· Ativo (asset): é qualquer coisa que tenha valor para um indivíduo ou uma organização, tais como, hardware de computadores, equipamentos de rede, edificações, software, habilidade de produzir um produto ou fornecer um serviço, pessoas, imagem da organização, etc...
· Ameaças (threat): causa potencial de um incidente indesejado, que caso se concretize pode resultar em dano.
· Incidente de segurança (security incident): é qualquer evento em curso ou ocorrido que contrarie a política de segurança, comprometa a operação do negócio ou cause dano aos ativos da organização.
· Impacto (impact): conseqüência de um incidente de segurança.
· Risco (risk): combinação da probabilidade da concretização de uma ameaça e suas conseqüências.
· Vulnerabilidade (vulnerability): fragilidade ou limitação de um ativo que pode ser explorada por uma ou mais ameaças.
Objetivos da Segurança da Informação
Qualquer tipo de informação deve ser protegido, esteja ele escrito ou desenhado em papel, armazenado em meios magnéticos, em filmes ou falado.
“A segurança da informação é obtida através da implementação de controles adequados, políticas, processos, procedimentos, estruturas organizacionais e funções de software r hardware.”
O objetivo da segurança da informação é garantir o funcionamento da organização frente às ameaças a que ela esteja sujeita.
Como implantar um sistema de segurança da informação?
Um processo de planejamento de gestão e monitoramento de segurança de TI pode variar muito em uma organização. Devido aos diferentes estilos, tamanho e estrutura das organizações, o processo deve se adequar ao ambiente em que será usado. Alguns passos em linhas gerais são apresentados a seguir:
1. Identificar os requisitos de segurança da informação. Basicamente, existem três fontes principais para obtenção dos requisitos de segurança da informação:
· Analise/avaliação de riscos para a organização
· Legislação vigente a que a organização, seus parceiros comerciais e provedores de serviço devem atender
2. Análise do ambiente de segurança. É o levantamento periódico dos riscos de segurança da informação, identificando as ameaças e vulnerabilidades.
Os resultados desse passo irão direcionar a determinação das ações gerenciais que nortearão todo o processo de segurança da informação.
3. Seleção de controles. Com os riscos identificados e com as medidas de tratamento desses riscos já providenciadas agora é necessário implementar controles que assegurarão a redução dos riscos a níveis aceitáveis. A seleção de controles pode ser feita a partir dessa norma ou de outra que atenda as necessidades da organização. Esses controles incluem:
· Proteção de dados e privacidade de informações pessoais;
· Proteção dos registros organizacionais;
· Direitos de propriedade intelectual;
· Documento de política de segurança da informação;
· Atribuição de responsabilidades;
· Treinamento e educação em segurança da informação;
· Processamento correto nas aplicações a fim de prevenir erros, perdas, modificação não autorizada ou mau uso de informação em aplicações;
· Gestão de vulnerabilidades técnicas;
· Gestão de continuidade de negócios;
· Gestão de incidentes de segurança e melhorias.
4. Implementação do ambiente de segurança. Consiste em:
· Criação, educação e disseminação interna da política de segurança da informação para todos os envolvidos;
· Uma estrutura para a implementação, manutenção, monitoramento e melhoria da segurança da informação;
· Comprometimento de todos os níveis gerenciais;
· Provisão de recursos financeiros para as atividades de gestão da segurança da informação.
5. Administração do ambiente de segurança. Inclui:
· Estabelecimento de um processo de gestão de incidentes de segurança;
· Implementação de um sistema de medição, que colha dados para a avaliação de desempenho da gestão de segurança;
· Obtenção de sugestões de melhorias;
· Implementação de melhorias levantadas no processo.
Analisando/avaliando os riscos de segurança da informação
Segundo as definições da norma, risco é a “ combinação da probabilidade de um evento e de suas conseqüências”.
Por evento de segurança da informação, entenda-se uma “ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação, ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação”. O evento é então a concretização de uma ameaça, que por sua vez é a “causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização”.
Portanto, avaliar riscos, para pela avaliação de ameaças e vulnerabilidades.
O principal desafio à segurança da informação das organizações é identificar e qualificar os riscos e ameaças às suas operações. Este é o primeiro passo no desenvolvimento e gerenciamento de um efetivo programa de segurança. Identificar os riscos e ameaças mais significantes tornará possível determinar ações apropriadas para reduzi-los.
Uma vez identificados, os riscos devem ser qualificados para que sejam priorizados em função de critérios de aceitação de riscos e dos objetivos relevantes para a organização. Esta atividade é apenas um elemento de uma série de atividades de gerenciamento de riscos, que envolvem implementar política apropriadas e controles relacionados, promover a conscientização das medidas, e monitorar e avaliar políticas e controles efetivos.
A avaliação de riscos e ameaças não resulta em uma seleção de mecanismo de prevenção, detecção e resposta para redução de riscos. Ao contrário ela simplesmente indica as áreas onde esses mecanismos devem ser aplicados, e a prioridade que deve ser designada para o desenvolvimento de tais mecanismos. No contexto de gerenciamento de riscos, a avaliação de riscos, a avaliação de riscos e ameaças irá recomendar como minimizar, prevenir e aceitar os riscos.
Como os riscos e ameaças podem mudar com o passar dos tempos, é importante que a organização periodicamente reavalie os mesmos e reconsidere as políticas e controles selecionados.
Existem vários caminhos que podem comprometer um ativo, conforme o nível de contramedidas implementadas.A avaliação de risco visa exatamente determinar se as contramedidas existentes são suficientes ou não.
Independente do tipo de risco a ser considerado, uma avaliação de risco geralmente inclui os seguintes passos:
· Identificar ameaças que podem causar danos e afetar os ativos e operações críticas. Ameaças incluem itens como intrusões, crimes, empregados insatisfeitos, terrorismo e desastres naturais;
· Estimar a probabilidade da concretização das ameaças, baseado em informações históricas e julgamento de conhecimentos individuais;
· Identificar e qualificar o valor, susceptibilidade e criticidade da operação e do ativo que poderá ser afetado se a ameaça se concretizar, a fim de determinar quais operações e ativos são mais importantes;
· Identificar o custo das ações para eliminar ou reduzir o risco. Isto poderá incluir a implementação de novas políticas organizacionais e procedimentos, bem como controles físicos ou técnicos;
· Documentar os resultados e desenvolver planos de ação.
Tratando os riscos de segurança da Informação
O nível de riscos à segurança da informação aumenta conforme aumenta o nível das ameaças e vulnerabilidade.
O nível do risco existente em uma organização pode ser categorizado como:
· Alto: requer imediata atenção e implementação de contramedidas;
· Médio: requer atenção e implementação de contramedidas em um futuro próximo;
· Baixo: requer alguma atenção e consideração para implementação de contramedidas como boas práticas de negócios.
Os níveis de qualificação das ameaças podem ser assim definidos:
· Não aplicável: significa que a ameaça considerada não é relevante para a situação examinada;
· Baixo: não há histórico e considera-se que é improvável a concretização da ameaça;
· Médio: significa que há um histórico e probabilidade que a ameaça se concretize;
· Alto: significa que há um histórico significante e uma avaliação de que a ameaça está por acontecer.
O objetivo da análise de riscos é identificar e avaliar os riscos e ameaças pelo qual o sistema de TI e seus ativos estão expostos, a fim identificar e selecionar contramedidas apropriadas.
O que é uma política de Segurança da Informação
Uma política da informação visa”Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes”, ou seja, ela propõe uma política que sistematize um processo a fim de minimizar as preocupações da direção com a segurança de seus ativos.
Escrever uma política é uma tarefa muitas vezes difícil e deve contar com o envolvimento de várias pessoas, de vários departamentos. Isso não deve ser desanimador e não se deve procrastinar o início dos trabalhos, haja vista a fragilidade a que o negócio pode estar exposto.
Criando uma política de segurança da Informação
O primeiro passo para a criação de uma política de segurança da informação é ter alguém responsável por ela. Deve haver uma área responsável pela política de segurança da informação, que se incumbirá de sua criação, implantação, revisão, atualização e designação de funções. Nessa área deve ser escolhido um gestor responsável pela análise e manutenção da política.
Vamos supor que você leitor foi escolhido como o responsável pela implementação da política de segurança da informação. Siga os passos abaixo para dar início aos trabalhos o quanto antes:
1. Escrever o esboço do documento da política de segurança para sua organização. Esse documento deve ser genérico, possui apenas suas idéias principais, sem preocupação com previsão. Não devera possuir mais de 5 páginas. Escreva também uma justificativa para sua implantação, sempre com o foco nos negócios e riscos a que a organização está sujeita caso não se implante a política de segurança da informação.
2. Apresente seu esboço para a diretoria. O objetivo é engariar a confiança no projeto e o engajamento da direção. Uma vez que ela esteja convencida da importância da política, você terá carta branca para o inicio da implantação
3. Crie um comitê de política de segurança. Esse comitê deverá ser formado por pessoas interessadas na criação da política de segurança e devem ser de setores distintos na organização.
4. Divulgue a política de segurança da informação. A política deve ser de conhecimento de todos e compreensível para todos que interagem com a organização, usuários internos e externos.
5. Trate a política e as ameaças como regras absolutas com forma de lei. Uma vez que a política já é do conhecimento de todos, não pode haver violação da mesma. Caso isso ocorra, devem ser previstos procedimentos que vão de advertências a punições. As violações devem ser analisadas em suas causas, conseqüências e circunstâncias, a di de que sejam tomadas medidas preventivas e corretivas que alterem a política para evitar nova situação de vulnerabilidade. Lembre-se que tudo deve ser documentado.
6. Sugestões são sempre bem-vindas. Incentive que os colaboradores proponham sugestões de melhorias. Todas devem ser levadas em consideração. As pessoas que estão na rotina do trabalho, são as que mais estão aptas a levantar problemas de segurança na respectiva área, ou mesmo provocá-los.
7. Realize reuniões periódicas para consolidar a política e as emendas. Essas reuniões deverão ocorrer pelo menos uma vez ao ano. Deverão participar todo o comitê de política de segurança, a direção, e os responsáveis com funções delegadas. O objetivo é realizar uma análise crítica da política de segurança vigente, das emendas e dos incidentes relatados. Esta avaliação poderá gerar um documento atualizado que inclua todas as alterações.
8. Refaça o processo. A nova declaração gerada no passo 7 deverá passar por todo processo novamente, a fim de que entre em vigor e seja do conhecimento de todos.
Conteúdo do documento formal da política de segurança da informação
O conteúdo do documento elaborado para a política de segurança da informação varia de uma organização para outra, em função de sua maturidade, disponibilidade de recursos, necessidades do negócio, área de atuação, etc... Deve ser simples, objetivo e compreensível para todos.
O documento consta normalmente de:
a. Definição de segurança da informação, metas, escopo e importância da segurança da informação como mecanismo que possibilita o compartilhamento da informação.
b. Declaração do comprometimento da direção apoiando metas e princípios.
c. Estrutura para estabelecer objetivos de controles e controles, incluindo estrutura e análise/avaliação e gerenciamento de riscos.
d. Princípios de conformidade com a legislação e regulamentos contratuais. Aqui deve ser avaliada a questão legal do negócio, suas conformidades com a legislação vigente e com regulamentos e contratos.
e. Plano de treinamento em segurança da informação. É muito importante que todos os envolvidos com a segurança da informação, tenham não só acesso ao documento de política, como também sejam instruídos no processo. Além disso, todos passam a ser co-responsáveis pelo processo uma vez que não podem alegar desconhecimento do mesmo.
f. Plano para gestão de continuidade do negócio. É um conjunto de estratégias e procedimentos que visam garantir que não haverá interrupção das atividades do negócio, além de proteger os processos críticos no caso de alguma falha. É um conjunto de medidas que combinam ações preventivas e de recuperação.
g. Conseqüência das violações na política de segurança. É necessário que todos saibam das conseqüências da violação na política. Essas conseqüências passam por punições que devem ser explicitadas no documento.
h. Definição das responsabilidades na gestão da segurança. A designação das “responsabilidades pela proteção de cada ativo e pelo cumprimento de processos de segurança da informação específicos devem ser claramente definidas”. Essa é uma atribuição do comitê gestor da política.
i. Referências à documentação que apóiam a política. Esta parte do documento serve para fortalecer ainda mais a política, indicando documentos complementares que detalham procedimentos de sistemas implantados ou regras a sem seguidas.
Estruturação da segurança da informação: Gestão de autorização de novos recursos
Autorizar o acesso a novos recursos de processamento de informação é uma tarefa rotineira de um administrador de rede, que exerce a função de administrador de usuários. A cada momento alguém solicita acesso a uma impressora específica ou informação de um banco de dados, ou a qualquer outro recurso.
Para autorizar acessos aos recursos, o administrador deve ter em mãos um processo de gestão que seja compatível com a política de segurança, esse processo definirá quem poderá ter acesso a um recurso.
Estruturação da segurança da informação: Acordos de confidencialidade e sigilo para acessos de funcionários, parte externa e cliente
Segurança é um problema que envolve principalmente pessoas, mais até do que aspectos físicos ou aspectos tecnológicos. Por isso, é necessários que haja procedimentos específicos que tratem com cuidado as pessoas que têm acesso às informações da organização. Um dos grandes riscos para a segurança da informação, é a quebra de sigilo das informações por parte de funcionários contratados ou terceirizados e partes externas. Essa quebra de sigilo pode ocorrer intencionalmente ou não. Um funcionário pode comentar um informação em simples conversas informais em uma mesa de bar ou no saguão do aeroporto. Essa conversa pode ser ouvida por um concorrente que se beneficiará da informação.
Outro risco é o ex-funcionário insatisfeito que divulga a terceiros, informações cruciais da organização, ou que já sabendo de sua demissão, toma alguma ação que viole a segurança interna.
Nenhum comentário:
Postar um comentário