INSTITUTO DE MATEMÁTICA
DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO
Salvador
2007
1
DAVID BARBOSA MUNIZ
Salvador
2007
2
AGRADECIMENTOS
Não posso deixar de fora a minha família, meu porto seguro, meus melhores
amigos. A meu pai, Teobaldo, pela presença marcante em todos os momentos da minha
vida. Minha mãe, Magnólia, pelo amor sem medida, pelas orações, palavras de carinho e
estímulo. Anália, minha irmã, pelas orações e amor incondicional, que espero poder
retribuir de alguma forma.
Aos meus colegas da TIM Leste, que enxergaram e compreenderam este momento
decisivo da minha vida. Não poderia deixar de citar algumas dessas pessoas: Lílian Barros,
gerente de TI, Paulo Sérgio Nery, coordenador de Produção, e Moacyr Coutinho, meu
primeiro tutor, que acreditaram e apostaram no meu potencial; Paulo Bury, que iniciou uma
etapa bastante desafiadora neste segundo ano de estágio, sempre me incentivando e
mostrando como proceder diante das adversidades no ambiente de trabalho durante este
período. Aos demais, meu carinho e agradecimento da mesma forma.
Finalmente, não posso deixar de fora meus verdadeiros amigos. Agradeço pelas
dicas, compreensão e principalmente, pela amizade.
3
RESUMO
4
ABSTRACT
Information Security Management allows corporate of all sizes and sorts to assure
best practices of Information Security and the alignment of the Information Management
foundations, which could impact on business continuity. Currently, there are available
specific applications that provide centralized feedback of the activities related to
Information Security and to guarantee compliance with the Information Security Policy
document as well. From the study of regulations, it is possible to identify some
requirements and main features on most important applications available in the market and
analyze them according to the proposed comparison.
Keywords: NBR ISO/IEC 17799, NBR ISO/IEC 27001, Information Security, Information
Technology, Information Security Regulations, Information Security Management
Systems.
5
LISTA DE ABREVIATURAS E SÍMBOLOS
6
LISTA DE FIGURAS
7
LISTA DE TABELAS
8
SUMÁRIO
1 INTRODUÇÃO................................................................................................................10
2 EMBASAMENTO TEÓRICO........................................................................................13
2.1 Segurança da Informação e Gerenciamento de Segurança da Informação.........13
2.1.1 A Segurança da Informação.................................................................13
2.1.2 O Gerenciamento da Segurança da Informação...................................14
2.2 As Normas ISO/IEC 17799:2005 e ISO/IEC 27001...........................................16
2.2.1 Histórico das normas ISO/IEC 17799:2005 e ISO/IEC 27001............16
2.2.2 A Norma ISO/IEC 17799...................................................................18
2.2.2.1 Abordagem da norma............................................................18
2.2.3 A Norma ISO/IEC 27001.....................................................................20
2.2.3.1 O Sistema de Gerenciamento de Segurança da Informação..20
2.2.3.2 Abordagem da Norma............................................................22
2.3 Criação de uma Política de Segurança da Informação........................................23
2.4 Medição e Monitoramento da Segurança da Informação....................................23
4 CONCLUSÃO..................................................................................................................46
5 REFERÊNCIAS BIBLIOGRÁFICAS...........................................................................48
9
1 INTRODUÇÃO
10
dentro dos SGSIs, permitem a emissão de relatórios de conformidade e execução de ações
corretivas para as não-conformidades.
11
auxiliar as organizações na escolha de quais ferramentas são mais adequadas às suas
necessidades, baseadas nas características e na identificação dos requisitos gerais destas.
A proposta deste trabalho parte da análise e estudo das normas ISO/IEC 17799 e
ISO/IEC 27001 e da documentação dos principais softwares de gerenciamento de
segurança da informação, além de outras fontes identificadas na referência bibliográfica. O
trabalho faz o estudo das normas propostas para identificar os requisitos e características
necessárias a sistemas computacionais de gerenciamento de segurança da informação. A
partir da identificação destes requsitos, este estudo propõe um estudo comparativo e assim
avaliar cada uma das soluções disponíveis para auditar os SGSI.
12
2 EMBASAMENTO TEÓRICO
13
desenvolvimento (NBR ISO/IEC 17799; Dias, 2000; Wadlow, 2000; Krause e Tipton,
1999).
Para que estes princípios possam ser cumpridos, as organizações devem adotar práticas
para gerenciar de maneira eficaz a segurança da informação no seu ambiente.
14
sistemas e procedimentos relacionados à análise e medição do risco operacional a partir dos
dados armazenados.
Desta forma é necessário que exista uma definição explícita dos resultados
esperados pela companhia, assim como atividades e eventos necessários à garantia da
15
segurança da informação (políticas), assim como um processo para medir a performance
das organizações no alcance destes resultados (gerenciamento). Uma forma de assegurar
este gerenciamento da informação e de sua segurança é a utilização, pelas organizações, de
normas com o objetivo de obter certificações e, assim, garantir o cumprimento de todos os
passos para obter uma gestão eficaz. Segundo (Gorissen, 2005), duas das normas mais
utilizadas são a ISO/IEC 17799 e a ISO/IEC 27001, que são apresentadas neste trabalho.
16
A BS 7799-1 é a parte da norma que é planejada como um documento de referência
para prover a execução de “boas práticas” de segurança na empresa, enquanto que a BS
7799-2 é a parte que tem o objetivo de proporcionar uma base para gerenciar a segurança
da informação dos sistemas da empresa.
17
implementação. Já para estar em conformidade com a ISO/IEC 27001 e implantar o SGSI,
a organização deve implementar todos os controles desta norma que tratam do SGSI, sendo
uma norma para certificação.
18
• Segurança física e do ambiente:
o Área de atuação de segurança física;
o Alocação de equipamentos;
o Segurança do ambiente de trabalho.
• Gerenciamento das operações e comunicações;
o Procedimentos de incidentes;
o Segregação de papéis;
o Planejamento e Aceitação de sistemas;
o Proteção contra software malicioso;
o Controle de mensagens eletrônicas.
• Controle de acessos:
o Gerenciamento de acesso
Nível de Aplicação
Nível Operacional
Nível de rede
• Aquisição, desenvolvimento e manutenção de sistemas de informação:
o Procedimentos de gerenciamento de mudanças;
o Segregação de ambiente;
o Requisitos de segurança.
• Gerenciamento de Incidentes em Sistemas de Informação
o Relatórios de eventos, deficiências e melhorias em Sistemas de Informação
• Gestão de continuidade de negócios:
o Business Continuity Plan (BCP), ou Plano de Continuidade do Negócio
o Modelos de BCP e papéis e responsabilidades das equipes
o Manutenção e atualização de BCPs
• Conformidade.
o Controle de direitos autorais (copyright);
o Retenção de registros e informação;
o Conformidade com a legislação - Proteção de dados
o Conformidade com as políticas organizacionais
19
A ISO/IEC 17799 não fornece material definitivo ou específico para qualquer tópico
de segurança. Ela serve como um guia prático para o desenvolvimento de padrões de
segurança organizacional e auxilia na elaboração de atividades ligadas a segurança da
informação.
20
Figura 1: Modelo do PDCA do SGSI definido em (NBR ISO 27001)
21
O uso do modelo PDCA permite não só estabelecer, implementar e manter o SGSI,
como também a melhoria das políticas, objetivos, processos e procedimento que compõem
o SGSI graças à dinâmica de melhoria contínua.
O controle “Avaliação e Tratamento de Riscos” não faz parte dos objetivos de controle
definidos na norma ISO/IEC 27001, estando contido na fase “Planejar” do modelo PDCA
do SGSI.
Um dos modos de garantir a conformidade tanto com a ISO/IEC 17799 quanto com a
ISO/IEC 27001 é a implantação dos Sistemas de Gerenciamento de Segurança da
Informação e de Politicas de Segurança da Informação na organização.
22
2.3 Criação de uma Política de Segurança da Informação
Neste sentido, soluções em software podem ser usadas para facilitar esta medição e
monitoramento e para estabelecer atividades relacionadas à segurança da informação na
organização. Estes agentes podem executar verificações pré-definidas ou serem acionadas
por eventos ocorridos no ambiente de segurança da organização. Baseado no retorno
23
fornecido por estes agentes, a organização pode medir parte do seu desempenho conforme
condições da política de segurança. O SGSI deve servir também para permitir ao Chief
Information Security Officer gerenciar de forma efetiva a segurança da informação e prover
a capacidade de definir alguma forma de comparação entre os eventos monitorados e o
comportamento esperado definido na política de segurança.
24
3 O ESTUDO COMPARATIVO DAS SOLUÇÕES DE SOFTWARE PARA
GERENCIAMENTO DE SEGURANÇA DA INFORMAÇÃO
25
que devem ter sua avaliação solicitada. Algumas das ferramentas inicialmente escolhidas
para este estudo comparativo não haviam sido disponibilizadas para avaliação até a
conclusão deste trabalho.
O ePO opera como uma plataforma distribuída, onde tanto os sensores de rede
quanto repositórios de atualização podem ser distribuidos através da rede. Sensores podem
detectar dispositivos conectados a LAN (Local Area Network) através da monitoração
passiva e determinar se eles estão sendo gerenciados pelo ePO. Computadores móveis
podem ser analisados cada vez que eles se conectam a rede local.
26
específicas sobre softwares instalados ou informações sobre um evento gerado por algum
agente. Tais eventos são processados pelo servidor e armazenados em um banco de dados
central. Daí, as regras de notificação definidas pelo administrador são aplicadas para que os
indivíduos específicos sejam notificados, ações possam ser tomadas ou aplicativos de
correção possam ser executados.
Segundo a McAfee, outras funções suportadas por esta solução são as distribuições
de atualizações de segurança como “arquivos de definições, motores, Service Packs,
hotfixes e patches” e também a possibilidade de procurar por um arquivo, serviço, chave de
registro ou correção específica da Microsoft como parte das políticas definidas
27
enviados via e-mail e melhorias nos fluxos de trabalho. A elaboração de relatórios é um dos
pontos fortes da aplicação em relação aos outros apresentados neste trabalho, que podem
ser gerado em formato de planilha para Microsoft Excel e HTML (HyperText Markup
Language). Existe uma variedade grande de relatórios pré-configurados que abordam
implantação e violações da política, atividades de vírus e dados para auditoria.
28
apropriados na organização. Permite também ao usuário escolher para quais
tecnologias gerar alertas.
• TracePolicy, um gerenciador de documentação que permite o gerenciamento de
quem viu e revisou as políticas corporativas ou memorandos. Ainda possibilita
notificações automáticas da postagem de novos documentos e a auditoria tanto para
a revisão quanto para aceitação das políticas e memorandos pelos indivíduos.
• TraceComply, uma ferramenta baseada em análise e acessada via web que mede o
nível de conformidade da organização com várias normas e regulações (figura 3),
incluindo as estudadas neste trabalho, assim como fornece automaticamente
informações atualizadas definindo e descrevendo estas regulações.
29
• TraceMonitor, uma ferramenta que permite o monitoramento de arquivos e
endereços web específicos por mudanças de conteúdo e emite aleras a indíviduos
específicos quando as mudanças são descobertas.
30
apenas código autorizado pelo administrador é executado nestas máquinas. De acordo com
o fabricante, a Solidcore Systems, a tecnologia pode ser usada para “proteger tanto
aplicações padrões ou personalizadas em ambientes legado ou Sistemas Operacionais
abertos” (incluindo Windows, Red Hat Enterprise Linux, e Solaris). Ainda de acordo com o
vabricante, o S3 Security não requer nenhuma configuração inicial e ainda fornece
controles para código, memória (para prevenir que nenhum código seja inserido para
execução) e administradores (para assegurar que até mesmo os administradores autorizados
a executar mudanças não possam executar mudanças de configuração ao código inicial).
31
acordo com a SolidCore, o motor de relatórios acompanha uma biblioteca de relatórios e
permite a integração com o Crystal Reports.
32
instalado no servidor, mas o desenvolvedor recomenda a instalação em máquinas
individuais (as licenças permitem instalação em um número ilimitado de máquinas). Os
clientes permitem a descrição dos ativos, criação de conjuntos de componentes de negócio
(perímetros), especificação de controles, coleta automatizada de dados (remota ou local) e
geração de relatórios completos. Adicionalmente a estes componentes, um programa
offline, permite o envio destes relatórios a determinados indivíduos (juntamente com as
informações de controle e coletores automáticos que este indivíduo será responsável por
completar ou executar).
33
análise de risco numérica. Tais relatórios incluem título, sumário, descrição do
procedimento de auditoria, estatísticas, descrição de textos, gráficos e planilhas; sempre
com diversas opções de formatos. Os relatórios são automaticamente sinalizados como
Rascunho até que a auditoria esteja completa; e um resumo da auditoria, recomendações
detalhadas e diagramas em 3 níveis compatíveis com o Microsoft Visio podem ser gerados,
mostrando interdependências de todos os ativos.
34
Como o próprio nome diz, o Sentinel Control Center fornece o componente de
gerenciamento central; permite o monitoramento, correlação, gerenciamento de eventos e
relatórios. Essas características incluem visualização de gráficos em tempo real; exibição
gráfica interativa tanto de incidentes passados quanto presentes; e capacidade de
identificação automática de incidentes.
35
dados de qualquer fonte e comunica a informação ao Control Center. Segundo a Novell, o
produto ainda acompanha uma lista de “coletores configuráveis e extensíveis”.
Um dos diferenciais desta aplicação é ser suportado por plataformas Windows, Unix,
Solaris e Linux.
36
dados. O componente central permite a distribuição de atualizações e outros pacotes para os
agentes executados nas máquinas clientes. No caso destes executarem Windows, é possível
instalar o agente utilizando scripts de logon ou pelo Microsoft Active Directory. Para isto, é
possível atribuir níveis de prioridade de 0 a 10 para a aplicação destes, sendo 0 a mais alta e
10 a mais baixa.
37
impressoras, roteadores, switches ou computadores. Esta busca é feita pelos próprios
agentes, que rastream a rede em busca de novos dispositivos e informam ao componente
central. No caso de computadores, o agente então é instalado e assim transfere as
informações de inventário através de HTTP (Hypertext Transfer Protocol). O servidor
então armazena as informações no banco de dados e permite o acesso através de uma
interface Web.
38
Funcionalidades McAfee TraceSecurity Solidcore Modulo Novell OCS
ePolicy Compliance S3 Risk Sentinel 6 Inventory
Orchestrator Manager Control Manager NG
Avaliação e
X X
tratamento de riscos
Políticas de
X X
segurança
Organização da
Segurança da X
Informação
Gestão de ativos X X X X X X
Segurança de
Recursos Humanos
Segurança Física e
do Ambiente
Gerenciamento de
Operações e X X X X
Comunicações
Controle de Acesso X
Aquisição,
Desenvolvimento e
Manutenção de X X X
Sistemas de
Informação
Gerenciamento de
Incidentes em
X X X
Sistemas de
Informação
Gestão de
Continuidade do X
Negócio
Conformidade
Tabela 1 - Mapeamento das funcionalidades estudadas nos aplicativos na aplicação
das normas ISO/IEC 17799 e ISO/IEC 27001
39
Após o mapeamento dos tópicos cobertos nas normas de segurança, a seguir é
apresentada uma comparação das características das soluções estudadas, através do estudo
comparativo proposto neste trabalho.
40
• A área de segurança será capaz de configurar e ajustar configurações
relacionadas à segurança pela própria aplicação? (por exemplo, ajuste de regras
de senha pela aplicação, e não por um servidor de autenticação)
4. Múltiplas Medições
• A organização pode definir seu próprio conjunto de medições ou a aplicação só
permite suas próprias medições?
5. Expansibilidade
• A organização poderá expandir o número de critérios que a aplicação é capaz de
medir?
• Existe suporte a múltiplas plataformas?
6. Extensibilidade
• A aplicação permite a flexibilidade de adicionar campos e informações
dinamicamente às entidades e de uma forma extendê-las?
7. Gerenciamento Centralizado
• As atividades de monitoramento, medição de atividades e configurações são
feitas a partir de um console central?
8. Interface Amigável
• A aplicação possui uma interface gráfica intuitiva?
• Os passos para a geração de relatórios e configuração são feitos de forma
intuitiva?
41
Critérios McAfee TraceSecurity Solidcore S3 Modulo Risk Novell OCS
ePolicy Compliance Control Manager Sentinel 6 Inventory
Orchestrator Manager NG
Regulado pela
Política de 2 2 2 1 2 1
Seguraça
Monitoramento
2 2 2 2 2 2
e Resposta
Gerenciamento
1 1 1 1 1 2
Ativo
Múltiplas
2 0 0 2 1 0
Medições
Expansibilidade 0 2 0 0 2 1
Extensibilidade 2 2 1 2 2 0
Gerenciamento
1 0 1 2 2 2
Centralizado
Interface
1 1 2 2 1 1
Amigável
Tabela 2 – Tabela comparativa entre as soluções de software apresentadas neste trabalho de
acordo com os critérios estabelecidos
A seguir será realizada uma análise dos resultados obtidos no estudo comparativo
proposto neste trabalho a partir do mapeamento dos requisitos necessários às ferramentas
de medição dos SGSIs
42
gerenciamento de configurações, medidas e monitoramentos para a área de segurança. É
possível observar também que cada ferramenta foca em diferentes aspectos das normas
apresentadas neste trabalho. Por exemplo, enquanto o foco do S3 Control é na manutenção
de sistemas de informação, o Modulo Risk Manager permite uma eficiente avaliação de
riscos e o OCS Inventory NG, a gestão dos ativos de TI. A partir do entendimento dos
critérios propostos por este estudo comparativo, foi possível avaliar as funcionalidades
destas soluções e classificá-las de acordo com os critérios pré-estabelecidos para chegar aos
resultados apresentados e seguir.
Através do estudo destas ferramentas, pode-se concluir que nenhuma abrange todos
os tópicos abordados nas normas ISO/IEC 17799 e 27001. Mesmo as que estão agrupadas
em conjuntos de módulos com diferentes funcionalidades deixam de fora algumas
abordagens, o que era esperado, pelo amplo escopo compreendido nas normas. Algumas
considerações acerca dos critérios utilizados neste estudo devem ser feitas:
43
de dados ou servidores de senha, por exemplo. O que pode ser observado é que em algumas
aplicações essas funcionalidades podem ser embutidas ou implantadas em um módulo
separado.
3.3.5 Expansibilidade
3.3.6 Extensibilidade
A única aplicação que não atendeu este critério foi o TraceSecurity Compliance
Manager, que não possui nenhum painel de gerenciamento dos diferentes módulos que o
44
compõe. As outras, entretanto, oferecem paineis de gerenciamento bom centralizados,
permitindo acesso via web, inclusive.
45
4 CONCLUSÃO
46
ferramentas, para auxiliar as organizações a avaliarem qual destas melhor atende aos seus
requisitos.
47
5 REFERÊNCIAS BIBLIOGRÁFICAS
BALBO, Luciano de Oliveira. Uma Abordagem Correlacional dos Modelos CobiT / ITIL e
da Norma ISO 17799 para o tema Segurança da Informação, 2007. Disponível em
http://www.pece.org.br/cursos/TI/monografias/MBA-MONO-LucianoBalbo.pdf
BERNARDES, Mauro César e MOREIRA, Edson dos Santos. Um modelo para inclusão da
Governança da Segurança da Informação no Escopo da Governança Organizacional, 2005.
Disponível em www.linorg.cirp.usp.br/SSI/SSI2005/artigos/14275.pdf. Acessado em
23/11/2007.
COBIT - Control Objectives for Information and related Technology. Printed in the United
States of America, 2007. ISBN 1-933284-72-2.
48
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz. Implantando a Governança
de TI - Da Estratégia À Gestão dos Processos e Serviços, 2006. ISBN 1-857452-270-8
49
SCHWAIGER, Martin A. e URBINA, Hector A. IT-Governance Frameworks for
Compliance, 2006. Disponível em: http://dsv.su.se/en/seclab/pages/pdf-files/2006-x-
404.pdf. Acessado em: 24/11/2007
TIM IO SC THD.31 – TIM Brasil - Controle de Acesso aos Sistemas Críticos GSM TLE e
TNE - Operações de Perfil. Obtido na intranet Corporativa.
TIM. PL SC THD.25 – TIM Brasil - Política de Controle de Acesso aos Sistemas Críticos.
Obtido na intranet Corporativa.
VON SOLMS, Basie. Information Security governance: COBIT or ISO 17799 or both?
Disponível em http://www.bus.ucf.edu/awu/ism4323/docs/intro/iso17799orcobit.pdf.
Acesso em: 20/11/2007
WEILL, Peter; ROSS, Jeanne W. Governança de TI: como as empresas com melhor
desempenho administram os direitos decisórios de TI na busca por resultados superiores.
M. Books do Brasil Editora Ltda, 2006. ISBN 85.89384-78-0.
50