Sie sind auf Seite 1von 20

Gesto da

Segurana
da Informao
Uma Viso Executiva

C0065.indd i 06/11/13 10:13 AM


Consultoria Editorial
Lorenzo Ridolfi
Gerente Snior
Accenture

Srgio Colcher
Professor do Departamento de Informtica
PUC-Rio

Reviso Tcnica e Atualizao


Mauricio Tavares

C0065.indd ii 06/11/13 10:13 AM


Gesto da
Segurana
da Informao
Uma Viso Executiva
2 edio

Marcos Smola

C0065.indd iii 06/11/13 10:13 AM


2014, Elsevier Editora Ltda.
Todos os direitos reservados e protegidos pela Lei n o 9.610, de
19/02/1998.
Nenhuma parte deste livro, sem autorizao prvia por escrito da
editora, poder ser reproduzida ou transmitida sejam quais forem os
meios empregados: eletrnicos, mecnicos, fotogrficos, gravao ou
quaisquer outros.
Copidesque: Ivone Teixeira
Reviso: Adriana Kramer
Editorao Eletrnica:Thomson Digital
Capa: Luna Design
Elsevier Editora Ltda.
Conhecimento sem Fronteiras
Rua Sete de Setembro, 111 16o andar
20050-006 Centro Rio de Janeiro RJ Brasil
Rua Quintana, 753 8o andar
04569-011 Brooklin So Paulo SP Brasil
Servio de Atendimento ao Cliente
0800-0265340
atendimento1@elsevier.com
ISBN 978-85-352-6353-4
ISBN ebook 978-85-352-6354-1
Nota: Muito zelo e tcnica foram empregados na edio desta obra.
No entanto, podem ocorrer erros de digitao, impresso ou dvida
conceitual. Em qualquer das hipteses, solicitamos a comunicao ao
nosso Servio de Atendimento ao Cliente, para que possamos esclarecer
ou encaminhar a questo.
Nem a editora nem o autor assumem qualquer responsabilidade
por eventuais danos ou perdas a pessoas ou bens, originados do uso
desta publicao.

CIP-BRASIL. CATALOGAO NA PUBLICAO SINDICATO


NACIONAL DOS EDITORES DE LIVROS, RJ
S475g
2. ed.
Smola, Marcos, 1972-
Gesto da segurana da informao : uma viso executiva /
Marcos Smola. - 2. ed. - Rio de Janeiro : Elsevier, 2014.
23 cm.
ISBN 978-85-352-7178-2
1. Segurana da informao gerencial - Medidas de segurana.
2. Sistemas de recuperao da informao - Medidas de segurana.
I. Ttulo.
13-05667 CDD: 658.4038
CDU: 005.94

C0070.indd iv 06/11/13 10:33 AM


Este livro originalmente dedicado memria dos
meus avs paternos, Archimedes Renato Forin Smola
e Fernanda Smola, por seus valores incontestveis,
pela lio de vida que compartilharam incentivando
a busca contnua do conhecimento e da razo, e pelo
amor aplicado ao papel educacional que se propu-
seram a cumprir. Esta nova edio dedico aos meus
pais, aos meus filhos Guilherme e Alice, e minha
esposa Adrianny, pois s eles vivenciaram de perto
o desafio de conviver com um indivduo multitarefa
cheio de ideias e projetos para realizar ao mesmo
tempo.

C0075.indd v 07/11/13 10:59 AM


C0075.indd vi 07/11/13 10:59 AM
Agradecimentos
Inicio agradecendo Mdulo Security Solutions onde atuei
como gerente nacional de produtos por sua responsabilidade
no meu envolvimento profissional com a rea de segurana,
pelas oportunidades que me foram proveitosas e, principal-
mente, por ter sido uma fonte fundamental de inspirao ao me
emprestar grande parte de seus conceitos e vises aplicadas no
dia a dia e que aqui se encontram didaticamente organizadas e
complementadas por experincias pessoais docentes.
Ainda dentro do permetro corporativo, agradeo aos colegas
de trabalho com os quais tive passagens memorveis, mas em
particular aos amigos Ivan Alcoforado, Luis Rabello, Gasto
Lombas, Andr Fleury, Eduardo Poggi, Hlcio Tonnera, Marcelo
Duarte, Nelson Correa, Ricardo Bacellar, Andra Samico,
Eduardo Nery, Alexandre Lyra, Alexandre Vargas, Mrcio
Galvo, Patrcia Shultz, Suzana Strauch, Leonardo Carissimi,
Barbara Carissimi, Daniel Accioly, Marcelo Farias, Otvio
Tolentino, Geraldo Ferreira, Marcos Machado, Renato Tocaxelli,
Rodrigo Solon, Ramiro Filho, Rogrio Reis, Rosgela Caubi,
Valter Inocente, Cristiane Pereira, William Alevate, Fernando
Marinho, Marcos Machado, Andr Fucs, Liza Guttmann,
Joo Portella, Marcelo Berquo, Rinaldo Ribeiro, Fernando
Botafogo, Eduardo Neves, Rodrigo Agia, Marcos Julio, Marcelo
Pettengill, Patrcia Farias, Jorge Guimares, Mrcio Canuto,
Zilta Marinho, Jos Nogueira, em memria de Emanuel Ciattei,
e muitos outros que, por uma frao de tempo, a memria me
deixou escapar.
Agradecimento especial aos trs scios visionrios, Alberto,
lvaro e Fernando, que em 1985 souberam identificar a opor-
tunidade e comearam a escrever a histria da segurana da
informao no Brasil.
Relacionado a esta edio atualizada, agradeo a confian-
a do novo diretor de educao, Fernando Ximenes, a quem
h muito respeito pelo histrico profissional e antiga relao
familiar, e especialmente ao Maurcio Taves, pela dedicao
empregada nesta rdua porm valorosa reviso.
Agradeo Fundao Getlio Vargas, que teve importante
papel na materializao deste projeto, por acreditar no potencial
literrio da obra e principalmente no valor que poderia agregar

vii

C0080.indd vii 06/11/13 10:47 AM


viii Agradecimentos

aos cursos de educao continuada MBA (Master in Business


Administration). Agradeo aos amigos e mentores da FGV/
EPGE, Moiss Glat, Raul Colcher, Bernardo Griner, Andr Valle
e, em memria, ao amigo Carlos Salles, que, por acreditarem
no meu potencial como educador, viabilizaram a enriquecedora
experincia de lecionar a cadeira de Gesto de Riscos da Infor-
mao para os cursos nacionais MBA da instituio, agora j por
mais de treze anos. amiga e professora Deana Weikersheimer,
um agradecimento especial pelas horas no saguo dos aeroportos
em que trocvamos experincias, enquanto era especialmente
motivado a seguir seu exemplo de compartilhar o conhecimento
atravs da literatura.
Sendo rigoroso com a premissa de usufruir deste captulo
para agradecimentos extensivos, no posso deixar de agradecer
novamente aos meus colegas do curso MBA em Tecnologia
Aplicada/FGV, turma de 1997, especialmente Marco Aurlio
Latge e Luiz Mrio Griner, que foram sempre presentes e in-
centivadores de meus projetos ambiciosos. Agradeo, ainda,
aos amigos que compem comigo a diretoria da associao
internacional de profissionais de segurana e auditoria de sis-
temas (ISACA), Alfred Bacon, Paulo Pagliusi, Ernani Paes e
Barros, Homero Carreiro, Leandro Ribeiro, Luis Diogo Reis,
Marcelo Duarte e Jos Fontenelle, pelo companheirismo, pela
tolerncia e dedicao como voluntrios em um mundo onde o
tempo livre virou ativo valiosssimo.
Por fim, no me permito esquecer dos principais respon-
sveis pelo apoio incondicional e a base slida que viabilizam
diretamente o sucesso de mais este projeto: minha famlia, prin-
cipalmente meus pais, meus irmos, minha esposa e meus filhos.

C0080.indd viii 06/11/13 10:47 AM


Sumrio
Agradecimentos ....................................................................vii
Prefcio ...............................................................................xvii

CAPTULO 1 Sociedade do conhecimento ........... 1


1.1 Informao: ativo cada vez mais
valorizado ....................................................1
1.2 Crescimento da dependncia ......................2
1.3 Viso holstica do risco ...............................5
1.4 Receita explosiva ........................................7
1.5 Ciclo de vida da informao .......................9
Manuseio ................................................... 10
Armazenamento ........................................ 10
Transporte ................................................. 10
Descarte..................................................... 10
CAPTULO 2 Desafios................................................. 13
2.1 Anatomia do problema..............................13
2.2 Viso corporativa ......................................16
2.3 Pecados praticados....................................20
2.4 Conscientizao do corpo executivo.........20
2.5 Retorno sobre o investimento ...................23
2.6 Posicionamento hierrquico .....................27
2.7 Gerncia de mudanas ..............................28
2.8 Modelo de gesto corporativa
de segurana ..............................................30
Comit corporativo de segurana
da informao............................................ 32
Mapeamento de segurana ........................ 32
Estratgia de segurana ............................. 32
Planejamento de segurana ....................... 33
Implementao de segurana .................... 33
Administrao de segurana ..................... 34
Segurana na cadeia produtiva .................. 34
2.9 Agregando valor ao negcio .....................34

ix

C0085.indd ix 06/11/13 3:11 PM


x Sumrio

CAPTULO 3 Knowledge Checkpoint 1 ................ 37


Informao: ativo cada vez mais
valorizado .............................................. 37
Crescimento da dependncia................. 37
Viso holstica do risco ......................... 37
Receita explosiva .................................. 37
Ciclo de vida da informao ................. 37
Desafios ..................................................... 38
Anatomia do problema.......................... 38
Viso corporativa .................................. 38
Pecados praticados ................................ 38
Conscientizao do corpo executivo ..... 38
Retorno sobre o investimento................ 38
Posicionamento hierrquico .................. 38
Gerncia de mudanas .......................... 38
Modelo de gesto corporativa
de segurana .......................................... 38
Agregando valor ao negcio ................. 39
CAPTULO 4 Segurana da informao .............. 41
4.1 Conceitos de segurana ............................41
Segurana da informao .......................... 41
Conceitos bsicos da segurana
da informao............................................ 43
Informao ................................................ 43
Ativo.......................................................... 43
Aspectos da segurana da informao ...... 44
Aspectos associados .................................. 44
Ameaas .................................................... 45
Vulnerabilidades........................................ 46
Medidas de segurana ............................... 47
Riscos ........................................................ 48
Impacto ..................................................... 48
Incidente.................................................... 48
4.2 Teoria do permetro...................................49
4.3 Barreiras da segurana ..............................50
Barreira 1: desencorajar ............................ 51
Barreira 2: dificultar .................................. 51
Barreira 3: discriminar .............................. 52
Barreira 4: detectar .................................... 52

C0085.indd x 06/11/13 3:11 PM


Sumrio xi

Barreira 5: deter ........................................ 52


Barreira 6: diagnosticar ............................. 52
4.4 GRC ..........................................................54
4.5 Equao do risco.......................................56
Interpretao da equao........................... 56
Risco tendendo a zero ............................... 57
4.6 Comit corporativo de segurana
da informao............................................57
Objetivos ................................................... 58
Coordenador do comit corporativo
de segurana da informao ...................... 59
Perfil dos executores ................................. 62
4.7 Papel do Security Officer ..........................63
Fatores importantes para o adequado
exerccio da atividade de Security Officer .. 63
Macrodesafios do Security Officer ............ 64
4.8 Como conduzir internamente
a negociao ..............................................64
4.9 Sabendo identificar o parceiro
externo.......................................................67
4.10 Conformidade com norma
especfica...................................................69
Tendncia .................................................. 71
4.11 Norma versus metodologia .......................72

CAPTULO 5 Knowledge Checkpoint 2 ................ 75


Conceitos de segurana ......................... 75
Teoria do permetro ............................... 75
Barreiras da segurana .......................... 75
GRC ...................................................... 75
Equao do risco ................................... 76
Comit corporativo de segurana
da informao........................................ 76
Papel do Security Officer ...................... 76
Como conduzir internamente
a negociao .......................................... 76
Sabendo identificar o parceiro externo...76
Conformidade com norma especfica.... 76
Norma metodologia .......................... 77

C0085.indd xi 06/11/13 3:11 PM


xii Sumrio

CAPTULO 6 Orientao ao Security Officer ...... 79


6.1 Soluo corporativa de segurana
da informao............................................79
Objetivo ..................................................... 81
Fases .......................................................... 83
6.2 Plano diretor de segurana ........................85
Metodologia .............................................. 86
1. Identificao dos processos
de negcio ......................................... 87
2. Mapeamento da relevncia................ 89
Critrios............................................. 89
3. Estudo de impactos CIDAC .............. 90
4. Estudo de prioridades GUT .............. 91
Dimenso gravidade.......................... 92
Dimenso urgncia............................ 92
Dimenso tendncia .......................... 92
Critrios............................................. 93
5. Estudo de permetros......................... 93
6. Estudo de atividades.......................... 96
Organizao do comit corporativo
de segurana .............................................. 96
Organizao do Security Office ................. 97
Organizao de comits
interdepartamentais de segurana ............. 97
6.3 Continuidade de negcios .........................98
O cerne da GCN ........................................ 98
Anlise de impacto no negcio ............... 100
Estratgias de contingncia ..................... 101
Hot-site................................................ 101
Warm-site ............................................ 102
Realocao de operao ...................... 102
Bureau de servios .............................. 102
Acordo de reciprocidade ..................... 102
Cold-site .............................................. 103
Autossuficincia .................................. 103
Planos de contingncia............................ 103
Plano de administrao de crise .......... 104
Plano de continuidade operacional ..... 104
Plano de recuperao de desastres ...... 104

C0085.indd xii 06/11/13 3:11 PM


Sumrio xiii

6.4 Poltica de segurana da informao ......105


6.5 Anlise de riscos e vulnerabilidades .......108
6.6 Teste de invaso ......................................114
6.7 Implementao de controles
de segurana ............................................116
Autenticao e autorizao ..................... 117
O que voc sabe .................................. 117
O que voc tem ................................... 118
O que voc ........................................ 118
Combate a ataques e invases ................. 119
Firewall ............................................... 119
Detector de intrusos ............................ 120
Privacidade das comunicaes ................ 122
Simtrica ou de chave privada ............ 122
Assimtrica ou de chave pblica ......... 123
Virtual Private Network ...................... 124
Public Key Infrastructure .................... 125
Esteganografia ..................................... 128
6.8 Treinamento e sensibilizao
em segurana ...........................................128
Seminrios............................................... 129
Campanha de divulgao ........................ 129
Carta do presidente ................................. 129
Termo de responsabilidade
e confidencialidade.................................. 130
Cursos de capacitao e certificao ....... 130
6.9 Equipe para resposta a incidentes ...........131
6.10 Administrao e monitorao
de segurana............................................ 131
6.11 O risco da conformidade .........................133
CAPTULO 7 Knowledge Checkpoint 3 ..............135
Orientao ao Security Officer ................ 135
Soluo corporativa de segurana
da informao...................................... 135
Plano diretor de segurana .................. 135
Continuidade de negcios ................... 135
Poltica de segurana da informao... 135
Anlise de riscos e vulnerabilidades ... 136
Teste de invaso .................................. 136

C0085.indd xiii 06/11/13 3:11 PM


xiv Sumrio

Implementao de controles
de segurana ........................................ 136
Treinamento e sensibilizao
em segurana ....................................... 136
Equipe para resposta a incidentes ....... 136
Administrao e monitorao
de segurana ........................................ 137
O risco da conformidade ..................... 137
CAPTULO 8 Conformidade com a norma
ISO 27002 ..........................................139
8.1 Framework e os controles
de segurana ............................................140
8.2 Teste de conformidade ............................142
Objetivo do teste ..................................... 143
Instrues ................................................ 143
1. Polticas de segurana
da informao................................ 143
2. Organizao da segurana
da informao................................ 143
3. Segurana em recursos humanos .. 144
4. Gesto de ativos ............................ 144
5. Controle de acesso ........................ 144
6. Criptografia ................................... 145
7. Segurana fsica e do ambiente ..... 145
8. Segurana nas operaes............... 146
9. Segurana nas comunicaes ........ 147
10. Aquisio, desenvolvimento
e manuteno de sistemas ............. 147
11. Relacionamento na cadeia
de suprimento ................................ 148
12. Gesto de incidentes
de segurana da informao .......... 148
13. Aspectos da segurana
da informao na gesto
da continuidade do negcio .......... 149
14. Conformidade ............................... 149
Tabela de pontuao ................................ 149
ndices de conformidade com a norma
ISO 27002 ............................................... 150

C0085.indd xiv 06/11/13 3:11 PM


Sumrio xv

Resultado entre 78-118 ....................... 150


Resultado entre 39-77 ......................... 150
Resultado entre 0-38 ........................... 151
CAPTULO 9 As novas fronteiras ......................... 153
9.1 Cloud computing..................................... 154
9.2 Mobilidade e BYOD ............................... 157
9.3 Mdias sociais ......................................... 160
9.4 Big data................................................... 161
Concluso................................................ 163
Consideraes finais............................................................ 165
Bibliografia recomendada ................................................... 167
O autor ................................................................................ 171

C0085.indd xv 06/11/13 3:11 PM


C0085.indd xvi 06/11/13 3:11 PM
Prefcio

Recentemente passei pela desagradvel experincia de ser as-


saltado ao final de um dia de trabalho. O assaltante chegou
pedindo o meu laptop, em aluso minha pasta, que eu achava
ser discreta e que no se parecia com as pastas tradicionais
de notebook. Argumentei que no possua laptop na pasta,
aliviado por ter deixado o meu em casa naquele dia, e abri a
pasta, a pedido dele, mostrando a ausncia do equipamento.
Ele quis levar a pasta assim mesmo, no que eu instintivamente
pedi para que me deixasse ficar com minha agenda. Ele desistiu,
pediu minha carteira, e depois fugiu em sua moto.
Apesar do susto e do trauma, fiquei pensando nesse episdio
com olhos profissionais. De todos os itens que eu possua comi-
go naquele momento, talvez a minha agenda estivesse entre os
mais baratos. Contudo, por conta de todas as minhas anotaes
e rabiscos, foi o nico item pelo qual eu me arrisquei (louco!)
em uma argumentao tensa para poder mant-lo.
Obviamente, a minha vida era a maior prioridade, seguida
dos documentos pessoais que estavam em uma segunda carteira
e no foram levados, mas o que esse episdio ilustrou foi uma
situao cotidiana em que informaes estavam em risco, mes-
mo sem haver nenhum aparato tecnolgico envolvido.
Extrapolando esse caso, fico pensando: e se um notebook
fosse levado? Ser que o dono perderia informaes? Ser que
as informaes contidas nele estariam protegidas dos olhos
de terceiros? Poderia um assalto desses ser contratado por um
concorrente inescrupuloso?
Evidentemente, esse apenas um dos vrios riscos aos quais,
infelizmente, tanto eu quanto o leitor estamos sujeitos enquanto
vivermos neste mundo imperfeito e injusto. Mas olhemos um
pouco alm: quantos de ns, como profissionais, executivos
e empresrios responsveis que somos, podemos dizer que
administramos os riscos a que nossas empresas e negcios esto
sujeitos por dependerem de informaes?

xvii

C0090.indd xvii 06/11/13 11:27 AM


xviii Prefcio

Pensemos nos nossos negcios em relao informao:


Quo dependentes somos? Conseguimos ficar uma
semana sem nossos computadores e sistemas? Quais
computadores e sistemas no podem parar?
Quo sensveis somos? Quais informaes no podem cair
nas mos de nossos concorrentes? Quais informaes no
podem vir a pblico?
Quo conhecidos e confiveis somos? Nossa reputao
ser afetada se modificarem nossas informaes, se
terceiros se passarem por ns ou se nossos servios forem
interrompidos sem aviso?
Onde mora o perigo? Em agentes externos ao nosso
negcio ou entre os nossos quadros funcionais? Na ao
deliberada ou na negligncia ou impercia aplicadas ao
nosso dia a dia?
Muitas pessoas pensam que segurana da informao se resu-
me compra de equipamentos e sistemas caros, como firewalls,
sistemas de deteco de intrusos ou antivrus. Outras acham que
incluir a adoo de polticas de segurana e o estabelecimento
de responsabilidades funcionais ao aparato tecnolgico su-
ficiente. Mas nenhuma dessas abordagens consegue prevenir
perdas se forem adotadas de forma isolada e inconsequente.
Segurana da informao no uma cincia exata. Se fs-
semos classific-la, ela estaria no campo da gesto de riscos.
E para gerir riscos preciso conjugar vrios verbos: conhecer,
planejar, agir, auditar, educar, monitorar, aprender e gerenciar
so apenas alguns deles.
A principal contribuio de Marcos Smola a este livro
traduzir em uma linguagem didtica diversos conceitos e
abordagens comuns no campo da segurana da informao. Mais
do que isso, o livro permite ter uma viso global dos vrios as-
pectos envolvidos, introduzindo o assunto queles que comeam,
e proporcionando uma estrutura de orientao sinttica e fcil
para aqueles mais experientes.
O livro se destina a pessoas que, como voc, que leu este
prefcio at aqui, se interessam pelo assunto e esto conscientes

C0090.indd xviii 06/11/13 11:27 AM


Prefcio xix

da sua importncia, e tambm quelas que ainda no desperta-


ram para ele. Como auxlio conscientizao, seu texto um
presente valioso.

IVAN ALCOFORADO
Information Security Specialist Engenheiro de produo,
formado pela UFRJ, ps-graduado pelo Centro de Referncia em
Inteligncia Empresarial (CRIE) da COPPE e consultor nas reas
de Gesto do Conhecimento e Segurana da Informao.

C0090.indd xix 06/11/13 11:27 AM


C0090.indd xx 06/11/13 11:27 AM