sábado, 7 de junho de 2008

Entendendo e implementando a Norma ABNT NBR ISO/IEC 17799:2005 – Módulo 4

Aquisição, desenvolvimento e manutenção de sistemas de informação

Requisitos de segurança de sistemas de informação
Visa garantir que segurança é parte integrante de sistemas de informação, a partir do estabelecimento de mecanismos de controle que enfatizem essa característica no processo de aquisição, desenvolvimento e manutenção dos sistemas de informação.
Uma vez estabelecidos um método para a execução, acompanhamento e controle dos processos de aquisição, desenvolvimento e manutenção dos sistemas de informação, é necessário garantir a segurança como parte integrante dos sistemas de informação, desde o primeiro momento do projeto. O objetivo desse item é exatamente garantir que segurança é parte integrada de sistemas de informação, a partir do estabelecimento de mecanismos de controle que enfatizem essa característica no processo de aquisição, desenvolvimento e manutenção dos sistemas de informação.
Análise e especificação dos requisitos de segurança
Este elemento de controle prioriza a aderência aos requisitos de segurança estabelecidos pela política de segurança da organização, tornando-os parte do processo de análise e especificação. Desse modo, os requisitos para controles de segurança nas especificações de requisitos de negócios devem ser estabelecidos e especificados, em consonância com a política de segurança, quer seja para novos sistemas de informação a serem adquiridos, desenvolvidos, ou para a realização de manutenção ou implementação de melhorias em sistemas já existentes.
É importante que esse elemento de controle esteja plenamente integrado aos processos de desenvolvimento interno ou externo, de forma que não apresente complexidade em sua operacionalização e não comprometa os prazos, custos e objetivos dos sistemas de informação, pois, de outro modo, certamente será deixado em segundo plano em caso de necessidade.
Processamento correto nas aplicações
Os principais objetivos dos requisitos de segurança dos processos de aquisição, desenvolvimento e manutenção dos sistemas de informação deve ser prevenir a ocorrência de erros, perdas, modificação não autorizada ou mal uso de informações em aplicações.
Convém salientar que tais ocorrências representam perdas para o negócio, e boa parte delas expressam vulnerabilidades que expõem a organização a riscos. Um sistema de informações seguro é aquele que reduz o risco, se antecipa às ameaças e, principalmente, evita desvios no objetivo de sua aplicação.
Validação dos dados de entrada
Este item de controle estabelece que deva ser incorporados elementos de controle cujo objetivo é garantir que os dados de entrada de aplicações estejam corretos e sejam apropriados aos requisitos de negócios e aos requisitos de segurança. Para tanto, esses dados devem ser validados também sob a ótica da política de segurança da organização.
Esses elementos são de fundamental importância para a segurança da informação, pois é sabido que a grande maioria das tragédias tem sua origem em falhas na validação inicial dos dados que possibilitam a inserção de informações que induzem os sistemas de informação a erro, quer seja pelo descuido, pelo desconhecimento ou despreparado, ou mesmo intencionalmente.
Controle do processamento interno
É um item de controle que implica no dever de incorporar, nas aplicações, checagens de validação com o objetivo de detectar qualquer corrupção de informações, por erros ou por ações deliberadas.
Falhas no processamento interno das aplicações geralmente implicam em perdas para a organização e, além disso, expõem elementos internos fundamentais para a segurança da informação. Consequentemente representam vulnerabilidades e risco, que deve, ser mitigados através desse controle. Se uma aplicação é realmente segura, então o resultado de um processamento interno deve ser conhecido ou esperado, e, portanto, pode ser objeto de validação.
Integridade de mensagens
Mecanismos de controle precisam ser incorporados ao processo para assegurar que os requisitos de garantia de autenticidade e a proteção da integridade das mensagens das aplicações sejam devidamente implementados.
As mensagens das aplicações são os elementos principais da comunicação com os usuários, e contêm informações importantes para o sistema e para o negócio.
Validação de dados de saída
Esse item estabelece a necessidade de um controle, uma vez que os dados se saída das aplicações devem ser validados para assegurar que o processamento das informações armazenadas está correto e é apropriado às circunstâncias.
É importante notar que, de maneira muito freqüente, os dados de saída de uma aplicação ou processamento constituir-se-ão dados de entrada para outra aplicação ou processamento, internamente ou no ambiente externo da organização
Controles criptográficos
É comum afirmar que a criptografia é um eficiente meio de proteger a
confidencialidade, autenticidade ou integridade das informações. Por meios criptográficos os sistemas de informação podem evitar o acesso indevido ou a corrupção dos dados. Esse item enumera os requisitos para o correto e proveitoso uso da criptografia nos sistemas de informação da organização.
Política para o uso de controles criptográficos
Esse elemento de controle objetiva um política para a aplicação da criptografia nos sistemas de informação.
Deve ser desenvolvida e implementada uma política para o uso de controles criptográficos para a proteção das informações, sua correta classificação e a definição dos meios de acesso e circulação das informações, além da definição do nível de acesso de cada usuário às informações classificadas.
Gerenciamento de chaves
Esse mecanismo de controle tem por objetivo a definição e implementação de um processo de gerenciamento de chaves para apoiar o uso de técnicas criptográficas pela organização.
Segurança dos arquivos do sistema
Os arquivos do sistema sejam bibliotecas, rotinas ou arquivos de configuração são salvos prediletos dos ataques intencionais. Além disso, são também cruciais para garantir a disponibilidade das informações e o correto funcionamento dos sistemas de informação.
Controle de software operacional
O alto grau de dependência entre os sistemas de informação e os sistemas operacionais, aliados ao fato de estes serem seu funcionamento e funcionalidades amplamente divulgados e estudados, representam um elevado grau de risco.
Controle de acesso ao código-fonte de programa
Por definição, o acesso ao código-fonte deve ser restrito. O acesso, manuseio e o armazenamento desses devem estar submetidos a um rígido controle,e devem ser objeto de destaque na elaboração dos requisitos de segurança. Preferencialmente, deve ser evitado ou limitado o acesso ao conjunto dos códigos-fonte, o qual deverá ocorrer apenas no momento de geração das versões executáveis para teste e entrega, em ambiente especificamente preparado para isso e, evidentemente, seguro. O uso de produtos de controle de acesso e de versão é altamente recomendável, chegando mesmo a ser essencial.
Segurança em processos de desenvolvimento e de suporte
Seja por falhas ou por ações intencionais, grande parte das vulnerabilidades é decorrência dessas etapas ou atividades. O objetivo dos controles preconizados nesse item é manter a segurança de sistemas aplicativos e da informação durante o processo de desenvolvimento e as atividades de suporte à operação dos sistemas de informação.


Procedimentos para controle de mudanças
Especial atenção deve ser dada aos impactos das mudanças propostas em todos os aspectos dos negócios e da segurança da informação. Ações preventivas e corretivas devem ser estabelecidas, e o tratamento da comunicação das mudanças requer planejamento e apoio, o que implica em comprometimento.
Análise crítica técnica das aplicações após mudanças no sistema operacional
O objetivo desse mecanismo de controle é possibilitar que aplicações críticas de negócios sejam analisadas e testadas quando houver alterações nos sistemas operacionais, para garantir que não haverá nenhum impacto adverso nas operações da organização ou na segurança das informações causada por falhas nos sistemas de informação.
Restrições sobre mudanças em pacotes de software
O controle proposto por esse item estabelece a expressa limitação de modificações em pacotes de software. Mudanças mão devem ser incentivadas e devem ser limitadas àquelas estritamente necessárias.
Todas as mudanças devem ser estritamente controladas por procedimentos formais.
Vazamento de informações
A identificação de oportunidades para o vazamento de informações é o objetivo desse controle. Sua implementação destina-se também à prevenção do vazamento de informações e também deve planejar e estabelecer medidas de contenção e ações preventivas e corretivas no caso de ocorrências dessa natureza.
Desenvolvimento terceirizado de software
O desenvolvimento terceirizado deve ser tratado com especial atenção. Parceiros comerciais comprometidos no desenvolvimento de sistemas de informações seguro devem submeter-se às mesmas políticas de segurança da informação. Termos de sigilo e confidencialidade devem ter itens comuns de co-responsabilização, e a atuação dos terceiros avalizadas por órgãos da classe empresarial também é fundamental.
Cuidados no desenvolvimento:
Criar e usar funções intrinsecamente seguras;
Sempre testar o retorno das funções chamadas;
Documentar corretamente as funções (entrada, processamento e saída);
Verificar o tratamento de caracteres especiais;
Manter uma política de versões consistentes;
Só usar componentes e bibliotecas confiáveis;
Evitar manter informações sensíveis em arquivos temporários;
Não colocar senhas e chaves de criptografia no código;
Tratar todas as entradas como não confiáveis;
Exercer rígido controle de versão e acesso a código-fonte;
Geração da distribuição e instalação de código executável;
Ter em mente que a redução dos erros nos sistemas de informação significa a redução de riscos e de vulnerabilidades.


Gestão de incidentes de segurança da informação
Para que um sistema de gestão seja bem sucedido, é importante que se institucionalizem alguns aspectos básicos do comportamento organizacional e também que nos certifiquemos que o mesmo possua uma série de decisões rápidas previemente definidas, evitando um dispendioso atraso na tomada de decisões.
Algumas das comunicações mais importantes dizem respeito à notificação de incidentes de segurança da informação. Deve existir um caminho fácil e bem documentado a ser seguido por todos os funcionários, fornecedores e terceiros que possam via a identificar um evento como este.
Aspectos da gestão da continuidade de negócios, relativos à segurança da informação
Um plano de continuidade de negócios compreende uma série de atividades desenvolvidas para suportar o negócio em um situação adversa, situação em que, os ativos que suportam os processos de negócios não estejam disponíveis ou aptos a sustentar o negócio.
Conformidades
Objetivo: "evitar a violação de qualquer lei criminal ou civil, estatuto, regulamentação contratuais e de quaisquer requisitos de segurança da informação".
Nos dias atuais. Pode-se afirmar que o que há de mais importantes no mundo corporativo é a informação. Os detentores obtêm larga vantagem na disputa pelo exigente mercado, porém só isso não basta, é imprescindível ainda garantir a disponibilidade e o acesso à mesma.
Conformidades com normas e políticas de segurança da informação e conformidade técnica
Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação, através de:

- Conformidade com as políticas e normas de segurança da informação;
- Verificação da conformidade técnica com as normas de segurança da informação.
Considerações quanto à autoria de sistemas de informação
Objetivo: elevar ao máximo a eficácia e diminuir a interferência no processo de auditoria dos sistemas de informação, protegento-se a integridade das ferramentas de autoria.