Prof. Sandro Wambier
A segurança da informação é alcançada implementando-se um grupo adequado de controles: Políticas de segurança; Boas práticas; Estruturas organizacionais; Funções de softwares e hardwares.
Depois de identificado o potencial de ataque, as organizações têm que decidir o nível de segurança para uma rede ou sistema, assim como os recursos físicos e lógicos que necessitarão de proteção. No nível de segurança, devem ser quantificados os custos associados aos ataques e os associados à implementação de mecanismos de proteção para minimizar a probabilidade de ocorrência de um ataque.
Uma política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos usuários dos recursos de uma organização. Devem ter implementação realista, e definir claramente as áreas de responsabilidade dos usuários, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização.
Funções das políticas de segurança: implantação de mecanismos de segurança; definir procedimentos de segurança; definir processos de auditoria; estabelecer uma base para procedimentos legais em caso de ataques.
Documentação: O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de implementação dos mecanismos de segurança, pois essa implementação pode variar ao longo do tempo; Deve ser de fácil leitura e compreensão; Deve ser resumido.
Normas: Algumas normas definem aspectos que devem ser levados em consideração ao elaborar políticas de segurança. A ISO começou a publicar a série de normas 27000, em substituição à ISO 17799 (e à BS 7799) A primeira, ISO 27001, foi publicada em 2005.
As organizações podem seguir diferentes modelos de Sistemas de Gestão (SG): ISO 9000 Gestão da Qualidade; ISO 14000 Gestão Ambiental; ISO 27000 Gestão da Segurança. ISO 27001, sistema de gestão orientado para a proteção dos recursos informativos da organização, sendo por isso designado de Sistema de Gestão da Segurança da Informação ou SGSI, a que corresponde em inglês ao acrônimo de ISMS (Information Security Management System).
ISO 27001 Cobre todos os tipos de organizações (empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos, etc). Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. Especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes.
Plan (planejar) (estabelecer o SGSI) Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização. Do (fazer) (implementar e operar o SGSI) Implementar e operar a política, controles, processos e procedimentos do SGSI. Check (checar) (monitorar e analisar criticamente o SGSI) Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção. Act (agir) (manter e melhorar o SGSI) Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.
Quais os requisitos de um SGSI? Um SGSI para ser passível de ser certificado tem de obedecer a um conjunto de requisitos definidos pela norma ISO 27001. Estes requisitos podem ser classificados como obrigatórios e seletivos.
Requisitos obrigatórios Assumindo a ótica de processos, num hipotético SGSI poderão coexistir os seguintes processos: (a) gestão do âmbito, (b) gestão de inventário, (c) gestão do risco, (d) gestão da formação e de ações de sensibilização de segurança, (e) gestão de registros de incidentes e eventos de segurança, (f) auditorias internas, (g) ações preventivas e corretivas. Todos estes processos são suportados pelo: (h) processo planejamento e revisão de segurança (designado como revisão de gestão), (i) processo de definição, aprovação, publicação e comunicação de documentos e registros do SGSI, (j) deverão existir mecanismos de monitoramento contínuo dos vários processos de segurança.
Requisitos obrigatórios Os 10 processos mencionados resultam da aplicação das cláusulas obrigatórias (do capítulo 4 ao 7) da norma ISO/IEC 27001. Esta lista não é fixa e, em organizações específicas, os processos citados podem ser agrupados ou decompostos em outros.
Requisitos seletivos Das 136 medidas de proteção da ISO/IEC 27002 10 medidas são caracterizadas como aplicáveis na maior parte das organizações. Elas são seletivas, porém com grau de aplicabilidade reforçado. As outras 126 medidas são muito específicas a determinados assuntos, sendo a sua escolha de opção de cada organização.
Requisitos do ISO/IEC 27001
ISO 27000 Vocabulário de Gestão da Segurança da Informação; ISO 27001 SGSI - Publicada em Outubro de 2005 e substituiu a norma BS 7799-2; ISO 27002 É um código de boas práticas com um conjunto completo de controles que auxiliam aplicação do SGSI ISO 27004: Defini métricas de medição para a gestão da segurança da informação.mecanismos de mediação e de relatório; ISO 27005: cobre a gestão de riscos segurança da informação. ISO 27017: controles específicos para cloud computing. Ao todo são 45 normas da família ISO 27000!
Japan 4152 Netherlands 24 Belgium 3 UK 573 Saudi Arabia 24 Gibraltar 3 India 546 UAE 19 Lithuania 3 Taiwan 461 Bulgaria 18 Macau 3 China 393 Iran 18 Albania 3 Germany 228 Portugal 18 Bosnia Herzegovina 2 Czech Republic 112 Argentina 17 Cyprus 2 Korea 107 Philippines 16 Ecuador 2 USA 105 Indonesia 15 Jersey 2 Italy 82 Pakistan 15 Kazakhstan 2 Spain 72 Colombia 14 Luxembourg 2 Hungary 71 Russian Federation 14 Macedonia 2 Malaysia 66 Vietnam 14 Malta 2 Poland 61 Iceland 13 Mauritius 2 Thailand 59 Kuwait 11 Ukraine 2 Greece 50 Canada 10 Armenia 1 Ireland Austria 48 42 Norway Sweden 10 Bangladesh 10 Belarus 1 1 Turkey 35 Switzerland 9 Bolivia 1 Turkey 35 Bahrain 8 Denmark 1 France 34 Peru 7 Estonia 1 Hong Kong 32 Chile 5 Kyrgyzstan 1 Australia 30 Egypt 5 Lebanon 1 Singapore 29 Oman 5 Moldova 1 Croatia 27 Qatar 5 New Zealand 1 Slovenia 26 Sri Lanka 5 Sudan 1 Mexico 25 South Africa 5 Uruguay 1 Slovakia 25 Dominican Republic 4 Yemen 1 Brazil 24 Morocco 4 Total 7940
CISM - Certified Information Security Manager CISA - Certified Information Systems Auditor Para se certificar o candidato deve ter: Pelo menos 5 anos de experiência em Segurança da Informação com pelo menos 3 anos ligados a Gestão da Segurança; 80% de sucesso no exame (250 questões de múltipla escolha). Focado em Gerência de Risco; Emitido pelo ISACA (Information Systems Audit and Control Association); Em 2005, o governo norte-americano estabeleceu o CISM como legítimo certificado para Segurança da Informação.
CISSP - Certified Information System Security Professional Primeira certificação profissional a receber esta designação em caráter mundial; Mais de 49.000 profissionais de segurança certificados em mais de 120 países; Para se certificar o candidato deve ter: passar em um exame de conhecimentos específico; aceitar o Código de Ética do ISC2; comprovar um tempo mínimo de experiência na área; ser "apadrinhado" por outro profissional. Emitido pelo (ISC)² - International Information Systems Security Certification Consortium Empresa norte-americana sem fins lucrativos.