Beruflich Dokumente
Kultur Dokumente
Confidencialidade .................................................................................................15
Integridade.............................................................................................................16
Disponibilidade......................................................................................................16
Aspectos .....................................................................................................................17
Autenticação ..........................................................................................................17
Autorização ............................................................................................................17
Auditoria ................................................................................................................18
Autenticidade.........................................................................................................18
Não Repúdio ..........................................................................................................19
Legalidade ..............................................................................................................19
III. Divisão da Segurança da Informação .........................................................20
Manipulação ..............................................................................................................32
Armazenamento ........................................................................................................33
Transporte .................................................................................................................33
Descarte......................................................................................................................34
Conscientização .....................................................................................................48
Educação ................................................................................................................48
Treinamento ..........................................................................................................49
Implantação da Política ........................................................................................49
VI. Norma BS 7799 ......................................................................................................50
Objetivo da Norma ...................................................................................................51
2
Introdução
conhecimento, área esta que se utiliza da várias ciências – psicologia, sociologia, tecnologia,
administração, arquivologia, antropologia, forense, direito, etc. - é de vital importância para o ‘mundo’
corporativo, governamental e mesmo para o mundo privado e pessoal – sem a segurança este tende a
desaparecer.
Uma frase muito dita nos últimos tempos é: ‘A informação é um dos ativos mais valiosos das
organizações’. Não poderia ser diferente, afinal estamos em plena transição da era da informação para a
era do conhecimento, conhecimento este que necessita de informações para que seja adquirido e
compartilhado. Nada mais natural que se procure, portanto, assegurar que este ‘ativo’ tão importante às
organizações esteja em total segurança. Sim, é natural, mas isto não significa necessariamente que todas
Nesta apostila vou procurar apresentar a Segurança Estratégica da Informação de maneira didática e
mostrar o que é necessário para que ela seja implementada, sem a pretensão de esgotar o assunto ou
fazer deste trabalho ‘a verdade’ sobre segurança da informação, pois esta é a minha visão sobre este
assunto, e nem sei por quanto tempo esta visão permanecerá. Espero que por pouco, pois ao mudar
Vou apresentar também alguns conceitos de Gestão de Riscos e Continuidade de Negócios, que ao
1
Mitnick, Kevin D. - A Arte de Enganar. Makron Books, 2003
3
Clemente Nóbrega diz, em seu livro ‘Antropomarketing’ [Senac Rio 2002], que “Marketing é sobre
o ser humano”, onde “Precisamos compartilhar significados para obter reciprocidade e ficar vivos”. Eu
ouso adaptar suas palavras para: “Segurança da Informação é sobre o ser humano”, onde precisamos
continuidade.
Esta visão é corroborada por uma das máximas da Segurança da Informação que afirma que “A
Segurança da Informação se mede pela segurança de seu elo mais fraco: o ser humano”.
casos não passar mesmo de apenas clichê modista para gurus e vendedores de milagres corporativos, é
de fundamental importância para o tema e para que entendamos a expansão do escopo e da abordagem
que o assunto passa a exigir. Mal começamos a aplicar conceitos de Segurança da Informação e já nos é
intelectuais, mas o escopo deve ser ampliado e fundido ao da Segurança da Informação, que
4
I. Segurança Estratégica da Informação
Informação: dados coletados, combinados e contextualizados que explicam e informam fatos
(passado).
A Informação é um ativo importante das organizações, e em muitos casos o mais importante, e como
tal deve ser protegido adequadamente durante todo seu ciclo de vida: criação, manipulação,
Por informação, entendem-se, neste contexto, todos os dados armazenados e manipulados em meios
eletrônicos, em papel, micro-filmes, ou qualquer outro meio que os suporte, que quando
adquirido a partir da informação, este deve ser englobado no nosso escopo de trabalho para que também
seja protegido. Isso nos remete à ‘gestão do conhecimento’, tema que não será tratado aqui, mas que é
O conhecimento que não está em suporte físico ou eletrônico, que é o conhecimento tácito de
funcionários chaves e estratégicos, também deve ser considerado no SGSI (Sistema de Gestão de
Segurança da Informação) e sempre que possível deve ser transformando em conhecimento explícito -
documentado - para que possa ser compartilhado e perpetuado (disponibilidade). Isso nos coloca em um
processo cíclico, pois informações geram conhecimentos que, por sua vez, geram novas informações.
Todas estas informações devem ser protegidas devido o valor que representam para as organizações.
5
Informação é um bem estratégico para as organizações, principalmente para as organizações do
conhecimento, mas não limitado a estas, pois informações e conhecimentos são, em muitos casos, mais
valiosos que os bens físicos. Sendo assim, é imprescindível que todas as ações de segurança sejam
tomadas com participação efetiva e apoio direto, explícito e irrestrito da alta direção da organização,
Ativo: qualquer coisa que tenha valor para a organização [ISO/IEC 1335-1:2004]
UNIBERO:2000] que não se cansava de nos apresentar a pirâmide hierárquica: estratégica no topo;
A responsabilidade pela segurança da informação é toda a organização, mas para que seja
estratégica, cuidando de ativos estratégicos, deve ter como principais responsáveis os gestores das áreas
de negócio, sob a coordenação ou direção de um especialista no assunto, ou por um diretor apoiado por
consultores, uma vez que o tema traz consigo uma série de fatores técnicos e multidisciplinares.
A Gestão da área, e assuntos específicos relativos à Segurança da Informação, deve estar, portanto,
sob a tutela de um cargo situado no plano estratégico da hierarquia. CSO (Chief Security Officer), para
português. Este cargo, ou função, pode ser desempenhado pelo próprio Diretor de Riscos Corporativos, e
em outros casos em que a empresa não comporte tal cargo, pode ser dado como função e
responsabilidade a outro diretor, mas deve estar no nível estratégico e há que se ter um verdadeiro
compromisso e responsabilidade com tal função. Este diretor deve ser assessorado por especialistas nos
diversos domínios que a Segurança da Informação engloba, ainda que consultores externos.
6
A gestão ou administração da Segurança da Informação pode ser delegada, mas a responsabilidade
recairá sempre sobre os gestores do negócio. É destes a responsabilidade, inclusive legal, de zelar pela
Não se pode esperar que processos estratégicos sejam implementados a partir de níveis táticos ou
operacionais, pois o conflito de interesse - principalmente quando se trata de assunto que provoca
alterações na cultura organizacional, tira as pessoas do seu centro de conforto e altera suas atividades do
dia-a-dia, é muito forte e o poder do ‘fogo amigo’ - é grande suficiente para que as ações não passem de
pontuais e localizadas, e assim sendo, não serão incorporadas pela organização e as pessoas continuarão
sendo o ‘elo mais fraco da segurança’. Infelizmente sabemos muito bem como funciona o ‘sabe com
quem está falando?’. Sabemos que não estamos num mundo perfeito, portanto não vamos agir como se
assim fosse.
realidade é apenas parte, apenas ferramenta de suporte e aplicação da Política Corporativa de Segurança
da Informação, esta que deve fazer parte de algo maior, que é a Gestão de Riscos Operacionais, que,
juntamente com seus pares Gestão de Riscos Financeiros e Gestão de Riscos de Mercado fazem parte da
Gestão de Riscos Corporativos. O pior desta ilusão é que esta falsa segurança acaba por tornar míopes os
que deveriam cuidar de tão estratégico ativo, que além de se vangloriarem de ter ‘segurança da
informação’ agem como se realmente a tivessem. A falsa sensação de segurança é mais prejudicial do
que a certeza da insegurança, pois elimina a possibilidade de defesa, tolhe o poder da desconfiança e dá
força até às fraquezas que poderiam ser eliminadas com pouco esforço.
7
TI e os riscos inerentes ao ambiente e ao negócio, o que não é possível existir senão no nível estratégico
da organização.
Para que um plano de segurança estratégica da informação alcance o resultado esperado deve seguir
as seguintes premissas:
consultorias. Desconfie e duvide de quem oferecer tal solução milagrosa. Como diria o Presidente
Lula, “não tem solução milagrosa”. As coisas devem ser feita da maneira correta, no tempo certo e
com os custos financeiros e de esforços necessários a cada organização. É algo que para funcionar
deve ser feito sob-medida, seguindo padrões e normas internacionais e consagradas, aplicando as
específicos de cada tipo de negócio e seguindo as leis aplicáveis a cada assunto abordado no plano.
Voltando aos conceitos, o conhecimento deve ser compartilhado e aplicado, mas as informações
sobre o plano, em sua maioria, terão que ser geradas internamente, a não ser aquelas comuns ao
Justificável – orientada a Riscos, ou seja, deve mitigar os riscos aos quais a empresa está sujeita,
8
Não existe segurança 100% e nem risco zero.
É importante sabermos que não há segurança 100% e que o aumento do nível da segurança não é
linear ao investimento aplicado. Chamo isso de “efeito escalada”, pois quanto mais alto o nível de
Investimento
Segurança
aumento geométrico dos investimentos financeiros e esforços para se conseguir um aumento aritmético
no nível de segurança. Ao atingirmos o nível desejado de segurança a curva de investimento tem seu
ponto de inflexão e a de segurança passa a ser estável por um período e passará a decair. É importante
notar que o investimento em segurança diminuirá a partir deste ponto, mas jamais poderá ser eliminado
por completo, pois o custo de manutenção deverá ser mantido para que o nível de segurança alcançado
9
Investimento = 1, 2, 4, 8, 16, 32, 64 .....(PG)
70
60
50
40
30
20
10
0
1 2 3 4 5 6 7
Investimento
Segurança
O efeito escalada não incide somente sobre o aspecto financeiro, mas também sobre o gerencial e o
funcional.
A administração de ambientes seguros requer mais controles e cuidados, sob pena de se perder o
esforço feito para chegar ao patamar alcançado e ficar desatualizado no que diz respeito aos controles
necessários para garantir a segurança no nível atual. Isso gera revisões e atualizações constantes, mas em
contrapartida reduz o tempo gasto com paradas indesejadas. Cabe a cada empresa descobrir o ponto de
10
O nível de segurança é inversamente proporcional ao nível de conforto na utilização, para os
Os usuários finais também podem sentir os efeitos deste maior controle, principalmente aqueles que
se acostumaram em ambientes muito flexíveis, para não dizer relaxados, pois não mais terão liberdade
para fazer o que quiserem, mas apenas o que precisarem e sob controle e monitoração constante. Estes
controles podem, se não bem implementados e adequados ao ambiente, causar alguns inconvenientes, os
quais devem ser minimizados no decorrer do processo evolutivo da segurança, e também conforme os
A conscientização e educação constante dos usuários são grandes aliados dos gestores de segurança,
pois transforma os usuários em colaboradores. Isso acontece naturalmente quando estes entendem o real
objetivo da segurança.
O investimento em segurança deve ser proporcional ao valor do bem que se pretende proteger.
Visto que proteger as informações requer investimento e esforço, devemos atentar para o fato de que
nem todas as informações têm o mesmo valor, e que o valor destas variam de acordo com seu ciclo de
vida. É essencial que se faça a classificação das informações, e sua reclassificação, sempre que
necessário, para que não se invista mais que o necessário para garantir a segurança das mesmas.
Ninguém compraria um cofre de R$ 10.000,00 para guardar uma jóia de R$ 3.000,00. Seria um
desperdício de recurso. E um carro que hoje custa R$ 50.000,00 terá seu valor depreciado no ano
11
seguinte, não sendo, portanto, aceitável que se invista o mesmo valor em seu seguro por dois anos
Nenhum empresário irá investir em segurança da informação se não tiver claro, e se não estiver
Esta é uma das árduas tarefas do responsável pela segurança da informação: conscientizar e
Leis e Decretos exigem investimento em segurança e o ‘Information Security Officer’, como é chamado
o responsável pela segurança da informação, não precisará despender muito esforço para conseguir
investimento.
Os bancos, por exemplo, estão muito à frente de muitos outros tipos de negócio, pois dependem da
segurança para sobreviver. Já as indústrias ainda estão caminhando a passos lentos para a maturidade,
12
Na maioria das organizações o ‘Information Security Officer’ precisará se esforçar para mostrar as
vantagens que o investimento em ações estruturadas em segurança trarão como retorno. Uma das
melhores maneiras de demonstrar que o investimento trará retorno, e sua real necessidade, é a realização
estudos de Análise de Riscos e Avaliação de Impactos, estudos estes que irão aclarar o quão a
organização está vulnerável, quais são os riscos aos quais está exposta e qual será o impacto em caso de
incidente.
Uma estratégica que pode auxiliar no convencimento é demonstrar o quanto a empresa poderá perder
caso não invista em segurança, uma vez que é difícil demonstrar o retorno do investimento. Podemos
chamar isso de Perda por Não Investimento (PpNI). Exemplo: Seguir uma regulamentação setorial pode
não trazer retorno à empresa, mas não seguir pode trazer prejuízo.
13
Para que seja possível alcançar os objetivos da segurança da informação é necessário que se siga alguns
passos, a saber:
Para completar, segurança da informação não é projeto, e sim um processo, e como tal deve ser
contínuo, cíclico, monitorado, revisado e evoluído permanentemente, sob pena de se tornar obsoleto e de
A segurança da informação é composta por pilares básicos, e todo o resto gira em torno disto:
14
Temos ainda alguns aspectos originados dos conceitos do CID. Vamos destacar aqui alguns deles:
Conceitos
Confidencialidade
Garantia de que o acesso às informações seja obtido somente por entidades autorizadas.
podendo ser:
Confidencial – Pode ser manipulada por um número reduzido de pessoas ou um setor da empresa,
Restrita – Informação restrita pode ser manipulada por contingente maior de pessoas ou um nível
hierárquico, como por exemplo o plano estratégico da empresa que pode ser visto até no nível
hierárquico de diretoria;
Interna – Este tipo de informação deve ser limitado à da empresa, como as listas de ramais,
Pública – Estas informações podem também ser divulgadas ao público ou publicadas em revistas,
sites, etc. Informações públicas podem também ser conhecidas como ‘não classificadas’, pois
entende-se que se não foi classificada é porque é pública. Isso pode trazer sérios problemas para a
empresa, pois uma falha de classificação pode expor informações confidenciais ao público. O mais
15
Integridade
Garantia de que as informações serão protegidas contra alterações não autorizadas e mantidas a
exatidão e a inteireza das mesmas, tal qual como foi armazenada e disponibilizada.
Um dado, ou informação, armazenado deve permanecer integra para quando for recuperado. Para
que isso seja verdadeiro não poderá sofrer interferência alguma que o modifique, seja por falhas
integridade preservada, pois uma alteração num sistema pode comprometer as informações resultantes
do processamento.
Este conceito não garante que os dados estejam corretos, pois se forem armazenados errados, assim
Disponibilidade
Garantia de que as informações estarão disponíveis onde e quando as entidades autorizadas
A informação não tem valor para a empresa caso não esteja disponível quando for requisitada.
Muitos ataques tentam derrubar este pilar da segurança por meio da negação de serviço com ataques do
tipo DoS ou DDoS, interrompendo o acesso aos serviços e informações das empresas. Para que este
problema seja apresentado não é necessário ataque sofisticado, bastando para isso apenas que uma linha
ou não. A falta de energia que alimenta o servidor de dados pode causar indisponibilidade, caso não haja
A manutenção deste pilares da segurança da informação só será atingida se houver a integração entre
16
Aspectos
Autenticação
Entende-se por entidade, pessoas, sistemas, redes ou qualquer outra parte que necessite de
identificação para que possa manipular as informações. Este aspecto é de suma importância para a
manutenção da segurança da informação, pois se não for possível autenticar a entidade toda a cadeia de
segurança estará comprometida, seja por permitir acesso à entidade falsa ou negar acesso à entidade
legítima. Pode-se dizer que a negação de serviço é melhor que a autorização indevida, mas isso deve ser
muito bem resolvido pela empresa, pois nem sempre isso pode ser verdadeiro.
Autorização
Processo de concessão de direitos para que uma entidade autenticada acesse as informações
somente com as permissões a ela atribuída. (ler, gravar, modificar, apagar, executar, visualizar).
Esse aspecto é totalmente dependente da autenticação, pois se for autenticada uma entidade falsa
como verdadeira, esta receberá todas as permissões atribuídas à verdadeira como se ela fosse.
No processo de autorização deve-se sempre que possível utilizar o preceito de mínimo privilegio,
preceito este que diz que uma entidade deve ter o mínimo privilégio de acesso às informações dentro de
que a entidade tenha acesso a determinadas informações ou sistemas para cumprir suas funções, em caso
17
Auditoria
Processo de registrar as ações realizadas pelas entidades durante a interação com as informações e
sistemas.
Para que a segurança da informação seja efetiva é necessário que se possa determinar com precisão
quem, quando e o que foi feito nos sistemas de informações e repositórios de dados. Sem isso não será
possível responsabilizar violação de normas e quebras de segurança. Este registro de trilhas de auditoria
Em sistemas de informação isso é feito por meio de coleta de ‘logs’, arquivos que registram todos os
eventos configurados para serem registrados e com a riqueza de detalhes que for necessário à empresa.
também pode ser considerado trilha de auditoria, assim como câmeras de vigilância e outros dispositivos
de monitoração.
Esta sigla é utilizada por técnicos de informática voltados para segurança de sistemas e redes, mas pode
Autenticidade
18
Processo que certifica a legitimidade das informações, quer seja de credenciais de acesso que
autenticam as entidades ou que as informações por estas entidades transmitidas são autênticas, assim
Os certificados digitais, que inclusive já tem valor jurídico e provê a irrevogabilidade, vêm sendo
de entidades.
usuários.
Não Repúdio
Característica das informações que garante o não repúdio, seja referente à autenticidade de
Mais uma vez o certificado digital (assinatura eletrônica), juntamente com as certificadoras de tempo,
estão se apresentando como as tecnologias mais adequadas à esta tarefa, muitas vezes já com garantia
Legalidade
Característica das informações estarem em conformidade legal, assim como os processos que as
Este aspecto rege que as informações devem ser mantidas dentro das determinações legais. Um
exemplo disso são as assinaturas digitais de documentos, que só terão efeito legal se forem feitas com
certificados digitais fornecidos por Entidades Certificadoras – ACs - integrantes do ICP Brasil ou por
19
entidades reconhecidas previamente por todos os participantes do processo de validação do documento.
Para que sejam realizadas transações entre o Sistema Financeiro ou Órgãos Governamentais é
Segurança Tecnológica;
Segurança em Pessoas.
FÍSICA
TECNOLÓGICA
AMBIENTE
PESSOAS
20
Segurança da Informação é a aplicação conjunta da segurança física e do ambiente, da segurança
tecnológica e da segurança em pessoas, com foco na gestão dos riscos inerentes aos negócios, tanto
Com a não implementação de apenas uma dessas partes da segurança da informação, o máximo que
se conseguirá é criar uma falsa sensação de segurança, que é muito pior do que ter a certeza da
insegurança, pois se acreditamos, falsamente, que estamos seguros, acabamos por não tomar as medidas
necessárias para prevenção, detecção, correção e redução de impacto, mas sabendo que estamos
inconseqüente.
Segurança pessoal
Medidas a serem tomadas para garantir a segurança dos funcionários, prestadores de serviços e
Segurança patrimonial
21
Segurança das edificações
Cada tipo de atividade requer edificações apropriadas para tal, com níveis de segurança estrutural
brigadas de incêndio, controle ambiental e controle de pestes podem ser considerados escopos da
Segurança de infra-estruturas
de ar, de exaustão, de controle do ar, de detecção e combate a fogo, dentre outros, devem ser
protegidas e controladas. Devemos atentar para a infra-estrutura interna e externa, esta última um
pouco mais complicada de gerenciar por estar, na maioria dos casos, fora do controle da
classificadas de acordo com suas características, podendo ser: restrito, controlado e público, ou outra
Controles de acessos
O acesso às instalações da organização deve ser controlado e monitorado para que a segurança
seja efetiva.
22
Quando falamos em segurança física e de ambiente, boa parte das ações serão tomadas para
limitar o acesso às dependências a serem protegidas. Sem o devido controle de acesso, seja este
Eventos naturais
A natureza é bela e perfeita, não podemos contestar isso, mas em muitas situações acaba por
colocar em risco a segurança das organizações. Raios, enchentes, chuvas de granizo, temporais,
organização caso esta não mesure os riscos e implemente as medidas necessárias de segurança.
Eventos sociais
Muitos eventos sociais podem acabar por afetar a segurança das empresas, em diversos níveis e
situações. A disponibilidade a pode ser afetada caso haja, por exemplo, uma mobilização social nas
imediações da empresa, seja por greve, revolta, baderna, etc. Empresas que atuam na Av. Paulista, em
São Paulo, sofrem este tipo de transtorno constantemente, uma vez que a avenida é palco de diversas
Em muitos casos pode ocorrer de tais manifestações fugirem ao controle e passar para ações em
massa de quebra-quebra, baderna e violência. Empresas podem ter suas dependências invadidas,
depredadas e saqueadas, estes riscos devem ser levados em consideração no processo de gestão de riscos
Mesmo ações individuais, seja por imprudência ou sabotagem, podem levar a empresa a
23
Segurança Lógica e Sistêmica
A segurança lógica e sistêmica deve prever ações de funcionários, hackers e crackers, parceiros,
clientes, fornecedores e quaisquer outros que interagem com a organização, prevendo e tratando os
riscos de: espionagem, sabotagem, erros, facilitação, roubo, furto e desvio de dados e informações, etc.
A composição lógica das redes da organização pode ser composta por várias redes, redes estas
que requerem níveis diferentes de segurança. Não se pode, por exemplo, dar a mesma atenção para a
rede onde estão alocados os servidores de produção e a rede onde estão os servidores públicos, como
os que hospedam os sistemas e Sites na Internet. O firewall é a ferramenta mais utilizada para
segmentação de perímetros lógicos de segurança, por sua capacidade de proteção e pela facilidade de
negação de acesso, regras estas que definem quem pode entrar em qual rede e utilizando que tipo de
protocolo ou serviço.
implementação de listas de acessos que, ainda que de maneira limitada, conseguem determinar
Redes
contra códigos maliciosos, assim como contra ataques e intrusões. A ferramenta mais aplicável para
24
esta tarefa é o IDS (NIDS - Network Intruder Detection System). Para monitoração podem ser
utilizadas ferramentas Sniffer, que capturam tráfego da rede para estudo e monitoração.
fundamental, pois são estes que irão manipular os dados da organização. A segurança deve ser
prevista e implementada desde a concepção e projeto dos sistemas e aplicativos, pois é quase
não é seguro é implementar uma ‘camada’ externa de segurança, normalmente com softwares
especialistas de terceiros, como Host IDS, antivírus, sistemas de controle de acesso, etc.
Controle de acesso
O controle de acessos aos sistemas e dados é uma parte de extrema importância da segurança. O
de acessos a estes dados deve ser previsto desde a concepção e estruturação do banco de dados,
podendo, e devendo, ser feito de maneira integrada aos sistemas que farão a interação entre os
25
Segurança em Pessoas
A segurança em pessoas é normalmente relegada a segundo plano, mas acredito ser a mais
importante das três, por serem as pessoas o ‘elo mais fraco da corrente’.
É nas pessoas que a segurança começa e é nelas que termina. Equipamentos tecnológicos podem ser
desligados, trocados e ligados novamente, é tudo muito previsível. Com pessoas a situação é diferente,
não podemos prever as atitudes das pessoas em situações adversas. Não devemos falar de desconfiança,
mas de precaução.
Dentro da Segurança em Pessoas, devemos trabalhar com as seguintes questões, dentre outras que sejam
necessárias à organização:
Engenharia social
Um dos grandes vilões da segurança da informação é a engenharia social, técnica que é utilizada
em larga escala por engenheiros sociais, hackers e crackers, espiões, curiosos, estelionatários, dentre
outros. A maioria das espionagens industriais e comerciais se dá por engenharia social, e quando esta
não é a principal técnica empregada pelos espiões, é utilizada no mínimo como auxiliar para outras
técnicas.
Acompanhamento de pessoal
26
As organizações são compostas fundamentalmente por pessoas, às quais estão sujeitas a
alterações de comportamento de acordo com diversos fatores, tais como humor, problemas
familiares, financeiros, com drogas, com doenças, chantagem, dentre outras tantas.
Conscientização
pessoas devem estar cientes e conscientes da necessidade da segurança das informações, bem como
do valor dessas informações, assim como o risco e o impacto que a violação da segurança poderá
causar à organização e conseqüentemente para as pessoas que nela trabalham. Se as pessoas não
entenderem e aceitarem os argumentos apresentados pela organização a segurança poderá não ser
efetiva.
Educação
parafernália tecnológica voltada para a segurança, e tomarem muitas das medidas necessárias à
segurança da informação sem dar a devida atenção e o devido investimento à educação de seus
funcionários. As pessoas estão acostumadas a acreditar em seus interlocutores, a ajudar aos que
solicitam, a abrir arquivos que recebem, a seguir orientações recebidas por e-mail ou telefone, a
confiar em sites que se dizem seguros, a crer que os e-mails recebidos de um amigo são confiáveis, a
ter boa receptividade com seus colegas de trabalho ou enviados por estes. Estes costumes podem
abrir uma enorme lacuna de segurança se alguns cuidados não forem tomados para certificar que as
27
A engenharia social nada mais é do que uma técnica para explorar algumas características
humanas como ego, vaidade, ambição, confiança, medo, bondade, reciprocidade, corporativismo,
coleguismo, dentre outras. Se as pessoas não forem educadas em como agir nas situações que podem
causar incidentes de segurança e colocar as informações em risco, com certeza a segurança será
Política de segurança
informação, objetivando a normalização das ações necessárias para levar a organização a um nível
de risco aceitável e confortável. A política de segurança deve ser desenvolvida sob medida para a
segurança da direção. Deve, ainda, ser clara e objetiva, factível e aplicável, mensurável, relevante e
temporal.
A Política de Segurança da Informação de uma organização deverá ser aprovada pela alta direção
e publicada de maneira que todos os funcionários e parceiros tomem conhecimento da parte que lhes
cabe seguir.
Gerência de mudança
devem ser acompanhadas e gerenciadas por uma pessoa que tenha bom relacionamento pessoal e
interdepartamental e com liderança e autoridade suficiente para contornar problemas que surgirão
em decorrência dessas mudanças. É natural que haja resistência por parte do pessoal, quer seja por
28
perda de direitos nos sistemas, maior monitoração e controle, falta de entendimento dos objetivos da
maior segurança, etc., mas tal resistência deve ser contornada com medidas de conscientização e em
Um dos paradigmas a serem quebrados é o da posse. É comum ouvirmos e dizermos: meu micro,
minha sala, meu e-mail, quando falamos das coisas pertencentes à organização. Este comportamento
fará com que as pessoas apresentem resistência às mudanças que acabarão por aumentar o controle e
pertencem à organização, que têm real valor para esta e por isso necessitam de monitoração e
controle, o que acabará por proteger, por conseqüência, também os interesses dos funcionários.
29
Controle e monitoração
As normas de segurança descritas na política de segurança devem ser seguidas por toda a
organização, e para que se meça a aderência e obediência às normas é necessário que haja
A monitoração não deverá ser utilizada como fonte de ameaças e punições, mas sim para
É necessário, ainda, que se deixe claro que o controle e a monitoração são para proteger as
deixando claro que a privacidade será preservada, desde que não coloque a segurança em risco, e tais
Assim como em cada lei existe a punição – reforço negativo - aplicável em caso de
descumpridas ou burladas. Se não for assim, corre-se o risco da política de segurança cair em desuso
e a área de segurança em descrédito, o que fará com que os esforços e investimentos efetuados sejam
segurança da informação. Esta estratégia deve ser muito bem implementada para que não desvirtue a
real motivação das ações de segurança. O objetivo principal é proteger as informações, e isso não
30
O incidente de segurança mais freqüente é a que tem o ser humano - o elo mais fraco da corrente -
Temos ainda os incidentes com causas não humanas, que podem ser tecnológicas e naturais: falhas
A implementação de defesas pode ser feita sob uma abordagem de camadas. A figura abaixo ilustra,
com alguns exemplos, como se dá a segurança nas várias camadas de profundidade e como cada camada
é dependente da anterior.
segurança podem variar, e normalmente variam, devendo, portanto, ser investido esforço adequado à
Como exemplo podemos citar informações de um determinado produto, que durante sua fase de
desenvolvimento tais informações devem ser tratadas como confidenciais, devido sua natureza e dos
investimentos que estão sendo feitos para o desenvolvimento do produto. Após o término do
desenvolvimento, se for o caso, realiza-se o registro da patente, momento em que boa parte das
Neste caso, não faria mais sentido continuar a tratar todas as informações do produto como
confidencial, podendo reduzir o investimento a partir da reclassificação dos mesmos, mantendo como
Fases do Ciclo
Manipulação
processamento.
32
Nesta fase do ciclo de vida da informação é onde há maior interação entre esta e as entidades, e,
Armazenamento
Durante a fase do armazenamento, em que meio seja, a informação deve estar salvaguardada dos
Nesta fase a segurança física é muito importante, não que as outras não o sejam, pois estarão sujeitas
informação que está à disposição das entidades que a utiliza, que está em área de produção, quando
muito em backup de segurança. O arquivamento deve ser entendido como o processo de guarda das
informações que não estão mais em produção, ou seja, não ficam disponíveis para as entidades
utilizarem nos processos de negócio. Estas são as informações contábeis, fiscais e tributárias e arquivos
mortos, dentre outros que na maioria das vezes são arquivadas para que sejam colocadas à disposição
Transporte
33
O transporte requer atenção especial, pois, normalmente, quando as informações estão em transporte,
estão fora do perímetro de segurança do ambiente que a suporta: Cartas, e-mails, caixas de arquivos,
pastas, notebooks e PDAs, comunicação telefônica e transmissões eletrônicas via rede, principalmente
Tomemos todos os tipos de comunicação como fazendo parte do ambiente de transporte, inclusive, e
muito importante, o diálogo falado, pois ao falar, transporta-se a informação pelo ambiente (ar), do
Descarte
Muitas pessoas, na realidade a maioria, acham que a informação que vai ser descartada não tem
valor. Ledo engano, e engano que pode custar muito caro para as organizações que não atentam para
este pormenor.
Em geral, ao jogarmos um documento em papel, uma cópia ou rascunho no lixo não estamos
descartando a informação, estamos, na realidade, nos desfazendo do meio que a suporta, neste caso o
papel.
Com a modernização e automação dos escritórios esta questão ficou ainda mais preocupante, pois
basta que se tire uma cópia ou impressão de má qualidade para que a mesma seja lançada na lixeira, sem
critérios e sem que se observe os cuidados necessários à segurança das informações ali contidas. O papel
34
O mesmo cuidado se deve ter com qualquer meio que suporte a informação: papel, discos
magnéticos, cartuchos, fitas de backup, CDs, micro-filmes, dentre tantos outros. Cada meio requer um
Os cuidados com descarte devem ser considerados, também, ao se vender computadores, discos,
papéis para reciclagem, dentre outras maneiras de descartar, sem que seja necessariamente jogando no
lixo.
Esta prática é muito perigosa, principalmente no descarte de produtos magnéticos, pois não basta
apagar o arquivo do disquete ou disco rígido para que a informação seja perdida. Se a eliminação da
informação não for feita com técnica apropriada ao meio, a informação poderá ser ‘reconstruída’ a partir
de resíduos das mesmas que permanecem nos meios magnéticos. É o mesmo que apagar uma escrita à
lápis de um papel, com um pouco de esforço ou com alguma técnica, podemos descobrir o que ali estava
escrito.
segurança da informação baseado em uma abordagem de análise de risco do negócio, com o intuito de
organizacional; classificação e controle dos ativos de informação; segurança pessoal; segurança física e
35
do ambiente; gerenciamento das operações e comunicações; controle de acesso; desenvolvimento e
A gestão da segurança da informação deve ser feita com visão estratégica para que esteja alinhada
informação. Dependendo da área de formação deste profissional ele poderá tender a ser um “Security
Officer Tecnológico”, mais voltado para a aplicação de tecnologias, ou “Security Officer Estratégico”,
mais voltado às normatizações e gerenciamento dos riscos. Seja qual for a tendência do profissional, é
imperativo que as duas funções sejam cobertas, tanto a tecnológica quanto a estratégica, buscando
Executivo’ ou diretamente ao Presidente da empresa. Em muitas empresas ele já aparece com status de
diretoria para que possa apoiar e interagir com a alta direção da empresa e para que esteja a par das
O posicionamento do Security Officer é determinante para que não haja conflito de interesses que
36
- Elaborar e aplicar o SGSI;
Conselho de Segurança
O Conselho de Segurança, caso seja constituído, deverá ser composto por um representante de cada
Executivo.
37
- Homologar as medidas de segurança a serem implementadas;
- Planejamento financeiro;
- Planejamento de treinamentos;
- Definição de responsabilidades;
- Aderência à NBR ISSO/IEC 17799 ou outras normas de segurança adotadas pela empresa;
setoriais como SUSEP, Basiléia, diretrizes da CVM ou Banco Central, dentre outras;
38
- Gerenciamento da segurança da informação com apuração de resultados.
A Política de Segurança da Informação é um documento que deve ser aprovado pela alta
ou conjunto de documentos, deve ser publicado respeitando a necessidade de saber de cada área ou
pessoa, e comunicado de forma adequada para todos aqueles que devem obedecê-la, sejam estes
A Política de Segurança da Informação, em todos os seus níveis, deve ser elaborada, publicada e
comunicada de forma e em linguagem que seja apropriada a cada público, sejam genéricas ou
Este conjunto de documentos deve refletir, em alto nível, os objetivos do negócio, num nível
estiverem alinhados e claros, a aderência se dará de forma mais suave, uma vez que toda normatização
ou obrigatoriedade sempre provoca resistência. Por isso a conscientização da empresa (pessoas) é fator
Outro aspecto, bastante relevante, que deve ser levado em conta é a cultura organizacional e o nível
39
O enfoque da Política deve ser de HABILITAÇÃO e não de RESTRIÇÃO: Se tudo o que não for
empregados nos processos de negócio, isso demonstra que houve habilitação, pois sem o nível de
segurança alcançado tais processos e tecnologias poderiam ser inviáveis ao negócio, devido aos riscos
Por fim, sem pretender exaurir os aspectos possíveis, a Política de Segurança da Informação deve ser
Integridade e Disponibilidade, deve estar presente em todas as determinações, quer seja diretamente ou
indiretamente, como por exemplo, focar a Gestão de Identidade (autenticação e autorização), que
Se não for baseado em riscos, deve ser em função de cumprimento Legal ou Regulatório, que, em
Não faria sentido elaborar uma norma de segurança que não prevê a gestão de riscos ou
Diante do exposto até então, podemos afirmar que a Política de Segurança da Informação deve ser
elaborada de forma exclusiva e personalizada para cada empresa, uma vez que o cenário é único para
40
Objetivos da Política de Segurança
- Delegar responsabilidades;
relacionados hierarquicamente, usada para definir controles em aplicativos, estabelecer critérios para
autenticação e autorização, definir critérios para análise de riscos e avaliação de impactos, critérios para
41
Nome da empresa; identificação do documento; assunto abordado no documento; objetivos do
documento; áreas e pessoas responsáveis pela elaboração, aprovação e manutenção; data da elaboração e
- Carta do Presidente – pode ser do Conselho, da Diretoria ou outra, mas deve ser do alto escalão da
- Diretrizes para Segurança da Informação – é a sintetização do que a Empresa espera que seja
feito em relação ao assunto. São diretriz de alto nível, aplicáveis em qualquer ambiente da empresa e
Todos os usuários de sistemas e informações deverão ter acesso gerenciado por identidade,
Todas as informações deverão ser classificadas e ter medidas de proteção de acordo com a
classificação e risco;
Os recursos de informação deverão ter sua continuidade preservada, de acordo com sua
- Normas de Segurança da Informação – Podem ser gerais (para quem usa) ou específicas (para
quem cuida). São as determinações a serem seguidas por todos ou por aqueles que participam de
determinados processos. Expressa o que deve ser feito em relação à segurança da informação na
dos recursos e informações e quais as medidas disciplinares em caso de violação das mesmas. Nas
42
normas poderão conter ‘chamadas’ ou ‘links’ para outros documentos, normas, leis ou regulamentações
que devem ser seguidos, conforme determinação na norma que os invocou. Normas são mandatórias.
Exemplo:
- A autenticação dos usuários deve ser feito por meio de ‘usuário’ e ‘senha’ para todos os sistemas
de informação, sendo que os classificados como críticos (alta confidencialidade e integridade) deverão
usar mais um fator de autenticação, podendo ser biométrico, one-time-password (token) ou certificados
digitais;.
- O recurso ‘mensagem eletrônica’ (e-mail) disponibilizado pela empresa, deve ser utilizado apenas
para fins corporativos, uma vez que é um recurso da empresa e disponibilizado para este fim;
- As mensagens eletrônicas (e-mail) serão monitoradas via sistema e poderão sofrer auditorias
periódicas ou sempre que a área responsável julgar necessário. Sendo assim, não há que se ter
expectativa de ‘privacidade pessoal’ nas mensagens enviadas ou recebidas por meio deste recurso da
empresa.
entendimento e aplicação das mesmas. Nos procedimentos devem ter informações do tipo: Como,
- Os backups de bancos de dados deverão ser realizados com periodicidade mínima diária,
das informaçõe;.
43
- A área de TIC será responsável pela operacionalização dos backups, seguindo determinações dos
gestores dos processos que utilizam tais informações e de acordo com a classificação de riscos das
mesmas;
- Os gestores de processos e informações deverão proceder análise de riscos e impactos para que
sirvam de base para a determinação da periodicidade dos backups e restores, devendo delegar a
operação para a área de TIC e proceder análises e auditorias nos processos, a fim de garantir sua
eficácia.
- Guide lines (guias) – São explicações de tarefas que fazem parte de procedimentos e processos
entendimento e nivelando o conhecimento. São sugestões não obrigatórias de serem seguidas, visto que
uma tarefa pode ser feira de várias maneiras e ainda assim apresentar o mesmo resultado. Podem ser
44
Desenvolvimento da Política de Segurança
O desenvolvimento da Política de Segurança da Informação deve ser feito com a participação efetiva
de todos os gestores de processos, de maneira que seja desenvolvida de acordo com as necessidades de
negócio de cada área, aderente aos padrões, costumes e cultura organizacional, ajustando ou alterando
padrões quando necessário, além de estar em sintonia com os planos estratégicos da Empresa e
necessidades do mercado.
Devem ser seguidas as melhores práticas expressas em normas oficiais e ‘frameworks’ de segurança
das informações e gestão de riscos, como as normas ISO da série 27000, o que proporcionará à Empresa
um diferencial competitivo, pois o mercado valoriza cada dia mais as empresas resilientes, seguras e
com condições de superar incidentes que poderiam afetar a continuidade operacional. É uma
demonstração de Governança Corporativa, outro assunto valorizado no mercado, e que não é possível de
A Política de Segurança das Informações é constituída por uma série de normas, procedimentos,
guias e outros documentos, que serão suportados por tecnologias e processos que garantam a aderência e
obediência às mesmas. É a Política de Segurança que regerá todas as ações referentes à segurança,
Política de Segurança da Informação, conforme já dito, deve estar em alinhamento com a Norma
NBR ISO/IEC 17799:2005 (ou 27001 e 27002), e deverá contar uma série de normas, como por
45
- Diretivas de Segurança da Informação;
- Norma de Gestão de Continuidade Operacional; dentre outras normas que forem necessárias.
Para cada norma podem ser criados um ou mais procedimentos, guias ou manuais, sabendo-se que
quanto mais baixo o documento na hierarquia da Política, mais alteração poderá sofrer, por serem
operacionais. O operacional sofre mais alterações que o tático, que por sua vez sofre mais alterações que
o estratégico. Esse é o motivo para não se colocar todas as informações em um mesmo documento:
46
facilitar o gerenciamento, a atualização e a disseminação das alterações sofridas, uma vez que toda
Para que o investimento feito no desenvolvimento da Política perdure, deverá ser formatado o
corporativo ou de risco.
de hábitos, ajustes de padrões e às vezes certo sacrifício durante a transição e aculturamento, este
processo tende a gerar resistências e conflitos, quase sempre por desconhecimento dos perigos que
rondam a Empresa, seus Funcionários e Clientes, e dos benefícios que o processo de segurança da
Pessoas são o elo mais fraco da segurança – a campanha de conscientização procurará fazer com que
as pessoas se tornem aliadas da segurança, sabendo os motivos, o que e como agir em situações de risco
Engenharia social só funciona porque as pessoas não estão atentas às situações de riscos, não estão
alertas às ameaças e às situações que não são pertinentes ou que fogem ao padrão ou às regras.
A campanha constante e segmentada manterá as pessoas alertas e atualizadas, e assim serão como
47
A campanha de conscientização deve trabalhar em três níveis:
Conscientização
Porque fazer – As pessoas tendem a reduzir a resistência às mudanças quando sabem exatamente os
motivos que as trouxeram, quais serão os benefícios das mudanças e quais os malefícios de não realizá-
las. Esta abordagem imprime respeito ás pessoas envolvidas e gera cumplicidade e colaboração.
Educação
O que e quando fazer – Não basta saber as motivações que fizeram com que a mudança fosse
necessária. Há que se saber, e ter claro, o que fazer quando determinada situação ocorrer. O quando
fazer está relacionado à necessidade de diferentes ações dependendo da situação e ocasião. Sabendo-se o
que fazer, e quando fazer, elimina-se os fatores medo, apreensão e ansiedade. Bastará que algo aconteça
para que as pessoas saibam exatamente o que fazer naquela determinada situação, tendo em mente,
48
Treinamento
Como fazer – Esta é a parte que mais se ouve quando fala-se em novos processos, ferramentas ou
qualquer mudança. É de extrema importância que cada um saiba como fazer as ações demandadas pelas
Depois de aplicados os dois primeiros níveis da campanha, as pessoas estarão havidas por saber
como agir, quais as técnicas e quais as ferramentas disponíveis para que reajam às situações. Este desejo
não será forçado, mas brotado de forma natural decorrente da necessidade de saber como fazer o que já
se sabe o motivo de fazer e o quando fazer. É a peça que falta e que será apresentada no treinamento.
todos, o que trará maior resultado de aplicação e retenção do que for ensinado.
Os níveis de ‘treinamento’ poderão ser realizados numa mesma sessão, desde que conscientemente
Implantação da Política
extraordinário, dependendo do porte e complexidade da organização onde será aplicada. Mas de nada
adiantará tal elaboração se a aplicação não for feita de forma a atingir os objetivos pretendidos nas
mesmas.
49
O Plano Diretor de Segurança da Informação é onde deve constar o planejamento geral da aplicação
da Política, uma vez que irá requerer recursos financeiros e de pessoal, bem como a estruturação para
O Brithish Standart 7799 é uma norma de segurança da informação criada na Inglaterra que teve seu
BS 7799-1, a primeira parte da norma, contém uma introdução, definição de extensão e condições
principais de uso da norma. Nesta parte disponibiliza 148 controles divididos em dez partes distintas e
foi planejada para ser um documento de referência para implementação de "boas práticas" de segurança
da informação. Como esta primeira parte é apenas um código de prática para segurança da informação,
A BS 7799-2, a segunda parte da norma, tem como objetivo proporcionar uma base para
gerenciamento da segurança da informação. Esta á a parte da norma que a empresa deve seguir para
50
Objetivo da Norma
A Norma BS 7799 fornece recomendações para gestão da segurança da informação para uso por
aqueles que são responsáveis pela introdução, implementação ou manutenção da segurança em suas
organizações. Tem como propósito prover uma base comum para o desenvolvimento de normas de
segurança organizacional e das práticas efetivas de gestão da segurança, e prover confiança nos
relacionamentos entre as organizações. Convém que as recomendações descritas nesta Norma sejam
Primeiramente devemos saber o que são e para que se prestam os controles descritos na Norma.
- Segurança Organizacional;
- Segurança de pessoal;
- Controle de Acesso;
51
- Aderência.
A Norma não obriga a implementação de todos os controles e nem mesmo que sejam utilizados
somente os controles constantes na mesma, podendo, então, uma empresa não utilizar alguns controles
Como cada domínio de objetivos de controle se expande em outros controles específicos, algumas
questões precisam ser respondidas para que se determine quais são aplicáveis à organização. Exemplos:
- Na Análise de Risco foi identificado algum risco que pode ser coberto por este objetivo de
controle?
- Se nada foi identificado na Análise de Risco que pode ser coberto por este objetivo de controle,
controle;
- Se foi identificado, na Análise de Risco, algum risco que pode ser coberto por este objetivo de
- Dentro do objetivo de controle selecionado, devem ser selecionados quais controles específicos
serão aplicados.
Aplicabilidade”, onde serão especificados e justificados tanto a utilização como a não utilização de
controles, assim como a especificação e justificativa da implementação de outros controles que não os
da BS 7799.
52
Cada controle objetiva definir o que deve ser feito para que determinados processos tenham a
segurança assegurada e deve ser aplicado dentro dos processos de negócio para mitigar os riscos a que
Para que sejam definidos quais controles a ser implementados na empresa é necessário que se tenha
claramente definido quais os processos de negócio serão contemplados pelos controles e qual a
- O objetivo deste trabalho deve estar totalmente entendido e aceito pelos gestores da empresa e dos
- O trabalho de conscientização quanto aos objetivos deste trabalho deverá ser feito em todos os
controles com auditoria, pois isso acabará criando limitação na colaboração que os envolvidos poderiam
dar ao trabalho.
- Antes que sejam definidos quais controles implementar, deverá ser feito um trabalho meticuloso de
Análise de Risco e Impacto nos Negócios, no qual constará o levantamento e detalhamento dos
processos de negócio, dos ativos que suportam tais processos e dos riscos e vulnerabilidades a que são
53
suscetíveis, assim como a interdependência entre os processos e a dependência entre os processos e os
A seleção de controles deverá se dar baseado na análise de riscos e nos requisitos de segurança
necessários à segurança dos processos de negócio, objetivando a mitigação e controle dos riscos
Como já foi dito, pode acontecer, e normalmente acontece, de nem todos os controles da Norma
justificativa da aplicação e também da não aplicação do controle pela organização. Neste documento
deverá constar também os controles que não os especificados pela BS 7799. (ver “Statement of
Applicability” (SoA)).
equivalente ao documento de pré-auditoria, documento este que enumera todos os controles aplicados,
Para que o processo de seleção de controles seja bem realizado e tenha o comprometimento de toda a
empresa, o mesmo deverá ser realizado pelo Security Officer em parceria com:
54
- responsáveis por setores da organização;
- Usuários; e
- Todos os envolvidos nos processos da organização que não constam desta lista ou que o Security
Cada participação deverá acontecer a seu tempo, de acordo com a fase do processo, seja decisório ou
de implementação.
Cabe aos níveis estratégico e tático da organização decidir quais controles deverão ser implementados,
dentre os selecionados, definindo sempre o objetivo e relacionando o controle ao risco a ser mitigado, e
ao nível operacional a implementação e, caso necessário, propor mudanças e melhorias nos controles a
serem implementados, desde que não mude o objetivo e nem perca o foco do risco em questão.
55