SEGURANA EM AMBIENTES DE REDE E INTERNET

Prof. Rafael Gil Ferques

NORMA ABNT NBR ISO/IEC 27002

Cdigo de Prtica para a Gesto de Segurana da Informao, que tem como objetivo estabelecer diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao. Mas, o que Segurana da Informao (SI)? Significa proteger as informaes consideradas importantes para a continuidade e manuteno dos objetivos de negcio da organizao.

NORMA ABNT NBR ISO/IEC 27002

Substituiu a norma BS 7799-1:1999, e passou a ser utilizada como o documento de referncia nesta rea que a intitula. Esta norma fornece um conjunto completo de controles de segurana baseado nas melhores prticas de segurana da informao. A ISO 27002:2005 composta por 11 captulos, alm de um captulo introdutrio sobre avaliao e tratamento de risco, 39 objetivos de controle e 133 controles.

NORMA ABNT NBR ISO/IEC 27002

Os principais benefcios proporcionados pela adoo da ISO 27002 so:

Reduo do risco de responsabilidade pela no implementao de um SGSI ou determinao de polticas e procedimentos; Oportunidade de identificar e corrigir pontos fracos; A alta direo assume a responsabilidade pela segurana da informao; Permite reviso independente do sistema de gesto da segurana da informao; Oferece confiana aos parceiros comerciais, partes interessadas e clientes; Melhor conscientizao sobre segurana; Oferecer mecanismos para se medir o sucesso do sistema.

NORMA ABNT NBR ISO/IEC 27002

As Sees so (Inicia-se no 5):

Seo 5 - Poltica de Segurana da Informao Seo 6 - Organizando a Segurana da Informao Seo 7 - Gesto de Ativos Seo 8 - Segurana em Recursos Humanos Seo 9 - Segurana Fsica e do Ambiente Seo 10 - Gesto das Operaes e Comunicaes

NORMA ABNT NBR ISO/IEC 27002

As Sees mais importantes so:

Seo 11 Controle de Acesso Seo 12 - Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao Seo 13 - Gesto de Incidentes de Segurana da Informao Seo 14 - Gesto da Continuidade do Negcio Seo 15 Conformidades

NORMA ABNT NBR ISO/IEC 27002

Seo 5 - Poltica de Segurana da Informao

Estabelece a criao de um documento sobre a poltica de segurana da informao da organizao, que deveria conter, entre outros, os conceitos de segurana da informao, o comprometimento da direo com a poltica, uma estrutura para estabelecer os objetivos de controle e os controles, a estrutura de anlise e avaliao e gerenciamento de riscos, as polticas, princpios, normas e requisitos de conformidade de segurana da informao especficos para a organizao.

NORMA ABNT NBR ISO/IEC 27002

Seo 6 - Organizando a Segurana da Informao

Para implementar a SI em uma organizao necessrio que seja estabelecida uma estrutura para gerenci-la. Para isso, as atividades de segurana da informao devem ser coordenadas por representantes de diversas partes da organizao, com funes e papis relevantes. Todas as responsabilidades pela segurana da informao tambm devem estar claramente definidas. importante ainda que sejam estabelecidos acordos de confidencialidade para proteger as informaes de carter sigiloso, bem como as informaes que so acessadas, comunicadas, processadas ou gerenciadas por partes externas, tais como terceiros e clientes. 8

NORMA ABNT NBR ISO/IEC 27002

Seo 7 - Gesto de Ativos

Ativo, de acordo com a norma, qualquer coisa que tenha valor para a organizao. Gesto de Ativos significa proteger e manter os ativos da organizao. Para que eles sejam devidamente protegidos, devem ser primeiramente identificados e levantados, com proprietrios tambm identificados e designados, de tal forma que um inventrio de ativos possa ser estruturado e posteriormente mantido. As informaes e os ativos ainda devem ser classificados, conforme o nvel de proteo recomendado para cada um deles, e seguir regras documentadas, que definem qual o tipo de uso permitido fazer com esses ativos.

NORMA ABNT NBR ISO/IEC 27002

Seo 8 - Segurana em Recursos Humanos

Antes de realizar a contratao de um funcionrio ou mesmo de fornecedores e terceiros, importante que cada um deles entenda suas responsabilidades e esteja de acordo com o papel que desempenhar. Portanto, as descries de cargo e os termos e condies de contratao devem ser explcitos, especialmente no que tange s responsabilidades de segurana da informao. importante tambm que quaisquer candidatos sejam devidamente analisados, principalmente se forem lidar com informaes de carter sigiloso. A inteno aqui mitigar o risco de roubo, fraude ou mau uso dos recursos. 10

NORMA ABNT NBR ISO/IEC 27002

Seo 8 - Segurana em Recursos Humanos

Durante todo o tempo em que funcionrios, fornecedores e terceiros estiverem trabalhando na empresa, eles devem estar conscientes sobre as ameaas relativas segurana da informao, bem como de suas responsabilidades e obrigaes, de tal maneira que estejam preparados para apoiar a poltica de segurana da informao da organizao. Eles tambm devem ser educados e treinados nos procedimentos de segurana da informao e no uso correto dos recursos de processamento da informao.
11

NORMA ABNT NBR ISO/IEC 27002

Seo 8 - Segurana em Recursos Humanos

fundamental ainda que um processo disciplinar formal seja estabelecido para tratar das violaes de segurana da informao. No momento em que ocorrer o encerramento ou uma mudana na contratao, a sada de funcionrios, fornecedores e terceiros deve ser feita de modo ordenado e controlado, para que a devoluo de todos os equipamentos e a retirada de todos os direitos de acesso sejam concludas.

12

NORMA ABNT NBR ISO/IEC 27002

Seo 9 - Segurana Fsica e do Ambiente

As instalaes de processamento de informao crticas ou sensveis devem ser mantidas em reas seguras, com nveis e controles de acesso apropriados, incluindo proteo fsica. Essa proteo deve ser compatvel com os riscos previamente identificados. Os equipamentos tambm devem ser protegidos contra ameaas fsicas e ambientais, incluindo aqueles utilizados fora do local.

13

NORMA ABNT NBR ISO/IEC 27002

Seo 10 - Gesto das Operaes e Comunicaes

importante que estejam definidos os procedimentos e responsabilidades pela gesto e operao de todos os recursos de processamento das informaes. Alm disso, deve-se utilizar sempre que necessria a segregao de funes (recomenda-se que uma pessoa realize uma ou algumas partes de um processo, mas no todas), visando reduzir o risco de mau uso ou uso indevido dos sistemas. Para o gerenciamento de servios terceirizados, deve-se implementar e manter o nvel apropriado de segurana da informao e em conformidade com acordos de entrega de servios terceirizados. 14

NORMA ABNT NBR ISO/IEC 27002

Seo 10 - Gesto das Operaes e Comunicaes

fundamental planejar e preparar a disponibilidade e os recursos do sistemas para minimizar o risco de falhas, bem como prever a capacidade futura dos sistemas, de forma a reduzir os riscos de sobrecarga. Tambm deve-se prevenir e detectar a introduo de cdigos maliciosos e os usurios devem estar conscientes sobre isso. Procedimentos para a gerao de cpias de segurana e sua recuperao tambm devem ser estabelecidos. Deve-se garantir ainda o gerenciamento seguro de redes. Controles adicionais podem at mesmo ser necessrios para proteger informaes confidenciais que trafegam em 15 redes pblicas.

NORMA ABNT NBR ISO/IEC 27002

Seo 10 - Gesto das Operaes e Comunicaes

As trocas de informaes entre organizaes devem ser baseadas em uma poltica formal especfica, devendo ser efetuadas a partir de acordos entre as partes e sempre em conformidade com toda a legislao pertinente. Deve-se ainda implementar mecanismos de monitorao de atividades no autorizadas de processamento da informao. Os eventos de segurana da informao devem ser registrados, lembrando que as organizaes devem estar aderentes aos requisitos legais aplicveis para suas atividades de registro e monitoramento.

16

NORMA ABNT NBR ISO/IEC 27002

Seo 11 Controle de Acesso

O acesso informao, aos recursos de processamento das informaes e aos processos de negcios devem ser controlados com base nos requisitos de negcio e na segurana da informao. Portanto, deve ser assegurado o acesso de usurio autorizado e prevenido o acesso no autorizado a sistemas de informao. Para isso, deve haver procedimentos que englobem desde o cadastro inicial de um novo usurio at o cancelamento final do seu registro, garantindo assim que j no possuem mais acesso a sistemas de informao e servios.

17

NORMA ABNT NBR ISO/IEC 27002

Seo 11 Controle de Acesso

Os usurios sempre devem estar conscientes de suas responsabilidades, particularmente no que se refere ao uso de senhas e de segurana dos equipamentos de usurios. Nesse sentido, sugere-se ainda a adoo da poltica de mesa e tela limpa, para reduzir o risco de acessos no autorizados ou danos a documentos, papis, mdias e recursos de processamento da informao que estejam ao alcance de qualquer um.

18

NORMA ABNT NBR ISO/IEC 27002

Seo 12 - Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao

Segundo a norma, Sistemas de informao incluem sistemas operacionais, infra-estrutura, aplicaes de negcios, produtos de prateleira, servios e aplicaes desenvolvidas pelo usurio. Por essa razo, os requisitos de segurana de sistemas de informao devem ser identificados e acordados antes do seu desenvolvimento e/ou de sua implementao. As informaes devem ser protegidas visando a manuteno de sua confidencialidade, autenticidade ou integridade por meios criptogrficos.

19

NORMA ABNT NBR ISO/IEC 27002

Seo 13 - Gesto de Incidentes de Segurana da Informao

Deve-se assegurar que eventos de segurana da informao sejam o mais rpido possvel comunicados, de tal forma que a tomada de ao corretiva ocorra em tempo hbil. Para isso, devem ser estabelecidos procedimentos formais de registro e escalonamento, bem como todos os funcionrios, fornecedores e terceiros devem estar conscientes sobre os procedimentos para notificao dos diferentes tipos de eventos.

20

NORMA ABNT NBR ISO/IEC 27002

Seo 14 - Gesto da Continuidade do Negcio

Deve-se impedir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos de falhas ou desastres significativos, e assegurar que a sua retomada ocorra em tempo hbil. Para isso, planos de continuidade do negcio, incluindo controles para identificar e reduzir riscos, devem ser desenvolvidos e implementados, visando assegurar que as operaes essenciais sejam rapidamente recuperadas.

21

NORMA ABNT NBR ISO/IEC 27002

Seo 15 Conformidade
Deve-se garantir e evitar a violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de quaisquer requisitos de segurana da informao. Para isso, conveniente contratar, caso necessrio, consultoria especializada, bem como analisar criticamente a segurana dos sistemas de informao a intervalos regulares, verificando, sobretudo, sua conformidade e aderncia a requisitos legais e regulamentares

22

NORMA ABNT NBR ISO/IEC 27002

Em resumo, nota-se claramente ao longo de toda a norma, que a caracterstica predominante a preveno, evitando-se a todo o custo, a adoo de medidas de carter reativo. Mesmo as que forem reativas, como por exemplo a execuo de um plano de continuidade de negcios, so previamente planejadas para que, no momento oportuno e se necessrias, sejam devidamente implementadas.

23

DUVIDAS?

24