Diálogos Inseguros

De Jairo Willian Pereira

O mercado editorial em SEC segue bem atendido por livros técnicos, porém em menor escala para assuntos que interliguem a questão acadêmica-corporativa a modelos mais Estratégicos e Táticos. A partir de uma abordagem orientada aos eixos de Negócios (Oportunidades), Pessoas, Processos e Tecnologia, a obra é orientada a C-Levels (CSO, CISO, CDO etc.), a nova geração de executivos e board-members, área de Compliance, times Jurídicos, Oficiais de Privacidade (DPOs), profissionais de Segurança em estágio médio-avançado, alunos e professores de cursos de Graduação, Pós-graduação, MBA e profissionais de TI que pretendam compreender o complexo ecossistema de Segurança.

Com estudos de 1960 até as atuais ISOs-27k, aborda frameworks, normas, modelos estratégicos, clarifica alguns mitos e utopias tecnológicas que estão levando a segurança digital global ao colapso, apresentando opções a partir de nova ótica, permitindo um realinhando de curso a abordagens modernas, ágeis e universais.

Partindo da engrenagem mais importante (pessoas), avalia processos e condena algumas abordagens primariamente tecnológicas. PCN, Incidentes, Business ScoreCard (com viés de Segurança), Vulnerabilidades, Riscos, Nuvem, SecDevOps, GRC, Casos de (In)sucesso, Agilidade, SOC de alta-performance (do zero ao CERT.br em 1 ano), oferece correlação sem precedentes dos temas, da primeira à última página, sempre regada por histórias que levarão sua audiência ao pensamento crítico, ao riso e, por vezes, ao desespero.

• Idioma: Português
• Editora: Editora Dialética
• Data de lançamento: 14 de out. de 2022
• ISBN: 9786525256290

Pré-visualização do livro

1. Uma parte da história sobre Segurança Informática

Quando as pessoas concordam comigo, tenho sempre a impressão de que devo estar enganado.

Sebastian Melmoth

CTSS – Compatible Time-Sharing System

Segurança da Informação é sempre vista como onerosa e excessiva, até o dia em que não é (ou foi) suficiente. Com essa frase bem oportuna para a temática, abriremos o capítulo 1 deste livro que pretende contar um pouco de como evoluímos – mas nem tanto e a passos estreitos, dentro do universo da segurança da informação. Faremos uma breve e leve viagem passando pelos primeiros artigos relevantes e pelos principais marcos em segurança, saindo do CTSS até os tempos atuais onde temos disponível um imenso arcabouço de sustentação oferecido pelas ISOs da família 27k e centenas de outras normas complementares – tão importantes quanto.

Controles de segurança em sistemas com recursos compartilhados foram colocados como prioridade pela primeira vez no início da década de 60 (em projeto liderado por Fernando J. Corbató). O CTSS, antecessor do Multics (Multiplexed Information and Computing Service), é considerado o primeiro sistema Unix multiusuário e multitarefa adaptado especificamente para receber features de Segurança.

F00-DP: Fernando J. Corbató com o IBM-7090 no MIT, base para o CTSS

Hospedado no MIT, foi projetado em 1961 para fornecer computação compartilhada para vários usuários a partir de um grande mainframe e teve sua última instância desligada em outubro de 2000 depois de diversos recordes de uptime ao longo de sua existência e experimentos. A preocupação com a camada de segurança foi adicionada para garantir que o sistema operacional e sua contabilidade (accounting) funcionassem de forma robusta e fossem a prova de questionamentos. Os principais recursos de segurança alocados no CTSS foram considerados excepcionalmente diferenciados para a época, recursos estes que colaboraram muito no avanço da linguagem C (ALGOL → BCPL → B → C) e posteriormente na versão de Unix, na ocasião, reescrita sobre sob a linguagem C, segundo comentou Brian Kernighan (o K por trás do awk) em suas pesquisas e parcerias no Bell Labs com os icônicos Ken Thompson e Dennis Ritchie.

A lista apresenta alguns dos recursos de segurança alocados no CTSS.

• CPU com capacidade de capturar e controlar o uso de instruções privilegiadas e operações de I/O utilizadas em user-mode;

• Sistema operacional executado a partir de mídia de armazenamento isolada onde os programas dos usuários não o acessavam;

• Login do usuário com exigência de senha (implementado em mar/64);

• Arquivos de usuários protegidos do acesso de outros usuários, a menos que fossem compartilhados (others) explicitamente;

• Sistema com administração hierárquica, controlado e por/com alocação de recursos (uma versão do nosso atual limits.conf);

• Execução do programa em terminal IBM-7094-Virtual com imagem própria de memória (privada, protegida e não-compartilhada);

• Registradores de memória dos programas de usuário na CPU protegidos que informavam quando programas de outros usuários tentavam acessar inadequadamente o recurso ou outros objetos.

O sistema de arquivos em disco do CTSS original suportava apenas o compartilhamento de arquivos com grupos de trabalho. Em 1965, o CTSS aumentou a capacidade de compartilhamento de arquivos, permitindo a vinculação de arquivos de outros usuários (se permitido) e adicionou um modo privado para arquivos que limitavam o uso apenas ao proprietário do arquivo. Neste momento, todo o sistema de permissões básicas dos sistemas Unix (filetype, inodes, rwx, dono/grupo/outros) utilizados até hoje acabava de ser definido. Os aprendizados, recursos e restrições desta experiência influenciaram fortemente as tendências e recomendações futuras da época, inclusive na construção do próprio Unix e em projetos sucessores como veremos adiante.

DoD - Conjunto de Regras

Primavera de 1967 (55 anos atrás), num relatório de pesquisa iniciado pelo DoD, especialistas tentava resolver o problema de sistemas que estavam sendo produzidos e adquiridos cada vez em maior volume pelo governo e, proporcional a sua popularidade, cresciam os problemas relacionados ao mundo da Segurança em plataformas que suportavam operações militares ou sistemas considerados críticos. Movidos por insegurança, diversas incertezas pós 2ª guerra mundial e outros conflitos de época (Indochina, Coréia, Laos, Líbano, Vietnã, Porcos, República Dominicana e Camboja), o governo solicitou a ARPA na ocasião que criasse uma força-tarefa com membros da indústria e obrigatoriamente a academia dedicada para estudar tanto o hardware quanto o software envolvido nestas operações, atividade está gerenciada na ARPA pelo Sr. Robert W. Taylor e por Willis H. Ware, presidente na ocasião da The Rand Corporation – companhia responsável pelo relatório final emitido sob a chancela do US DoD - Department of Defense.

Um ponto interessante do Report of Defense Science Board Task Force on Computer Security - Security Controls For Computer Systems, é que embora ainda muito incomum nas análises de segurança atuais, nesta época a equipe já considerava uma análise ampla baseado no modelo de máquina de estados (Entrada, Processamento, Armazenamento e Saída) de todos (sim, todos!) os componentes interligados da solução e não somente um deles ou uma parte do sistema como comumente executado nos dias atuais pelas equipes de Segurança, Pen-Testers e outros times auxiliares. Todos os ativos membros do ecossistema inteiro tinham suas máquinas de estado completamente avaliadas.

F01-DP: Possível cadeia de vulnerabilidades individualizada-completa e seus componentes

Outro ponto interessante desse relatório é que no final de 1969 a equipe se preocupava com automações, multiprogramação, compartilhamento de tempo e as respectivas dificuldades e complexidade da implementação desses controles, tanto no contexto local, dos interprocessos, quanto de acesso remoto mais a respectiva resultante da soma de todos os componentes.

F02-DP: Cadeia de preocupações considerando entradas → processamento → saída

Neste momento, pedimos apenas que você registre esse feito com uma das primeiras pesquisas profundas no campo de segurança com abrangência tão significativa. O relatório final, inicialmente classificado com confidencial teve sua classificação removida pelo tempo e, ao longo de suas 80 páginas de um estudo com qualidade invejável, inclusive quando comparado a alguns estudos atuais produzidos por empresas e institutos considerados especializados no tema, fez com que partes deste e dos demais relatórios produzidos ao longo do tempo pela RAND Corporation servissem de base e inspiração para a criação do Federal Privacy Act em 1974.

CIA – O sistema operacional ADEPT50

Paralelamente, controles de segurança para serem implementados no sistema operacional ADEPT-50, foram sugeridos pela CIA durante os anos de 1967-1968, projeto este com muitas similaridades ao projeto do DoD, neste caso mais específico para os computadores S/360 IBM. Encabeçado por Weissmann e Linde, oferecia um modelo de proteção e controle de acesso baseado no MAC (Mandatory Access Control).

F03-DP: Console do operador do IBM 360-65 e 360-44, respectivamente

O ADP - Advanced Development Prototype (nome do projeto e do contrato que deu origem ao ADEPT) iniciou suas operações com o objetivo de tirar proveito das possibilidades de automação que os novos sistemas ofereciam, estes, acrescentados aos recursos de compartilhamento de tempo, de recursos e de atividades, num momento em que a ‘computação distribuída’ estava sendo profundamente pesquisada e incentivada. Os ambientes (hardware e software) foram inicialmente instalados no Comando Militar Nacional, no Comando da Força Aérea além de mais duas instituições governamentais que juntos, ofereciam de 80 a 100 horas por semana, num total de 2000 horas de ‘serviços computacionais compartilhados’ com diversos usuários de terminais, ampliando o poder computacional desses institutos numa arquitetura mais simples, controlada, robusta (considerando os recursos distribuídos), barata e segura.

F04-DP: Conceito de segurança em camadas, defendido precocemente na metade a década 60

De forma resumida, o projeto do sistema do ADEPT tentava endereçar três preocupações principais: rotinas e execuções de time-sharing, um sistema de gerenciamento de dados (adaptado do TDMS – Time-Shared Data Mgmt System) e um pacote (suíte) mais bem desenhado, protegido e que facilitasse a vida do programador com ‘reaproveitamentos de estruturas’ disponíveis na época. Esse modelo de arquitetura, componentes e recursos ‘distribuídos e compartilháveis’, tão bem construídos e desenhados, incentivou diretamente outros projetos bem mais ousados, verdadeiramente disruptivos e que atravessaram décadas. O tempo da ‘computação em rede’ e compartilhamento de recursos havia ganhado atenção e prestígio sem precedentes.

ARPANET e a importância do 4º nó

A imagem dessa seção é o que os pesquisadores e profissionais de tecnologia consideram como a primeira operação (e comunicação com sucesso) do que viria a ser a Internet, em 1969. A operação foi encabeçada pelo professor doutor em Ciência da Computação Ivan Sutherland, ganhador do Prêmio Turing e também reconhecido como o pai da Computação Gráfica (criador do software gráfico SketchPad em 1963 e precursor do HCI – Human-Computer Interaction).

Com o primeiro nó iniciado pela UCLA (University of California – Los Angeles), o segundo pelo SRI (Stanford Research Institute), terceiro pela UCSB (University of California Santa Barbara), a rede ganhou presença além das fronteiras da Califórnia em 1969, quando a anexação da Universidade de Utah via seu Departamento de Ciência da Computação, criou o 4º nó da ARPANET. O primeiro fora do estado e considerado um dos mais importantes para a escalada da expansão do projeto. O feito, em 5 dezembro de 1969, havia criado a primeira rede de computadores por comutação de pacotes do mundo (baseada em TCP/IP).

Em seu primeiro teste (a transmissão da mensagem LOGIN nó a nó entre UCLA e Stanford), houve travamento do computador após o recebimento das letras LO, mesmo assim, foi considerado sucesso e necessitava de pequenos ajustes.

F05-DP: Esboço da Internet - Rede ARPA de 1969

Novamente, o tempo da computação em rede e compartilhamento de recursos se tornava cada vez mais promissor, real, extenso, aberto e seguro. Quanto a segurança e correlação com os aprendizados e estudos da época, vale uma observação e curiosidade: os computadores e sistemas operacionais envolvidos no processo (SDS Sigma7 Series, SDS 940 Genie, IBM 360 e o DEC PDP-10).

USAF - Mecanismos de Segurança

Sabemos que o conceito de Governança e Proteção de Dados surgiu com mais força em 2020. Já imaginou alguém se preocupar com toda a cadeia de gerenciamento de dados, proteção, criptografia e outros controles de segurança 50 anos atrás? Pois é, esse estudo da USAF cobre: data management/reliability, privacy, pen-testing, media declassification, security development, network security, kernel security, file encryption e mais uma infinidade de vetores, superfícies e pontos de ataque incomuns para os dias atuais, imagine na época em que as hipóteses foram consideradas.

Esse estudo (paper) de 142 páginas data de 1972 e hoje, 50 anos depois, ainda temos uma parcela grande desses controles que ainda são desconhecidos, mal compreendidos e utilizados de forma inadequada por especialistas e líderes em diversas instituições ditas seguras ao redor do globo.

Era outubro de 1972, James P. Anderson, pertencente a Electronic System Division (ESD), da Força Aérea dos Estados Unidos, iniciou seus estudos para salvaguardar a segurança de computadores, produzindo um relatório técnico especializado chamado de Computer Security Technology Planning Study. Devido à complexidade do projeto e da diversidade dos temas cobertos, diversos profissionais de outras instituições foram chamados para opinar e colaborar, inclusive um time da própria NSA (National Security Agency).

F06-DP: Matriz de itens sob pesquisa versus áreas com problemas relevantes de SEC

O projeto cobria adequações em kernel-mode, de classificação da informação, de periféricos que poderiam ser anexados e agregados, questões de criptografia, gerenciamento fidedigno de dados da injeção até o momento da checagem, da crítica de dados, hardware, técnicas de penetração e até questões envolvendo toda a camada do usuário e sinais eletromagnéticos. Relendo os pontos é quase tudo o que gostaríamos de ter em nosso sistema de urna eletrônico (sem entrar na discussão da qualidade atual que, na opinião do autor, não deveria ser avaliado apenas no contexto de ativo isolado urna como atualmente é realizado – vide a imagem com a cadeia de vulnerabilidades apresentada na seção anterior).

Há duas declarações interessantes que surgiram em função desse estudo.

...o principal problema técnico não resolvido encontrado pelo grupo de trabalho era como fornecer recursos de vários níveis e sistemas de compartilhamento de informações seguros contra a ameaça de um usuário mal-intencionado.

Não há dúvidas que em uma época em que computadores tendiam a não estar em rede, que o maior vetor de ameaça seria algum malfeitor humano, e prosseguiu...

...a razão pela qual uma abordagem complementar, que parece tão atraente, não será suficiente é que para fornecer defesa contra um usuário mal-intencionado, deve-se projetar os controles de segurança no sistema operacional de uma máquina de forma a controlar não apenas as ações de cada usuário, mas também de muitas partes isoladas do próprio sistema operacional quando ele está agindo em nome do usuário.

E você, conseguiu encontrar alguma correlação dos problemas descritos neste passado não tão remoto com nossas restrições, modelos utilizados, nossos atributos, necessidades de controle de acesso e perfis atuais? Interessante? Adicionalmente, considere consultar o estudo MULTICS Security Evaluation: Vulnerability Analysis iniciado por Karger e Schell (ESD) em 1972 e finalizado em 1974.

Doctrine – União das experiências anteriores

Ao longo dos experimentos anteriores, alguns estudos acabam se convergindo e se reencontrando ao longo da jornada desses profissionais de segurança que, ora ou outra, se encontravam e trocavam informações. James P. Anderson (Computer Security Technology Planning Study) encontra-se com o Sr. David Bell e Sr. Leonard La Padulla (autores de Secure Computer Systems: Mathematical Foundations, Mathematical Model e Refinament of Mathematical Model).

F07-DP: Referência ao MITRE (fundado em 1958) em estudo de época

Em conjunto, os pesquisadores constroem o DOCTRINE (BLP - Bell La Padulla Model), um modelo de máquina de estado usado para reforçar o controle de acesso em aplicações militares e do governo, basicamente se preocupando com dois conceitos bem simples e minimamente suficientes para a época: Simple Security Property e Security Property – itens estes, comuns a quem está em jornada de estudo em busca do perseguido CISSP (sem entrar nos prós e contras do selo e da prova, conversa essa somente em ambientes mais descontraídos).

Simple Security Property é o estado no-read-up. Um indivíduo em nível de classificação específico não pode ler um objeto em nível de classificação mais alto.

Security Property é no-write-down, de forma que o indivíduo em nível de classificação mais alto não pode escrever em um nível de classificação mais baixo.

Ambos bem simples de entender, concebe, aplicar, sendo bem efetivos e convenientes para o modelo e as condições computacionais da época.

Security Kernels – Técnicas e experimentos em sistemas operacionais

O Major Roger R. Schell, em 1973, também colaborador do ESD/USAF conclui seus estudos envolvendo os principais componentes e preocupações que habitam o desenvolvimento de kernel e dos sistemas operacionais seguros.

F08-DP: Capa de ‘Preliminar Notes on the Design of Secure Military Computer Systems’

A abertura dos trabalhos e das notas deixa clara a preocupação das forças armadas com sua responsabilidade na classificação, na correta proteção e com o compartilhamento suficiente de informações (need to know), mencionado a necessidade de certificações isentas que possam atestar essas condições e chamando fortemente a atenção para que, uma vez que vazamentos ou exposições aconteçam, seriam irretratáveis e não existiriam recursos legais para a reparação. Bem similar as preocupações e ações práticas do mundo corporativo de hoje relacionadas com dados, não acham?

NSB – Operating System Structures

Em 1976, o NBS - National Bureau of Standards publica Operating System Structures to Support Security and Reliable Software endereçando preocupações de Segurança em diversos campos. Entre diversos pontos cobertos pelo documento, chama a atenção temáticas como: Reliability, Decomposition of Complex Systems, Protection Should Be Distinct From Funcionality (com extensão do tema em Flexibility vs. Security), Formal Documentation, The Trojan Horse Problem, Intermediaries, Controls Over the Movement and Storage of Capabilities, Programming Language Support for Modularity e Security Classification Systems.

Importante observar nas temáticas e avaliar no documento que, diversos assuntos não somente incomodavam os pesquisadores no meio da década de 70 como são hoje temas ainda não completamente resolvidos e classificados como complexos - vide seção de Cynefin para orientação extra e ver como Decomposition of Complex Systems, uma das qualidades mais exaltadas por modelos ágeis, já era não somente recomendado como praticado em menor escala (e conhecimento) há muito tempo.

Além dos tópicos informados, algumas frações do estudo são bem interessantes para a época e serão destacadas neste documento.

F09-DP: Amostra de problemas antigos não resolvidos e com forte relevância atualmente

Parece no mínimo curioso ver que em 339 casos de crimes informáticos com perda média de US$ 544.000, com a maioria deles sendo materializado via participação direta de funcionário (insider) com acesso aos sistemas de época não tenham sido suficientes para endurecer ainda mais o regramento de época e obrigatoriedades que, poderiam ter nos ajudado no passado, no presente e com fonte de consulta e comparação futura.

Note que em 85% dos casos, a gestão (por motivos diversos) não reportou os incidentes às autoridades, preocupados principalmente com a publicidade negativa ou impacto na imagem que o incidente poderia causar.

O último parágrafo que versa sobre os controles de segurança, custo-efetivo e dores comuns, soa também em todos os seus subitens como uma verdadeira wishlist atualizadíssima, esteja você lendo esse material em 2022 ou talvez, se não trabalharmos fortes no assunto, em 2050).

Security Classical Problems – DoD Computer SEC Initiative

O DoD, em 1977 através do Security Classical Problems Computer Security Initiative torna-se centro de referência para validação de quão seguros os produtos e soluções existentes, criadas e utilizadas pelo governo o eram.

F10-DP: Preocupação comum de época (via IPC) na interface de rede do Ford KSOS

A partir das documentações, fontes e modelos é estabelecido um conjunto de regras que foram utilizados nas validações, conjunto este que mais tarde ficaria conhecido informalmente como The Orange Book, sim ele, o Orange Book.

The Orange Book

Embora o rascunho tenha sido iniciado em 1978, Major Roger Schell via Centro CSI aprimora seus estudos em 1983 do TCSEC - Trusted Computer Systems Evaluation Criteria, como modelo para classificação de sistemas computacionais em níveis pré-definidos de segurança e tem sua compilação e revisão final revisada em 1985 pelo DoD, recebendo a seguinte codificação: 5200.28-STD. O livro, dividido em duas partes, tinha a seguinte cobertura:

F11-DP: Visão gráfica - Trusted Computer System Evaluation Criteria

Assim, o Trusted Computer Evaluation Criteria - DoD 5200.28-STD, tornaria se popular e reconhecido globalmente como The Orange Book, um marco nos modelos utilizados até o momento para qualificação de segurança, tendo futuramente influenciado e sendo precursor do padrão aberto Common Criteria e diversas outras variações deste que se sucederam de forma paralela.

F12-DP: Capa do livro Orange Book, que por sinal é mais marrom que laranja

The Rainbow Series/Books

A partir desta publicação, o DoD (e mais adiante a NSA) inaugura um período poético com uma série de publicações que cobriam uma diversidade incrível de assuntos e ficaram conhecidos na comunidade de pesquisadores, especialistas e consumidores de segurança computacional como The Rainbow Series, pelo fato de as publicações serem nomeadas de acordo com a cor de suas capas.

F13-CA: Lista atualizada com as publicações da ‘Rainbow Series’

Ao longo de sua existência, das suas versões e atualizações, como veremos a seguir, boa parte da Rainbow Series acabou sendo incorporada a outros padrões e substituída pela Commom Criteria e, embora grande parte dos controles e recomendações seja atemporal, atualmente ela está descontinuada e é mantida apenas por questões históricas e acadêmicas. Não são padrões que devem ser consumidos, utilizados como boas-práticas ou referência moderna no campo da Segurança, mas admirados, respeitados e reverenciados por sua contribuição histórica e diferenciada na ocasião.

Commom Criteria – Consórcio para fusão de padrões

TCSEC (Orange Book) mais uma parte até 1992 da The Rainbow Series/Books produzidas pelo DoD, unem-se ao CTCPEC que embora baseado no US DoD (May, 1993) era uma variante com DNA canadense. Junto com o modelo europeu criado aproximadamente em 1990 do ITSEC – (France, Germany e UK) e extrações do rascunho do Federal Criteria (1993), dão origem em 1996 a primeira versão do Commom Criteria.

F14-CA: Linha do tempo, fusões e influências do TCSEC até ISO-15408

Venerado por muitos (e desconhecido por mais muitos ainda), o CC trilhou uma carreira paralela ao seu filho (ISO/IEC 15.408). Com nascimento em janeiro de 1996 em sua versão 1.0, passou por 2.0, 2.1, 2.2, 2.3, 3.0, 3.1, 3.1-r1, 3.1-r2, 3.1-r3, 3.1-r4 e sua última publicação até a data de revisão desse livro é a 3.1-r5. Em sua versão de lançamento contava com um livro unificado e em sua última revisão, em três volumes para melhorar a divisão, focando em:

Part 1: Introduction and general model

Part 2: Security functional requirements

Part 3: Security assurance requirements

Pode parecer um pouco confuso a verbalização dos conceitos, mas tão logo o interessado tenha acesso ao modelo, consegue compreender o quão rico e bem estruturado é o material. Alguns conceitos interessantes do modelo:

Target of Evaluation – TOE (Alvo de Avaliação): autoexplicativo. Hipóteses predefinidas a respeito do alvo que serão contra validadas em segurança.

Protection Profile – PP (Perfil de Proteção): modelo com requisitos de segurança para um tipo de dispositivo na qual seus criadores podem escolher desenvolver os seus produtos de acordo com um ou mais PPs. O PP serve como um template de referência para o ST (Security Target).

Security Target – ST (Alvo de Segurança): baseline que identifica as propriedades de segurança de um alvo de avaliação. Pode fazer referência a um ou mais PPs. O Alvo de Avaliação é avaliado de acordo com os Requisitos de Segurança Funcional – SFRs estabelecidos no ST.

Security Functional Requirements – SFRs (Requisitos de Segurança Funcional): especificam funções individuais as quais podem ser providas por um produto. Um SFR pode estabelecer como um usuário que desempenha um determinado papel deve ser autenticado. A lista de SFR pode variar de uma avaliação para a outra, mesmo que dois alvos pertençam a uma mesma categoria.

Security Assurance Requirements – SARs (Requisitos de Garantia de Segurança): trata-se da descrição de medidas tomadas durante o desenvolvimento e avaliação do produto, a fim de garantir a sua conformidade com a funcionalidade de segurança conclamada. Por exemplo, uma validação pode requerer que todo o código-fonte seja mantido em um sistema de controle de versão, ou que todo o teste funcional seja realizado contra ele.

Evaluation Assurance Level – EAL (Nível de Garantia de Avaliação): avaliação numérica que descreve a profundidade e rigor de uma avaliação. Cada EAL corresponde a um pacote de requisitos de garantia de segurança (SARs) o qual cobre o desenvolvimento completo de um produto, com um determinado nível de exatidão. O Common Criteria lista sete níveis de aderência, com EAL 1 sendo o mais básico (e, portanto, o mais rápido, barato de se implementar e avaliar) e EAL 7 sendo o mais restrito, caro, difícil de se avaliar e manter.

CC para a ISO15408

O resultado da Commom Criteria (tanto em sua versão original quanto nas atualizações subsequentes), que por muito tempo foi a melhor referência agnóstica existente no que se diz respeito à avaliação de objetos/produtos (o conhecido TOE - Target of Evaluation), teve sua qualidade reconhecida pela ISO que resolveu aproveitar seu conceito, conteúdo, o reconhecimento do setor, a distribuição dos volumes e a estrutura para transformá-lo no que iríamos conhecer em 1999 como a ISO/IEC-15408.

• ISO/IEC 15408-1:2020 - Information technology - Security techniques Evaluation criteria for IT security - Part 1: Introduction and general model

• ISO/IEC 15408-2:2020 - Information technology - Security techniques Evaluation criteria for IT security - Part 2: Security functional components

• ISO/IEC 15408-3:2020 - Information technology - Security techniques Evaluation criteria for IT security - Part 3: Security assurance components

Observem acima que, na versão mais recente, a estrutura e até as nomenclaturas dos volumes CC foram preservadas.

A família 27k e sua importância

Previamente a apresentação da família 27k, vamos dar uma breve passada por sua origem. É importante saber que as normas iniciais dessa família (principalmente a 27001 e 27002) vieram originalmente da BS-7799-1 (parte 1) e BS-7799-2 (parte 2). Apenas por questões históricas vamos citar algumas das principais versões desse período:

• BS-7799-1:1995 – Tecnologia da Informação – Código de Prática para Gestão de Segurança da Informação - Parte 1

• BS-7799-2:1998 – Sistema de Gestão de Segurança da Informação – Especificações e Guia para Uso – Parte 2

As normas anteriores, agora fazendo parte das versões publicadas pelo ISO/IEC, sofreram diversas atualizações ao longo do tempo, mas para facilitar a compreensão e identificação visual dos conteúdos, iremos listar abaixo somente as versões principais.

• ISO/IEC 17799-1:2000 – Tecnologia da Informação – Código de Prática para Gestão de Segurança da Informação

• NBR ISO/IEC 17799-2:2001 - Tecnologia da Informação – Código de Prática para Gestão de Segurança da Informação (primeira versão da norma no Brasil).

Antes de ambas virarem série NBR 2700x pela ABNT, sofreram uma inversão de tempo/atualizações que acabou gerando a seguinte situação. A 17799-1 (parte 1) acabou se tornando a ISO/IEC-270002 ao posto que a 17799-2 (parte 2) virou a ISO/IEC-27001. Observe seus títulos e nomenclaturas finais:

• ISO/IEC 27001

Sistemas de Gestão da Segurança da Informação – Requisitos

• ISO/IEC 27002

Código de prática para controles de segurança da informação

Dando sequência, a série ISO/IEC 27k compreende os padrões de segurança da informação pela International Organization for Standardization (ISO) e a International Electrotechnical Commission (IEC). Essas publicações são produções da ISO/IEC JTC1 (Joint Technical Committee 1) SC27 (Subcom Committee 27), este último, responsável pelo seu nome, acrônimo e codificação.

Um erro muito comum e frequentemente repetido em cursos, treinamentos e eventos de segurança de todos os portes, é quando gestores e profissionais de Segurança amarram todas as suas explicações (ações, planos e atividades do dia a dia) apenas nas normas 27001 e 27002. Esse era um questionamento frequente que o autor gostava de arguir em eventos do gênero. Além da 27001 e 27002 quem utiliza outras normas da mesma família, e uma vez que utilize, poderia explicar qual foi o contexto de uso e sua aplicabilidade?

Reduzidas vezes a resposta voltou bem embasada ou até, bem correlacionada com todas as demais possibilidades dessa família (acredite, você vai se surpreender com a quantidade disponível e as possibilidades). A resposta comum era dizer que utilizavam a 27005 para Gestão de Risco, algumas vezes a 27000 como base de vocábulos consultados e a 27011 quando o respondente era de empresa de Telecomunicações. Até mesmo a ISO-27014 (referência de Governança para a área de Segurança) acabava sendo negligenciada e pouco lembrada pelos profissionais e gestores (atualmente, por causa da LGPD, a ISO27701 começou a aparecer mais nas respostas).

Como profissionais de Segurança, temos sorte em ter uma das disciplinas mais regradas, bem normatizadas e suportadas dentro da área de tecnologia. Arriscaria dizer que, nenhum outro setor ou área, tem tamanho arcabouço de regulações e normativos a sua disposição (embora, como comentado, ainda frequentemente subutilizadas e pouco conhecidas pelos profissionais).

Importante lembrar que todas as normas da família 27k tem um objetivo comum, porém nem sempre muito claro entre seus consumidores: estabelecer um processo sistemático, repetível, documentado, unificado e bem conhecido com a missão de governar a segurança da informação através da entidade formal e central do SGSI - Sistema de Gestão de Segurança da Informação. Dá para fazer sem essa supervisão do SGSI? Dá, mas nem um pouco recomendado a médio e longo prazo.

No quadro resumo, a lista das publicações pertencentes a família 27k e outras complementares (não-27k) que endereçam direta ou indiretamente Segurança da Informação e não devem ser desconsideradas antes de uma boa análise de escopo versus a responsabilidade e o core-business da sua companhia. Um breve descritivo pelo autor acompanhará os lançamentos (principalmente para as não-27k) onde títulos, funcionalidades e/ou descrições não sejam autoexplicativos.

• ISO/IEC 27000

Princípios e vocábulos, definindo e padronizando a nomenclatura (re)utilizada nas normas posteriores de toda a família 27000.

• ISO/IEC 27001

Sistemas de gestão da segurança da informação – Requisitos do ISMS.

• ISO/IEC 27002

A versão de 2013 chamava-se Código de prática para controles de segurança da informação, sendo revisada em 2022 (título, taxonomia global, atributos, adição, remoção e fusão dos controles) e passando para Information security, cybersecurity and privacy protection — Information security controls. O agrupamento de diversos contextos foi bastante elogiado em conjunto com a cobertura dos desafios contemporâneos de um mundo cada vez mais digital.

• ISO/IEC 27003

Diretrizes para implantação de um sistema de gestão da segurança da informação.

• ISO/IEC 27004

Sistemas de gestão da segurança da informação. Monitoramento, medição, análise e avaliação.

• ISO/IEC 27005

Gestão de riscos (específicos) de segurança da informação. Leia ISO-31000.

• ISO/IEC 27006

Requisitos para organismos fornecedores de auditoria e certificação de sistemas de gestão da segurança da informação.

• ISO/IEC 27007

Diretrizes para auditoria de sistemas de gestão da segurança da informação.

• ISO/IEC 27008

Destinada a auditorias dos controles em segurança da informação.

• ISO/IEC 27009

Provê diretrizes de suporte a indústrias (diversos setores) que buscam utilizar, implantar e consumir os padrões da família ISO 27000.

• ISO/IEC 27010

Gestão de Segurança da Informação para comunicações Inter Empresariais com foco na transparência entre empresas particulares e governamentais.

• ISO/IEC 27011

Guia de gestão da segurança para as empresas de telecomunicações.

• ISO/IEC 27012

Destinada à gestão da segurança para organizações de administração pública. Consta como cancelada e não faz mais parte do histórico de normas oficiais.

• ISO/IEC 27013

Guia para implementação da ISO 27000 de forma integrada a ISO 20000.

• ISO/IEC 27014

Diretrizes e orientações para a governança de segurança da informação. Embora o escopo seja Governança, consultando o sumário da versã0 2021 (seção 7), fica evidente que a estrutura adequada deve perseguir uma abordagem contínua (7.3) orientada a GRC (7.2.1, 7.2.2 e 7.2.4) e integrada ao SGSI (8). Consulte e confirme e a partir de hoje, adote em definitivo essa sigla/abordagem em seu modelo de governabilidade.

• ISO/IEC 27015

Gestão da segurança para serviços financeiros.

• ISO/IEC 27016

Semelhante à ISO 27015, porém voltada para o setor de economia.

• ISO/IEC 27017

Código de prática para controles de segurança para serviços em nuvem.

• ISO/IEC 27018

Código de prática para proteção de informações de identificação pessoal (PII) em nuvens públicas.

• ISO/IEC 27019

Controles específicos para o setor de energia. Considere consultar adicionalmente todas as partes da ISA/IEC 62443 e seus frameworks regionalizados.

• ISO/IEC 27021

Requisitos de competência para profissionais de sistemas de gestão de segurança da informação.

• ISO/IEC TS 27022

Orientação sobre processos de sistema de gestão de segurança da informação e sua abordagem conforme descrito pela 27000, durante a operação do SGSI em atendimento aos requisitos da 27003.

• ISO/IEC TR 27023

Mapeamento das edições revisadas da ISO/IEC 27001 e ISO/IEC 27002.

• ISO/IEC TR 27024

Relatório técnico com referências a leis, regulamentos e diretrizes que se baseiam na família 27K, orientadas a auxiliar organizações dos setores público e privado.

• ISO/IEC 27030

Diretrizes de Privacidade e Segurança para IoT.

• ISO/IEC 27031

Guia de conceitos e princípios que envolve o papel da segurança da informação.

• ISO/IEC 27032

Diretrizes para segurança cibernética e suas particularidades.

• ISO/IEC 27033

Parte-1: Introdução e conceitos gerais sobre segurança em rede. Parte-2: Guia para documentação, implementação, desenho e planejamento da segurança em rede. Parte-3: Determina os riscos, técnicas e projetos relacionados à segurança em rede. Parte-4: Norma que garante uma visão geral dos riscos, possibilitando a identificação e análise das ameaças. Parte-5: Garante a comunicação segura entre redes via Virtual Private Networks (VPNs). Parte-6: Define riscos, técnicas e projetos de redes quanto à segurança da informação. Caso você tenha vivência com OT (Operational Technology) vai observar que ocorrem sobreposições (naturais, como acontece com outros frameworks ou normas) com diversas seções e as partes da IEC 62443.

• ISO/IEC 27034

Parte-1: Definição e conceitos sobre segurança da informação em aplicações. Parte-2: Trata-se da norma sobre organização normativa de segurança sobre aplicações. Parte-3: Guia para o processo de gestão relacionado a aplicações. Parte-4: Validação dos requisitos. Parte-5: Protocolos e estruturas de dados de controle. Parte-6: Segurança em aplicações – Estudo de Casos. Parte-7: Segurança em aplicações – Estrutura de previsão de garantia.

• ISO/IEC 27035

Substituta da antiga ISO/IEC TR 18044. Parte-1: Princípios da gestão de incidentes. Parte-2: Diretrizes para se planejar e preparar para a resposta a incidentes. Parte-3: Diretrizes para suas operações de resposta a incidentes. Parte-4: Coordenação de Gerenciamento de Incidentes de Segurança (em desenvolvimento, com previsão de entrega em 2024). Conteúdo muito bem alinhado com demais recomendações internacionais (CERT, NIST, SANS, FIRST...) que regram o tema. Ver também ISO-27043 e, talvez, 27041, 27042 e 27044 de acordo com perfil, porte e necessidade.

• ISO/IEC 27036

Parte-1: Segurança da informação para relacionamentos com fornecedores - Visão geral e conceitos. Parte-2: Requisitos. Parte-3: Diretrizes para segurança da cadeia de suprimentos de tecnologia de informação e comunicação. Parte-4: Diretrizes para segurança de serviços em nuvem com fornecedores.

• ISO/IEC 27037

Diretrizes para identificação, coleta, aquisição e preservação de evidência digital com caráter judicial.

• ISO/IEC 27038

Especificação para redação digital.

• ISO/IEC 27039

Guia para IDS - Sistema de Detecção de Intrusos.

• ISO/IEC 27040

Aborda sistemas da informação para infraestrutura de armazenamento.

• ISO/IEC 27041

Regulamenta os métodos de garantia de investigação de evidências digitais.

• ISO/IEC 27042

Procedimentos para a análise e interpretação de evidências digitais.

• ISO/IEC 27043

Princípios e processo de investigação relacionados a incidentes de segurança.

• ISO/IEC 27044

Apresenta orientações específicas para o Gerenciamento de Eventos de Segurança da Informação (SIEM).

• ISO/IEC WD 27045

Diretrizes de Segurança e Privacidade para BigData. Projeto encerrado onde provavelmente parte do conteúdo migrará para ISO/IEC 27046 e 20456.

• ISO/IEC 27046

Diretrizes de Segurança e Privacidade para BigData – Guia de Implementação (em desenvolvimento, prevista para 2023).

• ISO/IEC 27050

Descoberta eletrônica - Parte-1: Visão geral e conceitos. Parte-2: Orientação para governança e gerenciamento. Parte-3: Código de prática para descoberta eletrônica.

• ISO/IEC 27070

Requisitos de segurança para estabelecer estruturas raiz virtualizadas de confiança em ambientes de nuvem.

• ISO/IEC 27071

Controles de segurança para estabelecer conexões confiáveis entre dispositivos e serviços em nuvem.

• ISO/IEC 27099

Requisitos de gerenciamento de segurança da informação para os provedores de serviços de infraestrutura de chaves públicas.

• ISO/IEC 27100

Visão geral de conceitos de Segurança da Informação e Cibernética (a definição existente baseada na ISO original fixada em CIA e comparando com ciber é bem limitante, diferente de outros institutos e conflitantes por natureza de abrangência, assunto este ainda sem consenso, inclusive, além das fronteiras da ISO.

• ISO/IEC 27101

Diretriz para o desenvolvimento de estruturas de segurança cibernética.

• ISO/IEC 27102

Diretrizes para seguros cibernéticos.

• ISO/IEC TR 27103

Define como a ISO27k e outras normas ISO e IEC podem ser aplicadas à ‘segurança cibernética’ (considere a observação em ISO27100).

• ISO/IEC 27109

Recomendações para educação e treinamento em CyberSecurity.

• ISO/IEC TS 27110

Segurança da Informação, cibersegurança e proteção da privacidade. Diretrizes de desenvolvimento da estrutura de segurança cibernética.

• ISO/IEC 27400

Segurança e privacidade para IoT - Internet das Coisas.

• ISO/IEC 27402

Abordará (previsão 2023) requerimentos e baselines de segurança e privacidade para IoT.

• ISO/IEC 27403

Diretrizes e baselines de segurança para IoT e Domotics (automação residencial).

• ISO/TS 27527

Saúde. Ajuda no processo de identificação do provedor, dos dados protegidos do indivíduo (Protected Health Information – PHI), da organização e fornecedores.

• ISO/IEC TR 27550

Diretrizes de engenharia de privacidade em sistemas de TIC.

• ISO/IEC 27551

Especificará requisitos para autenticação de entidade não vinculáveis com base em atributos.

• ISO/IEC 27553

Especifica requisitos para autenticação biométrica em dispositivos móveis.

• ISO/IEC 27554

Versa sobre o uso da ISO 31000 para avaliar o risco relacionado ao gerenciamento de identidades.

• ISO/IEC 27555

Orientações sobre a exclusão de dados pessoais (PII) a partir de terminologia harmonizada, definição de regras eficientes, responsabilidades e o uso de processos bem definidos.

• ISO/IEC 27556

Orienta sobre estrutura centrada no usuário para lidar com PII com base nas preferências de privacidade.

• ISO/IEC 27557

Gerenciamento de riscos de privacidade de uma organização.

• ISO/IEC 27558

Provavelmente será a ISO/IEC 27006-2, padrão de acreditação para certificadores de conformidade com PIMS.

• ISO/IEC 27559

Estrutura para embaralhamento/indefinição (não-identificação) de dados para melhorar questões gerais de privacidade e segurança.

• ISO/IEC 27560

Especificará a estrutura de informações do registro de consentimento de privacidade.

• ISO/IEC AWI 27561

Modelo e método de operacionalização de privacidade para engenharia – POMME.

• ISO/IEC WD 27562

Diretrizes de privacidade para serviços de fintechs (sob desenvolvimento).

• ISO/IEC CD TR 27563

Ainda em desenvolvimento, versará sobre segurança e privacidade para ‘casos de uso’ em inteligência artificial.

• ISO/IEC TS 27570

Publicada em 2021, oferecerá orientação de privacidade para cidades inteligentes.

• ISO/IEC 27701

Gestão da privacidade da informação - Requisitos e diretrizes para o SGPI.

• ISO 27789

Área de saúde. Trilhas de auditoria para registros eletrônicos.

• ISO 27790

Específica estrutura de registro de documentos de propósito geral para transmissão, armazenamento e utilização em ambientes clínicos e de saúde.

• ISO/IEC 27799

Gestão de segurança da informação em saúde utilizando a ISO/IEC 27002.

• ISO/TR 27918

Lifecycle risk management for integrated CCS projects. Gerenciamento de risco em todas as fases de projetos de CCS (captura, transporte ou armazenamento).

Normas complementares tão importantes quanto a 27k

Como as normas seguintes não estão linearmente ordenadas, associadas ou correlacionadas a família 27K, detalharemos um pouco mais o propósito de alguns destes principais normativos e sua respectiva participação no universo de Segurança da Informação (exceto para títulos autoexplicativos). Para as que não possuírem correspondente em língua nativa, manteremos a grafia original inglesa para facilitar futura consulta ou localização junto aos respectivos mantenedores.

• ISO/IEC GUIDE 51

Fornece requisitos e recomendações para os redatores de normas trabalharem o processo de inclusão de aspectos de segurança. Aplicável a qualquer aspecto de segurança relacionado a pessoas, propriedade, meio ambiente ou a uma combinação destes. Lembrando que pessoas são o ativo mais priorizado por diversas outras normas (explicitamente referenciado na norma de Continuidade) como o ativo mais importante e que deve sempre ser considerado primariamente.

• ABNT ISO GUIDE 73

Aos mais antigo de área, essa é uma das mais conhecidas e utilizadas no passado. Publicada inicialmente em 2002, é um ótimo material de consulta (vocabulário) quando o assunto é Gerenciamento de Riscos e seus componentes.

• ISO/IEC 3534

Para quem gosta de indicadores, estatística bem feita (qualidade da amostra e população escolhida) e a prova de questionamentos, temos: Parte 1: Termos estatísticos gerais usados em probabilidade. Parte 2: Controle estatístico de qualidade. Parte 3: Projetos e planos de experimentos. Parte 4: Amostragem da pesquisa.

• ISO/IEC 5505

As métricas deste padrão foram calculadas a partir da detecção e contagem de violações de boas práticas de arquitetura e codificação no código-fonte que podem resultar em riscos operacionais inaceitáveis ou custos excessivos. Auxilia em estabelecer padrões e medidas no nível do código-fonte para desenvolvimento interno, usando terceirizados ou fábricas de software. O padrão, por exemplo, comparado com as publicações da ISO/IEC 25000 que regem qualidade de produto e software, oferece um conjunto de medidas/métricas no nível do código-fonte muito mais extenso e elaborado.

• ISO/IEC 7064

Dentro da seção de Information technology — Security techniques, oferece diretrizes para um sistema de verificação de caracteres, strings e suas possibilidades (substituição simples e dupla, transposição simples e adjacentes, erros de deslocamento, correção automática, falsificação, intercâmbio entre máquinas/sistemas e ordenações (big and little-endian), transubstanciação e consubstanciação de palavras e todas suas possibilidades). Referência interessante para quem trabalha com críticas de dados.

• ISO 9564

Utilizada para o correto manejo, controle, construção segura, comunicação e definições sobre PIN. Banking — Personal Identification Number management and security — PART 1: Basic principles and requirements for PINs in card-based systems. Part 2: Approved algorithms for PIN encipherment. Part 3: Requirements for offline PIN handling in ATM and POS systems. Part 4: Guidelines for PIN handling in open networks.

• ISO/IEC 9796

Esquemas de recuperação de assinatura digital, fatoração de inteiros e logaritmos discretos. Information technology — Security techniques — Part 1: Digital signature schemes giving message recovery. Part 2: Integer factorization based mechanisms. Part 3: Discrete logarithm based mechanisms.

• ISO/IEC 9797

Mecanismo usando funções hash dedicadas ou universais. Information technology — Security techniques — Message Authentication Codes (MACs) — Part 1: Mechanisms using a block cipher. Part 2: Mechanisms using a dedicated hash-function. Part 3: Mechanisms using a universal hash-function.

• ISO/IEC 9798

Autenticação de entidades. Information technology — Security techniques — Entity authentication — Part 1: General, Part 2: Mechanisms using symmetric encipherment algorithms, Part 3: Mechanisms using digital signature techniques, Part 4: Mechanisms using a cryptographic check function, Part 5: Mechanisms using zero-knowledge techniques, Part 6: Mechanisms using manual data transfer.

• ABNT NBR ISO 10018

Gestão da qualidade — Orientação para o engajamento de pessoas. Atualizada em 2022, passa pelas temáticas da organização, cultura, qualidade e gestão de conhecimento, oferecendo melhoria/qualidade no contexto engajamento. Pode ser output para seu programa de treinamento, capacitação e retenção de talentos.

• ISO/IEC 10116

Information technology — Security techniques — Modes of operation for an n-bit block cipher. Modos de operação para cifra de bloco de n bits.

• ISO/IEC 10118

Information technology — Security techniques — Hash-functions — Part 1: General, Part 2: Hash-functions using an n-bit block cipher, Part 3: Dedicated hash-functions and Part 4: Hash-functions using modular arithmetic. Funções hash (gerais, fixas, dedicadas e modulares).

• ISO/IEC 10164

A 2ª ISO com a maior quantidade de partes sequenciadas, focando interconexão de sistemas abertos. Information technology — Open Systems Interconnection — Systems Management: Part1: Object Management Function, Part2: State Management Function, Part3: Attributes for representing relationships, Part4: Alarm reporting function, Part5: Event Report Management Function, Part6: Log control function, Part 7: Security alarm reporting function — Amendment 1: Implementation conformance statement proformas, Part 8: Security audit trail function, Part9: Objects and attributes for access control, Part10: Usage metering function for accounting purposes. Part11: Metric objects and attributes, Part12: Test Management Function, Part13: Summarization Function, Part14: Confidence and diagnostic test categories, Part15: Scheduling function, Part16: Management knowledge management function, Part17: Change over function, Part18: Software management function, Part19: Management domain and management policy management function, Part20: Time management function, Part21: Command sequencer for Systems Management e Part22: Response time monitoring function.

• ISO/IEC 10181

Information technology — Open Systems Interconnection — Security frameworks for open systems: Part 1: Overview. Part 2: Authentication framework. Part 3: Access control framework. Part 4: Non-repudiation framework. Part 5: Confidentiality framework. Part 6: Integrity framework. Part 7: Security audit and alarms framework. Frameworks de Segurança