Brasília
2015
Copyright © 2015 de Mauricio Rocha Lyra
1ª edição – 2015
ISBN: 978-85-920264-1-7
L992
Lyra, Mauricio Rocha
Governança da Segurança da Informação/ Edição do Autor – Brasília, 2015
160p. 17,5cm x 25cm
ISBN 978-85-920264-1-7
CDD-600-000
Índices para catálogo sistemático
INTRODUÇÃO
ESTRATÉGIA E SEGURANÇA
DE INFORMAÇÃO
1
Governança da Segurança da Informação
3
Governança da Segurança da Informação
4
Governança da Segurança da Informação
Cada uma das ações de TIC deve ser avaliada e ter um custo estimado
para sua implantação, assim como, a cada conjunto de informações, deve ser
estabelecido um valor decorrente do dano em caso de seu vazamento ou
alteração indevida. A comparação entre o valor do potencial dano versus o
custo para a sua proteção dará uma dimensão da viabilidade, ou não, de se
implementar as ações preconizadas.
1
O sequestro de arquivos é feito através do acesso criminoso aos arquivos e a criptografia deles com
chave conhecida apenas pelo sequestrador. Se a empresa não tiver backups seguros e atualizados
desses dados ela poderá ser obrigada a pagar o resgate cobrado para poder receber a chave de
criptografia usada pelos criminosos.
2
Bitcoins é uma moeda virtual muito usada em transações na Internet e que, por não ter registro
público, dificulta o rastreamento do seu fluxo.
6
Governança da Segurança da Informação
Referências
DOHERTY, N.F., FULFORD, H., Aligning the information security policy qwith
the stracegic information systems plan, Computer & Security, 2005, vol. 25
Sobre o autor
7
Governança da Segurança da Informação
8
Governança da Segurança da Informação
CAPÍTULO 1
CONCEITOS E PRINCÍPIOS
DA SEGURANÇA DA INFORMAÇÃO
10
Governança da Segurança da Informação
Além destes, segundo Lyra (2008, p.4), podemos citar mais alguns
aspectos complementares para garantia da segurança da informação:
11
Governança da Segurança da Informação
12
Governança da Segurança da Informação
1.3 Vulnerabilidade
A vulnerabilidade está intimamente ligada ao ponto fraco de um ativo,
ou seja, pode ser entendida como uma fragilidade. Trata-se de um erro no
procedimento (no caso de sistemas), falha de um agente ou má configuração
dos aplicativos de segurança, de maneira não proposital ou proposital, gerando
assim, uma informação não confiável. Quando isso ocorre, temos um
“rompimento” de um ou mais princípios da segurança da informação.
Beal (2008, p. 14) elucida o conceito de vulnerabilidade como sendo
uma “fragilidade que poderia ser explorada por uma ameaça para concretizar
um ataque”.
Em complemento a este conceito, Lyra (2008, p.06) afirma que:
13
Governança da Segurança da Informação
1.4 Ameaça
No começo deste capítulo, ao definirmos o conceito de Segurança da
Informação, foi lançada a seguinte questão: “O que proteger?”. A partir de
então, foi destacado que o objetivo da segurança era garantir a
confidencialidade, integridade e disponibilidade (e, como vimos, vários outros
aspectos) dos elementos de valor da organização, ou seja, dar proteção
adequada aos ativos da informação que representassem alta
14
Governança da Segurança da Informação
1.5 Ataque
15
Governança da Segurança da Informação
16
Governança da Segurança da Informação
17
Governança da Segurança da Informação
Dias (2000, p.69) informa que o impacto pode ser pode ser de curto ou
longo prazo em função do tempo em que atinge significativamente os negócios
da instituição. Dentro deste contexto, temos as seguintes categorias:
0. Impacto irrelevante
1. Efeito pouco significativo, sem afetar a maioria dos processos de
negócios da instituição.
2. Sistemas não disponíveis por um determinado período de tempo,
podendo causar perda de credibilidade junto aos clientes e pequenas
perdas financeiras.
3. Perdas financeiras de maior vulto e perda de clientes para a
concorrência.
4. Efeitos desastrosos, porém sem comprometer a sobrevivência da
instituição.
5. Efeitos desastrosos, comprometendo a sobrevivência da instituição.
Portanto, conhecidos os conceitos de Ativos de Informação,
Vulnerabilidades, Agentes, Ameaças, Ataques, Incidentes de Segurança e
Probabilidade e Impacto, vejamos um esboço gráfico que explica a conexão
entre todas essas características de uma maneira mais simples.
Fonte: O autor
18
Governança da Segurança da Informação
1.8 Referências
Sobre o autor
19
Governança da Segurança da Informação
20
Governança da Segurança da Informação
CAPÍTULO 2
2. Obtenção
Nesta etapa são desenvolvidos procedimentos para captura e recepção
da informação proveniente de uma fonte externa (Em qual quer mídia ou
formato), ou da sua criação.
No caso da captura de informações de fontes externas, devemos ter a
preocupação com integridade da informação, ou seja, é preciso garantir que é
genuína, produzidas por pessoas ou entidades autorizadas, está completa e
compatível com os requisitos apontados na etapa anterior. (LYRA, 2008)
21
Governança da Segurança da Informação
3. Tratamento
Antes de estar em condições de ser aproveitada é comum que a
informação precise passar por processos de organização, formatação,
estruturação, classificação, análise, síntese, apresentação e reprodução, com o
propósito de torná-la mais acessível, organizada e fácil de localizar pelos
usuários. Nesta etapa, a preocupação com a integridade continua em
evidência, principalmente se estiverem envolvidas técnicas de adequação do
estilo e adaptação de linguagem, contextualização e condensação da
informação, entre outras.
O uso dessas técnicas deve levar em conta a preservação das
características de quantidade e qualidade necessárias para que a informação
efetivamente sirva ao fim a que se propõe. No caso das atividades de
reprodução da informação para posterior distribuição, as questões relacionadas
à preservação da confidencialidade podem adquirir grande relevância, uma vez
que a existência de diversas cópias de uma mesma informação, qualquer que
seja a mídia utilizada (computador, papel, disquete, fita de áudio ou vídeo,
etc.), amplia os problemas de restrição de acesso aos usuários devidamente
autorizados. (BEAL, 2008)
4. Distribuição
Esta etapa consiste em levar a informação até seus consumidores.
Quanto mais capilar for a rede de distribuição, mais eficiente será esta etapa.
Fazendo chegar a informação certa a quem necessita dela para tomada de
decisão. (LYRA, 2008)
5. Uso
O uso é sem dúvida a etapa mais importante de todo o processo de
gestão da informação, embora seja frequentemente ignorado nos processos de
gestão das organizações.
22
Governança da Segurança da Informação
6. Armazenamento
7. Descarte
23
Governança da Segurança da Informação
Perda de Causa:
Divulgação das informações de forma não
confiabilidade
autorizada.
Consequências:
– Comprometimento da credibilidade;
– Embaraço ou ação legal contra a organização.
Fonte: STONEBURNER (2004, p.25)
Referências
24
Governança da Segurança da Informação
25
Governança da Segurança da Informação
Sobre os autores
26
Governança da Segurança da Informação
CAPÍTULO 3
ORGANIZAÇÃO DA SEGURANÇA DA
INFORMAÇÃO
27
Governança da Segurança da Informação
28
Governança da Segurança da Informação
29
Governança da Segurança da Informação
Vantagens Desvantagens
Escritório de 1. Disponibilidade da 1. Custo com local físico e
Segurança da equipe em um local fixo equipamentos
Informação 2. Disponibilidade da 2. Custo com pagamento de
equipe em tempo integral pessoal específico para
3. Atribuições da equipe segurança de informação
somente focadas em
segurança da informação
Comitê de 1. Custo inexistente de 1. Não disponibilidade em
Segurança da pagamento para pessoal tempo integral da equipe
Informação específico de segurança 2. Equipe com diversas
da informação atribuições além de
2. Custo inexistente com segurança da informação
local físico
Fonte: os autores
30
Governança da Segurança da Informação
31
Governança da Segurança da Informação
32
Governança da Segurança da Informação
Ciência da Computação;
Engenharia da Computação;
Auditoria de Sistema;
Governança de Tecnologia da Informação.
Ciência da Computação;
Engenharia da Computação;
Auditoria de Sistema;
Governança de Tecnologia da Informação;
Análise e Desenvolvimento de Sistemas.
33
Governança da Segurança da Informação
Ciência da Computação;
Engenharia da Computação;
Governança de Tecnologia da Informação;
Análise e Desenvolvimento de Sistemas.
CISA - Certified Information Systems Auditor
Auditoria de Sistema;
Governança de Tecnologia da Informação;
Administração de Empresas com ênfase em Tecnologia da Informação;
Análise e Desenvolvimento de Sistemas.
34
Governança da Segurança da Informação
Referencia Bibliográfica
Sobre os autores
35
Governança da Segurança da Informação
36
Governança da Segurança da Informação
CAPÍTULO 4
A ABNT NBR ISO/IEC 27005 (2011) define que “um ativo é algo
que tenha valor para a organização” e a ABNT NBR ISO/IEC 27003 (2011)
apresenta como diretrizes para implementação do Sistema de Gestão da
Segurança da Informação a “classificação da informação (confidencialidade,
integridade, disponibilidade, controle de acesso, não repúdio, e/ou outras
propriedades importantes para a organização [...]).
37
Governança da Segurança da Informação
4.1.1 Confidencialidade.
38
Governança da Segurança da Informação
4.1.2 Disponibilidade
39
Governança da Segurança da Informação
4.1.3 Integridade
40
Governança da Segurança da Informação
41
Governança da Segurança da Informação
42
Governança da Segurança da Informação
43
Governança da Segurança da Informação
44
Governança da Segurança da Informação
REFERÊNCIAS
Sobre o autor
45
Governança da Segurança da Informação
46
Governança da Segurança da Informação
CAPÍTULO 5
47
Governança da Segurança da Informação
Fonte: Autores
48
Governança da Segurança da Informação
Fonte: Autores
49
Governança da Segurança da Informação
Fonte: Autores
50
Governança da Segurança da Informação
3
MODULO SECURITY SOLUTIONS, Engenharia Social: Fortalecendo o elo mais fraco, em www.modulo.com.br.
Acessado em: 27 de setembro 2015
51
Governança da Segurança da Informação
4
MODULO SECURITY SOLUTIONS, Seis dicas simples para frustrar os hactivistas, em www.modulo.com.br.
Acessado em: 29 de setembro 2015.
52
Governança da Segurança da Informação
53
Governança da Segurança da Informação
54
Governança da Segurança da Informação
55
Governança da Segurança da Informação
56
Governança da Segurança da Informação
que saibam que em algum momento eles podem receber uma ligação
telefônica ou outra comunicação que usará as técnicas do atacante como parte
de tal teste. Use os resultados desses testes não para punir, mas para definir a
necessidade de treinamento adicional em algumas áreas.
Como disse Kevin Mitinick, não existe tecnologia que evite um ataque de
um Engenheiro Social, portanto é necessário um treinamento contínuo para
que as pessoas sempre saibam quais são as novas técnicas utilizadas e como
lidar com cada uma delas.
REFERÊNCIAS BIBLIOGRÁFICAS
Informação, 2008.
57
Governança da Segurança da Informação
Sobre os autores
58
Governança da Segurança da Informação
CAPÍTULO 6
GOVERNANÇA DA SEGURANÇA DA
INFORMAÇÃO
59
Governança da Segurança da Informação
60
Governança da Segurança da Informação
2 – Objetivo da Gestão
61
Governança da Segurança da Informação
Quando ela tem alto impacto nas atividades e planos diretos, dizemos
que a TI é estratégica e voltada para o negócio fim da organização. Deve-se ter
um claro direcionamento do que esperar das iniciativas e ações da segurança
da informação.
62
Governança da Segurança da Informação
63
Governança da Segurança da Informação
64
Governança da Segurança da Informação
7 – Referências.
ITGI (IT Governance Institute). Cobit Quickstart, 2nd edition, Rolling Meadows, IL,
2007 (2007a).
Sobre o autor
65
Governança da Segurança da Informação
66
Governança da Segurança da Informação
CAPÍTULO 7
GOVERNANÇA DA SEGURANÇA DA
INFORMAÇÃO SEGUNDO A ISO 27014:2013
67
Governança da Segurança da Informação
organização, ou seja, desde os usuários finais que podem ser clientes externos
até membros da presidência, sócios e acionistas.
Fonte: o autor
68
Governança da Segurança da Informação
69
Governança da Segurança da Informação
70
Governança da Segurança da Informação
71
Governança da Segurança da Informação
74
Governança da Segurança da Informação
Bibliografia
Sobre o autor
75
Governança da Segurança da Informação
76
Governança da Segurança da Informação
CAPÍTULO 8
8.1. Introdução
77
Governança da Segurança da Informação
78
Governança da Segurança da Informação
79
Governança da Segurança da Informação
80
Governança da Segurança da Informação
81
Governança da Segurança da Informação
82
Governança da Segurança da Informação
Governança:
“A governança garante que as necessidades, condições e
opções das partes interessadas sejam avaliadas a fim de
determinar objetivos corporativos acordados e equilibrados;
definindo a direção através de priorizações e tomadas de
decisão; e monitorando o desempenho e a conformidade
com a direção e os objetivos estabelecidos.” (ISACA, 2012.
Tradução do autor).
Gestão:
“A gestão é responsável pelo planejamento,
desenvolvimento, execução e monitoramento das atividades
em consonância com a direção definida pelo órgão de
governança a fim de atingir os objetivos corporativos.”
(ISACA, 2012. Tradução do autor).
83
Governança da Segurança da Informação
Habilitadores
84
Governança da Segurança da Informação
85
Governança da Segurança da Informação
• Partes interessadas
• Objetivos/metas
• Ciclo de Vida
• Boas Práticas
87
Governança da Segurança da Informação
88
Governança da Segurança da Informação
89
Governança da Segurança da Informação
Considerar os cenários de
risco.
Mudanças são
necessárias para o rápido
sucesso;
90
Governança da Segurança da Informação
92
Governança da Segurança da Informação
93
Governança da Segurança da Informação
Referências Bibliográficas
Sobre os autores
94
Governança da Segurança da Informação
CAPÍTULO 9
O PLANEJAMENTO ESTRATÉGICO DA
SEGURANÇA DA INFORMAÇÃO – PESI
Por mais que a palavra “planejar” pareça ser prescindível das questões
repetitivas e rotineiras da vida, como acordar, tomar banho (não planejamos,
por exemplo, em qual ordem lavar as partes do corpo), tomar café da manhã e
dirigir-se ao trabalho ou à escola, em alguns casos, percebemos que planejar é
necessário. Já diante de outras situações, planejar é indispensável.
95
Governança da Segurança da Informação
97
Governança da Segurança da Informação
98
Governança da Segurança da Informação
99
Governança da Segurança da Informação
Todavia pode ocorrer que, num primeiro momento, a empresa não tenha
condição de realizar um diagnóstico de maneira completa ou não saiba por
onde começar. Como lembra Fontes (2013), todas as organizações “têm
muitas vulnerabilidades e se somarmos o tempo para resolução de cada uma
delas, chegaremos na eternidade.” Com isso conclui-se, com um elevado grau
de acerto, que a empresa pode partir de uma análise das informações mais
relacionadas aos seus objetivos estratégicos ou daquelas que fazem parte da
essência do seu negócio.
100
Governança da Segurança da Informação
- requisitos legais; e
- análise de custo-benefício.”
101
Governança da Segurança da Informação
102
Governança da Segurança da Informação
103
Governança da Segurança da Informação
Referências Bibliográficas
Sobre o autor
104
Governança da Segurança da Informação
CAPÍTULO 10
1. Introdução
105
Governança da Segurança da Informação
106
Governança da Segurança da Informação
3. Mapeamento da Relevância
107
Governança da Segurança da Informação
108
Governança da Segurança da Informação
Conceitos Aspectos
Classificação de
Confidencialidade Integridade Disponibilidade Autenticidade Legalidade
impacto
1 Muito baixo
2 Baixo
3 Médio
4 Alto
5 Muito alto
109
Governança da Segurança da Informação
110
Governança da Segurança da Informação
6. Estudo de perímetros
111
Governança da Segurança da Informação
7. Estudo de atividades
Baixo 0 a 2801
112
Governança da Segurança da Informação
8. Um caso real
113
Governança da Segurança da Informação
114
Governança da Segurança da Informação
115
Governança da Segurança da Informação
Referências
Sobre o autor
116
Governança da Segurança da Informação
CAPÍTULO 11
1 Introdução
117
Governança da Segurança da Informação
De acordo com IMA (2015), Diretriz está no nível estratégico e é definida como:
118
Governança da Segurança da Informação
119
Governança da Segurança da Informação
2.8 Feedback
A organização deverá designar um colaborador específico para ficar
monitorando a política, a fim de buscar informações ou incoerências, que
5
Política de Segurança da Informação – Como fazer?, disponível
em:<http://analistati.com/politica-de-seguranca-da-informacao-como-fazer/> Acesso em: 05 de
outubro de 2015
120
Governança da Segurança da Informação
Fonte 6
6
Fonte: adaptado de http://image.slidesharecdn.com/consultcorp-f-securecyberoamhsc-palestra-
comoevitarosriscoslegaisnaeradigital-consult-150316065441-conversion-gate01/95/consultcorp-
fsecure-cyberoam-hsc-palestra-poltica-de-segurana-da-informao-como-evitar-os-riscos-legais-na-era-
digital-consult-16-638.jpg?cb=1426489145
121
Governança da Segurança da Informação
122
Governança da Segurança da Informação
4 Referências
Sobre os autores
123
Governança da Segurança da Informação
124
Governança da Segurança da Informação
CAPÍTULO 12
Introdução
125
Governança da Segurança da Informação
Continuidade de negócios
7
Governo Eletrônico. Conceitos e definições. Disponível em
http://www.governoeletronico.gov.br/sisp-conteudo/seguranca-da-informacao-no-
sisp/conceitos-e-definicoes. Acesso 29 de set de 2015.
126
Governança da Segurança da Informação
127
Governança da Segurança da Informação
Para atingir seu objetivo o PCN é composto por diversos outros planos
que juntos visam blindar o negócio contra diversos riscos que podem trazer
prejuízo. Cada um destes outros planos é focado em uma determinada variável
de risco, numa situação de ameaça ao negócio da organização. Conforme
Silva (2009), mais de um plano é necessário para complementar o plano de
continuidade de negócios, para cada processo do negócio um escopo de
procedimentos é detalhado para atender o estado de contingência.
128
Governança da Segurança da Informação
8
ISSO/IEC 27000. Contingência, Continuidade e Disponibilidade. Disponível em
http://iso27000.com.br/index.php?option=com_content&view=article&id=55:contcontdis
p&catid=34:seginfartgeral&Itemid=53. Acesso 13 de out de 2015.
129
Governança da Segurança da Informação
9
ISSO/IEC 27000. Contingência, Continuidade e Disponibilidade. Disponível em
http://iso27000.com.br/index.php?option=com_content&view=article&id=55:contcontdis
p&catid=34:seginfartgeral&Itemid=53. Acesso 13 de out de 2015.
130
Governança da Segurança da Informação
1. Definição do Escopo
2. Avaliação de Ameaças
3. Análise de Impacto
4. Identificar Soluções
131
Governança da Segurança da Informação
5. Elaboração do PCN
132
Governança da Segurança da Informação
REFERÊNCIAS
Sobre o autor
133
Governança da Segurança da Informação
134
Governança da Segurança da Informação
CAPÍTULO 13
PLANO DE CONTINGÊNCIA
135
Governança da Segurança da Informação
136
Governança da Segurança da Informação
10
GALVES, J. W. Gava. Planos de Contingência de TI. Disponível em:
http://www.techoje.com.br/site/techoje/categoria/detalhe_artigo/219. Acessado em 02/10/2015.
137
Governança da Segurança da Informação
138
Governança da Segurança da Informação
Estratégias de Contingência
139
Governança da Segurança da Informação
140
Governança da Segurança da Informação
CRITICIDADE
MODALIDADE
HOT-SITE WARM-SITE COLD-SITE
Realocação de
X
Operação
Bureau de
X
Serviços
Acordo de
X
Reciprocidade
Omissão Não se encaixa nessa classificação
Fonte: Elaborada pelo autor
141
Governança da Segurança da Informação
BIBLIOGRAFIA
142
Governança da Segurança da Informação
Sobre os autores
143
Governança da Segurança da Informação
144
Governança da Segurança da Informação
CAPÍTULO 14
14.1 Introdução
11
CASE ou Computer Aided Software Engineering (Potter & Premkumar) é um conjunto de ferramentas de software ou ambiente
que suporta as metodologias de engenharia de software
145
Governança da Segurança da Informação
12
História da ISO 27000 - http://www.27000.org/thepast.htm
146
Governança da Segurança da Informação
147
Governança da Segurança da Informação
Para entender como esses dois processos evoluíram ao longo dos anos.
Barry Boehm (BOHEM, 2006) faz uma revisão da evolução da Engenharia de
Software nos séculos XX e XXI. Seu trabalho estabelece a visão de tese,
antítese e síntese baseada em Hegel para explicar o fenômeno na evolução da
Engenharia de Software. Nesse sentido, podemos entender a evolução da
Engenharia de Software desde 1950 até o final dos anos 2000.
148
Governança da Segurança da Informação
14
CMM (Capability and Maturity Model) criado pelo Software Engineering Insitute da Universidade de Carneggie Mellon.
149
Governança da Segurança da Informação
Reflexões
150
Governança da Segurança da Informação
151
Governança da Segurança da Informação
Reflexões
152
Governança da Segurança da Informação
de cálculo ou editor de texto, passando por criar jogos, interação com mídias,
sistemas transacionais corporativos até sistemas de tempo real e de missão
crítica de alta complexidade.
15
Pesquisa realizada pela European Schoolnet, acessível em http://www.eun.org
153
Governança da Segurança da Informação
Reflexões
16
Geladeiras, carros, aparadores de grama, fornos, turbinas de avião, carros, etc.
154
Governança da Segurança da Informação
17
http://www.isaca.org
155
Governança da Segurança da Informação
156
Governança da Segurança da Informação
Realizar uma análise SWOT pode ser útil para a avaliação de uma
ferramenta de segurança, mas também definir os fatores críticos de sucesso
bem como os indicadores chave de desempenho para realizar a escolha certa
deve fazer parte desse processo sistemático (ANDERSON, 2015).
Reflexões
157
Governança da Segurança da Informação
158
Governança da Segurança da Informação
Bibliografia
ACM. (2001). Computing Curricula 2001 Computer Science. New York: ACM.
AKANDE, O. A., APRIL, N. A., & VAN BELLE, J.-P. (2013). Management
Issues with Cloud Computing. ICCC (pp. 119-124). ACM.
159
Governança da Segurança da Informação
Sobre o autor
160
Governança da Segurança da Informação
SOBRE O ORGANIZADOR
161