66053636 apostila-iso17799-modulo1

533 visualizações

Publicada em

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
533
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3
Ações
Compartilhamentos
0
Downloads
11
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

66053636 apostila-iso17799-modulo1

  1. 1. EntendendoeimplementandoaNormaABNTNBRISO/IEC17799:2005AcademiaLatino-AmericanadeSegurançadaInformaçãoAspectosteóricosepráticosparaimplantaçãodaNormaABNTNBRISO/IEC17799:2005Módulo 1
  2. 2. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 12EntendendoeimplementandoaNormaABNTNBRISO/IEC17799:2005Apostila desenvolvida pelo Instituto Online em parceria com aMicrosoft Informáticahttp://www.instonline.com.br/Revisão 1.0 – março de 2006COORDENADORES TÉCNICOSArthur Roberto dos Santos JúniorFernando Sergio Santos FonsecaPaulo Eustáquio Soares Coelho
  3. 3. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 13COMO USAR ESSE MATERIALEste é um material de apoio para o curso “Entendendo e implementando a ABNT NBRISO/IEC 17799:2005” ministrado pela Academia de Segurança Microsoft. Durante ocurso serão apresentados vários Webcasts com o conteúdo deste materialacompanhado de slides e voz para ilustrar os conceitos e práticas. A cópia dessesslides está em destaque na apostila, seguida de textos com informações que serãoabordadas pelo instrutor nos respectivos Webcasts.LABORATÓRIO :TÍTULOAQUIOs laboratórios de cada módulo do curso são identificados dessa forma eseu roteiro está especificado sob o título.VÍDEOIndica que será apresentado um filme para ilustrar as práticas ou conceitos.
  4. 4. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 14ÍNDICEAPRESENTAÇÃO...............................................................................................................................61 – INTRODUÇÃO: EVOLUÇÃO E CONCEITOS ......................................................................................7Objetivos.........................................................................................................................8Informação: bem que se deve proteger..........................................................................9Evolução da segurança da Informação ........................................................................11O Problema clássico de segurança da informação ......................................................16O que é uma norma?....................................................................................................182 – AS PRINCIPAIS NORMAS DE SEGURANÇA DA INFORMAÇÃO ......................................................... 20Objetivos.......................................................................................................................21ITIL – Information Technology Infraestructure Library..................................................22CobiT – Control Objectives for Information and Related Technology...........................24BS 15000 / ISO 20000– Normas de gestão de serviços ..............................................26BS 7799 - British Standard 7799...............................................................................29ISO/IEC FDIS 17799:2005(E) – Information technology – Security techniiques - Code ofpractice for information security management ABNT NBR 17799:2005 – Tecnologia dainformação – técnicas de segurança – Código de prática para a gestão da segurança dainformação....................................................................................................................31Comparação entre as principais normas......................................................................34Sistema de Gestão de Segurança da Informação – SGSI...........................................35Ferramentas para gerenciamento de TI – (MOF – MSF – BSC).................................373 - INTRODUÇÃO À ABNT NBR/ISO/IEC 17799:2005.................................................................. 41Objetivos.......................................................................................................................42conceitos básicos de Segurança da Informação..........................................................43Objetivos da Segurança da Informação .......................................................................45Como implantar um sistema de sergurança da informação? .......................................47
  5. 5. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 154 – ANÁLISE/AVALIAÇÃO E TRATAMENTO DE RISCOS ...................................................................... 50Objetivo ........................................................................................................................51Analisando/avaliando os riscos de segurança da informação......................................52Tratando os riscos de segurança da informação .........................................................565 – POLÍTICA DE SEGURANÇA DA INFORMAÇÃO .............................................................................. 60Objetivo ........................................................................................................................61O que é uma política de serurança da informação.......................................................62Criando uma política de segurança da informação ......................................................63Conteúdo do documento formal da política de segurança da informação ..................736 – ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO ...................................................................... 76Objetivo ........................................................................................................................77Estruturação da segurança da informação: Gestão de autorização de novos recursos78Estruturação da segurança da informação: Acordos de confidencialidade e sigilo paraacessos de funcionários, parte externa e cliente..........................................................80NORMAS TÉCNICAS ....................................................................................................................... 83REFERÊNCIAS BIBLIOGRÁFICAS ..................................................................................................... 84
  6. 6. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 16APRESENTAÇÃOOs desafios para a implantação de um ambiente de segurança em qualquer empresa,independente do tamanho, são enormes. O maior problema é implementar as políticase normas de segurança em um sistema real, que possui aplicações em funcionamento,hardware em produção, softwares proprietários e de terceiros e, acima de tudo,pessoas. É literalmente como trocar o pneu com o carro andando.Como a maior parte das informações vitais para o sucesso de uma organização resideem computadores, perdas de dados podem ser catastróficas. Os riscos de um negóciocom sistema de segurança da informação inadequado são incalculáveis. Segurança dainformação é manter a confidencialidade, integridade e disponibilidade da informação.Ela abrange muito mais do que a segurança da informação de TI. Ela cobre asegurança de toda e qualquer informação da empresa, esteja ela em meioseletrônicos, papel ou até mesmo na mente dos funcionários.Motivados pela busca de soluções para esses desafios, diversos profissionais devárias áreas e organizações, vêem se esforçando para criar normas que sistematizemo trabalho de criar ambientes seguros de TI. Um desses resultados foi consolidadocom a norma ABNT NBR ISO/IEC 17799:2005. Utilizando-se essa norma, que é umguia de melhores práticas, simplifica-se o trabalho de adoção e implementação depolíticas e padrões definidos, bem como da posterior verificação da conformidade dosresultados alcançados.O objetivo deste curso é entender as características de alguns padrões de segurançae, em especial, fazer um estudo dos códigos de prática para gestão da segurança dainformação contidos na norma ABNT NBR ISO/IEC 17799:2005, proporcionando umentendimento de como implementar, manter e melhorar a gestão da segurança dainformação nas empresas.Ao final deste curso você estará apto a:Entender os padrões empregados para a gestão da segurança da informação;Entender a evolução destes padrões;Descrever os controles contidos na norma ABNT NBR ISO/IEC 17799:2005;Conceituar cada controle da norma;Através de um estudo de caso, implementar a norma em uma empresa.
  7. 7. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 171 – INTRODUÇÃO: EVOLUÇÃO E CONCEITOSNESTE CAPÍTULO SERÃO APRESENTADOS UMA BREVE EVOLUÇÃO DAS NORMAS DESEGURANÇA E OS PRINCIPAIS CONCEITOS DE SEGURANÇA DA INFORMAÇÃO.Módulo2Capítulo1
  8. 8. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 18OBJETIVOSSegurança é um termo que transmite conforto e tranqüilidade a quem desfruta de seuestado. Entender e implementar este “estado” em um ambiente empresarial exigemconhecimento e práticas especializadas que somente são possíveis com o emprego euso de um código de práticas de segurança, contidos em uma norma, como a ABNTNBR ISO/IEC 17799:2005.Neste capítulo veremos alguns conceitos fundamentais para a compreensão dasmetodologias de implantação de segurança da informação, iniciando com um brevehistórico sobre a evolução das normas de segurança da informação. Ao final docapítulo conheceremos as principais normas aplicáveis para se obter um ambienteseguro e eficiente para a informação.Ao final deste capítulo você estará apto a entender:O que é informação;A evolução da segurança da informação;As primeiras práticas de segurança;O problema clássico de segurança da informação;O que é uma norma.
  9. 9. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 19INFORMAÇÃO: BEM QUE SE DEVE PROTEGERO objetivo deste estudo é obter um ambiente seguro para a informação. Mas o que éinformação?Segundo o dicionário Aurélio [1], informação é o conjunto de dados acerca de alguémde ou de algo. Estendendo esse conceito, podemos dizer que a informação é ainterpretação desses dados. De nada vale um conjunto de dados sem que se faça ainterpretação dos mesmos para se extrair um conhecimento útil.As organizações necessitam da informação para tomar decisões objetivando seus fins(o sucesso). Isto mostra o quão poderosa é a informação. Sem ela não há estratégias,não há mudanças ou até mesmo não existiria a empresa. Uma conseqüência naturalda importância da informação é a extrema vulnerabilidade a que a empresa se expõecaso haja perda de dados vitais, como plantas de projetos, planilhas de custos,documentos contábeis, financeiros, etc. Quanto maior for a organização maior será suadependência da informação.A informação pode estar armazenada de várias formas: impressa em papel, em meiosdigitais (discos, fitas, CDs, DVDs, disquetes), na mente das pessoas, em imagensarmazenadas em fotografias e filmes. Quando lidamos com segurança da informação,é necessário pensar em sua confidencialidade, integridade e disponibilidade emqualquer um desses meios, utilizando todos os recursos disponíveis, e não somente ostecnológicos.Devemos tratar a informação como um ativo da empresa com a mesma importânciaque qualquer outro bem palpável. Por isso, deve ser protegida contra roubo, problemasambientais, vandalismo, dano acidental ou provocado.
  10. 10. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 110Quanto mais interconectada for uma empresa, maior será a complexidade dossistemas por onde trafegam e são armazenadas as informações e, conseqüentementemaior será a preocupação com o nível de segurança a ser implantado a fim de garantira confidencialidade, confiabilidade, disponibilidade e integridade da informação que eladetém.A disciplina de segurança da informação trata do conjunto de controles e processosque visam preservar os dados trafegam ou são armazenados em qualquer meio.As modernas tecnologias de transporte, armazenamento e manipulação dos dados,trouxeram enorme agilidade para as empresas, mas ao mesmo tempo trouxeramtambém novos riscos. Ataques de crackers (black hat hackers), de engenharia social,vírus, worms, negação de serviço, espionagem eletrônica são noticiadas pela impressatodos os dias. Diante deste cenário, a segurança da informação torna-se imprescindívelpara as organizações, sejam elas do setor público ou privado.
  11. 11. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 111EVOLUÇÃO DASEGURANÇADAINFORMAÇÃODesde a pré-história, cerca de 20000 anos antes de Cristo (AC), o homem já sentianecessidade de transmitir e perpetuar a informação. Usava pinturas nas pedras paraexpressar seu cotidiano. Em 3500 AC, registrou-se o primeiro sistema de linguagemescrita na Suméria. A partir daí várias civilizações desenvolveram seus própriosmétodos de registro e transmissão da informação, dentre eles podemos destacar:os hieróglifos e o papiro no antigo Egito, em 3000 AC;o ábaco dos babilônios, 1800 AC;os primitivos livros chineses de bambu ou madeira presos por cordas datados de1300 anos AC;o processo chinês de fabricação de papel, de 105 DC alcançando Bagdá em753 DC;a fotografia de 1826;o telégrafo eletromagnético de Samuel Morse, em 1837;as primeiras transmissões de rádio em broadcast em 1917;o primeiro computador digital em 1943.
  12. 12. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 112Todo este processo milenar nos levou até as modernas tecnologias de transmissão earmazenamento digital de dados no século 20 [2].Todos aqueles métodos de armazenamento padeciam de um problema: comopreservar essas informações para que fossem acessadas após sua geração? No ano600 da era cristã o rei Ashurbanipal em Nineveh organizou a primeira biblioteca, cujoacervo sobrevive até os dias atuais com cerca de 20000 placas. É um exemploclássico da necessidade da transmissão da informação armazenada.Desde o início, o desafio era conter as diversas ameaças à informação, algumas dasquais enfrentamos até hoje: incêndios, saques, catástrofes naturais, deterioração domeio de armazenamento.À medida que a sociedade evoluía, a preocupação com a segurança das informaçõesaumentava, principalmente no quesito confidencialidade. Foram criados váriosprocessos de cifragem da informação, que tinham a função de alterar o conteúdo dasmensagens antes de seu envio. Ao capturar uma mensagem o inimigo obtinha apenasum texto cifrado e não a mensagem original. Isso permitiu que segredos e estratégiasfossem trocados de forma segura entre aliados. Por exemplo, a cifragem de César foiusada para troca de informações entre os exércitos durante o império romano; amáquina de cifrar “Enigma” foi utilizada como uma grande arma de guerra pelosalemães durante o período da segunda grande guerra. Atualmente a criptografia e aesteganografia continuam sendo largamente utilizadas em diversas aplicações detransferência e armazenamento de dados.O surgimento dos computadores e de sua interconexão através de redesmundialmente distribuídas permitiu maior capacidade de processamento e dedistribuição das informações. Com essa capacidade de comunicação, surgiu também anecessidade da criação de mecanismos que evitassem o acesso e a alteraçãoindevida das informações. Como resultado surgiram várias propostas e publicações denormas de segurança em todo o mundo.
  13. 13. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 113Conforme Chappman [3], o ano de 1967, foi o ano em que a segurança decomputadores passou a ter atenção oficial nos Estados Unidos. Nesta época foi criadauma força tarefa cujo foco era a construção de mecanismos de segurança decomputadores que deveriam ser desenvolvidos para prover a proteção de informaçõesclassificadas e do compartilhamento de recursos do sistema; este esforço resultou emum documento denominado Security Controls for Computer Systems: Report ofDefense Science Boad Task Force on Computer Security editado por W. H. Ware [4].Este relatório representou o trabalho inicial de identificação e tratamento do problemaclássico de segurança de computadores.Em 1978, o Departamento de Defesa dos Estados Unidos, publicou um conjunto deregras para avaliação da segurança das soluções disponibilizadas. Ficou conhecidocomo “The Orange Book”. Em 1978, teve início o processo de escrita do Orange Book,denominado DoD 5200.28-STD, que foi concluído em 15 de agosto 1983, com odocumento CSC-STD-001-83 - Library No. S225,711 - DEPARTMENT OF DEFENSETRUSTED COMPUTER SYSTEM EVALUATION CRITERIA (TCSEC) [5].Paralelamente foi publicado o documento An Introduction to Computer Security: TheNIST Handbook [6], proposto pelo National Institute of Standards and Technology -U.S. Department of Commerce.Para facilitar sua aplicação, as normas de segurança foram divididas em várioscontroles. Cada controle seria responsável por atender a um dos quesitos da norma. Ouso de controles permite uma visão modular da questão da segurança e a aplicaçãocontextualizada das normas às organizações.À medida que as organizações cresciam, as redes de computadores e os problemasde segurança também cresciam. Não demorou muito para ficar claro que protegersomente os sistemas operacionais, as redes e as informações que trafegavam por elasnão era o suficiente. Com isto, foram criados comitês com o objetivo de desenvolvermecanismos mais eficientes e globais de proteção à informação. Desses pode-sedestacar o Comercial Computer Security Centre, criado pelo governo britânico e quepublicaria mais tarde a norma BS-7799.A BS-7799 foi a primeira norma homologada a apresentar soluções para o tratamentoda informação de uma maneira mais ampla. Segundo esta norma, todo tipo deinformação deve ser protegido, independentemente da sua forma de armazenamento,seja analógica ou digital, e de seu valor para a organização. No ano de 2000, houve ahomologação da primeira parte da BS-7799 pela ISO. Esta homologação originou aNorma Internacional de Segurança da Informação - ISO/IEC 17799, sendo compostapor 10 macros controles, cada qual subdividido em controles específicos.Em abril de 2001, a versão brasileira da norma ISO foi disponibilizada para consultapública. Em setembro do mesmo ano a ABNT homologou a versão brasileira quepassou a ser denominada NBR ISO/IEC 17799:2000. A Norma trouxe mais do que
  14. 14. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 114vários controles de segurança. Ela permitiu a criação de um mecanismo de certificaçãodas organizações, através da BS 7799-2 e posteriormente através da ISO 27001.Em 30 de setembro de 2005, passou a ter validade a segunda edição atualizada danorma brasileira. Foi publicada sob o número ABNT NBR ISO/IEC 17799:2005, que éequivalente à norma ISO/IEC 17799:2005, entrando em vigor a partir de novembro de2005.Uma família de normas está atualmente em desenvolvimento e adotará um esquemade numeração usando uma série de números 27000 em seqüência. Incluem normassobre requisitos de sistemas de gestão da segurança da informação, gestão de riscos,métricas e medidas, e diretrizes para implementação, tais como [7]:ISO 27000 - Contém vocabulário e definições utilizados nas normas da série ISO27000. Em desenvolvimento, tem sua publicação prevista para 2008 e deve absorver aISO Guide 73 - Risk Management Vocabulary.ISO 27001 - publicada em outubro de 2005, substitui a BS7799-2, tornando-se anorma para certificação da segurança da informação. Nesta norma são organizados osrequisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhoraro SGSI (Sistema de Gestão da Segurança da Informação, ou ISMS, InformationSecurity Management System da sigla em inglês).ISO 27002 - organiza os controles de segurança da informação, reunindo as melhorespráticas para a segurança da informação realizada mundialmente. Trata-se narealidade da ISO 17799:2005.ISO 27003 – Não oficialmente trajar-se-á de um guia de implementação.ISO 27004 - Information Security Management Metrics and Measurement, voltadapara a medição da efetividade da implementação do SGSI e dos controles desegurança da informação implementados. Encontra-se em desenvolvimento e a suapublicação deverá ocorrer em 2007.ISO 27005 - Novo padrão para gerenciamento de riscos, deverá substituir a BS7799-3em 2007. Reunirá diretriz e orientação para a identificação, avaliação, tratamento egestão suportada dos riscos sobre os recursos do escopo compreendidos no SGSI.ISO 27006 - Este documento tem o título provisório de "Guidelines for information andcommunications technology disaster recovery services", baseada na SS507, padrão deSingapura para continuidade do negócio e recuperação de desastres. Ainda semprevisão para publicação.
  15. 15. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 115Diversas iniciativas de organizações governamentais já aplicam normas específicasinternas baseadas em normas internacionais e nacionais. No Brasil a política desegurança da Informação nos órgãos e nas entidades da administração pública federalé regulamentada através do Decreto Presidencial No3.505, de 13 de junho de 2.000.Esse decreto enfatiza em seu artigo 3oinciso I, o seguinte objetivo:“dotar os órgãos e as entidades da Administração Pública Federal de instrumentosjurídicos, normativos e organizacionais que os capacitem científica, tecnológica eadministrativamente a assegurar a confidencialidade, a integridade, a autenticidade, onão-repúdio e a disponibilidade dos dados e das informações tratadas, classificadas esensíveis” [8].Esse decreto representa a importância que as entidades devem dar à segurança dainformação. Atendendo a esse decreto, diversos organismos governamentaisdesenvolvem seus códigos de boas práticas em segurança da informação que devemser seguidos pelas pessoas que de alguma forma estão relacionadas com osambientes informatizados.Empresas privadas também se valem dos códigos de conduta propostos pelas normas,a fim de obterem a certificação de segurança da informação, garantindo relações denegócio com seus parceiros e clientes, em que a mútua confiança no sigilo dainformação é imprescindível.
  16. 16. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 116OPROBLEMACLÁSSICO DE SEGURANÇADAINFORMAÇÃOUm dos grandes trunfos da grande expansão dos sistemas computacionais é a enormefacilidade de compartilhamento de recursos e informações. Os benefícios que aconectividade em rede, em especial a Internet, proporciona a toda a humanidade,dispensam maiores comentários. Porém, essa conectividade pode expor oscomputadores e as redes como um todo a diversas ameaças.A partir da década de 90, o boom da Internet trouxe também o boom dos ataques àsredes de computadores. A segurança de dados deixou de ser apenas umapreocupação com a perda da informação devido a um acidente com os meios dearmazenamento ou a uma operação indevida do usuário. Tem-se agora a ameaça deataques via rede, podendo haver roubo das informações, vandalismos que asdestruam ou simplesmente técnicas de negação de serviço impedindo o acesso aosdados.Outra grande fonte de ameaça é o ataque interno, esse muitas vezes até mais difícil deser contido devido ao nível de acesso e a proximidade que usuário tem à rede e aosseus recursos físicos. Neste caso, como resolver o problema de permitir o acesso acertas informações aos usuários autorizados e, simultaneamente, como negar oacesso aos usuários não autorizados?Essa questão remete a outra: “O que precisa ser protegido, contra quem e como?” [9].- Como permitir o acesso a certas informações aos usuáriosautorizados e, simultaneamente, como negar o acesso aosusuários não autorizados?- Como permitir o acesso a certas informações aos usuáriosautorizados e, simultaneamente, como negar o acesso aosusuários não autorizados?
  17. 17. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 117Segundo Thomas A. Wadlow [10], “A segurança deverá ser proporcional ao valor doque se está protegendo”. Ou seja, a implantação do sistema de segurança dainformação tem de apresentar um custo benefício que torne a tentativa de ataque tãocara que desestimule o atacante, ao mesmo tempo em que ela é mais barata do que ovalor da informação protegida.Quando o valor do ativo que se está protegendo é tão alto que o dano causado aomesmo é difícil de ser calculado, devemos assumir o valor da informação comoaltíssimo, imensurável. Um exemplo a se analisar seria um receituário demedicamentos para pacientes internados em um hospital. Este sistema de informaçãolida com dados que podem colocar em risco a vida humana caso a integridade dosdados seja corrompida, neste caso não temos como fazer uma análise quantitativa doimpacto, pois a vida humana é tida como mais valiosa que qualquer ativo.Mesmo não se tratando de um valor imensurável, temos ainda os ativos que são vitaispara a empresa e aqueles que podem levar a implicações legais. Quando estamoslidando com a análise de valor destes bens, consideramos que o dano nos mesmospode resultar em grande perda de credibilidade pela empresa e até mesmo noposterior encerramento de suas atividades.Neste contexto, a segurança da informação é a proteção da informação em si, dossistemas, da infraestrutura e dos serviços que a suporta, contra acidentes, roubos,erros de manipulação, minimizando assim os impactos dos incidentes de segurança.
  18. 18. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 118OQUE É UMANORMA?Segundo o Aurélio[1], norma é aquilo que se estabelece como base ou medida para arealização de alguma coisa. Quando não há padrões, podemos ter diversos problemascomo: baixa qualidade do produto, incompatibilidade com outros produtos existentes,produtos não confiáveis ou até mesmo perigosos, além de não termos como compara-lo com outros produtos, devido à falta de um referencial comum.As normas contribuem para fazer com que os processos de fabricação e fornecimentode produtos e serviços sejam mais eficientes, seguros e limpos. Ela facilita os negóciosentre fornecedores e clientes, seja no comércio local ou internacional, uma vez queestabelece padrões a serem seguidos por todos, garantindo interoperabilidade entreserviços, processos e produtos.Conforme definido pela Associação Brasileira de Normas Técnicas (ABNT), osobjetivos da normalização são:Comunicação: proporcionar meios mais eficientes na troca de informação entre ofabricante e o cliente, melhorando a confiabilidade das relações comerciais e deserviços;Segurança: proteger a vida humana e a saúde;Proteção do consumidor: prover a sociedade de mecanismos eficazes para aferirqualidade de produtos;Eliminação de barreiras técnicas e comerciais: evitar a existência deregulamentos conflitantes sobre produtos e serviços em diferentes países,facilitando assim, o intercâmbio comercial.Norma tem opropósito dedefinir regras,padrões einstrumentos decontrole para daruniformidade a umprocesso, produtoou serviço.Norma tem opropósito dedefinir regras,padrões einstrumentos decontrole para daruniformidade a umprocesso, produtoou serviço.
  19. 19. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 119Diversas normas foram criadas especificamente para o tratamento da questão sobre asegurança da informação. No próximo capítulo são apresentadas essas normas.
  20. 20. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1202 – AS PRINCIPAIS NORMAS DE SEGURANÇA DAINFORMAÇÃOAS CARACTERÍSTICAS DAS PRINCIPAIS NORMAS PARA GESTÃO DE AMBIENTE DE TISÃO APRESENTADAS NESTE CAPÍTULO: ITIL, COBIT, BS 15000 / ISO 20000, BS7799, ISO/IEC 17799:2005(E) E ABNT NBR ISO/IEC 17799:2005.SERÁ TAMBÉM ABORDADO O QUE É UM SISTEMA DE GESTÃO DE SEGURANÇA DAINFORMAÇÃO (SGSI). ALGUMAS FERRAMENTAS PARA AUXÍLIO NA IMPLANTAÇÃODO SGCI, COMO MOF, MSF E BSC SÃO CITADAS AO FIM DO CAPÍTULO.Capítulo2
  21. 21. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 121OBJETIVOSAtualmente a tecnologia da informação dirige os negócios. O sucesso da empresadepende da alta disponibilidade, segurança e desempenho dos serviços de TI. Estadependência determinou o desenvolvimento de normas que propõem práticas paraimplantação de sistemas de gestão dos serviços de TI.Algumas das principais normas para práticas e controles de TI e para implantação deprocessos de segurança de TI, são:ITILBS15000 / ISO 20000;CobiT.BS 7799 / ISO 17799;ABNT NBR ISO/IEC 17799:2005 (norma brasileira baseada na ISO 17799).Ao final deste capítulo você estará apto a:Descrever as principais normas criadas para a gestão dos serviços de TI;Entender o que é um sistema de gestão da segurança da informação (SGSI);Os passos para a criação de um SGSI;Conhecer algumas ferramentas para gestão de ambientes de TI.ABNT NBR ISO/IEC17799:2005ISO/IEC FDIS17799:2005(E)BS 7799Normas desegurança de TIBS15000ISO 20000Normas parapráticas econtrolesinternos de TIOrganizaçãoresponsávelNormaABNT NBR ISO/IEC17799:2005ISO/IEC FDIS17799:2005(E)BS 7799Normas desegurança de TIBS15000ISO 20000Normas parapráticas econtrolesinternos de TIOrganizaçãoresponsávelNorma
  22. 22. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 122ITIL– INFORMATION TECHNOLOGY INFRAESTRUCTURE LIBRARYO aumento nos investimentos e na complexidade das operações de TI, levou asempresas a buscarem modelos que facilitassem:A descrição e os objetivos dos vários serviços e ambientes de TI;A representação de como esses serviços se inter-relacionam;A orientação para a implementação destes serviços com sucesso.O Information Technology Infraestructure Library (ITIL) é uma resposta a essa busca.Trata-se de um conjunto de orientações desenvolvido pelo Office of Government ofCommerce (OGC), órgão do governo britânico. Descreve um modelo de processointegrado de melhores práticas para prover a qualidade de serviços de TI.O ITIL foi criado em 1989. Seu desenvolvimento foi motivado pelo reconhecimento dadependência de TI pelas organizações, o que levou ao aumento da necessidade dequalidade de serviço no setor.Em 2000 o OGC trabalhou em conjunto com o British Standards Institution (BSI) e o ITService Management Forum (itSMF) na revisão da documentação do ITIL. Assim, oBSI Management Overview (PD0005), a BS15000-1 (Especificações para gestão deserviços) e a série ITIL formam parte da mesma estrutura lógica.• Desenvolvido pelo governo britânico (OGC -OfficeGovernment Commerce) - 1989• Conjunto de melhores práticas para gerenciamento deserviços em TI– Organizações e processos– Infraestrutura de TI• Hardware, software e rede• Aplicações• 1996 – Lançado na America do norte
  23. 23. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 123O BSI Management Overview é uma introdução às orientações detalhadas do ITIL. Adocumentação ITIL oferece informações expandidas e um guia para os assuntostratados na BS15000.Os objetivos do ITIL são:Fornecer um guia para a gestão estratégica, tática e operacional para ainfraestrutura de TI;Melhorar a eficiência;Reduzir riscos;Prover compatibilidade com os requerimentos da ISO9001.As melhores práticas do ITIL cobrem cinco processos que suportam os serviços:Gestão de incidentes;Gestão de problemas;Gestão de mudanças;Gestão de configurações;Gestão de fornecimento.O ITIL também inclui cinco processos de fornecimento de serviço:Gestão de capacidade;Gestão financeira;Gestão de disponibilidade;Gestão de nível de serviço;Gestão de continuidade de serviços de TI.Nas palavras de Malcom Fry em entrevista a ITWEB em 25/11/2003 [11], os doisvalores mais óbvios para as empresas que adotam o ITIL são: “um é o vocabuláriocomum compartilhado pelos profissionais de TI das empresas usuárias e dosfornecedores de software. Isso reduz confusões, aumenta o entendimento e aperfeiçoaa comunicação entre eles. O outro é ambas equipes e gerentes passam a entender ofuncionamento dos processos de trabalho de serviços de TI a partir de uma mesmafonte”.
  24. 24. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 124COBIT– CONTROL OBJECTIVES FOR INFORMATIONAND RELATED TECHNOLOGYObjetivos do negócioEficiênciaConfidencialidadeIntegridadeDisponibilidadeCompatibilidadeConformidadeConfiabilidadePessoasSistemas aplicativosTecnologiaInfraestruturaDadosGovernaça em TIFonte: CobiT Executive Summary – IT Governance InstituteRecursos de TIFornecimentoe suporteMonitoramentoe AvaliaçãoInformaçãoAquisição eimplementaçãoPlanejamentoe organizaçãoO CobiT (Control Objectives for Information and related Technology) é um conjunto depráticas que visam auxiliar a gestão e controle de iniciativas de TI nas empresasreduzindo os riscos correspondentes. Sua primeira edição foi publicada em 1996 pelaISACA (Information System Audit and Control Foundation). Atualmente encontra-se nasua quarta edição publicada em 2005.O tema principal do CobiT é a orientação aos negócios. É desenhado para serempregado não somente por usuários e auditores, mas principalmente para servir deguia para os proprietários dos processos dos negócios.O modelo do CobiT fornece ferramentas para facilitar a distribuição deresponsabilidades pela diretoria de negócios. O modelo inclui uma série de 34objetivos de controle, um para cada processo de TI, agrupados em 4 domínios:Planejamento e organização;Aquisição e implementação;Entrega e suporte;Monitoramento e avaliação.
  25. 25. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 125Esta estrutura cobre todos os aspectos da informação e da tecnologia que a suporta.Através dos 34 objetivos de controles, a direção de processos do negócio pode seassegurar que um sistema de controle é fornecido para o ambiente de TI.Os domínios norteiam a implantação de processos que conduzirão aos corretosinvestimentos nos recursos de TI (dados, aplicações, tecnologia e pessoas). A partir dolevantamento detalhado dos processos, é possível determinar o que se deseja e o queé necessário para atingir esse objetivo.As orientações de gestão CobiT são genéricas e orientadas a ações com o propósitode responder questões de gerenciamento como:Aonde eu posso chegar e se os custos são justificados pelo benefício? Aresposta a essa questão permite mapear onde a organização está, como ela seposiciona em relação as melhores organizações do seu ramo e em relação aospadrões internacionais, e onde a organização deseja chegar;Quais são os indicadores de desempenho? Aqui são definidos os indicadoresque medirão se o desempenho dos processos de TI está na direção correta parase atingir os objetivos.Quais são os fatores críticos de sucesso? Isso definirá orientações deimplementação para se alcançar o controle sobre os processos de TI;Quais os riscos de não se atingir os objetivos? É uma forma clara de seenxergar em que terreno vai pisar e conhecer os riscos do negócio;Como medir e comparar? A resposta definirá as medidas que informarão agerência, após o evento, se o processo de TI alcançou os requerimentos donegócio.
  26. 26. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 126BS 15000 / ISO20000– NORMAS DE GESTÃO DE SERVIÇOSA BS 15000 foi a primeira norma formal para gestão de serviços de TI (Tecnologia daInformação) desenvolvido pela British Standards Institution (BSI). Foi publicado em 15 denovembro de 2000. Embora seja baseada no modelo de processos do ITIL, forneceespecificações claras para implementação de um processo de gestão de TI.O escopo da norma abrange um sistema de gestão de serviços de TI e forma a base paraa avaliação dessa gestão.O esquema de certificação foi formalmente lançado em 1ode julho de 2003 e éadministrado pelo IT Service Management Forum (itSMF). Baseado diretamente na normafornece certificação para sistemas de gestão de TI.A BS 15000 define uma série de processos para a gestão de serviços. A parte 1 especifica13 processos (figura acima) e é a base para implementar e certificar um sistema degerenciamento para fornecimento de serviços de TI. A parte 2 é um código de práticasque amplia os requerimentos da Parte 1. Juntas elas fornecem ferramentas completaspara as empresas entenderem como melhorar os serviços fornecidos a seus clientes,sejam eles internos ou externos. O escopo da norma cobre os seguintes itens:Escopo dos serviços de sistema de gestão;DesenhoDesenho dede ServiServiççosos ee ProcessosProcessos dede gestgestããooGestão de segurançada informaçãoGestão dedisponibilidade econtinuidade deserviçoGestão deCapacidade deServiçoGestão financeiraGestão de nível de serviçoRelatórios de serviçoProcessosProcessos dede ControleControleGestão de ConfiguraçãoGestão de mudançasGestão de entregasGestão de IncidentesGestão de ProblemasGestão derelacionamentode negóciosGestão defornecedoresProcessosProcessos dede suportesuporte aa serviserviççososProcessos deEntrega de serviçosProcessos deRelacionamentoProcessos de ResoluçãoDesenhoDesenho dede ServiServiççosos ee ProcessosProcessos dede gestgestããooGestão de segurançada informaçãoGestão dedisponibilidade econtinuidade deserviçoGestão deCapacidade deServiçoGestão financeiraGestão de nível de serviçoRelatórios de serviçoProcessosProcessos dede ControleControleGestão de ConfiguraçãoGestão de mudançasGestão de entregasGestão de IncidentesGestão de ProblemasGestão derelacionamentode negóciosGestão defornecedoresProcessosProcessos dede suportesuporte aa serviserviççososProcessos deEntrega de serviçosProcessos deRelacionamentoProcessos de Resolução
  27. 27. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 127Termos e definições;Planejamento e implementação dos processos de gestão de serviços;Planejamento e implementação de gestão de novos serviços ou modificaçõesdestes.Essa norma é destinada a provedores de serviço, em especial para provedores deserviços de TI. Entretanto seus requerimentos são independentes do tipo deorganização e podem ser aplicados a empresas grandes e pequenas de qualquersetor.Em 16 de dezembro de 2005 foi publicada pela ISO a nova norma ISO 20000. Elaevoluiu a partir da norma BS 15000. As alterações em relação ao BS 15000 sãomínimas, mas passa a ser um formato internacional mais adequado para aplicação emdiversos países.Assim, como sua predecessora, a ISO 20000 é dividida em duas partes: a ISO 20000-1, promove a adoção de processos integrados para a gestão de serviços a fim dealcançar os requerimentos dos clientes e do negócio. A ISO 20000-2 é um código depráticas e descreve as melhores práticas para a gestão de serviços dentro do escopoda ISO 2000-1.A transição da BS15000 para a ISO/IEC 20000“A norma ISO/IEC 20000 substituiu a BS 15000 em 5 de dezembro de 2005.Certificações contra a BS 15000 continuarão até junho de 2006 para habilitar aquelesque já iniciaram a conclusão do processo de certificação. A Certificação BS 15000deverá fazer transição para a ISO/IEC 20000 em 5 de junho de 2007”. (Fonte: GartnerResearch em 05/01/2006).Relacionamento entre a BS 15000 / ISO 20000 e o modelo ITILAs normas BS 15000 e ISO 20000 são alinhadas em seus objetivos com o modeloITIL:O ITIL é um conjunto de melhores práticas que, uma vez adotadas, auxiliarão asorganizações a encontrarem a qualidade de gestão de serviço requerida pelasnormas BS 15000 / ISO 20000;
  28. 28. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 128A BS 15000 / ISO 20000 determina o padrão que os processos de gestão deserviços devem almejar e testa se as melhores práticas foram realmenteadotadas.O relacionamento entre os modelos é mostrado abaixo. O modelo ITIL serviu debase para o desenvolvimento da BS 15000. Esta por sua vez serviu de base parao desenvolvimento da ISO/IEC 20000.SuaimplementaçãoProcedimentos internos einstruções de trabalhoITIL – Melhores práticasOrientações deGestão PD 0005BS 15000-2MelhoresPráticasVisão de GestãoO que alcançarCódigo depráticasBS15000-1Critérios deavaliaçãoSuaimplementaçãoProcedimentos internos einstruções de trabalhoITIL – Melhores práticasOrientações deGestão PD 0005BS 15000-2MelhoresPráticasVisão de GestãoO que alcançarCódigo depráticasBS15000-1Critérios deavaliação
  29. 29. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 129BS 7799 - BRITISH STANDARD 7799A norma britânica BS 7799 (British Standard 7799), publicada em sua primeira versãoem 1995 é um código de práticas planejado para ser usado como uma referência paraos gerentes e responsáveis pela segurança da informação nas organizações. Deveservir de base para a criação de uma política de segurança.A segunda versão da BS 7799 é composta de duas partes:Parte I: BS 17799-1:1999 é um catálogo que agrupa 36 objetivos de controle quedevem ser aplicados para se encontrar o nível requerido de segurança dainformação. Os objetivos de controle são decompostos em 127 medidas decontrole que explicam com mais ou menos detalhes os pontos que devem sertrabalhados para a implementação dessas medidas. O foco desta parte é agestão de riscos, cujo objetivo é auxiliar a organização a planejar sua política desegurança através da identificação dos controles relevantes para seus negócios.Parte II: BS 7799-2:1999 apresenta um SGSI - Sistema de Gestão daSegurança da Informação (Information Security Mangement System – ISMS) emseis etapas sucessivas. A revisão da BS 7799-2:1999, sob a referência “draft BS7799-2:2002”, tem o objetivo de reaproximar as normas de qualidade ISO 9001 eISO 14001. A parte II é usada para preparar avaliações da eficiência do SGSIpara qualquer aplicação, departamento ou para organização como um todo.Compõe-se de quatro fases:- Avaliação de riscos: verificação das ameaças que podem surgir, asvulnerabilidades a essas ameaças, o impacto que essas ameaças podemDefinir uma política de segurançaDefinir uma política de segurançaDefinir o domínio de aplicação dosistema de gestão de segurança dainformaçãoDefinir o domínio de aplicação dosistema de gestão de segurança dainformaçãoEmpreender uma avaliação dos riscosEmpreender uma avaliação dos riscosTratamento dos riscosTratamento dos riscosEscolher os objetivos e medidas decontrole que devem serem trabalhadasEscolher os objetivos e medidas decontrole que devem serem trabalhadasPreparar uma declaração deaplicabilidadePreparar uma declaração deaplicabilidadeDefinir uma política de segurançaDefinir uma política de segurançaDefinir o domínio de aplicação dosistema de gestão de segurança dainformaçãoDefinir o domínio de aplicação dosistema de gestão de segurança dainformaçãoEmpreender uma avaliação dos riscosEmpreender uma avaliação dos riscosTratamento dos riscosTratamento dos riscosEscolher os objetivos e medidas decontrole que devem serem trabalhadasEscolher os objetivos e medidas decontrole que devem serem trabalhadasPreparar uma declaração deaplicabilidadePreparar uma declaração deaplicabilidade
  30. 30. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 130ter e, considerando esses fatores, uma avaliação do nível de risco emcada caso.- Gestão de riscos: uma vez avaliado os riscos, a tarefa é reduzi-los a umnível aceitável. Isto pode ser conseguido através da aplicação dasmedidas listadas na BS 7799 para prevenir todos os riscos em conjunto,reduzir as ameaças, vulnerabilidades e impactos, tomar medidas paradetectar os riscos, reagir e recupera-se deles.- Implementação de meios de segurança: determinado o nível de segurançae quais riscos devem ser tratados, o responsável pela segurança dainformação deve repassar as medidas listadas na BS 7799 paradeterminar quais são aplicáveis em cada caso.- Declaração de aplicabilidade: esta declaração estabelece quais controlesdevem ser implementados. Cada passo implementado deve ser registradoe documentado. O registro deve mostrar que cada ação requerida peladeclaração de aplicabilidade foi executada. As ações devem ser revisadasde tempos em tempos para assegurar que as mesmas ainda preenchemos objetivos.A organização que baseia o seu SGSI estipulado no BS 7799 pode obter o certificadode um órgão autorizado.A BS 7799-2 já é largamente usada em vários países, como Inglaterra, Austrália,Noruega, Brasil e Japão, como documento de referência para a certificação degerenciamento de segurança de informação.
  31. 31. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 131ISO/IEC FDIS 17799:2005(E) – INFORMATION TECHNOLOGY – SECURITYTECHNIIQUES -CODE OF PRACTICE FOR INFORMATION SECURITY MANAGEMENTABNTNBR17799:2005 –TECNOLOGIADAINFORMAÇÃO –TÉCNICAS DE SEGURANÇA–CÓDIGO DE PRÁTICAPARAAGESTÃO DASEGURANÇADAINFORMAÇÃOA ISO/IEC 17799 é um código de práticas com orientações para gestão de segurançada informação. Apresenta uma descrição geral das áreas normalmente consideradasimportantes quando da implantação ou gestão de segurança da informação naorganização.A ISO/IEC 17799 teve sua origem com a BS 7799. Em 1995 o BSI publicou a primeiranorma de segurança, BS 7799. Tinha como objetivo tratar os assuntos relacionadoscom segurança de e-commerce. Em 1999 o BSI publicou a segunda versão da BS7799, incluindo muitas melhorias e aperfeiçoamentos. No final de 2000, a ISO(International Organization for Standartization) adotou e publicou a primeira parte danorma BS 7799, sob o nome de ISO/IEC 17799:2000.A ISO/IEC 17799:2000 não incluía a segunda parte da BS 7799, que se refere àimplementação. Era um conjunto de orientações para as melhores práticas desegurança aplicáveis em organizações de qualquer porte.EstruturaEstrutura dada ISO/IEC 17799:2005ISO/IEC 17799:2005Política desegurança OrganizaçãosegurançadaClassificação debens e controlesSegurançaem RHSegurançaFísica e doAmbienteGestãodasoperações ecomunicaçõesControlesdeacessoAquisição,de sistemasdesenvolvimento.e manutençãoGestão de incidentesde segurançada informaçãoGestão decontinuidadede negócioConformidadeInformaInformaçãçãoosegurasegura
  32. 32. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 132Em 2 de novembro de 2005, a ISO publicou a segunda edição da norma, sob o títuloISO/IEC FDIS 17799:2005(E) ― Information techniques - Security techniques ― Codeof practice for information security management (2nd edition). Esta edição cancela esubstitui a norma ISO/IEC 17799:2000, a qual foi tecnicamente revisada. O termo FDISsignifica Final Draft International Standard (Esboço final de norma internacional).A ISO/IEC FDIS 17799:2005(E) aborda tópicos em termos de políticas e práticasgerais. O documento identifica um ponto de partida para o desenvolvimento deespecificações da organização. Trata os seguintes tópicos:Política de segurança;Organização da segurança da informação;Gestão de ativos;Segurança em recursos humanos;Segurança física e do ambiente;Gerenciamento das operações e comunicações;Controle de acessos;Aquisição, desenvolvimento e manutenção de sistemas de informação;Gestão de incidentes de segurança da informação;Gestão de continuidade de negócios;Conformidade.A ISO/IEC FDIS 17799:2005(E) não fornece material definitivo ou específico paraqualquer tópico de segurança. Ela serve como um guia prático para o desenvolvimentode padrões de segurança organizacional e auxilia na criação de atividadesconfidenciais interorganizacional.A norma brasileira ABNT NBR ISO/IEC 17799:2005 – Tecnologia da informação –Técnicas de segurança – Código de prática para a gestão de segurança da informaçãoserá alvo de todo o restante deste curso a partir do próximo capítulo. Foi publicada em31 de agosto de 2005 e entrou em vigor em 30 de setembro de 2005, sendo totalmenteequivalente à ISO/IEC 17799:2005.A Associação Brasileira de Normas Técnicas (ABNT) é o Fórum Nacional deNormalização. A ABNT NBR ISO/IEC 17799:2005 foi elaborada no Comitê Brasileirode Computadores e Processamento de Dados (ABNT/CB-21), pela comissão deEstudos de Segurança Física em Instalações de Informática (CE-21:204.01). Teve opatrocínio ouro das seguintes empresas:Microsoft;Bradesco;AXUR information Security;Aceco TI;
  33. 33. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 133Serasa;Samarco;PricewaterhouseCoopers;e-Módulo security;Visanet;TIVIT IT Creativity;Suzano Papel e Celulose.
  34. 34. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 134COMPARAÇÃO ENTREAS PRINCIPAIS NORMASCada norma apresenta pontos fortes e fracos. Assim, deve-se observar o que sedeseja na organização e a partir daí, aplicar a norma que mais se adequar àsnecessidades.Uma norma apenas não esgota o assunto e não abrange todas os aspectosnecessários para se obter um ambiente seguro e com qualidade de serviços em TI. Aoinvés disso, as normas se complementam, sendo que uma pode fornecer ferramentasmais detalhadas de um aspecto do que outra. Por exemplo:O ITIL apresenta forte detalhamento de processos para se obter qualidade deserviço em TI, mas não aborda o aspecto de segurança que é melhor tratado naISO/IEC 17799.Enquanto a CobiT é uma forte ferramenta para determinação de métricas, o ITILé mais bem empregado quando se deseja levantamento de processos.Tanto a ISO/IEC 17799 quanto a CobiT são adequadas para se determinar qualo estado atual da organização no que se refere à qualidade de serviço esegurança da informação.Resumindo, as normas podem ser aplicadas de forma conjunta na busca pelaexcelência nos serviços de TI.É um guiagenérico semmaterialespecífico- Controle desegurançaISO/IEC 17799São linhasgerais que nãoindicam “como”fazer- Controles-Métricas- ProcessosCobiTSegurança edesenvolvimentode sistemas- Processos deoperaçãoITILPonto fracoPonto forteNormaÉ um guiagenérico semmaterialespecífico- Controle desegurançaISO/IEC 17799São linhasgerais que nãoindicam “como”fazer- Controles-Métricas- ProcessosCobiTSegurança edesenvolvimentode sistemas- Processos deoperaçãoITILPonto fracoPonto forteNorma
  35. 35. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 135SISTEMADE GESTÃO DE SEGURANÇADAINFORMAÇÃO – SGSINão se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. É comum ouvirmos dizer que um hardware seguro é aquele que estádesligado. Esta frase expressa a dificuldade de se criar um nível de segurançainfalível. A segurança da informação é um processo que visa minimizar os riscos aníveis aceitáveis.Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série deações tomadas com o objetivo de gerenciar a segurança da informação, incluindopessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquantomantém em perspectiva os objetivos do negócio e as expectativas do cliente.O processo de implantação de um SGSI é semelhante a um processo de qualidadeISO 9001, no qual se aplicam os princípios do PDCA (Plan-Do-Check-Act ou Planejar-Fazer-Checar-Agir). Basicamente deve-se obedecer aos seguintes passos:Desenho do SGSIDesenho do SGSIAnálise dos riscosAnálise dos riscosTratamento dos riscosTratamento dos riscosDefinição de controlesDefinição de controlesImplementaçãoImplementaçãoMelhoria contínuaMelhoria contínuaPlanejarFazerChecarAuditoriaAuditoriaAgirDesenho do SGSIDesenho do SGSIAnálise dos riscosAnálise dos riscosTratamento dos riscosTratamento dos riscosDefinição de controlesDefinição de controlesImplementaçãoImplementaçãoMelhoria contínuaMelhoria contínuaPlanejarFazerChecarAuditoriaAuditoriaAgir
  36. 36. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1361. Desenho do SGSI: seleção do modelo através do qual o SGSI irá atuar (tipo denorma: BS7799, ISO/IEC 17799, etc...). Planejamento inicial das fases doprojeto. Levantamento dos ativos envolvidos (equipamentos, infraestrutura,sistemas, pessoas e serviços);2. Avaliação dos riscos: identificar e avaliar ameaças e vulnerabilidades.Para cadaameaça deve ser atribuído um nível de risco;3. Tratamento dos riscos: é o gerenciamento dos riscos, envolvendo as atividadesque tentarão impedir um ataque antes que ele ocorra e/ou reduzirão os efeitos daameaça;4. Definição de controles: a necessidade de controles é um resultado da avaliaçãode riscos. Sua escolha é feita com base na relação custo-benefício de suaimplantação. Os controles podem ser baseados em software, hardware, pessoasou processos;5. Implementação: Implantação em si das contramedidas de segurança;6. Auditoria: verificação se as condições estabelecidas nos passos anterioresocorrem de maneira satisfatória;7. Melhoria contínua: aprimoramento contínuo do SGSI através da busca deassertivas que dêem mais valor às atividades de segurança da informação.A implementação do SGSI é extremamente facilitada através do uso de softwares quealém de coletar informações importantes, possuem ferramentas para auxílio em todo ociclo. Algumas destas ferramentas serão tratadas na próxima sessão.
  37. 37. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 137FERRAMENTAS PARAGERENCIAMENTO DE TI– (MOF– MSF – BSC)Todos os gestores de TI sonham com um instrumento que reflita a cada momento arealidade dos processos de seu setor. Várias metodologias e softwares foramdesenvolvidos para atuar como ferramentas de apoio para a gerência de soluções deTI e criar políticas de segurança.MOF – Microsoft Operations FrameworkMSF – Microsoft Solutions FrameworkBSC – Balaced ScoreCardMOF – Microsoft Operations FrameworkMSF – Microsoft Solutions FrameworkBSC – Balaced ScoreCard
  38. 38. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 138Microsoft® Operations Framework (MOF)O Microsoft® Operations Framework (MOF) é a leitura do ITIL aplicada ao ambienteMicrosoft. O MOF inclui orientações de como planejar, empregar e manter a excelêncianos processos operacionais de TI em soluções de serviços construídos com produtos etecnologia Microsoft. Porém, como o MOF aborda basicamente os processos deconstrução de soluções, pode ser aplicado por qualquer plataforma. O MOF foca suaatenção no gerenciamento das operações.O MOF descreve um ciclo de vida que pode ser aplicado em qualquer solução deserviço. Esse ciclo é dividido em quadrantes de atuação, assim descritos:Mudanças: tem o foco nos problemas decorrentes da necessidade de introduzirmudanças no ambiente. Introduz novos serviços, tecnologias, sistemas,aplicações, hardware e processos;Operação: foca na execução de tarefas diárias rotineiras decorrentes dasoperações do sistema;Suporte: resolve incidentes e problemas apontados pelos clientes com o menortempo possível minimizando os impactos;Otimização: tratamento das mudanças a fim de otimizar custos, desempenho,capacidade e disponibilidade nos serviços de TI.Com o guia MOF, a organização estará apta a avaliar a maturidade da gestão deserviços de TI, priorizar processos de maior interesse e aplicar princípios e melhorespráticas para otimizar o gerenciamento de plataformas Windows Server.
  39. 39. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 139Microsoft Solutions for Framework (MSF)O Microsoft Solutions for Framework (MSF) é um modelo para implementação desoluções criadas pela Microsoft que reúne recursos, pessoas e técnicas a fim deorientar a organização para assegurar que a infraestrutura de tecnologia e soluçõesalcancem os objetivos do negócio. Foi criada pela Microsoft para gerenciamentointerno. Posteriormente foi estendido a clientes auxiliando as organizações a encontrara excelência operacional.Os componentes do MSF podem ser aplicados individual ou coletivamente para obtermelhores índices de sucesso em projetos de desenvolvimento de software,implantação de infraestrutura e integração de aplicações.O MSF guia os diferentes tipos de projetos com o foco na gestão de pessoas,processos e elementos tecnológicos. Interage com o MOF para prover uma transiçãosuave para o ambiente operacional, o qual é um requerimento para projetos de longoprazo.Para a Microsoft o MSF é mais uma disciplina do que uma metodologia. É um conjuntode melhores práticas que conduzem as organizações a melhorar seus serviços,obtendo maior confiabilidade, disponibilidade e segurança enquanto reduzem custos. Éuma coleção de guias para o rápido sucesso de soluções de tecnologia da informação,com baixo risco, enquanto permite alta qualidade de resultados.
  40. 40. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 140Balanced ScoreCard (BSC)O Balanced ScoreCard (BSC) é uma metodologia que estabelece um sistema demedição de desempenho das organizações. Foi proposto por Kaplan e Norton em1992 ao nível empresarial. Gold (1992,1994) e Willcocks (1995) conceitualmentedescreveram como aplicar o balanced scorecard a funções de TI e seus processos. OBalanced Scorecard é uma ferramenta para planejar a implementação de estratégias eobter melhoria contínua em todos os níveis da organização. É um conjunto de medidasque dão aos gerentes uma visão rápida e compreensiva dos negócios.O BSC mede o desempenho da organização sob a óptica de quatro perspectivas queassim se inter-relacionam: a melhoria do aprendizado e crescimento dosempregados resulta em melhoria dos processos internos do negócio, os quais criammelhores produtos e serviços e, conseqüentemente, maior satisfação do cliente emaior participação no mercado, conduzindo a melhores resultados financeiros para aorganização [12]:Resultados financeiros,Satisfação do cliente,Processos internos do negócio eAprendizado e crescimento.FinanceiroPara triunfar financeiramente,como devemos aparecer paranossos acionistas?FinanceiroPara triunfar financeiramente,como devemos aparecer paranossos acionistas?Objetivos eEstratégiaProcessos internosde negóciosPara satisfazer nossosacionistas e clientes, queprocessos de negóciosdevemos destacar?Processos internosde negóciosPara satisfazer nossosacionistas e clientes, queprocessos de negóciosdevemos destacar?Aprendizado eCrescimentoPara alcançar nosso objetivo,como mnateremos nossashabilidades para mudançase melhorias?Aprendizado eCrescimentoPara alcançar nosso objetivo,como mnateremos nossashabilidades para mudançase melhorias?ClientesPara alcançar nossosobjetivos, como deveremosaparecer para nossosclientes?ClientesPara alcançar nossosobjetivos, como deveremosaparecer para nossosclientes?FinanceiroPara triunfar financeiramente,como devemos aparecer paranossos acionistas?FinanceiroPara triunfar financeiramente,como devemos aparecer paranossos acionistas?Objetivos eEstratégiaProcessos internosde negóciosPara satisfazer nossosacionistas e clientes, queprocessos de negóciosdevemos destacar?Processos internosde negóciosPara satisfazer nossosacionistas e clientes, queprocessos de negóciosdevemos destacar?Aprendizado eCrescimentoPara alcançar nosso objetivo,como mnateremos nossashabilidades para mudançase melhorias?Aprendizado eCrescimentoPara alcançar nosso objetivo,como mnateremos nossashabilidades para mudançase melhorias?ClientesPara alcançar nossosobjetivos, como deveremosaparecer para nossosclientes?ClientesPara alcançar nossosobjetivos, como deveremosaparecer para nossosclientes?
  41. 41. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1413 - INTRODUÇÃO À ABNT NBR/ISO/IEC17799:2005NESTE CAPÍTULO INICIAREMOS O ESTUDO DA NORMA ABNT NBR ISO/IEC17799:2005. VEREMOS OS CONCEITOS BÁSICOS ABORDADOS PELA NORMA E UMAFORMA PRÁTICA DE INICIAR A IMPLANTAÇÃO DE UM PROCESSO DE PLANEJAMENTODE GESTÃO E MONITORAMENTO DE SEGURANÇA DE TI.Capítulo3
  42. 42. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 142OBJETIVOSNeste capítulo veremos os conceitos básicos de segurança da informação, suadefinição e passos gerais para sua implantação.Ao final deste capítulo você estará apto a:Conceituar a segurança da informação;Entender quais as fontes de requisitos de segurança da informação;Entender em linhas gerais quais os passos a serem trilhados para a obtenção deuma ambiente seguro para a informação.
  43. 43. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 143CONCEITOS BÁSICOS DE SEGURANÇADAINFORMAÇÃOToda e qualquer informação, que seja um elemento essencial para os negócios deuma organização, deve ser preservada pelo período necessário, de acordo com suaimportância. A informação é um bem como qualquer outro e por isso deve ser tratadacomo um “ativo”.A interconexão das empresas através de links cabeados e/ou sem fio (wireless),internos e/ou externos, pessoas e ações da natureza, podem expor vulnerabilidadesque colocam em risco as informações. Assim, faz-se necessário a implantação deprocessos de segurança que protejam a informação contra essas ameaças.A fim de proporcionar o bom entendimento das abordagens que serão feitas nessecurso, é importante conceituarmos alguns termos. Outros não tratados diretamentenesta sessão são descritos ao longo do curso.Ameaça (threat): causa potencial de um incidente indesejado, que caso seconcretize pode resultar em dano.Ativo (asset): e qualquer coisa que tenha valor para um indivíduo ou umaorganização: hardware de computadores, equipamentos de rede, edificações,software, habilidade de produzir um produto ou fornecer um serviço, pessoas,imagem da organização, etc...AtivoAmeaçasImpactoRiscoVulnerabilidadeAtivoAmeaçasImpactoRiscoVulnerabilidade
  44. 44. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 144Incidente de segurança (security incident): é qualquer evento em curso ouocorrido que contrarie a política de segurança, comprometa a operação donegócio ou cause e cause dano aos ativos da organização.Impacto (impact): conseqüências de um incidente de segurança.Risco (risk): combinação de probabilidade da concretização de uma ameaça esuas conseqüências do impacto causado por este evento.Vulnerabilidade (vulnerability): fragilidade ou limitação de um ativo que pode serexplorada por uma ou mais ameaças.
  45. 45. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 145OBJETIVOS DASEGURANÇADAINFORMAÇÃOQualquer tipo de informação deve ser protegido, esteja ele escrito ou desenhado empapel, armazenado em meios magnéticos, em filmes ou falado.“A segurança da informação é obtida através da implantação de controles adequados,políticas, processos, procedimentos, estruturas organizacionais e funções de softwaree hardware”.O objetivo da segurança da informação é garantir o funcionamento da organizaçãofrente às ameaças a que ela esteja sujeita.A norma ABNT NBR ISO/IEC 17799:2005 “estabelece diretrizes e princípios parainiciar, implementar, manter e melhorar a gestão de segurança da informação em umaorganização”. Essa frase confirma que a norma está alinhada com os objetivos detodas as outras normas criadas com o mesmo fim, conforme visto no capítulo 2.Continuidade do negócioMinimização do risco ao negócioMaximização do retorno sobre osinvestimentosOportunidades de negócioABNT NBR ISO/IEC 17799:2005ABNT NBR ISO/IEC 17799:2005Proteção da informação contra vários tipos de ameaçaspara garantir:Continuidade do negócioMinimização do risco ao negócioMaximização do retorno sobre osinvestimentosOportunidades de negócioABNT NBR ISO/IEC 17799:2005ABNT NBR ISO/IEC 17799:2005Proteção da informação contra vários tipos de ameaçaspara garantir:
  46. 46. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 146É consenso das normas da área que os objetivos gerais da segurança da informaçãovisam preservar a confiabilidade, integridade e disponibilidade da informação. Esse éum conceito da antiga ISO/IEC 17799:2000. Porém, é citado nesse curso por se tratarde um conceito amplamente difundido.Confiabilidade: tem o objetivo de garantir que apenas pessoas autorizadastenham acesso à informação. Essa garantia deve ser obtida em todos os níveis,desde a geração da informação, passando pelos meios de transmissão,chegando a seu destino e sendo devidamente armazenada ou, se for necessário,destruída sem possibilidade de recuperação. Esse processo tende a ser maisdispendioso, quanto maior for a necessidade de proteção da informação e, éclaro, quanto maior for o valor da informação a ser protegida. Modernosprocessos de criptografia aliados a controles de acesso, são necessários nessaetapa.Integridade: O objetivo da integridade é garantir que a informação não sejaalterada, a não ser por acesso autorizado. Isso significa dizer que umainformação íntegra não é necessariamente uma informação correta, mas sim queela não foi alterada em seu conteúdo. Esse processo é a proteção da informaçãocontra modificações não autorizadas ou acidentais.Disponibilidade: Garantir que a informação sempre poderá ser acessada quandofor necessário. Esse objetivo é conseguido através da continuidade de serviçodos meios tecnológicos, envolvendo políticas de backup, redundância esegurança de acesso. De nada adianta ter uma informação confiável e íntegrase ela não está acessível quando solicitada.A ABNT NBR ISO/IEC 17799:2005 amplia o conceito acima enfatizando mais osresultados da implantação de um ambiente de segurança da informação, quandodefine que “segurança da informação é a proteção da informação de vários tipos deameaças para garantir a continuidade do negócio, minimizar o risco do negócio,maximizar o retorno sobre os investimentos e as oportunidades de negócio”.
  47. 47. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 147COMO IMPLANTAR UM SISTEMADE SERGURANÇADAINFORMAÇÃO?Um processo de planejamento de gestão e monitoramento de segurança de TI, podevariar muito em uma organização. Devido aos diferentes estilos, tamanho e estruturadas organizações, o processo deve se adequar ao ambiente em que será usado. Algunspassos em linhas gerais são apresentados a seguir:1. Identificar os requisitos de segurança da informação. Basicamente, existem trêsfontes principais de requisitos de segurança da informação:Obtida através da análise/avaliação de riscos para a organização.Obtida a partir da legislação vigente a que a organização, seus parceiroscomerciais e provedores de serviço devem atender.Obtida a partir dos princípios, objetivos e requisitos do negócio.2. Análise do ambiente de segurança. É o levantamento periódico dos riscos desegurança da informação, identificando as ameaças e vulnerabilidades. Osresultados desse passo irão direcionar a determinação das ações gerenciais quenortearão todo o processo de segurança da informação.Identificando os requisitos de segurança da informaçãoAnálisando do ambiente de segurançaSelecionando controlesImplementando o ambiente de segurançaAdminstrando o ambiente de segurançaABNT NBR ISO/IEC 17799:2005ABNT NBR ISO/IEC 17799:2005Identificando os requisitos de segurança da informaçãoAnálisando do ambiente de segurançaSelecionando controlesImplementando o ambiente de segurançaAdminstrando o ambiente de segurançaABNT NBR ISO/IEC 17799:2005ABNT NBR ISO/IEC 17799:2005
  48. 48. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1483. Seleção de controles. Com os riscos identificados e com as medidas detratamento desses riscos já providenciadas agora é necessário implementarcontroles que assegurarão a redução dos riscos a níveis aceitáveis. A seleção decontroles pode ser feita a partir dessa norma ou de outra que atenda asnecessidades da organização. Esses controles incluem:Proteção de dados e privacidade de informações pessoais;Proteção dos registros organizacionais;Direitos de propriedade intelectual;Documento de política de segurança da informação;Atribuição de responsabilidades;Treinamento e educação em segurança da informação;Processamento correto nas aplicações a fim de prevenir erros, perdas,modificação não autorizada ou mau uso de informações em aplicações;Gestão de vulnerabilidades técnicas;Gestão de continuidade de negócios;Gestão de incidentes de segurança e melhorias.4. Implementação do ambiente de segurança. Consiste em:Criação, educação e disseminação interna da política de segurança dainformação para todos os envolvidos.Uma estrutura para a implementação, manutenção, monitoramento emelhoria da segurança da informação;Comprometimento de todos os níveis gerenciais;Provisão de recursos financeiros para as atividades de gestão da segurançada informação.5. Administração do ambiente de segurança. Inclui:Estabelecimento de um processo de gestão de incidentes de segurança;Implementação de um sistema de medição, que colha dados para a avaliaçãode desempenho da gestão de segurança;Obtenção de sugestões de melhorias;Implementação de melhorias levantadas no processo.
  49. 49. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 149Um fluxograma mais detalhado das fases do processo é proposto pela norma ISO/IEC13335-2 - Information technology — Guidelines for the management of IT Security —Part 2: Managing and Planning IT Security. Essa norma é citada na ABNT NBRISO/IEC 17799:2005 como informações adicionais para o processo de implantação dasegurança de TI. O fluxograma reproduzido abaixo deixa claro que os trabalhos devemser iniciados a partir dos objetivos de mais alto nível da empresa, ou seja, os negócios,e segue passando por definições de estratégia de segurança de TI até a elaboração deuma política de segurança de TI. É importante que todas as atividades sejam tratadasdentro do estilo e maneira da organização realizar negócios.Visão do processo de planejamento e gestão de segurança de TIsegundo a ISO/IEC 13335:2Política de segurança de TIPolítica de segurança de TIAspectos organizacionais da segurança de TIAspectos organizacionais da segurança de TIAnálise de RiscosAnálise de RiscosRecomendações de segurança de TIRecomendações de segurança de TIPolítica de segurança de sistemas de TIPolítica de segurança de sistemas de TIPlanejamento de segurança de TIPlanejamento de segurança de TIMedidasde proteçãoMedidasde proteçãoDivulgação e conciência daPolítica de segurança de TIDivulgação e conciência daPolítica de segurança de TIReavaliação da Política de segurança de TIReavaliação da Política de segurança de TIGestãode riscosImplementaçãoPolítica de segurança de TIPolítica de segurança de TIAspectos organizacionais da segurança de TIAspectos organizacionais da segurança de TIAnálise de RiscosAnálise de RiscosRecomendações de segurança de TIRecomendações de segurança de TIPolítica de segurança de sistemas de TIPolítica de segurança de sistemas de TIPlanejamento de segurança de TIPlanejamento de segurança de TIMedidasde proteçãoMedidasde proteçãoDivulgação e conciência daPolítica de segurança de TIDivulgação e conciência daPolítica de segurança de TIReavaliação da Política de segurança de TIReavaliação da Política de segurança de TIGestãode riscosImplementação
  50. 50. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1504 – ANÁLISE/AVALIAÇÃO E TRATAMENTO DERISCOSGERENCIAR SEGURANÇA DE TI INCLUI A ANÁLISE A AVALIAÇÃO DE RISCOS E COMOREDUZI-LOS A UM NÍVEL ACEITÁVEL. É NECESSÁRIO LEVAR EM CONTA OSOBJETIVOS DA ORGANIZAÇÃO, BEM COMO AS NECESSIDADES ESPECÍFICAS DECADA SISTEMA E SEUS RISCOS.NESTE CAPÍTULO VEREMOS COMO FAZER UMA AVALIAÇÃO DE RISCOS E COMOMINIMIZÁ-LOS.CapítuloCapítulo4
  51. 51. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 151OBJETIVOSistemas de informação estão constantemente sujeitos a riscos provenientes de açõesmaliciosas, acidentes ou erros inadvertidos de usuários.Avaliar os riscos potenciais e tomar ações para minimizá-los, é tarefa de uma gestãode segurança da informação.Neste capítulo serão abordadas as melhores práticas para avaliação de riscos e comotratá-los.Ao final deste capítulo você estará apto a:Identificar, quantificar e priorizar os riscos;Determinar ações de gestão apropriadas para o gerenciamento dos riscos desegurança da informação;Estabelecer os critérios de aceitação dos riscos;Tomar decisões sobre o tratamento dos riscos.
  52. 52. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 152ANALISANDO/AVALIANDO OS RISCOS DE SEGURANÇADAINFORMAÇÃOSegundo as definições da norma, risco é a “combinação da probabilidade de umevento e de suas conseqüências”.Por evento de segurança da informação, entenda-se uma “ocorrência identificada deum sistema, serviço ou rede, que indica uma possível violação da política desegurança da informação, ou falha de controles, ou uma situação previamentedesconhecida, que possa ser relevante para a segurança da informação”. O evento éentão a concretização de uma ameaça, que por sua vez é a “causa potencial de umincidente indesejado, que pode resultar em dano para um sistema ou organização”.Portanto, avaliar riscos, passa pela avaliação de ameaças e vulnerabilidades.O principal desafio à segurança da informação das organizações é identificar equalificar os riscos e ameaças às suas operações. Este é o primeiro passo nodesenvolvimento e gerenciamento de um efetivo programa de segurança. Identificaros riscos e ameaças mais significantes tornará possível determinar ações apropriadaspara reduzi-los.Uma vez identificados, os riscos devem ser qualificados para que sejam priorizados emfunção de critérios de aceitação de riscos e dos objetivos relevantes para aorganização. Esta atividade é apenas um elemento de uma série de atividades degerenciamento de riscos, que envolvem implementar políticas apropriadas e controlesO que deveserprotegidoContra qualameaçaAvaliaçãodoriscoRecomendaçõesO que deveserprotegidoContra qualameaçaAvaliaçãodoriscoRecomendações
  53. 53. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 153relacionados, promover a conscientização das medidas, e monitorar e avaliar políticase controles efetivos.A avaliação de riscos e ameaças não resulta em uma seleção de mecanismos deprevenção, detecção e resposta para redução de riscos. Ao contrário ela simplesmenteindica as áreas onde esses mecanismos devem ser aplicados, e a a prioridade quedeve ser designada para o desenvolvimento de tais mecanismos. No contexto degerenciamento de riscos, a avaliação de riscos e ameaças irá recomendar comominimizar, prevenir e aceitar os riscos.Como os riscos e ameaças podem mudar com o passar dos tempos, é importante quea organização periodicamente reavalie os mesmos e reconsidere as políticas econtroles selecionados.
  54. 54. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 154Existem vários caminhos que podem comprometer um ativo, conforme o nível decontra-medidas implementadas. A figura acima dá uma idéia de que não há segurançatotalmente garantida, mas sim implementações sujeitas a falhas. Isso não deve serdesanimador, pois implementar algumas contra-medidas, é melhor do que nãoimplementar nenhuma. A avaliação de riscos, visa exatamente, determinar se ascontra-medidas existentes são suficientes ou não.Ameaças nãointencionaisAmeaças malintencionadasIncidentescatastróficosRazões eobjetivosFerramentasTécnicas eMétodosFerramentasTécnicas eMétodosFerramentasTécnicas eMétodosAtivosBoas políticas desegurançabloqueiam algunsataquesControles ediretrizes desegurançaVulnerabilidadesFracas diretrizes desegurança podempermitir umaataqueNenhum controleou diretriz desegurançaCaminhos para se comprometer um ativoAmeaças nãointencionaisAmeaças malintencionadasIncidentescatastróficosRazões eobjetivosFerramentasTécnicas eMétodosFerramentasTécnicas eMétodosFerramentasTécnicas eMétodosAtivosBoas políticas desegurançabloqueiam algunsataquesControles ediretrizes desegurançaVulnerabilidadesFracas diretrizes desegurança podempermitir umaataqueNenhum controleou diretriz desegurançaCaminhos para se comprometer um ativo
  55. 55. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 155Independente do tipo de risco a ser considerado, uma avaliação de riscos geralmenteinclui os seguintes passos:Identificar ameaças que podem causar danos e afetar ativos e operaçõescríticas. Ameaças incluem itens como intrusões, crimes, empregadosinsatisfeitos, terrorismo e desastres naturais;Estimar a probabilidade da concretização das ameaças, baseado eminformações históricas e julgamento de conhecimentos individuais;Identificar e qualificar o valor, susceptibilidade e criticidade da operação e doativo que poderá ser afetado se a ameaça se concretizar, a fim de determinarquais operações e ativos são mais importantes;Identificar o custo das ações para eliminar ou reduzir o risco. Isto poderá incluir aimplementação de novas políticas organizacionais e procedimentos, bem comocontroles físicos ou técnicos;Documentar os resultados e desenvolver planos de ação.Identificar ameaçasIdentificar ameaçasEstimar probabilidadede concretizaçãode cada ameaçaEstimar probabilidadede concretizaçãode cada ameaçaIdentificaro que a ameaçaafetaráIdentificaro que a ameaçaafetaráIdentificar custos deredução de riscosIdentificar custos deredução de riscosDocumentar resultadose criar planos de açãoDocumentar resultadose criar planos de açãoPassos para uma avaliação de riscosIdentificar ameaçasIdentificar ameaçasEstimar probabilidadede concretizaçãode cada ameaçaEstimar probabilidadede concretizaçãode cada ameaçaIdentificaro que a ameaçaafetaráIdentificaro que a ameaçaafetaráIdentificar custos deredução de riscosIdentificar custos deredução de riscosDocumentar resultadose criar planos de açãoDocumentar resultadose criar planos de açãoPassos para uma avaliação de riscos
  56. 56. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 156TRATANDO OS RISCOS DE SEGURANÇADAINFORMAÇÃOO nível de riscos à segurança da informação aumenta conforme aumenta o nível dasameaças e vulnerabilidades, como pode ser visto na matriz de gerenciamento deriscos [13] acima.O nível do risco existente em uma organização pode ser categorizado como:Alto: requer imediata atenção e implementação de contra-medidas;Médio: Requer atenção e implementação de contra-medidas em um futuropróximo;Baixo: Requer alguma atenção e consideração para implementação de contra-medidas como boas práticas de negócios.Cada ameaça e vulnerabilidade identificada também deve ser qualificada. Essaclassificação varia conforme a organização e o departamento. Por exemplo, a ameaçade enchente preocupa muito mais organizações instaladas nas proximidades de riosdo que aquelas instaladas em regiões áridas. Danos causados a banco de dados depesquisas de marketing podem ser menos danosos do que danos causados ainformações relativas ao fluxo financeiro da organização.Os níveis de qualificação das ameaças podem ser assim definidos:Alto nível devulnerabilidadeAlto níveldeameaçasBaixo nível devulnerabilidadeBaixo níveldeameaçasMédio riscoMédio risco Alto riscoBaixo riscoMatriz de gerenciamento de riscosAlto nível devulnerabilidadeAlto níveldeameaçasBaixo nível devulnerabilidadeBaixo níveldeameaçasMédio riscoMédio risco Alto riscoBaixo riscoMatriz de gerenciamento de riscos
  57. 57. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 157Não aplicável: significa que a ameaça considerada não é relevante para asituação examinada;Baixo: não há histórico e considera-se que é improvável a concretização daameaça;Médio: significa que há algum histórico e probabilidade que a ameaça seconcretize;Alto: significa que há um histórico significante e uma avaliação de que a ameaçaestá por acontecer.O objetivo da análise de riscos é identificar e avaliar os riscos e ameaças pelo qual osistema de TI e seus ativos estão expostos, a fim identificar e selecionarcontramedidas apropriadas.O tabela da página seguinte [14] ilustra como a avaliação das informações de ameaçaspode ser qualificada com base nos ativos que são colocados em risco.A avaliação de ameaças conforme a tabela inclui:a. Descrever as ameaças em termos de quem, como e quando;b. Estabelecer em qual classe de ameaça a ameaça se enquadra;c. Determinar a probabilidade da concretização da ameaça;d. Determinar as conseqüências nas operações do negócio, caso a ameaça seconcretize;e. Calcular se o impacto das conseqüências leva a seqüelas pouco sérias, sériasou excepcionalmente graves.f. Calcular a taxa de exposição para cada ameaça, em termos da severidaderelativa para a organização.
  58. 58. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 158Ativo Descreva o ativoAgente /evento- Descreva a ameaçaClassificaçãoda ameaça- Quebra de sigilo: ameaça a confidencialidade da informação(Interceptação, manutenção imprópria, craker, procedimentos)- Interrupção: ameaça a disponibilidade da informação(terremoto, fogo, inundação, código malicioso, falha de energia)- Modificação: ameaça a integridade da informação (entradaerrada de dados, códigos maliciosos, crakers)- Destruição: terremoto, fogo, inundação, vandalismo, pico deenergia)- Remoção ou perda: ameaça a confidencialidade edisponibilidade (Roubo de dados ou sistemas em mídias portáteiscomo notebooks, Cds, disquetes)Probabilidadeda ocorrência- Baixo: a ameaça nunca se concretizou e é pouco provável queocorra- Médio: há histórico de ocorrência e pode vir a ocorrer- Alto: há histórico de ocorrência e grande probabilidade de ocorrerConseqüênciada ocorrênciaLista de conseqüências para a organização caso a ameaça seconcretize: relata as perdas ou outras conseqüências caso aameaça se concretizaImpactoDeterminar o impacto para a organização em termos de custoassociados com perda de confiabilidade, integridade edisponibilidade. O impacto pode ser:- Excepcionalmente grave- Sério- Pouco SérioAvaliaçãodaameaçaTaxa deexposiçãoValor numérico de 1 a 9:- Excepcionalmente grave: 6 a 9- Sério: 4 a 6- Pouco Sério: 1 a 3
  59. 59. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 159A tabela a seguir, mostra um modelo genérico de avaliação de riscos erecomendações. Juntamente com a tabela anterior pode ser usado para auxiliar natomada de decisão que deve ser feita para o tratamento de cada risco identificado.Segundo a norma, possíveis opções de tratamento do risco incluem:a. Aplicar controles apropriados para reduzir os riscos;b. Conhecer e objetivamente aceitar os riscos, sabendo que eles atendemclaramente à política da organização e aos critérios para aceitação de risco;c. Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos;d. Transferir os riscos associados para outras partes, por exemplo, seguradoras oufornecedores.Ativo Descreva o ativoContra-medidasexistentesDESCREVA: contra-medidas existentes paracombater a ameaçaVulnerabilidadesDESCREVA: as vulnerabilidades relacionadas com aameaçaAvaliação de riscosRiscosAVALIE os riscos como:- Baixo- Médio- AltoContra-medidaspropostasRECOMENDA-SE: implementação de novas contra-medidas ou remoção de contra-medidasdesnecessáriasRiscos projetadosAVALIE: os riscos projetados como:- Baixo- Médio- AltoRecomendaçõesAvaliação decontra-medidasAVALIE AS CONTRA-MEDIDAS COMO:- Completamente satisfatória- Satisfatória na maioria dos aspectos- Necessita melhoras
  60. 60. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1605 – POLÍTICA DE SEGURANÇA DA INFORMAÇÃONESTE CAPÍTULO VEREMOS COMO CRIAR UMA POLÍTICA DE SEGURANÇA DAINFORMAÇÃOCapítulo5
  61. 61. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 161OBJETIVOEscrever uma política de segurança da informação envolve comprometimento dediversas áreas de interesse e deve ser abraçada por todos, desde a direção daorganização até cada um dos funcionários, clientes e fornecedores com acesso aosistema de informação, ou que possam de alguma forma comprometer o ativoprotegido.O documento de política de segurança da informação deve ser elaborado de forma aservir como uma regra a ser seguida. Constantemente exigirá atualizações que reflitamas necessidades do negócio e a realidade da organização.Neste capítulo veremos como criar e organizar uma política de segurança dainformação nas organizações.Ao final deste capítulo você estará apto a:Conceituar o que é uma política de segurança da informação;Fazer uma análise crítica da política de segurança da informação;Estabelecer uma criteriosa política de segurança da informação conforme osrequisitos do negócio;Entender os documentos requeridos para a implantação e divulgação da políticade segurança da informação;
  62. 62. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 162O QUE É UMAPOLÍTICADE SERURANÇADAINFORMAÇÃOSegundo a norma ABNT NBR ISO/IEC 17799:2005, uma política de segurança dainformação visa “Prover uma orientação e apoio da direção para a segurança dainformação de acordo com os requisitos do negócio e com as leis e regulamentaçõesrelevantes”, ou seja, ela propõe uma política que sistematize um processo a fim deminimizar as preocupações da direção com a segurança de seus ativos.Escrever uma política é uma tarefa muitas vezes difícil e deve contar com oenvolvimento de várias pessoas, de vários departamentos. Isso não deve serdesanimador e não se deve procrastinar o início dos trabalhos, haja vista a fragilidadea que o negócio pode estar exposto.Se necessário, para implementar e manter esta política, deverá ser utilizadaconsultoria especializada, com conhecimento nos diversos aspectos da segurança dosbens de informação e das tecnologias que os apóiam.Possuir uma política de segurança da informação na organização é importantíssimopara o sucesso dos negócios. É preferível uma política mal escrita do que nenhumapolítica.“Prover uma orientação e apoio da direção para asegurança da informação de acordo com os requisitosdo negócio e com as leis e regulamentaçõesrelevantes”É preferível uma políticamal escrita do que nenhumapolítica.“Prover uma orientação e apoio da direção para asegurança da informação de acordo com os requisitosdo negócio e com as leis e regulamentaçõesrelevantes”É preferível uma políticamal escrita do que nenhumapolítica.
  63. 63. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 163CRIANDO UMAPOLÍTICADE SEGURANÇADAINFORMAÇÃOO primeiro passo para a criação de uma política de segurança da informação é teralguém responsável por ela. Deve haver uma área responsável pela política desegurança da informação, que se incumbirá de sua criação, implantação, revisão,atualização e designação de funções. Nessa área deve ser escolhido um gestorresponsável pela análise e manutenção da política. Para garantir a aplicação eficaz dapolítica, o ideal é que o alto escalão, como diretoria, gerentes e supervisores façamparte dessa área, além de usuários, desenvolvedores, auditores, especialistas emquestões legais, recursos humanos, TI e gestão de riscos.Thomas A. Wadlow [10], propõe um processo para se estabelecer uma política queprevê a possibilidade de implantação imediata na organização sem muita delonga. Aprincípio o processo não requer o engajamento imediato da direção, que, aos poucosdeverá ser incluída. Essa abordagem, leva em consideração a experiência naimplantação do processo da política.Como a norma é explícita no comprometimento da direção, neste curso adotaremosuma abordagem adaptada de Thomas A. Wadlow como o ponto de partida para atarefa de implantação da política de segurança da informação. Vamos supor que vocêleitor foi escolhido como o responsável pela implantação da política de segurança dainformação. Siga os passos abaixo para dar início aos trabalhos o quanto antes:1. Escreva o esboço do documento2. Apresente seu esboço para a diretoria3. Crie um comitê de política e segurança4. Divulgue a política5. Leve a política a sério6. Acate sugestões7. Reavalie periodicamente8. Refaça o processo1. Escreva o esboço do documento2. Apresente seu esboço para a diretoria3. Crie um comitê de política e segurança4. Divulgue a política5. Leve a política a sério6. Acate sugestões7. Reavalie periodicamente8. Refaça o processo
  64. 64. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1641. Escreva o esboço do documento da política de segurança para suaorganização. Esse documento deve ser genérico, possuir apenas suas idéiasprincipais, sem preocupação com precisão. Não deverá possuir mais do que 5páginas. Escreva também uma justificativa para sua implantação, sempre com ofoco nos negócios e riscos a que a organização está sujeita caso não seimplante a política de segurança da informação.Procure fazer um documento com foco nos processos de negócio, e não natecnologia. Para obter o apoio da diretoria é necessário que se mostre qualoperação está em risco.1. Escreva o esboço do documento2. Apresente seu esboço para a diretoria3. Crie um comitê de política e segurança4. Divulgue a política5. Leve a política a sério6. Acate sugestões7. Reavalie periodicamente8. Refaça o processoCriando uma política de segurança da informação1. Escreva o esboço do documento2. Apresente seu esboço para a diretoria3. Crie um comitê de política e segurança4. Divulgue a política5. Leve a política a sério6. Acate sugestões7. Reavalie periodicamente8. Refaça o processoCriando uma política de segurança da informação
  65. 65. Academia Latino-Americana de Segurança da InformaçãoIntrodução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1652. Apresente seu esboço para a diretoria. O objetivo é angariar a confiança noprojeto e o engajamento da direção. Uma vez que ela esteja convencida daimportância da política, você terá carta branca para a o início da implantação.O apoio da diretoria é fundamental para o sucesso da política de segurança. Emalgumas situações somente com o apoio da diretoria será possível aplicar aspolíticas criadas.1. Escreva o esboço do documento2. Apresente seu esboço para a diretoria3. Crie um comitê de política e segurança4. Divulgue a política5. Leve a política a sério6. Acate sugestões7. Reavalie periodicamente8. Refaça o processoCriando uma política de segurança da informação1. Escreva o esboço do documento2. Apresente seu esboço para a diretoria3. Crie um comitê de política e segurança4. Divulgue a política5. Leve a política a sério6. Acate sugestões7. Reavalie periodicamente8. Refaça o processoCriando uma política de segurança da informação

×