UNIVERSIDADE FEDERAL DA BAHIA

INSTITUTO DE MATEMÁTICA
DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO

DAVID BARBOSA MUNIZ

ESTUDO COMPARATIVO DE APLICATIVOS DE

GERENCIAMENTO DE SEGURANÇA DA INFORMAÇÃO
PARA CONFORMIDADE COM AS NORMAS ISO/IEC 17799
E ISO/IEC 27001

Salvador
2007

1
 DAVID BARBOSA MUNIZ

ESTUDO COMPARATIVO DE APLICATIVOS DE

GERENCIAMENTO DE SEGURANÇA DA INFORMAÇÃO
PARA CONFORMIDADE COM AS NORMAS ISO/IEC 17799
E ISO/IEC 27001

Monografia apresentada ao Curso de

graduação em Ciência da Computação,
Departamento de Ciência da
Computação, Instituto de Matemática,
Universidade Federal da Bahia, como
requisito parcial para obtenção do grau
de Bacharel em Ciência da Computação.

Orientador: Pablo Vieira Florentino

Salvador
2007

2
 AGRADECIMENTOS

Agradeço primeiramente a Deus, meu Senhor e Salvador! Sem a Sua inspiração,

com certeza não poderia realizar este trabalho em tão curto espaço de tempo. Creio que Ele
me guiou pelas leituras durante as madrugadas, direcionando-me a escrever este trabalho,
que até eu mesmo achei que não iria ser concluído.

Não posso deixar de fora a minha família, meu porto seguro, meus melhores
amigos. A meu pai, Teobaldo, pela presença marcante em todos os momentos da minha
vida. Minha mãe, Magnólia, pelo amor sem medida, pelas orações, palavras de carinho e
estímulo. Anália, minha irmã, pelas orações e amor incondicional, que espero poder
retribuir de alguma forma.

Aos meus colegas da TIM Leste, que enxergaram e compreenderam este momento
decisivo da minha vida. Não poderia deixar de citar algumas dessas pessoas: Lílian Barros,
gerente de TI, Paulo Sérgio Nery, coordenador de Produção, e Moacyr Coutinho, meu
primeiro tutor, que acreditaram e apostaram no meu potencial; Paulo Bury, que iniciou uma
etapa bastante desafiadora neste segundo ano de estágio, sempre me incentivando e
mostrando como proceder diante das adversidades no ambiente de trabalho durante este
período. Aos demais, meu carinho e agradecimento da mesma forma.

Finalmente, não posso deixar de fora meus verdadeiros amigos. Agradeço pelas
dicas, compreensão e principalmente, pela amizade.

3
 RESUMO

O gerenciamento da segurança da informação permite a corporações de todos os

tamanhos e segmentos garantir as melhores práticas de Segurança da Informação,
garantindo o alinhamento dos pilares que sustentam o gerenciamento das informações e que
podem impactar na continuidade dos negócios. Existem atualmente no mercado sistemas
computacionais específicos que provêm grande assistência no gerenciamento da segurança
da informação. Tais aplicações podem ser usadas para prover respostas centralizadas para
as atividades relacionadas a segurança da informação como também para garantir a
conformidade com o documento de política de segurança da informação. A partir do estudo
de normas e modelos, é possível identificar os principais requsisitos e características
presentes nos principais aplicativos do mercado e analisá-las de acordo com o estudo
comparativo proposto.

Palavras-Chave: NBR ISO/IEC 17799, NBR ISO/IEC 27001, Segurança da Informação,

Tecnologia da Informação, Normas de Segurança da Informação, Sistemas de
Gerenciamento de Segurança da Informação.

4
 ABSTRACT

Information Security Management allows corporate of all sizes and sorts to assure
best practices of Information Security and the alignment of the Information Management
foundations, which could impact on business continuity. Currently, there are available
specific applications that provide centralized feedback of the activities related to
Information Security and to guarantee compliance with the Information Security Policy
document as well. From the study of regulations, it is possible to identify some
requirements and main features on most important applications available in the market and
analyze them according to the proposed comparison.

Keywords: NBR ISO/IEC 17799, NBR ISO/IEC 27001, Information Security, Information
Technology, Information Security Regulations, Information Security Management
Systems.

5
 LISTA DE ABREVIATURAS E SÍMBOLOS

ABNT - Associação Brasileira de Normas Técnicas

BCP – Business Continuity Plan
BS - British Standard
CCSC - Comercial Computer Security Center
CISO – Chief Information Security Officer
CVM – Comissão de Valores Mobiliários
DTI - Department of Trade and Industry
GPL – General Public License
HTML - Hypertext Markup Language
HTTP – Hypertext Transfer Protocol
IEC - International Engineering Consortium
IP – Internet Protocol
ISO - International Standardization Organization
ITGI – Information Technology Governance Institute
LAN – Local Área Network
MAC – Media Access Control
PHP – Hypertext Preprocessor
SEC – Securities and Exchange Comission
SGSI – Sistema de Gerenciamento da Segurança da Informação
SQL - Structured Query Language
TI - Tecnologia da Informação

6
 LISTA DE FIGURAS

Figura 1 - Modelo do PDCA do SGSI definido em (NBR ISO 27001)................................19

Figura 2 - Definição de políticas de segurança no McAfee ePolicy Orchestrator................27
Figura 3 - Medição do nível de conformidade com regulações no TraceSecurity
Compliance Manager............................................................................................................29
Figura 4 - Visualização de eventos de mudanças no S3 Change Control.............................31
Figura 5 - Estabelecimento de regras no Novell Sentinel 6..................................................35
Figura 6 - Inventário de dispositivos no OCS Inventory NG...............................................37

7
 LISTA DE TABELAS

Tabela 1 - Mapeamento das funcionalidades estudadas nos aplicativos na aplicação das

normas ISO/IEC 17799 e ISO/IEC 27001............................................................................36
Tabela 2 – Tabela comparativa entre as soluções de software apresentadas neste trabalho de
acordo com os critérios estabelecidos...................................................................................39

8
 SUMÁRIO

1 INTRODUÇÃO................................................................................................................10

2 EMBASAMENTO TEÓRICO........................................................................................13
2.1 Segurança da Informação e Gerenciamento de Segurança da Informação.........13
2.1.1 A Segurança da Informação.................................................................13
2.1.2 O Gerenciamento da Segurança da Informação...................................14
2.2 As Normas ISO/IEC 17799:2005 e ISO/IEC 27001...........................................16
2.2.1 Histórico das normas ISO/IEC 17799:2005 e ISO/IEC 27001............16
2.2.2 A Norma ISO/IEC 17799...................................................................18
2.2.2.1 Abordagem da norma............................................................18
2.2.3 A Norma ISO/IEC 27001.....................................................................20
2.2.3.1 O Sistema de Gerenciamento de Segurança da Informação..20
2.2.3.2 Abordagem da Norma............................................................22
2.3 Criação de uma Política de Segurança da Informação........................................23
2.4 Medição e Monitoramento da Segurança da Informação....................................23

3 O ESTUDO COMPARATIVO DAS SOLUÇÕES DE SOFTWARE PARA

GERENCIAMENTO DE SEGURANÇA DA INFORMAÇÃO.....................................25
3.1 As Ferramentas de Medição dos SGSIs..............................................................25
3.1.1 McAfee ePolicy Orchestrator...............................................................26
3.1.2 TraceSecurity Compliance Manager....................................................28
3.1.3 Solidcore S3 Control............................................................................30
3.1.4 Modulo Risk Manager..........................................................................32
3.1.5 Novell Sentinel 6..................................................................................34
3.1.6 OCS Inventory NG...............................................................................36
3.2 Comparação entre as soluções de Gerenciamento de Segurança da Informação38
3.2.1 Critérios de Comparação......................................................................40
3.3 Análise dos Resultados........................................................................................42
3.3.1 Regulado pela Política de Segurança...................................................43
3.3.2 Monitoramento e Resposta..................................................................43
3.3.3 Gerenciamento Ativo...........................................................................43
3.3.4 Múltiplas Medições..............................................................................44
3.3.5 Expansibilidade....................................................................................44
3.3.6 Extensibilidade.....................................................................................44
3.3.7 Gerenciamento Centralizado................................................................44
3.3.8 Interface Amigável...............................................................................45
3.4 Considerações finais............................................................................................45

4 CONCLUSÃO..................................................................................................................46

5 REFERÊNCIAS BIBLIOGRÁFICAS...........................................................................48

9
1 INTRODUÇÃO

Com o surgimento da internet e das redes de computadores, a quantidade e

disponibilidade das informações cresceu e continua crescendo de forma exponencial.
Devido a este novo ambiente e a importância do compartilhamento e troca de informações
no ambiente organizacional, é crescente a necessidade de garantir a segurança da
informação nas organizações. Segundo (NBR ISO/IEC 17799):
“A informação é um ativo que, como qualquer outro ativo importante para os
negócios, tem um valor para a organização e conseqüentemente necessita ser
adequadamente protegida”.
A crescente dependência das informações faz com que a correta e eficaz
implantação do gerenciamento da Segurança da Informação dentro das organizações seja
atualmente um dos maiores desafios para a continuidade dos negócios no ambiente
corporativo.

Para garantir aos seus acionistas um eficiente gerenciamento da Segurança da

Informação – e a conseqüente continuidade dos negócios – as organizações se viram
obrigadas a implantar políticas para controlar e gerenciar suas informações de forma
segura. As políticas implantadas a partir da análise dos riscos que a companhia está sujeita
devem abordar desde a definição de Segurança da Informação até os papéis e
responsabilidades das pessoas envolvidas na política.

Com o objetivo de certificar as organizações em segurança da informação, foram

criadas normas para garantir a aplicação e eficiência de controles de gerenciamento de
segurança da informação. Essas normas propõem a utilização de Sistemas de
Gerenciamento de Segurança da Informação (SGSI), que permitem a organização implantar
processos e controles para o correto gerenciamento da segurança da informação. A partir da
necessidade de garantir a eficiência da implantação dos SGSIs, foram desenvolvidas
aplicações com o objetivo de auxiliar as organizações a obterem conformidade com leis,
regulamentações e políticas de segurança em seus Sistemas de Gerenciamento de
Segurança da informação. Estas ferramentas, a partir do monitoramento das atividades

10
dentro dos SGSIs, permitem a emissão de relatórios de conformidade e execução de ações
corretivas para as não-conformidades.

No espaço atual de gerenciamento da segurança da informação, existem diversos

aplicativos cujo objetivo é auxiliar o chefe da área de Segurança da Informação dentro da
companhia e responsável pela segurança da informação dentro da empresa (Chief
Information Security Officer) a garantir o eficaz monitoramento de atividades nos SGSIs.
Infelizmente estes aplicativos falham em inúmeros aspectos: por não cobrir todos os
aspectos da norma; por não oferecerem um gerenciamento centralizado ou até por não
terem uma interface intuitiva com o usuário. Devido à sua extensão, estes aplicativos
normalmente têm um alto custo financeiro de aquisição e implementação no ambiente
corporativo. Por isto, a escolha de quais deles oferecem custo/benefício adequado é crucial
para atender às expectativas das organizações quanto ao que estas aplicações são capazes
de oferecer. Além disto, estas aplicações normalmente dependem de outras soluções
computacionais como fontes de informação, como um servidor de autenticação ou um
banco de dados, com custo igualmente alto.

A motivação para a utilização dessa estrutura surgiu na necessidade das empresas de

auditar e garantir o correto funcionamento dos sistemas de gerenciamento de segurança da
informação implantados a partir das normas ISO/IEC 27001 e 17799. Para que isto seja
feito de forma rápida e eficiente, as organizações devem utilizar ferramentas automatizadas
para este tipo de tarefa. Entretanto, devido ao alto custo destas ferramentas, as organizações
devem escolher soluções que ofereçam recursos que atendam as suas necessidades e
permitam que estes recursos sejam expansíveis e extensíveis à medida que os seus sistemas
evoluam.

O objetivo deste trabalho é, a partir da definição de conceitos como segurança da

informação e gerenciamento da segurança da informação, mapear as funcionalidades de
algumas soluções de gerenciamento de segurança corporativa disponíveis no mercado e
quais das características presentes nestas soluções abrangem os tópicos abordados nas
normas de segurança da informação estudadas. A partir deste mapeamento, propõe-se um
estudo comparativo das soluções para Gerenciamento de Segurança da Informação e assim

11
auxiliar as organizações na escolha de quais ferramentas são mais adequadas às suas
necessidades, baseadas nas características e na identificação dos requisitos gerais destas.

A proposta deste trabalho parte da análise e estudo das normas ISO/IEC 17799 e
ISO/IEC 27001 e da documentação dos principais softwares de gerenciamento de
segurança da informação, além de outras fontes identificadas na referência bibliográfica. O
trabalho faz o estudo das normas propostas para identificar os requisitos e características
necessárias a sistemas computacionais de gerenciamento de segurança da informação. A
partir da identificação destes requsitos, este estudo propõe um estudo comparativo e assim
avaliar cada uma das soluções disponíveis para auditar os SGSI.

Os próximos capítulos deste trabalho estão organizados da seguinte forma: no

capítulo 2 é apresentado o embasamento teórico do trabalho, a apresentação de conceitos
básicos relacionados à Segurança da Informação e Gerenciamento da Segurança da
Informação, assim como as normas ISO/IEC 17799 e 27001 juntamente com o conceito de
Sistemas de Gerenciamento de Segurança da Informação, a criação de políticas de
segurança da informação e a utilização de aplicativos para medir e monitorar a correta
implantação destes Sistemas. No capítulo 3 é apresentado o estudo comparativo das
aplicações de gerenciamento da segurança da informação a partir do estabelecimento de
critérios de comparação propostos, juntamente com a discussão dos resultados. O capítulo 4
conclui o trabalho e apresenta os resultados obtidos com sugestões de trabalhos futuros e o
capítulo 5 contém as referências bibliográficas.

12
2 EMBASAMENTO TEÓRICO

Neste trabalho faz-se necessário abordar conceitos como a informação, sua

importância para as organizações, além dos conceitos de segurança da informação e
gerenciamento da segurança da informação. Concluindo o embasamento teórico, as normas
ISO/IEC 17799 e ISO/IEC 27001 são apresentadas para a introdução do conceito de
Sistemas de Gerenciamento de Segurança da Informação, a criação de políticas de
segurança da informação e a utilização de aplicativos para medir e monitorar a correta
implantação destes sistemas.

2.1 Segurança da Informação e Gerenciamento de Segurança da Informação

Com a o surgimento de novas tecnologias e formas de trabalho como o comércio

eletrônico, as redes virtuais privadas e os funcionários móveis, as empresas passaram a
adotar e depender cada vez mais de sistemas de informação. As redes de computadores, e
conseqüentemente a Internet, mudaram as formas como se usam sistemas de informação.
Desta forma, a segurança passou a ser uma necessidade dentro do negócio, uma vez que se
tornaram vulneráveis a um número maior de ameaças. As possibilidades e oportunidades de
utilização são muito mais amplas que em sistemas fechados, assim como os riscos à
privacidade e integridade da informação. Portanto, de acordo com (Laureano, 2004), é
muito importante que mecanismos de segurança de sistemas de informação sejam
projetados de maneira a prevenir acessos não autorizados aos recursos e dados destes
sistemas.

2.1.1 A segurança da informação

A segurança da informação é definida como a proteção dos sistemas de informação

contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a
modificação não-autorizada de dados ou informações, armazenados, em processamento ou
em trânsito, abrangendo a segurança dos recursos humanos, da documentação e do
material, das áreas e instalações das comunicações e computacional, assim como as
destinadas a prevenir, detectar, deter e documentar eventuais ameaças ao seu

13
desenvolvimento (NBR ISO/IEC 17799; Dias, 2000; Wadlow, 2000; Krause e Tipton,
1999).

Segurança é a base para dar as organizações a possibilidade e liberdade necessária para

a criação de novas oportunidades de negócio. É evidente que os negócios estão cada vez
mais dependentes das tecnologias e estas precisam estar de tal forma a proporcionar os
requisitos básicos das informações, que conforme (NBR ISO/IEC 17799; Krause e Tipton,
1999; Albuquerque e Ribeiro, 2002), são:
• Confidencialidade – A informação somente pode ser acessada por pessoas
explicitamente autorizadas; É a proteção de sistemas de informação para impedir
que pessoas não autorizadas tenham acesso ao mesmo. O aspecto mais importante
deste item é garantir a identificação e autenticação das partes envolvidas;
• Disponibilidade – A informação deve estar disponível no momento em que a mesma
for necessária;
• Integridade – A informação deve ser retornada em sua forma original no momento
em que foi armazenada. É a proteção dos dados ou informações contra modificações
ou remoções intencionais ou acidentais não-autorizadas.

Para que estes princípios possam ser cumpridos, as organizações devem adotar práticas
para gerenciar de maneira eficaz a segurança da informação no seu ambiente.

2.1.2 O Gerenciamento da Segurança da Informação

Segundo os princípios do ITGI (Information Technology Governance Institute) em

(ITGI, 2007) , as informações corporativas e a tecnologia necessária para suportá-la não
podem ser tratadas isoladamente, devendo a Tecnologia da Informação (TI) ser considerada
uma parte integrante da estratégia corporativa, em vez de simplesmente um meio para
torná-la viável. Assim, para a área de TI, torna-se necessária a adoção de uma gestão de
riscos operacionais para garantir total segurança e confidencialidade dos dados dos clientes,
sem o comprometimento da instituição, além de oferecer uma infra-estrutura de sistemas
que assegure a integridade dos dados e dos relatórios gerenciais, sendo preciso adaptar

14
sistemas e procedimentos relacionados à análise e medição do risco operacional a partir dos
dados armazenados.

Para cumprir os novos desafios das exigências legais e regulamentações, as

instituições estão priorizando investimentos na área de Segurança da Informação e no
próprio departamento de TI. Estas leis exigem total transparência da organização na
avaliação dos controles e processos internos para a realização de relatórios financeiros, com
a obrigação de emissão destes relatórios para serem atestados pela SEC (Securities and
Exchange Commissions), comissão cuja principal responsabilidade é reforçar as leis de
segurança e regular a segurança no mercado de ações norte-americano. Além disso,
exigem-se atestados de responsabilidade dos administradores da empresa e inclusive dos
auditores independentes da companhia; Manutenção da estrutura dos controles internos e
demais procedimentos; Avaliação e relatório de cumprimento de metas da eficácia dos
procedimentos internos adotados para emissão de relatórios financeiros; e declaração de
que auditores independentes da companhia atestaram a avaliação dos procedimentos
elaborada pela administração. No Brasil, a fiscalização das atividades do mercado de
valores é feita pela Comissão de Valores Mobiliários. Isto inclui assegurar o funcionamento
eficiente e regular dos mercados de bolsa e de balcão e evitar ou coibir modalidades de
fraude ou manipulação destinadas a criar condições artificiais de demanda, oferta ou preço
de valores mobiliários negociados no mercado.

A abrangência dessas leis engloba tanto os esquemas de tolerância à falha a infra-

estrutura de TI quanto a proteção contra ações hostis e garantia do uso responsável dos
recursos, buscando maior ênfase em melhores e mais efetivos controles internos para
garantir a gestão de riscos em seus processos e no relacionamento com a sociedade. Estes
controles são definidos como políticas, procedimentos, práticas e estruturas organizacionais
projetados para prover razoável segurança de que os objetivos de negócio serão atingidos e
que eventos indesejáveis serão prevenidos ou detectados e corrigidos.

Desta forma é necessário que exista uma definição explícita dos resultados
esperados pela companhia, assim como atividades e eventos necessários à garantia da

15
segurança da informação (políticas), assim como um processo para medir a performance
das organizações no alcance destes resultados (gerenciamento). Uma forma de assegurar
este gerenciamento da informação e de sua segurança é a utilização, pelas organizações, de
normas com o objetivo de obter certificações e, assim, garantir o cumprimento de todos os
passos para obter uma gestão eficaz. Segundo (Gorissen, 2005), duas das normas mais
utilizadas são a ISO/IEC 17799 e a ISO/IEC 27001, que são apresentadas neste trabalho.

2.2 As Normas ISO/IEC 17799:2005 e ISO/IEC 27001

De acordo com (Freitas, 2007), “a utilização de padrões facilita a implementação de

um objetivo, através do uso de boas práticas reconhecidas no mercado”. A certificação de
uma organização em uma norma de gerenciamento de segurança da informação como a
ISO/IEC 17799 e a ISO/IEC 27001 pode permitir a estas a garantia do cumprimento das
boas práticas reconhecidas pelo mercado para a proteção das atividades relacionadas à
segurança da informação.

2.2.1 Histórico das normas ISO/IEC 17799:2005 e ISO/IEC 27001

Em 1987 o DTI (Departamento de Comércio e Indústria do Reino Unido) criou o

CCSC (Comercial Computer Security Center), que tinha como objetivo a criação de uma
norma de segurança que atendesse às necessidades de segurança da informação no Reino
Unido. A partir desta necessidade, várias empresas e instituições internacionais buscaram
estabelecer metodologias e padrões que melhor ajudassem o mercado em suas pendências
relativas à segurança da Informação.

Em 1989 depois de ter criado vários documentos preliminares o CCSC criou a BS

7799 (British Standard 7799), uma norma de segurança da informação destinada a
empresas, e disponibilizada para consulta pública dividida em duas partes: a primeira (BS
7799-1) em 1995, que evoluiu para a ISO/IEC 17799:2005; e a segunda (BS 7799-2) em
1998, que evoluiu para a ISO/IEC 27001.

16
 A BS 7799-1 é a parte da norma que é planejada como um documento de referência
para prover a execução de “boas práticas” de segurança na empresa, enquanto que a BS
7799-2 é a parte que tem o objetivo de proporcionar uma base para gerenciar a segurança
da informação dos sistemas da empresa.

Após um trabalho árduo de internacionalização e consultas públicas, a BS 7799 foi

aceita em dezembro de 2000 como padrão internacional pelos países membros da ISO. Isto
implica na junção de duas organizações: ISO (International Standartization Organization)
e IEC (International Engineering Consortium), sendo assim denominada ISO/IEC
17799:2000. A ISO é uma organização internacional formada por um conselho e comitê
com membros oriundos de vários países. Seu objetivo é criar normas e padrões
universalmente aceitos sobre a realização de atividades comerciais, industriais, científicas e
tecnológicas. A IEC é uma organização voltada ao aprimoramento da indústria da
informação.

Com isto, em dezembro de 2000, a ABNT (Associação Brasileira de Normas

Técnicas) também resolveu acatar a norma ISO como padrão brasileiro sendo publicada em
2001 como: ABNT NBR ISO/IEC 17799:2000 – Tecnologia da informação – Técnicas de
segurança – Código de prática para a gestão de segurança da informação. Em 31 de agosto
de 2005, foi publicada a ABNT NBR ISSO/IEC 17799:2005, entrando em vigor em 30 de
setembro de 2005, sendo totalmente equivalente à ISO/IEC 17799:2005. Foi elaborada no
Comitê Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21), pela
comissão de Estudos de Segurança Física em Instalações de Informática (CE-21:204.01).
Em 2006 a norma ISO/IEC 27001 foi reconhecida no Brasil e publicada como ABNT NBR
ISO/IEC 27001 – Tecnologia da informação – Técnicas de segurança – Sistema de gestão
de segurança da informação – requisitos.

As normas ISO/IEC 17799 e ISO/IEC 27001 formam o par consistente de normas

relativas a segurança da informação. Apesar de tratarem dos mesmos controles, a primeira
norma aborda boas práticas de segurança da informação enquanto que a segunda trata de
requisitos para implantação de um SGSI. Na prática, na norma ISO/IEC 17799 a
organização não é obrigada a seguir todos os controles, sendo considerada um guia de

17
implementação. Já para estar em conformidade com a ISO/IEC 27001 e implantar o SGSI,
a organização deve implementar todos os controles desta norma que tratam do SGSI, sendo
uma norma para certificação.

2.2.2 A Norma ISO/IEC 17799

A norma ISO/IEC 17799 é uma compilação de recomendações para melhores

práticas de segurança que podem ser aplicadas por organizações, independentemente do seu
porte ou setor. Foi elaborada pela ISO em conjunto com a IEC e estabelece diretrizes e
princípios de segurança a serem aplicados pelas companhias.

2.2.2.1 Abordagem da norma

A ISO/IEC 17799:2005 aborda tópicos em termos de políticas e práticas gerais. O

documento identifica um ponto de partida para o desenvolvimento de especificações da
organização. Trata dos seguintes tópicos:
• Avaliação e tratamento de riscos
• Política de segurança:
o Documentar e comunicar as políticas de Segurança da Informação revisadas
periodicamente;
• Organização da segurança da informação:
o Alocação de papéis e responsabilidades
o Riscos/controles de acessos a terceiros
o Outsourcing.
• Gestão de ativos
o Inventário de ativos;
o Classificação baseada em impactos do negócio.
• Segurança em recursos humanos;
o Seleções e recrutamento;
o Papéis e responsabilidades;
o Relatório de incidentes

18
• Segurança física e do ambiente:
o Área de atuação de segurança física;
o Alocação de equipamentos;
o Segurança do ambiente de trabalho.
• Gerenciamento das operações e comunicações;
o Procedimentos de incidentes;
o Segregação de papéis;
o Planejamento e Aceitação de sistemas;
o Proteção contra software malicioso;
o Controle de mensagens eletrônicas.
• Controle de acessos:
o Gerenciamento de acesso

Nível de Aplicação

Nível Operacional

Nível de rede
• Aquisição, desenvolvimento e manutenção de sistemas de informação:
o Procedimentos de gerenciamento de mudanças;
o Segregação de ambiente;
o Requisitos de segurança.
• Gerenciamento de Incidentes em Sistemas de Informação
o Relatórios de eventos, deficiências e melhorias em Sistemas de Informação
• Gestão de continuidade de negócios:
o Business Continuity Plan (BCP), ou Plano de Continuidade do Negócio
o Modelos de BCP e papéis e responsabilidades das equipes
o Manutenção e atualização de BCPs
• Conformidade.
o Controle de direitos autorais (copyright);
o Retenção de registros e informação;
o Conformidade com a legislação - Proteção de dados
o Conformidade com as políticas organizacionais

19
 A ISO/IEC 17799 não fornece material definitivo ou específico para qualquer tópico
de segurança. Ela serve como um guia prático para o desenvolvimento de padrões de
segurança organizacional e auxilia na elaboração de atividades ligadas a segurança da
informação.

2.2.3 A Norma ISO/IEC 27001

A ISO/IEC 27001 é um padrão para Sistemas de Gerenciamento de Segurança da

Informação publicado pela ISO e pela IEC, sendo chamado de ISO/IEC 27001:2005 -
Information technology - Security techniques - Information security management systems.
Esta norma foi publicada em outubro de 2005 e apresenta a aplicação dos controles
existentes na ISO/IEC 17799

Segundo a ISO, a norma ISO/IEC 27001:2005 abrange todos os tipos de

organizações (comerciais, agências governamentais, organizações não-governamentais). A
norma especifica requisitos para a implementação de controles de segurança personalizados
para as necessidades de organizações individuais ou partes destas para daí assegurar a
seleção de controles de segurança adequados e correspondentes para proteger as
informações e prover confiança para as partes envolvidas no processo. A ISO/IEC 27001
também especifica os requisitos para desenvolver, implementar, operar, monitorar, revisar,
manter a aperfeiçoar um SGSI documentado dentro do contexto dos riscos gerais do
negócio da organização.

2.2.3.1 O Sistema de Gerenciamento de Segurança da Informação

O Sistema de Gerenciamento de Segurança da Informação faz parte do sistema de

gerenciamento das organizações. É fundamentado no gerenciamento de risco do negócio
com foco específico na informação. O conceito chave do SGSI é a criação, implementação
e manutenção de uma série de processos de gerenciamento para a efetiva segurança da
informação.

20
Figura 1: Modelo do PDCA do SGSI definido em (NBR ISO 27001)

O SGSI assegura a confidencialidade, integridade e disponibilidade das informações

alinhadas com políticas, objetivos, processos e procedimentos. Para que o SGSI se
mantenha efetivo e eficiente no longo prazo, este precisa ser regularmente avaliado e
revisado. Isto é o objetivo do modelo PDCA (Plan-Do-Check-Act) proposto pela ISO/IEC
27001, o qual assegura processos de melhorias contínuas para o SGSI. A implementação de
um SGSI na ISO/IEC 27001:2005 é baseada em um ciclo de informação contínua, o
modelo PDCA, constituído de 4 fases: Plan (Planejar); Do (Executar); Check (Verificar) e;
Act (Agir), observados na figura 1 e definidos a seguir:

• A fase Planejar permite estabelecer a política, os objetivos, os processos e os

procedimentos do SGSI.
• A fase Executar trata da implementação de políticas, objetivos, processos e
procedimentos do SGSI.
• A fase Verificar tem como objetivo avaliar e medir a performance do SGSI.
• A fase Agir permite a possibilidade de medidas corretivas de acordo com os
resultados dos relatórios.

21
 O uso do modelo PDCA permite não só estabelecer, implementar e manter o SGSI,
como também a melhoria das políticas, objetivos, processos e procedimento que compõem
o SGSI graças à dinâmica de melhoria contínua.

2.2.3.2 Abordagem da Norma

Além da implementação, monitoramento e manutenção do SGSI, a ISO/IEC 27001

aborda no Anexo A os controles contidos na ISO/IEC 17799:
• Políticas de segurança;
• Organização da Segurança da Informação;
• Gerenciamento de Ativos;
• Segurança de Recursos Humanos;
• Segurança Física e do Ambiente;
• Gerenciamento de Operações e Comunicações;
• Controle de Acesso;
• Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação;
• Gerenciamento de Incidentes em Sistemas de Informação;
• Gestão de Continuidade do Negócio;
• Conformidade.

O controle “Avaliação e Tratamento de Riscos” não faz parte dos objetivos de controle
definidos na norma ISO/IEC 27001, estando contido na fase “Planejar” do modelo PDCA
do SGSI.

Adicionalmente, a norma ISO/IEC 27001 exige a criação de uma declaração de

aplicabilidade, na qual a empresa deve relacionar quais controles do Anexo A são
aplicáveis e justificar os que não são aplicáveis ao seu SGSI.

Um dos modos de garantir a conformidade tanto com a ISO/IEC 17799 quanto com a
ISO/IEC 27001 é a implantação dos Sistemas de Gerenciamento de Segurança da
Informação e de Politicas de Segurança da Informação na organização.

22
2.3 Criação de uma Política de Segurança da Informação

O desenvolvimento e implantação de uma política de segurança da informação

requerem o comprometimento de diversas áreas de interesse e deve ser abraçada por todos,
desde a direção da organização até cada um dos funcionários, clientes e fornecedores que
possam de alguma forma comprometer o ativo protegido, sejam eles tangíveis
(computadores, servidores) ou intangíveis (informação, imagem da companhia). O
documento de política de segurança da informação deve ser elaborado de forma a servir
como uma regra a ser seguida. Exigirá constantes atualizações que reflitam as necessidades
do negócio e a realidade da organização.

De acordo com a norma ABNT NBR ISO/IEC 17799:2005, uma política de

segurança da informação visa “prover uma orientação e apoio da direção para a segurança
da informação de acordo com os requisitos do negócio e com as leis e regulamentações
relevantes”, com o objetivo de minimizar as preocupações da direção com a segurança de
seus ativos. Escrever uma política é uma tarefa que deve contar com o envolvimento de
várias pessoas, de vários departamentos, podendo expor desnecessariamente os negócios da
companhia em questão.

2.4 Medição e Monitoramento da Segurança da Informação

A medição da segurança da informação significa a comparação do desempenho da

gestão da segurança da informação da companhia com aquilo que é proposto na política de
segurança e nos SGSIs, criados a partir das normas ISO/IEC 17799 e ISO/IEC 27001. Uma
vez que estes requisitos de segurança foram identificados, ações específicas relacionadas
aos requisitos podem ser monitoradas e os resultados do processo de monitoramento usados
para medir a conformidade da organização com estes requisitos.

Neste sentido, soluções em software podem ser usadas para facilitar esta medição e
monitoramento e para estabelecer atividades relacionadas à segurança da informação na
organização. Estes agentes podem executar verificações pré-definidas ou serem acionadas
por eventos ocorridos no ambiente de segurança da organização. Baseado no retorno

23
fornecido por estes agentes, a organização pode medir parte do seu desempenho conforme
condições da política de segurança. O SGSI deve servir também para permitir ao Chief
Information Security Officer gerenciar de forma efetiva a segurança da informação e prover
a capacidade de definir alguma forma de comparação entre os eventos monitorados e o
comportamento esperado definido na política de segurança.

24
3 O ESTUDO COMPARATIVO DAS SOLUÇÕES DE SOFTWARE PARA
GERENCIAMENTO DE SEGURANÇA DA INFORMAÇÃO

Existem atualmente inúmeras soluções de software disponíveis no mercado para

auxiliar as organizações a alcançar os seus objetivos em segurança da informação.
Normalmente estas soluções abrangem ou o aspecto da criação e implementação da política
no ciclo de vida da segurança ou os aspectos de gerenciamento da segurança. Os
componentes principais devem ser examinados e suas características discutidas para
fornecer uma visão geral do que é oferecido pelas soluções.

A proposta deste trabalho é examinar algumas destas soluções e identificar

características chave que possam ser usadas como critério para comparação entre os
produtos, assim como prover uma base dos requisitos chave de cada um destes sistemas.
Adicionalmente, um conjunto de critérios foi definido baseado na funcionalidade de cada
um dos sistemas, além do mapeamento de quais tópicos da norma ISO/IEC 27001,
apresentados no Capítulo 2, estes sistemas abordam. Para que isto fosse feito, foram
analisadas as documentações destas ferramentas fornecidas pelos próprios desenvolvedores.
Um dos obstáculos a uma análise mais completa deve-se ao fato das ferramentas exigirem
aplicações adicionais para o correto funcionamento, como bancos de dados ou servidores
de autenticação por exemplo, além do curto espaço de tempo disponível para a realização
deste estudo. Desta forma, não foi possível a análise das ferramentas de um modo mais
detalhado, a partir da instalação completa de seus componentes, o que permitiria uma
melhor observação de suas funcionalidades.

3.1 As ferramentas de medição dos SGSIs

A seguir serão apresentadas algumas das principais ferramentas para gerenciamento

da segurança da informação disponíveis no mercado, suas descrições e funcionalidades.
Devido ao grande número de ferramentas disponíveis, um fator que influenciou a escolha
de quais estariam neste estudo de caso foi disponibilidade para avaliação. Infelizmente
alguns desenvolvedores não oferecem de forma fácil a demonstração destas ferramentas,

25
que devem ter sua avaliação solicitada. Algumas das ferramentas inicialmente escolhidas
para este estudo comparativo não haviam sido disponibilizadas para avaliação até a
conclusão deste trabalho.

3.1.1 McAfee ePolicy Orchestrator

Carro-chefe das soluções de segurança da McAfee segundo o próprio fabricante, o

ePolicy Orchestrator (ePO) fornece um componente centralizado e acessível remotamente
para a análise e gerenciamento de perfis de segurança baseados na política de segurança em
computadores na organização. Segundo a McAfee, um único servidor ePO pode atender
mais de 250.000 usuários.

O ePO opera como uma plataforma distribuída, onde tanto os sensores de rede
quanto repositórios de atualização podem ser distribuidos através da rede. Sensores podem
detectar dispositivos conectados a LAN (Local Area Network) através da monitoração
passiva e determinar se eles estão sendo gerenciados pelo ePO. Computadores móveis
podem ser analisados cada vez que eles se conectam a rede local.

Os componentes centrais desta solução incluem um servidor central, e agentes

individuais que estão em cada computador gerenciado. Em suma, os agentes transmitem
informações específicas da máquina – incluindo propriedades dos sistemas, configurações e
eventos – para o servidor central, que por sua vez envia de volta políticas novas ou
alteradas, e a lista de repositórios de atualização disponíveis de volta para o agente. O
agente aplica as políticas localmente no sistema; políticas estas que detalham um conjunto
de configurações de software necessárias (que podem estar explícitas para um produto
específico; por exemplo, aplicar propriedade de busca para o antivírus) nesta máquina,
como visto na Figura 2. Políticas podem ser ajustadas especificamente para grupos, setores
ou indivíduos e são aplicadas em intervalos de 5 minutos, por exemplo.

Um a um, os tipos de propriedades e eventos recebidos pelo servidor de um agente

inclui alguns itens como informações do sistema (nome, memória, etc.), informações

26
específicas sobre softwares instalados ou informações sobre um evento gerado por algum
agente. Tais eventos são processados pelo servidor e armazenados em um banco de dados
central. Daí, as regras de notificação definidas pelo administrador são aplicadas para que os
indivíduos específicos sejam notificados, ações possam ser tomadas ou aplicativos de
correção possam ser executados.

Figura 2 - Definição de políticas de segurança no McAfee ePolicy Orchestrator

Segundo a McAfee, outras funções suportadas por esta solução são as distribuições
de atualizações de segurança como “arquivos de definições, motores, Service Packs,
hotfixes e patches” e também a possibilidade de procurar por um arquivo, serviço, chave de
registro ou correção específica da Microsoft como parte das políticas definidas

Novas funcionalidades nos últimos lançamentos incluem um console baseado na

web, acessível através de um browser; relatórios configuráveis que podem ser agendados e

27
enviados via e-mail e melhorias nos fluxos de trabalho. A elaboração de relatórios é um dos
pontos fortes da aplicação em relação aos outros apresentados neste trabalho, que podem
ser gerado em formato de planilha para Microsoft Excel e HTML (HyperText Markup
Language). Existe uma variedade grande de relatórios pré-configurados que abordam
implantação e violações da política, atividades de vírus e dados para auditoria.

Apesar de permitir um gerenciamento centralizado, falta ao McAfee ePolicy

Orchestrator a possibilidade de gerenciamento remoto por uma interface web. Outro ponto
fraco desta aplicação é o suporte apenas pelas plataformas Windows, incluindo Windows
Vista, e utilizar somente banco de dados Microsoft SQL Server.

3.1.2 TraceSecurity Compliance Manager

O TraceSecurity Compliance Manager é um pacote de ferramentas que provêem o

gerenciamento de avaliação, alerta e políticas pela área de segurança da organização.
Segundo o seu fabricante, o produto permite avaliar a postura da organização no que diz
respeito ao cumprimento de padrões regulatórios.

Múltiplas ferramentas são incluídas na TraceSecurity Compliance Manager Suite,

incluíndo:
• TraceAssess, que descobre automaticamente ativos e faz buscas por potenciais
vulnerabilidades. Os buscadores utilizam automaticamente uma base de dados
atualizada para a identificação de vulnerabilidades conhecidas na infra-estrutura
corporativa, e pode ser iniciado/parado dependendo das necessidades dos
administradores. Algumas características incluem integração com o TraceAlert,
habilidade de agrupar dispositivos logicamente, atribuir responsabilidades de
correção de falhas (e relatar quem são os responsáveis pelas vulnarabilidades nos
ativos), e a habilidade de relatar baseado em correções anteriores.
• TraceAlert, um remediador em tempo real e um serviço de notificação de
vulnerabilidade. A partir da alimentação do motor de alertas pelo pessoal da área de
segurança com as vulnerabilidades descobertas o motor então alerta os indivíduos

28
 apropriados na organização. Permite também ao usuário escolher para quais
tecnologias gerar alertas.
• TracePolicy, um gerenciador de documentação que permite o gerenciamento de
quem viu e revisou as políticas corporativas ou memorandos. Ainda possibilita
notificações automáticas da postagem de novos documentos e a auditoria tanto para
a revisão quanto para aceitação das políticas e memorandos pelos indivíduos.

Figura 3 - Medição do nível de conformidade com regulações no TraceSecurity

Compliance Manager

• TraceComply, uma ferramenta baseada em análise e acessada via web que mede o
nível de conformidade da organização com várias normas e regulações (figura 3),
incluindo as estudadas neste trabalho, assim como fornece automaticamente
informações atualizadas definindo e descrevendo estas regulações.

29
 • TraceMonitor, uma ferramenta que permite o monitoramento de arquivos e
endereços web específicos por mudanças de conteúdo e emite aleras a indíviduos
específicos quando as mudanças são descobertas.

Outras ferramentas também disponíveis como parte do Compliance Manager incluem o

TraceAssure, uma barra de ferramentas para identificação de websites maliciosos e para
permitir aos usuários autenticação aos endereços web; e o TraceTraining, para
acompanhamento dos resultados de treinamento dos usuários.

Características adicionais incluem a habilidade de gerar relatórios em formato PPT,

suporte a avaliações de conformidade com um vasto conjunto de padrões, incluindo os
padrões ISO, capacidade de atualizações agrupadas e suporte para privilégios de acesso
granular para aplicações especificadas no nível de usuário

Apesar de oferecer inúmeras funcionalidades através de suas ferramentas, o

Compliance Manager não oferece um módulo para gerenciamento centralizado. Por outro
lado, é suportado pelas seguintes plataformas: Linux, Windows e Macintosh.

3.1.3 Solidcore S3 Control

S3 Control é o nome dado a esta solução de segurança que é focada no

gerenciamento e controle de servidores individuais e estações de trabalho através do
gerenciamento de mudança baseado na política de segurança e na execução de código. Os
três componentes desta solução são o S3 Security, o S3 Change Control, e o S3 Embedded,
que só executam em plataforma Windows. Todos são baseados na tecnologia Solidification,
desenvolvida pelo fabricante, que procura proteger máquinas como meio de assegurar que
apenas mudanças autorizadas possam ser feitas às configurações das máquinas e que apenas
aplicativos autorizados possam ser executados.

O S3 Security oferece proteção em tempo de execução para computadores

individuais, utilizando definições baseadas na política de segurança para garantir que

30
apenas código autorizado pelo administrador é executado nestas máquinas. De acordo com
o fabricante, a Solidcore Systems, a tecnologia pode ser usada para “proteger tanto
aplicações padrões ou personalizadas em ambientes legado ou Sistemas Operacionais
abertos” (incluindo Windows, Red Hat Enterprise Linux, e Solaris). Ainda de acordo com o
vabricante, o S3 Security não requer nenhuma configuração inicial e ainda fornece
controles para código, memória (para prevenir que nenhum código seja inserido para
execução) e administradores (para assegurar que até mesmo os administradores autorizados
a executar mudanças não possam executar mudanças de configuração ao código inicial).

Figura 4 - Visualização de eventos de mudanças no S3 Change Control

O S3 Change Control, visto na figura 4, permite o monitoramento automatizado e

gerenciamento de mudanças de configuração em máquinas específicas. Ele funciona
continuamente para assegurar que nenhuma mudança não-autorizada possa ser feita a
máquinas protegidas, e com as atuais mudanças registradas em tempo-real. As mudanças
devem ser validadas baseadas no processo de aprovação de mudanças antes da sua
efetivação e ferramentas de geração de relatórios permitem a análise de eventos para
auditoria, que são gerados nas máquinas e armazenados em um repositório central. De

31
acordo com a SolidCore, o motor de relatórios acompanha uma biblioteca de relatórios e
permite a integração com o Crystal Reports.

Finalmente, o S3 Embedded é um conjunto de ferramentas que permite aos

fabricantes de software incorportar a tecnologia Solidification em seus próprios dispositivos

3.1.4 Modulo Risk Manager

O Risk Manager, da Modulo é uma aplicação cliente/servidor que auxilia a área de

segurança e auditoria tanto no gerenciamento e aperfeiçoamento da avaliação de segurança
da TI quanto na auditoria de conformidade. O produto, desenvolvido pelos analistas da
filial brasileira, combina múltiplas metodologias para a coleta de dados importantes para
análise, incluindo a coleta automatizada para diversos ativos (especialmente controles de
ativos técnicos, como sistemas operacionais ou aplicativos) e a habilidade de gerar
atividades agrupadas, entrevistas na própria tela do usuário que podem ser encriptadas e
enviadas via e-mail à determinados indivíduos para a coleta de dados especificamente para
a sua área de conhecimento.

O produto acompanha uma base de conhecimento, que é periodicamente atualizada,

contendo informações relativas a auditoria de pessoas, processos ou tecnologias específicas.
Esta base de dados alimenta a criação de ferramentas de auditoria e questionários que
podem retornar automaticamente os seus resultados a um repositório central para geração
de relatórios e monitoramento. Pelo fato da base de conhecimento conter informações pré-
definidas para a coleta de dados relevantes a tipos específicos de auditoria de conformidade
ou avaliação de segurança, e porque esta base de conhecimento é influenciada pela própria
ferramenta na criação de ferramentas de questionários que podem ser enviadas a indivíduos
específicos, a equipe de auditoria não precisa ter um alto conhecimento nas tecnologias ou
processos que serão examinados ou auditados.

A solução inclui dois componentes: um servidor, o qual requer a utilização do

Microsoft SQL Server 2000, que servirá como repositório de dados. O cliente pode ser

32
instalado no servidor, mas o desenvolvedor recomenda a instalação em máquinas
individuais (as licenças permitem instalação em um número ilimitado de máquinas). Os
clientes permitem a descrição dos ativos, criação de conjuntos de componentes de negócio
(perímetros), especificação de controles, coleta automatizada de dados (remota ou local) e
geração de relatórios completos. Adicionalmente a estes componentes, um programa
offline, permite o envio destes relatórios a determinados indivíduos (juntamente com as
informações de controle e coletores automáticos que este indivíduo será responsável por
completar ou executar).

O programa funciona da seguinte forma: primeiro, define-se os componentes de

negócio individual da organização que serão auditados. Dentre estes componentes, define-
se os ativos individuais que serão examinados; ativos podem ser definidos como indivíduos
(por função, por exemplo, um Analista de TI), ambiente, processos ou tecnologias. Uma
vez que os ativos são definidos, controles – que incluem as informações/perguntas que
precisam ser respondidas para examinar o risco ou conformidade de cada ativo específico –
podem ser importados seletivamente da base de conhecimento dentre os mais de 9.500
controles embutidos em mais de 130 checklists individuais (cada checklist representa um
ativo espefífico; por exemplo: Windows XP, UNIX ou um Analista de TI).

As evidências são agrupadas dependendo dos controles selecionados e, conforme

mencionado, pode incluir entrevistas pessoais, listas de verificação e coletores
automatizados de dados para tecnologias específicas (o desenvolvedor informa que são
mais de 3.200). Estas ferramentas necessárias e as listas de verificação são distribuidas para
os indivíduos apropriados que daí utilizam os clientes ou o Offline Answer Module (Módulo
de Resposta Offline) para retornar os dados apropriados ao repositório central. Estes dados
de retorno podem incluir não só as respostas em si às consultas, mas também podem incluir
formas de mídia como arquivos de foto ou printscreens, documentando a implementação de
um controle específico.

Finalmente, relatórios podem ser imediatamente gerados após a coleta de dados do

repositório central; relatórios podem fornecer resultados resumidos e detalhados e uma

33
análise de risco numérica. Tais relatórios incluem título, sumário, descrição do
procedimento de auditoria, estatísticas, descrição de textos, gráficos e planilhas; sempre
com diversas opções de formatos. Os relatórios são automaticamente sinalizados como
Rascunho até que a auditoria esteja completa; e um resumo da auditoria, recomendações
detalhadas e diagramas em 3 níveis compatíveis com o Microsoft Visio podem ser gerados,
mostrando interdependências de todos os ativos.

Importantes características das novas versões do Risk Manager incluem:

1. Uma ferramenta de Governança da segurança, que fornece uma visão do sistema de
segurança da organização, integrando o negócio, os sistemas e a infra-estrutura, e
que permite a geração do resultado para diagramas visualizados a partir do
Microsoft Visio.
2. Um mapa fornecendo uma visão dos mapas (utilizando o Google Earth).
3. Um módulo chamado Business Continuity, lançado em setembro de 2007, que
permite a definição dos ativos mais importantes necessários para a manutenção das
operações durante emergências, assim como manter os BCPs atualizados.

Um diferencial do Modulo Risk Manager em relação a outras ferramentas é que este é

disponibilizado em português, entretanto só está disponível para plataformas Windows.

3.1.5 Novell Sentinel 6

O Novell Sentinel permite a coleta e correlação centralizada de dados sobre eventos de

diferentes fontes (firewalls, políticas e regulamentos, servidores, bancos de dados) em toda
a rede corporativa, com ênfase no monitoramento de eventos de segurança, correção,
emissão de relatórios e outras formas de conformidade.

De forma geral, a solução permite a coleta (união, filtro e padronização), correlação e

relatório de dados de eventos de múltiplas fontes. Módulos funcionais chave desta solução
incluem o Sentinel Control Center, Sentinel Reports, Sentinel Wizard, Sentinel Advisor e
Sentinel Mainframe Connect.

34
 Como o próprio nome diz, o Sentinel Control Center fornece o componente de
gerenciamento central; permite o monitoramento, correlação, gerenciamento de eventos e
relatórios. Essas características incluem visualização de gráficos em tempo real; exibição
gráfica interativa tanto de incidentes passados quanto presentes; e capacidade de
identificação automática de incidentes.

Figura 5 - Estabelecimento de regras no Novell Sentinel 6

O Sentinel Reports possui capacidades de gerar relatórios de conformidade e

rastreamento do sistema; detalhamento de problemas como adesão à políticas, violações,
ações corretivas e outras atividades relacionadas aos usuários. Relatórios são configuráveis
a partir de ferramentas de construção destes. Múltiplos formatos de saída são suportados,
inclusive com entrega programada de relatórios para a intranet corporativa.

O Sentinel Wizard, visto na figura 5, fornece uma interface “arraste-e-solte” para a

criação de coletores de informação baseados em regras; que agrupam, filtram e padronizam

35
dados de qualquer fonte e comunica a informação ao Control Center. Segundo a Novell, o
produto ainda acompanha uma lista de “coletores configuráveis e extensíveis”.

O Sentinel Advisor, um módulo opcional fornece informações para resolução de

vulnerabilidades e ameaças conhecidas; referênciando os dados em tempo real do Sentinel
com vulnerabilidades conhecidas e processos de correção automatizados. Outro módulo
opcional, o Sentinel Mainframe Connect permite a captura de atividades referentes à
segurança e conformidade de mainframes.

Um dos diferenciais desta aplicação é ser suportado por plataformas Windows, Unix,
Solaris e Linux.

3.1.6 OCS Inventory NG

O Open Computer and Software Inventory Next Generation é um aplicativo

desenvolvido para auxiliar o administrador de sistema ou rede a ter o controle das
configurações de hardware e software dos dispositivos da organização, além de permitir a
distribuição de programas, comandos ou arquivos nos clientes. Possui dois componentes:
um módulo de gerenciamento, utilizado pelo administrador para monitoração, e os agentes,
que são instalados nas máquinas que se desejam incluir no inventário. É, dentre os
estudados neste trabalho, o único a possuir licença GNU GPL (General Public License),
sendo disponível gratuitamente

A partir da instalação do cliente nas máquinas, é possível obter informações sobre a

configuração de hardware (processador, quantidade de memória, impressoras) assim como
de software (Sistema Operacional e programas instalados), como visto na Figura 6.
Informações adicionais dos dispositivos podem ser armazenadas, como data de compra,
localização, administrador local e detalhes dos contratos de suporte, por exemplo, que são
incluídas nos parâmetros de busca no banco de dados. Além disto, o OCS Inventory detecta
dispositivos de rede, como switches e roteadores, a partir do endereço IP (Internet
Protocol) ou MAC (Media Access Control), que também são armazenados no banco de

36
dados. O componente central permite a distribuição de atualizações e outros pacotes para os
agentes executados nas máquinas clientes. No caso destes executarem Windows, é possível
instalar o agente utilizando scripts de logon ou pelo Microsoft Active Directory. Para isto, é
possível atribuir níveis de prioridade de 0 a 10 para a aplicação destes, sendo 0 a mais alta e
10 a mais baixa.

Figura 6 – Inventário de dispositivos no OCS Inventory NG

No caso de agentes Windows, existe a possibilidade de pesquisar no registro os valores

de qualquer parâmetro especificado. Isto é útil para manter a relação de números seriais dos
programas instalados, por exemplo. Além desta, outra funcionalidade do OCS Inventory
NG é a possibilidade de incluir computadores não conectados na rede. Estes clientes são
armazenados como Offline Clients, sendo possível executar o agente nestas máquinas e daí
transferir os dados para o componente gerencial. Dispositivos que não estão contidos no
banco de dados são detectados automaticamente, além de serem classificados como

37
impressoras, roteadores, switches ou computadores. Esta busca é feita pelos próprios
agentes, que rastream a rede em busca de novos dispositivos e informam ao componente
central. No caso de computadores, o agente então é instalado e assim transfere as
informações de inventário através de HTTP (Hypertext Transfer Protocol). O servidor
então armazena as informações no banco de dados e permite o acesso através de uma
interface Web.

Uma falha observada nesta ferramenta é que, no Windows, só é possível detectar

instalações que possuem entrada no registro e estão listadas na opção ‘Adicionar ou
Remover Programas’. Desta forma, se houver algum programa que não insira entrada no
registro, o OCS Inventory NG não tem como detectá-lo.

O OCS Inventory NG é suportado por plataformas Windows, Linux, MacOS X, Solaris

e IBM AIX e requer a utilização de servidores Apache, MySQL, PHP ou PERL para o
componente gerencial.

Após a apresentação e análise das características presentes nas ferramentas, propõe-se a

seguir um estudo comparativo destas ferramentas a partir de critérios de comparação
estabelecidos.

3.2 Comparação entre as soluções de Gerenciamento de Segurança da Informação

Para este estudo comparativo, primeiramente serão mapeados quais tópicos

abordados das normas ISO/IEC 27001 e 17799 são cobertos por estas soluções para depois
serem definidos os critérios de avaliação, que auxiliarão na detecção de falhas em termos
de facilidade de uso e flexibilidade com possibilidade de expansão. Este mapeamento será
útil para permitir às organizações escolherem ferramentas que abranjam os controles das
normas de segurança da informação implantados.

Na tabela 1 a seguir é proposto um mapeamento das funcionalidades estudadas nos

aplicativos na aplicação das normas ISO/IEC 17799 e ISO/IEC 27001.

38
 Funcionalidades McAfee TraceSecurity Solidcore Modulo Novell OCS
ePolicy Compliance S3 Risk Sentinel 6 Inventory
Orchestrator Manager Control Manager NG
Avaliação e
X X
tratamento de riscos
Políticas de
X X
segurança
Organização da
Segurança da X
Informação
Gestão de ativos X X X X X X
Segurança de
Recursos Humanos
Segurança Física e
do Ambiente
Gerenciamento de
Operações e X X X X
Comunicações
Controle de Acesso X
Aquisição,
Desenvolvimento e
Manutenção de X X X
Sistemas de
Informação
Gerenciamento de
Incidentes em
X X X
Sistemas de
Informação
Gestão de
Continuidade do X
Negócio
Conformidade
Tabela 1 - Mapeamento das funcionalidades estudadas nos aplicativos na aplicação
das normas ISO/IEC 17799 e ISO/IEC 27001

39
 Após o mapeamento dos tópicos cobertos nas normas de segurança, a seguir é
apresentada uma comparação das características das soluções estudadas, através do estudo
comparativo proposto neste trabalho.

3.2.1 Critérios de Comparação

Um conjunto de critérios foi definido baseado nas funcionalidades fornecidas pelas

soluções abordadas neste trabalho e nas deficiências detectadas. O objetivo deste estudo
não foi o de medir o desempenho das aplicações na geração de relatórios por exemplo, ou
na velocidade de execução de tarefas, pelo fato de atuarem em diferentes tópicos cobertos
pelas normas de segurança. A partir do estudo comparativo proposto neste trabalho, será
possivel identificar o que os sistemas têm em comum e o que os falta em termos de
funcionalidades. Isto será feito a partir da definição dos seguintes critérios de avaliação:

1. Regulado pela Política de Segurança:

• O sistema facilita as fases de um ciclo de vida de segurança baseada na política de
segurança da organização?
• A área de segurança da informação é capaz de, a partir do documento da política de
segurança, aplicar suas regras ao sistema?
• O sistema provê um vasto conjunto de configurações para permitir qualquer nível de
complexidade neste aspecto?
• O sistema permite ao administrador configurar qualquer número de combinações e
níveis de eventos dentro de um espaço de tempo determinado antes que qualquer
ação seja tomada?
• A área de segurança da informação consegue medir a conformidade da organização
às suas políticas de segurança baseada no ambiente monitorado e nas regras?
2. Monitoramento e Resposta
• O sistema provê um modo de obter respostas de atividades relacionadas a segurança
para o sistema de gerenciamento que permita a interpretação pelo setor de segurança
da informação?
3. Gerenciamento Ativo

40
 • A área de segurança será capaz de configurar e ajustar configurações
relacionadas à segurança pela própria aplicação? (por exemplo, ajuste de regras
de senha pela aplicação, e não por um servidor de autenticação)
4. Múltiplas Medições
• A organização pode definir seu próprio conjunto de medições ou a aplicação só
permite suas próprias medições?
5. Expansibilidade
• A organização poderá expandir o número de critérios que a aplicação é capaz de
medir?
• Existe suporte a múltiplas plataformas?
6. Extensibilidade
• A aplicação permite a flexibilidade de adicionar campos e informações
dinamicamente às entidades e de uma forma extendê-las?
7. Gerenciamento Centralizado
• As atividades de monitoramento, medição de atividades e configurações são
feitas a partir de um console central?
8. Interface Amigável
• A aplicação possui uma interface gráfica intuitiva?
• Os passos para a geração de relatórios e configuração são feitos de forma
intuitiva?

A partir do estudo das ferramentas, foram atribuídos 3 níveis de medição, de acordo

com a descrição de cada um dos critérios: 0 indica que a funcionalidade não é
implementada na solução, 1 indica que é parcialmente implementada e 2, totalmente
implementada.

Na tabela 2 são representadas as soluções estudadas e os níveis de medição alcançados

a partir dos critérios estabelecidos.

41
 Critérios McAfee TraceSecurity Solidcore S3 Modulo Risk Novell OCS
ePolicy Compliance Control Manager Sentinel 6 Inventory
Orchestrator Manager NG
Regulado pela
Política de 2 2 2 1 2 1
Seguraça
Monitoramento
2 2 2 2 2 2
e Resposta
Gerenciamento
1 1 1 1 1 2
Ativo
Múltiplas
2 0 0 2 1 0
Medições
Expansibilidade 0 2 0 0 2 1
Extensibilidade 2 2 1 2 2 0
Gerenciamento
1 0 1 2 2 2
Centralizado
Interface
1 1 2 2 1 1
Amigável
Tabela 2 – Tabela comparativa entre as soluções de software apresentadas neste trabalho de
acordo com os critérios estabelecidos

O mapeamento dos tópicos abordados nas normas de segurança da informação

apresentadas neste trabalho, juntamente com a utilização dos critérios de avaliação,
permitirá uma visão geral do que as ferramentas são capazes de entregar aos seus usuários e
de que forma esta entrega é feita.

A seguir será realizada uma análise dos resultados obtidos no estudo comparativo
proposto neste trabalho a partir do mapeamento dos requisitos necessários às ferramentas
de medição dos SGSIs

3.3 Análise dos resultados

De forma geral, as ferramentas analisadas neste estudo comparativo permitem todas

as fases do plano PDCA apresentado na norma ISO/IEC 27001: elas permitem um

42
gerenciamento de configurações, medidas e monitoramentos para a área de segurança. É
possível observar também que cada ferramenta foca em diferentes aspectos das normas
apresentadas neste trabalho. Por exemplo, enquanto o foco do S3 Control é na manutenção
de sistemas de informação, o Modulo Risk Manager permite uma eficiente avaliação de
riscos e o OCS Inventory NG, a gestão dos ativos de TI. A partir do entendimento dos
critérios propostos por este estudo comparativo, foi possível avaliar as funcionalidades
destas soluções e classificá-las de acordo com os critérios pré-estabelecidos para chegar aos
resultados apresentados e seguir.

Através do estudo destas ferramentas, pode-se concluir que nenhuma abrange todos
os tópicos abordados nas normas ISO/IEC 17799 e 27001. Mesmo as que estão agrupadas
em conjuntos de módulos com diferentes funcionalidades deixam de fora algumas
abordagens, o que era esperado, pelo amplo escopo compreendido nas normas. Algumas
considerações acerca dos critérios utilizados neste estudo devem ser feitas:

3.3.1 Regulado pela Política de Segurança

As soluções estudadas apresentaram um resultado satisfatório quanto a este item.

Todos eles permitem algum tipo de regulação de conformidade a partir da política de
segurança da organização, com algumas diferenças por causa do número de configurações
que podem ser ajustados para a entrega dos relatórios de dados.

3.3.2 Monitoramento e Resposta

Pelo fato das normas recomendarem ou exigirem geração de relatórios e

informações precisas, todas as aplicações entregam de forma integral este critério.

3.3.3 Gerenciamento Ativo

A maioria das soluções atendeu parcialmente a implantação deste critério. Este

resultado foi esperado pelo fato das soluções dependerem de outras entidades, como banco

43
de dados ou servidores de senha, por exemplo. O que pode ser observado é que em algumas
aplicações essas funcionalidades podem ser embutidas ou implantadas em um módulo
separado.

3.3.4 Múltiplas Medições

Muitas vezes é importante que a organização possa desenvolver e aplicar a partir

dos softwares de gerenciamento de segurança as suas próprias medições. Entretanto,
algumas das soluções apresentadas neste trabalho foram desenvolvidas para normas
específicas, como o TraceSecurity Compliance Manager e o Solidcore S3 Control,
desenvolvidos para um conjunto de normas (inclusive as da ISO) e que por isto não embute
a possibilidade de criação de medições.

3.3.5 Expansibilidade

Quase todas as aplicações estudadas oferecem suporte apenas para Windows ou

bancos de dados específicos, como o SQL Server. Vale ressaltar que todas as ferramentas
possuem boa integração com outros aplicativos, como os integrantes Office, da Microsoft,
permitindo a geração de relatórios em diversos formatos.

3.3.6 Extensibilidade

Todas as ferramentas apresentaram o cumprimento deste critério, permitindo que

novos módulos fossem somados aos existentes para ampliação do escopo das ferramentas e
suas capacidades

3.3.7 Gerenciamento Centralizado

A única aplicação que não atendeu este critério foi o TraceSecurity Compliance
Manager, que não possui nenhum painel de gerenciamento dos diferentes módulos que o

44
compõe. As outras, entretanto, oferecem paineis de gerenciamento bom centralizados,
permitindo acesso via web, inclusive.

3.3.8 Interface Amigável

As ferramentas possuem uma boa interface com o usuário, a partir do uso de

janelas, gráficos e o uso de recurso arrasta-e-solta. Boa parte dos passos para a geração de
relatórios é intuitiva

3.4 Considerações finais

Depois de realizar o estudo comparativo entre as aplicações de medição dos

Sistemas de Gerenciamento de Segurança da Informação mais utilizadas no mercado, vale
ressaltar que, devido ao tempo para a realização do estudo, algumas ferramentas, inclusive
de desenvolvedores nacionais ficaram de fora deste estudo comparativo. Um dos destaques
é o ISMS Risk Management, da brasileira Axur, que não foi incluída neste estudo
comparativo pela dificuldade em obter dados ou até uma cópia para análise. Até a
conclusão deste trabalho, o fabricante não havia respondido a requisição para avaliação da
solução. De qualquer maneira, a avaliação das ferramentas a partir dos critérios
estabelecidos e o mapeamento dos tópicos das normas ISO/IEC 17799 e 27001 que elas
abrangem foi feita da forma esperada.

45
 4 CONCLUSÃO

A crescente dependência das organizações em relação aos sistemas de informação

as torna cada vez mais vulneráveis a ameaças. Na sociedade da informação, ao mesmo
tempo em que as informações são consideradas um dos principais ativos de uma
organização, elas estão também sobre constantes riscos. A necessidade apontada pelas
organizações de controlar o acesso à informação, atendendo aos pilares que sustentam a
segurança da informação: Confiabilidade, Disponibilidade e Integridades, assim como todo
o processo onde o conhecimento relacionado às questões de segurança computacional
esteja disponível de forma objetiva para o conselho administrativo ao longo de todo o
processo de tomada de decisão para a execução do negócio, conduziu este trabalho a
considerar as questões relacionadas a Segurança da Informação.

Dentre as medidas de segurança implantadas pelas organizações, para garantir a

segurança da informação, estão políticas de segurança que tem por objetivo definir normas,
procedimentos, ferramentas e responsabilidades que devem ser seguidas pelos usuários das
organizações, de modo a garantir a segurança da informação. A política de segurança é a
base para todas as questões relacionadas à proteção da informação, desempenhando um
papel importante nas organizações.

A utilização de normas e regulamentações como a ISO/IEC 17799 e 27001 permite

às organizações de todos os tamanhos o correto desenvolvimento e implentação de políticas
de segurança da informação. A ISO/IEC 27001 define a implementação de um Sistema de
Gerenciamento de Segurança da Informação no ambiente organizacional cujo objetivo é
garantir a confiabilidade, disponibilidade e integridade das informações. Por outro lado, a
ISO/IEC 17799 oferece um código de boas práticas para implementação dos SGSIs.

Este estudo abordou a segurança da informação, os princípios de segurança, as

medidas de segurança, Sistemas de Gerenciamento de Segurança da Informação dentre elas
a política de segurança além das soluções em software para auditar os SGSIs, que foram os
objetos deste estudo. Desta forma, foram analisados quais tópicos das normas são cobertas
pelas principais soluções disponíveis no mercado, assim como feita uma comparação das

46
ferramentas, para auxiliar as organizações a avaliarem qual destas melhor atende aos seus
requisitos.

Como trabalhos futuros, sugerem-se a execução de estudos com aplicações que

abordem tópicos das normas ISO/IEC 17799 e ISO/IEC 27007 como Segurança de
Recursos Humanos e Segurança Física e do Ambiente, não cobertos pelas soluções
estudadas neste trabalho. Outra proposta para trabalhos futuros é a criação de uma política
de segurança da informação para uma organização específica.

47
5 REFERÊNCIAS BIBLIOGRÁFICAS

ABNT – Associação Brasileira de Normas e Técnicas. Tecnologia da Informação – Código

de prática para a gestão da segurança da Informação. NBR ISO/IEC 17799.

ABNT – Associação Brasileira de Normas e Técnicas.Tecnologia da Informação –

Técnicas de Segurança – Sistemas de gestão de segurança da informação – Requisitos.
NBR ISO/IEC 27001

ABREU, Dimitri. Política de Segurança - Definir para implementar. Módulo Security

Magazine, 2002. Disponível em:
http://www.modulo.com.br/pt/page_i.jsp?page=3&catid=2&objid=287&pagecounter=0&id
iom=0. Acessado em: 21/11/2007

ALBUQUERQUE, Ricardo e RIBEIRO, Bruno. Segurança no Desenvolvimento de

Software – Como desenvolver sistemas seguros e avaliar a segurança de aplicações
desenvolvidas com base na ISO, 2002. ISBN:. 8535210954

BALBO, Luciano de Oliveira. Uma Abordagem Correlacional dos Modelos CobiT / ITIL e
da Norma ISO 17799 para o tema Segurança da Informação, 2007. Disponível em
http://www.pece.org.br/cursos/TI/monografias/MBA-MONO-LucianoBalbo.pdf

BERNARDES, Mauro César e MOREIRA, Edson dos Santos. Um modelo para inclusão da
Governança da Segurança da Informação no Escopo da Governança Organizacional, 2005.
Disponível em www.linorg.cirp.usp.br/SSI/SSI2005/artigos/14275.pdf. Acessado em
23/11/2007.

BORAN, Sean. IT Security Cookbook, 1996. Disponível em

http://www.boran.com/security. Acessado em 23/11/2007

COBIT - Control Objectives for Information and related Technology. Printed in the United
States of America, 2007. ISBN 1-933284-72-2.

CVM – Comissão de Valores Mobiliários. http:\\www.cvm.gov.br Acessado em

10/12/2007

DELOITTE. Sarbanes-Oxley Section 404: 10 Threats to Compliance, 2004. Disponível em:

http://www.deloitte.com/dtt/cda/doc/content/TenThreats.pdf. Acessado em: 21/11/2007

DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação, 2000. ISBN:

8573231319

FAGUNDES, Carlos. Introdução ao Risco Operacional. Disponível em:

www.clm.com.br/aprisco/risco%20operacional/Risco%20Operacional%20-
%20Palestra.pdf. Acesso em: 20/11/2007.

48
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz. Implantando a Governança
de TI - Da Estratégia À Gestão dos Processos e Serviços, 2006. ISBN 1-857452-270-8

FREITAS, Carla. Desenvolvimento de um Processo de Análise e Avaliação de Riscos no

CPD/UFBA baseado na norma BS7799-3:2006, 2007.

GHERMAN, Marcelo. Controles internos: buscando a solução adequada. Fonte: Módulo

Security Magazine, 06 de Junho de 2005.

GORISSEN, Maximilian - Compustream - Política de Segurança da Informação: A norma

ISO 17799. Disponível em:
http://www.compustream.com.br/imagens/down/Artigo%20CompuStream%20Security%2
0-%20Norma%20ISO%2017799.pdf. Acessado em 12/12/2007

ISO-International Organization for Standardization/ International Eletrotechnical

Committee. Information technology- Code of practice for information security
management. Reference number ISO/IEC 17799:2005

ITGI - THE IT GOVERNANCE INSTITUTE. Information Security Governance: Guidance

for Boards of Directors and Executive Management 2nd Edition. Printed in the USA, 2005.
ISBN 1-933284-29-3.

ITGI - THE IT GOVERNANCE INSTITUTE. Information Security Governance: Guidance

for Boards of Directors and Executive Management. Printed in the USA, 2007. ISBN 1-
893209-28-8.

KRAUSE, Micki e TIPTON, Harold F. Handbook of Information Security Management.

Auerbach Publications, 1999.

LADAN, Sh., YARI A. e KHODABANDEH, H.Combination of Information Security

Standards to Cover National Requirements. Proceedings of World Academy of Science,
Engineering and Technology Volume 13 Maio/2006 ISSN 1307-6884

LAUREANO, Marcos Aurelio Pchek. Uma Abordagem Para a Proteção de Detectores de

Intrusão Baseadas em Máquinas Virtuais. Dissertação de Mestrado apresentado ao
Programa de Pós-Graduação em Informática Aplicada da Pontifícia Universidade Católica
do Paraná, 2004.

MCAFEE. McAfee ePolicy Orchestrator. http://www.mcafee.com

MODULO – Modulo Risk Manager. http://www.modulo.com.br

NOVELL – Novel Sentinel 6. http://www.novell.com

OCS – OCS Inventory NG. http://www.ocsinventory-ng.org

49
SCHWAIGER, Martin A. e URBINA, Hector A. IT-Governance Frameworks for
Compliance, 2006. Disponível em: http://dsv.su.se/en/seclab/pages/pdf-files/2006-x-
404.pdf. Acessado em: 24/11/2007

SOLIDCORE – Solidcore S3 Control. http://www.solidcore.com

TIM IO SC THD.31 – TIM Brasil - Controle de Acesso aos Sistemas Críticos GSM TLE e
TNE - Operações de Perfil. Obtido na intranet Corporativa.

TIM. PL SC THD.25 – TIM Brasil - Política de Controle de Acesso aos Sistemas Críticos.
Obtido na intranet Corporativa.

TRACESECURITY. TraceSecurity Compliance Manager. http://www.tracesecurity.com

VON SOLMS, Basie. Information Security governance: COBIT or ISO 17799 or both?
Disponível em http://www.bus.ucf.edu/awu/ism4323/docs/intro/iso17799orcobit.pdf.
Acesso em: 20/11/2007

WADLOW, Thomas. Segurança de Redes - Projeto e Gerenciamento de Redes Seguras,

2000. ISBN 8535206949

WEILL, Peter; ROSS, Jeanne W. Governança de TI: como as empresas com melhor
desempenho administram os direitos decisórios de TI na busca por resultados superiores.
M. Books do Brasil Editora Ltda, 2006. ISBN 85.89384-78-0.

50