7. COBIT, ITIL, NBR 17799: OS PADRÕES • 2000: 3ª versão, com o foco em Governança de TI; • 2005: versão 4, com adequações para melhor integração com regulamentações e compliance (Basiléia e Sarbanes-Oxley). O uso, pela Organização, de práticas comprovadas identifica que ela está alinhada com padrões internacionais e facilitará qualquer auditoria ou avaliação da organização no que se refere à proteção da informação. O COBIT não exclui qualquer padrão aceito para controles de Segurança da Informação e Auditoria; ele os agrega às suas recomendações! Por exemplo: • Padrões técnicos: ISO, EDIFACT etc.; • Códigos de conduta: OECD, ISACA, Conselho Europeu etc.; • Critérios de Qualificação para Sistemas e Processos de TI: ITSEC, TCSEC, ISO9000, SPICE, TickIT, Common Criteria etc.; • Padrões profissionais para Auditoria: COSO, IFAC, AICIPA, CICA, ISACA, IIA, PCIE, GAO. O Profissional de Segurança deve desenvolver ações alinhadas com as melhores práticas para a proteção e controle da informação. Como padrões de mercado aceitos e seguidos pela grande maioria das organizações e governos encontram-se o COBIT, ITIL e a Norma NBR ISO/IEC 17799. Essas práticas recomendam a existência de processo formal de conscientização em segurança da informação, porém, não orientam como fazer essa conscientização. Então, por que devemos considerar essas práticas? Porque, de alguma forma, estaremos seguindo ou respondendo questionamentos que tomam por base essas práticas. Além disso, todas as melhores práticas enfatizam que o elo mais fraco da segurança é exatamente o ser humano. Precisamos estar cientes que cada uma dessas práticas tem abordagem e escopo diferentes. Neste capítulo, faremos uma breve descrição de cada um desses 3 padrões e sua inter-relação com a SI. COBIT - COMMON OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY O COBIT é uma estrutura de relações e processos para dirigir e controlar o ambiente de TI, orientando-a às metas da Organização e oferecendo métricas estruturadas com base no BSC em suas 4 perspectivas: Financeira, Clientes, Processos e Inovação/Aprendizado. Além da Auditoria de Sistemas, o COBIT é muito utilizado para a Governança de TI, seguindo padrões para um ambiente globalizado. Cronologia de evolução do COBIT: • 1996: 1ª versão elaborada pela ISACF - Information Systems Audit and Control Foundation; • 1998: 2ª versão, incluindo documentação de alto nível, controles, objetivos detalhados e criação do Implementation Tool Set; INFOSEC COUNCIL – 22 O COBIT 4.0 trata TI em 4 dimensões, denominados Domínios: • Planejar e Organizar: Implica uma visão estratégica para a Governança de TI, que busca a melhor realização dos objetivos organizacionais na área tecnológica; • Adquirir e Implementar: Qualifica tanto a Identificação de soluções a serem desenvolvidas e/ou adquiridas como a implementação e integração ao ambiente, assegurando que o ciclo de vida destas soluções é adequado ao ambiente organizacional; • Entregar e Suportar: Domínio responsável em verificar o tratamento de serviços demandados pelos processos de Negócios, recursos para a continuidade operacional, o treinamento e a segurança das operações. É neste domínio que se assegura a entrega de informações através do processamento de dados dos sistemas aplicativos, bem como todo o suporte necessário para sua operação no mal ou em situações anômalas; • Monitorar: Administra o processo de controles da organização de TI e a garantia de independência nas Auditorias existentes. É fundamental para avaliar contínua e regularmente a qualidade e a conformidade dos controles implantados. Nesses 4 domínios existem, de forma detalhada, 34 processos de controles de alto nível e para estes processos foram criados 318 objetivos de controles necessários para analisar e atender aos requisitos de TI e, conseqüentemente, aos objetivos do Negócio. Como resultado de avaliação desses objetivos, criam-se as estratégias para mitigação de riscos existentes, baseados nos resultados obtidos. Para cada um dos 34 processos, o COBIT contempla os Fatores Críticos de Sucesso e determina os Indicadores de Resultados (KGI) e Indicadores de Performance (KPI), que geram as métricas para a avaliINFOSEC COUNCIL – 23 ação da Governança de TI, para Diretrizes de Auditoria e para a Segurança da Informação. O COBIT apresenta um modelo para atestar a maturidade de cada processo em uma escala de 5 estágios possíveis, sendo eles: 0 – Não existe; 1 – Inicial; 2 – Repetível e intuitivo; 3 – Processos definidos; 4 – Gerenciados; 5 – Processos otimizados. Referências: IT Governance Institute – COBIT 3.0 e 4.0 www.itgovernance.org e www.isaca.org Information System Control Journal volume 6 2005 Para o Security Officer, o COBIT é utilizado como um modelo para um Programa de Segurança da Informação, INTEGRANDO segurança com os objetivos de TI relacionados aos negócios e também estruturando Políticas, Normas e Procedimentos de Segurança da Informação. O ITIL é um conjunto de padrões que provê os fundamentos para o processo de gerenciamento dos recursos tecnológicos da TI. Apresenta uma abordagem prática dos processos de produção e entrega dos serviços, baseada em experiência. Seu foco, portanto, é no serviço prestado pela TI das Organizações, visando aumentar a qualidade desses serviços. Nos Processos, existem objetivos focados para SI, tais como: DS5: Garantir a Segurança dos Sistemas; PO9: Avaliar e Gerenciar Riscos de TI; DS3: Gerência de Performance e Capacidade; DS7:Treinamentos a Usuários; DS10: Gerência de Problemas e Incidentes; DS12: Gerência de Ambientes (Segurança Física). VALMIR SCHREIBER, CISA – presidente da ISACA-SP ITIL – IT INFASTRUCTURE LIBRARY Na Gestão de Segurança, o ITIL possui um processo específico para a Segurança da Informação, enfatizando a importância do adequado gerenciamento da SI e considerando os SLA’s entre os processos do Negócio e os da TI. Além disso, recomenda que o gerenciamento de Segurança é parte integrante do trabalho de cada Gerente, em todos os níveis. A estratégia do COBIT 4.0 faz com que ele assuma diversas funções dentro da Organização: • Uma Ferramenta: para a Governança de TI; • Aderência da TI ao Negócio: Requisições orientadas e fundamentadas das áreas-fim da Organização, atendendo aos objetivos estratégicos; • Garantia de Qualidade: Harmonia e detalhamento para atender aos padrões e práticas de mercado, tais como: ITIL, ISO 17799, PMBOK e PRINCE2; • Gestão de Risco: Controles objetivos e detalhados; • Governança Corporativa: habilita e facilita a Arquitetura empresarial (RACI–Responsible, Accountable, Consulted and Informed); • Procedural: Definição de fluxos e processos de TI; • Comunicação: Unifica a linguagem e divulga os processos de TI, em todos os níveis da Organização; • Feedback: estimula os comentários, sugestões e recomendações de evolução. FUNDAMENTOS - Valor da Informação: • Confidencialidade; • Integridade; • Disponibilidade; • Privacidade; • Anonimato; • Autenticidade; • Não Repúdio. NEGÓCIO SLA TECNOLOGIA INFOSEC COUNCIL – 24 PLANEJAMENTO DA SEGURANCA INFOSEC COUNCIL – 25 ATUAÇÃO RECOMENDADA: Prevenção/ Redução Detecção Os Processos de Apoio são: • SLA; • Segurança; • Informação; • Rede e Operações. Ameaça Como itens fundamentais para a Segurança, o ITIL recomenda fortemente alguns procedimentos que possibilitam essa evolução: Incidente Repressão Danos • Catálogo de Serviços: a TI deve publicar na Organização um descritivo de seus serviços, com as respectivas condições, que atendem a cada requisito do Negócio; Recuperação • OLA’s (Operational Level Agreement): deve ser estabelecido com cada tomador INTERNO de serviço; é um SLA mais “enxuto”, mas prevendo integralmente os serviços e suas condições, inclusive custos internos; Correção Avaliação • UC’s – Underpinning Contracts: são aqueles estabelecidos com provedores externos, nos quais devem ser previstas todas as condições, incluindo bônus, penalidades, condições de saída, etc; O ITIL é dividido em 10 Processos Principais e 4 Processos de Apoio (satélites). Os Processos Principais são agrupados em dois Grupos: Grupo de Suporte aos Serviços (Service Support Set): • Gestão de Configuração e de Ativos; • Controle de Incidentes / Help Desk; • Gestão de Problemas; • Gestão de Mudanças; • Gestão de Liberação. • BD dos ativos existentes e suas configurações atualizadas, incluindo SW, HW, documentação atualizada, Procedimentos e classificação quanto à Segurança (ver quadro “Valor da Informação”, acima); • Criação de um Service Desk como ponto focal de contato para todos os Usuários de TI; é a área “dona” de todos os incidentes e seu foco é a continuidade de serviço e manutenção do SLA; incluem-se aí os incidentes de Segurança; • Gestão de Problemas: nessa área são estudados os incidentes, determinando sua relação, causas e medidas para evitá-los; essa abordagem permite detectar “brechas” de Segurança e deve prever forte documentação dos incidentes e soluções; Grupo de Serviços Prestados (Service Delivery set): • Gestão de Níveis de Serviço (SLA); • Gestão de Disponibilidade; • Gestão de Desempenho e Capacidade; • Plano de Continuidade de Negócios; • Custeio e Gestão Financeira. • Gestão de Mudanças: coordena TODAS as mudanças em infra-estrutura de TI, apóia-se na documentação dos incidentes e é responsável end-to-end da mudança; OBS: Falhas na Gestão de Mudanças são, historicamente, as causas mais freqüentes de incidentes de Segurança. INFOSEC COUNCIL – 26 INFOSEC COUNCIL – 27 • Comitê de Mudanças: autoriza, avalia e aceita as mudanças necessárias; deve ter representantes de todas as áreas (TI, Segurança e Negócio); facilita a introdução das medidas de Segurança e sua evolução; detecta novas vulnerabilidades; • Gestão de Liberação: seu objetivo é controlar a implantação e a distribuição de novas versões de SW; sua ação é disparada pelo Comitê de Mudanças e controla todos os SW corretos, reconhecidos, registrados, legais e autorizados; deve prever sempre uma situação de rollback em caso de problemas. Referências: www.itsmf.com • www.itsmf.com.br • www.itil.com.uk • www.cert.br • www.itil.org.uk 2) Foi criada uma seção específica sobre Análise/Avaliação e tratamento de riscos. Essa seção recomenda que: a. A análise/avaliação de riscos de SI inclua um enfoque para estimar a magnitude do risco e a comparação contra critérios definidos; b. As análises/avaliações de riscos de SI periódicas, contemplando as mudanças nos requisitos de SI e na situação de risco; c. A análise/avaliação de riscos de SI tenha um escopo claramente definido, que pode ser em toda a Organização ou em parte dela. A análise/avaliação de riscos é uma das três fontes principais para que uma Organização identifique os seus requisitos de SI, além de legislações vigentes, estatutos, regulamentações e cláusulas contratuais que a Organização deva atender; e os princípios, objetivos e requisitos do negócio que venha apoiar as operações da Organização. Valmir Schreiber – presidente da ISACA-SP Astor Calasso – diretor da ISACA-SP 3) Existe uma nova definição de SI, agora contemplando outras propriedades: autenticidade, não repúdio e confiabilidade. Os componentes principais para a preservação e proteção da informação, como a confidencialidade, a integridade e a disponibilidade, foram mantidos na nova definição. A NORMA NBR ISO IEC 17799:2005 A NBR ISO IEC 17799 é um código de boas práticas para a gestão da Segurança da Informação, atualizado pelo Comitê Internacional da ISO IEC. 4) O conceito de ativos foi ampliado para incluir pessoas e imagem/reputação da Organização, além dos ativos de informação, ativos de software, ativos físicos e serviços já existentes na versão 2000. 5) Uma nova seção sobre Gestão de Incidentes de SI. Aprovada pela ISO (em Genebra - 15/06/2005), é o resultado de um trabalho de cinco anos, que envolve aproximadamente 100 especialistas em SI de 35 Países. Mais de 4500 comentários foram analisados e discutidos nas várias reuniões realizadas em Seoul, Berlin, Varsóvia, Québec, Paris, Cingapura, Fortaleza e Viena, entre 2001 e 2005. A nova versão apresenta os mais modernos conceitos sobre Gestão da Segurança da Informação existentes no mercado. As principais mudanças foram: 6) Os controles existentes foram atualizados, melhorados e incorporados com outros controles. 7) 17 novos controles foram incorporados na versão 2005. No Brasil, a ABNT (Associação Brasileira de Normas Técnicas) lançou no dia 24/08/2005 a versão NBR ISO IEC 17799:2005; a partir de 2007 será numerada como NBR ISO IEC 27002. 1) Tornou a norma “user friendly”, ou seja, de fácil leitura e entendimento. Apresenta o OBJETIVO DO CONTROLE, define qual o CONTROLE a ser implementado e apresenta DIRETRIZES para a sua implementação. Além disso, ainda apresenta INFORMAÇÕES ADICIONAIS, como, por exemplo, aspectos legais e referências a outras normas. INFOSEC COUNCIL – 28 INFOSEC COUNCIL – 29 PORQUE ADOTAR A NBR ISO IEC 17799:2005 As normas publicadas pela Organização Internacional de Normalização, a ISO, têm uma grande aceitação no mercado. Um exemplo disso é a norma ISO 9001:2000, que trata da Gestão da Qualidade, considerada como a mais difundida norma da ISO que existe no mundo. No caso da NBR ISO IEC 17799, que é um Código de Boas Práticas para a Segurança da Informação, a sua aplicação é um pouco mais restrita que a ISO 9001:2000, pois ela não é uma norma voltada para fins certificação. Entretanto, a NBR ISO IEC 17799 pode ser usada pela maioria dos setores da economia, pois todas as Organizações, independentemente do seu porte ou do ramo de atuação, do setor público ou privado, precisam proteger as suas informações sensíveis e críticas. As principais recomendações da NBR ISO IEC 17799 estão detalhadas nas 11 seções abaixo, totalizando 39 categorias principais de SI: • Política de Segurança da Informação; • Organizando a Segurança da Informação; • Gestão de Ativos; • Segurança em Recursos Humanos; • Segurança Física e do Ambiente; • Gerenciamento das Operações e Comunicações; • Controle de Acesso; • Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação; • Gestão de Incidentes de Segurança da Informação; • Gestão da Contunuidade de Negócios; • Conformidade. Esta nova família estará relacionada com os requisitos mandatórios da ISO IEC 27001:2005, como, por exemplo, a definição do escopo do Sistema de Gestão da Segurança da Informação, a avaliação de riscos, a identificação de ativos e a eficácia dos controles implementados. Na reunião do Comitê ISO IEC, em Nov/2005 (Kuala Lumpur-Malásia), foram aprovadas as seguintes normas e projetos de norma desta nova família: Número: ISO IEC NWIP 27000 (NWIP= New Work Item Proposal) Título: Information Security Management Systems – Fundamentals and Vocabulary Situação: Ainda nos primeiros estágios de desenvolvimento. Previsão de publicação como norma internacional: 2008/2009. Aplicação: Apresentar os principais conceitos e modelos de SI. Número: ISO IEC 27001:2005 Título: Information Security Management Systems - Requirements Situação: Norma aprovada e publicada pela ISO em 15/10/2005. A ABNT publicará como Norma Brasileira NBR ISO IEC 27001 no primeiro trimestre de 2006. Aplicação: Todas as Organizações; define requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um SGSI. É a norma usada para fins de certificação e substitui a norma Britânica BS 7799-2:2002. Será a base para as Organizações que desejem implantar um SGSI. Número: ISO IEC 27002:2005 (Atual ISO IEC 17799) Título: Information Technology – Code of Practice for IS Management Situação: Norma aprovada e publicada pela ISO em 15/06/2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO IEC 17799 no dia 24/08/2005. A partir de 2007, será numerada como NBR ISO IEC 27002. Aplicação: Guia prático de diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de SI em uma Organização. Os objetivos de controle e os controles atendem aos requisitos identificados na análise/avaliação de riscos. A NOVA FAMÍLIA DA NORMAS ISO IEC 27000 Como forma de dar suporte à implantação da ISO IEC 27001:2005, o Comitê da ISO IEC que trata da segurança da informação decidiu pela criação de uma família de normas sobre Gestão da Segurança da Informação. Esta família foi batizada pela série ISO IEC 27000, a exemplo da série ISO 9000 das normas de qualidade e da série ISO 14000 das normas sobre meio ambiente. INFOSEC COUNCIL – 30 Número: ISO IEC 1 st WD 27003 Título: Information Security Management Systems - Implementation Guidance Situação: Em desenvolvimento, denominado de WD - Working Draft. Previsão de publicação como norma internacional: 2008-2009. Aplicação: Fornecer um guia prático para implementação de um SGSI, baseado na ISO IEC 27001. INFOSEC COUNCIL – 31 Número: ISO IEC 2nd WD 27004 Título: Information Security Management - Measurements Situação: Vários comentários já foram discutidos e incorporados ao projeto. Previsão de publicação como norma internacional: 2008-2009. Aplicação: Fornece diretrizes com relação a técnicas e procedimentos de medição para avaliar a eficácia dos controles de SI implementados, dos processos de SI e do SGSI. 8. PROGRAMAS DE CONSCIENTIZAÇÃO EM SI Número: ISO IEC 2 nd CD 27005 Título: Information Security Management Systems - Information Security Risk Management Situação: Em estágio avançado, vem sendo discutido há mais de 2 anos. Previsão de publicação como norma internacional: 2007. Aplicação: Fornece diretrizes para o gerenciamento de riscos de SI. Na verdade, quando falamos em segurança da informação não nos referimos apenas a algo que pertence somente à instituição na qual realizamos o nosso trabalho.A segurança da informação traz consigo um pouco de cada um de nós porque somos nós quem produzimos a informação. Portanto, alterar as informações institucionais é o mesmo que alterar informações pessoais, e ninguém deseja ter sua privacidade invadida ou seus segredos íntimos revelados. A preservação da intimidade é algo natural às pessoas e às sociedades humanas. Ariosto Farias Jr. – Delegado do Brasil do Comitê ISO IEC JTC1/SC27, Coordenador do ABNT/CB21/SC02 e Chairman do THE BRAZILIAN 7799 USER GROUP Qual o valor informação que você possui? A pergunta acima é fundamental para iniciar a maioria das campanhas sobre segurança da informação em empresas ou instituições. É por esse motivo que o responsável pela conscientização em relação à segurança da informação deve iniciar seu trabalho pelas pessoas que trabalham na instituição e expandir gradativamente sua conscientização para a sociedade. Somente assim poderá atingir corações e mentes, sensibilizando-os para um tema tão delicado e com presença tão constante na sociedade contemporânea. Vejamos um pequeno exemplo de como fazer um trabalho de conscientização.Tomaremos como exemplo o relato de uma experiência sobre a utilização do e-mail coorporativo. Certa vez, trabalhando em uma Organização pública eu precisava alertar as pessoas das vulnerabilidades a que elas estavam expostas ou que expunham suas instituições com o simples uso do e-mail via Internet. Então enviei, durante uma campanha de conscientização, um e-mail com o seguinte texto, que expressa a mais pura verdade técnica: “Você sabia que os administradores dos servidores de rede, em especial os dos servidores de e-mail, podem ler seus e-mails com grande facilidade?” Como podemos constatar, o e-mail acima teve por objetivo despertar no Usuário um sentimento de invasão de privacidade, já que o fato nele relatado não é de conhecimento da maioria das pessoas que utilizam os sistemas de correio eletrônico. As reações ao e-mail foram diversas. A primeira veio da área de Tecnologia da Informação, que nos acusou INFOSEC COUNCIL – 32 INFOSEC COUNCIL – 33 de quebrar a confiança do Usuário na sua área e aproveitaram a oportunidade para informar que jamais os administradores da instituição fizeram qualquer tipo de acesso a contas particulares dos servidores. A segunda reação veio dos Usuários, que queriam saber se realmente essa prática existia na instituição. Para acalmar os ânimos, comunicamos que o e-mail apenas informava que era fácil aos administradores de rede terem acesso a tudo que trafega pela sua rede de computadores, e que o alerta contido no e-mail não significava que os mesmos estivessem fazendo isso. Polêmica à parte, a maioria dos nossos Usuários, a partir de uma simples mensagem de e-mail, ficou bastante conscientizada da necessidade de cuidar do que escrevem em suas mensagens eletrônicas, e aprenderam que a única mensagem segura para se postar em um e-mail é aquela que em nenhuma hipótese as comprometeriam - a qual poderia ser lida por qualquer um durante o percurso entre o emissor e o destinatário. Outro ponto interessante que pode ser tratado com facilidade diz respeito à classificação das informações. Toda informação, seja ela da instituição ou pessoal, tem um valor intrínseco, mas somente algumas delas possuem potencial para causar prejuízo se forem disponibilizadas de maneira inadequada. Alguns autores dizem que a diferença de uma pessoa bem sucedida e uma pessoa comum é a sua capacidade de decidir e separar adequadamente o que é urgente e o que é importante. Com as informações acontece algo bastante semelhante. O segredo do sucesso está em proteger aquelas mais importantes. Quando falamos sobre o assunto nas instituições, a maioria das pessoas pensa assim: “De novo aqueles paranóicos da segurança querendo colocar o carimbo de secreto em todos os documentos e mandando aquela cartinha dizendo que quem revelar os segredos vai para rua”. É justamente esse comportamento negativo em relação a segurança que precisa ser revertido. a cada informação produzida uma nota que expresse o seu valor. Feito isso, verifique se algum documento importante será deixado sobre a mesa após o fim da rotina diária ou mesmo numa simples saída para o almoço. Como poderemos verificar, é muito fácil fazer uma campanha de segurança quando buscamos envolver nossos colaboradores e executivos de forma pessoal. Outro fator muito importante é solicitar a colaboração de todos os setores da empresa. Faça uma pequena reunião com todos: jurídico, recursos humanos e capacitação. Conscientize todos sobre a importância de sua participação para o sucesso da ação. Você tem em mãos um assunto que está na moda. Todos nós estamos permanentemente expostos aos riscos na sociedade moderna. Ajudar as pessoas com a sua proteção pessoal é a melhor maneira de se criar um ambiente positivo em relação à segurança da informação no mundo corporativo. Ao compreendermos o valor das informações que estão em nossas mãos poderemos aumentar o nível de segurança na sociedade, e isso só é possível pela conscientização. Lembre-se de João Batista, aquele personagem bíblico que falava que era a voz que clamava no deserto. O responsável pela segurança da informação é o João Batista da instituição. TC João Rufino de Sales Revisão – Marcelo Felipe Moreira Persegona M.S.C. O assunto, como disse, é de difícil abordagem e não vale a pena para quem precisa chegar num auditório falando sobre a importância da informação e sobre os graus de sigilo adotados pela sua instituição. Ao invés disso, faça o seguinte: implemente um plano de visitas aos locais de trabalho de cada pessoa, do diretor ao mais humilde funcionário, reúna um grupo de no máximo dez pessoas e chegue no horário em que todos estejam envolvidos em suas atividades de rotina. Eu descobri nas minhas visitas que o único papel que as pessoas conseguem atribuir de maneira palpável à noção de valor é ao papel moeda. Isso mesmo, ao dinheiro. Ele é um excelente assistente para o seu trabalho de informar ao Usuário da importância de atribuir segurança e proteção às informações. Na maioria das vezes você vai encontrar sobre as mesas um número considerável de documentos sem o menor tratamento de segurança, quer seja em meio físico ou digital. Sugira que cada colaborador anexe INFOSEC COUNCIL – 34 INFOSEC COUNCIL – 35 9. AMBIENTE FÍSICO E AMBIENTE VIRTUAL: TRATAMENTOS ISOLADOS? A lista, que nunca se esgota, inclui planos estratégicos, tecnologia, listas de clientes, dados de funcionários, orçamentos, dados contábeis e financeiros, idéias, projetos de marketing, planos de fusões e/ou incorporações, estratégias de relações trabalhistas, chegando até a reveses momentâneos e superáveis, mas de impacto negativo sobre a imagem da empresa. Transmitimos e queremos proteger a informação independente de onde ela esteja: ambiente físico, ambiente virtual ou na mente das pessoas. O ambiente físico deve ser contemplado no processo de conscientização da informação do Usuário, o que é mais fácil nas empresas onde já existe um bom tratamento das questões de segurança patrimonial. Em geral, nessas empresas também já existe uma percepção clara da importância das normas e de seu cumprimento, o que faz com que a migração dessa percepção para o ambiente virtual se dê de forma natural, desde que estimulada. A proteção dessas informações, que estão entre os bens da empresa e integram seus ativos, é parte das atividades diárias da organização como um todo. Não pode ser vista como responsabilidade de uma área isolada, porque as informações estão no meio que as contém (papéis, disquetes, computadores etc.) e, principalmente, na cabeça de qualquer um que delas tenha conhecimento. Qualquer programa de proteção de informações deve, portanto, prever ações de proteção de meios e ambientes, além de ser amparado por procedimentos e atitudes dos funcionários, sem o qual não atingirá seus objetivos. Importante é dar ao Usuário uma visão clara de que as informações a proteger estão por toda parte, de modo que os ambientes físico e virtual não podem ser tratados de maneira excludente ou isolada. Algumas noções podem orientar programas de divulgação, como, por exemplo, a informação, que é de propriedade da empresa e não do funcionário; a discrição, que deve orientar as atitudes de proteção; os procedimentos, que devem estar estabelecidos formalmente etc. Com efeito, a livre circulação de informações é condição de vida e de trabalho, de acesso a tecnologias e a métodos de produção, o que faz com que ela esteja em toda parte, por necessidade de negócios e de organização social. Mas a informação também é vital para a atividade criminosa contra as empresas, o que por si justifica a conscientização do Usuário para a importância da proteção das informações nos diversos ambientes em que ela circula. No ambiente físico, podem ser desenvolvidas ações de proteção sobre documentos em geral, originados da empresa ou a ela destinados. Como regra geral, todos os documentos são importantes e são de propriedade da empresa, cabendo dispensar-lhe o devido cuidado no recebimento, transporte, manuseio e guarda, para que possam produzir o efeito desejado. Um programa de proteção e conscientização pode ser amparado pelo conhecimento de alguns caminhos possíveis para a realização dessa proteção e pela integração dos Usuários nas medidas de proteção. Essa proteção deve alcançar materiais como impressos, anotações, cópias, carbonos, planos, diagramas, croquis, mapas e outros, bem como partes, rascunhos ou fragmentos, além de fotos, negativos, slides, fitas de vídeo e outros suportes de imagens, materiais gráficos das diversas fases de produção de documento classificado, materiais de informática de maneira geral, inclusive listagens. Essa proteção pode começar por um inventário das informações empresariais a serem protegidas, e aí se incluem todas aquelas que poderão ser utilizadas em prejuízo da empresa se forem do conhecimento de outras pessoas além das que delas necessitam para realizar seu trabalho. A proteção desses documentos e materiais somente será efetiva se acompanhada da proteção dos ambientes físicos em que se encontram e aqueles onde são produzidas ou discutidas as informações sensíveis, assim como os sistemas pelos quais essas informações circulam. Outra providência é a classificação das informações para efeito de uniformização da linguagem dentro da empresa, além dos critérios de classificação para evitar a inclusão de informações sem maior importância, para que não se deixe de incluir dados que, depois, se percebe que eram vitais. Esses tópicos são complexos por tratarem da proteção contra monitoramento, transmissão ou interceptação de comunicações, quer verbal, quer por telefone, fax, microondas, rádio, Internet ou o que seja, o que exige controle sobre áreas, conhecimento técnico e equipamentos que permitam detecção de dispositivos, verificação constante de linhas, acompanhamento de manutenções, limpezas, entregas, retiradas de móveis etc. INFOSEC COUNCIL – 36 INFOSEC COUNCIL – 37 A invasão de sistemas, por seu turno, pode ocorrer por conta da habilidade do invasor, mas pode ocorrer também por conta de informações obtidas na própria empresa, sem maiores dificuldades, a não ser que os Usuários internos estejam bem informados e comprometidos com a proteção. 10. SI EXTRAPOLANDO A ORGANIZAÇÃO Um Usuário não informado e não comprometido com a empresa pode fornecer informações sensíveis a terceiros nas mais diversas situações, tais como: Segurança da Informação pode ser entendida como o processo de proteger informações garantindo sua integridade, disponibilidade e confidencialidade. • Para demonstrar que é bem informado(a); • Compulsivamente, sob o efeito de álcool ou outras drogas; • Em restaurantes e encontros sociais, perto de pessoas que não conhece e que podem estar ali somente porque ele(a) está e porque sabem que costuma falar demais fora da empresa; • Para agradar pessoas a quem deve favores ou de quem quer favores; • Por dinheiro ou para obter vantagens; • Por estar apaixonado(a) por pessoa cujo objetivo é a informação e que não hesita em jogar com emoções para conseguir seu intento, para uso próprio ou a serviço de outros; • Por estar sendo chantageado(a) etc. A adoção de um modelo corporativo de gestão de segurança da informação permite à organização equacionar os desafios de proteção da informação levando em conta elementos essenciais para a segurança: ambientes físico e lógico, pessoas e processos. A espionagem industrial é desenvolvida para obter segredos empresariais, geralmente associados ao diferencial competitivo da empresa visada. Traz imensos problemas para governos, empresas, universidades, institutos de pesquisa e outros. Vemos, então, que é um engano a empresa não dispensar ao assunto a atenção devida; pode ser vítima de espionagem e perder mercado, funcionários, produtos, oportunidades e imagem, sem entender o porquê. A proteção adequada assenta-se sobre a proteção do ambiente físico, do ambiente virtual e deve contar com a participação consciente dos Usuários nas medidas e programas de proteção, sem a qual as diversas barreiras, físicas ou virtuais, poderão ser vencidas de alguma forma. Dioniso Campos – Gerente de Seg. Corporativa / Nextel e VP / ASIS e Ricardo Franco Coelho – Coordenador Segurança-SP,VP da ASIS e ABSEG Quanto mais o Usuário praticar a segurança, mais protegida a Organização estará. E por que não extrapolar esse modelo para fora da organização e incorporar as melhores práticas de segurança em nossas vidas? A conscientização de nossas famílias no ambiente doméstico é tão importante quanto no ambiente corporativo. No ambiente físico, podemos considerar o cuidado com as mídias de computador (CDs, disquetes, DVDs etc.) onde são armazenados os backups dos computadores domésticos. O cuidado com o manuseio dos próprios computadores seguindo padrões para instalação elétrica e cabeamento de dados, proteção contra danos ambientais (calor, umidade, chuva etc.) e a restrição de alimentos, bebidas e fumo próximos aos equipamentos. O ambiente lógico traz diferentes ameaças pelo crescente aumento do uso da Internet. O indiscriminado acesso a diferentes websites abre a possibilidade de infecção dos computadores por softwares maliciosos como: vírus, bombas lógicas (códigos que permanecem inativos por um determinado período de tempo), cavalos de tróia (códigos maliciosos “disfarçados” de programas inofensivos) e worms (programas que rodam de forma independente). Outro ponto de atenção é o acesso feito a partir de computadores domésticos a websites bancários. Nesse caso, as boas práticas de segurança são tão importantes na empresa como em casa, pois as mais avançadas barreiras eletrônicas de proteção conseguem bloquear a ação dos fraudadores eletrônicos. Sem orientação adequada, o Internauta doméstico se expõe aos mais variados truques e vulnerabilidades dos fraudadores eletrônicos, que têm como finalidade o roubo de dados bancários para efetuar transações financeiras indevidas. Também os sites de comércio eletrônico, amplamente acessados a partir do ambiente doméstico, merecem atenção redobrada quando se faz uso de cartões de crédito para o pagamento de compras eletrônicas. INFOSEC COUNCIL – 38 INFOSEC COUNCIL – 39 O elemento humano pode ser considerado fator decisivo para a implementação de boas práticas de segurança fora da organização. Uma nova modalidade de ataque, chamada engenharia social, vem sendo massivamente aplicada em pessoas desinformadas e ingênuas. Os tipos mais comuns de ataques são: • Por telefone: Uma pessoa se identifica como funcionário de uma instituição bancária solicitando a confirmação ou recadas tramento de dados pessoais; • Por e-mail: Uma mensagem solicitando cadastramento de dados pessoais ou informando pendências financeiras remetem o internauta a websites falsos; • Salas de bate-papo (Chat): Os golpistas vão ganhando a confiança das vítimas até obterem seus dados pessoais, como telefone, endereço residencial, endereço escolar etc.; • Pessoalmente: As pessoas são abordadas geralmente por golpistas bem vestidos, educados e que se expressam muito bem, tentando obter algum tipo de informação. 12. CONCLUSÃO Por muito tempo – e ainda hoje – considerada como um “departamento” ou simplesmente uma “atividade a mais” dentro da área de Infra-estrutura de TI, a Segurança da Informação sofreu uma radical mudança em sua percepção dentro das Organizações. Seja pela crescente e cada vez mais complexa regulamentação emergente, que atribui novas e pesadas responsabilidades aos Gestores das Empresas, seja pela diferenciação exigida pelos respectivos mercados, a SI passa a ser percebida pelo Negócio como um atributo fundamental para a consecução dos seus objetivos estratégicos. Não mais uma restrição de acesso às informações, mas um elemento de qualificação dos processos. Não mais como uma questão técnica ou tecnológica, mas um fator que permeia toda a cadeia do Negócio e o viabiliza. O grande problema é que muitos Internautas domésticos, independentemente da idade, estão dando seus primeiros passos na Internet e não têm noção dos perigos existentes na “grande rede”. E, principalmente, não mais uma responsabilidade exclusiva de um técnico enclausurado em uma torre sombria, permanentemente debruçado sobre manuais e registros de incidentes, às voltas com temas como vírus, ataques, hackers, dispositivos sensores de incidentes físicos, falta de energia, links corrompidos etc. Muitos provedores de acesso à Internet, e principalmente a mídia, têm dado atenção aos golpes existentes e ajudado na divulgação e prevenção. A Gestão do Risco tornou-se uma questão de negócio, responsabilizando toda a hierarquia da Organização, sendo uma preocupação que atinge desde o Board Director até o mais singelo Colaborador. Co-responsabilidade é a palavra chave. Fundamental então se torna a ampla compreensão dessa questão. As diversas Áreas da Organização devem cerrar fileiras em torno do tema estabelecendo verdadeiras parcerias em que a proatividade seja a regra. Por exemplo: • O Gestor do Negócio estabelece os requisitos básicos para a Operação; • O Gestor Jurídico deve analisar amplamente e acompanhar o ambiente legal e fiscal, estabelecendo as regras de adequação e atendimento às regulamentações internas e externas; • O Gestor Financeiro deve prover o atendimento às imposições dos Acionistas, sua expectativa de retorno e, principalmente, de perenidade do Negócio; • O Gestor Operacional deve propor alternativas de processos que atendam às regras de fornecimento dos produtos e serviços; • O Gestor de TI (CIO, CTO, Sistemas etc.) deve garantir que as boas práticas estejam presentes em cada sistema, desde a sua concepção; Christiane Mecca INFOSEC COUNCIL – 40 INFOSEC COUNCIL – 41 • A Auditoria Interna, inclusive a de Sistemas, deve zelar para que as regras de negócio sejam respeitadas e cumpridas com segurança e confiabilidade; • O Gestor de Marketing, junto com o Gestor de RH, deve garantir que as mensagens, as atribuições e a atitude individual esperadas (e exigidas!) de cada Colaborador sejam por ele conhecidas, praticadas e sua responsabilidade seja cobrada; • O CSO, por fim, deve observar e fazer observar todas as regras de melhor utilização da TI e de operação dos processos criados. No exemplo acima, pode até parecer que estão simplesmente enumeradas as funções básicas de cada área. E é verdade! A melhor garantia de que os processos de uma Organização tenham uma boa atuação e de que os investimentos e a sua própria reputação estejam protegidos é a colocação em prática desses princípios fundamentais. Com isso, criar-se-á um ambiente em que as responsabilidades não sejam vistas como fronteiras estritamente definidas, mas como uma atribuição constante e permanente; uma questão maior que a todos envolve e afeta. Uma prática que tem apresentado bons resultados é justamente a criação de Comitês de Segurança da Informação, compostos por representantes de todas as áreas acima mencionadas. É uma forma de unir os diversos interesses setoriais em torno de uma agenda comum. Não por acaso, este tema de “Formação de Cultura em SI” foi o escolhido como o primeiro trabalho a ser tratado pelo INFOSEC COUNCIL. Ele foi derivado exatamente dessa visão compartilhada pelos Profissionais do Grupo, com enorme experiência no tema, de que a Cultura é o ponto primeiro de todo o trabalho a ser desenvolvido pelos Gestores de SI das Organizações. Pouco ou nada adiantará a Organização empregar esforços, investimentos, planejamento e dedicação à Segurança da Informação se isso tudo não for precedido de uma verdadeira “evangelização” de toda a Equipe em prol desse ambiente. Afinal, quando tudo falha, a única coisa que pode fazer a diferença – e faz – é a atitude das pessoas. Em resumo, todo o trabalho em Segurança da Informação deverá sempre compreender um trabalho de inter-relacionamento e de uma verdadeira formação de Espírito de Equipe dentro da Organização. O compartilhamento de objetivos e o alinhamento estratégico são fundamentais. Essa é a base. Astor Calasso - diretor / ISACA-SP INFOSEC COUNCIL – 42 INFOSEC COUNCIL – 43