pessoas e às sociedades humanas.É por esse motivo que o responsável pela conscientização em relação à segurança da informação deveiniciar seu trabalho pelas pessoas que trabalham na instituição e expandir gradativamente sua conscienti-zação para a sociedade. Somente assim poderá atingir corações e mentes, sensibilizando-os para um tematão delicado e com presença tão constante na sociedade contemporânea.Vejamos um pequeno exemplo de como fazer um trabalho de conscientização.Tomaremos como exem-plo o relato de uma experiência sobre a utilização do e-mail coorporativo.Certa vez, trabalhando em uma Organização pública eu precisava alertar as pessoas das vulnerabilidadesa que elas estavam expostas ou que expunham suas instituições com o simples uso do e-mail via Internet.Então enviei, durante uma campanha de conscientização, um e-mail com o seguinte texto, que expressa amais pura verdade técnica:“Você sabia que os administradores dos servidores de rede, em especial os dos servidores de e-mail, podem lerseus e-mails com grande facilidade?”Como podemos constatar, o e-mail acima teve por objetivo despertar no Usuário um sentimento deinvasão de privacidade, já que o fato nele relatado não é de conhecimento da maioria das pessoas queutilizam os sistemas de correio eletrônico.As reações ao e-mail foram diversas. A primeira veio da área de Tecnologia da Informação, que nos acusouNúmero: ISO IEC 2nd WD 27004Título: Information Security Management - MeasurementsSituação: Vários comentários já foram discutidos e incorporados ao projeto. Previsão de publicaçãocomo norma internacional: 2008-2009.Aplicação: Fornece diretrizes com relação a técnicas e procedimentos de medição para avaliar a eficá-cia dos controles de SI implementados, dos processos de SI e do SGSI.Número: ISO IEC 2 nd CD 27005Título: Information Security Management Systems - Information Security Risk ManagementSituação: Em estágio avançado, vem sendo discutido há mais de 2 anos. Previsão de publicação comonorma internacional: 2007.Aplicação: Fornece diretrizes para o gerenciamento de riscos de SI.Ariosto Farias Jr. – Delegado do Brasil do Comitê ISO IEC JTC1/SC27, Coordenador do ABNT/CB21/SC02 eChairman do THE BRAZILIAN 7799 USER GROUPINFOSEC COUNCIL – 33
  7. 7. INFOSEC COUNCIL – 34 INFOSEC COUNCIL – 35a cada informação produzida uma nota que expresse o seu valor. Feito isso, verifique se algum documen-to importante será deixado sobre a mesa após o fim da rotina diária ou mesmo numa simples saída parao almoço.Como poderemos verificar, é muito fácil fazer uma campanha de segurança quando buscamos envolvernossos colaboradores e executivos de forma pessoal. Outro fator muito importante é solicitar a colabo-ração de todos os setores da empresa. Faça uma pequena reunião com todos: jurídico, recursos humanose capacitação. Conscientize todos sobre a importância de sua participação para o sucesso da ação.Você tem em mãos um assunto que está na moda.Todos nós estamos permanentemente expostos aosriscos na sociedade moderna. Ajudar as pessoas com a sua proteção pessoal é a melhor maneira de secriar um ambiente positivo em relação à segurança da informação no mundo corporativo.Ao compreendermos o valor das informações que estão em nossas mãos poderemos aumentar o nívelde segurança na sociedade, e isso só é possível pela conscientização. Lembre-se de João Batista, aquelepersonagem bíblico que falava que era a voz que clamava no deserto. O responsável pela segurança dainformação é o João Batista da instituição.TC João Rufino de SalesRevisão – Marcelo Felipe Moreira Persegona M.S.C.de quebrar a confiança do Usuário na sua área e aproveitaram a oportunidade para informar que jamaisos administradores da instituição fizeram qualquer tipo de acesso a contas particulares dos servidores. Asegunda reação veio dos Usuários, que queriam saber se realmente essa prática existia na instituição. Paraacalmar os ânimos, comunicamos que o e-mail apenas informava que era fácil aos administradores de redeterem acesso a tudo que trafega pela sua rede de computadores, e que o alerta contido no e-mail nãosignificava que os mesmos estivessem fazendo isso.Polêmica à parte, a maioria dos nossos Usuários, a partir de uma simples mensagem de e-mail, ficou bas-tante conscientizada da necessidade de cuidar do que escrevem em suas mensagens eletrônicas, e apren-deram que a única mensagem segura para se postar em um e-mail é aquela que em nenhuma hipóteseas comprometeriam - a qual poderia ser lida por qualquer um durante o percurso entre o emissor e odestinatário.Outro ponto interessante que pode ser tratado com facilidade diz respeito à classificação das infor-mações.Toda informação, seja ela da instituição ou pessoal, tem um valor intrínseco, mas somente algu-mas delas possuem potencial para causar prejuízo se forem disponibilizadas de maneira inadequada.Alguns autores dizem que a diferença de uma pessoa bem sucedida e uma pessoa comum é a sua capaci-dade de decidir e separar adequadamente o que é urgente e o que é importante. Com as informaçõesacontece algo bastante semelhante. O segredo do sucesso está em proteger aquelas mais importantes.Quando falamos sobre o assunto nas instituições, a maioria das pessoas pensa assim: “De novo aquelesparanóicos da segurança querendo colocar o carimbo de secreto em todos os documentos e mandan-do aquela cartinha dizendo que quem revelar os segredos vai para rua”. É justamente esse comporta-mento negativo em relação a segurança que precisa ser revertido.O assunto, como disse, é de difícil abordagem e não vale a pena para quem precisa chegar num auditóriofalando sobre a importância da informação e sobre os graus de sigilo adotados pela sua instituição. Aoinvés disso, faça o seguinte: implemente um plano de visitas aos locais de trabalho de cada pessoa, do dire-tor ao mais humilde funcionário, reúna um grupo de no máximo dez pessoas e chegue no horário emque todos estejam envolvidos em suas atividades de rotina. Eu descobri nas minhas visitas que o únicopapel que as pessoas conseguem atribuir de maneira palpável à noção de valor é ao papel moeda. Issomesmo, ao dinheiro. Ele é um excelente assistente para o seu trabalho de informar ao Usuário daimportância de atribuir segurança e proteção às informações.Na maioria das vezes você vai encontrar sobre as mesas um número considerável de documentos semo menor tratamento de segurança, quer seja em meio físico ou digital. Sugira que cada colaborador anexe
  8. 8. INFOSEC COUNCIL – 37A lista, que nunca se esgota, inclui planos estratégicos, tecnologia, listas de clientes, dados de funcionários,orçamentos, dados contábeis e financeiros, idéias, projetos de marketing, planos de fusões e/ou incorpo-rações, estratégias de relações trabalhistas, chegando até a reveses momentâneos e superáveis, mas deimpacto negativo sobre a imagem da empresa.A proteção dessas informações, que estão entre os bens da empresa e integram seus ativos, é parte dasatividades diárias da organização como um todo. Não pode ser vista como responsabilidade de uma áreaisolada, porque as informações estão no meio que as contém (papéis, disquetes, computadores etc.) e,principalmente, na cabeça de qualquer um que delas tenha conhecimento.Qualquer programa de proteção de informações deve, portanto, prever ações de proteção de meios eambientes, além de ser amparado por procedimentos e atitudes dos funcionários, sem o qual não atingiráseus objetivos.Algumas noções podem orientar programas de divulgação, como, por exemplo, a informação, que é de pro-priedade da empresa e não do funcionário; a discrição, que deve orientar as atitudes de proteção; os pro-cedimentos, que devem estar estabelecidos formalmente etc.No ambiente físico, podem ser desenvolvidas ações de proteção sobre documentos em geral, originados daempresa ou a ela destinados. Como regra geral, todos os documentos são importantes e são de pro-priedade da empresa,cabendo dispensar-lhe o devido cuidado no recebimento,transporte,manuseio e guar-da, para que possam produzir o efeito desejado.Essa proteção deve alcançar materiais como impressos, anotações, cópias, carbonos, planos, diagramas, cro-quis, mapas e outros, bem como partes, rascunhos ou fragmentos, além de fotos, negativos, slides, fitas devídeo e outros suportes de imagens, materiais gráficos das diversas fases de produção de documento clas-sificado, materiais de informática de maneira geral, inclusive listagens.A proteção desses documentos e materiais somente será efetiva se acompanhada da proteção dos ambi-entes físicos em que se encontram e aqueles onde são produzidas ou discutidas as informações sensíveis,assim como os sistemas pelos quais essas informações circulam.Esses tópicos são complexos por tratarem da proteção contra monitoramento, transmissão ou intercep-tação de comunicações, quer verbal, quer por telefone, fax, microondas, rádio, Internet ou o que seja, oque exige controle sobre áreas, conhecimento técnico e equipamentos que permitam detecção de dis-positivos, verificação constante de linhas, acompanhamento de manutenções, limpezas, entregas, retiradasde móveis etc.9. AMBIENTE FÍSICO E AMBIENTE VIRTUAL: TRATAMENTOS ISOLADOS?Transmitimos e queremos proteger a informação independente de onde elaesteja: ambiente físico, ambiente virtual ou na mente das pessoas.O ambiente físico deve ser contemplado no processo de conscientizaçãoda informação do Usuário, o que é mais fácil nas empresas onde já existeum bom tratamento das questões de segurança patrimonial. Em geral, nes-sas empresas também já existe uma percepção clara da importância dasnormas e de seu cumprimento, o que faz com que a migração dessa per-cepção para o ambiente virtual se dê de forma natural, desde que esti-mulada.Importante é dar ao Usuário uma visão clara de que as informações a pro-teger estão por toda parte, de modo que os ambientes físico e virtual nãopodem ser tratados de maneira excludente ou isolada.Com efeito, a livre circulação de informações é condição de vida e de trabalho, de acesso a tecnologias ea métodos de produção, o que faz com que ela esteja em toda parte, por necessidade de negócios e deorganização social.Mas a informação também é vital para a atividade criminosa contra as empresas, o que por si justifica aconscientização do Usuário para a importância da proteção das informações nos diversos ambientes emque ela circula.Um programa de proteção e conscientização pode ser amparado pelo conhecimento de alguns cami-nhos possíveis para a realização dessa proteção e pela integração dos Usuários nas medidas de proteção.Essa proteção pode começar por um inventário das informações empresariais a serem protegidas, e aí seincluem todas aquelas que poderão ser utilizadas em prejuízo da empresa se forem do conhecimento deoutras pessoas além das que delas necessitam para realizar seu trabalho.Outra providência é a classificação das informações para efeito de uniformização da linguagem dentro daempresa, além dos critérios de classificação para evitar a inclusão de informações sem maior importância,para que não se deixe de incluir dados que, depois, se percebe que eram vitais.INFOSEC COUNCIL – 36
  9. 9. INFOSEC COUNCIL – 38 INFOSEC COUNCIL – 3910. SI EXTRAPOLANDO A ORGANIZAÇÃOQuanto mais o Usuário praticar a segurança, mais protegida a Organização estará.Segurança da Informação pode ser entendida como o processo de proteger informações garantindo sua inte-gridade, disponibilidade e confidencialidade.A adoção de um modelo corporativo de gestão de segurança da informação permite à organização equa-cionar os desafios de proteção da informação levando em conta elementos essenciais para a segurança:ambientes físico e lógico, pessoas e processos.E por que não extrapolar esse modelo para fora da organização e incorporar as melhores práticas de segu-rança em nossas vidas? A conscientização de nossas famílias no ambiente doméstico é tão importante quan-to no ambiente corporativo.No ambiente físico, podemos considerar o cuidado com as mídias de computador (CDs, disquetes, DVDsetc.) onde são armazenados os backups dos computadores domésticos. O cuidado com o manuseio dospróprios computadores seguindo padrões para instalação elétrica e cabeamento de dados, proteção contradanos ambientais (calor, umidade, chuva etc.) e a restrição de alimentos, bebidas e fumo próximos aosequipamentos.O ambiente lógico traz diferentes ameaças pelo crescente aumento do uso da Internet. O indiscriminadoacesso a diferentes websites abre a possibilidade de infecção dos computadores por softwares maliciososcomo: vírus, bombas lógicas (códigos que permanecem inativos por um determinado período de tempo),cavalos de tróia (códigos maliciosos“disfarçados” de programas inofensivos) e worms (programas que rodamde forma independente).Outro ponto de atenção é o acesso feito a partir de computadores domésticos a websites bancários. Nessecaso, as boas práticas de segurança são tão importantes na empresa como em casa, pois as mais avançadasbarreiras eletrônicas de proteção conseguem bloquear a ação dos fraudadores eletrônicos.Sem orientação adequada, o Internauta doméstico se expõe aos mais variados truques e vulnerabilidadesdos fraudadores eletrônicos, que têm como finalidade o roubo de dados bancários para efetuar transaçõesfinanceiras indevidas.Também os sites de comércio eletrônico, amplamente acessados a partir do ambiente doméstico, merecematenção redobrada quando se faz uso de cartões de crédito para o pagamento de compras eletrônicas.A invasão de sistemas, por seu turno, pode ocorrer por conta da habilidade do invasor, mas pode ocor-rer também por conta de informações obtidas na própria empresa, sem maiores dificuldades, a não serque os Usuários internos estejam bem informados e comprometidos com a proteção.Um Usuário não informado e não comprometido com a empresa pode fornecer informações sensíveis aterceiros nas mais diversas situações, tais como:• Para demonstrar que é bem informado(a);• Compulsivamente, sob o efeito de álcool ou outras drogas;• Em restaurantes e encontros sociais, perto de pessoas que não conhece e que podem estar ali somenteporque ele(a) está e porque sabem que costuma falar demais fora da empresa;• Para agradar pessoas a quem deve favores ou de quem quer favores;• Por dinheiro ou para obter vantagens;• Por estar apaixonado(a) por pessoa cujo objetivo é a informação e que não hesita em jogar comemoções para conseguir seu intento, para uso próprio ou a serviço de outros;• Por estar sendo chantageado(a) etc.A espionagem industrial é desenvolvida para obter segredos empresariais, geralmente associados ao dife-rencial competitivo da empresa visada.Traz imensos problemas para governos, empresas, universidades,institutos de pesquisa e outros.Vemos, então, que é um engano a empresa não dispensar ao assunto a atenção devida; pode ser vítimade espionagem e perder mercado, funcionários, produtos, oportunidades e imagem, sem entender oporquê.A proteção adequada assenta-se sobre a proteção do ambiente físico, do ambiente virtual e deve contarcom a participação consciente dos Usuários nas medidas e programas de proteção, sem a qual as diver-sas barreiras, físicas ou virtuais, poderão ser vencidas de alguma forma.Dioniso Campos – Gerente de Seg. Corporativa / Nextel e VP / ASIS e Ricardo Franco Coelho – CoordenadorSegurança-SP,VP da ASIS e ABSEG
  10. 10. INFOSEC COUNCIL – 4012. CONCLUSÃOPor muito tempo – e ainda hoje – considerada como um “departamento” ou sim-plesmente uma “atividade a mais” dentro da área de Infra-estrutura de TI, aSegurança da Informação sofreu uma radical mudança em sua percepção dentrodas Organizações.Seja pela crescente e cada vez mais complexa regulamentação emergente, queatribui novas e pesadas responsabilidades aos Gestores das Empresas, seja peladiferenciação exigida pelos respectivos mercados, a SI passa a ser percebidapelo Negócio como um atributo fundamental para a consecução dos seusobjetivos estratégicos. Não mais uma restrição de acesso às informações, masum elemento de qualificação dos processos. Não mais como uma questão téc-nica ou tecnológica, mas um fator que permeia toda a cadeia do Negócio e oviabiliza.E, principalmente, não mais uma responsabilidade exclusiva de um técnico enclausurado em uma torresombria, permanentemente debruçado sobre manuais e registros de incidentes, às voltas com temascomo vírus, ataques, hackers, dispositivos sensores de incidentes físicos, falta de energia, links corrompidosetc.A Gestão do Risco tornou-se uma questão de negócio, responsabilizando toda a hierarquia daOrganização, sendo uma preocupação que atinge desde o Board Director até o mais singelo Colaborador.Co-responsabilidade é a palavra chave. Fundamental então se torna a ampla compreensão dessa questão.As diversas Áreas da Organização devem cerrar fileiras em torno do tema estabelecendo verdadeirasparcerias em que a proatividade seja a regra. Por exemplo:• O Gestor do Negócio estabelece os requisitos básicos para a Operação;• O Gestor Jurídico deve analisar amplamente e acompanhar o ambiente legal e fiscal, estabele-cendo as regras de adequação e atendimento às regulamentações internas e externas;• O Gestor Financeiro deve prover o atendimento às imposições dos Acionistas, sua expectativade retorno e, principalmente, de perenidade do Negócio;• O Gestor Operacional deve propor alternativas de processos que atendam às regras defornecimento dos produtos e serviços;• O Gestor deTI (CIO, CTO, Sistemas etc.) deve garantir que as boas práticas estejam presentesem cada sistema, desde a sua concepção;O elemento humano pode ser considerado fator decisivo para a implementação de boas práticas de segu-rança fora da organização. Uma nova modalidade de ataque, chamada engenharia social, vem sendo massi-vamente aplicada em pessoas desinformadas e ingênuas.Os tipos mais comuns de ataques são:• Por telefone: Uma pessoa se identifica como funcionário de uma instituição bancária solicitando aconfirmação ou recadas tramento de dados pessoais;• Por e-mail: Uma mensagem solicitando cadastramento de dados pessoais ou informando pendên-cias financeiras remetem o internauta a websites falsos;• Salas de bate-papo (Chat): Os golpistas vão ganhando a confiança das vítimas até obterem seusdados pessoais, como telefone, endereço residencial, endereço escolar etc.;• Pessoalmente: As pessoas são abordadas geralmente por golpistas bem vestidos, educados e quese expressam muito bem, tentando obter algum tipo de informação.O grande problema é que muitos Internautas domésticos, independentemente da idade, estão dando seusprimeiros passos na Internet e não têm noção dos perigos existentes na “grande rede”.Muitos provedores de acesso à Internet, e principalmente a mídia, têm dado atenção aos golpes exis-tentes e ajudado na divulgação e prevenção.Christiane MeccaINFOSEC COUNCIL – 41
  11. 11. INFOSEC COUNCIL – 42 INFOSEC COUNCIL – 43• A Auditoria Interna, inclusive a de Sistemas, deve zelar para que as regras de negócio sejamrespeitadas e cumpridas com segurança e confiabilidade;• O Gestor de Marketing, junto com o Gestor de RH, deve garantir que as mensagens, asatribuições e a atitude individual esperadas (e exigidas!) de cada Colaborador sejam por ele co-nhecidas, praticadas e sua responsabilidade seja cobrada;• O CSO, por fim, deve observar e fazer observar todas as regras de melhor utilização da TI ede operação dos processos criados.No exemplo acima, pode até parecer que estão simplesmente enumeradas as funções básicas de cadaárea. E é verdade! A melhor garantia de que os processos de uma Organização tenham uma boa atuaçãoe de que os investimentos e a sua própria reputação estejam protegidos é a colocação em prática des-ses princípios fundamentais. Com isso, criar-se-á um ambiente em que as responsabilidades não sejam vis-tas como fronteiras estritamente definidas, mas como uma atribuição constante e permanente; umaquestão maior que a todos envolve e afeta.Uma prática que tem apresentado bons resultados é justamente a criação de Comitês de Segurança daInformação, compostos por representantes de todas as áreas acima mencionadas. É uma forma de unir osdiversos interesses setoriais em torno de uma agenda comum.Não por acaso, este tema de “Formação de Cultura em SI” foi o escolhido como o primeiro trabalho aser tratado pelo INFOSEC COUNCIL. Ele foi derivado exatamente dessa visão compartilhada pelosProfissionais do Grupo, com enorme experiência no tema, de que a Cultura é o ponto primeiro de todoo trabalho a ser desenvolvido pelos Gestores de SI das Organizações.Pouco ou nada adiantará a Organização empregar esforços, investimentos, planejamento e dedicação àSegurança da Informação se isso tudo não for precedido de uma verdadeira “evangelização” de toda aEquipe em prol desse ambiente.Afinal, quando tudo falha, a única coisa que pode fazer a diferença – e faz– é a atitude das pessoas.Em resumo, todo o trabalho em Segurança da Informação deverá sempre compreender um trabalho deinter-relacionamento e de uma verdadeira formação de Espírito de Equipe dentro da Organização.O compartilhamento de objetivos e o alinhamento estratégico são fundamentais.Essa é a base.Astor Calasso - diretor / ISACA-SP

×