CEIE0402 - Monografia Unesp Sobre Iso17799

FACULDADE DE E NGENHARIA DE G UARATINGUET A E SPECIALIZAC AO EM I NFORM ATICA E MPRESARIAL
Analise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gestao da seguranca da informacao
Paulo S rgio Rangel Garcia e
Guaratinguet - SP a Maio, 2004
DADOS CURRICULARES
Paulo S rgio Rangel Garcia e NASCIMENTO: 31/08/1961 - S o Paulo, SP a
FILIACAO:
Floreal Garcia Ana Teodora Rangel Garcia
1989
Especializacao em An lise de Sistemas a Instituto Mackenzie
1987
Bacharel em Ci ncias e Faculdades Metropolitanas Unidas
1986
Licenciado em Ci ncias e Faculdades Metropolitanas Unidas
Este trabalho e dedicado a minha esposa, Vilma, pelo seu incentivo e apoio para que este curso fosse concludo com sucesso e aos meus lhos, Anna Paula e Arthur pela compreens o de minha a aus ncia nesses momentos. e
AGRADECIMENTOS
Em primeiro lugar, aos meus pais, Floreal Garcia e Ana Teodora Rangel Garcia, por seus valores pessoais e pelas experi ncias de vida que compartilham com seus lhos e netos, incentivando e a busca permanente do conhecimento e pelo amor aplicado a tudo que zeram e fazem por n s. o A todos os Professores que ao longo de nossas vidas nos beneciam, compartilhando conhecimentos e experi ncias que nos permitem chegar cada vez mais longe, representados especialmente e pelos Professores Edson Luiz Franca Senne, Jos Celso Freire J nior e o meu Orientador nesse e u trabalho, Professor Edgard Dias Batista J nior. u E tamb m a todos os nossos amigos e colegas que de forma direta ou n o, nos apoiaram e incene a tivaram na superacao de desaos e realizacao de trabalhos como este, especialmente representados por Daniel Fernando Vitor, Marcal Garcia e Paolo Villasco.
Sumario
1 Introducao 2 Conceitos B sicos a 2.1 2.2 2.3 A depend ncia da Informacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . e O que e Seguranca da Informacao . . . . . . . . . . . . . . . . . . . . . . . . . . O Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3.1 2.3.2 2.3.3 2.4 2.5 2.6 2.7 2.8 2.9 Porque a Seguranca da Informacao e necess ria . . . . . . . . . . . . . . . a Vari veis que inuenciam os Riscos . . . . . . . . . . . . . . . . . . . . . a Facilitadores para o aumento dos riscos e ameacas . . . . . . . . . . . . . 1 3 3 4 6 6 7 8
O Ciclo de Vida da Informacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 O perl do atacante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 O fator Humano . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Ameacas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Equacao do Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.10 Legislacoes, Normas e Regulamentacoes na Gest o da Seguranca da Informacao . 19 a 2.11 Tend ncias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 e 3 An lise Comentada da NBR ISO 17799 a 3.1 23
Poltica de Seguranca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 3.1.1 Poltica de Seguranca da Informacao . . . . . . . . . . . . . . . . . . . . . 23 3.1.1.1 3.1.1.2 Documento da poltica de seguranca da informacao . . . . . . . 24 An lise crtica e avaliacao . . . . . . . . . . . . . . . . . . . . . 30 a
3.2
Seguranca Organizacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a
3.2.1
Infra-estrutura da seguranca da informacao . . . . . . . . . . . . . . . . . 31 3.2.1.1 3.2.1.2 3.2.1.3 3.2.1.4 Gest o do f rum de seguranca da informacao . . . . . . . . . . . 31 a o Coordenacao da seguranca da informacao . . . . . . . . . . . . 33 Atribuicao das responsabilidades em seguranca da informacao . 33 Processo de autorizacao para as instalacoes de processamento da informacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 3.2.1.5 3.2.1.6 3.2.1.7 Consultoria especializada em seguranca da informacao . . . . . 34 Cooperacao entre organizacoes . . . . . . . . . . . . . . . . . . 35 An lise crtica independente de seguranca da informacao . . . . 35 a
3.2.2
Seguranca no acesso de prestadores de servicos . . . . . . . . . . . . . . . 35 3.2.2.1 3.2.2.2 Identicacao dos riscos no acesso de prestadores de servico . . . 36 Requisitos de seguranca nos contratos com prestadores de servicos 37
3.2.3
Terceirizacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 3.2.3.1 Requisitos de seguranca dos contratos de terceirizacao . . . . . . 39
3.3
Classicacao e controle dos ativos de informacao . . . . . . . . . . . . . . . . . . 40 3.3.1 Contabilizacao dos ativos . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 3.3.1.1 3.3.2 Invent rio dos ativos de informacao . . . . . . . . . . . . . . . . 40 a
Classicacao da Informacao . . . . . . . . . . . . . . . . . . . . . . . . . 41 3.3.2.1 3.3.2.2 Recomendacoes para classicacao . . . . . . . . . . . . . . . . 42 R tulos e tratamento da informacao . . . . . . . . . . . . . . . . 43 o
3.4
Seguranca em pessoas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 3.4.1 Seguranca na denicao e nos recursos de trabalho . . . . . . . . . . . . . . 44 3.4.1.1 3.4.1.2 3.4.1.3 3.4.1.4 3.4.2 Incluindo seguranca nas responsabilidades do trabalho . . . . . . 44 Selecao e poltica de pessoal . . . . . . . . . . . . . . . . . . . 44 Acordos de condencialidade . . . . . . . . . . . . . . . . . . . 46 Termos e condicoes de trabalho . . . . . . . . . . . . . . . . . . 46
Treinamento dos usu rios . . . . . . . . . . . . . . . . . . . . . . . . . . 46 a 3.4.2.1 Educacao e treinamento em seguranca da informacao . . . . . . 47
3.4.3
Respondendo aos incidentes de seguranca e ao mau funcionamento . . . . 47 3.4.3.1 Noticacao dos incidentes de seguranca . . . . . . . . . . . . . 47
UNESP/FEG-CEIE, 2004
ii
3.4.3.2 3.4.3.3 3.4.3.4 3.4.3.5 3.5
Noticando falhas de seguranca . . . . . . . . . . . . . . . . . . 48 Noticando mau funcionamento de software . . . . . . . . . . . 48 Aprendendo com os incidentes . . . . . . . . . . . . . . . . . . 48 Processo disciplinar . . . . . . . . . . . . . . . . . . . . . . . . 49
Seguranca fsica e do ambiente . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 3.5.1 Areas de seguranca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 3.5.1.1 3.5.1.2 3.5.1.3 3.5.1.4 3.5.1.5 3.5.2 Permetro da seguranca fsica . . . . . . . . . . . . . . . . . . . 49 Controles de entrada fsica . . . . . . . . . . . . . . . . . . . . 50 Seguranca em escrit rios, salas e instalacoes de processamento . 51 o Trabalhando em areas de seguranca . . . . . . . . . . . . . . . . 52 Isolamento das areas de expedicao e carga . . . . . . . . . . . . 53
Seguranca dos equipamentos . . . . . . . . . . . . . . . . . . . . . . . . . 53 3.5.2.1 3.5.2.2 3.5.2.3 3.5.2.4 3.5.2.5 3.5.2.6 Instalacao e protecao dos equipamentos . . . . . . . . . . . . . . 53 Fornecimento de energia . . . . . . . . . . . . . . . . . . . . . 55 Seguranca do cabeamento . . . . . . . . . . . . . . . . . . . . . 56 Manutencao de equipamentos . . . . . . . . . . . . . . . . . . . 57 Seguranca de equipamentos fora das instalacoes . . . . . . . . . 57 Reutilizacao e alienacao segura de equipamentos . . . . . . . . . 58
3.5.3
Controles gerais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 3.5.3.1 3.5.3.2 Poltica de mesa limpa e tela limpa . . . . . . . . . . . . . . . . 59 Remocao de propriedade . . . . . . . . . . . . . . . . . . . . . 59
3.6
Gerenciamento das operacoes e comunicacoes . . . . . . . . . . . . . . . . . . . . 60 3.6.1 Procedimentos e responsabilidades operacionais . . . . . . . . . . . . . . 60 3.6.1.1 3.6.1.2 3.6.1.3 3.6.1.4 3.6.1.5 3.6.1.6 3.6.2 Documentacao dos procedimentos de operacao . . . . . . . . . . 60 Controle de mudancas operacionais . . . . . . . . . . . . . . . . 61 Procedimentos para o gerenciamento de incidentes . . . . . . . . 62 Segregacao de funcoes . . . . . . . . . . . . . . . . . . . . . . . 63 Separacao dos ambientes de desenvolvimento e de producao . . . 64 Gest o de recursos terceirizados . . . . . . . . . . . . . . . . . 65 a
Planejamento e aceitacao dos sistemas . . . . . . . . . . . . . . . . . . . . 65

iii
3.6.2.1 3.6.2.2 3.6.3
Planejamento de capacidade . . . . . . . . . . . . . . . . . . . . 66 Aceitacao de sistemas . . . . . . . . . . . . . . . . . . . . . . . 66
Protecao contra software malicioso . . . . . . . . . . . . . . . . . . . . . 67 3.6.3.1 Controles contra software malicioso . . . . . . . . . . . . . . . 68
3.6.4
Housekeeping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 3.6.4.1 3.6.4.2 3.6.4.3 C pias de seguranca . . . . . . . . . . . . . . . . . . . . . . . . 69 o Registros de operacao . . . . . . . . . . . . . . . . . . . . . . . 70 Registro de falhas . . . . . . . . . . . . . . . . . . . . . . . . . 70
3.6.5
Gerenciamento de Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 3.6.5.1 Controle de rede . . . . . . . . . . . . . . . . . . . . . . . . . . 71
3.6.6
Seguranca e tratamento de mdias . . . . . . . . . . . . . . . . . . . . . . 72 3.6.6.1 3.6.6.2 3.6.6.3 3.6.6.4 Gerenciamento de mdias removveis . . . . . . . . . . . . . . . 72 Descarte de mdias . . . . . . . . . . . . . . . . . . . . . . . . . 73 Procedimentos para tratamento da informacao . . . . . . . . . . 74 Seguranca da documentacao dos sistemas . . . . . . . . . . . . . 74
3.6.7
Troca de informacoes e software . . . . . . . . . . . . . . . . . . . . . . . 75 3.6.7.1 3.6.7.2 3.6.7.3 3.6.7.4 3.6.7.5 3.6.7.6 3.6.7.7 Acordos para a troca de informacoes e software . . . . . . . . . 75 Seguranca de mdias em tr nsito . . . . . . . . . . . . . . . . . 76 a Seguranca do com rcio eletr nico . . . . . . . . . . . . . . . . . 77 e o Seguranca do correio eletr nico . . . . . . . . . . . . . . . . . . 78 o Seguranca dos sistemas eletr nicos de escrit rio . . . . . . . . . 80 o o Sistemas disponveis publicamente . . . . . . . . . . . . . . . . 81 Outras formas de troca de informacao . . . . . . . . . . . . . . . 81
3.7
Controle de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 3.7.1 Requisitos do neg cio para controle de acesso . . . . . . . . . . . . . . . . 82 o 3.7.1.1 3.7.2 Poltica de controle de acesso . . . . . . . . . . . . . . . . . . . 83
Gerenciamento de acessos do usu rio . . . . . . . . . . . . . . . . . . . . 84 a 3.7.2.1 3.7.2.2 3.7.2.3 Registro de usu rio . . . . . . . . . . . . . . . . . . . . . . . . 84 a Gerenciamento de Privil gios . . . . . . . . . . . . . . . . . . . 85 e Gerenciamento de senha dos usu rios . . . . . . . . . . . . . . . 86 a
iv
3.7.2.4 3.7.3
An lise dos direitos de acesso do usu rio . . . . . . . . . . . . . 87 a a
Responsabilidades do usu rio . . . . . . . . . . . . . . . . . . . . . . . . 87 a 3.7.3.1 3.7.3.2 Uso de senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Equipamentos de usu rios sem monitoracao . . . . . . . . . . . 89 a
3.7.4
` Controle de acesso a rede . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 3.7.4.1 3.7.4.2 3.7.4.3 3.7.4.4 3.7.4.5 3.7.4.6 3.7.4.7 3.7.4.8 3.7.4.9 Poltica de utilizacao dos servidores de rede . . . . . . . . . . . 90 Rota de rede obrigat ria . . . . . . . . . . . . . . . . . . . . . . 90 o Autenticacao para conex o externa do usu rio . . . . . . . . . . 91 a a Autenticacao de n . . . . . . . . . . . . . . . . . . . . . . . . 92 o Protecao de portas de diagn stico remotas . . . . . . . . . . . . 92 o Segregacao de redes . . . . . . . . . . . . . . . . . . . . . . . . 93 Controle de conex es de rede . . . . . . . . . . . . . . . . . . . 94 o Controle do roteamento de rede . . . . . . . . . . . . . . . . . . 94 Seguranca dos servicos de rede . . . . . . . . . . . . . . . . . . 95
3.7.5
Controle de acesso ao sistema operacional . . . . . . . . . . . . . . . . . . 95 3.7.5.1 3.7.5.2 3.7.5.3 3.7.5.4 3.7.5.5 3.7.5.6 3.7.5.7 3.7.5.8 Identicacao autom tica de terminal . . . . . . . . . . . . . . . 95 a Procedimentos de entrada no sistema ( log-on ) . . . . . . . . . 96
Identicacao e autenticacao de usu rio . . . . . . . . . . . . . . 97 a Sistema de Gerenciamento de senhas . . . . . . . . . . . . . . . 97 Uso de programas utilit rios . . . . . . . . . . . . . . . . . . . . 98 a Alarme de intimidacao para a salvaguarda de usu rios . . . . . . 99 a Desconex o de terminal por inatividade . . . . . . . . . . . . . 99 a Limitacao do tempo de conex o . . . . . . . . . . . . . . . . . . 100 a
3.7.6
` Controle de acesso as aplicacoes . . . . . . . . . . . . . . . . . . . . . . . 100 3.7.6.1 3.7.6.2 ` Restricao de acesso a informacao . . . . . . . . . . . . . . . . . 101 Isolamento de sistemas sensveis . . . . . . . . . . . . . . . . . 101
3.7.7
Monitoracao do uso e acesso ao sistema . . . . . . . . . . . . . . . . . . . 102 3.7.7.1 3.7.7.2 3.7.7.3 Registro (log) de eventos . . . . . . . . . . . . . . . . . . . . . 102 Monitoracao do uso do sistema . . . . . . . . . . . . . . . . . . 103 Sincronizacao dos rel gios . . . . . . . . . . . . . . . . . . . . 105 o
v
3.7.8
Computacao m vel e trabalho remoto . . . . . . . . . . . . . . . . . . . . 106 o 3.7.8.1 3.7.8.2 Computacao m vel . . . . . . . . . . . . . . . . . . . . . . . . 106 o Trabalho remoto . . . . . . . . . . . . . . . . . . . . . . . . . . 107
3.8
Desenvolvimento e manutencao de sistemas . . . . . . . . . . . . . . . . . . . . . 108 3.8.1 Requisitos de seguranca de sistemas . . . . . . . . . . . . . . . . . . . . . 108 3.8.1.1 3.8.2 An lise e especicacao dos requisitos de seguranca . . . . . . . 108 a
Seguranca nos sistemas de aplicacao . . . . . . . . . . . . . . . . . . . . . 109 3.8.2.1 3.8.2.2 3.8.2.3 3.8.2.4 Validacao de dados de entrada . . . . . . . . . . . . . . . . . . . 109 Controle do processamento interno . . . . . . . . . . . . . . . . 110 Autenticacao de mensagem . . . . . . . . . . . . . . . . . . . . 111 Validacao dos dados de sada . . . . . . . . . . . . . . . . . . . 111
3.8.3
Controles de criptograa . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 3.8.3.1 3.8.3.2 3.8.3.3 3.8.3.4 3.8.3.5 Poltica para o uso de controles de criptograa . . . . . . . . . . 112 Criptograa . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 Assinatura digital . . . . . . . . . . . . . . . . . . . . . . . . . 113 Servicos de n o rep dio . . . . . . . . . . . . . . . . . . . . . . 114 a u Gerenciamento de chaves . . . . . . . . . . . . . . . . . . . . . 114
3.8.4
Seguranca de arquivos do sistema . . . . . . . . . . . . . . . . . . . . . . 116 3.8.4.1 3.8.4.2 3.8.4.3 Controle de software em producao . . . . . . . . . . . . . . . . 117 Protecao de dados de teste do sistema . . . . . . . . . . . . . . . 117 Controle de acesso a bibliotecas de programa-fonte . . . . . . . 118
3.8.5
Seguranca nos processos de desenvolvimento e suporte . . . . . . . . . . . 118 3.8.5.1 3.8.5.2 Procedimentos de controle de mudancas . . . . . . . . . . . . . 119 An lise crtica das mudancas t cnicas do sistema operacional da a e producao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 3.8.5.3 3.8.5.4 3.8.5.5 Restricoes nas mudancas dos pacotes de software . . . . . . . . 120 Covert channels e cavalo de Tr ia . . . . . . . . . . . . . . . . 121 o Desenvolvimento terceirizado de software . . . . . . . . . . . . 121
3.9
Gest o da continuidade do neg cio . . . . . . . . . . . . . . . . . . . . . . . . . . 122 a o 3.9.1 Aspectos da gest o da continuidade do neg cio . . . . . . . . . . . . . . . 122 a o
vi
3.9.1.1 3.9.1.2 3.9.1.3 3.9.1.4 3.9.1.5
Processo de gest o da continuidade do neg cio . . . . . . . . . . 122 a o Continuidade do neg cio e an lise de impacto . . . . . . . . . . 123 o a Documentando e implementando planos de continuidade . . . . 123 Estrutura do plano de continuidade do neg cio . . . . . . . . . . 124 o Testes, manutencao e reavaliacao dos planos de continuidade do neg cio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 o
3.10 Conformidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 3.10.1 Conformidade com requisitos legais . . . . . . . . . . . . . . . . . . . . . 126 3.10.1.1 Identicacao da legislacao vigente . . . . . . . . . . . . . . . . 127 3.10.1.2 Direitos de propriedade intelectual . . . . . . . . . . . . . . . . 127 3.10.1.3 Salvaguarda de registros organizacionais . . . . . . . . . . . . . 128 3.10.1.4 Protecao de dados e privacidade da informacao pessoal . . . . . 129 3.10.1.5 Prevencao contra uso indevido de recursos de processamento da informacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 3.10.1.6 Regulamentacao de controles de criptograa . . . . . . . . . . . 130 3.10.1.7 Coleta de evid ncias . . . . . . . . . . . . . . . . . . . . . . . . 131 e 3.10.2 An lise crtica da poltica de seguranca e da conformidade t cnica . . . . . 132 a e 3.10.2.1 Conformidade com a poltica de seguranca . . . . . . . . . . . . 132 3.10.2.2 Vericacao da conformidade t cnica . . . . . . . . . . . . . . . 133 e ` 3.10.3 Consideracoes quanto a auditoria de sistemas . . . . . . . . . . . . . . . . 133 3.10.3.1 Controles de auditoria de sistema . . . . . . . . . . . . . . . . . 133 3.10.4 Protecao das ferramentas de auditoria de sistemas . . . . . . . . . . . . . . 134 4 Conclus es o 4.1 135
Presente e Futuro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 143
Refer ncias e
vii
Lista de Figuras
2.1 2.2 Evolucao da conectividade e do compartilhamento. . . . . . . . . . . . . . . . . . Inu ncia das vari veis internas e externas que personalizam o problema da seguranca e a da informacao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3 Quatro momentos do ciclo de vida da informacao, considerando os conceitos b sicos a da seguranca e os aspectos complementares. 2.4 2.5 2.6 2.7 3.1 . . . . . . . . . . . . . . . . . . . . 10 8 4
Diversidade panor mica das vulnerabilidades que exp em o neg cio a riscos. . . . 15 a o o Vis o Corporativa Integrada Desejada . . . . . . . . . . . . . . . . . . . . . . . . 15 a Diversidade panor mica das ameacas que exp em o neg cio a riscos. a o o . . . . . . . 16
Vis o condensada dos Desaos. . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 a Exemplos de unidades de medida considerados para identicar processos de neg cios o crticos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3.2 4.1 4.2
Tabela de escalas para classicacao de sensibilidade dos Processos do Neg cios. . 27 o Tabelas para os Bancos de Dados. . . . . . . . . . . . . . . . . . . . . . . . . . . 139 Fluxo da Proposta de Sistema de controle de riscos. . . . . . . . . . . . . . . . . . 141
Lista de Tabelas
2.1 2.2 2.3 3.1 3.2 Incid ncia de Ataques e Invas es e o . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Tabela comparativa entre atacantes prov veis e fatores envolvidos . . . . . . . . . 12 a Adequacao a Legislacoes / Normas e Regulamentacoes . . . . . . . . . . . . . . . 19 Tabela de escalas para classicacao da relev ncia dos Processos do Neg cio . . . . 26 a o Tabela de escalas para classicacao de prioridade dos processos do neg cio . . . . 28 o
GARCIA, P. S. R. An lise comentada da NBR ISO/IEC 17799: uma contribuicao para a a gest o da seguranca da informacao. Guaratinguet , 2004. 146 p. - Monograa (Especializacao a a em Inform tica Empresarial) - Faculdade de Engenharia de Guaratinguet , Universidade Estadual a a Paulista.
RESUMO
` As organizacoes em geral, independentemente de seu porte ou neg cio, face as mudancas tec o nol gicas e culturais ocorridas nos ultimos anos em toda a sociedade, tiveram grande crescimento o de sua depend ncia em relacao as informacoes, que se tornaram, em muitos casos, um dos mais e ` importantes ativos dos neg cios. Entretanto, pelas mesmas raz es, tamb m percebe-se a formacao o o e de um cen rio de grande risco, podendo afetar de forma decisiva a sobreviv ncia das organizacoes a e que n o ajustarem seus processos de seguranca na mesma velocidade que essas mudancas ocorrem a e os riscos aumentam. A reacao a este cen rio comecou em 1987 no Reino Unido quando foi criado o CCSC (Com a mercial Computer Security Centre), que apresentou em 1999 a norma de seguranca das informacoes do Reino Unido, homologada em abril daquele ano como BS 17799. Em dezembro de 2000 essa norma ganha reconhecimento internacional com a sua publicacao como ISO/IEC 17799:2000, chegando ao Brasil em setembro de 2001, como NBR ISO/IEC 17799. Neste trabalho de monograa busca-se, atrav s de uma an lise comentada da NBR ISO/IEC e a 17799, cobrir o espectro proposto por ela, abordando desde a elaboracao de uma poltica de seguranca, passando pela seguranca organizacional, classicacao e controle dos ativos de informacao com a discuss o de alternativas, seguranca em pessoas e o envolvimento da area de recursos hua manos, seguranca fsica e do ambiente, gerenciamento das operacoes e comunicacoes, formas de controles de acessos, controles no desenvolvimento e manutencao de sistemas, gest o da con a tinuidade do neg cio e conformidade com requisitos legais. o
PALAVRAS-CHAVE: seguranca da informacao, sistemas de seguranca, medidas de seguranca.
GARCIA, P. S. R. Commented analysis of NBR ISO/IEC 17799: a contribution for the information security management. Guaratinguet , 2004. 146 p. - Monograa (Especializacao a em Inform tica Empresarial) - Faculdade de Engenharia de Guaratinguet , Universidade Estadual a a Paulista.
ABSTRACT
Due to the technological and cultural changes that our society has been experiencing lately, companies, in general, independently of their size or business have become more and more dependent on information, which has often turned out to be one of their most important assets. However, for the same reasons, a risky environment has come up and that may enormously jeopardize the survival of the companies that do not update their security processes in the same pace as such changes take place and such risks increase. The reaction to this fact started in 1987 in the United Kingdom when the CCSC (Commercial Computer Security Centre) was created, which presented the United Kingdoms information security norms in 1999, ratied in April of the same year, as BS 17799. In December 2000 this norm achieved international recognition after it had been presented as ISO/IEC 17799:2000, being adopted in Brazil in September 2001 as NBR ISO/IEC 17799. In this monograph, by means of a commented analysis of NBR ISO/IEC 17799, we try to cover its spectrum focusing on several aspects, such as security policy, organizational security, information assets classication and control with discussions on areas like human resources, physical and environmental security, communications and operations management, access control, systems development and maintenance control, business continuity management, and legal requirements conformity.
KEYWORDS: Information security, security systems, security measures.
xi
Captulo 1
Introducao
Com as mudancas tecnol gicas ocorridas nos ultimos anos, a sociedade em geral passou a o perceber que, acompanhando as in meras vantagens e facilidades que as novas tecnologias trazem, u surgem uma s rie de novas ameacas e riscos, e comecou a sentir a import ncia em estar preparada e a para enfrent -las. a Infelizmente essa percepcao ainda n o e t o ampla que reduza a nveis aceit veis estes riscos, a a a mas j estamos vivendo um processo de transformacoes nesse sentido, causado principalmente pela a repercurs o que eventos dessa natureza obt m nos meios de comunicacao. a e Mesmo assim, muitas organizacoes n o tomam medidas, b sicas e mnimas, de seguranca para a a enfrentar tais riscos. Deixando de atualizar seus sistemas operacionais com as correcoes disponi bilizadas pelos fornecedores, deixando sem atualizacao seus programas antivrus e mostrando ir responsabilidade na navegacao pela Internet sem o uso de um rewall corretamente atualizado e congurado, e n o mantendo procedimentos claros e bem denidos de backups, se tornam alvos a f ceis a ataques das mais variadas naturezas e de suas terrveis conseq encias. a u Aos usu rios n o corporativos, al m destes erros, podemos acrescentar a forma descuidada no a a e trato de mensagens de correio recebidas, tornando-se alvos f ceis para ataques diversos, especiala mente no ambito das fraudes eletr nicas. o Dentro desse contexto, dizer que este trabalho n o e sobre Seguranca da Informacao soa contraa dit rio, mas e exatamente isso. A nossa proposta e ajudar na discuss o e compreens o do Processo o a a de Seguranca da Informacao, contribuindo para o seu aprimoramento. Wadlow em [1], compara a ` busca pelo estado de sa de perfeita a busca pelo estado de seguranca perfeita da seguinte forma: u
Livros de exerccios, dietas ou terapias n o s o livros sobre sa de, mas sobre processos que a a u algu m poder seguir em busca de sa de. A sa de e um tipo de estado ideal que nunca se cone a u u segue alcancar de maneira completa. Em vez de ser uma condicao que possa ser realizada, a sa de u
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a constitui um termo de comparacao. Algu m poder ser adequadamente saud vel ou maravilhosa e a a mente saud vel ou mais saud vel do que eu, mas nunca alcancar o estado de sa de perfeita. a a a u Tamb m nunca se alcanca um estado de seguranca perfeita. (Op.cit., p.1) e
Para ajudar nessa reex o podemos nos fazer a seguinte pergunta : a O nosso programa antivrus est atualizado ? Estamos seguros ? a Pois bem, a resposta sempre ser NAO. Mesmo que tenhamos acabado de atualiz -lo, faa a talmente ele j est desatualizado, pois entre o momento que o seu fornecedor disponibilizou a a a atualizacao e voc fez a sua aplicacao no seu computador, novos vrus foram criados na internet e e o seu fornecedor ainda est trabalhando para neutraliz -los, fazendo com que exista uma janela de a a tempo em que voc car desprotegido. O mesmo ocorre com as falhas de seguranca em sistemas e a operacionais e todos os demais tipos de programas de protecao, como por exemplo, rewall, IDS, anti-spam, etc. Entendendo que Seguranca e um processo din mico e contnuo, e que jamais nenhuma organizacao a chegar ao estado de Seguranca Perfeita, propomos discutir e comentar esse processo usando a como norma orientadora a NBR ISO/IEC 17799 - Tecnologia da Informacao - C digo de pr tica o a para a gest o da seguranca da informacao, que passaremos a tratar a partir de agora como NBR a ISO 17799 ou simplesmente como Norma. A sua aplicacao poder possibilitar que os resultados a obtidos sejam os mais pr ximos do estado de Seguranca Perfeita que o neg cio a ser protegido o o permita, mas sabendo que a perfeicao nunca poder ser alcancada. a Este trabalho foi realizado atrav s de pesquisa em Bibliograa e Sites especializados, na participacao e de eventos (semin rios e palestras) e em entrevistas com desenvolvedores e usu rios de Sistemas a a que possibilitam implementar procedimentos de an lise de riscos e/ou do fortalecimento da seguranca a e controles dos componentes que inuenciam o resultado nal do estado da seguranca da informacao dentro da organizacao. Esta Monograa apresentar , no captulo 2, conceitos b sicos, essenciais para a compreens o a a a e desenvolvimento do trabalho. Em seguida, no captulo 3, observando a NBR ISO 17799, ser a apresentada sua fundamentacao te rica, acrescida de contribuicoes extradas de diversos autores o dos materiais pesquisados e, quando possvel ser o acrescentadas contribuicoes extradas a partir a de experi ncias anteriores. Finalizando, ser o apresentadas no captulo 4 consideracoes nais e a e a proposta para o desenvolvimento de um sistema que permita a an lise de riscos, gest o do cona a hecimento em seguranca da informacao e o gerenciamento eciente dos ativos que inuenciam o resultado nal desse processo.
Captulo 2
Conceitos Basicos
2.1 A depend ncia da Informacao e
Toda a sociedade experimentou ao longo dos ultimos anos uma s rie de mudancas em funcao e dos avancos tecnol gicos que alcancamos. Isso se reete principalmente na forma com que as o pessoas, empresas e organizacoes, de uma forma geral, passaram a se relacionar. Em um retrospecto dos ultimos anos, percebe-se um salto de uma sociedade na era dos mainframes, saindo dos cart es perfurados, que comecava a dar seus primeiros passos na direcao da o computacao pessoal, para uma geracao cada vez mais dependente dos recursos de computacao, utilizando uma moderna infra-estrutura computacional e de redes, com avancadas aplicacoes que viabilizam novas formas de relacionamentos e que criaram express es como business-to-business, o business-to-consumer, business-to-government, e-comerce, e-procurement, al m dos sistemas intee grados de Gest o ERP - Enterprise Resource Planning e, principalmente, tem-se a clara percepcao a que a informacao, cada vez mais compartilhada, passou a ser um ativo cada vez mais valorizado. Em uma an lise um pouco mais detalhada desses avancos tecnol gicos, percebe-se que a a o evolucao da conectividade entre os sistemas e o compartilhamento da informacao e, sem d vida, a u mola propulsora do crescimento dessa depend ncia. e Segundo S mola [2], podemos comecar pelos caros e limitados mainframes e seu processae mento centralizado, passando pelas Redes Corporativas de Baixa Capilaridade, com poucos terminais de acesso, evoluindo para as Rede Corporativas de Alta Capilaridade, caminhando, de tal forma, que sugere poder-se chegar a um nvel de interacao entre as organizacoes jamais visto. S mola dene essa situacao como : e
digital marketplace, onde elementos da cadeia produtiva, como fornecedores, parceiros, clientes e o governo passam a interagir tamb m eletronicamente, integrando e compartilhando suas bases de e
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a conhecimento. (Op.cit., p.4)
Essa evolucao da conectividade e compartilhamento e a principal respons vel por esse a fen meno. Segundo S mola (Op.cit., p.5), Esse panorama nos leva a perceber o alto grau de o e depend ncia que as empresas t m da informacao - al m, consequentemente, de todos os elementos e e e da infra-estrutura que a mant m., explicando gracamente a evolucao sobre essa depend ncia na e e gura 2.1:
Nvel de Riscos
Digital Market Place
Integrao em Relaes Eletrnicas B2B, B2G
Acesso Remoto Rede Corporativa Extranet
Compartilhamento de Conexo Internet e Web Site
Rede Corporativa Distribuida Intranet
Rede Corporativa Alta Capilaridade MAN Perimetro Interno
Rede Corporativa Baixa Capilaridade LAN
Conectividade e Compartilhamento
Mainframe e acesso centralizado
Figura 2.1: Evolucao da conectividade e do compartilhamento.
2.2 O que e Seguranca da Informacao

De acordo com Northcutt et al. em [3] p.XXII, S mola em [2] p.45 e a NBR ISO 17799 em e [4] p.2, a Seguranca da Informacao visa garantir as tr s propriedades fundamentais da informacao e conforme denido a seguir: Condencialidade - Garantir que a informacao ser acessada apenas pelas pessoas autor a izadas. Integridade - Garantir a exatid o e completeza da informacao e dos m todos de processaa e mento. ` Disponibilidade - Garantir que os usu rios autorizados tenham acesso a informacao e aos a ativos correspondentes sempre que necess rio. a
UNESP/FEG-CEIE, 2004 4
A compreens o desse conceito e fundamental para este trabalho, bem como o entendimento de que a a seguranca da informacao e um processo contnuo e din mico. S mola a dene da seguinte forma: a e
` Podemos denir Seguranca da Informacao como uma area do conhecimento dedicada a protecao de ativos da informacao contra acessos n o autorizados, alteracoes indevidas ou sua indisponibilidade. a De forma mais ampla, podemos tamb m consider -la como a pr tica de gest o de riscos incidentes e a a a que impliquem no comprometimento dos tr s principais conceitos da seguranca: condencialidade, e integridade e disponibilidade da informacao. ([2], p.43)
Ele ainda acrescenta a estas propriedades mais dois aspectos que completariam os elementos essenciais na pr tica da seguranca da informacao, denindo da seguinte forma : a
Autenticacao - processo de identicacao e reconhecimento formal da identidade dos elementos ` que entram em comunicacao ou fazem parte de uma transacao eletr nica que permite o acesso a o informacao e seus ativos por meio de controles de identicacao desses elementos. Legalidade - caracterstica das informacoes que possuem valor legal dentro de um processo de comunicacao, onde todos os ativos est o de acordo com as cl usulas contratuais pactuadas ou a a a legislacao poltica institucional, nacional ou internacional vigentes. ([2], p.46)
A NBR ISO 17799 dene seguranca da informacao da seguinte forma:

A informacao e um ativo que, como qualquer outro ativo importante para os neg cios, tem um o valor para a organizacao e consequentemente necessita ser adequadamente protegida. A seguranca da informacao protege a informacao de diversos tipos de ameacas para garantir a continuidade dos neg cios, minimizar danos aos neg cios e maximizar o retorno dos investimentos e as oportunidades o o de neg cio. o A informacao pode existir em muitas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou atrav s de meios eletr nicos, mostrada em lmes ou e o falada em conversas. Seja qual for a forma apresentada ou o meio atrav s do qual a informacao e e compartilhada ou armazenada, e recomendado que ela seja sempre protegida adequadamente. A seguranca da informacao e aqui caracterizada pela preservacao de: a) condencialidade: garantia de que a informacao e acessvel somente por pessoas autorizadas a terem acesso; b) integridade: salvaguarda da exatid o e completeza da informacao e dos m todos de processaa e mento; ` c) disponibilidade: garantia de que os usu rios autorizados obtenham acesso a informacao e aos a ativos correspondentes sempre que necess rio. a UNESP/FEG-CEIE, 2004 5
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a Seguranca da Informacao e obtida a partir da implementacao de uma s rie de controles, que podem ser e polticas, pr ticas, procedimentos, estruturas organizacionais e funcoes de software. Estes controles a precisam ser estabelecidos para garantir que os objetivos de seguranca especcos da organizacao sejam atendidos. ([4], p.2)
Quanto aos aspectos de continuidade e din mica do processo da seguranca da informacao, a Wadlow em [1], arma o seguinte :
Armamos que seguranca n o e uma tecnologia. N o e possvel comprar ou criar um software a a capaz de tornar seu computador seguro. A fal cia dessas promessas se baseia na implicacao de a a seguranca ser um estado que se pode alcancar. Isso n o e possvel. A seguranca e a direcao em que a se pode viajar, mas nunca chegando de fato ao destino. O que e possvel fazer,..., e administrar um nvel aceit vel de risco. (Op.cit., p.4) a
Arma tamb m que a Seguranca n o e est tica, exigindo um esforco contnuo para se manter e a a no mesmo nvel e um esforco maior ainda para conseguir avancos, sendo dele a seguinte denicao:
` ` A seguranca e um processo. Pode-se aplicar o processo seguidamente a rede e a empresa que a mant m e, dessa maneira, melhorar a seguranca dos sistemas. Se n o iniciar ou interromper a e a ` aplicacao do processo, sua seguranca ser cada vez pior, a medida que surgirem novas ameacas a t cnicas. (Op.cit., p.4) e
2.3 O Risco
2.3.1 Porque a Seguranca da Informacao e necess ria a
Necess ria e frequentemente essencial, em funcao das perdas que uma organizacao pode a ter face a incidentes de seguranca que possam ocorrer. Essas perdas nem sempre s o tangveis, a como, por exemplo, a quantidade de unidades de um produto que deixou de ser produzida ou vendida. Muitas vezes envolvem a credibilidade da organizacao como fornecedor de produtos e servicos, na sua capacidade de honrar compromissos com seus parceiros e, principalmente, preser var informacoes sigilosas que lhe foram conadas por esses parceiros. A M dulo Security em [5], d indicacoes signicativas da Incid ncia de Ataques e Invas es. o a e o Veja a seguir a porcentagem de empresas que, segundo ela, sofreram ataques em cada intervalo de tempo anterior a pesquisa realizada:
Perodos De 1 a 6 meses Mais de 1 ano Menos de 1 m s e N o sabem informar a De 6 meses a 1 ano Nunca sofreram
Porcentagem 25% 22% 17% 16% 13% 7%
Tabela 2.1: Incid ncia de Ataques e Invas es e o
` 42 % das empresas tiveram problemas com a Seguranca da Informacao nos seis meses anteriores a ` pesquisa, sendo que 17% sofreram algum tipo de ataque ou invas o no ultimo m s anterior a pesquisa. a e Apenas 7% disseram nunca ter sofrido nenhum tipo de problema. 35% das empresas reconheceram que tiveram perdas nanceiras em 2003. Desse total, 22% registraram perdas de at R$ 50 mil, 8% entre R$ 50 mil e R$ 500 mil e 4% de R$ 500 mil a R$ 1 milh o. e a No entanto, 65% ainda n o conseguem quanticar o valor dos prejuzos causados por ataques ou a invas es. (Op.cit., p.9 e 10). o
Al m disso, e citado que Cada empresa foi vtima de aproximadamente 38 ataques por seme ana no primeiro semestre de 2003, contra 32 ataques no mesmo perodo de 2002. Fonte: Symantec Internet Security Threat Report( Op.cit., p.7), e que, Para 78% dos entrevistados, as ameacas, os riscos e os ataques dever o aumentar em 2004.(Op.cit., p.7). a Estes dados indicam que o n mero de vtimas de ataques e os prejuzos causados s o grandes, u a com fortes indcios de crescimento e, portanto, estar preparado para enfrentar incidentes de seguranca passa a ser, cada vez mais, uma quest o importante e priorit ria dentro das organizacoes. a a
2.3.2 Vari veis que inuenciam os Riscos a

Outro aspecto importante a ser levado em consideracao no que se refere aos riscos que uma organizacao sofre, s o as vari veis internas e externas, que inuem diretamente no impacto que a a ser sentido nas ocorr ncias de incidentes de seguranca. a e Mesmo empresas que atuem no mesmo segmento de mercado, com processos de fabricacao e comercializacao semelhantes, ter o impactos diferentes caso passem pelo mesmo tipo de Incidente a de Seguranca. Nesse sentido, S mola, em [2], arma o seguinte: e
Agora pense na sua empresa novamente. Aparentemente similar a um concorrente por atuarem no mesmo segmento, com os mesmos produtos e at possuindo processos de neg cios semelhantes. e o Imagine, ent o, ambas sendo contaminadas por um vrus de computador ou tendo sua conex o a a a ` UNESP/FEG-CEIE, 2004 7
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a Internet fora do ar momentaneamente. Teriam sofrido os mesmos efeitos ? Teriam tido impactos nanceiros id nticos ? e Estou certo que n o, pois cada instituicao possui diferencas fsicas, tecnol gicas, humanas - al m dos a o e fatores externos que inuenciam direta e indiretamente - que interferem nas variacoes de sensibilidade e, consequentemente nos impactos resultantes. (Op.Cit., p.5)
S mola (Op.cit., p.6), representa essas inu ncias na Figura 2.2 : e e
Ma
cro Eco nm Me rca ica s dol gi cas Na tur ais
Figura 2.2: Inu ncia das vari veis internas e externas que personalizam o problema da seguranca e a da informacao.
O que deve car bem claro para todos e que esses fatores personalizam o impacto de eventos semelhantes de quebra de seguranca nas organizacoes, aumentando ou diminuindo esse impacto em funcao da combinacao do peso e da inu ncia de cada um desses fatores nas empresas atingidas. e
2.3.3 Facilitadores para o aumento dos riscos e ameacas

S mola em [2], p.7 e 8, apresenta alguns dos fatores que favoreceram o crescimento dos e riscos e ameacas no campo da Seguranca da Informacao. Alguns t m origem em fen menos que e o inicialmente s o positivos, mas que somados a outros fen menos sociais criaram um cen rio exa o a tremamente grave e perigoso. Quanto aos aspectos positivos, podemos mencionar :
Inf lu nc ias
Hu ma nas Tec no lg ica s Fs ica s
Negcio Processos
Informao
Ativos
Crescimento do uso das informacoes digitalizadas; Aumento da conectividade das empresas; Crescimento das relacoes eletr nicas entre as empresas; o Crescimento do compartilhamento da informacao; Acesso a conex es Internet em banda larga; o Reducao do preco dos computadores, facilitando o acesso a essa tecnologia; Acesso gratuito a Internet; Crescimento do valor da informacao para as organizacoes; Em relacao aos pontos negativos, podemos citar: Baixo nvel de identicacao dos usu rios de acessos gratutos a Internet; a ` Compartilhamento de t cnicas de ataque e defesa; e Grande variedade de ferramentas de ataque e invas o, f ceis de serem usadas; a a Falta de Jurisprud ncia e mecanismos legais para responsabilizacao em ambiente virtual; e Falta de consci ncia da sociedade sobre a similaridade entre o crime virtual e o real; e Exaltacao do jovem invasor e sua associacao ao estere tipo de g nio e her i que teve exito o e o em uma invas o; a Associacao entre Intelig ncia Competitiva e Espionagem Eletr nica; e o Variedade de pers dos atacantes : concorrente, sabotador, adolescente, hacker, funcion rio a insatisfeito, etc. O cen rio detalhado acima, permite que os atacantes facam suas tentativas de uma forma cada a vez mais eciente face a difus o das ferramentas e t cnicas de ataque, de maneira que ca muito a e difcil sua identicacao, e mesmo que identicados, responsabiliz -los tamb m n o e uma tarefa a e a simples, por falta de legislacao e mecanismos legais para isso. Se forem ataques com origem em outro pas, isso se torna quase impossvel.
2.4 O Ciclo de Vida da Informacao

Conforme S mola em [2] p.11, o ciclo de vida e caracterizado pelos momentos vividos pela e informacao que a colocam em risco e que podem alterar as suas propriedades de Condencialidade, Integridade e Disponibilidade. Esses momentos podem ser divididos da seguinte forma : Manuseio - Momento em que a informacao e criada e manipulada; Armazenamento - Quando a informacao e armazenada; Transporte - Quando a informacao e transportada, seja por correio eletr nico ou atrav s de o e uma rede para ser consultada em uma estacao; Descarte - Quando a informacao e descartada. Em todas as fases o cuidado com a seguranca deve estar presente. Por exemplo, nada vale termos precaucoes durante os momentos de manuseio, armazenamento e transporte e sermos des cuidados no momento do seu descarte. S mola em (Op.cit., p.11), representa este ciclo da seguinte forma : e
Manuseio
Autenticidade
ad
In te
id
gr
ci
al
id
en
ad
fid
on
Descarte
Informao
Disponibilidade
Armazenamento
Legalidade
Transporte
Figura 2.3: Quatro momentos do ciclo de vida da informacao, considerando os conceitos b sicos a da seguranca e os aspectos complementares.
10
2.5 O perl do atacante

Segundo Wadlow em [1] p.20,
A seguranca n o e um problema de tecnologia; e uma quest o social. Tratando-a como um problema a a que pode ser resolvido por meios tecnol gicos, voc estar se expondo a um ataque. o e a
Ele acrescenta que n o e possvel assegurar que nenhum atacante invada um sistema, mas a pode-se fazer com que isso seja muito mais difcil, ressaltando que devemos adequar esse nvel de ` diculdade ao orcamento e as necessidades da empresa. Na mesma linha seguem Mitnick e Simon em [6], quando armam que:
A seguranca corporativa e uma quest o de equilbrio. Pouca ou nenhuma seguranca deixa a sua em a presa vulner vel, mas uma enfase exagerada atrapalha a realizacao dos neg cios e inibe o crescimento a o e a prosperidade da empresa. O desao e atingir um equilbrio entre a seguranca e a prosperidade. (Op.cit., p.08)
Dentro desse contexto, Wadlow em [1] p.21, coloca que um ataque ter exito se o atacante tiver a as seguintes condicoes em quantidade suciente : Habilidade Motivacao Oportunidade Dessa forma, cabe ao defensor reduzir as oportunidades dentro da equacao do neg cio da o organizacao e, sempre que possvel, diminuir a motivacao dos atacantes. Ele classica os atacantes em tr s categorias b sicas, considerando estas tr s condicoes: e a e Navegadores, aproveitadores e v ndalos a Espi es e sabotadores o (Ex-)Funcion rios e (ex-)contratados frustrados a Cada um desses grupos apresentam probabilidades de ataque, n mero potencial de atacantes, u motivacoes e habilidades diferentes. No quadro a seguir pode-se fazer uma comparacao entre cada um desses fatores, conforme ` valores estabelecidos por Wadlow (Op.cit., p.21 a 26).
Probabilidade de ataque Nro de atacantes potenciais Motivacao Habilidade
Navegadores, aproveitadores v ndalos a alta grande baixa a m dia e baixa a alta
Espi es e Sabotao dores depende da atividade normalmente baixo m dia para alta e m dia para alta e
(ex-)funcionarios (ex-)contratados m dia para alta e
depende da atividade alta m dia para alta e
Tabela 2.2: Tabela comparativa entre atacantes prov veis e fatores envolvidos a
Em resumo, por uma quest o de ordem pr tica, a seguranca n o pode custar mais que o a a a que est sendo protegido e nem pode ser um entrave para a operacao da empresa. Assim, sempre a dever haver um equilibrio entre esses aspectos, de forma a existir um nvel de risco aceit vel. a a Dentro desse contexto, em algum momento poderemos ter um evento de quebra de seguranca, bastando que o atacante tenha a motivacao e habilidades sucientes para identicar e explorar as oportunidades que existirem.
2.6 O fator Humano

Talvez este seja um dos pontos de vulnerabilidade de seguranca mais importantes e mais diceis de serem evitados ou controlados, e que fatalmente ser explorado pelos atacantes. a Mitnick e Simon, em [6], introduzem de forma bastante incisiva essa quest o, armando que: a
Todos que acham que os produtos de seguranca sozinhos oferecem a verdadeira seguranca est o a fadados a sofrer da ilus o da seguranca. Esse e o caso de viver em um mundo de fantasia: mais cedo a ou mais tarde eles ser o vtimas de um incidente de seguranca.(Op.cit., p.3) a
Acrescentando que Outros livros sobre seguranca corporativa concentram-se na tecnologia de hardware e software e n o abordam adequadamente a ameaca mais s ria de todas: a fraude a e humana.(Op.cit., p.8) Outro fato relevante e que a evolucao tecnol gica trouxe um novo tipo de atacante, con o hecido como Engenheiro Social, denido por Mitnick e Simon (Op.cit., p.xiii) como Algu m que e usa a fraude, a inu ncia e a persuas o contra as empresas, em geral visando suas informacoes. e a Acrescente-se a essa denicao que, al m das empresas, os usu rios n o corporativos tamb m pas e a a e saram a ser alvos desses ataques. O Engenheiro Social e agente de acoes que podem quebrar todo o aparato de seguranca baseado em tecnologia.
` Vale registrar que a medida que as empresas aprimoram seus recursos tecnol gicos de seguranca, o maior ser a tend ncia de que os ataques ocorram atrav s da Engenharia Social. Sobre isso, Mita e e nick e Simon (Op.cit., p.04) dizem o seguinte:
` A medida que os especialistas contribuem para o desenvolvimento contnuo de melhores tecnologias de seguranca, tornando ainda mais difcil a exploracao de vulnerabilidades t cnicas, os atacantes se e voltar o cada vez mais para a exploracao do elemento humano. Quebrar a rewall humanaquase a a sempre e f cil, n o exige nenhum investimento al m do custo de uma ligacao telef nica e envolve um a e o risco mnimo.
2.7 Vulnerabilidades
Vulnerabilidades s o fragilidades ou deci ncias presentes ou associadas a componentes ena e volvidos nas etapas do ciclo de vida da informacao. Assim, diariamente s o feitos ataques, que basicamente consistem na busca de vulnerabilidades a que, uma vez identicadas, proporcionam ao atacante a oportunidade de ter seu objetivo alcancado e a empresa a sofrer uma quebra de seguranca. Como visto anteriormente, essas vulnerabilidades podem ter v rias origens, de ordem teca nol gica ou n o, mas, de uma forma geral, pode-se agir sobre elas para elimin -las ou reduzi-las, o a a conforme a equacao do neg cio o permitir. o Por si s , as vulnerabilidades n o provocam incidentes, podendo ser consideradas agentes paso a sivos no processo, precisando de um agente ativo ou condicoes favor veis, que s o as ameacas, a a para que um incidente ocorra. S mola, em [2] p.19, apresenta uma lista de vulnerabilidades, e as classica em tr s categorias: e e Tecnol gicas : o Equipamentos de baixa qualidade Criptograa fraca Sistema operacional desatualizado Conguracao impr pria do rewall o Links n o redundantes a Conguracao impr pria do roteador o Bug nos softwares
Autorizacao de acesso l gico inadequado o Fsicas : Aus ncia de gerador de energia e Aus ncia de normas para senhas e Aus ncia de fragmentadora de papel e Mdia de backup mal acondicionada Falta de controles fsicos de acesso Instalacao el trica impr pria e o Cabeamento desestruturado Humanas : Falta de treinamento Falta de qualicacao Aus ncia de polticas de RH e Ambiente/clima organizacional ruim A esse conjunto de vulnerabilidades listadas como exemplos, pode-se acrescentar ou retirar algumas, ou considerar maior ou menor a sua inu ncia dentro de cada organizacao, em funcao do e equilibrio entre o seu neg cio, os recursos disponveis para seguranca e o nvel de risco aceit vel o a para a sua operacao. Por exemplo, se o seu ciclo operacional e muito curto, com pouca margem para atrasos junto aos seus clientes, vale a pena considerar a necessidade de um sistema de geradores para casos onde ocorram falhas no fornecimento de energia el trica. Se a empresa recebe informacoes sigilosas de e seus clientes, uma criptograa fraca poder ser um problema muito s rio. a e S mola (Op.cit., p.19) representa essa diversidade de vulnerabilidades na Figura 2.4: e
14
Vulnerabilidades
o all ura ew nfig o fir e l Co ria d ia d pape p e nc r Aus dora d Imp a enta m tric frag El o ia tala pr Ins Impr
Sis tem De a O sa pe tua rac liza ion do al
rm No de ha ia en nc a s s ar Au p
Fa lt
de
Negcios
dundan tes
Tr ein
am en to
Processos
fia Fraca Criptogra
no re
Informao
Ativos
Bu
gn
os
so
ftw
are
s
acesso lgico inadequado
strutu rado
Ate
m rra
en
to
Autorizao de
Cab ea men to dese
de s to de en da m ali pa qu ui a Eq aix b
Figura 2.4: Diversidade panor mica das vulnerabilidades que exp em o neg cio a riscos. a o o
Ainda segundo S mola (Op.cit., p.18), em uma Vis o Corporativa de Seguranca, as tr s e a e categorias de vulnerabilidades devem ser associadas e trabalhadas de forma integrada para se obter um nvel adequado de risco a ser administrado, sendo representado por ele conforme Figura 2.5:
Ameaas
Vulnerabilidades
ica
lg
Te
cno
Negcios
s
gica
ran
Processos
Fsic as
Falta de controle Aus s fsicos nc de aces ia so de de G era ene rgia dor
Backdoor
Links
gu
nol
Tec
Se
Figura 2.5: Vis o Corporativa Integrada Desejada a
rp mal backup imp Mdia de cionada o dor acondi ura tea nfig do ro Co
ria
a gur Se na Fs ica
Informao
Ativos
Humanas
Segurana Humana
15
2.8 Ameacas
Como visto anteriormente, as ameacas s o os agentes ativos na ocorr ncia de incidentes de a e seguranca. S mola, em [2], dene ameacas da seguinte forma : e
Agentes ou condicoes que causam incidentes que comprometem as informacoes e seus ativos por meio da exploracao de vulnerabilidades, provocando perdas de condencialidade, integridade e disponi bilidade e, consequentemente, causando impactos aos neg cios de uma organizacao. (Op.cit., p.47) o
Ele tamb m classica as Ameacas em funcao do seu grau de intencionalidade da seguinte e forma: Naturais - Decorrentes de fen menos naturais, como, por exemplo, inc ndios, enchentes, o e terremotos, tempestades eletromagn ticas, maremotos, aquecimento, poluicao, furac o, etc. e a Involunt rias - Ameacas inconscientes, quase sempre causadas pelo desconhecido. Podem a ser causadas por acidentes, erros, falta de energia, etc. Volunt rias - Ameacas propositais causadas por agentes humanos como hackers, invasores, a espi es, ladr es, criadores e disseminadores de vrus de computador, incendi rios. o o a Esse panorama e representado por S mola (Op.cit., p.15) na Figura 2.6: e
Ameaas
Ha
r cke
u Com
nica
Cr
a de Falh
ac ke
lh
io nr cio ito Fun atisfe s In
Fa
Er
Negcios Processos
ro
a de So
Hu
an o
ftw ar e
nt Concorre
Curios
Fraudador
Pane E l
F Eq alha uip d am e en to
Inc
Vrus
dio
Ca
valo
Ativos
Fo
o ed ec rn
Espe
cula
dor
Figura 2.6: Diversidade panor mica das ameacas que exp em o neg cio a riscos. a o o
de
Tr
ia
Falhas de Midia
Pa rce s iro
Informao
trica
16
2.9 Equacao do Risco

Em primeiro lugar, deve-se denir alguns pontos desta equacao, que ainda n o foram aborda a dos neste trabalho, apesar de intuitivamente serem familiares. Segundo S mola, em [2] p.49 e 50, e estes pontos podem ser denidos da seguinte forma : Medidas de Seguranca - S o as pr ticas e procedimentos e todos os mecanismos usados para a a a protecao da informacao e seus ativos, que podem impedir que ameacas explorem vulnerabili dades, que permitam a reducao dessas vulnerabilidades, e possibilitem a limitacao do impacto ou minimizacao do risco de qualquer outra forma. Podemos acrescentar o entendimento de Gil em [7] p.19, que diz o seguinte :
As Medidas de Seguranca podem ser estabelecidas em funcao do par metro tempo, correspondendo a: a - medidas de seguranca preventivas, ou seja, que buscam evitar a ocorr ncia das causasde e determinada ameaca; - medidas de seguranca detectivas, ou seja, que buscam agrar a ocorr ncia de causase de e conseq encias de determinada ameaca; u - medidas de seguranca corretivas, ou seja, que combatem e buscam a eliminacao e a minimizacao das conseq encias; u - medidas de seguranca restauradoras, ou seja, que restabelecem a sistem tica de sintonia op a ` eracional do bem, retornando a situacao de normalidade/funcionamento pleno, do plano de seguranca/conting ncia. e
Riscos - E a probabilidade das ameacas explorarem vulnerabilidades, provocando perdas de condencialidade, integridade e disponibilidade, causando impactos nos neg cios. o Impacto - E a abrang ncia dos danos causados por um incidente de seguranca sobre um ou mais e processos de neg cio. o Incidente - Fato ou evento decorrente da acao de uma ameaca, quando uma ou mais vulnerabil ` idades s o exploradas, levando a perda de princpios fundamentais da seguranca da informacao: a Condencialidade, integridade e disponibilidade. As empresas, independemente do seu neg cio ou mercado em que atuam, possuem dezenas o e as vezes centenas de vari veis que inuem, direta ou indiretamente na denicao do seu nvel a de risco. Em um trabalho mais abrangente, identicar estas vari veis deve ser um dos primeiros a itens a serem desenvolvidos. Entretanto, para efeito do estudo, ser o tratadas de uma forma mais a gen rica. e Assim, para a interpretacao da equacao de riscos, pode-se colocar da seguinte forma: O risco e a possibilidade de que ameacas explorem vulnerabilidades, expondo as informacoes e
seus ativos a perda de alguma de suas propriedades fundamentais (condencialidade, integridade e disponibilidade), causando impactos nos neg cios. Tais impactos s o reduzidos por medidas de o a seguranca que protegem as informacoes e seus ativos e buscam impedir que as ameacas explorem as vulnerabilidades dos componentes envolvidos no ciclo de vida da informacao, diminuindo o risco. Assim, segundo S mola (Op.cit., p.56), pode-se representar a equacao de risco da seguinte e forma : V AI M
R= Onde : R : Risco V : Vulnerabilidades A : Ameacas I : Impactos M : Medidas de Seguranca
Tamb m e fundamental o entendimento de que estas vari veis s o din micas, e que provocam e a a a mudancas frequentes no contexto em que as empresas e seus neg cios est o inseridos, implicando o a em reavaliacoes constantes da equacao de risco. Finalmente, S mola (Op.cit, p. 51) mostra a Figura 2.7, que detalha uma vis o condensada dos e a desaos no ambito da Seguranca da Informacao.
Ameaas
Vulnerabilidades
Se r gu
Negcios
Processos
an a F sic a
Fs
Manuseio
ica
s ica
Vi clo de
da
cnolg
Autenticidade
id ad al e
Ci
te In
na Te
e ad id gr
Tecnolgicas
Informao
Disponibilidade
Legalidade Transporte Ativos

ma na s
Armazenamento
Descarte
Segura
on f
id
en
ci
Hu
Se
gu
ran
aH
um
an
Figura 2.7: Vis o condensada dos Desaos. a
18
2.10 Legislacoes, Normas e Regulamentacoes na Gest o da Seguranca a da Informacao

Em relacao as legislacoes, normas e regulamentacoes que est o sendo adotadas pelas empre ` a sas e organizacoes para adequacao de suas acoes no ambito da seguranca da informacao, muitas est o associadas a regulamentacoes especcas, como por exemplo resolucoes do Banco Central e a decretos do Governo Federal. A M dulo Security, em [5] p.7, mostra o seguinte: o Norma ISO 17799 Publicacoes do Governo Federal (Decreto 4553 e outros) Publicacoes do Banco Central (resolucao 2554 e outras) Regulamentacao da ICP-Brasil COBIT Publicacoes da CVM (Resolucao 358 e outras) Publicacoes da Anatel Publicacoes da SEC (Sarbanes e Oxley e outras) Publicacoes do CFM Outras Porcentagem 63,5% 37,0% 30,0% 27,0% 20,0% 20,0% 17,0% 11,5% 6,0% 6,0%
Tabela 2.3: Adequacao a Legislacoes / Normas e Regulamentacoes
` (*) O total das citacoes e superior a 100% devido a quest o aceitar multiplas respostas. a
Al m dos dados acima, a M dulo Security arma que : e o

Um dos mais importantes resultados desta pesquisa e o que trata da adequacao com legislacao, regulamentacao e normas. Este estudo mostra que por um lado a ISO 17799 tem sido adotada forte mente como refer ncia t cnica pelas equipes de Seguranca da Informacao, seguida pelo Cobit, muitas e e vezes em conjunto. Mas, por outro lado, cada segmento tem tamb m adotado as regulamentacoes ese peccas, como, por exemplo, resolucoes do Banco Central e decretos do Governo Federal. Essa tend ncia de uso de normas e regulamentos e fortalecida com o Novo C digo Civil, que traz e o maior responsabilizacao para os administradores das empresas e autoridades do Governo. Tudo isso tem se destacado como uma grande oportunidade para os prossionais de Seguranca da Informacao nos pr ximos anos, uma vez que a mat ria se aproxima a cada dia da sua atividade-m e dos execuo e tivos da organizacao. (Op.cit., p.7)
Como este trabalho pretende usar a NBR ISO 17799 como norma orientadora, informacoes mais detalhadas, sobre as demais normas e regulamentacoes, podem ser obtidas por pesquisa em livros e sites especializados. Entretanto sugere-se a leitura do artigo de Nery e Paranhos [8], onde
comparam a NBR ISO 17799 e COBIT, e concluem que:

Analisando as duas normas nota-se que existe intersecao entre v rios itens de ambas e que elas se a completam em v rios aspectos. N o acreditamos que as organizacoes devam comparar quais das duas a a e a mais adequada, mas sim reetir em cima das duas normas e decidir o que e mais adequado para a seguranca de cada organizacao.
Acreditamos que essa reex o sobre a Norma mais adequada para cada organizacao deve ser a ` feita e assim somada as Legislacoes obrigat rias, impostas pelos org os reguladores de cada setor, o a de forma a se obter a cobertura mais ampla possvel sobre o assunto.
2.11 Tend ncias e

Em relacao as tend ncias para a Seguranca da Informacao, S mola [2] acredita que haver um ` e e a movimento no meio empresarial no sentido de haver conformidade com as normas de seguranca aceitas pelo mercado, a exemplo do que ocorre atualmente com a norma ISO 9000, armando o seguinte:
Assim como ocorreu com a norma de qualidade ISO9000, que gradativamente foi ganhando a conanca e a credibilidade das empresas em todos os segmentos e ramos de atividade, teremos segu ramente um novo movimento no meio corporativo em busca da sintonia, conformidade e, conseq enu temente, certicacao com base na norma de seguranca da informacao. (Op.cit., p.72)
Alguns autores tamb m manisfestam preocupacao em relacao a exploracao de incidentes de seguranca e em acoes de terrorismo e de guerra nos pr ximos anos. o
Sobre isso, Mitnick e Simon, em [2], armam o seguinte:

Embora at onde eu saiba os terroristas ainda n o usaram as artimanhas da Engenharia Social para e a se inltrarem nas corporacoes, nas estacoes de tratamento de agua, nas instalacoes de geracao de eletricidade ou em outros componentes vitais da nossa infra-estrutura nacional, o potencial para isso existe. E isso e muito f cil. A consci ncia de seguranca e as polticas de seguranca que espero sejam a e colocadas em pr tica e implantadas pelo gerenciamento corporativo de primeiro escal o por causa a a deste livro n o vir o cedo demais.(Op.cit, p.08) a a
Na mesma linha, Wadlow, em [1], diz que:
20
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a Muitos prossionais de seguranca de computadores consideram inevit vel o uso da Internet para a acoes de terrorismo e de guerra na pr xima d cada, colocando seus sistemas de rede e de computa o e dores na linha de frente de todas as guerras, de muita ou pouca import ncia, em qualquer lugar do a mundo. (Op.cit., p.10)
As duas vis es n o s o improv veis e talvez o temor por possveis acoes terroristas induza, em o a a a um ritmo mais acelerado, o movimento da busca da conformidade pela Certicacao em seguranca da informacao, por empresas e organizacoes.
21
22
Captulo 3
Analise Comentada da NBR ISO 17799

3.1 Poltica de Seguranca
3.1.1 Poltica de Seguranca da Informacao
A NBR ISO 17999 ([4] p.4) dene Poltica de Seguranca da Informacao da seguinte forma:
` Objetivo: Prover a direcao uma orientacao e apoio para a seguranca da informacao. Conv m que a direcao estabeleca uma poltica clara e demonstre apoio e comprometimento com a e seguranca da informacao atrav s da emiss o e manutencao de uma poltica de seguranca da informacao e a para toda a organizacao.
Uma Poltica de Seguranca e um documento fundamental para proteger uma organizacao con tra ameacas a seguranca das informacoes que possue ou que lhe s o conadas por parceiros de ` a neg cios. Wadlow, em [1] p.12, arma que: o
Uma poltica de seguranca atende a v rios prop sitos: a o Descreve o que est sendo protegido e por qu . a e Dene prioridades sobre o que precisa ser protegido em primeiro lugar e qual o custo. Permite estabelecer um acordo explcito com as v rias partes da empresa em relacao ao valor a da seguranca. Fornece ao departamento de seguranca um motivo v lido para dizer n o quando necess rio. a a a Proporciona ao departamento de seguranca a autoridade necess ria para sustentar o n o. a a Impede que o departamento de seguranca tenha um desempenho f til. u
Assim, a Poltica de Seguranca n o ir denir procedimentos especcos de uso ou protecao a a ` da informacao. Ela dever estar voltada para a atribuicao de direitos e responsabilidades as pes a soas (usu rios, administradores de redes e sistemas, programadores, funcion rios, gerentes, etc.) a a envolvidas com a informacao nos quatros momentos de seu ciclo de vida (manuseio, armazena mento, transporte e descarte). Assim elas saber o previamente os seus direitos e responsabilidades a em relacao a seguranca dos recursos computacionais com os quais ir o trabalhar. a Al m dos aspectos citados por Wadlow ([1]), podem ser considerados importantes para serem e abordados por essa Poltica : Conseq encias das violacoes a poltica e quais penalidades ser o aplicadas aos transgresu ` a sores, e quem ter autoridade para aplic -las; a a ` O respeito a legislacao e cl usulas contratuais vigentes; a O apoio explcito da alta direcao da organizacao as metas e princpios da seguranca da ` informacao.
3.1.1.1 Documento da poltica de seguranca da informacao Assim, o primeiro passo a ser dado ser a denicao das informacoes a serem protegidas atrav s a e de uma an lise de riscos, que dever identicar : a a recursos a serem protegidos; ameacas as quais est o sujeitos; ` a vulnerabilidades que possuem e que podem transformar tais ameacas em eventos de quebra de seguranca. A metodologia dessa an lise de riscos pode variar conforme a organizacao. A sugest o e a que a a ` foi proposta por S mola em [2] p.86 a 98, que a conceitua da seguinte forma : e
E fundamental entender os desaos do neg cio, conhecer os planos de curto, m dio e longo prazos, e o e as demandas que estar o por vir em funcao do Business Plan. Por mais que as acoes de seguranca n o a a incidam diretamente nos processos do neg cio, todas elas ter o de ser orientadas por eles; portanto, o a objetiva-se, nesta fase preliminar do levantamento, montar um mapa de relacionamento e depend ncia e entre Processos de Neg cio, Aplicacoes e Infra-estrutura Fsica, Tecnol gica e Humana. o o Trata-se de uma tarefa de natureza complexa, principalmente quando se trata de uma empresa de grande porte, pois dicilmente se encontrar um grupo acessvel, pequeno e coeso capaz de ter uma a UNESP/FEG-CEIE, 2004 24
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a vis o corporativa ampla e completa. Al m disso, a complexidade dos ambientes, a heterogeneidade a e de tecnologias, os m ltiplos acessos hbridos, a descentralizacao geogr ca e a previsvel distribuicao u a de responsabilidades de seguranca pelos departamentos tornam-se fatores dicultadores; por isso, considere-os. (Op.cit., p.87)
S mola divide a metodologia em seis etapas distintas, mas que se complementam, oferee cendo uma vis o consolidada do neg cio. a o Identicacao dos Processos de Neg cio : Atrav s de entrevistas com os principais gestores o e e partindo da premissa que as acoes devem ter o foco nos neg cios, deveremos identicar o as necessidades fsicas, tecnol gicas, humanas e de conectividade desses processos para o o funcionamento de todo o neg cio. Neste item e proposto o uso de cinco unidades de medidas o para reconhecer os Processos de Neg cios crticos, que podem variar conforme o contexto o de neg cios da organizacao. o Clientes Atendidos; Receita gerada; Margem de contribuicao; Fator Estrat gico; e Conformidade Legal.
Clientes Atendidos
Receita
Margem
Fator Conformidade Estratgico Legal
PN 1
$ Processos de Negcio PN 2
PN 3
PN x Peso $ Multa
Figura 3.1: Exemplos de unidades de medida considerados para identicar processos de neg cios o crticos.
25
Assim, o resultado pretendido nesta etapa ser : a Mapeamento dos Processos de Neg cios crticos para a operacao da empresa; o Identicacao dos gestores chaves dos processos mapeados; Incio da integracao e comprometimento dos gestores chaves envolvidos; Incio do entendimento sobre o funcionamento do neg cio; o Mapeamento da Relev ncia : Nessa etapa pretende-se estabelecer a real relev ncia dos proa a cessos identicados no item anterior. A responsabilidade por isso dever ser da alta Direcao a da organizacao, com a vis o macro e estrat gica da empresa e, principalmente, imparciali a e dade ao ponderar a import ncia de cada processo, S mola em [2], coloca da seguinte forma: a e
Para realizar adequado mapeamento da relev ncia de cada processo de neg cio crtico (relacao a o ` de peso entre eles associada a import ncia para o neg cio) e necess rio envolver um ou mais a o a gestores que compartilhem uma vis o corporativa - conhecendo o funcionamento global do a neg cio - sem estar diretamente e exclusivamente envolvido com um ou mais processos eso peccos, ou que possua imparcialidade no momento de ponderar a import ncia que ir orientar a a a priorizacao das acoes nas etapas subseq entes. (Op.cit., p.90) u
Abaixo reproduzimos a escala de valores sugerida por S mola em [2] p.91, a ser aplicada e nessa avaliacao: Escala NAO CONSIDERAVEL Auxlio de Interpretacao
Envolve o atingimento gerenci vel do Processo de a Neg cio podendo provocar Impactos praticamente iro relevantes
RELEVANTE
Envolve o atingimento gerenci vel do Processo de a Neg cio podendo provocar Impactos apenas cono sider veis a
IMPORTANTE
Envolve o atingimento gerenci vel do Processo de a Neg cio podendo provocar Impactos parcialmente o signicativos
4 5
CRITICO VITAL
Envolve a paralizacao do Processo de Neg cio po o dendo provocar Impactos muito signicativos Envolve o comprometimento do Processo de Neg cio podendo provocar Impactos incalcul veis na o a recuperacao e na continuidade do neg cio o
Tabela 3.1: Tabela de escalas para classicacao da relev ncia dos Processos do Neg cio a o
Nesta estapa deveremos obter os seguintes resultados :

Mapeamento da relev ncia dos Processos de Neg cios crticos; a o Envolvimento da alta Direcao da Organizacao; Percepcao dos valores e fatores considerados importantes pela alta Direcao; Estudo de Impactos CIDAL : Esta etapa visa avaliar a sensibilidade dos Processos de Neg cios crticos a incidentes de seguranca, levando em conta apenas o Processo e n o o o a Neg cio como um todo. Juntos com os Gestores de cada Processo, ser o avaliados os cono a ceitos Condencialidade, Integridade, Disponibilidade e os aspectos de Autenticidade e Legalidade usando a tabela de valores utilizada no Mapeamento de Relev ncia. Abaixo, a a Tabela de escala para essa avaliacao, proposta por S mola (Op.cit., p.92). e
CONCEITOS DISPONIBILIDADE INTEGRIDADE AUTENTICIDADE CONFIDENCIALIDADE
ASPECTOS LEGALIDADE
Processo de Negcio 1
ESCALA 1 NO CONSIDERVEL 2 RELEVANTE 3 IMPORTANTE 4 CRTICO
s re
a lt
VITAL
Figura 3.2: Tabela de escalas para classicacao de sensibilidade dos Processos do Neg cios. o
Estudo de Prioridades GUT : Tamb m junto com os Gestores de cada processo tido como e crtico, ser aplicada a Matriz GUT (Gravidade, Urg ncia e Tend ncia) para comecar a etapa a e e de estudo e pontuacao das prioridades. A conducao do processo poder ser baseada nos a ` seguintes questionamentos propostos por S mola (Op.cit., p.92 a 94). e Dimens o Gravidade : Qual seria a Gravidade para o processo se algum fato atingisse a qualquer um dos conceitos e aspectos, provocando um incidente de seguranca ? Devemos considerar a gravidade dos impactos associados diretamente, e exclusivamente ao processo de neg cio em an lise. o a Dimens o Urg ncia : Qual seria a Urg ncia em solucionar os efeitos do Incidente e a e e em reduzir os riscos no Processo de Neg cio em an lise ? o a
27
Devemos considerar o tempo de duracao dos impactos associados diretamente, e ex clusivamente ao Processo de Neg cio em an lise. o a Dimens o Tend ncia : Considerando os planos de curto, m dio e longo prazo, qual a e e seria a Tend ncia de agravamento dos riscos se nenhuma medida preventiva ou corree tiva fosse aplicada ? Devemos considerar a oscilacao de import ncia dos impactos associados diretamente, a e exclusivamente ao Processo de Neg cio em an lise. o a Quanto aos crit rios de pontuacao, S mola (Op.cit., p. 94) sugere o quadro abaixo: e e Gravidade 1 Sem gravidade 2 Baixa gravidade 3 M dia gravidade e 4 Alta gravidade 5 Altssima gravidade Urg ncia e 1 Sem Pressa ` 2 Tolerante a espera 3 O mais cedo possvel 4 Com alguma urg ncia e 5 Imediatamente Tend ncia e 1 N o vai agravar a 2 Vai agravar a longo prazo 3 Vai agravar a m dio prazo e 4 Vai agravar a curto prazo 5 Vai agravar imediatamente
Tabela 3.2: Tabela de escalas para classicacao de prioridade dos processos do neg cio o
Com a aplicacao dessa escala de valores, que posteriormente ser o multiplicados, obtem-se a o valor nal de cada processo, que poder variar de 1 a 125. Com a nalidade de se obter a uma identicacao mais r pida dos processos, atribui-se uma cor para faixas de pontuacao. a VERDE de 01 a 42, AMARELO de 43 a 83 e VERMELHA de 84 a 125. O resultado esperado por essa etapa e o Mapeamento da prioridade de cada Processo de Neg cio e a percepcao das caractersticas de cada processo em funcao das dimens es do o o GUT. Estudo de Permetro : Nesta etapa dever o ser avaliados, e criado um mapa de relaciona a mento e depend ncia entre os Processos de Neg cios, Aplicacoes e Infra-estrutura Fsica, e o Tecnol gica e Humana. Neste trabalho estar o envolvidos os meios fsicos e ativos que suso a tentam os processos. Tudo o que for importante para a sua operacao dever ser considerado a e mapeado, inclusive aspectos de funcionamento e at mesmo uxo de dados. e Estudo de atividades : Nesta etapa, dever ser feita uma an lise das informacoes colea a tadas nas fases anteriores, o que permitir estabelecer quais informacoes e ativos dever o a a ser protegidos e denir atividades e projetos necess rios para se obter o nvel de seguranca a a recomendado para a natureza dos neg cios da organizacao. O resultado desejado nesta etapa o e o Mapeamento dos ativos e o Mapeamento da relacao entre ativos e Processos de Neg cio. o
28
Uma vez denido o que ser protegido, pode-se iniciar a redacao de uma Poltica de Seguranca. a Segundo o documento da NIC BR Security Ofce ([9] p.6 e 7), ela dever cobrir o seguinte especa tro: Aspectos Iniciais Alcance e escopo de atuacao da poltica; Denicoes essenciais para seu entendimento; Normas e regulamentos aos quais a poltica est subordinada; a Respons veis por sancionar, implementar e scalizar o seu cumprimento; a Como e com que periodicidade a poltica ser revista. a Poltica de Senhas Requisitos para a formacao das senhas; Tempo de vida das senhas; Normas para protecao das senhas; Reutilizacao de senhas; Senha default; M todos de avaliacao da qualidade das senhas. e Direitos e responsabilidades dos usu rios, por exemplo: a Uso de software e informacoes, onde se inclui a instalacao, licenciamento e copyright; Protecao e uso de dados (sensveis ou n o), como por exemplo senhas, dados de conguracao a de sistemas e dados condenciais da organizacao; Uso aceit vel de recursos como e-mail, news e p ginas Web; a a ` Direito a privacidade, e em quais condicoes esse direito pode ser violado pelo provedor dos recursos (a empresa), observando a Legislacao vigente; Uso de antivrus. Direitos e responsabilidades da empresa, por exemplo: backups; Diretrizes para conguracao e instalacao de sistemas e equipamentos de rede;
29
Autoridade para conceder e revogar autorizacoes de acesso, conectar e desconectar sistemas e equipamentos de rede, alocar e registrar enderecos e nomes de sistemas e equipamentos; Monitoramento de sistemas e equipamentos de rede; Normas de seguranca fsica. Acoes previstas em caso de violacao da poltica: Diretrizes para tratamento e resposta de incidentes de seguranca; Penalidades cabveis.
3.1.1.2 An lise crtica e avaliacao a Ap s todo o trabalho para a denicao dos processos, informacoes e ativos que devem ser proo tegidos, e ap s a elaboracao da Poltica de Seguranca da Informacao, tem-se que manter essas o an lises e documentos vivos e atualizados. A NBR ISO 17799 sugere que exista um gestor que a seja respons vel por sua manutencao e an lise crtica e, na realidade isso e fundamental, pois como a a j se viu, as vari veis que afetam a equacao do Risco est o permanentemente em mutacao pelos a a a avancos tecnol gicos, pela din mica do mercado onde atua a organizacao, enm, por todos os fa o a tores internos e externos que inuenciam a Seguranca. Assim, a exist ncia desse Gestor passa a e ser vital para a manutencao de nveis aceit veis de seguranca. a A NBR ISO 17799 ([4] p.5) recomenda que :
Conv m que a poltica tenha um gestor que seja respons vel por sua manutencao e an lise crtica, e a a de acordo com um processo de an lise crtica denido. Conv m que este processo garanta que a a e an lise crtica ocorra como decorr ncia de qualquer mudanca que venha a afetar a avaliacao de risco a e original, tais como um incidente de seguranca signicativo, novas vulnerabilidades ou mudancas organizacionais ou na infra-estrutura t cnica. Conv m que tamb m sejam agendadas as seguintes e e e an lises crticas peri dicas: a o a. efetividade da poltica, demonstrada pelo tipo, volume e impacto dos incidentes de seguranca registrados; b. custo e impacto dos controles na eci ncia do neg cio; e o c. efeitos das mudancas na tecnologia.
30
3.2 Seguranca Organizacional

3.2.1 Infra-estrutura da seguranca da informacao
A NBR ISO 17799 ([4]) apresenta nesta sess o recomendacoes sobre como atribuir reponsabila idades no gerenciamento da seguranca da informacao e sua infraestrutura dentro da organizacao, denindo este item da seguinte forma:
Objetivo : Gerenciar a seguranca da informacao na organizacao. Conv m que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementacao e da seguranca da informacao dentro da organizacao. Conv m que f runs apropriados de gerenciamento com lideranca da direcao sejam estabelecidos e o para aprovar a poltica de seguranca da informacao, atribuir as funcoes da seguranca e coordenar a implementacao da seguranca atrav s da organizacao. Se necess rio, conv m que uma fonte es e a e pecializada em seguranca da informacao seja estabelecida e disponibilizada dentro da organizacao. Conv m que contatos com especialistas de seguranca externos sejam feitos para se manter atualizado e com as tend ncias do mercado, monitorar normas e m todos de avaliacao, al m de fornecer o princie e e pal apoio durante os incidentes de seguranca. Conv m que um enfoque multidisciplinar na seguranca e da informacao seja incentivado, tais como o envolvimento, cooperacao e colaboracao de gestores, usu rios, administradores, projetistas de aplicacoes, auditores, equipes de seguranca e especialistas a em areas como seguro e gerenciamento de risco. (Op.cit.,p.5)
3.2.1.1 Gest o do f rum de seguranca da informacao a o Neste item a NBR ISO 17799 prop e a criacao de um grupo da alta Direcao que visar garano a tir um direcionamento claro e um apoio visvel aos envolvidos nas acoes de implementacao de Medidas de Seguranca. Ser o respons veis tamb m por : a a e An lise e aprovacao da poltica de seguranca da informacao e das responsabilidades envolvia das; Monitorar as variacoes nas inu ncias internas e externas que modicam a exposicao dos e ` ativos as ameacas; An lise crtica e monitoracao de incidentes de seguranca da informacao; a Aprovacao das principais acoes para aumento do nvel de seguranca da informacao.
31
Esse grupo tamb m dever determinar o Gestor respons vel por todas as atividades relacionadas e a a com a seguranca. ` Wadlow ([1]) prop e um grupo menos formal e atribui a area de Tecnologia/Seguranca da o Informacao a maior parte da responsabilidade por esse item, da seguinte forma:
Descubra tr s pessoas dispostas a fazer parte do comit de poltica de seguranca. A tarefa dessas e e pessoas ser criar regras e emendas para a poltica, sem modic -la. As pessoas do comit dever o a a e a estar interessadas na exist ncia de uma poltica de seguranca, pertencer a partes diferentes da eme presa, se possvel, e estar dispostas a se encontrarem rapidamente uma ou duas vezes por trimestre. Deixe claro que a aplicacao da poltica e a solucao de qualquer problema relacionado s o sua respon a sabilidade e n o delas. O trabalho do comit ser o de legisladores e n o de executores. (Op.cit., a e a a p.13)
S mola ([2]) prop e um grupo mais formal e de alto nvel, compartilhando as responsabile o idades com a area de Tecnologia, conforme prop e a NBR ISO 17799, da seguinte forma: o
Representando o n cleo concentrador dos trabalhos, o Comit Corporativo de Seguranca da Informacao u e deve estar, al m de adequadamente posicionado hierarquicamente no organograma, formatado a partir e da clara denicao do seu objetivo, estrutura, funcoes, responsabilidades, perl dos executores, al m e da formal e ocial identicacao de seus membros, que dar o representatividade aos departamentos a mais crticos e relevantes da empresa. Reunir gestores com vis es do mesmo objeto, mas de pontos distintos, e fundamental para a obtencao o da ntida imagem dos problemas, desaos e impactos. Por isso, envolver representantes das areas Tec nol gica, Comunicacao, Comercial, Neg cios, Jurdico, Patrimonial, Financeira, Auditoria, etc., em o o muito agregar para o processo de gest o, de forma a evitar conitos, desperdcios, redund ncias e o a a a ` principal: fomentar a sinergia da empresa intimamente alinha a suas diretrizes estrat gicas de curto, e m dio e longo prazos.(Op.cit., p.56 e 57) e
A proposta de Wadlow poder ser aplicada em uma empresa em que os processos de a seguranca da informacao estejam em uma fase muito inicial, apenas com o sentido de uma intervencao para criar condicoes mnimas de estabilidade, mas no momento seguinte dever ser adotado o mod a elo proposto por S mola, que e convergente ao indicado pela NBR ISO 17799 em [4] p.5, quando e diz que A seguranca da informacao e uma responsabilidade de neg cios compartilhada por todos o os membros da equipe da direcao.
32
3.2.1.2 Coordenacao da seguranca da informacao No plano operacional, a NBR ISO 17799 prop e a criacao de um grupo multifuncional, com o representantes da direcao das areas relevantes da empresa para implementar os controles da seguranca da informacao. Este grupo dever ser respons vel por: a a Denir as regras e responsabilidades especcas para a seguranca da informacao na empresa; Denir as metodologias e processos especifcos da seguranca da informacao, como, por exemplo, avaliacao de risco e sistema de classicacao de seguranca; Denir e apoiar iniciativas de seguranca da informacao aplic veis a toda a organizacao, a como, por exemplo, programas de conscientizacao e divulgacao; Garantir que a seguranca seja parte do planejamento da informacao; Avaliar a adequacao e coordenar a implementacao de controles especcos de seguranca nos novos sistemas e servicos; Analisar criticamente os incidentes de seguranca; Promover a visibilidade da seguranca da informacao como suporte aos n gocios da organizacao. e S mola ([2]) conceitua esse grupo da seguinte forma : e
Com uma esfera de abrang ncia menor, estes comit s t m importante papel no modelo de gest o de e e e a seguranca da informacao. Apesar de estarem sendo orientados por diretrizes maiores na esfera do Comit Corporativo de Seguranca, dever o medir os resultados dos ambientes especcos, reportar e a novas necessidades e situacoes que exponham a informacao. Depois de explicitados anteriormente os fatores crticos de sucesso dentro do modelo de gest o cor a porativa da seguranca da informacao, podemos didaticamente sintetizar a estrutura proposta atrav s e da express o: acao local orientada por vis o global.(Op.cit., p.98) a a
A formacao desse grupo ser muito positiva e fortalecer o trabalho. Entretanto, n o se a a a pode perder de vista que, a n o ser que a organizacao seja de grande porte e disponha de recursos a humanos abundantes, poder ser dcil obter a disponibilidade e comprometimento necess rios. a a
3.2.1.3 Atribuicao das responsabilidades em seguranca da informacao Nesta etapa, a NBR ISO 17799 coloca a necessidade da denicao de um respons vel por cada a ativo da informacao, que ser o respons vel pela sua seguranca no dia-a-dia, com denicao bem a a
clara sobre essas responsabilidades. A Poltica de Seguranca dever fornececer as linhas gerais sobre as regras e responsabilidades a envolvidas e, quando necess rio, dever o ser criadas orientacoes mais especcas e detalhadas, a a devendo estar claramente denidas para os ativos fsicos e de informacao, bem como de processos de seguranca, como Plano de Continuidade dos Neg cios e Plano de Recuperacao de Desastres. o Assim, e importante que : Os ativos e processos de seguranca associados a cada sistema sejam identicados; Que o Gestor de cada ativo ou processo esteja de acordo, bem como os detalhes dessa responsabilidade sejam documentados; Que os nveis de autoridade estejam claramente denidos.
3.2.1.4 Processo de autorizacao para as instalacoes de processamento da informacao Neste item, a NBR ISO 17799 pretende estabelecer aprovacao pr via e controles sobre a e instalacao de novos elementos, de ou para processamento da informacao, buscando atencao ao seguinte : 1. Novos recursos somente poder o ser instalados ap s a vericacao de que todas as polticas e a o requisitos de seguranca estejam satisfeitos; 2. Que o hardware e software sejam compatveis com os outros componentes do sistema; 3. Que o uso de recursos pessoais de processamento de informacao sejam previamente autor izados, j que podem criar novas vulnerabilidades. a
3.2.1.5 Consultoria especializada em seguranca da informacao A Norma coloca a necessidade de que toda organizacao possua um Consultor especializado em seguranca da informacao, podendo ser interno ou externo. Esse prossional dever possuir a experi ncia e conhecimentos amplos sobre o assunto, pois a qualidade de seu trabalho afetar a e a eci ncia da seguranca da informacao em toda a organizacao. e Ele dever possuir livre tr nsito com a alta e m dia administracao da empresa para que as suas a a e acoes tenham a efetividade e impactos necess rios. a Ele dever ser envolvido em qualquer suspeita ou real ocorr ncia de incidente ou violacao de a e seguranca, podendo recomendar, liderar ou conduzir a investigacao.
34
3.2.1.6 Cooperacao entre organizacoes A NBR ISO 17799 estimula a criacao e manutencao de contatos junto aos provedores de servicos de Internet, operadores de telecomunicacoes, autoridades legais e organismos reguladores para conseguir retorno mais r pido e efetivo nos casos de incidentes de seguranca onde isso possa a ser necess rio. a Al m disso, sugere que a organizacao participe de grupos e f runs setoriais de seguranca, evie o dentemente com os cuidados necess rios na troca de informacoes, especialmente as consideradas a mais sensveis ou condenciais.
3.2.1.7 An lise crtica independente de seguranca da informacao a Neste t pico, a Norma coloca a necessidade de que as pr ticas de seguranca da organizacao o a sejam auditadas. Essa atividade pode ser realizada por Auditoria Interna, um Gestor independente ou uma organizacao especializada em tais an lises. a
3.2.2 Seguranca no acesso de prestadores de servicos

Neste ponto, a NBR ISO 17799 coloca a necessidade em manter a seguranca dos ativos de informacao acessados por prestadores de servicos. Para isso, teremos que antes de sua liberacao, realizar uma avaliacao dos riscos, suas implicacoes, e denirmos os controles necess rios, explici a tando esses controles nos contratos a serem assinados. Para os casos em que o prestador de servico sub-contrata outros prestadores de servicos, ser necess rio explicitar essa autorizacao, ou n o, e a a a de que forma esses acessos poder o ser feitos. O texto na Norma est da seguinte forma : a a
Objetivo: Manter a seguranca dos recursos de processamento de informacao e ativos de informacao organizacionais acessados por prestadores de servicos. Conv m que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementacao e da seguranca da informacao dentro da organizacao. Conv m que seja controlado o acesso de prestadores de servicos aos recursos de processamento da e informacao da organizacao. Onde existir uma necessidade de neg cio para este acesso de prestadores de servicos, conv m que o e seja feita uma avaliacao dos riscos envolvidos para determinar as possveis implicacoes na seguranca e os controles necess rios. a Conv m que os controles sejam acordados e denidos atrav s de contrato assinado com os prestae e dores de servicos.
35
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a O acesso de prestadores de servicos pode tamb m envolver outros participantes. Conv m que os con e e tratos liberando o acesso de prestadores de servicos incluam a permiss o para designacao de outros a participantes qualicados, assim como as condicoes de seus acessos. Esta norma pode ser utilizada como base para tais contratos e levada em consideracao na terceirizacao do processamento da informacao. ([4], p.7)
3.2.2.1 Identicacao dos riscos no acesso de prestadores de servico Tipos de acesso Neste ponto, a Norma trata dos dois tipos de acesso possveis, j que apresentam riscos difer a entes: 1. Fsico : Aos escrit rios, salas de computadores, gabinetes de cabeamento (switchs, hubs, o roteadores, etc.); 2. L gico : Aos bancos de dados, sistemas de informacao, etc. o Raz es para o acesso o A raz es para esses acessos podem surgir de v rias situacoes e cada uma dever ser analo a a isada detalhadamente. Nessa avaliacao de risco, deveremos identicar os controles necess rios, a levando em conta os seguintes pontos : Tipo de acesso requerido; Valor da informacao; Controles empregados pelos prestadores de servicos. (Isso talvez implique na realizacao de uma auditoria nesse prestador de servico); ` As implicacoes deste acesso a seguranca da informacao na organizacao. A Norma exemplica com duas raz es para esses acessos: o
a.) equipes de suporte de hardware e software, que necessitam ter acesso em nvel de sistema ou ` acesso as funcionalidades de baixo nvel nas aplicacoes; b.) parceiros comerciais ou joint ventures, que podem trocar informacoes, acessar sistemas de informacoes ou compartilhar bases de dados. ([4], p.7)
36
Contratados para servicos internos A Norma prev que Prestadores de Servicos que por contrato devem permanecer dentro e das instalacoes da organizacao por determinado tempo, reduzem a qualidade da seguranca, citando como exemplos : equipes de suporte e manutencao de hardware e software; pessoal de limpeza, servicos de manutencao de ar-condicionado, guardas de seguranca e outros servicos de apoio terceirizado; estagi rios e outras contratacoes de curta duracao; a consultores. Al m disso, a NBR ISO 17799 recomenda que : e Todos os requisitos de seguranca e controles estejam reetidos no contrato a ser assinado; Onde exista a exig ncia de condencialidade da informacao, um acordo de sigilo dever ser e a assinado; O acesso somente dever ser liberado ap s os controles serem implementados e o contrato a o com termos para a conex o ou acesso esteja assinado. a
3.2.2.2 Requisitos de seguranca nos contratos com prestadores de servicos Neste ponto, as recomendacoes da Norma, por si s , j s o sucientes para o seu entendimento: o a a
Conv m que acordos envolvendo o acesso de prestadores de servicos aos recursos de processamento e da informacao da organizacao sejam baseados em contratos formais que contenham, ou facam re fer ncia a, todos os requisitos de seguranca, de forma a garantir a conformidade com as normas e e polticas de seguranca da organizacao. Conv m que o contrato garanta que n o existam mal e a entendidos entre a organizacao e prestadores de servicos. Conv m que as organizacoes considerem a e indenizacao a ser paga por seus fornecedores em situacoes de violacoes de contrato. Conv m que os e seguintes termos sejam considerados e includos nos contratos: a) a poltica geral sobre seguranca da informacao; b) protecao dos ativos, incluindo: 1. procedimentos para protecao dos ativos da organizacao, incluindo informacao e software; 2. procedimentos para determinar se houve algum comprometimento destes ativos, por exemplo se houve perda ou modicacao de dados; UNESP/FEG-CEIE, 2004 37
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a 3. controles para garantir a devolucao ou destruicao das informacoes e ativos em um deter minado momento durante ou no nal do contrato; 4. integridade e disponibilidade; 5. restricoes relacionadas com a c pia e divulgacao da informacao. o c) descricao de cada servico que deve estar disponvel; d) nveis de servico desejados e n o aceit veis; a a e) condicoes para transfer ncia da equipe de trabalho, onde for apropriado; e f) as respectivas obrigacoes dos envolvidos no acordo; g) responsabilidades com aspectos legais, por exemplo leis de protecao de dados, especialmente levando em consideracao diferencas nas legislacoes vigentes se o contrato envolver a cooperacao com organizacoes de outros pases (ver tamb m 12.1); e h) direitos de propriedade intelectual e direitos autorais (ver 12.1.2) e protecao de qualquer trabalho colaborativo (ver tamb m 6.1.3); e i) acordos de controle de acesso, abrangendo : 1. m todos de acesso permitidos e controle e uso de identicadores unicos como ID e senhas e de acesso; 2. processo de autorizacao para acesso e privil gios para os usu rios; e a 3. requisitos para manter uma lista de usu rios autorizados a usar os servicos disponibilizaa dos e quais s o seus direitos e privil gios; a e j) denicao de crit rios de vericacao do desempenho, sua monitoracao e registro; e k) direito de monitorar e revogar as atividades de usu rios; a l) direito de auditar as responsabilidades contratuais ou ter a auditoria executada por prestadores de servico; m) estabelecimento de um processo escalon vel para a resolucao de problemas; conv m que tamb m a e e sejam considerados procedimentos de conting ncia, onde apropriado; e n) responsabilidades envolvendo a instalacao e manutencao de hardware e software; o) registros com estrutura clara e formato preestabelecido; p) procedimentos claros e especcos para gerenciamento de mudancas; q) quaisquer controles de protecao fsica e mecanismos necess rios para garantir que tais controles a est o sendo seguidos; a r) treinamento de administradores e usu rios em m todos, procedimentos e seguranca; a e s) controles que garantam protecao contra software malicioso (ver 8.3); t) requisitos para registro, noticacao e investigacao de incidentes e violacoes da seguranca; u) envolvimento de prestadores de servicos com subcontratados. ([4], p.8) UNESP/FEG-CEIE, 2004 38
3.2.3 Terceirizacao
A Norma conceitua este item da seguinte forma:
Objetivo: Manter a seguranca da informacao quando a responsabilidade pelo processamento da informacao e terceirizada para uma outra organizacao. Conv m que o acordo de terceirizacao considere riscos, controles de seguranca e procedimentos para e os sistemas de informacao, rede de computadores e/ou estacoes de trabalho no contrato entre as partes. ([4], p.9)
3.2.3.1 Requisitos de seguranca dos contratos de terceirizacao Assim, segue-se a mesma linha do item anterior, talvez com um incremento maior de cuidados, em funcao da terceirizacao implicar um envolvimento muito mais profundo entre as duas organizacoes. Por exemplo, no caso de terceirizacao do seu processo de comercializacao, a em presa terceirizada ter acesso a um nvel bastante profundo das informacoes de sua empresa. Por a isso, e recomend vel que, al m de analisar a aplicabilidade dos itens mencionados em 3.2.2.2., a a e NBR ISO 17799 tamb m considere ainda mais estes : e 1. Como os requisitos legais ser o atendidos, por exemplo a legislacao de protecao de dados; a 2. Quais acordos devem ser estabelecidos para garantir que todos os envolvidos na terceirizacao estejam cientes de suas obrigacoes e direitos, inclusive os subcontratados; 3. Como a integridade e condencialidade dos ativos organizacionais ser o mantidas e testadas; a 4. Quais controles fsicos e l gicos ser o utilizados para restringir e limitar o acesso de usu rios o a a ` autorizados as informacoes sensveis da organizacao; 5. Como a disponibilidade dos servicos ser mantida em caso de desastre; a 6. Quais nveis de seguranca fsica est o sendo fornecidos para equipamentos terceirizados; a 7. O direito de auditar. E recomend vel que o contrato permita que os requisitos e procedimentos de seguranca possam ser a expandidos em um plano de gest o da seguranca com comum acordo entre as duas partes. a
39
3.3 Classicacao e controle dos ativos de informacao

3.3.1 Contabilizacao dos ativos
A Norma apresenta, neste captulo, recomendacoes sobre como manter classicados e contro lados os ativos da organizacao. N o se trata apenas dos dispositivos fsicos (hardware) e l gicos a o (programas e suas licencas) mas tamb m de tudo que oferece algum tipo de suporte ou possui e algum envolvimento com a informacao, por exemplo Servicos de comunicacao, utilidades gerais (suporte), manuais, material de treinamento, etc. A Norma dene este item da seguinte forma :
Objetivo: Manter a protecao adequada dos ativos da organizacao Conv m que todos os principais ativos de informacao sejam inventariados e tenham um propriet rio e a respons vel. a O invent rio dos ativos ajuda a assegurar que a protecao est sendo mantida de forma adequada. a a Conv m que os propriet rios dos principais ativos sejam identicados e a eles seja atribuda a respone a sabilidade pela manutencao apropriada dos controles. A responsabilidade pela implementacao dos controles pode ser delegada. Conv m que a responsabilidade pela prestacao de contas que com o e propriet rio nomeado do ativo. ([4], p.5) a
3.3.1.1 Invent rio dos ativos de informacao a Qualquer organizacao precisa conhecer e ser capaz de identicar seus ativos, podendo atribuir valores e import ncia a cada um deles, possibilitando assim, proporcionar nveis de protecao adea quados. ` O invent rio dos ativos permite a organizacao ter conhecimento e auxilia na vericacao da efea tividade das medidas de seguranca aplicadas. Este controle tamb m poder ser utilizado para outras nalidades, como, por exemplo, no e a controle de ativo imobilizado realizado pela Contabilidade, pela Seguranca Patrimonial, pelo Fi nanceiro, no dimensionamento de coberturas de Seguros, etc. Neste trabalho, ser importante que cada ativo e seus respectivos propriet rios sejam claraa a mente identicados e a classicacao de seguranca tratada no item 3.3.2, seja aceita mutuamente e devidamente registrada. A Norma em [4] p.9 exemplica os ativos associados a sistemas de informacao que devem ser controlados / inventariados : ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilit rios; a
ativos fsicos : equipamentos computacionais (processadores, monitores, laptops, modens), equipamentos de comunicacao (roteadores, PABXs, fax, secret rias eletr nicas), mdia magn tica a o e (tas e discos), outros equipamentos t cnicos (no-breaks, ar-condicionado), moblia, acomodacoes; e servicos: computacao e servicos de comunicacao, utilidades gerais, por exemplo aqueci mento, iluminacao, eletricidade, refrigeracao. Uma metodologia para esse invent rio pode ser vista no Manual ABES de Gerenciamento de a Software[10], publicado por Business Software Association (BSA) em conjunto com a Associacao Brasileira das Empresas de Software (ABES), e que poder servir de orientacao na execucao dessa a atividade. Apesar de ser focado no invent rio de software, poder ser adaptado para o controle dos a a componentes de hardware. Tamb m sugere-se que sejam utilizados os registros dos controle de e Ativo Imobilizado da empresa, tanto para hardware como para software, para referenciar nos controles as informacoes apuradas por invent rio, com as constantes no controle de ativo imobilizado, a pois existir uma grande possibilidade de ser necess ria uma conciliacao entre os dois controles a a para identicacao de diferencas. Para o controle e manutencao dessas informacoes, existem v rios sistemas de boa qualidade a no mercado. Basta apenas escolher o que melhor se adapta a cada organizacao. A seguir algumas alternativas : IRM, The Information Resource Manager da StackWorks Enterprises ( Open Source ) [11] Everest Professional da Lavalys (pago) [12] Systems Management Server 2.0 da Microsoft (pago) [13]
3.3.2 Classicacao da Informacao

A NBR ISO 17799 prop e que as informacoes sejam classicadas de forma a permitir um o nvel adequado de protecao. Como proposta, vale considerar a metodologia sugerida por S mola e e descrita no item 3.1.1.1, quando se refere ao Mapeamento de Relev ncia e ao Estudo de Ima pactos CIDAL nos Processos de Neg cios, podendo ser adequada e utilizada na classicacao das o informacoes. A NBR ISO 17799 dene este t pico da seguinte forma: o
Objetivo: Assegurar que os ativos de informacao recebam um nvel adequado de protecao. A informacao possui v rios nveis de sensibilidade e criticidade. Alguns itens podem necessitar a um nvel adicional de protecao ou tratamento especial. Conv m que um sistema de classicacao e
41
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a da informacao seja usado para denir um conjunto apropriado de nveis de protecao e determinar a necessidade de medidas especiais de tratamento.([4], p.10)
3.3.2.1 Recomendacoes para classicacao No que se refere a classicacao das informacoes, a NBR ISO 17799 recomenda que : Na classicacao e seus controles, sejam levados em consideracao as necessidades dos neg cios o para compartilhar ou restringir o acesso, al m de avaliar os impactos nos neg cios em caso e o ` de acesso indevido ou danos as informacoes; Os dados provenientes de sistemas que processam informacoes classicadas tamb m sejam e rotulados de acordo com o seu valor, sensibilidade e criticidade para a organizacao; Freq entemente a informacao deixa de ser sensvel ou crtica ao longo do tempo. Assim, isso u precisar ser considerado e dever ocorrer a previs o para a sua reclassicacao autom tica, a a a a n o existindo, nesses casos, uma classicacao xa. Isso evitar gastos desnecess rios; a a a Exista um cuidado em n o se criar muitas categorias de classicacao, pois o excesso poder a a prejudicar o resultado nal de sua aplicacao; A responsabilidade pela denicao da classicacao de um item de informacao que com o autor ou com o propriet rio respons vel pela informacao. a a Sobre isso, Mitnick e Simon ([6]) dizem o seguinte:
A Classicacao de Dados refere-se ao modo como a sua empresa classica a condencialidade das informacoes e quem deve ter acesso a elas. 1-1 Designacao da classicacao de dados Poltica: Todas as informacoes valiosas, condenciais ou crticas de neg cios devem ser designadas o a uma categoria de classicacao pelo Propriet rio das Informacoes ou delegado. a Explicacoes/Observacoes: O Propriet rio designado ou delegado estabelece a classicacao apropri a ada de dados para todas as informacoes que s o usadas rotineiramente para atingir os objetivos da a empresa. O propriet rio tamb m controla quem pode acessar tais informacoes e sua utilizacao. Ele a e pode fazer nova designacao da classicacao e pode xar um perodo de tempo para a desclassicacao autom tica. a Todo outro item que n o esteja marcado deve ser classicado como Condencial. (Op.cit., p.216 e a 217)
42
3.3.2.2 R tulos e tratamento da informacao o Segundo a NBR ISO 17799 dever existir um procedimento apropriado para rotular e tratar a a informacao de acordo com a classicacao que lhe foi atribuda. Este procedimento dever abranger a tanto a informacao no formato fsico como no formato eletr nico, devendo abordar os seguintes o tipos de atividades de processamento da informacao: c pia; o armazenamento; transmiss o pelo correio, fax ou correio eletr nico; a o transmiss o pela fala, incluindo telefonia m vel, correio de voz ou secret rias eletr nicas; a o a o destruicao / descarte. Todas as sadas de sistemas que contenham informacoes classicadas como sensveis ou crticas ` dever o ter um r tulo apropriado a sua classicacao. a o Devem ser considerados relat rios impressos, telas, mdias magn ticas (tas, discos, CDs, caso e setes), mensagens eletr nicas e transfer ncias de arquivos. A Norma tamb m coloca a necessidade o e e de uso de r tulos eletr nicos em informacoes no formato eletr nico. o o o Mitnick e Simon ([6]) colocam da seguinte maneira esse tema:
Marque claramente o material impresso e o armazenamento de mdia que cont m informacoes Con e denciais, Privadas ou Internas para que mostrem a classicacao de dados apropriada. Explicacao / Observacoes: Os documentos impressos devem ter uma capa, com uma etiqueta de classicacao clara, e cada p gina deve conter uma etiqueta de classicacao que esteja visvel quando a o documento for aberto. Todos os arquivos eletr nicos que n o podem ser facilmente rotulados com as classicacoes de dao a dos apropriadas (banco de dados ou arquivos de dados brutos) devem ser protegidos com controles de acesso para garantir que tais informacoes n o sejam divulgadas inadequadamente, e que elas n o a a sejam alteradas, destrudas ou acessadas. Toda mdia de computador, tal como disquetes, tas e CD-ROMs, deve ser rotulada com a mais alta classicacao das informacoes que ela cont m. (Op.cit., p.217) e
43
3.4 Seguranca em pessoas

3.4.1 Seguranca na denicao e nos recursos de trabalho
A NBR ISO 17799 [4] coloca esse tema de forma bastante clara e de f cil compreens o: a a
Objetivo: Reduzir os riscos de erro humano, roubo, fraude ou uso indevido das instalacoes. Conv m que responsabilidades de seguranca sejam atribudas na fase de recrutamento, includas em e contratos e monitoradas durante a vig ncia de cada contrato de trabalho. e Conv m que candidatos potenciais sejam devidamente analisados (ver 6.1.2), especialmente para trae balhos sensveis. Conv m que todos os funcion rios e prestadores de servico, usu rios das instalacoes de processae a a mento da informacao, assinem um acordo de sigilo. (Op.cit., p.10)
3.4.1.1 Incluindo seguranca nas responsabilidades do trabalho Neste item, a NBR ISO 17799 recomenda que todas as regras e responsabilidade de seguranca sejam documentadas, observando o estabelecido na Poltica de Seguranca da Informacao adotada. Devem incluir responsabilidades gerais pela implementacao ou manutencao da referida Poltica, bem como quaisquer outras responsabilidades especcas para a protecao de determinados ativos ou pela execucao de processos ou atividades de seguranca especcas.
3.4.1.2 Selecao e poltica de pessoal As recomendacoes da NBR ISO 17799 neste item naturalmente j deveriam fazer parte dos a procedimentos de Selecao e Poltica de Pessoal. Entretanto, vale a pena rearm -las : a Vericar refer ncias de car ter, pelo menos uma prossional e outra pessoal; e a Vericacao da exatid o e inteireza das informacoes constantes no Curriculum Vitae; a Conrmacao das qualicacoes acad micas e prossionais; e Vericacao da identidade (passaporte ou documento similar). ` Quando o trabalho envolver acesso as instalacoes de processamento da informacao, em par ` ticular aquelas que envolvam informacoes sensveis, e conveniente que se faca uma vericacao da idoneidade de cr dito, para os casos de contratacao externa ou interna (promocoes ou trane fer ncias). Para os funcion rios com nveis altos de autoridade, e recomend vel que esta vericacao e a a
seja refeita periodicamente. No caso de contratacoes de funcion rios tempor rios ou fornecedores, e recomend vel o mesmo a a a tipo de avaliacao e, no contrato com a Ag ncia, dever o ser especicadas claramente as respons e a abilidades da mesma pela contratacao. Tamb m quanto aos funcion rios novos e inexperientes, com acesso a sistemas sensveis, e e a recomend vel que o seu trabalho seja, periodicamente, revisto e aprovado por um membro mais a experiente do grupo. Outra quest o que deve ser observada pelos Gestores est relacionada com aspectos pessoais a a dos funcion rios que poder o afetar seu trabalho. Problemas pessoais e nanceiros, alteracoes no a a comportamento ou no padr o de vida, faltas freq entes, sinais acentuados de estresse ou depress o, a u a podem levar a fraudes, roubos, erros ou outros problemas de seguranca. E recomend vel que estes a indcios sejam acompanhados e as informacoes obtidas tratadas de acordo com a legislacao vi gente. Um aspecto importante, mas n o abordado pela NBR ISO 17799, diz respeito ao desligamento a de funcion rio. Wadlow ([1], p.94) recomenda, em linhas gerais, as mesmas vericacoes propostas a pela NBR ISO 17799 (Vericacoes de Identidade, de emprego, de refer ncia e quanto a quest es de e o execucao legal e nanceiras). Al m disso, ele acrescenta, nas p.96 e 97, algumas recomendacoes e sobre o desligamento de funcion rios, resumidas a seguir. a Em primeiro lugar uma Poltica para o t rmino de acesso, que dever prever : e a Desativacao universal do acesso; Mecanismo para os funcion rios demitidos recuperarem ou exclurem informacoes pessoais a existentes na rede, sem por em risco a seguranca do ambiente; Meios para convencer de forma educada, por m rme, o funcion rio demitido de que seria e a ` uma tolice tentar algum abuso adicional a rede. Evidentemente, estes procedimentos dever o ser redigidos em conjunto com as areas de Rea cursos Humanos e Jurdica da organizacao. Quando o desligamento ocorre por iniciativa da organizacao, o fator surpresa trabalha ao lado dela. Assim, a observacao dos itens acima e muito importante. Entretanto, quando ocorre por iniciativa do funcion rio, os pap is se invertem. Neste caso, por exemplo, a desativacao universal a e deixa de ser essencial, pois se existia a intencao da pr tica de algum dano, ele provavelmente j a a ocorreu ou est ocorrendo. O essencial, nesse caso, e ter a capacidade de rastrear o que o funa cion rio fez nas ultimas semanas. Al m disso, ainda por conta do fator surpresa agindo contra a a e organizacao, haver uma press o forte para que o funcion rio que com os mesmo acessos durante a a a
o seu perodo de aviso pr vio e passagem de servicos para o seu substituto. Uma boa poltica, ainda e segundo Wadlow [1], dever oferecer meios para lidar com essa situacao. a
3.4.1.3 Acordos de condencialidade Os acordos ou termos de condencialidade servem para alertar que a informacao e condencial ou secreta. E recomend vel que os funcion rios assinem tais acordos como parte dos termos e a a condicoes iniciais de contratacao. No caso de colaboradores casuais e prestadores de servicos, ` conv m que seja exigida a assinatura deste documento, antes de terem acesso as instalacoes de e processamento da informacao. E necess rio que, periodicamente, tais documentos sejam reavaliados, em funcao das mudancas a das vari veis internas e externas que inuenciam a seguranca da informacao. a S mola [2] dene este documento da seguinte forma: e
Considerado mais um importante instrumento de sensibilizacao e formacao de cultura, o Termo de Responsabilidade e Condencialidade tem o prop sito de formalizar o compromisso e o entendimento o ` do funcion rio diante de suas novas responsabilidades relacionadas a protecao das informacoes que a manipula. Al m disso, este termo se encarrega de divulgar as punicoes cabveis por desvios de cone duta e, ainda, esclarecer que a empresa e o legtimo propriet rio dos ativos, incluindo as informacoes, a que uem pelos processos de neg cio e ora s o temporariamente custodiadas pelas pessoas. (Op.cit., o a p.131)
3.4.1.4 Termos e condicoes de trabalho A NBR ISO 17799 recomenda que os termos e condicoes de trabalho estipulem as respons abilidades dos funcion rios quanto a seguranca da informacao durante o tempo de vig ncia do seu a e contrato, e sugere que, em alguns casos, que consignado que essa responsabilidade permanece por mais um perodo, denido previamente, ap s o t rmino do contrato, estabelecendo inclusive as o e penalidades em caso de desrespeito ao acordo estabelecido.
3.4.2 Treinamento dos usu rios a

Na NBR ISO 17799 tem-se denido o seguinte :
Objetivo: Assegurar que os usu rios est o cientes das ameacas e das preocupacoes de seguranca da a a informacao e est o equipados para apoiar a poltica de seguranca da organizacao durante a execucao a normal do seu trabalho. UNESP/FEG-CEIE, 2004 46
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a Conv m que usu rios sejam treinados nos procedimentos de seguranca e no uso correto das instalacoes e a de processamento da informacao, de forma a minimizar possveis riscos de seguranca. (Op.cit., 11)
3.4.2.1 Educacao e treinamento em seguranca da informacao A NBR ISO 17799 recomenda que todos os funcion rios da organizacao e, quando necess rio, a a os seus prestadores de servicos, recebam treinamentos regulares sobre as polticas e procedimentos operacionais e de suas atualizacoes. Incluindo requisitos de seguranca, responsabilidades legais e controles de neg cios. o Tamb m devem ser abordados treinamentos sobre o uso correto das instalacoes e procedimene tos para acesso e uso de pacotes de software, antes que tenham qualquer acesso aos servicos e informacoes.
3.4.3 Respondendo aos incidentes de seguranca e ao mau funcionamento

A NBR ISO 17799 dene este tema com o seguinte texto:
Objetivo: Minimizar danos originados pelos incidentes de seguranca e mau funcionamento, e moni torar e aprender com tais incidentes. Conv m que os incidentes que afetam a seguranca sejam reportados atrav s dos canais apropriados o e e mais rapidamente possvel. Conv m que todos os funcion rios e prestadores de servico estejam conscientes dos procedimentos e a para noticacao dos diversos tipos de incidentes (violacao da seguranca, ameacas, fragilidades ou mau funcionamento) que possam ter impactos na seguranca dos ativos organizacionais. Conv m que eles e sejam solicitados a noticar quaisquer incidentes ocorridos ou suspeitos, t o logo quanto possvel, ao a ponto de contato designado. Conv m que a organizacao estabeleca um processo disciplinar formal e para tratar com os funcion rios que cometam violacoes na seguranca. Para ser capaz de lidar com os a incidentes de forma apropriada, pode ser necess rio coletar evid ncias o mais rapidamente possvel a e ap s a sua ocorr ncia (ver 12.1.7). (Op.cit., 12) o e
3.4.3.1 Noticacao dos incidentes de seguranca Neste ponto, a NBR ISO 17799 recomenda que deve-se, em primeiro lugar, estabelecer um canal de comunicacao apropriado a ser acionado pelos funcion rios, em caso de alguma ocorr ncia a e ou incidente. Deve ser estabelecido um procedimento formal de comunicacao dos incidentes de seguranca,
47
estabelecendo as acoes a serem tomadas ao se receber uma noticacao de incidente. Al m disso, e deve ser estabelecido um processo de retorno ( feedback ) garantindo que o incidente foi noticado e, ap s o seu tratamento e encerramento, outro retorno com os resultados nais. Estes o incidentes podem e devem ser utilizados como exemplos e tamb m para an lise nos treinamentos e a de conscientizacao de usu rios. a
3.4.3.2 Noticando falhas de seguranca Todos os usu rios devem estar orientados a registrar e noticar quaisquer fragilidades ou a ameacas, ocorridas ou suspeitas, na seguranca de sistemas ou servicos ao canal de comunicacao apropriado, aos seus superiores e, quando for o caso, aos seus provedores de servicos. E importante deixar claro que os usu rios n o podem tentar investigar ou averiguar nenhuma a a fragilidade suspeita, pois poder o danicar evid ncias a serem analisadas. Al m disso, essa acao a e e poder ser interpretada como potencial uso impr prio do sistema. a o
3.4.3.3 Noticando mau funcionamento de software Devem ser estabelecidos procedimentos para noticar mau funcionamento de software, levando em consideracao os seguintes aspectos: Que os sintomas do problema e quaisquer mensagens apresentadas na tela sejam anotados; Que o computador seja isolado, sendo retirado da rede, seu uso interrompido e o canal apropriado seja alertado / noticado, que seus disquetes n o sejam utilizados e que nem se transa ra nenhum arquivo dele para outro equipamento; Que o Gestor da Seguranca seja noticado imediatamente. Nenhuma acao dever ser realizada sem a supervis o do Gestor da Seguranca ou algu m indi a a e cado por ele.
3.4.3.4 Aprendendo com os incidentes E importante que existam controles de registro dos incidentes e dos maus funcionamentos, a partir dos quais seja possvel extrair informacoes por tipo, quantidade, custos e freq encia. Estas u informacoes poder o ser utilizadas para identicar problemas recorrentes que indiquem a neces a sidade de melhorias ou controles adicionais ou para o processo de an lise crtica da poltica de a seguranca.
3.4.3.5 Processo disciplinar E necess rio que exista um processo disciplinar formal para os usu rios que tenham violado as a a regras de seguranca (ver item 3.4.1.4 e, para retencao de evid ncias, ver 3.10.1.7). Tal acao ter e a forca de dissuas o nos funcion rios, que poderiam estar inclinados a n o cumprir os procedimentos a a a de seguranca. E fundamental que se assegure um tratamento justo e correto aos usu rios suspeitos a de cometer violacoes de seguranca, s rias ou persistentes. e
3.5 Seguranca fsica e do ambiente

3.5.1 Areas de seguranca
A NBR ISO 17799 apresenta este tema com o texto abaixo:
` Objetivo: Prevenir acesso n o autorizado, dano e interfer ncia as informacoes e instalacoes fsicas a e da organizacao. Conv m que os recursos e instalacoes de processamento de informacoes crticas ou sensveis do e neg cio sejam mantidos em areas seguras, protegidas por um permetro de seguranca denido, com o barreiras de seguranca apropriadas e controle de acesso. Conv m que estas areas sejam sicamente e protegidas de acesso n o autorizado, dano ou interfer ncia . a e Conv m que a protecao fornecida seja proporcional aos riscos identicados. Polticas de mesa limpa e e tela limpa s o recomendadas para reduzir o risco de acesso n o autorizado ou danos a pap is, mdias, a a e recursos e instalacoes de processamento de informacoes.(Op.cit., p.13)
3.5.1.1 Permetro da seguranca fsica Acerca deste assunto, a Norma recomenda que sejam criadas barreiras fsicas em torno dos ativos fsicos e suas instalacoes para o conseq ente aumento dos nveis de seguranca, com o u seguinte texto :
... criacao de diversas barreiras fsicas em torno da propriedade fsica do neg cio e de suas instalacoes o de processamento da informacao. Cada barreira estabelece um permetro de seguranca, contribuindo para o aumento da protecao total fornecida. (Op.cit., p.13)
Sobre isso, Wadlow ([1], p.98) diz o seguinte, Um bom modelo para a seguranca fsica e conhecido como o modelo da cebola ou a solucao em nveis. O que e fundamental ser compreendido e que o permetro fsico da sua area de seguranca, que
e o local onde estar o os seus recursos e instalacoes de processamento de informacoes crticas ou a sensveis para os neg cios, deve ter a maior quantidade possvel de barreiras fsicas, que possam o proteg -los. Quanto maiores forem, maior ser o nvel de seguranca que pode ser atingido. e a A NBR ISO ainda recomenda algumas diretrizes e controles que devem ser considerados e implementados: Denicao clara do permetro; Que o permetro do local ou pr dio onde estar o os recursos de processamento seja sica e a mente consistente. N o deve haver brechas que permitam uma invas o; a a o Que as paredes externas do local possuam construcao s lida; Que todas as portas externas sejam protegidas de forma adequada, com mecanismos de controle, travas, alarmes, grades, etc.; Uma area de recepcao ou outro meio de controle de acesso ao local seja adotado; Que o acesso seja permitido apenas ao pessoal autorizado; Se necess rio as barreiras fsicas dever o ser estendidas da laje do piso at a laje superior, a a e visando prevenir acessos n o autorizados ou contaminacao ambiental, como por exemplo as a causadas por fogo ou inundacoes; E recomend vel que as portas no permetro de seguranca tenham sensores de alarme e mola a para fechamento autom tico. a
3.5.1.2 Controles de entrada fsica A NBR ISO 17799 ([4], p.13) recomenda que as areas de seguranca sejam cobertas por con troles de entrada que garantam que apenas pessoas autorizadas possam ter o acesso permitido. Os pontos que devem ser considerados s o os seguintes : a ` Que todos os visitantes das areas restritas sejam vericados quanto a autorizacao, e que as ` datas e hor rios de entrada e sada sejam registrados. O acesso deve ser permitido apenas as a areas especcas e com prop sitos autorizados previamente; o ` Que o acesso as informacoes sensveis, instalacoes e recursos de processamento, sejam con trolados e restritos apenas ao pessoal autorizado. Tamb m e recomend vel que controles de e a autenticacao, como por exemplo cart es com PIN (personal identication number), sejam o usados, e que sejam mantidos registros desses acessos para posterior an lise ou auditoria; a
E adequado que todos os funcion rios utilizem uma forma visvel de identicacao e estejam a orientados para comunicar ao canal apropriado sobre a presenca de pessoas n o identicadas a ou estranhos desacompanhados; Tamb m e muito recomend vel que os direitos de acessos sejam revisados e atualizados e a regularmente.
3.5.1.3 Seguranca em escrit rios, salas e instalacoes de processamento o Conceitualmente, a Norma ([4], p.14) diz que Uma area de seguranca pode ser um escrit rio o fechado ou diversas salas dentro de um permetro de seguranca fsica, que podem estar fechadas ou podem conter arm rios fechados ou cofres. a A Norma recomenda tamb m que a selecao e projeto de uma area de seguranca dever levar e a em consideracao: as possibilidades de danos causados por fogo, inundacoes, explos es, manifestacoes civis e o outras formas de desastres naturais ou causados pelo homem; as regulamentacoes e padr es de seguranca e sa de impostas por legislacoes, normas ou o u convencoes (por exemplo, as convencoes condomniais); qualquer ameaca provinda de propriedades vizinhas, como, por exemplo, vazamentos de agua. Al m disso, devem ser estabelecidos os seguintes controles: e 1. Que as instalacoes crticas estejam em local que n o propicie o acesso p blico; a u 2. Que os pr dios n o tenham obstrucoes em seus acessos e que possuam indicacoes mnimas e a de sua nalidade, evitando sinais obvios, tanto fora quanto dentro; 3. Que os servicos de suporte, tais como fax e fotocopiadoras, estejam posicionados de forma a n o permitir o comprometimento da informacao; a 4. Que as portas e janelas permanecam fechadas quando n o utilizadas e que sejam instaladas a protecoes externas, principalmente se forem em andar t rreo; e 5. Que sistemas de deteccao de instrusos sejam instalados por prossionais especializados e testados periodicamente, cobrindo todas as portas externas e janelas acessveis. Al m disso, e as areas n o ocupadas dever o possuir um sistema de alarme permanentemente ativado. E a a
` recomend vel que estes cuidados sejam estendidos as areas restritas, por exemplo a sala de a computadores ou sala de comunicacoes; 6. Que as instalacoes de processamento da informacao gerenciadas pela organizacao quem sicamente separadas dos equipamentos e servidores gerenciados por prestadores de servico; 7. Que arquivos e lista de telefones internos que identicam os locais restritos n o tenham a acesso p blico; u 8. Que materiais combustveis ou perigosos sejam guardados de forma segura a uma dist ncia a adequada. Tamb m e recomendado que suprimentos volumosos, como material de escrit rio, e o sejam guardados fora das areas restritas, exceto quando forem ser consumidos; 9. E adequado que os meios de conting ncia e meios magn ticos de reserva (back up), sejam e e mantidos a uma dist ncia segura da instalacao principal. a
3.5.1.4 Trabalhando em areas de seguranca A NBR ISO 17799 ([4], p.14) recomenda cuidados especiais nas atividades dentro das areas restritas, rearmando a necessidade de que manuais e controles adicionais possam ser necess rios a e, quando isso ocorrer, devem ser estabelecidos para melhorar as condicoes de seguranca. Devem cobrir os funcion rios, terceirizados e prestadores de servicos, e s o os seguintes pontos a a a serem considerados: Que os funcion rios somente tenham conhecimento da exist ncia da area de seguranca ou de a e suas atividades quando necess rio. Este item nem sempre e possvel ser observado em funcao a do tamanho da organizacao. Nas organizacoes menores isso ser praticamente impossvel; a Evite trabalho nestas areas sem supervis o ou acompanhamento. Isso evitar oportunidades a a para atividades maliciosas e far com que o grupo de suspeitos, em caso de incidentes de a seguranca, seja bastante reduzido; Todas as areas de seguranca que estejam desocupadas devem estar sempre trancadas e peri odicamente vistoriadas; Que todo o pessoal de servico de suporte terceirizado tenha acesso restrito, autorizado e mon ` ` itorado as areas de seguranca ou as instalacoes de processamento de informacoes crticas; E recomend vel que n o seja permitido o uso de equipamentos fotogr cos, de vdeo, de a a a audio ou qualquer outro tipo de equipamento de gravacao, a menos que autorizado.
3.5.1.5 Isolamento das areas de expedicao e carga A NBR ISO 17799 prop e este t pico de forma bastante clara e de f cil compreens o: o o a a
Conv m que as areas de expedicao e de carregamento sejam controladas e, se possvel, isoladas e das instalacoes de processamento da informacao, com o objetivo de evitar acessos n o autoriza a dos. Conv m que os requisitos de seguranca sejam determinados a partir de uma avaliacao de risco. e Recomenda-se que os seguintes itens sejam considerados. ` a) Conv m que o acesso a area de movimentacao e suporte (carga e descarga) externa ao pr dio seja e e restrito somente ao pessoal identicado e autorizado. b) Conv m que esta area seja projetada de forma que os suprimentos possam ser descarregados sem e ` que o pessoal respons vel pela entrega tenha acesso as outras partes do pr dio. a e c) Conv m que a(s) porta(s) externa(s) destas areas seja(m) mantida(s) protegida(s) quando as portas e internas estiverem abertas. d) Conv m que o material de entrada seja inspecionado contra potenciais perigos [ver 7.2.1 d)], e antes de ser transportado dessa area para a area na qual ser utilizado. a e) Conv m que o material recebido seja registrado, se apropriado (ver 5.1), quando da sua recepcao. e (Op.cit., p.14 e 15)
3.5.2 Seguranca dos equipamentos

A NBR ISO 17799, em relacao a seguranca dos equipamentos, dene o seguinte:
Objetivo: Prevenir perda, dano ou comprometimento dos ativos, e a interrupcao das atividades do neg cio. o Conv m que os equipamentos sejam sicamente protegidos contra ameacas a sua seguranca e perigos e ` ambientais. A protecao dos equipamentos (incluindo aqueles utilizados fora das instalacoes fsicas da organizacao) e necess ria para reduzir o risco de acessos n o autorizados a dados e para protecao a a contra perda ou dano. Conv m que esta protecao considere os equipamentos instalados e os em e alienacao. Controles especiais podem ser exigidos para protecao contra perigos ou acessos n o au a torizados e para salvaguardar as instalacoes de suporte, como o fornecimento de energia el trica e e cabeamento. (Op.cit., p.15)
3.5.2.1 Instalacao e protecao dos equipamentos Neste ponto a Norma recomenda que os equipamentos sejam instalados de forma a estarem protegidos, de maneira a reduzir os riscos de ameacas ambientais, perigos e oportunidades de acessos n o autorizados, recomendando especialmente os seguintes itens: a
a) Os equipamentos devem ter sua instalacao planejada de forma a reduzir acessos desnecess rios a ` a area de trabalho. b) Que o planejamento das instalacoes de processamento e armazenamento considere um posi cionamento que reduza os riscos de espionagem das informecoes durante o seu uso. c) Que os itens que merecam protecao especial sejam isolados, de forma a reduzir o nvel geral de protecao necess ria. a d) Recomend vel que sejam adotados controles para reduzir ameacas potenciais: a 1. roubo; 2. fogo; 3. explosivos; 4. fumaca; 5. agua (ou falha de abastecimento); 6. poeira; 7. vibracao; 8. efeitos qumicos; 9. interfer ncia no fornecimento el trico; e e 10. radiacao eletromagn tica; e e) A elaboracao de polticas especcas para alimentacao, bebida e fumo nas proximidades das instalacoes de processamento; f) Monitoracao de aspectos ambientais para controlar condicoes que possam afetar negativamente a operacao das instalacoes de processamento da informacao; g) Quando em ambiente agressivo, por exemplo: industrial, m todos especiais de protecao, como e capas de teclado, devem ser adotados; h) Recomend vel que sejam previstos os impactos causados por um desastre nas proximidades a das instalacoes. Por exemplo, um inc ndio em um pr dio vizinho, vazamentos de agua no e e telhado ou em andares abaixo do ch o, etc. a
54
3.5.2.2 Fornecimento de energia Neste item, a NBR ISO 17799 ([4], p.15 e 16) trata sobre o fornecimento de energia, recomendando que os equipamentos sejam protegidos contra falhas de energia e outras anomalias na alimentacao el trica, e que tal fornecimento esteja em conformidade com as especicacoes e fornecidas pelos fabricantes dos equipamentos. Al m disso, a Norma sugere algumas opcoes para e alcancarmos a continuidade do fornecimento el trico: e a) Alimentacao m ltipla para evitar um unico ponto de falha no fornecimento el trico; u e b) no-break UPS (Uninterruptable Power Supply); c) gerador de reserva. Em relacao a estes itens, entende-se que o item a) prop e que os equipamentos crticos devam ter o redund ncia nas fontes de alimentacao, de forma que dois no-breaks sejam ligados a eles e cada a no-break ligado em um circuito exclusivo no quadro de alimentacao de energia, de tal forma que a redund ncia termine no fornecedor da energia. a Al m disso, a Norma tamb m recomenda o seguinte : e e 1. Uso de no-break em todos os equipamentos que suportem atividades crticas, de forma a permitir o encerramento normal dos servicos ou sua continuidade. 2. Deve ser considerado, no plano de conting ncia, acoes em caso de falha dos no-breaks; e 3. Periodicamente, os no-breaks devem ser avaliados dentro dos padr es estabelecidos pelo o fabricante, de maneira a garantir que estejam com a capacidade adequada. 4. Se a equacao de neg cios permitir, um gerador deve ser considerado nos casos em que o o processamento necessite continuidade. E importante que os geradores sejam testados regularmente e que esteja disponvel um estoque suciente de combustvel para uma parada mais prolongada. ` 5. A instalacao de interruptores de emerg ncia pr ximos as sadas de emerg ncia das salas de e o e equipamentos para facilitar o desligamento em casos de emerg ncia. e 6. Instalacao de Iluminacao de emerg ncia para casos de falha na fonte el trica prim ria. e e a 7. Que a protecao contra raios seja usada em todos os pr dios e que ltros de protecao sejam e instalados para todas as linhas de comunicacao externas.
55
Sobre o fornecimento de energia, Wadlow [1], faz as seguintes armacoes:

Aprendi v rias licoes valiosas nesse incidente, licoes que me s o uteis desde ent o: a a a Um sistema redundante dever ser redundante em todos os nveis, inclusive no roteamento a fsico de cabos, sempre que possvel. N o se saber se os sistemas de seguranca, como as luzes de emerg ncia, funcionar o a menos a a e a que sejam testados. E muito melhor test -los com anteced ncia do que descobrir que n o funcionam quando se a e a precisa deles. Coisas sem sentido acontecem, at quando se sup e que sejam impossveis; portanto, coloque e o o equipamento de seguranca em um lugar onde consiga encontr -lo at na escurid o. a e a Sistemas considerados capazes de falhar com segurancanem sempre funcionam assim, suponha que funcionar o corretamente, mas teste-os de qualquer maneira. (Op.cit., p.111) a
3.5.2.3 Seguranca do cabeamento ` Quanto a seguranca do cabeamento, a Norma ([4], p.16) recomenda que o cabeamento el trico e e de telecomunicacoes que transmite dados ou suporta servicos de informacao seja protegido contra interceptacoes ou danos, propondo os seguintes controles : a) Que as linhas el tricas e de telecomunicacoes das instalacoes de processamento da informacao e ` sejam subterr neas, onde possvel, ou sejam submetidas a outro tipo adequado de protecao. a b) Que o cabeamento da rede seja protegido contra interceptacoes n o autorizadas e danos, atrav s a e de uso de condutes ou evitando sua instalacao atrav s de areas p blicas. e u c) Que os cabos el tricos quem separados dos cabos de comunicacao, para evitar interfer ncias. e e d) Que nos sistemas crticos e sensveis sejam utilizados controles extras, como, por exemplo: 1. Uso de condutes blindados e salas ou gabinetes trancados nos pontos de inspecao e terminais; 2. Uso de rotas e meios de transmiss o alternativos; a 3. Uso de cabeamento de bra optica; 4. Varredura inicial para identicar dispositivos n o autorizados conectados aos cabos. a
56
3.5.2.4 Manutencao de equipamentos ` Quanto a manutencao de equipamentos, a NBR ISO 17799 coloca o assunto de forma bastante clara, conforme poder ser observado na transcricao abaixo: a
Conv m que a manutencao correta dos equipamentos garanta a continuidade da disponibilidade e e integridade dos mesmos. Recomenda-se que os seguintes itens sejam considerados. a) Conv m que os equipamentos tenham manutencao de acordo com intervalos e especicacoes do e fabricante. b) Conv m que apenas pessoal autorizado execute reparos e servicos nos equipamentos. e c) Conv m que mantenham registros de todas as falhas suspeitas ou ocorridas e de toda manutencao e corretiva e preventiva. d) Conv m que controles apropriados sejam utilizados quando do envio de equipamentos para manutencao e fora da instalacao fsica (ver tamb m 7.2.6, considerando dados excludos, apagados e sobre e postos). Conv m que todos os requisitos impostos pelas ap lices de seguro sejam atendidos. e o (Op.cit., p.16)
3.5.2.5 Seguranca de equipamentos fora das instalacoes Sobre a seguranca de equipamentos fora das instalacoes da organizacao, a NBR ISO 17799 (p.16) coloca que, independentemente de quem seja a propriedade, o uso de qualquer equipamento para o processamento da informacao, fora das instalacoes da organizacao, somente poder ocorrer a mediante autorizacao pr via da direcao. Al m disso, a seguranca oferecida a esse equipamento e e dever ser equivalente aos equipamentos utilizados dentro da empresa, acrescendo os controles a necess rios pelo fato de estar fora. a Os equipamentos de processamento de informacao incluem computadores pessoais, agendas eletr nicas, telefones m veis, pap is ou outros, levados para se trabalhar fora do ambiente normal o o e de trabalho. A Norma recomenda tamb m o seguinte: e 1. Que equipamentos e mdias levados para fora da organizacao n o sejam deixados desprote a gidos em areas p blicas; u 2. Que as instrucoes dos fabricantes sobre a protecao dos equipamentos sejam sempre obser vadas. Por exemplo, exposicao a campos magn ticos ou ao calor excessivo; e 3. Que, a partir de uma an lise de risco, sejam estabelecidos controles para trabalho em casa; a
57
4. Que se use uma cobertura adequada de seguro para proteger os equipamentos existentes fora das instalacoes da organizacao. Tamb m deve ser considerado, na an lise de risco que ir estabelecer os controles adie a a cionais, que os riscos de seguranca, como, por exemplo, de dano, roubo e espionagem, podem variar conforme a localizacao. Este tema voltar a ser abordado com maior profundidade em a 3.7.8.1.
3.5.2.6 Reutilizacao e alienacao segura de equipamentos Este assunto, tratado pela NBR ISO 17799 (p.17), previne contra descuidos no momento de reutilizacao de equipamentos, na sua venda, e at mesmo no momento de um eventual descarte. e A Norma recomenda que, em casos de reutilizacao de equipamentos (ver tamb m 3.6.6.4), os dis e positivos de armazenamento que contenham informacao sensvel sejam destrudos sicamente ou sobrescritos de forma segura ao inv s do uso de funcoes padr es de exclus o, pois tais dados poe o a dem ser recuperados se tais cuidados n o forem tomados. a Tamb m e necess rio que todos os equipamentos que possuem meios de armazenamento, e a como, por exemplo, discos rgidos, sejam vericados, para garantir que toda informacao sensvel e todo software licenciado seja removido antes da alienacao do equipamento. Dispositivos de armazenamento danicados contendo informacoes sensveis devem ser avalia dos quanto a serem destrudos, reparados ou descartados. No caso de venda ou reutilizacao de equipamentos, o ideal e fazer uma reinstalacao completa do equipamento. Muitos fabricantes fornecem discos de restauracao do estado do equipamento na sada da f brica, sendo um procedimento r pido, simples e seguro. Nos casos em que se julgar a a necess rio, pode-se fazer tamb m a formatacao prim ria do disco rgido, o que tornar impossvel a e a a qualquer tentativa de recuperacao dos dados.
3.5.3 Controles gerais

A NBR ISO 17799 dene este ponto da seguinte forma:
Objetivo: Evitar a exposicao ou roubo de informacao e de recursos de processamento da informacao. Conv m que informacoes e recursos de processamento da informacao sejam protegidos de divulgacao, e modicacao ou roubo por pessoas n o autorizadas, e que sejam adotados controles de forma a mini a mizar sua perda ou dano. Os procedimentos para manuseio e armazenamento est o considerados em a 8.6.3. (Op.cit.,p.17)
58
3.5.3.1 Poltica de mesa limpa e tela limpa Este tema, tratado pela NBR ISO 17799 (p.17), prop e para as empresas que adotem uma o poltica de mesa limpa para pap is e mdias removveis e uma poltica de tela limpa para os recursos e de processamento da informacao, reduzindo assim os riscos de acessos n o autorizados, danos a e perdas de informacoes durante e fora o hor rio normal de trabalho. N o se pode deixar de a a notar que as informacoes deixadas em mesa de trabalho s o alvos prov veis de furtos, danos ou a a destruicao em um sinistro, como inc ndios ou inundacoes. Essas polticas devem levar em conta e as classicacoes da seguranca da informacao (ver. 3.3.2), os riscos correspondentes e aspectos culturais da organizacao. Os pontos de controle recomendados pela Norma s o os listados abaixo: a Pap is e mdias de computador devem ser guardados quando n o estiverem sendo utilizae a dos, em arquivos met licos ou gavetas, com fechaduras, principalmente fora do hor rio de a a expediente normal. Informacoes sensveis ou crticas, quando n o requeridas, devem ser guardadas em local a distante, seguro e fechado, se possvel em um cofre ou arquivo resistentes a inc ndios, prin e cipalmente quando o escrit rio estiver vazio. o Computadores pessoais, terminais de computador e impressoras n o devem ser deixados a ligados quando n o assistidos, e sempre devem estar protegidos por senhas, chaves ou outros a tipos de controle de acesso. Pontos de envio e recepcao de correspond ncias e equipamentos de fax e telex, quando n o e a assistidos, devem ser protegidos. Copiadoras devem ser travadas de forma a estarem protegidas contra uso indevido, fora do hor rio de expediente normal da empresa. a Informacoes condenciais, sensveis ou crticas, quando impressas, devem ser acompan hadas e retiradas da impressora imediatamente.
3.5.3.2 Remocao de propriedade Este item, levantado na NBR ISO 17799, e denido de forma bastante simples e objetiva, conforme transcrito abaixo :
Equipamentos, informacoes ou software n o devem ser retirados da organizacao sem autorizacao. a Quando necess rio e apropriado, os equipamentos devem ser desconectados e conectados novamente a UNESP/FEG-CEIE, 2004 59
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a no seu retorno. Inspecoes pontuais devem ser realizadas de forma a detectar a remocao n o autorizada a de propriedade. As pessoas devem estar cientes de que inspecoes pontuais ser o realizadas.(Op.cit., a 17)
Do exposto acima, apenas deve-se fazer uma resalva quanto ao equipamento, ap s desconeco tado, ser conectado novamente. E altamente recomend vel que, nesse intervalo, seja feita uma a vericacao e eventual desinfeccao no equipamento quanto a vrus e outros c digos maliciosos. So o ` mente ap s isso o equipamento dever ser conectado a rede, especialmente se ele foi utilizado fora o a da organizacao.
3.6 Gerenciamento das operacoes e comunicacoes

3.6.1 Procedimentos e responsabilidades operacionais
A NBR ISO 17799 faz o seguinte enunciado te rico desse captulo: o
Objetivo: Garantir a operacao segura e correta dos recursos de processamento da informacao. Conv m que os procedimentos e responsabilidades pela gest o e operacao de todos os recursos de e a processamento das informacoes sejam denidos. Isto abrange o desenvolvimento de procedimentos operacionais apropriados e de resposta a incidentes. Recomenda-se que se utilize a segregacao de funcoes (ver 8.1.4), quando apropriado, para reduzir o risco de uso negligente ou doloso dos sistemas. (Op.cit., p.17)
3.6.1.1 Documentacao dos procedimentos de operacao A Norma neste item (p.17) recomenda que todos os procedimentos operacionais, identicados pela poltica de seguranca, sejam documentados e mantidos atualizados. Tais documentos dever o a ser tratados com formalidade e quaisquer mudancas em seus conte dos dever o ser aprovadas pela u a direcao da organizacao. E recomend vel que tais documentos detalhem as instrucoes para a execucao de cada tarefa, a considerando os pontos abaixo: Processamento e tratamento da informacao; Requisitos de sincronismo, incluindo interdepend ncia com outros sistemas, a hora mais e cedo (de incio) e mais tarde (de t rmino). Sobre este item, vale a pena ver 3.7.7.3., sobre a e sincronizacao dos rel gios. o
Instrucoes para tratamento de erros ou outras situacoes anormais que possam ocorrem du rante a execucao de uma tarefa, inclusive quanto a restricoes de uso dos recursos dos sis temas, por exemplo, programas utilit rios (ver tamb m 3.7.5.5). a e Manter um plano de suporte de prontid o com os t cnicos de suporte, para casos de ocorr ncias a e e n o esperadas ou diculdades t cnicas. a e Procedimentos para o reincio e recuperacao, para o caso de falha do sistema. ` Tamb m dever o ser observados os mesmos cuidados quanto a elaboracao de procedimentos e a documentados para as atividades de housekeeping associadas aos recursos de comunicacao e pro cessamento das informacoes, como, por exemplo : procedimentos de inicializacao e encerramento de atividades dos computadores; procedimentos para geracao e restauracao de c pias de seguranca (backup); o procedimentos para manutencao de equipamentos; procedimentos para a gest o do tratamento das correspond ncias e sala de computadores. a e
3.6.1.2 Controle de mudancas operacionais A Norma (p.17) para este t pico prop e que modicacoes nos sistemas e recursos de proo o cessamento da informacao sejam controlados. A falta desse controle, ou quando ele e feito de forma inadequada, e uma das causas mais comuns de falhas de seguranca ou de sistemas. Assim, e adequado que exista um documento formal que dena, de forma clara, as responsabilidades e procedimentos, visando garantir um controle adequado das mudancas de equipamentos, software, ou procedimentos. Os programas que j estiverem em producao dever o ser objeto de um controle especco de a a modicacoes. Nas mudancas de programas dever o ser mantidos registros com todas as informacoes rele a vantes, para possibilidar auditorias e an lises posteriores. a Considerando que modicacoes no ambiente operacional tamb m podem causar impacto nas e aplicacoes, e recomed vel que os procedimentos de controle operacional e de aplicacoes sejam a integrados. Vale a pena ver 3.8.5.1 sobre este assunto. A Norma recomeda que os seguintes controles sejam observados: a) identicacao e registro das alteracoes mais signicativas;
b) avaliacao do impacto potencial dessas alteracoes; c) Procedimento formal de aprovacao das mudancas; d) Comunicacao dos detalhes das mudancas para todas as areas e usu rios envolvidos; a e) procedimentos que permitam a identicacao e contato com os respons veis pela suspens o e a a recuperacao das mudancas, em caso de problemas ou insucesso.
3.6.1.3 Procedimentos para o gerenciamento de incidentes E recomendado pela NBR ISO 17799 (p.18) que as responsabilidades e procedimentos de gerenciamento de incidentes sejam denidos visando que a organizacao possa ter uma resposta r pida, efetiva e ordenada aos incidentes de seguranca, valendo a pena tamb m vericar o item a e 3.4.3.1. Os controles recomendados s o os seguintes: a a) Devem ser estabelecidos procedimentos que cubram os possveis potenciais incidentes de seguranca, como, por exemplo : 1. Falhas dos sistemas de informacao e servicos inoperantes; 2. n o obtencao de servico; a 3. erros resultantes de dados incompletos ou inconsistentes; 4. violacao de condencialidade. b) Al m dos planos de conting ncia, os procedimentos dever o contemplar (vide 3.4.3.4) : e e a 1. an lise e identicacao das causas do incidente; a 2. quando necess rio, o planejamento para implementacao de medidas preventivas; a 3. coleta de dados de registros e de todas as evid ncias possveis; e 4. comunicacao com todos os afetados ou envolvidos no plano de recuperacao de inci dentes; 5. se necess rio e possvel, relato da acao a autoridade apropriada. a ` c) Coleta de evid ncias (vide item b, sub item 1 acima e 3.10.1.7) e sua posterior guarda com a e devida protecao e cuidado, de forma a permitir: 1. an lise de problemas internos; a
62
2. uso como evid ncia para o caso de uma potencial violacao de contrato ou de normas e ou de delitos civis ou criminais; 3. negociacao para compensacao ou ressarcimento por parte de fornecedores de software ou servicos. d) Que as acoes de recuperacao de violacoes de seguranca e correcao de falhas do sistema sejam cuidadosa e formalmente controladas, observando os seguintes pontos: 1. Apenas o pessoal identicado e autorizado pode ter acesso a sistemas e dados em producao. Ver 3.2.2.2 sobre acesso de prestadores de servicos; 2. Todas as acoes adotadas emergencialmente devem ser documentadas em detalhe; 3. As acoes de emerg ncia devem ser relatadas para a direcao e analisadas criticamente e de maneira ordenada; 4. Que a integridade dos sistemas de neg cios e seus controles sejam validados o mais o r pido possvel. a
3.6.1.4 Segregacao de funcoes Neste ponto, a NBR ISO 17799 (p.19), visando reduzir o risco de mau uso acidental ou delib erado dos sistemas, prop e a separacao da administracao ou execucao de certas funcoes ou areas o de responsabilidade, a m de reduzir as possibilidades para modicacao n o autorizada ou mau a uso das informacoes ou servicos. A Norma ressalta que este tipo de controle pode ser de difcil implantacao para empresas ou organizacoes de pequeno e m dio porte. Entretanto, recomenda sua aplicacao, assim que possvel, e e orienta, nos casos em que isso n o for possvel, a criacao de controles, como a monitoracao de a atividades, trilhas de auditoria e o acompanhamento gerencial. Tamb m recomenda que a auditoria e de seguranca permaneca como uma atividade independente. Outros cuidados devem ser observados para que, em areas onde a responsabilidade seja apenas de uma pessoa, n o seja alvo de fraudes que n o possam ser detectadas. Recomenda-se que o incio a a do evento seja separado de sua autorizacao. Os seguintes controles devem ser estabelecidos: E importante segregar atividades que requeiram cumplicidade para a realizacao de fraudes. A Norma cita, como exemplo, a emiss o de um pedido de compra e a conrmacao do recea bimento da compra. Se existir o perigo de conluios, ent o e necess rio que duas ou mais pessoas sejam envolvia a das, diminuindo, dessa maneira, a possibilidade de fraudes.
Podemos colocar como exemplo a separacao das funcoes de an lise e auditoria dos logs de a servidores, das funcoes de Administrador de Rede, de tal forma que possa ser possvel rastrear problemas de impercia ou m f praticados pelo Administrador da Rede. Tamb m podemos con a e e siderar, nessa situacao de segregacao, os direitos de backup e de restore.
3.6.1.5 Separacao dos ambientes de desenvolvimento e de producao A NBR ISO 17799 (p.19) coloca a necessidade de que as regras de transfer ncia de software e em desenvolvimento para a producao sejam bem denidas e documentadas. Tamb m recomenda a e segregacao dos ambientes de desenvolvimento, de testes e de producao, pois a separacao dos ambi entes e necess ria para evitar incidentes de seguranca involunt rios ou intencionais, causados pelo a a pessoal de desenvolvimento e testes. Al m disso, alerta para que o nvel de separacao adequado e entre os ambientes de producao, desenvolvimento e testes, seja avaliado, para evitar problemas operacionais. Assim, dever existir um ambiente de desenvolvimento e testes con vel e est vel, no qual a a a possam ser executados os testes e que seja capaz de prevenir o acesso indevido do pessoal de desenvolvimento ao ambiente de producao. Resumindo, devemos ter um ambiente de testes e desenvolvimento totalmente separado do ambiente de producao, em dispositivos de processamento de informacao distintos, e que o pessoal ` de desenvolvimento n o tenha direitos de acesso aos dados de producao nem a transfer ncia de a e programas do ambiente de desenvolvimento para o ambiente de producao. Esta atividade dever a ser realizada por pessoal autorizado e identicado previamente, sendo objeto de procedimento especco. A norma tamb m recomenda os seguintes pontos de controle: e 1. E recomend vel que o software em desenvolvimento e o software em producao sejam, sema pre que possvel, executados em dispositivos de processamento, domnios ou diret rios difer o entes. 2. Dentro do possvel, as atividades de desenvolvimento e teste devem ocorrer de forma sepa rada. 3. Quando n o for uma necessidade, os compiladores, editores e outros programas utilit rios a a n o dever o estar disponveis a partir do ambiente de producao. a a 4. E recomend vel que o acesso, senhas e telas iniciais dos ambientes de producao e de desena volvimento sejam diferentes, para minimizar possibilidades de incidentes involunt rios. a
5. Quando necess rio, o pessoal de desenvolvimento dever receber senhas de acesso ao ama a biente de producao, de forma controlada e apenas para suporte a sistemas no ambiente de producao. E recomend vel que existam controles que garantam que tais senhas sejam alter a adas ou canceladas ap s o uso. o
3.6.1.6 Gest o de recursos terceirizados a Este item e bastante interessante, pois, em muitas situacoes, para muitas organizacoes, ter ceirizar parte e at mesmo a totalidade de seus recursos pode signicar um alternativa bastante e interessante, do ponto de vista t cnico e econ mico. Podemos citar, como exemplo, a terceirizacao e o da hospedagem de um servidor de p ginas da internet. Ter uma conex o com a internet, com a a garantia mnima de largura de banda dentro de uma faixa consider vel, mais a redund ncia desta a a conex o e toda a infraestrutura de seguranca (rewall) e suporte (ar-condicionado, geradores de a ` energia, backup, etc.), pode fazer com que o custo disso tudo se torne muito alto e, a medida que e feita a terceirizacao, uma parte signicativa dessa estrutura passa a ser compartilhada com os out ros usu rios desse centro de dados, permitindo assim um custo menor e, muitas vezes, com mais a tecnologia. Para essas situacoes, a NBR ISO 17799 (p.20) coloca que pode haver um aumento do risco face a possibilidade de comprometimento, dano ou perda de dados no ambiente do prestador de servico. Assim, a norma recomenda que esses riscos sejam identicados previamente e que os controles necess rios sejam acertados com o prestador de servico e includos no contrato ou acordo a de servicos (ver tamb m os itens 3.2.2.2 e 3.2.3), fazendo enfase nos seguintes t picos: e o ` a) identicacao das aplicacoes crticas e sensveis que devem permanecer internas a organizacao; b) obtencao da aprovacao dos gestores ou respons veis pelos processos e sistemas; a c) avaliacao das implicacoes nos planos de continuidade do neg cio; o d) criacao de normas de seguranca e um processo de medicao da conformidade desses padr es; o e) denicao dos procedimentos de monitoracao e das respectivas responsabilidades, de forma a ` garantir o acompanhamento das atividades relativas a seguranca; f) criar procedimentos e denir responsabilidades para relatar e tratar incidentes de seguranca (ver 3.6.1.3).
3.6.2 Planejamento e aceitacao dos sistemas

A NBR ISO 17799 faz a seguinte introducao te rica para este item: o
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a Objetivo: Minimizar o risco de falhas nos sistemas. O planejamento e a preparacao pr vios s o requeridos para garantir a disponibilidade adequada de e a capacidade e recursos. Conv m que projecoes da demanda de recursos e da carga de m quina futura sejam feitas para reduzir e a o risco de sobrecarga dos sistemas. Conv m que os requisitos operacionais dos novos sistemas sejam estabelecidos, documentados e e testados antes da sua aceitacao e uso. (Op.cit., p.20)
3.6.2.1 Planejamento de capacidade Neste item, a Norma recomenda o seguinte:

Conv m que as demandas de capacidade sejam monitoradas e que as projecoes de carga de producao e futuras sejam feitas de forma a garantir a disponibilidade da capacidade adequada de processamento e armazenamento. Conv m que essas projecoes levem em consideracao os requisitos de novos neg cios e o e sistemas e as tend ncias atuais e projetadas do processo de informacao da organizacao. e Os computadores de grande porte necessitam de uma atencao particular, devido ao seu maior custo e o tempo necess rio para ampliacao de capacidade. Conv m que os gestores dos servicos desses a e computadores monitorem a utilizacao dos principais recursos destes equipamentos, tais como proces sadores, mem ria principal, area de armazenamento de arquivo, impressoras e outros dispositivos de o sada, al m dos sistemas de comunicacao. Conv m que eles identiquem as tend ncias de utilizacao, e e e particularmente em relacao as aplicacoes do neg cio ou das aplicacoes de gest o empresarial. ` o a Conv m que os gestores utilizem essas informacoes para identicar e evitar os potenciais gargalos e que possam representar ameacas a seguranca do sistema ou aos servicos dos usu rios, e planejar uma ` a acao apropriada.(Op.cit., p.20)
Neste item, o custo de ampliacao, mesmo em equipamentos de menor porte, muitas vezes se tornam invi veis face aos valores envolvidos. Freq entemente torna-se mais vantajoso a troca a u completa do equipamento. Portanto, essa an lise e planejamento de capacidade e muito importante, a por tratar-se, al m de uma quest o t cnica, de uma quest o econ mica, da preservacao da qualidade e a e a o do investimento a ser realizado.
3.6.2.2 Aceitacao de sistemas A NBR ISO 17799 (p.20) recomenda que sejam estabelecidos crit rios para a aceitacao de e novos sistemas, atualizacoes e novas vers es e que sejam adequadamente testados antes de sua o
66
aceitacao. Al m disso os gestores dever o garantir que os requisitos e crit rios para a aceitacao e a e estejam claramente denidos, acordados, registrados e testados, reassaltando a observacao dos seguintes controles : requisitos de desempenho e de demanda de capacidade de processamento; recuperacao de erros, procedimentos de reinicializacao e planos de conting ncia; e elaboracao e testes de procedimentos operacionais para a criacao de padr es; o concord ncia sobre o conjunto de controles de seguranca utilizados; a procedimentos manuais ecazes; plano de continuidade dos neg cios, como o previsto em 3.9.1; o an lise fundamentada e documentada de que o novo sistema n o afetar , de forma negativa, a a a os sistemas atuais, especialmente nos perodos de maior demanda, por exemplo no nal do m s; e an lise fundamentada e documentada do impacto do novo sistema na seguranca; a treinamento na operacao ou uso dos novos sistemas. Para os novos desenvolvimentos, os usu rios devem ser consultados em todas as etapas do processo a de desenvolvimento de forma a garantir a eci ncia operacional do projeto e a sua adequacao as e ` necessidades organizacionais. Todos os testes devidos devem ser executados para garantir que todos os crit rios de aceitacao sejam plenamente satisfeitos. e
3.6.3 Protecao contra software malicioso

A NBR ISO 17799 dene este tema da seguinte maneira:
Objetivo: Proteger a integridade do software e da informacao. E necess rio que se adotem precaucoes para prevenir e detectar a introducao de software malicioso. a ` Os ambientes de processamento da informacao e os softwares s o vulner veis a introducao de soft a a ware malicioso, tais como vrus de computador, cavalos de Tr ia (ver tamb m 10.5.4) e outros. o e Conv m que os usu rios estejam conscientes sobre os perigos do uso de software sem licenca ou e a malicioso, e os gestores devem, onde cabvel, implantar controles especiais para detectar ou prevenir contra sua introducao. Em particular, e essencial que sejam tomadas precaucoes para deteccao e prevencao de vrus em computadores pessoais. (Op.cit., p.21) UNESP/FEG-CEIE, 2004 67
3.6.3.1 Controles contra software malicioso A recomendacao da Norma neste item (p.21) e convergente com o bom senso e com um comportamento amplamente difundido e universalmente aceito, apesar de nem sempre observado. Deve-se ter controles de deteccao e prevencao de software malicioso, bem como procedimentos e mecanismos de divulgacao e conscientizacao da seguranca para todos os usu rios da organizacao. a Al m disso, devem ser observados os controles adequados de acesso aos recursos, bem como de e mecanismos de gerenciamento de mudancas. Os pontos a seguir dever o ser observados para se garantir um nvel adequado de controle a contra software malicioso: 1. Criacao de uma poltica formal, exigindo conformidade com as licencas de uso de software e proibindo o uso de software n o autorizado (ver tamb m 3.10.1.2.2); a e 2. Um poltica formal de protecao contra os riscos originados da importacao de arquivos e softwares para a rede interna, a partir de redes externas ou por qualquer outro meio. Nesta poltica, tamb m dever o estar indicadas as medidas preventivas a serem adotadas (ver 3.8.5, e a especialmente 3.8.5.4 e 3.8.5.5); 3. Instalacao e atualizacao peri dica de software antivrus, para exame das mdias eletr nicas; o o 4. An lises peri dicas de software e dos dados dos sistemas que suportam os processos crticos a o do neg cio. No caso de identicacao de qualquer anormalidade, o evento dever ser formalo a mente investigado; ` 5. Qualquer arquivo recebido, de fonte externa ou n o con vel, dever ser submetido a vericacao a a a ` e an lise quanto a presenca de vrus, independentemente da forma de seu recebimento (cd, a disquete, Instant Messenger, etc.) antes de seu uso; 6. Qualquer arquivo recebido, por correio eletr nico ou importado (download), dever ser vero a ` icado quanto a exist ncia de software malicioso. Esta avaliacao poder ser feita em v rios e a a pontos, como nos servidores de correio eletr nico, nos computadores pessoais, etc.; o 7. Elaboracao de procedimentos de gerenciamento com a denicao das responsabilidades quanto ` a prevencao de vrus, treinamento nesses procedimentos, relato e recuperacao de ataques de vrus (ver 3.4.3 e 3.6.1.3); 8. Elaboracao de procedimentos para a vericacao de informacoes relacionadas com software malicioso, garantindo, atrav s de conrmacao em sites especializados de notcias e de fornecee dores de programas antivrus, a capacidade de separar notcias reais dos boatos e, assim,
permitir a emiss o de alertas precisos e com informacoes uteis para os usu rios. Tamb m a a e dever abordar o treinamento dos usu rios, a m de permitir que lidem de forma adequada a a com boatos e que estejam cientes dos problemas decorrentes deles. Esses controles ser o ainda mais importantes em servidores de arquivos em redes com um a grande n mero de estacoes de trabalho. u
3.6.4
Housekeeping
Na NBR ISO 17799 t m-se denido o seguinte para este assunto: e

Objetivo: Manter a integridade e disponibilidade dos servicos de comunicacao e processamento da informacao. Conv m que sejam estabelecidos procedimentos de rotina para a execucao das c pias de seguranca e e o para a disponibilizacao dos recursos de reserva, conforme denido na estrat gia de conting ncia (ver e e 11.1), de forma a viabilizar a restauracao em tempo h bil, controlando e registrando eventos e falhas a e, quando necess rio, monitorando o ambiente operacional. (Op.cit., p.21) a
3.6.4.1 C pias de seguranca o A Norma (p.21 e 22) recomenda, de forma geral, que as c pias de seguranca dos dados e de o software essenciais ao neg cio sejam feitas regularmente. Al m disso, prop e que existam recuro e o sos e instalacoes alternativos, para garantir que todos os dados e sistemas aplicativos essenciais ao neg cio sejam recuperados, ap s um desastre ou problemas com mdias. Periodicamente os backo o ups de sistemas individuais devem ser testados, de forma a garantir que satisfacam os requisitos dos planos de continuidade dos neg cios (ver secao 3.9). A Norma tamb m pede que os seguintes o e controles listados sejam observados: a) Que uma quantidade mnima de tr s geracoes ou c pias de seguranca das aplicacoes crticas e o sejam mantidas em local remoto a uma dist ncia suciente para livr -las de qualquer dano a a que possa ocorrer na instalacao principal. Al m disso, no mesmo local dever o existir c pias e a o dos controles consistentes e atualizados dessas mdias e da documentacao dos procedimentos de recuperacao; ` b) Que os mesmos padr es de controles e nveis de seguranca ambiental e fsica, dado as mdias o no ambiente principal, sejam aplicados no ambiente de backup; c) Que as mdias de backup sejam testadas regularmente, para garantir sua conabilidade;
d) Que os procedimentos de recuperacao sejam vericados e testados regularmente, e que o tempo de recuperacao seja avaliado em relacao as necessidades operacionais da organizacao. ` Tamb m e importante que sejam denidos prazos de retencao para as informacoes crticas e e essenciais aos neg cios, al m de procedimentos para o arquivamento de c pias de seguranca com o e o retencao permanente (ver 3.10.1.3).
3.6.4.2 Registros de operacao A abordagem dada pela Norma neste item e bastante clara. Mas vale rearmar que esses registros s o muito importantes para, entre outras coisas, avaliar itens de evolucao da sua capacidade a de processamento e armazenamento, e assim planejar atualizacoes ou expans es de equipamentos o e at mesmo a sua troca, al m de formar trilhas de auditoria e uma base de conhecimento bastante e e interessante. A seguir, a transcricao do texto contido na Norma:
Conv m que seja mantido registro das atividades do pessoal de operacao. Conv m que esses rege e istros incluam, conforme apropriado: a) hor rio de incio e m dos processamentos; a b) erros e acoes corretivas adotadas nos processamentos; c) conrmacao do correto tratamento dos arquivos de dados e dos resultados gerados nos processa mentos; d) identicacao de quem est efetuando a operacao; a Conv m que os registros de atividades dos operadores sejam submetidos a checagem regular e indee pendente, em conformidade com os procedimentos operacionais. (Op.cit., p.22)
3.6.4.3 Registro de falhas Estes registros, como na subsecao anterior, podem formar uma trilha de auditoria e uma base de conhecimento importante para an lise de incidentes e medidas corretivas e preventivas a serem a adotadas. Abaixo, a reproducao do texto contido na Norma:
Conv m que qualquer tipo de falha seja relatada e que sejam tomadas acoes corretivas. Conv m que e e falhas informadas por usu rios relativas a problemas com processamento de informacao ou sistemas a de comunicacao sejam registradas. Conv m que existam regras claras para o tratamento das falhas e informadas incluindo: a) an lise crtica sobre os registros de falha para assegurar que as falhas foram satisfatoriamente a resolvidas; UNESP/FEG-CEIE, 2004 70
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a b) an lise crtica sobre as medidas corretivas aplicadas para se assegurar de que elas n o tenham coma a prometido os controles e que as acoes adotadas tenham sido devidamente autorizadas. (Op.cit., p.22)
3.6.5
Gerenciamento de Rede
A Norma dene este ponto com o seguinte texto :

Objetivo: Garantir a salvaguarda das informacoes na rede e a protecao da infra-estrutura de suporte. O gerenciamento da seguranca de redes que se estendam al m dos limites fsicos da organizacao e requer particular atencao. Tamb m pode ser necess ria a utilizacao de controles adicionais para protecao de dados sensveis que e a transitam por redes p blicas. (Op.cit., p.22) u
3.6.5.1 Controle de rede A Norma (p.22) aborda este tema focando a garantia da seguranca dos dados na rede e a protecao dos servicos disponibilizados contra acessos n o autorizados, propondo que seja dada a atencao aos seguintes controles : Quando possvel, separar as responsabilidades operacionais, da rede e da operacao dos com putadores; Estabelecer procedimentos e responsabilidades para o gerenciamento de equipamentos remotos, inclusive os que estiverem nas instalacoes dos usu rios (resid ncia); a e Estabelecer controles especiais para garantir a condencialidade e integridade dos dados que trafegam em redes p blicas e garantir a disponibilidade dos sistemas; u Conv m que as atividades de gerenciamento sejam coordenadas de forma a otimizarem e o servico prestado e garantirem a aplicacao consistente desses controles por toda infra estrutura de processamento da informacao. Para auxiliar no controle de rede, existem bons sistemas, com uma relacao de custo x benefcio bastante interessante, permitindo serem utilizados tamb m por empresas de menor porte, mas que e j tenham uma rede de computadores com alguma complexidade. Vamos citar dois, o primeiro a para ambiente Linux e o segundo para ambiente Microsoft Windows.
71
Nagios [14] : Este e um produto open source, que opera sobre o sistema operacional Linux, com interface web, permitindo monitorar hosts, servicos e redes. Bastante poderoso, permite in terface com dispositivos de monitoramento das condicoes ambientais da sala dos servidores, monitorando temperatura, umidade relativa do ar e nvel de iluminacao. Vale a pena ser analisado at por ser gratuito. e WhatsUp [15] : E um produto que opera em ambiente Microsoft Windows e e pago. Oferece uma solucao simples de mapeamento de rede, monitoramento, noticacao e de relat rio de o desempenho que auxilia a detectar e reparar problemas na rede. Permite monitorar Bancos de Dados SQL da Micrososft. Possui vers o de demonstracao por tempo limitado. a
3.6.6 Seguranca e tratamento de mdias

A NBR ISO 17799 faz a introducao te rica desse tema da seguinte forma: o
Objetivo: Prevenir dados aos ativos e interrupcoes das atividades do neg cio. o Conv m que as mdias sejam controladas e sicamente protegidas. e Conv m que procedimentos operacionais apropriados sejam estabelecidos para proteger documentos, e mdias magn ticas de computadores (tas, discos, cartuchos), dados de entrada e sada e documentacao e dos sistemas contra roubo, acesso n o autorizado e danos em geral. (Op.cit., p.23) a
3.6.6.1 Gerenciamento de mdias removveis A Norma (p.23) recomenda que existam procedimentos para o gerenciamento de todas as mdias removveis da empresa. Nesse conceito ela inclu no mesmo grupo os seguinte itens: tas, discos, cartuchos e formul rios impressos. Vale a pena frisar esse item, pois normalmente a existe pouca atencao para esse tipo de mdia removvel. A Norma recomenda os seguinte cuidados: Quando n o for mais necess rio, apague o conte do de qualquer meio magn tico reutiliz vel a a u e a que v ser levado para fora da empresa; a A retirada de qualquer mdia da empresa dever ser autorizada formalmente e isso dever ser a a registrado para permitir formar uma trilha de auditoria (ver 3.6.7.2) Toda mdia dever ser mantida em local seguro, em conformidade com as recomendacoes do a fabricante. E importante que os procedimentos e os nveis de autorizacao sejam documentados.
3.6.6.2 Descarte de mdias A Norma em (p.23) trata de um item que, se n o for bem resolvido, poder deixar expostas a a informacoes sensveis da organizacao. Assim, recomenda que todas as mdias sejam descartadas de forma segura e protegida quando n o forem mais necess rias. Devem ser elaborados procedia a mentos formais para isso, visando reduzir este risco. Os controles abaixo devem ser observados e aplicados: a) As mdias com informacoes sensveis devem ser guardadas e descartadas de forma segura e protegida, atrav s da incineracao ou trituracao, ou da eliminacao dos dados para uso por e outra aplicacao dentro da organizacao. b) A lista a seguir indica algumas mdias que podem exigir esses cuidados: 1. documentos em papel; 2. gravacao de voz ou de outros tipos; 3. papel-carbono; 4. relat rios impressos; o 5. tas de impress o descart veis; a a 6. tas magn ticas; e 7. discos removveis e cartuchos; 8. meio de armazenamento otico (todas as formas, inclusive as mdias usadas para distribuicao de software); 9. listagem de programas; 10. dados de testes; 11. documentacao de sistemas. c) Poder ser mais simples coletar todas as mdias para descarte, ao inv s da realizacao de uma a e separacao apenas daquelas que possuem dados sensveis. d) Existem prestadores de servicos especializados em coleta e descarte de mdias magn ticas. e Avalie com cuidado essa possibilidade, exija e verique os controles necess rios. a e) E recomend vel que o descarte de mdias seja registrado para permitir a formacao de uma trilha a de auditoria. N o deixe ocorrer ac mulo de mdias para descarte. Sobre isso, a Norma coloca o seguinte: a u
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a ... conv m que se leve em consideracao o efeito da agregacao, tornando mais crtica uma grande e quantidade de informacao n o classicada do que uma pequena quantidade de informacao conden a cial. (Op.cit.,p.23)
3.6.6.3 Procedimentos para tratamento da informacao A Norma (p.24) aborda, neste item, a forma como as informacoes crticas e sensveis devem ser tratadas para publicacao e divulgacao atrav s de qualquer meio de processamento de informacao e ou comunicacao, recomendando controles para reduzir os riscos de divulgacao ou uso indevidos. ` E recomend vel a adocao de procedimentos para o tratamento da informacao, adequados a a sua classicacao (ver 3.3.2), em documentos, sistemas de computadores, rede de computadores, computacao m vel, comunicacao m vel, correio eletr nico, correio de voz, comunicacao de voz o o o em geral, multimdia, servicos postais, m quinas de fax e qualquer outro item sensvel. a A Norma prop e que se observem os seguintes cuidados: o tratamento e identicacao de todos os meios magn ticos (ver 3.6.7.2); e restricoes de acesso para identicacao de pessoal n o autorizado; a registro formal dos destinat rios autorizados aos dados; a garantia de que a entrada dos dados ser completa, de que o processamento tenha sido cona cludo e que as sadas tenham sido validadas; protecao dos dados a serem expedidos ou impressos, de forma compatvel com sua classicacao e criticidade; guarda das mdias em ambiente correto, conforme especicacoes dos fabricantes; manutencao da distribuicao de dados no menor nvel possvel; identicacao ecaz de todas as c pias de seguranca, para chamar a atencao dos destinat rios o a autorizados; periodicamente realizar an lise crtica das listas de distribuicao e das listas de destinat rios a a autorizados.
3.6.6.4 Seguranca da documentacao dos sistemas Neste t pico, a Norma (p.24) trata da documentacao de sistemas, onde podem existir informacoes o crticas, como descricoes de processos, de estruturas de dados, processos de validacao de acesso,
etc. Desta forma, a Norma recomenda que tal documentacao seja protegida contra acessos n o a autorizados e prop e que os seguintes controles sejam implementados: o 1. A documentacao de sistema deve ser mantida em lugar seguro; 2. Que o grupo de pessoas autorizadas a acessar essa documentacao seja o estritamente necess rio, a e autorizado pelo respons vel / gestor da aplicacao; a 3. Que a documentacao de sistema mantida em uma rede p blica, ou fornecida atrav s de uma u e rede p blica, seja protegida de maneira adequada. u Vale ressaltar que tais recomendacoes s o v lidas apenas para desenvolvimento pr prio da a a o organizacao ou para adequacoes em sistemas de terceiros. Para sistemas de terceiros, em seu estado padr o, ser necess rio que o contrato de cess o e uso contenha cl usulas especcas quanto a isso, a a a a a se for o caso.
3.6.7 Troca de informacoes e software

Quanto a este tema, a Norma dene da seguinte forma:
Objetivo: Prevenir a perda, modicacao ou mau uso de informacoes trocadas entre organizacoes. Conv m que as trocas de informacoes e software entre organizacoes sejam controladas e estejam em e conformidade com toda a legislacao pertinente (ver secao 12). Conv m que as trocas sejam efetuadas baseadas em contratos. e Conv m que os procedimentos e padr es para proteger informacao e mdias em tr nsito tamb m e o a e sejam acordados. Conv m que sejam consideradas as possveis implicacoes nos neg cios e na seguranca, relacionadas e o com a troca eletr nica de dados, com o com rcio eletr nico, com o correio eletr nico e com as o e o o necessidades de controles. (Op.cit., p.24)
3.6.7.1 Acordos para a troca de informacoes e software Para esse assunto, a Norma (p.24) coloca alguns pontos para serem observados pelas organizacoes quando ocorre o estabelecimento de um acordo, formal ou n o, de troca de software ou dados, a de forma eletr nica ou manual. E necess rio que seja criado um protocolo para que essas troo a cas ocorram de forma adequada e com o nvel de seguranca compatvel com a classicacao das informacoes envolvidas. Os pontos recomendados pela Norma, para serem observados nesse pro tocolo ou acordo, s o os seguintes: a
1. Denicao das responsabilidades pelo controle de comunicacao de transmiss es, expedicoes o e recepcoes; 2. Procedimentos para noticacao do emissor, da transmiss o, expedicao e recepcao; a 3. Estabelecimento de padr es mnimos para embalagem e transmiss o; o a 4. Padr es para identicacao dos portadores; o 5. Denicao de responsabilidades e onus em caso de perda de dados; 6. Uso de um sistema de identicacao, baseado em r tulos para as informacoes crticas e o sensveis, de tal forma que garanta seu imediato entendimento e identicacao; 7. Responsabilidades e propriedade das informacoes e software pela protecao de dados, em acordo com os direitos de propriedade de software e consideracoes ans (ver 3.10.1.2 e 3.10.1.4); 8. Normas t cnicas para a gravacao e leitura de informacoes e software; e 9. Eventuais controles adicionais que venham a ser necess rios para protecao de itens sensveis, a tais como chaves criptogr cas (ver 10.3.5). a Em resumo, o que a norma pretende e que exista um mnimo de entendimento entre as organizacoes no momento da troca das informacoes, para que n o ocorra um eventual incidente de perda ou furto a do material envolvido, e que isso exponha informacoes crticas ou sensveis. O nvel das medidas ` preventivas a serem adotadas estar relacionado a classicacao que a informacao envolvida possui. a Por exemplo, se as informacoes em quest o est o relacionadas a dados sigilosos dos clientes a a de uma instituicao nanceira (que e seu cliente), sem d vida alguma, estes dados devem ter um u tratamento diferenciado em relacao a outros dados que voc poderia estar enviando a um promotor e de eventos que est divulgando a sua participacao em uma feira do seu setor de neg cios. Nos a o dois casos, e necess rio o estabelecimento de um protocolo para troca de dados, mas com nveis de a cuidados diferentes.
3.6.7.2 Seguranca de mdias em tr nsito a Quando a Norma (p.25) aborda este quesito, ela visa alertar e propor cuidados a serem observados com mdias em tr nsito. Todos sabemos que durante o seu transporte fsico, a informacao pode a car vulner vel a acessos n o autorizados, mau uso ou alteracao. Desta forma, a Norma prop e os a a o seguintes cuidados :
a) Uso de transporte ou de servico de mensageiro con vel. Tamb m e recomend vel a criacao a e a de uma lista de portadores autorizados e um procedimento para a identicacao desses porta dores; b) A embalagem dever ser adequada para oferecer a protecao necess ria a mdia contra danos a a ` fsicos durante o transporte; c) Dever o ser adotados cuidados especiais para proteger a informacao contra acessos n o autora a izados ou a modicacoes: 1. Uso de recipientes lacrados; 2. entrega em m os; a 3. lacre explcito de pacotes que revelem tentativas de violacao; 4. Em situacoes especiais, divis o do conte do para mais de uma entrega e expedicao por a u rotas distintas; 5. uso de assinatura digital e de criptograa (ver 3.8.3).
3.6.7.3 Seguranca do com rcio eletr nico e o ` Este item talvez seja um dos mais complexos, face a sua exposicao aos riscos e, em raz o disso, a um dos mais difceis em estabelecer recomendacoes. A Norma (p.25) aborda esse assunto de forma diferente do que fez at este captulo. Ela alerta aos riscos e coloca uma s rie de quest es para que e e o sejam usadas para reex o pelo gestor dessa operacao dentro da organizacao. a O com rcio eletr nico pode envolver a troca eletr nica de informacoes, correio eletr nico e transacoes e o o o on-line atrav s de redes p blicas como a Renpac ou a Internet, tornando, desta forma, esse tipo de e u com rcio bastante vulner vel a in meras ameacas que podem resultar em fraudes, violacao de e a u contratos e divulgacao ou modicacao de informacao. Assim, e necess rio que existam muitos a cuidados. A Norma coloca os seguintes pontos para serem avaliados:
a) Autenticacao: Qual nvel de conanca deve ser requerido pelo cliente e pelo comerciante para se garantir a identidade de cada um deles? b) Autorizacao: Quem est autorizado a estabelecer precos, emitir ou assinar documentos comerci a ais chave? Como os parceiros do neg cio tomam conhecimento disto? o c) Contratacao e processos de apresentacao de propostas: Quais s o os requisitos de conden a cialidade, integridade e prova de envio e recebimento de documentos-chave e de n o rep dio a u de contratos?
77
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a d) Informacao de preco: Qual nvel de conanca pode-se ter na integridade da lista de precos e na condencialidade dos acordos de descontos? e) Transacoes: Qual a condencialidade e a integridade dos detalhes do endereco fornecido para o pedido de compra, pagamento e entrega? E da conrmacao de recebimento? f) Investigacao: Qual nvel de investigacao e o mais apropriado para checagem das informacoes de pagamento fornecidas pelo cliente? g) Liquidacao: Qual e a forma mais apropriada de pagamento para se evitar fraudes? h) Pedido de compra: Que tipos de protecao s o necess rios para se manter a condencialidade e a a a integridade da informacao do pedido de compra e para se evitar a perda ou duplicacao das transacoes ? i) Responsabilizacao: Quem responde pelo risco de qualquer transacao fraudulenta? (Op.cit., p.25)
A Norma sugere que alguns dos itens anteriores podem ser solucionados por meio do uso de t cnicas de criptograa, que ser o discutidas no item 3.8.3, considerando nessas solucoes a e a conformidade com os requisitos legais, a serem discutidos em 3.10.1 e especialmente em 3.10.1.6. Tamb m deve ser considerada a formalizacao dos acordos de com rcio eletr nico, de forma a e e o comprometer as partes com o que foi acordado, principamente no quesito autorizacao, conforme apresentado no item b). E necess rio considerar a capacidade de resist ncia e recuperacao a ataques dos computadores a e centrais utilizados no com rcio eletr nico e as implicacoes na seguranca de qualquer conex o que e o a seja necess ria na rede de telecomunicacoes, para sua implementacao (observe o item 3.7.4.7). a
3.6.7.4 Seguranca do correio eletr nico o O correio eletr nico talvez seja uma das ferramentas mais utilizadas da internet. De fato, fez o alteracoes signicativas na maneira de relacionamento entre as organizacoes e, principalmente, en tre as pessoas. E a maioria das pessoas acredita que e uma forma segura e eciente de comunicacao. Entretanto, isso n o e verdade, e este captulo dentro da Norma ir contribuir para a discuss o do a a a fortalecimento da seguranca desse importante servico. Riscos de seguranca A NBR ISO 17799 apresenta este assunto da seguinte forma :
O correio eletr nico est sendo utilizado para as comunicacoes comerciais, substituindo meios tradio a cionais, tais como telex e cartas. O correio eletr nico difere das formas convencionais de comunicacao o comercial em, por exemplo, velocidade, estrutura da mensagem, grau de informalidade e vulnerabilidade a acoes n o autorizadas. Conv m que se leve em conta a necessidade de controles para se a e reduzirem os riscos gerados pelo uso do correio eletr nico. Os riscos de seguranca incluem: o UNESP/FEG-CEIE, 2004 78
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a ` ` a) vulnerabilidade das mensagens ao acesso n o autorizado, a modicacao ou a negacao do servico; a b) vulnerabilidade a erro, como, por exemplo, enderecamento e direcionamento incorretos, e em geral a falta de conabilidade e disponibilidade do servico; c) impacto da mudanca do meio de comunicacao nos processos do neg cio, como, por exemplo, o o efeito do aumento da velocidade dos encaminhamentos ou o efeito do envio de mensagens formais no ambito de pessoa para pessoa ao inv s de companhia para companhia; e d) consideracoes legais relacionadas com a necessidade potencial de prova de origem, envio, entrega e aceitacao; e) implicacoes da divulgacao externa de listas de funcion rios; a ` f) controle sobre o acesso dos usu rios remotos as contas de correio eletr nico. (Op.cit., p.26) a o
O exposto reete bem a realidade atual, n o percebida pela maior parte dos usu rios desse a a tipo de servico, que acreditam estar utilizando um meio de comunicacao eciente e seguro e que, muitas vezes, questionam as areas de suporte t cnico pelo n o recebimento de uma mensagem ou e a pela demora de sua chegada. Um exemplo disso e que que vale a pena ser comentado e a utilizacao de autenticacao POP BEFORE-SMTP, adotada pela maioria dos provedores de internet, que permite a partir da autenticacao da conex o para receber as mensagens, por um tempo pr -denido, o envio de e-mail com quala e quer conta de correio como remetente, utilizando o servidor SMTP do provedor onde foi feita a autenticacao POP. T cnicas para reduzir esses riscos ser o vistas em 3.8.3. e a Poltica de uso do correio eletr nico o A Norma arma que a elaboracao de uma poltica de uso de correio eletr nico e um instrumento o importante, que n o deve deixar de ser feito, devendo abordar os seguintes pontos: a 1. Ataques ao correio eletr nico, como, por exemplo, por vrus e interceptacao; o 2. Protecao de anexos de correio eletr nico; o 3. Orientacoes de quando n o se deve utilizar o correio eletr nico; a o 4. Responsabilidades dos funcion rios de forma a n o comprometer a organizacao, com uso a a indevido do recurso; 5. Uso de t cnicas de criptograa para proteger as mensagens eletr nicas (item 3.8.3); e o 6. Guarda de mensagens para posterior an lise e eventual uso, por exemplo, em casos de litgio; a 7. Controles adicionais para a investigacao de mensagens que n o puderem ser autenticadas. a
79
Al m desses cuidados, e fundamental a utilizacao de ltros para impedir a troca de mensagens e com anexos inadequados (por exemplo, pornograa, conte do racista, etc.), perigosos (vrus, softu ware malicioso, etc.) e muito grandes, incluindo essas restricoes de forma clara na poltica de uso. Outro ponto relevante e deixar claro que os recursos de correio eletr nico s o recursos mantidos o a pela organizacao para uso dentro dos neg cios e interesses da empresa e devem ser utilizados den o tro de padr es aceit veis de uso divulgados dentro da poltica de uso, estabelecendo penalidades e o a os respons veis por sua aplicacao aos transgressores das regras estabelecidas. Vale a pena envolver a o departamento Jurdico e de Recursos Humanos na elaboracao do documento para conformidade do mesmo com as legislacoes e normas relacionadas.
3.6.7.5 Seguranca dos sistemas eletr nicos de escrit rio o o O Conjunto de novas tecnologias surgidas nos ultimos anos, tais como computadores, computacao e telefonia m vel, correio eletr nico e de voz, multimdia, etc., trouxeram para os escrit rios uma o o o ` s rie de facilidades e avancos, mas, em contrapartida, trouxeram tamb m um aumento de riscos a e e seguranca em funcao da r pida disseminacao e compartilhamento das informacoes, por isso se faz a necess rio a elaboracao de polticas e diretrizes para controlar o neg cio e os riscos de seguranca a o associados aos sistemas eletr nicos de escrit rio. A Norma (p.26) prop e uma s rie de pontos para o o o e serem considerados nessas polticas e diretrizes: a) Vulnerabilidades da informacao nos sistemas de escrit rio; o b) Polticas e controles apropriados para gerenciar o compartilhamento de informacoes (ver 3.7.1); c) Exclus o das categorias de informacao sensveis ao neg cio caso o sistema n o forneca o nvel a o a adequado de protecao (ver 3.3.2); d) Restricao de acesso a informacoes de trabalho relacionadas com indivduos especcos; e) Adequacao, ou outras medidas, dos sistemas que suportam aplicacoes do neg cio, como os de o comunicacoes ou autorizacoes; f) Categorias de funcion rios, fornecedores ou parceiros nos neg cios autorizados a usar o sistema a o e as localidades a partir das quais obt m-se acesso aos mesmos (ver 3.2.2); e g) Restricao de acesso a categorias especcas de usu rios; a h) Identicacao da categoria dos usu rios; a i) Retencao e c pia de seguranca das informacoes mantidas no sistema (ver 3.10.1.3 e 3.6.4.1); o
j) Requisitos e acordos de recuperacao e conting ncia (ver 3.9.1). e
3.6.7.6 Sistemas disponveis publicamente As organizacoes que possuem sistemas disponveis publicamente, por exemplo atrav s de um e servidor acessvel pela internet, necessitam proteger a integridade dos dados contidos nestes sis temas, de forma a evitar modicacoes n o autorizadas que possam comprometer a imagem e a reputacao da organizacao. Al m disso, devem estar atentos com a quest o da conformidade com as e a leis, normas e regulamentacoes na jurisdicao na qual o sistema esteja instalado ou onde a transacao esteja sendo realizada. E recomend vel que exista um processo formal de autorizacao antes da a publicacao de uma informacao. E importante que software, dados ou outras informacoes que requeiram um alto nvel de inte gridade, quando expostos em um sistema p blico, tenham mecanismos de protecao adequados, por u exemplo, baseados em assinaturas digitais (ver 3.8.3.3). E adequado que sistemas de publicacao eletr nica, em especial os que permitem feedback e entrada direta de informacoes, sejam cuidao dosamente controlados, de forma que: ` a informacao seja obtida em conformidade com a legislacao relacionada a protecao de dados (ver 3.10.1.4); a entrada e o processamento ocorram completos e no devido tempo; as informacoes sensveis sejam protegidas durante o processo de coleta e quando armazenadas; ` a forma de acesso ao sistema n o permita o acesso casual as redes nas quais esses sistemas a estejam conectados.
3.6.7.7 Outras formas de troca de informacao A Norma aborda o assunto de forma completa, clara e bastante elucidativa e o seu texto, por si s , j e suciente para entendimento, conforme segue: o a
Conv m que sejam denidos procedimentos e controles para protecao da troca de informacao atrav s e e ` da comunicacao verbal, de fax e de vdeo. A informacao pode ser comprometida devido a falta de ` atencao e de polticas e procedimentos adequados a utilizacao destes recursos, como, por exemplo, atrav s da escuta de conversa quando do uso de um telefone m vel em local p blico, atrav s da escuta e o u e n o autorizada de mensagem em secret rias eletr nicas, atrav s do acesso n o autorizado a sistemas a a o e a de correios de voz ou atrav s do envio acidental de fax para pessoas erradas. e
81
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a As operacoes de neg cio podem ser prejudicadas e a informacao pode ser comprometida se os re o cursos de comunicacao falharem, forem sobrecarregados ou interrompidos (ver 7.2 e secao 11). A informacao tamb m pode ser comprometida se o acesso a esta for obtido por usu rios n o autorizados e a a (ver secao 9). Conv m que seja estabelecida uma poltica clara, dispondo sobre os procedimentos a serem seguidos e pelos funcion rios, na comunicacao por voz, fax e vdeo. Recomenda-se que isto inclua: a a) relembrar aos funcion rios que conv m que eles tomem as precaucoes apropriadas, como, por a e exemplo, n o revelar informacoes sensveis ou evitar deixar que suas ligacoes a partir de locais a p blicos sejam captadas ou interceptadas por pessoas que se encontram pr ximas ao telefone u o utilizado, levando-se em conta: 1. pessoas nas proximidades, principalmente quando se est falando em telefones m veis; a o 2. interceptacao de cabo telef nico e outras formas de escuta atrav s de acesso fsico ao o e ` aparelho ou a linha telef nica, ou atrav s do uso de receptores que facam o rastreamento o e da freq encia quando se utilizam telefones m veis anal gicos; u o o 3. outras pessoas pr ximas ao receptor nal; o b) relembrar aos funcion rios que conv m que eles n o efetuem conversacoes sobre assuntos cona e a denciais em locais p blicos, em escrit rios abertos ou em reuni es em salas com paredes nas; u o o c) n o deixar mensagens em secret rias eletr nicas, pois essas podem ser resgatadas por pessoas n o a a o a autorizadas, armazenadas em sistemas de uso comum ou armazenadas de forma incorreta como resultado de erro de discagem; ` d) relembrar aos funcion rios sobre os problemas relativos a utilizacao de equipamentos de fax, a a saber: ` 1. acesso n o autorizado as mensagens enviadas ou a serem enviadas; a 2. falha intencional ou acidental na programacao do envio de faxes; 3. envio de documentos e mensagens para n meros errados atrav s de discagem incorreta ou u e da utilizacao de n meros errados guardados em mem ria. (Op.cit., p.27) u o
3.7 Controle de acesso

3.7.1 Requisitos do neg cio para controle de acesso o
A introducao deste captulo e colocado pela NBR ISO 17799 da seguinte forma:
` Objetivo: Controlar o acesso a informacao. ` Conv m que o acesso a informacao e processos do neg cio seja controlado na base dos requisitos de e o seguranca e do neg cio. o
82
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a Conv m que isto leve em consideracao as polticas de autorizacao e disseminacao da informacao. e (Op.cit., p.27)
3.7.1.1 Poltica de controle de acesso Requisitos do neg cio e poltica o
Neste ponto, a Norma (p.28) sugere os itens que devem ser observados como requisitos para o estabelecimento de uma poltica de controle de acessos. Neste documento, as regras de acessos e direitos de cada usu rio ou grupo dever o estar claramente denidos. Dever ser divulgado, para os a a a usu rios e provedores de servico, um documento especicando os controles de acesso que atendem a as necessidades do neg cio. A Norma recomenda que, na elaboracao da poltica de acessos, sejam o considerados os seguintes pontos: a) Requisitos de seguranca das aplicacoes especcas para o neg cio da organizacao; o ` b) Mapeamento / identicacao de toda informacao referente as aplicacoes do neg cio; o c) Polticas para autorizacao e distribuicao da informacao. A necessidade de conhecer os princpios e nveis de seguranca, al m da classicacao das informacoes envolvidas; e d) Garantir a compatibilidade e integracao dos controles de acesso e classicacao das informacoes nos diferentes sistemas e redes; e) Garantir a conformidade da legislacao vigente e qualquer obrigacao contratual, considerando a protecao do acesso aos dados e servicos (ver tamb m a secao 3.10); e f) Denicao de um perl de usu rio padr o para categorias de acesso ou de trabalho comuns; a a g) Gerenciamento dos direitos de acesso em todos os tipos de conex o disponveis em um ambiente a distribudo e conectado em rede. ` Um aspecto que vale ser acrescentado a esses pontos, est relacionado a qualicacao do usu rio a a ` para acesso as informacoes e servicos. Todo usu rio dever receber um treinamento formal, com a a evid ncias concretas de realizacao e registro para efeito de auditoria desses treinamentos, para, e somente a partir disso, ter acesso liberado. Isso e importante, pois ir reduzir os riscos de incidentes a involunt rios de seguranca. a Regras de controle de acesso A Norma em (p.28) sobre esse assunto diz que, na denicao das regras de controle de acessos, e aconselhavel que sejam observados os seguintes itens :
1. Denicao clara das regras que devem ser sempre cumpridas e das regras opcionais ou condi cionais; 2. Criacao de regras baseadas na premissa Tudo deve ser proibido a menos que expressamente permitido; 3. Avaliar modicacoes de r tulos de informacao (ver 3.3.2) atribudos automaticamente pelos o recursos de processamento de dados e dos atribudos a crit rio de um usu rio; e a 4. Avaliar modicacoes nas permiss es de usu rios que s o atribudas automaticamente por um o a a sistema de informacao daquelas que s o atribudas por um administrador; a 5. Diferenciacao das regras que requerem aprovacao de um administrador antes da liberacao e daquelas que n o precisam de aprovacao. a
3.7.2 Gerenciamento de acessos do usu rio a

A Norma apresenta este tema da seguinte maneira:
Objetivo: Prevenir acessos n o autorizados aos sistemas de informacao. a Conv m que procedimentos formais sejam estabelecidos para controlar a concess o de direitos de e a acesso aos sistemas de informacao e servicos. Conv m que os procedimentos cubram todos os est gios do ciclo de vida de acesso de um usu rio, do e a a registro inicial de novos usu rios at o registro nal de exclus o dos usu rios que n o mais necessitam a e a a a ter acesso aos sistemas de informacao e servicos. Conv m que seja dada atencao especial, onde e ` apropriado, a necessidade de controlar a concess o de direitos de acessos privilegiados, os quais a permitem aos usu rios sobrepor os controles do sistema. (Op.cit., p.28) a
3.7.2.1 Registro de usu rio a A norma em (p.28) recomenda que exista um procedimento formal de registro e cancelamento de usu rio para concess o de acesso a qualquer um dos sistemas de informacao e servicos mula a tiusu rios. a O acesso aos servicos de informacao multiusu rio dever ser controlado por um processo for a a mal de registro, que dever observar os seguinte requisitos: a a) Uso de identicador de usu rio (ID) unico, que permita que cada usu rio possa ser identicado e a a responsabilizado por suas acoes. Usu rios de grupo n o devem ser utilizados, o que somente a a poder ocorrer em situacoes especiais, quando for necess rio para a execucao do trabalho; a a
b) Vericacao se o usu rio tem autorizacao do propriet rio do sistema para o seu uso; a a c) Vericacao se o acesso concedido est compatvel com os prop sitos do neg cio (ver 3.7.1) e a o o com a poltica de seguranca da organizacao. A Norma cita, como exemplo, a segregacao de funcoes (ver 3.6.1.4); d) Divulgacao formal, para os usu rios, sobre seus direitos de acesso; a e) Formalizacao, por parte dos usu rios, do entendimento das condicoes de seus direitos de acesso a por uma assinatura de concord ncia e aceitacao; a f) Garantia, por parte do provedor de servicos, de que n o ir liberar acessos antes do processo de a a autorizacao estar concludo; g) Manutencao de um registro de todos os usu rios cadastrados para usar o servico; a h) Cancelamento imediato dos direitos de acesso de usu rios que tenham mudado de funcao ou a sado da organizacao; i) An lise peri dica do cadastro de usu rios, para remocao dos usu rios e contas redundantes; a o a a j) Garantia de que identicadores de usu rios (ID) redundantes n o sejam atribudos para outros a a usu rios. a E desej vel que sejam includas cl usulas nos contratos de funcion rios e de prestadores de a a a servicos que especiquem as sancoes em caso de tentativa de acesso n o autorizado (ver 3.4.1.4 e a 3.4.3.5). E importante que, na poltica de seguranca, estejam denidas as responsabilidades da area de Recursos Humanos e de Gest o de Contratos de Prestadores de Servicos, para comunicacao quando a da sada ou promocao de funcion rios. Al m desses casos, tamb m devem ser comunicados os a e e afastamentos por f rias, acidentes de trabalho, licenca maternidade, etc. Enm, qualquer evento e que resulte no afastamento tempor rio ou denitivo do usu rio para que seus direitos de acesso a a sejam cancelados ou suspensos.
3.7.2.2 Gerenciamento de Privil gios e Em primeiro lugar, para melhor entendimento e baseados na Norma (p.29), dene-se privil gios e como qualquer caracterstica ou facilidade de um sistema de informacao multiusu rio que permita a ao usu rio sobrepor controles do sistema ou aplicacao. A Norma recomenda que a concess o de a a privil gios seja formalmente autorizada, restrita e controlada, pois existe o entendimento geral que e
um dos maiores fatores de vulnerabilidade de sistemas e o uso inadequado de privil gios. Partindo e desse pressuposto, a norma prop e a observ ncia dos seguintes pontos: o a a) E necess rio que os privil gios associados a cada produto do sistema, (por exemplo sistema a e operacional, sistema de gerenciamento de banco de dados e cada aplicacao) e as categorias dos funcion rios para os quais estes necessitam ser concedidos sejam identicados ; a b) E adequado que os privil gios sejam concedidos a indivduos conforme a necessidade de uso e ou determinacao por eventos; c) E recomend vel um processo de autorizacao e a manutencao de registros de todos os privil gios a e concedidos, e que todos os privil gios sejam concedidos somente ap s o processo de autorizacao e o estar completo; d) Visando reduzir as necessidades de concess o de privil gios, e recomend vel o estmulo ao uso a e a de rotinas padr es do sistema ou o desenvolvimento de novas; o e) Conv m que, para a concess o desses privil gios, sejam criadas identidades de usu rio difere a e a entes daquelas usadas normalmente para os neg cios. o Em relacao a esse assunto, vale incluir a necessidade de uma demonstracao formal por parte do usu rio da sua capacitacao t cnica para uso adequado dos privil gios concedidos. Al m disso, a e e e e preciso deixar claro, na poltica de controle de acessos, que a concess o de privil gios ou acessos a e n o est associada a nvel hier rquico e sim a necessidades de trabalho. a a a
3.7.2.3 Gerenciamento de senha dos usu rios a A Norma (p.29) aborda esse tema destacando que as senhas s o o meio mais comum de a validacao de identidade para acesso a um sistema ou servico e, assim, conv m que seja contro e lada atrav s de um processo de gerenciamento formal, onde dever o ser observados os seguintes e a pontos: O usu rio dever formalizar o seu comprometimento em manter condenciais a sua senha a a pessoal, e quando for o caso, a senha do grupo de trabalho. Esse compromisso, se for o caso, poder ser includo nos contratos de trabalho (ver 3.4.1.4); a Sempre que possvel os sistemas dever o permitir que os usu rios facam a manutencao de a a suas senhas sem a intervencao da area de suporte ou help desk. Quando isso for possvel, dever ser formalizada a comunicacao ao usu rio de que a senha fornecida e tempor ria e a a a
dever ser alterada imediatamente para outra de seu conhecimento exclusivo. Quanto ao a fornecimento de senhas provis rias a usu rios que esqueceram as suas, isso somente poder o a a ocorrer ap s identicacao positiva do usu rio; o a Senhas tempor rias devem ser entregues aos usu rios de forma segura. Devem ser evitaa a dos servicos de entrega terceirizados e mensagens de correio eletr nico desprotegidas (texto o claro). Os usu rios dever o acusar o recebimento da senha; a a N o e recomend vel que as senhas sejam armazenadas em sistemas de computador de forma a a desprotegida (ver 3.7.5.4). Al m disso, outras tecnologias de identicacao e autenticacao de e usu rios dever o ser consideradas (reconhecimento biom trico, impress o digital, vericacao de a a e a assinatura e uso de tokens como smart cards). Devem ser consideradas as vantagens e desvantagens em buscar manter um sistema unico de senhas, quando com apenas uma senha associada a uma identicacao de usu rio (ID) se pode ter a acesso a todos os direitos e privil gios concedidos a ele, ou um sistema m ltiplo de senhas, onde e u os sistemas possuem senhas diferentes para cada usu rio. a
3.7.2.4 An lise dos direitos de acesso do usu rio a a A Norma (2001, p.29) recomenda que se facam an lises crticas dos direitos de acesso a inter a valos de tempo regulares, levando em conta os seguinte par metros: a A cada mudanca ou em intervalos regulares de tempo, por exemplo, como sugerido pela Norma, seis meses, seja feita uma analise crtica dos direitos de acesso dos usu rios (ver a 3.7.2.1); Que a an lise crtica dos privil gios seja realizada em intervalos de tempo menores. A Norma a e sugere tr s meses. (ver 3.7.2.2); e Que as concess es de privil gios sejam vericadas regularmente para evitar que privil gios o e e n o autorizados sejam obtidos. a
3.7.3 Responsabilidades do usu rio a

A NBR ISO 17799 dene o seguinte :
Objetivo: Prevenir acesso n o autorizado dos usu rios. a a A cooperacao dos usu rios autorizados e essencial para a ec cia da seguranca. a a
87
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a Conv m que os usu rios estejam cientes de suas responsabilidades para a manutencao efetiva dos cone a troles de acesso, considerando particularmente o uso de senhas e a seguranca de seus equipamentos. (Op.cit., p.30)
3.7.3.1 Uso de senhas Este assunto e essencial, pois ultrapassa aspectos t cnicos e envolve o comprometimento e bom e senso dos usu rios. A Norma inicia este t pico recomendando que os usu rios devem adotar o uso a o a de boas pr ticas de seguranca na selecao e uso de senhas, propondo que todos sejam informados a para adotar os seguintes cuidados na formacao e uso de senhas: a) manter as senhas condenciais; b) evitar o registro das senhas em papel, a menos que o papel possa ser guardado de forma segura; c) Mudar a senha toda vez que perceber indcios de que ela perdeu a condencialidade; d) Selecionar as senhas de qualidade com um tamanho mnimo de seis caracteres, que observem os seguintes par metros: a 1. f ceis de lembrar; a 2. fora do contexto de sua vida pessoal e prossional, como por exemplo, nomes e datas; 3. livres de caracteres id nticos consecutivos ou de grupos somente n mericos ou ale u fab ticos. e e) alterar as senhas em intervalos de tempo regulares ou por n mero de acessos realizados (senhas u para contas privilegiadas devem ser alteradas com mais freq encia) e evitar a reutilizacao de u senhas. f) alterar senhas tempor rias no primeiro acesso ao sistema; a g) n o incluir senhas em processos autom ticos de acesso ao sistema; a a h) n o compartilhar senhas individuais. a A Norma sugere aos usu rios que precisem ter acesso a m ltiplas plataformas ou servicos, e a u que, por isso, tenham que manter v rias senhas, usem uma unica senha de qualidade (ver 3.7.3.1.d) a para todos os servicos que tiverem um nvel razo vel de protecao de armazenamento de senhas. a ` Quanto a sugest o da Norma contida no par grafo anterior, vale registrar que, sendo uma senha a a ` unica, e se essa senha for violada quanto a condencialidade, todos os acessos e privil gios estar o e a
abertos. Recomenda-se aos usu rios que observem, para as senhas utilizadas na organizacao, os a mesmos cuidados que empregam nas senhas dos cart es de bancos eletr nicos ou dos cart es de o o o cr dito. e Dependendo do ambiente, muitas regras poder o ser includas no sistema de gerenciamento de a senhas, a m de aumentar a qualidade das senhas utilizadas, principalmente no tamanho mnimo e m ximo de caracteres, no bloqueio do uso das ultimas senhas utilizadas por aquele usu rio, a a periodicidade da atualizacao das senhas, etc. Contudo, se al m disso for necess rio uma an lise e a a mais crtica, existem programas de boa qualidade para identicar senhas de baixa qualidade, como o John The Ripper password cracker [16]. Trata-se de um software open source para quebra de senhas, conhecido e de boa qualidade.
3.7.3.2 Equipamentos de usu rios sem monitoracao a A NBR ISO 17799 coloca esse tema de forma bastante adequada e clara, conforme transcrito a seguir. Entretanto, apenas acrescente-se a sugest o para que qualquer servidor, que abrigue a aplicacoes crticas ou sensveis, seja mantido em um ambiente com permetro protegido por paredes e preferencialmente com portas trancadas.
Conv m que os usu rios garantam que equipamentos n o monitorados tenham protecao apropriada. e a a Equipamentos instalados em areas de usu rios, por exemplo estacoes de trabalho ou servidores de a arquivo, podem necessitar de protecao especca contra acesso n o autorizado, quando deixados sem a monitoracao por um perodo longo de tempo. Conv m que todos os usu rios e prestadores de servico e a estejam cientes dos requisitos de seguranca dos procedimentos para a protecao de equipamentos n o a monitorados, bem como suas responsabilidades para implementacao de tais protecoes. Conv m que e os usu rios sejam informados para: a a) encerrar as atividades ativas, a menos que elas possam ser protegidas atrav s de um mecanismo e de bloqueio, por exemplo tela de protecao de senhas; b) efetuar a desconex o com o computador de grande porte quando a sess o for nalizada (n o a a a apenas desligar o microcomputador ou terminal, mas utilizar o procedimento para desconex o); a c) proteger microcomputadores ou terminais contra o uso n o autorizado atrav s de tecla de bloqueio a e ou outro controle equivalente, por exemplo senha de acesso, quando n o estiverem em uso. a (Op.cit., p.30)
` 3.7.4 Controle de acesso a rede

A NBR ISO 17799 (p.30) apresenta a seguinte introducao te rica para este tema: o
89
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a Objetivo: Protecao dos servicos de rede. Conv m que o acesso aos servicos de rede internos e externos seja controlado. e ` Isto e necess rio para garantir que usu rios com acesso as redes e aos servicos de rede n o comproa a a metam a seguranca desses servicos, assegurando: a) uso de interfaces apropriadas entre a rede da organizacao e as redes de outras organizacoes ou redes p blicas; u b) uso de mecanismos de autenticacao apropriados para usu rios e equipamentos; a c) controle de acesso dos usu rios aos servicos de informacao. (Op.cit., p.30) a
3.7.4.1 Poltica de utilizacao dos servidores de rede ` Sobre esse assunto, a Norma (p.31) inicia mencionando que conex es n o seguras a servicos o a de rede podem afetar todo o ambiente da organizacao. Recomenda que os usu rios tenham acesso a direto somente aos servicos para os quais est o autorizados. Sendo particularmente importante a para as conex es com aplicacoes sensveis ou crticas do neg cio e tamb m para os locais de alto o o e risco, como areas p blicas ou externas, que estejam fora do controle da ger ncia de seguranca da u e organizacao. E recomend vel que uma poltica seja elaborada considerando tamb m os pontos a e abaixo: mapeamento das redes e servicos de rede aos quais o acesso e permitido; procedimentos de autorizacao para a determinacao de quem tem acesso a que redes e quais servicos de rede; ` procedimentos e controles de gerenciamento para proteger o acesso as conex es e servicos o de rede. E importante que essa poltica esteja em conformidade com a poltica de controle de acesso (ver 3.7.1).
3.7.4.2 Rota de rede obrigat ria o A Norma alerta que o caminho entre a estacao de trabalho do usu rio e o servico do computa a dor pode necessitar ser controlado. As redes s o projetadas para oferecer facilidades de compartila hamento dos recursos e exibilidade de roteamento. Entretanto, estas caractersticas podem criar ` oportunidades para acessos n o autorizados as aplicacoes do neg cio ou ao uso n o autorizado dos a o a recursos de informacao. A adocao de t cnicas de restricao de rotas, entre a estacao de trabalho e e os servicos de computador aos quais o usu rio e autorizado a acessar, pode reduzir tais riscos. O a
objetivo de rotas forcadas e impedir que usu rios usem rotas fora das estabelecidas entre a estacao a de trabalho e os servicos para os quais est o autorizados. Isso poder requerer a implementacao a a de controles em diferentes pontos da rota. A id ia e limitar essas opcoes de roteamento atrav s de e e alternativas denidas antecipadamente. Exemplos possveis s o os seguintes: a a) alocacao de linhas ou n meros de telefones dedicados; u b) gateways de seguranca ou portas de conex o autom tica para sistemas de aplicacao especcos; a a c) limitacao das opcoes de menu e submenu para usu rios individuais; a d) prevencao de transfer ncia ( roaming) ilimitada na rede; e e) imposicao do uso de sistemas de aplicacao especcos e/ou gateways de seguranca para usu rios a de rede externas; f) controle ativo das origens permitidas para comunicacao com destinos atrav s de gateways de e seguranca, por exemplo rewalls; ` g) restricao de acesso a rede atrav s da criacao de domnios l gicos separados, por exemplo redes e o virtuais privadas, para grupos de usu rios dentro da organizacao (ver 3.7.4.6) a E recomend vel que os requisitos para a especcacao de rotas (imposicao de caminho) sejam a baseados na poltica de controle de acesso do neg cio ( ver 3.7.1). o
3.7.4.3 Autenticacao para conex o externa do usu rio a a A Norma (p.31) alerta que conex es externas criam um risco potencial de acesso n o autoro a ` izado as informacoes do neg cio, principalmente acessos atrav s de m todos dial-up. Portanto, e o e e ` fundamental que os acessos remotos estejam sujeitos a autenticacao de usu rio. a Existem diferentes m todos de autenticacao. Alguns proporcionam maior nvel de protecao, e como os m todos baseados em criptograa, que fornecem um bom nvel de seguranca. Assim, e e importante determinar o nvel de protecao necess rio a partir de uma an lise de risco, para ent o a a a selecionar o m todo de autenticacao a ser adotado. e A autenticacao de usu rios remotos pode ser feita a partir de t cnicas de criptograa, de dis a e positivos de tokens ou de protocolo de desao/resposta. Linhas privadas discadas ou recursos de vericacao de endereco de usu rio de rede podem a tamb m ser utilizados para garantir a origem das conex es. e o
Controles e procedimentos de discagem reversa (dial back), por exemplo o uso de modems com discagem reversa, podem fornecer seguranca contra conex es indevidas aos recursos de processa o mento de informacao. Entretanto, a norma alerta para os riscos associados ao uso de recursos de call forwarding, que devem ser bem analisados, identicados e eliminados. Tamb m alerta para a e necessidade, nesses casos, do uso de uma desconex o efetiva por parte da organizacao, evitando a que o usu rio que com a linha aberta, com a pretens o de que a vericacao da conex o reversa a a a tenha ocorrido. E recomend vel que os procedimentos e controles de chamada reversa sejam exaustivamente tesa tados.
3.7.4.4 Autenticacao de n o A Norma coloca este assunto da seguinte forma:

Objetivo: A facilidade de conex o autom tica para um computador remoto pode proporcionar uma a a forma de se ganhar acesso n o autorizado a uma aplicacao do neg cio. Portanto, conv m que as a o e conex es a sistemas remotos de computadores sejam autenticadas. Isto e especialmente importante o se a conex o usar uma rede que est fora do controle do gerenciamento de seguranca da organizacao. a a Alguns exemplos de autenticacao e como eles podem ser alcancados s o fornecidos em 9.4.3 acima. a A autenticacao de n pode servir como um meio alternativo de autenticacao de grupos de usu rios o a remotos, onde eles s o conectados a um recurso computacional seguro e compartilhado (ver 9.4.3). a (Op.cit., p.32)
Para este tipo de autenticacao pode ser utilizado como alternativas a validacao do n mero u IP (Internet Protocol number) ou do endereco MAC (media access control - controle de acesso ao meio).
3.7.4.5 Protecao de portas de diagn stico remotas o Esse tamb m e um t pico em que se necessita ter muito cuidado, pois portas abertas podem e o permitir a entrada de quem n o se deseja em seu sistema de processamento de informacoes. A a ` Norma (p.32) alerta para que os acessos as portas de diagn stico remotas sejam bem controlao dos. Muitos sistemas e computadores est o instalados com recursos que permitem o diagn stico e a o manutencao remotos por dial-up ou internet, para uso de pessoal de suporte. E adequado que essas portas sejam protegidas por m todos de seguranca adequados, por exemplo uma chave de bloqueio e e um procedimento para garantir que elas sejam acessveis somente atrav s de um acordo, entre o e
92
gestor dos servicos computadorizados e o pessoal de suporte de hardware / software que necessita do acesso.
3.7.4.6 Segregacao de redes ` A Norma alerta que, a medida que ocorre um crescimento das redes, algumas vezes envolvendo empresas diferentes, em raz o de parcerias formadas, compartilhando os mesmos recursos a de rede e de processamento de informacoes, tamb m ocorre um aumentos dos riscos de seguranca, e e se faz necess rio criar mecanismos de protecao contra acessos n o autorizados aos sistemas a a de informacoes. Nestas situacoes, e conveniente levar em consideracao a introducao de con troles na rede, para segregacao de grupos de servicos de informacao, de usu rios e de sistemas a de informacao. Um dos m todos para isso e dividir a rede em domnios l gicos. Por exemplo domnios intere o nos e domnios externos, cada um deles protegidos por um permetro de seguranca bem denido. Tal permetro pode ser implementado com a instalacao de um gateway seguro entre as redes, que ser o interligadas para controlar o acesso e o uxo de informacao entre os dois domnios. Este a gateway dever ser congurado para ltrar o tr fego entre eles (ver 3.7.4.7 e 3.7.4.8) e bloquear a a os acessos n o autorizados, conforme a poltica de controle de acessos da organizacao (ver 3.7.1). a Um exemplo desse tipo de gateway e chamado de rewall. E conveniente que os crit rios para a segregacao da rede em domnios seja baseado na poltica e de controle de acesso e nos requisitos de acesso (ver 3.7.1), e tamb m considere o custo e o ime pacto no desempenho pela adocao de roteamento adequado para a rede ou de tecnologia baseada em gateway (ver 3.7.4.7 e 3.7.4.8). Avalie tamb m a possibilidade de adocao de VLAN (Virtual Local Area Network), se j tiver e a instalados switches de alto nvel com comutacao de camada 3 para roteamento de pacotes entre as VLANs e um gateway de seguranca (rewall) para ltrar esse tr fego e bloquear acessos indevi a dos. Entretanto, esta solucao e questionada por Northcutt (Northcutt et.al., 2002, p.340), quando aplicada a ambientes sensveis e crticos e, para esses casos, considera mais adequado o uso de switches simples, n o manuse veis, para estabelecer cada sub-rede. Segundo Northcutt (Op.cit., a a p.338):
A desconanca na conabilidade do isolamento de VLAN origina-se das vulnerabilidades em algu mas implementacoes de VLAN e da facilidade com que um erro de conguracao poderia permitir que um atacante pulassepelos limites da VLAN.
93
Assim, mesmo com a possibilidade de que um atacante salteentre as VLANs, evitando o roteador e o gateway de seguranca, vale a pena ser utilizada, pois al m de aumentar o grau e de diculdades para um atacante ter sucesso, exigiria dele um nvel alto de conhecimento j que a esse ataque envolveria a mudanca de cabecalhos de marcacao denidos no padr o IEEE 802.1q. a Teramos, assim, o ganho de gerenciamento da rede al m do ganho de desempenho pela criacao de e domnios de broadcast isolados.
3.7.4.7 Controle de conex es de rede o Sobre este ponto, a Norma coloca o seguinte:
Os requisitos da poltica de controle de acesso para redes compartilhadas, especialmente aquelas que se estendem al m dos limites da organizacao, podem requerer a incorporacao de controles que e limitem a capacidade de conex o dos usu rios. Tais controles podem ser implementados atrav s de a a e gateways de rede que ltram o tr fego por meio de tabelas ou regras predenidas. Conv m que as a e restricoes aplicadas sejam baseadas na poltica de controle de acesso e nos requisitos das aplicacoes do neg cio (ver 9.1), e sejam mantidas e atualizadas adequadamente. o Exemplos de aplicacoes nas quais conv m que estas restricoes sejam aplicadas s o: e a a) correio eletr nico; o b) transfer ncia unidirecional de arquivos; e c) transfer ncia bidirecional de arquivos; e d) acesso interativo; ` ` ` e) acesso a rede associado a hora do dia ou a data. (Op.cit., p.32)
Com a proliferacao do uso de sites que fornecem servicos de Instant Messenger, como, por exemplo, Yahoo, MSN, ICQ, AOL, etc., foram criadas novas condicoes de risco. Vale a pena estabelecer uma poltica de uso e, se for o caso, adotar uma solucao corporativa. Um exemplo a ser analisado e o Jabber IM, [17] software open source.
3.7.4.8 Controle do roteamento de rede A Norma exp e esse item da seguinte forma: o
Redes compartilhadas, especialmente aquelas que se estendem atrav s dos limites organizacionais, e podem necessitar a incorporacao de controles de roteamento que garantam que as conex es de com o putador e o uxo de informacoes n o violam a poltica de controle de acesso das aplicacoes do a neg cio (ver 9.1). Este controle e geralmente essencial para redes compartilhadas com prestadores o UNESP/FEG-CEIE, 2004 94
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a de servicos (usu rios que n o pertencem ao quadro da organizacao). a a Conv m que os controles de roteamento sejam baseados em fontes con veis e mecanismos de e a checagem de endereco de destino. A traducao de enderecos de rede tamb m e um mecanismo muito e util para isolar redes e prevenir a utilizacao de rotas da rede de uma organizacao para redes de uma outra organizacao. Eles podem ser implementados em software ou hardware. Conv m que os imple e mentadores estejam cientes do poder de qualquer mecanismo usado. (Op.cit., p.32)
3.7.4.9 Seguranca dos servicos de rede A Norma dene este t pico da seguinte forma: o
Uma ampla variedade de servicos p blicos ou privados de rede est disponvel, alguns dos quais u a oferecendo servicos de valor agregado. Os servicos de rede podem ter caractersticas de seguranca unicas ou complexas. Conv m que as organizacoes que usam servicos de rede se assegurem de que e ser fornecida uma descricao clara dos atributos de seguranca de todos os servicos usados. (Op.cit., a p.32)
3.7.5 Controle de acesso ao sistema operacional

A NBR ISO 17799 dene o seguinte sobre esse assunto:
Objetivo: Prevenir acesso n o autorizado ao computador. a Conv m que as funcionalidades de seguranca do sistema operacional sejam usadas para restringir o e acesso aos recursos computacionais. Conv m que estas funcionalidades permitam: e
a) identicacao e vericacao da identidade e, se necess rio, do terminal e da localizacao de cada a usu rio autorizado; a b) registro dos sucessos e das falhas de acesso ao sistema; c) fornecimento de meios apropriados para a autenticacao; se um sistema de gerenciamento de senhas for usado, conv m que ele garanta senhas de qualidade [ver 9.3.1d)]; e d) restricao do tempo de conex o dos usu rios, quando apropriado. a a Outros m todos de controle de acesso, tais como desao/resposta, podem ser disponibilizados se e forem justicados com base nos riscos do neg cio. (Op.cit, p.33) o
3.7.5.1 Identicacao autom tica de terminal a A Norma exp e esse tema com o seguinte texto: o
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a Conv m que a identicacao autom tica do terminal seja considerada para autenticar conex es a e a o locais especcos e para equipamentos port teis. A identicacao autom tica de terminal e uma t cnica a a e que pode ser usada quando for importante que uma sess o s possa ser inicializada a partir de uma a o localizacao particular ou de um terminal de computador especco. Um identicador de terminal ou um identicador anexado ao terminal pode ser utilizado para indicar se o terminal, em particular, possui permiss o para iniciar ou receber transacoes especcas. Pode ser necess rio aplicar protecao a a fsica para o terminal, para manter a seguranca do identicador. Outras t cnicas tamb m podem ser e e utilizadas para autenticar usu rios (ver 9.4.3). (Op.cit., p.33) a
3.7.5.2 Procedimentos de entrada no sistema ( log-on ) A Norma (p.33) recomenda cuidados especiais no acesso aos servicos de informacao. Esse processo de entrada dever ser o mais seguro possvel. Dever o ser exibidas o mnimo necess rio a a a de informacoes sobre o sistema, de maneira a evitar oferecer informacoes a um atacante. Assim, conv m que um bom procedimento de entrada (log-on): e a) n o mostre identicadores de sistema ou aplicacao at que o processo de entrada (log-on) seja a e concludo; b) exiba um aviso geral alertando que somente pessoas autorizadas podem ter acesso ao sistema; c) n o exiba mensagens de ajuda durante o processo de entrada que poderiam auxiliar um invasor; a d) valide os dados de entrada no sistema somente ap s todos os dados terem sido digitados e o conrmados. Em caso de inconsist ncia, n o informe qual parte dos dados est incorreta. e a a Forneca uma mensagem gen rica de erro; e e) limite o n mero de tentativas inv lidas de acesso ao sistema, (A Norma recomenda tr s tentatiu a e vas), considere tamb m os seguintes pontos : e 1. registro das tentativas inv lidas; a 2. imposicao de tempo de espera antes de permitir novas tentativas de entrada no sistema ou rejeicao de qualquer tentativa posterior de acesso sem autorizacao especca; 3. encerramento das conex es por data link; o f) limite o tempo m ximo para o procedimento de entrada no sistema. Se excedido, o sistema a dever encerrar o procedimento; a g) exiba as seguintes informacoes quando a entrada no sistema for bem sucedida:
1. data e hora da ultima entrada com sucesso; 2. detalhes de qualquer tentativa sem sucesso de entrada desde o ultimo procedimento bem sucedido efetuado.
3.7.5.3 Identicacao e autenticacao de usu rio a A Norma (p.33) recomenda que todos os usu rios, sem excecao, tenham um identicador unico a (ID de usu rio) para uso pessoal e exclusivo, de modo que as atividades possam ser rastreadas posa teriormente, se necess rio. E recomend vel que os identicadores de usu rio n o permtitam a a a a a identicacao do nvel de privil gios atribudos a ele, por exemplo, admin, supervisor, etc. (ver e 3.7.2.2). Em situacoes especiais, onde realmente existir um ganho para os neg cios e ocorrer uma o aprovacao formal do gestor e devidamente documentada, poder ser admitida a possibilidade de um a ID ser compartilhado por um grupo de um usu rio ou para um trabalho especco. E recomend vel a a que controles especiais sejam analisados para estas situacoes. Existem v rias maneiras de autenticacao que podem ser adotadas para validar um usu rio. a a Senhas (ver 3.7.3.1 e itens abaixo) s o uma maneira bastante comum de se obter identicacao e a autenticacao (I&A), baseadas em um segredo que somente o usu rio conhece. O mesmo pode ser a obtido com criptograa e protocolos de autenticacao. Tecnologias que envolvam tokens de mem ria ou smart card (cart es inteligentes) que os o o usu rios possuem tamb m podem ser usados para identicacao e autenticacao. As teconologias a e que envolvem biometria podem ser utilizadas. Uma combinacao destas tecnologias e mecanismos certamente poder prover um nvel forte de autenticacao. a
3.7.5.4 Sistema de Gerenciamento de senhas Considerando que a senha e uma das principais formas de validar a autoridade e autenticidade de um usu rio para obter acesso a direitos e privil gio concedidos, a Norma (p.34) recomenda que a e seja adotado um sistema de gerenciamento de senhas que possibilite facilidade interativa ecaz, assegurando senhas de qualidade. Recomenda que seja observado o item 3.7.3.1 quanto ao uso de senhas. Algumas aplicacoes necessitam que uma autoridade independente, normalmente o admin istrador do sistema, forneca uma senha de acesso. Na maior parte dos casos, trata-se de senha tempor ria, que poder e dever ser modicada e mantida pelo pr prio usu rio. Recomenda que a a a o a um bom sistema de gerenciamento de senhas observe o seguinte:
97
a) imponha o uso de senhas individuais para manter responsabilidades; b) quando adequado, possibilite que os pr prios usu rios escolham e mantenham suas senhas, o a incluindo um procedimento de conrmacao da operacao para reduzir erros; c) force a selecao de senha fortes como posto no item 3.7.3.1; d) quando forem os usu rios os mantenedores das senhas, force a troca como descrito no item a 3.7.3.1; e) onde os usu rios selecionam senhas, force a troca das senhas tempor rias no primeiro acesso a a conforme item 3.7.2.3; f) mantenha registro das senhas anteriores por um perodo, a Norma sugere 12 meses, e bloqueie a sua reutilizacao; g) n o mostre a senha na tela quando for digitada; a h) armazene os arquivos de senha separadamente dos dados de sistemas e de aplicacao; i) armazene as senhas na forma cifrada, usando um algoritmo de criptograa unidirecional; j) altere senhas-padr o fornecidas pelo fabricante, ap s a instalacao do software; a o Caso sua organizacao n o tenha cultura no uso e administracao de senhas, prepare-se para uma a forte resist ncia, entretanto com muita paci ncia, treinamento e apoio da direcao, ser possvel e e a estabelecer os controles mencionados.
3.7.5.5 Uso de programas utilit rios a Quase todas as instalacoes possuem programas utilit rios que algumas vezes podem ser capazes a de sobrepor os controle dos sistemas e aplicacoes. E importante que o uso destes programas sejam restritos e fortemente controlados. A Norma (p.34) recomenda que os seguintes controles sejam observados: a) uso de procedimentos de autenticacao para utilit rios do sistema; a b) separacao dos utilit rios do sistema do software de aplicacao; a c) Acesso aos utilit rios do sistema apenas a um grupo reduzido de usu rios con veis e autorizaa a a dos;
98
d) autorizacao para uso particular dos utilit rios do sistema (somente para uma atividade es a pecca); e) limitacao da disponibilidade dos utilit rios de sistema, por exemplo durante a duracao de uma a modicacao autorizada; f) registro de todo o uso de utilit rios de sistemas; a g) denicao e documentacao dos nveis de autorizacao necess rios para os utilit rios de sistema; a a h) remocao de todo software utilit rio e de sistemas desnecess rios; a a
3.7.5.6 Alarme de intimidacao para a salvaguarda de usu rios a Sobre este assunto, a Norma prop e o seguinte: o
Conv m que a provis o de um alarme de intimidacao seja considerada para usu rios que podem ser e a a alvo de coacao. Conv m que a decis o de implantar tal alarme seja baseada na avaliacao de riscos. Conv m que e a e sejam denidos as responsabilidades e os procedimentos para responder a um alarme de intimidacao. (Op.cit., p.34)
3.7.5.7 Desconex o de terminal por inatividade a Este tema e abordado pela Norma, da seguinte forma:
Conv m que terminais inativos em locais de alto risco, por exemplo em areas p blicas ou externas e u fora dos limites do gerenciamento de seguranca da organizacao, ou servindo a sistemas de alto risco, sejam desligados automaticamente ap s um perodo predeterminado de inatividade para previnir o o acesso de pessoas n o autorizadas. Conv m que este recurso de desconex o por tempo preveja a a e a limpeza da tela do terminal e o encerramento das sess es do aplicativo e da rede ap s um perodo o o denido de inatividade. Conv m que o prazo de tempo para o desligamento reita os riscos de e seguranca da area e dos usu rios do terminal. a Uma forma limitada para desconex o de terminal pode ser provida por alguns microcomputadores a que limpam a tela e previnem acesso n o autorizado, mas n o fecham as sess es das aplicacoes ou da a a o rede. (Op.cit., p.35)
Quanto a isso, podem-se acrescentar mais dois aspectos n o abordados pela Norma: a
99
1. muitos sistemas aplicativos, adquiridos de terceiros, permitem acesso a multiplas sess es o simultaneamente. Garanta que os usu rios n o poder o ter acesso a m ltiplas sess es dentro a a a u o da aplicacao. Garanta uma unica sess o de trabalho por usu rio. Em casos especiais, isso a a dever ser aprovado previamente e formalmente pela direcao; a 2. muitos sistemas aplicativos adquiridos de terceiros, fazem a comercializacao baseada em n mero de licencas de acesso. Assim, mesmo n o sendo um sistema crtico e sensvel, o uso u a da desconex o do terminal pode ser aplicada, pois, do contr rio, um funcion rio que esquea a a ceu uma sess o aberta deixar as informacoes expostas. Al m disso, poder estar impedindo a a e a o acesso de outro que necessite utilizar o sistema.
3.7.5.8 Limitacao do tempo de conex o a Este tema e proposto pela Norma com o seguinte texto:
Conv m que restricoes nos hor rios de conex o proporcionem seguranca adicional para aplicacoes e a a de alto risco. Limitando o perodo durante o qual as conex es de terminal s o permitidas para os o a servicos computadorizados, se reduz a janela de oportunidade para acessos n o autorizados. Conv m a e que tal controle seja considerado para aplicacoes computacionais sensveis, especialmente aquelas com terminais instalados em locais de alto risco, por exemplo em areas p blicas ou externas fora dos u limites do gerenciamento de seguranca da organizacao. Exemplos deste tipo de restricao incluem: a) utilizacao de blocos de tempo predeterminados, por exemplo para transmiss o de arquivos em lote a ou sess es regulares interativas de curta duracao; o b) restricao de hor rios de conex o as horas normais de expediente, se n o houver necessidades para a a ` a horas extras ou trabalhos fora do hor rio normal. (Op.cit., p.35) a
` 3.7.6 Controle de acesso as aplicacoes

A NBR ISO 17799 dene o seguinte:
` Objetivo: Prevenir acesso n o autorizado a informacao contida nos sistemas de informacao. a Conv m que os recursos de seguranca sejam utilizados para restringir o acesso aos sistemas de e aplicacao. Conv m que o acesso l gico a software e informacao seja restrito a usu rios autorizados. Conv m e o a e que os sistemas de aplicacao: ` ` a) controlem o acesso dos usu rios a informacao e as funcoes dos sistemas de aplicacao, de acordo a com uma poltica denida de controle de acesso do neg cio; o
100
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a b) proporcionem protecao contra acesso n o autorizado para qualquer software utilit rio e de sistema a a operacional que seja capaz de sobrepor os controles das aplicacoes ou do sistema; c) n o comprometam a seguranca de outros sistemas com os quais os recursos de informacao s o a a compartilhados; ` d) sejam capazes de dar acesso a informacao apenas ao seu propriet rio, a outros indivduos nomi a nalmente autorizados ou a determinados grupos de usu rios. (Op.cit., p.35) a
` 3.7.6.1 Restricao de acesso a informacao Sobre esse assunto, a Norma apresenta um texto claro e objetivo, suciente para o entedimento e aplicacao do seu conte do: u
Conv m que os usu rios dos sistemas de aplicacao, incluindo o pessoal de suporte, sejam providos e a ` de acesso a informacao e as funcoes dos sistemas de aplicacao de acordo com uma poltica de controle ` de acesso denida, baseada nos requisitos das aplicacoes individuais do neg cio e consistente com o ` a poltica de acesso a informacao organizacional (ver 9.1). Conv m que a aplicacao dos seguintes e controles seja considerada de forma a suportar os requisitos de restricao de acesso: ` a) fornecendo menus para controlar o acesso as funcoes dos sistemas de aplicacao; ` b) restringindo o conhecimento do usu rio sobre informacoes ou funcoes de aplicacao do sistema as a quais ele n o tem autoridade de acesso, com a publicacao apropriada de documentacao para o a usu rio; a c) controlando os direitos de acesso dos usu rios, por exemplo ler, escrever, apagar e executar; a d) assegurando que as sadas dos sistemas de aplicacao que tratam informacoes sensveis contenham apenas informacoes que sejam relevantes ao uso de tal sada e s o enviadas apenas para os a terminais e locais autorizados, incluindo an lise crtica peri dica de tais sadas para garantir a o que as informacoes redundantes s o removidas. (Op.cit., p.35) a
3.7.6.2 Isolamento de sistemas sensveis Como no item anterior, a Norma sobre esse assunto apresenta um texto claro e objetivo, suciente para o entedimento e aplicacao do seu conte do: u
Os sistemas sensveis podem requerer um ambiente computacional dedicado (isolado). Alguns sis temas de aplicacao s o sucientemente sensveis a perdas potenciais, requerendo tratamento especial. a A sensibilidade pode indicar que conv m que o sistema de aplicacao seja executado a partir de um e computador dedicado e que somente compartilhe recursos com sistemas de aplicacao con veis ou a n o tenha limitacoes. As seguintes consideracoes aplicam-se. a
101
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a a) Conv m que a sensibilidade de um sistema de aplicacao seja explicitamente identicada e docue mentada pelo propriet rio da aplicacao (ver 4.1.3). a b) Quando uma aplicacao sensvel e executada em um ambiente compartilhado, conv m que se iden e tiquem os sistemas de aplicacao com os quais ela compartilhar recursos e se obtenha a con a cord ncia do propriet rio da aplicacao sensvel. (Op.cit., p.35) a a
3.7.7 Monitoracao do uso e acesso ao sistema

Sobre este assunto, a Norma coloca o seguinte:
Objetivo: Descobrir atividades n o autorizadas. a Conv m que os sistemas sejam monitorados para detectar diverg ncias entre a poltica de controle e e de acesso e os registros de eventos monitorados, fornecendo evid ncias no caso de incidentes de e seguranca. A monitoracao do sistema permite que sejam vericadas a efetividade dos controles adotados e a conformidade com o modelo de poltica de acesso (ver 9.1). (Op.cit., 36)
3.7.7.1 Registro (log) de eventos A Norma (p.36) recomenda que existam trilhas de auditoria registrando as excecoes e outros eventos relevantes de seguranca. Essas trilhas dever o ser produzidas e mantidas por um prazo a de tempo acordado previamente para permitir seu uso em investigacoes futuras e na monitoracao do controle de acessos. E recomend vel que o registro dos eventos (logs) de auditoria tamb m a e incluam as seguintes informacoes: a) identicacao dos usu rios; a b) datas e hor rios de entrada (log-on) e sada (log-off ) no sistema; a c) identidade do terminal ou, quando possvel, a sua localizacao; d) registros das tentativas de acessos ao sistema aceitas e rejeitadas; e) registros das tentativas de acesso a outros recursos e dados aceitas e rejeitadas. Os registros de (log) auditoria podem ser guardados como parte da poltica de retencao de registros ou devido aos requisitos para a coleta de evid ncias (ver a secao 3.10). e Um aspecto importante n o abordado pela Norma, e que deve ser avaliado, e o impacto que a o registro dos eventos ir causar no desempenho geral do ambiente. E recomend vel ser bastante a a criterioso no momento de estabelecer os pontos que devem ser monitorados por log.
3.7.7.2 Monitoracao do uso do sistema Procedimentos e areas de risco E recomendado pela Norma (p.36) que sejam criados procedimentos para a monitoracao do uso dos recursos de processamento da informacao, visando garantir que os usu rios est o executando a a apenas as atividades para as quais foram autorizados. E adequado que o nvel de monitoracao necess rio seja denido ap s uma avaliacao de riscos. Devem ser considerados os seguintes aspeca o tos: a) acessos autorizados, incluindo detalhes do tipo: 1. a identicacao (ID) do usu rio; a 2. a data e a hora dos eventos-chave; 3. tipo do evento; 4. os arquivos cujos acessos foram obtidos; 5. os programas ou utilit rios utilizados; a b) todas as operacoes privilegiadas, como, por exemplo: 1. utilizacao de conta com privil gios de supervisor; e 2. inicializacao e nalizacao do sistema; 3. conex o e desconex o de dispositivos de entrada e sada; a a c) tentativas de acesso n o autorizado, como: a 1. tentativas que falharam; 2. violacao de poltica de acesso e noticacoes para gateways e rewalls da rede; 3. alertas dos sistemas propriet rios de deteccao de intrus o; a a d) alertas e falhas do sistema, tais como: 1. alertas ou mensagens do console; 2. registro das excecoes do sistema; 3. alarmes do gerenciamento da rede. Fatores de risco Em relacao aos fatores de risco, a Norma (p.36) recomenda que os resultados das atividades de monitoracao sejam analisados periodicamente, observando que a periodicidade dessas an lises a
est associada ao grau dos riscos envolvidos. Conv m que os fatores de risco a serem considerados, a e incluam: a) criticidade dos processos de aplicacao; b) valor, sensibilidade ou criticidade da informacao envolvida; c) experi ncia anterior com inltracoes e uso impr prio do sistema; e o d) extens o da interconex o dos sistemas (particularmente com redes p blicas). a a u Registro e an lise crtica dos eventos a
A Norma (2001, p.37) alerta que, para uma boa an lise dos registros (logs), e necess rio cona a hecer e compreender as ameacas encontradas no sistema e a maneira como isso pode acontecer. Exemplos de eventos que podem necessitar uma maior an lise em casos de incidentes de seguranca a s o listados em 3.7.7.1. a Os registros de log de sistema normalmente, possuem um volume grande de informacoes, que nem sempre est o relacionadas com aspectos de seguranca. E interessante fazer um ltro dos a registros que realmente preenchem os par metros para serem considerados como relacionados a a eventos de seguranca para uma outra base de dados, a m de an lise, ou possuir um utilit rio ou a a ferramenta de auditoria para auxiliar nesse trabalho. Quando denidas as reponsabilidades por essas an lises, e importante que ocorra a separacao a de funcoes, ou seja, a pessoa que conduz a an lise crtica das atividades n o pode estar entre os a a que realizam as atividades que est o sendo monitoradas. a E adequado que se tenha atencao especial sobre os recursos de registro de eventos (logs), pois, se forem adulterados, podem transmitir uma falsa sensacao de seguranca. Sobre isso, Wadlow ([1]) diz o seguinte :
O aspecto do isolamento fsico do projeto
1
protege o hardware e as redes contra alteracoes ou
` consultas sem autorizacao. Por ser semelhante a caixa preta (registrador de dados de v o) de um o avi o, o sistema de registros deve ser mantido separado do restante da rede tanto quanto possvel. a (Op.cit., p.129)
Assim, e desej vel que os controles visem a protecao contra alteracoes n o autorizadas e proba a lemas operacionais, como os listados abaixo:
1
trata-se do projeto de sistema de registros
104
a) desativacao das facilidades de registro (log); b) alteracoes dos tipos de mensagens que s o gravadas; a c) arquivos de registros (logs) sendo editados ou excludos; d) esgotamento do meio magn tico do arquivo de registros (logs), falhas no registro de eventos ou e sobreposicao do pr prio arquivo. o
3.7.7.3 Sincronizacao dos rel gios o Sobre a sincronizacao dos rel gios entre os computadores de uma rede, a Norma coloca o seguinte: o
O estabelecimento correto dos rel gios dos computadores e importante para garantir a exatid o dos o a registros de auditoria, que podem ser requeridos por investigacoes ou como evid ncias em casos e legais ou disciplinares. Registros de auditoria incorretos podem impedir tais investigacoes e causar ` danos a credibilidade das evid ncias. e Onde um computador ou dispositivo de comunicacao tiver a capacidade para operar um rel gio o (clock) de tempo real, conv m que ele seja ajustado conforme o padr o acordado, por exemplo o e a tempo coordenado universal (Universal Cordinated Time - UCT) ou um padr o local de tempo. a Como alguns rel gios s o conhecidos pela sua variacao durante o tempo, conv m que exista um o a e procedimento que verique esses tipos de inconsist ncias e corrija qualquer variacao signicativa. e (Op.cit.,p.37)
Sobre isso, Wadlow ([1], p.127) arma o seguinte:

Um mecanismo amplamente empregado com essa nalidade e o protocolo NTP (Network Time Pro tocol). O NTP e um protocolo relativamente simples que permite a sincronizacao de um grande conjunto de m quinas com um servidor central de tempo con vel. Quanto mais saltos de rede houa a ver entre as m quinas e o seu servidor de tempo, mais imprecisa ser a sincronizacao. O NTP disp e a a o de modos para a compensacao dessa lat ncia, mas sempre e melhor que a m quina de registros esteja e a razoavelmente pr xima de um bom servidor de tempo. o Uma maneira de se realizar isso consiste na utilizacao de um servidor de tempo dedicado. Os servi dores de tempo s o dispositivos de rede com receptores GPS (Global Positioning System) anexos, a capazes de compreender o protocolo NTP. O Sistema GPS e basicamente um rel gio de alta precis o o a que, portanto, fornece uma excelente refer ncia de tempo. A exist ncia de um sistema de registros e e com uma fonte de tempo independente elimina uma possvel fonte de ataques e permite que o sis tema de registros identique quando ocorrerem tentativas de ataques baseados no protocolo NTP, pela comparacao entre o hor rio da rede e o hor rio do GPS local. a a UNESP/FEG-CEIE, 2004 105
3.7.8 Computacao m vel e trabalho remoto o

A NBR ISO 17799 tem denido o seguinte:
Objetivo: Garantir a seguranca da informacao quando se utilizam a computacao m vel e os recursos o de trabalho remoto. Conv m que a protecao requerida seja proporcional com o risco desta forma especca de trabalho. e Quando se utiliza a computacao m vel, conv m que os riscos de trabalhar em um ambiente despro o e tegido sejam considerados e a protecao adequada seja aplicada. No caso de trabalho remoto, conv m e que a organizacao aplique protecao ao local do trabalho remoto e garanta que os arranjos adequados foram feitos para este tipo de trabalho. (Op.cit., p.37)
3.7.8.1 Computacao m vel o Sobre o uso de computacao m vel, a Norma (p.37 e 38) recomenda fortemente, para evitar que o informacoes do neg cio sejam comprometidas, que sejam observados os seguintes cuidados: o a) Elaboracao de uma poltica formal, que leve em conta os riscos de trabalhar com computacao m vel, especialmente em ambientes desprotegidos; o b) que sejam avaliados requisitos de protecao fsica, controles de acesso, t cnicas criptogr cas, e a c pias de seguranca e protecao contra vrus; o ` c) regras e avisos sobre a conex o de recursos m veis a rede e orientacao sobre o uso destes a o recursos em locais p blicos; u d) disponibilidade de equipamentos para recuperacao r pida e f cil das informacoes; a a e) que o acesso remoto somente seja disponibilizado ap s o sucesso da identicacao e autenticacao o do usu rio, e com os mecanismos de controle de acesso apropriados implantados (ver 3.7.4). a f) que os recursos de computacao m vel tenham a devida protecao fsica contra roubos, especial o mente quando deixados em carros ou outros meios de transportes, quartos de h teis, centros o de confer ncia, etc., e que os equipamentos que contenham informacoes crticas nunca sejam e deixados sem observacao e, quando possvel, sejam sicamente trancados ou que possuam travas especiais para mant -lo seguro. Ver tamb m 3.5.2.5. e e g) que treinamentos de conscientizacao especcos sejam ministrados para os usu rios de computacao a m vel. o
106
3.7.8.2 Trabalho remoto Quanto ao trabalho remoto, a Norma (p.38) diz o seguinte: o trabalho remoto se caracteriza pelo uso de tecnologia de comunicacao para que os funcion rios trabalhem remotamente a partir a de uma localizacao fsica fora da sua organizacao. E adequado que o local remoto tenha a protecao suciente, para evitar o roubo de equipamento e de informacoes, a divulgacao n o autorizada de informacao, o acesso remoto n o autorizado aos a a sistemas internos da organizacao ou o uso impr prio dos recursos. E importante que o trabalho o remoto seja autorizado pelo gestor e que sejam tomadas as medidas necess rias a esta forma de a trabalho. E importante que a organizacao desenvolva polticas, procedimentos e normas para controlar o trabalho remoto, e que somente autorizem essas atividades se existirem controles e acordos de seguranca apropriados e em vigor, e em conformidade com a poltica de seguranca da organizacao. Al m disso, os pontos abaixo devem ser considerados: e a) a seguranca fsica no local remoto, levando em conta a seguranca fsica do pr dio e o ambiente e local; b) o ambiente proposto de trabalho remoto; c) os requisitos de seguranca nas comunicacoes, considerando as necessidades de acesso remoto para os sistemas internos da organizacao, a sensibilidade das informacoes que ser o aces a sadas e que ser o trafegadas na linha de comunicacao e a sensibilidade do sistema interno; a ` d) a ameaca de acesso n o autorizado a informacao ou aos recursos por outras pessoas que utilizam a o local, por exemplo familiares e amigos. Os controles e provid ncias que devem ser considerados incluem : e a) prover equipamentos e moblia adequados ao trabalho remoto; b) uma denicao do trabalho permitido, as horas de trabalho, a classicacao da informacao que pode ser tratada e os sistemas internos e servicos que ser o acessados; a c) fornecimento de equipamento de comunicacao apropriado, incluindo m todos de acesso remoto e seguro; d) seguranca fsica; ` e) regras e orientacoes sobre o acesso de familiares e visitantes ao equipamento e a informacao;
f) fornecimento de suporte e manutencao de hardware e software; g) os procedimentos para c pias de seguranca e continuidade do neg cio; o o h) auditoria e monitoracao da seguranca; i) revogacao de autoridade, direitos de acesso e devolucao do equipamento quando as atividades de trabalho remoto cessarem.
3.8 Desenvolvimento e manutencao de sistemas

3.8.1 Requisitos de seguranca de sistemas
A NBR ISO 17799 tem denido o seguinte para esse item :
Objetivo: Garantir que a seguranca seja parte integrante dos sistemas de informacao. Isso incluir infra-estrutura, aplicacoes do neg cio e aplicacoes desenvolvidas pelo usu rio. O projeto a o a ` e a implementacao dos processos do neg cio que d o suporte as aplicacoes e aos servicos podem ser o a cruciais para seguranca. Conv m que requisitos de seguranca sejam identicados e acordados antes e do desenvolvimento dos sistemas de informacao. Conv m que todos os requisitos de seguranca, incluindo a necessidade de acordos de conting ncia, e e sejam identicados na fase de levantamento de requisitos de um projeto e justicados, acordados e documentados como parte do estudo de caso de um neg cio para um sistema de informacao. (Op.cit., o p.38)
3.8.1.1 An lise e especicacao dos requisitos de seguranca a Sobre este item, a Norma exp e de forma clara o seguinte texto: o
Na especicacao de requisitos do neg cio para novos sistemas, ou melhoria nos sistemas j exis o a tentes, conv m que tamb m se especiquem os requisitos de controle. Conv m que tais especicacoes e e e considerem os controles automatizados a serem incorporados no sistema e a necessidade de suporte a controles manuais. Conv m que consideracoes semelhantes sejam aplicadas quando se avaliam pae cotes de software para as aplicacoes do neg cio. Se considerado apropriado, a direcao pode desejar o fazer uso de produtos com avaliacao e certicacao independentes. Conv m que os requisitos e controles de seguranca reitam o valor, para o neg cio, dos ativos de e o informacao envolvidos e o dano potencial ao neg cio, que pode resultar da falha ou aus ncia de o e
108
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a seguranca. A estrutura para analisar os requisitos de seguranca e identicar os controles que os satis fazem est na avaliacao de riscos e no gerenciamento de riscos. a Os controles introduzidos no desenvolvimento do projeto s o signicativamente mais baratos para a implementar e manter do que aqueles includos durante ou ap s a implementacao. (Op.cit., p.38) o
3.8.2 Seguranca nos sistemas de aplicacao

A Norma dene o seguinte:
Objetivo: Prevenir perda, modicacao ou uso impr prio de dados do usu rio nos sistemas de aplicacoes. o a Conv m que os controles apropriados e trilhas de auditoria ou registros de atividades sejam previstos e para os sistemas de aplicacao, incluindo aplicacoes escritas pelo usu rio. Conv m que estes incluam a e a validacao dos dados de entrada, processamento interno e dados de sada. Controles adicionais podem ser necess rios para sistemas que processam ou t m impacto em ativos a e organizacionais crticos, valiosos ou sensveis. Conv m que tais controles sejam determinados na e base dos requisitos de seguranca e na avaliacao de riscos. (Op.cit., p.39)
3.8.2.1 Validacao de dados de entrada E recomendado pela Norma (p.39) que os dados de entrada dos sistemas de aplicacao sejam val idados visando garantir que est o corretos e que s o adequados. E recomend vel que as validacoes a a a sejam adotadas na entrada das transacoes de neg cio, nos dados permanentes (nomes e enderecos, o limites de cr dito, n meros de refer ncia de clientes) e nas tabelas de par metros (precos de venda, e u e a raz o de convers o de moeda, taxas de impostos). A Norma recomenda que os seguintes controles a a sejam observados: a) validacao da entrada para deteccao dos seguintes erros: 1. valores fora dos limites; 2. caracteres inv lidos nos campos de dados; a 3. dados ausentes ou incompletos; 4. dados excedendo os volumes m ximos e mnimos; a 5. controle de dados n o autorizados ou inconsistentes; a b) an lise crtica peri dica do conte do dos campos-chave ou arquivos de dados para conrmar a a o u sua validade e integridade;
109
c) inspecao de c pias de documentos de entrada de dados para qualquer modicacao n o autor o a izada aos dados de entrada (modicacoes dos documentos de entrada devem ser autorizadas); ` d) procedimentos de respostas a validacao dos erros; e) procedimentos de teste de plausibilidade dos dados de entrada; f) denicao de responsabilidades de todo pessoal envolvido no processo de entrada de dados;
3.8.2.2 Controle do processamento interno Areas de risco A Norma (p.39) alerta que os dados introduzidos corretamente no sistema podem ser corrompidos por erros de processamento ou por acoes intencionais e recomenda que sejam estabelecidas vericacoes para detectar esses casos. Tamb m recomenda que restricoes sejam implementadas e visando reduzir o risco de falhas de processamento que possam levar a perda de integridade. As areas especcas, que devem ser consideradas, incluem : a) uso e localizacao nos programas de funcoes de adicao e exclus o para implementar modicacoes a nos dados; b) procedimentos para prevenir a execucao de programas na ordem errada ou executar ap s falhas o no processamento anterior (ver 3.6.1.1); c) uso de programas corretos para recuperacao de falhas que assegurem o processamento correto dos dados. Checagens e controles Conforme a Norma (p.40), as vericacoes e controles depender o da natureza das aplicacoes a e dos impactos que poder o trazer, em caso de corrupcao dos dados. Exemplos de validacoes a possveis s o: a a) controles de sess o ou processamento em lote, para reconciliar o balanco dos arquivos de dados, a ap s transacoes de atualizacao; o b) controles de balanceamento, para vericacao dos balancos de abertura contra os balancos de fechamento anteriores, tais como: 1. controles entre execucao; 2. totalizadores de atualizacao de arquivo;
3. controle de programa a programa; c) validacao de dados gerados pelo sistema (ver 3.8.2.1); d) validacao da integridade de dados ou de software trazidos ou enviados entre computador central e remoto (ver 3.8.3.3); e) totais de registros e arquivos; f) vericacao para garantir que os programas de aplicacao s o executados no hor rio correto; a a g) vericacao para garantir que os programas de aplicacao s o executados na ordem certa e ter a minados, em caso de uma falha, e que o processamento seguinte car suspenso at que o a e problema seja solucionado.
3.8.2.3 Autenticacao de mensagem A autenticacao de mensagem e exposta pela Norma da seguinte forma:
A autenticacao da mensagem e uma t cnica utilizada para detectar modicacoes n o autorizadas e a no conte do das mensagens transmitidas eletronicamente, ou ent o corrupcao deste conte do. Ela u a u pode ser implementada em hardware ou software que suporte um dispositivo fsico de autenticacao de mensagem ou um algoritmo de software. Conv m que a autenticacao de mensagem seja considerada para aplicacoes onde exista requisito e de seguranca para proteger a integridade do conte do da mensagem, por exemplo transfer ncia u e eletr nica de fundos, especicacoes, contratos, propostas, etc., com import ncia signicativa ou outo a ras trocas similares de dados eletr nicos. Conv m que uma avaliacao dos riscos de seguranca seja o e executada para determinar se a autenticacao da mensagem e necess ria e para identicar o m todo a e mais apropriado de implementacao. A autenticacao de mensagem n o e projetada para proteger o conte do da mensagem da divulgacao a u n o autorizada. T cnicas de criptograa (ver 10.3.2 e 10.3.3) podem ser utilizadas como meios aproa e priados de implementacao de autenticacao de mensagem. (Op.cit., p.40)
3.8.2.4 Validacao dos dados de sada E feito um alerta pela Norma (p.40) de que os dados de sada devem ser validados para garantir que o processo de armazenamento da informacao est correto e apropriado, pois os sistemas s o a a construdos a partir da premissa de que, se passados pela validacao adequada, vericacao e teste,
111
a sada sempre estar correta, sendo que isto nem sempre e verdade. Assim, a validacao da sada a deve: a) vericar a plausibilidade para testar se o dado de sada e razo vel; a b) contadores de controle de reconciliacao, para garantir o processamento de todos os dados; c) fornecimento de informacoes sucientes para um leitor ou para um sistema de processamento subseq ente poder determinar a exata, completa e precisa classicacao da informacao; u d) procedimentos para responder aos testes de validacao de sada; e) denicao de responsabilidades para todo o pessoal envolvido com o processo de sada de dados.
3.8.3 Controles de criptograa

A Norma dene o seguinte para este assunto:
Objetivo: Proteger a condencialidade, autenticidade ou integridade das informacoes. Conv m que t cnicas e sistemas criptogr cos sejam usados para a protecao das informacoes que s o e e a a consideradas de risco e que para as quais outros controles n o fornecem protecao adequada. (Op.cit., a p.40)
3.8.3.1 Poltica para o uso de controles de criptograa A decis o sobre a adequacao de uma solucao criptogr ca compreende um processo bastante a a amplo de avaliacao de riscos e selecao de controles. E necess rio que uma avaliacao de riscos seja a executada para, ent o, denir qual o nvel de protecao e necess ria e, a partir disso, determinar a a a melhor solucao criptogr ca, que controles s o necess rios e para quais prop sitos e processos do a a a o neg cio. o Buscando maximizar os benefcios e minimizar os riscos da utilizacao das t cnicas criptogr cas e a e para evitar o seu uso impr prio ou indevido, a organizacao dever elaborar uma poltica que, seo a gundo a Norma (p. 41), considere os seguintes pontos:
a) enfoque da direcao frente ao uso dos controles de criptograa atrav s da organizacao, incluindo e os princpios gerais sob os quais as informacoes do neg cio devem ser protegidas; o b) enfoque utilizado para o gerenciamento de chaves, incluindo m todos para tratar a recuperacao e de informacoes criptografadas em casos de chaves perdidas, expostas ou danicadas; c) regras e responsabilidades, por exemplo quem e o respons vel por: a
112
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a d) implementacao da poltica; e) gerenciamento das chaves; f) como deve ser determinado o nvel apropriado de protecao criptogr ca; a g) as normas a serem adotadas para a efetiva implementacao atrav s da organizacao (qual solucao e e utilizada para qual neg cio). o
3.8.3.2 Criptograa Segundo a Norma em (p.41), a codicacao e uma t cnica criptogr ca que pode ser ado e a tada para proteger a informacao, e deve ser considerada para protecao das informacoes crticas ou sensveis. Suportados por uma avaliacao de riscos que leve em conta o tipo e a qualidade do algoritmo de codicacao e o tamanho das chaves criptogr cas a serem adotadas, deveremos denir o nvel de a protecao adequado. A norma tamb m alerta para os aspectos legais, que devem ser observados quando uma organizacao e ` decide adotar a criptograa, face as regulamentacoes e restricoes nacionais no uso de t cnicas crip e togr cas nas diferentes partes do mundo, quanto ao uxo de informacoes codicadas. Estes asa pectos legais tamb m devem ser observados quando da importacao de tecnologias de criptograa e (ver 3.10.1.6). E recomend vel que uma assessoria especializada seja contratada para identicar o nvel de a protecao necess rio, selecao dos produtos mais adequados para essa protecao e implementacao de a um sistema seguro de gerenciamento de chaves (ver tamb m 3.8.3.5). Tamb m deve ser contratada e e uma assessoria legal, para aspectos das leis e regulamentacoes aplic veis sobre esse assunto para o a pas de destino e de origem das informacoes criptografadas.
3.8.3.3 Assinatura digital A Norma apresenta este tema da seguinte forma:

As assinaturas digitais fornecem os meios para protecao da autenticidade e integridade de docu mentos eletr nicos. Por exemplo, elas podem ser utilizadas no com rcio eletr nico onde existe a o e o necessidade de vericar quem assinou o documento eletr nico e checar se o conte do do documento o u eletr nico assinado foi modicado. o Assinaturas digitais podem ser aplicadas a qualquer forma de documento que e processado eletronicamente, por exemplo elas podem ser usadas para assinar pagamentos eletr nicos, transfer ncias de o e fundos, contratos e acordos. Assinaturas digitais podem ser implementadas utilizando as t cnicas e UNESP/FEG-CEIE, 2004 113
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a criptogr cas baseadas em um unico par de chaves relacionadas, em que uma das chaves e utilizada a para criar uma assinatura (a chave privada) e a outra para vericar a assinatura (chave p blica). u Conv m que cuidados sejam tomados para proteger a condencialidade da chave privada. Conv m e e que esta chave seja mantida em segredo, uma vez que qualquer pessoa que tiver acesso a esta chave pode assinar documentos, por exemplo pagamentos e contratos, falsicando a assinatura do pro priet rio da chave. Adicionalmente, e importante a protecao da integridade da chave p blica. Esta a u protecao e fornecida pelo uso de certicados de chave p blica (ver 10.3.5). u Deve-se considerar o tipo e a qualidade do algoritmo de assinatura digital usado e o tamanho da chave. Conv m que as chaves criptogr cas usadas para assinaturas digitais sejam diferentes daquee a las usadas para criptograa (ver 10.3.2). Quando se utilizam assinaturas digitais, conv m que se considere qualquer legislacao relacionada e que descreva as condicoes sob as quais uma assinatura digital possui valor legal. Por exemplo, no caso de com rcio eletr nico e importante saber a sustentacao legal das assinaturas digitais. Pode e o ser necess rio, onde a estrutura legal for adequada, ter contratos de obrigacoes ou outro tipo de a acordo para suportar o uso de assinaturas digitais. Conv m que se procure um aconselhamento legal e ` considerando as leis e regulamentacoes que podem ser aplicadas a organizacao que pretende usar assinaturas digitais. (Op.cit., p.41)
3.8.3.4 Servicos de n o repudio a Em complemento ao uso de assinaturas digitais, a Norma (p.41) alerta para a necessidade eventual de uso de servicos de n o rep dio nos casos em que seja necess rio resolver judicialmente a u a a ocorr ncia ou n o de um evento. Por exemplo, um caso que envolva a assinatura digital de um e a contrato ou de um pagamento eletr nico. Os servicos de n o rep dio podem ajudar a estabelecer o a u evid ncias sobre a ocorr ncia ou n o do evento ou acao, por exemplo o envio de uma instrucao e e a assinada digitalmente usando o correio eletr nico. Estes servicos baseiam-se no uso de criptograa o e t cnicas de assinatura digital. Ver tamb m 3.8.3.2 e 3.8.3.3. e e
3.8.3.5 Gerenciamento de chaves Protecao de chaves criptogr cas a A NBR ISO 17799 faz as seguintes colocacoes sobre o tema:
O gerenciamento das chaves criptogr cas e essencial para o uso ecaz das t cnicas de criptograa. a e Qualquer exposicao ou perda das chaves criptogr cas pode levar ao comprometimento da conden a cialidade, da autenticidade e/ou da integridade da informacao. Conv m que um sistema de gerenci e
114
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a amento de chaves seja implantado para suportar o uso, pela organizacao dos dois tipos de t cnicas e criptogr cas, que s o: a a a) t cnicas de chave secreta, onde duas ou mais partes compartilham a mesma chave e esta chave e e utilizada tanto para codicar como para decodicar a informacao. Estas chaves necessitam ` ser mantidas em segredo, uma vez que qualquer pessoa que tiver acesso a chave ser capaz a de decodicar toda informacao codicada com aquela chave, ou introduzir informacoes n o a autorizadas; b) t cnicas de chave p blica, onde cada usu rio possui um par de chaves, uma chave p blica (que e u a u pode ser revelada a qualquer pessoa) e uma chave privada (que tem que ser mantida em segredo). As t cnicas de chave p blica podem ser utilizadas para codicar (ver 10.3.2) e para e u produzir assinaturas digitais (ver 10.3.3). Conv m que todas as chaves sejam protegidas contra modicacao e destruicao, e as chaves secretas e e privadas necessitam de protecao contra a divulgacao n o autorizada. As t cnicas de criptograa a e podem ser utilizadas para este prop sito. Conv m que protecao fsica seja utilizada para a protecao o e de equipamentos usados na geracao, armazenamento e arquivamento de chaves. (op.cit.42)
Normas, procedimentos e m todos e Os cuidados e atencoes necess rias para Normas, procedimentos e m todos, e denido pela a e NBR ISO 17799 (p.42 e 43) da seguinte forma:
Conv m que um sistema de gerenciamento de chaves seja baseado em um conjunto acordado de e normas, procedimentos e m todos seguros para: e a) geracao de chaves para diferentes sistemas criptogr cos e diferentes aplicacoes; a b) geracao e obtencao de certicados de chave p blica; u c) distribuicao de chaves para usu rios predeterminados, incluindo como as chaves devem ser ati a vadas quando recebidas; ` d) armazenamento de chaves, incluindo como os usu rios autorizados obt m acesso as chaves; a e e) modicacao ou atualizacao de chaves, incluindo regras sobre quando as chaves devem ser modi cadas e como isto pode ser feito; f) tratamento de chaves comprometidas; g) revogacao de chaves, incluindo como as chaves devem ser recolhidas ou desativadas por exemplo, quando as chaves forem comprometidas ou quando um usu rio deixar a organizacao (nestes a casos as chaves tamb m devem ser arquivadas); e h) recuperacao de chaves que est o perdidas ou corrompidas como parte do gerenciamento da con a tinuidade do neg cio, por exemplo para a recuperacao de informacoes codicadas; o UNESP/FEG-CEIE, 2004 115
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a i) arquivamento de chaves, por exemplo para informacoes arquivadas ou de reserva (back-up); j) destruicao de chaves; k) registros (logs) e auditoria das atividades relacionadas com o gerenciamento de chaves. Para poder reduzir a probabilidade de comprometimento, conv m que as chaves tenham data de e ativacao e destivacao denidas, de forma que somente possam ser usadas por um perodo limitado de tempo. Conv m que este perodo de tempo dependa das circunst ncias sob as quais os controles de e a criptograa est o sendo utilizados e dos riscos observados. a Pode ser necess rio considerar certos procedimentos para o tratamento de requisitos legais para acesa sar chaves criptogr cas; por exemplo, as informacoes codicadas podem ser necess rias na sua a a forma n o codicada como evid ncias em um julgamento de uma determinada causa legal. a e ` Adicionalmente a quest o do gerenciamento seguro das chaves secretas e privadas, conv m que a a e protecao de chaves p blicas tamb m seja considerada.Existe a ameaca de algu m falsicar uma assi u e e natura digital atrav s da troca da chave p blica do usu rio pela sua pr pria. Este problema e solue u a o cionado com o uso de certicados de chave p blica. Conv m que estes certicados sejam produzidos u e de forma que se relacionem em um unico modo as informacoes do propriet rio do par de chave a p blica/privada com a chave p blica considerada. Al m disto e importante que o processo de gerenu u e ciamento que gerou este certicado possa ser confavel. Este processo e normalmente implementado por uma autoridade certicadora que conv m que seja uma organizacao reconhecida e com controles e e procedimentos implementados para fornecer o grau de conabilidade necess rio. a Conv m que o conte do do acordo de nvel de servico ou contrato com fornecedores externos de e u servicos de criptograa, por exemplo com uma autoridade certicadora, cubra quest es relacionadas o com a responsabilidade cvel, a conabilidade dos servicos e o tempo de resposta para o fornecimento dos servicos contratados (ver 4.2.2).
3.8.4 Seguranca de arquivos do sistema

A Norma (p.43) dene o seguinte:
Objetivo: Garantir que os projetos de tecnologia da informacao e as atividades de suporte ser o a conduzidas de maneira segura. Conv m que o acesso aos arquivos do sistema seja controlado. e Conv m que a manutencao da integridade do sistema seja de responsabilidade da funcao do usu rio e a ou do grupo de desenvolvimento a quem pertence o sistema de aplicacao ou software.
116
3.8.4.1 Controle de software em producao Buscando reduzir os riscos de corrupcao dos sistemas operacionais quando da implementacao de novos softwares, a Norma (p.43) faz uma s rie de recomendacoes, conforme texto reproduzido e a seguir:
Conv m que seja estabelecido controle para a implementacao de software em sistemas operacionais. e Para se minimizar o risco de corrupcao dos sistemas operacionais, recomenda-se que se considerem os seguintes controles. a) Conv m que a atualizacao das bibliotecas de programas da producao ocorra apenas por um bibe liotec rionomeado e sob autorizacao gerencial apropriada (ver 10.4.3). a b) Se possvel, conv m que o sistema operacional mantenha somente c digo execut vel. e o a c) Conv m que c digo execut vel n o seja implantado no sistema operacional at que sejam obtidas e o a a e evid ncias do sucesso dos testes e a aceitacao do usu rio, e a biblioteca com os programase a fontes correspondentes tenha sido atualizada. d) Conv m que seja mantido um registro (log) de auditoria para todas as atualizacoes de bibliotecas e de programas em producao. e) Conv m que as vers es anteriores do software sejam retidas como medida de conting ncia. e o e Conv m que software de fornecedores usado em sistemas operacionais seja mantido em um nvel e suportado pelo fornecedor. Conv m que qualquer decis o de atualizacao para uma nova vers o leve e a a em conta a seguranca da vers o, por exemplo a introducao de uma nova funcionalidade de seguranca a ou o n mero e a severidade dos problemas de seguranca que afetam esta vers o. Conv m que as u a e correcoes (patches) de software sejam aplicadas quando puderem ajudar na remocao ou reducao de fragilidade de seguranca. Conv m que o acesso fsico ou l gico s seja dado a fornecedores por motivo de suporte, quando e o o necess rio, e com a aprovacao da ger ncia. Conv m que as atividades dos fornecedores sejam monia e e toradas.
3.8.4.2 Protecao de dados de teste do sistema Os dados para testes de sistema normalmente exigem grandes volumes e que sejam o mais pr ximo possvel da realidade operacional da empresa, ou seja, dos dados em producao. Muitas o vezes tratam-se de c pia dos dados de producao de perodo anterior, mas que ainda est o classio a cados como sensveis ou crticos. Assim, recomenda-se que os mesmos cuidados adotados para protecao de dados de producao sejam aplicados quando utilizados com o prop sito de testes. o A Norma (p.43) recomenda que sejam observados os seguintes cuidados:
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a a) Conv m que os procedimentos de controle de acesso, os quais s o aplicados aos sistemas de e a aplicacao em producao, tamb m sejam aplicados aos sistemas de aplicacao em testes. e b) Conv m que exista uma autorizacao separada cada vez que uma informacao em producao for e copiada para teste no sistema de aplicacao. c) Conv m que informacoes de producao sejam apagadas dos sistemas de teste de aplicacao imedie atamente ap s a nalizacao dos testes. o d) Conv m que a c pia e o uso de informacoes de producao sejam registrados de forma a permitir e o uma trilha de auditoria.
3.8.4.3 Controle de acesso a bibliotecas de programa-fonte Para impedir problemas envolvendo a possibilidade de corrupcao dos programas de aplicativos, ` e necess rio um controle rgido e completo sobre o uso e acesso as bibliotecas de programasa fonte, evitando, por exemplo, utilizar vers es anteriores. A Norma (p.43 e 44) recomenda que seja o observado o item 3.6.3 e lista outros itens adicionais a serem considerados, como segue:
a) Onde possvel, conv m que as bibliotecas de programas-fonte n o sejam manipuladas em am e a biente de producao. b) Conv m que seja designado um respons vel pela biblioteca de programas-fonte de cada aplicacao. e a ` c) Conv m que a equipe de suporte de tecnologia da informacao n o possua acesso ilimitado as e a bibliotecas de c digo-fonte. o d) Conv m que os programas em desenvolvimento ou manutencao n o sejam mantidos nas bibliotee a cas de programa-fonte que estiverem em producao. e) Conv m que a atualizacao das bibliotecas de programa-fonte e a distribuicao de programas-fonte e para os programadores somente sejam efetuadas pelo respons vel designado em manter a biba lioteca e sob autorizacao do gestor de suporte de tecnologia da informacao da aplicacao. f) Conv m que listas de programa somente sejam mantidas em um ambiente seguro (ver 8.6.4). e ` g) Conv m que seja mantido um registro de auditoria contendo todos os acessos as bibliotecas de e programa-fonte. h) Conv m que as vers es antigas de programas-fonte sejam arquivadas, com uma indicacao clara e e o precisa da data e perodo no qual estiveram em producao, junto com todo o respectivo software de suporte, controle de tarefa, denicoes de dados e procedimentos. i) Conv m que a mudanca e a c pia de bibliotecas de programas-fonte estejam sujeitas a procedie o mentos rgidos de controle de mudanca (ver 10.4.1).
3.8.5 Seguranca nos processos de desenvolvimento e suporte

Para este tema, a Norma (p.44) tem denido o seguinte:
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a Objetivo: Manter a seguranca do software e da informacao do sistema de aplicacao. Conv m que os ambientes de desenvolvimento e suporte sejam rigidamente controlados. e Conv m que os gestores respons veis pelos sistemas de aplicacao tamb m sejam respons veis pela e a e a seguranca do ambiente de desenvolvimento ou suporte. Conv m que eles garantam que todas as e modicacoes de sistemas propostas sejam analisadas criticamente a m de vericar que elas n o a comprometem a seguranca do sistema ou do ambiente de producao.
3.8.5.1 Procedimentos de controle de mudancas Considerando que mudancas nos sistemas aplicativos podem trazer impacto ao ambiente op eracional, e visando reduzir os riscos de corrupcao dos sistemas de informacao, a Norma (p.44) recomenda que seja estabelecido um rgido controle sobre a implementacao de mudancas, com procedimentos formais de controle das mudancas. Estes controles dever o garantir que os proced a imentos de seguranca e controle n o ser o violados e que os programadores de suporte s ter o a a o a ` acesso as partes do sistema que s o necess rias ao seu trabalho e acordos formais, e que qualquer a a mudanca somente ser implementada ap s aprovacao. Al m disso, a Norma cita que Sempre que a o e possvel, conv m que os procedimentos de controle de mudanca na producao sejam integrados com e a de aplicacao (ver 8.1.2), e tamb m recomenda os pontos a seguir para serem considerados nesse e processo e cita:
a) manter um registro dos nveis de autorizacao estabelecidos;
b) garantir que as mudancas ser o implementadas por usu rios autorizados; a a c) analisar criticamente controles e a integridade dos procedimentos, de forma a garantir que os mesmos n o ser o comprometidos pelas mudancas; a a d) identicar todo software de computadores, informacao, entidades de base de dados e hardware que necessitam de correcao; e) obter aprovacao formal para proposta detalhada antes do incio dos trabalhos; f) garantir que o usu rio autorizado aceite as modicacoes antes de qualquer implementacao; a g) garantir que a implementacao ocorrer com o mnimo de transtorno para o neg cio; a o h) garantir que a documentacao do sistema seja atualizada ao nal de cada modicacao e que a documentacao antiga seja arquivada ou destruda; i) manter o controle da vers o para todas as atualizacoes de software; a j) manter uma trilha de auditoria para toda modicacao requerida; k) garantir que a documentacao de operacao (ver 8.1.1) e os procedimentos de usu rios ser o modi a a cados conforme necess rio, de forma a adequar as mudancas implementadas; a
119
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a l) garantir que a implementacao de mudancas ocorrer no tempo certo e n o atrapalhar os processos a a a do neg cio envolvidos. o Muitas organizacoes mant m um ambiente no qual os usu rios testam novos softwares segregados dos e a ambientes de desenvolvimento e de producao. Esta estrat gia favorece o controle sobre novo software, e permitindo ainda a protecao adicional da informacao de producao que e usada para nalidade de teste.
3.8.5.2 An lise crtica das mudancas t cnicas do sistema operacional da producao a e A Norma aborda este assunto (p.44) com o seguintes texto:
Periodicamente e necess rio modicar o sistema operacional, por exemplo para instalar uma correcao a (patch ) ou uma nova vers o de software enviada pelo fornecedor. Quando as modicacoes ocorrerem, a conv m que os sistemas de aplicacao sejam analisados criticamente e testados para garantir que n o e a ocorrer nenhum impacto adverso na producao ou na seguranca. Recomenda-se que este processo a cubra: a) an lise crtica dos procedimentos de controle e integridade da aplicacao, para garantir que eles a n o foram comprometidos pelas mudancas efetuadas no sistema operacional; a b) garantia que o planejamento e o orcamento anual para suporte cobrir o revis es e testes de sis a o temas resultantes das modicacoes do sistema operacional; c) garantia de que a noticacao da modicacao do sistema operacional e feita de modo a permitir que as an lises crticas apropriadas ocorram antes de qualquer implementacao; a d) garantia de que as modicacoes sejam feitas no plano de continuidade dos neg cios (ver secao o 11).
3.8.5.3 Restricoes nas mudancas dos pacotes de software Esta e uma situacao comum nas organizacoes. Quando compram um pacote de software, os usu rios solicitam uma s rie de modicacoes e adaptacoes visando tornar o produto mais aderente a e ` as suas operacoes. De forma bastante correta, a Norma (p.45) recomenda que modicacoes nos pacotes de software sejam desencorajadas e, tanto quanto possvel, os pacotes de software devem ser utilizados sem modicacoes. Onde for considerado indispens vel que ocorra uma modicacao a do pacote de software, a Norma recomenda que os seguintes aspectos sejam considerados: a) risco de comprometimento dos controles embutidos e da integridade dos processos; b) se e necess ria anu ncia do fornecedor; a e c) possibilidade de obter a modicacao necess ria diretamente do fornecedor como atualizacao a padr o do programa; a
d) riscos da organizacao se tornar, no futuro, respons vel pela manutencao do software como a resultado da modicacao. A Norma ainda recomenda que, se as modicacoes forem realmente necess rias, o software a original seja retido e as modicacoes efetuados em uma c pia claramente identicada. E impor o tante que as modicacoes sejam muito bem testadas e documentadas, de forma que elas possam ser reaplicadas, se necess rio, em vers es futuras de software. Tamb m vale avaliar os impactos a o e quando da aplicacao de patches de correcao. Ver tamb m 3.8.5.2. e
3.8.5.4
Covert channels e cavalo de Tr ia o
A Norma (p.45) trata deste assunto da seguinte forma:

Um covert channel pode expor a informacao atrav s de meios indiretos e obscuros. Ele pode ser e ativado a partir da troca de par metros acessveis tanto por elementos seguros como por elementos a inseguros de um sistema de computacao, ou por informacoes embutidas em um determinado uxo de dados. Um cavalo de Tr ia e projetado para afetar um sistema de forma n o autorizada ou prontao a mente informada, e ainda n o solicitada pelo receptor ou usu rio do programa. Os canais secretos e a a os cavalos de Tr ia acarretam muita preocupacao e raramente ocorrem por acidente. Recomenda-se o que os seguintes itens sejam considerados: a) comprar programas apenas de fontes conhecidas e id neas; o b) comprar programas em c digo-fonte, de forma que o c digo possa ser vericado; o o c) utilizar produtos que j tenham sido avaliados; a d) inspecionar todo o c digo-fonte antes do uso em producao; o e) controlar o acesso ao c digo e a modicacao do mesmo, uma vez que esteja instalado; o f) utilizar pessoal de comprovada conanca para trabalhar com os sistemas-chave.
3.8.5.5 Desenvolvimento terceirizado de software Neste assunto, as recomendacoes da Norma (p.45) s o as seguintes: a
Quando o desenvolvimento de software for terceirizado, recomenda-se que os seguintes pontos sejam considerados: a) acordos sobre licencas, propriedade do c digo-fonte e direitos de propriedade intelectual (ver o 12.1.2); b) certicacao da qualidade e da exatid o do trabalho implementado; a c) acordos na eventualidade de haver falha por parte de prestadores de servicos; UNESP/FEG-CEIE, 2004 121
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a d) direitos de acesso para auditoria da qualidade e exatid o do trabalho executado; a e) requisitos contratuais de qualidade do c digo; o f) teste antes da instalacao para deteccao de cavalos de Tr ia. o
3.9 Gest o da continuidade do neg cio a o

3.9.1 Aspectos da gest o da continuidade do neg cio a o
A NBR ISO 17799 (p.45) aborda este assunto da seguinte maneira:
Objetivo: N o permitir a interrupcao das atividades do neg cio e proteger os processos crticos cona o tra efeitos de falhas ou desastres signicativos. Conv m que o processo de gest o da continuidade seja implantado para reduzir, para um nvel e a aceit vel, a interrupcao causada por desastres ou falhas da seguranca (que pode ser resultante de, a por exemplo, desastres naturais, acidentes, falhas de equipamentos e acoes intencionais) atrav s da e combinacao de acoes de prevencao e recuperacao. E importante que as conseq encias de desastres, falhas de seguranca e perda de servicos sejam analu isadas. Recomenda-se que os planos de conting ncia sejam desenvolvidos e implantados para garantir e que os processos do neg cio possam ser recuperados dentro da requerida escala de tempo. E imporo tante que tais planos sejam mantidos e testados de forma a se tornarem parte integrante de todos os outros processos gerenciais. E importante que a gest o da continuidade do neg cio inclua controles para a identicacao e reducao a o de riscos, a limitacao das conseq encias dos danos do incidente e a garantia da recuperacao tempes u tiva das operacoes vitais.
3.9.1.1 Processo de gest o da continuidade do neg cio a o Sobre este tema, a Norma (p.46) coloca o seguinte:
E importante que um processo de gest o que permeie toda a organizacao esteja implantado para o a desenvolvimento e manutencao da continuidade do neg cio. Conv m que este processo agregue os o e seguintes elementos-chave da gest o da continuidade do neg cio: a o ` a) entendimento dos riscos a que a organizacao est exposta, no que diz respeito a sua probabilidade a e impacto, incluindo a identicacao e priorizacao dos processos crticos do neg cio; o b) entendimento do impacto que as interrupcoes provavelmente ter o sobre os neg cios ( importante a o e que as solucoes encontradas possam tratar tanto os pequenos incidentes como os mais s rios, e
122
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a que poderiam colocar em risco a continuidade da organizacao) e estabelecimento dos objetivos do neg cio relacionados com as instalacoes e recursos de processamento da informacao; o c) consideracao de contratacao de seguro compatvel que possa ser parte integrante do processo de continuidade; d) denicao e documentacao de estrat gia de continuidade consistente com os objetivos e prioridades e estabelecidos para os neg cios; o e) detalhamento e documentacao de planos de continuidade alinhados com a estrat gia estabelecida; e f) testes e atualizacoes regulares dos planos e procedimentos implantados; g) garantia de que a gest o da continuidade do neg cio esteja incorporada aos processos e estrutura a o da organizacao. A responsabilidade pela coordenacao do processo de gest o de continuidade do a neg cio deve ser atribuda a um nvel adequado dentro da organizacao, por exemplo ao f rum o o de seguranca da informacao (ver 4.1.1).
3.9.1.2 Continuidade do neg cio e an lise de impacto o a Neste tema, a Norma (p.46) coloca os seguintes pontos:
Conv m que a continuidade do neg cio tenha como ponto de partida a identicacao dos eventos que e o podem causar interrupcoes nos processos do neg cio, por exemplo falha de equipamentos, inundacoes o e inc ndios. Em seguida, conv m que seja feita uma avaliacao de risco para a determinacao do e e impacto destas interrupcoes (tanto em termos de escala de dano quanto em relacao ao perodo de recuperacao). Conv m que estas atividades sejam executadas com o total envolvimento dos re e spons veis pelos processos e recursos do neg cio. A avaliacao deve considerar todos os processos do a o neg cio e n o deve estar limitada aos recursos e instalacoes de processamento da informacao. o a Em funcao dos resultados da avaliacao de risco, conv m que um plano estrat gico seja desenvolvido e e para se determinar a abordagem mais abrangente a ser adotada para a continuidade do neg cio. Uma o vez criado, o plano dever ser validado pela direcao. a
3.9.1.3 Documentando e implementando planos de continuidade Sobre este tema, a Norma (p.46) coloca o seguinte:
Conv m que os planos sejam desenvolvidos para a manutencao ou recuperacao das operacoes do e neg cio, na escala de tempo requerida, ap s a ocorr ncia de interrupcoes ou falhas dos processos o o e crticos. Recomenda-se que o processo de planejamento da continuidade do neg cio considere os o seguintes itens: a) identicacao e concord ncia de todas as responsabilidades e processamentos de emerg ncia; a e UNESP/FEG-CEIE, 2004 123
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a b) implementacao dos procedimentos de emerg ncia que permitam a recuperacao e restauracao nos e ` prazos necess rios. Atencao especial deve ser dada a avaliacao de depend ncias externas ao a e neg cio e de contratos existentes; o c) documentacao dos processos e procedimentos acordados; d) treinamento adequado do pessoal nos procedimentos e processos de emerg ncia denidos, ine cluindo o gerenciamento de crise; e) teste e atualizacao dos planos. Conv m que o processo de planejamento foque os objetivos requeridos do neg cio, por exemplo e o recuperacao de determinados servicos especcos para os clientes, em um perodo de tempo aceit vel. a Conv m que os servicos e recursos que possibilitar o isto ocorrer sejam previstos contemplando e a pessoal, recursos em geral al m dos de tecnologia de informacao, assim como itens de reposicao dos e recursos e instalacoes de processamento da informacao.
3.9.1.4 Estrutura do plano de continuidade do neg cio o A Norma (p.46 e 47) aborda este tema da seguinte forma:
Conv m que uma estrutura b sica dos planos de continuidade do neg cio seja mantida para se assee a o gurar que todos os planos sejam consistentes e para identicar prioridades para testes e manutencao. E importante que cada plano de continuidade do neg cio especique claramente as condicoes da sua o ativacao, assim como as responsabilidades individuais para a execucao de cada uma das atividades do plano. Quando novos requisitos s o identicados, e importante que os procedimentos de emerg ncia a e relacionados sejam ajustados de forma apropriada, por exemplo os planos de evacuacao ou qualquer acordo de recuperacao da capacidade de processamento. Conv m que uma estrutura de planejamento para continuidade do neg cio considere os seguintes e o itens: a) as condicoes para ativacao dos planos, os quais descrevem os processos a serem seguidos previa ` mente a sua ativacao (como se avaliar a situacao, quem deve ser acionado, etc.); b) os procedimentos de emerg ncia que descrevam as acoes a serem tomadas ap s a ocorr ncia de e o e um incidente que coloque em risco as operacoes do neg cio e/ou vidas humanas. Conv m que o e isto inclua procedimentos para a gest o das relacoes p blicas e para o contato ecaz com as a u autoridades p blicas apropriadas, tais como polcia, bombeiros e governo local; u c) procedimentos de recuperacao que descrevam as acoes necess rias para a transfer ncia das ativi a e dades essenciais do neg cio ou os servicos de infra-estrutura para localidades alternativas temo por rias e para a reativacao dos processos do neg cio no prazo necess rio; a o a d) procedimentos de recuperacao que descrevam as acoes a serem adotadas quando do restabeleci mento das operacoes; UNESP/FEG-CEIE, 2004 124
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a e) uma programacao de manutencao que especique quando e como o plano dever ser testado e a a ` forma de se proceder a manutencao deste plano; f) desenvolvimento de atividades educativas e de conscientizacao com o prop sito de criar o entendi o mento do processo de continuidade do neg cio e de assegurar que os processos continuem a o serem efetivos; g) designacao das responsabilidades individuais, descrevendo quem e respons vel pela execucao de a que item do plano. Conv m que suplentes sejam denidos quando necess rios. e a E importante que cada plano possua um respons vel. Conv m que os procedimentos de emerg ncia, a e e planos de retomada manual e os planos de recuperacao quem sob a guarda do respectivo respons vel a pelos processos e recursos envolvidos. Conv m que atividades de recuperacao de servicos t cnicos, e e tais como processamento da informacao e instalacoes de comunicacao, sejam usualmente de respon sabilidade dos fornecedores destes servicos.
3.9.1.5 Testes, manutencao e reavaliacao dos planos de continuidade do neg cio o Testes dos planos Sobre este item, a NBR ISO 17799 (p.47) diz o seguinte:
Os planos de continuidade do neg cio podem apresentar falhas quando testados, geralmente devido o a pressupostos incorretos, omiss es ou mudancas de equipamentos e de pessoal. Por isto conv m o e que eles sejam testados regularmente, de forma a garantir sua permanente atualizacao e efetividade. E importante que tais testes tamb m assegurem que todos os membros da equipe de recuperacao e e outras pessoas de relev ncia est o conscientes sobre os planos. a a E importante que o planejamento e a programacao dos testes do(s) plano(s) de continuidade do neg cio indiquem como e quando cada elemento deve ser testado. E recomend vel que os como a ponentes isolados do(s) plano(s) sejam freq entemente testados. Conv m que v rias t cnicas sejam u e a e utilizadas, de modo a garantir a conanca de que o(s) plano(s) ir ( o) operar consistemente em casos aa reais. Conv m que sejam considerados: e a) testes de mesa simulando diferentes cen rios (verbalizando os procedimentos de recuperacao para a diferentes formas de interrupcao); b) simulacoes (particularmente util para o treinamento do pessoal nas suas atividades gerenciais p s o crise); c) testes de recuperacao t cnica (garantindo que os sistemas de informacao possam ser efetivamente e recuperados); d) testes de recuperacao em um local alternativo (executando os processos de neg cio em paralelo o com a recuperacao das operacoes);
125
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a e) testes dos recursos, servicos e instalacoes de fornecedores (garantindo que os servicos e produtos fornecidos atendam aos requisitos contratados); f) ensaio geral (testando se a organizacao, o pessoal, os equipamentos, os recursos e os processos podem enfrentar interrupcoes). Estas t cnicas podem ser utilizadas por qualquer organizacao e conv m que elas reitam a natureza e e do plano de recuperacao especco.
Manutencao e reavaliacao dos planos Sobre este ponto, a Norma (p.47) coloca o seguinte:
E importante que os planos de continuidade do neg cio sejam mantidos por meio de an lises crticas o a regulares e atualizacoes, de forma a assegurar a sua contnua efetividade (ver 11.1.5.1). Conv m e que procedimentos sejam includos no programa de gerenciamento de mudancas da organizacao, de ` forma a garantir que as quest es relativas a continuidade de neg cios est o devidamente tratadas. o o a Conv m que a responsabilidade pelas an lises crticas peri dicas de cada parte do plano seja denida e a o e estabelecida; conv m que a identicacao de mudancas nas atividades do neg cio que ainda n o tene o a ham sido contempladas nos planos de continuidade de neg cio seja seguida da apropriada atualizacao. o Conv m que um controle formal de mudancas assegure que os planos atualizados s o distribudos e e a reforcados por an lises crticas peri dicas do plano como um todo. a o Exemplos de situacoes que podem demandar atualizacoes nos planos incluem a aquisicao de novo equipamento, ou atualizacao dos sistemas operacionais e alteracoes: a) de pessoal; b) de enderecos ou n meros telef nicos; u o c) de estrat gia de neg cio; e o d) na localizacao, instalacoes e recursos; e) na legislacao; f) em prestadores de servico, fornecedores e clientes-chave; g) de processos (inclus es e exclus es); o o h) no risco (operacional e nanceiro).
3.10 Conformidade
3.10.1 Conformidade com requisitos legais
A Norma (p.48) dene o seguinte:
126
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a Objetivo: Evitar violacao de qualquer lei criminal ou civil, estatutos, regulamentacoes ou obrigacoes contratuais e de quaisquer requisitos de seguranca. O projeto, a operacao, o uso e a gest o de sistemas de informacao podem estar sujeitos a requisitos a de seguranca contratuais, regulamentares ou estatut rios. a Conv m que consultoria em requisitos legais especcos seja procurada em organizacoes de cone sultoria jurdica ou em prossionais liberais, adequadamente qualicados nos aspectos legais. Os requisitos legislativos variam de pas para pas e tamb m para a informacao criada em um pas e e transmitida para outro (isto e, uxo de dados internacional).
3.10.1.1 Identicacao da legislacao vigente Sobre este tema, a Norma (p.48) coloca o seguinte:
Conv m que estatutos, regulamentacoes ou cl usulas contratuais relevantes sejam explicitamente e a denidos e documentados para cada sistema de informacao. Conv m que os controles e as respons e abilidades especcos para atender a estes requisitos sejam, de forma similar, denidos e documenta dos.
3.10.1.2 Direitos de propriedade intelectual Direitos autorais Acerca deste assunto, a Norma (p.48) coloca o seguinte:
Conv m que procedimentos apropriados sejam implementados para garantir a conformidade com as e restricoes legais no uso de material de acordo com leis de propriedade intelectual, como as de direitos autorais, patentes ou marcas registradas. A violacao do direito autoral pode levar a uma acao legal envolvendo processos criminais. Legislacao, regulamentacao e cl usulas contratuais podem estabelecer restricoes para c pia de mate a o rial que tenha direitos autorais. Em particular, pode ser requerido que somente material que seja desenvolvido pela organizacao ou que foi licenciado ou fornecido pelos desenvolvedores para a organizacao seja utilizado.
Direitos autorais de software A Norma (p.48) exp e esse tema da seguinte forma: o
Produtos de software propriet rios s o normalmente fornecidos sob um contrato de licenciamento a a que restringe o uso dos produtos em m quinas especicadas e que pode limitar a c pia apenas para a o
127
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a criacao de uma c pia de seguranca. o Conv m que os seguintes controles sejam considerados: e a) divulgar uma poltica de conformidade de direito autoral de software que dena o uso legal de produtos de software e de informacao; b) emitir padr es para procedimentos de aquisicao de produtos de software o c) manter atencao sobre a poltica de aquisicao e de direitos autorais de software e noticar a intencao de tomar acoes disciplinares contra colaboradores que violarem essas polticas; d) manter adequadamente os registros de ativos; e) manter provas e evid ncias da propriedade de licencas, discos-mestres, manuais, etc.; e f) implementar controles para assegurar que o n mero m ximo de usu rios permitidos n o exceda o u a a a n mero de licencas adquiridas; u g) conduzir vericacoes para que somente produtos de software autorizados e licenciados sejam instalados; h) estabelecer poltica para a manutencao das condicoes adequadas de licencas; i) estabelecer uma poltica para disposicao ou transfer ncia de software para outros; e j) utilizar ferramentas de auditoria apropriadas; k) cumprir termos e condicoes para software e informacao obtidos a partir de redes p blicas (ver u tamb m 8.7.6). e
3.10.1.3 Salvaguarda de registros organizacionais Sobre este tema, a Norma (p.49) aborda o seguinte:
Conv m que registros importantes de uma organizacao sejam protegidos contra perda, destruicao e e falsicacao. Alguns registros podem precisar ser retidos de uma forma segura para atender a requisi tos estatut rios ou regulamentares, assim como para apoiar as atividades essenciais do neg cio. Exa o emplo disso s o os registros que podem ser exigidos como evid ncia de que uma organizacao opera a e de acordo com as regras estatut rias e regulamentares, ou que podem assegurar a defesa adequada a contra potenciais processos civis ou criminais ou conrmar a situacao nanceira de uma organizacao perante acionistas, parceiros e auditores. O perodo de tempo e o conte do da informacao retida po u dem ser denidos atrav s de leis ou regulamentacoes nacionais. e Conv m que registros sejam categorizados em tipos de registros, tais como registros cont beis, rege a istros de base de dados, registros de transacoes, registros de auditoria e procedimentos operacionais, cada qual com detalhes do perodo de retencao e do tipo de mdia de armazenamento, como por ex emplo, papel, microcha, meio magn tico ou otico. Conv m que quaisquer chaves de criptograa e e relacionadas com arquivos cifrados ou assinaturas digitais (ver 10.3.2 e 10.3.3) sejam mantidas de forma segura e tornadas disponveis para as pessoas autorizadas quando necess rio. a UNESP/FEG-CEIE, 2004 128
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a Conv m que cuidados sejam tomados a respeito da possibilidade de degradacao das mdias usadas no e armazenamento dos registros. Conv m que os procedimentos de armazenamento e tratamento sejam e implementados de acordo com as recomendacoes dos fabricantes. Onde mdias eletr nicas armazenadas forem escolhidas, conv m que sejam includos procedimentos o e para assegurar a capacidade de acesso aos dados (leitura tanto na mdia como no formato utilizado) durante o perodo de retencao, para proteger contra perdas ocasionadas pelas futuras mudancas na tecnologia. Conv m que sistemas de armazenamento de dados sejam escolhidos de modo que o dado solicitado e possa ser recuperado de forma aceit vel pelo tribunal de justica, como, por exemplo, todos os rega istros solicitados possam ser recuperados nos prazos e nos formatos aceit veis. a Conv m que o sistema de armazenamento e tratamento assegure a clara identicacao dos registros e e dos seus perodos de retencao estatut rios e regulamentares. Conv m que seja permitida a destruicao a e ` apropriada dos registros ap s esse perodo, caso n o sejam mais necess rios a organizacao o a a Para atender a estas obrigacoes, conv m que os seguintes passos sejam tomados dentro da organizacao. e a) Emitir diretrizes gerais para retencao, armazenamento, tratamento e disposicao de registros e informacoes. b) Elaborar uma programacao para retencao, identicando os tipos de registro essenciais e o perodo que cada um deve ser mantido. c) Manter um invent rio das fontes de informacoes-chave. a d) Implementar controles apropriados para proteger registros e informacoes essenciais de perda, destruicao e falsicacao.
3.10.1.4 Protecao de dados e privacidade da informacao pessoal Sobre este tema, a Norma (p.49) coloca o seguinte:
Alguns pases t m promulgado leis que estabelecem controles no processamento e na transmiss o e a de dados pessoais (geralmente informacao sobre indivduos vivos que podem ser identicados a par tir de tais informacoes). Tais controles podem impor responsabilidades sobre aqueles que coletam, processam e disseminam informacao pessoal, e podem restringir a capacidade de transfer ncia desses e dados para outros pases. Conformidade com leis de protecao de dados necessita de uma estrutura de gest o e de controles apro a priados. Geralmente isto e melhor alcancado atrav s da indicacao de um respons vel para protecao de e a dados que deve fornecer orientacoes gerais para gestores, usu rios e provedores de servico sobre as a responsabilidades de cada um e sobre quais procedimentos especcos recomenda-se seguir. Conv m e que seja responsabilidade do propriet rio do dado noticar ao respons vel pela protecao de dados a a
129
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a sobre qualquer proposta de armazenamento de informacoes pessoais em um arquivo estruturado e garantir a capacitacao nos princpios de protecao de dados denidos na legislacao vigente.
3.10.1.5 Prevencao contra uso indevido de recursos de processamento da informacao A Norma (p.49 e 50) coloca o seguinte:
Os recursos de processamento da informacao de uma organizacao s o fornecidos para prop sitos a o do neg cio. A direcao deve autorizar o seu uso. Conv m que qualquer uso destes recursos para o e prop sitos n o prossionais ou n o autorizados, sem a aprovacao da direcao, seja considerado como o a a uso impr prio. Se essa atividade for identicada por processo de monitoracao ou outros meios, o conv m que seja levada ao conhecimento do gestor respons vel para que sejam aplicadas as acoes e a disciplinares cabveis. A legalidade do processo de monitoracao do uso varia de pas para pas e pode requerer que os funcion rios sejam avisados dessa monitoracao ou estejam formalmente em concord ncia com este a a processo. Conv m que se busque uma assessoria legal antes da implementacao dos procedimentos de e monitoracao. Muitos pases possuem, ou t m em processo de promulgacao, leis de protecao contra o uso impr prio e o de computadores. Pode ser crime o uso de um computador para ns n o autorizados. Desta forma, a e essencial que os usu rios estejam conscientes do escopo exato de suas permiss es de acesso. Isto a o pode, por exemplo, ser alcancado pelo registro das autorizacoes dos usu rios por escrito, recomendando a se que a c pia seja assinada pelo usu rio e armazenada de forma segura pela organizacao. Conv m o a e que os funcion rios de uma organizacao e prestadores de servico sejam informados de que nenhum a acesso e permitido, com excecao daqueles que foram autorizados. No momento da conex o inicial conv m que seja apresentada uma mensagem de advert ncia na tela a e e do computador, indicando que o sistema que est sendo acessado e privado e que n o s o permitidos a a a ` acessos n o autorizados. O usu rio tem que conrmar e reagir adequadamente a mensagem na tela a a para continuar com o processo de conex o. a
3.10.1.6 Regulamentacao de controles de criptograa Sobre este tema, a Norma (p.50) coloca o seguinte:
Alguns pases t m estabelecido acordos, leis, regulamentacoes ou outros instrumentos para controlar e o acesso ou uso de controles de criptograa. Tais controles podem incluir: a) importacao e/ou exportacao de hardware e software de computador para execucao de funcoes criptogr cas; a UNESP/FEG-CEIE, 2004 130
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a b) importacao e/ou exportacao de hardware e software de computador que foi projetado para ter funcoes criptogr cas embutidas; a ` c) m todos mandat rios ou descricion rios de acesso dos pases a informacao cifrada por hardware e o a ou software para fornecer condencialidade ao conte do. u Conv m que assessoria jurdica seja obtida para garantir a conformidade com a legislacao nacional e vigente. Tamb m conv m que seja obtida assessoria jurdica antes de se transferirem informacoes e e cifradas ou controles de criptograa para outros pases.
3.10.1.7 Coleta de evid ncias e Regras para evid ncias e Sobre este assunto, a Norma (p.50) menciona o seguinte:
E necess rio ter evid ncias adequadas para apoiar um processo jurdico contra uma pessoa ou organizacao. a e Sempre que este processo for uma quest o disciplinar interna, as evid ncias necess rias estar o dea e a a scritas nos procedimentos internos. Quando o processo envolver a lei, civil ou criminal conv m que as evid ncias apresentadas estejam e e de acordo com as regras de evid ncias estabelecidas pela lei ou tribunal de justica especco onde o e caso ser julgado. Em geral, estas regras abrangem: a a) admissibilidade da evid ncia: se a evid ncia pode ser ou n o utilizada pela corte; e e a b) import ncia da evid ncia: qualidade e inteireza da evid ncia; a e e c) evid ncia adequada de que controles estavam operando correta e consistentemente (isto e, proe cesso de controle de evid ncias) durante todo o perodo que a evid ncia recuperada foi are e mazenada e processada pelo sistema.
Admissibilidade da evid ncia e Sobre este tema, a Norma (p. 50) coloca o seguinte:
Para obter admissibilidade da evid ncia, recomenda-se que as organizacoes garantam que seus sise temas de informacao est o em conformidade com qualquer norma ou c digo de pr tica publicado a o a para producao de evid ncia admissvel. e
Qualidade e inteireza da evid ncia e A Norma (p.50) aborda este tema da seguinte forma:
Para obter qualidade e inteireza da evid ncia, uma boa trilha de evid ncias e necess ria. Em geral, e e a tal trilha pode ser estabelecida sob as seguintes condicoes.
131
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a a) Para documentos em papel: o original e mantido de forma segura e s o mantidos registros sobre a quem encontrou, onde foi encontrado, quando foi encontrado e quem testemunhou a descoberta. Conv m que qualquer investigacao garanta que os originais n o foram adulterados. e a b) Para informacoes em mdia eletr nica: conv m que c pias de qualquer mdia removvel, informacoes o e o em disco rgido ou em mem ria sejam obtidas para garantir a disponibilidade. Conv m que o o e registro de todas as acoes durante o processo de c pia seja mantido e o processo seja teste o munhado. Conv m que uma c pia da mdia magn tica e um dos registros sejam mantidos de e o e forma segura. Quando um incidente e detectado, pode n o ser obvio que resultar num possvel processo jurdico. a a Entretanto, existe o perigo de que a evid ncia necess ria seja destruda acidentalmente antes que seja e a percebida a seriedade do incidente. E conveniente envolver um advogado ou a polcia t o logo seja a constatada a possibilidade de processos jurdicos e obter consultoria sobre as evid ncias necess rias. e a
3.10.2 An lise crtica da poltica de seguranca e da conformidade t cnica a e

A Norma em (p.50) dene o seguinte sobre esse assunto:
Objetivo: Garantir conformidade dos sistemas com as polticas e normas organizacionais de seguranca. Conv m que a seguranca dos sistemas de informacao seja analisada criticamente a intervalos regue lares. Conv m que tais an lises crticas sejam executadas com base nas polticas de seguranca apropriadas e a e que as plataformas t cnicas e sistemas de informacao sejam auditados na conformidade com as e normas de seguranca implementadas.
3.10.2.1 Conformidade com a poltica de seguranca Sobre este assunto, a Norma (p.51) coloca o seguinte:
Conv m que gestores garantam que todos os procedimentos de seguranca dentro da sua area de e responsabilidade est o sendo executados corretamente. Adicionalmente, conv m que todas as areas a e dentro da organizacao sejam consideradas na an lise crtica peri dica, para garantir a conformidade a o com as normas e polticas de seguranca. Conv m que isto inclua o seguinte: e a) sistemas de informacao; b) provedores de sistemas; c) propriet rios das informacoes e ativos de informacao; a d) usu rios; a e) direcao. UNESP/FEG-CEIE, 2004 132
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a Conv m que os propriet rios dos sistemas de informacao (ver 5.1) ap iem as an lises crticas peri dicas e a o a o de conformidade dos seus sistemas com as polticas de seguranca, normas e qualquer outro requisito de seguranca apropriado. A monitoracao operacional do uso do sistema e coberta em 9.7.
3.10.2.2 Vericacao da conformidade t cnica e Neste tema, a Norma (p.51) faz as seguintes colocacoes:
Conv m que sistemas de informacao sejam periodicamente vericados em sua conformidade com e as normas de seguranca implementadas. Vericacao de conformidade t cnica envolve a an lise dos e a sistemas operacionais para garantir que controles de hardware e software foram corretamente implementados. Este tipo de vericacao de conformidade requer a assist ncia de t cnicos especial e e izados. Conv m que seja executado manualmente (auxiliado por funcoes de software apropriadas, se e necess rio) por um engenheiro de sistemas experiente ou por funcoes de software que gerem relat rio a o t cnico para interpretacao subseq ente por um t cnico especialista. e u e Vericacao de conformidade tamb m engloba, por exemplo, testes de invas o, que podem ser exe e a cutados por especialistas independentes contratados especicamente para este m. Isto pode ser util na deteccao de vulnerabilidades do sistema e na vericacao do quanto os controles s o ecientes na a prevencao de acessos n o autorizados devido a estas vulnerabilidades. Conv m que cuidados sejam a e tomados em testes de invas o cujo sucesso pode levar ao comprometimento da seguranca do sistema a e inadvertidamente explorar outras vulnerabilidades. Conv m que qualquer vericacao de conformidade t cnica somente seja executada por, ou sob supere e vis o de, pessoas competentes e autorizadas. a
` 3.10.3 Consideracoes quanto a auditoria de sistemas

A Norma (p.51) tem denido o seguinte:
Objetivo: Maximizar a ec cia e minimizar a interfer ncia no processo de auditoria de sistemas. a e Conv m que existam controles para a salvaguarda dos sistemas operacionais e ferramentas de audie toria durante as auditorias de sistema. Protecao tamb m e necess ria para salvaguardar a integridade e prevenir o uso indevido das ferra e a mentas de auditoria.
3.10.3.1 Controles de auditoria de sistema Sobre este tema, a Norma (p.51) coloca o seguinte:
Conv m que requisitos e atividades de auditoria envolvendo vericacao nos sistemas operacionais e
133
An lise Comentada da NBR ISO/IEC 17799: Uma contribuicao para a gest o da seguranca da informacao a a sejam cuidadosamente planejados e acordados, para minimizar os riscos de interrupcao dos processos de neg cio. Recomenda-se que seja observado o seguinte. o a) Conv m que os requisitos de auditoria sejam acordados com o nvel apropriado da direcao. e b) Conv m que o escopo da vericacao seja acordado e controlado. e c) Conv m que a vericacao esteja limitada ao acesso somente para leitura de software e dados. e d) Conv m que outros acessos diferentes de apenas leitura sejam permitidos somente atrav s de e e c pias isoladas dos arquivos do sistema, que devem ser apagados ao nal da auditoria. o e) Conv m que recursos de tecnologia para execucao da vericacao sejam identicados explicitae mente e tornados disponveis. f) Conv m que requisitos para processamento adicional ou especial sejam identicados e acordados. e g) Conv m que todo acesso seja monitorado e registrado de forma a produzir uma trilha de refer ncia. e e h) Conv m que todos os procedimentos, requerimentos e responsabilidades sejam documentados. e
3.10.4 Protecao das ferramentas de auditoria de sistemas

Sobre este assunto a Norma, (p.51) coloca o seguinte teor:
` Conv m que acessos as ferramentas de auditoria de sistemas, isto e, software ou arquivos de dados, e sejam protegidos para prevenir contra qualquer possibilidade de uso impr prio ou comprometimento. o Conv m que tais ferramentas sejam separadas de sistemas em desenvolvimento e em operacao e e n o sejam mantidas em tas de biblioteca ou areas de usu rios, a menos que fornecam um nvel a a apropriado de protecao adicional.
134
Captulo 4
Conclusoes
4.1 Presente e Futuro
A Seguranca da Informacao est tornando-se um fator priorit rio na tomada de decis es e nos a a o investimentos em Tecnologia da Informacao das empresas e organizacoes em geral. Isso pode ser notado pelas informacoes publicadas pela M dulo Security na sua 9a. Pesquisa Anual ([5], p.05), o que indicam uma forte preocupacao em relacao a seguranca da informacao dentro das organizacoes. Parece inevit vel que essa busca pela seguranca avance para fora dos limites das organizacoes, a que passar o a obrigar seus parceiros comerciais a se enquadrarem nos aspectos de seguranca da a informacao, conrmado por S mola ([2]), quando diz que: e
A preocupacao com a seguranca da informacao transcender o aspecto tecnol gico e os limites a o fsicos e l gicos da empresa, indo buscar - e, posteriormente, cobrar - a mesma sintonia e conformi o dade com os demais parceiros da cadeia produtiva. (Op.cit.,p.72)
Al m disso, n o se pode deixar de lembrar, a depend ncia da informacao, cada vez maior, e a e faz com que incidentes de seguranca possam comprometer cada vez mais a capacidade produtiva das empresas, aumentado a percepcao dos riscos pela falta de cuidados com estes aspectos.
Outro ponto importante para a adocao de uma poltica de seguranca est associado ao im a pacto de novas leis e regulamentacoes no mercado de Tecnologia da Informacao. Rocha ([18]), em artigo publicado no site da M dulo Security, coloca que as novas legislacoes indicam que, cada o vez mais, ser o expandidos os controles sobre a integridade da informacao, citando o Novo C digo a o Civil Brasileiro, o Novo Acordo de Capitais da Basil ia e o Sarbanes-Oxley Act (EUA). Ainda soe bre a Sarbanes-Oxley Act, Peixoto ([19]), em artigo tamb m publicado no site da M dulo Security, e o
detalha esse impacto e ressalta dois pontos, a seguranca de sistemas de informacao e o controle dos registros.
Se pelo lado das empresas e organizacoes est ocorrendo um forte movimento dos legis a ladores na criacao de instrumentos legais de controle e punicao, tamb m sobre os prossionais e da informacao comecam a surgir legislacoes especcas sobre a responsabilidade legal nos seus trabalhos. Costa ([20]) publica artigo no site da M dulo Security, onde arma que : o
Al m da responsabilidade etica e prossional daqueles que cuidam da informacao e meios de comunicacao, e temos ainda a responsabilidade legal. Alargada pelo novo C digo Civil, atualmente os prossionais o desta area respondem legalmente pelos danos causados atrav s dos meios eletr nicos. (Op.cit.) e o
Assim identica-se os tr s grandes Agentes que poder o impulsionar a adequacao das e a organizacoes as Legislacoes, Normas e Regulamentacoes sobre seguranca da informacao. Os ` primeiros agentes ser o as pr prias organizacoes, como uma condicao de continuidade de neg cios a o o ` e, as vezes, at mesmo de sobreviv ncia. Os segundos agentes ser o os Dirigentes dessas empree e a sas e organizacoes (o que n o impedir acoes divergentes ao discurso apresentado), e os terceiros a a agentes ser o os prossionais de Tecnologia da Informacao, ambos motivados pelas responsabilia dades legais que est o sendo atribudas a eles. a Vale a pena tamb m alertar sobre as armadilhas ou pecados que s o comumente praticados e a e que certamente ir o fazer com que aumente muito as diculdades na implantacao das medidas a necess rias para viabilizar o processo de seguranca, dentro da organizacao. Em primeiro lugar, a e preciso perceber a amplitude desse trabalho, e perceber que se vai modicar signicativamente os h bitos e costumes dentro da organizacao. Ser realmente uma mudanca profunda na cultura a a organizacional e, tenha certeza, muitas resist ncias ir o ocorrer, pois muitas pessoas ser o tiradas e a a de suas zonas de conforto e car o furiosas por isso. Segundo Wadlow ([1], p.12), as seguintes a diculdades podem ocorrer: Prioridade e disponibilidade das pessoas envolvidas; Poltica Interna. Qualquer empresa, de qualquer porte, possui fatores internos que afetam qualquer decis o ou pr tica; a a Propriedade. Poderemos deparar com empresas onde muitos querem ser donos da poltica e em outras onde ningu m quer ter a responsabilidade por ela. e ` S mola ([2], p.20) alerta tamb m quanto a percepcao da dimens o do assunto, pois, muitas e e a vezes, a direcao da organizacao tem uma vis o mope e distorcida do assunto, vendo parcialmente o a
problema ou apenas os aspectos associados a tecnologia, como Internet, redes, computador, email, vrus e hacker. Ainda segundo S mola, isso induz que sejam cometidos os seguintes enganos: e ` Atribuir somente a area de Tecnologia da Informacao a quest o da Seguranca; a Posicionar hierarquicamente essa equipe abaixo da diretoria de TI; Investimentos subestimados; Planos de acao orientados a reatividade; N o ter a percepcao da relacao da seguranca com o neg cio; a o ` Dar as atividades a conotacao de despesas e n o de investimentos; a Adotar ferramentas pontuais como medida paliativa; Ficar satisfeitos com o resultado de acoes isoladas; N o desenvolver a cultura de seguranca dentro da organizacao; a N o tratar a seguranca como um processo contnuo. a Assim, saiba que certamente nenhuma atividade no sentido de aumento dos nveis de seguranca de uma organizacao, independente de qual seja e seu tamanho, poder ser considerada a uma atividade tranq ila e r pida. N o importa quanto apoio se tem da direcao da empresa, nem u a a da ades o visvel do corpo gerencial, os avancos n o ser o r pidos. Cada avanco custar muito a a a a a esforco e os resultados nem sempre ser o como desejado. Al m disso, exercite sua capacidade de a e negociacao, pois ser usada com muita freq encia. Sobre isso, Wadlow ([1]) diz o seguinte : a u
Uma boa poltica hoje e melhor do que uma excelente poltica no pr ximo ano; o Uma poltica fraca, mas bem-distribuda, e melhor do que uma poltica forte que ningu m leu; e Uma poltica simples e facilmente compreendida e melhor do que uma poltica confusa e complicada que ningu m se d o trabalho de ler; e a Uma poltica cujos detalhes est o ligeiramente errados e muito melhor do que uma poltica sem a quaisquer detalhes; Uma poltica din mica que e utilizada constantemente e melhor do que uma poltica que se torna a obsoleta com o passar do tempo; Costuma ser melhor se desculpar do que pedir demiss o. (Op.cit.,p.13) a
137
Uma das maiores diculdades em se manter nveis adequados de seguranca nos ativos da informacao e a velocidade das mudancas. E essa velocidade, al m da din mica dos neg cios, e a o quando a organizacao precisa ser agil para acompanhar as mudancas do mercado onde atua, reete tamb m as mudancas das vari veis externas e internas que afetam os riscos que podem expor a e a organizacao a incidentes de seguranca. Al m disso, deve ser considerado que o permetro de um e ambiente cresceu muito, em funcao dos usu rios remotos e dos usu rios m veis (notebooks). a a o Face a isso, percebemos a necessidade de um conjunto de ferramentas que permitam um acom panhamento mais agil e eciente, para manter os nveis de seguranca do ambiente. No desen volvimento deste trabalho, n o se conseguiu identicar um conjunto integrado e coeso para cobrir a completamente essa necessidade. Foram identicadas ferramentas que auxiliam nessa tarefa, mas cada uma delas prov um cone junto de funcionalidades que cobre segmentos especcos, sem formar um todo. Pode-se citar as seguintes ferramentas: Para Gest o de Conhecimento e Gerenciamento de Riscos, uma alternativa para essa fera ramenta e o Check-up Tool
1
da M dulo Secutiry. Este produto prop e fornecer, al m do o o e
software, uma metodologia amparada em uma base de conhecimento, que permitir , a partir a de um invent rio dos ativos da informacao, um diagn stico con vel dos riscos de seguranca. a o a Para o Sistema de Controle de Ativos existem ferramentas de boa qualidade, como as citadas em 3.3.1.1, que permitem um invent rio autom tico dos ativos atrav s do protocolo SNMP, a a e mas que n o tratam os recursos humanos. a Para o Controle de Suporte e Manutencao existem ferramentas, a maioria j integrada ao a Sistema de Controle de ativos, que permitem a formacao de um hist rico, que poder gerar o a conhecimento especco de sua organizacao a ser introduzido na base de conhecimento para gerenciamento de riscos (vide 3.3.1.1). Mas observe que tamb m n o tratam dos recursos e a humanos, apesar de ser um dos maiores causadores de geracao de necessidade de suporte, o que, muitas vezes, indica necessidade de treinamento e reciclagem de conhecimento. Para a validacao de acesso, j e possvel identicar produtos que fazem, pelo menos par a cialmente, essa atividade, como o Symantec Client Security, que garante a conformidade de rewall, IDS, e antivrus, mas que n o verica, por exemplo, as correcoes do sistema op a eracional que ainda n o foram aplicadas. E esse recurso e necess rio, principalmente, para a a usu rios remotos ou m veis (notebook). a o
1
https://www.securityshopping.com.br/
138
Em face a isto, vale uma proposta de sistema. Essa proposta passa pelo desenvolvimento de uma ferramenta que integre um conjunto de produtos j existentes, algo difcil, face aos fabricantes a de software que, em muitos casos, mant m em segredo informacoes essenciais para esse tipo de e trabalho. Outra possibilidade, seria o desenvolvimento de uma ferramenta completa, integrada ` com essas funcionalidades, o que tamb m n o seria um trabalho simples, face a complexidade dos e a t picos envolvidos. De qualquer forma, seria preciso ter em nossos bancos de dados, no mnimo, o as informacoes conforme Figura 4.1:
Figura 4.1: Tabelas para os Bancos de Dados.
A id ia desse uxo e ilustrar a din mica do sistema de controle. Ele dever ter tr s bancos e a a e de dados: 1. Banco de dados de conhecimento, que dever conter todas as informacoes necess rias para a a o gerenciamento de riscos, como por exemplo, vulnerabilidades, legislacoes, patches de correcoes, etc. Estas informacoes devem estar classicadas para indicar a Probabilidade
de ocorrerem, a Severidade dos danos que podem causar e a Relev ncia para a organizacao a dos ativos que podem ser atingidos; 2. Banco de dados dos ativos da informacao, que dever conter n o apenas os ativos de hard a a ware e software identicados pelo levantamento atrav s da rede (SNMP), mas tamb m recure e sos humanos. Talvez seja necess rio pensar em uma integracao com o sistema de Recursos a Humanos da Empresa, para avaliar situacoes como funcion rios desligados, afastados, em a f rias, transferidos de departamento (quando seus direitos a informacao mudam), etc. Vale e registrar que nestes ativos, sejam hardware, software ou pessoas, dever o estar indicados a o seu grau de relev ncia para a organizacao, no caso de serem atingidos por incidentes de a seguranca. 3. Banco de dados de ocorr ncias, que dever conter os registros das ocorr ncias de suporte e e a e manutencao, tanto relacionadas com recursos de hardware e software como humanos. Na Figura 4.2 pode-se notar as seguintes interacoes no Sistema de Gest o de Conhecimento e a Gerenciamento de Riscos: 1. Gestores de seguranca da informacao - Ser o os respons veis pela Classicacao PSR 2 das a a informacoes dos riscos e an lise dos alertas; a 2. Consultoria externa de seguranca da informacao - Ser respons vel pela introducao de informacoes a a quanto as novas vulnerabilidades de hardware e principlamente software; 3. Banco de Dados de ocorr ncias nos ativos da informacao - Tamb m poder gerar informacoes e e a relevantes para a base de conhecimento a partir dessas ocorr ncias, que podem indicar noe vas vulnerabilidades especcas de seu ambiente. Esta funcionalidade/sistema dever ser a utilizada pela area de Call Center ou Help Desk; 4. Banco de Dados de ativos da informacao, que dever ser gerado pela auditoria na rede usando a recursos do protocolo SNMP e de uma interacao com a area de Recursos Humanos, que dever alimentar as informacoes sobre os Usu rios, como, por exemplo, uma transfer ncia a a e ou promocao pode signicar um aumento de relev ncia dentro do contexto de seguranca. a Esta funcionalidade/sistema dever ser utilizada pela areas de Administracao de Rede; a 5. Sistema de validacao de equipamentos e usu rios. Um ponto muito importante, uma vez a ` que os bancos de dados estejam completos e atualizados. O usu rio, ao se conectar a rede, a
2
PSR - Probabilidade, Severidade e Relev ncia a
140
dever ter seu equipamento inspecionado para garantir que esteja em conformidade com as a polticas, normas e que n o tenha nenhum problema que coloque em risco o ambiente. Por a exemplo, vericar que todos os patches de correcao do sistema operacional estejam aplica dos, que esteja usando a ultima vers o do antivrus, que as polticas do rewall local estejam a compatveis com as do ambiente corporativo, etc. O Acesso deve ser liberado se a estacao estiver de acordo com os requisitos mnimos exigidos pelo Sistema de Gerenciamento de Risco. Caso existam incompatibilidades que impecam ou n o a conex o na rede, os Ge a a stores da Seguranca da Informacao dever o ser informados do problema e agir sobre eles. a Al m disso, dever trabalhar em conjunto com o controlador de domnio, para validar o e a acesso do usu rio quanto aos direitos que possui e, usando informacoes extradas da area a de Recursos Humanos, bloquear acessos de funcion rio que esteja impedido de faz -lo, por a e exemplo, em f rias, afastado ou demitido. e
Figura 4.2: Fluxo da Proposta de Sistema de controle de riscos.
141
Ferramentas com as caractersticas propostas, ser o de grande utilidade e que, natural a mente, os desenvolvedores de solucoes para seguranca de informacao ir o caminhar nessa direcao. a
Usando as palavras com que S mola ([2]) naliza seu livro: e

` ` Independentemente das futuras transformacoes relacionadas aos processos, a forma e a tecnologia adotadas para promover o uxo de dados na empresa, estes estar o sempre suportando informacoes a que n o poder o sair de nossa alca de mira. (Op.cit., p.154) a a
142
Referencias Bibliogracas
[1] WADLOW, T. Seguranca de Redes - Projeto e gerenciamento de redes seguras. Rio de Janeiro: Editora Campus, 2000. a a [2] SEMOLA, M. Gest o da Seguranca da Informacao - Uma vis o executiva. Rio de Janeiro: Editora Campus, 2003. [3] NORTHCUTT, S. e. o. Desvendando Seguranca em Redes. Rio de Janeiro: Editora Campus, 2002. [4] 17799, N. I. Tecnologia da informacao - C digo de pr tica para a gest o da seguranca da o a a informacao. Rio de Janeiro, 2001. (Tech. report, NBR ISO/IEC 17799:2001). [5] MODULO, S. S. 9a. pesquisa nacional de seguranca da informacao. Disponvel em : http://www.modulo.com.br/pdf/nona_pesquisa_modulo.pdf. Acesso em 01 fev 2004. [6] MITNICK K.D.; SIMON, W. A Arte de Enganar - Ataques de Hackers : Controlando o Fator Humano na Seguranca da Informacao. S o Paulo: Pearson Education, 2003. a [7] GIL, A. L. Seguranca em Inform tica. S o Paulo: Editora Atlas, 1998. a a [8] NERY, F. P. M. Cobit ou iso 17799 ? iniciando a reex o. Disponvel em : a
http://www.modulo.com.br/pdf/cobit_iso.pdf. Acesso em 01 fev 2004. [9] NICBR, S. O. Pr ticas de seguranca para administradores de rede internet. Disponvel em : a http://www.nbso.nic.br/docs/seg-adm-redes/seg-adm-redes.pdf. Acesso em 16 abr 2004. [10] ABES, B. Manual ABES de gerenciamento de software. Disponvel em :
http://www.abes.org.br/antipira/manual abes/indexmanual.htm. Acesso em 21 abr 2004. [11] IRM. Irm, the information resource manager da stackworks enterprises. Disponvel em : http://www.stackworks.net/view.php/irm/index.html. Acesso em 21 abr 2004.
[12] LAVALYS. Everest professional. Disponvel em : http://www.lavalys.com. Acesso em 21 abr 2004. [13] MICROSOFT. Systems management server 2.0. Disponvel em :
http://www.microsoft.com/smserver/. Acesso em 21 abr 2004. [14] NAGIOS. Nagios 2.0. Disponvel em : http://www.nagios.org/. Acesso em 23 abr 2004. [15] IPSWITCH. Whatsup 8.0 gold. Disponvel em : http://www.interamericana.com.br/ipswitch/whatsup.html. Acesso em 23 abr 2004. [16] OPENWALL. John the ripper password cracker. Disponvel em :
http://www.openwall.com/john/. Acesso em 24 abr 2004. [17] JABBER, S. F. Jabber im. Disponvel em : http://www.jabber.org/. Acesso em 24 abr 2004. [18] ROCHA, L. O impacto das novas leis e regulamentacoes no mercado de ti. Disponvel em : http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=2844&pagecounter=0&idiom=0. Acesso em 24 abr 2004. [19] PEIXOTO, R. Implicacoes da lei sarbanes-oxley na tecnologia da informacao. Disponvel em : http://www.modulo.com.br/index.jsp?page=3&catid=2&objid=372&pagecounter=0&idiom=0. Acesso em 12 abr 2004. [20] COSTA, R. A responsabilidade civil dos prossionais da informacao. Disponvel em : http://www.modulo.com.br/index.jsp?page=3&catid=2&objid=374&pagecounter=0&idiom=0. Acesso em 28 abr 2004.
144
ndice Remissivo I
anti-spam, 2 antivrus, 138 e-comerce, 3 back up, 52 back-up, 116 backup, 14, 61, 64, 65, 69 backups, 1, 29, 69 broadcast, 94 Bug, 13 feedback, 48, 81 Business Plan, 24 rewall, 1, 2, 13, 65, 93, 138, 141 business-to-business, 3 rewalls, 91, 103 business-to-consumer, 3 business-to-government, 3 Call Center, 140 Global Positioning System, 105 call forwarding, 92 cavalo de Tr ia, 121 o CFM, 19 clock, 105 COBIT, 19 copyright, 29 covert channel, 121 Covert channels , 121 Curriculum Vitae, 44 data link, 96 default, 29 dial back, 92 dial-up, 91, 92 digital marketplace,, 3 hackers, 16 hardware, 37, 38, 93, 95, 108, 111, 119, 130, 131, 133 Help Desk, 140 hosts, 72 Housekeeping, 69 housekeeping, 61 ICP-Brasil, 19 IDS, 2, 138 IEEE 802.1q, 94 Instant Messenger, 68, 94 Internet Protocol number, 92 joint ventures, 36 gateway, 93, 94 gateways, 91, 94, 103 e-mail, 29, 79 e-procurement, 3 Engenharia Social, 13 Engenheiro Social, 12 ERP - Enterprise Resource Planning, 3 download, 68
l, 102 Links, 13 log, 102, 104, 105, 117 log-off, 102 log-on, 96, 102 logs, 102, 104, 105, 116 Mdia, 14 mdia, 77 mdias, 68, 69, 73, 76 mainframes, 3 media access control, 92 modelo da cebola, 49 modems, 92 Network Time Protocol, 105 news, 29 no-break, 55 no-breaks, 55 on-line, 77 open source, 72, 89, 94 patch, 120 patches, 117, 121, 141 personal identication number, 50 PIN, 50 POP, 79 PSR, 140 Renpac, 77 restore, 64 roaming, 91 roteador, 13 Sarbanes e Oxley, 19 SEC, 19 site, 135, 136
sites, 68 smart card, 97 smart cards, 87 SMTP, 79 SNMP, 138, 140 software, 6, 37, 38, 59, 61, 64, 6769, 73, 75, 76, 80, 81, 89, 9395, 98101, 108, 111, 116, 117, 119121, 127, 128, 130, 131, 133, 134, 139 softwares, 13, 67, 68, 120 switches, 93 Symantec Client Security, 138 tokens, 87, 91, 97 Universal Cordinated Time - UCT, 105 UPS (Uninterruptable Power Supply), 55 Virtual Local Area Network, 93 Web, 29 web, 72
146

CEIE0402 - Monografia Unesp Sobre Iso17799

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

CEIE0402 - Monografia Unesp Sobre Iso17799

Hochgeladen von

Copyright:

Verfügbare Formate

FACULDADE DE E NGENHARIA DE G UARATINGUET A E SPECIALIZAC AO EM I NFORM ATICA E MPRESARIAL

Paulo S rgio Rangel Garcia e

Guaratinguet - SP a Maio, 2004

Paulo S rgio Rangel Garcia e NASCIMENTO: 31/08/1961 - S o Paulo, SP a

Floreal Garcia Ana Teodora Rangel Garcia

Especializacao em An lise de Sistemas a Instituto Mackenzie

Bacharel em Ci ncias e Faculdades Metropolitanas Unidas

Licenciado em Ci ncias e Faculdades Metropolitanas Unidas

Terceirizacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 3.2.3.1 Requisitos de seguranca dos contratos de terceirizacao . . . . . . 39

Treinamento dos usu rios . . . . . . . . . . . . . . . . . . . . . . . . . . 46 a 3.4.2.1 Educacao e treinamento em seguranca da informacao . . . . . . 47

3.4.3.2 3.4.3.3 3.4.3.4 3.4.3.5 3.5

Planejamento e aceitacao dos sistemas . . . . . . . . . . . . . . . . . . . . 65

3.6.2.1 3.6.2.2 3.6.3

Planejamento de capacidade . . . . . . . . . . . . . . . . . . . . 66 Aceitacao de sistemas . . . . . . . . . . . . . . . . . . . . . . . 66

Protecao contra software malicioso . . . . . . . . . . . . . . . . . . . . . 67 3.6.3.1 Controles contra software malicioso . . . . . . . . . . . . . . . 68

Gerenciamento de Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 3.6.5.1 Controle de rede . . . . . . . . . . . . . . . . . . . . . . . . . . 71

An lise dos direitos de acesso do usu rio . . . . . . . . . . . . . 87 a a

3.9.1.1 3.9.1.2 3.9.1.3 3.9.1.4 3.9.1.5

Presente e Futuro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 143

3.2 4.1 4.2

PALAVRAS-CHAVE: seguranca da informacao, sistemas de seguranca, medidas de seguranca.

KEYWORDS: Information security, security systems, security measures.

Digital Market Place

Integrao em Relaes Eletrnicas B2B, B2G

Acesso Remoto Rede Corporativa Extranet

Compartilhamento de Conexo Internet e Web Site

Rede Corporativa Distribuida Intranet

Rede Corporativa Alta Capilaridade MAN Perimetro Interno

Rede Corporativa Baixa Capilaridade LAN

Mainframe e acesso centralizado

Figura 2.1: Evolucao da conectividade e do compartilhamento.

2.2 O que e Seguranca da Informacao

A NBR ISO 17799 dene seguranca da informacao da seguinte forma:

Porcentagem 25% 22% 17% 16% 13% 7%

Tabela 2.1: Incid ncia de Ataques e Invas es e o

2.3.2 Vari veis que inuenciam os Riscos a

S mola (Op.cit., p.6), representa essas inu ncias na Figura 2.2 : e e

cro Eco nm Me rca ica s dol gi cas Na tur ais

2.3.3 Facilitadores para o aumento dos riscos e ameacas

Hu ma nas Tec no lg ica s Fs ica s

2.4 O Ciclo de Vida da Informacao

2.5 O perl do atacante

Probabilidade de ataque Nro de atacantes potenciais Motivacao Habilidade

Navegadores, aproveitadores v ndalos a alta grande baixa a m dia e baixa a alta

(ex-)funcionarios (ex-)contratados m dia para alta e

depende da atividade alta m dia para alta e

2.6 O fator Humano

fia Fraca Criptogra

Falta de controle Aus s fsicos nc de aces ia so de de G era ene rgia dor

Figura 2.5: Vis o Corporativa Integrada Desejada a

io nr cio ito Fun atisfe s In

2.9 Equacao do Risco

R= Onde : R : Risco V : Vulnerabilidades A : Ameacas I : Impactos M : Medidas de Seguranca

Legalidade Transporte Ativos

Figura 2.7: Vis o condensada dos Desaos. a

2.10 Legislacoes, Normas e Regulamentacoes na Gest o da Seguranca a da Informacao

Tabela 2.3: Adequacao a Legislacoes / Normas e Regulamentacoes

Al m dos dados acima, a M dulo Security arma que : e o

comparam a NBR ISO 17799 e COBIT, e concluem que:

2.11 Tend ncias e

Sobre isso, Mitnick e Simon, em [2], armam o seguinte:

Na mesma linha, Wadlow, em [1], diz que:

Analise Comentada da NBR ISO 17799

Fator Conformidade Estratgico Legal