Segundo NBR 17999 segurança da informação é proteger a informação de vários tipos de ameaça para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades do negócio.
Em outras palavrar existem três são os princípios da segurança da informação:
- confidencialidade: visa manter informações sigilosas longe de pessoas não autorizadas
para terem acesso a elas. Toda informação deve ser protegida de acordo com o grau de
sigilo de seu conteúdo;
- integridade: visa proteger a informação de modificações não autorizadas, imprevistas ou
não intencionais. Assim, toda informação deve ser mantida na mesma condição em que foi
disponibilizada pelo seu proprietário; e
- disponibilidade: toda informação gerada ou adquirida deve estar disponível aos seus
usuários no momento em que eles necessitem dela.
A preservação destes três três princípios constitui o paradigma básico da segurança da
informação, mas é importante conhecer seus agentes: ameaças, vulnerabilidades, perímetro,
riscos, mecanismos de segurança e responsável pela segurança (security officer).
Ameaças e Vulnerabilidades
O RFC 2828 (2002) define ameaça como sendo um potencial para violação dos controles de
segurança, o qual existe quando se tem uma circunstância, capacidade, ação ou evento que
pode romper a segurança e causar impactos nos negócios. Assim, quanto maior as
lnerabilidades, pontos inseguros não gerenciados, maiores são as chances de uma ameaça
obter sucesso em seu “ataque”, ou seja, maior é o risco ao ativo ou informação.
Perímetro
Geralmente o alvo de qualquer ameaça é a informação, pois a informação é vital para a
organização e hoje seu fluxo está distribuído e compartilhado, ao invés de centralizado. Logo,
para planejar segurança significa avaliar o perímetro da informação e reduzir a vulnerabilidades. Conforme exemplo citado por Sêmola (2003), pense em uma casa. O padrão da maioria das casas é de possuir duas portas, uma de entrada ou social e uma de serviço. Afinalidade das delas é a mesma, servir como dispositivo de controle de acesso físico.
Entretanto, se a porta social três travas e a de serviço uma, elas oferecem níveis de segurança diferentes, e houve um desperdício de investimento na porta social, pois dado o perímetro o nível de segurança de uma organização está diretamente associado à segurança oferecida pela‘porta’ mais fraca.
Assim, deve-se analisar se não está havendo proteção demais em certos pontos ou setores e de menos em outros. O conhecimento do perímetro pode minimizar os riscos.
Riscos
As organizações, independentemente do seu segmento ou do seu tipo, possuem milhares de
variáveis que podem se relacionar de maneira direta ou indireta com os seus níveis de risco.
Risco é a probabilidade de que ameaças explorem as vulnerabilidades e, desta forma,
exponham os ativos, causando impactos maiores ou menores. Tais impactos são limitados por
medidas de segurança que protegem os ativos, diminuindo assim o risco.
Considerando R como sendo a taxa de risco, V as vulnerabilidades, A as ameaças, I os
impactos e M as medidas de segurança; o risco pode ser calculado conforme a equação:
Análise de Riscos e Vulnerabilidades é uma das etapas mais importantes para a construção
de um sistema de gestão de segurança de informação. Tão importante que o capítulo 4 da
NBR ISO/IEC 17799:2005 trata especificamente sobre análise/avaliação e tratamento de
riscos. Segundo a NBR, as análises/avaliações de risco devem identificar e priorizar os riscos
tendo como base critérios de aceitação dos riscos e dos objetivos da organização.
A tendência atual é a análise de riscos baseada na comparação da existência ou não de
controles de segurança, e não mais com o foco principal somente nas vulnerabilidades, por
causa da ampla aceitação e credibilidade da norma ISO/IEC 17799 no campo da gestão da
segurança da informação. Assim, os responsáveis por segurança não precisam trabalhar nas
vulnerabilidades individualmente, mas sim nos controles propostos pela norma, o que também
qualifica a organização para uma futura certificação.
Mecanismos de Segurança
Os mecanismos de controle de segurança são adquiridos, configurados e implementados com
a finalidade de atingir o nível de risco aceito em levantamento anterior. Geralmente a
atividade de implementação dos mecanismos é realizada pela orientação obtida da Análise de
Riscos ou orientada por normas específicas de segurança como a NBR ISO/IEC 17799:2005.
Além dos mecanismos de controle tecnológico, um mecanismo de segurança humano vem
ganhando espaço e sendo cada vez mais valorizado pelas organizações: é o profissional de
segurança ou o Security Officer. O RFC 2828 (2002) define-o como sendo a pessoa
responsável pela aplicação ou administração da política de segurança aplicada a todo o
sistema.
O Security Officer, em virtude das grandes atribuições e responsabilidades, preferencialmente
deve estar no mesmo nível dos executivos da organização. Algumas habilidades são
fundamentais para este profissional, tais como: possuir perfil tecnológico, saber conduzir
projetos, facilidade de comunicação, habilidade de mobilizar pessoas, e seriedade e credibilidade.
Normas de Segurança da Informação e Norma NBR ISO/IEC 17799:2005
As normas foram criadas para estabelecerem diretrizes e princípios para melhorar a gestão de
segurança nas empresas e organizações (HOLANDA, 2006). Na área de segurança da
informação, duas normas auxiliam o security officer (ROCHA, 2006): as normas BS (British
Standard) 7799 e ISO/IEC 17799. No ano de 2000 a ABNT resolveu aceitar a norma ISO
como padrão brasileiro, surgindo em 2001 a NBR 17799:2001 – Código de Prática para a Gestão da Segurança da Informação.
Em outras palavrar existem três são os princípios da segurança da informação:
- confidencialidade: visa manter informações sigilosas longe de pessoas não autorizadas
para terem acesso a elas. Toda informação deve ser protegida de acordo com o grau de
sigilo de seu conteúdo;
- integridade: visa proteger a informação de modificações não autorizadas, imprevistas ou
não intencionais. Assim, toda informação deve ser mantida na mesma condição em que foi
disponibilizada pelo seu proprietário; e
- disponibilidade: toda informação gerada ou adquirida deve estar disponível aos seus
usuários no momento em que eles necessitem dela.
A preservação destes três três princípios constitui o paradigma básico da segurança da
informação, mas é importante conhecer seus agentes: ameaças, vulnerabilidades, perímetro,
riscos, mecanismos de segurança e responsável pela segurança (security officer).
Ameaças e Vulnerabilidades
O RFC 2828 (2002) define ameaça como sendo um potencial para violação dos controles de
segurança, o qual existe quando se tem uma circunstância, capacidade, ação ou evento que
pode romper a segurança e causar impactos nos negócios. Assim, quanto maior as
lnerabilidades, pontos inseguros não gerenciados, maiores são as chances de uma ameaça
obter sucesso em seu “ataque”, ou seja, maior é o risco ao ativo ou informação.
Perímetro
Geralmente o alvo de qualquer ameaça é a informação, pois a informação é vital para a
organização e hoje seu fluxo está distribuído e compartilhado, ao invés de centralizado. Logo,
para planejar segurança significa avaliar o perímetro da informação e reduzir a vulnerabilidades. Conforme exemplo citado por Sêmola (2003), pense em uma casa. O padrão da maioria das casas é de possuir duas portas, uma de entrada ou social e uma de serviço. Afinalidade das delas é a mesma, servir como dispositivo de controle de acesso físico.
Entretanto, se a porta social três travas e a de serviço uma, elas oferecem níveis de segurança diferentes, e houve um desperdício de investimento na porta social, pois dado o perímetro o nível de segurança de uma organização está diretamente associado à segurança oferecida pela‘porta’ mais fraca.
Assim, deve-se analisar se não está havendo proteção demais em certos pontos ou setores e de menos em outros. O conhecimento do perímetro pode minimizar os riscos.
Riscos
As organizações, independentemente do seu segmento ou do seu tipo, possuem milhares de
variáveis que podem se relacionar de maneira direta ou indireta com os seus níveis de risco.
Risco é a probabilidade de que ameaças explorem as vulnerabilidades e, desta forma,
exponham os ativos, causando impactos maiores ou menores. Tais impactos são limitados por
medidas de segurança que protegem os ativos, diminuindo assim o risco.
Considerando R como sendo a taxa de risco, V as vulnerabilidades, A as ameaças, I os
impactos e M as medidas de segurança; o risco pode ser calculado conforme a equação:
R=VxAxI/M
Observe que a inclusão de medidas de segurança significativa reduz o risco. Por isto aAnálise de Riscos e Vulnerabilidades é uma das etapas mais importantes para a construção
de um sistema de gestão de segurança de informação. Tão importante que o capítulo 4 da
NBR ISO/IEC 17799:2005 trata especificamente sobre análise/avaliação e tratamento de
riscos. Segundo a NBR, as análises/avaliações de risco devem identificar e priorizar os riscos
tendo como base critérios de aceitação dos riscos e dos objetivos da organização.
A tendência atual é a análise de riscos baseada na comparação da existência ou não de
controles de segurança, e não mais com o foco principal somente nas vulnerabilidades, por
causa da ampla aceitação e credibilidade da norma ISO/IEC 17799 no campo da gestão da
segurança da informação. Assim, os responsáveis por segurança não precisam trabalhar nas
vulnerabilidades individualmente, mas sim nos controles propostos pela norma, o que também
qualifica a organização para uma futura certificação.
Mecanismos de Segurança
Os mecanismos de controle de segurança são adquiridos, configurados e implementados com
a finalidade de atingir o nível de risco aceito em levantamento anterior. Geralmente a
atividade de implementação dos mecanismos é realizada pela orientação obtida da Análise de
Riscos ou orientada por normas específicas de segurança como a NBR ISO/IEC 17799:2005.
Além dos mecanismos de controle tecnológico, um mecanismo de segurança humano vem
ganhando espaço e sendo cada vez mais valorizado pelas organizações: é o profissional de
segurança ou o Security Officer. O RFC 2828 (2002) define-o como sendo a pessoa
responsável pela aplicação ou administração da política de segurança aplicada a todo o
sistema.
O Security Officer, em virtude das grandes atribuições e responsabilidades, preferencialmente
deve estar no mesmo nível dos executivos da organização. Algumas habilidades são
fundamentais para este profissional, tais como: possuir perfil tecnológico, saber conduzir
projetos, facilidade de comunicação, habilidade de mobilizar pessoas, e seriedade e credibilidade.
Normas de Segurança da Informação e Norma NBR ISO/IEC 17799:2005
As normas foram criadas para estabelecerem diretrizes e princípios para melhorar a gestão de
segurança nas empresas e organizações (HOLANDA, 2006). Na área de segurança da
informação, duas normas auxiliam o security officer (ROCHA, 2006): as normas BS (British
Standard) 7799 e ISO/IEC 17799. No ano de 2000 a ABNT resolveu aceitar a norma ISO
como padrão brasileiro, surgindo em 2001 a NBR 17799:2001 – Código de Prática para a Gestão da Segurança da Informação.
0 comentários:
Postar um comentário