Microsoft e as Normas BS e NBR ISO IEC 17799:2005

Cdigo de prtica para a gesto da segurana da informao

O que segurana da informao?
A informao hoje em dia um ativo que, como qualquer outro
ativo importante para os negcios, tem um valor para a organizao
e conseqentemente precisa ser protegido. Essa proteo se refere
a ameaas que esto ligadas a fatores tecnolgicos e notecnolgicos e tem por objetivo garantir a continuidade dos
negcios, minimizando possveis danos e maximizando o retorno
sobre investimentos e as oportunidades de negcio.
Considerando que a informao pode existir em muitas formas,
como por exemplo o meio impresso ou eletrnico, transmitida pelo
correio (convencional ou eletrnico), mostrada em filmes ou falada
em conversas. Seja qual for a forma apresentada ou o meio atravs
do qual a informao compartilhada ou armazenada,
fundamental que seja sempre protegida adequadamente.
A segurana da informao aqui caracterizada pela preservao da:
a) confidencialidade garantia de que a informao acessvel
somente a pessoas autorizadas;
b) integridade salvaguarda da exatido e completeza da
informao e dos mtodos de processamento;
c) disponibilidade garantia de que os usurios autorizados
obtenham acesso informao e aos ativos correspondentes
sempre que necessrio.
Adicionalmente, na definio da norma brasileira, (...) a segurana
da informao a proteo da informao contra vrios tipos de
ameaas para garantir a continuidade do negcio, minimizar o risco
ao negcio, maximizar o retorno sobre os investimentos e as
oportunidades de negcio.

Por que segurana da informao

importante para mim?
A evoluo da tecnologia e sistemas de informao trouxe muitos
avanos significativos em relao eficincia e da mesma forma traz
novos riscos, antes inexistentes. Outro fator o crescimento do nvel
de dependncia em relao aos sistemas de informao, que aumenta
sensivelmente o impacto de ataques ou outros incidentes de
segurana. Ao mesmo tempo, a conexo entre redes pblicas e
privadas e as tendncias de processamento e computao distribuda
agregam novos desafios para a proteo contra acessos no
autorizados e ataques de vrias formas. A proteo efetiva requer uma
abordagem ampla no apenas tecnolgica, incluindo gerenciamento,
procedimentos e um regime de gerenciamento de riscos que permita
s empresas tirar proveito dos avanos tecnolgicos sem expor um de
seus ativos mais significativos: a informao.

O que so as normas BS e NBR ISO IEC 17799?

As normas so padres que podem ser utilizados por organizaes
de praticamente qualquer tamanho, tanto no setor pblico quanto
privado, e contm orientaes detalhadas sobre um Sistema de
Gesto de Segurana da Informao (SGSI em portugus, ou ISMS
em ingls). A norma NBR/ISO IEC a verso brasileira da norma
internacional ISO 17799, cuja ltima verso a ABNT NBR ISO/IEC
17799:2005 e detalha as melhores prticas sobre gerenciamento
de segurana e oferece uma linha mestra de como as medidas de
segurana devem ser implementadas. Na prtica, as normas
permitem enderear uma forma eficaz de padronizar o
gerenciamento da segurana da informao de uma forma
mensurvel para os objetivos de negcio.

O que um Sistema de Gesto de Segurana

da Informao - SGSI (ISMS)?

Como as normas BS e NBR ISO IEC 17799

podem me ajudar?

Um Sistema de Gesto de Segurana de Informao (SGSI) um

conjunto de processos requeridos para suportar e padronizar de
forma efetiva as prticas de segurana da informao no mbito
corporativo. Entre os componentes-chave de um SGSI, pode-se
destacar uma poltica de segurana de alto nvel que define
claramente os objetivos da segurana, prtica de anlise de riscos
para os ativos crticos de informao, assim como a chamada
Declarao de Aplicabilidade (Statement of Applicability), que
documenta os instrumentos de conformidade com os controles
definidos na norma.

As normas definem um modelo e fornecem uma sugesto de

cdigo de prtica. Dessa forma, permitem que as medidas
individuais de segurana estejam integradas em uma arquitetura
de segurana que tem como foco a proteo dos ativos crticos e
a melhor alocao dos investimentos em segurana com base nos
objetivos de negcio. As normas tambm promovem um processo
contnuo de reviso e melhorias nos processos, de forma a
proporcionar a melhor efetividade das medidas implementadas,
bem como enderear novos riscos a que as organizaes esto
expostas dia aps dia.

Agir
Atualizar o SGSI
com as lies
aprendidas
Entradas
Trabalho com as unidades
de negcios para
identificar e classificar os
ativos e os riscos de
negcio a eles associados

Planejar
Certificar-se de
que o contexto do
SGSI correto e
apropriado

Ciclo de
Desenvolvimento,
Manuteno e
Melhorias
Executar
Implementar e
operar os processos
associados com
o SGSI

Verificar
Monitorar
a efetividade do
processo de
segurana

Sadas
Sistema de Gerenciamento
de Sistemas de
Informao baseado no
perfil de risco da
corporao

Quais so as sees definidas pela norma e quais so os controles essenciais?

A norma brasileira est dividida em 11 sees de controle que
juntas totalizam 39 categorias principais de segurana. Cada
categoria principal de segurana da informao na norma contm
um objetivo de controle a ser alcanado e um ou mais controles
que podem ser aplicados para que se atinja o objetivo definido.
1 - Poltica de segurana da informao Documenta os objetivos
de segurana da organizao;
2 - Organizando a segurana da informao Define
responsabilidades e atribuies em relao aos objetivos de
segurana corporativos;
3 - Gesto de ativos Gerenciamento de ativos da informao,
incluindo, mas no restrito a, software e hardware;
4 - Segurana em recursos humanos Recrutamento e gerncia
da equipe, conscientizao sobre segurana, treinamento e
gesto de incidentes de segurana;
5 - Segurana fsica e do ambiente Segurana para as pessoas e
o meio ambiente, incluindo, mas no restrito a, controle de
entrada, fornecimento de energia e segurana no cabeamento;
6 - Gesto das operaes e comunicaes Aspectos-chave no
gerenciamento seguro de sistemas, incluindo cpias de segurana,
antvrus, segurana para mdia e computadores portteis;
7 - Controle de acesso Gesto eficaz de senhas, privilgios, usurios,
sistemas operacionais, aplicaes e as redes que os suportam;
8 - Aquisio, desenvolvimento e manuteno de sistemas de
informao Segurana no desenvolvimento e manuteno de
sistemas de forma a manter o nvel de segurana;
9 - Gesto de incidentes de segurana da informao Medidas
bsicas para a gesto de incidentes;

10 - Plano de continuidade do negcio Planejamento e definio

de atividades de resposta a incidentes e desastre;
11 - Conformidade Conformidade com os requisitos legais a que
a empresa est sujeita, incluindo propriedade intelectual, mau
uso da infra-estrutura e computadores, regulamentao sobre
privacidade, entre outros.

Conformidade e certificao
Qualquer organizao pode utilizar esse conjunto de orientaes
contido nas normas de forma a melhorar seu sistema de gesto de
segurana. No entanto, para atender conformidade com a
norma, as empresas devem implementar medidas para enderear
todos os controles que se apliquem ao negcio, de acordo com
sua aplicabilidade. A certificao atravs das normas deve ser
conduzida por meio de uma auditoria independente. Esse o
nico caminho para que uma empresa demonstre que de fato est
em conformidade completa com as definies da norma.
A certificao oferece no apenas um nvel adicional de confiana nas
medidas de segurana adotadas pela empresa, mas tambm a
percepo externa atravs da autorizao para o uso do logotipo de
certifi-cao. Tal medida permite posicionar de forma mais ampla o
compromisso em relao segurana com fornecedores, clientes e
outros parceiros de negcio, de maneira a externalizar um importante
componente em relao confiana e vantagem competitiva.
Eficcia em relao segurana um componente fundamental
para a governana corporativa, e a certificao evidencia o
cumprimento dos requisitos de segurana ligados a negcios.
Em muitas reas de atuao, a certificao componente
fundamental para evidenciar o cumprimento de requisitos legais.

Como a Microsoft pode ajudar a implementar controles endereados

pela NBR ISO/IEC 17799:2005?
A Microsoft j de longa data reconhece a importncia da segurana
para a efetividade dos negcios de seus clientes e, alm de investir
para melhorar constantemente a segurana em seus produtos, tem
se preocupado tambm em oferecer orientao especializada para
ajudar seus clientes a enderear suas necessidades de segurana.
A iniciativa de Computao Confivel (Microsofts Trustworthy
Computing) um dos pilares desse compromisso.
Mais do que se preocupar em desenvolver produtos mais seguros,
o compromisso da Microsoft tambm compartilhar com seus
clientes melhores prticas atravs de treinamentos, guias de

implementao e iniciativas locais, como a Academia LatinoAmericana de Segurana, que j treinou de forma gratuita milhares
de profissionais e tem por objetivo prepar-los para enderear as
necessidades atuais de segurana nos negcios.
A seguir, listamos alguns dos exemplos de como enderear e
implementar os macrocontroles definidos na norma NBR ISO/IEC
17799:2005 e orientaes sobre como tirar proveito da tecnologia
para cumprir os requisitos da norma e implementar as melhores
prticas no ambiente corporativo:

Controle

Solues Microsoft para

suporte ao controle

Mais informaes sobre

as melhores prticas

Poltica de segurana e segurana organizacional

5.1.1

Documento da poltica de
segurana da informao

5.1.2

Anlise crtica da poltica de

segurana da informao

Atravs do site TechNet, possvel obter orientao abrangente,

incluindo documentos, guias, check-lists e muitas outras informaes
para o desenvolvimento e manuteno de uma poltica de segurana
que atenda aos requisitos das corporaes.

www.microsoft.com/technet/community/
columns/secmgmt/sm0705.mspx
www.technetbrasil.com.br/academia/

O Microsoft Consulting Services e Parceiros Microsoft habilitados na

competncia de segurana podem apoiar as iniciativas ligadas
segurana em seus clientes.
A Academia Latino-Americana de Segurana permite capacitao
especializada de profissionais interessados na implementao de
melhores prticas de segurana, inclusive normas, melhores prticas, etc.

Gesto de ativos
7.1.1

Inventrio dos ativos de

informao

15.1.2.1 Direitos de propriedade

intelectual
9.2.7

Remoo de propriedade

As solues Microsoft para gerenciamento, como o MOM (Microsoft

Operations Manager) e SMS, possibilitam que as empresas atinjam altos
nveis de eficincia operacional de forma a permitir confiabilidade,
segurana e disponibilidade. Adicionalmente, reduz-se o custo total de
propriedade (TCO) diminuindo a complexidade do ambiente tecnolgico
e permitindo visibilidade e controle sobre atualizaes (patch
management) de forma ampla no ambiente, incluindo servidores,
desktops e outros dispositivos.
Outro recurso importante do SMS instalar software de acordo com os
padres corporativos e identificar software no autorizado que por
ventura seja instalado pelo usurio, bem como arquivos de msica (ex.:
MP3) ou vdeo.

www.microsoft.com/technet/community/
columns/secmgmt/sm0705.mspx
www.technetbrasil.com.br/academia/
www.microsoft.com/smserver/default.mspx
www.microsoft.com/mom/default.mspx
www.microsoft.com/windowsserver2003/
technologies/rightsmgmt/default.mspx

Adicionalmente, os recursos do SMS permitem identificar a remoo de

equipamentos, como memria, discos, etc., o que pode contribuir no
sentido de identificao rpida relacionada remoo de propriedade.
O RMS (Right Managements Service) permite a implementao de
controles sobre a distribuio de documentos, correio eletrnico e uma
variedade de contedo de forma totalmente integrada ao Office, sendo
ainda expansvel e customizvel para proteger as informaes
corporativas e controlar a distribuio das informaes de forma nica.
possvel, por exemplo, definir que um usurio pode ler um documento
ou e-mail, mas no encaminh-lo ou imprimi-lo, alm da viabilidade de
definio de datas de expirao, sem contar, por exemplo, com a
possibilidade de um usurio capturar a tela ou copiar seu contedo.
Dessa forma, pode-se complementar a estratgia no apenas do uso de
software autorizado, mas tambm a propriedade intelectual ligada a
informaes internas nas empresas - importante diferencial competitivo
na era da informao.

Segurana em recursos humanos

8.2.1

Responsabilidades da direo

8.2.2

Conscientizao, educao e
treinamento de segurana da
informao

Um requisito fundamental definido pela norma o treinamento e

capacitao constante em relao aos requisitos de segurana.

www.microsoft.com/technet/itsolutions/cits/
mo/mof/security/missmof.mspx

A Microsoft oferece treinamento atravs de curriculum para certificao,

livros com contedo para capacitao e uma ampla variedade de
seminrios, treinamentos e educao on-line.

www.technetbrasil.com.br/academia/

Adicionalmente, a Academia Latino-Americana de Segurana e o

contedo Technet tm papel fundamental na formao e reciclagem
ligada segurana da informao e melhores prticas.
Uma adio importante da verso 2005 da norma brasileira a
responsabilidade da direo, inclusive em alinhamento com novas
regulamentaes e requisitos legais. Atravs do engajamento da
Microsoft com as mais diversas reas e o foco em segurana, simplifica-se
de forma nica a viso que a direo pode ter sobre os requisitos e
recursos de segurana da informao.

Controle

Solues Microsoft para

suporte ao controle

Mais informaes sobre

as melhores prticas

Segurana fsica e do ambiente

9.1.4

Proteo contra ameaas

internas e do meio ambiente

11.3.3

Poltica de mesa limpa e tela

limpa

11.3.2

Equipamento de usurio sem

monitorao

A Microsoft colabora com diversos fabricantes de hardware para garantir

a compatibilidade de tais controles, como Gerenciamento Avanado de
Fornecimento de Energia, incluindo total suporte da famlia Windows
Server com solues para tanto.

www.isaserver.org/

Adicionalmente, recursos avanados de VPN do ISA Server permitem a

desconexo automtica de usurios aps determinado tempo de
inatividade de forma a proteger equipamentos desassistidos/sem
monitorao.

Gesto das operaes e comunicaes

10.1.2

Gesto de mudanas

10.3.1

Gesto de capacidade

10.5.1

Cpias de segurana da
informao

10.10.1

Registros de auditoria

10.10.2

Monitoramento do uso
do sistema

10.10.5

Registro (log) de falhas

De forma a garantir o planejamento e suporte operacional, a Microsoft

publicou o Microsoft Operations Framework (MOF), que prov
procedimentos-chave mencionados nas normas ISO/IEC/NBR 17799 e
suas equivalentes, incluindo (mas no restrito a) controle sobre mudanas,
gerenciamento de incidentes e planejamento de capacidade. O MOF
inclui tambm uma introduo a gerenciamento de risco, disciplina para
operaes e outros tpicos fundamentais para conformidade com as
normas ISO/IEC/NBR 17799.

www.microsoft.com/technet/itsolutions/cits/
mo/smf/smfincmg.mspx

A adoo do MOF permite s organizaes uma viso prtica e um

conhecimento e apoio sem similar para enderear os controles definidos
no captulo de gerenciamento das operaes e comunicaes.

www.microsoft.com/downloads/details.aspx?
FamilyID=9AF54BE2-4067-4A0F-885CD78DFD0DE9E1&displaylang=en

www.microsoft.com/technet/prodtechnol/
mom/mom2005/plan/mom2005_
conceptsguide_2.mspx
www.microsoft.com/technet/security/topics/
networksecurity.mspx

Atravs do ISA 2004, possvel obter registros completos sobre acessos,

falhas e incidentes, especialmente quando integrado ao MOM.
O System Center Data Protection Manager (DPM) uma soluo nica
para proteo e recuperao de discos para servidores, tanto para usurios
quanto administradores, totalmente integrado plataforma Microsoft.
Utilizando o MOM, possvel no apenas aprender sobre incidentes, mas
tambm utilizar tal inteligncia para antecipar problemas, monitorar e
gerenciar de forma nica a plataforma de servidores. Existem vrios
Management Packs disponveis para o MOM, aplicando inteligncia
dedicada a diversas plataformas, como, por exemplo, o ISA Server.

Controle de acesso
11.2.2

Gerenciamento de privilgios

11.2.3

Gerenciamento de senha dos

usurios

11.2.4

Anlise crtica dos direitos de

acesso do usurio

11.3.1

Uso de senhas

11.5.21

Procedimentos seguros de
entrada no sistema (log-on)

11.5.2

Identificao e autenticao de
usurio

11.5.3

Sistema de gerenciamento de
senhas

As solues Microsoft incluem diversas possibilidades de definio de

privilgios, alm da gesto sobre polticas de senha de forma unificada
gesto de privilgios. Um bom exemplo o Active Directory, no apenas
como diretrio, mas como repositrio de privilgios e direitos de acesso
e configuraes.

"Selecting Secure Passwords" no Security

Guidance Kit

Adicionalmente, com o Microsoft Identity Integration Server (MIIS)

possvel simplificar o gerenciamento de identidade estendendo ainda as
possibilidades com o Active Directory Federation Services. Tal
combinao de recursos permite o compartilhamento de controles de
identidade usando tecnologias TrustBridge, integradas ao Services
Security (WS-Security) e outros padres WS.

www.microsoft.com/technet/security/topics/
identitymanagement/idmanage/p2pass.mspx

Acesso remoto um componente crtico de negcios e a norma

determina consideraes especiais de segurana para todas as formas de
acesso remoto.

www.microsoft.com/brasil/security/guidanc/
smb/enforce_strong_passwords.mspx

www.microsoft.com/technet/security/topics/n
etworksecurity/securesmartcards/default.mspx
www.microsoft.com/technet/security/topics/
networksecurity.mspx
www.microsoft.com/technet/security/topics/
networksecurity/sec_ad_admin_groups.mspx
www.microsoft.com/isaserver/
evaluation/overview/default.mspx#bb

Controle

Solues Microsoft para

suporte ao controle

Mais informaes sobre

as melhores prticas

11.4.2

Autenticao para conexo

externa do usurio

www.microsoft.com/isaserver/
evaluation/whatsnew.mspx#cc

11.4.5

Segregao de redes

11.4.6

Controle de conexo de redes

11.6.2

Isolamento de sistemas
sensveis

As solues Microsoft Remote Access combinadas com o ISA 2004

provm uma soluo no apenas de autenticao forte e inspeo
profunda para conexes externas usando Virtual Private Networks (VPN),
mas tambm complementam a questo de identidade atravs da
validao de status de segurana com possibilidade de isolamento de
usurios no conformes atravs da tecnologia de quarentena. Usurios
que estejam sem as ltimas atualizaes ou patches ou, ainda, com seus
antivrus desabilitados ou desatualizados podem ser isolados e ter o
acesso restrito at que sejam remediados, utilizando por exemplo a
tecnologia do SMS ou outras formas de remediao.

www.microsoft.com/technet/
prodtechnol/isa/2004/plan/
vpn_roaming_clients_quarantine_
control_ee.mspx
www.microsoft.com/technet/
security/topics/networksecurity.mspx

Com essas medidas possvel no apenas contar com a identificao

apropriada, mas tambm segregar sistemas sensveis, publicando-os por
exemplo de forma segura com o ISA 2004, de forma a criar restries e
segregao no acesso informao.

Aquisio, desenvolvimento e manuteno de sistemas de informao

12.1.1

Anlise e especificao dos

requisitos de segurana da
informao

12.2.1

Validao de dados de entrada

12.4.3

Controle de acesso ao cdigo

fonte

12.5.3

Restries sobre mudanas em

pacotes de software

12.5.1

Procedimentos de controle de
mudanas

12.5.2

Anlise crtica tcnica das

aplicaes aps mudanas no
sistema operacional

10.4.1

Controles contra cdigos

maliciosos

10.4.2

Controles contra cdigos

mveis

O Microsoft System Developer Network (MSDN) prov guias,

whitepapers e listas para verificao de componentes crticos durante o
ciclo de desenvolvimento, incluindo melhores prticas e controles como
tcnicas para validao de dados de entrada, entre outros.
Publicaes disponveis atravs da Microsoft Press, como Escrevendo
Cdigo Seguro (Writing Secure Code), so componentes-chave no
compartilhamento de melhores prticas do desenvolvimento de
aplicaes, incluindo exemplos e discusses sobre falhas de segurana,
vulnerabilidades comuns e cdigos de exemplo.
O ISA Server permite tambm a publicao segura de aplicaes,
incluindo a validao de dados de entrada e pr-autenticao, como
medida adicional de proteo para aplicaes, especialmente aquelas
que no implementam todos os controles de validao de entrada.
A combinao de controles tcnicos e compartilhamento de melhores
prticas, viabilizadas no processo de desenvolvimento de software seguro
(Secure Development Lifecycle), permite enderear os diferentes nveis de
necessidade no ciclo de desenvolvimento, uso e manuteno das
aplicaes de forma que a segurana esteja presente desde a concepo
da aplicao e ao longo do seu ciclo de vida.
O Microsoft Operations Framework (MOF) prov guias para eficincia
operacional e confiabilidade para sistemas de misso crtica, incluindo
tpicos de disponibilidade, suportabilidade e gerenciamento de
plataformas Microsoft.
O compromisso da Microsoft atravs de iniciativas como Computao
Confivel e instrumentos para automatizao de notificao e distribuio
de patches com as tecnologias Microsoft Update, incluindo o System
Management Server (SMS) e o WSUS (Windows Server Update Services),
provm um nvel de segurana e controle sobre mudanas sem similar.
O ISA 2004 prov ainda uma variedade de recursos para proteger contra
Cavalos de Tria e outros tipos de ameaas. Nativamente, a soluo inclui
a possibilidade de bloqueio de contedo executvel e recursos adicionais,
como verificao contra formatos invlidos, que podem ser usados para
explorar vulnerabilidades em aplicaes de servidores ou estaes, alm
da possibilidade de publicao segura de aplicaes no ambiente interno
ou Internet.
Adicionalmente, as novas solues Sybari Antigen (Antivrus) e Anti Spam
adicionam uma importante camada de proteo contra novas
modalidades de ameaas atravs de correio eletrnico, recursos de
colaborao e instant messaging.
As novas tecnologias como o Antispyware permitem um nvel de
proteo adicional contra cdigos maliciosos e cdigos mveis no nvel
da estao do usurio, incluindo recursos fundamentais de defesa e
atualizaes contra novas ameaas.

www.microsoft.com/presspass/
features/2002/jan02/0124secure.mspx
Programming Secure Systems in an
Insecure World:
www.microsoft.com/technet/
prodtechnol/isa/2004/plan/
publishingwebservers.mspx
www.microsoft.com/mspress/books/5957.
asp (Writing Secure Code)
www.microsoft.com/downloads/details.aspx?
Family ID= e0807633268945fa8d481b5b383
afc00&displaylang=en
www.microsoft.com/technet/
itsolutions/cits/mo/mof/mofeo.mspx
www.microsoft.com/technet/
itsolutions/cits/mo/mof/default.mspx
www.microsoft.com/isaserver/
evaluation/overview/default.mspx#ff
www.microsoft.com/technet/
prodtechnol/isa/2004/plan/
httpfiltering.mspx
www.sybari.com/
www.sybari.com/_Rainbow/
Documents/WP_Migration.pdf
www.sybari.com/_Rainbow/
Documents/OV_VCL_Engine.pdf

Controle

Solues Microsoft para

suporte ao controle

Mais informaes sobre

as melhores prticas

Gesto de incidentes de segurana da informao

13.1.1

Notificao de eventos de
segurana da informao

13.1.2

Notificando fragilidades de
segurana da informao

13.2.2

Aprendendo com os incidentes

de segurana da informao

Atravs dos recursos de gerenciamento oferecidos pelo MOM e os

Management Packs, possvel tratar de forma nica os incidentes e
eventos complexos gerados pelas plataformas gerenciadas. Tal recurso
permite, por exemplo, que apenas um incidente que cause diversos
alertas possa ser consolidado de forma a habilitar uma visualizao nica
e simplificada pelo operador.

http://www.microsoft.com/technet/security/
tools/mbsahome.mspx
http://www.microsoft.com/technet/
community/events/mom/tnt1-112.mspx

A gesto eficaz permite no apenas melhor foco na gesto de incidentes,

como tambm um aprendizado mais completo sobre as mudanas que
habilitam um mecanismo de melhoria constante da maneira como
sugerido pelo cdigo de prtica.
Outra ferramenta importante para esse controle o MBSA, uma
ferramenta de fcil uso que permite a anlise do nvel de segurana de
seu ambiente com base nos guias da Microsoft, incluindo configuraes
inadequadas ou falta de atualizaes crticas.

Plano de continuidade do negcio

14.1

Aspectos da gesto da
continuidade do negcio

A Microsoft est comprometida a ajudar as corporaes no sentido de

planejar e contar com recursos para antecipar e evitar desastres e, quando
esses so inevitveis, prover recursos de recuperao rpida para permitir
a continuidade do negcio. Atravs de guias, documentos de melhores
prticas e iniciativas do Microsoft Operations Framework (MOF), conta-se
com um importante instrumento de gesto de continuidade de negcios.
O Data Protection Server tambm um instrumento importante para
continuidade de negcios, permitindo a recuperao inteligente de
informaes.
O ISA 2004 contribui tambm para a continuidade, atravs de amplos
recursos de alta disponibilidade e cache inteligente no mbito
corporativo, de forma que, mesmo quando se rompe um link de
comunicao, pode-se no apenas redirecionar as requisies, mas
tambm disponibilizar contedo off-line de modo inteligente com as
tecnologias de active caching.
Com a recente aquisio da Frontbridge Technologies, possvel no
apenas enderear conformidade com diversas normas e legislaes
vigentes, mas tambm continuidade da infra-estrutura de mensageria
de forma sem similar no mercado.

www.microsoft.com/technet/security/
topics/policiesandprocedures/secrisk/
srsgch03.mspx
www.microsoft.com/technet/
prodtechnol/isa/2004/plan/
network-load-balancing.mspx
www.microsoft.com/windowsserversystem/
dpm/evaluation/topten.mspx
www.microsoft.com/technet/prodtechnol/
dpm/proddocs/PDGTop.mspx
www.frontbridge.com/solutions/
message_continuity.php
www.frontbridge.com/solutions/
message_compliance.php

Conformidade
15.1.2

Direitos de propriedade
intelectual

15.2.1

Conformidade com as polticas

e normas de segurana da
informao

15.2.2

Verificao da conformidade
tcnica

15.3

Consideraes quanto
auditoria de sistemas de
informao

Tecnologias como Group Policy, Windows Rights Management (RMS) e

System Management Server (SMS) provm uma proteo efetiva quanto
poltica de segurana, direitos autorais, quesitos de licenciamento e
distribuio da informao.
Adicionalmente, o ISA 2004 VPN permite o isolamento de usurios
remotos que estejam em desacordo com a conformidade tcnica exigida
pela poltica de segurana corporativa, at que os mesmos estejam
atualizados ou de acordo com as especificaes da mesma.
Quando se combina o recurso de quarentena e isolamento de usurios
remotos do ISA 2004 com os recursos de monitorao e gerenciamento
de atualizaes do MOM e SMS, possvel automatizar as atualizaes e
remediaes de forma a enderear a conformidade e oferecer um
controle para reduzir as situaes de risco sem abrir mo da simplicidade.

www.microsoft.com/technet/security/
topics/policiesandprocedures.mspx
www.microsoft.com/technet/security/
topics/policiesandprocedures.mspx
www.microsoft.com/technet/prodtechnol/
isa/2004/plan/vpn_roaming_clients_
quarantine_control_ee.mspx
www.microsoft.com/technet/prodtechnol/
isa/2004/plan/vpn_roaming_clients_
quarantine_control_ee.mspx

Quais so os prximos passos?

Um ditado comum ligado segurana da informao d conta de
que a segurana no um destino e sim uma jornada. A Microsoft
investe de forma ampla para fornecer solues compatveis com a
crescente necessidade por segurana da informao, incluindo
treinamento, capacitao e reciclagem para profissionais.

Segurana uma rea prioritria para a Microsoft. Para se manter

atualizado sobre as ltimas novidades ligadas segurana, voc
pode visitar o site da Microsoft ou contatar-nos atravs de nossa
rede de parceiros credenciados.

Referncias importantes:
Microsoft Security www.microsoft.com/security
TechNet Brasil www.technetbrasil.com.br
ISA Server www.microsoft.com/isaserver
Microsoft Operations Framework www.microsoft.com/mof
Microsoft Identity Integration Server www.microsoft.com/miis
Microsoft Solutions for Management www.microsoft.com/management
Microsoft Developer Network www.microsoft.com/msdn
Consulting Services www.microsoft.com/services
Microsoft Partners www.microsoft.com/partners
Microsoft Press www.microsoft.com/mspress
Academia Latino-Americana de Segurana - www.technetbrasil.com.br/academia

Cpias da norma brasileira podem ser obtidas com a ABNT:

Av. Treze de Maio, 13 - 28 andar
CEP 20003-900 Caixa Postal 1680
Rio de Janeiro RJ
Tel.: (021) 210-3122
Fax: (021) 220-1762/220-6436
www.abnt.org.br

Baseado no documento original de Jamie Sharp and Aaron Turner for AS7799 - Microsoft and the AS 7799/ISO 17799 Standards for Information Security Management. Verso 1.0 em portugus - Aylton Souza, CISSP.
2005 Microsoft Corporation. Todos os direitos reservados. Este folheto tem carter apenas informativo. A MICROSOFT NO OFERECE NENHUMA GARANTIA, EXPLCITA OU IMPLCITA, NESTE FOLHETO.
Microsoft, Windows, ISA Server, Microsoft Operation Manager, TechNet, Microsoft Office e MSDN so marcas comerciais ou marcas registradas da Microsoft Corporation nos Estados Unidos e/ou em outros pases.