Exin ISO 27002 - SEC201

A política é um conjunto de documentos que estabelecem as regras a seremobedecidas para que a organização possua um nível aceitável de segurança.É através da política de segurança que a estratégia de SI é montada e passadapara todas as áreas envolvidas. Uma versão resumida deve ser publicada pa-ra todos os colaboradores e parceiros relevantes, como fornecedores e clien-tes.O desenvolvimento da política é ponto fundamental de uma série de normase regulamentações, além de ser incentivado por regulamentações e normasinternacionais de melhores práticas.A comunicação é tão importante quanto a própria existência da norma.Uma norma não divulgada é inócua. 151

A chancela da alta direção é um ponto fundamental para que a política desegurança possa ser gerida de forma eficaz, e para que possa contar com oapoio da maior quantidade possível de colaboradores.A política também demonstra o comprometimento da alta direção da orga-nização com a segurança.Cria uma versão simplificada da norma que destaque os principais pontospara que seja divulgada e incluída no material de contratação de novos cola-boradores.A versão completa deve estar na Intranet ou outro lugar facilmente acessívelpara todos os colaboradores. 152

Os documentos de política geralmente possuem uma estrutura hierárquicacom vários documentos, levando em consideração a política corporativa. Osdocumentos da política são, basicamente, quebrados em três categorias:Estratégicos (Diretrizes) – São as regras de alto nível que representam osprincípios básicos que a organização resolveu incorporar a sua gestão deacordo com a visão estratégica da alta direção. Servem como base para que asnormas e os procedimentos sejam criados e detalhados da forma como asáreas responsáveis (Segurança e Tecnologia) acharem mais adequada e eficaz.Táticos (Normas) – Especificam no plano tático, por assim dizer, as escolhastecnológicas e os controles que deverão ser implementados para alcançar aestratégica definida nas diretrizes.Operacionais (Procedimentos) – Detalham, no plano operacional, as confi-gurações de um determinado produto ou funcionalidade que devem ser feitaspara implementar os controles e tecnologias estabelecidas nas normas 153

IBM proíbe Siri, iCloud e Dropbox nos iPhones de funcionáriosMacworld / Austrália = 25 de maio - 12h20Companhia diz estar preocupada com o fato de que informações sensíveispossam ficar expostas.Empresa permite que funcionários usem seus smar-tphones para trabalhoA IBM baniu o Siri, o Dropbox e o iCloud dos iPhones de seus funcionáriospor preocupações com segurança de dados. A empresa de tecnologia intro-duziu uma política “traga seu próprio aparelho” em 2010, o que permite que80 mil de seus 400 mil funcionários acessem as redes da companhia a partirde seus próprios smartphones ou aparelhos mobile.Mas a CIO da IBM, Jeanette Horan, agora diz estar preocupada que informa-ções sensíveis possam ser registradas além dos servidores da IBM. Em entre-vista para o MIT Technology News, Horan disse: “Nós somos apenas extra-ordinariamente conservadores. É a natureza do nosso negócio”. Segundo areportagem, “a equipe de Horan estabeleceu diretrizes sobre quais aplicati-vos os funcionários da IBM podem usar e quais eles devem evitar”.Na lista de apps banidos estão serviços de transferência de arquivos comoDropbox. A CIO diz que a IBM teme que o uso de tais programas poderiapermitir que dados sensíveis ficassem “soltos” por aí.“Na pesquisa, descobriu-se que outros funcionários estavam violando oprotocolo ao encaminhar automaticamente seus e-mails da IBM para servi-ços públicos de e-mail na web ou usando seus smartphones para criar hots-pots abertos de Wi-Fi, o que torna os dados vulneráveis.” 154

O site especializado Cult of Mac acredita que os medos de Horan com oSiri são baseados “no fato de que o Siri é uma solução baseada na nuvem ede crowdsourcing”. O iPhone 4S envia dados de voz para a Apple para re-conhecimento e interpretação de voz. De acordo com a página, a empresadesabilitou o assistente da Apple nos iPhones ao alavancar o framework deMDM (gerenciamento de aparelho móvel) embutido nos aparelhos.(http://idgnow.uol.com.br/mobilidade/2012/05/25/ibm-proibe-siri-icloud-e-dropbox-nos-iphones-defuncionarios) 155

O Desenho da política deve obedecer a determinador critérios para a seleçãodos controles que irão compor a política, estes critérios orientarão a constru-ção dos procedimentos que conduzirão a organização a alcançar os objetivosde controle.A Prioridade é estabelecida em função da importância dos ativos para o ne-gócio da organização. A norma ISO 27001 agrupa os vários tipos de ativosem: • Ativos de informação: base de dados e arquivos, contratos e acordos, do- cumentação de sistema, informações sobre pesquisa, manuais de usuá- rio, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas; • Ativos de software: aplicativos, sistemas, ferramenta de desenvolvimento e utilitários; 156

• Ativos Físicos: equipamentos computacionais, equipamentos de comu- nicação, mídiasremovíveis e outros equipamentos; • Serviços: serviços de computação e comunicações, utilidades gerais, por exemplo aquecimento, iluminação, eletricidade e refrigeração; • Pessoas e suas qualificações, habilidades e experiências; • Intangíveis, tais como a reputação e a imagem da organizaçãoO Impacto de uma política compreende as mudanças na rotina, e qualqueraumento de prazo e custo para a realização de determinadas tarefas após aimplantação de uma dos controles.Considerando que um novo controle quase sempre traz consigo um impacto,mesmo que seja operacional, reiteramos que os controles somente devem sercriados após uma análise de risco e uma avaliação de sua necessidade e efeti-vidade.A urgência se dá por limitadores de tempo, como uma auditoria programada.Nem sempre aquilo que é importante é urgente, mas se não resolvermos oque é urgente, não conseguiremos fazer o que é importante. 157

158

Os códigos de conduta são conjuntos de regras baseadas nos princípios deconfiabilidade, transparência, confidencialidade e privacidade. Eles são utili-zados pelas organizações para definir o comportamento esperado de seuscolaboradores. Uma vez que a preservação da segurança da informação devefazer parte desse comportamento, os códigos de conduta precisam alertar ocolaborador quanto à necessidade de obedecer à política de segurança.A ISO 27002 ratifica essa necessidade, e destaca ainda as seguintes diretrizesrecomendando que a direção assegure que os funcionários, fornecedores eterceiros: • Estão adequadamente instruídos sobre as suas responsabilidades e papéis pela segurança da informação antes de obter acesso ás informa- ções sensíveis ou aos sistemas de informação; • Recebam diretrizes que definam quais as expectativas sobre a segu- rança da informação de suas atividades na organização; 159

• Estão motivados para cumprir com as políticas de segurança da infor- mação da organização; • Atinjam um nível de conscientização sobre a segurança da informação que seja relevante • para os seus papéis e responsabilidades dentro da organização; • Atendam aos termos e condições de contratação, que incluam a políti- ca de segurança da informação da organização e métodos apropriados de trabalho; • Tenham as habilidades e qualificações apropriadas.Outra informação relevante constante da norma é que se os funcionários,fornecedores e terceiros não foram conscientizados das suas responsabilida-des, eles podem causar consideráveis danos para a organização 160

Uma vez que um ativo é designado para um proprietário, esse se torna Res-ponsável por classificar o ativo quanto às suas necessidades de confidencia-lidade, integridade e disponibilidade, para a partir dessa classificação definiro nível de proteção a ser aplicado a este ativo.Posteriormente, uma análise de risco é feita, e o proprietário deve aprovar asmedidas de segurança, de acordo com seu apetite e sua tolerância a riscos, efornecer os recursos para serem implantadas. 161

O custodiante da informação deve implantar e manter as proteções designa-das pelo proprietário. O proprietário confia no custodiante designado porele para manter o ativo em segurança.Em caso de incidentes o custodiante responde por suas falhas, mas o propri-etário do ativo raramente ficará livre de assumir suas responsabilidades noincidente. Por esse motivo a literatura mais moderna trocou a expressão“transferir “ o risco para “compartilhar” o risco. 162

O CSO (Chief Security Officer) é o responsável por toda a segurança deuma organização, e o CISO (Chief Information Security Officer) deve res-ponder a ele, assim como os demais responsáveis pelas outras áreas de segu-rança, como a segurança patrimonial, subordinadas ao CSO.Dentre as atribuições do CISO encontramos a de realizar as análises de ris-cos, desenvolver e manter os controles necessários para garantir a seguran-ça da informação. 163

164

Os colaboradores de empresa desempenham um importante papel na detec-ção de fragilidades segurança, e na notificação de incidentes de segurança,uma vez que estes estão lidando com os controles e também próximos dosincidentes quando ocorrem. Para que a gestão de incidentes seja eficiente, oscolaboradores precisam ter um canal para reportar os incidentes e fragilida-des dos controles, esse canal é geralmente o Helpdesk.É importante que as pessoas não tenham receio de reportar incidentes desegurança, entendendo que essa é uma obrigação de cada colaborador.O processo também precisa garantir que a pessoa que reportou o incidenteseja informada da conclusão do incidente. 165

Ao reportar um incidente, um número mínimo de informações devem estarpresentes como:  Data e hora do incidente  Nome da pessoa que reportou o incidente  Local do incidente  Natureza do problema (Vírus, perda de dados, roubo, etc)  Impactos causados pelo incidente  Como o incidente foi descobertoSe for aplicável, as seguintes informações também devem estar presentes:  Tipo de sistema (desktop, impressora, servidor, etc)  Número ou nome do sistema  Código de erroA norma ISO 27002 tem uma seção intitulada Gestão de incidentes desegurança da informação que orienta o seguinte:Notificação de fragilidade e eventos de segurança da informação  Objetivo: Assegurar que a fragilidade e eventos de segurança da infor- mação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação em tempo hábil  Notificação de eventos de segurança da informação – Controle: Os eventos de segurança da informação devem ser relatados através dos canais apropriados da direção, o mais rapidamente possível. 166

 Notificando fragilidades de segurança da informação – Controle: Os funcionários e terceiros de sistemas e serviços de informação devem ser instruídos a registrar e notificar qualquer observação ou suspeita de fragilidade em sistemas ou serviços.Gestão de incidentes de segurança da informação e melhoriasObjetivo: Assegurar que um enfoque consistente e efetivo seja aplicado à ges-tão de incidentes de segurança da informação  Responsabilidades e procedimentos – Controle: Responsabilidades e procedimentos de gestão devem ser estabelecidos para assegurar res- postas rápidas, efetivas e ordenadas a incidentes de segurança da in- formação.  Aprendendo com os incidentes de segurança da informação – Contro- le: Devem ser estabelecidos mecanismos para permitir que tipos, quan- tidades e custos dos incidentes de segurança da informação sejam quantificados e monitorados.  Coleta de evidências – Controle: Nos casos em que uma ação de acom- panhamento contra uma pessoa ou organização, após um incidente de segurança da informação, envolver uma ação legal (civil ou criminal), evidências devem ser coletadas, armazenadas e apresentadas em con- formidade com as normas de armazenamento de evidências da jurisdi- ção ou jurisdições pertinentes.A norma ISO 27002 destaca as Responsabilidades e Procedimentos para ges-tão de incidentes: 167

Controle: Convém que responsabilidades e procedimentos de gestão sejamestabelecidos para assegurar respostas rápidas, efetivas e ordenadas a inci-dentes de segurança da informação.Diretrizes para implementação: Convém que á notificação de eventos de se-gurança da informação e fragilidades, o monitoramento de sistemas, alertas evulnerabilidades seja utilizado para a detecção de incidentes de segurança dainformação.Convém que as seguintes diretrizes para procedimentos de gestão de inci-dentes de segurança da informação sejam consideradas:a) Procedimentos sejam estabelecidos para manusear diferentes tipos de se-gurança da informação, incluindo:  falhas de sistemas de informações e perda de serviços  código malicioso  denial of services (negação de serviço)  erros resultantes de dados incompletos ou inconsistentes  violações de confidencialidade e integridade  uso impróprio de sistemas de informação.b) Além dos planos de contingência, convém que os procedimentos tambémconsiderem:  análise e identificação da causa do incidente  retenção 168

 planejamento e implementação de ação corretiva para prevenir a sua repetição, se necessário  comunicação com aqueles afetados ou envolvidos com a recuperação do incidente  notificação da ação para a autoridade apropriadaDentre outras recomendações a norma ainda destaca que convém que os ob-jetivos da gestão de incidentes de segurança da informação estejam em con-cordância com a direção e que seja assegurado que os responsáveis pela ges-tão de incidentes de segurança da informação entendam as prioridades daorganização no manuseio de incidentes de segurança da informação. 169

Originalmente publicada no Reino Unido, no ano 20000 como BS 15000, aISO 20000 é uma norma de gerenciamento, voltada para o estabelecimento emanutenção de processos, ela é apropriada para provedores de serviço de TIe empresas qualquer empresa que tenha uma área de TI, com exceção dasmuitos pequenas, onde a ISO 9000 pode ser mais apropriada.A ISO 20000 visa, assim como a ISO 27002, a garantir a disponibilidade doambiente, e possui processos mais detalhados, podendo prestar um grandeapoio à segurança da informação.A ISO 20000 é dividida em duas partes:Parte 1 – Especificação: Documenta os requisitos que uma organização preci-sa estar em conformidade para alcançar a certificação formal em ISO 2000Parte 2 – Código de Práticas: Detalhamento e explicação dos requisitos daparte 1 170

Ambas as partes compartilham uma estrutura em comum:1 – Escopo2 – Termos e Definições3 – Requisitos para um sistema de gestão4 – Planejando e implementando a gestão de serviços5 – Planejando e implementando serviços novos ou alterados6 – Processos de entrega de serviço7 – Processos de relacionamento (com terceiros)8 – Processos de resolução9 – Processos de controle10 – Processos de entrega (disponibilização do serviço) 171

Quando o atendimento de primeiro nível ao colaborador não consegue lidarcom o incidente, por um motive qualquer, existe o escalonamento do inci-dente, que pode ocorrer de duas formas, de acordo com a causa do escalona-mento: • Funcional – Quando um colaborador não tem o conhecimento técnico para resolver o incidente Ex: Quando um atendente de em Help Desk testa todo seu check –list ele precisa escalar para alguém com uma vivência maior • Hierárquico – Quando o colaborador não possui a autonomia para resolver o incidente, é necessário acionar um superior, conselho ou equivalente para a tomada de decisão. Ex: Manter ou não um servidor operante após um incidente 172

Na ilustração acima podemos identificar o ciclo de vida de um incidente:1) Ameaça – Sem ameaças não existe incidente. No entanto, por mais queapliquemos controles preventivos (como desligar um modem de RAS oucolocar um firewall e antivírus) para a redução de ameaças algumas eventu-almente se tornarão um incidente2) Incidente – Controles detectivos são importantes nessa fase para que areação seja rápida, e os danos sejam minimizados. Um controle detectivo(como um IDS) pode garantir a rápida detecção de um incidente, disparan-do um controle repressivo (como uma regra dinâmica de firewall) antes queo dano aumente3) Dano – Variam de acordo com a ameaça e a velocidade com que os con-troles repressivos foram acionados. Um sistema de contenção de incêndiopor exemplo pode diminuir consideravelmente os danos a uma estrutura. 173

4) Recuperação – Nesta fase o incidente já se encontra sob controle e inicia-mos as ações pararecuperação do ambiente. Essa é a hora de aplicar os con-troles corretivos, como voltar umback-up, ou substituir um equipamentoApós conter o incidente, avaliar o dano e iniciar a recuperação do ambiente enecessário iniciar uma avaliação (analisando logs, por exemplo) do incidentepara encontrar a causa raiz e avaliar a necessidade de se criar novos controlespara evitar que este incidente se repita no futuro. 174

175

176

Continuando sua explicação, Wallace toma como exemplo um sistema deERP da Evolveris. Analisando as proteções de dentro para fora, podemosencontrar os dados sensíveis criptografados dentro da aplicação. Outra apli-cação que faz parte deste contexto é o banco de dados que guarda os dadosdo ERP.Essas aplicações são gerenciadas pelo sistema operacional do host (que tam-bém pode gerenciar dados diretamente), e o Host (máquina hospedeira) porsua vez, encontra-se na rede interna de uma empresa, que tem seu períme-tro lógico defendido por Firewall, IDS e IPS) e físico defendido pelo contro-le de acesso físico, com travas, fechaduras, guardas, etc. Todas essas prote-ções dependem diretamente de processos bem definidos, da execução depolíticas bem elaboradas e de pessoas preparadas e comprometidas para se-gui-las corretamente.Defesa em profundidade significa prover múltiplas camadas de proteçãocontra ameaças em diversas partes da organização. Deve-se aplicar a segu-rança no maior número de camadas possíveis 177

Os controles de segurança da informação devem ter uma origem bem justifi-cada, e sofrer uma revisão periódica para analisar sua aderência e eficiência.A principal origem de controles se dá nas regulamentações. As organizaçõesprecisam atender às regulamentações da área em que estão inseridas, e paraisso precisam ter em sua política de segurança controles que enderecem essesrequisitos. Exemplos de controles dessa categoria são os controles sobre da-dos de cartão de crédito (PCI DSS), dados de saúde (ANS), integridade derelatórios financeiros (Sarbanes-Oxley), etc.Outra grande origem de controles são os requisitos de negócio. Se uma orga-nização opera com projetos automobilísticos ou eletrônicos, ela precisa ga-rantia a confidencialidade de seus projetos para sobreviver no mercado.Por outro lado, se tratamos de uma organização que trabalha com venda deinformações, precisa garantir a integridade e confidencialidade das mesmas. 178

A Terceira e mais importante origem de controles é a análise de riscos. Nãoque os itens anteriores não precisem passar por uma análise de risco, mas aanálise em questão é uma análise feita a partir da própria ISO 27002, paraverificar o “Gap” entre a situação ideal e a situação atual da empresa.Os controles gerados são de três tipos: Físicos, organizacionais e Tecnológi-cos, sendo que: • Controles Físicos: roletas, catracas, portas, crachás e qualquer outra coisa que auxilie no controle de acesso físico aos ativos ou ajude a pre- servar a integridade física destes, como o sistema de refrigeração, esta- bilizadores e nobreaks. • Controles Organizacionais: Termos de aceitação da política de segu- rança, treinamentos, e todo tipo de ação que discipline a forma de uso dos ativos de informação. • Controles Tecnológicos: Firewall, IPS, IDS, antivírus e qualquer outra peça de hardware ou software que auxilie na preservação dos ativos. 179

Independente de sua natureza (física, organizacional ou tecnológica) as me-didas de segurança se organizam nas seguintes categorias: • Redução: Evitar que as ameaças se concretizem através de controles atu- em sobre as ameaças. . • Prevenção: Impossibilitar que um incidente aconteça (Ex: cortar o link com a Internet) • Detecção: Detectar rapidamente o incidente e diminuir o dano (Ex:IDS, detector de fumaça) • Repressão: Evitar que o incidente tenha proporções maiores (Ex: Porta corta-fogo, no-break) • Recuperação: Recuperar o ambiente (Ex: Backup, equipamento reserva) • Seguro: Destinado a certos incidentes de segurança quando a implemen- tação de medidas de segurança pode ser muito cara 180

181

A segurança física pode ser vista em um modelo de camadas, como oda figura acima. Na categoria principal temos:Anéis de proteção • Área em volta do prédio • O prédio • O espaço de trabalho • Os objetos 182

Segundo a ISO 27002, os controles físicos previnem o acesso físico nãoautorizado, danos e interferências com as instalações e informações daorganização.A Norma especifica dois importantes pontos a serem tratados: • Perímetro de segurança física: utilizar perímetros de segurança (paredes, portões de entrada com cartões, etc) para proteger as áreas processamento e armazenagem de informações • Controles de entrada física: visam assegurar que somente pesso- as autorizadas tenham acesso a um local. 183

A Evolveris adota uma política de mesa e tela limpa, evitando que papeis emídias removíveis fiquem acessíveis a terceiros, obedecendo a política declassificação da informação e requisitos legais.Todos os colaboradores devem evitar que papeis e mídias removíveis fiquemexpostos, adotando regras proporcionais à classificação da informação. Den-tre as ações indicadas encontramos: • Colaboradores devem retirar seus papeis imediatamente das impres- soras • O uso de copiadoras seja monitorado • Correios e fax sejam protegidos 184

A Evolveris possui uma solução de no-break, ou fornecedor ininterrupto deenergia (UPS- Uninterruptible Power Supply), que garante a continuidadeda alimentação elétrica mesmo que a energia principal venha a falhar.O tempo suportado pelo equipamento varia de acordo com a carga suporta-da por suas baterias. Normalmente o nobreak suporta o ambiente por algunsminutos ou algumas horas, depois desse tempo é necessário que seja utiliza-do um gerador externo para recarregar suas baterias.Allan destacou que dentre os projetos para o próximo exercício fiscal, en-contra-se a compra de um gerador para o Datacenter, projeto que não foiaprovado no ano anterior, e solicitou a atenção de Hilda para este assunto.A ISO 27002 destaca em suas diretrizes para implementação que convémque todas as utilidades, tais como suprimento de energia elétrica, suprimen-to de água, esgotos, calefação/ventilação e ar condicionado sejam adequadospara os sistemas que eles suportam. 185

A norma recomenda também que estes sejam sempre inspecionados em in-tervalos regulares e testados de maneira apropriada para assegurar seu funci-onamento correto e reduzir os riscos de defeitos ou interrupções do funcio-namento, garantindo também um suprimento adequado de energia elétrica,de acordo com as especificações do fabricante dos equipamentos.Recomenda-se o uso de UPS (No-break) para suportar as paradas e desliga-mento dos equipamentos ou para manter o funcionamento contínuo dosequipamentos que suportam operações críticas dos negócios.Convém que seja considerado um gerador de emergência, e um suprimentode combustível adequado, caso seja necessário que o processamento continuemesmo se houver uma interrupção prolongada do suprimento de energia.A norma também aconselha que a capacidade dos geradores e nobreaks se-jam verificados em intervalos regulares para assegurar que eles tenham capa-cidade adequada, e sejam testados de acordo com as recomendações do fabri-cante. Além disto, deve ser considerado o uso de múltiplas fontes de energiaou de uma subestação de força separada, se o local for grande o suficiente.A Norma ainda traz as seguintes recomendações: • Convém que as chaves de emergência para desligamento da energia fiquem localizadas na proximidade das saídas de emergência das salas de equipamentos para facilitar o desligamento rápido da energia em caso de uma emergência. 186

• Convém que seja providenciada iluminação de emergência para o caso de queda da energia. • Convém que os equipamentos de telecomunicações sejam conectados à rede pública de energia elétrica através de pelo menos duas linhas separadas, para evitar que a falha de uma das conexões interrompa os serviços de voz.Destaca ainda a norma em informações adicionais que, as opções para assegu-rar a continuidade do suprimento de energia incluem linhas de entrada re-dundantes, para evitar que uma falha em um único ponto comprometa o su-primento de energia.Mesmo com todos estes cuidados, é recomendável que hajam planos de con-tingência de energia referentes às providências a serem tomadas em caso defalha do UPS e/ou gerador. 187

Toda a entrada e saída de pessoas nas áreas sensíveis é monitorada por câ-meras IP, que armazenam localmente as imagens. por um período de 3 me-ses, e transmitem imagens estáticas à sede, para evitar um excesso de uso debanda e armazenamento. • As câmeras são protegidas fisicamente contra adulteração ou desati- vação • Os dados locais são armazenados por 3 meses • A sede armazena as imagens estáticas por 2 anos 188

O Acesso físico a roteadores de redes sem fios, gateways, dispositivos portá-teis, hardwares de comunicação/rede e linhas de telecomunicação é restritoàs áreas que precisam manusear estes aparelhos.Em casos como os roteadores sem fio, o equipamento deve estar em diversasáreas, e por isso recebe uma proteção física adicional quando exposto.Os pontos de rede: • Devem ser ativados somente quando necessário e pelos funcionários autorizados • Devem estar protegidos contra adulteração ou desativação • Visitantes Devem sempre ser acompanhados nas áreas com pontos de rede ativos 189

A climatização é tão essencial quanto a energia elétrica para um datacenter.Ela garante que os equipamentos tenham um ambiente propício para seufuncionamento, livre de aquecimento e umidade em excesso.Existem inúmeros relatos de indisponibilidade e até mesmo perda de dadosdevido a superaquecimento. Os computadores dispersam muito calor, e semum tratamento adequado o ambiente rapidamente chaga a uma temperaturaonde há perda de integridade física (e consequentemente lógica) e/ou ospróprios equipamentos deixam de funcionar para evitarem danos a si mes-mos.No clima tropical da América do Sul, uma climatização redundante é tãoessencial como um nobreak para a disponibilidade dos dados. 190

Os meios de transmissão, com ou sem fio, estão sujeitos a interferências, quepodem comprometer a integridade e disponibilidade dos recursos de comu-nicação da empresa, ou ainda a confidencialidade caso sofram um ataque como objetivo de roubar dados.A ISO 27002 atenta para os seguintes fatos: • Segurança do Cabeamento, que se aplica ao cabeamento de energia e de telecomunicações: • As linhas de energia e de telecomunicações que entram nas instalações de processamento da • informação sejam subterrâneas (ou fiquem abaixo do piso), sempre que possível, ou recebam uma proteção alternativa adequada; • Cabeamento de redes seja protegido contra interceptação não autori- zada ou danos, por exemplo, pelo uso de conduítes ou evitando traje- tos que passem por áreas públicas; 191

• Os cabos de energia sejam segregados dos cabos de comunicações, para evitar interferências; • Nos cabos e nos equipamentos, sejam utilizadas marcações clara- mente identificáveis, a fim de minimizar erros de manuseio, como por exemplo, fazer de forma acidental conexões erradas em cabos da rede; • Seja utilizada uma lista de documentação das conexões para reduzir a possibilidade de erros;192

193

Tradicionalmente definimos FIREWALL como um dispositivo (Software ouHardware) que permite o controle do tráfego entre duas ou mais redes. UmFirewall examina todo tráfego de rede e bloqueia as transmissões que nãoatendem os critérios de segurança especificados.O Firewall permite que redes com níveis distintos de confiança conversemde forma segura. Os primeiros firewalls implantados separavam a rede inter-na (nível de confiança alta) da Internet (nível baixo de confiança), mas naatualidade recomenda-se a implantação de firewalls em vários perímetros derede, separando-se redes de servidores de redes de clientes, redes de extra-net de redes de servidores, etc.Mesmo confiando na eficiência de um firewall na borda da rede, a maioriados ataque corporativos da atualidade acontecem de dentro da rede, geral-mente por um dispositivo móvel que entra no perímetro físico já contamina-do com um Malware. 194

Dessa forma, os hosts da rede interna devem estar protegidos por um fire-wall pessoal, que ofereça proteção aos hosts contra ataques externos(quando fora da rede corporativa) e ataques internos. O firewall pessoal temcomo principal objetivo controlar o acesso realizado para o host e a partir dohost no qual está instalado.O firewall pessoal é muito útil em ambientes como a DMZ, onde os hostsficam expostos a diversos tipos de ataques. Além disso, podem alertar paranovas conexões que indiquem vírus, worms, invasões, etc.A Política da Evolveris exige que os computadores móveis e/ou de proprie-dade do funcionário com conectividade direta à Internet (por exemplo, lap-tops usados pelos funcionários), e que são usados para acessar a rede da em-presa tenham um software de firewall pessoal instalado, em funcionamento,e configurado pela organização de acordo com padrões específicos e não po-de ser alterado pelos usuários de computadores móveis e/ou de propriedadedo funcionário 195

A Evolveris desenvolveu uma política de Backup visando manter a integrida-de e disponibilidade da informação e dos recursos de processamento de in-formação.A politica de Backup da Evolveris leva em consideração os seguintes aspec-tos definidos no item 10.5.1 da ISO 27002: • Os registros produzidos sobre as cópias são completos e exatos e inclu- em documentação sobre os procedimentos de recuperação; • a extensão (completa, incremental, diferencial) e a frequência da geração das cópias refletem os requisitos do negócio, requisitos de segurança e a criticidade da informação, podendo variar de acordo com a classificação da mesma; • as cópias são armazenadas em uma localidade remota, a uma distância suficiente para escapar de danos de um desastre no local principal; 196

• deve ser dado um nível apropriado de proteção física e ambiental das in- formações das cópias de segurança (ver seção 9), consistente com as nor- mas aplicadas na instalação principal; os controles aplicados às mídias na instalação principal sejam usados no local das cópias de segurança; • as mídias e os procedimentos de recuperação são testados regularmente, assim como os equipamentos de restauração do ambiente de continuida- de, para garantir que elas são suficientemente confiáveis para uso de emergência, quando necessário; • os procedimentos de recuperação são verificados e testados regularmen- te, de forma a garantir que estes são efetivos e que podem ser concluídos dentro dos prazos definidos nos procedimentos operacionais de recupe- ração; • as cópias de informações mais sensíveis, como as que contém informa- ções sobre cartões de crédito e dados pessoais de clientes são protegidas através de encriptação.O tipo de mídia de armazenamento a ser utilizado em cada cópia é definidode acordo com o tempo de retenção dos dados para que a informação não sedeteriore antes do tempo previsto. 197

A Criptografia é uma ciência milenar, responsável por manter os segredos daantiga Roma, peça fundamental na Segunda Guerra Mundial e atualmenteé estrela do mundo da Segurança da Informação.Diversos sistemas operacionais, bancos de dados, protocolos de comunica-ção ou simples sistemas de armazenamento de arquivos chegam aos consu-midores providos desta função de embaralhar os dados. Através do uso deum algoritmo (sequência de passos para o embaralhamento) os dados a se-rem protegidos e de uma chave (conjunto de bits) transforma-se textos oudados abertos em códigos ilegíveis.A chave existe para se misturar ao texto e embaralha-lo (encriptá-lo) e pos-teriormente, ser misturada ao texto criptografado e recuperá-lo (decriptar).Isso é Criptografia no mundo computacional, e isso era Criptografia há milanos. Porém, se hoje temos computadores para criptografar dados e proces-sar informações que antes eram impossíveis. Os mesmos computadores são 198

usados para quebrar algoritmos e descobrir a chave que foi usada(criptoanálise). Uma chave com poucos caracteres é fácil de ser adivinhada.Podem-se tentar algumas possibilidades até que se consiga chegar na chavecerta.A criptografia é um componentes vital da proteção de dados críticos, e paragarantir que todos os dados recebam o tratamento devido, a Evolveris man-tém um inventário de todas os locais onde os dados críticos estão armazena-dos, e uma forte política de criptografia de dados em diversos dispositivos,principalmente em mídias removível (por exemplo, fitas de back-up) 199

Controles criptográficos podem ser usados para alcançar diversos objetivosde segurança, como, por exemplo:a) Privacidade/confidencialidade: usando a criptografia da informação paraproteger informações sensíveis ou críticas, armazenadas ou transmitidas;b) Autenticação/autenticidade: usando assinaturas digitais ou códigos deautenticação de mensagens (MAC) para proteger a autenticidade e integri-dade de informações sensíveis ou críticas, armazenadas ou transmitidas;c) Integridade: a integridade pode ser verificada de forma independente daautenticidade, através de funções de hashd) Não-repúdio: usando técnicas de criptografia para obter prova da ocor-rência ou não ocorrência de um evento ou ação. 200