Praticando a Segurança da Informação

De Edison Fontes

Este livro é uma continuação da atividade do autor de compartilhar com os profissionais e usuários em geral sua experiência e seus estudos em segurança da informação. Todo o conjunto de orientações escritas neste livro está alinhado com a Norma ABNT NBR ISO/IEC 27002, a Norma ABNT NBR ISO/IEC 27001, a Norma ABNT NBR 15999-1, o COBIT (Common Objecives for Information and Related Technology) e o ITIL - Best Practice for Security Management. As Normas, o COBIT e o ITIL, cada um sob a sua perspectiva, dizem o que deve ser feito mas não indicam como fazer. Neste livro através dos diversos artigos descrevo em uma abordagem prática como fazer ou como planejar ou como direcionar as ações de segurança da informação. Os assuntos aqui tratados são os mais importantes para os profissionais que têm a responsabilidade de desenvolver, implementar e manter a gestão do processo de segurança da informação na organização. Este livro pode ser utilizado como um complemento de conhecimento pelos profissionais de segurança, gestores de segurança, auditores, gestores de tecnologia da informação, desenvolvedores de sistemas, executivos de negócio, profissionais de controle, pessoal de recursos humanos, consultores e usuários que desejem entender mais sobre o processo de segurança da informação através de uma visão prática. Para cursos, seminários e disciplinas de segurança da informação ele pode ser usado como texto básico ou de apoio.

• Idioma: Português
• Editora: BRASPORT
• Data de lançamento: 28 de jul. de 2008
• ISBN: 9788574526706

Pré-visualização do livro

Copyright© 2008 por Brasport Livros e Multimídia Ltda.

Todos os direitos reservados. Nenhuma parte deste livro poderá ser reproduzida, sob qualquer meio, especialmente em fotocópia (xerox), sem a permissão, por escrito, da Editora.

Editor: Sergio Martins de Oliveira

Diretora Editorial: Rosa Maria Oliveira de Queiroz

Assistente de Produção: Marina dos Anjos Martins de Oliveira

Revisão: Maria Inês Galvão

Editoração Eletrônica: Abreu’s System Ltda.

Capa: Usedesign

Produção de ebook: S2 Books

Técnica e muita atenção foram empregadas na produção deste livro. Porém, erros de digitação e/ou impressão podem ocorrer. Qualquer dúvida, inclusive de conceito, solicitamos enviar mensagem para brasport@brasport.com.br, para que nossa equipe, juntamente com o autor, possa esclarecer. A Brasport e o(s) autor(es) não assumem qualquer responsabilidade por eventuais danos ou perdas a pessoas ou bens, originados do uso deste livro.

BRASPORT Livros e Multimídia Ltda.

Rua Pardal Mallet, 23 – Tijuca

20270-280 Rio de Janeiro-RJ

Tels. Fax: (21) 2568.1415/2568.1507

e-mails:

vendas@brasport.com.br

editorial@brasport.com.br

site:

www.brasport.com.br

Filial

Av. Paulista, 807 – conj. 915

01311-100 – São Paulo-SP

Tel. Fax (11): 3287.1752

e-mail:

filialsp@brasport.com.br

Dedico este livro

ao meu avô materno Luiz Gonçalves (Vovô Lula).

Ele representou verdadeiramente

um sopro divino em forma de homem,

que durante a nossa convivência me foi um exemplo,

me marcou, me ensinou e me falou de vida!

Rua da Palma, centro da Cidade do Recife. Final de tarde.

Terminava a visita que minha mãe e eu fazíamos toda sexta-feira ao meu avô

Lula e à minha tia Magda que vivia com ele.

Momento emocionante esse final de visita: era hora de apostar uma corrida

com meu avô. Cerca de 20 metros de calçada.

Dada a largada eu ia perdendo, mas com esforço (e com a bondade dele) eu ia

passando e no final eu ganhava. Ele me olhava feliz da vida e fazia um elogio.

Com o tempo meu avô foi morar na Ilha de Itamaracá (terra da ciranda),

porém já não corria, mas continuava a me ensinar com a sua

fala e força de vida!

Tempos depois, encantou-se e partiu!

Até mais tarde, Vovô! Vai treinando que da próxima vez será pra valer!

NON DVCOR DVCO

(Não sou conduzido, conduzo)

Frase no Brasão da Cidade de São Paulo

Agradecimentos

Ao nosso bom Deus pelo dom da vida, sem o qual nada disso seria possível, sem o qual a vida seria vazia.

A todas as organizações com as quais colaborei, que permitiram que colocasse em prática todos os conceitos que defendo.

Aos profissionais que trabalham em segurança da informação com os quais, ao longo desses anos, mantive uma troca de experiência e conversas de esclarecimento sobre vários assuntos, sempre com ações pautadas na ética e no bom profissionalismo.

Aos meus filhos Edison Filho e Vinícius, bem como à minha amada Fátima: estamos juntos na caminhada da vida e isso me revigora a cada dia. Vocês permitiram que meu tempo fosse disponibilizado para a elaboração deste livro.

Aos leitores dos meus artigos, aos participantes dos cursos e palestras que apresento, principalmente quando me dão retorno sobre o assunto tratado e também pela forma como abordei o assunto segurança da informação.

À IT Mídia, inicialmente pela oportunidade (e compromisso) de escrever periodicamente artigos sobre o tema segurança da informação (Revista Network e posteriormente site ITWEB). São mais de sete anos de parceria e profissionalismo onde tenho total independência de opinião.

A todos os meios de comunicação que me procuram para a divulgação de artigos e entrevistas sobre o tema segurança da informação.

A todos os mestres que passaram pela minha vida, seja de forma presencial ou seja através de escritos. Aprendemos realmente com quem faz e compartilha o que faz.

Sobre o Autor

Edison Luiz Gonçalves Fontes é profissional de segurança e proteção da informação na organização desde 1989.

Colabora como colunista para o site ITWEB. Participou do grupo de trabalho da FEBRABAN que elaborou o Guia Básico para Projetos de Segurança Lógica de Dados (Cadernos IBCB – Instituto Brasileiro de Ciência Bancária 25). Foi componente do Grupo Executor que desenvolveu o Documento Projeto PR15 – Elaboração de uma Política de Segurança, publicado pela GUIDE LATIN AMERICA. Também participou da equipe da PricewaterhouseCoopers que elaborou o livro Banco Eletrônico, publicado pela FEBRABAN. É autor dos livros Vivendo a segurança da informação, Editora Sicurezza, 2000, e Segurança da informação: o usuário faz a diferença!, Editora Saraiva, 2006. É co-autor dos livros Por que GESITI – Segurança, Inovação e Tecnologia, CENPRA/MCT, Editora Komedi, 2007, e Innovations and Advanced Techniques in Computer and Information Sciences and Engineering, Editora Springer Netherlands, 2008.

Foi premiado pela apresentação de trabalhos nas Conferências 12 e 13 da ­GUIDE LATIN AMERICA e em Congresso Nacional da SUCESU.

Como palestrante ou professor convidado tem colaborado com eventos e cursos de diversas entidades: Latin America CACS/ISACA, CNASI, COMDEX, IDC, IETEC, ITECI, Computerworld, IT Conference, Telecom Fórum, ADPO, Via Fórum, Fenasoft, IDC Brasil, FIA/FEA (USP)/MBAs, FATEC-SP/MBA, UnB/MBA, Faculdade Impacta/MBA. É professor da disciplina de Políticas de Segurança da FIAP/MBA Gestão da Segurança da Informação.

Foi eleito, através de voto da comunidade de profissionais e usuários, Profissional do Ano em Segurança da Informação, recebendo o Prêmio SECMASTER 2003 promovido pela ISSA-Information Systems Security Association – Capítulo São Paulo e VIAFORUM.

Participou da diretoria fundadora do Capítulo São Paulo da ISACA e do Comitê de Direito da Tecnologia da AMCHAM/SP. É sócio fundador da ABSEG-Associação Brasileira de Profissionais de Segurança e coordena as questões de segurança da informação para a prova de certificação profissional da entidade. Participa do InfoSec Council, grupo de profissionais de segurança, sendo co-autor das duas publicações deste grupo.

Possui o título de CISA – Certified Information Systems Auditor e de CISM – Certified Information Security Manager, pela ISACA - Information System Audit and Control Association / USA. É graduado em Informática pela UFPE, onde foi aluno laureado do curso, recebendo o Prêmio Universitário Banorte/1978. É Especialista pelo Mestrado de Ciência da Computação/UFPE e possui pós-graduação em Gestão Empresarial pela FIA/FEA (USP).

Atuou como coordenador de segurança da informação no Banco BANORTE e posteriormente fez trabalhos de consultoria em diversas organizações. No período de 1998 a 2002 foi Gerente na área de GRMS – Global Risk Management Solutions da PricewaterhouseCoopers e de 2002 a 2006 foi Security Officer e Software Quality Assurance Manager da GTECH Brasil. A partir de 2007 é Gerente Sênior da Prática da Segurança da Informação da CPM Braxis. É natural de Recife, Pernambuco.

Apresentação

Este livro é uma continuação da minha atividade de compartilhar com os profissionais e usuários em geral a minha experiência e os meus estudos em segurança da informação.

Todo o conjunto de orientações escritas neste livro está alinhado com a ­Norma ABNT NBR ISO/IEC 27002, a Norma ABNT NBR ISO/IEC 27001, a Norma ABNT NBR 15999-1, o COBIT – Common Objectives for Information and Related Technology e o ITIL – Best Practice for Security Management. Para facilitar, no início de

cada capítulo faço uma referência aos itens das Normas ABNT de Segurança da Informação, do COBIT e do ITIL que se relacionam ao referido assunto. Acredito que esta indicação facilitará o leitor, caso deseje consultar esses padrões.

As Normas, o COBIT e o ITIL, cada um sob a sua perspectiva, dizem o que deve ser feito mas não indicam como fazer. Neste livro descrevo em uma abordagem prática como fazer, como planejar ou como direcionar as ações de segurança da informação.

O Questionário de Avaliação Básica em Segurança da Informação possibilita que você avalie a sua organização e identifique em um primeiro nível a efetividade do processo de segurança da informação. Os exemplos de políticas permitem ao leitor um ponto de partida quando for desenvolver as políticas da organização em que trabalha ou presta serviço.

Os assuntos aqui tratados são os mais importantes para os profissionais que têm a responsabilidade de desenvolver, implementar e manter a gestão do processo de segurança da informação na organização.

Este livro pode ser lido seqüencialmente ou por capítulos específicos conforme o interesse do leitor. Ele pode ser utilizado como um complemento de conhecimento pelos profissionais de segurança, gestores de segurança, auditores, gestores de tecnologia da informação, desenvolvedores de sistemas, executivos de negócio, profissionais de controle, pessoal de recursos humanos, consultores e usuários que desejem entender mais sobre o processo de segurança da informação através de uma visão prática. Para cursos, seminários e disciplinas de segurança da informação ele pode ser usado como texto básico ou de apoio.

Escrever sobre segurança é uma atividade profissional que me proporciona muito prazer. Espero que a leitura deste livro lhe seja agradável e proveitosa sob o ponto de vista pessoal e profissional.

Edison Fontes, CISM, CISA

edison@pobox.com

Prefácio

Conheço Edison Fontes há muito tempo e ele sempre foi um entusiasta da Segurança da Informação. Naqueles dias pioneiros da TI, Segurança da Informação era vista como a décima-primeira prioridade entre as Top 10. Ou seja, muito se falava, pouco se fazia.

De lá para cá muita coisa mudou no ambiente tecnológico. Surgiram os sistemas distribuídos, a Internet, as redes P2P... Enquanto antes era possível proteger o então CPD com uma porta pesada e um guarda armado, hoje o cenário é completamente diferente.

Proíbe-se a entrada de visitantes com máquinas fotográficas. Mas os celulares têm câmeras embutidas. Vamos então proibir os celulares? Imaginem um tresloucado que assim o faça. Mas e os celulares que em breve poderemos vestir, disfarçados em relógios, colares e brincos?

E supondo algo mais radical: proíbe-se a entrada de pessoas com relógios, brincos e colares! Entretanto, já existem patentes de processos que utilizam o corpo humano como um condutor de energia e transmissor de dados entre equipamentos eletrônicos.

Com isso, um aperto de mãos pode transmitir alguns Mbytes. E um abraço então? Quantos Mbytes vai transmitir? Vamos proibir apertos de mãos e abraços?

Não, o que precisamos para a Segurança da Informação é de inteligência aplicada a políticas, processos e tecnologias.

Este é o campo do Edison. Ele sempre soube usar de inteligência e vivência prática para resolver problemas de Segurança da Informação. É um dos pioneiros na área e já esteve envolvido em dezenas de projetos bem sucedidos.

Este seu livro, Praticando a Segurança da Informação, é mais uma de suas contribuições aos profissionais e à sociedade em geral, compartilhando sua vasta experiência e conhecimento. Só por isso já merece aplausos.

Mas o livro é muito interessante e aborda de forma bastante pragmática diversos assuntos como a Gestão da Segurança da Informação, a continuidade do negócio e a privacidade.

Privacidade... Este é um ponto importante, mas nem sempre visto com a devida atenção. Com a chegada da Web 2.0, as informações pessoais se espalham com muito mais intensidade e velocidade pela Internet. As pessoas colocam seu dia-a-dia e opiniões em blogs, criam home pages pessoais, usam emails gratuitos, colocam seu perfil profissional no LinkedIn ou Plaxo, seus bookmarks de sites Web favoritos no del.icio.us, detalham relacionamentos com amigos no Facebook, MySpace e Orkut, registram suas músicas preferidas no Last.fm, compartilham suas experiências de viagem no Dopplr, se divertem com vídeos do YouTube e assim por diante... E juntando os mecanismos de busca aos sites Web 2.0, como por exemplo um Google com Orkut com YouTube com Gmail com Picasa com Dodgeball... Ou um Yahoo com Flickr e del.icio.us... Quantas informações sobre cada um de nós não estarão disponíveis? Não vamos deixar de usar os mecanismos de busca e os sites Web 2.0. Eles já fazem parte de nossa vida e não sabemos viver sem eles... Mas devemos ter consciência que ao fazer uso das fantásticas inovações oferecidas pela Web 2.0 podemos estar abrindo mão de nossa privacidade! Como podemos nos proteger?

Edison nos abre as idéias mostrando uma visão pragmática e prática da Segurança da Informação, abordando os grandes desafios que os negócios enfrentam hoje neste mundo interconectado. É uma leitura obrigatória para todos profissionais interessados em saber mais sobre Segurança da Informação e que queiram ter condições de não apenas falar sobre o assunto, mas de fazer algo de prático.

Cezar Taurion

Gerente de Novas Tecnologias Aplicadas, IBM Brasil

Sumário

Capa

Folha de rosto

Créditos

Dedicatória

Agradecimentos

Sobre o Autor

Apresentação

Prefácio

Parte 1. A Gestão da Segurança da Informação

Sem um objetivo e sem uma política fica difícil chegar aonde queremos!

Considerações para o executivo da organização

Pela existência da política de segurança da informação!

A segurança necessita de planejamento

Planejamento estratégico da segurança da informação

Segurança alinhada ao negócio!

ROI, Meta-ROI e despesa!

A organização que aprende

Utilizando a web e o ambiente interno

Áreas de apoio à segurança da informação

A organização encerrou seu funcionamento! Para onde vão as informações?

Aspectos sócio-técnicos da segurança da informação

Governança em segurança da informação

Segurança sustentável para a informação

Uma política divina

Arquitetura corporativa

Arquitetura de segurança da informação

Parte 2. Parceiros

Serviços com parceiros!

Utilizando o SLA como elemento da segurança!

Novas tecnologias! Velhos riscos!

Parte 3. Processos de Apoio à Segurança da Informação

Flexibilidade operacional para a segurança

Identifique a raiz do problema!

Parte 4. Continuidade do Negócio

Contingência, crise, desastre, emergência ou descontinuidade do negócio?

Avaliando o nível de proteção para situações de desastres

Não dê sorte ao azar!

A maturidade na continuidade do negócio

Nossas torres de cada dia

A necessidade de não parar

Seu plano de continuidade operacional é pra valer?

Para entender, analisar e gerenciar os riscos!

Para elaborar um plano de continuidade de negócio

Para enfrentar crises e outras situações de emergência!

Indisponibilidade: a ameaça de parar o negócio!

Diretrizes para testes – Continuidade de negócio

Parte 5. Privacidade das Pessoas

Os pilares para a privacidade!

Privacidade dos dados pessoais

Identificação de pessoas

Parte 6. A Pessoa no Processo de Segurança da Informação

Comprometimento do usuário

Segurança da informação: o usuário faz a diferença!

A segurança tem que ser amigável!

Conscientizar é preciso! Viver, mais ainda!

O usuário tem que ser especialista?

Do computador ao lixo: a segurança é feita pelo usuário!

Parte 7. Acesso à Informação

Valide, autentique, certifique!

Alguém autorizado vai acessar!

Você é você mesmo?

Certificação digital!

Gestão de identidade

Acessando o mundo da Internet

Parte 8. Desenvolvimento e Manutenção de Sistemas

Segurança no desenvolvimento de sistemas aplicativos

Disponibilidade do aplicativo: testar também é preciso!

Controle de versão: tão simples, tão crítico

Especificação de segurança da informação quando do desenvolvimento de aplicativos

Parte 9. Gestor do Processo de Segurança da Informação

Fiquei Security Officer! E agora?

A função do Information Security Officer

O profissional de segurança da informação

Gestão da segurança da informação

Parte 10. Classificação da Informação

Classifique suas informações!

Nível de granularidade da informação

Parte 11. Conhecendo o que Acontece e Acontecerá

Meia verdade em segurança da informação

Fim de ano... época de planejamento e promessas!

O que acontecerá em segurança?

Aspectos menores da segurança

O voto é eletrônico! A eleição é digital! Mas o mundo é real!

Quero dia, hora e responsável pela solução!

Fraudes: ambiente externo ou ambiente interno

Fraude de 4,9 bilhões de euros

Roubo de informações – Medidas preventivas

Roubo de informações – Um caso real

Parte 12. Visão Macro da Norma de Segurança

Considerações sobre a Norma NBR ISO/IEC 27002

Considerações sobre a Norma NBR 15999:1

Parte 13. Questionário Básico de Avaliação da Segurança da Informação (QBASI)

Perguntas para avaliar a efetividade do processo de segurança

Parte 14. Exemplos de Políticas e Regulamentos

Política de Segurança e Proteção da Informação

Regulamento de Segurança Uso de Correio Eletrônico

Regulamento de Segurança – Usuário do Ambiente Web

Regulamento / Política de Classificação da Informação – Nível de confidencialidade

Política e Processo de Acesso à Informação

Bibliografia Complementar

A Gestão da Segurança

da Informação

Itens relacionados ao assunto:

Norma NBR ISO/IEC 27002

Introdução

-

O que é segurança da informação.

-

Por que a segurança da informação é necessária?

-

Fatores críticos de sucesso.

Análise/Avaliação e tratamento de riscos

-

Analisando/avaliando os riscos de segurança da informação.

-

Tratando os riscos de segurança da informação.

Política de segurança da informação

-

Política de segurança da informação.

-

Documento de política de segurança da informação.

-

Análise crítica da política de segurança da informação.

Organizando a segurança da informação

-

Infra-estrutura da segurança da informação.

-

Comprometimento da direção com a segurança da informação.

-

Coordenação da segurança da informação.

-

Atribuição de responsabilidades para a segurança da informação.

ITIL – Information Technology Infrastructure Library, Best Practice for Security Management

Introduction

-

What is security management.

-

Fundamentals of information security management.

-

Information security from the business perspective.

-

Value of information.

-

How can we manage information security.

-

The IT security management process.

Security management measures

-

Organization of information security.

-

Implementing security management.

COBIT – Common Objectives for Information and Related Technology

Plan and Organise

-

Define the IT Processes, Organisation and Relationships.

-

Communicate Management Aims and Direction.

Deliver and Support

-

Ensure Systems Security.

-

Manage the Physical Environment.

-

Manage Operations.

Monitor and Evaluate

-

Ensure Regulatory Compliance.

-

Provide IT Governance.

Resumo dos requerimentos de segurança:

A organização deve ter um processo de segurança da informação:

-

formalizado;

-

com independência;

-

com regulamentos explícitos;

-

com responsabilidades definidas;

-

com uma pessoa responsável por este processo;

-

com apoio da alta administração;

-

alinhado ao negócio;

-

alinhado à Governança de TI;

-

planejado adequadamente;

-

baseado em normas e padrões reconhecidos/aceitos; e

-

que se mantenha efetivo ao longo do tempo (sustentabilidade do processo).

Sem um objetivo e sem uma política fica difícil chegar aonde queremos!

— Podia-me dizer, por favor, qual é o caminho para sair daqui? – perguntou Alice.

— Isso depende muito do lugar para onde você quer ir – disse o Gato.

— Não me importa muito onde... – disse Alice.

— Nesse caso não importa por onde você vá – disse o Gato.

— ...contanto que eu chegue a algum lugar – acrescentou Alice como explicação.

— É claro que isso acontecerá – disse o Gato – desde que você ande durante algum tempo."

Do livro Alice no País das Maravilhas, de Lewis Carroll.

Considerações para o executivo da organização

Quando falamos em segurança da informação, logo nos vem à mente as instituições financeiras, as empresas de transporte aéreo e as organizações virtuais da Internet. Esses segmentos são alvo dos ladrões cibernéticos e um desastre pode diretamente trazer grande impacto (financeiro, operacional ou de imagem) ao negócio. Isso é verdade; porém, não é exclusivo desse tipo de negócio. Independentemente do segmento da sua organização, é necessária a existência de um processo de segurança da informação.

A informação sempre foi um dos bens mais importantes da organização. A diferença é que há alguns anos a informação mais crítica para a empresa poderia ser guardada e trancada dentro de uma gaveta. Atualmente, independente do estágio de tecnologia da organização, a proteção da informação deve ser uma das preocupações dos executivos e proprietários das empresas. O executivo não precisa ser um especialista em segurança da informação, mas precisa conhecer requisitos básicos sobre o assunto. Relacionamos a seguir os principais aspectos da segurança da informação que você, como proprietário ou executivo de uma organização, deve conhecer. Portanto, proteger a informação:

a) Não é um assunto somente de tecnologia. Atualmente, os computadores processam e armazenam a maioria das informações operacionais e estratégicas da empresa. Por isso esse ambiente precisa ser protegido. Para tanto é necessário contar com a ajuda de especialistas. O erro está em pensar que somente com soluções técnicas, tipo programas de antivírus, estaremos protegendo a informação. Coerente com o porte, sua empresa deve ter melhor proteção tecnológica. Saiba que isso é fundamental, mas não o suficiente.

b) É uma decisão empresarial. Proteger a informação é uma decisão empresarial porque seu objetivo é proteger o negócio da organização. Se acontecer um fato em que a organização tenha um grande prejuízo ou que seja impedida de continuar a realizar o seu negócio, serão os acionistas que perderão o investimento realizado.

c) Não acontece por milagre. A proteção da informação exige dedicação de recursos financeiros, de tempo e de pessoas. Em termos financeiros, toda organização tem condições de realizar uma proteção adequada. Se