Exin ISO 27002 - SEC201

Material do Aluno Versão 2.6

Direitos autorais garantidos para: Antebellum Capacitação ProfissionalTodos os direitos reservados. Este manual não pode ser copiado, fotocopiado, re-produzido, traduzido para outras línguas ou convertido em qualquer forma eletrô-nica ou legível por qualquer meio, em parte ou no todo, sem a aprovação préviapor escrito da Antebellum Capacitação Profissional ® www.antebellum.com.br [email protected] ISBN: 978-85-66649-01-7 TÍTULO: Fundamentos de segurança da informação AUTOR: Fernando Sergio Santos Fonseca BELO HORIZONTE—2012 Editora Antebellum Responsabilidade Social Este material foi impresso pela Ekofootprint, utilizan- do papel reciclado e tecnologia de cera (Solid Ink) da Xerox, que reduz o impacto ambiental das impressões em 90%, se comparado à tecnologia Laser. www.ekofootprint.com 2

3

Sumário O Programa de Certificação do Exin................................. 61 - Informação e Segurança................................................... 151.1 - Conceitos Fundamentais.................................................. 151.2 - Valor da Informação......................................................... 581.3 - Aspectos de Confiabilidade.............................................. 652 - Alinhamento Estratégico.................................................. 752.1 - Governança...................................................................... 752.2 - Modelagem de Processos................................................ 912.3 - Classificação da Informação............................................. 963 - Gestão de Riscos.............................................................. 1043.1 - Ameaças........................................................................... 1043.2 - Tipos de Ameaça.............................................................. 1073.3 - Dano................................................................................. 1433.4 - Análise de Riscos.............................................................. 1514 - Abordagem e Organização............................................... 1664.1 - Políticas de Segurança...................................................... 1664.2 - Organização da Segurança............................................... 1724.3 - Gestão de Incidentes........................................................ 1785 - Medidas de Segurança..................................................... 1905.1 - A Importância das Medidas.............................................. 1905.2 - Controles Físicos............................................................... 1945.3 - Controles Tecnológicos.................................................... 2035.4 - Segurança em Software................................................... 2205.5 - Controles Organizacionais................................................ 2425.6 - Gestão de Pessoas............................................................ 2455.7 - Controle de Acesso........................................................... 2535.8 - Continuidade de Negócios............................................... 259 4

Sumário6 - Conformidade................................................................ 2666.1 - Legislação e Regulamentação........................................ 2666.2 - Avaliação....................................................................... 275 Anexo A. – Exame Simulado (Oficial Exin)..................... 280 Anexo B— Lista de Conceitos Básicos do Exin............... 301 Anexo C— Referências Bibliográficas............................ 308 Anexo D—Sites .Recomendados................................... 310 Anexo E—Cronograma do Curso................................... 312 5

O EXIN - Examination Institute for Information Science, é uma empresa glo-bal, prestadora de exame independente de TI que oferece programas de capa-citação para ISO/IEC 20000, ISO/IEC 27000, ITIL ®, MOF, entre outros. Émissão do EXIN melhorar a qualidade do setor de TI, os profissionais de TI eos usuários de TI, por meio de testes e certificações.A tecnologia da informação é a pedra fundamental do competitivo mundodos negócios de hoje. Como profissional de TI, você enfrenta o desafio diáriode fornecer serviços de TI confiáveis e acessíveis. Seu mundo é movido pelodesempenho e está em constante mutação. Muitas novas profissões de TIcontinuam a surgir. São mais de 350.000 profissionais certificados em maisde 125 países exercitando-se em Tecnologia da Informação em todos os ní-veis. Estes profissionais obtiveram sua valiosa certificação EXIN através detreinamento e exames abrangentes baseados em padrões de TI reconhecidosinternacionalmente 6

A qualidade dos serviços de TI depende muito do profissionalismo da equi-pe. O EXIN oferece acompanhamento da aprendizagem, proporcionandoaos profissionais de TIC (Tecnologia da Informação e Comunicação) ascompetências e habilidades apropriadas para aprimorar o desempenho doseu trabalho. A obtenção de um certificado EXIN é uma evidência sólida deum treinamento bem-sO programa de certificação do EXIN é dividido em três níveis. O inicial é oexame de fundamentos, destinado a todos na organização que processaminformações. Seu objetivo é criar a consciência da responsabilidade de cadaindivíduo na manutenção da confiabilidade e do valor dos ativos de infor-mação da empresa. O módulo também é adequado para pequenas empresascujos conhecimentos básicos de Segurança da Informação são necessários.O exame avançado é destinado a todos que, através de sua posição, estãoenvolvidos com a implementação, avaliação e comunicação de segurança dainformação, tais como o Gerente de Segurança da Informação e o SecurityOfficer ou o Gerente de Projetos.O exame de especialista em gerenciamento é destinado aos profissionais deTI que são responsáveis pelo desenvolvimento e implementação, em parteou no todo, das estruturas da Segurança da Informação. Exemplos podemincluir o Chief Information Security Officer, o Gerente de Segurança da In-formação, Implementador de Segurança da Informação e Arquitetos de Sis-temas de Informações. 7

1. Informação e Segurança (10%)1.1 O conceito de informação (2,5%) - O candidato entende o conceito de informação. O candidato é capaz de: 1.1.1 Explicar a diferença entre os dados e informações 1.1.2 Descrever o meio de armazenamento que faz parte da infraestrutura básica1.2 Valor da informação (2,5%) - O candidato entende o valor da infor- mação para as organizações. O candidato é capaz de: 1.2.1 Descrever o valor de dados / informação para as organizações 1.2.2 Descrever como o valor de dados / informações pode influenciar as organizações 1.2.3 Explicar como conceitos aplicados de segurança de informações protegem o valor de dados / informações 8

1.3 Aspectos de confiabilidade (5%) - O candidato conhece os aspectos de confiabilidade (confidencialidade, integridade, disponibilidade) da informação. O candidato é capaz de: 1.3.1 Nome dos aspectos de confiabilidade da informação 1.3.2 Descrever os aspectos de confiabilidade da informação2. Ameaças e riscos (30%)2.1 Ameaça e risco (15%) 0 O candidato compreende os conceitos de ameaça e risco. O candidato é capaz de: 2.1.1 Explicar os conceitos de ameaça, de risco e análise de risco 2.1.2 Explicar a relação entre uma ameaça e um risco 2.1.3 Descrever os vários tipos de ameaças 2.1.4 Descrever os vários tipos de danos 2.1.5 Descrever as diferentes estratégias de risco2.2 Relacionamento entre ameaças, riscos e confiabilidade das informa- ções (15%) - O candidato compreende a relação entre as ameaças, riscos e confiabilidade das informações. O candidato é capaz de: 2.2.1 Reconhecer exemplos dos diversos tipos de ameaças 2.2.2 Descrever os efeitos que os vários tipos de ameaças têm sobre a in- formação e ao tratamento das informações3. Abordagem e Organização (10%)3.1 Política de Segurança e organização de segurança (2,5%) - O candida- to tem conhecimento da política de segurança e conceitos de organi- zação de segurança. O candidato é capaz de: 3.1.1 enunciar os objetivos e o conteúdo de uma política de segurança 3.1.2 enunciar os objetivos e o conteúdo de uma organização de segurança 9

3.2 Componentes (2,5%) - O candidato conhece as várias componentes da organização da segurança. O candidato é capaz de: 3.2.1 Explicar a importância de um código de conduta 3.2.2 Explicar a importância da propriedade 3.2.3 Nomear as regras mais importantes na organização da segurança da informação3.3 Gerenciamento de Incidentes (5%) - O candidato compreende a im- portância da gestão de incidentes e escaladas. O candidato é capaz de: 3.3.1 Resumir como incidentes de segurança são comunicados e as infor- mações que são necessárias 3.3.2 Dar exemplos de incidentes de segurança 3.3.3 Explicar as consequências da não notificação de incidentes de segu- rança 3.3.4 Explicar o que implica uma escalada (funcional e hierárquica) 3.3.5 Descrever os efeitos da escalada dentro da organização 3.3.6 Explicar o ciclo do incidente4. Medidas (40%)4.1 Importância das medidas de (10%) - O candidato entende a impor- tância de medidas de segurança. O candidato é capaz de: 4.1.1 Descrever as maneiras pelas quais as medidas de segurança podem ser estruturadas ou organizadas 4.1.2 Dar exemplos de cada tipo de medida de segurança 4.1.3 Explicar a relação entre os riscos e medidas de segurança 4.1.4 Explicar o objetivo da classificação das informações 4.1.5 Descrever o efeito da classificação 10

4.2 Medidas de segurança física (10%) - O candidato tem conhecimento tanto da criação e execução de medidas de segurança física. O can- didato é capaz de: 4.2.1 Dar exemplos de medidas de segurança física 4.2.2 Descrever os riscos envolvidos com medidas de segurança física insuficientes4.3 medidas de ordem técnica (10%) - O candidato tem conhecimento tanto da criação quanto da execução de medidas de segurança téc- nica. O candidato é capaz de: 4.3.1 Dar exemplos de medidas de segurança técnica 4.3.2 Descrever os riscos envolvidos com medidas de segurança técnica insuficientes 4.3.3 Compreender os conceitos de criptografia, assinatura digital e cer- tificado 4.3.4 Nome das três etapas para serviços bancários online (PC, web site, pagamento) 4.3.5 Nomear vários tipos de software malicioso 4.3.6 Descrever as medidas que podem ser usados contra software mali- cioso4.4 Medidas organizacionais (10%) - O candidato tem conhecimento tanto da criação quanto da execução de medidas de segurança orga- nizacional. O candidato é capaz de: 4.4.1 Dar exemplos de medidas de segurança organizacional 4.4.2 Descrever os perigos e riscos envolvidos com medidas de segurança organizacional insuficientes 4.4.3 Descrever as medidas de segurança de acesso, tais como a segrega- ção de funções e do uso de senhas 4.4.4 Descrever os princípios de gestão de acesso 4.4.5 Descrever os conceitos de identificação, autenticação e autorização 11

4.4.6 Explicar a importância para uma organização de um Gerenciamen- to da Continuidade de Negócios estruturado 4.4.7 Tornar clara a importância da realização de exercícios5. Legislação e regulamentação (10%)5.1 Legislação e regulamentos (10%) - O candidato entende a importân- cia e os efeitos da legislação e regulamentações. O candidato é capaz de: 5.1.1 Explicar porque a legislação e as regulamentações são importantes para a confiabilidade da informação 5.1.2 Dar exemplos de legislação relacionada à segurança da informação 5.1.3 Dar exemplos de regulamentação relacionada à segurança da infor- mação 5.1.4 Indicar as medidas possíveis que podem ser tomadas para cumprir as exigências da legislação e da regulamentaçãoVantagens da certificação IFSF • Redução de riscos do negócio; • Investimento em controles de segurança da informação frente aos ris- cos do negócio (racionalidade); • Aumento da efetividade da segurança da informação (conceito de me- lhoria contínua); • Aumento de confiança nas relações comerciais; • Proteção dos ativos da informação em todas as suas formas (tecnologia, pessoas e processos); • O exame ISO/IEC 27002 do EXIN é composto de 40 perguntas em inglês, sendo necessário acertar 26 questões para ser aprovado. A taxa do exame é de US$ 165,00. • O Formato do exame é do tipo múltipla escolha e sua duração máxi- ma é de 60 minutos. 12

• Uma vez aprovado no exame, você receberá dentro de 45 dias o certi- ficado da EXIN pelo correio.• Envolvimento e comprometimento da direção da empresa na segu- rança da informação;• Padrão aceito no mundo, com mais de 2500 certificações;• Aumento da conscientização dos funcionários para assuntos referen- tes à segurança da informação;• Conformidade com requisitos legais;• Reconhecimento, por parte de terceiros, da importância da segurança da informação para a empresaFormato do Exame múltipla escolha 40 Características 60 minutos Tipo de exame 65% Número de questões Duração do exame Taxa para aprovaçãoLiteratura: O material do aluno cobre todos os requisitos do exame, in-clusive com questãoes ao final de cada capítulo e respostas comentadasno apêndice A.O aluno também pode utilizar como literatura auxiliar o seguinte livro:Hintzbergen, J., Baars, H., Hintzbergen, K. and Smulders, A. - The Basics of InformationSecurity - A practical handbook - The Netherlands, 2009 - disponível gratuitamen-te, no formato PDF (em inglês), no sítio internet do EXIN:http://www.exin-exams.com/exams/exam-program/iso-iec-27000/isfs.aspx 13

Requisito de exame Especificação de exame Peso Número ao nível de maestria (%) de ques-1 Informação e segurançaO conceito de informação tõesValor da informação 1.1 Entendimento 2.5 1Aspectos de confiabilidade 1.2 Entendimento 2.5 1Subtotal 1.3 Lembrança 5 2 10 42 Ameaças e riscosAmeaças e riscos 2.1 Entendimento 15 6 15 6Relacionamento entre amea- 2.2 Entendimento 30 12ças, riscos e confiabilidade dainformaçãoSubtotal3 Abordagem e organização Lembrança 2.5 1Política de segurança e organi- 3.1 Lembrança 2.5 1Componentes 3.2 Entendimento 5 2Gerenciamento de incidentes 3.3 10 4Subtotal4 Medidas 4.1 Entendimento 10 4Importância de medidas 4.2 Lembrança 10 4Medidas físicas 4.3 Lembrança 10 4Medidas técnicas 4.4 Lembrança 10 4Medidas organizacionais 40 16Subtotal5 Legislação e regulamentação 5.1 Entendimento 10 4Legislação e regulamentação 10 4Subtotal 100 40 Total14

A Evolveris (do Latim, que significa “Que está evoluindo”) é uma empresalíder em educação de básica, média e universitária, além de oferecer dezenasde cursos de extensão e capacitação profissional.A Empresa foi fundada na década de 1970, por um grupo de professores comuma proposta de atender à demanda de formação profissional que o Brasil seencontrava, e começou oferecendo cursos de aperfeiçoamento profissional ecursos técnicos em eletrônica, eletrotécnica e mecânica. Com o passar dotempo e o sucesso do empreendimento o grupo aumentou a gama de cursos,e por fim passou a oferecer cursos de graduação, pós-graduação e MBA, jáatuando em diversos estados brasileiros.Em 2010, a Evolveris foi adquirida pela Antebellum Group, um grupo inter-nacional, proprietário de diversas universidades e centros de treinamento emtodo o mundo. Desde então, e empresa tem realizando grandes esforços, emtodos os sentidos, para se adaptar ao nível de exigência das regulamentaçõesamericanas e europeias, assim como atender aos anseios da governança cor-porativa da empresa. 15

A Evolveris é uma organização de ensino e venda de conteúdo. A empresapossui centenas de produtos, que vão desde MBA’s até livros e cursos onlinegratuitos. Dentre os dados que a empresa armazena estão:  Cadastro pessoal - A instituição mantém um cadastro de alunos e co- laboradores, com dados pessoais de todos, e  Dados de cartão de crédito - Dados relacionado ao pagamento de ma- trícula, material didático e cursos de extensão.  Livros texto em formato eletrônico - Propriedade intelectual da Evol- veris. Engloba todo o material, para todos os tipos de curso  Dados acadêmicos - Informações sobre a vida acadêmica dos estudan- tes de cursos regulares, que envolvem seu período na Evolveris e em instituições anteriores. Informações sobre as notas e frequência dos 16

estudantes de todos os tipos de curso no período de estudo atual, quepodem ser acessadas pelos alunos e modificadas pelos professores. 17

Hilda Pfeiffer foi indicada pelo conselho de acionistas como a nova presiden-te do grupo Evolveris. Uma das principais metas de sua gestão é trazertransparência para a área de governança e criar mecanismos para garantir ocontrole do risco relacionado à não conformidade e vazamento de dadosconfidenciais.Hilda trabalhou em diversas empresas internacionais, muitas delas com for-tes requisitos de proteção a dados críticos e valiosos ativos de propriedadeintelectual.Durante sua gestão, Hilda aprenderá sobre os sistemas gestão da Evolveris esobre os controles aplicados na empresa. Ela deve avaliar, e sempre que pos-sível otimizar os resultados das ações para reduzir riscos, responder a inci-dentes e limitar a exposição legal da organização. 18

Dentre os pontos a serem otimizados, encontramos a segurança física, finan-ceira e de pessoal, além da estratégia de continuidade de negócios da Evolve-ris. 19

Na hierarquia da Evolveris, encontramos as seguintes personagens: • Allan Garcia - Chief Security Officer (CSO) - Responsável pela segu- rança corporativa • Wallace Greco - Chief Information Security Officer (CISO) - Respon- sável pela segurança da informação • Willian Souza - Chief Information Officer (CIO) - Responsável pela TI • Olivia Nakamura - Legal and Corporate Affairs - Responsável pela proteção da propriedade intelectual da empresa , além do aconselha- mento em questões legais, regulatórias e éticas. • Daniel Oliva - Chief Financial Officer (CFO) - responsável pela gestão financeira da Evolveris, além de fazer parte do comitê de segurança da informação, é responsável por aprovar orçamentos e solicitações de despesas de TI e Segurança. 20

• Alex Tesla - Responsável pela infraestrutura de comunicação da Evol- veris. Alex é conhecido pelos milagres que opera em situações críticas, mantendo a estrutura da rede operando.• Gabriel Nunes - Também conhecido como Lenda, é o responsável pela desenvolvimento dos sistemas e gestão de todos os bancos de dados da Evolveris, assim como pela segurança dos dados neles hospedados.• Samuel Lopes - Responsável pela estrutura de servidores da Evolveris,, Samuel é um entusiasta por segurança e criptografia, assim como sis- temas operacionais. Samuel é o responsável pela segurança dos dados hospedados hospedados nos hosts da Evolveris. 21

22

Uma característica natural do ser humano, que se estende para as organiza-ções, é a de somente cuidar do que dá valor. Isso pode parecer um pouco ób-vio, mas temos que considerar que nem sempre temos a percepção exata dovalor das coisas, sejam elas tangíveis ou intangíveis.Dentro desse contexto, o primeiro passo para compreender a segurança dainformação é compreender o valor da própria informação, o valor da infor-mação para os processos de negócio que dela dependem para serem concluí-dos, e como ela se transforma em algo tangível aos olhos da alta gestão dasorganizações.Em seguida, estudaremos as propriedades da informação que devem sermantidas para que ela mantenha seu valor para a organização, ou seja, umavez que sabemos dar valor à informação e hora entender como cuidar dasmesmas. 23

Por definição, informação é o resultado do processamento, manipulação eorganização de dados de tal forma que represente uma modificação(quantitativa ou qualitativa) no conhecimento do sistema (pessoa, animalou máquina). Podemos defini-la como o \"dados dotadas de significado e pro-pósito\". Ela é a substância do conhecimento, e deve responder a quatro per-guntas: Quem, o que, quando e onde.É importante lembrar que a Informação é um ativo como qualquer outro, epor isso seu valor deve ser mensurado, para que a organização crie controlespara proteger esses ativos e manter seu valor adequadamente.Os sistemas informatizados geralmente trabalham com entrada (inputs) dedados, que na maioria das vezes tem pouco valor isoladamente, e saída(outputs) de informações, que por agregarem vários dados e o conhecimentocontido no processo de manipulação dos dados possuem maior valor.O Conhecimento é construído a partir das informações absorvidas pela or- 24

ganização, e não podem simplesmente ser inseridos em um sistema. O co-nhecimento é, capturado, transportado e armazenado como informação or-ganizadaExiste sim a possibilidade de uso de uma informação da base de conheci-mento de uma empresa por outra empresa, e por esse motivo as organiza-ções precisam zelar pela confidencialidade da base de conhecimento, e dabase de dados, para que não se perca o valor investido em criação do conhe-cimentoDIKW, do inglês Data-Information-Knowledge-Wisdow, também conheci-da como Pirâmide do Conhecimento, é uma hierarquia informacional utili-zada principalmente nos campos da Ciência da Informação e da Gestão doConhecimento, onde cada camada acrescenta certos atributos sobre a ante-rior.Imagine que você encontre um arquivo chamado mwnw.txt com a palavra“Gororoba”. Temos dois dados sem nenhum sentido, o nome do arquivo eseu conteúdo. Adicionando-se o contexto de que você procurava por senhastemos a informação de que “Gororoba” é uma senha. Se você souber que estáé a senha da rede MWNW, você tem conhecimento. Sabedoria é quandovocê sabe como utilizá-la para acessar a rede MWNW. 25

O Custodiante é o agente designado pelo proprietário para processar, orga-nizar e guardar suas informações. Cabe ao custodiante zelar pelo armazena-mento e preservação de informações que não lhe pertencem mas estão sobsua custódia.Sua responsabilidade está diretamente atrelada a custódia desta informaçãoe cabe a ele garantir que os requisitos de segurança, incluindo preservaçãode confidencialidade, integridade e disponibilidade serão preservados.Exemplos de atividades executadas pelos custodiantes são backups regula-res, processos de restore e a manutenção e monitoração de registros de aces-so a informações que estão sob sua custódia. 26

Uma vez que entendemos que a informação é um ativo valoroso para a orga-nização, naturalmente entendemos que é preciso designar um proprietáriopara esse ativo, e orientá-lo quanto às ameaças e as possibilidades para pro-teção dos mesmos.O Proprietário ou gestor da informação é a pessoa ou área responsável porvalorar e proteger um conjunto de informações, e sua responsabilidade deveser formalmente atribuída e documentada.O Proprietário da informação é também o indivíduo responsável por tomaras decisões em nome da organização no que diz respeito ao uso, identifica-ção, classificação, e proteção de um recurso específico da informaçãoControle da 27002• Os ativos mantidos no inventário precisam ter um dono 27

A Análise da Informação consiste em decompor a informação em partes, pa-ra analisa-la e compreender seu processo de formação e como ela é manipu-lada.O Resultado dessa análise é frequentemente utilizado para definir a arquite-tura da informação. 28

Segundo o dicionário Aurélio, entende-se por arquitetura a arte de criar es-paços organizados e animados. No caso da informação, o espaço deve serorganizado para resistir à entropia, que vem a ser o estado de desordem na-tural de qualquer sistema, na ausência de uma força organizadora. Com osnovos ambientes digitais, compartilhados por vários usuários, torna-se ne-cessário organizar as informações de forma que continuem em ordem mes-mo sofrendo diversos acessos de escrita e leitura, garantindo sua integridadee disponibilidade“Um projeto bem implementado estrutura os dados em formatos, categoriase relações específicas. A Arquitetura da informação simplesmente se consti-tui de uma série de ferramentas que adaptam os recursos às necessidades dainformação.” 29

O armazenamento das informações está diretamente associado a sua classi-ficação, pois ela determina o tempo e às condições dessa guarda. O tempo deduração varia também de acordo com a instituição. Entretanto, dependendoda sensibilidade da informação, ela pode requerer armazenamento e/ou pro-teção especial por um tempo mais longo.Media é um vocábulo latino que em português significa meios, mas que en-trou no cotidiano brasileiro através de sua pronúncia em Inglês, tornando-seusual no falar-se mídia.Dispositivo de armazenamento é um dispositivo capaz de armazenar infor-mações em seu formato natural (dados). Essa gravação de dados pode serfeita virtualmente, usando qualquer forma de energia.Um dispositivo de armazenamento pode armazenar e processar informa-ções, mas existem também os que somente armazenam as informações, e sãochamados mídia de armazenamento. 30

O armazenamento seguro, de acordo com a classificação da informação, po-de ocorrer de diversas maneiras, como por exemplo: • Documentos impressos – cofres, gavetas com fechaduras, salas etc • Documentos eletrônicos – considerar a mídia conforme a classificação e a necessidade. As mídias são as mais diversas como na própria rede da instituição, na máquina do usuário, em CDs, DVDs, pen drives e outros. Alguns requisitos de segurança são associados como criptogra- fia e senhas.Tipos de dispositivos de armazenamento por meios: • Magnéticos – HDs, disquetes, tarjas de cartões • Ópticos – CDs, DVDs, blu-rays • Eletrônicos (SSDs) - chip - Exemplos: cartão de memória e pen driveMemória RAM não é um dispositivo de armazenamento, pois armazenaapenas temporariamente as informações. 31

Conforme visto anteriormente, devido à sua natureza abstrata, as informa-ções precisam de uma mídia para serem transmitidos e armazenados, essasmídias no entanto precisam de um cuidado especial quanto a seu manuseio,armazenamento, transporte e descarte. O critério utilizado varia de acordocom a classificação da informação que armazenamAs boas práticas recomendam que, ao se classificar uma informação se espe-cifique o tempo e as condições do armazenamento considerando sempre quequanto maior a sensibilidade de uma informação, mais rígidos devem ser oscontroles de prazo e condições de guarda.É importante destacar que as informações podem ser reclassificadas a qual-quer tempo, o que pode ocasionar uma revisão do prazo e das condições dearmazenamento das mesmas.Quando uma informação não é mais necessária, é necessário estabelecer pro-cedimentos na Política de Segurança da organização para o seu descarte, 32

avaliando se a mídia utilizada para guardar aqueda informação, assim comoas que receberam suas cópias, pode ser sanitizada para receber novas infor-mações (ex: HD, Fita, Cartão de Memória, DVD-RW), ou deve ser descarta-da (Ex: papel, fita no final da vida útil, DVD-ROM).As fases abaixo, representam o ciclo de vida da informação: Criação – Início do ciclo onde a informação é gerada, pode ser o ponto onde uma foto é tirada, uma filmagem é feita, um documento ou e-mail é escrito, etc. Transporte – Esta parte do ciclo consiste no momento do envio ou trans- porte, onde a informação é encaminhada por correio, correio eletrônico, fax, falada ao telefone ou através de alto-falantes públicos e outros. Nor- malmente ocorre antes e depois do armazenamento. Armazenamento – Momento em que a informação é armazenada, seja em uma base da dados de um banco de dados, em papel, mídia (CD, DVD, Fita, disquete, memória USB) Descarte – A parte final do ciclo é o momento em que a informação é des- cartada, ou seja, eliminada, apagada, “deletada”, destruída de forma defi- nitiva. Pode ocorrer com a simples destruição de um papel, CD, ou DVD, ou pode ocorrer de forma que sua mídia hospedeira seja reutilizada pos- teriormente. 33

Após o final da vida útil de um dispositivo de armazenamento, é necessárioque se faça uma limpeza de todas as unidades de alocação do disco, de acordocom a classificação da informação que este armazena.Para as mídias com maior requisito de disponibilidade e integridade, umaremoção mais simples dos dados pode ser o suficiente para atender os requi-sitos de segurança. Para mídias que possuem um maior requisito de confi-dencialidade pode ser necessário lançar mão de outras técnicas.Existem alguns padrões de remoção de dados residuais, que consistem emsobrescrever o disco inteiro por uma ou mais vezes, sendo que os padrõesmais “fortes” chegam a sobrescrever os discos dezenas de vezes, com sequên-cias aleatórias de dados. 34

Formula e dirige a política relativa à entrega de informações de umaorganização. • Pode fazer uso da análise e arquitetura da informação • Envolve muito mais do que o processamento de informação au- tomatizados realizados por uma organização. • Pode englobar a comunicação externa e com a mídia “O importante é entregar a informação certa às pessoas certas no tempo certo” - Thomas Davenport 35

Desde o momento em que é gerada, a informação pode passar por diversosmeios, que podem ou não tratá-la e modificá-la. Esses meios possuem ca-racterísticas diferenciadas e os esforços no sentido de garantir a Confiden-cialidade, Integridade e Disponibilidade das informações podem ser dosmais diversos.Entendemos por sistema de informação todos os componentes necessáriospara coletar, transmitir, tratar, armazenar e fornecer informações a umaorganização.As organizações devem mostrar a sua capacidade em coletar, tratar, anali-sar/interpretar e utilizar as informações ( McGee&Prusack,1994) 36

A palavra segurança, no que diz respeito à informação, costuma ser empre-gada com dois significados: 1. Estado ou condição onde aquilo que é objeto de proteção não passa por eventos que lhe causem algum mal ou comprometam seus objetivos É possível ainda que o objeto da proteção passe por tais eventos, só que eles se encontram dentro de patamares sustentáveis previamente esta- belecidos. Em ambos os casos, o estado ou condição de segurança está presente mesmo com a existência de inúmeras ameaças. 2. Conjunto de proteções projetadas e implementadas de forma a se atingir o estado ou a condição de segurança. A segurança próxima de 100% é uma meta normalmente buscada dentro do meio militar, onde falhas podem custar vidas, ativo de valor imensurável 37

Allan explica a Hilda que dentro da Evolveris existem vários tipos de ativosque devem ser protegidos pela política de segurança da informação, dentreeles: a) ativos de informação: base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou opera- ção, planos de continuidade do negócio, procedimentos de recupera- ção, trilhas de auditoria e informações armazenadas; b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvi- mento e utilitários; c) ativos físicos: equipamentos computacionais, equipamentos de comu- nicação, mídias removíveis e outros equipamentos; d) serviços: serviços de computação e comunicações, utilidades gerais, por exemplo aquecimento, iluminação, eletricidade e refrigeração; 38

e) pessoas e suas qualificações, habilidades e experiências; f) intangíveis, tais como a reputação e a imagem da organizaçãoA função da segurança da informação é preservar a confidencialidade, inte-gridade e da disponibilidade da informação e dos sistemas que as suportamcontra acesso indevido, mal uso, vazamento, modificação ou destruição. Adi-cionalmente, outras propriedades como autenticidade, responsabilidade, nãorepúdio e confiabilidade podem também estar envolvidasComo grande parte da doutrina acadêmica relacionada à Segurança da Infor-mação foi desenvolvida dentro dos meios militares, muitas pessoas têm umatendência a ver a segurança pela perspectiva do ativo e do maior nível de pro-teção que ele pode possuir. Essa ótica não é adequada nas organizações emgeral, onde o nível de proteção deve ser proporcional ao valor do ativo, ou aodano causado pelo incidente.A segurança próxima de 100% é uma meta normalmente buscada dentro domeio militar, onde falhas podem custar vidas, ativo de valor imensurável. Nasdemais organizações, segurança da informação deve alinhar-se aos os objeti-vos de negócio da empresa, o que pode levar os analistas a fazerem conces-sões a favor da eficiência do processo, em detrimento do nível de segurança.Na Evolveris, a disponibilidade de dados é uma premissa de negócio, definidapela governança da empresa. Alunos e professores precisam poder acessar emodificar os dados do sistema em qualquer lugar que estejam, e os candida-tos ou estudantes de e-learning precisam fazer todos os seus procedimentosatravés do website da empresa. 39

Dentro deste contexto, procurou-se o melhor nível de segurança, que fosseeconomicamente viável, e que não ferisse essas premissas. Durante os próxi-mos capítulos apresentaremos as soluções encontradas.A segurança da Informação deve proteger as informações de diversos tiposde ameaças, de acordo com seu valor para a empresa.Um processo de classificação da informação deve ser realizado para definiros ativos de maior valor, de acordo com sua importância para os principaisprocessos de negócio da organização, e assim definir o tipo e o nível de pro-teção adequado a cada ativo para: • Garantir a continuidade dos negócios • Minimizar o risco ao negócio • Maximizar o retorno dos investimentos e as oportunidades 40

Denominamos Infraestrutura da informação o conjunto de elementos estru-turais que enquadram e suportam toda uma estrutura.Dentro da área de tecnologia da informação, a infraestrutura consiste nosuporte físico, processual humano e tecnológico para o tráfego, armazena-mento e processamento de informações.Ao explicar as tarefas relacionadas à manutenção da segurança da informa-ção dentro da Evolveris, Wallace as divide em 3 grupos: • Processos: São fundamentais para a manutenção da segurança do ambiente, pois eles definem o comportamento esperado dos colabo- radores em relação à segurança da informação, e as tecnologias a se- rem utilizadas para assegurar a segurança da informação na organiza- ção. 41

• Pessoas: Todos os colaboradores da organização, sejam eles funcioná- rios, terceiros ou prestadores de serviço, necessitam de orientação pa- ra que possam desempenhar suas obrigações quanto à segurança da informação da melhor forma possível.• Tecnologia: Apesar de ser o componente mais visível na manutenção da segurança, não chega a ser o que mais requer esforço e investimen- to. As ferramentas são essenciais para garantia a segurança da informa- ção e monitorar o seu uso.42

As normas são criadas por diversos organismos internacionais, cada um com-posto por diversos especialistas de áreas distintas. visando consolidar emcada norma as recomendações mais relevantes sobre cada tema, de formaorganizada para que sirvam como referência para as organizações que bus-cam alcançar um determinado patamar de eficiência no assunto do qual anorma trata.Dentre os principais organismos internacionais temos:ISO (Internacional Organization for Standardization): Federação mundial dos organismos de normalização, fundada em 1947 e contando atualmente com 148 países membros, incluindo o Brasil. Já pu- blicou mais de 14.000 normas internacionais e documentos normativos.IEC (Internacional Electrotechnical Commission): Organização voltada para normalização de padrões relacionados a elétrica e eletrônica. Fundada em 1906. 43

BSI Group Responsável pela criação e manutenção dos padrões britânicos “BS - Britsh Standards”, a BSI é o equivalente da ABNT para o Reino Unido.ABNT (Associação Brasileira de Normas Técnicas): • Entidade civil, sem fins lucrativos, credenciada como único Fórum Nacional de Normalização, responsável pela elaboração das Normas Brasileiras, de caráter voluntário. • Fundada em 1940, é membro fundador e representante oficial do Bra- sil na ISO. • É composta por comitês técnicos de normalização (CB’s).Segundo a ABNT, normas são documentos estabelecidos por consenso eaprovado por um organismo reconhecido, que fornece, para uso comum erepetitivo, regras, diretrizes ou características para atividades ou seus resul-tados, visando à obtenção de um grau ótimo de ordenação em um dado con-texto.As normas da família ISO/IEC 27000 são normas internacionais que possibi-litam as organizações a implementação de um Sistema de Gestão da Seguran-ça da Informação (SGSI), através do estabelecimento de uma Política de Se-gurança, Controles e Gerenciamento de Riscos. O conjunto das normas ISO/IEC 27000 apresenta os requisitos necessários para a implementação de umSistema de Gestão da Segurança da Informação (SGSI) em qualquer organi-zação, incluindo métodos de auditoria, métricas, controle e gerenciamento deriscos. 44

Algumas outras normas:ISO 27000 -ISO 27003:2011 - Diretrizes para implantação de um sistema de gestão da seguran-ça da informação: Foca os aspectos críticos necessários para a implantação e proje-to bem sucedidos de um Sistema de Gestão da Segurança da Informação (SGSI).ISO 27004:2010 - Gestão da segurança da informação — Medição: fornece diretri-zes para o desenvolvimento e uso de métricas e medições a fim de avaliar a eficáciade um Sistema de Gestão de Segurança da Informação (SGSI) implementado e doscontroles ou grupos de controles, conforme especificado na ABNT NBR ISO/IEC27001. 45

A atual norma NBR ISO 17799 (renomeada para NBR ISO 27002) nasceu doesforço da ABNT em traduzir a norma internacional ISO/IEC 17799, que porsua vez tem origem na norma britânica BS 7799. Apesar de não ser um dospontos abordados pelos exames do EXIN, abordamos seu histórico no cursopara garantir a compreensão do contexto no qual o curso se insere.1995 - Primeira publicação da norma BS7799-1: Code of Practice for information security management1998 - Primeira publicação da norma BS 7799:2 Specification for Information Security Management Systems.1999 - BSI-U.K solicita à ISO/IEC que a norma BS7799-1 seja submetida a votação internacional1999 - Publicação conjunta das normas BS7799-1 e BS 7799-2, atualizadas e harmonizadas 46

DEZ 2000 - Norma ISO/IEC 17799 foi oficialmente publicada em Genebra, como norma internacionalDEZ 2000 - Decidida, na reunião do Comitê ABNT / CB21 / SC02, a utilização da norma NBR ISO/IEC 17799:2005 como norma brasileira e iniciados os trabalhos de tradução para o portuguêsABR 2001 – Iniciado o processo de revisão da norma pelo comitê internacional da ISO.ABR 2001 - Projeto da norma NBR ISO/IEC 17799 colocado em consulta pública19/SET/2001 - Lançamento da norma NBR ISO/IEC 17799SET 2002 – Publicação da norma BS7799-2:2002, completamente revisada por uma equipe internacional, que contou com a colaboração de vários países, inclusive o Brasil, e implementou as melhores práticas de gestão em uso (ISO 9000 e 14000)2001 – 2005 – O comitê recebe cerca de 5000 comentários de 38 países para analisar e incluir na nova versão da normaABR 2004 – Decisão do comitê internacional de iniciar a confecção de uma nova norma ou utilizar a BS7799-2 como base para criação de uma norma para implementação de Sistemas de Gestão de Segurança da Informação.ABR 2005 – A nova norma ISO/IEC 17799 é aprovada por 100% dos países membros do comitê internacional da ISO (fato raro)JUN 2005 – Norma ISO/IEC 17799:2005 é oficialmente publicada em Genebra 47

OUT 2005 – Norma é publicada em Genebra como ISO/IEC 27001:200512/ABR/2006 – Lançamento da norma NBR ISO/IEC 27001:2006 em SPABR 2007 – A norma ISO/IEC 17799 teve seu nome alterado para ISO/IEC 27002, por decisão do comitê internacional (família de normas de segurança: 27000)NBR ISO/IEC 27002:2007 – Tecnologia da Informação – Técnicas deSegurança pelo mesmo comitê da norma ISO 27001. Seu conteúdo é idênticoao da norma NBR ISO/IEC 17799:2005. 48

A ISO 27002:2005 é dividida em 11 seções e 39 categorias, que lista-mos a seguir:5) Política de segurança da informação 5.1. - Orientação da direção para segurança da informação 5.1.1 - Políticas para segurança da informação 5.1.2 - Análise crítica das políticas para segurança da informação6) Organizando a Segurança da Informação 6.1. - Organização Interna 6.1.1 - Responsabilidade e papeis pela segurança da informação 6.1.2 - Segregação de funções 6.1.3 - Contato com autoridades 6.1.4 - Contato com grupos especiais 6.1.5 - Segurança da informação no gerenciamento de projetos 49

6.2. - Dispositivos Móveis 6.2.1 - Política para uso de dispositivo móvel 6.2.2 - Trabalho remoto7) Segurança em Recursos Humanos 7.1 Antes da contratação 7.1.1 - Seleção 7.1.2 - Termos e condições de contratação 7.2 Durante a contratação 7.2.1 - Responsabilidade da direção 7.2.2 - Conscientização, educação e treinamento em segurança da infor- mação 7.2.3– Processo disciplinar 7.3 - Encerramento ou mudança da contratação 7.3.1 Responsabilidades pelo encerramento ou mudança da contratação8) Gestão de ativos 8.1 - Responsabilidade pelos ativos 8.1.1 - Inventário dos aivos 8.1.2 - Proprietário dos ativos 8.1.3 - Uso aceitável dos ativos 8.1.4 - Devolução dos ativos 8.2 - Classificação da informação 8.2.1 - Classificação da informação 8.2.2 - Rótulos e tratamento da informação 8.2.3 - Tratamento dos ativos 50