Código de prática para a gestão da segurança da informação

Transcrição

1 Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia da Informação.

2 Norma ABNT NBR ISO IEC é um código de prática para a gestão da Segurança da Informação, consubstanciado nas melhores práticas mundialmente reconhecidas sobre o assunto. As organizações ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), contam com a participação de especialistas de vários países e tem como objetivo criar e gerenciar normas internacionais de Segurança da Informação, criando em 2000 a ISO IEC 17799, que foi revisada em 2005 e posteriormente numerada Insta salientar que o Brasil, por meio da ABNT (Associação Brasileira de Normas Técnicas), colaborou com valiosas sugestões e comentários, sendo um dos poucos países que possuíam profissionais especializados no tema. Como resultado do trabalho, o Brasil foi o primeiro país do mundo a traduzir a para sua língua e publicá-la oficialmente como Norma nacional, através da própria ABNT. Apresentaremos os pontos essenciais da Norma Técnica ABNT NBR ISO IEC 27002, que servirão de guia aos profissionais ao elaborarem políticas e instrumentos jurídicos de Segurança da Informação.

3 Modificação no conhecimento Internet Processamento Manipulação Informação Organização Impressa Escrita Falada Eletrônico

4 Informação Bens e direitos com benefícios futuros (Ativo) Necessita de adequada proteção Representa inovação = essencial Competitividade Minimizar o risco e maximizar o retorno do investimento

5 Controles adequados Políticas Implementados Informação Processos Monitorados Analizados Procedimentos Estabelecidos Controles Melhorados Estrutura organizacional Proteção da informação Funções de software Funções de hardware

6 Controles adequados Políticas Implementados Informação Processos Monitorados Analizados Estabelecidos Controles Melhorados Convém que seja feito em conjunto com outros processos de gestão Procedimentos Estrutura organizacional do negócio. Proteção da informação Funções de software Funções de hardware

7 Ataque Denial of service Fraudes Código Malicioso Espionagem Incêndio e Inundação Sabotagem Vandalismo

8 Importante para os negócios Setor público ou privado Protege as infraestruturas críticas Viabiliza negócios (ebusiness)

9 Importante A tendência da computação distribuída Protege (cloud as computing) Viabiliza reduz Setor público a para eficácia os da implementação de controles infraestruturas de acesso centralizado. negócios (ebusiness) ou privado negócios críticas

10 Consultoria especializada Muitos sistemas não foram projetados para serem seguros. Participação de acionistas, fornecedores e terceiras partes Comprometimento dos funcionários da organização Planejamento cuidadoso e atenção aos detalhes

11 Atividades essenciais: Definir Alcançar Manter Melhorar Asseguram Competitividade Fluxo de caixa Lucratividade Atendimento

12 Identificação dos requisitos de segurança da informação. Planejamento Estratégico Jurídico Analise e avaliação de riscos

13 Análise e avaliação de riscos para a organização Considera Realiza Identifica Objetivos e estratégias globais de negócio da organização. Ameaças aos ativos e as vulnerabilidades. Estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio.

14 Legislação Estatutos Regulamentação Organização Parceiros comerciais Deve atender Cláusulas contratuais Provedores de serviço

15 Planejamento Estratégico Princípios Objetivos Deve desenvolver para apoiar suas operações Requisitos São definidos como o conjunto particular do negócio

16 Os requisitos são identificados por meio de análises e avaliação sistemática dos Riscos Estabelecer prioridades Danos ao negócio gerado pelas falhas Direcionar e determinar as ações gerenciais apropriadas Investimento Implementar controles selecionados para a proteção

17 Os requisitos são identificados por meio de análises e avaliação sistemática dos Riscos Estabelecer prioridades Convém que a análise/avaliação de riscos seja repetida periodicamentedirecionar para contemplar e quaisquer mudanças determinar as ações gerenciais apropriadas que Gastos possam influenciar os resultados desta análise/avaliação.. Danos ao negócio gerado pelas falhas Implementar controles selecionados para a proteção

18 Requisitos de segurança e riscos identificados Decisão para tratamento dos riscos tomadas Convêm que controles apropriados sejam selecionados para assegurar que os riscos sejam reduzidos a um nível aceitável

19 Requisitos de segurança e riscos identificados Decisão para tratamento dos riscos tomadas Convêm que controles apropriados sejam selecionados para assegurar que os riscos sejam reduzidos a um nível aceitável a partir dessa norma outro conjuntos de controles novos controles

20 Requisitos de segurança e riscos identificados Decisão para tratamento dos riscos tomadas Convêm que controles apropriados sejam selecionados para assegurar que os riscos sejam reduzidos a um nível Novos controles aceitável podem ser desenvolvidos para atender às necessidades específicas, conforme apropriado. a partir dessa norma outro conjuntos de controles novos controles

21 A seleção de controle depende das decisões da organização base Convêm que esteja sujeito a legislação e regulamentações nacionais e internacionais relevantes Critérios de aceitação de risco Opções de tratamento do risco Enfoque geral da gestão de risco

22 Controles Controles Controles Controles Controles Controles Controles Ponto de vista legal Melhores práticas de segurança da informação usadas

23 Proteção de dados e privacidade de informações pessoais (15.1.4) Convém que a privacidade e proteção de dados sejam asseguradas conforme exigido nas legislações relevantes, regulamentações e, se aplicável, nas cláusulas contratuais. Proteção de registros organizacionais (15.1.3) Convém que registros importantes sejam protegidos contra perda, destruição e falsificação, de acordo com os requisitos regulamentares, estatutários, contratuais e do negócio. Direitos de propriedade intelectual (15.1.2) Convém que procedimentos apropriados sejam implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais no uso de material, em relação aos quais pode haver direitos de propriedade intelectual e sobre o uso de produtos de software proprietários.

24 Documento da política de segurança da informação (5.1.1) Convém que um documento da política de segurança da informação seja aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes. Atribuição de responsabilidades para a segurança da informação (6.1.3) Convém que todas as responsabilidades pela segurança da informação, estejam claramente definidas. Conscientização, educação e treinamento em segurança da informação (8.2.2) Convém que todos os funcionários da organização e, onde pertinente, fornecedores e terceiros recebam treinamento apropriados em conscientização, e atualizações regulares nas políticas e procedimentos organizacionais, relevantes para as suas funções.

25 Processamento correto nas aplicações (12.2) Convém que controles apropriados sejam incorporados no projeto das aplicações, inclusive aquelas desenvolvidas pelos usuários, para assegurar o processamento correto. Convém que esses controles incluam a validação dos dados de entrada, do processamento interno e dos dados de saída. Gestão de vulnerabilidades técnicas (12.6) Convém que a implementação da gestão de vulnerabilidades técnicas seja implementada de forma efetiva, sistemática e de forma repetível com medições de confirmação da efetividade. Convém que estas considerações incluam sistemas operacionais e quaisquer outras aplicações em uso. Gestão de incidentes de segurança da informação e melhorias (13.2) Convém que responsabilidades e procedimentos estejam definidos para o manuseio efetivo de eventos de segurança da informação e fragilidades, uma vez que estes tenham sido notificados. Convém que um processo de melhoria contínua seja aplicado às respostas, monitoramento, avaliação e gestão total de incidentes de segurança da informação. Convém que onde evidências sejam exigidas, estas sejam coletadas para assegurar a conformidade com as exigências legais.

26 Gestão da continuidade do negócio (14) Convém que o processo de gestão da continuidade do negócio seja implementado para minimizar um impacto sobre a organização e recuperar perdas de ativos da informação (que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e ações intencionais) a um nível aceitável através da combinação de ações de prevenção e recuperação. Convém que este processo identifique os processos críticos e integre a gestão da segurança da informação com as exigências da gestão da continuidade do negócio com outros requisitos de continuidade relativo a tais aspectos como operações, funcionários, materiais, transporte e instalações. Convém que as conseqüências de desastres, falhas de segurança, perda de serviços e disponibilidade de serviços estejam sujeitas a uma análise de impacto nos negócios. Convém que os planos de continuidade do negócio sejam desenvolvidos e implementados para assegurar que as operações essenciais sejam recuperadas dentro da requerida escala de tempo. Convém que a segurança da informação seja uma parte integrante do processo global de continuidade de negócios e a gestão de outros processos dentro da organização. Convém que a gestão da continuidade do negócio inclua controles para identificar e reduzir riscos, em complementação ao processo de análise/avaliação de riscos global, limite as conseqüências aos danos do incidente e garanta que as informações requeridas para os processos do negócio estejam prontamente disponíveis.

27 Gestão da continuidade do negócio (14) Convém que o processo de gestão da continuidade do negócio seja implementado para minimizar um impacto sobre a organização e recuperar perdas de ativos da informação (que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e ações intencionais) a um nível aceitável através da combinação de ações de prevenção e recuperação. Convém que este processo identifique os processos críticos e integre a gestão da segurança da informação com as exigências Embora da o enfoque gestão da acima continuidade seja considerado do negócio com um outros bom ponto requisitos de de partida, continuidade relativo ele não a tais substitui aspectos como a seleção operações, de controles, funcionários, baseado materiais, na análise/avaliação transporte e de instalações. riscos. Convém que as conseqüências de desastres, falhas de segurança, perda de serviços e disponibilidade de serviços estejam sujeitas a uma análise de impacto nos negócios. Convém que os planos de continuidade do negócio sejam desenvolvidos e implementados para assegurar que as operações essenciais sejam recuperadas dentro da requerida escala de tempo. Convém que a segurança da informação seja uma parte integrante do processo global de continuidade de negócios e a gestão de outros processos dentro da organização. Convém que a gestão da continuidade do negócio inclua controles para identificar e reduzir riscos, em complementação ao processo de análise/avaliação de riscos global, limite as conseqüências aos danos do incidente e garanta que as informações requeridas para os processos do negócio estejam prontamente disponíveis.

28 a) Uma abordagem e uma estrutura para a implementação, manutenção, monitoramento e melhoria da segurança da informação que seja consistente com a cultura organizacional; b) Comprometimento e apoio visível de todos os níveis gerenciais; c) Um bom entendimento dos requisitos de segurança da informação, da análise/avaliação deriscos e da gestão de risco; d) Divulgação eficiente da segurança da informação para todos os gerentes, funcionários e outras partes envolvidas para se alcançar a conscientização; e) Distribuição de diretrizes e normas sobre a política de segurança da informação para todos os gerentes, funcionários e outras partes envolvidas; f) Provisão de recursos financeiros para as atividades da gestão de segurança da informação; g) Provisão de conscientização, treinamento e educação adequados; h) Estabelecimento de um eficiente processo de gestão de incidentes de segurança da informação; i) Implementação de um sistema de medição, que seja usado para avaliar o desempenho da gestão da segurança da informação e obtenção de sugestões para a melhoria.

29 Nem todos os controles podem ser aplicados. Controles adicionais e recomendações não incluídos podem ser necessários.

30

31 Material não comercial destinado à pesquisa e ensino. Fabiano Rabaneda, Todos os direitos reservados Proibida a reprodução comercial desta obra. ABNT NBR ISO IEC 27002:2005 ABNT, A menos que especificado de outro modo, nenhuma parte da norma pode ser reproduzida ou por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por escrito pela ABNT.