Políticas e Normas Para a Segurança Da Informação

Copyright© 2012 por Brasport Livros e Multimídia Ltda. Todos os direitos reservados. reser vados. Nenhuma parte deste livro poderá ser reproduzida, sob qualquer meio, especialmente em fotocópia (xerox), sem a permissão, por escrito, da Editora.

Editor: Sergio Martins de Oliveira Diretora: Rosa Maria Oliveira de Queiroz Gerente de Produção Editorial: Marina dos Anjos Martins de Oliveira Assistente de Produção Editorial: Mell Siciliano Revisão de Texto: Maria Inês Galvão Editoração Eletrônica: Maristela Carneiro – Algo+ Capa: Use Design Produção para ebook: Fábrica de Pixel

Técnica e muita atenção foram empregadas na produção deste livro. Porém, erros de digitação e/ou impressão podem ocorrer. Qualquer dúvida, inclusive de conceito, solicitamos enviar mensagem para editorial@brasport. com.br, para que nossa equipe, juntamente com o autor, possa esclarecer. A Brasport e o(s) autor(es) não assumem qualquer responsabilidade por eventuais danos ou perdas a pessoas ou bens, originados do uso deste livro.

BRASPORT Livros e Multimídia Ltda. site: www.brasport.com.br Rua Pardal Mallet, 23 – Tijuca 20270-280 Rio de Janeiro-RJ Tels. Fax: (21)2568.1415/2568.1507 (21)2568.1415/2568 .1507 e-mails: [email protected] [email protected] [email protected] Filial SP Av. Av. Paulista, 807 – conj. 915 01311-100 São Paulo-SP Tel. Fax (11): 3287.1752 3287 .1752 e-mail: [email protected]

Dedico este livro: A todas as crianças da terra. A todas as pessoas que já foram crianças e que se esqueceram que foram crianças. A todas as pessoas que já foram crianças e que continuam com a pureza das crianças. A todas as crianças que foram sempre crianças porque se encantaram antes de se tornarem adultos. A todas as crianças que, pelos innitos destinos da vida, cresceram mas possuem uma mente inocente de criança. A todos os meus sobrinhos e sobrinhas. A todos os meus sobrinhos-netos e sobrinhas-netas. Ao meu primeiro neto, Mateus.

Eu co com a pureza da resposta das crianças: é a vida! É bonita e é bonita! Viver e não ter a vergonha de ser feliz. Cantar e cantar e cantar a beleza de ser um eterno aprendiz. Canção: O que é o que é?

Luiz Gonzaga do Nascimento Jr – Gonzaguinha (1945, 1991) O homem conará no homem, como o menino cona em outro menino Parágrafo Único do Artigo Quarto – Estatutos do Homem

Thiago de Mello (1926) Deixai vir a mim as criancinhas, porque delas é o Reino dos Céus. Bíblia Sagrada, Evangelho de Mateus, Capítulo 19, Versículo 14

Agradecimentos

A

o nosso bom Deus pelo dom da vida, sem o qual nada disso seria possível, sem o qual não existiria o eterno sopro divino em cada um de nós.

Ao meus alunos e aos colegas prossionais que sempre exigem material sobre segurança da informação e mais especicamente sobre políticas e normas. Às organizações que me conaram a tarefa de elaborar e revisar suas políticas de segurança da informação. A abordagem prática deste livro é fruto desta experiência, exigindo que cada organização receba o seu regulamento especíco. Ao Centro Paula Souza do Governo do Estado de São Paulo, pela oportunidade do Mestrado em Tecnologia e pelo seu objetivo de aproximar a academia das organizações. Ao Prof. Napoleão Galegale pela sua orientação, sua sabedoria e seu compartilhamento de conhecimento para a minha Dissertação de Mestrado em Tecnologia, documento que embasa a parte teórica deste livro. À Prof a Dra. Marília Macorin de Azevedo e ao Prof. Dr. Pedro Luiz Cortez, pelo crivo acadêmico durante a qualicação e defesa da Dissertação de Mestrado. À minha esposa e namorada, Fatima Fontes, que me acompanha no desenvolvimento dos meus textos.

VIII

Políticas e Normas para a Segurança da Informação

Ao meu Editor Sergio Oliveira pela conança de sempre e também a todos da Editora Brasport que contribuíram para a elaboração deste livro. Aos anjos do Hospital do Coração/SP, na gura do Dr. Saverio Angrisani Neto, que me deixaram mais forte para a caminhada da vida. Às entidades prossionais ABSEG, ISACA, ISSA, ASIS e InfoSec Council que sempre apoiam as minhas atividades prossionais em segurança da informação.

Sobre o Autor

EDISON LUIZ GONÇALVES FONTES FONTES é prossional de segurança e proteção da informação na organização e dedica-se a este assunto desde 1989. Possui Mestrado em Tecnologia pelo Centro Paula Souza do Governo do Estado de São Paulo, Especialização pelo Mestrado de Ciência da Computação UFPE, pósgraduação em Gestão Empresarial pela FIA-USP e Bacharelado em Informática UFPE. Possui as certicações internacionais: CISA (Certied Information Systems Auditor), CISM (Certied Information Security Manager) e CRISC (Certied in Risk and Information System Control) pela Control) pela ISACA (Information (Information System Audit and Control Association / USA). Natural de Recife, PE, é professor de MBAs da FIAP, professor convidado do MBA Tecnologia Tecnologia da Informação da FIA-USP e Revisor “ad hoc” da da RAUSP – Revista de Administração da USP. Atuou como Coordenador de Segurança da Informação no Banco BANORTE e posteriormente fez trabalhos de consultoria em diversas organizações. Foi Gerente na área de GRMS (Global Risk Management Solutions) da PricewaterhouseCoopers e posteriormente exerceu a função de Security Ofcer and Software Quality Assurance Manager da GTECH Brasil. Foi Gerente Sênior da Prática da Segurança da Informação da CPM Braxis. Seu trabalho de políticas de segurança da informação desenvolvido para o NOSI (Núcleo Operacional para a Sociedade da Informação do Governo da

X


República de Cabo Verde) foi base para o Decreto Lei 19/2010, aprovado pelo Conselho de Ministros, promulgado pelo Presidente da República e referendado pelo Primeiro Ministro. O referido decreto estabelece as políticas, normas e regras de segurança da informação para Rede Tecnológica Privativa do Estado (RTPE). Sua experiência em desenvolvimento e revisão de políticas e normas de segurança da informação supera cinco centenas de documentos nas mais diversas organizações. É autor dos livros “Vivendo a segurança da informação”, Editora Sicurezza, 2000 e “Segurança da informação: o usuário faz a diferença!”, Editora Saraiva, 2006, “Praticando a segurança da informação”, informação”, Editora Brasport, Braspor t, 2008, “Clicando com segurança”, Editora Brasport, 2011. É coautor dos livros “Banco Eletrônico”, Eletrônico”, PricewaterhouseCoopers, 2001, “Porque GESITI – Segurança, Inovação e Tecnologia”, CENPRA/MCT, Editora Komedi, 2007 e Innovations and Advanced Techniques in Computer and Information Sciences and Engineering, Editora Springer Netherlands, 2008. Foi premiado pela apresentação de trabalhos nas Conferências 12 e 13 da GUIDE LATIN AMERICA e em Congresso Nacional da SUCESU. Foi eleito, através de voto da comunidade de prossionais e usuários, Prossional do Ano em Segurança da Informação, recebendo o Prêmio SECMASTER 2003 promovido pela ISSA (Information Systems Security Association) Capítulo São Paulo e VIAFORUM. Em 1978 recebeu o Prêmio Universitário Banorte. É sócio-fundador do Capítulo São Paulo da ISACA e sócio-fundador da ABSEGAssociação Brasileira de Prossionais de Segurança. Participa do InfoSec Council, grupo de prossionais de segurança, sendo coautor das duas publicações deste grupo. É colunista da Information Week Brasil. Atualmente é sócio da Núcleo Consultoria em Segurança.

Apresentação

T

enho experiência prossional em elaboração, revisão e implantação de políticas, normas e procedimentos nas mais diversas organizações, seja como Gestor de Segurança da Informação ou como Consultor. Consultor. Em função desta experiência fui convidado para ser o Professor da disciplina de Políticas e Normas no MBA de Gestão da Segurança da Informação da FIAP. FIAP. Esta disciplina exigiu a estruturação do assunto para ser levado a estes alunos de pós-graduação.

Por estar envolvido neste tema de regulamentos, decidi desenvolver meu trabalho de pesquisa e dissertação de Mestrado em Tecnologia Tecnologia abordando o tema “Política de segurança da informação: uma contribuição para o estabelecimento e stabelecimento de um padrão mínimo”. Este livro é fruto destas três frentes de trabalho e tem por objetivo facilitar o desenvolvimento, a implantação e a manutenção de políticas e normas de segurança da informação. Ele apresenta os aspectos teóricos que precisam ser considerados pelos prossionais envolvidos no desenvolvimento de regulamentos de segurança e também apresenta uma parte prática onde foram disponibilizados trinta exemplos reais de políticas, normas e documentos complementares. São exemplos que podem ser tomados como base na construção dos regulamentos de segurança da informação. Utilize estes exemplos como uma referência. Quero dizer: dizer : utilize estes exemplos como uma trilha e não como um trilho. Sei que meu DNA de escritor, após algumas centenas de documentos, está presente em todos os trabalhos que desenvolvo. Alguns leitores poderão identicar trechos parecidos em regulamentos desenvolvidos para suas organizações. Mas em nenhum caso o exemplo apresentado neste livro é cópia

XII


exata de trabalhos nalizados. Este meu DNA de escrita é uma marca que estará em todos os documentos que desenvolvo. A utilização deste livro pode acontecer pelos alunos e professores nos cursos de pós-graduação e de graduação, MBAs e nas organizações pelos prossionais de segurança da informação, pelos auditores, prossionais de controle, prossionais de gestão de risco e demais prossionais interessados no tema segurança da informação. Sua leitura pode ser sequencial, acompanhando a lógica dos capítulos, ou pode ser direta para os capítulos e anexos que mais despertem interesse do leitor. Este livro supre uma lacuna de literatura neste assunto com esta abordagem prática e teórica. Ele foi feito pensando em ser proveitoso para os envolvidos com a segurança da informação. Um grande abraço, Edison Fontes, CISM, CISA, CRISC [email protected]

Prefácio

S

into-me bastante graticado em fazer este prefácio, atendendo a um gentil convite que me foi feito pelo autor, Prof. Edison Fontes. Tive oportunidade de conhecer e conviver com o Edison no período em que estava desenvolvendo estudos e pesquisas para obter seu título de Mestre em Tecnologia no Centro Estadual de Educação Tecnológica Paula Souza – CEETEPS, mantido pelo Governo do Estado de São Paulo. Na ocasião, o Edison já possuía grande experiência prossional na área de segurança da informação e quei muito animado com o seu projeto de pesquisa, tornando-me seu orientador na elaboração e defesa de sua dissertação, a qual, de certa forma, está relacionada com o tema central deste livro. Confesso que o livro me surpreendeu positivamente quanto à abrangência do conteúdo e a didática de como é apresentado, estendendo e complementando a pesquisa original. A segurança da informação faz parte da pauta dos temas de maior importância a serem tratados pelas organizações, bem como das pesquisas acadêmicas, com vistas a preservar o principal ativo da nossa sociedade: a informação. O autor apresenta de forma encadeada, a partir do conceito de informação, o seu processo de segurança e a necessidade de uma política especíca para tanto, propondo e discutindo estruturas para tais políticas e nalizando com diversos exemplos práticos abordando os três níveis de direcionamento de atividades para implementação da segurança da informação: políticas, normas e procedimentos, exemplos estes, com certeza, frutos de sua experiência prática como consultor de empresas.

XIV


Um ponto importante que gostaria de destacar no livro é a análise da segurança da informação realizada pelo autor, em relação às principais estruturas de referência para gestão da Tecnologia da Informação, tidas como representativas das melhores práticas do mercado tais como as normas ISO, o COBIT e o ITIL. Tenho certeza de que os leitores encontrarão neste livro o conhecimento necessário para auxiliá-lo a entender, elaborar e/ou avaliar políticas e normas para a segurança da informação.

Prof. Dr. Napoleão Verardi Galegale PUC-SP / CEETEPS

Sumário

Capítulo 1. A Informação............................................................................................. 1 Capítulo 2. O Processo de Segurança da Informação .......................................... 7 Capítulo 3. A Necessidade da Política e de Outros Regulamentos.................12 Capítulo 4. A Política de Segurança da Informação e a Gestão de Riscos ....17 Capítulo 5. A Política de Segurança da Informação e a Norma NBR ISO/IEC 27002...................................................................23 Capítulo 6. A Política de Segurança da Informação e a Norma NBR ISO/IEC 27001 .................................................................34 Capítulo 7. A Política de Segurança da Informação e a Norma NBR ISO/IEC 27005 .................................................................43 Capítulo 8. A Política de Segurança da Informação e o COBIT ..................... 52 8.1 – O COBIT..................................................................................................................................... 52 8.2 – Os domínios do COBIT........................................................................................................ 55 8.3 – Domínios do COBIT e os processos de TI.................................................................... 57 8.4 – Processo de TI – DS5 Garantir a Segurança dos Sistemas .................................... 59

XVI


8.5 – COBIT e a política de segurança da informação ....................................................... 63

Capítulo 9. A Política de Segurança da Informação e o ITIL............................64 9.1 – Estrutura do ITIL .................................................................................................................. 64 9.2 – ITIL e a política de segurança da informação ......................................................... 67

Capítulo 10. A Política de Segurança da Informação e a Governança ..........70 10.1 – Governança corporativa ................................................................................................... 70 10.2 – Governança de segurança da informação ................................................................ 71 10. 3 – A participação da direção e das áreas de negócio na governança da segurança da informação ................................................................................................ 76

Capítulo 11. Arquitetura para Políticas e Normas de Segurança da Informação .............................................................................. ..............77 Capítulo 12. Escrevendo Políticas e Normas de Segurança da Informação .............................................................82 12.1 – O processo de criação de regulamentos................................................................... 82 12.2 – Motivações para a existência da política de segurança da informação ........82 12.3 – O projeto de política de segurança da informação............................................... 84 12.4 – Alinhamento aos objetivos da organização, objetivos do negócio.............88 12.5 – Desenvolvendo a política e normas de segurança da informação ..............90 12.6 – Premissas para uma existência verdadeira de políticas e normas ................... 92 12.7 – Desenvolvendo políticas e normas de segurança da informação ................... 93 12.8 – Escrevendo o texto do documento.............................................................................. 97 12.9 – A denição dos controles a serem considerados.................................................101

Capítulo 13. Exemplos de Políticas, Normas e Procedimentos ......................103 13.1 – Nível 1: Políticas, Diretrizes ...................................................................................105 Exemplo 1. Política de segurança e proteção da informação......................................105 Exemplo 2. Política de segurança da informação .............................................................110

Sumário XVII

Exemplo 3. Política de segurança da informação ...........................................................111 Exemplo 4. Política de segurança da informação (Prestador)....................................113 Exemplo 5. Política de segurança e proteção da informação....................................120

13.2 – Nível 2 políticas, normas .....................................................................................125 Exemplo 6. Uso de correio eletrônico..................................................................................126 Exemplo 7. Utilização do ambiente internet pelo usuário...........................................132 Exemplo 8. Classicação da informação ...........................................................................136 Exemplo 9. Acesso à informação ...........................................................................................147 Exemplo 10. Respeito à privacidade do usuário . .......................................152 Exemplo 11. Uso de recurso computacional .......................................................................157 Exemplo 12. Continuidade operacional ............................................................ 160 Exemplo 13. Cópias de segurança da informação ............................................................162 Exemplo 14. Validação de cópias de segurança-gestor da informação .......................................................................................................168 Exemplo 15. Desenvolvimento e manutenção de sistemas...........................169 Exemplo 16. Conscientização e treinamento de usuário em segurança da informação .........................................................................172 Exemplo 17. Programas produto de tecnologia da informação..................................174 Exemplo 18. Acesso à informação no ambiente convencional ....................................176

13.3 – Nível 3 e demais níveis: normas, procedimentos .........................................180 Exemplo 19. Acesso lógico ao ambiente de produção pelo pessoal de desenvolvimento e manutenção de sistemas...........................................180 Exemplo 20. Utilização de senha para o acesso lógico ...................................................184 Exemplo 21. Acesso remoto pelo usuário ............................................................................188 Exemplo 22. Registro de incidentes .................................................................. 190 Exemplo 23. Registro de ocorrência em segurança da informação ...........................192 Exemplo 24. Cadastro de gestores da informação ...........................................................193

XVIII


Exemplo 25. Documentos em papel – lixo, destruição e reciclagem.........................195 Exemplo 26. Usuário da informação.......................................................................................198 Exemplo 27. Termo de responsabilidade para uso da informação.............................202 Exemplo 28. Termo de responsabilidade do usuário .......................................................204

13.4 – Glossário...............................................................................................................................205 Exemplo 29. Termos utilizados nos documentos de

segurança da informação ..........................................................................205 13.5 – Planejamento ............................................................................................213 Exemplo 30. Planejamento da gestão da segurança da informação.........................214

Anexo 1. Controles da NBR ISO/IEC 27002.........................................................222 Anexo 2. Padrão mínimo de política de segurança da informação ..............248 Anexo 3. Alinhamento da política de segurança da informação com os gestores da organização .........................................................................255 Bibliografa ................................................................................................................ 263

Capítulo1. A Informação

D

esde o início da vida a informação é um elemento fundamental para a sobrevivência dos seres de todas as espécies e mais especialmente para a raça humana. A informação permitiu descobertas como o fogo, a roda e tantas outras que são consideradas comuns nos dias de hoje. A informação é parte das nossas vidas. Chegamos até aqui porque a informação foi compartilhada de geração para geração. Considerando o ambiente corporativo, a informação é um recurso essencial para toda organização, independentemente do seu porte e do seu segmento de atuação no mercado. É utilizando a informação que processos organizacionais funcionam, as pessoas podem realizar as suas atividades prossionais, a geração de conhecimento acontece e o compartilhamento desse conhecimento é realizado. Enm, a informação possibilita que a organização atinja os seus objetivos. Silva e Tomaél (2007) consideram que a organização, pública ou privada, depende da informação para seus processos decisórios, não pode funcionar sem uma quantidade signicativa de informação e o seu conhecimento acontece pela utilização do recurso informação. Sem a informação não existe conhecimento, compartilhamento de conhecimento e crescimento corporativo. A informação possibilita que a organização tenha mais chances no mercado competitivo onde atua. Ter a informação correta e disponível no momento certo, se bem utilizado, pode ser uma vantagem competitiva da organização. A existência e a continuidade da organização não acontecem apenas pelos fatores de produção e de mercado. A informação é um fator estrutural para o sucesso e a continuidade da organização. A informação possibilita a execução das atividades operacionais, mas, antes de tudo, é um recurso crítico para a denição da estratégia da organização.

2


Nenhuma organização pode estabelecer sua estratégia sem utilizar o recurso informação. O monitoramento das ações que buscam atender aos objetivos estabelecidos somente acontece porque existe informação que será utilizada por todos os níveis hierárquicos da organização. Isto signica que sem informação a organização não sobrevive, independentemente do seu porte e do seu segmento de mercado. O que diferencia o uso da informação entre as organizações é a necessidade de disponibilidade, a exigência de integridade e o rigor em relação ao sigilo que cada organização precisa para a sua informação. O grau de disponibilidade, integridade e condencialidade (sigilo) protegerá a informação para que a organização operacionalize os seus negócios e atenda aos seus objetivos. Os modernos recursos da tecnologia da informação possibilitam à organização tratar de maneira segura uma maior quantidade de informação, utilizar mais rapidamente a informação, disponibilizar esta informação para um maior número de pessoas, permitir que este acesso seja feito com grande mobilidade e possibilitar o uso da informação a qualquer momento. Este fato acarreta grandes possibilidades da organização disponibilizar produtos e serviços nunca antes imaginados, porém exige uma proteção rigorosa da informação. Informações que antes estavam escritas em um relatório e poderiam ser protegidas quando guardadas em uma gaveta com chave hoje estão no ambiente de tecnologia e podem car disponíveis pela Internet para milhões de usuários em todo o mundo. Uma pequena falha ou uma ação criminosa pode disponibilizar informações condenciais ou bloquear o acesso a informações críticas para a realização dos objetivos da organização. O poder da informação pode levar a organização aos píncaros do sucesso, como pode colocar a organização em uma situação de fracasso em função de impactos nanceiros, impactos operacionais ou impactos de imagem ocasionados por falhas, erros ou fraudes no uso da informação. A informação também é importante para a sociedade. A Unesco considera o acesso à informação um direito da sociedade e desenvolve ações para que este direito seja disponibilizado pelo Programa Informação para Todos, que é uma junção de duas iniciativas: Programa Geral de Informação (PGI) e Programa Intergovernamental de Informática (IIP). O Programa de Informação para Todos, desenvolve ações para o conteúdo da sociedade da informação e para a existência da infoestrutura para esta sociedade em evolução, realizando treinamentos e atividades para apoiar o estabelecimento de políticas de informação e de promoção de conexão de redes.

A Informação

3

Werthein (2000, p. 7) explica bem a importância que a Unesco considera para a informação quando indica que “No espírito da Declaração Universal dos Direitos do Homem que constitui a base dos direitos à informação na sociedade da informação, e levando em consideração os valores e a visão delineados anteriormente, o Programa Informação para Todos deverá prover uma plataforma para a discussão global sobre acesso à informação, participação de todos na sociedade da informação global e as consequências éticas, legais e societárias do uso das tecnologias de informação e comunicação. Deverá prover também a estrutura para colaboração internacional e parcerias nessas áreas e apoiar o desenvolvimento de ferramentas comuns, métodos e estratégias para a construção de uma sociedade de informação global e justa.” A informação possibilita o conhecimento da organização. Este conhecimento é a base para a geração de valor nas corporações. Segundo Domeneghetti e Meier (2009), a informação é a matéria-prima para o conhecimento estruturado nas organizações. Eles consideram que “A globalização da economia, impulsionada pela Tecnologia da Informação e pela malha intermitente, multiformato e multicanal das comunicações, é uma realidade da qual não se pode escapar. A informação tornou-se a fonte de aproximadamente três quartos do valor agregado nas indústrias. É neste contexto que o Conhecimento, ou melhor, que a Gestão do Conhecimento e a Inteligência Competitiva se transformam em valiosos recursos estratégicos para a vida das pessoas e das empresas.” (Domeneghetti e Meir, 2009, p. 176). Assis (2006) considera a informação um dos insumos importantes para o desenvolvimento empresarial quando disponibilizada com rapidez e precisão, reetindo o contexto atual do mercado e da economia mundial. Para Laureano e Moraes (2005) a informação é substrato da inteligência competitiva e deve ser administrada em seus particulares, diferenciada e salvaguardada. Freitas e Kladis (1995) defendem que a informação na sociedade é um bem de extrema importância, sendo um dos fatores responsáveis pela sobrevivência das organizações e, quando bem gerenciado, um forte fator de vantagem competitiva. E considerando a informação e a tecnologia da informação, Ikenaga (2008, p. 2) arma que “As empresas estão cada vez mais dependentes de seus sistemas de informação e dos recursos de tecnologia da informação.” A informação é a fonte do conhecimento. O conhecimento não existirá se não houver uma origem de informação que possibilita a estruturação desse conhecimento (Sales e Almeida, 2007).

4


O homem depende da informação para o seu crescimento como pessoa e como sociedade. A informação transformada em conhecimento é reconhecida como um elemento crítico para o desenvolvimento e crescimento da organização, como bem demonstra a resposta de um gerente em uma pesquisa sobre a proteção do conhecimento: “O conhecimento foi um dos fatores críticos que mais contribuiu para que a empresa chegasse aonde chegou e com as perspectivas futuras que possui” (Lobo e Jamil, 2008, p. 104). Sendo a informação um recurso essencial para a realização dos negócios da organização, a ABNT (2005) normatiza que esta informação precisa ser protegida adequadamente de maneira a garantir a sua condencialidade, integridade e disponibilidade. O não atendimento a estes requisitos (condencialidade, integridade e disponibilidade), ou a um deles, acarreta impactos negativos para a organização. Uma pesquisa realizada pela Universidade do Texas indicou que 93% das organizações que tiveram indisponibilidade de informação por mais de dez dias em função de desastre nos recursos de TI, chegaram à falência um ano depois (Brotby, 2009). Em termos de impactos nanceiros e perda de clientes, Brotby (2009) complementa: “Uma análise detalhada realizada pela PGP Corporation em conjunto com a Vontu Company, identicou que 31 companhias que sofreram violações de informação em um período de doze meses tiveram uma perda média de US$ 4,8 milhões, além do que 19% dos clientes deixaram de se relacionar com a companhia e outros 40% dos clientes consideravam a possibilidade de deixar de serem clientes” (Brotby, 2009, p. 14). Brotby (2009) continua exemplicando o impacto direto da segurança da informação quando cita um estudo da Aberdeen Group que considerou empresas de vários tamanhos, porém todas elas com faturamento anual maior que US$ 500 milhões. “Firmas que operaram com excelência (Best-in-class) em segurança possuem nível de perdas nanceiras a menos de um por cento, enquanto as demais organizações têm experimentado perdas que superam cinco por cento” (Brotby, 2009, p. 9). Segundo Pereira e Nascimento (2005), erros e ações de má-fé em relação à informação acarretam mais do que prejuízos às organizações e afetam a sociedade. As organizações precisam implantar um processo de segurança da informação, e este processo deve ser considerado um ativo da organização, como tantos outros. Domeneghetti e Meir (2009) consideram a segurança da informação um

A Informação

5

dos ativos intangíveis de proteção de valor. Na opinião destes autores, os bens ou ativos de uma organização podem ser classicados como bens tangíveis e bens intangíveis. Os bens tangíveis são os bens físicos ou bens nanceiros. Os bens intangíveis podem ser divididos em intangíveis que geram valor e intangíveis que protegem valor. Como intangíveis que geram valor eles citam as Marcas, a Inovação e o Capital Intelectual. Como ativos intangíveis de proteção de valor são considerados a Segurança da Informação, a Gestão de Riscos e a Governança Corporativa. Estes ativos intangíveis de proteção de valor devem proteger os ativos intangíveis de geração de valor e os ativos tangíveis. Para exemplicar que os bens intangíveis possuem valor, Domeneghetti e Meir (2009) citam três casos reais. O primeiro indica que “Em 1996, especialmente emblemático, a IBM possuía US$ 19 bilhões de bens móveis, fábricas e equipamentos. A Microsoft somava US$ 30 milhões, mas seu valor de venda, traduzido pelos papéis negociados na Bolsa, superava em muito a oponente. Havia algo muito mais valioso do que ativos físicos ou nanceiros” (Domeneghetti e Meir, 2009, p. 2). O segundo acontece “Quando a Philip Morris incorporou a Kraft por US$ 10 bilhões, esta última tinha um patrimônio contabilizado de pouco mais de US$ 1 bilhão. A diferença entre os valores contábeis e os valores de aquisição da empresa pode ser atribuída a ativos intangíveis” (Domeneghetti e Meir, 2009, p. 2). Por último cita que, segundo a Economática, “a Nike vale quase quatro vezes o seu balanço contábil. A diferença são os bens intangíveis” (Domeneghetti e Meir, 2009, p. 14). A informação é um bem para organização e necessita ser adequadamente protegida pela utilização de um processo de segurança da informação. Para implantar e manter um processo de segurança da informação a Norma NBR ISO/ IEC 27002:2005 – Tecnologia da Informação – Código de prática para a gestão da segurança da informação – orienta que “Convém que a direção estabeleça uma clara orientação da política, alinhada com os objetivos de negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização” (ABNT, 2005, p. 8). Os gestores da organização têm a responsabilidade pelo bom funcionamento da organização e para tanto devem garantir a existência e a continuidade do processo de segurança da informação. Portanto, é estrutural que seja desenvolvida e implantada uma política de segurança da informação para que

6


todas as ações de proteção dos recursos de informação sejam bem direcionadas e adequadas à organização. Esta política e demais regulamentos devem ser publicados e comunicados a todos os seus usuários. A segurança da informação é um processo da organização e deve considerar a informação tanto no ambiente convencional quanto no ambiente de tecnologia. Muitas vezes as organizações (ou os prossionais que conduzem o processo de segurança da informação) são direcionadas para contemplar apenas as informações que estão no ambiente computacional. Evidentemente este ambiente possui uma grande quantidade de informações, e, dependendo do tipo de negócio e do grau de sosticação de uso da tecnologia, a maioria das informações está neste ambiente. Porém, o ambiente convencional, quando do uso de papel e o ambiente pessoal com as informações nas mentes dos indivíduos, precisa ser considerado no processo de segurança da informação. Mesmo considerando que a maior parte das informações de uma organização especíca está no ambiente de tecnologia, a utilização da informação acontece pelas pessoas. E as pessoas estão no ambiente convencional. A segurança da informação acontece pelas pessoas e é um processo corporativo.

Capítulo 2. O Processo de Segurança da Informação

P

ara a existência do processo de segurança da informação na organização é fundamental a existência de política e dos demais regulamentos de proteção da informação. A política denirá as diretrizes, os limites e o direcionamento que a organização deseja para os controles que serão implantados na sua proteção da informação (ABNT, 2005; Vianez, Segobia e Camargo, 2008). Por força da legislação, as organizações do segmento nanceiro e as grandes corporações que possuem ações em Bolsas de Valores em alguns países, como nos Estados Unidos por causa da Lei Sarbanes-Oxley, já foram obrigadas a elaborar suas políticas de segurança da informação. Outras organizações, por decidirem seguir a estrutura da Governança Corporativa, inclusive no Brasil, também se viram obrigadas a desenvolver e implantar políticas de segurança da informação. Muitas dessas organizações já possuem políticas de segurança há alguns anos e já zeram revisões e ajustes práticos para estes regulamentos. No entanto, existem outras organizações que não se enquadram nestes casos e que começam a ser pressionadas para protegerem a sua informação de uma maneira mais formal e estruturada. Este fato acontece porque estas organizações prestam serviços para organizações maiores que estão obrigadas a possuírem uma estrutura de segurança da informação. Estas organizações maiores entendem que seus fornecedores, que são elementos da sua cadeia de realização do negócio, devem ter o mesmo grau e estrutura de segurança da informação que elas possuem.

8


Em outros casos, a conscientização do empresário e a atitude madura dos acionistas, desejando a sustentabilidade do negócio, têm exigido que a organização funcione de maneira bem estruturada, utilize as melhores práticas e possua os controles organizacionais adequados para a segurança da informação. O processo de segurança da informação existe para possibilitar que a organização utilize de maneira conável os recursos que suportam as informações necessárias para as suas atividades estratégicas, táticas e operacionais. Quando se fala de segurança da informação estamos indicando a proteção dos recursos de informação. Thomas Peltier (2004) indica que a Segurança da informação direciona e suporta a organização para a proteção de seus recursos de informação contra divulgação indevida, seja ela intencional ou não intencional, modicação não autorizada, destruição não desejada, ou negação de serviço através da implantação de controles de segurança denidos em políticas e procedimentos. A segurança da informação deve estar ligada diretamente aos objetivos de negócio. A segurança da informação não deve existir para ela mesma; o processo de segurança da informação por si só não tem valor; a segurança da informação deve existir para atender à organização e aos seus objetivos de negócio. Peltier (2004) reforça indicando que, para garantir que os objetivos de negócio sejam alcançados no tempo previsto e de uma maneira eciente, padrões e políticas ecazes devem existir na organização. E complementa ao indicar que a criação de políticas, padrões e procedimentos deve ser benéca para a organização. Nenhuma política deve ser criada para garantir que a organização esteja em conformidade com os requerimentos de auditoria. Políticas, padrões e procedimentos são criados para garantir que a organização atenda aos requisitos legais e às obrigações contratuais para com seus clientes, acionistas, funcionários e demais colaboradores. Desta maneira as regras e os controles de segurança da informação não são criados para atender a própria segurança. Eles são implantados para proteger os recursos de informação que são utilizados estratégica e operacionalmente para o funcionamento da organização e para o atendimento dos objetivos da organização. Esta proteção se faz necessária para qualquer tipo de organização. A NBR ISO/IEC 27002:2005 indica explicitamente que o processo de segurança da informação é importante tanto para o setor público quanto para o setor privado:

O Processo de Segurança da Informação

9

A segurança da informação é importante para os negócios, tanto do setor público como do setor privado, e para proteger as infraestruturas críticas. Em ambos os setores, a função da segurança da informação é viabilizar os negócios como o governo eletrônico (e-gov) ou o comércio eletrônico (e-business), e evitar ou reduzir os riscos relevantes (ABNT, 2005, p. X).

A existência do processo de segurança da informação é de responsabilidade da direção executiva da organização quando da sua denição de Governança Corporativa. A direção, representação executiva dos acionistas da organização, dene qual o grau de exigência que deseja para que a informação seja adequadamente protegida. O processo de segurança da informação somente terá sucesso se a sua implantação for uma decisão estratégica da organização e consequentemente a direção apoie explicitamente o desenvolvimento, a implantação e a manutenção deste processo de proteção da informação. A NBR ISO/IEC 27001 provê um modelo para estabelecer, implantar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI) conforme as necessidades da organização. Neste modelo é considerado o gerenciamento de riscos. A NBR ISO/IEC 27001 especica: A abordagem de processo para a gestão da segurança da informação apresentada nesta Norma encoraja que os seus usuários enfatizem a importância de: a) entendimento dos requisitos de segurança da informação de uma organização e da necessidade de estabelecer uma política e objetivos para a segurança da informação; b) implementação e operação de controles para gerenciar os riscos de segurança da informação de uma organização no contexto dos riscos de negócio globais da organização; c) monitoração e análise crítica do desempenho e ecácia do SGSI; d) melhoria contínua baseada em medições objetivas (ABNT, 2006, p. V).

10


Para a implantação desta gestão da segurança da informação, a norma adota uma abordagem de processo utilizando o modelo conhecido como PDCA (PlanDo-Check-Act). A primeira etapa é de Planejamento (P-Plan) e acontece no início do ciclo PDCA. Nesta etapa deve-se: Estabelecer a política, os objetivos, os processos e os procedimentos do SGSI relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização (ABNT, 2006, p. VI). Nesta etapa de planejamento são enfatizados dois elementos para gestão da segurança da informação: a política e a gestão de riscos. A orientação para o desenvolvimento da política encontra-se na ABNT NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação e a orientação para a gestão de risco em segurança da informação encontra-se na ABNT NBR ISO/IEC 27005 – Tecnologia da informação – Técnicas de segurança – Gestão de riscos. Após a denição de que haverá o processo de segurança da informação existe a necessidade de fazer a gestão deste processo. A Norma NBR ISO/IEC 27001 dene esta gestão como o SGSI (Sistema de Gestão de Segurança da Informação) que deve ser desenvolvido de maneira escalonada e deve seguir o Modelo PDCA (Plan-Do-Check-Act) que permitirá o planejamento, a operação, a avaliação e a melhoria contínua da segurança da informação. Neste modelo a política de segurança da informação e os demais regulamentos são desenvolvidos na etapa de planejamento (P-Plan). Considerando o tamanho da organização, seu tipo de negócio e seus objetivos de negócio, o funcionamento do processo de segurança pode ter o funcionamento de comitês permanentes com representantes das diversas áreas da organização ou pode ter a própria direção da organização como validadora das ações planejadas em segurança da informação. O Gestor da Segurança da Informação deve garantir que o processo de proteção da informação seja desenvolvido e funcione de maneira organizada, seguindo as normas e os regulamentos e deve alinhar com a direção da organização se as prioridades das ações de segurança estão de acordo com o planejamento estratégico da organização.

O Processo de Segurança da Informação

11

O processo de segurança da informação da organização deve ser bem gerenciado (Gestão da Segurança da Informação) e deve estar totalmente coerente com as prioridades da organização (Governança da Segurança da Informação e Governança Corporativa). A estrutura organizacional que deve suportar o processo de segurança da informação deve ser coerente com as características da organização, como tamanho, tipo de negócio, objetivos e momento de vida da organização. Mas, sejam quais forem as suas características, cada organização tem condições de desenvolver, implantar e manter um processo de segurança da informação. O posicionamento da Área de Gestão da Segurança da Informação deve acontecer de maneira que o Gestor de Segurança da Informação tenha a independência necessária e o poder adequado para desenvolver, implantar e manter o processo de segurança da informação. Um processo de segurança da informação abrange muitas áreas da organização, tem contato e exige mudanças de poder em relação ao acesso à informação, intervém na cultura organizacional, cria novas responsabilidades para gestores, executivos e usuários de uma maneira geral. Desta maneira, o Gestor de Segurança da Informação deve ter um nível hierárquico adequado com o grau de dependência que a organização possui em relação à informação. Porém, este mesmo Gestor deverá buscar denir junto com a organização, por meio dos seus executivos e gestores, qual a rigidez que os controles de proteção da informação deverão ter. Fazendo isso, o Gestor de Segurança estará atuando com sabedoria e prossionalismo. Quanto mais independência, autonomia e autoridade tiver o Gestor da Segurança da Informação, mais chances de sucesso o processo de proteção da informação terá. Ter autoridade e autonomia não signica que a Área de Segurança da Informação e seus regulamentos estarão isentos de controles. Como qualquer área signicativa para a organização, a Área de Segurança da Informação também precisa ser auditada e controlada para garantir que está desenvolvendo suas atividades coerentes com a sua missão e sua responsabilidade.

Capítulo 3. A Necessidade da Política e de Outros Regulamentos

É

estrutural que a organização tenha uma política de segurança da informação para que o processo de proteção da informação possa ser elaborado, implantado e mantido. Esta política (ou conjunto de políticas) denirá as diretrizes, os limites e o direcionamento que a organização deseja para os controles que serão implantados na proteção da sua informação. A necessidade da existência de políticas para a existência do processo de segurança da informação é descrita na NBR ISO/IEC 27002: A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos (ABNT, 2005, p. X).

Porém, muitas organizações possuem diculdade para o desenvolvimento de políticas de normas de segurança da informação. Albertin e Pinochet (2010) descrevem o levantamento realizado em cinco unidades hospitalares no Estado de São Paulo, onde, em todas elas, de uma maneira direta ou indireta, os gestores declaram a importância da segurança da informação, porém nenhuma delas possui uma política adequada para a segurança da informação.

A Necessidade da Política e de Outros Regulamentos

13

Quando muito, possuem algumas regras de controle de acesso ao ambiente computacional. Algumas das proposições geradas a partir de depoimentos dos gestores desses hospitais demonstram a diculdade que estas organizações têm para gerar uma política de segurança da informação. No seu livro os autores citam situações em que: O hospital possui deciência em desenvolver uma política de segurança da informação (Albertin e Pinochet, 2010, p. 275). Os gestores na sua maioria consideram que falta conhecimento de como mapear as necessidades para se desenvolver uma política de segurança da informação formal (Albertin e Pinochet, 2010, p. 275). O hospital possui claras deciências em desenvolver uma política de segurança da informação devido à falta de orientação da Secretaria (de Estado) e do conselho de saúde (Albertin e Pinochet, 2010, p. 275).

Uma grande quantidade das organizações que atuam no Brasil precisa denir seu conjunto de regulamentos de segurança da informação pelo fato de serem fornecedoras, ou desejarem ser fornecedoras de organizações que estão submetidas a regulamentos que exigem um processo de segurança estruturado e que agora estão exigindo esta mesma proteção das organizações que fazem parte da sua cadeia de valor. Outras organizações estão implantando Governança Corporativa, que por sua vez exige a existência da Governança de Segurança da Informação e consequentemente, será necessária a existência da política de segurança da informação nesta organização e nas outras organizações que participam da sua cadeia de valor. Em breve, todas as organizações precisarão denir e implantar políticas e normas de segurança da informação. A segurança da informação abrange mais que o ambiente da tecnologia da informação, porém este ambiente de tecnologia, cada vez mais, processa e armazena as informações da organização. Desta maneira as atividades operacionais e o atendimento aos objetivos estratégicos da organização dependem totalmente do ambiente de tecnologia da informação e da própria informação. Consequentemente, é necessário proteger a informação e denir diretrizes (políticas e normas) para que esta proteção possua regras que direcionem estratégica e operacionalmente a sua existência. Os gestores das organizações estão cientes dessa criticidade. Albertin e Pinochet (2010) comentam sobre a 12ª Edição da Pesquisa da FGV-EAESP de Comércio Eletrônico:

14


A Pesquisa da FGV-EAESP de Comercio Eletrônico, em sua 12ª edição, de março de 2010, apresentou uma mostra signicativa formada por 434 empresas, de vários setores e portes, que atuam no ambiente tradicional e também estão atuando no ambiente de comércio eletrônico, em maior ou menor nível, e aquelas constituídas apenas por este ambiente. (...) (...) Esta pesquisa evidenciou que as empresas estão atribuindo maior importância aos aspectos de relacionamento com clientes, privacidade e segurança, adoção de clientes e alinhamento estratégico, entre ou tros. Sendo que o aspecto de privacidade e segurança é considerado um dos itens mais críticos. Embora a Pesquisa da FGV-EAESP de Comércio Eletrônico, em sua 12ª edição de março de 2010, indique que o item privacidade e segurança esteja posicionado em segundo lugar, a oitava edição da mesma pesquisa, de março de 2006, apresentou o item privacidade e segurança em primeiro lugar. Portanto tem-se obtido certa estabilidade na priorização pelas empresas quanto à necessidade na utilização de tecnologia da informação em relação ao tema da privacidade e segurança (Albertin e Pinochet, 2010, p. 10).

Outro fato que reforça que a segurança da informação e a existência de políticas são preocupações contínuas e prioritárias nas organizações é o conjunto de respostas do estudo conduzido pela Consultoria PricewaterhouseCopers, CIO Magazine e CSO Magazine. Este é o maior estudo do gênero do mundo, o qual representa a análise consolidada dos dados fornecidos por mais de 12.800 executivos, entre CEOs, CFOs, CIOs e CSOs, vice-presidentes e diretores de TI e segurança da informação de empresas médias, grandes e gigantes de 135 países e de todos os setores. No Brasil houve a participação de quinhentos executivos. Apesar de toda a crise mundial em relação à segurança da informação descrita no estudo, destaca-se no documento da PwC: ▪ A conformidade com políticas internas é um dos cinco fatores direcionadores mais importantes para o gasto com a segurança da informação. Isto signica a preexistência de políticas de segurança. Os outros fatores foram: condições econômicas, continuidade do negócio/recuperação de desastres, reputação da empresa e conformidade regulatória.

A Necessidade da Política e de Outros Regulamentos

15

▪ 56% responderam que o ambiente regulatório se tornou mais complexo e oneroso. ▪ 55% responderam que o ambiente de risco crescente aumentou o papel e a importância da função de segurança da informação. ▪ 43% responderam que ameaças à segurança dos ativos aumentaram. ▪ 53% responderam que não reduziram o orçamento para iniciativas de segurança e nem adiaram estas iniciativas. ▪ 52% responderam que vão aumentar os gastos com segurança da informação nos próximos doze meses. Todas estas respostas demonstram que as organizações consideram a segurança da informação um fator importante para o alcance dos seus objetivos de negócio. Isto signica que as organizações precisam ter as suas políticas de segurança, pois, no âmbito das organizações, a manutenção da segurança depende da adequada formulação e implantação de políticas corporativas. O termo “política” utilizado neste livro para um tipo de regulamento indica a diretriz, a orientação básica para a segurança da informação. Maximiniano (2010) considera que política dene em linhas gerais o curso de ação a ser seguido quando determinado tipo de problema se apresenta. Isto signica que a política cria critérios que devem ser seguidos quando a tomada de decisões é necessária. Desta maneira, as decisões, considerando os mesmos critérios, tenderão a denir a mesma regra de comportamento para um problema que se apresenta. A política é o mais alto nível de declaração do que a organização acredita e quer que exista em todas as suas áreas. A política é uma diretiva da direção executiva para criar um programa de segurança da informação, estabelecer seus objetivos e denir responsabilidades. O principal documento da política indicará qual é a losoa da organização para o uso da informação pelos seus funcionários, prestadores de serviço, estagiários, diretores, acionistas e até pelo executivo-presidente. As regras denidas valem para todos. E se o tratamento for diferente para tipos de usuários diferentes, esta denição deve estar formalizada na política e nos demais regulamentos de segurança da informação. Outros autores colaboram nesta linha de denição:

16


Uma política é um guia genérico para a ação. Ela delimita uma ação, mas não especica o tempo. É uma denição de propósitos de uma empresa e estabelece linhas de orientação e limites para a ação dos indivíduos responsáveis pela implantação. As políticas são princípios que estabelecem regras para a ação e contribuem para o alcance bemsucedido dos objetivos (Chiavenatto, 2010, p. 173). Política de segurança é um conjunto de diretrizes gerais destinadas a governar a proteção que será dada aos ativos de informação (Caruso e Steffen, 1999, p. 49) Política de segurança é um conjunto de regras e padrões sobre o que deve ser feito para assegurar que as informações recebam a proteção conveniente que possibilite garantir a sua condencialidade, integridade e disponibilidade (Barman, 2002, p. 4). As políticas são as linhas mestras que indicam os limites ou restrições sobre aquilo que se quer conseguir (Albertin e Pinochet, 2010, p. 34).

A própria NBR ISO/IEC 27002 tem a sua denição do termo política: 2. Termos e denições 2.8 Política Intenções e diretrizes globais formalmente expressas pela direção (ABNT, 2005, p. 2).

A política e os demais regulamentos de segurança da informação precisam ter uma arquitetura para que facilite a compreensão da extensão que esses regulamentos estão considerando. Deve haver a divisão por assuntos (horizontal) e pela granularidade do conteúdo (profundidade e detalhamento – vertical) das orientações. No Capítulo 11 deste livro este tema é tratado e é recomendada uma estrutura para os regulamentos de segurança da informação.

Capítulo 4. A Política de Segurança da Informação e a Gestão de Riscos

M

uitas vezes camos confusos sobre a denição da política de segurança da informação e a gestão de riscos. Mas existe o caminho adequado para o tratamento desta questão: a política de segurança da informação deve existir primeiro para que a gestão de risco seja denida e em seguida implantada. A NBR ISO/IEC 27005 – Tecnologia da Informação – Técnicas de segurança – Gestão de riscos de segurança da informação indica que, para que a gestão de risco seja realizada, é necessário que ela seja parte da gestão da segurança da informação e que seja denida a sua contextualização, indicando onde a gestão de risco será aplicada: na organização como um todo, em uma área, em um sistema ou a controles especícos. Convém que a gestão de riscos de segurança da informação seja parte integrante das atividades de gestão da segurança da informação e aplicada tanto à implementação quanto à operação cotidiana de um SGSI (ABNT, 2008, p. 3). Em um SGSI, a denição do contexto, a análise/avaliação de riscos, o desenvolvimento do plano de tratamento do risco e a aceitação do risco, fazem parte da fase “planejar” (ABNT, 2008, p. 6). O processo de gestão de riscos de segurança da informação pode ser aplicado à organização como um todo, a uma área especíca da organização (por exemplo: um departamento, uma localidade, um serviço), a um sistema de informações, a controles já existentes, planejados ou apenas aspectos particulares de um controle (por exemplo: o plano de continuidade de negócio) (ABNT, 2008, p. 4).

18


A ABNT NBR ISO/IEC 27002, ao tratar da análise, da avaliação e do tratamento de risco, orienta: Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente denido para ser ecaz (ABNT, 2005, p. 6).

Ao se denir o escopo e os limites para a gestão de riscos, a ABNT NBR ISO/ IEC 27005 declara que: O escopo e os limites da gestão de riscos de segurança da informação estão relacionados ao escopo e aos limites do SGSI conforme requerido na ABNT ISO/IEC 27001 4.2.1.a (ABNT, 2008, p. 9).

A ABNT NBR ISO/IEC 27001 – Tecnologia da informação – Técnicas de segurança – Sistema de gestão de segurança da informação – Requisitos, item 4.2.1, indica os primeiros elementos para que a organização estabeleça um SGSI e cita a política de segurança da informação: 4.2.1 Estabelecer o SGSI a) Denir o escopo e os limites do SGSI (Sistema de gestão de Segurança da Informação) nos termos das características do negócio, a organização, sua localização, ativos de tecnologia, incluindo detalhes para quaisquer exclusões do escopo. b) Denir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia que: 1. inclua uma estrutura para denir objetivos e estabeleça um direcionamento global e princípios para as ações relacionadas com a segurança da informação; 2. considere os requisitos de negócio, legais e/ou regulamentares, e obrigações de segurança contratuais; 3. esteja alinhada com o contexto estratégico de gestão de risco da organização no qual o estabelecimento e manutenção do SGSI irá ocorrer;

A Política de Segurança da Informação e a Gestão de Riscos

19

4. estabeleça critérios em relação aos quais os riscos serão avaliados. c) Denir a abordagem de análise e avaliação de riscos da organização (ABNT, 2006, p. 4).

Desta forma a Política do Sistema de Gestão da Segurança da Informação deverá considerar e contextualizar a gestão de riscos, conforme a própria ABNT NBR ISO/IEC 27005 – Tecnologia da informação – Técnicas de segurança – Gestão de riscos em segurança da informação e a ABNT NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação indicam: Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente denido para ser ecaz e inclua os relacionamentos com análises/avaliações de riscos de outras áreas, se necessário (ABNT, 2005, p. 6). Convém que a organização dena o escopo e os limites da gestão de riscos de segurança da informação (ABNT, 2008, p. 8). O escopo do processo de gestão de riscos de segurança da informação precisa ser denido para assegurar que todos os ativos relevantes sejam considerados na análise/avaliação de riscos. Além disso, os limites precisam ser identicados para permitir o reconhecimento dos riscos que possam transpor esses limites (ABNT, 2008, p. 8). Convém que a organização e as responsabilidades para o processo de gestão de riscos de segurança da informação sejam estabelecidas e mantidas (ABNT, 2008, p. 9). O escopo e os limites da gestão de riscos de segurança da informação estão relacionados ao escopo e aos limites do SGSI (ABNT, 2008, p. 9).

A gestão de riscos por sua vez será parte do Sistema de Gestão de Segurança da Informação e fará com que este SGSI se mantenha contínuo: Convém que a gestão de riscos de segurança da informação seja parte integrante das atividades de gestão da segurança da informação e aplicada tanto à implementação quanto à operação cotidiana de um SGSI (ABNT, 2008, p. 3).

20


Convém que a gestão de riscos de segurança da informação seja um processo contínuo (ABNT, 2008, p. 3). Convém que as análises/avaliações de riscos também sejam realizadas periodicamente para contemplar as mudanças nos requisitos de segurança da informação e na situação de risco, ou seja, nos ativos, ameaças, vulnerabilidades, impactos, avaliação de risco e quando uma mudança signicativa ocorrer. Essas análises/avaliações devem ser realizadas de forma metódica, capaz de gerar resultados comparáveis e reproduzíveis (ABNT, 2006, p. 6).

Peltier, em todos os seus livros que tratam o assunto segurança da informação, salienta a importância da política de segurança da informação como o primeiro e o mais importante aspecto para criar um programa de segurança da informação, estabelecer seu objetivos e denir as responsabilidades das pessoas que se relacionam com a informação e com os recursos de informação. Em relação à Gestão de Riscos, Thomas Peltier declara: O primeiro e mais importante aspecto da segurança da informação é a política de segurança. Se a segurança da informação fosse uma pessoa a política de segurança seria o sistema nervoso. Política é a base da segurança da informação, providencia a estrutura e dene os objetivos dos demais aspectos da segurança da informação (Peltier, 2005, p. 17). Um importante fator para o sucesso na implantação de um processo de segurança da informação é implantar uma completa arquitetura de gerenciamento de risco. Esta arquitetura deve estar conectada às políticas e aos padrões de segurança da informação e deve direcionar o risco para o negócio em um ambiente automático e contínuo (Peltier, 2001, p. 17). A análise de risco permite à organização colocar foco nos seus objetivos de segurança da informação (Peltier, 2001, p. 17).

A política dene o escopo para o qual serão considerados os controles de segurança da informação que serão desenvolvidos e implantados. A Gestão de Risco, considerando o contexto denido pela política de segurança, identicará os ativos, selecionará os controles apropriados e denirá as prioridades de implantação destes controles. A não implantação da política impede o desenvolvimento adequado da segurança da informação na organização, uma vez que faltarão referenciais para implantação

A Política de Segurança da Informação e a Gestão de Riscos

21

dos controles. Sem a política não haverá a denição do escopo que delimita o campo de ação dos controles, e esta falta de limites fará com que o processo de segurança da informação seja innito e nunca possa ser avaliado adequadamente. O risco de não existência da política deve ser minimizado e até eliminado. Para que isto aconteça é necessário implantar o conjunto de regulamentos, iniciando pela política principal (diretriz) que denirá o escopo e os limites da própria gestão de risco. Page (2002) conrma este risco, não existência de regulamentos, ao declarar: A priorização para o desenvolvimento e a implantação dos elementos de segurança da informação deve ser obtida da análise e avaliação de riscos. Entendemos que a ameaça e o risco da não existência de um conjunto de regulamentos para que os controles tomem por base e sejam implantados é uma questão estrutural para o processo de segurança da informação, que deve ser tratado adequadamente, pois a sua ausência pode inclusive inviabilizar o processo de segurança (Page, 2002, p. 18).

Por m, a ABNT NBR 27002:2005 orienta o uso de controles como ponto de partida e a utilização da gestão de riscos para a identicação da relevância da implantação e existência desses controles: 0.6 – Ponto de partida para a segurança da informação. Um certo número de controles pode ser considerado um bom ponto de partida para a implementação da segurança da informação. Estes controles são baseados tanto em requisitos legais como nas melhores práticas de segurança da informação normalmente usadas. Os controles considerados essenciais para uma organização, sob o ponto de vista legal, incluem dependendo da legislação aplicável: a) proteção de dados e privacidade de informações pessoais; b) proteção de registros organizacionais; c) direitos de propriedade intelectual. Os controles considerados práticas para a segurança da informação incluem: a) documento da política de segurança da informação;

22


b) atribuição de responsabilidades para a segurança da informação; c) conscientização, educação e treinamento em segurança da informação; d) processamento correto nas aplicações; e) gestão de vulnerabilidades técnicas; f) gestão de continuidade de negócio; g) gestão de incidentes de segurança da informação. Esses controles se aplicam para a maioria das organizações e na maioria dos ambientes. Convém observar que, embora todos os controles nesta Norma sejam importantes e devam ser considerados, a relevância de qualquer controle deve ser determinado segundo os riscos especícos a que uma organização está exposta. Por isso, embora o enfoque acima seja considerado um bom ponto de partida, ele não substitui a seleção de controles, baseado na análise/avaliação de riscos (ABNT, 2005, p. XII).

Desta maneira as organizações devem primeiramente considerar, para o seu processo de segurança da informação, os controles denidos/descritos na NBR ISO/ IEC 27002 e tomá-los como controles básicos. Depois deve considerar a análise/ avaliação de riscos especícos a que a organização está exposta, um instrumento para graduar a relevância da aplicação de cada um destes controles na organização. Concluindo, a política de segurança da informação deve primeiramente ser denida e em seguida a gestão de riscos indicará a prioridade dos controles. Mas estas ações devem se retroalimentar com o objetivo de gerar para a organização o melhor processo de segurança da informação que ela precisa e que pode ter.

Capítulo 5. A Política de Segurança da Informação e a Norma NBR ISO/IEC 27002 Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da Informação

NBR ISO/IEC 27002:2005 é a norma estrutural da gestão da segurança da informação. Ela dene um código de prática para a gestão da segurança da informação e orienta quais elementos devem ser considerados para uma adequada proteção da informação.

A

A própria norma considera que “controles adicionais e recomendações não incluídas nesta norma podem ser necessários” (ABNT, 2005, p. XIII). Porém, independentemente da existência destes controles adicionais, a norma recomenda a integração destes controles: A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados onde necessários, para garantir que os objetivos de negócio e de segurança da organização sejam atendidos (ABNT, 2005, p. X).

As Normas ISO/IEC 27002 e ISO/IEC 27001 têm origem no Padrão Britânico, que em 1993 criou a Norma BS 7799. Oliveira Jr. (2010), Sêmola (2003) e Martins e Santos (2005) descrevem que em 1995, em função do avanço das empresas e do crescimento da tecnologia, este código de prática foi republicado pelo BSI (British Standart International). No nal da década de 1990 o BSI criou um programa de certicação de empresas certicadoras capazes de atestarem organizações na

24


Norma BS 7799. Neste momento a Norma BS 7799 tinha duas partes. A parte 1 continha o código de conduta ou o guia de execução para a gestão da segurança da informação. A parte 2 continha os requisitos de auditoria para a certicação de um sistema de gestão de segurança da informação. Em função da importância do assunto segurança da informação, era fundamental que estas normas fossem publicadas por um órgão de reconhecimento internacional. No ano de 2000, foi publicada pela ISO (International Organization for Standardization) a norma ISO 17799, baseada na Norma BS 7799-1. Em 2005 esta norma passou por uma nova revisão que culminou na nova versão ISO/IEC 17799:2005. Neste mesmo ano de 2005, a BS 7799-2 foi adotada pela ISO e foi a primeira norma da família 27000, dedicada à segurança da informação. A BS 7799-2 tornou-se a ISO/IEC 27001:2005. Em 2007 a ISO/IEC 17799:2005 passou para o novo padrão e tornouse a Norma ISO/IEC 27002:2005. No Brasil estas normas foram consideradas pela Associação Brasileira de Normas Técnicas (ABNT) que é o Foro Nacional de Normatização. Na ABNT elas foram submetidas ao Comitê Brasileiro de Computadores e Processamento de Dados (ABNT/CB-2) e foram publicadas como: NBR ISO/ IEC 27001 – Tecnologia da informação – Técnicas de segurança – Sistema de Gestão de segurança da informação – Requisitos, ABNT, 2006; e NBR ISO/ IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação, ABNT, 2005 (ABNT, 2005). O objetivo da NBR ISO/IEC 27002 é declarado da seguinte forma: Esta Norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informaç ão em uma organização. Os objetivos definidos nesta Norma proveem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação (ABNT, 2005, p. 1).

A NBR ISO/IEC 27002:2005 é composta por dezesseis capítulos, numerados de zero a quinze e são consideradas onze seções de controles de segurança da informação. Cada seção é composta por um número variado de categorias principais de segurança da informação e cada categoria possui cer to número de controles. Estes controles são os elementos que denem o que a norma considera importante para um processo de segurança da informação na organização e devem ser os elementos considerados para as políticas de segurança da informação das organizações.

A Política de Segurança da Informação e a Norma NBR ISO/IEC 27002

25

Existem 133 controles explícitos nesta norma. Estes controles, de maneira isolada ou agrupada, ou considerando outros controles não descritos nesta norma, são os elementos que devem ser considerados, em granularidade diferente, nos diversos regulamentos de segurança da informação. Temos em seguida a descrição de cada capítulo e a relação dos 133 controles explicitados nesta norma. a) Capítulo 0 – Introdução

Este capítulo inicia o assunto segurança da informação descrevendo o que é a segurança da informação, por que a segurança da informação é necessária, como se deve estabelecer requisitos de segurança da informação, a análise e avaliação dos riscos de segurança da informação, como começar o processo segurança da informação, fatores críticos de sucesso e desenvolvimento de diretrizes. b) Capítulo 1 – Objetivo

Este capítulo descreve o objetivo da norma. c) Capítulo 2 – Termos e denições

Neste capítulo estão denidos os termos utilizados na norma. O Anexo 3 contém os termos descritos na norma e que são utilizados nesta pesquisa. d) Capítulo 3 – Estrutura

A divisão das seções e das categorias de segurança da informação são explicadas neste capítulo. e) Capítulo 4 – Análise/avaliação e tratamento de riscos

Neste ponto a Norma descreve o processo de risco em duas fases: análise/ avaliação do risco e tratamento do risco. Apesar deste capítulo denir alguns controles, eles não são considerados controles ociais da norma, cando apenas como orientações, como por exemplo:

26


Convém que as análises/avaliações de riscos identiquem, quantiquem e priorizem os riscos com base em critérios para a aceitação dos riscos e dos objetivos relevantes para a organização. Convém que as análises/avaliação de riscos também sejam realizadas periodicamente, para contemplar as mudanças nos requisitos de segurança da informação e na situação de risco, ou seja, nos ativos, ameaças, vulnerabilidades, impactos, avaliação do risco e quando mudança signicativa ocorrer (ABNT, 2005, p. 6).

Em relação à política de segurança, este capítulo não indica diretamente política, mas faz uma referência indireta quando ele cita a necessidade de escopo para a gestão de riscos: Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente denido para ser ecaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário (ABNT, 2005, p. 6).

Isto porque, mais adiante na cronologia das normas, a NBR ISO/IEC 27005, ao considerar o escopo e os limites para a gestão de riscos, declara que: O escopo e os limites da gestão de riscos de segurança da informação estão relacionados ao escopo e aos limites do SGSI conforme requerido na ABNT ISO/IEC 27001 4.2.1.a (ABNT, 2008, p. 9).

Por sua vez a NBR ISO/IEC 27001 descreve em relação ao SGSI: 4.2.1 Estabelecer o SGSI A organização deve: a) Denir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia. b) Denir uma política do SGSI nos termos das características do negócio: a organização, sua localização, ativos e tecnologia que:

(....)

3) esteja alinhada com o contexto estratégico de gestão de risco da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer;


27

4) estabeleça critérios em relação aos quais os riscos serão avaliados (ABNT, 2006, p. 4).

f) Capítulo 5 – Política de segurança da informação

Neste capítulo a norma recomenda que o documento de política de segurança da informação deve denir como a organização vai se posicionar em relação aos controles das demais categorias de segurança. A partir deste capítulo começam a ser denidos os controles de segurança. Para esta pesquisa, estes controles, de maneira independente ou agrupados, são a referência para a identicação dos elementos mínimos que devem compor um padrão mínimo para a política de segurança da informação de uma organização. g) Controles

Descrevemos a seguir o título (assunto tratado) de cada controle. O Anexo 1 contém a descrição de cada um deles. Controles do Capítulo 5 – Política de segurança da informação

(1) Documento da política de segurança da informação. (2) Análise crítica da política de segurança da informação. Controles do Capítulo 6 – Organizando a segurança da informação

(3) Comprometimento da direção com a segurança da informação. (4) Coordenação da segurança da informação. (5) Atribuição de responsabilidades para a segurança da informação. (6) Processo de autorização para os recursos de processamento da informação. (7) Acordos de condencialidade. (8) Contato com autoridades. (9) Contato com grupos especiais. (10) Análise crítica independente de segurança da informação.

28


(11) Identicação dos riscos relacionados às partes externas. (12) Identicando a segurança da informação, quando tratando com os clientes. (13) Identicando a segurança da informação nos acordos com terceiros. Controles do Capítulo 7 – Gestão de ativos

(14) Inventário dos ativos. (15) Proprietário dos ativos. (16) Uso aceitável dos ativos. (17) Classicação da informação – Recomendações para classicação. (18) Classicação da informação – Rótulos e tratamento da informação. Controles do Capítulo 8 – Segurança em recursos humanos

(19) Papéis e responsabilidades. (20) Seleção. (21) Termos e condições de contratação. (22) Responsabilidades da direção. (23) Conscientização, educação e treinamento em segurança da informação. (24) Processo disciplinar. (25) Encerramento das atividades. (26) Devolução de ativos. (27) Retirada de direitos de acesso. Controles do Capítulo 9 – Segurança física e do ambiente

(28) Perímetro de segurança física. (29) Controles de entrada física. (30) Segurança em escritórios, salas e instalações.


(31) Proteção contra ameaças externas e do meio ambiente. (32) Trabalhando em áreas seguras. (33) Acesso do público, áreas de entrega e de carregamento. (34) Instalação e proteção de equipamento. (35) Utilidades. (36) Segurança do cabeamento. (37) Manutenção dos equipamentos. (38) Segurança de equipamentos fora das dependências da organização. (39) Reutilização e alienação segura de equipamentos. (40) Remoção de propriedade. Controles do Capítulo 10 – Gerenciamento das operações e comunicações

(41) Documentação dos procedimentos. (42) Gestão de mudanças. (43) Segregação de funções. (44) Separação dos recursos de desenvolvimento, teste e de produção. (45) Entrega de serviço. (46) Monitoramento e análise crítica de serviços terceirizados. (47) Gerenciamento de mudanças para serviços terceirizados. (48) Gestão de capacidade. (49) Aceitação de sistemas. (50) Proteção contra códigos maliciosos e códigos móveis. (51) Controles contra códigos móveis. (52) Cópias de segurança da informação. (53) Controles de redes. (54) Segregação dos serviços de rede.

29

30


(55) Gerenciamento de mídias removíveis. (56) Descarte de mídias. (57) Procedimentos para tratamento de informação. (58) Segurança da documentação dos sistemas. (59) Políticas e procedimentos para troca de informações. (60) Acordos para trocas de informações. (61) Mídias em trânsito. (62) Mensagens eletrônicas. (63) Sistemas de informações de negócio. (64) Serviços de comércio eletrônico. (65) Transações on-line. (66) Informações publicamente disponíveis. (67) Registros de auditoria. (68) Monitoramento do uso do sistema. (69) Proteção das informações dos registros (log). (70) Registro (log) de administrador e operador. (71) Registro (log) de falhas. (72) Sincronização dos relógios. Controles do Capítulo 11 – Acessos à informação

(73) Política de controle de acesso. (74) Registro de usuário. (75) Uso de privilégio. (76) Gerenciamento de senha do usuário. (77) Análise crítica dos direitos de acesso de usuário. (78) Uso de senhas. (79) Equipamento de usuário sem monitoração.


31

(80) Política de mesa limpa e tela limpa. (81) Política de uso de serviços de rede. (82) Autenticação para conexão externa do usuário (83) Identicação de equipamentos em redes. (84) Proteção de portas de conguração e diagnóstico remotos. (85) Segregação de redes. (86) Controle de conexão de redes. (87) Controle de roteamento de redes. (88) Procedimentos seguros de entrada nos sistema (log on). (89) Identicação e autenticação do usuário. (90) Sistema de gerenciamento de senha. (91) Uso de utilitários de sistema. (92) Limite de tempo de sessão. (93) Limitação de horário de conexão. (94) Restrição de acesso à informação. (95) Isolamento de sistemas sensíveis. (96) Computação e comunicação móvel. (97) Trabalho remoto. Controles do Capítulo 12 – Aquisição, desenvolvimento e manutenção de sistemas de informação

(98) Análise e especicação dos requisitos de segurança. (99) Validação dos dados de entrada. (100) Controle do processamento interno. (101) Integridade de mensagens. (102) Validação dos dados de saída. (103) Política para uso de controles criptográcos. (104) Gerenciamento de chaves.

32


(105) Controle de software operacional. (106) Proteção dos dados para teste de sistema. (107) Acesso ao código-fonte de programa. (108) Procedimentos para controle de mudanças. (109) Análise crítica técnica das aplicações após mudanças no sistema operacional. (110) Restrições sobre mudanças em pacotes de software. (111) Vazamento de informações. (112) Desenvolvimento terceirizado de software. (113) Controle de vulnerabilidades técnicas. Controles do Capítulo 13 – Gestão de incidentes de segurança da informação

(114) Noticação de eventos de segurança da informação. (115) Noticando fragilidades de segurança da informação. (116) Responsabilidades e procedimentos. (117) Aprendendo com os incidentes de segurança da informação. (118) Coletas de evidência. Controles do Capítulo 14 – Gestão da continuidade do negócio

(119) Incluindo a segurança da informação no processo de gestão de continuidade de negócio. (120) Continuidade de negócios e análise/avaliação de riscos. (121) Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação. (122) Estrutura do plano de continuidade do negócio. (123) Testes, manutenção e reavaliação dos planos de continuidade do negócio.


33

Controles do Capítulo 15 – Conformidade

(124) Identicação da legislação aplicável. (125) Direitos de propriedade intelectual. (126) Proteção de registros organizacionais. (127) Proteção de dados e privacidade de informações pessoais. (128) Prevenção de mau uso de recursos de processamento de informação. (129) Regulamentação de controles de criptograa. (130) Conformidade com as políticas e normas de segurança da informação. (131) Vericação com a conformidade técnica. (132) Auditoria de sistemas de informação. (133) Proteção de ferramentas de auditoria de sistemas de informação. As políticas e normas de segurança da informação devem denir a orientação da organização em relação a estes controles, considerando uma abordagem mais agrupada nas políticas, ou uma abordagem mais detalhada nas normas.

Capítulo 6. A Política de Segurança da Informação e a Norma NBR ISO/IEC 27001 Tecnologia da informação – Técnicas de segurança – Sistema de Gestão de segurança da informação – Requisitos, ABNT, 2006.

E

sta norma tem como objetivo principal “prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI. Ela tem como objetivo ser usada para avaliar a conformidade pelas partes interessadas internas e externas. Isto signica que, quando de uma certicação por uma organização em segurança da informação, esta é a norma tomada por base. Os controles descritos na norma e que serão considerados para a certicação, são os controles denidos na NBR ISO/IEC 27002. A NBR ISO/IEC 27001 descreve uma orientação para a existência de um Sistema de Gestão da Segurança da informação (SGSI), considerando o Modelo PDCA (Plan, Do, Check, Act). O relacionamento desta norma com esta pesquisa se deve ao fato de que a política de segurança da informação está contemplada na etapa de Planejamento (Plan) de Modelo PDCA do SGSI. Esta norma possui nove capítulos, numerados do zero ao oito. Possui também três anexos informativos. a) Capítulo 0 – Introdução

Neste capítulo são denidos: ▪ a motivação da norma; ▪ a abordagem de processo para o SGSI; ▪ a compatibilidade com outros sistemas de gestão.


35

Na abordagem para o processo do SGSI são denidas as principais ações para cada uma das etapas do PDCA. A Figura 1, a seguir, apresenta em conjunto as quatro etapas do PDCA e as denições de cada uma destas etapas. Plan (planejar) (estabelecer o SGSI) Estabelecer política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização.

Do (fazer) (implementar e operar o SGSI)

Check (checar) (monitorar e analisar criticamente o SGSI)

Act (agir) (manter e melhorar o SGSI)

Implementar e operar política, controles, processos e procedimentos do SGSI. Avaliar e, quando aplicável, medir o desempenho de um processo frente a política, objetivos e experiência práti ca do SGSI e apresentar os resultados para análise crítica pela direção. Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.

Figura 1 – Atividades do PDCA. Fonte: NBR ISO/IEC 27001

A política de segurança da informação encontra-se na etapa de Planejamento (Plan) quando da sua elaboração e na etapa de Fazer (Do) quando da sua implantação e operação. Desta maneira, a política de segurança da informação é um dos primeiros elementos que devem ser denidos, seguindo o Modelo PDCA. Ainda neste capítulo é estruturado o Modelo de PDCA aplicado ao SGSI. A Figura 2, a seguir, apresenta o relacionamento do Modelo de PDCA com as etapas do SGSI – Sistema de Gestão de Segurança da Informação. Este relacionamento indica que o Estabelecimento do SGSI encontra-se na etapa de Planejamento (Plan); a manutenção e a melhoria do SGSI encontram-se na etapa de Elaboração (Act); o Monitoramento e a Análise Crítica se apresentam na etapa de Vericação (Check) e a Implementação e a Operação do SGSI encontram-se na etapa do Fazer (Do).

36


Figura 2 – Modelo do PDCA aplicado aos processos do SGSI Fonte: NBR ISO/IEC 27001

b) Capítulo 1 – Objetivo

Neste capítulo são descritos o objetivo geral da norma e a sua aplicação. O conjunto de requisitos ou controles considerados dene a maneira como a organização deseja tratar o escopo da segurança da informação. Esta Norma especica os requisitos para estabelecer, implantar, operar, monitorar, analisar criticamente manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. Ela especica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes (ABNT, 2006, p. 1). O SGSI é projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar conança às partes interessadas (ABNT, 2006, p. 1). Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justicada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidos (ABNT, 2006, p. 1).


37

A política de segurança é um dos controles que deve ser considerado. Ela é um controle básico, pois é no regulamento de política que são declarados os demais controles, em maior ou menor nível de granularidade, que serão considerados pela organização.

c) Capítulo 2 – Referência normativa

Neste capítulo é indicado que para a aplicação desta Norma é indispensável a referência à NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. d) Capítulo 3 – Termos e denições

Neste capítulo são denidos os termos e denições utilizados nesta Norma. Alguns termos também estão denidos na NBR ISO/IEC 27002. Dos termos considerados, destacam-se: Sistema de gestão da segurança da informação – SGSI A parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação (ABNT, 2006, p. 3). Declaração de aplicabilidade Declaração documentada que descreve os objetivos de controles e controles que são pertinentes e aplicáveis ao SGSI da organização (ABNT, 2006, p. X). e) Capítulo 4 – Sistema de Gestão de Segurança da Informação

Neste capítulo são denidas as atividades e etapas que a organização deve realizar para estabelecer, monitorar e analisar criticamente o seu SGSI. Esta norma dene que a política de segurança da informação é um controle fundamental. Ela considera a política de segurança da informação como uma das atividades estruturais para o estabelecimento do SGSI da organização que inclusive estabelecerá critérios em relação aos riscos:

38


4.2.1 Estabelecer um SGSI A organização deve: a) Denir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justicativas para quaisquer exclusões de escopo. b) Denir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia que: 1) inclua uma estrutura para denir objetivos e estabeleça um direcionamento global e princípios para ações relacionadas com a segurança da informação; 2)

considere requisitos de negócio, legais e/ou regulamentares, e obrigações de segurança contratuais;

3) esteja alinhada com o contexto estratégico de gestão de risco da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer; 4) estabeleça critérios em relação aos quais os riscos serão avaliados; 5) tenha sido aprovada pela direção. c) Denir a abordagem de análise/avaliação de riscos da organização. d) Identicar os riscos. e) Analisar e avaliar os riscos. f) Identicar e avaliar as opções para o tratamento de riscos. g) Selecionar os objetivos de controle e controles para o tratamento de risco. h) Obter aprovação da direção dos riscos residuais propostos. i) Obter aprovação da direção para implementar e operar o SGSI.


39

j) Preparar uma Declaração de Aplicabilidade (ABNT, 2006, p. X).

No item monitorar e analisar criticamente o SGSI, a política de segurança da informação é mencionada explicitamente: b) realizar análises críticas regulares da ecácia do SGSI (incluindo o atendimento da política e dos objetivos do SGSI, e a análise crítica dos controles de segurança), levando em consideração os resultados de auditorias de segurança da informação, incidentes de segurança da informação, resultado das ecácias das medições, sugestões e realimentação de todas as partes interessadas (ABNT, 2006, p. 7).

f) Capítulo 5 – Responsabilidades da direção

Neste capítulo são denidas as responsabilidades da direção da organização. São considerados: ▪

Comprometimento da direção.

▪

Provisão de recursos.

▪

Treinamento, conscientização e competência das pessoas.

Neste capítulo a política de segurança da informação é evidenciada: 5.1 – Comprometimento da direção A direção deve fornecer evidência do seu comprometimento com o estabelecimento, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI mediante: a) o estabelecimento da política do SGSI; b) a garantia de que são estabelecidos os planos e objetivos do SGSI; c) o estabelecimento de papéis e responsabilidades pela segurança de informação; d) a comunicação à organização da importância em atender aos objetivos de segurança da informação e a conformidade com

40


a política de segurança de informação, suas responsabilidades perante a lei e a necessidade para melhoria contínua; e) a provisão de recursos sucientes para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI; f) a denição de critérios para aceitação de riscos e dos níveis de riscos aceitáveis; g) a garantia de que as auditorias internas do SGSI sejam realizadas; h) a condução de análises críticas do SGSI pela direção (ABNT, 2005, p. 9-10)

g) Capítulo 6 – Auditorias internas do SGSI

Neste capítulo são denidas as responsabilidades e ações para que a organização conduza auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controles, controles, processos e procedimentos do seu SGSI: a) atendem aos requisitos desta Norma e à legislação ou regulamentações pertinentes; b) atendem aos requisitos de segurança da informação identicados; c) estão mantidos e implementados ecazmente; e d) são executados conforme esperado (ABNT, 2005, p. 11).

De uma maneira indireta a política de segurança da informação foi citada no item (b), pelo motivo de que os requisitos de segurança da informação devem estar denidos na política. h) Capítulo 7 – Análise crítica do SGSI pela direção

Neste capítulo são denidas as responsabilidades para a realização da análise crítica do SGSI pela direção. A política de segurança da informação é citada como um dos elementos chaves dessa análise:


41

A direção deve analisar criticamente o SGSI da organização a intervalos planejados (pelo menos uma vez por ano) para assegurar a sua contínua pertinência, adequação e ecácia. Esta análise crítica deve incluir a avaliação de oportunidades para melhoria e a necessidade de mudanças do SGSI, incluindo a política de segurança da informação e objetivos de segurança da informação. Os resultados dessas análises críticas devem ser claramente documentados e os registros devem ser mantidos (ABNT, 2006, p. 12).

i) Capítulo 8 – Melhoria do SGSI

Neste capítulo são denidas as responsabilidades para a realização da melhoria do SGSI através de medidas preventivas e corretivas. A política de segurança da informação é referenciada como o elemento que permitirá esta melhoria do SGSI: 8.1 Melhoria contínua A organização deve continuamente melhorar a ecácia do SGSI por meio do uso da política de segurança da informação, objetivos de segurança da informação, resultados de auditorias, análises de eventos monitorados, ações corretivas e preventivas e análise crítica pela direção (ABNT, 2006, p. 12).

j) Anexo A – Normativo – Objetivos de controles e controles

Neste anexo normativo são denidos os objetivos de controles e controles derivados diretamente da NBR ISO/IEC 27002. Estes objetivos de controles e controles não são exaustivos e a organização poderá considerar que objetivos de controles e controles adicionais são necessários. A lista nal selecionada indicará os objetivos de controles e controles que farão parte do SGSI a ser estabelecido pela organização. k) Anexo B – Informativo – Princípios da OECD e desta norma

Este anexo informativo identica os princípios denidos pelas Diretrizes de OECD e esta Norma.

42


São considerados os seguintes princípios da OECD que são referenciados nesta norma: ▪

Conscientização;

▪ Responsabilidade; ▪ Respostas; ▪

Análise/avaliação de riscos;

▪

Arquitetura e implementação de segurança;

▪

Gestão de segurança;

▪ Reavaliação. l) Anexo C – Informativo – Correspondência entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO 14001:2004 e esta Norma.

Este anexo informativo identica correspondência entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO 14001:2004 e esta norma.

Capítulo 7. A Política de Segurança da Informação e a Norma NBR ISO/IEC 27005 Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação

A

norma NBR ISO/IEC 27005 tem por objetivo fornecer “diretrizes para o processo de Gestão de Riscos de Segurança da Informação de uma organização, atendendo particularmente aos requisitos de um SGSI de acordo com a ABNT NBR ISO/IEC 27001. Entretanto esta Norma não inclui uma metodologia especíca para a gestão de riscos de segurança da informação” (ABNT, 2008, p. VI). Esta norma, ao denir a gestão de riscos, faz o seu relacionamento com o escopo do SGSI e com a política de segurança da informação. Para um funcionamento adequado do SGSI é importante que a gestão de riscos e a política de segurança da informação sejam elementos que estejam bem denidos e explícitos. No contexto da gestão de riscos, a política de segurança da informação é considerada na fase de denição do contexto, mais especicamente na denição de escopo e limites. No Capítulo 7 – Denição de contexto, no item 7.3 – Escopo e limites, esta norma declara que “Convém que a organização dena o escopo e os limites da gestão de riscos de segurança da informação” (ABNT, 2008, p. 8). Para a denição do escopo e limites esta norma cita a política de segurança da informação quando declara ainda no item 7.3 – Escopo e limites: Ao denir escopo e limites, convém que a organização considere as seguintes informações:

44


▪ Os objetivos estratégicos, políticas e estratégias da organização. ▪ Processo de negócio. ▪ As funções e estrutura da organização. ▪ Requisitos legais, regulatórios e contratuais aplicáveis à organização. ▪ A política de segurança da informação. ▪ A abordagem da organização à gestão de riscos. ▪ Ativos de informação. ▪ Localidades em que a organização se encontra e características geográcas. ▪ Restrições que afetam a organização. ▪ Expectativas das partes interessadas. ▪ Ambiente sociocultural. ▪ Interfaces (ou seja, a troca de informação com o ambiente). (ABNT, 2008, p. 9) A norma ainda complementa com uma nota: O escopo e os limites da gestão de riscos de segurança da informação estão relacionados ao escopo e aos limites do SGSI conforme requerido na ABNT ISO/IEC 27001 4.2.1.a (ABNT, 2008, p. 9).

A NBR ISO/IEC 27001 indica, no seu item 4.2.1 – Estabelecer o SGSI, os elementos necessários para que a organização estabeleça um SGSI, e novamente aparece a política de segurança da informação como uma das atividades. a) Denir o escopo e os limites do SGSI (Sistema de Gestão de Segurança da Informação) nos termos das características do negócio, a organização, sua localização, ativos de tecnologia, incluindo detalhes para quaisquer exclusões do escopo. b) Denir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia que:


45

1. inclua uma estrutura para denir objetivos e estabeleça um direcionamento global e princípios para as ações relacionadas com a segurança da informação; 2. considere os requisitos de negócio, legais e/ou regulamentares, e obrigações de segurança contratuais; 3. esteja alinhada com o contexto estratégico de gestão de risco da organização no qual o estabelecimento e a manutenção do SGSI irá ocorrer; 4. estabeleça critérios em relação aos quais os riscos serão avaliados. c) Denir a abordagem de análise e avaliação de riscos da organização. d) Identicar os riscos. e) Analisar e avaliar os riscos. f) Identicar e avaliar as opções para o tratamento de risco. g) Selecionar objetivos de controle e controles para o tratamento de riscos. h) Obter aprovação da direção dos riscos residuais propostos. i) Obter autorização da direção para implementar e operar o SGSI. j) Preparar uma Declaração de Aplicabilidade (ABNT, 2006, p. 4-5).

A política de segurança da informação relaciona-se com a gestão do risco na sua fase de denição de contexto. Ela deve conter elementos que explicitem o escopo e os limites que serão considerados no SGSI e consequentemente na gestão de riscos. Esta norma possui doze capítulos e seis anexos informativos. a) Capítulo 1 – Escopo

Indica o contexto em que esta norma se aplica. Declara que “Esta norma se aplica a todos os tipos de organização que pretendem gerir os riscos que poderiam comprometer a segurança da informação” (ABNT, 2008, p. 1).

46


b) Capítulo 2 – Referências normativas

Dene os documentos indispensáveis para a correta aplicação desta Norma: ▪ NBR ISO/IEC 27001:2006. ▪ NBR ISO/IEC 27002:2005. c) Capítulo 3 – Termos e denições

Atribui denições aos termos utilizados nesta norma.

d) Capítulo 4 – Organização da Norma

Indica como esta norma está estruturada. e) Capítulo 5 – Contextualização

Apresenta a necessidade de um visão sistêmica para a gestão de riscos.

f) Capítulo 6 – Visão geral do processo de gestão de riscos de segurança da informação

Apresenta de uma forma concisa todo o processo de gestão de riscos. As guras 3 e 4 são muito importantes para a compreensão da gestão de riscos e para o posicionamento da ligação com a política de segurança da informação na etapa de denição de contexto da gestão de riscos. A Figura 3 indica as etapas do processo de gestão de risco em segurança da informação. A primeira etapa deste processo é denição do contexto e nesta etapa é que a política de segurança da informação se faz presente, registrando e explicitando o que deverá ser considerado para o contexto da gestão de risco. A segunda etapa é a análise/avaliação de riscos, e a terceira etapa é o tratamento de risco, onde uma das opções é a aceitação do risco, isto é, nada será feito em relação ao risco e a organização dene por aceitar o referido risco. Durante todo este processo há duas etapas que existem continuamente: a comunicação dos riscos e o monitoramento e a análise crítica dos riscos.


47

Figura 3 – Processo de gestão de risco de segurança da informação Fonte: NBR ISO/IEC 27005:2008

Processos do SGCI

Processos de gestão de riscos SI •

Denição do contexto

•

Análise/avaliação de riscos

•

Denição do plano de tratamento do risco

•

Aceitação do risco

Executar

•

Implementação do plano de tratamento de risco

Vericar

•

Monitoramento contínuo e análise crítica de riscos

•

Manter e melhorar o processo de gestão de riscos de segurança da informação

Planejar

Agir

Figura 4 – Relacionamento dos processos do SGSI e dos processos de gestão de riscos de TI Fonte: NBR ISO/IEC 27005:2008

A Figura 4, anterior, apresenta de uma maneira estruturada as etapas do Modelo PDCA e o seu relacionamento com as etapas de um processo de gestão de riscos de segurança da informação.

48


g) Capítulo 7 – Denição do contexto

Este capítulo indica os critérios básicos, escopo e limites e as responsabilidades para o processo de gestão de riscos. Nesta denição do escopo e limites a política de segurança da informação é considerada. h) Capítulo 8 – Análise/avaliação de riscos de segurança da informação

Este capítulo descreve todo o processo de análise e avaliação dos riscos de segurança da informação, detalhando: ▪ ▪ ▪ ▪ ▪ ▪ ▪ ▪

Identicação de ativos. Identicação de ameaças. Identicação de controles existentes. Identicação das vulnerabilidades. Identicação das consequências. Estimativa dos riscos (quantitativa, qualitativa). Avaliação da probabilidade dos incidentes. Estimativa do nível de risco. (ABNT 2008, p. 9).

O assunto de análise/avaliação de riscos de segurança da informação relaciona-se à política do SGSI, conforme a NBR ISO/IEC 27001 no item 4.2.1. b e c, que indica que a política de SGSI “estabeleça critérios em relação aos quais os riscos serão avaliados” e “desenvolva critérios para que a aceitação de riscos e identique os níveis aceitáveis de riscos” (ABNT, 2008, p. 4-5). Conforme apresentado anteriormente, a política do SGSI possibilita a análise/ avaliação dos riscos. i) Capítulo 9 – Tratamento do risco de segurança da informação

Este capítulo descreve todo o processo de tratamento dos riscos de segurança da informação, detalhando: ▪ Redução do risco.


49

▪ Retenção do risco. ▪ Ação de evitar o risco. ▪ Transferência do risco. A Figura 5 a seguir apresenta gracamente o processo de tratamento do risco e facilita o seu entendimento. O tratamento de risco pode ser feito tomando quatro decisões: reduzir o risco, evitar o risco, transferir o risco para outro elemento ou organização ou aceitar e reter o risco. Para qualquer uma destas quatro decisões sempre haverá o risco residual.

Figura 5 – Processo de tratamento do risco Fonte: NBR ISO/IEC 27005:2008

50


O assunto de tratamento do risco de segurança da informação relacionase à política do SGSI conforme a NBR ISO/IEC 27001 nos itens 4.2.1.b.4 e 4.2.1.c.2, que indicam que a política do SGSI deve “estabelecer critérios em relação aos quais os riscos serão avaliados”, e deve “desenvolver critérios para a aceitação de riscos e identicar os níveis aceitáveis de riscos” (ABNT, 2006, p. 4-5) Conforme denido, a política do SGSI dene elementos para possibilitar a realização do tratamento dos riscos de segurança da informação. j) Capítulo 10 – Aceitação do risco de segurança da informação

Este capítulo descreve as responsabilidades quando da aceitação do risco ou a aceitação do risco residual. k) Capítulo 11 – Comunicação do risco de segurança da informação

Este capítulo descreve as responsabilidades para a comunicação do risco de segurança da informação entre as partes interessadas e envolvidas no SGSI. l) Capítulo 12 – Monitoramento e análise crítica de riscos de segurança da informação

Este capítulo descreve as responsabilidades e principais atividades de monitoramento dos riscos de segurança da informação com o objetivo de identicar o mais rapidamente possível eventuais mudanças no contexto da organização e garantir uma visão geral e verdadeira dos riscos. Este capítulo sugere que no mínimo sejam considerados os seguintes elementos: ▪ Contexto legal e do ambiente. ▪ Contexto da concorrência. ▪ Método de análise/avaliação de riscos. ▪ Valor e a categoria de ativos. ▪ Critérios de impacto.


51

▪ Critérios para a avaliação de riscos. ▪ Critérios para a aceitação do risco. ▪ Custo total de propriedade. ▪ Recursos necessários (ABNT, 2008, p. 23) m) Anexo A – Informativo

Denição do escopo e os limites do processo de gestão de riscos de segurança da informação. n) Anexo B – Informativo

Identicação e valoração dos ativos e avaliação do impacto. o) Anexo C – Informativo

Apresentação de exemplos de ameaças comuns. p) Anexo D – informativo

Denição de vulnerabilidades e métodos de avaliação de vulnerabilidades. q) Anexo E – Informativo

Apresentação de diferentes abordagens para análise/avaliação de riscos de segurança da informação. r) Anexo F – informativo

Denição de restrições que afetam a redução do risco.

Capítulo 8. A Política de Segurança da Informação e o COBIT COBIT (Control Objectives for Information and related Technology): Objetivos de Controle para a Informação e Tecnologia relacionada

8.1 – O COBIT O COBIT (Control Objectives for Information and related Technology), Objetivos de Controle para a Informação e Tecnologia relacionada, foi publicado pela ISACA (Information Systems Audit and Control Foundation) em 1996. O COBIT está em sua quarta edição, inclusive com versão em português. Atualmente o COBIT é mantido pelo IT Governance Institute, órgão ligado à ISACA. O desenvolvimento do COBIT contou com a participação de especialistas de todo o mundo e foram considerados várias e melhores práticas, metodologias, padrões prossionais para controle interno e requerimentos legais e governamentais de segmentos de mercado que dependem fortemente de tecnologia, como o setor nanceiro e o setor de telecomunicação (ISACA, 2010). A Governança Corporativa gerou a necessidade da Governança de TI. Esta última tem como objetivo maior garantir que a área de TI da organização suporte o atendimento dos objetivos de negócio, no que diz respeito à informação processada e armazenada no ambiente de tecnologia da informação. A Governança de TI é de responsabilidade dos executivos e da alta direção, consistindo em aspectos de liderança, estrutura organizacional e processos que garantam que a área de TI da organização suporte e aprimore os objetivos e as estratégias da organização (ITGI, 2007) Os executivos precisam aperfeiçoar o uso dos recursos de TI disponíveis, incluindo aplicativos, informações, infraestrutura e pessoas. Para cumprir essas responsabilidades e atingir seus objetivos, os executivos devem entender o

A Política de Segurança da Informação e o COBIT

53

estágio de sua arquitetura de TI e decidir que governança e controles devem ser considerados. O Control Objectives for Information and related Technology (COBIT) ajuda aos executivos, pois fornece boas práticas através de um modelo de domínios e processos e apresenta atividades em uma estrutura lógica e gerenciável (ITGI, 2007). O COBIT não dene como os processos serão executados, porém, dene controles básicos que possibilitarão que a Tecnologia da Informação cumpra seus objetivos estando alinhada aos objetivos de negócio. Um dos fatores críticos da aceitação do COBIT nos diversos mercados e países é a sua orientação ao negócio. O COBIT consiste em objetivos de negócios ligados a objetivos de TI, provendo métricas e modelos de maturidade para medir a sua ecácia e identicando as responsabilidades relacionadas dos donos dos processos de negócios e de TI (ITGI, 2007). Portanto, o COBIT é uma estrutura aceita mundialmente e possui vários controles. Em um desses grupos encontram-se os controles relacionados à política de segurança da informação, motivo pelo qual consideramos o COBIT neste livro. Porém, o próprio COBIT indica que, em relação ao assunto segurança da informação, o usuário pode obter informações detalhadas consultando o padrão ISO 17799, que foi transformado na NBR ISO/IEC 27002: Todos os usuários em potencial podem se beneciar da utilização do conteúdo do CobiT como um enfoque geral para o gerenciamento e governança de TI em conjunto com os seguintes padrões mais detalhados:

▪ ITIL para entrega de serviços ▪ CMM para entrega de soluções ▪ ISO 17799 para segurança da informação ▪ PMBOK ou PRINCE2 para gerenciamento de projetos (ITGI, 2007, p. 30). De acordo com o ITGI (2007), os principais objetivos do COBIT são: ▪ Estabelecer relacionamentos com os requisitos do negócio; ▪ Organizar as atividades de TI em um modelo de processo.

54


▪ Identicar os principais recursos de TI. ▪ Denir os objetivos de controle que serão considerados para a gestão. Os benefícios da implementação do COBIT como um modelo de governança de TI são, entre outros: ▪ Um melhor alinhamento baseado no foco do negócio. ▪ Uma visão clara para os executivos sobre o que TI faz. ▪ Uma clara divisão das responsabilidades baseada na orientação para processos. ▪ Aceitação geral por terceiros e órgãos reguladores. ▪ Entendimento compreendido entre todas as partes interessadas, baseado em uma linguagem comum. ▪ Cumprimento dos requisitos do COSO para controle do ambiente de TI (ITGI, 2007, p. 10).

Figura 6 – Princípios básicos do COBIT Fonte: COBIT, Edição 4.1, 2007


55

A Figura 6 mostra o ciclo dos princípios básicos do COBIT, que começa com a identicação dos Requisitos de Negócio. Os investimentos para os recursos de TI vão acontecer após esta identicação dos requisitos de negócio. Os Recursos de TI serão usados nos Processos de TI que entregarão Informação Organizacional para responder aos Requisitos de Negócio, origem de tudo.

8.2 – Os domínios do COBIT O COBIT considera as atividades de TI em um modelo de processos: ▪ PO – Planejar e Organizar. ▪ AI – Adquirir e Implementar. ▪ DS – Entregar e Suportar. ▪ ME – Monitorar e Avaliar. A Figura 7 apresenta estes domínios e os seus relacionamentos.

Figura 7 – Os quatro domínios inter-relacionados do COBIT Fonte: COBIT, Edição 4.1, 2007

56


a) Domínio Planejar e Organizar – PO

Este domínio considera as ações de estratégia e as ações táticas. Seu objetivo é garantir que a TI contribua para que objetivos, metas e estratégias de negócio sejam atingidos. Este domínio ajuda a responder as seguintes questões: ▪ As estratégias de TI e de negócios estão alinhadas? ▪ A empresa está obtendo um ótimo uso dos seus recursos? ▪ Todos na organização entendem os objetivos de TI? ▪ Os riscos de TI são entendidos e estão sendo gerenciados? ▪ A qualidade dos sistemas de TI é adequada às necessidades de negócios? (ISACA, 2007, p. 14)

b) Domínio Adquirir e Implementar – AI

Este domínio trata das soluções de TI que precisam ser desenvolvidas ou adquiridas, implementadas e integradas para o atendimento dos objetivos do negócio, bem como a forma que estas soluções serão integradas aos processos de negócio. Este domínio também considera que as soluções adotadas devam continuar a atender os objetivos de negócio ao longo do tempo. Este domínio ajuda a responder as seguintes questões: ▪ Os novos projetos fornecerão soluções que atendam às necessidades de negócios? ▪ Os novos projetos serão entregues no tempo e orçamento previstos? ▪ Os novos sistemas ocorreram apropriadamente quando implementados? ▪ As alterações ocorrerão sem afetar as operações de negócios atuais? (ITGI, 2007, p. 15).


57

c) Domínio Entregar e Suportar – DS

Este domínio trata da entrega dos serviços solicitados. Ele considera: entrega de serviço, gerenciamento de segurança, continuidade suporte aos usuários, gerenciamento de dados e gerenciamento de recursos operacionais. Este domínio ajuda a responder as seguintes questões: ▪ Os serviços de TI estão sendo entregues de acordo com as prioridades de negócios? ▪ Os custos de TI estão otimizados? ▪ A força de trabalho está habilitada para utilizar os sistemas de TI de maneira produtiva e segura? ▪ Os aspectos de condencialidade, integridade e disponibilidade estão sendo contemplados para garantir a segurança da informação? (ITGI, 2007, p. 15). d) Domínio Monitorar e Avaliar – ME

Este domínio tem por objetivo garantir a revisão periódica da qualidade e aderência dos processos de TI aos requisitos de negócio. Também cuida do desempenho, monitoramento dos controles e aderência a normas e padrões. Este domínio ajuda a responder as seguintes questões: ▪ A performance de TI é mensurada para detectar problemas antes que seja muito tarde? ▪ O gerenciamento assegura que os controles internos sejam efetivos e ecientes? ▪ O desempenho da TI pode ser associado aos objetivos de negócio? ▪ Existem controles adequados para garantir condencialidade, integridade e disponibilidade das informações? (ITGI, 2007, p. 15).

8.3 – Domínios do COBIT e os processos de TI Dentro destes quatro domínios, o COBIT identicou 34 processos de TI que foram ligados a objetivos de negócio. Para cada um desses 34 processos de TI foram identicados objetivos de controle e controles (ITGI, 2007).

58


a) Domínio Planejar e Organizar – Processos de TI

▪ PO1 Denir um Plano Estratégico de TI. ▪ PO2 Denir a Arquitetura da Informação. ▪ PO3 Determinar as Diretrizes de Tecnologia. ▪ PO4 Denir os Processos, a Organização e os Relacionamentos de TI. ▪ PO5 Gerenciar o Investimento de TI. ▪ PO6 Comunicar Metas e Diretrizes Gerenciais. ▪ PO7 Gerenciar os Recursos Humanos de TI. ▪ PO8 Gerenciar a Qualidade. ▪ PO9 Avaliar e Gerenciar os Riscos de TI. ▪ PO10 Gerenciar Projetos. b) Domínio Adquirir e Implementar – Processos de TI

▪ AI1 Identicar Soluções Automatizadas. ▪ AI2 Adquirir e Manter Software Aplicativo. ▪ AI3 Adquirir e Manter Infraestrutura de Tecnologia. ▪ AI4 Habilitar Operação e Uso. ▪ AI5 Adquirir Recursos de TI. ▪ AI6 Gerenciar Mudanças. ▪ AI7 Instalar e Homologar Soluções e Mudanças. c) Domínio Entregar e Suportar – DS – Processos de TI

▪ DS1 Denir e Gerenciar Níveis de Serviços. ▪ DS2 Gerenciar Serviços Terceirizados.


59

▪ DS3 Gerenciar o Desempenho e a Capacidade. ▪ DS4 Assegurar a Continuidade dos Serviços. ▪ DS5 Garantir a Segurança dos Sistemas. ▪ DS6 Identicar e Alocar Custos. ▪ DS7 Educar e Treinar os Usuários. ▪ DS8 Gerenciar a Central de Serviço e os Incidentes. ▪ DS9 Gerenciar a Conguração. ▪ DS10 Gerenciar Problemas. ▪ DS11 Gerenciar os Dados. ▪ DS12 Gerenciar o Ambiente Físico. ▪ DS13 Gerenciar as Operações. d) Domínio Monitorar e Avaliar – Processos de TI

▪ ME1 Monitorar e Avaliar o Desempenho de TI. ▪ ME2 Monitorar e Avaliar os Controles Internos. ▪ ME3 Assegurar a Conformidade com Requisitos Externos. ▪ ME4 Prover Governança de TI.

8.4 – Processo de TI – DS5 Garantir a Segurança dos Sistemas Neste processo de Tecnologia da Informação o COBIT considera controles para garantir a segurança da informação com foco nos sistemas de Tecnologia da Informação e indica a política de segurança da informação como um dos seus elementos. O escopo deste processo é assim denido: Para manter a integridade da informação e proteger os ativos de TI, é necessário implementar um processo de gestão de segurança.

60


Esse processo inclui o estabelecimento e a manutenção de papéis, responsabilidades, políticas, padrões e procedimentos de segurança de TI. A gestão de segurança inclui o monitoramento, o teste periódico e a implementação de ações corretivas das deciências ou dos incidentes de segurança. A gestão ecaz de segurança protege todos os ativos de TI e minimiza o impacto sobre os negócios de vulnerabilidades e incidentes de segurança (ITGI, 2007, p. 119).

O COBIT deniu onze controles para este processo de TI, (ITGI, 2007, p. 120). São eles: a) DS5.1 Gestão da Segurança de TI

Gerenciar a segurança de TI no mais alto nível organizacional da empresa de modo que a gestão das ações de segurança esteja em alinhamento com os requisitos de negócio. b) DS5.2 Plano de Segurança de TI

Traduzir os requisitos de negócio, de risco e conformidade, em um plano abrangente de segurança de TI, que leve em consideração a infraestrutura de TI e a cultura de segurança. O plano deve ser implementado em políticas e procedimentos de segurança, juntamente com investimentos adequados em serviços, pessoal, software e hardware. Políticas e procedimentos de segurança devem ser comunicados aos usuários e às partes interessadas. c) DS5.3 Gestão de Identidade

Todos os usuários (internos, externos e temporários) e suas atividades nos sistemas de TI (aplicação de negócio, desenvolvimento, operação e manutenção de sistemas) devem ser identicáveis de modo exclusivo. Os direitos de acesso dos usuários aos sistemas e dados devem estar em conformidade com as necessidades dos negócios e com os requisitos da função denidos e documentados.


61

Os direitos de acesso devem ser solicitados pela gestão de usuários, aprovados pelo proprietário do sistema e implementados pelo responsável pela segurança. As identidades e os direitos de acesso dos usuários devem ser mantidos em um repositório central. É necessário implementar e manter atualizadas medidas técnicas e de procedimentos com boa relação custo-benefício para determinar a identificação dos usuários, implementar a devida autenticação e impor direitos de acesso. d) DS5.4 Gestão de Contas de Usuário

Assegurar que a solicitação, a emissão, a suspensão, a modicação e o bloqueio de contas de usuário e dos respectivos privilégios sejam tratados por procedimentos de gestão de contas de usuário. Incluir um procedimento de aprovação de concessão de direitos de acesso pelos proprietários dos dados ou sistemas. Esse procedimento deve ser aplicado a todos os usuários, inclusive aos administradores (usuários com privilégios), usuários internos e externos, para os casos normais ou emergenciais. Direitos e obrigações relativos ao acesso a sistemas e informações corporativos devem ser denidos em contrato para todos os tipos de usuários. Devem ser feitas revisões frequentes de todas as contas e dos respectivos privilégios. e) DS5.5 Teste de Segurança, Vigilância e Monitoramento

Garantir que a implementação de segurança de TI seja testada e monitorada proativamente. A segurança de TI deve ser revalidada periodicamente para garantir que o nível de segurança aprovado seja mantido. A função de monitoramento e registro de eventos (logging) deve possibilitar a prevenção e/ou detecção prematura de atividades anormais e incomuns que precisem ser tratadas, bem como a subsequente geração de relatórios no tempo apropriado.

62


f) DS5.6 Denição de Incidente de Segurança

Denir e comunicar claramente as características de incidentes de segurança em potencial para que possam ser tratados adequadamente pelos processos de gestão de incidentes ou gestão de problemas. g) DS5.7 Proteção da Tecnologia de Segurança

Garantir que as tecnologias de segurança importantes sejam invioláveis e que as documentações de segurança não sejam reveladas desnecessariamente. h) DS5.8 Gestão de Chave Criptográca

Assegurar que sejam estabelecidos políticas e procedimentos de geração, mudança, revogação, destruição, distribuição, certicação, armazenamento, inserção, uso e arquivamento das chaves criptográcas visando proteger contra sua modicação ou revelação pública não autorizada. i) DS5.9 Prevenção, Detecção e Correção de Código de Programação Malicioso

Assegurar que medidas preventivas de detecção e corretivas sejam estabelecidas corporativamente, em especial correções de segurança (patches) e controles de vírus, para proteger os sistemas de informação e tecnologias contra código malicioso (vírus, worms, spyware, spam). j) DS5.10 Segurança de Rede

Garantir que técnicas de segurança e procedimentos de gestão relacionados (como rewalls, aplicativos de segurança, segmentação de rede e detecção de intrusão) sejam utilizados para autorizar o acesso e controlar os uxos de informação entre redes. l) DS5.11 Comunicação de Dados Condenciais

Assegurar que as transações de comunicação de dados condenciais ocorram somente por um caminho conável ou controlado de modo a fornecer autenticação de conteúdo, comprovante de envio, comprovante de recebimento e não rejeição de origem.


63

8.5 – COBIT e a política de segurança da informação O processo de TI DS5 – Garantir a Segurança dos Sistemas atende ao requisito de negócio para TI manter a integridade da infraestrutura de informação e de processamento e minimizar o impacto de vulnerabilidades e incidentes de segurança (ITGI, 2007). A política de segurança da informação está inserida neste processo de TI e está contemplada mais detalhadamente no objetivo de controle DS5.2 – Plano de Segurança de TI. Quando de uma avaliação da Governança de TI realizada utilizando o COBIT, a política de segurança da informação será considerada. Ao possuir uma política de segurança da informação, a organização incrementará o grau de maturidade do seu processo de Tecnologia da Informação e consequentemente suportará melhor os requisitos do seu negócio. A política de segurança da informação é um elemento exigido pelo COBIT para a gestão e a governança da informação e da tecnologia relacionada.

Capítulo 9. A Política de Segurança da Informação e o ITIL ITIL – Information Technology Infrastructure Library: Biblioteca de Infraestrutura para a Tecnologia da Informação

I

TIL (Information Technology Infrastructure Library) é uma estrutura que contém um conjunto de diretrizes e práticas recomendadas que visa estruturar pessoas, processos e tecnologia para aumentar a eciência no gerenciamento de serviços. O ITIL foi desenvolvido pelo governo britânico no nal da década de 80. Sua estrutura se mostrou útil para diversos setores e o ITIL começou a ser utilizado em várias empresas no gerenciamento de serviços (OGC, 2007). Desde essa data, tem sofrido revisões, para acompanhar a evolução do mercado e as novas tecnologias. Destas revisões, houve duas que se destacam: a primeira revisão, que deu origem à versão dois, ITIL V2; e a segunda revisão, que deu origem à versão três, ITIL V3 (versão atual).

9.1 – Estrutura do ITIL A OGC (2007) dividiu o seu material para o ITIL V3 em cinco livros. Com exceção do livro Continual Services Improvement (Melhoria contínua de serviços), cada um dos demais possui um conjunto de funções. a) Service Strategy (Estratégias de serviços)

Garante que todos os elementos do ciclo de vida do serviço são focados em resultados do cliente e se relaciona com todos os elementos do processo que se seguem. Funções:

A Política de Segurança da Informação e o ITIL

65

▪ Composição da Estratégia. ▪ Gerenciamento Financeiro. ▪ Gerenciamento Portifólio de Serviços. ▪ Gerenciamento da Demanda. b) Service Design (Desenho de serviços)

A m de cumprir os requisitos de negócio atuais e futuros, fornece orientações sobre a produção e manutenção de políticas de TI, arquiteturas e documentos para o projeto de soluções de TI para infraestrutura de serviços e processos. Funções: ▪ Gerenciamento de Catálogo de Serviços. ▪ Gerenciamento de Nível de Serviço. ▪ Gerenciamento da Capacidade. ▪ Gerenciamento da Disponibilidade. ▪ Gerenciamento da Continuidade. ▪ Gerenciamento de Segurança da Informação. ▪ Gerenciamento de Fornecedores. c) Service Transition (Transição de serviços)

Fornece orientações e atividades do processo de transição dos serviços no ambiente de negócios operacionais. Funções: ▪ Planejamento. ▪ Gerenciamento de Mudanças. ▪ Gerenciamento da Conguração. ▪ Gerenciamento da Liberação. ▪ Validação e Teste. ▪ Avaliação. ▪ Gerenciamento Base do Conhecimento.

66


d) Service Operation (Operação de serviços)

Apresenta, explica e entrega os detalhes e as atividades de controle para alcançar a excelência operacional no dia a dia. Funções: ▪ Gerenciamento de Eventos. ▪ Gerenciamento de Incidentes. ▪ Requisição. ▪ Gerenciamento de Problemas. ▪ Gerenciamento de Acessos. e) Continual Services Improvement (Melhoria contínua de serviços)

Juntamente com a entrega consistente, o ITIL enfatiza nesta função a importância da melhoria contínua como parte da qualidade do serviço. A Figura 8 apresenta os Serviços do ITIL de uma maneira estruturada e como eles devem interagir. Como centro de todas as ações encontram-se as Estratégias do Serviço, garantindo que os demais elementos do ciclo de vida do serviço estarão focados em resultados do cliente. Ao redor deste serviço, encontram-se de uma maneira contínua: o Desenho de Serviços, a Transição de Serviços e a Operação de Serviços. Esse encadeamento demonstra a continuidade dessa sequência, aprimorando sempre, pois todo este ambiente está envolvido pela Melhoria Contínua de Serviços.


67

Figura 8 – Serviços do ITIL Fonte: ITIL V3, Service Design (OGC,2007)

9.2 – ITIL e a política de segurança da informação O ITIL é uma estrutura voltada para o gerenciamento de serviço. Neste contexto, a segurança da informação aparece como uma função do Service Design (Desenho de Serviços). Breternitz, Neto e Navarro (2009) descrevem a necessidade da qualidade nos serviços de tecnologia da informação das organizações e da existência do módulo de segurança da informação compondo este gerenciamento de serviços. Em um ambiente no qual as organizações dependem cada vez mais da qualidade de seus serviços de Tecnologia da Informação para poderem prestar serviços e produzirem bens de forma adequada, torna-se vital adotar ferramentas que garantam essa qualidade. Uma das ferramentas mais utilizadas para esse m é a biblioteca ITIL (Information Technology Infrastructure Library), que possui um módulo que trata de gerenciamento da segurança (Breternitz, Neto e Navarro, 2009, p. 1).

Segundo a OGC (2007), o objetivo do Gerenciamento de Segurança da informação é alinhar a segurança de TI com a segurança do negócio e garantir

68


que a segurança da informação esteja efetivamente gerenciada em todos serviços e atividades do Gerenciamento de Serviços. Para o ITIL, o processo do Gerenciamento de Segurança da Informação contempla: ▪ A produção, manutenção, distribuição e melhoria de uma Política de Segurança da Informação e das demais políticas complementares. ▪ A garantia da adequação dos requerimentos de negócio com a Política de Segurança do Negócio. ▪ Implementação de um conjunto de controles que suportem a Política de Segurança da Informação e gerencie os riscos associados aos acessos a serviços, informações e sistemas. ▪ Documentação de todos os controles de segurança, juntos com a operação e manutenção dos controles e dos riscos associados. ▪ Gerenciamento dos fornecedores e contratados em relação ao acesso aos sistemas e serviços, em paralelo com o Gerenciamento de Fornecedores. ▪ Gerenciamento de todas as falhas e incidentes de segurança associados aos sistemas e serviços. ▪ Melhoria proativa nos controles de segurança, gerenciamento de risco de segurança e na redução dos riscos de segurança. ▪ Integração dos aspectos de segurança com os demais processos de gerenciamento de serviços de TI (OGC, Service Design, p. 245). O próprio documento do Service Design detalha mais sobre as Políticas de Segurança da Informação quando indica quais políticas relativas à segurança da informação devem existir (OGC, 2007): ▪ Uma Política de Segurança da Informação de mais alto nível. ▪ Política sobre o uso de recursos de TI. ▪ Política de controle de acesso. ▪ Política de uso de e-mail. ▪ Política de uso de Internet.


69

▪ Política de uso de antivírus. ▪ Política de classicação de documento. ▪ Política de acesso remoto. ▪ Política de acesso a serviços de TI por fornecedores. ▪ Política de uso de ativos. A política de segurança da informação aparece como um elemento importante na função de Gerenciamento da Segurança da Informação. Se uma organização desejar estar alinhada com o ITIL, precisará considerar a segurança da informação, e neste contexto precisará ter uma efetiva e estruturada Política de Segurança da Informação.

Capítulo 10. A Política de Segurança da Informação e a Governança Governança Corporativa Governança da Segurança da Informação

10.1 – Governança corporativa A governança corporativa surgiu há algumas décadas quando os governos decidiram denir regras mais rígidas para a gestão das organizações em função de escândalos corporativos que levaram ao fechamento de grandes corporações aparentemente sólidas. O IBGC (2009, p. 19), em seu código de melhores práticas de governança corporativa, dene governança corporativa como: Sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, Conselho de Administração, Diretoria e órgão de controle. As boas práticas de Governança Corporativa convertem princípios em recomendações objetivas, alinhando interesses com a nalidade de preservar e otimizar o valor da organização, facilitando seu acesso a recursos e contribuindo para sua longevidade.

A governança corporativa possui quatro princípios e objetivos básicos (IBGC, 2009): a) Transparência: prover informações relevantes, não apenas as obrigatórias por lei, de forma clara e tempestiva a qualquer interessado. b) Equidade: tratamento, de forma justa, de todos os stakeholders, bem como não adoção de práticas ou políticas discriminatórias.

A Política de Segurança da Informação e a Governança

71

c) Prestação de Contas: prestação de contas de todos os sócios, conselheiros scais e auditores (agentes de governança), dos seus atos administrativos, assumindo toda e qualquer consequência pelos seus atos. d) Responsabilidade corporativa: os agentes de governança corporativa devem tomar decisões visando a continuidade do negócio, de forma ética, sem se esquecerem da sociedade e meio ambiente. Para atender a estes princípios a organização precisa de informação conável. Por esta necessidade a informação tornou-se um recurso crítico. O ITGI (2006, p. 7) coloca bem esta questão quando indica: Informação e sistemas que tratam esta informação são críticos para a operação de todas as organizações. O acesso conável à informação se tornou um componente indispensável na condução do negócio; além do que para um crescente número de organizações, informação é o negócio. Esta crescente dependência pela informação foi identicada há cerca de uma década, quando Peter Drucker armou que “a difusão da tecnologia e a mercantilização da informação transformou o papel da informação em um recurso de igual importância à terra, trabalho e capital.”

Por esta abordagem cresce a necessidade de uma orientação vinda do alto escalão da organização e cresce a necessidade da existência de uma Governança para as organizações.

10.2 – Governança de segurança da informação A ISACA (Information Security Audit and Control Association), uma associação global formada na década de 1960 e atualmente com mais de 70.000 prossionais de controle, segurança e auditoria associados, dene governança como: Um conjunto de responsabilidades e práticas exercidas pelos administradores do alto escalão da organização e pelos gerentes executivos com o objetivo de prover uma direção estratégica garantindo que os objetivos serão atingidos, certicando-se que os riscos são

72


gerenciados adequadamente e vericando que os recursos corporativos estão sendo usados com responsabilidade (ISACA, 2010).

Até recentemente na maioria das corporações a segurança da informação estava restrita ao ambiente de TI, se preocupando basicamente com a garantia de proteção para os dados processados e armazenados neste ambiente. Um dos principais motivos deste foco é a dependência, por parte das organizações, dos recursos de tecnologia da informação e comunicação (Bernardes e Moreira, 2005, p. 1). Com as exigências da governança corporativa, a segurança deixou de ser um controle especíco de TI para ser um elemento do negócio e da gestão deste negócio, sempre considerando o gerenciamento de riscos e a prestação de contas no uso da informação ou no uso dos recursos de informação. Uma segurança da informação efetiva exige o envolvimento dos executivos da organização para participar da avaliação das novas ameaças e da denição de prioridades. É responsabilidade da alta direção da organização e dos gerentes executivos: 1. Entender a criticidade da informação e da segurança da informação na organização. 2. Rever o investimento da segurança da informação considerando o alinhamento da segurança da informação com a estratégia de negócio da organização e com o perl de risco denido pela organização. 3. Dar efetivo apoio ao desenvolvimento e implantação de um abrangente programa de segurança da informação. 4. Exigir relatórios periódicos da gerência sobre o desenvolvimento e efetividade dos requisitos denidos pela alta direção (ITGI, 2006, p. 9).

Ao tratar a informação e a sua segurança os executivos devem considerar as seguintes questões: ▪ Crescente dependência em relação à informação, aos sistemas e aos recursos de comunicação que possibilitam o uso da informação na organização.


73

▪ Dependência de outras entidades. ▪ Crescente demanda de compartilhar informações com parceiros, fornecedores e clientes. ▪ Impacto na reputação e no valor da companhia em função de falhas na segurança da informação. ▪ Falha na dosagem da importância da segurança da informação para a alta direção (ITGI, 2006, p. 9). O ITGI dene a governança da segurança da informação como: Um subconjunto da Governança Corporativa que fornece orientação estratégica, assegura que os objetivos serão alcançados, gerencia os riscos adequadamente, garante o uso dos recursos organizacionais de maneira responsável e monitora o sucesso ou fracasso do programa corporativo de segurança da informação (ITGI, 2006, p. 17). Como estrutura básica para a governança da segurança da informação o ITGI recomenda a existência dos seguintes elementos:

▪ Uma metodologia para gerenciamento de riscos em segurança da informação. ▪ Uma abrangente estratégia de segurança explicitamente conectada aos objetivos de negócio e aos objetivos de TI. ▪ Uma estrutura organizacional de segurança da informação eciente. ▪ Uma estratégia de segurança da informação que explicite o valor da informação protegida e informação entregue. ▪ Políticas de segurança da informação que direcionem cada aspecto da estratégia e dos requisitos denidos em regulamentação. ▪ Um completo conjunto de padrões de segurança para cada política denida, de maneira a garantir que os procedimentos e diretrizes estão coerentes com a política.

74


▪ Um processo de monitoramento institucionalizado para garantir o cumprimento e dar o retorno sobre a ecácia da minimização do risco. ▪ Um processo para assegurar uma avaliação contínua e atualizada das políticas de segurança, padrões, procedimentos e riscos (ITGI, 2006, p. 18) . Verica-se que nesta estrutura básica de governança de segurança a política de segurança da informação é um dos seus elementos. É sempre dito que a governança da segurança da informação, para ser denida, implementada e mantida, precisa do apoio da alta administração. Algumas entidades deniram formalmente esta exigência. A NACD (The National Association of Corporate Directors – USA), associação líder de prossionais do alto escalão e gerentes executivos de corporações, reconheceu a importância da segurança da informação (ITGI, 2006). A NACD recomenda a prática pela alta direção de quatro atitudes essenciais: ▪ Coloque a segurança da informação na agenda da alta direção. ▪ Identique líderes de segurança da informação, dena responsabilidades para eles e garanta suporte para eles exercerem as funções de segurança da informação. ▪ Assegure a ecácia da política de segurança da informação da corporação através de revisões e aprovações periódicas. ▪ Atribua a segurança da informação a um comitê importante na organização e garanta o adequado suporte a este comitê (ITGI, 2006, p. 12). Com esta recomendação ca explícita a necessidade de uma Política de Segurança da Informação quando da necessidade de utilizar a abordagem de governança de segurança da informação. Também quando se destaca a importância das pessoas no processo da governança da segurança da informação, a política de segurança da informação novamente é citada: A Governança da Segurança da Informação requer o comprometimento da gerência sênior, uma cultura e conscientização em segurança, a promoção de boas práticas de segurança e o cumprimento da política de segurança


75

da informação. É mais fácil comprar uma solução do que realizar uma mudança na cultura. Mas, até o sistema mais seguro não vai conseguir um signifcativo grau de segurança, caso seja utilizado por pessoas mal treinadas, inexperientes, descuidadas ou indiferentes em relação à segurança da informação

(ITGI, 2006, p. 16).

O ITGI (2006, p. 13) resume bem o ambiente para a governança da segurança: Governança para a Segurança Corporativa signica uma visão adequada da segurança como um requerimento não negociável na realização do negócio. Se a gerência de uma organização – incluindo a alta administração, diretores e gerentes executivos e todos os gerentes – não estabelecer e reforçar que o negócio precisa de uma efetiva segurança corporativa, o desejado estado de proteção não será desenvolvido, atingido e mantido ao longo do tempo. Para alcançar a capacidade de sustentabilidade empresarial, a organização deve fazer com que a segurança corporativa seja de responsabilidade dos líderes em nível de Governança e não de pessoas em outras funções organizacionais que não possuem: autoridade, responsabilidade, recursos para agir e poder para exigir a conformidade.

A Figura 9 a seguir apresenta uma representação conceitual da governança de segurança da informação. A mensagem principal desta representação são os elementos do meio da gura, onde indica uma sequência de prioridade. Primeiramente deve existir a Estratégia do Negócio (Business Strategy). Somente após o negócio denir sua estratégia, pode ser denida a Estratégia de Segurança da Informação e Gestão de Risco (Risk Management/Information Security Strategy). Em seguida são desenvolvidos os Planos de Ação, Políticas e Padrões (Security Action Plans, Policies and Standards). Na Figura, o grupo à esquerda indica o nível/hierarquia dos prossionais envolvidos e o grupo à direita indica os produtos elaborados.

76


Figura 9 – Estrutura Conceitual da Governança de Segurança da Informação Fonte: ITGI (2006)

10.3 – A participação da direção e das áreas de negócio na governança da segurança da informação Para a existência efetiva da governança em segurança da informação é fundamental a participação da direção e dos gestores das áreas de negócio da organização nas diversas iniciativas da área de segurança da informação. No anexo 3 estão descritos 51 controles de segurança da informação que devem ter a participação da direção, executivos ou dos gestores da organização. Cada um desses controles citados, com certeza, se desdobrará em várias ações, em novas responsabilidades e, consequentemente, em uma maior dedicação ao tema segurança da informação pelos gestores. Segurança da informação é um processo que exige recursos da organização. E são os mais diversos recursos. Na maioria das vezes identica-se apenas o recurso nanceiro. Mas outros recursos, como o tempo dos gestores da organização, são fatores críticos de sucesso para a proteção da informação. Em termos quantitativos e em percentual, este tempo dedicado é pequeno, mas precisa existir, não pode ser postergado, não pode ser repassado e precisa ser feito no momento correto. Além deste tempo, os gestores precisam dar exemplo de conduta e de subordinação às políticas e normas existentes e não podem não cumprir estes regulamentos porque vão gastar mais tempo. A dedicação de tempo dos gestores da organização ao processo de segurança da informação indicará, de uma maneira simples e prática, qual a maturidade da organização em proteger suas informações.

Capítulo 11. Arquitetura para Políticas e Normas de Segurança da Informação

O

conjunto da política de segurança da informação e dos demais regulamentos deve ter uma arquitetura que facilite a estruturação desses regulamentos. Não existe uma estrutura rígida de separação dos tipos de orientações. Recomendo o seguinte nível de granularidade das regras transmitidas pelos regulamentos: a) Política

Contém as diretrizes que devem ser seguidas. São orientações básicas que indicam o que se quer. Não denem a maneira como deve ser feita nem como deve ser a implantação. b) Norma

Contém regras básicas de como deve ser implementado o controle (ou conjunto de controles) que foi denido pela política da organização ou por algum regulamento que a organização deve seguir e car em conformidade. A característica da norma é que este documento, além de denir o que se quer, também já explica mais sobre como se deve fazer para atender um determinado controle ou conjunto de controles. c) Procedimentos

Contêm atividades que detalham como deve ser implantado o controle ou conjunto de controles. A característica deste regulamento é a preocupação em descrever de maneira detalhada como deve ser feita uma atividade.

78


Para exemplicar podemos tomar o caso de autenticação de usuário. A política poderia declarar que todo usuário deverá ser identicado e autenticado individualmente. Neste exemplo a Norma poderá indicar que a autenticação do usuário poderá ser feita por biometria ou por utilização de senha. Quando da utilização de senha, esta deve ser secreta, de conhecimento apenas do respectivo usuário e deve ser construída de maneira a evitar senhas frágeis, isto é, senhas que podem ser facilmente quebradas por outros usuários ou programas maliciosos. Como Procedimento, podemos ter a denição da regra de construção de senha, ,que, inclusive, pode ser diferente para cada tipo de ambiente de tecnologia que a organização possui, variando dos sistemas legados até o aplicativo mais moderno. Muitas vezes, no dia a dia, não conseguimos ter esta rígida separação. O importante é que tenhamos este conjunto de conceitos como referência e que nos balizemos com ele sempre que estivermos denindo regulamentos. Para esta estruturação da política, tomamos por base as Dimensões da Segurança da Informação já denidas no livro “Praticando a Segurança da Informação”, Editora Brasport, como mostra a Figura 10 a seguir.

Figura 10 – Estrutura baseada na Norma Internacional ISO/IEC 27002:2005 Fonte: Livro Praticando a segurança da informação, Edison Fontes, Editora BRASPORT, 2008.

Arquitetura para Políticas e Normas de Segurança da Informação

79

Para estruturar o conjunto de regulamentos recomendamos uma arquitetura para as políticas e normas. No primeiro nível, a Política de Segurança e Proteção da Informação que deverá ser assinada pelo Presidente da organização ou que seja aprovada pelo Conselho de Administração da organização. No segundo nível, teremos as políticas-normas das diversas dimensões da segurança da informação. Não necessariamente precisamos ter um documento para cada dimensão. Esta separação por dimensões é orientadora e ajudará o Gestor da Segurança da Informação a melhor estruturar os documentos. Consideramos as seguintes dimensões: ▪ Acesso lógico à informação. ▪ Continuidade de negócio. ▪ Resiliência operacional. ▪ Desenvolvimento e aquisição de sistemas. ▪ Conscientização e treinamento de usuários. ▪ Acesso físico à informação. ▪ Gestão de riscos. ▪ Classicação da informação. ▪ Proteção técnica do ambiente computacional. ▪ Regulamentação legal e de mercado. ▪ Gestão de incidentes. ▪ Cópias de segurança. ▪ Tratamento forense de erros e fraudes. A partir do terceiro nível devemos ter os procedimentos e os padrões que devem ser seguidos. Muitas vezes neste nível acontece a separação de regras por ambiente ou por organizações. Por exemplo, a denição de regras de autenticação poderá ser diferente para sistemas atuais que permitem o uso de biometria e dos sistemas mais antigos que utilizam apenas a senha. Até mesmo entre os sistemas mais antigos poderemos ter regras diferentes.

80


Outro tipo de regras e controles que podem ficar diferenciados é quando o grupo empresarial é formado por organizações com negócios bem diferentes e que precisam ter tratamento de proteção de informação diferente. Uma indústria e uma faculdade podem pertencer ao mesmo grupo empresarial e devem possuir as mesmas diretrizes básicas de segurança, mas deverão ter controles, regras e procedimentos diferentes para os seus clientes e funcionários. É importante que a organização estabeleça a sua Arquitetura de Regulamentos para a Segurança da Informação. A estrutura apresentada neste livro é uma estrutura que tenho implementado nas organizações. Porém sempre em cada organização ela é implementada com pequenas alterações para atender à necessidade da organização e/ou do conglomerado das organizações. Vejamos a Figura 11 a seguir.

Figura 11 – Arquitetura de Regulamentos para Segurança da Informação. Fonte: Autor

É importante que a organização tenha um quadro equivalente ao quadro exemplo da Figura 11, contendo a estrutura completa que deseja (e precisa) ter em relação aos regulamentos de segurança da informação. Nesta arquitetura

Arquitetura para Políticas e Normas de Segurança da Informação

81

de regulamentos deve-se indicar o que já se tem implantado e o que ainda não foi desenvolvido e implantado. Desta maneira a organização terá uma correta visão da sua situação de maturidade e extensão em relação às normas, políticas e procedimentos de segurança da informação. Uma outra questão que importuna todo Gestor de Segurança da Informação, principalmente quando a organização está iniciando o processo de segurança da informação, é como fazer para que estes regulamentos contemplem todos os controles denidos pelas normas internacionais de segurança. Anal a Norma NBR ISO/IEC 27002 possui 133 controles. No Anexo 2 é apresentada uma pesquisa realizada com grandes organizações que possuem um alto patamar de maturidade em segurança da informação. Esta pesquisa indica um padrão mínimo de controles para uma política de segurança da informação, baseada no fato de que 30% dos controles da norma são utilizados por 70% das organizações. Este padrão mínimo é um excelente patamar inicial de controles de segurança e facilita a organização que está começando seu processo de segurança da informação.

Capítulo 12. Escrevendo Políticas e Normas de Segurança da Informação

12.1 O processo de criação de regulamentos Os regulamentos de segurança da informação são especícos para cada organização. Existem conceitos e controles que devem ser considerados por todas as organizações, porém, a forma de implantação, a rigidez dos controles, a abrangência do público que será atingido e a granularidade das regras são especícos de cada organização. A política de segurança da informação deve ser uma consequência de como a organização deseja proteger a sua informação. Uma organização que tenha uma política fraca de segurança da informação é uma organização que, pelas mais diversas razões, (cultura, ambiente interno, integridade dos executivos, momento, exigência de legislação) não quer proteger adequadamente a sua informação. Todas Todas as organizações, sem exceção, podem proteger adequadamente o recurso informação. Para desenvolver documentos de políticas e normas de segurança da informação recomendamos que o prossional que recebeu esta missão considere os seguintes temas descritos a seguir. Eles ajudarão para que a criação dos regulamentos aconteça de forma concreta, verdadeira e sustentável ao longo do tempo.

12.2 Motivações para a existência da política de segurança da informação Para melhor entender a organização que deniu que deve ter políticas e normas de segurança da informação é conveniente que seja identicada qual

Escrevendo Políticas e Normas de Segurança da Informação

83

foi a motivação para a existência da Política de Segurança da Informação. Conhecendo este motivador, motivador, teremos mais chances de melhor implementar estes regulamentos, atender mais adequadamente à direção da organização e também melhor entender o comportamento das pessoas durante o desenvolvimento, a implantação e a manutenção deste processo. A organização autoriza o desenvolvimento e a implantação de políticas e normas de segurança da informação, por algumas razões. raz ões. a) Legislação

A organização realiza um tipo de negócio que está submetido a leis e/ou que possui um órgão regulamentador que tem poder sobre todas as organizações desse segmento de negócio. É mandatório que a organização siga estas regras (leis, regulamentos) existentes. b) Exigência do mercado e/ou dos clientes

Neste caso a organização não precisa obrigatoriamente atender a uma lei ou um regulamento, porém o próprio mercado começa a car mais exigente e começa a considerar um diferencial as organizações que possuem um processo de segurança da informação que necessita ter um conjunto de políticas, normas e procedimentos. Em muitos casos a demanda por um processo formal de segurança da informação e consequentemente a existência da política de segurança começa com a solicitação de um cliente especíco. É a indicação de que o mercado em que a organização atua começa a exigir o processo de segurança da informação nos seus fornecedores. c) Adequação às melhores práticas – Ficar bem na foto

Muitas organizações começam a desenvolver políticas de segurança da informação porque as melhores práticas de gestão da informação consideram este fato e porque diretivas aceitas globalmente, como COBIT, ITIL, Normas internacionais da família ISO 27000, exigem a política de segurança da informação para cada organização. Então, esta organização precisa estar adequada a estas normas e diretivas para que apareça como seguidora das melhores práticas.

84


d) Avanço tecnológico

A rapidez do avanço tecnológico pode levar a organização a sentir a necessidade de regulamentar o uso de novas tecnologias. Daí a necessidade de escrever políticas e normas para que se controle c ontrole o uso destas novas tecnologias que tratam a informação da organização. e) Necessidade do negócio

Na essência, esta deveria ser a única motivação para que uma organização desenvolva seus regulamentos de segurança da informação. Evidentemente, para considerar esta motivação todas as motivações anteriores devem ser consideradas. Elas seriam subitens deste item maior.

12.3 – O projeto de política de segurança da informação Ao desenvolver uma política ou um conjunto de regulamentos de segurança da informação é necessário tratar este assunto como um projeto com início, meio e m. Deve-se identicar o patrocinador, patrocinador, criar documentação, ter acompanhamento das etapas, concluir o projeto e compartilhar compar tilhar as lições aprendidas. Devemos separar bem os conceitos do projeto de regulamentos e os conceitos do processo de segurança da informação. O projeto de elaboração de regulamentos (políticas e normas) tem início, meio e m, com a característica de termos vários projetos ao longo do tempo. O processo de segurança da informação é único e deve existir durante toda a vida da organização e até após a vida operacional dela, pois as informações disponibilizadas para o mundo virtual existirão para sempre. Para elaborar uma política de segurança e seus regulamentos complementares, devemos considerar as seguintes etapas: a) Inicialização do projeto

Nesta etapa devemos descrever o projeto, justicá-lo e declarar o seu objetivo. Estas são as informações básicas para começar um projeto. Em seguida, o escopo do projeto deve ser denido. Como estamos tratando de políticas de segurança da informação, esta limitação do escopo pode ser


85

referente à abrangência dos documentos que serão gerados e/ou em relação ao detalhamento do texto destes documentos. Para o primeiro caso, podemos, por exemplo, denir que este projeto irá desenvolver a política principal e os regulamentos da Dimensão Acesso à Informação e a Dimensão Continuidade de Negócio. Para a segunda questão devemos esclarecer se os documentos gerados serão políticas, normas e procedimentos, inclusive procedimentos ou padrões técnicos. Nesta etapa de Inicialização do projeto é importante que sejam registradas as restrições, isto é, os fatores que podem impactar o projeto e impedir a construção do produto nal. Por exemplo, podemos registrar sobre este tema o fato de que a participação de gestores das Áreas de Negócio, N egócio, Jurídica e de Recursos Humanos, é crítica para a construção das políticas e demais regulamentos. Com isto estamos declarando que, se estes gestores não participarem adequadamente, o projeto não terá sucesso no seu objetivo. Também é necessária a denição das premissas que este projeto assume. Premissas são fatos, situações ou compromissos que são tomados como existentes. Isto é, vão acontecer. Por exemplo, uma premissa é que, tendo se denido o cronograma de ações, todos os envolvidos no projeto cumprirão os prazos estabelecidos. Outra premissa é que, caso alguma pessoa necessite se afastar do projeto, um outro prossional com o mesmo grau de conhecimento do anterior será agregado ao projeto de maneira planejada sem impacto para o cronograma preestabelecido. Finalmente, é preciso denir o produto a ser entregue. Esta denição deve ser a mais detalhada possível, no que diz respeito ao produto. Por exemplo, um produto nal pode ser o conjunto de dez normas denidas e aprovadas em papel, e outro produto pode ser dez regulamentos aprovados e divulgados na rede interna da empresa em conjunto com um treinamento dos usuários sobre estes regulamentos. b) Desenvolvimento do projeto

Para a realização de um projeto de políticas e normas de segurança da informação devemos realizar um levantamento do que existe na organização ou no grupo de organizações em relação ao tema que estaremos trabalhando para a denição dos regulamentos. Mesmo organizações do mesmo grupo empresarial podem ter políticas e normas de segurança da informação diferentes. Por isso

86


é necessário analisar o que existe e quais são as necessidades. Este conjunto de regulamentos existentes será um orientador para este projeto. É importante que seja identicado se estes regulamentos são de fato seguidos ou são apenas exemplares de documentos que registram regras – neste caso, nenhum usuário levará a sério estas recomendações. O Gestor da Segurança precisa conhecer fortemente as normas de segurança da informação, especialmente as normas internacionais divulgadas pela ISO/IEC. Baseado nos controles destas normas este prossional, irá, com a ajuda das área de negócio, de recursos humanos, de tecnologia da informação, da jurídica e da alta administração, denir as políticas e as normas de segurança da informação. Para tanto será necessário fazer um mapeamento para identicar com quais áreas da organização será feita a discussão sobre controles de segurança. Um mesmo controle de segurança da informação é implantado de maneira diferente em organizações distintas. Não existe certo ou errado. Existem implantações coerentes com o que a organização decide para as suas informações e seus usuários. Um exemplo simples é o uso de e-mail corporativo pelos estagiários. Algumas empresas não permitem, outras permitem mas limitam apenas para uso interno e outras empresas liberam sem restrições. No caso deste controle, as áreas de recursos humanos e jurídica têm forte participação. A área de negócio também deve participar desta denição, pois podemos ter o caso em que a função do estagiário seria se comunicar com pessoas internas e externas da empresa, informando o retorno de uma determinada solicitação. Por tudo isto, é necessário planejar e estruturar as reuniões de trabalho deste projeto. O Gestor da Segurança da Informação deve identicar, considerando as regras da organização, quais serão as pessoas que assinarão cada regulamento. Evidentemente, assinar o documento pressupõe que esta pessoa fará a revisão nal. Cada documento a ser gerado precisa ter denido quem será o seu autorizador. Baseado nos levantamentos e nas reuniões de trabalho, o Gestor da Segurança da Informação precisa desenvolver os regulamentos. Após a escrita do texto inicial é necessário e conveniente que este texto seja revisado pelos participantes das reuniões de trabalho referente a cada documento. Esta etapa poderá signicar não apenas uma revisão, mas várias revisões e novas reuniões de trabalho. Para esta atividade sugerimos que sejam previstas no cronograma pelo menos duas rodadas de revisões para cada documento e evidentemente as suas validações. É um parâmetro. Você vai ter que descobrir como será o esforço destas revisões


87

e validações na organização que você atua. Mas é fundamental, imprescindível e obrigatório que este esforço seja colocado no cronograma do projeto. Após estas revisões ainda resta a revisão do validador, que também deve ser considerado no esforço e cronograma do projeto. Lembre-se da diferença de horas de esforço (homens/hora) e o tempo de realização para a atividade (datas do calendário). Todos os documentos gerados devem estar em conformidade com o padrão dos documentos de regulamentação da organização. Caso a organização não tenha um padrão, você deve contemplar no esforço e cronograma deste projeto a atividade de denir um padrão para as políticas e normas de segurança da informação. c) Entrega, comunicação e treinamento do produto nal

Após a conclusão da elaboração dos regulamentos e sua aprovação o trabalho ainda não está terminado. Isto é, o projeto ainda não terminou. É necessário realizar formalmente a entrega, pois para regras que vão legislar internamente a organização é importante a data da implantação de cada um dos regulamentos. A partir daquela data as regras valerão para todos os usuários da informação da organização. Todos! Mas, se queremos que as políticas e normas de segurança da informação sejam ecazes na organização, é necessário realizar uma comunicação formal e efetiva. Todos precisam saber das novas regras. E, mais do que isto, todas as pessoas que são consideradas nestes regulamentos precisam ser treinadas nestas novas ou atualizadas regras. Uma organização responsável e que deseja verdadeiramente que as pessoas sigam adequadamente seus regulamentos precisa planejar tempo das pessoas para o treinamento, o entendimento, a compreensão e a internalização das políticas e normas de segurança da informação. d) Denição dos processos de manutenção e atualização

Esta etapa dene como acontecerá a manutenção e atualização das políticas e normas de segurança da informação. Na realidade deve existir uma política especíca para a manutenção e atualização de regulamentos. Mas também são necessários documentos mais detalhados indicando, por exemplo, quem é o responsável pela atualização e em que situações especícas deve acontecer uma manutenção.

88


Tendo denido os processos de manutenção e atualização das políticas e das normas de segurança da informação, este projeto pode se encerrar. Evidentemente, neste momento, um novo projeto contínuo começará: o de atualização e manutenção destes regulamentos.

12.4 – Alinhamento aos objetivos da organização, objetivos do negócio A política e demais regulamentos de segurança da informação devem reetir o que a organização deseja como proteção da informação. Algumas vezes a proteção da informação existe, porém sem a existência de políticas e normas. Neste caso os regulamentos irão documentar a boa cultura da organização em relação à segurança da informação. Porém, em outros casos a organização está completamente sem rumo em termos de proteção da informação, e as políticas e normas serão os direcionadores como deve ser a proteção da informação. O Gestor de Segurança da Informação é o especialista que irá levantar as questões, recomendar controles e indicar os riscos referentes à proteção da informação para a organização especíca. Ele é responsável pela gestão do processo de segurança da informação. Porém, é a direção e a área de negócio que devem denir o grau de rigor que devem ter os controles. Por exemplo, o Gestor da Segurança da Informação deve levantar a questão do controle referente à guarda de informação (registros de acesso e cópias de informação). O Gestor da Informação (que deve ser da área de negócio) deve indicar o tempo de armazenamento. Ele tem a responsabilidade de saber qual legislação e regulamentos do setor da organização são obrigatórios de serem cumpridos. Inclusive porque esta denição exigirá que os custos para o desenvolvimento e a implantação desses controles sejam de responsabilidade da área de negócio. A partir desta denição, a Área de Segurança da Informação e, no caso de informação no ambiente computacional, a Área de Tecnologia da Informação serão responsáveis pela gestão desses controles e da existência da informação durante o tempo denido. Se o Gestor da Informação determinou que uma informação precisa permanecer utilizável por cinquenta anos, a Área de Tecnologia da Informação irá buscar a melhor solução para este armazenamento, inclusive considerando a necessidade da troca do tipo de mídia em função do fato da mídia original deixar de existir. Para construir a política considerando este alinhamento, o Gestor da Segurança da Informação conta com a Norma NBR ISO/IEC 27002, que dene controles que precisam e devem ter a participação da direção da organização e das áreas de negócio.


89

No Anexo 3 são descritos os controles da Norma 27002, que exigem a participação da direção e das áreas de negócio da organização quando da denição dos controles de segurança da informação. Estes controles deverão ser formalizados nos regulamentos (políticas e normas) de proteção da informação da organização. Os controles que existirão denidos nas políticas e normas de segurança da informação devem ser resultados do desejo de proteção da organização para a sua informação. A gura 12 a seguir indica esta situação. Primeiramente o mais importante é o conjunto de objetivos da organização. Deve ser o início de tudo. Em seguida devemos denir os objetivos da segurança da informação que deverão atender os objetivos da organização e se materializam pela denição dos requisitos de segurança. Sabendo que requisitos de segurança da informação são necessários para a organização, podemos desenvolver e implantar os diversos tipos de regulamentos, cada um com sua característica de conter mais políticas (diretrizes) ou conter mais ações detalhadas (normas, procedimentos). Existindo todo este conjunto de regulamentos, os serviços, produtos e demais atividades da organização serão realizados alinhados à segurança e aos objetivos de negócio da organização. Além do que a segurança acontecerá pela ação do usuário. Estes dois últimos blocos, desenvolvimento dos serviços e usuário, precisam ser submetidos a controles constantes, de gradação adequada ao negócio e aos objetivos da organização.

Figura 12 – Sequência para a segurança ser realizada pelo usuário Fonte: Autor

90


12.5 – Desenvolvendo a política e as normas de segurança da informação O desenvolvimento de políticas e normas de segurança da informação possui os seguintes objetivos: a) Declarar, explicitar e registrar as regras

A organização precisa formalizar as regras que deseja que sejam seguidas por todos que utilizam a sua informação ou os seus recursos de informação. Somente escrevendo e publicando o que deseja que seja realizado quando do acesso e uso da informação é que a organização terá chances de conseguir que estas regras serão cumpridas. Em muitas organizações de porte pequeno e médio, existem regras que não estão escritas e que (às vezes) funcionam bem. A organização tem uma cultura forte, os funcionários trabalham na organização há muitos anos e praticamente não há rotatividade de pessoal. Mas esta não é uma maneira prossional de tratar o assunto de proteção da informação. Mesmo empresas de menor porte devem ter suas políticas e normas de segurança da informação denidas. Evidentemente a sosticação técnica da implementação dos controles será diferente em relação a uma grande organização. Além do que, pequenas e médias empresas crescem e mais do que nunca precisam ser prossionais para atender e continuar no mercado, que cada vez é mais exigente e submetido a regulamentações. b) Denir obrigações, responsabilidades e autoridades

Ao denir os controles e regras, a organização indica como quer que a informação seja tratada. Mas, é necessário indicar quem vai ser responsável pelo quê. O que é obrigação de determinada pessoa, cargo ou área. Também é necessário denir quem tem autoridade para aprovar as políticas, as normas e os procedimentos. Os regulamentos de segurança da informação devem explicitar as obrigações, as responsabilidades e o poder de autorização. c) Denir e formalizar padrões e procedimentos

A construção de regulamentos de segurança da informação dene padrões e procedimentos que devem ser seguidos por todos. Seja uma questão estrutural,


91

como por exemplo a denição de que a identicação do usuário será individual, como uma denição de procedimento de atividades, como por exemplo o que deve ser feito quando um usuário esquecer a sua senha utilizada para sua autenticação para acesso à informação da organização. Padrões e procedimentos permitem que todos os usuários sigam da mesma forma o que deve ser feito para atender aos controles denidos para a segurança da informação. Ao denirmos estes padrões e procedimentos devemos ter em mente que alguma situação de exceção poderá não ser prevista, porém acontecerá. É praticamente certo que este fato acontecerá. Mas não vamos conseguir, ao denir padrões e procedimentos, considerar todas as situações possíveis e colocá-las no normativo. Desta maneira sugiro que você considere o que for possível e razoável de denir e implantar e considere no regulamento o que deve ser feito se uma situação de exceção acontecer. Quem se deve procurar, o que deve ser feito, o que deve ser registrado e outras denições. Em resumo, com a denição de padrões e procedimentos que todos devem seguir, acabamos com a situação de utilizar o “achômetro”, onde cada pessoa pode denir o que deve fazer e como fazer em determinada situação. d) Fornecer informações para os usuários

Os regulamentos de segurança da informação formalizados e publicados permitem que o usuário consulte como ele deve agir em determinadas situações quando estiver tratando com a informação ou com os recursos de informação. A situação contrária acontece quando não existem regulamentos escritos e o usuário tem que perguntar a outro usuário (chefe, colega, subordinado, o guarda da esquina) como deve proceder em determinada situação. As políticas e normas de segurança da informação ao serem publicadas precisam estar em local (físico ou virtual) de fácil acesso. Pouco adianta uma organização ter regulamentos de segurança da informação se os usuários (funcionários, prestadores de serviço, estagiários, diretores, conselheiros, outros) não souberem achar estas regras e recomendações. Um erro que muitas organizações cometem é acreditarem que somente porque o regulamento está no portal (ambiente de tecnologia) da empresa tudo está resolvido. Ela precisa

92


estar no mundo virtual, seja no portal da empresa, no portal de segurança ou em outro local virtual, mas mais importante é que o conjunto de políticas e normas de segurança da informação seja de fácil acesso. Caso contrário todo o esforço de desenvolvimento e implantação terá sido desprezado e a organização será equivalente a uma organização que não possui estes regulamentos. Não basta ter os regulamentos, é preciso que os usuários saibam da sua existência, acessem, leiam, entendam e cumpram. e) Ajudar a educar e treinar as pessoas

O treinamento, a educação e a conscientização das pessoas em segurança da informação é uma dimensão importante no processo de proteção da informação. Ela tem que ser planejada, executada e ter continuidade de ações. Porém, é fator crítico de sucesso para a educação do usuário em segurança da informação a existência de políticas e normas sobre o assunto. Quando se realiza um treinamento de segurança da informação com o usuário, busca-se explicar ao usuário o porquê das medidas e controles que a organização está implantando. Mas isto signica que estas políticas e normas precisam existir previamente na organização, estarem publicadas e serem de conhecimento dos usuários.

12.6 – Premissas para uma existência verdadeira de políticas e normas Existem alguns simples, mas importantíssimos pré-requisitos para que as políticas e normas funcionem adequadamente e cumpram sua missão na organização. a) Apoio verdadeiro e patrocínio explícito da direção

A direção da organização, cristalizando-se pelos seus executivos, precisa querer, acreditar e apoiar verdadeiramente o processo de segurança da informação. As políticas e normas serão uma maneira de explicitar que a direção deseja que a informação seja adequadamente protegida. As ações da direção devem ser explícitas e devem ser divulgadas com todas as pessoas da organização. Evidentemente o exemplo de cada executivo está implícito neste apoio ao processo de segurança da informação.


93

b) As políticas e normas devem representar a verdade da organização

Os regulamentos de segurança da informação são documentos que indicam como a organização deseja que este recurso seja tratado. Os regulamentos não devem ser documentos que serão armazenados e esquecidos em um portal ou em uma pasta em uma estante qualquer. Os regulamentos devem conter o que verdadeiramente a organização deseja para os seus recursos de informação. Fazer de conta que existe proteção porque está escrito é um tratamento que levará a organização a uma fragilidade, a uma existência crescente de vulnerabilidades e a um caos organizacional. c) As políticas e normas devem ser possíveis de ser desenvolvidas e implantadas

As regras e os controles descritos nos regulamentos de segurança da informação devem ser possíveis de serem implantados na organização. Não podemos descrever nos regulamentos controles que nunca serão implantados. Evidentemente haverá ocasiões em que controles e regras podem estar denidos, mas a organização ainda não os têm funcionando. Mas esta situação deve ser tomada como um caminho a ser seguido e ter como objetivo o desenvolvimento de projetos para atender estes controles e estas regras.

12.7 – Desenvolvendo políticas e normas de segurança da informação Com certeza você já leu algum documento que teve muita diculdade para entender. Você começa a ler, termina e ca com muitas dúvidas. Com o objetivo de melhorar o seu entendimento, cada documento deve ter alguns blocos de informação. Descrevemos na Figura 13, a seguir, os blocos mínimos que todo documento de regulamento de segurança da informação deve possuir.

94


Figura 13 – Estrutura de um documento de regulamento em segurança da informação Fonte: Autor

a) Objetivo do documento

Neste bloco é indicado o objetivo do documento, o que é o documento, o que a organização deseja comunicar com este documento. Neste ponto, quando o usuário ler o documento, deve car sabendo do assunto tratado e o seu grau de detalhamento (granularidade das ações). Também neste bloco deve ser indicado o alinhamento ou aderência deste documento com outros regulamentos, legislação, normas e estruturas de tratamento de informações e projetos. Pode-se neste ponto indicar as razões da existência da política ou da norma. Não se deve descrever uma aula sobre o tema, no caso segurança da informação. Políticas e normas têm como objetivo comunicar para os usuários o que a organização deseja para o tratamento dos recursos de informação. Pela política ou norma a organização indicará o que é obrigatório, o que é proibido e o que é desejável ser feito. Explicar em demasia sobre segurança da informação deve ser feito em um outro documento, tipo cartilha e também nos treinamentos e conscientização dos usuários. Não é na política


95

ou na norma que o usuário deverá aprender sobre a teoria da segurança da informação. b) Escopo do documento

Aqui deve-se indicar os ambientes físicos, os ambientes lógicos, os tipos de usuários, as regiões geográcas ou outras denições que indicam os limites da aplicação do documento e das regras. Este bloco indica para quem e para quais ambientes organizacionais as regras serão aplicadas e exigidas. Cada vez mais a linha de separação entre a vida prossional e a vida pessoal do usuário ca mais tênue. Neste bloco pode ser indicado se as recomendações escritas no documento também valem para a vida pessoal do usuário. Outras limitações, tipo tempo de validade do regulamento, podem ser indicadas neste bloco. Alguns padrões de documentos possuem esta informação no seu padrão de documento. Neste caso deve-se seguir o padrão de documentos da organização. As políticas e normas de segurança da informação devem ser documentos como os demais regulamentos sobre os vários assuntos e ambientes da organização. c) Denições ou Glossário

Neste bloco estrutural do documento deverão estar denidos os termos especícos, as abreviaturas, os termos técnicos, os nomes-siglas de entidades, os nomes-siglas de áreas organizacionais, as palavras, as siglas não comuns para os usuários e outros termos utilizados no documento, mas que precisam de uma explicação, pois não são de conhecimento comum para todos os leitores. Quando escrevemos políticas e normas, sempre nos vem uma dúvida, principalmente após termos escritos alguns documentos. Estas denições devem compor todos os documentos ou deveríamos compor um documento especíco e comum para todos os demais documentos? Ter estas denições em cada documento tem a vantagem de facilitar a consulta. Por outro lado, tem a desvantagem de car repetido em vários documentos e, com o passar do tempo, ao ser necessária uma melhoria ou correção da denição, podemos cometer o erro de alterar apenas em alguns documentos. Teremos uma não integridade da informação.

96


Colocar todas as denições em um único documento de glossário tem a vantagem de possuirmos a denição de cada termo em um mesmo local, dando maior garantia de integridade dessas denições. A desvantagem desta opção seria a maior diculdade em realizar consultas. A utilização de documentos eletrônicos e o uso de hiperlinks facilitam estas consultas pelos usuários. Mas, na maioria das vezes, precisaremos ter obrigatoriamente o regulamento em papel. Recomendo, então, que você comece a desenvolver as políticas e normas e coloque as denições em cada documento. Na medida em que a organização for criando os novos regulamentos, caso a quantidade de termos necessários de denições seja crescente e muito grande, sugiro que seja criado um documento de glossário que fará parte dos conjunto de regulamentos de segurança da informação. d) Regras

Este bloco contém as orientações, as regras, que a organização deseja que todos os usuários cumpram. Este bloco é a essência do documento. Neste bloco a organização indicará: ▪ O que deve ser feito. ▪ O que é obrigatório a ser feito. ▪ O que não se pode fazer. ▪ Os princípios que se deseja que sejam seguidos. As regras não podem deixar dúvidas para os usuários. Se precisar ser redundante para ser melhor compreendido, seja redundante. e) Responsabilidades

Neste bloco devem ser denidas as responsabilidades referentes ao documento. Não se trata das responsabilidades em relação às regras. Isto deve estar denido no bloco das regras. Neste ponto deve-se indicar o responsável: ▪ pela atualização, revisão e manutenção do texto do regulamento;


97

▪ pelo treinamento necessário para que os usuários tenham capacidade de cumprir o regulamento; ▪ pela divulgação do texto para os usuários; e ▪ por outras ações necessárias para garantir que o documento será sempre verdadeiro, atualizado, possível de ser cumprido e de conhecimento de todos. Recomendamos que, ao denir responsabilidades, sejam indicados cargos ou áreas. Indicar nomes é válido, porém, poderá gerar uma necessidade de atualização constante sempre que acontecer alteração de pessoas. Analise a situação da sua organização, suas características e sua rotatividade de pessoal. Depois, decida como entende que é a melhor maneira de se declarar na política ou norma. Minha recomendação básica é escolher o cargo ou a área organizacional. f) Cumprimento

Neste bloco devem estar explícitas as possíveis penalidades (gerais ou especícas) caso o usuário não cumpra adequadamente as regras descritas no regulamento. Deve-se indicar o comportamento que será inaceitável para o organização. Neste bloco também deve ser indicado o procedimento do usuário em caso de erro, em caso de dúvidas ou em situações que não estejam previstas no documento.

12.8 – Escrevendo o texto do documento O texto a ser escrito nas políticas e normas de segurança da informação deve ser agradável e de fácil entendimento. Ninguém gosta de ler um documento complicado e que é necessário reler várias vezes um parágrafo para compreender. Não é neste texto que você (ou seja lá quem for que estiver elaborando as políticas e normas de segurança da informação) deve colocar um vocabulário sosticado. O texto destes regulamentos deve ser simples, sem ser simplório. Deve ser como uma boa conversa respeitosa, porém amigável e de boa comunicação. O texto desenvolvido deve ser capaz de ser entendido por todos na organização. Uma questão prática é a utilização de termos em língua estrangeira,

98


normalmente o inglês. Termos como backup, signon, signoff, boot, mouse, screen saver e outros fazem parte do dia a dia de muitas pessoas. Devemos ser inteligentes quando da solução desta questão. Inicialmente é bom lembrar que todo documento de regra e procedimento em empresas brasileiras deve ser escrito em português. Pode até ser uma simples tradução do texto original em inglês. Em muitas situações existem questões legais que obrigam o texto em português. Considerando que em segurança da informação queremos comunicar ao usuário as regras da organização em relação à informação e aos recursos de informação, recomendamos que escreva tudo em português. Alguns termos em inglês já fazem parte do cotidiano e a tradução ca estranha. Por exemplo , traduzir mouse por rato não faz sentido. Mas o termo backup podemos muito bem traduzir para cópia de segurança sem nenhum problema. Desta maneira segue uma recomendação que possibilitará o sucesso dos regulamentos de segurança da informação: escreva para o seu público. Considere os usuários que irão ler o documento. Qualquer pessoa que for destinatária do regulamento deve ter condições de lê-lo e não deve ter dúvidas após a leitura. Seguindo esta linha, caso você esteja escrevendo ou ajudando a escrever um documento técnico, pode utilizar muito mais palavras originais em inglês do que o procedimento de solicitação de nova senha que será utilizado por todos os usuários. Neste regulamento técnico seria muito estranho traduzir Firewall, IDS ou outro termo usado pelos técnicos e que cará restrito a este grupo técnico. Ao escrever, se possível, tenha um mensagem mais positiva do que negativa. Porém, eu chamo atenção aqui para a situação em que, não querendo colocar um “não”, escrevemos muitas linhas, damos muitas voltas e no nal não comunicamos claramente. Neste caso é melhor dizer um “não” explicitamente. Tipo: “O Operador de máquina industrial não pode acessar a Internet durante o expediente. Poderá fazê-lo nos intervalos de descanso ou na hora do almoço”. Ou podemos usar a opção: “É proibido o Operador de máquina industrial ...” O texto da norma não deve ser grosseiro nem desrespeitoso. Deve ser rme e obrigatoriamente deve indicar o que é proibido e o que não é proibido. Em muitos textos usa-se o “deve” ou “não deve” e ca-se na dúvida. No exemplo acima, se o texto fosse “O operador de máquina não deve acessar a Internet durante o expediente. Poderá fazê-lo nos intervalos de descanso ou na hora do almoço”, cará uma dúvida: não deve, mas se acessar não estará cometendo nenhuma infração. Então não deve, mas pode.


99

Este tema nos leva a um outro cuidado: se o texto tiver a possibilidade de ser mal interpretado, será mal interpretado. Tenha certeza disto. Algumas vezes por uma verdadeira não compreensão. Outras vezes por pura má-fé e por interesses fraudulentos. Isto signica que devemos escrever explicitamente, mesmo que isto nos leve a ser repetitivos. Ou aparentemente repetitivo. Um exemplo deste tipo de problema é o jornalista que vai colocar a manchete no jornal e indica: “Policial prendeu o ladrão na casa dele!” Parabéns ao policial, mas tenho pena do leitor. Ficará sem saber se o ladrão foi pego na casa do policial ou se na casa do próprio ladrão. Se fosse a primeira situação a manchete teria que ser: “Policial prende o ladrão na casa do próprio policial”. Muito policial para pouca frase? Concordo! Faça um exercício e tente escrever melhor, mas sem deixar dúvidas. Devemos sempre que possível escrever pouco. Mas não devemos temer escrever muito se isto vai facilitar a leitura do usuário sobre as regras de segurança da informação. Não esqueça de utilizar frases curtas. Mas, evidentemente, que passem a mensagem corretamente. Utilize o estilo conversação. Se você for o gestor da Segurança da Informação, seria como se o usuário estivesse ouvindo você falar de segurança da informação para ele em uma conversa em reunião de trabalho. Tendo esta compreensão, os documentos de políticas e normas garantem (ou tentam garantir) que todos os usuários terão o mesmo comportamento quando diante de uma mesma situação ou problema. Ao escrever regras, não esqueça de citar o que o usuário deve fazer caso ele tenha uma determinada situação que não foi considerada no documento especíco ou nos demais documentos. É uma situação de exceção e o usuário precisa saber o que fazer. Nem que seja algo como: Ligue para determinada área e peça instruções. Quando o usuário sabe como proceder, a possibilidade de agir de maneira desastrosa diminui. Além do que, ninguém é perfeito e realmente o documento pode ter deixado de considerar uma determinada situação. Neste caso tendo uma comunicação do usuário, o responsável pela política ou norma saberá desta situação e poderá gerar uma nova versão do documento já considerando a situação de exceção identicada, que se tornará uma situação prevista no regulamento. O texto de uma política ou norma deve dizer o que deve ou não deve ser feito. A teoria sobre segurança da informação deve ser deixada para outros documentos. Não se acanhe e diga no regulamento o que é preciso dizer. Porém, diga corretamente em espírito da mensagem e no texto da mensagem. Exija uma revisão de português por um especialista.

100


Cada documento deve tratar de um assunto com um determinado escopo. Uma dúvida para quem está escrevendo políticas e normas de segurança da informação é se o que está escrevendo é uma política ou uma norma e como deve juntar ou separar assuntos. Exemplo: devo construir uma norma para correio eletrônico e outra norma para Internet? Esses dois assuntos vão ter recomendações bem parecidas. Minha sugestão é, na medida em que os controles e as recomendações serão os mesmos, agrupar em um mesmo documento esses assuntos e ambientes. Quando são bem diferentes convém construirmos dois documentos. Um mesmo assunto em um mesmo nível de detalhamento pode exigir documentos diferentes. Se considerarmos a questão do acesso físico da empresa que possui dois ambientes, um bem antigo e outro com a melhor sosticação técnica, provavelmente neste caso as normas de acesso físico de cada ambiente devem ser diferentes. Buscar um texto simples deve ser o seu direcionamento quando estiver escrevendo políticas e normas de segurança da informação. Tenha certeza: se o texto car complicado vai gerar mais treinamento e a possibilidade de erros cresce, pois o usuário não saberá o que fazer em certas ocasiões. Os documentos gerados devem ser tão curtos quanto possíveis. Por isto sugerimos no Capítulo 11 uma arquitetura para as políticas, normas e procedimentos de segurança da informação. Nesta estrutura quanto mais alto o nível, mais simples e curto deve ser o documento. A política principal deve dizer a losoa da organização para o uso e tratamento da informação. Escrever o texto de uma política ou norma de segurança da informação não é a primeira etapa deste trabalho de construção de regulamentos de segurança da informação. Ele vai espelhar o que a organização deseja, e para que isto aconteça a organização deve ter sido questionada e deve ter respondido questões sobre controles de segurança da informação. Desta maneira, ao iniciar o processo de escrita, reúna todo o material de levantamento, organize este material e crie um comitê de revisão. Se este nome estiver pomposo demais para a sua organização, crie um grupo para a revisão do regulamento. Neste grupo inclua o RH, o Jurídico, a Área de Negócio e outra área que você julgar necessária para o sucesso das políticas e normas de segurança da informação.

Escrevendo Políticas e Normas de Segurança da Informação 101

12.9 – A denição dos controles a serem considerados A construção das políticas e normas de segurança da informação deve ser conduzida pelo Gestor da Segurança da Informação ou por um Consultor. Muitas pessoas, inclusive alguns gestores, pensam que o Gestor de Segurança da Informação, ou o Consultor, trará um conjunto de políticas e normas prontas. Anal de contas, eles já zeram isto em outras organizações. Os controles a serem exigidos e considerados nos regulamentos de segurança da informação da organização, bem como a rigidez que será considerada, dependem de como a organização, de como a direção executiva, de como as áreas de negócio, desejam a proteção da informação da sua organização. O Gestor de Segurança ou o Consultor encarregado do projeto de construção das políticas e normas farão questionamentos sobre controles ou a maneira de controlar. Por exemplo: estagiário terá conta de correio corporativo da organização? E os prestadores de serviço? Estas respostas obrigatoriamente devem ser dadas pelos gestores da organização. O Grupo de Construção das Políticas e Normas de Segurança da Informação será coordenado pelo Gestor de Segurança da Informação ou por um Consultor e deverá ter participantes principais que serão os prossionais da organização ligados ao tema, considerando o nível de granularidade dos controles ou diretrizes. A política principal de segurança da informação, que deve ser assinada pelo presidente da organização ou pelo presidente do conselho de administração, deve ter seus assuntos denidos com os executivos da organização. Em praticamente todas as políticas e normas, os gestores (ou seus representantes) da Área de Recursos Humanos e da Área Jurídica devem participar. O RH deve participar porque muitas questões que aparentemente são de segurança são realmente de pessoas, de criação de cultura e de clima organizacional. Ter acesso pessoal à Internet não é um problema da Área de Segurança da Informação. É uma questão de facilidade e benefício que a organização disponibiliza para os seus funcionários, prestadores de serviço e demais colaboradores. É uma questão da maneira da pessoa trabalhar na organização. É uma questão sobre pessoas e requer denições da Área de Recursos Humanos. A Área Jurídica obrigatoriamente deve participar da construção das políticas e normas de segurança da informação porque alguns controles, ou a falta de determinados controles, ou a maneira de escrita do texto, podem trazer risco jurídico para a organização. Neste caso, o posicionamento da Área Jurídica é fundamental para que as políticas e normas de segurança da informação sejam

102


criadas e publicadas de maneira proveitosa para a organização e sem risco de desrespeitar a legislação em vigor. Este processo de construção de políticas e normas de segurança da informação deve chegar a uma primeira versão do normativo. Com esta primeira versão deve-se fazer um Painel de Revisão. Algumas organizações já possuem uma estrutura tipo Comitê de Gerentes, onde todos os normativos que serão publicados passam por este comitê, pois os gerentes formam o conjunto de colaboradores que mais inuenciaram os demais funcionários e prestadores de serviço a colocarem em prática os regulamentos. Um Comitê deste tipo pode levantar questões que na teoria estão completamente corretas mas que terão diculdades práticas de serem implantadas ou mantidas. Neste Painel de Revisão podemos ter a participação de áreas que serão afetadas pelos regulamentos ou que, considerando a estrutura organizacional, são importantes serem envolvidas. A formação deste Painel de Controle é uma implementação especíca para cada organização, inclusive para cada momento da organização. Em momentos diferentes, seus participantes podem ser diferentes. Após esta revisão os documentos de políticas e normas de segurança da informação devem ser submetidos à pessoa ou ao órgão, tipo Comitê de Segurança da Informação, para ser aprovado. Mas nem todos os regulamentos precisam ser aprovados por este comitê. Por exemplo, normativos técnicos podem ser assinados pelo Gestor da Tecnologia da Informação. Estas regras de poder para assinar determinados documentos deve seguir o padrão utilizado pela organização em relação aos seus demais regulamentos. O padrão do documento de política ou de norma deve seguir o padrão que a organização utiliza para os seus demais regulamentos.

Capítulo 13. Exemplos de Políticas, Normas e Procedimentos

D

urante a minha vida prossional em segurança da informação elaborei centenas de documentos, acredito que mais de mil, para o processo de segurança da informação de organizações. Muitos comunicados, muitas orientações, muitas apresentações e muitos regulamentos de segurança da informação. Ao criar os regulamentos de segurança da informação (primeiramente para a organização onde comecei a me dedicar ao assunto, Banco BANORTE, e depois para os clientes do meu trabalho de consultoria), aprendi na prática, mas não esquecendo as diretivas internacionais e os mestres como Thomas Peltier, o que uma política ou uma norma de segurança da informação deve conter. Melhor ainda, não só o que deve conter, mas como deve conter. Uma das primeiras lições que validei na prática é que cada regulamento é único para cada empresa. Cada regulamento é feito para cada organização. Os conceitos e os controles a serem considerados podem ser os mesmos, mas quais os controles e como eles serão aplicados são organizacionalmente únicos. Como redator, ao gerar um tipo de documento, mantenho algumas características de escrita. Não posso fugir ao meu DNA da forma de escrever. Mas para cada organização foi gerado um documento especíco. Os documentos aqui exemplicados são de minha autoria e textos base ao considerar uma organização. Nenhum documento aqui apresentado é o documento nal que exponha características que comprometam alguma organização. Porém, ideias, controles, características, abordagens são comuns e fazem parte do meu DNA de escrita.

104


Selecionei os documentos que eu entendo que possuem boas características. Mas, evidentemente, estes documentos não são perfeitos. A cada leitura eu desejo alterar, melhorar, mas me atento que eles precisam ter um estágio de parada. O bom disso tudo é que, não sendo documentos perfeitos, eles podem ser usados como base para outras organizações e precisarão ser adaptados. Pelo lado acadêmico, estes exemplos podem ser utilizados para exercícios, onde devem ser identicados pontos de melhoria e pontos que devem ser rigorosamente adaptados para cada organização. Convido o leitor ao exame e à utilização destes exemplos considerando que os documentos aqui apresentados possuem história, ambientação organizacional, situação temporal, adequação à tecnologia existente e atendimento ao ritmos das organizações. Mas são exemplos reais. Cabe à sabedoria do leitor a adequação destes exemplos às necessidades da sua organização. Caso você tome por base estes documentos na escrita de novos documentos, coloque a indicação: documento baseado em Regulamentos Exemplos de Edison Fontes, 2012. Em relação ao formato do documento, recomendo que em cada um gerado para a organização seja especicado: ▪ ▪ ▪ ▪

Nome do documento. Data de publicação do documento. Autoria do documento. Aprovador do documento.

Caso se aplique, também devem ser denidos os seguintes itens: ▪ ▪ ▪ ▪

Data de início de validade do documento. Data de nal da validade do documento. Data da próxima revisão do documento. Responsável pelo processo de revisão do documento.

Nos exemplos a seguir não foram colocados estes itens para não ser repetitivo e por eles serem comuns a todos os documentos. Lembrando que a sua aplicação ou forma de aplicação pode ser diferente em cada organização. O importante é que sejam vericados os itens citados e considerados sua necessidade dentro dos padrões adotados pela organização.

Exemplos de Políticas, Normas e Procedimentos

105

13.1 – Nível 1: Políticas, Diretrizes Caso você tome por base estes documentos na escrita de novos documentos, coloque no mesmo a indicação: Documento baseado em Regulamentos Exemplos de Edison Fontes, 2012.

EXEMPLO 1. POLÍTICA DE SEGURANÇA E PROTEÇÃO DA INFORMAÇÃO

1. OBJETIVO Denir o tratamento que deve ser dado às informações armazenadas, processadas ou transmitidas no ambiente convencional ou no ambiente de tecnologia da ORGANIZAÇÃO. As orientações aqui apresentadas são os princípios fundamentais e representam como a organização exige que a informação seja utilizada.

2. ABRANGÊNCIA Esta política se aplica: ▪ a todos os usuários (associados, prestadores de serviços e estagiários) que utilizam as informações da ORGANIZAÇÃO; ▪ a todas as organizações que compõem o Grupo ORGANIZAÇÃO.

3. IMPLANTAÇÃO A Gerência de Segurança da Informação coordenará as áreas técnicas, as áreas de apoio e as áreas de negócio para desenvolvimento e implantação de projetos, procedimentos, ações, instruções e normativos que possibilitem a operacionalização e manutenção desta política.

106


4. DIRETRIZES E REGRAS 4.1 – O bem informação A informação utilizada pela ORGANIZAÇÃO é um bem que tem valor. A informação deve ser protegida, cuidada e gerenciada adequadamente com o objetivo de garantir a sua disponibilidade, integridade, condencialidade, legalidade e auditabilidade, independentemente do meio de armazenamento, processamento ou transmissão que esteja sendo utilizado. 4.2 – O Gestor da Informação (GI) a) Cada informação deverá ter o seu Gestor que será indicado formalmente pela diretoria responsável pelos sistemas que acessam a informação. b) O Gestor da Informação é a pessoa responsável pela autorização de acesso, validação de uso e denição dos demais controles sobre a informação. 4.3 – Condencialidade da informação a) O Gestor da Informação classicará o nível de condencialidade e sigilo da informação baseando-se nos critérios estabelecidos na Norma de Classicação da Informação. b) A condencialidade da informação deve ser mantida durante todo o processo de uso da informação e pode ter níveis diferentes ao longo da vida dessa informação. 4.4 – Utilização da informação e recursos A liberação do acesso da informação para os usuários será autorizada pelo Gestor da Informação, que considerará a necessidade de acesso do usuário e o sigilo da informação para a realização dos objetivos da ORGANIZAÇÃO. O acesso da informação deve ser autorizado apenas para os usuários que necessitam da mesma para o desempenho das suas atividades prossionais para a Organização.


107

Cada usuário deve acessar apenas as informações e os ambientes previamente autorizados. Qualquer tentativa de acesso consciente a ambientes não autorizados será considerada uma falta grave. O acesso da informação armazenada e processada no ambiente de tecnologia é individual e intransferível. Este acesso acontece através da identicação e da autenticação do usuário. Os dados para a autenticação do usuário devem ser mantidos em segredo e possuem o mais alto nível de classicação da informação. Os recursos de tecnologia da organização disponibilizados para os usuários têm como objetivo a realização de atividades prossionais. A utilização dos recursos da ORGANIZAÇÃO com nalidade pessoal é permitida, desde que seja em um nível mínimo e que não viole a Política de Segurança e Proteção da Informação e o Código de Conduta e Ética da ORGANIZAÇÃO. 4.5 – Proteção da informação Toda informação da ORGANIZAÇÃO deve ser protegida para que não seja alterada, acessada e destruída indevidamente. Os locais onde se encontram os recursos de informação devem ter proteção e controle de acesso físico compatível com o seu nível de criticidade. 4.6 – Continuidade do uso da informação Toda informação utilizada para o funcionamento da ORGANIZAÇÃO deve possuir, pelo menos, uma cópia de segurança atualizada e guardada em local remoto, com proteção equivalente ao local principal. Esta informação deve ser suciente para a existência de planos de continuidade de negócio. A criação das cópias de segurança deve considerar os aspectos legais, históricos, de auditoria e de recuperação do ambiente. Os recursos tecnológicos, de infraestrutura e os ambientes físicos onde são realizadas as atividades operacionais do negócio da ORGANIZAÇÃO devem ser protegidos contra situações de indisponibilidade e devem ter planos de continuidade de negócio. A denição e implementação das medidas de prevenção e recuperação, para situações de desastre e contingência, devem ser efetuadas de forma permanente e devem contemplar recursos de tecnologia, humanos e de infraestrutura. Elas

108


são de responsabilidade da diretoria gestora dos recursos, contando com o apoio e validação da Gerência de Segurança da Informação. 4.7 – Computação pessoal e móvel As informações estruturadas e sistemas da ORGANIZAÇÃO somente serão utilizados em recursos da ORGANIZAÇÃO. É proibido o uso de equipamentos pessoais para acessar informações estruturadas e sistemas corporativos da ORGANIZAÇÃO. 4.8 – Correio Eletrônico As mensagens do correio eletrônico disponibilizado para os usuários obrigatoriamente devem ser escritas em linguagem profissional e que não comprometa a imagem da organização, não vá de encontro à legislação vigente e nem aos princípios éticos da organização. Cada usuário é responsável pela conta de correio eletrônico que lhe foi disponibilizada pela ORGANIZAÇÃO. O conteúdo do correio eletrônico de cada usuário pode ser acessado e monitorado pela organização quando em situações que ponham em risco a sua imagem, seu negócio ou sua lucratividade. O usuário não deve ter expectativa de sigilo da sua conta de correio eletrônico disponibilizada pela organização para seu uso prossional. 4.9 – Ambiente de Internet O ambiente de Internet deve ser usado para o desempenho das atividades profissionais do usuário para a ORGANIZAÇÃO. Sites que não contenham informações que agreguem conhecimento profissional e para o negócio não devem ser acessados. Os acessos realizados nesse ambiente são monitorados pela organização com o objetivo de garantir o cumprimento dessa política. 4.10 – Redes Sociais Os usuários obrigatoriamente devem seguir as regras de uso de Serviços de Rede Social descritos na norma especíca.


109

4.11 – Documentação Todos os procedimentos que possibilitam a proteção da informação e a continuidade do seu uso devem ser documentados, de tal forma que possibilite que a ORGANIZAÇÃO continue a operacionalização desses procedimentos, mesmo na ausência do usuário responsável.

5. CONCLUSÃO A utilização das informações do ambiente de tecnologia ou do ambiente convencional pelos usuários da ORGANIZAÇÃO deve estar de acordo com os documentos institucionais “Código de Conduta” , “Política de Privacidade – Dados Pessoais” e “ Conduta Ética e Conito de Interesses”. Todos os usuários devem conhecer e entender esses documentos. A segurança e proteção da informação é uma responsabilidade contínua de cada usuário da ORGANIZAÇÃO em relação às informações que acessa e gerencia. Todos os usuários devem utilizar a informação da ORGANIZAÇÃO, de acordo com as determinações desta Política de Segurança e Proteção da Informação. O não cumprimento desta política e/ou dos demais instrumentos normativos que complementarão o processo de segurança constitui em falta grave, e o usuário está sujeito a penalidades administrativas e/ou contratuais. A Gerência de Segurança da Informação é a área responsável pela existência efetiva do processo de proteção e segurança da informação da ORGANIZAÇÃO. Informações adicionais poderão ser solicitadas diretamente à Gerência de Segurança da Informação ou encaminhadas através do Help Desk.

110


EXEMPLO 2. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Este regulamento se aplica a todos os usuários (funcionários, prestadores de serviços, estagiários) que utilizam a informação do GRUPO ORGANIZAÇÃO. 1. A Informação é um bem para a ORGANIZAÇÃO e deve ser protegida. 2. Somente pessoas autorizadas pelo Gestor da Informação podem acessar a informação. 3. Toda informação deverá ser classicada em relação ao seu grau de sigilo. 4. O Processo de Segurança da Informação é de responsabilidade do Gestor da Segurança da Informação. 5. Os usuários acessarão as informações da ORGANIZAÇÃO apenas para o desempenho das suas atividades prossionais. 6. A ORGANIZAÇÃO utilizará apenas recursos de informação adequadamente legalizados e em conformidade com as leis e demais normativos que a organização é obrigada a seguir. 7. A ORGANIZAÇÃO desenvolverá, implantará e manterá planos de continuidade de negócio que devem proteger contra situações de indisponibilidade de recursos, ambientes e pessoas. 8. O acesso à informação pelo usuário é individual. A forma de autenticação deve ser adequada à criticidade e ao grau de sigilo da informação. 9. O usuário será treinado periodicamente em segurança da informação para sempre estar ciente das suas responsabilidades. 10. É obrigação de cada usuário cumprir esta política e os demais regulamentos de segurança da informação, sob pena de sofrer sanções administrativas ou contratuais.


111

EXEMPLO 3. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

1. OBJETIVO Denir as diretrizes para o uso da informação na ORGANIZAÇÃO.

2. ABRANGÊNCIA Toda informação do ambiente de tecnologia e do ambiente convencional da ORGANIZAÇÃO. Todo usuário da informação da ORGANIZAÇÃO: conselheiro, presidente, diretor, empregado, estagiário, participante ou prestador de serviço.

3. DIRETRIZES 3.1 – A informação da ORGANIZAÇÃO deve ser protegida de maneira a garantir a sua condencialidade, integridade, disponibilidade e o seu acesso controlado. 3.2 – O acesso à informação: a) deverá possibilitar e facilitar o desempenho das atividades relativas à ORGANIZAÇÃO; b) atenderá a legislação em vigor; c) poderá ser examinado, auditado ou vericado mediante autorização de dois Diretores Estatutários ou autoridade competente; d) será realizado através de uma identicação pessoal do usuário e de uma autenticação que garanta a veracidade da sua identicação; e) será autorizado pelo Gestor da Informação, que tem a responsabilidade de avaliar o pedido de acesso para o usuário.

112


3.3 – O usuário: a) é responsável pelo acesso realizado com a sua identicação e autenticação; b) deve acessar a informação para desempenhar prossionalmente suas funções relacionadas à ORGANIZAÇÃO ou para outras situações formalmente permitidas; c) será autorizado pelo Gestor de Usuário, que garantirá sua atuação na ORGANIZAÇÃO. 3.4 – Todos os recursos de informação da ORGANIZAÇÃO devem possuir um Custodiante de Recurso que tem a responsabilidade pela integridade, disponibilidade para uso e continuidade do recurso. 3.5 – Apenas produtos autorizados pela ORGANIZAÇÃO e sistemas aplicativos homologados pelas áreas técnica e de negócio podem ser executados no ambiente de produção. 3.6 – As informações devem ser classicadas em relação ao seu nível de sigilo, com o objetivo de descrever o tratamento que deve ser dado a essa informação e ao respectivo recurso de informação. 3.7 – A Presidência tem a responsabilidade de: a) designar os Gestores da Informação, Gestor de Usuário e Custodiante de Recursos; b) garantir a existência de um plano de continuidade para os recursos de informação que suporte situações de contingência e denir os limites dessa disponibilidade; d) garantir a implantação e manutenção do processo de segurança da informação; e) manter ações de conscientização, treinamento e educação dos usuários em segurança da informação.

4. CUMPRIMENTO O não cumprimento desta política por parte do usuário deve acarretar punições administrativas e contratuais.


113

EXEMPLO 4. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (Prestador)

1. OBJETIVO DESTE REGULAMENTO Denir o tratamento que deve ser dado às informações armazenadas, processadas ou transmitidas no ambiente de tecnologia utilizado pelo PRESTADOR responsável pela Gestão da Rede de Tecnologia da Informação para a ORGANIZAÇÃO. As orientações aqui apresentadas são os princípios fundamentais e as diretrizes básicas que possibilitam que a informação tenha garantida a sua condencialidade, integridade e disponibilidade. Outros regulamentos detalharão as diretrizes aqui descritas.

2. ABRANGÊNCIA DESTE REGULAMENTO Este regulamento se aplica a todos os usuários que utilizam as informações do ambiente de tecnologia da ORGANIZAÇÃO.

3. IMPLEMENTAÇÃO DESTE REGULAMENTO O Departamento de Segurança da Informação (DSI), o PRESTADOR responsável pela Gestão da Rede de Tecnologia da Informação (RTI), a Unidade de Segurança da Informação (USI) e as cheas das áreas da ORGANIZAÇÃO desenvolverão ações contínuas e necessárias para a implementação deste regulamento, cando o Departamento de Segurança da Informação responsável pela coordenação dessas ações. A Unidade de Segurança da Informação será envolvida quando do desenvolvimento de novos sistemas de informação e validará se os requisitos básicos de segurança serão seguidos.

4. DEFINIÇÕES As denições de termos relativos à Segurança da Informação estão descritas no regulamento “Denições Utilizadas em Segurança da Informação.”

114


5. POLÍTICA-REGRAS 5.1 – O bem informação A informação da ORGANIZAÇÃO utilizada pelos seus usuários e disponibilizada no ambiente de tecnologia é um recurso de valor e possibilita que a ORGANIZAÇÃO atenda adequadamente aos serviços propostos para sua administração e atendimento aos seus clientes. A informação deve sempre ser protegida, cuidada e gerenciada adequadamente para garantir a sua condencialidade, integridade e disponibilidade. 5.2 – Proteção da informação Toda informação deve ser protegida para que não seja alterada, acessada e destruída indevidamente. A informação armazenada no ambiente de tecnologia deve ser protegida contra desastre físico e desastre lógico. 5.3 – Sistemas de informação Todos os sistemas de informação devem seguir os requisitos de segurança descritos nos diversos regulamentos formalmente emitidos. Somente após a autorização da Unidade de Segurança da Informação o sistema de informação poderá ser implantado no ambiente de produção. Quando do início do desenvolvimento, manutenção ou alteração de sistemas de informação, a Unidade de Segurança da Informação deverá ser envolvida para garantir que os requisitos de segurança serão seguidos. 5.4 – Acesso à informação pelo usuário O acesso da informação armazenada e processada no ambiente de tecnologia é individual e intransferível. Esse acesso acontece através da identicação e autenticação do usuário. Para acessar qualquer informação o usuário deverá ser previamente autorizado. O usuário deve ter acesso exclusivamente às informações necessárias para o seu desempenho prossional ou uso de direito de acesso como cliente. O tipo


115

de acesso (leitura, alteração, remoção) deverá ser compatível com a necessidade do usuário e a condencialidade da informação. 5.5 – Registro do acesso realizado pelo usuário Todo acesso realizado pelo usuário deve ser registrado no ambiente de tecnologia e guardado pelo tempo denido pelo Gestor da Informação. O usuário deve ser comunicado do fato de que seu acesso cará registrado. 5.6 – Continuidade do uso da informação Toda informação crítica para o funcionamento dos sistemas de informação da ORGANIZAÇÃO deve possuir, pelo menos, uma cópia de segurança atualizada e guardada em local remoto, com o nível de proteção equivalente ao nível de proteção da informação original. Para a denição das cópias de segurança devem ser considerados os aspectos legais, históricos, de auditoria e de recuperação de ambiente. Os recursos tecnológicos, de infraestrutura e os ambientes físicos utilizados para suportar os sistemas de informação devem ter controle de acesso físico, condições ambientais adequadas e devem ser protegidos contra situações de indisponibilidade causadas por desastres ou contingências. Para cada serviço prestado por sistemas de informação deve existir a denição do nível de disponibilidade em situações de desastre e contingência e, para tal, a solução deve considerar recursos de tecnologia, humanos e de infraestrutura. 5.7 – Proprietário da Informação A ORGANIZAÇÃO é a proprietária das informações armazenadas, processadas e transmitidas no ambiente de tecnologia utilizado pelos serviços prestados pela RTI. 5.8 – O Gestor da Informação O Gestor da Informação é a pessoa responsável pela liberação (ou não) do acesso à informação pelo usuário, validação ao longo do tempo do uso pelo usuário e denição dos demais controles sobre a informação. O Gestor da Informação é a pessoa que exerce a chea da área da ORGANIZAÇÃO que gerou originalmente a informação e deniu o sistema básico de utilização dessa informação.

116


O Gestor da Informação pode indicar uma pessoa ou mais para junto com ele também exercer as funções de Gestor da Informação. Dessa forma é permitida a autorização de acesso à informação pelo usuário de forma descentralizada. 5.9 – Gestor de Usuário É a chea organizacional do usuário e tem por responsabilidade principal garantir que o usuário esteja exercendo normalmente as suas atividades prossionais nos serviços prestados pelo PRESTADOR através do ambiente de tecnologia. 5.10 – Utilização da informação e recursos Os recursos de tecnologia disponibilizados pela ORGANIZAÇÃO para o usuário têm como objetivo a realização de atividades funcionais na ORGANIZAÇÃO. A utilização dos recursos de tecnologia com nalidade pessoal, é permitida, desde que seja em um nível que não impacte na realização das suas atividades prossionais para a organização e que não viole os regulamentos de segurança da informação, o código de conduta prossional e as demais leis vigentes. 5.11 – Condencialidade da informação O Gestor da Informação classicará o nível de condencialidade e proteção da informação baseando-se nos critérios predenidos nos regulamentos do Departamento de Segurança da Informação. A condencialidade da informação deve ser mantida durante todo o processo de uso da informação e pode ter níveis diferentes ao longo da vida dessa informação. 5.12 – Ambiente de desenvolvimento de sistemas O ambiente de desenvolvimento de sistemas: a) deve ser utilizado exclusivamente para desenvolvimento, manutenção, alteração e testes de sistemas de informação; b) não deve executar serviços verdadeiros disponibilizados do PRESTADOR; c) não deve ter acesso ao ambiente de produção de sistemas.


117

Os dados deste ambiente devem ser preferencialmente não reais ou dados reais mascarados. A utilização de dados reais neste ambiente necessita de autorização formal do Gestor da Informação. 5.13 – Ambiente de produção de sistemas O ambiente de produção de sistemas: a) deve executar os sistemas que possibilitam os serviços verdadeiros realizados pelo PRESTADOR; b) não deve executar testes, manutenção, alteração e testes de programas ou sistemas. A passagem de programas do ambiente de desenvolvimento de sistemas para o ambiente de produção de sistemas deve ser feita de forma planejada, controlada, registrada e autorizada pela chea responsável pelo ambiente de produção de sistemas, de forma a garantir a integridade e disponibilidade desse ambiente para a prestação dos serviços do PRESTADOR. 5.14 – Correio Eletrônico As mensagens de correio eletrônico são instrumentos de comunicação interna e externa para a realização das atividades funcionais do usuário. Elas devem ser escritas em linguagem prossional e que não comprometa a imagem da organização, não vá de encontro à legislação vigente e nem aos princípios éticos da ORGANIZAÇÃO. Mensagens fora dessas características não devem ser enviadas. O conteúdo do correio eletrônico de cada usuário somente poderá ser acessado por outro órgão ou pessoa da ORGANIZAÇÃO mediante situação legal denida em legislação especíca sobre este tema. O uso do correio eletrônico é pessoal e o usuário é responsável por toda mensagem enviada pelo endereço eletrônico disponibilizado pela ORGANIZAÇÃO para ele. Mensagens recebidas não coerentes com essa política devem ser eliminadas. 5.15 – Ambiente de Internet O ambiente de Internet deve ser usado para o desempenho das atividades prossionais do usuário para a ORGANIZAÇÃO. Endereços da Internet que não

118


contenham informações que agreguem conhecimento prossional e para o serviço prestado pelo PRESTADOR não devem ser acessados. Os acessos realizados no ambiente RTI são registrados e poderão ser monitorados com o objetivo de garantir a disponibilidade dos recursos computacionais e proteger a ORGANIZAÇÃO e a RTI contra o uso pelo usuário em situações ilegais ou não éticas. O usuário não deve colocar informações da ORGANIZAÇÃO nem informações pessoais que comprometam a ORGANIZAÇÃO em locais da Internet ou em serviços conhecidos como de rede social. 5.16 – Documentação Todos os procedimentos que possibilitam a proteção da informação e a continuidade do seu uso devem ser documentados, de tal forma que possibilite que a RTI continue a operacionalização desses procedimentos, mesmo na ausência do usuário responsável. 5.17 – Conscientização e treinamento dos usuários Deve existir um processo constante de conscientização e treinamento de usuários em segurança da informação com o objetivo de capacitá-los a proteger adequadamente a informação do ambiente computacional utilizada pela ORGANIZAÇÃO. O Departamento de Segurança da Informação deve interagir com todas as áreas da ORGANIZAÇÃO para buscar garantir o nível de capacitação adequado para cada usuário dos sistemas de informação.

6. RESPONSABILIDADES COMPLEMENTARES 6.1 – Unidade de Segurança da Informação Garantir que os requisitos de segurança da informação sejam considerados quando do desenvolvimento, implantação e uso de sistemas de informação. Aprovar os requisitos de segurança da informação implementados nos sistemas de informação.


119

6.2 – Desenvolvedores de sistemas de informação Garantir que os requisitos de segurança da informação estejam implementados nos sistemas de informação que desenvolverem e mantiverem. 6.3 – Usuário Seguir as regras de proteção da informação. O não cumprimento das regras de segurança pelo usuário impedirá o acesso do usuário às informações e este usuário poderá sofrer punição, considerando o grau de criticidade da regra. 6.4 – Cheas Garantir que os usuários tenham conhecimento e cumpram os requisitos de segurança da informação.

7. CONCLUSÃO O não cumprimento deste regulamento e/ou dos demais instrumentos normativos que complementarão o processo de segurança constitui em falta grave e o usuário está sujeito a penalidades administrativas e/ou contratuais. O Departamento de Segurança da Informação é a área responsável pela existência efetiva do processo de proteção e segurança da informação dos serviços que utilizam os sistemas no ambiente de tecnologia da ORGANIZAÇÃO. Situações de exceção e não previstas deverão ser denidas pelo Departamento de Segurança da Informação e pela Unidade de Segurança da Informação, considerando a RTI e as áreas da ORGANIZAÇÃO envolvidas.

120


EXEMPLO 5. POLÍTICA DE SEGURANÇA E PROTEÇÃO DA INFORMAÇÃO

1. OBJETIVO Denir as diretrizes para o tratamento da informação criada, armazenada, processada ou transmitida no ambiente de tecnologia ou no ambiente convencional da ORGANIZAÇÃO.

2. DEFINIÇÕES a) Usuário É o Colaborador que está autorizado para utilizar a informação da ORGANIZAÇÃO para a execução das suas tarefas prossionais relacionadas à ORGANIZAÇÃO. b) Colaborador É a pessoa que: ▪ foi contratada como Empregado ou Estagiário da ORGANIZAÇÃO; ou ▪ que trabalha como Prestador de Serviços; ou ▪ que trabalha através de outro tipo de vínculo contratual para a ORGANIZAÇÃO. c) Ambiente de Tecnologia É o ambiente em que o usuário se relaciona com a informação, de maneira indireta, através de equipamentos avançados de tecnologia, tipo computadores. Neste ambiente a informação encontra-se em formato digital e apenas com a utilização destes equipamentos os usuários conseguem acessar a informação.


121

d) Ambiente convencional É o ambiente em que o usuário se relaciona diretamente com a informação que está armazenada em uma superfície que é possível ler, tipo papel, ou através da comunicação direta oral, visual ou tátil de uma informação. e) Gestor da Informação É o Colaborador que foi indicado pela organização nominalmente ou através de regras contidas nos regulamentos de segurança, com poder para autorizar (ou negar) o pedido de acesso de usuários à informação. f) Gestor do Usuário É o responsável pelas atividades do usuário no âmbito da ORGANIZAÇÃO. Para o Empregado ou Estagiário, o Gestor do Usuário é a Chea em nível de Gerente. Para os demais casos é o Gestor de Contrato daquela pessoa ou da organização para a qual aquela pessoa presta serviço. g) Gestor de Contrato É o empregado da ORGANIZAÇÃO responsável pela gestão do prestador de serviço ou da empresa prestadora de serviço em relação a um determinado serviço.

3. ESCOPO E ABRANGÊNCIA Esta política: ▪ se aplica a toda informação da ORGANIZAÇÃO; ▪ é a diretriz principal para a segurança da informação, e ▪ os conceitos, as regras e os termos denidos neste documento devem ser utilizados nos demais documentos referentes ao uso e proteção da informação da ORGANIZAÇÃO.

122


4. REGRAS 4.1 – O bem informação a) A informação pertencente à ORGANIZAÇÃO utilizada pelos usuários nas suas atividades prossionais é um bem importante, possui valor e deve ser protegida para permitir o seu uso adequado para a realização dos objetivos da organização através das atividades operacionais e de negócio. 4.2 – Processo de segurança da informação a) Deve existir um processo contínuo de proteção e segurança com o objetivo de garantir para a informação a sua disponibilidade, integridade e condencialidade. b) Devem existir controles nos sistemas de tecnologia e procedimentos manuais para que a informação não seja indevidamente criada, alterada, acessada, transmitida ou destruída. c) Deve existir um planejamento das ações de segurança da informação para pelo menos os doze meses seguintes, e a direção da ORGANIZAÇÃO deve ser comunicada anualmente do nível de maturidade (eciência e ecácia) dos controles de segurança da informação implantados na organização. 4.3 – O acesso à informação a) Para acessar uma informação o usuário deve ser previamente autorizado. b) A autorização do acesso à informação pelo usuário e o poder deste acesso (leitura, atualização, criação, remoção) será dada pelo Gestor da Informação. Esta liberação poderá ser feita de forma discreta (individual), ou através de perl de acesso ou através de grupo de acesso. c) Cada informação deve ter o seu Gestor, que é indicado formalmente pela diretoria responsável pelo sistema, pelo módulo de sistema ou


123

por outro recurso que possua esta informação. A diretoria poderá indicar mais de uma pessoa para exercer a atividade de Gestor da Informação. d) A autorização de acesso à informação deve considerar: •

as atividades prossionais relacionadas ao usuário, ao perl ou ao grupo; ▪ o sigilo da informação e o poder decorrente da utilização da informação; ▪ a necessidade de segregação de função do usuário; e ▪ a regra de mínimo acesso para o usuário.

e) Cada ação do usuário em relação à informação poderá ser gravada e consultada pela ORGANIZAÇÃO. f) Cada usuário deve ser validado pelo seu Gestor de Usuário, como uma pessoa que exerce função prossional na ORGANIZAÇÃO. g) O Gestor do Usuário é responsável pela autorização da solicitação de acesso para o usuário. 4.4 – Identicação e autenticação do usuário a) O acesso à informação e aos seus diversos recursos pelo usuário deve ser individual e intransferível. b) A maneira de autenticação do usuário deve ser denida pela direção da ORGANIZAÇÃO com o apoio da Área de Tecnologia, que indicará o custo do controle e seu benefício das soluções possíveis e adequadas à situação. c) O usuário é responsável pelo acesso e pelo uso da informação realizados com a sua identificação. O usuário é obrigado a seguir as regras sobre a forma de autenticação utilizada definidas em regulamentos específicos. 4.5 – Nível de sigilo da informação A informação deve ser classicada em relação ao nível de sigilo. O Gestor da Informação é responsável pela classicação das informações sob a sua

124


responsabilidade. Esta atribuição de sigilo deve seguir as regras do Regulamento de Classicação da Informação da ORGANIZAÇÃO. 4.6 – Uso dos recursos de tecnologia a) Os recursos de tecnologia que são autorizados e disponibilizados para os usuários têm como objetivo a realização e a facilitação das suas atividades prossionais na ORGANIZAÇÃO. É proibida qualquer atividade dos usuários na utilização dos recursos de tecnologia da ORGANIZAÇÃO que viole esta Política ou o Código de Conduta da ORGANIZAÇÃO. b) A ORGANIZAÇÃO pode vericar e auditar qualquer ação sobre a informação ou recurso de sua propriedade que são disponibilizados para o usuário. 4.7 – Continuidade do uso da informação a) Deve existir um plano para a continuidade do negócio com o objetivo da ORGANIZAÇÃO suportar, considerando limites previamente denidos, situações de contingência que destruam, parcial ou completamente, recursos de informação utilizados na realização do negócio. b) É obrigatória a realização de testes (simulação) de situações de contingência para cada unidade da ORGANIZAÇÃO pelo menos uma vez em cada período de doze meses. Estes testes devem gerar relatórios que identiquem seus objetivos, seu escopo, os cenários considerados, os resultados alcançados e as medidas de correção ou melhoria propostas. c) Todos os procedimentos de uso da informação para a realização do negócio devem ser documentados e mantidos atualizados, de forma que possibilitem à ORGANIZAÇÃO operacionalizar esses procedimentos, mesmo na ausência do usuário responsável. d) O ambiente de tecnologia da ORGANIZAÇÃO deve ser protegido adequadamente contra ameaças internas e ameaças externas


125

que possam indisponibilizar este ambiente e consequentemente impactar a realização do negócio e/ou impedir que a organização alcance os seus objetivos.

5. PENALIDADES O não cumprimento das regras estabelecidas neste documento pode acarretar sanções administrativas e/ou contratuais podendo chegar à demissão de funcionário ou cancelamento de contrato de prestação de serviço.

13.2 – Nível 2: Políticas, Normas Caso você tome por base estes documentos na escrita de novos documentos, coloque no mesmo a indicação: documento baseado em Regulamentos Exemplos de Edison Fontes, 2012.

126


EXEMPLO 6. USO DE CORREIO ELETRÔNICO

1. OBJETIVO Denir os requisitos e as regras de segurança para o uso do correio eletrônico (e-mail) no âmbito da ORGANIZAÇÃO.

2. ABRANGÊNCIA Esta política se aplica a todos os usuários (associados e prestadores de serviços) que utilizam as informações da ORGANIZAÇÃO.

3. IMPLEMENTAÇÃO A Gerência de Segurança da Informação e a Área de Apoio ao Usuário Final são responsáveis pela implementação e continuidade dessa norma de segurança.

4. POLÍTICA DE SEGURANÇA E PROTEÇÃO DA INFORMAÇÃO (Itens referentes ao correio eletrônico – Documento já publicado). O correio eletrônico é um instrumento de comunicação interna e externa para a realização do negócio da ORGANIZAÇÃO. As mensagens do correio eletrônico devem ser escritas em linguagem prossional e que não comprometa a imagem da organização, não vá de encontro à legislação vigente e nem aos princípios éticos da ORGANIZAÇÃO. O uso do correio eletrônico é pessoal e o usuário é responsável por toda mensagem enviada pelo seu endereço. O conteúdo do correio eletrônico de cada usuário pode ser acessado pela ORGANIZAÇÃO quando em situações que ponham em risco a sua imagem e o seu negócio. Este acesso será feito a critério da ORGANIZAÇÃO, mediante


127

comunicação ao superior imediato do usuário, à Gerência de Segurança e deve ser registrado formalmente permitindo uma auditoria desse procedimento.

5. REGRAS É obrigatório o usuário cadastrado e autorizado no ambiente de correio eletrônico da ORGANIZAÇÃO seguir as seguintes regras: Uso de Mensagens O usuário: 5.1 – Pode enviar mensagens relativas aos negócios da empresa para usuários internos ou para pessoas/organizações em endereços externos. 5.2 – Pode utilizar o correio eletrônico para propósitos pessoais incidentais, desde que sejam em um nível mínimo, não prejudiquem o desempenho dos recursos da organização, não interram no desempenho das suas atividades prossionais e não violem a Política de Segurança e Proteção da Informação e o Código de Conduta e Ética da ORGANIZAÇÃO. 5.3 – Não pode originar ou encaminhar mensagens ou imagens que: ▪ contenham declarações difamatórias ou linguagem ofensiva de qualquer natureza; ▪ menosprezem, depreciem ou incitem ao preconceito a determinadas classes, como sexo, raça, orientação sexual, idade, religião, nacionalidade ou deciência física; ▪ possua informação pornográca, obscena ou imprópria para um ambiente prossional; ▪ possam trazer prejuízo a outras pessoas; ▪ sejam hostis ou inúteis; ▪ que defendam ou possibilitem a realização de atividades ilegais;

128


▪ sejam ou sugiram a formação ou divulgação de correntes de mensagens; ▪ possam prejudicar a imagem da ORGANIZAÇÃO ou seus produtos e serviços; ▪ possam prejudicar a imagem de outras companhias; ou ▪ sejam incoerentes com as políticas e códigos da ORGANIZAÇÃO. 5.4 – Não pode reproduzir qualquer material recebido pelo correio eletrônico ou outro meio que possa infringir direitos autorais, marcas, licença de software ou patentes existentes, sem que haja permissão por escrito do criador do trabalho. 5.5 – Nunca deve enviar por correio eletrônico qualquer comunicação que possa ser, de alguma maneira, incorreta ou não apropriada para envio pelo correio regular em papel timbrado da empresa. Uma mensagem eletrônica é considerada um documento formal da empresa. 5.6 – Não pode encaminhar mensagens que representem a opinião pessoal do autor, colocando-a em nome da ORGANIZAÇÃO. 5.7 – Não pode utilizar o endereço do correio eletrônico da ORGANIZAÇÃO para outras atividades prossionais. 5.8 – Caso receba uma mensagem originada da Internet de um remetente desconhecido, você deve remover essa mensagem da sua caixa de entrada, preferencialmente antes mesmo de abri-la. 5.9 – Não deve responder caso receba mensagens contendo texto ou imagem não prossional ou de propaganda. Nem mesmo que seja para solicitar o não envio. Neste caso o remetente saberá que o endereço eletrônico está válido. Condencialidade e validade da mensagem

5.10 – Enquanto o correio eletrônico não utilizar a Certicação Digital ou qualquer outro processo que garanta a condencialidade da mensagem e a autenticidade do destinatário/remetente, você não deve enviar mensagens para fora do domínio ORGANIZAÇÃO.com.br em que:


129

▪ o destinatário ou a ORGANIZAÇÃO cariam incomodados ou embaraçados se a mensagem fosse publicada na primeira página de jornal de grande circulação; ▪ um parceiro (cliente, fornecedor) autorize determinada ação para a ORGANIZAÇÃO e que, caso essa mensagem não seja reconhecida no futuro por esse parceiro, esse fato traga prejuízo para a ORGANIZAÇÃO. Para esses casos, o envio de mensagem pode agilizar um processo, porém deve ser formalizado através de um outro meio que conrme a ação solicitada. Para os casos em que uma negociação tenha que ser feita via correio eletrônico, o diretor da área deverá estar formalmente ciente desse fato e do potencial risco para a ORGANIZAÇÃO. 5.11 – Quando envia uma mensagem de correio eletrônico, ela está restrita a você e ao destinatário. Porém, no caso de informações que exijam um maior sigilo; você deve, na primeira linha da mensagem, indicar o nível de classicação dessa informação, dentre os níveis de condencialidade descritos na Norma de Segurança – Classicação da Informação. 5.12 – Caso receba, por algum motivo, uma mensagem que por erro lhe foi enviada, deve proceder da seguinte maneira: ▪ caso seja uma mensagem de endereço ORGANIZAÇÃO.com.br, informe ao remetente o ocorrido e remova a mensagem da sua caixa de entrada; ▪ caso não seja do ambiente ORGANIZAÇÃo.com.br, simplesmente remova a mensagem da sua caixa de entrada. 5.13 – Ao enviar uma mensagem para um destinatário com cópia para várias pessoas, tenha certeza de que todas essas pessoas realmente devem receber essa mensagem. A facilidade de se copiar uma mensagem no correio eletrônico nos leva a endereçar cópias para muitas pessoas. O mesmo vale para quando vamos responder a uma mensagem. Cópias desnecessárias sobrecarregam os recursos do ambiente computacional. 5.14 – Ao indicar o destinatário ou cópia, tenha absoluta certeza de que o nome colocado é o nome do usuário para quem você deseja enviar a mensagem. Quando for enviar para vários usuários com certa frequência, utilize a opção de grupo de endereços evitando erros de endereçamento.

130


5.15 – Tenha muita atenção com o uso da opção “Encaminhar/Forward”, que vai criando um histórico com todas as mensagens encadeadas. Avalie se é necessário e conveniente o envio de todas essas mensagens. Existe o risco de quebra de condencialidade da informação e a ocorrência de situações desagradáveis com a leitura indevida de mensagens do correio eletrônico. Arquivos em anexo 5.16 – Somente deve enviar arquivos anexados quando for imprescindível. Cuidado quando estiver repassando (Encaminhar/Forward) mensagens para não repassar desnecessariamente arquivos anexados. 5.17 – Deve garantir que cada um dos arquivos anexados possua o seu nível de condencialidade da informação de acordo com a Norma de Segurança – Classicação da Informação. 5.18 – Não deve abrir arquivos anexados de remetentes desconhecidos. Remova esses arquivos do seu ambiente de correio eletrônico. Gestão do Correio Eletrônico 5.19 – Vericar regularmente a sua caixa de entrada do ambiente de correio eletrônico. 5.20 – Caso necessite manter a mensagem, verique seu espaço no servidor de correio eletrônico. Caso esteja perto do limite, transra-a para uma de suas pastas pessoais. Porém, nesse caso, você está sem a facilidade de cópias de segurança que são executadas no ser vidor. 5.21 – Caso necessite de cópias de segurança para suas pastas pessoais, entre em contato com o Help-Desk para receber a devida orientação. 5.22 – Não compartilhe a sua senha de acesso ao ambiente de rede e ao correio eletrônico com nenhum outro usuário. Caso você necessite que algum outro usuário (por exemplo, uma secretária) tenha acesso ao seu correio eletrônico, faça através dos procedimentos de acesso compartilhado, porém cada usuário deve utilizar sua própria identicação e senha.


131

5.23 – Quando for passar um período sem acessar o correio eletrônico, deixe uma mensagem de ausência e indique quem pode ser procurado no seu lugar. lugar. 5.24 – Deve cuidar do espaço limitado que cada usuário possui no ser vidor para sua caixa de entrada, caixa de saída e alguns outros recursos. Quando esse espaço for ultrapassado, haverá restrições para envio e recebimento de mensagens.

6. CONCLUSÃO O não cumprimento das regras descritas neste documento que complementam c omplementam a Política de Segurança e Proteção da Informação constitui falta grave e o usuário está sujeito a penalidades administrativas e/ou contratuais. Situações não previstas e sugestões devem ser encaminhadas à Gerência de Segurança da Informação. Dúvidas e informações adicionais poderão ser encaminhadas diretamente ao Help Desk .

132


EXEMPLO 7. UTILIZAÇÃO DO AMBIENTE INTERNET PELO USUÁRIO

1. OBJETIVO Denir os requisitos e as regras de segurança para o uso do ambiente de Internet, Intranet e Extranet da ORGANIZAÇÃO.

2. ABRANGÊNCIA Esta política se aplica a todos os usuários (associados, prestadores de serviços e estagiários) que utilizam o ambiente de tecnologia da ORGANIZAÇÃO.

3. IMPLEMENTAÇÃO A Gerência de Segurança da Informação e a Área de Apoio ao Usuário Final são responsáveis pela implementação e continuidade dessa norma de segurança.

4. POLÍTICA DE SEGURANÇA E PROTEÇÃO DA INFORMAÇÃO (Itens referentes à Internet – Documento já publicado). O acesso da informação deve ser autorizado apenas para os usuários que necessitam dela para o desempenho das suas atividades prossionais na ORGANIZAÇÃO. Esse conhecimento do usuário deve ser utilizado apenas para o desenvolvimento e a operacionalização do negócio da ORGANIZAÇÃO. O ambiente de Internet deve ser usado para o desempenho das atividades profissionais do usuário para a ORGANIZAÇÃO. Sites que Sites que não contenham informações que agreguem conhecimento profissional e para o negócio não devem ser acessados. Os acessos realizados nesse ambiente são


133

monitorados pela ORGANIZAÇÃO com o objetivo de garantir o cumprimento dessa política. Os recursos de tecnologia da ORGANIZAÇÃO, disponibilizados para os usuários, tem como objetivo a realização de atividades prossionais. A utilização dos recursos de tecnologia com nalidade pessoal é permitida, desde que seja em um nível mínimo e que não viole a Política de Segurança e Proteção da Informação e o Código de Conduta e Ética da ORGANIZAÇÃO. A utilização das informações do ambiente de tecnologia ou do ambiente convencional pelos usuários da ORGANIZAÇÃO deve estar de acordo com os documentos institucionais “Código de Conduta”, “Política de Privacidade – Dados Pessoais” e “Conduta Ética e Conito de Interesses” . Todos os usuários devem conhecer e entender esses documentos.

5. DEFINIÇÕES Internet É o ambiente virtual onde diferentes computadores de várias partes do mundo se comunicam através de protocolos padrões, permitindo a troca de informações e o compartilhamento de conhecimento. Existem vários serviços disponibilizados na Internet, sendo o correio eletrônico e o ambiente gráco www (World Wide Web) os mais conhecidos.

Intranet É um ambiente semelhante ao da Internet, porém restrito ao ambiente de tecnologia da ORGANIZAÇÃO.

Extranet É o ambiente com o mesmo conteúdo da Intranet, porém extensivo ao ambiente da rede corporativa ORGANIZAÇÃO pela Internet. Esse ambiente está logicamente restrito aos usuários da ORGANIZAÇÃO.

134


Ambiente Web É o conjunto dos ambientes Internet, Intranet, Extranet.

Site É o local virtual onde se encontram as informações relativas a um endereço do Ambiente Web. No mundo real é suportado supor tado por um ou vários equipamentos, que estão ligados à rede dentro do ambiente considerado.

6. REGRAS PARA OS USUÁRIOS 6.1 – Apenas os softwares e suas versões homologadas para a função de navegadores no Ambiente Web devem ser utilizados pelos usuários. 6.2 – Todos os arquivos recebidos a partir do ambiente da Internet para o ambiente do computador do usuário devem ser analisados por produto antivírus homologado para a ORGANIZAÇÃO. 6.3 – O usuário não deve alterar a conguração do navegador da sua máquina no que diz respeito aos parâmetros de segurança. Havendo necessidade, o Help Desk deve ser acionado para informar o procedimento a ser seguido. 6.4 – Quando estiver acessando a Internet o usuário não deve acessar sites ou executar ações que possam infringir direitos autorias, marcas, licença de software ou patentes existentes. 6.5 – Nenhum material com nível de sigilo “Condencial” ou superior, pode ser disponibilizado fora das áreas seguras da Intranet. 6.6 – Não são permitidas páginas pessoais de usuários ou qualquer outra propaganda comercial pessoal no Ambiente Web utilizando recursos da ORGANIZAÇÃO. 6.7 – Nenhum material ofensivo ou hostil pode ser disponibilizado nos sites da ORGANIZAÇÃO no Ambiente Web.


135

6.8 – É proibido e considerado abuso: ▪ A visualização, transferência, cópia ou qualquer outro tipo de acesso a sites: »

»

»

de conteúdo pornográco ou relacionados a sexo, bem como a distribuição, interna ou externa, de qualquer tipo de conteúdo proveniente destes sites; que defendam atividades ilegais; que menosprezem, depreciem e incitem o preconceito a determinadas classes, como sexo, raça, orientação sexual, religião, nacionalidade.

▪ A transferência ou cópia de grandes quantidades de arquivos de vídeo, som, ou grácos não relacionados aos interesses de negócios da companhia. Este tipo de ação afeta diretamente os recursos de rede. ▪ Participação em: »

»

salas de chat ou grupos de discussão de assuntos não relacionados aos negócios da companhia; qualquer discussão pública sobre os negócios da companhia, através do uso de salas de chat, grupos de discussão, ou qualquer outro tipo de fórum público, a menos que autorizado pela Diretoria.

▪ Distribuiç Distribuição ão de informaçõe informaçõess condenci condenciais ais da da ORGANIZAÇ ORGANIZAÇÃO ÃO..

8. CONCLUSÃO O não cumprimento das regras descritas neste documento que complementam c omplementam a Política de Segurança e Proteção da Informação constitui em falta grave e o usuário está sujeito a penalidades administrativas e/ou contratuais. Situações não previstas e sugestões devem ser encaminhada à Gerência de Segurança da Informação. Dúvidas e informações adicionais poderão ser encaminhadas diretamente ao Help Desk .

136


EXEMPLO 8. CLASSIFICAÇÃO DA INFORMAÇÃO Nível de Confidencialidade

1. OBJETIVO Denir o conceito e estabelecer os critérios relativos à classicação da informação.

2. ESCOPO Todos os usuários da informação da ORGANIZAÇÃO.

3. INTRODUÇÃO Os Níveis de Classicação (NC) apresentados permitem que a informação possa ser identicada como: 1) Pública. 2) Interna. 3) Condencial. 4) Restrita. Todos os relatórios de sistemas, relatórios elaborados no ambiente de automação de escritório e todas as telas de sistemas deverão indicar o nível de classicação da informação referente à tela ou ao relatório. Toda e qualquer outra forma de exposição da informação da ORGANIZAÇÃO deve ser classicada e ter explícito o seu nível de condencialidade. Essa indicação do nível de classicação deve ser colocada no rodapé ou no cabeçalho de cada página do relatório ou na tela. No caso de correio eletrônico, deve-se colocar em negrito na primeira linha do texto.


137

Para esta classicação não foi considerado o seu tempo de validade. Sendo assim, a informação continuará sempre no nível indicado até que o Gestor indique um novo nível de condencialidade.

4. DEFINIÇÕES Classicação da informação

É a denição do nível de condencialidade da informação, considerando: ▪ quais as pessoas, áreas organizacionais e/ou organizações clientes que deverão ter acesso à informação; e ▪ que procedimentos de proteção da informação devem ser seguidos. Indicação de parâmetro opcional ou obrigatório. Os parâmetros descritos na sintaxe do nível de classicação da informação podem ser opcionais ou obrigatórios. ▪ (“parâmetro”) : opcional. ▪ (parametro) : obrigatório.

Usuários da ORGANIZAÇÃO Indica associados, prestadores de serviço e estagiários que desenvolvem serviços internamente na ORGANIZAÇÃO e necessitam de informações da ORGANIZAÇÃO para a realização de suas atividades prossionais.

5. CLASSIFICAÇÃO INFORMAÇÃO PÚBLICA 5.1 – Descrição A informação classicada como “Pública” pode ser acessada por:

138


▪ usuários da ORGANIZAÇÃO; ▪ organizações clientes e prestadoras de serviço; e ▪ público em geral. Essa classicação se aplica, normalmente, às informações corporativas da ORGANIZAÇÃO que podem ser divulgadas para o público e para os clientes. As informações sem classicação serão consideradas “Públicas”. 5.2 – Sintaxe A sintaxe dessa classicação é: ▪ Informação Pública 5.3 – Exemplo Informação Pública ▪ Internamente: qualquer usuário da ORGANIZAÇÃO. ▪ Externamente: qualquer pessoa. 5.4 – Cópia Pode ser copiada para ns comerciais e de conhecimento interno na ORGANIZAÇÃO. 5.5 – Guarda física Sem restrições. 5.6 – Malote interno Não necessita fechar em envelope ou embrulho. 5.7 – Correio convencional ▪ Não necessita fechar em envelope ou embrulho.


139

▪ Pode ser enviado como impresso. ▪ Usar correspondência simples. 5.8 – Correio Eletrônico Sem restrições. 5.9 – Destruição Normal. Sem procedimento especial. 5.10 – Fax Sem restrições.

6. CLASSIFICAÇÃO INFORMAÇÃO INTERNA 6.1 – Descrição A informação classicada como “Interna ORGANIZAÇÃO” indica que esta somente deve ser acessada por usuários da ORGANIZAÇÃO ou de áreas organizacionais explicitadas. Ela se aplica normalmente a informações da ORGANIZAÇÃO que não possuem segredo de negócio ou que não comprometem a imagem da ORGANIZAÇÃO. 6.2 – Sintaxe A sintaxe dessa classicação é: Informação Interna ORGANIZAÇÃO (“área”). 6.3 – Exemplos Informação Interna ORGANIZAÇÃO. ▪ Internamente: qualquer usuário ORGANIZAÇÃO. ▪ Externamente: não autorizado.

140


Informação Interna ORGANIZAÇÃO (Dir.Operações/Recebimento) ▪ Internamente: qualquer usuário da área de Recebimento da Diretoria de Operações. ▪ Externamente: não autorizado. 6.4 – Cópia Pode ser copiada para ns de conhecimento interno na ORGANIZAÇÃO. 6.5 – Guarda Física Dentro do ambiente de escritório da ORGANIZAÇÃO. Não necessita ser mantida trancada quando não estiver sendo usada. 6.6 – Malote interno Fechar em envelope ou embrulho. Não precisa indicar o nível de classicação. 6.7 – Correio convencional ▪ Fechar em envelope ou embrulho sem identicação do nível de classicação da Informação. ▪ Utilizar correspondência simples. 6.8 – Correio Eletrônico ▪ Enviar sem proteção. 6.9 – Destruição Normal. Sem procedimento especial. 6.10 – Fax Sem restrições.


141

7. CLASSIFICAÇÃO INFORMAÇÃO CONFIDENCIAL 7.1 – Descrição A informação classicada como “Condencial” indica que a mesma tem forte restrição de uso, tem um nível de condencialidade maior que Interna e somente pode ser acessada por usuários: ▪ da ORGANIZAÇÃO; ou ▪ da ORGANIZAÇÃO e por pessoal do Parceiro (Cliente, Prestador de Serviço, outro). A divulgação não autorizada dessa informação pode causar impacto (nanceiro, de imagem ou operacional) ao negócio da ORGANIZAÇÃO e/ou ao negócio do Parceiro. Caso se deseje que apenas determinadas áreas organizacionais da ORGANIZAÇÃO tenham direito a acessar essa informação as mesmas serão indicadas. Caso nenhuma área seja indicada, todas as áreas da ORGANIZAÇÃO poderão ter acesso a essa informação. Em relação ao Parceiro é obrigatória a indicação da organização ou da organização e sua área especíca. 7.2 – Sintaxe A sintaxe dessa classicação é: Informação Condencial ORGANIZAÇÃO (“área”) / Parceiro (organização). 7.3 – Exemplos Informação Condencial ORGANIZAÇÃO ▪ Internamente: todos os usuários. ▪ Externamente: não autorizado.

142


Informação Condencial ORGANIZAÇÃO (Diretoria Operações) ▪ Internamente: todos os usuários da área organizacional Diretoria de Operações. ▪ Externamente: não autorizado. Informação Condencial ORGANIZAÇÃO / Parceiro (Rede ABC) ▪ Internamente: qualquer usuário ORGANIZAÇÃO. ▪ Externamente: por pessoal da empresa Rede ABC. Informação Condencial ORGANIZAÇÃO (Financeiro/Gerentes, Marketing) / Parceiro (Rede Bola/Marketing) ▪ Internamente: usuários Gerentes da Área Financeira + pessoal da Área de Marketing. ▪ Externamente: pessoal da área de Marketing da empresa Rede Bola. Informação Condencial ORGANIZAÇÃO / Parceiro (Clientes Região Nordeste) ▪ Internamente: qualquer usuário ORGANIZAÇÃO. ▪ Externamente: organizações clientes da Região Nordeste. 7.4 – Cópia Pode ser copiada para ns comerciais e de conhecimento interno na ORGANIZAÇÃO. 7.5 – Guarda Física Deve ser mantida trancada quando não estiver sendo usada. 7.6 – Malote interno Fechar em envelope ou embrulho com a marca da classicação Informação Condencial ORGANIZAÇÃO/Parceiro e seu detalhamento.


143

7.7 – Correio convencional ▪ Fechar em envelope ou embrulho com a marca da classicação Informação Condencial ORGANIZAÇÃO/Parceiro e seu detalhamento. ▪ Colocar o envelope ou embrulho no interior de um outro envelope sem classicação. ▪ O Gestor deve avaliar uso de correspondência simples ou tipo SEDEX ou outro. 7.8 – Correio Eletrônico ▪ Origem ou destinatário é um endereço não ORGANIZAÇÃO: »

enviar como arquivo em anexo cifrado com senha;

»

enviar senha por outro meio de comunicação;

»

utilizar certicação digital assim que estiver disponível.

▪ Origem e destinatário são endereços ORGANIZAÇÃO (organização. com.br): ▪ Normal, sem restrições. 7.9 – Destruição Internamente: destruir sob supervisão da ORGANIZAÇÃO, de modo a assegurar a eliminação completa da informação. No Parceiro: a ORGANIZAÇÃO deve orientar o Parceiro para destruir essa informação de forma supervisionada, de modo a assegurar a eliminação completa. 7.10 – Fax Somente com a autorização do Gestor dessa informação. No caso de relatórios elaborados no ambiente de automação de escritório, somente com a autorização do autor do relatório.

144


8. CLASSIFICAÇÃO INFORMAÇÃO RESTRITA ORGANIZAÇÃO (Pessoas) 8.1 – Descrição A informação classicada como “Restrita ORGANIZAÇÃO” indica que esta somente pode ser acessada por usuário da informação da ORGANIZAÇÃO explicitamente indicado pelo nome ou por área organizacional a que pertence. A divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou comprometer a estratégia de negócio da ORGANIZAÇÃO. É obrigatória a indicação do grupo ou das pessoas que podem acessar essa informação. 8.2 – Sintaxe A sintaxe dessa classicação é: Informação Restrita ORGANIZAÇÃO (pessoas) 8.3 – Exemplos Informação Restrita ORGANIZAÇÃO (Antônio Potiguar, José da Silva, Maria Iracema) ▪ Internamente: apenas os usuários Antônio Potiguar, José da Silva e Maria Iracema. ▪ Externamente: não autorizado. Informação Restrita ORGANIZAÇÃO (Presidente, Diretoria) ▪ Internamente: apenas o presidente e diretores da ORGANIZAÇÃO. 8.4 – Cópia Não pode ser copiada. Deve ser sempre enviada pelo Gestor. 8.5 – Guarda física Deve ser mantida trancada quando não estiver sendo usada.


145

8.6 – Malote interno Fechar em envelope ou embrulho com a marca da classicação Informação Restrita ORGANIZAÇÃO e seu detalhamento. 8.7 – Correio convencional ▪ Fechar em envelope ou embrulho com a marca da classicação Informação Restrita ORGANIZAÇÃO e seu detalhamento. ▪ Colocar o envelope ou embrulho no interior de um outro envelope sem classicação. ▪ Utilizar serviço de correspondência SEDEX ou equivalente. 8.8 – Correio Eletrônico ▪ Origem ou destinatário é um endereço não ORGANIZAÇÃO: »

enviar como arquivo em anexo cifrado com senha;

»

enviar senha por outro meio de comunicação;

»

utilizar certicação digital assim que estiver disponível.

▪ Origem e destinatário são endereços ORGANIZAÇÃO (organização. com.br): »

Normal, sem restrições.

▪ Deve-se criar uma lista de distribuição contendo os nomes dos destinatários para evitar o envio indevido de e-mail, por erro, para usuário não autorizado a receber essa informação. 8.9 – Destruição Destruir sob supervisão da ORGANIZAÇÃO, de modo a assegurar a eliminação completa da informação. 8.10 – Fax Não enviar informação classicada nesse nível através de Fax.

146


9. CONCLUSÃO As situações especícas devem ser registradas junto à Gerência de Segurança da Informação. A alteração dos relatórios e telas dos sistemas deverá acontecer ao longo dos próximos meses. Os novos relatórios e as novas telas deverão ser implantados contendo explícitamente o Nível de Condencialidade da informação atribuído pelo Gestor da mesma. Quando em situações de manutenção, deve-se aproveitar a alteração a ser feita para a inclusão dessa classicação. Situações não previstas e dúvidas devem ser encaminhadas à Gerência de Segurança da Informação.


147

EXEMPLO 9. ACESSO À INFORMAÇÃO

1. OBJETIVO Denir os requisitos e regras para o acesso à informação no ambiente de tecnologia.

2. ABRANGÊNCIA Esta Norma se aplica a todos os usuários (associados e prestadores de serviços) que utilizam o ambiente de tecnologia da ORGANIZAÇÃO.

3. IMPLEMENTAÇÃO A Gerência de Segurança da Informação e as áreas que suportam a tecnologia da informação são responsáveis pela implementação e continuidade dessa norma de segurança.

4. POLÍTICA DE SEGURANÇA E PROTEÇÃO DA INFORMAÇÃO (Itens referentes ao Acesso de Informação – Documento já publicado). O Gestor da Informação é a pessoa responsável pela autorização de acesso, validação de uso e denição dos demais controles sobre a informação. Cada informação deverá ter o seu Gestor, que será indicado formalmente pela diretoria responsável pelos sistemas que acessam a informação. O Gestor da Informação classicará o nível de condencialidade e proteção da informação baseando-se nos critérios predenidos pela Gerência de Segurança da Informação. A liberação da informação para os usuários será autorizada pelo Gestor, que levará em conta a condencialidade da informação e a necessidade de acesso do usuário.

148


Toda informação crítica para o funcionamento da ORGANIZAÇÃO deve possuir, pelo menos, uma cópia de segurança atualizada e guardada em local remoto, com proteção adequada. O Gestor da Informação é responsável pela denição dessa criticidade.

5. DEFINIÇÕES 5.1 – Gestor da Informação É o diretor da área responsável pelo uso dos sistemas e serviços de informação (ou parte deles) que possibilitam a realização das atividades de negócio, administrativas e/ou de apoio. Cada diretor poderá indicar para os sistemas e serviços sob sua responsabilidade outras pessoas para também exercerem a função de Gestor da Informação. 5.2 – Gestor de Usuário É a pessoa que garante para a organização que o usuário está exercendo normalmente as suas atividades prossionais na ORGANIZAÇÃO. O Gestor de Usuário para associado é a sua chea organizacional a partir do nível gerente ou superior. O Gestor de Usuário para não associado é o gerente (ou pessoa de nível hierárquico superior) responsável pela contratação da prestação de serviço.

6. RESPONSABILIDADES 6.1 – Gestor da Informação a) Autorizar (ou negar) o acesso do usuário à informação, considerando: ▪ a real necessidade de acesso pelo usuário; ▪ a condencialidade da informação; e ▪ o tipo de acesso (leitura, alteração, remoção) a ser autorizado.


149

b) Validar e atualizar, pelo menos a cada seis meses, os usuários que possuem acesso à informação. c) Denir o nível de classicação de condencialidade da informação. d) Denir o impacto para a organização caso a informação esteja indisponível para a realização do negócio. e) Denir o nível de continuidade de negócio referente ao sistema/ serviço sob sua responsabilidade, validando as soluções para situações de desastre e de contingência implementadas pelas áreas de tecnologia. f) Denir a necessidade de cópias de segurança e validar as soluções implementadas pelas áreas de tecnologia para o sistemas e ser viços sob sua responsabilidade. g) Validar a eventual necessidade de armazenamento de dados pessoais nos sistemas e serviços sob sua responsabilidade, de forma que esteja coerente com a Política de Privacidade – Dados Pessoais. h) Buscar junto à organização os recursos que permitam a implantação e manutenção do nível de proteção e disponibilidade desejado para os sistemas ou serviços sob a sua responsabilidade, possibilitando realização do negócio. 6.2 – Gestor de Usuário a) Garantir que o usuário somente esteja ativo no ambiente de tecnologia caso seja um funcionário ou prestador de serviço exercendo normalmente as suas funções prossionais para a ORGANIZAÇÃO. b) Validar e atualizar, pelo menos a cada trinta dias, os usuários tipo prestadores de serviço sob sua responsabilidade. 6.3 – Usuário a) Solicitar acesso apenas para as informações que vai utilizar nas suas atividades prossionais na ORGANIZAÇÃO.

150


b) Solicitar o corte de acesso à informação, quando suas atividades prossionais na ORGANIZAÇÃO não mais exigirem esse acesso.

7. PROCEDIMENTOS 7.1 – Inclusão do usuário no ambiente computacional a) O Gestor do Usuário autoriza a inclusão do usuário no ambiente computacional. b) A área responsável pelo cadastro de usuário realiza a inclusão do usuário e arquiva a autorização. 7.2 – Exclusão e manutenção do usuário no ambiente computacional a) Sempre que acontece um desligamento de associado, a área de recursos humanos comunica à área de tecnologia responsável pelo cadastro de usuários o nome desses associados. b) O Gestor de Usuário também deve comunicar à área de tecnologia responsável pelo cadastro de usuários o nome dos associados e de prestadores de serviço que estão sob sua responsabilidade e que deixarão a ORGANIZAÇÃO. c) Para cada prestador de serviço existirá uma data de expiração de contrato. Após essa data a identicação do usuário deve perder a validade. Esta data de expiração não poderá ser maior do que seis meses. d) Periodicamente o Gestor de Usuário validará os usuários tipo prestadores de serviço que estão sob sua responsabilidade. e) A área responsável pelo cadastro do usuário arquiva a comunicação de manutenção ou exclusão. 7.3 – Acesso à informação a) O Gestor da Informação autoriza o acesso do usuário à informação.


151

b) O Gestor da informação valida periodicamente os usuários que possuem acesso à informação sob sua responsabilidade. c) Quando da mudança de função prossional dentro da ORGANIZAÇÃO, o próprio usuário deve solicitar a exclusão de acesso às informações que não são mais necessárias para o desempenho das suas atividades prossionais. d) A área responsável pela liberação do acesso à informação realiza a liberação do acesso, arquiva a autorização de acesso ou a comunicação de corte de acesso.

8. CONCLUSÃO Os Gestores de Informação e de Usuário aprovados pela ORGANIZAÇÃO estão com os nomes divulgados na norma de segurança “Gestor de Informação e Gestor de Usuário”. Procedimentos poderão ser formalizados para cada um dos ambientes computacionais com o objetivo de descrever mais detalhadamente as regras aqui denidas. O não cumprimento das regras descritas neste documento, que complementam a Política de Segurança e Proteção da Informação, constitui em falta grave e o usuário está sujeito a penalidades administrativas e/ou contratuais. Situações não previstas, dúvidas, informações adicionais e sugestões devem ser encaminhadas à Gerência de Segurança da Informação.

152


EXEMPLO 10. RESPEITO À PRIVACIDADE DO USUÁRIO

1. OBJETIVO DESTE REGULAMENTO Declarar o comprometimento da ORGANIZAÇÃO em relação aos requisitos e procedimentos para a proteção dos direitos de privacidade do usuário e a sua informação individual identicável armazenada, processada e transmitida pelo ambiente de tecnologia utilizado pela ORGANIZAÇÃO para a prestação de seus serviços.

2. ABRANGÊNCIA DESTE REGULAMENTO Esta Norma se aplica a todas as ações da ORGANIZAÇÃO em relação a cada usuário que utiliza as informações do ambiente de tecnologia. Este regulamento está alinhado com o regulamento “Política de Segurança e Proteção da Informação.”

3. IMPLEMENTAÇÃO DESTE REGULAMENTO O Departamento de Segurança da Informação, a Unidade de Segurança da Informação, o PRESTADOR e as cheas das áreas da ORGANIZAÇÃO desenvolverão ações contínuas e necessárias para a implementação deste regulamento, cando o Departamento de Segurança da Informação responsável pela coordenação dessas ações.

4. DEFINIÇÕES As denições de termos relativos à Segurança da Informação estão descritas no regulamento “Denições utilizadas em segurança da informação.”


153

5. POLÍTICA E REGRAS 5.1 – Princípios básicos A ORGANIZAÇÃO está comprometida com a privacidade individual e reconhece a sua responsabilidade de proteger os Dados Pessoais sob sua custódia e controle. A política de privacidade de Dados Pessoais da ORGANIZAÇÃO está denida através dos quatro princípios básicos a seguir: a) A ORGANIZAÇÃO não irá acumular ou manter intencionalmente Dados Pessoais ou outros que não aqueles relevantes na condução dos seus serviços e adotará as medidas necessárias para garantir a precisão dos Dados Pessoais sob sua custódia e controle. b) Todos os Dados Pessoais em posse da ORGANIZAÇÃO serão considerados como condenciais e serão adotadas as precauções adequadas que têm como propósito evitar a divulgação não apropriada ou não autorizada desses Dados Pessoais. c) Dados Pessoais que estejam sob a posse da ORGANIZAÇÃO não serão usados para ns contrários aos seus objetivos, motivo pelo qual foram recebidos os Dados Pessoais, a não ser quando aqueles indivíduos afetados forem adequadamente consultados. d) Dados Pessoais não serão transferidos a terceiros, exceto quando exigido pelo serviço prestado, desde que tais terceiros mantenham a condencialidade dos Dados Pessoais e somente os utilizem para os motivos pelos quais eles foram fornecidos. 5.2 – Uso de dados pessoais Exceto os Dados Pessoais relevantes para a prestação dos serviços pela ORGANIZAÇÃO, os demais Dados Pessoais não serão intencionalmente acumulados ou mantidos e serão adotadas medidas visando garantir a precisão dos Dados Pessoais sob a custódia e controle da ORGANIZAÇÃO. 5.3 – Recebimento de dados pessoais A ORGANIZAÇÃO não aceitará intencionalmente quaisquer Dados Pessoais dos usuários que não sejam relevantes à condução de seus serviços prestados. Caso a ORGANIZAÇÃO tome conhecimento que recebeu Dados Pessoais que

154


não sejam relevantes aos seus propósitos, ela irá abster-se de fazer uso destes e irá retorná-los à origem ou apagá-los de seus sistemas. Não serão mantidos Dados Pessoais por mais tempo do que o necessário ou apropriado. 5.4 – Precisão e integralidade dos dados pessoais A ORGANIZAÇÃO cona em cada usuário e por isso acredita na veracidade dos Dados Pessoais fornecidos. Dados Pessoais em posse da ORGANIZAÇÃO serão considerados condenciais e serão adotadas as precauções elaboradas para este m, visando evitar a divulgação inadequada ou não autorizada de Dados Pessoais. 5.5 – Segurança Dados Pessoais sob a custódia da ORGANIZAÇÃO devem estar protegidos por políticas e procedimentos, visando evitar o uso ou o acesso não autorizado aos sistemas de informações, manter a integridade, disponibilidade e privacidade das informações condenciais e evitar a sua perda ou destruição. Dados Pessoais sob a posse da ORGANIZAÇÃO não serão utilizados para objetivos incompatíveis com os objetivos para os quais foram recebidos esses dados, a não ser que os indivíduos afetados sejam adequadamente consultados. 5.6 – Utilizações básicas Dados Pessoais devem ser utilizados com o objetivo de uso próprio e retenção, para auxiliar o usuário no uso de informações próprias e melhorar a sua experiência de trabalho/vida. Dados Pessoais de funcionários estarão disponíveis aos seus superiores e responsáveis por benefícios e outros prestadores de serviço. Por exemplo, os usos de Dados Pessoais podem incluir: folha de pagamento, reembolso de despesas, retenção e informe de impostos, administração de salários e benefícios, atribuição de tarefas, gerenciamento e avaliação, recrutamento de pessoal e treinamento, expatriação, repatriação, mudança, cumprimento da lei, registros pessoais, manutenção e administração e indenização por dispensa. 5.7 – Uso restrito e sob autorização Dados Pessoais podem vir a ser utilizados, dependendo da circunstância, para objetivos incompatíveis com aqueles para os quais foram informados. Entretanto, antes de fazer isso, A ORGANIZAÇÃO dará aos indivíduos a oportunidade de optar pelo não uso de seus Dados Pessoais para tais ns. No caso de informações


155

sensíveis (relacionadas a condições médicas ou de saúde, religião ou crença losóca, associação de sindicato ou informação especicando a preferência sexual do indivíduo), não será feito o uso de Dados Pessoais sem permissão. Dados Pessoais não serão transmitidos a terceiros, exceto quando necessários aos serviços prestados pela ORGANIZAÇÃO e desde que estes terceiros mantenham a condencialidade dos Dados Pessoais e os utilize para a dada nalidade. 5.8 – Terceiros A ORGANIZAÇÃO mantém relacionamentos de colaboração com fornecedores, subcontratados, parceiros estratégicos e outros que os auxiliam e a seus clientes na condução do seu respectivo negócio. Dados Pessoais são transmitidos a esses prestadores de serviço visando possibilitá-los a trabalhar com a ORGANIZAÇÃO e com seus clientes no entendimento de que eles também manterão a privacidade dos Dados Pessoais. 5.9 – Acesso Mediante solicitação por escrito, a ORGANIZAÇÃO informará a uma pessoa quais os Dados Pessoais que possui sobre esta pessoa no geral, e serão adotadas medidas para corrigir ou apagar quaisquer imprecisões nos Dados Pessoais indicados, quer seja direta ou através da disponibilização de mecanismos de auto-atendimento. Entretanto, poderão ser limitados o acesso, as correções ou retirados, caso o ônus ou custo seja desproporcional aos riscos de privacidade, quando a legislação assim permitir. A ORGANIZAÇÃO poderá estabelecer regras para o acesso aos Dados Pessoais e/ou estabelecer limites razoáveis para a frequência de solicitações de acesso. 5.10 – Possibilidade de questionamento Aqueles que acharem que seus Dados Pessoais estejam sendo tratados de modo contrário a esta Política de Privacidade devem contatar o Departamento de Segurança da Informação, que irá discutir a questão com o queixoso, conduzir uma investigação e informar o resultado ao queixoso, tudo no intuito de resolver a questão o mais rápido possível e amigavelmente. 5.11 – Requisitos legais e limitações Esta Norma de Privacidade está sujeita em todos os aspectos a requisitos e limitações jurídicas e regulatórias que poderiam preceituar ações ou políticas diferentes daquelas ora estabelecidas.

156


5.12 – Cumprimento A m de permitir a vericação de que as armações e declarações deste regulamento de Proteção de Dados Pessoais são verdadeiros e que as práticas foram implementadas, a ORGANIZAÇÃO deve: a) Publicar esta política para que esteja acessível a todos os interessados. b) Nomear e manter o Departamento de Segurança da Informação como o órgão responsável pela garantia do cumprimento da privacidade de Dados Pessoais, com a função de criar e implementar um programa de adesão e vericar a obediência da ORGANIZAÇÃO ao programa. c) Introduzir procedimentos para executar essas políticas no alcance do seu objetivo, treinar funcionários na aplicação desses procedimentos e punir funcionários que desobedecerem estas políticas e procedimentos. d) Manter registros da implementação desta política e disponibilizá-los quando da solicitação razoável de uma investigação ou reclamação sobre não obediência ao grupo independente responsável pela investigação das reclamações, ou para a agência com jurisdição para práticas injustas ou enganosas. e) Pelo menos uma vez ao ano, rever este regulamento, visando garantir que esta política continue a estar de acordo com seus objetivos iniciais e com os princípios legais e éticos vigentes.

6. CONCLUSÃO O não cumprimento deste regulamento e/ou dos demais instrumentos normativos que complementarão o processo de segurança constitui em falta grave e o usuário está sujeito a penalidades administrativas e/ou contratuais. Situações de exceção e não previstas deverão ser denidas pelo Departamento de Segurança da Informação e pela Unidade de Segurança da Informação, considerando as áreas da ORGANIZAÇÃO envolvidas.


157

EXEMPLO 11. USO DE RECURSO COMPUTACIONAL

1. OBJETIVO DESTE REGULAMENTO Denir os requisitos e as regras de segurança para a utilização do recurso computacional, computador de mesa e computador portátil disponibilizado pelo ambiente de tecnologia utilizado pela ORGANIZAÇÃO.

2. ABRANGÊNCIA DESTE REGULAMENTO Este regulamento se aplica a todos os usuários que utilizam as informações do ambiente de tecnologia da ORGANIZAÇÃO. Este regulamento está alinhado com o regulamento “Política de Segurança e Proteção da Informação.”

3. IMPLEMENTAÇÃO DESTE REGULAMENTO O Departamento de Segurança da Informação, a Unidade de Segurança da Informação, o PRESTADOR e as cheas das áreas da ORGANIZAÇÃO desenvolverão ações contínuas e necessárias para a implementação deste regulamento, cando o Departamento de Segurança da Informação responsável pela coordenação dessas ações.

4. DEFINIÇÕES As denições de termos relativos à Segurança da Informação estão descritas no regulamento “Denições Utilizadas em Segurança da Informação”.

5. POLÍTICA E REGRAS 5.1 – O recurso tipo computador, seja de mesa ou portátil, disponibilizado para o Usuário Prossional, é de propriedade da ORGANIZAÇÃO por meio de seus diversos órgãos.

158


5.2 – O Usuário é o gestor desse recurso e deve garantir a sua integridade e perfeito funcionamento. 5.3 – Ao deixar de trabalhar em determinada área da ORGANIZAÇÃO, em função de transferência para outra área, o recurso computador deve car na área de origem, salvo se existir um prévio acerto entre as partes. 5.4 – Cada computador portátil que permanecer nas instalações de uma área da ORGANIZAÇÃO quando o usuário não estiver desempenhando suas atividades prossionais nessas instalações deve ser guardado em lugar seguro que possa ser trancado (exemplo: gaveta de escrivaninha ou armário). 5.5 – Durante períodos de não funcionamento do ambiente de trabalho (exemplo: noite ou feriados) o pessoal de segurança, ou o equivalente local, registrará os computadores tipo portátil não protegidos adequadamente e manterá sob sua guarda, deixando um aviso no local, até que o respectivo associado procure o seu equipamento. 5.6 – Ao viajar com um computador tipo portátil, o usuário deve: a) Manter o computador tipo portátil sempre consigo. b) Ao tomar um táxi, certicar-se de que desceu com toda a sua bagagem, inclusive o computador. 5.7 – Ao transportar o computador tipo portátil no carro, ele deve ser colocado sempre no porta-malas, onde não cará visível. Não deixar o computador tipo portátil no veículo quando ele estiver estacionado. 5.8 – O transporte do computador tipo portátil nas ruas já está sendo bastante observado pelos criminosos. Neste caso, deve-se ser discreto, observar o ambiente ao redor e fazer o caminho mais seguro para onde se está dirigindo. 5.9 – É responsabilidade de cada usuário dos sistemas da ORGANIZAÇÃO assegurar a integridade do computador e a condencialidade das informações nele contidas.


159

5.10 – Em nenhuma hipótese o associado poderá alterar a conguração do computador portátil, como, por exemplo, trocar o disco rígido, retirar/acrescentar memória. Apenas a área técnica da ORGANIZAÇÃO está autorizada a realizar esta atividade. 5.11 – Em caso de perda de acessório (exemplo: secure-id, mala, mouse) o associado será responsável pelo pagamento deste.

6. CONCLUSÃO O não cumprimento deste regulamento e/ou dos demais instrumentos normativos que complementarão o processo de segurança constitui em falta grave e o usuário está sujeito a penalidades administrativas e/ou contratuais. Situações de exceção e não previstas deverão ser denidas pelo Departamento de Segurança da Informação e pela Unidade de Segurança da Informação da Organização.

160


EXEMPLO 12. CONTINUIDADE OPERACIONAL

1. OBJETIVO DESTE REGULAMENTO Denir os requisitos e as regras de segurança para a continuidade operacional dos recursos de informação utilizados pela ORGANIZAÇÃO.

2. ABRANGÊNCIA DESTE REGULAMENTO Este regulamento se aplica a todos os ambientes de tecnologia da ORGANIZAÇÃO e a todas as pessoas que utilizam estas informações. Este regulamento está alinhado com o regulamento “Política de Segurança e Proteção da Informação.”

3. IMPLEMENTAÇÃO DESTE REGULAMENTO O Departamento de Segurança da Informação, a Unidade de Segurança da Informação e as cheas das áreas da ORGANIZAÇÃO desenvolverão ações contínuas e necessárias para a implementação deste regulamento, cando o Departamento de Segurança da Informação responsável pela coordenação dessas ações.


5. POLÍTICA E REGRAS 5.1 – Os recursos de informação utilizados pela ORGANIZAÇÃO devem ter denido o seu nível de disponibilidade. Este nível de disponibilidade será o direcionador para a solução de continuidade operacional referente aos serviços prestados existentes no ambiente de tecnologia da informação.


161

5.2 – O Gestor da Informação é o responsável pelo nível de disponibilidade de cada informação ou serviço sob a sua custódia. Esse nível de disponibilidade deve ser validado pela Área de Tecnologia da Informação, analisando os requisitos técnicos necessários e possíveis para a implementação dessa solução. 5.3 – O Gestor da Informação é responsável pelo custo de implantação da solução desenvolvida pela Área de Tecnologia da Informação para atender o nível de disponibilidade denido. 5.4 – O desenvolvimento de planos de continuidade operacional para garantir o nível de disponibilidade da informação/serviço será coordenado pelo Departamento de Segurança da Informação, desenvolvido pela Unidade de Segurança da Informação ou por consultoria especializada e validado pelo Gestor da Informação. 5.5 – Pelo menos uma vez por ano o plano de continuidade deve ser testado de forma estruturada, documentado e com possibilidade de ser auditado. 5.6 – Os testes do plano de continuidade devem ocorrer com a participação das pessoas que provavelmente serão envolvidas, caso uma situação real acontecer. 5.7 – Os recursos de informação alternativos e os processos utilizados em situação de contingência devem ter o mesmo nível de segurança, proteção e sigilo dos elementos utilizados em situação normal.

6. CONCLUSÃO O não cumprimento deste regulamento e/ou dos demais instrumentos normativos que complementarão o processo de segurança constitui em falta grave e o usuário está sujeito a penalidades administrativas e/ou contratuais. Situações de exceção e não previstas deverão ser denidas pelo Departamento de Segurança da Informação e pela Unidade de Segurança da Informação, considerando as áreas da ORGANIZAÇÃO.

162


EXEMPLO 13. CÓPIAS DE SEGURANÇA DA INFORMAÇÃO

1. OBJETIVO DESTE REGULAMENTO Denir os requisitos e as regras de segurança para a existência eciente e ecaz das cópias de segurança para a informação armazenada, processada ou transmitida no ambiente de tecnologia utilizado pela ORGANIZAÇÃO.




5. POLÍTICA E REGRAS 5.1 – Existência da cópia de segurança


163

Para cada informação ou grupo de informação devem existir, de maneira estruturada e validada com o Gestor da Informação, regras e características das cópias de segurança a serem realizadas. 5.2 – Cada cópia de segurança deve ter denida:

5.2.1 – Periodicidade Dene de quanto em quanto tempo existe uma cópia. Por exemplo, periodicidade semanal signica que a cada semana é feita uma cópia.

5.2.2 – Ciclo É o período em que a cópia fica válida e existirá. Exemplo: se temos uma periodicidade mensal e um ciclo anual, significa que a cada mês temos uma cópia que fica guardada por doze meses. Em janeiro de 2012, a cópia de janeiro de 2011 será descartada, sendo substituída pela cópia de janeiro de 2012. 5.2.3 – Cópias específcas

Algumas vezes o sistema (ou ambiente) não é atendido pelas cópias normais que estão planejadas. Nesse caso é necessária uma cópia especíca. Outra situação que pode gerar cópias especícas é quando o ambiente está passando por um momento diferente no qual uma cópia normal não atenderá ou atenderia utilizando muito tempo.

5.2.4 – Tipo de execução de cópia Dependendo das facilidades do ambiente de tecnologia utilizado, podem existir cópias completas, cópias incrementais (totais ou somente para alterações). Cada um destes tipos de cópias tem características que devem ser consideradas para a recuperação da informação.

164


5.3 – Cópia principal – ambiente físico O ambiente físico onde cam localizadas as cópias principais deve ser protegido adequadamente para que exista a garantia de que as informações armazenadas nas mídias continuem disponíveis. Deve haver: a) Controle de acesso físico. b) Acesso apenas de pessoal autorizado. c) Condições ambientais adequadas. 5.4 – Cópia de segurança – ambiente físico O ambiente físico onde cam localizadas as cópias de segurança deve ser protegido adequadamente para que exista a garantia de que as informações armazenadas nas mídias continuem disponíveis. Deve haver: a) Controle de acesso físico b) Acesso apenas de pessoal autorizado. c) Condições ambientais adequadas 5.5 – Unidade de guarda As mídias podem ir para o local externo em unidades que podem ser cada mídia isolada, ou as mídias do dia, ou outra forma de empacotar essas mídias. Esta unidade é importante para quando forem descritos os procedimentos de recuperação, quando da ocorrência de situações de contingência. 5.6 – Capacidade da mídia: Total e gravada Este item permite identicar situações possíveis de economia de mídia, em situações onde se poderia gravar mais de um dia, por exemplo, numa mesma mídia, em vez de uma mídia para cada dia. 5.7 – Características da mídia a) Capacidade de regravações.


165

b) Exigência de condições ambientais. c) Outras características da mídia. 5.8 – Recuperação do ambiente/sistema a) Tempo desejado. Deve-se descrever aqui o tempo que se deseja que o ambiente deva se recuperar. b) Tempo já avaliado: deve-se indicar o tempo de recuperação para o ambiente/sistema, já realizado em situações de testes ou situações reais. 5.9 – Necessidades de cópias

5.9.1 – Informações para a recuperação do ambiente computacional São informações utilizadas para recuperar o ambiente computacional em função de alguma falha. Neste caso, quanto mais recente for a informação da cópia de segurança, melhor para a recuperação do ambiente. Para este tipo de necessidade, uma única cópia atende às necessidades de segurança.

5.9.2 – Informações legais São os dados que devem ser guardados em função de alguma legislação externa ou interna à companhia.

5.9.3 – Informações históricas São os dados que, mesmo não tendo obrigatoriedade de existir, a empresa deseja guardar para ter acesso a situações anteriores.

5.9.4 – Informações para auditoria São os dados da trilha de auditoria e do log, necessários para a execução de investigações e/ou auditorias.

166


5.10 – Exigências contratuais

5.10.1 – Recuperação de informações São as exigências de contratos para que a ORGANIZAÇÃO recupere determinadas informações (históricas ou legais).

5.10.2 – Continuidade do negócio São as exigências contratuais que formalizam multas, caso o serviço prestado pela ORGANIZAÇÃO esteja indisponível durante período superior ao determinado contratualmente. Considerar que o ambiente/sistema em questão é fundamental para a continuidade do negócio. 5.11 – Existência de espelhamento a) No site principal. b) No site alternativo. A existência de espelhamento de dados no local externo é a melhor solução para a questão de cópias de segurança. Esse caso não implica na necessidade de não ter cópias de segurança. Signica que os requisitos para essas cópias podem ser mais amenos. 5.12 – Dados a serem copiados a) Todos. b) Parcial. Deve-se denir quais são os dados que existirão nas cópias de segurança. Na maioria dos casos serão as mesmas informações do arquivo do ambiente principal. Podem existir situações especícas que não exijam a gravação de todos os dados do ambiente em produção. Um subconjunto dessas informações pode ser suciente para atender requisitos para recuperação do ambiente


167

computacional, de informações legais, de informações históricas e de informações para auditoria. 5.13 – Testes Neste item devem ser identicados os procedimentos para a realização de testes com o objetivo de ter uma maior garantia de que os dados gravados na mídia continuam em condições de uso pela organização.


168


EXEMPLO 14. VALIDAÇÃO DE CÓPIAS DE SEGURANÇA-GESTOR DA INFORMAÇÃO Nome do Sistema

1. CÓPIAS DE SEGURANÇA EXISTENTES – Dados do Sistema 1.1 – Grupo 1 Periodicidade: Ciclo: 1.2 Grupo 2 Periodicidade: Ciclo:

2. APROVAÇÃO DO GESTOR DA INFORMAÇÃO Aprovo a existência das cópias de segurança descritas acima. Elas atendem às possíveis necessidades de recuperação de informação do referido sistema, seja necessidade legal, histórica ou outro tipo de necessidade da Área de Negócio. A criação e a garantia da existência destas cópias são de responsabilidade da Área de Tecnologia da Informação. Nome: Assinatura: Data: _____ / ______ / 20AA.


169

EXEMPLO 15. DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS

1. OBJETIVO DESTE REGULAMENTO Denir os requisitos e as regras de segurança que devem ser considerados quando do desenvolvimento e manutenção de sistemas desenvolvidos pela ou para a ORGANIZAÇÃO.

2. ABRANGÊNCIA DESTE REGULAMENTO Este regulamento se aplica a todos os sistemas desenvolvidos pela ORGANIZAÇÃO ou os sistemas desenvolvidos para a ORGANIZAÇÃO por prestadores de serviço de terceiros. Este regulamento está alinhado com o regulamento “Política de Segurança e Proteção da Informação.”



5. POLÍTICA E REGRAS Quando do desenvolvimento ou manutenção de sistemas de informação, os aspectos de segurança a seguir descritos devem ser formalmente denidos

170


pelo desenvolvedor e acordados com o Gestor da Informação. A Unidade de Segurança da Informação validará esse processo de controle. 5.1 – Continuidade do serviço Exigência de tempo para a recuperação do sistema de informação, caso ocorra uma situação de indisponibilidade dos recursos de informação. Essa denição deve considerar uma avaliação de impacto nanceiro, operacional e de imagem nos serviços prestados pela ORGANIZAÇÃO. 5.2 – Criptograa da informação Denição das informações que serão criptografadas quando forem transmitidas ou armazenadas. 5.3 – Acesso à informação 5.3.1 – Identifcação

Denição de como será a identicação do usuário, quando do acesso ao sistema de informação.

5.3.2 – Autenticação Denição de como será a autenticação do usuário, quando este for acessar o sistema de informação.

5.3.3 – Transação do gestor da informação Denição de qual será e como será a transação a ser executada pelo Gestor da Informação, quando do procedimento de liberação da informação para o usuário.

5.3.4 – Grupos de usuário Denição se será possível a liberação de acesso à informação através de perl de acesso em grupo.


171

5.3.5 – Registro das ações realizadas com a informação Denição do tempo de guarda dos registros realizados, quando do acesso e da utilização da informação. 5.4 – Cópias de segurança Denição do tempo de guarda das cópias de segurança da informação. Devem ser considerados os seguintes aspectos:

5.4.1 – Aspecto legal Identicação dos requisitos exigidos pelos normativos legais.

5.4.2 – Aspecto histórico Identicação da necessidade da ORGANIZAÇÃO de guardar a informação por motivos históricos.

5.4.3 – Aspecto de auditoria Identicação da necessidade de guarda de cópia de segurança em função de requisitos de auditoria.


172


EXEMPLO 16. CONSCIENTIZAÇÃO E TREINAMENTO DE USUÁRIO EM SEGURANÇA DA INFORMAÇÃO

1. OBJETIVO DESTE REGULAMENTO Denir os requisitos e as regras para a existência de um processo de conscientização e treinamento do usuário em segurança da informação.


3. IMPLEMENTAÇÃO DESTE REGULAMENTO O Gabinete de Segurança da Informação, a Unidade de Segurança da Informação e as cheas das áreas da ORGANIZAÇÃO desenvolverão ações contínuas e necessárias para a implementação deste regulamento, cando o Departamento de Segurança da Informação responsável pela coordenação dessas ações.


5. POLÍTICA E REGRAS 5.1 – Todo usuário de sistemas de informação da ORGANIZAÇÃO deve ser conscientizado e treinado em segurança da informação com o objetivo de garantir que o aspecto humano será fator positivo no processo de proteção da informação.


173

5.2 – Esta conscientização e o treinamento deverão ocorrer pelo menos uma vez por ano de forma estruturada e registrada sua evidência para efeito de auditoria. 5.3 – Antes do usuário iniciar suas funções prossionais no acesso ao ambiente computacional ele deve receber o treinamento de segurança da informação. 5.4 – O usuário deve conhecer as políticas e normas de segurança da informação e deve assinar um termo de declaração de conhecimento desses regulamentos, bem como se comprometer a cumprir e zelar pelo cumprimento desses regulamentos. 5.5 – Cada chea é responsável por garantir que seus subordinados e prestadores de serviços terceirizados recebam o treinamento e a conscientização em segurança da informação. 5.6 – Para exercer a função de Gestor da Informação o usuário deverá fazer um treinamento especíco sobre essa função dentro do processo de segurança. 5.7 – Os prossionais de segurança da informação deverão buscar alcançar certicações prossionais internacionais aceitas pelo mercado, tipo CISM, CISA, CISSP, CRISC. 5.8 – As áreas de recursos humanos das diversas unidades organizacionais da ORGANIZAÇÃO deverão participar e eventualmente coordenar as atividades de conscientização e treinamento em segurança da informação. 5.9 – A ação de conscientização e treinamento em segurança da informação é contínua e deve existir enquanto a organização existir.


174


EXEMPLO 17. PROGRAMAS PRODUTO DE TECNOLOGIA DA INFORMAÇÃO

1. OBJETIVO DESTE REGULAMENTO Denir as regras de uso de Programas Produto que podem ser utilizados no ambiente de tecnologia da ORGANIZAÇÃO.

2. ABRANGÊNCIA DESTE REGULAMENTO Este regulamento se aplica a todos os ambientes de tecnologia utilizados diretamente pela ORGANIZAÇÃO diretamente pelo usuário. Este regulamento está alinhado com os regulamentos “Política de Segurança e Proteção da Informação” e “Política de Acesso à Informação”.



5. REGRAS 5.1 – Apenas Programas Produto homologados pela área de tecnologia poderão ser utilizados no ambiente de tecnologia da ORGANIZAÇÃO.


175

5.2 – Os Programas Produto utilizados nos recursos de tecnologia da ORGANIZAÇÃO devem estar legalmente licenciados, com cópias autorizadas e devem respeitar a proteção do direito autoral. 5.3 – A lista dos Programas Produto homologados está divulgada no Portal da organização. 5.4 – Cada Programa Produto utilizado pela ORGANIZAÇÃO deverá ter uma licença válida ou demonstrativo de aquisição, caso não haja o documento da licença. 5.5 – Todas as compras de programas deverão seguir o procedimento para aquisição de ativos da ORGANIZAÇÃO que se encontra publicado no portal da organização. 5.6 – Quando da necessidade de se instalar programa a partir da Internet o usuário deve contatar a área de tecnologia para a aprovação dessa necessidade e realização dessa implantação. 5.7 – Os Programas Produto instalados no equipamento do usuário pela Área de Tecnologia não podem ser removidos ou alterados pelo usuário. Apenas a própria área de tecnologia pode fazer manutenção nesses produtos. 5.8 – Toda a documentação de licença ou equivalente deve permanecer na área de tecnologia. 5.9 – Não são permitidos a instalação e o uso de Programa Produto que não esteja relacionado ao serviço prestado ou ao negócio da ORGANIZAÇÃO.


176


EXEMPLO 18. ACESSO À INFORMAÇÃO NO AMBIENTE CONVENCION AL

1. OBJETIVO Denir as regras para o uso da informação no ambiente convencional da ORGANIZAÇÃO.

2. ABRANGÊNCIA a) Aplica-se a toda a informação existente no ambiente convencional da ORGANIZAÇÃO. b) Aplica-se para todo usuário da informação da ORGANIZAÇÃO.

3. REFERÊNCIAS A OUTROS REGULAMENTOS a) Este documento está alinhado com a Política de Segurança da Informação da ORGANIZAÇÃO. b) Os conceitos e termos denidos na Política de Segurança da Informação são utilizados neste documento.

4. PRINCIPAIS DIRETRIZES 4.1 – Gestor da Informação a) Toda informação convencional da ORGANIZAÇÃO deve ter o seu Gestor da Informação. b) O acesso à informação será formalmente autorizado pelo Gestor da Informação, que considerará a real necessidade do uso da informação, as atividades do usuário em relação à ORGANIZAÇÃO, as possibilidades contratuais de acesso do usuário e o nível de classicação da informação.


177

c) Tem a responsabilidade de analisar e avaliar as ameaças e os riscos para a liberação do acesso aos recursos físicos que contêm a informação. d) É o responsável pela denição da necessidade de implantação de controles para o acesso aos recursos físicos que contêm a informação. 4.2 – Gestor de Usuário Cada usuário tem denido o seu Gestor de Usuário: ▪ Empregado e Estagiário: Gestor a partir do nível de Supervisor. ▪ Demais usuários: Gestor de Contrato. ▪ Outros não considerados: serão denidos pelo Departamento de Segurança da Informação. 4.3 – Custodiante do recurso a) Tem a responsabilidade pela integridade, disponibilidade para uso e continuidade do recursos que contêm a informação. b) É responsável pelo recurso físico que suporta a informação. c) Deve denir, em conjunto com o gestor da informação, controles para que apenas pessoas autorizadas tenham acesso ao recurso físico que suporta a informação. d) É responsável por garantir as boas condições e a proteção do ambiente físico onde estão os recursos que contêm a informação. e) Todo recurso de informação da ORGANIZAÇÃO deve ter o seu Custodiante de Recurso. 4.4 – Identicação do usuário A identicação de usuário no ambiente convencional será realizada através de crachá funcional ou algum documento legal de identicação que contenha foto do usuário.

178


4.5 – Autenticação do usuário A autenticação do usuário será feita pelo Custodiante do Recurso ou seu representante previamente autorizado e vericará a correta correspondência da pessoa com o documento de identicação apresentado. 4.6 – Acesso à informação

4.6.1 – Solicitação de acesso à informação a) Quando se tratar de funcionário da ORGANIZAÇÃO, o usuário ou o seu Gestor de Usuário solicita para o Gestor da Informação o acesso à informação. b) Quando se tratar de não funcionário da ORGANIZAÇÃO o Gestor de Usuário solicita para o Gestor da Informação o acesso à informação. c) Caso o Gestor da Informação autorize o usuário, este Gestor deve comunicar ao Custodiante do Recurso que contém a informação a autorização de acesso e os referidos limites de acesso. d) O Gestor da Informação deve denir e indicar para o Custodiante de Recurso, o tipo de acesso que o usuário poderá ter ao recurso físico que contém a informação: leitura, retirada/devolução, cópia, inclusão e/ou destruição. e) O Custodiante de Recurso, após receber a autorização do Gestor da Informação, realiza a autenticação do usuário e, sendo uma autenticação válida, permite que o usuário acesse o recurso que contém a informação considerando o tipo de acesso autorizado pelo Gestor da Informação.

4.6.2 – Registro de acesso O Custodiante do Recurso denirá, em conjunto com o Gestor da Informação, considerando a necessidade de controles da ORGANIZAÇÃO ou a existência de obrigações legais, a necessidade de registro dos acessos realizados aos recursos que contêm a informação, bem como à própria informação. Também deve ser denido o tempo de guarda desse registro de acesso.


179

4.6.3 – Controle sobre o acesso à informação O Custodiante de Recurso deve manter uma lista com o nome das pessoas que estão autorizadas a acessarem os recursos sob sua responsabilidade. A cada período de seis meses o Custodiante de Recurso comunica ao Gestor da Informação e aos Gestores de Usuários o nome dos usuários que estão autorizados a acessarem os recursos que contêm a informação. O Gestor da Informação e os respectivos Gestores de Usuários indicam a permanência ou não dos usuários no acesso aos recursos que contêm a informação. Quando o usuário encerrar suas atividades com a ORGANIZAÇÃO o Gestor de Usuário comunicará este fato aos Custodiantes a quem ele solicitou acesso de usuário.

6. ATRIBUIÇÕES E COMPETÊNCIAS Usuário ▪ Ter a responsabilidade pelo uso e manuseio que zer na informação que tiver acesso.

Usuário, Gestor da Informação e Custodiante ▪ Conhecer e entender a legislação vigente referente à informação e aos recursos físicos que contêm a informação sob sua responsabilidade.

180


13.3 – Nível 3 e Demais Níveis: Normas, Procedimentos Caso você tome por base estes documentos na escrita de novos documentos, coloque no mesmo a indicação: documento baseado em Regulamentos Exemplos de Edison Fontes, 2012.

EXEMPLO 19. ACESSO LÓGICO AO AMBIENTE DE PRODUÇÃO PELO PESSOAL DE DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS

1. OBJETIVO DESTE REGULAMENTO Denir regras e procedimentos de segurança da informação para situações de acesso lógico ao ambiente de produção de sistemas pelo pessoal técnico de desenvolvimento e manutenção de sistemas do ambiente de tecnologia utilizado pela ORGANIZAÇÃO.

2. ABRANGÊNCIA DESTE REGULAMENTO Este regulamento se aplica a todos os usuários que utilizam as informações do ambiente de tecnologia da ORGANIZAÇÃO. Este regulamento está alinhado com os regulamentos “Política de Segurança e Proteção da Informação” e “Política de Acesso à Informação”.

3. IMPLEMENTAÇÃO DESTE REGULAMENTO O Departamento de Segurança da Informação, a Unidade de Segurança da Informação e as cheas das áreas da ORGANIZAÇÃO desenvolverão ações


181

contínuas e necessárias para a implementação deste regulamento, cando o Departamento de Segurança da Informação responsável pela coordenação dessas ações.


5. REGRAS E PROCEDIMENTOS 5.1 – Acesso ao ambiente de produção – Situação normal O acesso ao ambiente de produção deve ser feito através das transações estruturadas (ou equivalentes) disponíveis no ambiente de produção e autorizadas pelo Gestor da Informação, de acordo com a Política de Acesso à Informação e Norma de Acesso à Informação. 5.2 – Acesso ao ambiente de produção – Situação problema Quando de uma situação motivada por alguma ocorrência que impede o funcionamento normal de um ambiente computacional, colocando em risco a prestação de serviço do sistema de informação, poderá ser liberado o acesso ao ambiente de produção para o analista de desenvolvimento de sistemas apenas durante o tempo necessário para a solução do problema especíco e seguindo os controles descritos a seguir.

5.2.1 – Problema detectado pela área de produção Serão seguidos os seguintes procedimentos pela área de produção: a) É aberto um registro de problema. b) É acionado o analista de desenvolvimento para a solução do problema em conjunto com os demais técnicos do ambiente de produção.

182


c) É liberado o acesso do ambiente de produção para o analista de desenvolvimento por um período apenas para a resolução do problema. d) Caso o ambiente computacional permita, é feito um registro inicial deste procedimento. e) Após a solução do problema, o acesso ao ambiente de produção do analista de desenvolvimento em questão é cortado. f) É feito o registro completo dessa ocorrência, contendo pelo menos as seguintes informações sobre a ocorrência: ▪ data, hora de início e m, ▪ descrição, ▪ impactos para o serviço caso não fosse realizada uma intervenção deste tipo.

5.2.2 – Situação detectada pela área de desenvolvimento Caso ocorra uma situação identicada pelo analista de desenvolvimento que possa perturbar a estabilidade do ambiente de produção, este comunica formalmente à área de produção a situação e são seguidos os passos do item 5.2.1. 5.3 – Acesso para outras situações de exceção Caso o acesso ao ambiente de produção seja motivado pela necessidade do analista de desenvolvimento em gerar ou consultar informação não disponível nas transações estruturadas (ou equivalentes) existentes, esse usuário: a) solicitará uma autorização do Gestor da Informação (ambiente de produção) para esse acesso não estruturado e de exceção; b) enviará uma mensagem de correio eletrônico para a área de produção contendo: ▪ uma solicitação para acessar o ambiente de produção indicando a sua necessidade, e ▪ a autorização do Gestor da Informação.


183

Após esses procedimentos e mediante a disponibilidade de recursos, a área de produção liberará o acesso por um tempo de no máximo 48 horas.

6. CONTROLES E RESPONSABILIDADES 6.1 – A área de produção responsável pela liberação do acesso deverá guardar durante um período mínimo de doze meses todos os registros de todo acesso realizado ao ambiente de produção em situação de exceção. 6.2 – Caso a necessidade de gerar ou consultar informações no ambiente de produção em função de não existir transações estruturadas (ou equivalentes) seja uma constante, é de responsabilidade do analista de desenvolvimento elaborar a solução estruturada para o atendimento dessa necessidade. 6.3 – As áreas de produção e de desenvolvimento devem gerar relatórios que permitam um efetivo gerenciamento e uma auditoria dessa situação. Esses relatórios devem gerar no mínimo as seguintes informações em relação ao acesso: a) quem realizou (usuário), b) quando realizou (data e hora), c) motivo (descrição detalhando o porque do acesso) e d) ambiente computacional (onde foi feito o acesso).

7. CONCLUSÃO O não cumprimento deste regulamento e/ou dos demais instrumentos normativos que complementarão o processo de segurança constitui em falta grave e o usuário está sujeito a penalidades administrativas e/ou contratuais. Situações de exceção e não previstas deverão ser denidas pelo Departamento de Segurança da Informação e pela Unidade de Segurança da Informação, considerando as áreas da ORGANIZAÇÃO.

184


EXEMPLO 20. UTILIZAÇÃO DE SENHA PARA O ACESSO LÓGICO

1. OBJETIVO DESTE REGULAMENTO Denir regras e procedimentos para a denição de senha utilizada no acesso lógico para a autenticação de usuário que acessa a informação armazenada, processada ou transmitida no ambiente de tecnologia da ORGANIZAÇÃO.

2. ABRANGÊNCIA DESTE REGULAMENTO Este regulamento se aplica a todos os usuários que utilizam as informações do ambiente de tecnologia da ORGANIZAÇÃO. Este regulamento está alinhado com os regulamentos “Política de Segurança e Proteção da Informação” e “Política de Acesso à Informação”.



5. REGRAS E PROCEDIMENTOS 5.1 – Sigilo da informação A senha de autenticação deve ser de conhecimento apenas do usuário responsável pela identicação. O usuário não deve comunicar a sua senha de


185

autenticação a outra pessoa e deve utilizar memorização para garantir o sigilo da senha. Ninguém, independentemente do nível hierárquico e da área funcional, tem o direito de conhecer a senha de outro usuário. É proibida a solicitação da senha de um usuário por outro usuário, nem mesmo na situação de chefe e subordinado. 5.2 – Armazenamento e transmissão da senha A senha de autenticação deve sempre estar criptografada quando armazenada ou quando transmitida por qualquer meio. Quando do uso por programas, a senha deve estar armazenada em arquivos de dados e não deverá ser guardada dentro do arquivo de programas. 5.3 – Tamanho mínimo O tamanho mínimo da senha de autenticação é de seis caracteres. 5.4 – Troca periódica a) A senha de autenticação deverá ser trocada em um período máximo de noventa dias por exigência automática do ambiente computacional. b) A qualquer momento o usuário poderá trocar a sua senha de autenticação. c) Não poderão ser reutilizadas as últimas dez senhas. 5.5 – Escolha de senha não frágil e não óbvia Quando do uso da senha de autenticação, o usuário deve escolher uma sequência de caracteres não óbvios e de difícil adivinhação por outra pessoa. Deve-se evitar o uso de nomes de pessoas, datas, nomes diversos (time de futebol, empresas, etc.). A senha deve ser uma sequência de caracteres fácil de ser lembrada pelo usuário e difícil de ser imaginada por outra pessoa.

186


Uma sugestão é não utilizar palavras existentes em dicionários e utilizar letras e números. Pode-se utilizar as letras iniciais de cada palavra em uma frase. Por exemplo: a senha se1icinb é difícil de ser imaginada e corresponde a frase: só existe 1 ilha chamada Itamaracá no Brasil. A utilização de caracteres especiais (%, #, &, @, outros) melhora a qualidade da sequência escolhida para a senha. A regra exigida é a utilização de senha alfanumérica com pelo menos um número ou uma letra. 5.6 – Bloqueio de identicação Após cinco tentativas de erro com senha inválida, a identicação do usuário deverá ser bloqueada. Quando ocorrer erro de senha, esse fato deve ser gravado em arquivo de ocorrência. A identicação também deverá ser bloqueada caso o usuário passe mais de noventa dias sem acessar o ambiente computacional. O desbloqueio retorna a identicação a uma situação normal sem alteração de senha. 5.7 – Esquecimento de senha Caso o usuário tenha esquecido sua senha de autenticação, será necessária a atribuição de uma senha descartável para o usuário. Somente o Gestor do usuário ou pessoa previamente autorizada poderá desbloquear a identicação ou atribuir uma senha descar tável para esse usuário. 5.8 – Acesso com sucesso Quando o usuário se autenticar corretamente com a sua senha, este deve receber a informação sobre o seu último acesso com sucesso (Data/Hora) nesse ambiente computacional. 5.9 – Impressão ou apresentação de senha Nenhuma senha será impressa ou apresentada com seus valores originais. Quando da digitação de uma senha, o dispositivo deve ecoar o símbolo asterisco (*) para cada posição digitada para a senha.


187

5.10 – Atribuição de senha descartável O procedimento de atribuição e troca de senha descartável deve ser registrado em arquivo de ocorrência sem a gravação das senhas utilizadas.

6. SITUAÇÕES ESPECÍFICAS Alguns ambientes computacionais possuem limitações ou características que eventualmente podem impedir ou dicultar o cumprimento das regras descritas neste documento. Nesse caso o responsável por esse ambiente computacional deverá emitir um documento que será validado pela Unidade de Segurança da Informação. Esse documento deve descrever o impedimento do cumprimento das regras e qual a regra especíca que deverá ser adotada para o caso.


188


EXEMPLO 21. ACESSO REMOTO PELO USUÁRIO

1. OBJETIVO DESTE REGULAMENTO Denir regras e procedimentos de segurança para o acesso remoto do usuário ao ambiente de tecnologia da ORGANIZAÇÃO.

2. ABRANGÊNCIA DESTE REGULAMENTO Este regulamento se aplica a todo usuário que utiliza o ambiente de tecnologia da ORGANIZAÇÃO para realizar suas atividades prossionais com a ORGANIZAÇÃO. Este regulamento está alinhado com o regulamento “Política de Segurança e Proteção da Informação”.



5. REGRAS 5.1 – Para solicitar o acesso remoto é obrigatória a autorização do Gestor do Usuário para que o usuário possua o acesso remoto. 5.2 – O usuário deve preencher o formulário eletrônico de Pedido de Acesso Remoto e aguardar o uxo de aprovação para a sua solicitação. O usuário deve


189

vericar ao preencher este formulário se os dados do seu Gestor de Usuário estão atualizados. 5.3 – Para realizar o acesso remoto o usuário deve seguir os procedimentos técnicos descritos no documento eletrônico “Procedimentos Técnicos para Acesso Remoto”. 5.4 – Validação periódica dos usuários com acesso remoto A Unidade de Segurança da Informação (USI) revisará semestralmente em conjunto com o Gestor do Usuário os usuários tipo prossionais que possuem acesso remoto e devem continuar com este acesso. 5.5 – Trilha de auditoria O acesso remoto do usuário prossional deverá ser registrado quando do início do acesso pela identicação do usuário e quando da saída desse acesso, permitindo assim a existência de uma trilha de auditoria. 5.6 – Sigilo da informação A solução adotada para a comunicação via acesso remoto deve garantir o sigilo da informação que trafegará por redes fora do controle da ORGANIZAÇÃO. Nestes trechos, obrigatoriamente a informação deve trafegar de maneira criptografada, impedindo dessa forma que uma escuta no meio de transmissão possibilite o entendimento da informação em questão.

6. CONTROLES E RESPONSABILIDADES A Unidade de Segurança da Informação (USI) é responsável por manter atualizada esta norma e se necessário gerar outros documentos relativos aos procedimentos para o controle do acesso remoto pelo usuário prossional.

7. CONCLUSÃO O não cumprimento deste regulamento e/ou dos demais instrumentos normativos que complementarão o processo de segurança constitui em falta grave e o usuário está sujeito a penalidades administrativas e/ou contratuais. Situações de exceção e não previstas deverão ser denidas pelo Departamento de Segurança da Informação e pela Unidade de Segurança da Informação, considerando as áreas da ORGANIZAÇÃO envolvidas .

190


EXEMPLO 22. REGISTRO DE INCIDENTES

1. OBJETIVO DESTE REGULAMENTO Denir regras e procedimentos de segurança para o registro da ocorrência de incidentes no ambiente de tecnologia utilizado pela ORGANIZAÇÃO.

2. ABRANGÊNCIA DESTE REGULAMENTO Este regulamento se aplica a todo recurso de informação utilizado pela ORGANIZAÇÃO. Este regulamento está alinhado com o regulamento “Política de Segurança e Proteção da Informação”.



5. REGRAS E PROCEDIMENTOS 5.1 – Ocorrência de Incidente Todo incidente que acarrete impacto negativo ao serviço prestado ou aos objetivos de negócio da ORGANIZAÇÃO deve ser registrado pelo usuário que sofreu esse impacto e comunicado à Unidade de Segurança da Informação.


191

5.2 – Tratamento da ocorrência do incidente A Unidade de Segurança da Informação deve: a) Registrar o incidente no formulário eletrônico “Registro de ocorrência em segurança da informação”. b) Acompanhar as ações desenvolvidas para a solução denitiva da causa do incidente. c) Avaliar a necessidade de criação de novos controles de segurança da informação com o objetivo de evitar uma nova ocorrência de incidente. d) Emitir relatório gerencial sobre os incidentes ocorridos, indicando os solucionados denitivamente, os que ainda estão com a solução não denitiva e o planejamento para a solução denitiva das causas do incidente. 5.3 – Tratamento após solução denitiva do incidente A Unidade de Segurança da Informação deve fazer o gerenciamento de causas mais frequentes, tipos de incidentes e áreas onde ocorrem mais incidentes, com o objetivo de fazer uma gestão efetiva para identicar problemas que podem gerar incidentes e dar solução para esses problemas.

6. CONTROLES E RESPONSABILIDADES A Unidade de Segurança da Informação é responsável por manter atualizada esta norma e se necessário gerar outros documentos relativos aos procedimentos para uma efetiva implantação e manutenção da gestão de incidentes.


192


EXEMPLO 23. REGISTRO DE OCORRÊNCIA EM SEGURANÇA DA INFORMAÇÃO

IDENTIFICAÇÃO DO REGISTRO Data de preenchimento: Preenchido por: Principal problema: Data da ocorrência do principal problema:

CRONOLOGIA DO PROBLEMA dd/mm/aaaa – Descrição

FALHAS IDENTIFICADAS

SOLUÇÃO IMEDIATA

SOLUÇÃO DEFINITIVA

AÇÕES A SEREM IMPLEMENTADAS, DATAS E RESPONSÁVEIS

PARECER DA UNIDADE DE SEGURANÇA DA INFORMAÇÃO


193

EXEMPLO 24. CADASTRO DE GESTORES DA INFORMAÇÃO

1. OBJETIVO DESTE REGULAMENTO Denir e divulgar o nome dos usuários que têm a responsabilidade e autoridade de Gestor da Informação: liberar, recusar e/ou autorizar o acesso à informação armazenada, processada ou transmitida no ambiente de tecnologia utilizado pela ORGANIZAÇÃO.

2. ABRANGÊNCIA DESTE REGULAMENTO Este regulamento se aplica a todos os usuários que utilizam as informações do ambiente de tecnologia da ORGANIZAÇÃO. Este regulamento está alinhado com os regulamentos “Política de Segurança e Proteção da Informação”.



5. GESTOR DA INFORMAÇÃO – NOMES 5.1 – Elemento 1 (Sistema, ou Transação, ou Módulo, ou Serviço, ou Programa Produto ou outro tipo de recurso).

194


▪ Nome do Gestor da Informação-Recurso ▪ Nome do Gestor da Informação-Recurso 5.2 – Elemento 2 (Sistema, ou Transação, ou Módulo, ou Serviço, ou Programa Produto ou outro tipo de recurso). ▪ Nome do Gestor da Informação-Recurso ▪ Nome do Gestor da Informação-Recurso 5.3 – Elemento 3 (Sistema, ou Transação, ou Módulo, ou Serviço, ou Programa Produto ou outro tipo de recurso). ▪ Nome do Gestor da Informação-Recurso ▪ Nome do Gestor da Informação-Recurso Seguem todos os Sistemas, ou Transações, ou Módulos, ou Serviços, ou Programas Produto ou outros tipos de recurso.

6. CONCLUSÃO Situações de exceção e não previstas deverão ser denidas pelo Departamento de Segurança da Informação e pela Unidade de Segurança da Informação, considerando as áreas da ORGANIZAÇÃO envolvidas.


195

EXEMPLO 25. DOCUMENTOS EM PAPEL – LIXO, DESTRUIÇÃO E RECICLAGEM

1. OBJETIVO Denir o tratamento que deve ser dado aos documentos em papel no que se refere à sua colocação no lixo e à sua destruição.

2. ABRANGÊNCIA Esta norma de segurança se aplica a todos os usuários (associados e prestadores de serviço) que utilizam as informações da ORGANIZAÇÃO.

3. IMPLEMENTAÇÃO E RESPONSABILIDADES Cada usuário é responsável pelo cumprimento dos procedimentos adequados quando do descarte de documentos em papel. A Área de Administração é responsável pela coleta e entrega de material para Empresa Parceira que descaracterizará o material. A Gerência de Segurança da Informação é responsável pela avaliação periódica da Empresa Parceira que descaracterizará o material, buscando garantir que os procedimentos de proteção da informação estão sendo seguidos. A Empresa Parceira é responsável pela descaracterização do papel disponibilizado pela ORGANIZAÇÃO, garantindo, nos casos de documentos e relatórios, a destruição desse material antes de qualquer processo de transformação.

196


4. DOCUMENTOS DE REFERÊNCIA E QUE SUPORTAM ESTA NORMA ▪ Política – Segurança e Proteção da Informação. ▪ Política – Classicação da Informação – Nível de Condencialidade.

5. REGRAS E PROCEDIMENTOS 5.1 – Informação condencial ou restrita É de responsabilidade do usuário que está manuseando qualquer documento em papel que tenha explicitamente a Classicação Condencial ou Restrita a destruição desse documento antes dele ser colocado no respectivo recipiente de lixo para reciclar. Essa destruição deve ocorrer preferencialmente através de máquina picotadora de papel. Caso não seja possível o uso desse equipamento, o usuário deve rasgar o documento de forma que não possa ser facilmente recomposto. 5.2 – Informação não classicada Caso o documento que esteja sendo manuseado pelo usuário não contenha explicitamente o nível de classicação de condencialidade, o usuário deve avaliar se o respectivo material contém informações que se forem acessadas por terceiros ou concorrentes poderão ocasionar impacto nanceiro ou de imagem para a ORGANIZAÇÃO. Nesse caso o usuário deverá destruir o documento antes de ser colocado no respectivo recipiente de lixo para reciclar. 5.3 – Coleta do material papel no lixo para reciclagem A Área de Administração coordenará a coleta do material papel colocado no lixo para reciclagem. O material coletado será entregue à empresa parceira para a descaracterização do papel. A entrega desse material à Empresa Parceira será feita em sacos fechados.


197

5.4 – Empresa parceira Ao receber da ORGANIZAÇÃO o material papel para reciclagem, a Empresa Parceira manterá a condencialidade do material recebido em sacos fechados. Ao chegar no local da Empresa Parceira todo o material papel de escritório para a reciclagem será picotado ou triturado, garantindo assim a condencialidade das informações da ORGANIZAÇÃO. 5.5 – Auditoria Sempre que desejar a ORGANIZAÇÃO poderá realizar auditorias na Empresa Parceira com o objetivo de garantir que os procedimentos de destruição das informações da ORGANIZAÇÃO continuam sendo executados, garantindo dessa forma a condencialidade dessas informações.

6. CONCLUSÃO Situações não previstas, dúvidas, informações adicionais e sugestões devem ser encaminhadas à Gerência de Segurança da Informação.

198


EXEMPLO 26. USUÁRIO DA INFORMAÇÃO

1. OBJETIVO Denir as regras para o tratamento relativo à segurança da informação que deve ser dado ao usuário que tem o direito de acessar a informação da ORGANIZAÇÃO. Estas regras aplicam-se a todos os usuários da informação do ambiente de tecnologia da informação da ORGANIZAÇÃO.

2. DEFINIÇÕES a) Usuário É o colaborador que está autorizado a utilizar a informação da ORGANIZAÇÃO para a execução das suas tarefas prossionais relacionadas à ORGANIZAÇÃO. b) Colaborador É a pessoa que: ▪ foi contratada como Empregado ou Estagiário da ORGANIZAÇÃO ou ▪ que trabalha como Prestador de Serviços, ou ▪ que trabalha através de outro tipo de vínculo contratual para a ORGANIZAÇÃO. c) Recursos de informação São elementos que recebem a informação e nos quais a informação é armazenada, ou processada, ou transmitida ou exposta. Podem ser elementos de tecnologia (computador, linhas de comunicação), elementos convencionais (papel) ou elementos humanos (memória de uma pessoa).


199

d) Gestor do Usuário É o responsável pelas atividades do usuário no âmbito da ORGANIZAÇÃO. Para o Empregado ou Estagiário, o Gestor do Usuário é a chea em nível de Gerente. Para os demais casos é o Gestor de Contrato daquela pessoa ou da organização pela qual aquela pessoa presta serviço para a ORGANIZAÇÃO.

3. REGRAS 3.1 – Diretrizes – Antes da contratação a) Cada cargo funcional deve ter a descrição das responsabilidades de segurança da informação que o cargo exige. A ORGANIZAÇÃO deve analisar a criticidade e o nível de sigilo de informação a que o usuário terá acesso e deve decidir se haverá um contrato especíco de sigilo de informação para quando o usuário não mais tiver vínculo empregatício ou contrato com a ORGANIZAÇÃO. b) Todo usuário deve ter conhecimento das suas responsabilidades em relação à segurança da informação da ORGANIZAÇÃO. c) Durante o processo de pré-contratação de funcionário, os candidatos devem ser comunicados dos papéis e das responsabilidades do cargo a que estão se candidatando. c) Todo usuário logo após ser contratado deve receber um treinamento inicial em segurança da informação. d) A vericação de todos os históricos de todos os candidatos a emprego, fornecedores e terceiros deve ser realizada de acordo com a ética, as leis e eventuais regulamentações do segmento de negócio da ORGANIZAÇÃO e respeitará a privacidade e a proteção dos dados pessoais. 3.2 – Diretrizes – Durante o desempenho das atividades prossionais a) Cada usuário deve assinar um termo de compromisso indicando ter conhecimento das regras de segurança da informação da ORGANIZAÇÃO.

200


b) Todo usuário deve receber treinamento periódico apropriado sobre o tema segurança da informação de maneira que possa se capacitar a desempenhar suas funções prossionais de forma adequada e compatível com os requisitos de segurança exigidos para o cargo que ocupa ou função que desempenha. c) A conscientização, a educação e o treinamento em segurança da informação promovidos pela ORGANIZAÇÃO devem ser adequados e relevantes para os papéis, responsabilidades e habilidades que o usuário desempenha. d) É responsabilidade do usuário: ▪ agir de acordo com a política de segurança da informação e demais regulamentos da ORGANIZAÇÃO; ▪ proteger os recursos de informação da ORGANIZAÇÃO contra acesso não autorizado, garantindo assim que a informação da ORGANIZAÇÃO não será indevidamente divulgada, modicada, destruída ou bloqueada; ▪ executar os processos e atividades de segurança sob sua responsabilidade, garantindo que a segurança da informação seja aplicada em todo trabalho individual dentro da ORGANIZAÇÃO; ▪ relatar eventos potenciais ou reais de segurança da informação ou outros riscos de segurança para a ORGANIZAÇÃO. 3.3 – Diretrizes – Após o término das atividades, contrato ou acordo a) O usuário deve devolver todos os ativos da ORGANIZAÇÃO que estejam em sua posse, após o encerramento de suas atividades, do contrato ou acordo. b) As informações da ORGANIZAÇÃO que o usuário utilizava antes do m de suas atividades, contrato ou acordo, devem ser repassadas para o Gestor do Usuário, que analisará e repassará estas informações para pessoas na ORGANIZAÇÃO responsáveis por aquelas informações, de maneira que sejam minimizados


201

impactos para a ORGANIZAÇÃO em função da saída daquele usuário. c) Todos os acessos do usuário à informação, aos recursos de informação e às dependências físicas da ORGANIZAÇÃO devem ser retirados. A partir do seu desligamento com a ORGANIZAÇÃO este usuário será tratado como um visitante e seguirá as respectivas regras deste tipo de identicação.

4. PENALIDADES O não cumprimento das regras estabelecidas neste documento pode acarretar sanções administrativas e/ou contratuais, podendo chegar à demissão de funcionário ou cancelamento de contrato de prestação de serviço.

202


EXEMPLO 27. TERMO DE RESPONSABILIDADE PARA USO DA INFORMAÇÃO

Pelo presente termo declaro que nesta data tenho conhecimento das regras de uso da informação descritas nos regulamentos de segurança da ORGANIZAÇÃO e que estão disponíveis na Intranet da organização. Comprometendo-me a realizar meu trabalho de forma íntegra, respeitando a missão, a visão, os valores e as regras de segurança da informação da ORGANIZAÇÃO, estando ciente das responsabilidades que tenho ao utilizar os recursos e a informação da organização. Eu tenho total entendimento que: a) Minhas ações, inclusive a utilização de correio eletrônico, acessos à Internet e uso de equipamentos portáteis fornecidos pela ORGANIZAÇÃO, são monitoradas de acordo com a Política de Segurança da Informação e, além disso, os sistemas e os demais recursos da organização que utilizo poderão ser auditados a qualquer tempo visando a segurança da ORGANIZAÇÃO e seu bom e correto funcionamento. b) Qualquer acesso feito sob minha identicação, submetida a autenticação, é de minha responsabilidade. c) Em relação às informações que eu tenha acesso em função das minhas atribuições prossionais na ORGANIZAÇÃO, não me é permitido revelá-las para pessoas não autorizadas. d) Tenho total responsabilidade pelo dano que possa causar pelo descumprimento da Política de Segurança da Informação da ORGANIZAÇÃO. e) Estou autorizado a acessar os recursos e o ambiente informatizado somente por necessidade de minhas atividades prossionais na ORGANIZAÇÃO e que este acesso à informação não me garante direito sobre ela. f) Constitui infração funcional de minha parte inserir ou facilitar a inserção de dados falsos, alterar, excluir, ler ou copiar indevidamente


203

dados dos sistemas informatizados da ORGANIZAÇÃO, ou tentar acessar informações às quais eu não esteja autorizado. g) Responderei por minhas ações e omissões que causem infrações aos regulamentos de segurança da informação, às políticas e às normas da ORGANIZAÇÃO e à legislação em vigor, sabendo que a minha conduta será analisada, estando sujeita às ações disciplinares aplicáveis, sem prejuízo das penalidades trabalhistas, civis e criminais cabíveis. Estou ciente de que os regulamentos de segurança da informação poderão sofrer alterações a m de atenderem aos interesses da ORGANIZAÇÃO e me serão comunicadas por meio eletrônico.

de

,

de 20AA.

Nome: RG:

CPF:

Duas vias: ▪ Área de Recursos Humanos ou Área de Contratação de Prestadores de Serviços. ▪ Usuário.

204


EXEMPLO 28. TERMO DE RESPONSABILIDADE DO USUÁRIO

TERMO DE COMPROMISSO Declaro que li e entendi os documentos da ORGANIZAÇÃO anexos referentes a: ▪ Politica de Segurança da Informação. ▪ Normas para uso da internet, correio eletrônico e redes sociais. ▪ Conduta ética e de conitos de interesse para com a ORGANIZAÇÃO. ▪ Normas para acesso à informação.

Declaro que concordo em cumprir os regulamentos apresentados e que estou ciente que o seu não cumprimento pode acarretar penalidades administrativas. Estou ciente que não devo ter expectativa de privacidade em relação às minhas atividades no ambiente computacional, que serão registradas e poderão ser auditadas ou investigadas pela ORGANIZAÇÃO. Concordo em noticar a Área de Recursos Humanos da ORGANIZAÇÃO sobre quaisquer circunstâncias que possam tornar falsas, imprecisas ou incompletas as declarações anteriores.

,

de

Nome: RG: Localização Organizacional:

CPF:

de 20AA.


205

13.4 – Glossário Caso você tome por base estes documentos na escrita de novos documentos, coloque no mesmo a indicação: Documento baseado em Regulamentos Exemplos de Edison Fontes, 2012.

EXEMPLO 29. TERMOS UTILIZADOS NOS DOCUMENTOS DE SEGURANÇA DA INFORMAÇÃO

APRESENTAÇÃO Este documento tem por nalidade denir o signicado de termos, siglas e expressões utilizados nos regulamentos de segurança da informação da ORGANIZAÇÃO e que podem não fazer parte do conhecimento dos usuários. As denições aqui apresentadas têm como objetivo a facilidade do entendimento pelo usuário da ORGANIZAÇÃO, estão alinhadas aos conceitos dos normativos internacionais e estão coerentes com as denições acadêmicas.

Acesso à informação É o ato de um usuário ter contato com a informação e ter conhecimento dela. Pode ser no ambiente de tecnologia (através de computadores) ou no ambiente convencional quando acessamos uma pasta ou um documento em papel. Â

Acesso seguro ou Acesso controlado É o acesso à informação feito com a existência de controles que buscam garantir que: Â

206


▪ apenas as pessoas que devam ter acesso a uma determinada informação, tenham este acesso; ▪ seja registrado tudo que é feito com a informação; ▪ sejam considerados os tipos de acesso, como leitura, alteração ou remoção da informação; ▪ foram tomados cuidados para garantir a integridade da informação.

Acesso remoto É a forma de acesso ao ambiente computacional, na qual o usuário não está utilizando diretamente a infraestrutura da rede interna da ORGANIZAÇÃO. Normalmente esse acesso se faz quando o usuário está fora das instalações da organização como por exemplo em casa ou em viagem. Â

Ambiente convencional É o ambiente físico onde vivemos. As informações neste ambiente convencional estão em papel, escritas no quadro ou em outros meios físicos. Â

Ambiente de tecnologia É o ambiente que utiliza a tecnologia para o tratamento da informação. É o mundo virtual. Neste caso as informações estão gravadas nos discos (e outras mídias) e para a utilizarmos precisamos de equipamentos de tecnologia e de programas que são executados neste ambiente. Â

Ambiente de desenvolvimento de sistemas É o ambiente computacional destinado ao desenvolvimento, à manutenção e alteração dos sistemas de informação da ORGANIZAÇÃO. As informações deste ambiente têm por objetivo possibilitar a construção dos programas, a realização de testes e a simulação de situações de erro que possam ser identicadas para garantir uma excelente qualidade funcional dos programas aplicativos utilizados nos serviços prestados. Â

Ambiente de produção de sistemas É o ambiente computacional onde são executados os programas que possibilitam a realização operacional dos negócios da ORGANIZAÇÃO. As Â


207

informações deste ambiente são reais, válidas, verdadeiras e possuem valor legal quando disponibilizadas para usuários, clientes e órgãos governamentais.

Autenticação do usuário É a validação de que a pessoa é realmente a pessoa que diz ser. Esta autenticação pode ser feita pelo uso único ou em conjunto de algo que o usuário sabe (senha), algo que o usuário tem (cartão) ou algo que o usuário é (biometria). Â

No mundo convencional também autenticamos uma pessoa pela sua carteira de identidade ou através de um amigo de conança que garante que aquela pessoa é realmente aquela pessoa. Condencialidade

É um dos objetivos da segurança, que indica que a informação somente estará disponível para o usuário previamente autorizado a acessar a informação em função de necessidade de seu exercício prossional perante a ORGANIZAÇÃO. Â

Continuidade do recurso É o objetivo da segurança da informação de que o recurso continuará disponível e operante ao longo do tempo, mesmo que ocorram situações que impactem este recurso. Â

Cópia de segurança É a cópia das informações de um determinado ambiente (computacional ou convencional), que tem por nalidade a possibilidade de recuperação desses dados quando da ocorrência de situações que gerem indisponibilidade das informações originais. Â

Criptograa da informação

É um processo matemático que transforma a informação original em uma sequência de informação que ninguém entende (garante a condencialidade) e depois permite retornar a informação original (que todos entendem). Â

Custodiante de recurso É a pessoa que ca responsável por um determinado recurso e tem a obrigação de cuidar bem deste para que funcione adequadamente ao longo do tempo. Â

208


Dado pessoal Signica qualquer tipo de informação identicável referente a um determinado indivíduo ou através da qual determinados indivíduos possam ser identicados, como nome, número de identicação na Receita Federal, endereço ou um ou mais fatores relacionados à identidade siológica, mental, econômica, racial, cultural ou social, ou outras características/atributos pessoais. Â

Desastre físico É uma situação que causa indisponibilidade ou alteração indevida de recursos de informação, causada por elementos da natureza ou equipamentos e ambientes construídos pelo homem. Â

Desastre lógico É uma situação que causa indisponibilidade ou alteração indevida de recursos de informação causada por ação no ambiente computacional, através de programas ou ações que alteram indevidamente as informações, porém não modicando as características do meio físico onde essas informações estão armazenadas. Â

Disponibilidade da informação É um dos objetivos da segurança da informação que busca garantir que a informação esteja acessível para o usuário quando este necessitar utilizar o serviço, respeitando os acordos de nível de disponibilidade previamente acertados. Â

Gestor da Informação É a pessoa que autoriza ou nega o acesso à informação pelo usuário. Essa autorização ou negação é em função da avaliação que o gestor faz sobre a real necessidade do usuário acessar a informação. Â

Gestor do Usuário É a pessoa, normalmente a chea, que tem a responsabilidade de indicar que o usuário é uma pessoa verdadeira naquela ORGANIZAÇÃO e realiza determinadas tarefas. Â


209

É a pessoa que autoriza a inclusão ou a exclusão do usuário no ambiente computacional ou convencional. Cada usuário deve ter seu gestor. O Gestor do Usuário garante que existam apenas usuários válidos no ambiente da organização.

Grupo de acesso à informação É um grupo de pessoas que possuem o mesmo direito de acesso à informação . Em vez de terem um acesso individual, é criado um grupo com o acesso comum que todos necessitam. Â

Identicação do usuário

É a sequência de caracteres que representará o usuário no ambiente computacional. Exemplo: matrícula, nome, CPF. Â

Incidente É qualquer ocorrência que altere a normalidade do serviço. Normalmente associamos incidente a uma ocorrência que acarreta impacto negativo ao serviço. Â

Indisponibilidade parcial É a não disponibilidade de um recurso ou de um conjunto de recursos de um ambiente, porém uma maior parte dos recursos continua funcionando. Não existe uma ruptura/quebra total de recursos. Â

Indisponibilidade total É a não disponibilidade do serviço motivada pela ruptura de um recurso ou de um conjunto de recursos. Neste caso é necessário a substituição do recurso principal por outro recurso alternativo. Normalmente as atividades e a operacionalização do serviço ou negócio da organização serão feitos em outro ambiente físico. Â

Integridade É um dos objetivos da segurança da informação que garante que a informação mantenha a sua representação original e não foi corrompida por aspectos de ambiente físico ou de falhas no ambiente lógico. Â

210


Internet É o ambiente virtual onde diferentes computadores de várias partes do mundo se comunicam através de protocolos de entendimento comum, permitindo a troca de informações e o compartilhamento de conhecimento. Â

Nível de sigilo/condencialidade da informação

Indica o tratamento mais rígido ou menos rígido que deve ser dado à informação, em relação ao seu uso. Para cada grau de sigilo ou condencialidade da informação, deve haver um conjunto de regras indicando o tratamento desta informação em várias situações, seja no ambiente computacional ou no ambiente convencional. Â

Perl de acesso à informação

Próximo da denição de grupo de acesso. Porém, perl de acesso está mais relacionado a um perl da função prossional que o usuário realiza. Exemplo: gerentes. Neste caso teremos o perl gerente previamente denido com vários acessos autorizados. Quando alguém na organização for contratado como gerente, ele receberá os acessos do perl gerente. Â

Poder de acesso à informação: leitura, alteração, acesso de retirada do recurso Quando é dado um acesso à informação deve-se indicar o poder desse acesso. Alguns usuários vão apenas ler, mas outros vão poder alterar. E ainda há aqueles que poderão apagar a informação. Â

Processo de segurança da informação É o processo que implanta, desenvolve, mantém, atualiza e planeja a segurança da informação na ORGANIZAÇÃO. Â

Programa Produto É o programa desenvolvido por uma empresa especializada e disponibilizado no mercado para uso geral. Não são produtos desenvolvidos especicamente Â


211

para uma organização. Normalmente são programas que possibilitam o desenvolvimento de programas e sistemas aplicativos.

Recurso de informação São elementos que armazenam, processam, transmitem ou tratam da informação. Variam do mundo tecnológico como discos, tas e equipamentos, até o ambiente convencional: papel, nossas mentes. Â

Recurso físico que suporta a informação É o recurso físico que possui a informação. Exemplo: uma folha de papel. O papel é o recurso, mas a informação é aquilo que está desenhado no papel. Â

Registro de acesso à informação É o registro de quando a informação foi: acessada, alterada, gravada, removida. É muito importante para o caso de saber o que aconteceu com a informação. Â

Regras de proteção da informação São os procedimentos de segurança da informação que o usuário deve ter conhecimento explícito e deve seguir. Â

Requisitos de segurança São os controles que devem existir para que o uso da informação aconteça de forma segura. Os requisitos de segurança estão descritos nos regulamentos de segurança da informação e em documentos técnicos relativos à proteção da informação. Â

Senha de autenticação É um conjunto de caracteres que deve ser de conhecimento apenas do usuário. Dessa forma, quando o usuário digitar a senha o ambiente computacional validará se está correta. Se estiver correta o ambiente computacional assumirá que a pessoa que está digitando essas informações é o usuário da identificação. Â

212


Senha denitiva

É a senha escolhida pelo usuário após utilizar a senha descartável. Quando da atribuição dessa senha denitiva deve ser solicitada uma conrmação para evitar erro de digitação. Â

Senha descartável É a senha atribuída (não padrão) que é utilizada uma única vez. Ela somente pode ser atribuída por um Gestor de Usuário ou por pessoa autorizada para atribuição de senha. No momento dessa atribuição, a senha descartável é de conhecimento do usuário e de quem fez a sua implantação. Assim que a senha descartável é utilizada o sistema de controle de acesso exigirá a troca de senha. A partir dessa troca de senha, apenas o usuário terá conhecimento da senha relacionada à sua identicação. Â

Servidor (computador) É o computador ou o conjunto de computadores que suportam o ambiente corporativo de uma ORGANIZAÇÃO. Normalmente a responsável pelos servidores da organização é a área de TI. Â

Situações de contingência São situações que tornam indisponível a informação (ou outro recurso). Podem ser causadas por problemas da natureza (chuva, raios, terremoto) ou ação humana (roubo, atentado, erro). Â

Sistemas aplicativos São sistemas desenvolvidos para atender de maneira especíca as organizações. Exemplo: folha de pagamento, controle de estoque, etc. Â

Usuário É a pessoa que utiliza a informação. É qualquer pessoa que, devidamente autorizada, pode acessar os sistemas de informação, seja para exercer atividade Â


213

prossional para a ORGANIZAÇÃO ou para interagir com a organização como cliente.

Usuário Cliente É o usuário que utiliza como cliente os serviços de sistemas de informação disponibilizados pela ORGANIZAÇÃO. Â

Usuário ou Usuário prossional É o usuário que desempenha funções prossionais nos sistemas de informação disponibilizados pela ORGANIZAÇÃO. Considera-se Usuário prossional: Â

a) funcionário da ORGANIZAÇÃO; b) prestador de serviço; c) auditor interno ou externo; d) consultor.

13.5 – Planejamento Caso você tome por base estes documentos na escrita de novos documentos, coloque no mesmo a indicação: Documento baseado em Regulamentos Exemplos de Edison Fontes, 2012.

214


EXEMPLO 30. PLANEJAMENTO DA GESTÃO DA SEGURANÇA DA INFORMAÇÃO

APRESENTAÇÃO Este documento contém a estratégia a ser adotada pela Gerência de Segurança da Informação para a implementação das ações de proteção do bem informação para a ORGANIZAÇÃO.

1. GERÊNCIA DE SEGURANÇA DA INFORMAÇÃO – GSI 1.1 – Missão Ser o órgão gestor do processo de segurança e proteção da informação da ORGANIZAÇÃO, concentrando, coordenando, desenvolvendo e/ou implementando ações para a existência efetiva desse processo. 1.2 – Objetivo Garantir que a ORGANIZAÇÃO alcançará o nível de segurança e proteção da informação adequado ao seu negócio, ao seu porte como organização e às orientações da corporação. 1.3 – Implementação A implementação da Gerência de Segurança da Informação acontece através da dedicação de um gerente (Security Ofcer) que possui as seguintes responsabilidades: a) Ser responsável pela coordenação do Processo de Segurança, garantindo que todas as ações que têm como objetivo a proteção do recurso informação sejam desenvolvidas de forma estruturada e coerentes com o negócio da empresa.


215

b) Desenvolver e implementar de forma isolada, ou em conjunto com outras áreas, projetos e atividades que possibilitem à ORGANIZAÇÃO alcançar o nível de patamar de segurança adequado com o seu tipo de negócio e com o seu porte como organização. c) Denir os controles para a proteção do ambiente computacional, do ambiente físico, da infraestrutura e dos demais recursos que permitem a utilização da informação para o negócio da ORGANIZAÇÃO. d) Coordenar e acompanhar as auditorias de sistemas, garantindo que os pontos identicados pela empresa especializada serão avaliados e serão implementados conforme solução a ser denida. e) Desenvolver ações para a conscientização dos usuários em segurança da informação. f) Interagir com outras empresas para a troca de experiências relativas ao processo de segurança da informação, garantindo a condencialidade das informações do negócio da ORGANIZAÇÃO. 1.3 – Recursos de informação contemplados Para a efetiva proteção do bem informação serão contemplados os seguintes recursos que possibilitam a realização do negócio: a) Pessoal Todas as pessoas que utilizam a informação para a realização das suas atividades prossionais na ORGANIZAÇÃO devem ser consideradas como recurso a ser protegido e cuidado em termos de segurança da informação. Chamaremos genericamente de usuário, seja um associado ORGANIZAÇÃO ou um prestador de serviço terceirizado. O usuário é o elemento que efetivamente faz acontecer a segurança da informação, pois é ele quem vai seguir as políticas, cumprir as regras, proteger a informação em papel e identicar situações não previstas para essa informação. b) Ambiente físico O ambiente físico abriga os demais recursos de informação. Sendo assim, ele deve ser protegido para que não seja destruído nem

216


sofra situações que prejudiquem os demais recursos. O acesso ao ambiente físico deve ser controlado e adequado aos recursos de informação que ele contém. Exemplo: prédios, sala, espaço onde existam outros recursos. c) Dados Os dados representam a informação utilizada pela organização para a realização do seu negócio. Eles podem ser encontrados nos meios de armazenamento, como discos, tas e papéis, como também nos meios de transmissão como, por exemplo, no o telefônico ou nos canais dedicados que a empresa possui. Exemplo: informações de clientes armazenadas em disco, relatório. d) Infraestrutura A infraestrutura é formada pelos equipamentos que possibilitam os demais recursos funcionarem adequadamente. Exemplo: rede de energia elétrica, ar condicionado e transporte. e) Tecnologia Os recursos de tecnologia correspondem aos computadores de qualquer porte, aos equipamentos de telecomunicação e qualquer outro equipamento de tecnologia que possibilite a realização do negócio em função da utilização da informação. Exemplo: servidores, notebooks, torres de transmissão, canais de comunicação e os telefônicos. f) Processos Os processos, principalmente operacionais, são contemplados como recursos em função de que as ações que eles descrevem devem contemplar situações de proteção da informação. Por exemplo, o processo de desligamento de funcionário deve contemplar o corte de acesso ao ambiente computacional. 1.4 – Campos de atuação/Escopo A atuação da GSI contemplará todo o ambiente onde possa existir uma informação da ORGANIZAÇÃO utilizada para a realização do negócio. Podemos separar estes ambientes/campos em:


217

a) Computacional e de tecnologia Este ambiente contempla os equipamentos computacionais e de tecnologia que armazenam ou processam informação da ORGANIZAÇÃO. b) Convencional O ambiente convencional se refere às informações registradas em papel, em quadro magnético ou em qualquer outro meio não tecnológico. Este ambiente normalmente é desprezado quando estamos tratando de proteção da informação, mas é tão importante quanto. 1.5 – Estratégia Para alcançar os objetivos da GSI e da Segurança da Informação, considerando o ambiente da organização, estaremos adotando a estratégia de: a) Ação proativa e estruturada Adotar uma arquitetura de segurança e um plano de ação que leve a ORGANIZAÇÃO ao seu patamar de segurança adequado, independente de ter acontecido problema (forma reativa de atuar). b) Comprometimento do usuário Considerar o usuário como um elemento fator crítico de sucesso e neste caso comprometer o mesmo com a segurança da informação. ▪ Serão desenvolvidas ações que permitirão e facilitarão o comprometimento do usuário com a segurança da informação. Para atingir adequadamente o usuário, essas ações atingirão os aspectos cognitivo (saber), afetivo (sentir) e comportamental (realizar) do usuário. Podemos destacar: »

implementação de políticas;

»

denição de responsabilidades;

»

conscientização e treinamento dos usuários em segurança.

Uma ação que facilita a observância dos requerimentos de segurança da informação pelos usuários é o exemplo dado pela direção e pela gerência.

218


c) Proteção dos recursos Proteger adequadamente todos os recursos que permitem a utilização da informação para a realização do negócio. A proteção dos recursos, tendo como abordagem a metodologia adotada, terá um ciclo de vida permanente. Para cada um dos recursos deverão ser feitas as seguintes atividades: ▪ análise da situação; ▪ denição do nível de segurança adequado; ▪ implementação/adequação das ações para o alcance desse nível; ▪ denição de pontos de controle e métricas; ▪ monitoração; ▪ retorno para nova análise. d) Alinhamento Ter um alinhamento com ações de segurança da corporação e de entidades especializadas. Todas as ações relativas à segurança da informação devem estar alinhadas com: ▪ Políticas corporativas. ▪ Iniciativas de negócio. ▪ Normas NBR – Família 27000 – relativas à Segurança da Informação. ▪ Normas NBR – Família 31000 – relativas à Gestão de Riscos. ▪ Outras normas nacionais e internacionais relacionadas ao tema proteção da informação. ▪ COBIT. ▪ ITIL. ▪ Recomendações da ISACA.


219

2. SEGURANÇA DA INFORMAÇÃO 2.1 – Objetivo A informação deve ter garantida a sua: a) Integridade A informação deve estar correta para o uso. b) Confdencialidade A informação somente deve ser acessada pelo usuário autorizado e que necessita da informação para o desempenho das suas atividades prossionais na ORGANIZAÇÃO. c) Disponibilidade A informação deve estar disponível para a realização do negócio da ORGANIZAÇÃO. d) Legalidade O uso da informação deve estar de acordo com as leis do país, com as normas da ORGANIZAÇÃO e com o compromisso com os usuários e com os fornecedores. e) Autenticidade A informação de quem fez uma transação deve ser reconhecida e não deve ser possível contestar a sua autoria (não repúdio). f) Auditabilidade A informação deve ser possível de ser auditada. 2.2 – Medidas As medidas a serem adotadas para a proteção da informação são classicadas nos seguintes tipos com seus objetivos. a) Prevenção – Evitar danos aos recursos de informação . b) Detecção – Identicar o mais rápido possível o problema.

220


c) Contenção – Evitar a propagação do problema. d) Desmotivação – Desmotivar que pessoas ou entidades gerem problemas. e) Continuação do controle – Garantir que os controles vão continuar existindo.

f) Correção – Garantir a disponibilidade do recurso após a ocorrência de um problema que o colocou ou colocará indisponível.

3. ARQUITETURA DA SEGURANÇA DA INFORMAÇÃO Serão consideradas as seguintes dimensões e seus objetivos: 3.1 – Organizacional Comunicar, orientar e disciplinar os usuários no processo de segurança da informação. 3.2 – Acesso à informação Controlar o acesso à informação, para que essa informação seja acessada apenas pelos usuários autorizados. 3.3 – Ambiente físico Garantir a integridade física dos bens de informação. 3.4 –Infraestrutura e equipamentos Garantir que os recursos de infraestrutura e equipamentos funcionem adequadamente e de forma conável. 3.5 – Flexibilidade operacional Garantir que existam efetivamente gestões que dão uma maior garantia de que o ambiente é controlado e tem capacidade de tomar ações proativas que permitem um melhor nível de segurança da informação.


221

3.6 – Cópias de segurança Garantir que existem cópias de segurança efetivas para uma recuperação necessária de dados. 3.7 – Continuidade de negócio Garantir a disponibilidade da informação mesmo quando em uma situação de contingência/desastre. O negócio da organização não deve ser prejudicado por degradação do ambiente ou negação do acesso à informação. 3.8 – Desenvolvimento e manutenção de sistemas Proteger a informação quando do desenvolvimento, manutenção e implantação de sistemas. 3.9 – Ambiente de interconexão Garantir que o ambiente de tecnologia está protegido adequadamente quando da conexão com outros ambientes computacionais de clientes, fornecedores, outros. Estas dimensões estarão submetidas à Gestão de Riscos em Segurança da Informação, aos regulamentos que a ORGANIZAÇÃO é obrigada a seguir e às exigências do mercado onde a ORGANIZAÇÃO atua.

4. CONCLUSÃO As denições deste documento são a base para o planejamento e a operacionalização do processo de segurança da informação da ORGANIZAÇÃO. Este documento deve ser revisto anualmente e atualizado com os ajustes necessários para garantir que a Gestão da Segurança da Informação continuará atendendo aos objetivos e ao negócio da ORGANIZAÇÃO.

Anexo 1.Controles da NBR ISO/IEC 27002

A

Política de Segurança da Informação da organização protege a informação com a denição de controles ou grupos de controles. A Norma ISO/IEC 27002 apresenta 133 controles que devem ser considerados e analisados se serão considerados pela política da organização. A seguir, a descrição destes controles de maneira resumida. A descrição completa dos controles devem ser consultada no texto integral da norma.

Capítulo 5 – Política de segurança da informação (1) Controle: Documento da política de segurança da informação. 5.1.1 – Convém que um documento da política de segurança da informação seja aprovado pela direção, publicado para todos os funcionários e partes externas relevantes (ABNT, 2005, p. 8). (2) Controle: Análise crítica da política de segurança da informação. 5.1.2 – Convém que a política de segurança da informação seja analisada criticamente a intervalos planejados ou quando mudanças signicativas ocorrerem, para assegurar a sua contínua pertinência, adequação e ecácia (ABNT, 2005, p. 9).

Capítulo 6 – Organizando a segurança da informação Estabelece uma estrutura de gerenciamento para iniciar e controlar a implementação da segurança da informação dentro da organização.

Anexo 1: Controles da NBR ISO/IEC 27002 223

Controles denidos neste capítulo: (3) Controle: Comprometimento da direção com a segurança da informação. 6.1.1 – Convém que a direção apoie ativamente a segurança da informação dentro da organização por meio de um claro direcionamento, demonstrando o seu comprometimento, denindo atribuições de forma explícita e reconhecendo as responsabilidades pela segurança da informação (ABNT, 2005, p. 10). Este controle tem relação direta com a política de segurança da informação, pois é pela orientação da direção da organização que a política pode ser denida e estabelecida. (4) Controle: Coordenação da segurança da informação. 6.1.2 – Convém que as atividades da segurança da informação sejam coordenadas por representantes de diferentes partes da organização, com funções e papéis relevantes (ABNT, 2005, p. 11). (5) Controle: Atribuição de responsabilidades para a segurança da informação. 6.1.3 – Convém que todas as responsabilidades pela segurança da informação estejam claramente denidas (ABNT, 2005, p. 11). (6) Controle: Processo de autorização para os recursos de processamento da informação. 6.1.4 – Convém que seja denido e implementado um processo de gestão de autorização para novos recursos de processamento de informação (ABNT, 2005, p. 12). (7) Controle: Acordos de condencialidade. 6.1.5 – Convém que os requisitos para a condencialidade ou acordos de não divulgação que reitam as necessidades da organização para a proteção da informação sejam identicados e analisados criticamente de forma regular (ABNT, 2005, p. 12).

224


(8) Controle: Contato com autoridades. 6.1.6 – Convém que contatos apropriados com autoridades pertinentes sejam mantidos (ABNT, 2005, p. 13). (9) Controle: Contato com grupos especiais. 6.1.7 – Convém que sejam mantidos contatos apropriados com grupos de interesses especiais ou outros fóruns especializados de segurança da informação e associações prossionais (ABNT, 2005, p. 14). (10) Controle: Análise crítica independente de segurança da informação. 6.1.8 – Convém que o enfoque da organização para gerenciar a segurança da informação e a sua implementação (por exemplo, controles, objetivos dos controles, políticas, processos e procedimentos para a segurança da informação) seja analisado criticamente de forma independente, a intervalos planejados, ou quando ocorrerem mudanças signicativas relativas à implementação da segurança da informação (ABNT, 2005, p. 14). (11) Controle: Identicação dos riscos relacionados às partes externas. 6.2.1 – Convém que os riscos para os recursos de processamento da informação e da informação da organização oriundos de processos do negócio que envolva as partes externas sejam identicados e controles apropriados implementados antes de se conceder o acesso (ABNT, 2005, p. 15). (12) Controle: Identicando a segurança da informação, quando tratando com os clientes. 6.2.2 – Convém que todos os requisitos de segurança da informação identicados sejam considerados antes de conceder aos clientes o acesso aos ativos ou às informações da organização (ABNT, 2005, p. 17).


(13) Controle: Identicando a segurança da informação nos acordos com terceiros. 6.2.3 – Convém que os acordos com terceiros envolvendo o acesso, processamento, comunicação ou gerenciamento dos recursos de processamento da informação ou da informação da organização, ou o acréscimo de produtos ou serviços aos recursos de processamento da informação cubram todos os requisitos de segurança da informação relevantes (ABNT, 2005, p. 18).

Capítulo 7 – Gestão de ativos Estabelece responsabilidades pelos ativos da organização. Controles denidos neste capítulo: (14) Controle: Inventário dos ativos. 7.1.1 – Convém que todos os ativos sejam claramente identicados e um inventário de todos os ativos importantes seja estruturado e mantido (ABNT, 2005, p. 21). (15) Controle: Proprietário dos ativos. 7.1.2 – Convém que todas as informações e ativos associados com os recursos de processamento da informação tenham um proprietário designado por uma parte denida pela organização. Obs.: O termo “proprietário” identica uma pessoa ou organismo que tenha uma responsabilidade autorizada para controlar a produção, o desenvolvimento, a manutenção, o uso e a segurança dos ativos. O termo “proprietário” não signica que a pessoa realmente tenha qualquer direito de propriedade do ativo (ABNT, 2005, p. 22). (16) Controle: Uso aceitável dos ativos. 7.1.3 – Convém que sejam identicadas, documentadas, e implementadas regras para que sejam permitidos o uso

226


de informações e de ativos associados aos recursos de processamento da informação (ABNT, 2005, p. 22). (17) Controle: Classicação da informação – Recomendações para classicação. 7.2.1 – Convém que a informação seja classicada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização (ABNT, 2005, p. 23). (18) Controle: Classicação da informação – Rótulos e tratamento da informação. 7.2.2 – Convém que um conjunto apropriado de procedimentos para a rotulação e tratamento da informação seja denido e implementado de acordo com o esquema de classicação adotado pela organização (ABNT, 2005, p. 24).

Capítulo 8 – Segurança em recursos humanos Estabelece responsabilidades para assegurar que os funcionários, fornecedores e terceiros entendam as suas responsabilidades em segurança da informação para com a organização. Controles denidos neste capítulo: (19) Controle: Segurança em recursos humanos – Papéis e responsabilidades. 8.1.1 – Convém que papéis e responsabilidades pela segurança da informação de funcionários, fornecedores e terceiros sejam denidos e documentados de acordo com a política de segurança da informação (ABNT, 2005, p. 25). (20) Controle: Segurança em recursos humanos – Seleção. 8.1.2 – Convém que vericações do histórico de todos os candidatos a emprego, fornecedores e terceiros sejam realizados de acordo com a ética, as leis e as regulamentações pertinentes, e proporcionais aos requisitos do negócio, à classicação das informações a serem acessadas e aos riscos percebidos (ABNT, 2005, p. 26).


(21) Controle: Segurança em recursos humanos – Termos e condições de contratação. 8.1.3 – Como parte de suas obrigações contratuais, convém que os funcionários, fornecedores e terceiros concordem e assinem os termos e condições de sua contratação para o trabalho, os quais devem declarar as suas responsabilidades e a da organização para a segurança da informação (ABNT, 2005, p. 26). (22) Controle: Segurança em recursos humanos – Responsabilidades da direção. 8.2.1 – Convém que a direção solicite aos funcionários, fornecedores e terceiros que pratiquem a segurança da informação de acordo com o estabelecido nas políticas e procedimentos da organização (ABNT, 2005, p. 28). (23) Controle: Segurança em recursos humanos – Conscientização, educação e treinamento em segurança da informação. 8.2.2 – Convém que todos os funcionários da organização e, onde pertinente, fornecedores e terceiros recebam treinamento apropriados em conscientização e atualizações regulares nas políticas e procedimentos organizacionais, relevantes para as suas funções (ABNT, 2005, p. 28). (24) Controle: Segurança em recursos humanos – Processo disciplinar. 8.2.3 – Convém que exista um processo disciplinar formal para os funcionários que tenham cometido uma violação da segurança da informação (ABNT, 2005, p. 29). (25) Controle: Segurança em recursos humanos – Encerramento das atividades. 8.3.1 – Convém que responsabilidades para realizar o encerramento ou a mudança de um trabalho sejam claramente denidas e atribuídas (ABNT, 2005, p. 30). (26) Controle: Segurança em recursos humanos – Devolução de ativos. 8.3.2 – Convém que todos os funcionários, fornecedores e terceiros devolvam todos os ativos da organização que estejam

228


em sua posse, após o encerramento de suas atividades, do contrato ou acordo (ABNT, 2005, p. 30). (27) Controle: Segurança em recursos humanos – Retirada de direitos de acesso. 8.3.3 – Convém que os direitos de acesso de todos os funcionários, fornecedores e terceiros às informações e aos recursos de processamento de informação sejam retirados após o encerramento de suas atividades, contratos ou acordos, ou ajustados após a mudança destas atividades (ABNT, 2005, p. 30).

Capítulo 9 – Segurança física e do ambiente Estabelece responsabilidades para o ambiente físico de maneira que este ambiente seja protegido de maneira compatível com os riscos identicados. Controles denidos neste capítulo: (28) Controle: Segurança física – Perímetro de segurança física. 9.1.1 – Convém que sejam utilizados perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) para proteger as áreas que contenham informações e instalações de processamento da informação (ABNT, 2005, p. 32). (29) Controle: Segurança física – Controles de entrada física. 9.1.2 – Convém que as áreas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso (ABNT, 2005, p. 33). (30) Controle: Segurança física – Segurança em escritórios, salas e instalações. 9.1.3 – Convém que seja projetada e aplicada segurança física para escritórios, salas e instalações (ABNT, 2005, p. 33). (31) Controle: Segurança física – Proteção contra ameaças externas e do meio ambiente. 9.1.4 – Convém que sejam projetadas e aplicadas proteção física contra incêndios, enchentes, terremotos, explosões,


perturbações da ordem pública e outras formas de desastres naturais ou causados pelo homem (ABNT, 2005, p. 34). (32) Controle: Segurança física – Trabalhando em áreas seguras. 9.1.5 – Convém que seja projetada e aplicada proteção física, bem como diretrizes para o trabalho em áreas seguras (ABNT, 2005, p. 34). (33) Controle: Segurança física – Acesso do público, áreas de entrega e de carregamento. 9.1.6 – Convém que os pontos de acesso, tais como de entrega e de carregamento e outros pontos em que pessoas não autorizadas possam entrar nas instalações, sejam controladas e, se possível, isoladas das suas instalações de processamento da informação, para evitar o acesso não autorizado (ABNT, 2005, p. 35). (34) Controle: Segurança física – Instalação e proteção de equipamento. 9.2.1 – Convém que os equipamentos sejam colocados no local ou protegidos para reduzir os riscos de ameaças e perigos do meio ambiente, bem como as oportunidades de acesso não autorizados (ABNT, 2005, p. 35). (35) Controle: Segurança física – Utilidades. 9.2.2 – Convém que os equipamentos sejam protegidos contra a falta de energia elétrica e outras interrupções causadas por falhas das utilidades (ABNT, 2005, p. 36). (36) Controle: Segurança física – Segurança do cabeamento. 9.2.3 – Convém que cabeamento de energia e de telecomunicações que transporta dados ou dá suporte aos serviços de informações seja protegido contra a interceptação ou danos (ABNT, 2005, p. 37).

230


(37) Controle: Segurança física – Manutenção dos equipamentos. 9.2.4 – Convém que os equipamentos tenham uma manutenção correta para assegurar sua disponibilidade e integridade permanentes (ABNT, 2005, p. 38). (38) Controle: Segurança física – Segurança de equipamentos fora das dependências da organização. 9.2.5 – Convém que sejam tomadas medidas de segurança para equipamentos que operem fora do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependências da organização (ABNT, 2005, p. 38). (39) Controle: Segurança física – Reutilização e alienação segura de equipamentos. 9.2.6 – Convém que todos os equipamentos que contenham mídias de armazenamento de dados sejam examinados antes do descarte, para assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos ou sobregravados com segurança (ABNT, 2005, p. 39). (40) Controle: Segurança física – Remoção de propriedade. 9.2.7 – Convém que equipamentos, informações ou softwares não sejam retirados do local sem autorização prévia (ABNT, 2005, p. 39).

Capítulo 10 – Gerenciamento das operações e comunicações Estabelece responsabilidades para garantir que a operação dos recursos de processamento de informação aconteça de maneira segura e correta. Controles denidos neste capítulo: (41) Controle: Operações e Comunicações – Documentação dos procedimentos. 10.1.1 – Convém que os procedimentos de operação sejam documentados, mantidos atualizados e disponíveis a todos os usuários que deles necessitem (ABNT, 2005, p. 40).


(42) Controle: Operações e Comunicações – Gestão de mudanças. 10.1.2 – Convém que modicações nos recursos de processamento da informação e sistemas sejam controlados (ABNT, 2005, p. 41). (43) Controle: Operações e Comunicações – Segregação de funções. 10.1.3 – Convém que funções e áreas de responsabilidade sejam segregadas para reduzir as oportunidades de modicação ou uso indevido não autorizado ou não intencional dos ativos da organização (ABNT, 2005, p. 41). (44) Controle: Operações e Comunicações – Separação dos recursos de desenvolvimento, teste e de produção. 10.1.4 – Convém que recursos de desenvolvimento, teste e produção sejam separados para reduzir o risco de acessos ou modicações não autorizadas aos sistemas operacionais (ABNT, 2005, p. 42). (45) Controle: Operações e Comunicações – Entrega de serviço. 10.2.1 – Convém que seja garantido que os controles de segurança, as denições de serviço e os níveis de entrega incluídos no acordo de entrega de serviços terceirizados sejam implementados, executados e mantidos pelo terceiro (ABNT, 2005, p. 43). (46) Controle: Operações e Comunicações – Monitoramento e análise crítica de serviços terceirizados. 10.2.2 – Convém que os serviços, relatórios e registros fornecidos por terceiros sejam regularmente monitorados e analisados criticamente, e que auditorias sejam executadas (ABNT, 2005, p. 43). (47) Controle: Operações e Comunicações – Gerenciamento de mudanças para serviços terceirizados. 10.2.3 – Convém que mudanças no provisionamento dos serviços, incluindo manutenção e melhoria da política de segurança

232


da informação, procedimentos e controles existentes, sejam gerenciadas levando-se em conta a criticidade dos sistemas e processos de negócios envolvidos e a reanálise/reavaliação de riscos (ABNT, 2005, p. 44). (48) Controle: Operações e Comunicações – Gestão de capacidade. 10.3.1 – Convém que a utilização dos recursos seja monitorada e ajustada, e as projeções feitas para necessidades de capacidade futura, para garantir o desempenho requerido ao sistema (ABNT, 2005, p. 45). (49) Controle: Operações e Comunicações – Aceitação de sistemas. 10.3.2 – Convém que sejam estabelecidos critérios de aceitação para novos sistemas, atualizações e novas versões, e que sejam efetuados testes apropriados do(s) sistemas(s) durante o desenvolvimento e antes da sua aceitação (ABNT, 2005, p. 45). (50) Controle: Operações e Comunicações – Proteção contra códigos maliciosos e códigos móveis. 10.4.1 – Convém que sejam implantados controles de detecção, prevenção e recuperação para proteger contra códigos maliciosos, assim como procedimentos para a devida conscientização do usuário (ABNT, 2005, p. 46). (51) Controle: Operações e Comunicações – Controles contra códigos móveis. 10.4.2 – Onde o uso de códigos móveis é autorizado, convém que a conguração garanta que o código móvel autorizado opere de acordo com uma política de segurança da informação claramente denida e códigos móveis não autorizados tenham sua execução impedida (ABNT, 2005, p. 47). (52) Controle: Operações e Comunicações – Cópias de segurança da informação. 10.5.1 – Convém que as cópias de segurança da informação e dos softwares sejam efetuadas, testadas regularmente conforme


a política de geração de cópias de segurança denida (ABNT, 2005, p. 48). (53) Controle: Operações e Comunicações – Controles de redes. 10.6.1 – Convém que as redes sejam adequadamente gerenciadas e controladas, de forma a protegê-las contra ameaças e manter a segurança de sistemas e aplicações que utilizam estas redes, incluindo a informação em trânsito (ABNT, 2005, p. 49). (54) Controle: Operações e Comunicações – Segregação dos serviços de rede. 10.6.2 – Convém que as características de segurança, níveis de serviço e requisitos de gerenciamento de serviços de rede sejam identicados e incluídos em qualquer acordo de serviços de rede, tanto para serviços de rede providos internamente ou terceirizados (ABNT, 2005, p. 50). (55) Controle: Operações e Comunicações – Gerenciamento de mídias removíveis. 10.7.1 – Convém que existam procedimentos implementados para o gerenciamento de mídias removíveis (ABNT, 2005, p. 50). (56) Controle: Operações e Comunicações – Descarte de mídias. 10.7.2 – Convém que as mídias sejam descartadas de forma segura e protegida quando não forem mais necessárias, por meio de procedimentos formais (ABNT, 2005, p. 51). (57) Controle: Operações e Comunicações – Procedimentos para tratamento de informação. 10.7.3 – Convém que sejam estabelecidos procedimentos para o tratamento e o armazenamento de informações, para proteger tais informações contra a divulgação não autorizada ou uso indevido (ABNT, 2005, p. 52).

234


(58) Controle: Operações e Comunicações – Segurança da documentação dos sistemas. 10.7.4 – Convém que a documentação dos sistemas seja protegida contra acessos não autorizados (ABNT, 2005, p. 52). (59) Controle: Operações e Comunicações – Políticas e procedimentos para troca de informações. 10.8.1 – Convém que políticas, procedimentos e controles sejam estabelecidos e formalizados para proteger a troca de informações em todos os tipos de recursos de comunicação (ABNT, 2005, p. 53). (60) Controle: Operações e Comunicações – Acordos para trocas de informações. 10.8.2 – Convém que sejam estabelecidos acordos para a troca de informações e softwares entre organizações e entidades externas (ABNT, 2005, p. 55). (61) Controle: Operações e Comunicações – Mídias em trânsito. 10.8.3 – Convém que mídias contendo informações sejam protegidas contra acesso não autorizado, uso impróprio ou alteração indevida durante o transporte externo aos limites físicos da organização (ABNT, 2005, p. 56). (62) Controle: Operações e Comunicações – Mensagens eltrônicas. 10.8.4 – Convém que as informações que trafegam em mensagens eletrônicas sejam adequadamente protegidas (ABNT, 2005, p. 56). (63) Controle: Operações e Comunicações – Sistemas de informações de negócio. 10.8.5 – Convém que políticas e procedimentos sejam desenvolvidos e implementados para proteger as informações associadas com interconexão de sistemas de informações do negócio (ABNT, 2005, p. 57).


(64) Controle: Operações e Comunicações – Serviços de comércio eletrônico. 10.9.1 – Convém que as informações envolvidas em comércio eletrônico transitando sobre redes públicas sejam protegidas de atividades fraudulentas, disputas contratuais e divulgação e modicações não autorizadas (ABNT, 2005, p. 58). (65) Controle: Operações e Comunicações – Transações on-line. 10.9.2 – Convém que informações envolvidas em transações online sejam protegidas para prevenir transmissões incompletas, erros de roteamento, alterações não autorizadas de mensagens, divulgação não autorizada, duplicação ou reapresentação de mensagem não autorizada (ABNT, 2005, p. 59). (66) Controle: Operações e Comunicações – Informações publicamente disponíveis. 10.9.3 – Convém que a integridade das informações disponibilizadas em sistemas publicamente acessíveis seja protegida para prevenir modicações não autorizadas (ABNT, 2005, p. 60). (67) Controle: Operações e Comunicações – Registros de auditoria. 10.10.1 – Convém que registros (log) de auditoria contendo atividades dos usuários, exceções e outros eventos de segurança da informação sejam produzidos e mantidos por um período de tempo acordado para auxiliar em futuras investigações e monitoramento de controle de acesso (ABNT, 2005, p. 61). (68) Controle: Operações e Comunicações – Monitoramento do uso do sistema. 10.10.2 – Convém que sejam estabelecidos procedimentos para o monitoramento do uso dos recursos de processamento da informação e os resultados das atividades de monitoramento sejam analisados criticamente de forma regular (ABNT, 2005, p. 61).

236


(69) Controle: Operações e Comunicações – Proteção das informações dos registros (log). 10.10.3 – Convém que os recursos de informações de registros (log) sejam protegidos contra a falsicação e acesso não autorizado (ABNT, 2005, p. 63). 70) Controle: Operações e Comunicações – Registro (log) de administrador e operador. 10.10.4 – Convém que as atividades dos administradores e operadores de sistemas sejam registradas (ABNT, 2005, p. 63). (71) Controle: Operações e Comunicações – Registro (log) de falhas. 10.10.5 – Convém que as falhas ocorridas sejam registradas e analisadas, e que sejam adotadas ações apropriadas (ABNT, 2005, p. 64). (72) Controle: Operações e Comunicações – Sincronização dos relógios. 10.10.6 – Convém que os relógios de todos os sistemas de processamento de informações relevantes, dentro da organização ou do domínio de segurança, sejam sincronizados com uma fonte de tempo precisa, acordada (ABNT, 2005, p. 64).

Capítulo 11 – Controle de acessos Estabelece responsabilidades e regras para que o acesso à informação, recursos de processamento das informações e processos de negócios sejam controlados com base nos requisitos de negócio e segurança da informação. Controles denidos neste capítulo: 73) Controle: Acesso – Política de controle de acesso. 11.1.1 – Convém que a política de controle de acesso seja estabelecida e analisada criticamente, tomando-se como base os requisitos de acesso dos negócios e segurança da informação (ABNT, 2005, p. 65).


(74) Controle: Acesso – Registro de usuário. 11.2.1 – Convém que exista um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços (ABNT, 2005, p. 66). (75) Controle: Acesso – Uso de privilégio – Restritos e controlados. 11.2.2 – Convém que a concessão e o uso de privilégios sejam restritos e controlados (ABNT, 2005, p. 67). (76) Controle: Acesso – Gerenciamento de senha do usuário. 11.2.3 – Convém que a concessão de senhas seja controlada através de um processo de gerenciamento formal (ABNT, 2005, p. 68). (77) Controle: Acesso – Análise crítica dos direitos de acesso de usuário. 11.2.4 – Convém que o gestor conduza a intervalos regulares a análise crítica dos direitos de acesso dos usuários, por meio de um processo formal (ABNT, 2005, p. 68). (78) Controle: Acesso – Uso de senhas. 11.3.1 – Convém que os usuários sejam solicitados a seguir as boas práticas de segurança da informação na seleção e uso de senhas (ABNT, 2005, p. 69). (79) Controle: Acesso – Equipamento de usuário sem monitoração. 11.3.2 – Convém que os usuários assegurem que os equipamentos não monitorados tenham proteção adequada (ABNT, 2005, p. 70). (80) Controle: Acesso – Política de mesa limpa e tela limpa. 11.3.3 – Convém que seja adotada uma política de mesa limpa de papéis e mídias de armazenamento removível e política de

238


tela limpa para os recursos de processamento da informação (ABNT, 2005, p. 70). (81) Controle: Acesso – Política de uso de serviços de rede. 11.4.1 – Convém que os usuários somente recebam acesso para os serviços que tenham sido especicamente autorizados a usar (ABNT, 2005, p. 71). (82) Controle: Acesso – Autenticação para conexão externa do usuário. 11.4.2 – Convém que métodos apropriados de autenticações sejam usados para controlar o acesso de usuários remotos (ABNT, 2005, p. 72). (83) Controle: Acesso – Identicação de equipamentos em redes. 11.4.3 – Convém que sejam consideradas as identicações automáticas de equipamentos como um meio de autenticar conexões vindas de localizações e equipamentos especícos, (ABNT, 2005, p. 73). (84) Controle: Acesso – Proteção de portas de conguração e diagnóstico remotos. 11.4.4 – Convém que sejam controlados os acessos físico e lógico a portas de diagnóstico e conguração (ABNT, 2005, p. 73). (85) Controle: Acesso – Segregação de redes. 11.4.5 – Convém que grupos de serviços de informação, usuários e sistemas de informação sejam segregados em redes (ABNT, 2005, p. 73). (86) Controle: Acesso – Controle de conexão de redes. 11.4.6 – Para redes compartilhadas, especialmente essas que se estendem pelos limites da organização, convém que a capacidade dos usuários para conectar-se à rede seja restrita, alinhada com a política de controle de acesso e os requisitos das aplicações do negócio (ABNT, 2005, p. 74).


(87) Controle: Acesso – Controle de roteamento de redes. 11.4.7 – Convém que seja implementado controle de roteamento na rede, para assegurar que as conexões de computador e uxos de informação não violem a política de controle de acesso das aplicações do negócio (ABNT, 2005, p. 75). (88) Controle: Acesso – Procedimentos seguros de entrada nos sistema (log on). 11.5.1 – Convém que o acesso aos sistemas operacionais seja controlado por um procedimento seguro de entrada no sistema (log on) (ABNT, 2005, p. 75). (89) Controle: Acesso – Identicação e autenticação do usuário. 11.5.2 – Convém que todos os usuários tenham um identicador único (ID de usuário) para uso pessoal e exclusivo, e convém que uma técnica adequada de autenticação seja escolhida para validar a identidade alegada por um usuário (ABNT, 2005, p. 77). (90) Controle: Acesso – Sistema de gerenciamento de senha. 11.5.3 – Convém que sistemas para gerenciamento de senhas sejam interativos e assegurem senha de qualidade (ABNT, 2005, p. 77). (91) Controle: Acesso – Uso de utilitários de sistema. 11.5.4 – Convém que o uso de programas utilitários que podem ser capazes de sobrepor os controles dos sistemas e aplicações seja restrito e estritamente controlado (ABNT, 2005, p. 78). (92) Controle: Acesso – Limite de tempo de sessão. 11.5.5 – Convém que sessões inativas sejam encerradas após um período denido de inatividade (ABNT, 2005, p. 79).

240


(93) Controle: Acesso – Limitação de horário de conexão. 11.5.6 – Convém que restrições nos horários de conexão sejam utilizados para proporcionar segurança adicional para aplicações de alto risco (ABNT, 2005, p. 79). (94) Controle: Acesso – Restrição de acesso à informação. 11.6.1 – Convém que o acesso à informação e às funções dos sistemas de aplicações por usuários e pessoal de suporte seja restrito de acordo com o definido na política de controle de acesso (ABNT, 2005, p. 80). (95) Controle: Acesso – Isolamento de sistemas sensíveis. 11.6.2 – Convém que sistemas sensíveis tenham um ambiente computacional dedicado (isolado) (ABNT, 2005, p. 80). (96) Controle: Acesso – Computação e comunicação móvel. 11.7.1 – Convém que uma política formal seja estabelecida e que medidas de segurança apropriadas sejam adotadas para a proteção contra os riscos do uso de recursos de computação e comunicação móveis (ABNT, 2005, p. 81). (97) Controle: Acesso – Trabalho remoto. 11.7.2 – Convém que uma política, planos operacionais e procedimentos sejam desenvolvidos e implementados para atividades de trabalho remoto (ABNT, 2005, p. 82).

Capítulo 12 – Aquisição, desenvolvimento e manutenção de sistemas de informação Estabelece responsabilidades e regras para que todos os requisitos de segurança da informação sejam identicados e acordados antes do desenvolvimento e/ou implementação de sistemas de informação. Controles denidos neste capítulo:


(98) Controle: Análise e especicação dos requisitos de segurança. 12.1.1 – Convém que sejam especicados os requisitos para controles de segurança nas especicações de requisitos de negócios, para novos sistemas de informação ou melhorias em sistemas existentes (ABNT, 2005, p. 84). (99) Controle: Validação dos dados de entrada. 12.2.1 – Convém que os dados de entrada de aplicações sejam validados para garantir que são corretos e apropriados (ABNT, 2005, p. 85). (100) Controle: Controle do processamento interno. 12.2.2 – Convém que sejam incorporadas, nas aplicações, checagens de validação com o objetivo de detectar qualquer corrupção de informações, por erros ou por ações deliberadas (ABNT, 2005, p. 86). (101) Controle: Integridade de mensagens. 12.2.3 – Convém que requisitos para garantir a autenticidade e proteger a integridade das mensagens em aplicações sejam identicados e os controles apropriados sejam identicados e implementados (ABNT, 2005, p. 87). (102) Controle: Validação dos dados de saída. 12.2.4 – Convém que os dados de saída das aplicações sejam validados para assegurar que o processamento das informações armazenadas está correto e é apropriado às circunstâncias (ABNT, 2005, p. 87). (103) Controle: Política para uso de controles criptográcos. 12.3.1 – Convém que seja desenvolvida e implementada uma política para uso de controles criptográcos para a proteção da informação (ABNT, 2005, p. 88).

242


(104) Controle: Gerenciamento de chaves. 12.3.2 – Convém que um processo de gerenciamento de chaves seja implantado para apoiar o uso de técnicas criptográcas pela organização (ABNT, 2005, p. 89). (105) Controle: Controle de software operacional. 12.4.1 – Convém que procedimentos para controlar a instalação de software em sistemas operacionais sejam implementados (ABNT, 2005, p. 90). (106) Controle: Proteção dos dados para teste de sistema. 12.4.2 – Convém que os dados de teste sejam selecionados com cuidado, protegidos e controlados (ABNT, 2005, p. 92). (107) Controle: Acesso ao código fonte de programa. 12.4.3 – Convém que o acesso ao código fontes de programas seja restrito (ABNT, 2005, p. 92). (108) Controle: Procedimentos para controle de mudanças. 12.5.1 – Convém que a implementação de mudanças seja controlada utilizando procedimentos formais de controle de mudanças (ABNT, 2005, p. 93). (109) Controle: Análise crítica técnica das aplicações após mudanças no sistema operacional. 12.5.2 – Convém que as aplicações críticas do negócio sejam analisadas criticamente e testadas quando sistemas operacionais são mudados, para garantir que não haverá nenhum impacto adverso na operação da organização ou na segurança (ABNT, 2005, p. 94). (110) Controle: Restrições sobre mudanças em pacotes de software. 12.5.3 – Convém que modicações em pacotes de software sejam desencorajadas e limitadas às mudanças necessárias e que todas as mudanças sejam estritamente controladas (ABNT, 2005, p. 95).


(111) Controle: Vazamento de informações 12.5.4 – Convém que oportunidades para vazamento de informação sejam prevenidas (ABNT, 2005, p. 95). (112) Controle: Desenvolvimento terceirizado de software. 12.5.5 – Convém que a organização supervisione e monitore o desenvolvimento terceirizado de software (ABNT, 2005, p. 96). (113) Controle: Controle de vulnerabilidades técnicas. 12.6.1 – Convém que seja obtida informação em tempo hábil sobre vulnerabilidades técnicas dos sistemas de informação em uso, avaliada a exposição da organização a estas vulnerabilidades e tomadas as medidas apropriadas para lidar com os riscos associados (ABNT, 2005, p. 96).

Capítulo 13 – Gestão de incidentes de segurança da informação Estabelece responsabilidades e regras para que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil. Controles denidos neste capítulo: (114) Controle: Noticação de eventos de segurança da informação. 13.1.1 – Convém que os eventos de segurança da informação sejam relatados através dos canais apropriados da direção, o mais rapidamente possível (ABNT, 2005, p. 98). (115) Controle: Noticando fragilidades de segurança da informação. 13.1.2 – Convém que os funcionários, fornecedores e terceiros de sistemas e serviços de informação sejam instruídos a registrar e noticar qualquer observação ou suspeita de fragilidade em sistemas ou serviços (ABNT, 2005, p. 99).

244


(116) Controle: Responsabilidades e procedimentos. 13.2.1 – Convém que responsabilidades e procedimentos de gestão sejam estabelecidos para assegurar respostas rápidas, efetivas e ordenadas a incidentes de segurança da informação (ABNT, 2005, p. 100). (117) Controle: Aprendendo com os incidentes de segurança da informação. 13.2.2 – Convém que sejam estabelecidos mecanismos para permitir que tipos, quantidades e custos dos incidentes de segurança da informação sejam quanticados e monitorados (ABNT, 2005, p. 101). (118) Controle: Coletas de evidência. 13.2.3. – Nos casos em que uma ação de acompanhamento contra uma pessoa ou organização, após um incidente de segurança da informação, envolver uma ação legal (civil ou criminal), convém que evidências sejam coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidências da jurisdição(ões) pertinente(s) (ABNT, 2005, p. 102).

Capítulo 14 – Gestão da continuidade do negócio Estabelece responsabilidades e regras para que o processo de continuidade de negócio seja implementado para minimizar o impacto sobre a organização e recuperar perdas de ativos da informação a um nível aceitável através da combinação de ações de prevenção e recuperação. Controles denidos neste capítulo: (119) Controle: Incluindo a segurança da informação no processo de gestão de continuidade de negócio. 14.1.1 – Convém que um processo de gestão seja desenvolvido e mantido para assegurar a continuidade do negócio por toda a organização e que contemple os requisitos de segurança da


informação necessários para a continuidade do negócio na organização (ABNT, 2005, p. 103). (120) Controle: Continuidade de negócios e análise/avaliação de riscos. 14.1.2 – Convém identicar os eventos que podem causar interrupções aos processos de negócio, junto a probabilidade e impacto de tais interrupções e as consequências para a segurança da informação (ABNT, 2005, p. 104). (121) Controle: Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação. 14.1.3 – Convém que os planos sejam desenvolvidos e implementados para a manutenção ou recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio (ABNT, 2005, p. 104). (122) Controle: Estrutura do plano de continuidade do negócio. 14.1.4 – Convém que uma estrutura básica dos planos de continuidade do negócio seja mantida para assegurar que todos os planos são consistentes, para contemplar os requisitos de segurança da informação e para identicar prioridades para teste e manutenção (ABNT, 2005, p. 105). (123) Controle: Testes, manutenção e reavaliação dos planos de continuidade do negócio. 14.1.5 – Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade (ABNT, 2005, p. 106).

Capítulo 15 – Conformidade Estabelece responsabilidades e regras para evitar violações de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais, e de quaisquer requisitos de segurança da informação.

246


Controles denidos neste capítulo: (124) Controle: Identicação da legislação aplicável. 15.1.1 – Convém que todos os requisitos estatutários, regulamentares e contratuais pertinentes, e o enfoque da organização para atender a esses requisitos, sejam explicitamente denidos, documentados e mantidos atualizados para cada sistema de informação da organização (ABNT, 2005, p. 108). (125) Controle: Direitos de propriedade intelectual. 15.1.2 – Convém que procedimentos apropriados sejam implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais no uso de material, em relação aos quais pode haver direitos de propriedade intelectual e sobre o uso de produtos de software proprietários (ABNT, 2005, p. 108). (126) Controle: Proteção de registros organizacionais. 15.1.3 – Convém que registros importantes sejam protegidos contra perda, destruição e falsicação, de acordo com os requisitos regulamentares, estatutários, contratuais e do negócio (ABNT, 2005, p. 109). (127) Controle: Proteção de dados e privacidade de informações pessoais. 15.1.4 – Convém que a privacidade e a proteção de dados sejam asseguradas conforme exigido nas legislações, regulamentações e, se aplicável, nas cláusulas contratuais pertinentes (ABNT, 2005, p. 110). (128) Controle: Prevenção de mau uso de recursos de processamento de informação. 15.1.5 – Convém que os usuários sejam dissuadidos de usar os recursos de processamento da informação para propósitos não autorizados (ABNT, 2005, p. 111).


(129) Controle: Regulamentação de controles de criptograa. 15.1.6 – Convém que controles de criptograa sejam usados em conformidade com todas as leis, acordos e regulamentações pertinentes (ABNT, 2005, p. 111). (130) Controle: Conformidade com as políticas e normas de segurança da informação. 15.2.1 – Convém que os gestores analisem criticamente, a intervalos regulares, a conformidade do processamento da informação dentro de sua área de responsabilidade com as políticas de segurança da informação, normas e quaisquer outros requisitos e segurança (ABNT, 2005, p. 112). (131) Controle: Vericação com a conformidade técnica. 15.2.2 – Convém que os sistemas de informação sejam periodicamente vericados em sua conformidade com as normas de segurança da informação implementadas (ABNT, 2005, p. 113). (132) Controle: Controles de auditoria de sistemas de informação. 15.3.1 – Convém que requisitos e atividades de auditoria envolvendo vericação nos sistemas operacionais sejam cuidadosamente planejados e acordados para minimizar os riscos de interrupção dos processos de negócio (ABNT, 2005, p. 113). (133) Controle: Proteção de ferramentas de auditoria de si stemas de informação. 15.3.2 – Convém que o acesso às ferramentas de auditoria de sistema de informação seja protegido, para prevenir qualquer possibilidade de uso impróprio ou comprometimento (ABNT, 2005, p. 114).

Anexo 2. Padrão Mínimo de Política de Segurança da Informação

E

sta recomendação de padrão mínimo para a Política de Segurança da Informação é o resultado de uma pesquisa realizada em dez organizações de grande porte e que possuem um patamar de maturidade de segurança da informação reconhecida no mercado. Neste anexo apresentamos o resultado desta pesquisa e a identicação do padrão mínimo para a política de segurança da informação.

Análise das organizações Todas as organizações pesquisadas possuem políticas há vários anos, sendo que 90% possuem políticas há mais de cinco anos e apenas 10% possuem políticas há menos de cinco anos. Porém, se considerarmos um tempo menor, todas as organizações possuem políticas há mais de quatro anos. O fato da existência de políticas há vários anos é importante para a pesquisa realizada porque indicou que a grande maioria das organizações consideradas possui políticas de segurança da informação maduras e consolidadas. Por consequência, os controles utilizados por cada política são considerados importantes para a respectiva organização. Outra informação que reforça a maturidade das políticas consideradas é o fato de que todas as organizações tiveram suas políticas de segurança da informação assinadas por um nível hierárquico de diretoria, sendo que, 30% foram aprovadas por um Comitê Executivo e 30% assinadas pelo presidente ou vice-presidente. Este

Anexo 2: Padrão Mínimo de Política de Segurança da Informação 249

nível de aprovação indica que o assunto segurança da informação, representado pela sua diretriz, a política de segurança da informação, é formalmente tratado, mesmo que inicialmente, em grau estratégico pela organização. Outro fator importante é que 70% das organizações possuem uma área especíca para a segurança da informação. Nesta pesquisa não foi investigado o grau hierárquico desta unidade organizacional referente à segurança da informação, mas a existência de uma área com a responsabilidade explícita de tratar a segurança da informação indica um início de entendimento da criticidade da proteção da informação para que a organização atinja os seus objetivos. Ainda nesta abordagem da segurança da informação para a organização, todas as políticas pesquisadas indicam, de maneira direta ou indireta, que a proteção da informação deve contemplar a informação no ambiente de tecnologia da informação e no ambiente convencional. Outro fato importante identicado em todas as políticas analisadas é o escopo considerado para os tipos de usuários: funcionários, estagiários e prestadores de serviço. Sendo assim, a responsabilidade para com a informação da organização exercida pelo funcionário da organização é semelhante à responsabilidade do prestador de serviço. A quantidade de usuários afetados pela política de segurança da informação de cada organização considerada nesta pesquisa é outro fator de conrmação de que as políticas consideradas são representativas. Oitenta por cento das organizações desta pesquisa possuem políticas que afetam mais de mil usuários, sendo que uma das organizações pesquisadas possui no Brasil cerca de 35.000 usuários que são afetados por sua política, e outra organização possui 24.000 usuários. A pesquisa demonstrou que as organizações consideradas ainda não são rigorosas com a exigência do controle de política de segurança da informação para os seus fornecedores de serviços ou produtos. Apenas 20% das organizações pesquisadas consideram este controle para os seus fornecedores. Outras 20% indicam que consideram a exigência do controle política de segurança para fornecedores críticos, porém ca em aberto o que é fornecedor crítico, assunto que deve ultrapassar o escopo da segurança da informação e adentrar o ambiente de risco operacional. Porém, um dado importante é que 50% das organizações estudadas informaram que analisam caso a caso. Este fato indica que o assunto política de segurança da informação está se consolidando como um elemento crítico para que uma organização preste serviço para outra organização. Uma resposta comum em todas as organizações pesquisadas foi o fato de tomarem como base a Norma ISO 27002. Trata-se de uma norma internacional

250


e no Brasil ela foi publicada pela ABNT como NBR ISO/IEC 27002. Tal fato muito corrobora o estudo realizado, uma vez que esta norma foi tomada por base para a análise dos controles nas políticas das organizações. Análise dos controles das políticas de segurança da informação A NBR ISO/IEC 27002 dene 133 controles. Considerando-se as dez políticas de segurança da informação analisadas, foram identicadas as seguintes referências de controle: a) 9%, ou seja, doze controles foram citados por 100% das organizações nos documentos de política de segurança da informação; b) 12%, ou seja, dezesseis controles foram citados por 80% das organizações nos documentos de política de segurança da informação; e c) 30%, ou seja, quarenta controles, foram citados por 70% das organizações nos documentos de política de segurança da informação. O Quadro 1 a seguir detalha a frequência dos requisitos de controles citados nas políticas analisadas e dos respectivos controles associados na NBR ISO/IEC 27002, acumulados por requisito. Este conjunto de controles foi tomado para compor o Padrão Mínimo de Política de Segurança da Informação. Quadro 1 – Padrão Mínimo de Política de Segurança da Informação REQUISITOS DE CONTROLES Controle de acesso à informação Gestão de ativos: Internet, inteligentes, e-mail e outros Classicação da informação

equipamentos

CITAÇÕES

CONTROLES (ACUM.)

100%

8%

100%

9%

90%

10%

Continua


CITAÇÕES

CONTROLES (ACUM.)

Cópias de segurança

90%

11%

Monitoramento de uso de sistema

80%

12%

Política de segurança da informação

70%

13%

Conscientização, educação e treinamento

70%

14%

Encerramento de atividades: corte de acesso à informação

70%

16%

Trabalho remoto

70%

17%

70%

29%

70%

30%

REQUISITOS DE CONTROLES

Aquisição, desenvolvimento e manutenção de

sistemas

Processo disciplinar

A seguir são detalhados os controles considerados no Padrão Mínimo de Política de Segurança da Informação. Quadro 2 – Controles de acesso à informação – NBR ISO/IEC 27002 ITEM DA NORMA

CONTROLE DE ACESSO À INFORMAÇÃO

11.1.1

Política de controle de acesso

11.2.1

Registro de usuário

11.2.2

Uso de privilégio – Restrito e controlado

11.2.3

Gerenciamento de senha do usuário

11.3.1

Uso de senhas

11.4.2

Autenticação para conexão externa do usuário

11.5.1

Procedimentos seguros de entrada nos sistema (log on)

11.5.2

Identicação e autenticação do usuário

11.5.3

Sistema de gerenciamento de senha

Continua

252


ITEM DA NORMA

CONTROLE DE ACESSO À INFORMAÇÃO

11.5.5

Limite de tempo de sessão

11.6.1

Restrição de acesso à informação

Quadro 3 – Controle de gestão de ativos – NBR ISO/IEC 27002 ITEM DA NORMA 7.1.3

GESTÃO DE ATIVOS: INTERNET, EQUIPAMENTOS INTELIGENTES, E-MAIL E OUTROS Uso aceitável dos ativos

Quadro 4 – Controles de classicação da informação – NBR ISO/IEC 27002 ITEM DA NORMA

CLASSIFICAÇÃO DA INFORMAÇÃO

7.2.1

Classicação da informação – Recomendações da classicação

7.2.2

Classicação da informação – Tratamento da informação

Quadro 5 – Controle de cópias de segurança – NBR ISO/IEC 27002 ITEM DA NORMA 10.5.1

CÓPIAS DE SEGURANÇA Cópias de segurança da informação

Quadro 6 – Controle de monitoramento de uso de sistema – NBR ISO/IEC 27002 ITEM DA NORMA 10.10.2

MONITORAMENTO DE USO DE SISTEMA Monitoramento do uso do sistema

Quadro 7 – Controles de política de segurança da informação – NBR ISO/IEC 27002 ITEM DA NORMA

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

5.1.1

Documento da política de segurança da informação

5.1.2

Análise crítica da política de segurança da informação


Quadro 8 – Controle de conscientização, educação e treinamento em segurança da informação – NBR ISO/IEC 27002

ITEM DA NORMA 8.2.2

CONSCIENTIZAÇÃO, EDUCAÇÃO E TREINAMENTO Conscientização, educação e treinamento em Segurança da Informação

Quadro 9 – Controles de encerramento de atividades: corte de acesso à informação – NBR ISO/IEC 27002

ITEM DA NORMA

ENCERRAMENTO DE ATIVIDADES: CORTE DE ACESSO À INFORMAÇÃO

8.3.1

Encerramento das atividades

8.3.2

Devolução de ativos

8.3.3

Retirada de direitos de acesso

Quadro 10 – Controle de trabalho remoto – NBR ISO/IEC 27002 ITEM DA NORMA 11.7.2

TRABALHO REMOTO Trabalho remoto

Quadro 11 – Controles de aquisição, desenvolvimento e manutenção de sistemas – NBR ISO/IEC 27002

ITEM DA NORMA

AQUISIÇÃO, DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS

12.1.1

Análise e especicação dos requisitos de segurança

12.2.1

Validação dos dados de entrada

12.2.2.

Controle do processamento interno

12.2.3

Integridade de mensagens

12.2.4

Validação dos dados de saída

12.3.1

Política para uso de controles criptográcos

Continua

254


ITEM DA NORMA

AQUISIÇÃO, DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS

12.3.2

Gerenciamento de chaves.

12.4.1

Controle de software operacional

12.4.2

Proteção dos dados para teste de sistema

12.4.3

Acesso ao código-fonte de programa

12.5.1

Procedimentos para controle de mudanças

12.5.2

Análise crítica técnica aplicações após mudanças sistema operacional

12.5.3

Restrições sobre mudanças em pacotes de software

12.5.4

Vazamento de informações

12.5.5

Desenvolvimento terceirizado de software

12.6.1

Controle de vulnerabilidades técnicas

Quadro 12 – Controle de processo disciplinar – NBR ISO/IEC 27002 ITEM DA NORMA 8.2.3

PROCESSO DISCIPLINAR Processo disciplinar

Anexo 3. Alinhamento da Política de Segurança da Informação com os Gestores da Organização

A

política de segurança da informação deve reetir o desejo da organização em relação ao patamar de proteção que ela deseja para sua informação. Isto somente acontece pela participação dos executivos e dos gestores das áreas de negócio no processo de segurança da informação. A NBR ISO/IEC 27002 possui diversos controles em que dene que deve existir a participação dos executivos da organização e/ou dos gestores das áreas de negócio. Esta característica desta norma possibilita que o prossional de segurança da informação exija esta participação, desde que a organização esteja seriamente empenhada em atender aos requisitos das normas de segurança. Descrevemos a seguir os controles que consideram a participação direta ou indireta dos executivos e/ou dos gestores das áreas de negócio. Para cada uma das seções que dividem a NBR ISO/IEC 27002:2005, foi analisado o seu texto e foram identicadas aquelas diretrizes, considerando o conjunto de diretrizes que exigem a participação das áreas de negócio.

Seção 5: Política de Segurança da Informação, ABNT (2005, p. 8-9) ▪ O documento de segurança da informação deve ser aprovado pela direção. ▪ O documento de segurança da informação deve conter uma declaração do comprometimento da direção alinhada com os objetivos e a estratégia de negócio.

256


▪ A revisão periódica da política de segurança da informação deve considerar as mudanças e as circunstâncias do negócio. Estas diretrizes exigem o comprometimento da direção da organização e desta forma garantem que as orientações básicas do processo de segurança da informação estejam alinhadas com os objetivos de negócio e da organização.

Seção 6: Organizando a segurança da informação, ABNT (2005, p. 10-20) ▪ A direção deve apoiar ativamente o processo de segurança da informação através de um claro direcionamento, demonstrando o seu comprometimento, denindo atribuições de forma explícita e reconhecendo as responsabilidades pela segurança da informação. ▪ A direção deve fornecer um claro direcionamento e apoio para as iniciativas de segurança da informação. ▪ Dependendo do tamanho da organização a direção pode denir um fórum de gestão (exclusivo ou já existente) para o acompanhamento e coordenação dos resultados da implantação do processo de segurança da informação. ▪ As atividades do processo de segurança da informação devem envolver representantes de diferentes partes da organização. ▪ Os novos recursos de processamento de informação devem ter a autorização adequada por parte da administração dos usuários (área de negócios) permitindo seus propósitos e uso. ▪ Quando da proteção do recurso de informação deve-se denir requisitos para a continuidade dos serviços de acordo com as prioridades do negócio da organização. Estas diretrizes reforçam o comprometimento da direção e explicitam a participação e consequente comprometimento das diversas áreas da organização (áreas de negócio): na participação de atividades do processo de segurança da informação, na autorização de uso de novos recursos de processamento da

Anexo 3: Alinhamento da Política de Segurança da Informação com os ... 257

informação e na denição do nível de disponibilidade. Desta forma as ações e o nível de rigidez do processo de segurança da informação serão direcionados pelos requisitos das áreas de negócio.

Seção 7: Gestão de ativos, ABNT (2005, p. 21-24) ▪ As informações e os ativos associados com os recursos de processamento da informação devem ter um proprietário por uma parte denida da organização. ▪ A classicação da informação e seus respectivos controles devem considerar os impactos nos negócios. Estas diretrizes indicam que: a) diferente do que historicamente ocorreu (ou ocorre) onde a área de TI assumia a função de proprietária da informação, é exigido que o proprietário da informação seja das diversas áreas da organização, isto é, o proprietário da informação deve ser da área (de negócio ou de apoio) que é responsável pela informação; b) a classicação da informação existirá em função dos impactos nas áreas de negócio, isto é, os objetivos de negócio serão a razão do nível de classicação da informação.

Seção 8: Segurança em Recursos Humanos, ABNT (2005 p. 25-31) ▪ As responsabilidades em relação à segurança da informação existem em todos os cargos da organização. Os papéis e responsabilidades em relação ao processo de segurança da informação dos funcionários, fornecedores e terceiros precisam estar denidos e documentados quando da contratação dessas pessoas. ▪ É conveniente a existência de um código de conduta que contemple as responsabilidades dos funcionários, fornecedores ou terceiros em relação à ética e a proteção dos dados. ▪ A conscientização, educação e treinamento em segurança da informação devem ser adequados aos papéis, responsabilidade e das pessoas.

258


Estas diretrizes explicitam que todos os cargos (e consequentemente todas as pessoas) possuem responsabilidades com o processo de segurança da informação e que orientações corporativas, como o código de ética, devem falar da proteção da informação, indicando dessa maneira que a segurança da informação deve ser uma preocupação da organização. Como preocupação organizacional, os objetivos de negócio deverão ser considerados no processo de segurança da informação.

Seção 9: Segurança física e do ambiente (ABNT 2005) Para esta seção não foram identicadas diretrizes que explicitamente reforçam o alinhamento da Gestão da Segurança da Informação com os objetivos de negócio.

Seção 10: Gerenciamento das operações e comunicações, ABNT (2005, p. 40-64) ▪ Todas as pessoas envolvidas em cada mudança devem ser comunicadas dos detalhes das mudanças. ▪ Convém que sejam estabelecidos os procedimentos e responsabilidades gerenciais formais para garantir que haja um controle satisfatório de todas as mudanças. ▪ As mudanças em sistemas devem ser realizadas apenas quando houver uma razão de negócio válida para tal. ▪ As funções e áreas de responsabilidade devem ser segregadas para reduzir as oportunidades de modicação ou uso uso indevido não autorizado ou não intencional dos ativos da organização. ▪ Os recursos que possuem um ciclo de renovação ou custo maior devem ser monitorados pelos gestores que devem identicar as tendências de utilização, particularmente em relação às aplicações do negócio, com o objetivo de identicar e evitar os potenciais gargalos e a dependência em pessoas chaves que possam representar ameaças à segurança dos serviços. ▪ Quando de novos sistemas, atualizações e novas versões a aceitação formal deve considerar os requisitos de continuidade dos negócios.


▪ Na proteção contra códigos maliciosos mali ciosos deve-se preparar planos de continuidade do negócio. ▪ As cópias de segurança devem reetir os requisitos de negócio da organização e para tanto devem ter o nível necessário para a existência dessas cópias. ▪ Deve-se prevenir contra a divulgação não autorizada, remoção ou destruição de recursos de informação que podem causar interrupção das atividades do negócio e as mídias removíveis devem estar habilitadas somente se houver uma necessidade de negócio. ▪ Deve-se ter diretrizes de retenção e descarte para toda a correspondência de negócios. ▪ Convém que os aspectos de segurança contidos nos acordos de troca de informação reitam a sensibilidade das informações envolvidas no negócio. ▪ Convém que as políticas e procedimentos sejam desenvolvidos e implantados para proteger as informações associadas com a interconexão de sistemas de informações do negócio. ▪ Deve existir uma Gestão de Mudança que garanta um rígido controle das alterações que serão feitas no ambiente de processamento das informações, considerando os impactos potenciais e a comunicação dos detalhes das mudanças para todas as pessoas envolvidas. Estas diretrizes são variadas, mas todas têm como base a participação das áreas de negócio além da exigência de denições de segregação de função.

Seção 11: Controle de acessos, ABNT (2005, p. 65-83) ▪ Convém que a política polí tica de d e controle de acesso a cesso seja estabelecida documentada e analisada criticamente tomando-se como base os requisitos de acesso dos negócios. ▪ O acesso do usuário deve ser permitido p ermitido apenas onde existe necessidade do negócio ou razões operacionais.

260


▪ O nível de acesso concedido ao usuário deve ser apropriado ao propósito do negócio. ▪ Para o usuário ter acesso ao sistema é necessário a autorização do proprietário do sistema. ▪ O estabelecimento de pers de acesso para usuário deve ser baseado nos requisitos dos negócios. O acesso à informação exige que as áreas de negócio sejam as responsáveis para a liberação da informação do negócio para todas as áreas da organização.

Seção 12: Aquisição, desenvolvimento e manutenção sistemas, NT (2005, p. 84-97) ▪ Convém que sejam especicados os requisitos para controles de segurança nas especicações de requisitos de negócios, para novos sistemas ou melhorias dos sistemas existentes. ▪ Convém que requisitos de segurança e controles reitam o valor para o negócio dos ativos de informação envolvidos e os danos potenciais ao negócio que poderiam resultar de uma falha ou ausência de segurança. Desde a etapa de desenvolvimento ou aquisição de sistemas de informação, as áreas de negócio precisam ser envolvidas. Os sistemas e posteriores controles de segurança existem para a realização do negócio.

Seção 13: Gestão de incidente incidentess de segurança da informação, ABNT (2005, p. 98-102) ▪ Convém que os eventos de segurança da informação sejam relatados através dos canais da direção, o mais rápido possível. ▪ Deve existir um ponto de contato de conhecimento de toda a organização para receber as noticações de segurança da informação. Neste item temos o uso de canal da direção e a ênfase para que toda a organização conheça o ponto de contato para relato da gestão de incidentes.


Seção 14: Gestão de continuidade de negócio, ABNT (2005, p. 103-107) ▪ Convém que um processo de gestão seja desenvolvido e mantido para assegurar a continuidade do negócio por toda a organização. ▪ Quando do entendimento dos riscos que a organização está exposta, no que diz respeito à sua probabilidade e impacto no tempo, devese considerar a identicação e prioridade dos processos críticos de negócio. ▪ Deve-se identicar os ativos dos processos críticos de negócio. ▪ Deve-se entender o impacto que os incidentes de segurança da informação terão sobre os negócios. ▪ Deve-se buscar garantir que a gestão da continuidade do negócio está incorporada aos processos estruturais da organização. ▪ Convém que as análises/avaliações de riscos de continuidade de negócio sejam realizadas com total envolvimento dos responsáveis pelos processos e recursos recursos do negócio. ▪ Convém que a análise/avaliação de riscos identique, quantique e priorize os critérios baseados nos riscos e os objetivos pertinentes à organização. ▪ Deve ser denida uma abordagem estratégica para a continuidade dos negócios que deve ser validada com a direção da organização. ▪ Ao ser desenvolvido o plano de continuidade de d e negócios deve-se ser dada atenção especial à avaliação de dependências externas ao negócio e de contratos existentes. ▪ Convém que o processo de planejamento foque nos objetivos requeridos do negócio . Este é o item da norma que mais fortemente exige a participação da área de negócio. Fica bastante claro que um plano de continuidade deve existir para possibilitar a continuidade do negócio.

262


Seção 15: Conformidade, ABNT (2005, p. 108-114) ▪ Convém que a direção aprove o uso de recursos de processamento de informação. ▪ Os recursos de processamento da informação i nformação de uma organização são destinados básica ou exclusivamente para atender aos propósitos do negócio. ▪ Se qualquer não conformidade for encontrada como um resultado da análise crítica convém que os gestores determinem as causas da não conformidade; avaliem ações para que a não conformidade se repita; determinem e implementem ação corretiva apropriada e analisem a ação corretiva tomada. Este item tem como foco principal a necessidade da organização cumprir os regulamentos, a legislação e seus contratos. De uma maneira indireta, tudo que torna a organização não cumpridora das suas obrigações afetará a área de negócio. Sendo assim, a área de negócio deve ser a unidade organizacional que mais deseje a garantia do cumprimento legal e contratual.

Seção 4: Análise/avaliação e tratamento de risco, ABNT (2005 p. 6-7) ▪ Convém que as análises/avaliações de riscos identiquem, quantiquem e priorizem os riscos com base em critérios para a aceitação dos riscos e dos objetivos relevantes para a organização. ▪ Convém que os controles assegurem que os riscos sejam reduzidos a um nível aceitável, levando-se em conta os objetivos organizacionais. Foram identicadas em onze categorias, das doze categorias existentes na norma, cinquenta e uma diretrizes que exigem a participação das áreas de negócio e consequentemente possibilitam o alinhamento da gestão da segurança da informação com essas áreas, desde que denidas na política de segurança da informação.

Bibliografia

ABNT, NBR ISO/IEC 27001 Tecnologia da informação – Técnicas de segurança – Sistema de Gestão de segurança da informação – Requisitos. Rio de Janeiro: Associação Brasileira de Normas Técnicas, 2006. ____, NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro: Associação Brasileira de Normas Técnicas, 2005. ____, NBR ISO/IEC 27005 – Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação. Rio de Janeiro: Associação Brasileira de Normas Técnicas, 2008. ____, NBR ISO/IEC 24762 – Tecnologia da informação – Técnicas de segurança – Diretrizes para os serviço de recuperação após um desastre na tecnologia da informação e Comunicação. Rio de Janeiro: Associação Brasileira de Normas Técnicas, 2009. ____, NBR ISO/IEC Guia 73 – Gestão de riscos – Vocabulário – Recomendações para uso em normas. Rio de Janeiro: Associação Brasileira de Normas Técnicas, 2005. ____, NBR 15999-1 – Gestão de continuidade de negócios – Parte 1: Código de prática. Rio de Janeiro: Associação Brasileira de Normas Técnicas, 2008. ____, NBR 15999-2 – Gestão de continuidade de negócios – Parte 2: Requisitos. Rio de Janeiro: Associação Brasileira de Normas Técnicas, 2008.

264


____, Projeto 78:000.00-19 – Informática em Saúde – Gestão de segurança da informação em saúde usando a ABNT NBR ISO/IEC 27002. Rio de Janeiro: Associação Brasileira de Normas Técnicas, 2009. ALBERTIN, Alberto Luiz; PINOCHET, Luis Hernan Contreras. Política de Segurança de Informações. Rio de Janeiro: Elsevier, 2010. ALBERTIN, Alberto Luiz; MOURA, Rosa Maria (Orgs.). Tecnologia de Informação. São Paulo: Atlas, 2004. ASSIS, Wilson Martins. Metodologia para a construção de produtos de informação nas organizações. Belo Horizonte: Universidade Federal de Minas Gerais, Dissertação de Mestrado, Programa de Pós-graduação da Escola de Ciência da Informação, 2006. BACIK, Sandy. Building na Effective Information Security Policy Architecture . Boca Raton: CRC Press, 2008. BARMAN, Scott. Writing Information Security Polices. Indianapolis: New Riders, 2002. BEAL, Adriana. Segurança da Informação. São Paulo: Atlas, 2005. BENZ, Karl Heinz. Alinhamento estratégico entre as políticas de segurança da informação e as estratégias e práticas adotadas na TI: estudo de casos em instituições nanceiras. Porto Alegre: Universidade Federal do Rio Grande do Sul, Dissertação de Mestrado, Programa de Pós-graduação em Administração, 2008. BERNARDES, Mauro Cesar; MOREIRA, Edson dos Santos. Um Modelo para Inclusão da Governança da Segurança da Informação no Escopo da Governança Organizacional. In: Simpósio Segurança em Informática – SSI 2005, 2005, São José dos Campos. Anais do Simpósio Segurança em Informática. São José dos Campos: CTA/ITA/IEC, 2005. BISHOP, Matt. Introduction to Computer Security. Boston: Addison-Wesley, 2006. BRETERNITZ, Vivaldo José; NAVARRO NETO, Francisco; NAVARRO, Alexandre Franco. Gerenciamento de segurança segundo ITIL: um estudo de caso em uma organização industrial de grande porte. Revista Eletrônica de Sistemas de Informação, v. 8, n. 2, artigo 4. Curitiba: Editoria Universidade Tecnológica do Paraná, 2009. BRITO, Mozart José; ANTONIALLI, Luiz Marcelo; SANTOS, Antonio Carlos. Tecnologia da Informação e Processo Produtivo de Gestão em uma Organização Cooperativa: Um Enfoque Estratégico. Revista de Administração Contemporânea, v.1, n.3, Set./ Dez., p. 77-95. Rio de Janeiro: ANPAD, 1997. BROTBY, Krag. Information Security Governance. New Jersey: Wiley, 2009. CALDER, Alan; WATKINS, Steve. IT Governance – A Manager´s Guide to Data Security and BS17799. London: Kogan Page, 2005.

Bibliograﬁa 265

CARUSO, Carlos; STEFFEN, Flávio Deny. Segurança em Informática e de Informações. São Paulo: Editora SENAC, 1999. CARVALHO, Júlio Luiz Nunes. O Problema da Proteção e Controle de Acesso à Informação – Proteção Digital e Vigilância do Ambiente Operacional de um Módulo Criptográco. Rio de Janeiro: Universidade Federal do Rio de Janeiro-UFRJ, Tese de Doutorado, Programa de Pós-Graduação em Engenharia Civil, 2007. CAVALCANTE, Sayonara de Medeiros. Segurança da informação no correio eletrônico baseada na ISO/IEC 17799: um estudo de caso em uma instituição de ensino superior, com foco no treinamento. Natal: Universidade Federal do Rio Grande do Norte, Dissertação de Mestrado, Programa de Engenharia de Produção, 2003. CHIAVENATTO, Idalberto. Administração – Teoria, Processo e Prática. Rio de Janeiro: Elsevier, 2010. DIFONZO, Nicholas. O poder dos boatos. Rio de Janeiro: Elsevier Editora, 2009. DEY M. Information security management – a practical approach. In: Africon 2007 – 8 th IEEE Africon Conference 2007. p. 1-6. DOMENEGHETTI, Daniel; MEIR, Roberto. Ativos Intangíveis. Rio de Janeiro: Elsevier Editora, 2009. DOHERTY, Neil; FULLFORD, Heather. Aligning the information security policy with strategic information system plan. In: Computers & Security, v. 25, Issue 1, Elsevier, Feb. 2006. p. 55-63. ELLWANGER, Cristiane. Impacto da utilização das técnicas de endomarketing na efetividade das políticas de segurança da informação. Santa Maria: Universidade Federal de Santa Maria, Dissertação de Mestrado, Programa de Pós-Graduação em Engenharia de Produção, 2009. FARAH Rosa Maria (Org.). Psicologia e Informática. São Paulo: Núcleo de Pesquisas em Psicologia e Informática, 2004. FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu. Política de Segurança da Informação. Rio de Janeiro: Editora Ciência Moderna, 2008. FERREIRA, Fernando Nicolau Freitas. Segurança da Informação. Rio de Janeiro: Ciência Moderna, 2003. FONTES, Edison. Política de segurança da informação: uma contribuição para o estabelecimento de um padrão mínimo. São Paulo: Centro Estadual de Educação Tecnológica Paula Souza, Dissertação de Mestrado, Programa de Pós-Graduação em Tecnologia, 2011.

266


__________. Clicando com segurança. Rio de Janeiro: Brasport, 2011. __________. Praticando a segurança da informação. Rio de Janeiro: Brasport, 2008. __________. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006. __________. Vivendo a segurança da informação. São Paulo: Sicurezza, 2000. FREITAS, Henrique; KLADIS, Constantin Metaxa. Da informação à política informacional das organizações: um quadro conceitual. São Paulo: RAP, v.29, n. 3, Jun.-Set. 1995, p. 73-86. GIL, Antonio Loureiro. Segurança em Informática. São Paulo: Atlas, 1994. GOLEMAN, Daniel. Tecnologia e Gestão da Informação. Rio de Janeiro: CAMPUS, 2008. HANSCHE, Susan; BERTI, John; HARE, Chris. Ofcial Guide to CISSP Exam. USA: Auerbach, 2004. HEROLD, Rebecca. Managing Information Security and Privacy. USA: Auerbach, 2005. IBGC, Código das melhores práticas de governança corporativa. 4a ed. São Paulo: Instituto Brasileiro de Governança Corporativa, 2009. IKENAGA, Cristiane Yayoko. Gestão da terceirização dos serviços de TI: um estudo de caso. São Paulo: Centro Estadual de Educação Tecnológica Paula Souza, Dissertação de Mestrado, Programa de Pós-Graduação em Tecnologia, 2008. ISACA/ Information System Audit and Control Association/ http://www.isaca.org/ Acesso em: 27 dez. 2010. ITGI, COBIT – Control Objectives for Information and related Technology, 4th ed., Rolling Meadows, Ilinois – USA: Information Technology Governance Institute, 2007. _________, Information Security Governance: Guidance for Board Directors and Executive Management, 2nd Ed., USA: Information Technology Governance Institute, 2006. _________, Information Security Governance: Guidance for Information Security Managers, 2nd Ed., USA: Information Technology Governance Institute, 2008. KARABACAK B., SOGUKPINAR I. Isram: Information risk security analysis method. Journal Comput Security. 2005. LANDOLL, Douglas. The Security Risk Assessment Handbook . USA: Auerbach, 2006.

Bibliograﬁa 267

LAUREANDO, Marcos Aurélio Pchek; MORAES, Paulo Eduardo Sobreira. Segurança como estratégia de gestão da informação. Revista Economia & Tecnologia, v. 08, f. 03, p 38-44. São Paulo: FATEC, 2005. LAURINDO, Fernando José Barbin, Tecnologia da Informação – Planejamento e gestão de estratégias. São Paulo: Atlas, 2008. LOBO, Maria Celeste Reis; JAMIL, George Leal. Proteção do conhecimento: análise dos impactos positivos e negativos do vazamento de conhecimento de empresas no Brasil e no Reino Unido. Revista Perspectiva em Ciência da Informação, v.13, n.3, p. 96-115, set/dez. Belo Horizonte: Escola de Biblioteconomia – UFMG, 2008. LORENS, Evandro. Aspectos normativos da segurança da informação: um modelo de cadeia de regulamentação. Brasília: Universidade de Brasília, Dissertação de Mestrado, Departamento de Ciência da Informação e Documentação, 2007. MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de serviços de TI na prática. São Paulo: NOVATEC. 2007. MARTINS, Alaíde Barbosa; SANTOS, Carlos Alberto Saibel. Uma metodologia para implantação de um sistema de gestão de segurança da informação. Revista de Gestão da Tecnologia e Sistemas de Informação, v. 2, n. 2, p. 121-136. São Paulo: FEA-USP, 2005. MAXIMINIANO, Antonio Cesar Amaru. Introdução à Administração. São Paulo: Atlas, 2010. MENEZES, Josué das Chagas. Gestão da segurança da informação: análise em três organizações brasileiras. Salvador: Universidade Federal da Bahia, Dissertação de Mestrado, Núcleo de Pós-Administração em Administração, 2005. MIRANDA, Marihá Renaty Ferrari. Do direito à intimidade do empregado em confronto com o controle patronal dos meios tecnológicos (e-mail e internet). Revista Jus Navigandi, Teresina, ano 15, n. 2485, 21 abr. 2010. NEVES, Geraldo de Oliveira Santos. Código Civil Brasileiro De 2002-Principais Alterações. Curitiba: Juruá, 2003. OCG, ITIL – Information Technology Infrastructure Library – Service Design, 3rd ed., London: OCGE, 2007. OLIVEIRA Jr., Renato Salatiel. Utilizando a norma ISO 27002 para atender os requisitos da SOX que exigem proteção da informação no ambiente de TI. São

268


Paulo: Faculdade de Informática e Administração Paulista, Pós-Graduação em Gestão de Segurança da Informação, 2010. OLSON, Ingrid; ABRAMS, Marshall. Information Security Policy. USA: Annual Computer Security Applications Conference, 2011. PAGE, Stephen. Achieving 100% Compliance of Policies and Procedures. Westerville: Process Improvement Publishing, 2000. __________. Estabilishing a System of Policy and Procedures. Westerville: Process Improvement Publishing, 2002. PELTIER, Thomas. Information Security Fundamentals. USA: Auerbach, 2005. ____________. Information Security Policies and Procedures. USA: Auerbach, 2004. ____________. Information Security Risk Analysis. USA: Auerbach, 2001. PEREIRA, Anísio Cândido; NASCIMENTO, Wesley Souza. Um estudo sobre a atuação da auditoria interna na detecção de fraudes nas empresas do setor privado do Estado de São Paulo. Revista Brasileira de Gestão de Negócios. FECAP, ano 7, n. 19, setdez. São Paulo: FECAP, 2005. POLIZELLI, Dermeval; OZAKI, Adalton. Sociedade da Informação. São Paulo: Saraiva. 2007. PRICEWATERHOUSECOOPERS. Pesquisa Global de Segurança da Informação 2011. São Paulo: PricewaterhouseCoopers, 2010. RIBAS, Carlos Eduardo. Sistema de gestão da segurança da informação em organizações na área de saúde. São Paulo: Universidade de São Paulo-USP, Dissertação de Mestrado, Faculdade de Medicina, 2010. ROSS, Jeane; WEILL, Peter. Governança de TI – Tecnologia da Informação. Rio de Janeiro: M.Books, 2005. ROZA, Fabiana Freitas Furtado. Política de segurança da informação em ambientes hospitalares. São Caetano do Sul: Faculdade de Tecnologia,Trabalho de Conclusão de Curso de Graduação de Tecnologia em Segurança da Informação, 2010. SALES, Rodrigo; ALMEIDA, Patrícia Pinheiro. Avaliação de fontes de informação na Internet: avaliando o site NUPILL/UFSC. Revista Digital de Biblioteconomia e Ciência da Informação, Campinas, v. 4, n. 2, p. 67-87, jan./jun. 2007. Campinas: Unicamp, 2007. SCUDERE, Leonardo. Risco Digital. Rio de Janeiro: Elsevier, 2007

Políticas e Normas Para a Segurança Da Informação

Recommend Documents