segurança da informação - monografia iso_17799
TRANSCRIPT
Curso de Especialização em Análise de Sistemas
Ênfase em Arquitetura Cliente-Servidor
Gerenciamento da Segurança de Informação em Redes de Computadores e a Aplicação da Norma
ISO/IEC 17799:2001
Luciano Eduardo Caciato
Monografia desenvolvida sob orientação do Professor Mestre Cristiano Roque Roland Portella, apresentada ao Centro de Ciências Exatas, Ambientais e de Tecnologias da Pontifícia Universidade Católica de Campinas como requisito para obtenção do título de Especialista em Análise de Sistemas.
Campinas, 2004
CENTRO DE CIÊNCIAS EXATAS, AMBIENTAIS E
DE TECNOLOGIAS
PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS
GRÃO-CHANCELER
Dom Bruno Gamberini
MAGNÍFICO REITOR
Prof. Pe. José Benedito de Almeida David
VICE-REITOR
Prof. Pe. Wilson Denadai
PRÓ-REITORIA DE PÓS-GRADUAÇÃO E PESQUISA
Profa. Dra. Vera Sílvia Marão Beraquet
DIRETOR DO CENTRO DE CIÊNCIAS EXATAS, AMBIENTAIS E DE TECNOLOGIAS
Prof. Dr. Orandi Mina Falsarella
COORDENADOR DA ESPECIALIZAÇÃO EM ANÁLISE DE SISTEMA S: ÊNFASE EM ARQUITEURA CLIENTE-SERVIDOR
Prof. Ivan Granja
DEDICATÓRIA
Aos meus pais Vanderlei e Gabriela
Aos meus irmãos Daniel e Vanderlei
A minha noiva Estefania
A Deus por me dar saúde.
AGRADECIMENTOS
Ao Prof. Portella pelos conselhos e pela
paciência na ajuda da criação deste trabalho.
Aos funcionários do Centro de Ciências
Exatas, Ambientais e de Tecnologias da
PUC-Campinas, que muito contribuíram para
que este trabalho fosse concluído.
v
RESUMO
Com o avanço da tecnologia e as grandes exigências do mercado, as organizações começaram a preocupar-se em garantir a segurança da informação, estabelecendo procedimentos em transações, operando por meio de regras de acesso e restrições e criando hierarquia de responsabilidades. A Internet onde foram possíveis a digitalização do negócio, a expansão do comércio exterior e a interconexão entre organizações, era preciso uma norma que garantisse a segurança da informação. Com a criação da NBR ISO/IEC 17799, é possível garantir através de diretrizes que as informações sejam protegidas e sem riscos de acessos não autorizados. É abordado como implantar um ambiente seguro para os negócios, com ênfase em redes de computadores.
Palavras-Chave: NBR ISO/IEC 17799:2001, Segurança da Informação, Tecnologia da Informação, Redes de Computadores.
vi
SUMÁRIO
Índice dos capítulos
1. Introdução ...............................................................................……….....................008
2. Gestão de Tecnologia da Informação e Segurança da Informação ................................010 2.1. O que é segurança da informação.............................................................................010 2.2. Por que é necessária a segurança da informação......................................................012 2.3. Como estabelecer os requisitos de segurança...........................................................012 2.4. Avaliando os riscos de segurança.............................................................................013 2.5. Selecionando controles para garantir a segurança da informação............................013 2.6. Ponto de partida para a segurança da informação.....................................................015 2.7. Fatores críticos de sucesso........................................................................................015
3. Conformidade com a Norma ISO/IEC 17799:2001..........................................................017
3.1. O que é a NBR ISO/IEC 17799...............................................................................017 3.2. Framework e os controles de segurança da informação da Norma BS7799............018 3.3. Política de segurança da informação .......................................................................018
4. Gerenciamento de Segurança de Redes de Computadores..............................................020
4.1. Controles para as redes de computadores................................................................020 4.2. Segregação de funções..............................................................................................021 4.3. Controle de acesso à rede..........................................................................................021 4.4. Controles Criptográficos...........................................................................................022
5. Conclusão.............................................................................................................................023
6. Referências bibliográficas..................................................................................................024
vii
Lista de Figuras
Figura 1 - Conceitos Básicos da Segurança da Informação.................................................012
8
1
Introdução
Com o avanço da tecnologia e o custo cada vez menor do acesso a Internet, é realidade dizer que existem mais usuários conectados a rede, e por esse motivo é maior a exposição das organizações, tornando necessário que seja investido em tecnologias como equipamentos que garantam a segurança dos negócios, porém mesmo com esses equipamentos ainda não é eficaz a segurança da informação.
Invasão de hacker, espionagem industrial, é cada vez mais fácil enviar as informações ou mesmo torná-las indisponível. Sempre houve a preocupação em adquirir novos equipamentos de segurança, mas não se imaginava que o ser humano é um sistema de informação e que pode transportar essas informações. Por esse motivo é necessária uma norma que possa implementar a partir da alta direção, uma política de segurança na organização. Mas como fazer isso?
É possível ter uma rede de computadores totalmente segura em uma organização?
Serão abordados neste trabalho quais são as melhores práticas de segurança da informação em redes de computadores aplicando a NBR ISO/IEC 17799:2001.
A metodologia utilizada é através da interpretação e utilização das diretrizes da NBR ISO/IEC 17799:2001 e pesquisa de livros de Gerenciamento de Tecnologia da Informação e Gestão de Segurança.
O tema gerenciamento da segurança de informação em redes de computadores é de extrema importância na atualidade, com o aumento expressivo de negócios realizados por meios de comunicação e os altos investimentos e lucros obtidos é obrigatório que as organizações mantenham a comunicação entre seus clientes e fornecedores, sempre disponibilizadas, integras e confiáveis.
Este trabalho está organizado em 6 capítulos fornecendo todo o conteúdo teórico para a utilização das diretrizes de segurança.
O capitulo dois apresenta as informações teóricas para o entendimento das diretrizes, é neste capítulo que está definido o que é informação, o porque da segurança da informação e quais os seus controles de segurança.
O capitulo três apresenta as conformidades da NBR ISO/IEC 17799:2001, o framework da Norma Britânica BS7779 e como criar a política de segurança da informação na organização.
O capitulo quatro apresenta as diretrizes da NBR ISO/IEC 17799:2001 relativo à segurança da informação nas redes de computadores, os controles de acesso e os controles criptográficos.
O capitulo cinco apresenta a conclusão do trabalho e o porque de utilizar a política e as diretrizes de segurança.
9
O capitulo seis apresenta as referencias bibliográficas de onde foram baseadas e retiradas às informações deste trabalho.
10
2
Gestão de Tecnologia da Informação e Segurança da Informação
Em todas as fases da evolução corporativa, é fato que as transações de toda a cadeia de produção – passando pelos fornecedores, fabricantes, distribuidores e consumidores – sempre teve na informação uma base fundamental de relacionamento e coexistência. Seja para troca de mercadorias, segredo estratégico, regras de mercado, dados operacionais ou simplesmente pesquisas, a informação, aliada à crescente complexidade do mercado, à forte concorrência e a velocidade imposta pela modernização das relações corporativas, elevou seu posto na pirâmide estratégica do executivo, tornando-se fator vital para seu sucesso ou fracasso. É ao lado destas variáveis de mercado que a tecnologia, por meio de instrumentos e soluções sofisticadas, preparadas para atender qualquer demanda do mercado, se transformou na principal mola propulsora desta nova fase da informação dentro das corporações, sob o nome já clássico de Tecnologia da Informação (TI). Descentralização de informações para compartilhamento em redes, necessidade de integração de parceiros de negócios, acesso rápido, atualização constante de base de dados, integração de unidades de negócios e colaboradores internos, disponibilidade ao cliente. Para completar, tudo isso envolvido em uma grande malha digital em constante expansão, a Internet. Estas são algumas das partes de um cenário que transformou a informação na principal moeda corrente do mundo corporativo, das transações de automação bancária ao mercado financeiro, do controle de estoque ao comércio eletrônico. No entanto, da mesma forma que esta mudança de paradigma apresenta constantes oportunidades, com espaço para se criar e ousar sobre os caminhos, acaba também por ser tornar um ambiente muitas vezes hostilizado, altamente visado por ações ilícitas e invariavelmente desprovido de instrumentos para combater e lidar com estas ocorrências. (HTTP://WWW.NEXTGENERATIONCENTER.COM/BR/).
2.1. O que é segurança da informação
A informação é um ativo, entre outros ativos de extrema importância nos negócios. A informação deve ser protegida de maneira que não ocorra a possibilidade de acessos não autorizados, alterações indevidas ou sua indisponibilidade.
A segurança da informação deve ser implantada em todas as áreas da organização, pois são encontradas em diversos meios como: impresso ou escrito em papel, armazenado eletronicamente, enviado pelo correio ou através de meios eletrônicos.
A segurança da informação, conforme mostrado na figura 1, tem como objetivo a preservação de três princípios básicos pelos quais se norteia a implementação desta prática:
Confiabilidade – Toda informação deve ser protegida de acordo com o grau de sigilo de seu conteúdo, visando à limitação de seu acesso e uso apenas às pessoas para quem elas são destinadas.
11
Integridade – Toda a Informação deve ser mantida na mesma condição em que foi disponibilizada pelo seu proprietário, visando protegê-las contra alterações indevidas, intencionais ou acidentais.
Disponibilidade – Toda a informação gerada ou adquirida por um individuo ou instituição deve estar disponível aos seus usuários no momento em que os mesmos delas necessitem para qualquer finalidade. (SÊMOLA, 2003, p.45).
Confiabilidade
Integridade
Disponibilidade
Segurança da Informação
Figura 1: Conceitos Básicos da Segurança da Informação
Informação
Conjunto de dados utilizados para a transferência de uma mensagem entre indivíduos e/ou máquinas em processos comunicativos (isto é, baseados em troca de mensagens) ou transacionais (isto é, processos em que sejam realizadas operações que envolvam, por exemplo, a transferência de valores monetários).
A informação pode estar presente ou ser manipulada por inúmeros elementos deste processo, chamados ativos, os quais são alvos de proteção da segurança da informação.
Ativo
Todo elemento que compõe os processos, incluindo o próprio processo, que manipulam e processam a informação, a contar a própria informação, o meio em que ela é armazenada, os equipamentos em que ela é manuseada, transportada e descartada.
O termo “ativo” possui esta denominação, oriunda da área financeira, por ser considerado em elemento de valor para o individuo ou organização, e que, por esse motivo, necessita de proteção adequada.
Existem muitas formas de dividir e agrupar os ativos para facilitar seu tratamento, um deles é: equipamentos, aplicações, usuários, ambientes, informações e processos. Desta forma, torna-se possível identificar melhor as fronteiras de cada grupo, tratando-os com especificidade e aumentando qualitativamente as atividades de segurança.(SÊMOLA, 2003, p. 45 e 46).
12
2.2. Por que é necessária a segurança da informação
A informação e os processos de apoio, sistemas e redes são importantes ativos e também, estratégicos para os negócios. Confiabilidade, integridade e disponibilidade, são características chave para a segurança da informação, é através dessas características que é possível preservar a competitividade, o faturamento, a lucratividade, o atendimento aos requisitos legais e a imagem da organização no mercado.
As organizações estão extremamente preocupadas com a segurança nos sistemas de informação e redes de computadores, esses tipos de ameaças à segurança podem acarretar em enormes prejuízos aos negócios, são utilizadas variedades de fontes como, fraudes eletrônicas, espionagem, sabotagem, entre outras.
É necessário garantir a confiabilidade e segurança de suas transações e combater os ataques causados por vírus, hackers, e ataques de “denial of service1”, que estão se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados.
A dependência nos sistemas de informação e serviços significa que as organizações estão cada vez mais vulneráveis às ameaças de segurança. A interconexão de redes públicas e privadas e o compartilhamento de recursos de informação aumentam a dificuldade de se controlar o acesso. A tendência da computação distribuída dificulta a implementação de um controle de acesso centralizado realmente eficiente.(ISO/IEC 17799, 2001, p. 2).
Muitos sistemas de informação não foram projetados para garantir a segurança, pelo motivo que esses sistemas foram desenvolvidos em uma época em que não existia a interconexão das redes de computadores. A segurança que pode ser alcançada por meios técnicos é limitada e convém que seja apoiada por uma gestão e procedimentos apropriados. É necessário escolher controles que permitam a implantação da segurança, mas para que os resultados sejam alcançados é necessária à participação de todos os funcionários da organização, e possivelmente a participação dos fornecedores, clientes e acionistas.
Os controles de segurança da informação são consideravelmente mais baratos e mais eficientes se forem incorporados nos estágios do projeto e da especificação dos requisitos.
2.3. Como estabelecer os requisitos de segurança
Toda organização para obter segurança de suas informações deve estabelecer requisitos, conforme a norma ISO/IEC 17799, pode ser dividido em três fontes principais:
A primeira fonte é derivada da avaliação de risco dos ativos da organização. Através da avaliação de risco são identificadas as ameaças aos ativos, as vulnerabilidades e sua probabilidade de ocorrência é avaliada, bem como o impacto potencial é estimado.
A segunda fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros, contratados e prestadores de serviço têm que atender.
1 Denial of Service: ou DoS é uma técnica que consiste em dificultar ou impedir o bom funcionamento de um serviço de Internet, através de um grande volume de requisições de serviço para esse servidor.
13
A terceira fonte são as particularidades da organização, objetivos e requisitos para o processamento da informação que uma organização tem que se desenvolver para apoiar suas operações.(ISO/IEC 17799, 2001, p. 2).
2.4. Avaliando os riscos de segurança
Os requisitos de segurança são identificados através de uma avaliação sistemática dos riscos de segurança. Os gastos com os controles necessitam ser balanceado de acordo com os danos causados aos negócios gerados pelas potenciais falhas de segurança. As técnicas de avaliação de riscos podem ser aplicadas em toda a organização ou apenas em parte dela, assim como em um sistema de informações individuais, componentes de um sistema especifico ou serviços, quando for viável, prático e útil. (ISO/IEC 17799, 2001, p. 2).
Na visão holística do risco é conceitual considerar os planos e identificar os desafios e as características especificas do negócio são os primeiros passos para modelar uma solução de segurança adequada.
Sendo assim, risco é a probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de confiabilidade, integridade e disponibilidade, causando possivelmente, impactos para a organização.
Com os resultados obtidos na avaliação de risco é possível direcionar e determinar as ações gerenciais e prioridades mais adequadas para um gerenciamento de riscos da segurança da informação e a selecionar os controles a serem implementados para a proteção contra estes riscos.
É necessário realizar análises críticas periódicas dos riscos de segurança e dos controles implementados para:
a) considerar as mudanças nos requisitos de negócios e suas prioridades;
b) considerar novas ameaças e vulnerabilidades;
c) confirmar que os controles permanecem eficientes e adequados.
É de grande importância que as análises críticas sejam executadas em diferentes níveis de profundidade, dependendo dos resultados obtidos nas avaliações de riscos e das mudanças nos níveis de riscos é verificado se é aceitável para o negócio.
A seqüência correta para a verificação das vulnerabilidades, deve ser primeiro a avaliação de riscos em um nível mais geral, como uma forma de priorizar recursos em áreas de alto risco, e então em um nível mais detalhado, para solucionar riscos específicos.
2.5. Selecionando controles para garantir a seguran ça da informação
Uma vez tendo sido identificado os requisitos de segurança, convêm que os controles sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nível aceitável. Comumente esta atividade faz parte de uma orientação obtida pela análise de riscos ou por sugestões de normas específicas de segurança, como a ISO17799, o
14
CobiT2, o Technical Report 13335 ou, ainda, normas específicas como a de cabeamento estruturado EIA/TIA586A.
O universo de controles aplicáveis é enorme, pois estamos falando de mecanismos destinados à segurança física, tecnológica e humana. Se pensarmos no “peopleware”, ou seja, no capital humano como um dos elos mais críticos e relevantes para a redução dos riscos, temos alguns controles como: Seminários de sensibilização, Cursos de capacitação, Campanhas de divulgação da política de segurança, Crachás de identificação, Procedimentos específicos para demissão e admissão de funcionários, Termo de responsabilidade, Termo de confiabilidade, Softwares de auditoria de acessos, Softwares de monitoramento e filtragem de conteúdo etc...
Muitos controles humanos citados interferem direta ou indiretamente no ambiente físico, mas este deve receber a implementação de um outro conjunto de mecanismos voltados a controlar o acesso e as condições de ambientes físicos, sinalizando registrando, impedindo e autorizando acessos e estados, dentre os quais podem ser utilizados: Roletas de controle de acesso físico, Climatizadores de ambiente, Detectores de fumaça, Acionadores de água para combater o incêndio, Extintores de incêndio, Cabeamento estruturado, Salas-cofre, Dispositivos biométricos, Smartcards, Certificados Digitais de Token, Circuitos internos de televisão, Alarmes e sirenes, Dispositivos de proteção física de equipamentos, Nobreaks, Dispositivos de armazenamento de mídia magnética, Fragmentadores de papel, Etc.
Assim como ocorre com os controles físicos e humanos, a lista dos dispositivos aplicáveis aos ativos tecnológicos é extensa; afinal, além da diversidade e heterogeneidade de tecnologias, ainda temos que considerar a velocidade criativa do setor que nos apresenta uma nova ferramenta ou equipamento praticamente a cada dia.Os instrumentos aplicáveis aos ativos tecnológicos podem ser divididos em três famílias.
Autenticação e autorização
Destinados a suprir os processos de identificação de pessoas, equipamentos, sistemas e agentes em geral, os mecanismos de autenticação mostram-se fundamentais para os atuais padrões de informação, automação e compartilhamento de informações. Sem identificar a origem de um acesso e seu agente, torna-se praticamente inviável realizar autorizações condizentes com os direitos de acesso, podendo levar a empresa a compartilhar informações valiosas sem controle.
Combate a ataques e invasões
Destinados a suprir a infra-estrutura tecnológica com os dispositivos de software e hardware de proteção, controle de acesso e conseqüente combate a ataques e invasões, esta família de mecanismos tem papel importante no modelo de gestão de segurança, à medida que as conexões eletrônicas e tentativas de acesso indevido crescem exponencialmente.
Privacidade das comunicações
É inevitável falar de criptografia quando o assunto é privacidade das comunicações. A criptografia é uma ciência que estuda os princípios, meios e métodos para proteger a confiabilidade das informações através da codificação ou processo de cifração e que
2 CobiT (Control Objectives for Information and related Tecnhology), modelo utilizado para verificar a governança de Tecnologia da Informação em uma organização.
15
permite a restauração da informação original através do processo de decifração.Largamente aplicada na comunicação de dados, esta ciência utiliza algoritmos matemáticos e da criptoanálise, para conferir maior ou menor proteção de acordo com a sua complexidade e estrutura de desenvolvimento. Quando vemos software de criptografia de mensagem ou, por exemplo, aplicações que adotam criptografia, estamos diante de situações em que a ciência foi empregada e materializada em forma de programas de computador.
2.6. Ponto de partida para a segurança da informaçã o
Um número de controles pode ser considerado como princípios básicos, fornecendo um bom ponto de partida para a implementação da segurança da informação. São baseados tanto em requisitos legais como nas melhores práticas de segurança da informação normalmente usadas.
Os controles considerados essenciais para uma organização, sob o ponto de vista legal, incluem:
a) proteção de dados e privacidade de informações pessoais;
b) salvaguarda de registros organizacionais;
c) direitos de propriedade intelectual.
Os controles considerados como melhores práticas para a segurança da informação incluem:
a) documento da política de segurança da informação;
b) definição das responsabilidades na segurança da informação;
c) educação e treinamento em segurança da informação;
d) relatório dos incidentes de segurança;
e) gestão da continuidade do negócio.
Estes controles se aplicam para a maioria dos ambientes corporativos, seguindo a Norma ISO/IEC 17799, percebemos que somente é possível utilizar esses controles, se determinarmos anteriormente a seleção dos controles (item 5), onde coletando as informações através da avaliação de riscos, é possível verificar as vulnerabilidades e garantir sua correção.
2.7. Fatores críticos de sucesso
A experiência tem mostrado que os seguintes fatores são geralmente críticos para o sucesso da implementação da segurança da informação dentro de uma organização:
a) política de segurança, objetivos e atividades, que reflitam os objetivos do negócio;
16
b) um enfoque para a implementação da segurança que seja consistente com a cultura organizacional;
c) comprometimento e apoio visível da direção;
d) um bom entendimento dos requisitos de segurança, avaliação de risco e gerenciamento de risco;
e) divulgação eficiente da segurança para todos os gestores e funcionários;
f) distribuição das diretrizes sobre as normas e política de segurança da informação para todos os funcionários e fornecedores;
g) proporcionar educação e treinamento adequados;
h) um abrangente e balanceado sistema de medição, que é usado para avaliar o desempenho da gestão de segurança da informação e obtenção de sugestões para a melhoria.
17
3
Conformidade com a Norma ISO/IEC 17799:2001
A evolução tecnológica proporciona para as organizações maiores negócios com seus clientes, fornecedores e colaboradores, onde a conectividade tem um papel fundamental para alcançar o sucesso.
Com o crescimento do sistema de informações colaborativas, é cada vez mais crucial manter essas informações seguras e suas fontes confiáveis. Mas para que essas informações sejam armazenadas e transmitidas de uma maneira segura, é preciso que sejam estabelecidos controles que garantam a qualidade e integridade da informação.
Por esse motivo várias organizações começaram a se preocupar com a segurança da informação, mas não possuíam nenhum tipo de metodologia e controles que atendessem suas necessidades, pelo motivo de que cada organização trabalha de uma maneira e suas prioridades entre os níveis de segurança podem variar de uma organização para a outra.
Com isso a International Organization for Standardization (ISO), onde seu objetivo é criar normas e padrões universalmente aceitos, criou a Norma ISO 17799, sendo no Brasil controlada pela Associação Brasileira de Norma Técnicas (ABNT), como NBR ISO/IEC 17799, que tem como nome Tecnologia da Informação – Código de prática para a gestão da segurança da informação, onde proporciona para as organizações os controles necessários para a segurança da informação.
3.1. A NBR ISO/IEC 17799
A NBR (Norma Brasileira) ISO/IEC 17799 - Tecnologia da Informação – Código de prática para a gestão da segurança da informação, é originada da Norma Britânica BS7799 Parte 13, desenvolvida pela British Standards Institute (BSI), com inicio em 1995, e depois padronizada pela International Organization for Standardization (ISO) em 2000, como ISO/IEC 17799.
Esta norma tem como objetivo fornecer recomendações para a gestão da segurança da informação para uso dos departamentos responsáveis pela introdução, implementação ou manutenção da segurança em suas organizações. Proporcionando uma base comum para o desenvolvimento das normas de segurança organizacional e das práticas efetivas de gestão da segurança, e prover confiança nos relacionamentos entre as organizações. É importante observar que essas recomendações descritas na norma estejam de acordo com a legislação e regulamentação vigente.
A NBR ISO/IEC 17799, abrange ao todo 10 domínios, reunidos em 36 grupos que se totalizam em 127 controles, sendo seus domínios, a Política de Segurança, a Segurança Organizacional, a Classificação e Controle dos Ativos de Informação, a Segurança de
3 É a primeira parte da norma, já homologada. Contém uma introdução, definição de extensão e condições principais de uso da norma. Disponibiliza 148 controles divididos em dez partes distintas. É planejado como um documento de referência para implementar "boas práticas" de segurança na empresa.
18
Pessoas, a Segurança Física e do Ambiente, o Gerenciamento das Operações e Comunicações, o Controle de Acesso, o Desenvolvimento e Manutenção de Sistemas, a Gestão da Continuidade do Negócio e a Conformidade.
3.2. Framework e os controles de segurança da infor mação da Norma BS7799
O Framework e os controles de segurança da informação estão descritos na parte 2 da Norma Britânica BS77994, onde estabelece o Sistema de Gestão de Segurança da Informação (SGSI), que somados ao conjunto de controles sugeridos na parte 1 da norma, torna possível a certificação.
As empresas podem conduzir as ações de segurança sob a orientação de uma base comum proposta pela norma, além de se prepararem indiretamente para o reconhecimento de conformidade aferido por órgãos credenciados. A certificação da segurança, similar aos reflexos obtidos pela conquista da certificação de qualidade ISO9000, promove melhorias nas relações business-to-business e business-to-consumer, além de adicionar valor à empresa por representar um diferencial competitivo e uma demonstração pública do compromisso com a segurança das informações de seus clientes.
As seis fases principais para que se possa alcançar a certificação, se iniciam na:
- Definição das diretrizes da política de segurança
- Definição do SGSI – Sistema de Gestão de Segurança da Informação
- Execução de análise de riscos
- Definição de uma estrutura para gerenciamento de risco
- Seleção dos objetos de controles e os controles aplicáveis
- Preparação da declaração de aplicabilidade dos controles.(SÊMOLA, 2003, p.141).
3.3 Política de segurança da informação
O objetivo da política de segurança da informação é prover à direção uma orientação e apoio para a segurança da informação.
Segundo a NBR ISO/IEC 17799 (2001, p. 4) “Convém que a direção estabeleça uma política clara e demonstre apoio e comprometimento com a segurança da informação através da emissão e manutenção de uma política de segurança da informação para toda a organização”.
Para que seja possível a implantação da política é necessário que a alta direção tenha aprovado, comunicado e publicado, de maneira adequada para os funcionários. É necessário que a alta direção esteja sempre preocupada com o processo e estabeleça as linhas mestras para a gestão da segurança da informação. Onde devem ser estabelecidas no mínimo as seguintes orientações: 4 A segunda parte da norma, ainda não homologada, cujo objetivo é proporcionar uma base para gerenciar a segurança da informação dos sistemas das empresas.
19
a) Definição de segurança da informação, resumo das metas e escopo e a importância da segurança como um mecanismo que habilita o compartilhamento da informação;
b) Declaração do comprometimento da alta direção, apoiando as metas e princípios da segurança da informação;
c) Breve explanação das políticas, princípios, padrões, e requisitos de conformidade de importância específica para a organização, por exemplo:
1) Conformidade com a legislação e cláusulas contratuais;
2) Requisitos na educação de segurança;
3) Prevenção e detecção de vírus e software maliciosos;
4) Gestão da continuidade no negócio;
5) Conseqüências das violações na política de segurança da informação;
d) Definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança;
e) Referencias à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que convém que os usuários sigam. (ISO/IEC 17799, 2001, p. 4).
20
4
Gerenciamento de Segurança de Redes de Computadores
Uma das principais portas de entrada para incidentes de segurança em uma organização é a Internet. Pelo motivo de que as organizações não possuem controle dos acessos feitos pelos seus funcionários, permitindo o acesso total. E também permitem acessos de outras corporações via extranets 5 e e-businnes 6 através de links dedicados ou web.
Com o avanço da tecnologia e o acesso a Internet, está aumentando a cada ano o número de ataques por meio de redes de computadores, as organizações ainda não possuem um plano de ação para evitar os riscos. O grande problema apresentado não é o tecnológico e sim o cultural.
A falta de conscientização do publico interno da organização, tanto dos executivos como dos funcionários em geral, podem colocar em risco suas estratégias de negócios e a credibilidade no mercado. Para minimizar esses problemas é importante que seja estabelecida uma política de segurança utilizando controles que possam nortear um sistema de informação segura.
4.1. Controles para as Redes de Computadores
É necessário que seja utilizado um conjunto de controles, para obter uma melhor preservação da segurança nas redes de computadores.São os gestores de segurança que devem implementar os controles para garantir a segurança dos dados nas redes, assim como a proteção dos serviços disponibilizados contra acessos não autorizados. É recomendado que os itens a seguir sejam considerados:
a) A responsabilidade operacional sobre a rede deve ser segregada da operação dos computadores, desta forma são minimizados problemas de mau uso acidental ou deliberação dos sistemas.
b) Estabelecimento de procedimentos e responsabilidades para gerenciamento de equipamentos remotos, incluindo equipamentos nas instalações dos usuários.
c) Quando necessário deve ser estabelecido controles especiais para garantir a confidencialidade e a integridade dos dados que trafegam em redes públicas e para proteger os sistemas. Também podem ser utilizados para garantir a disponibilidade dos serviços de rede e dos computadores conectados.
5 Interconexão de Redes Locais em regiões demográficas diferentes. 6 Comércio, venda e compra de produtos e serviços utilizando a Internet como meio.
21
d) Deve ser cuidadosamente gerenciada as atividades para otimizar os serviços prestados, e garantir que os controles sejam aplicados de forma consistente por toda a infra-estrutura de processamento de informação.
4.2. Segregação de funções
A segregação de funções é um método pelo qual é garantido a redução dos riscos de mau uso acidental ou uso mal intencionado dos sistemas. Convém que seja separada a administração ou a execução de certas funções ou responsabilidades, diminuindo a oportunidade de modificações não autorizadas, mau uso das informações ou dos serviços.
Em organizações pequenas pode ser considerado este método de controle difícil de ser implantado, mas deve ser aplicado o quanto antes possível. Na implantação onde for difícil à segregação, deve ser utilizados outros controles como monitoramento das atividades, auditorias e acompanhamento gerencial.
Deve-se tomar o cuidado de não deixar a responsabilidade das redes de computadores a cargo de somente um funcionário, para que não haja a possibilidade de fraudes que não possam ser detectadas. Todas as atividades devem ser separadas as autorizações, dessa forma poderão ser evitadas problemas de segurança futuros.
Devem ser considerados os controles a seguir:
a) É de grande importância segregar atividades que precisem de conivência para concretizar a fraude.
b) Se houver possibilidade de conivência, então os controles devem ser planejados de modo que dois ou mais funcionários sejam envolvidos, diminuindo assim a possibilidade de conspiração.
4.3 Controle de Acesso à Rede
Para garantir a proteção aos serviços das redes de computadores é necessário que haja um controle, e que também seja garantido que os usuários com acesso as redes e aos serviços não comprometam a segurança. Devem ser assegurados os itens a seguir:
a) Uso apropriado das interfaces entre as redes da organização e as redes de outras organizações e também as redes públicas.
b) Uso de autenticação dos usuários e equipamentos da organização, sendo apropriadamente íntegros e seguros.
c) Controle de acesso dos usuários aos serviços de informação.
Para que o controle de acesso às redes seja eficaz, é necessária uma política de acesso às redes, onde deve citar as condições ideais para garantir a segurança.
Esta política de controle é importante para as conexões de rede com as aplicações sensíveis ou críticas do negócio ou para os usuários que estão em locais de alto risco, como exemplo as áreas públicas ou externas que se encontram fora do controle e da gerencia de segurança da organização.
22
Na criação de uma política, considerando o uso de redes e seus serviços, devem ser observados os seguintes itens:
a) Redes e serviços de redes aos quais o acesso é permitido;
b) Procedimentos de autorização para determinar os usuários que possam ter acesso à rede e quais os serviços de rede;
c) Procedimentos e controles de gerenciamento da segurança para proteger os acessos às conexões e serviços de rede.
4.4 Controles Criptográficos
Os controles criptográficos têm como objetivo a confidencialidade, autenticidade ou integridade das informações. As técnicas e sistemas criptográficos são usados para a proteção das informações que são consideradas de risco e para as quais outros controles não forneçam a proteção adequada.
Para os controles criptográficos também é necessário que seja estabelecida uma política para o uso de controles de criptografia.
Na política de uso de controles de criptografia é determinada que seja feita uma avaliação de riscos do ambiente, para determinar o nível de proteção que deve ser dada à informação. Essas informações podem ser usadas para determinar se um controle é apropriado, ou qual o tipo de controle deve ser aplicado.
É conveniente para a organização que desenvolva uma política de uso de controles criptográficos, dessa forma é possível garantir a diminuição dos riscos e o aumento da segurança da informação.
Para a criação da política é recomendado que seja baseado nos itens a seguir:
a) Deve haver um posicionamento da alta direção perante o uso dos controles criptográficos da organização, disponibilizando e solicitando quais as informações do negócio devem ser protegidas.
b) Utilizar um gerenciamento de chaves, criando métodos para tratar a recuperação de informações criptografadas em caso de chaves perdidas ou danificadas.
c) Regras e Responsabilidades, devem ser nomeadas os funcionários responsáveis pelas criptografias.
d) Implementação da Política.
e) Gerenciamento das chaves.
f) Determinação do nível apropriado de proteção criptográfica.
g) Quais as normas que devem ser adotadas para cada fim, deve-se observar que cada situação pode haver um nível diferente de criptografia.
23
5
Conclusão
É observado que sejam estabelecidas responsabilidades e que haja o apoio da alta direção da organização, criando uma política de segurança eficaz e que seja norteada pelas diretrizes da NBR ISO/IEC 17799:2001.
Deve ser criado uma comissão de segurança com o devido gestor de segurança, onde serão estabelecidos e fiscalizados os sistemas de informação da organização.
Utilizando as diretrizes de segurança no sistema de informação nas redes de computadores, é possível ter um bom nível de proteção. Sendo que com a aplicação da NBR ISO/IEC 17799:2001 é resolvido o problema de gerenciamento de segurança das redes de computadores em relação à invasão nas redes internas (meios controlados pela organização) e redes externas (meios não controlados pela organização).
Nas redes de computadores é conclusivo que a criptografia possui um papel fundamental, porém deve ser observada as diretrizes da norma em relação à implantação e responsabilidades.
Com a política de segurança é possível estabelecer regras do bom uso da informação de forma confidencial e segura, levando em consideração que essa informação é um ativo de grande importância para a organização.
Com a aplicação da NBR ISO/IEC 17799:2001, é possível atingir um alto nível de proteção no sistema de informação e nas redes de computadores.
E são garantidos os três princípios básicos da segurança da informação: confiabilidade, integridade e disponibilidade.
Concluímos que a NBR ISO/IEC 17799:2001 funciona nas organizações que estão preocupadas com uma política de segurança utilizando as diretrizes da norma para garantir a segurança da informação.
A implantação da norma não é tão simples, pois é necessário o comprometimento de todos, ou seja, executivos, alta direção e funcionários administrativos, que devem ser incentivados para garantir a qualidade da segurança da informação.
E através das diretrizes descritas na norma é possível organizar as atividades relativas à segurança da informação, estabelecendo um ambiente seguro para a organização.
24
6
Referências Bibliográficas SÊMOLA, M. Gestão da Segurança da Informação – Uma visão executiva. 3. Ed. Rio de Janeiro: Elsevier, 2003. 160p. NBR/ISO/IEC 17799. Tecnologia da Informação – Código de prática para a gestão da segurança da informação. Rio de Janeiro: Associação Brasileira de Normas Técnicas, 2001. 56p. DE SORDI, J.O. Tecnologia da Informação Aplicada aos Negócios. 1. Ed. São Paulo: Atlas, 2003. 185p. NICCOLAI, M.; BEZERRA, M.; VERAS, F. Tudo pela Segurança da Informação. São Paulo, Junho. 2004. Disponível em: <http://www.nextgenerationcenter.com/br/>. Acesso em: 02 Jun. 2004. VIEIRA, S. Segurança da Informação com selo de qualidade. São Paulo, Junho. 2004. Disponível em: <http://www.nextgenerationcenter.com/br/>. Acesso em: 02 Jun. 2004. RIGATIERI, V.; DOLENC, L.; DUARTE, M.; ZARZA, C. ; CAMPOY, E. Segurança. São Paulo. Maio. 2004. Disponível em: <http://www.nextgenerationcenter.com/br/>. Acesso em: 04 Mai. 2004.