>> Gestão da Segurança da Informação e Comunicações >> 2009-2011
João José Costa Gondim
GSIC602
GERENCIAMENTO DAS
OPERAÇÕES E COMUNICAÇÕES
VERSÃO 1
Luiz Inácio Lula da Silva
Presidente da República
Jorge Armando Félix
Ministro do Gabinete de Segurança Institucional
Antonio Sergio Geromel
Secretário Executivo
Raphael Mandarino Junior
Diretor do Departamento de Segurança da Informação e
Comunicações
Reinaldo Silva Simião
Coordenador Geral de Gestão da Segurança da
Informação e Comunicações
Fernando Haddad
Ministro da Educação
UNIVERSIDADE DE BRASÍLIA
José Geraldo de Sousa Junior
Reitor
João Batista de Sousa
Vice-Reitor
Pedro Murrieta Santos Neto
Decanato de Administração
Rachel Nunes da Cunha
Decanato de Assuntos Comunitários
Márcia Abrahão Moura
Decanato de Ensino de Graduação
Ouviromar Flores
Decanato de Extensão
Denise Bomtempo
Decanato de Pesquisa e Pós-graduação
Noraí Romeu Rocco
Instituto de Ciências Exatas
Priscila Barreto
Departamento de Ciência da Computação
CEGSIC
Coordenação
Jorge Henrique Cabral Fernandes
Secretaria Pedagógica
Eduardo Loureiro Jr.
Odacyr Luiz Timm
Ricardo Sampaio
Assessoria Técnica
Gabriel Velasco
Marcelo Felipe Moreira Persegona
Secretaria Administrativa
Indiara Luna Ferreira Furtado
Jucilene Gomes
Martha Araújo
Equipe de Produção Multimídia
Alex Harlen
Estéfano Pietragalla
Lizane Leite
Rodrigo Moraes
Equipe de Tecnologia da Informação
Douglas Ferlini
Osvaldo Corrêa
Revisão de Língua Portuguesa
Raquel Mendes
Texto e ilustrações: João José C. Gondim | Capa e projeto gráfico: Alex Harlen | Diagramação: Estéfano Pietragalla
Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da
Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011.
Este material é distribuído sob a licença creative commons
http://creativecommons.org/licenses/by-nc-nd/3.0/br/
>> CEGSIC 2009-2011 >> Gerenciamento das Operações e Comunicações
Sumário
[4] Currículo resumido do autor
[5] 1. Introdução
1.1 Como este módulo se desenvolverá •. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.2 Como este material está organizado •. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
[6] 2. Uma visão geral da Gerência de Tecnologia da
Informação - GTI
2.1 Definindo GTI •. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.2 Definição Formal • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.2.1 Operação •. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.2.2 Administração •. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.2.3 Manutenção •. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.2.4 Provisionamento •. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.3 O contexto em que se insere a GTI •. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.4 Revendo a definição •. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.5 Definindo GOC • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
[12] 3. Seção 10 da 17799
3.1 Subseções da seção 10 •. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
3.1.1 Subseção 10.1 - Procedimentos e responsabilidades operacionais • . 13
3.1.2 Subseção 10.2 - Gerenciamento de serviços terceirizados •. . . . . . . . . . 13
3.1.3 Subseção 10.3 - Planejamento e aceitação de sistemas •. . . . . . . . . . . . 14
3.1.4 Subseção 10.4 - Proteção contra códigos maliciosos e códigos móveis •. . 14
3.1.6 Subseção 10.6 - Gerenciamento da segurança em redes •. . . . . . . . . . . 15
3.1.7 Subseção 10.7 - Manuseio de mídias •. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.1.8 Subseção 10.8 - Troca de informações • . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.1.9 Subseção 10.9 - Serviços de comércio eletrônico •. . . . . . . . . . . . . . . . . . 16
3.1.10 Subseção 10.10 – Monitoramento •. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
[18] 4. Comentários
[19] 5. Conclusão
[20] Atividades
Atividade 1 •. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Atividade 2 •. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
[23] Bibliografia
3
>> CEGSIC 2009-2011 >> Gerenciamento das Operações e Comunicações
CURRÍCULO RESUMIDO DO AUTOR
João José Costa Gondim
Possui graduação em Engenharia Elétrica pela Universidade Federal de Pernambuco (1984)
e mestrado em Master Of Science In Computer Science pela University of London (1987). Atualmente é Professor da Universidade de Brasília.
4
>> CEGSIC 2009-2011 >> Gerenciamento das Operações e Comunicações
1. Introdução
O foco desse texto é o gerenciamento de operações e comunicações tendo como base a
seção 10 da norma ABNT NBR ISO/IEC 17799:2005 (doravante referida como 17799). O texto
assume que o leitor terá em mãos o texto da seção específica da norma. Essa norma, também
conhecida simplesmente pelo número 17799, diz respeito à Tecnologia da Informação – TI,
estabelecendo técnicas de segurança e código prático para a gestão de segurança da informação. A 17799 foi lançada em 1995, e posteriormente revisada e ampliada, servindo de base
para as normas ABNT NBR ISO/IEC 27001 e 27002 (doravante referidas simplesmente como
27001 e 27002), que definem respectivamente os requisitos de um sistema de gestão de segurança da informação e o código de práticas. Apesar da disponibilidade dessas novas normas, o
texto base terá por referência principal a 17799, sem perda de generalidade ou aplicabilidade.
Atualmente, a seção 10 da 17799 faz parte da 27002.
1.1 Como este módulo se desenvolverá
O objetivo principal do texto é desenvolver o espírito investigador e reflexivo acerca do
Gerenciamento de Operações e Comunicações – GOC. Especificamente, os objetivos são:
a. apresentar os principais aspectos do GOC, principalmente segundo a norma 17799;
b. levar o leitor a avaliar a abrangência e a efetividade da implementação do GOC
nas organizações onde atuam; e
c. fomentar reflexão acerca da adequação e da efetividade dos controles propostos
na norma 17799.
1.2 Como este material está organizado
Há várias formas de se abordar o temo GOC. A escolhida foi iniciar pelo contexto maior em
que o GOC se insere, para então abordar as questões específicas da norma.
Inicialmente, o texto aborda o contexto da GTI - Gerência de Tecnologia da Informação.
Apresenta sua definição, escopo, além de esboçar as atividades e processos envolvidos. E desse ponto deriva para o GOC em si.
Na sequência, apresentamos uma visão geral da norma. Ao final são apresentados comentários e algumas conclusões.
5
>> CEGSIC 2009-2011 >> Gerenciamento das Operações e Comunicações
2. Uma visão geral da Gerência de
Tecnologia da Informação - GTI
Nesta seção, antes de entrar nos aspectos dos controles de segurança dentro do GOC e,
em especial, no estudo da seção 10 da norma 17799, são abordados aspectos gerais do GOC.
A abordagem tem por base a gerência de TI e em especial os aspectos de gerência de redes,
de onde virão os principais exemplos. O objetivo principal é prover uma visão geral da GTI,
descrevendo o contexto em que se insere.
O texto apresenta uma definição geral da GTI, descreve sua importância, os atores envolvidos e motiva a complexidade das questões a ela atribuídas.
2.1 Definindo GTI
De uma maneira informal e quase intuitiva, pode-se dizer que a GTI compreende as atividades relativas à operação da infraestrutura de TI, juntamente com a tecnologia necessária
para a consecução da operação. Na maior parte do tempo, essas atividades resumem-se à monitoração e à tentativa de entender o que está acontecendo (ou não) na infraestrutura de TI.
Entretanto, isso é apenas parte do problema. Considere algumas analogias.
Analogia 1: GTI = UTI
Uma primeira analogia que pode ser feita é de que a GTI é como tratar de um paciente
que está na UTI. Uma das atividades da UTI que imediatamente salta aos olhos é o monitoramento: tanto o monitoramento constante dos sinais vitais do paciente – por exemplo, pulso e
respiração – como o monitoramento periódico de outros sinais – por exemplo, pressão arterial
e temperatura. As medições das grandezas monitoradas normalmente são apresentadas em
gráficos, nos quais se pode não só observar a evolução das grandezas no tempo, mas também
identificar tendências. Sempre que ocorram desvios em relação ao comportamento esperado,
ou detectem tendências de que tais desvios possam vir a ocorrer, pode-se demandar que exames ou procedimentos mais caros, mais complexos ou mais invasivos venham a ser realizados.
No caso de aplicação de medicação, que é não só parte do tratamento mas também possível
confirmação do diagnóstico, pode-se avaliar sua efetividade e realizar o ajuste das dosagens e
possivelmente de todo o tratamento.
Analogia 2: GTI é uma grande festa
Outra analogia possível é de que a GTI é como quando você vai dar uma grande festa. Para
que a festa aconteça, há uma série de questões que precisam ser respondidas. Primeiro, há que
se definir todo o planejamento da festa: quem será convidado; o custo que se estima para a
realização da festa; se há provisões para cobrir tais custos.
Depois, existem questões de organização. Em que local será a festa? Na sua casa? Em um
barco? Você vai alugar um espaço? A festa será de dia ou à noite? O que será servido? Comida?
Bebida? Alcoólica também? Vinho? Cerveja? Whisky?
E ainda temos questões de implementação da festa em si: você vai gerenciar tudo sozinho
ou será contratado um cerimonial, pois você quer aproveitar um pouco da festa também.
6
>> CEGSIC 2009-2011 >> Gerenciamento das Operações e Comunicações
Analogia 3: GTI é uma orquestra
Como última analogia, pode-se comparar a GTI com uma orquestra, que engloba os aspectos das duas analogias anteriores. Durante a apresentação, executando a obra para o público, o maestro monitora e, dentro de estreitos limites, atua e pontua aspectos da peça (como
exemplo, vide http://www.youtube.com/watch?v=WPUT-LDo_nY&feature=fvst). Entretanto,
para que a apresentação possa acontecer, além de todo o planejamento, toda uma preparação
é necessária. Ainda que os componentes envolvidos sejam competentes e brilhantes, é necessário coordená-los, dar-lhes diretrizes e delegar responsabilidades. Isto é o que acontece no ensaio (como exemplo, vide http://www.youtube.com/watch?v=1LZL-klxPK0&feature=related).
Destas analogias, depreende-se que a GTI envolve bem mais que a monitoração. Claramente, pode-se identificar também a necessidade de acompanhamento, planejamento, coordenação, entre outros.
Neste ponto, já se pode enunciar uma definição formal para GTI.
2.2 Definição Formal
Uma definição formal para GTI seria:
A Gerência da Tecnologia da Informação diz respeito às atividades, métodos, procedimentos e ferramentas pertinentes à operação, administração, manutenção e provisionamento de serviços e sistemas de informação e também da tecnologia que os suporta.
Esta definição está baseada em outros conceitos que também precisam ser definidos.
2.2.1 Operação
A Operação trata de manter os serviços e sistemas de informação e também da tecnologia que os suporta, funcionando dentro dos parâmetros esperados.
A operação inclui a monitoração constante para detectar e identificar problemas, o mais
rápido possível. Idealmente, antes que os usuários sejam afetados.
2.2.2 Administração
A administração envolve o acompanhamento do estado dos recursos dos serviços e sistemas de informação, da tecnologia que os suporta e como estes estão sendo usados.
O contexto da administração diz respeito às tarefas necessárias para ter tudo sob controle.
2.2.3 Manutenção
A Manutenção se ocupa com a execução de reparos e atualizações dos serviços e sistemas de informação da tecnologia que os suporta.
A manutenção também envolve medidas corretivas reativas e preventivas proativas, como
ajuste de parâmetros de configuração, normalmente intervindo para que serviços e sistemas
de informação da tecnologia que os suporta funcionem melhor.
7
>> CEGSIC 2009-2011 >> Gerenciamento das Operações e Comunicações
2.2.4 Provisionamento
O Provisionamento diz respeito à configuração dos recursos da infraestrutura para suportar um dado serviço ou sistema de informação.
Um exemplo de provisionamento seria configurar a rede para que um usuário possa usar VoIP.
2.3 O contexto em que se insere a GTI
O texto e figuras a seguir ilustram o papel da GTI no contexto da organização. A Figura 1
mostra as tarefas que uma organização que disponibiliza e monitora sistemas, serviços e infraestrutura de TI precisa realizar. A disponibilização de tais serviços, sistemas e infraestrutura
tanto pode ser o objetivo fim da organização ou mais um recurso para consecução de suas
atividades fins. Em ambos os casos, o emprego da TI deve estar alinhado com a missão da
organização.
Figura 1: Uma organização e sua rede.
8
>> CEGSIC 2009-2011 >> Gerenciamento das Operações e Comunicações
A figura 2 mostra com a GTI encaixa-se nas organizações que utilizam sistemas, serviços
e infraestrutura de TI. O papel da GTI é mediar as necessidades da organização, na forma dos
seus usuários, nos seus diferentes níveis, e a disponibilização de sistemas, serviços e infraestrutura de TI, de forma a satisfazer tais necessidades.
Figura 2: O papel da gerência de redes.
A figura 3 mostra o que está envolvido na GTI, i.e. os sistemas e aplicações, tanto os que
disponibilizam serviços aos usuários, quanto os utilizados para gerenciar a TI. Além disso, temos as atividades e procedimentos operacionais que suportam estes sistemas, serviços e infraestrutura.
Figura 3: De que se constitui o gerenciamento de redes.
9
>> CEGSIC 2009-2011 >> Gerenciamento das Operações e Comunicações
2.4 Revendo a definição
De forma mais restrita, a definição de GTI acima poderia ficar circunscrita simplesmente
a sistemas de comunicação e a infraestrutura que a suporta. (se verá adiante que esta forma
restrita é a que está na norma 17799).
É comum encontrar uma distinção no gerenciamento de TI. Temos várias camadas:
• o gerenciamento das aplicações, que dependem dos sistemas;
•
o gerenciamento dos sistemas, que se conectam às redes; e
•
o gerenciamento da rede em si.
Estas camadas, estão ilustradas na Figura 4
Figura 4: Elementos de gerenciamento na GTI.
Deve-se lembrar que redes (infraestrutura), sistemas e aplicações podem estar envolvidos
no provimento de um serviço. Pode-se assim pensar em uma camada de gerenciamento de
serviços que tanto pode estar acima quanto transversal às três citadas anteriormente. E ainda
abaixo de todas, pode-se pensar no gerenciamento de comunicações, provendo a base para a
construção da rede.
Apesar destes termos terem suas particularidades e especificidades, vamos nos referir a
seu conjunto como gerência de TI.
2.5 Definindo GOC
Como visto anteriormente, a GTI tem em sua definição um componente relacionada à
operação. Quando da definição, a operação foi definida como responsável por manter serviços,
sistemas e infraestrutura que os suporta funcionando. Assim, o foco principal da operação é a
disponibilização dos serviços e sistemas, juntamente com a infraestrutura. Entretanto, a disponibilização deve satisfazer requisitos mínimos de qualidade que devem refletir as necessidades
da organização para consecução de seus objetivos. Estes requisitos são traduzidos em termos
de acordos de níveis de serviço.
10
>> CEGSIC 2009-2011 >> Gerenciamento das Operações e Comunicações
Assim, uma definição possível de GOC seria:
O Gerenciamento de Operações e Comunicações diz respeito a atividades, processos procedimentos e recursos que visam disponibilizar e manter serviços, sistemas e infraestrutura que os suporta, satisfazendo os acordos de níveis de serviço.
11
>> CEGSIC 2009-2011 >> Gerenciamento das Operações e Comunicações
3. Seção 10 da 17799
A 17799 é uma norma de gestão de TI, em particular a Gestão de Segurança da Informação – GSI. De forma geral, ela define os requisitos de um Sistema de Gestão de Segurança da
Informação - SGSI e os controles referentes a um código de práticas.
A seção 10 diz respeito ao GOC, consistindo no conjunto de medidas de controle de execução das ações relativas ao processamento, armazenamento e movimentação de informação; na disponibilização e monitoramento dos serviços providos pela infraestrutura de TI que
suporta a execução das ações atendendo os níveis de serviço acordados; na disponibilização
e monitoramento dos serviços providos pela infraestrutura de comunicações, incluídos os serviços que servem de base para os serviços de TI, atendendo aos níveis de serviço acordados
– que é o principal objetivo do GOC. No caso de nosso interesse, aqueles acordos referentes
aos requisitos de segurança: confidencialidade, integridade, disponibilidade e autenticidade.
Com relação à definição de GOC acima, cabe uma explicação. Pode-se argumentar que a
definição acima é redundante, uma vez que as comunicações já estariam incluídas na movimentação de informação. Entretanto, a menção explícita dos serviços de comunicação justifica-se por ser tratada como uma infraestrutura de per si, normalmente preexistente à de TI, com
sua tecnologia própria e sobre a qual vários serviços de TI organizam-se.
3.1 Subseções da seção 10
Doravante o leitor é fortemente encorajado a ter em mãos a seção específica da norma,
para referência e estudo, quando da leitura deste item.
A seção 10 é constituída de 10 subseções. Cada uma delas apresenta um objetivo e dividese nos controles específicos para a consecução do objetivo. Por sua vez, cada controle tem suas
diretrizes de implementação definidas. Este texto não entrará nos detalhes das diretrizes, que
são aprofundadas na leitura da norma, bem como por meio da prática durante seus estudos,
lembrando que este documento não pretende substituir sua leitura pelo estudo da norma.
As dez subseções são descritas a seguir e abordam:
• Procedimentos e responsabilidades operacionais;
•
Gerenciamento de serviços terceirizados;
•
Planejamento e aceitação de sistemas;
•
Proteção contra códigos maliciosos e códigos móveis;
•
Cópias de segurança;
•
Gerenciamento da segurança em redes;
•
Manuseio de mídias;
•
Troca de informações;
•
Serviços de comércio eletrônico; e
•
Monitoramento.
12
>> CEGSIC 2009-2011 >> Gerenciamento das Operações e Comunicações
3.1.1 Subseção 10.1 - Procedimentos e responsabilidades
operacionais
Procedimentos e responsabilidades operacionais têm por objetivo garantir uma operação
segura e correta dos recursos de processamento, armazenamento e movimentação da informação. Este objetivo deve ser atingido observando dois princípios:
•
Divulgação: Os procedimentos e responsabilidades em relação à gestão e operação
de todos os recursos de processamento da informação quando divulgados no âmbito
da organização evitam diversos problemas no ambiente.
•
Segregação de funções: Quando aplicada adequadamente, contribui para a redução
de riscos, tanto por mau uso quanto por uso doloso dos sistemas.
A justificativa para estes princípios é que se todos conhecem os procedimentos e suas
responsabilidades, a chance de tudo ocorrer sem erros aumenta; por outro lado, a segregação
de funções contribui para a contenção de efeitos e redução de impactos no caso de algo de
errado vir a acontecer.
Os procedimentos e responsabilidades operacionais se dividem nos seguintes controles:
•
Documentação dos procedimentos de operação: este controle visa viabilizar a disseminação e padronização dos procedimentos de operação;
•
Gestão de mudanças: tem por finalidade controlar as modificações em recursos e sistemas;
•
Segregação de funções: visa reduzir a probabilidade de mudança ou uso indevido,
não autorizado ou não intencional de ativos;
•
Separação dos recursos de desenvolvimento, teste e de produção: tem por objetivo
reduzir o risco de acessos ou modificações não autorizadas a sistemas.
3.1.2 Subseção 10.2 - Gerenciamento de serviços
terceirizados
O gerenciamento de serviços terceirizados tem por objetivo atingir e manter o nível de
segurança da informação e de entrega de serviços, respeitando os acordos de nível de entrega
de serviços terceirizados. Este objetivo deve ser alcançado verificando-se a implementação
dos acordos, monitorando a conformidade com estes e gerenciando mudanças para garantir
atendimento aos requisitos acordados com terceiros.
Os controles sugeridos são:
•
Entrega de serviços: diz respeito a garantir que os controles de segurança, as definições de serviço e os níveis de entrega de serviços terceirizados sejam efetivamente
implementados, executados e mantidos pelo terceiro;
•
Monitoramento e análise crítica de serviços terceirizados: recomenda que se regularmente, monitore e analise relatórios e registros, além da realização de auditorias;
•
Gerenciamento de mudanças para serviços terceirizados: relaciona-se ao controle de
mudanças, tanto no provisionamento de serviços quanto nas políticas de segurança,
procedimentos e controles existentes; o controle deve levar em conta a criticidade de
sistemas e processos de negócio e possível reanálise e reavaliação de riscos.
13
>> CEGSIC 2009-2011 >> Gerenciamento das Operações e Comunicações
3.1.3 Subseção 10.3 - Planejamento e aceitação de
sistemas
O objetivo do Planejamento e aceitação de sistemas é reduzir o risco de falha no sistema.
Esta redução de risco deve ser atingida com planejamento e preparação antecipados. Pode-se
dimensionar adequadamente recursos e capacidades para assim se obter a disponibilidade e
desempenho desejados aos sistemas. Em complemento, é preciso que os requisitos de capacidade antecipem demandas futuras para evitar risco de sobrecarga. Além disso, que os requisitos operacionais de novos sistemas sejam estabelecidos, documentados e testados antes da
aceitação e uso.
Os controles propostos para o Planejamento e aceitação de sistemas são:
•
Gestão de capacidade: a utilização de recursos deve ser monitorada, juntamente com
a realização de projeções de necessidades de capacidade futura que possibilitam garantir o desempenho requerido dos sistemas;
•
Aceitação de sistemas: deve-se estabelecer critérios de aceitação para novos sistemas, atualizações e novas versões, efetuando-se testes apropriados tanto durante o
desenvolvimento quanto antes de sua aceitação.
3.1.4 Subseção 10.4 - Proteção contra códigos maliciosos
e códigos móveis
A Proteção contra códigos maliciosos e códigos móveis diz respeito à proteção da integridade do software e da informação. Códigos maliciosos são vírus, worms, trojans e similares,
enquanto códigos móveis são applets, scripts servidos pela rede, agentes móveis etc. São necessárias medidas para prevenir, detectar e remover códigos maliciosos e móveis não autorizados onde necessário. Além disso, são necessárias medidas de precaução, principalmente por
parte dos usuários.
Os controles recomendados para a Proteção contra códigos maliciosos e códigos móveis são:
•
Controles contra códigos maliciosos: além da conscientização dos usuários, devem-se
empregar controles para detecção, prevenção e recuperação contra códigos maliciosos;
•
Controles contra códigos móveis: onde o uso de código móvel for autorizado, deve-se
garantir que sua execução se dá em conformidade com a política de segurança; no
caso de código móvel não autorizado, a execução deve ser impedida.
3.1.5 Subseção 10.5 - Cópias de segurança
As cópias de segurança são um elemento chave para manter a integridade e a disponibilidade da informação e dos recursos de processamento da informação. Deve-se estabelecer
procedimentos de rotina para implementar a geração de cópias de segurança dos dados, possibilitando sua recuperação em tempo aceitável.
Há apenas um controle proposto que recomenda que se gere e teste as cópias de segurança segundo a política de geração de cópias de segurança.
14
>> CEGSIC 2009-2011 >> Gerenciamento das Operações e Comunicações
3.1.6 Subseção 10.6 - Gerenciamento da segurança em redes
O conjunto de controles proposto nesta subseção de Gerenciamento da segurança em redes visa garantir a proteção das informações em trânsito em redes, bem como a proteção da
infraestrutura que as suporta. Vale salientar que o gerenciamento seguro de redes pode ir além
dos limites da organização e requer considerações relacionadas ao fluxo de dados, implicações
legais monitoramento e proteção. Ocasionalmente, controles adicionais podem ser necessários para proteger informações sensíveis trafegando sobre redes públicas.
Dois conjuntos de controles são sugeridos:
•
Controles de redes: as redes devem ser adequadamente controladas e gerenciadas
para que se possa protegê-las contra ameaças e manter a segurança de sistemas e
aplicações que as utilizam, inclusive dados em trânsito;
•
Segurança dos serviços de redes: os acordos de níveis de serviço de redes, ou providos internamente ou terceirizados, devem incluir as características de segurança,
níveis de serviço e requisitos de gerenciamento de serviços de redes.
3.1.7 Subseção 10.7 - Manuseio de mídias
Para o Gerenciamento de Operações e Comunicações, as mídias devem ser controladas e fisicamente protegidas. Também deve-se proteger documentos, mídias, dados de entradas e saída, e
documentação dos sistemas contra divulgação não autorizada, modificação, remoção e destruição.
Assim é possível prevenir a divulgação não autorizada, modificação, remoção ou destruição de ativos, principalmente informacionais, e também a interrupção das atividades do negócio.
São sugeridos os seguintes controles para o manuseio de mídias:
•
Gerenciamento de mídias removíveis: os procedimentos para gerenciamento de mídias removíveis devem ser definidos e implementados;
•
Descarte de mídias: quando não mais necessárias ou usáveis, as mídias devem ser
descartadas de forma segura e protegida;
•
Procedimentos para tratamento de informação: os procedimentos para tratamento e
armazenamento de informações devem ser definidos, de forma a proteger tais informações contra a divulgação não autorizada ou uso indevido.
•
Segurança da documentação dos sistemas: a documentação dos sistemas deve ser
protegida contra acessos não autorizados.
3.1.8 Subseção 10.8 - Troca de informações
As trocas de informações e software entre organizações devem ser reguladas por uma
política formal específica, efetivada a partir de acordos entre as partes e em conformidade com
toda a legislação vigente. Devem também ser estabelecidos procedimentos e normas para
proteger a informação e a mídia física que a contem, quando em trânsito.
Temos cinco controles para troca de informações:
•
Políticas e procedimentos para troca de informações: a troca de informações em todos os tipos de recursos de comunicação deve ter suas políticas, procedimentos e
controles estabelecidos e formalizados;
•
Acordos para troca de informações: os acordos para troca de informações e softwares
entre a organização e entidades externas devem ser estabelecidos;
15
>> CEGSIC 2009-2011 >> Gerenciamento das Operações e Comunicações
•
Mídias em trânsito: durante o transporte externo aos limites da organização, mídias
contendo informações devem ser protegidas contra acesso não autorizado, uso impróprio ou alteração indevida;
•
Mensagens eletrônicas: as informações que trafegam em mensagens eletrônicas devem ser adequadamente protegidas;
•
Sistemas de informações do negócio: a proteção das informações associadas a interconexão de sistemas de informações de negócio deve ter sua política e procedimentos definidos e implementados.
3.1.9 Subseção 10.9 - Serviços de comércio eletrônico
O objetivo do controle dos Serviços de comércio eletrônico é garantir a segurança dos serviços de comércio eletrônico e sua utilização segura. Para obter-se esta garantia, deve-se levar
em consideração as implicações de segurança da informação associadas ao uso de serviços de
comércio eletrônico, incluindo transações on-line e os requisitos de controle; deve-se também
levar em consideração a integridade e a disponibilidade da informação publicada eletronicamente por sistemas publicamente disponíveis.
Temos dois controles para Serviços de comércio eletrônico:
•
Comércio eletrônico: as informações envolvidas em comércio eletrônico transitando
sobre redes públicas devem estar protegidas de atividades fraudulentas, disputas
contratuais e modificações não autorizadas;
•
Transações on-line: as transações on-line devem ser protegidas para evitar transmissões
incompletas, erros de roteamento, alterações não autorizadas de mensagens, divulgação não autorizada, duplicação ou reapresentação de mensagem não autorizada.
3.1.10 Subseção 10.10 – Monitoramento
O monitoramento visa detectar atividades não autorizadas de processamento de informação. Para tal, é necessário que os sistemas sejam monitorados e os eventos de segurança
da informação registrados. Entre os eventos de relevância, os registros (logs) de operador e de
falha devem ser utilizados para assegurar que os problemas de sistemas de informação sejam
identificados. Deve-se ressalvar que as atividades de registro e monitoramento executadas
pelas organizações devem estar de acordo com todos os requisitos legais relevantes aplicáveis
para as atividades de registro e monitoramento. Por fim, o monitoramento do sistema propicia
a checagem da eficácia dos controles e a verificação de conformidade com o modelo da política de acesso.
Temos os seguintes controles para Monitoramento:
•
Registros de auditoria: os registros (logs) de auditoria contendo atividades de usuários, exceções e outros eventos de segurança da informação devem ser produzidos e
mantidos por um tempo acordado para auxiliar em futuras investigações e monitoramento de controle de acesso;
•
Monitoramento do uso do sistema: os procedimentos para o monitoramento do uso
dos recursos de processamento da informação devem ser definidos e os resultados.
Em complemento, os resultados das atividades de monitoramento devem ser regularmente analisados de forma crítica;
•
Proteção das informações dos registros (logs): os recursos e informações dos registros
devem ser protegidos contra falsificação e acesso não autorizado.
•
Registros (log) de administrador e operador: as atividades de administradores e operadores do sistema devem ser registradas;
16
>> CEGSIC 2009-2011 >> Gerenciamento das Operações e Comunicações
•
Registros (log) de falhas: as falhas ocorridas devem ser registradas e analisadas para
que ações adequadas sejam tomadas;
•
Sincronização de relógios: os relógios de todos os sistemas de processamento da informação relevantes, dentro da organização ou do domínio de segurança, devem estar sincronizados de acordo com alguma hora local.
17
>> CEGSIC 2009-2011 >> Gerenciamento das Operações e Comunicações
4. Comentários
Como abordado nesse texto, a seção 10 da 17799 prescreve controles para o Gerenciamento de Operações e Comunicações de forma abrangente e exaustiva, cobrindo os principais aspectos da segurança da informação no contexto da TI. Entretanto, dentro da filosofia da
norma, apenas em raras ocasiões há indicação dos recursos tecnológicos que podem implementar o controle sugerido - inclusive, um exercício para fixação dos conceitos seria identificar
para cada controle quais recursos tecnológicos podem implementá-lo. Assim, cabe a quem
for implementar os controles, não só traduzir os requisitos de segurança que emergem das
características do negócio, sujeitas a suas particularidades de operação, mas também escolher
os recursos tecnológicos apropriados para a implementação. Na verdade, os citados requisitos
emergentes são a base para a identificação dos controles que deverão ser implementados.
Ainda acerca da abrangência dos controles propostos, pode-se notar que alguns pontos
importantes não foram incluídos. Fica a cargo do implementador decidir como complementar
os controles, à luz do alinhamento aos objetivos e requisitos de negócio, em especial os referentes à segurança da informação.
Outro ponto digno de nota está no enunciado dos objetivos de vários grupos de controles.
Não raro, usa-se a expressão “garantir”, normalmente referindo-se à consecução de algum requisito de segurança. Cabe notar que pode incorrer na situação em que os recursos tecnológicos
que podem implementar o controle, mesmo em seu estado da arte e independente dos custos
associados, não são capazes de oferecer tal garantia. Assim, tem-se uma situação potencialmente inconsistente em que se tem um controle implementado da melhor forma disponível, porém
sem a requerida efetividade. Ou seja, tem-se conformidade, mas a garantia de eficácia do atendimento ao requisito de segurança em questão pode não ser atingida. Vale ressaltar que o caso
do “garantir” é o que mais facilmente salta aos olhos, porém mesmo para objetivos de controle
enunciados de forma mais fraca, pode acontecer de haver limitação do recurso tecnológico envolvido levando a restrições na efetividade de implementação do controle.
Ainda com relação aos conjuntos de controles que pretendem “garantir” algo como objetivo, ocorre que nem sempre as justificativas ou os controles, ou ambos, parecem ser suficientes para que se possa esperar tal garantia. Como exemplo, este parece ser o caso dos controles
da subseção 10.1: Procedimentos e responsabilidades operacionais.
Outro ponto importante é a forma sucinta como a segurança de redes é tratada na norma.
De certa forma, algumas das questões pertinentes estão distribuídas em algumas das subseções seguintes. Por exemplo, autenticação para fins de identificação está presente de forma
bastante velada na subseção de comércio eletrônico. Entretanto, esta é uma das técnicas usadas na segurança de rede.
Estes comentários são apenas exemplos de possíveis pontos de questionamento na norma.
Para que se desenvolvam soluções eficazes para segurança é preciso construir esta reflexão crítica.
18
>> CEGSIC 2009-2011 >> Gerenciamento das Operações e Comunicações
5. Conclusão
Este texto apresenta uma visão geral da gerência de tecnologia da informação, como contexto para a gerência de operações e comunicações. A partir deste ponto, aborda os controles
prescritos na seção 10 da norma 17799. Em sequência, são propostas algumas atividades que
irão complementar o estudo do Gerenciamento de Operações e Comunicações.
19
>> CEGSIC 2009-2011 >> Gerenciamento das Operações e Comunicações
Atividades
Para solução das atividades 1 e 2, o texto de referência é a seção 10 da 17799, que supõese que o leitor tenha em mãos.
Atividade 1
Esta atividade tem por finalidade aprofundar o estudo do texto base e em especial da
seção 10, sendo mais um roteiro de estudos. Outro ponto importante desta atividade é desenvolver uma percepção das implicações tecnológicas da possível implementação dos controles
propostos.
Questionário.
Responda às questões que abaixo, seguindo o texto base e as referências recomendadas.
QUESTÕES
1. Em um pequeno parágrafo, descreva o termo Gerência de Tecnologia da Informação.
2. Em um pequeno parágrafo, descreva o termo Gerência de Operação e Comunicações.
3. No texto, foram descritas três analogias para GTI. Você consegue pensar em áreas da
GTI que não estão cobertas por estas analogias?
4. No texto, foram descritas três analogias para GTI. Você consegue pensar em outras
analogias?
5. Indique duas formas de como a GTI pode reduzir custos (de TI).
6. Pode-se pensar nos acordos de níveis de serviços como fatores de qualidade. Como
seria uma GTI focada em gerência de qualidade de serviços?
7. Um famoso requisito de disponibilidade são os cinco noves. Isto significa que um
dispositivo ou serviço deve estar disponível 99,999 % do tempo. Suponha que um
dispositivo tenha disponibilidade de 99,9995 %, e que, devido a um erro de operação,
ficou indisponível por cinco minutos. Calculando-se sobre o período de um mês, qual
o impacto deste erro operacional na disponibilidade?
8. Identifique, dentre os controles de Gerenciamento de Operações e Comunicações,
três deles para os quais o estado da arte dos recursos tecnológicos não consegue
atingir uma garantia de eficácia de implementação. Justifique seu argumento sobre
esta incapacidade.
Atividade 2
Montando uma referência cruzada entre os controles e os recursos tecnológicos.
O objetivo do primeiro passo desta atividade é montar um glossário dos recursos tecnológicos disponíveis no que diz respeito à implementação dos controles.
Você deverá indicar, para cada controle proposto, um recurso tecnológico ou conjunto de
recursos que pode implementá-lo. O recurso pode ser um software, um hardware, um procedimento, um processo, uma técnica etc.
20
>> CEGSIC 2009-2011 >> Gerenciamento das Operações e Comunicações
Apenas como ponto de partida, é provida a seguir uma lista de possíveis recursos:
•
Firewall
•
Roteador
•
Switch
•
Switch camada 3
•
Filtro de pacotes
•
Filtro de conteúdo
•
Inspeção de estado
•
Segurança de perímetro
•
Segurança em camadas
•
Gateway de aplicação
•
Proxy
•
Proxy reverso
•
Blindagem (hardening) de sistemas
•
Sistema de verificação de integridade
•
Sistemas de detecção de intrusão – IDS baseado em host
•
Sistemas de detecção de intrusão – IDS baseado em rede
•
Sistemas de prevenção de intrusão – IPS
•
Zona desmilitarizada – DMZ
•
Criptografia de chave privada
•
Criptografia de chave pública
•
Função de hash
•
Assinatura digital
•
Certificado/certificação digital
•
Autoridade certificadora
•
Antivírus por detecção de assinatura de arquivo
•
Antivírus por detecção de assinatura de comportamento
•
Antivírus por detecção de anomalia de comportamento
•
Anti spyware
•
Sistema antispam
•
Rede virtual privada – VPN
•
Trusted computing device – dispositivo computacional confiável
A lista não é exaustiva, sinta-se a vontade para acrescentar os itens que achar apropriados.
De posse do glossário, monte uma tabela relacionando os controles da seção 10 com os
recursos tecnológicos que podem ser utilizados para sua implementação. Note que um certo
controle pode necessitar de mais de um dos recursos na sua implementação.
21
>> CEGSIC 2009-2011 >> Gerenciamento das Operações e Comunicações
Use o formato abaixo para a tabela:
CONTROLE
RECURSO TECNOLÓGICO
JUSTIFICATIVA
Esta tabela será uma referência útil quando da execução do protocolo, sendo um dos itens
que deverá ser entregue juntamente com os resultados do estudo de caso.
22
>> CEGSIC 2009-2011 >> Gerenciamento das Operações e Comunicações
Bibliografia
ABNT, ABNT NBR ISO/IEC 17799:2005, Seção 10, ABNT, 2005.
CLEMM, A., Network Management Fundamentals, Cisco Press, 2007.
NORTHCUTT, S. et al., Network Perimeter Security, New Riders, 2003.
23