Conscientização em Segurança da Informação

Indaial 2020 ConsCientização em segurança da informação Profª Simone Erbs da Costa 1a Edição Copyright UNIASSELVI 2020 Elaboração Profª Simone Erbs da Costa Revisão Diagramação e Produção Centro Universitário Leonardo da Vinci UNIASSELVI Ficha catalográfica elaborada na fonte pela Biblioteca Dante Alighieri UNIASSELVI Indaial Impresso por C837c Costa Simone Erbs da Conscientização em segurança da informação Simone Erbs da Costa Indaial UNIASSELVI 2020 306 p il ISBN 9786556630762 1 Segurança da informação Brasil Centro Universitário Leonardo Da Vinci CDD 004 apresentação Caro acadêmico estamos iniciando o estudo da Conscientização em Segurança da Informação Esta disciplina objetiva conscientizar a importância de se ter um plano de segurança da informação e a conscientização de colaboradores do comportamento seguro bem como entender a visão executiva na gestão da segurança da informação de dados Este livro conta com diversos recursos didáticos externos Portanto recomendamos que você realize todos os exemplos e exercícios resolvidos para um aproveitamento excepcional da disciplina No contexto apresentado o livro Conscientização em Segurança da Informação está dividido em três unidades Unidade 1 Colaboradores e comportamento seguro Unidade 2 Padrão normas e plano de conscientização em segurança da informação Unidade 3 Visão executiva na gestão da segurança da informação Aproveitamos a oportunidade para destacar a importância de desenvolver as autoatividades lembrando que essas atividades não são opcionais Elas objetivam a fixação dos conceitos apresentados Em caso de dúvida na realização das atividades sugerimos que você entre em contato com seu tutor externo ou com a tutoria da UNIASSELVI não prosseguindo sem ter sanado todas as dúvidas Bom estudo Sucesso na sua trajetória acadêmica e profissional Profª Simone Erbs da Costa Você já me conhece das outras disciplinas Não É calouro Enfim tanto para você que está chegando agora à UNIASSELVI quanto para você que já é veterano há novi dades em nosso material Na Educação a Distância o livro impresso entregue a todos os acadêmicos desde 2005 é o material base da disciplina A partir de 2017 nossos livros estão de visual novo com um formato mais prático que cabe na bolsa e facilita a leitura O conteúdo continua na íntegra mas a estrutura interna foi aperfeiçoada com nova diagra mação no texto aproveitando ao máximo o espaço da página o que também contribui para diminuir a extração de árvores para produção de folhas de papel por exemplo Assim a UNIASSELVI preocupandose com o impacto de nossas ações sobre o ambiente apresenta também este livro no formato digital Assim você acadêmico tem a possibilida de de estudálo com versatilidade nas telas do celular tablet ou computador Eu mesmo UNI ganhei um novo layout você me verá frequentemente e surgirei para apresentar dicas de vídeos e outras fontes de conhecimento que complementam o assun to em questão Todos esses ajustes foram pensados a partir de relatos que recebemos nas pesquisas institucionais sobre os materiais impressos para que você nossa maior prioridade possa continuar seus estudos com um material de qualidade Aproveito o momento para convidálo para um batepapo sobre o Exame Nacional de Desempenho de Estudantes ENADE Bons estudos NOTA Olá acadêmico Você já ouviu falar sobre o ENADE Se ainda não ouviu falar nada sobre o ENADE agora você receberá algumas informações sobre o tema Você fala Ótimo este informativo reforçará o que você já sabe e poderá lhe trazer novidades Vamos lá Qual é o significado da expressão ENADE EXAME NACIONAL DE DESEMPENHO DOS ESTUDANTES Em algum momento de sua vida acadêmica você precisará fazer a prova ENADE Que prova é essa É obrigatória organizada pelo INEP Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira Quem determina que esta prova é obrigatória O MEC Ministério da Educação O objetivo do MEC com esta prova é de avaliar seu desempenho acadêmico assim como a qualidade de seu curso Fique atento Quem não participa da prova fica impedido de se formar e não pode retirar o diploma de conclusão do curso até regularizar sua situação junto ao MEC Não se preocupe porque a partir de hoje nós estaremos auxiliando você nesta caminhada Você receberá outros informativos como este complementando as orientações e esclarecendo suas dúvidas Você tem uma trilha de aprendizado do ENADE receberá emails SMS seu tutor e os profissionais do polo também estarão orientados Participar de webconferências entre outras tantas atividades para que esteja preparado para mandar bem na prova ENADE Nós aqui no NEAD e também a equipe no polo estamos com você para vencermos esse desafio Conte sempre com a gente para juntos mandarmos bem no ENADE Olá acadêmico Iniciamos agora mais uma disciplina e com ela um novo conhecimento Com o objetivo de enriquecer seu conhecimento construímos além do livro que está em suas mãos uma rica trilha de aprendizagem por meio dela você terá contato com o vídeo da disciplina o objeto de aprendizagem materiais complemen tares entre outros todos pensados e construídos na intenção de auxiliar seu crescimento Acesse o QR Code que levará ao AVA e veja as novidades que preparamos para seu estudo Conte conosco estaremos juntos nesta caminhada LEMBRETE sumário UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO 1 TÓPICO 1 ENTENDENDO A INFORMAÇÃO SUAS VULNERABILIDADES E AMEAÇAS 3 1 INTRODUÇÃO 3 2 CONCEITOS E PRINCÍPIOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO 4 21 ATIVOS DE INFORMAÇÃO 8 22 VULNERABILIDADES DA INFORMAÇÃO 9 23 AMEAÇAS À SEGURANÇA DA INFORMAÇÃO 11 24 ATAQUE À SEGURANÇA DA INFORMAÇÃO 15 25 INCIDENTE DE SEGURANÇA DA INFORMAÇÃO 17 26 IMPACTO E PROBABILIDADE 19 3 CLASSIFICAÇÃO DA INFORMAÇÃO 20 31 ROTEIRO PROPOSTO BASEADO NA ABNT NBR ISOIEC 270022013 21 RESUMO DO TÓPICO 124 AUTOATIVIDADE 29 TÓPICO 2 CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL 31 1 INTRODUÇÃO 31 2 ENGENHARIA SOCIAL 32 3 DISSEMINAÇÃO DA CONSCIENTIZAÇÃO 35 RESUMO DO TÓPICO 246 AUTOATIVIDADE 51 TÓPICO 3 PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 53 1 INTRODUÇÃO 53 2 PRÁTICAS RECOMENDADAS DE CONSCIENTIZAÇÃO SOBRE SEGURANÇA ORGANIZACIONAL 54 21 MONTAR A EQUIPE DE CONSCIENTIZAÇÃO DE SEGURANÇA 54 22 DETERMINAR FUNÇÕES PARA CONSCIENTIZAÇÃO DE SEGURANÇA54 23 CONSCIENTIZAÇÃO DE SEGURANÇA EM TODA ORGANIZAÇÃO 57 3 CONTEÚDO DO TREINAMENTO DE CONSCIENTIZAÇÃO DE SEGURANÇA DA INFORMAÇÃO 59 31 TODOS DA ORGANIZAÇÃO 61 32 GERÊNCIA 63 33 FUNÇÕES ESPECIALISTAS 63 34 DEFINIR MÉTRICAS PARA AVALIAR O TREINAMENTO DE CONSCIENTIZAÇÃO 65 4 LISTA DE VERIFICAÇÃO DO PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 66 LEITURA COMPLEMENTAR 69 RESUMO DO TÓPICO 382 AUTOATIVIDADE 86 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 89 TÓPICO 1 CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY COBIT 91 1 INTRODUÇÃO 91 2 FRAMEWORK COBIT 92 3 COMPORTAMENTO HUMANO E O COBIT 107 31 CULTURA ÉTICA E COMPORTAMENTO e PESSOAS HABILIDADES E COMPETÊNCIAS 108 32 PROCESSOS REFERENTE À CONSCIENTIZAÇÃO 118 RESUMO DO TÓPICO 1120 AUTOATIVIDADE 124 TÓPICO 2 PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO ABNT NBR ISOIEC 270012013 E ABNT NBR ISOIEC 270022013 127 1 INTRODUÇÃO 127 2 ABNT NBR ISOIEC 270012013 128 21 ESTRUTURA DA ABNT NBR ISOIEC 270012013 130 22 VISÃO GERAL DO ANEXO A DA ABNT NBR ISOIEC 270012013 139 3 ABNT NBR ISOIEC 270022013 141 31 ESTRUTURA DA ABNT NBR ISOIEC 2700220131 142 RESUMO DO TÓPICO 2156 AUTOATIVIDADE 160 TÓPICO 3 CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 80050 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST 163 1 INTRODUÇÃO 163 2 ETAPA 1 PROJETO DE CONSCIENTIZAÇÃO E TREINAMENTO 164 21 ESTRUTURANDO O PROGRAMA 165 22 AVALIANDO AS NECESSIDADES 165 23 DESENVOLVENDO A ESTRATÉGIA E O PLANO DE CONSCIENTIZAÇÃO E TREINAMENTO 168 24 ESTABELECENDO PRIORIDADES169 25 ESTABELECENDO O PADRÃO170 26 FINANCIAMENTO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO EM SEGURANÇA 172 3 ETAPA 2 DESENVOLVIMENTO DE MATERIAIS DE CONSCIENTIZAÇÃO E DE TREINAMENTO 173 31 DESENVOLVENDO MATERIAL DE CONSCIENTIZAÇÃO 174 32 DESENVOLVENDO MATERIAL DE TREINAMENTO 176 4 ETAPA 3 IMPLEMENTAÇÃO DO PROGRAMA 176 41 COMUNICAÇÃO DO PLANO 177 42 TÉCNICAS PARA CRIAR MATERIAL DE CONSCIENTIZAÇÃO 177 43 TÉCNICAS PARA CRIAR MATERIAL DE TREINAMENTO 178 5 ETAPA 4 PÓSIMPLEMENTAÇÃO 179 51 MONITORANDO A CONFORMIDADE 180 52 AVALIAÇÃO E FEEDBACK 182 53 GERENCIANDO MUDANÇAS 184 54 MELHORIA CONTÍNUA ELEVANDO O PADRÃO ESTABELECIDO 184 55 INDICADORES DE SUCESSO185 LEITURA COMPLEMENTAR 186 RESUMO DO TÓPICO 3193 AUTOATIVIDADE 198 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO 201 TÓPICO 1 VISÃO CORPORATIVA E POSICIONAMENTO HIERÁRQUICO 203 1 INTRODUÇÃO 203 2 VISÃO CORPORATIVA 207 21 CONSCIENTIZAÇÃO DO CORPO EXECUTIVO 210 22 RETORNO SOBRE O INVESTIMENTO 218 3 POSICIONAMENTO HIERÁRQUICO ADEQUADO223 RESUMO DO TÓPICO 1228 AUTOATIVIDADE 232 TÓPICO 2 MODELO DE GESTÃO CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO 235 1 INTRODUÇÃO 235 2 MODELOS DA ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO 239 21 COMITÊ CORPORATIVO DE SEGURANÇA DA INFORMAÇÃO 242 22 PAPEL DO SECURITY OFFICER 246 23 COMO CONDUZIR INTERNAMENTE A NEGOCIAÇÃO 249 24 SABENDO IDENTIFICAR O PARCEIRO EXTERNO 251 25 FERRAMENTAS METODOLÓGICAS 254 3 AGREGANDO VALOR AO NEGÓCIO 261 RESUMO DO TÓPICO 2263 AUTOATIVIDADE 267 TÓPICO 3 POLÍTICAS E REGULAMENTOS DE SEGURANÇA DA INFORMAÇÃO 269 1 INTRODUÇÃO 269 2 EXEMPLOS DE REGULAMENTOS E POLÍTICAS 271 LEITURA COMPLEMENTAR 285 RESUMO DO TÓPICO 3298 AUTOATIVIDADE 301 REFERÊNCIAS 303 1 UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO OBJETIVOS DE APRENDIZAGEM A partir do estudo desta unidade você deverá ser capaz de entender a segurança da informação e a sua importância para a organização buscando um comportamento seguro conhecer os princípios básicos da segurança da informação conhecida como a tríade Confidencialidade Integridade e Disponibilidade CID conhecer outras propriedades da segurança da informação indo além da tríade CID para compreensão do seu papel e do comportamento seguro compreender os conceitos básicos da segurança da informação como ativo da informação vulnerabilidades agentes ameaças ataques incidentes de segurança e de probabilidade e impacto entender o que é a engenharia social e identificar os seus possíveis ataques compreender a importância da conscientização e o comportamento seguro dos colaboradores compreender que a segurança da informação faz parte da cultura da organização e é benéfica para todos colaboradores e organização saber quais conteúdos devem ser utilizados na conscientização de segurança e compreender que a conscientização deve ser aplicada pelas funções exercidas na organização 2 PLANO DE ESTUDOS Esta unidade está dividida em três tópicos No decorrer do texto você encontrará autoatividades com o objetivo de reforçar o conteúdo apresentado TÓPICO 1 ENTENDENDO A INFORMAÇÃO SUAS VULNERABILIDADES E AMEAÇAS TÓPICO 2 CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL TÓPICO 3 PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA Preparado para ampliar seus conhecimentos Respire e vamos em frente Procure um ambiente que facilite a concentração assim absorverá melhor as informações CHAMADA 3 TÓPICO 1 UNIDADE 1 ENTENDENDO A INFORMAÇÃO SUAS VULNERABILIDADES E AMEAÇAS 1 INTRODUÇÃO A informação está presente nas organizações nos mais variados formatos Podemos ver a informação armazenada de forma eletrônica ou de forma impressa falada em vídeo por imagem som etc assim como podemos transmitir uma informação por voz ou mesmo pelo correio eletrônico Independente do meio que a informação está armazenada ou tem seu formato ou como é transmita é necessário que ela seja protegida de maneira adequada Desta forma podemos dizer que todas as informações mantidas e processadas por uma organização estão sujeitas a ameaças de ataques erros intencionais ou não intencionais e de natureza como incêndio enchente e afins e estão sujeitas a vulnerabilidades inerentes ao uso que fazemos da informação pois a informação é um ativo intangível fundamental para a sobrevivência da organização e desta forma precisa ser mantida segura Além disso é necessário disponibilizar as informações de maneira precisa completa e em tempo hábil para as pessoas autorizadas por ser um catalisador para a eficiência dos negócios Os melhores firewalls do mundo não poderão proteger os ativos da informação da organização se o firewall humano estiver fraco Segundo Pivot Point Security 2020 estimase que até 75 das violações da organização sejam atribuídas a falhas humanas na manutenção das políticas padrões e procedimentos de segurança de seu colaborador Para organizações que exigem conformidade com regulamentos governamentais específicos é necessário treinamento formal de conscientização de segurança da informação para cada colaborador de uma a duas vezes por ano Assim toda a organização corre o risco de ser comprometida Portanto agora que tivemos uma ideia da importância da informação para a organização precisamos compreender os conceitos e princípios básicos de segurança da informação Ativo é tudo que tem valor para uma organização podendo ser tangível ou intangível e de maneira lógica física ou humana NOTA UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO 4 2 CONCEITOS E PRINCÍPIOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO Na literatura encontramos várias definições para o termo segurança da informação Segundo ISOIEC 2018 o termo segurança da informação geralmente é baseado em informações consideradas como um ativo que possui um valor que exige proteção adequada como contra a perda de disponibilidade confidencialidade e integridade Desta forma é de responsabilidade da segurança da informação protegêla de vários tipos de ameaças para garantir a continuidade do negócio minimizar riscos e maximizar o retorno dos investimentos COELHO ARAÚJO BEZERRA 2014 p 2 Algumas definições formais de segurança da informação Preservação da confidencialidade integridade e disponibilidade da informação adicionalmente outras propriedades tais como autenticidade responsabilidade não repúdio e confiabilidade podem também estar envolvidas ABNT NBR ISOIEC 27002 2005 apud TORRES 2015 p 10 Sêmola 2003 p 43 coloca segurança da informação como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados alterações indevidas ou sua indisponibilidade Bastos e Caubit 2009 p 17 trazem uma definição menos formal de segurança da informação como ser caracterizada pela aplicação adequada de dispositivos de proteção sobre um ativo ou um conjunto de ativos visando preservar o valor que este possui para as organizações A aplicação destas proteções busca preservar a Confidencialidade a Integridade e a Disponibilidade CID não estando restritos somente a sistemas ou aplicativos mas também informações armazenadas ou veiculadas em diversos meios além do eletrônico ou em papel Estas definições de segurança da informação trazem os três pilares ou três princípios básicos da segurança da informação que são a Confidencialidade a Integridade e a Disponibilidade CID De acordo com Machado Júnior 2018 p 56 Este conjunto é conhecido como o tripé da segurança da informação internacionalmente denominado CIA triad em referência aos termos Confidentiality Integrity e Avalability Ao longo dos anos a CIAtriad foi consolidada e evolui servindo como pilares de sustentação Machado Júnior 2018 demonstra visualmente essa evolução da tríade CID por meio da Figura 1 TÓPICO 1 ENTENDENDO A INFORMAÇÃO SUAS VULNERABILIDADES E AMEAÇAS 5 FIGURA 1 EVOLUÇÃO DAS CARACTERÍSTICAS DE SEGURANÇA DA TRÍADE CID FONTE Machado Júnior 2018 p 61 UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO 6 A confidencialidade necessita que exista algum tipo de barreira para impedir o acesso direto Ambientes que são controlados e acessíveis somente por algum tipo de chave de acesso como conta de email uma área específica de uma organização um servidor de banco de dados um cofre e afins são exemplos de confidencialidade Esse mecanismo de barreira segundo Machado Júnior 2018 pode ser aprimorado por meio de recursos de criptografia O pilar da integridade é referente à ameaça da informação ser modificada sem autorização Para Machado Júnior 2018 p 62 A quebra da integridade é fator crítico e pode ter consequências catastróficas São exemplos de uso da integridade qualquer ambiente controlado em que o sucesso das operações depende da qualidade íntegra dos dados fornecidos Por fim o pilar da disponibilidade diz respeito à ameaça de negação não autorizada de utilização Esse pilar tem como objetivo garantir a propriedade da informação estar disponível quando solicitada MACHADO JÚNIOR 2018 p 62 Machado Júnior 2018 ainda coloca que o pilar da disponibilidade seria a maneira mais eficiente de um ataque ser iniciado Devido que ao se quebrar o pilar da disponibilidade possivelmente na sequência se comprometeria a integridade por meio de substituição ou de alteração de dados e por último a confidencialidade também seria comprometida Desta forma ter um plano de segurança no qual todos os colaboradores estejam cientes da sua importância é fundamental para os três pilares Ao longo dos anos outros modelos sugiram baseados na tríade CID e outras propriedades de segurança da informação foram acrescentadas a esses três princípios básicos da segurança da informação Alguns deles estão contidos no Quadro 1 Além deles também iremos ver na Unidade 2 de estudo os requisitos de controle pela versão ativa da ABNT ISOIEC 270022013 que define o objetivo da política da segurança da informação Confidencialidade se refere a certificar que somente os usuários autorizados tenham acesso à informação dizendo respeito à ameaça de liberar informação não autorizada De acordo com Machado Júnior 2018 p 60 Esse requisito busca garantir o acesso somente com autorização ou seja para que uma informação seja considerada segura é essencial que haja uma forma de garantir esta seja disponibilizada somente mediante autorização Integridade se refere à informação não ser adulterada Portanto a informação precisa ser mantida no estado em que ela foi disponibilizada pelo dono da informação o proprietário objetivando proteger a informação de qualquer tipo de alteração acidental intencional ou indevida Este requisito busca garantir que a informação não sofra alterações indevidas MACHADO JÚNIOR 2018 p 62 Disponibilidade se refere à informação estar disponível independente do seu desígnio Portanto é necessário certificar de que a informação e os seus ativos se encontrem acessíveis para os usuários autorizados legítimos de maneira devida MACHADO JÚNIOR 2018 NOTA TÓPICO 1 ENTENDENDO A INFORMAÇÃO SUAS VULNERABILIDADES E AMEAÇAS 7 QUADRO 1 PROPRIEDADES DA INFORMAÇÃO PROPRIEDADE DESCRIÇÃO Autenticidade A autenticidade visa garantir a verdadeira autoria ou seja visa atestar que a informação é de fato oriunda de determinada fonte garantindo que a informação foi criada expedida alterada removida por determinado órgão sistemas ou entidade Irretratabilidade ou não repúdio A irretratabilidade visa garantir a autoria da informação fornecida para que uma pessoa ou entidade não negue alguma atividade ou ação como por exemplo assinar ou mesmo criar um documento ou arquivo Segundo Machado Júnior 2018 p 70 o não repúdio é a capacidade do sistema para provar legalmente uma ocorrêncianão ocorrência de um evento ou participaçãonão participação dele Responsabilidade A responsabilidade visa garantir que a pessoa responda por seus atos incluso diante da lei ou seja esse princípio se refere a ser responsável pelas ações realizada no manuseio das informações Confiabilidade A confiabilidade visa garantir que a informação é proveniente de uma fonte autêntica expressando uma mensagem fidedigna ou seja que a informação é confiável De acordo com Machado Júnior 2018 p 70 O objetivo da confiabilidade referese à necessidade de autorização para que determinada informação ou dado seja disponibilizado e a privacidade referese à possibilidade de controle das informações ou dados por parte do próprio usuário Auditabilidade Segundo Machado Júnior 2018 p 70 capacidade de conduzir monitoramento persistente de todas ações realizadas por seres humanos e máquinas no ambiente Privacidade Para Machado Júnior 2018 p 70 um sistema deve obedecer à legislação em termos de privacidade e deve permitir aos indivíduos controlar sempre que possível as suas informações pessoais FONTE A autora De acordo com Dantas 2011 p 15 A autenticidade e confiabilidade estão interligadas A primeira diz respeito à idoneidade da fonte isto é digna de fé e confiança e a segunda ao seu conteúdo A avaliação da fonte para a sua autenticidade pode ser feita com relação à sua idoneidade como por UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO 8 exemplo completamente idônea regularmente idônea inidônea e cuja idoneidade não se pode avaliar E a avaliação da confiabilidade pode ser feita com relação ao seu conteúdo como por exemplo confirmação por outras fontes por ser verdadeira duvidosa ou improvável Dessa forma a autenticidade do emissor é a garantia de que quem se apresenta como remetente é realmente quem diz ser A confiabilidade é a garantia de que a informação está completa e igual à sua forma original quando do envio pelo remetente e expressa uma verdade O não repúdio é a garantia de que o emissor ou receptor não tem como alegar que a comunicação não ocorreu e a responsabilidade diz respeito aos deveres e proibições entre remetente e destinatário Portanto para conseguirmos alcançar a segurança da informação é necessário utilizar um conjunto de práticas e atividades incluindo a definição e elaboração de processos procedimentos conscientização e treinamento de colaboradores uso de ferramentas de monitoramento e controle Políticas de Segurança da Informação PSI Plano de Conscientização em Segurança da Informação PCSI e afins TORRES 2015 21 ATIVOS DE INFORMAÇÃO A informação é um próprio ativo sendo encontrada nas documentações dos sistemas em manuais de utilização nas bases de dados relacionais e não relacionais contratos e acordos planos de contingência de continuidade e assim por diante Torres 2015 também coloca outros ativos como pessoas e suas qualificaçõesexperiências os ativos de software como o caso de ferramentas sistemas aplicativos etc ativos físicos como o caso de equipamentos de comunicação e computacionais mídias removíveis etc serviços de forma geral como refrigeração eletricidade iluminação etc e os ativos intangíveis como a reputação da organização Torres 2015 p 12 coloca que Um dos fatores críticos de sucesso para a garantia da segurança da informação é a correta identificação controle e constante atualização dos diferentes tipos de ativos inventário Com a finalidade de alcançar uma correta proteção tornase importante conhecer o que seria a Gestão de Ativos Como princípio básico é recomendado que todo ativo seja identificado e documentado pela organização A cada um deles devese estabelecer um proprietário responsável cujo qual lidará com a manutenção dos controles Controles estes que podem ser delegados a outros profissionais porém sempre sob a responsabilidade do proprietário O que precisamos proteger Devemos proteger tudo que tiver algum valor para o negócio da organização ou seja os ativos da informação ATENCAO TÓPICO 1 ENTENDENDO A INFORMAÇÃO SUAS VULNERABILIDADES E AMEAÇAS 9 Para que os ativos da informação sejam utilizados com segurança e estejam seguros é necessário que os colaboradores estejam cientes da importância de algum dos ativos da organização assim como saberem do impacto causado caso o ativo da organização não seja protegido Desta forma é necessário que a informação seja classificada Assunto que trataremos no item seguinte deste tópico 22 VULNERABILIDADES DA INFORMAÇÃO A vulnerabilidade está diretamente relacionada ao ponto fraco de um ativo Portanto podemos entender a vulnerabilidade como uma fragilidade Tratase de um erro no procedimento no caso de sistemas falha de um agente ou má configuração dos aplicativos de segurança de maneira não proposital ou proposital gerando assim uma informação não confiável TORRES 2015 p 13 Coelho Araújo e Bezerra 2014 p 3 ainda colocam que qualquer fraqueza que possa ser explorada e comprometer a segurança de sistemas ou informações Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças Vulnerabilidades são falhas que permitem o surgimento de deficiências na segurança geral do computador ou da rede Configurações incorretas no computador ou na segurança também permitem a criação de vulnerabilidades A partir dessa falha as ameaças exploram as vulnerabilidades que quando concretizadas resultam em danos para o computador para a organização ou para os dados pessoais Assim caso isso aconteça os princípios da segurança da informação são rompidos Desta forma Coelho Araújo e Bezerra 2014 colocam que é necessário identificar as vulnerabilidades existentes como as apresentadas no QUADRO 2 Classificação da Informação é o processo para definir a sensibilidade da informação e quem tem acesso a essa informação permitindo assim definir níveis e critérios de acesso que garantam a segurança da informação Vide ABNT NBR 161672013 Segurança da Informação Diretrizes para classificação rotulação e tratamento da informação que para proteger corretamente as informações é necessário que exista uma forma de avaliar a importância das informações e de saber quais pessoas podem ter acesso ao seu conteúdo FONTE COELHO F E S ARAÚJO L G S de BEZERRA E K Gestão da segurança da informação NBR 27001 e NBR 27002 Rio de Janeiro Rede Nacional de Ensino e Pesquisa RNPESR 2014 IMPORTANTE UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO 10 QUADRO 2 EXEMPLOS DE VULNERABILIDADE VULNERABILIDADE DESCRIÇÃO Físicas Instalações prediais fora do padrão salas de departamento de tecnologia mal planejadas falta de extintores detectores de fumaça e de outros recursos para combate a incêndio em sala com armários e fichários estratégicos risco de explosões vazamento ou incêndio SÊMOLA 2003 Naturais Computadores são suscetíveis a desastres naturais como incêndios enchentes terremotos tempestades e outros como falta de energia acúmulo de poeira aumento umidade e de temperatura etc De acordo com Dantas 2011 p 26 Organizações situadas nessas áreas vulneráveis devem manter um excelente gerenciamento de continuidade de negócios uma vez que esses eventos independem de previsibilidade e da vontade humana Hardware Dantas 2011 p 27 coloca que Caracterizamse como vulnerabilidade de hardware os possíveis defeitos de fabricação ou configuração dos equipamentos que podem permitir o ataque ou a alteração deles Sêmola 2003 exemplifica com falha nos recursos tecnológicos como desgaste obsolescência má utilização ou erros durante a instalação Software As vulnerabilidades de softwares são constituídas por todos os aplicativos que possuem pontos fracos que permitem acessos indevidos aos sistemas de computador inclusive sem o conhecimento de um usuário ou administrador de rede DANTAS 2011 p 27 Para Sêmola 2003 erros na instalação ou na configuração podem acarretar acessos indevidos vazamento de informações perda de dados ou indisponibilidade do recurso quando necessário Meios de armazenamento Os meios de armazenamento são todos os suportes físicos ou magnéticos utilizados para armazenar as informações tais como disquetes CD ROM fita magnética discos rígidos dos servidores e dos bancos de dados tudo o que está registrado em papel DANTAS 2011 28 Discos fitas relatórios e impressos podem ser perdidos ou danificados A radiação eletromagnética pode afetar diversos tipos de mídias magnéticas De acordo com Dantas 2011 p 28 As suas vulnerabilidades advêm de prazo de TÓPICO 1 ENTENDENDO A INFORMAÇÃO SUAS VULNERABILIDADES E AMEAÇAS 11 validade e expiração defeito de fabricação utilização incorreta local de armazenamento em áreas insalubres ou com alto nível de umidade magnetismo ou estática mofo etc Comunicação Nas comunicações as vulnerabilidades incluem todos os pontos fracos que abrangem o tráfego das informações por qualquer meio cabo satélite fibra óptica ondas de rádio telefone internet wap fax etc DANTAS 2011 p 29 Os principais aspectos se relacionam com a qualidade do ambiente que foi preparado para o tráfego tratamento armazenamento e leitura das informações Outro ponto se refere à inexistência de sistemas de criptografia nas comunicações a escolha errônea dos sistemas de comunicações que são utilizados para enviar mensagens as conexões a redes múltiplas os protocolos de rede não criptografados os protocolos desnecessários permitidos a falta de filtragem entre os segmentos da rede acessos não autorizados ou perda de comunicação DANTAS 2011 SÊMOLA 2003 Humanas As vulnerabilidades humanas constituem a maior preocupação dos especialistas já que o desconhecimento de medidas de segurança é a sua maior vulnerabilidade DANTAS 2011 p 28 Falta de treinamento compartilhamento de informações confidenciais não execução de rotinas de segurança erros ou omissões ameaça de bomba sabotagens distúrbios civis greves vandalismo roubo destruição da propriedade ou dados invasões ou guerras são exemplos de vulnerabilidade humana Dantas 2011 p 28 complementa que Sua origem pode ser falta de capacitação específica para a execução das atividades inerentes às funções de cada um falta de consciência de segurança diante das atividades de rotina erros omissões descontentamento desleixo na elaboração e segredo de senhas no ambiente de trabalho não utilização de criptografia na comunicação de informações de elevada criticidade quando possuídas na empresa FONTE A autora 23 AMEAÇAS À SEGURANÇA DA INFORMAÇÃO Primeiramente entendemos o conceito de segurança da informação e que ela está baseada nos pilares da confidencialidade integridade e disponibilidade bem como em outras propriedades que possibilitam que os ativos da informação sejam resguardados conforme a sensibilidade e criticidade para o negócio Mas contra quem deve ser protegido Das ameaças UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO 12 Coelho Araújo e Bezerra 2014 p 3 colocam que ameaça é qualquer evento que explore vulnerabilidades Causa potencial de um incidente indesejado que pode resultar em dano para um sistema ou organização Essas ameaças podem ser tanto propositais causadas por uma pessoa podendo trazer consequências ao sistema ao ambiente ou mesmo no ativo da informação ou podem ser acidentais COELHO ARAÚJO BEZERRA 2014 DANTAS 2011 SÊMOLA 2003 As ameaças acidentais dizem respeito aos desastres naturais são falhas de hardware erros de programação etc Já as ameaças propositais se referem às fraudes roubos invasões etc podendo ser do tipo ativa ou passiva A ameaça ativa envolve alterar os dados e a ameaça passiva diz respeito à invasão eou ao monitoramento em que os dados não são alterados COELHO ARAÚJO BEZERRA 2014 DANTAS 2011 SÊMOLA 2003 As ameaças ainda podem ser classificadas quanto à intencionalidade podendo ser naturais que são decorrentes de fenômenos da natureza involuntária que basicamente ocorrem por não se ter conhecimento ou seja uma ameaça sem consistência e as voluntárias que dizem respeito a ser causada de forma proposital ou intencional por algum agente humano como espiões invasores hackers incendiários bem como quem cria e dissemina os vírus de computador COELHO ARAÚJO BEZERRA 2014 SÊMOLA 2003 Dantas 2011 traz as seguintes ameaças apresentadas nas pesquisas de segurança da informação Vírus worm cavalo de Troia ou também conhecido como trojan horse Phishing pharming e spyware Adware spam Roubo de dados confidenciais da organização e de cliente da propriedade da informação e da propriedade intelectual Acesso não autorizado à informação Perda de dados de clientes Roubo de laptop portáteis e de hardware Má conduta e acesso indevido à rede por colaboradores e gerentes bem como abuso de seus privilégios de acesso e utilização indevida da rede wireless Ataque de negação de serviço invasão de sistemas e da rede Acesso e utilização indevida da internet e dos recursos dos sistemas de informação Degradação da performance destruição eou rede e Web site mal configurados Software de má qualidade mal desenvolvido e sem atualização Ameaças são agentes ou condições que ao explorarem as vulnerabilidades podem provocar danos e perdas DANTAS 2011 p 30 ATENCAO TÓPICO 1 ENTENDENDO A INFORMAÇÃO SUAS VULNERABILIDADES E AMEAÇAS 13 Fraude financeira e de telecomunicações Interceptação de telecomunicação seja de voz ou de dados e espionagem Sabotagem de dados e da rede Desastres naturais Cyberterrorismo Destas ameaças Dantas 2011 observa que é necessário prestarmos atenção aos códigos maliciosos destacando principalmente os vírus por exemplo cavalo de troia adware e spyware backdoors keyloggers worms bots e botnets e rootkits que estão descritos no Quadro 3 para que você possa fixar melhor esses conceitos e saber a diferenciálos QUADRO 3 EXEMPLOS DE CÓDIGOS MALICIOSOS CÓDIGO MALICIOSO DESCRIÇÃO Vírus É um programa ou parte de um programa de computador o qual se propaga por meio de cópias de si mesmo infectando outros programas e arquivos de computador O vírus depende da execução do programa ou do hospedeiro para ser ativado Cavalo de Troia É um programa que executa funções maliciosas sem o conhecimento do usuário Normalmente esse código é recebido como um presente São exemplos de cavalo de troia cartão virtual prêmios fotos protetor de tela etc O seu nome é oriundo da mitologia grega Adware É um tipo de software projetado para apresentar propagandas seja por meio de um navegador seja com algum outro programa instalado em um computador Keyloggers São programas capazes de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador Worm É um programa capaz de se propagar de forma automática por meio de redes enviando cópias de si mesmo de computador para computador Difere do vírus por não embutir cópias de si mesmo em outros programas ou arquivos Bot É um programa capaz se propagar de maneira automática explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador Geralmente o bot se conecta a um servidor de Internet Relay Chat IRC e entra em um canal determinado também conhecido como uma sala esperando as instruções do invasor monitorando as mensagens que estão sendo enviadas para UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO 14 esse canal O invasor ao se conectar ao mesmo servidor de IRC e entrar no mesmo canal envia mensagens compostas por sequências especiais de caracteres que são interpretadas pelo bot Tais sequências de caracteres correspondem a instruções que devem ser executadas pelo bot Botnets São as redes formadas por computadores infectados com bots Essas redes podem ser compostas por centenas ou milhares de computadores Um invasor que tenha controle sobre uma botnet pode utilizála para aumentar a potência de seus ataques por exemplo para enviar centenas de milhares de emails de phishing ou spam para desferir ataques de negação de serviço etc Roorkits É um conjunto de programas que utiliza mecanismos para esconder e assegurar a presença do invasor no computador comprometido FONTE Dantas 2011 p 3738 Para saber mais sobre os golpes e os ataques na internet faça a leitura complementar desta unidade O engenheiro social é aquele que utiliza a influência a fraude e a persuasão contra as organizações geralmente com a intenção de obter informações ESTUDOS FUTUROS IMPORTANTE TÓPICO 1 ENTENDENDO A INFORMAÇÃO SUAS VULNERABILIDADES E AMEAÇAS 15 A Figura 2 traz os principais tipos de ataques causadas por estas ameaças aqui expostas referente a uma pesquisa de risco de segurança TI no ano de 2017 Pela referida figura é possível perceber que até 49 das organizações em todo o mundo relataram ter sido atacadas por vírus e Malware um aumento de 11 em comparação com os resultados do ano anterior desta pesquisa Das organizações que sofreram incidentes com vírus e Malware pouco mais da metade 53 deles considera os colaborados descuidados desinformados e mais de um terço 36 considera que o engenheiro socialphishing contribuiu para a ameaça KASPERSKY LAB 2020 FIGURA 2 VÍRUS E MALWARE FONTE KASPERSKY LAB 2020 p 1 Você está familiarizado com o termo engenharia social Abordaremos esse tema no Tópico 2 desta unidade de estudo ESTUDOS FUTUROS 24 ATAQUE À SEGURANÇA DA INFORMAÇÃO Ataque é qualquer ação que comprometa a segurança de uma organização COELHO ARAÚJO BEZERRA 2014 p 3 O ataque é um ato deliberado de tentar se desviar dos controles de segurança com o objetivo de explorar as vulnerabilidades COELHO ARAÚJO BEZERRA 2014 p 4 Segundo Coelho Araújo e Bezerra 2014 p 4 existem quatro modelos de ataque possíveis que estão demonstrados no Quadro 4 podendo ser do tipo passivo ou do tipo ativo como exemplificado no Quadro 5 UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO 16 QUADRO 4 MODELOS DE ATAQUE MODELO DE ATAQUE DESCRIÇÃO Interrupção O modelo de ataque de interrupção ocorre quando um ativo é destruído ou tornase indisponível ou inutilizável caracterizando um ataque contra a disponibilidade Por exemplo a destruição de um disco rígido COELHO ARAÚJO BEZERRA 2014 p 4 Interceptação O modelo de ataque de interceptação ocorre quando um ativo é acessado por uma parte não autorizada pessoa programa ou computador caracterizando um ataque contra a confidencialidade Por exemplo cópia não autorizada de arquivos ou programas COELHO ARAÚJO BEZERRA 2014 p 4 Modificação O modelo de ataque de modificação ocorre quando um ativo é acessado por uma parte não autorizada pessoa programa ou computador e ainda alterado caracterizando um ataque contra a integridade Por exemplo mudar os valores em um arquivo de dados COELHO ARAÚJO BEZERRA 2014 p 4 Fabricação O modelo de ataque de fabricação ocorre quando uma parte não autorizada pessoa programa ou computador insere objetos falsificados em um ativo caracterizando um ataque contra a autenticidade Por exemplo a adição de registros em um arquivo COELHO ARAÚJO BEZERRA 2014 p 4 FONTE A autora QUADRO 5 TIPOS DE ATAQUE ATAQUE DESCRIÇÃO Passivo O ataque passivo é baseado em escutas e monitoramento de transmissões com o intuito de obter informações que estão sendo transmitidas A escuta de uma conversa telefônica é um exemplo dessa categoria Ataques dessa categoria são difíceis de detectar porque não envolvem alterações de dados todavia são possíveis de prevenir com a utilização de criptografia COELHO ARAÚJO BEZERRA 2014 p 4 Ativo O ataque ativo envolve modificação de dados criação de objetos falsificados ou negação de serviço e possuem propriedades opostas às dos ataques passivos São ataques de difícil prevenção por causa da necessidade de proteção completa de todas as facilidades de comunicação e processamento durante o tempo todo Sendo assim é possível detectálos e aplicar uma medida para recuperação de prejuízos causados COELHO ARAÚJO BEZERRA 2014 p 4 FONTE A autora TÓPICO 1 ENTENDENDO A INFORMAÇÃO SUAS VULNERABILIDADES E AMEAÇAS 17 A Figura 3 traz os tipos de ataques relatados em pesquisa de risco de segurança de TI no ano de 2017 dados globais enquanto a Figura 4 demonstra que mais de um em cada quatro 27 negócios sofreu ataques ativos um aumento de 6 quando comparado ao ano anterior da pesquisa Dessas organizações atacadas mais de um quarto 28 acredita que a engenharia socialphishing contribuiu para o ataque KASPERSKY LAB 2020 FIGURA 3 TIPOS DE ATAQUES RELATADOS NA PESQUISA DE RISCO DE SEGURANÇA DE TI FONTE KASPERSKY LAB 2020 p 1 FIGURA 4 ATAQUES ATIVOS FONTE Kaspersky Lab 2020 p 1 25 INCIDENTE DE SEGURANÇA DA INFORMAÇÃO Incidente de segurança é um evento simples ou até uma série de eventos de segurança da informação que não desejadas ou não apropriados bem como possivelmente comprometem as operações do negócio da organização UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO 18 ameaçando a segurança da informação Desta forma podemos dizer que um incidente de segurança é qualquer evento fora do comum referente à segurança por exemplo ataques de negação de serviços Denial of Service DoS roubo de informações vazamento e obtenção de acesso não autorizado a informações COELHO ARAÚJO BEZERRA 2014 p 2 A ABNT NBR ISOIEC 270352011 fornece orientações quanto ao gerenciamento de incidentes em segurança da informação Resumidamente o escopo da norma traz as atividades de i detectar relatar e avaliar os incidentes de segurança da informação ii responder e gerenciar incidentes de segurança da informação iii melhorar continuamente a segurança da informação e o gerenciamento de incidentes Torres 2015 p 17 ainda coloca que um incidente pode ou não trazer um impacto sendo este último mensurado pela consequência que esta causa ao ativo da organização Logo um ativo de considerável valor implica em alto impacto e viceversa Portanto é importante que é a gestão dos incidentes de segurança da informação sejam devidamente tratados pois a sua falta pode trazer danos consideráveis para o negócio da organização A Figura 5 traz a pesquisa de risco de segurança de TI realizada mundialmente no ano de 2017 na qual é possível perceber que colaboradores descuidados ou desinformados por exemplo são a segunda causa mais provável de uma grave violação de segurança perdendo somente para Malware Além disso em 46 dos incidentes de segurança cibernética no último ano colaboradores descuidados uniformizados contribuíram para o ataque KASPERSKY LAB 2020 FIGURA 5 PESQUISA DE RISCOS DE SEGURANÇA DE TI FONTE Kaspersky Lab 2020 p 1 TÓPICO 1 ENTENDENDO A INFORMAÇÃO SUAS VULNERABILIDADES E AMEAÇAS 19 O erro humano da equipe não é o único ataque realizado pelo qual as organizações estão sendo vítimas No último ano a equipe interna também causou problemas de segurança por meio de ações maliciosas com 30 dos eventos de segurança nos últimos 12 meses envolvendo pessoas trabalhando contra seus próprios colaboradores Entre as organizações que enfrentaram incidentes de segurança cibernética nos últimos 12 meses uma em cada dez 11 os tipos mais graves de incidentes envolvem colaboradores descuidados KASPERSKY LAB 2020 26 IMPACTO E PROBABILIDADE Impacto é a consequência avaliada de um evento em particular COELHO ARAÚJO BEZERRA 2014 p 3 e a probabilidade é a possibilidade de uma falha de segurança acontecer observandose o grau de vulnerabilidade encontrada nos ativos TORRES 2015 p 17 Desta forma as probabilidades as vulnerabilidades e as ameaças se entrelaçam ou seja possuem uma forte ligação Resumidamente podemos dizer que as probabilidades são provavelmente as oportunidades de uma vulnerabilidade ser uma ameaça A Figura 6 traz essas relações exemplificando de uma maneira gráfica as relações e os relacionamentos entre os conceitos apresentados de ativos de informação vulnerabilidades agentes ameaças ataques incidentes de segurança e probabilidade e impacto FIGURA 6 RELACIONAMENTO ENTRE CARACTERÍSTICAS DOS ATIVOS DA INFORMAÇÃO FONTE Torres 2015 p 18 UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO 20 3 CLASSIFICAÇÃO DA INFORMAÇÃO Para que os colaboradores da organização possam ter um comportamento se guro e devido da informação é necessário que haja uma maneira de avaliar a impor tância da informação assim como quem pode ter acesso ao conteúdo dessas infor mações Dessa forma a informação precisa ser classificada visto que a classificação da informação contribui para a manutenção dos princípios básicos da informação Segundo Dantas 2011 p 15 ao classificar uma informação devese levar em conta o seu valor requisitos legais sensibilidade e criticidade para a organização Schneider 2015 p 38 complementa que O Governo Brasileiro atribui os níveis Ultrassecreto Secreto Confidencial e Reservado definido pelo Decreto nº 60417 de 11 de março de 1967 já as empresas privadas costumam atribuir outras nomenclaturas como por exemplo Restrita Confidencial Interna e Pública Outra classificação ainda utilizada diz respeito à informação ser classificada como confidencial restrita interna e pública As classificações são afins pedagógicos pois cada organização deve adaptar o nível de sigilo da informação de acordo com a realidade de seu negócio e deve divulgar amplamente para que seus colaboradores saibam o significado de cada nível da informação e como lidar com eles Segundo Schneider 2015 p 38 Apesar de não ser obrigatório o mais encontrado são quatro níveis de privacidade aplicados porém pode ser utilizado mais ou menos níveis conforme a necessidade da organização como os aqui colocados no Quadro 6 e em seguida colocamos o roteiro de Schneider 2015 baseado na ABNT NBR ISOIEC 27002 2013 de como realizar a classificação da informação QUADRO 6 CLASSIFICAÇÃO DA INFORMAÇÃO CLASSIFICAÇÃO DESCRIÇÃO Confidencial A informação confidencial diz respeito a ela não ser divulgada sem autorização podendo causar impactos de imagem em âmbitos financeiros eou operacional assim como sanções administrativas criminosas e civis A informação confidencial está restrita a um determinado grupo de pessoas Portanto é vital que as organizações tenham um programa de conscientização em segurança para garantir que os colaboradores estejam cientes da importância de proteger informações confidenciais e o que devem fazer para lidar com informações com segurança e os riscos de manipular informações incorretamente A compreensão dos colaboradores das consequências organizacionais e pessoais do manuseio incorreto de informações confidenciais é crucial para o sucesso de uma organização Exemplos de possíveis consequências podem incluir multas aplicadas à organização danos à reputação da organização e dos colaboradores e impacto no trabalho de um colaborador É importante colocar em perspectiva o dano organizacional em potencial para o pessoal detalhando como esse dano à organização pode afetar seus próprios papéis TÓPICO 1 ENTENDENDO A INFORMAÇÃO SUAS VULNERABILIDADES E AMEAÇAS 21 Restrita A informação é classificada como restrita por ser considerada um ativo para a empresa ou por se tratar de conhecimento exclusivo ou por normativos externos O acesso a este conteúdo por pessoas ou processos não autorizados pode gerar perdas para a organização Entretanto são necessárias para algumas pessoas ou setores dentro da organização realizarem seu trabalho As informações podem se manter como restritas por longos prazos devido a isso o planejamento do armazenamento deve prever todo o período o acesso o transporte e o descarte também não podem ser negligenciados SCHNEIDER 2015 p 38 Interna A informação interna é referente à organização não ter interesse de divulgar a informação contudo ela é fundamental para as pessoas internas da organização Para Schneider 2015 p 16 As informações internas não devem extrapolar o ambiente da organização não representa ameaça significativa mas o vazamento deve ser evitado São enquadradas neste nível de sigilo as informações que qualquer membro da organização ou que esteja prestando um serviço para ela pode ter acesso para realizar suas atividades este é considerado o menor grau de restrição ao acesso aos dados porém ainda são informações que teve ter sua consulta identificada e autorizada além de todos os demais ciclos da vida da informação observados Pública A informação pública possui tanto uma linguagem quanto um formato feito à divulgação do público em geral Essa informação tem um caráter informativo promocional ou comercial Pública são todas as demais informações que no geral já são de conhecimento geral interno e externo que não apresente nenhum risco para a organização e seus intervenientes estas informações podem ser divulgadas sendo que a organização pode ter como objetivo a divulgação e obter o alcance de um grande número de pessoas ou processos ciente da informação SCHNEIDER 2015 p 38 FONTE A autora 31 ROTEIRO PROPOSTO BASEADO NA ABNT NBR ISO IEC 270022013 1 Nomear e identificar a informação a ser classificada 2 Identificar os controles associados a informação 3 Identificar os proprietários e responsáveis pela informação 4 Criar um critério que atendam a necessidade da organização UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO 22 A descrição da classificação deve ser clara fazendo sentido no contexto A forma de classificação deve permitir que todas as pessoas envolvidas tenham o mesmo entendimento aplicando o mesmo critério Recomenda classificar conforme sua confidencialidade integridade disponibilidade e valor 5 Aplicar a classificação da informação 6 Formalizar a classificação adotada na organização Como nossa contribuição para provocar o processo de classificação sugerimos algumas questões que poderão servir de base para elaboração de um questionário ou um quadro com pesos definidos a cada questão objetivando a padronização no enquadramento da informação dentro dos critérios de classificação apresentados 1 Valor Qual é o grau de exclusividade Qual é o nível de confiabilidade da fonte Qual é a quantidade de informações acessórias que a acompanham Qual é o grau de interesse de terceiros Qual é a quantidade de terceiros interessados Qual é a importância da informação para a organização 2 Confidencialidade A informação é pública Sua divulgação causa algum dano ou prejuízo A divulgação causa constrangimento ou inconveniência operacional Sua divulgação tem impacto significativo nas operações ou objetivos táticos Sua divulgação causa alguma sansão ou punição Qual é a validade 3 Disponibilidade Quem ou a que processo pode ter acesso Qual é o prazo máximo para a entrega Qual é o meio para solicitar Qual é o meio para entrega O prazo de disponibilidade está sujeito a regulamentação externa Quais são os riscos de físicos de vazamento Quais são os riscos lógicos de vazamento Quais são os riscos humanos de vazamento 4 Integridade Quais são os dados que compõem a informação TÓPICO 1 ENTENDENDO A INFORMAÇÃO SUAS VULNERABILIDADES E AMEAÇAS 23 A fonte da informação é identificada e confirmada Em que mídia é disponibilizada a informação Em que mídia é armazenada a informação Como é feito o transporte Como são identificados os emissores e receptores Como é verificado se o destinatário recebeu Como é verificado se a informação entregue foi exatamente a mesma emitida Como é realizado o descarte O é verificado que o descarte foi realizado conforme determinado A seriedade adotada atribui mais chances de a organização ser bem sucedida na proteção das informações O processo de segurança da informação e de sua proteção deve ser vista por meio de uma abordagem profissional FONTE SCHNEIDER Carlos Alberto Capítulo 4 Classificação dos Ativos da Informação do Livro Governança da Segurança da Informação Edição do Autor Brasília 2015 p 3745 24 Neste tópico você aprendeu que A informação está presente nas organizações em diferentes formatos impressa eletrônica falada vídeo imagem etc assim como a informação pode ser transmitida por voz ou por correio eletrônico A informação precisa ser protegida independente do seu tipo e formato As informações mantidas e processadas por uma organização estão sujeitas a ameaças de ataques de erros de natureza assim como elas estão sujeitas a vulnerabilidades inerentes ao uso que fazemos da informação Os erros podem ser intencionais ou não intencionais As ameaças de natureza podem ser do tipo de incêndio enchente e afins A informação é um ativo intangível fundamental para a sobrevivência da organização e desta forma precisa ser mantida segura A informação precisa ser disponibilizada de maneira precisa completa e em tempo hábil para as pessoas autorizadas por ser um catalisador para a eficiência dos negócios Ativo é tudo que tem valor para uma organização podendo ser tangível ou intangível e de maneira lógica física ou humana O termo segurança da informação geralmente é baseado em informações consideradas como um ativo que possui um valor que exige proteção adequada como contra a perda de Confidencialidade Integridade e Disponibilidade CID A Confidencialidade Integridade e Disponibilidade CID formam os três pilares ou três princípios básicos da segurança da informação Os três princípios da segurança da informação também são conhecidos com a tríade CID ou CIAtriad em referência aos termos Confidentiality Integrity e Avalability O princípio da Confidencialidade se refere a certificar que somente os usuários autorizados tenham acesso à informação dizendo respeito à ameaça de liberar informação não autorizada O princípio da Confidencialidade tem como objetivo garantir o acesso somente com autorização ou seja para que uma informação seja considerada segura é essencial que haja uma forma de garantir esta seja disponibilizada somente mediante autorização MACHADO JÚNIOR 2018 p 60 RESUMO DO TÓPICO 1 25 O princípio da Integridade se refere à informação não ser adulterada Portanto a informação precisa ser mantida no estado em que ela foi disponibilizada pelo dono da informação o proprietário objetivando proteger a informação de qualquer tipo de alteração acidental intencional ou indevida O princípio da integridade tem como objetivo garantir que a informação não sofra alterações indevidas O princípio da Disponibilidade se refere à informação estar disponível independente do seu desígnio Ao longo dos anos outros modelos sugiram baseados na tríade CID e outras propriedades de segurança da informação foram acrescentadas a esses três princípios básicos da segurança da informação A Autenticidade visa garantir a verdadeira autoria ou seja visa atestar que a informação é de fato oriunda de determinada fonte garantindo que a informação foi criada expedida alterada removida por determinado órgão sistemas ou entidade A Irretratabilidade visa garantir a autoria da informação fornecida para que uma pessoa ou entidade não negue alguma atividade ou ação como por exemplo assinar ou mesmo criar um documento ou arquivo A Responsabilidade visa garantir que a pessoa responda por seus atos incluso diante da lei A Confiabilidade visa garantir que a informação é proveniente de uma fonte autêntica expressando uma mensagem fidedigna ou seja que a informação é confiável A Privacidade se refere ao sistema obedecer à legislação em termos de privacidade e deve permitir aos indivíduos controlar sempre que possível as suas informações pessoais MACHADO JÚNIOR 2018 p 70 A Auditabilidade se refere a capacidade de conduzir monitoramento persistente de todas ações realizadas por seres humanos e máquinas no ambiente MACHADO JÚNIOR 2018 p 70 Devemos proteger tudo que tiver algum valor para o negócio da organização ou seja os ativos da informação A informação é um próprio ativo sendo encontrada nas documentações dos sistemas em manuais de utilização nas bases de dados relacionais e não relacionais contratos e acordos planos de contingência de continuidade e assim por diante A vulnerabilidade está diretamente relacionada ao ponto fraco de um ativo Portanto podemos entender a vulnerabilidade como uma fragilidade As vulnerabilidades podem ser físicas naturais hardware software meios de armazenamento comunicação humana 26 A vulnerabilidade física está relacionada às instalações prediais fora do padrão salas de departamento de tecnologia mal planejadas falta de extintores detectores de fumaça e de outros recursos para combate a incêndio em sala com armários e fichários estratégicos risco de explosões vazamento ou incêndio A vulnerabilidade natural se refere a que os computadores são suscetíveis a desastres naturais como incêndios enchentes terremotos tempestades e outros como falta de energia acúmulo de poeira aumento umidade e de temperatura etc A vulnerabilidade de hardware está relacionada aos possíveis defeitos de configuração ou de fabricação dos equipamentos permitindo que eles sejam atacados ou alterados A vulnerabilidade de software é referente todo e qualquer aplicativo que possui algum ponto fraco permitindo acessos indevidos A vulnerabilidade de meios de armazenamento é referente a tudo que der suporte ao armazenamento da informação A vulnerabilidade de comunicação inclui todos os pontos fracos que abrangem o tráfego das informações por qualquer meio cabo satélite fibra óptica ondas de rádio telefone internet wap fax etc DANTAS 2011 p 29 A vulnerabilidade humana constitui a maior preocupação dos especialistas já que o desconhecimento de medidas de segurança é a sua maior vulnerabilidade DANTAS 2011 p 28 Ameaças são agentes ou condições que ao explorarem as vulnerabilidades podem provocar danos e perdas DANTAS 2011 p 30 As ameaças podem ser propositais ou acidentais As ameaças propositais são causadas por uma pessoa podendo trazer consequenciais ao sistema ao ambiente ou mesmo no ativo da informação As ameaças acidentais dizem respeito aos desastres naturais são falhas de hardware erros de programação etc As ameaças propositais se referem as fraudes roubos invasões etc podendo ser do tipo ativa ou passiva A ameaça ativa envolve alterar os dados e a ameaça passiva diz respeito a invasão eou monitoramento em que os dados não são alterados Dentre as ameaças existentes é necessário prestarmos atenção sobre os códigos maliciosos destacando principalmente os vírus O vírus é um programa ou parte de um programa de computador o qual se propaga por meio de cópias de si mesmo infectando outros programas e arquivos de computador O cavalo de troia é um programa que executa funções maliciosas sem o conhecimento do usuário 27 O Adware é um tipo de software projetado para apresentar propagandas seja por meio de um navegador seja com algum outro programa instalado em um computador Keyloggers são programas capazes de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador Worm é um programa capaz de se propagar de forma automática por meio de redes enviando cópias de si mesmo de computador para computador Bot é um programa capaz se propagar de maneira automática explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador Botnets são as redes formadas por computadores infectados com bots Roorkit é um conjunto de programas que utiliza mecanismos para esconder e assegurar a presença do invasor no computador comprometido O engenheiro social é aquele que utiliza a influência a fraude e a persuasão contra as organizações geralmente com a intenção de obter informações Ataque é qualquer ação que comprometa a segurança de uma organização COELHO ARAÚJO BEZERRA 2014 p 3 O ataque é um ato deliberado de tentar se desviar dos controles de segurança com o objetivo de explorar as vulnerabilidades COELHO ARAÚJO BEZERRA 2014 p 4 O ataque pode ser do tipo ativo ou passivo e que podem existir quatro modelos de ataques interrupção interceptação modificação e fabricação Incidente de segurança é um evento simples ou até uma série de eventos de segurança da informação que não desejadas ou não apropriados bem como possivelmente comprometem as operações do negócio da organização ameaçando a segurança da informação Impacto é a consequência avaliada de um evento em particular COELHO ARAÚJO BEZERRA 2014 p 3 e a probabilidade é a possibilidade de uma falha de segurança acontecer observandose o grau de vulnerabilidade encontrada nos ativos TORRES 2015 p 17 As probabilidades são provavelmente as oportunidades de uma vulnerabilidade ser uma ameaça A informação precisa ser classificada e essa classificação contribui para a manutenção dos princípios básicos da segurança Ao classificar uma informação devese levar em conta o seu valor requisitos legais sensibilidade e criticidade para a organização DANTAS 2011 p 15 28 As classificações são a fins pedagógicos pois cada organização deve adaptar o nível de sigilo da informação de acordo com a realidade de seu negócio e deve divulgar amplamente para que seus colaboradores saibam o significado de cada nível da informação e como lidar com eles A informação pode ser classificada como confidencial restrita interna e pública A informação confidencial diz respeito a ela não ser divulgada sem autorização podendo causar impactos de imagem em âmbitos financeiros e ou operacional assim como sanções administrativas criminosas e civis A informação é classificada como restrita por ser considerada um ativo para a empresa ou por se tratar de conhecimento exclusivo ou por normativos externos SCHNEIDER 2015 p 38 O acesso ao conteúdo da informação restrita por pessoas ou processos não autorizados pode gerar perdas para a organização SCHNEIDER 2015 p 38 A informação interna é referente a organização não ter interesse de divulgar a informação contudo ela é fundamental para a pessoas internas da organização A informação pública possui tanto uma linguagem quanto um formato feito à divulgação do público em geral A seriedade adotada ao classificar as informações atribui mais chances de a organização ser bemsucedida na proteção das informações O processo de segurança da informação e de sua proteção deve ser vista por meio de uma abordagem profissional 29 1 Os três princípios básicos da segurança da informação são ConfidencialidadeIntegridade e Disponibilidade CID Este conjunto é conhecido como o tripé da segurança da informação aqui no Brasil e internacionalmente conhecido como CIAtriad devido aos termos Confidentiality Integrity e Avalability No contexto apresentado analise as sentenças a seguir e indique a afirmativa com a ordem CORRETA das definições I Garantir que somente os usuários autorizados tenham acesso à informação II Garantir que a informação não seja adulterada indevidamente III Garantir que a informação esteja disponível independente do seu desígnio a Confidencialidade Integridade Disponibilidade b Confidencialidade Disponibilidade Integridade c Integridade Confidencialidade Disponibilidade d Disponibilidade Confidencialidade Integridade 2 A confidencialidade necessita que exista algum tipo de barreira para impedir o acesso direto Ambiente que são controlados e acessíveis somente por algum tipo de chave de acesso como conta de email uma área específica de uma organização um servidor de banco de dados um cofre e afins são exemplos de confidencialidade Qual recurso pode ser utilizado para aprimorar a confidencialidade a Criptografia b Malware c Spam d Notificação 3 Ao longo dos anos outros modelos sugiram baseados na tríade Confidencialidade Integridade e Disponibilidade CID e outras propriedades de segurança da informação foram acrescentadas a esses três princípios básicos da segurança da informação Com relação às propriedades adicionadas analise as sentenças a seguir classificando com V as sentenças verdadeiras e com F as sentenças falsas A autenticidade visa garantir a verdadeira autoria A irretratabilidade visa garantir a autoria da informação fornecida para que uma pessoa ou entidade não negue alguma atividade ou ação A responsabilidade visa garantir que a informação é proveniente de uma fonte autêntica expressando uma mensagem fidedigna ou seja que a informação é confiável A confiabilidade visa garantir que a pessoa responda por seus atos incluso diante da lei Assinale a alternativa com a sequência CORRETA AUTOATIVIDADE 30 a V F V F b V V F F c F V V F d F F V V 4 A informação é um próprio ativo sendo encontrada nas documentações dos sistemas em manuais de utilização nas bases de dados relacionais e não relacionais contratos e acordos planos de contingência de continuidade e assim por diante Além desses ativos existem outros ativos Com relação a esses outros ativos analise as sentenças a seguir classificando com V as sentenças verdadeiras e com F as falsas Os ativos de software são aqueles como ferramentas sistemas aplicativos etc Os ativos físicos dizem respeito a reputação da organização Os ativos intangíveis se referem aos equipamentos de comunicação e computacionais mídias removíveis etc Os ativos de serviços de forma geral estão relacionados a refrigeração eletricidade iluminação etc Assinale a alternativa com a sequência CORRETA a V V F F b V F V F c F V V F d V F F V 5 A vulnerabilidade está diretamente relacionada ao ponto fraco de um ativo Portanto podemos entender a vulnerabilidade como uma fragilidade Precisamos saber identificar nossas vulnerabilidades devido a elas comprometerem os princípios da segurança da informação são rompidos Com relação às possíveis vulnerabilidades analise as sentenças a seguir classificando com V as sentenças verdadeiras e com F as falsas Instalações prediais fora do padrão salas de departamento de tecnologia mal planejadas falta de extintores detectores de fumaça e de outros recursos para combate a incêndio em sala com armários e fichários estratégicos risco de ex plosões vazamento ou incêndio são exemplos de vulnerabilidades naturais Falha nos recursos tecnológicos como desgaste obsolescência má utilização ou erros durante a instalação são exemplos de vulnerabilidade de software Discos fitas relatórios e impressos podem ser perdidos ou danificados são exemplos de vulnerabilidades de meios de armazenamento A inexistência de sistemas de criptografia nas comunicações a escolha er rônea dos sistemas de comunicações que são utilizados para enviar men sagens são exemplos de vulnerabilidades de comunicação Assinale a alternativa com a sequência CORRETA a V V F F b F F V V c F V V F d V F V F 31 TÓPICO 2 UNIDADE 1 CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL 1 INTRODUÇÃO Em cibernética o elemento humano é considerado o elo mais fraco da segurança contudo há formas significativas de reduzir o risco De fato os ataques estão presentes no cotidiano das pessoas e das organizações sendo necessário que os colaboradores se tornem firewalls humanos Os hackers estão plenamente conscientes de que o erro humano é o fruto que eles podem explorar para obter acesso irrestrito até às mais sofisticadas infraestruturas técnicas Os fatores humanos acabam ficando em segundo plano Um dos principais problemas que a segurança da informação deve tratar é a segurança em pessoas A cooperação dos usuários é essencial para a eficácia da segurança RABELO JÚNIOR VIEIRA 2015 p 47 O fator humano é quem mais exerce impacto referente aos princípios da segurança da informação da tríade CID devido a o usuário que não mantiver a confidencialidade da senha não evitar o registro da mesma em papéis que não estão guardados em locais seguros não utilizar senhas de qualidade ou ainda que compartilhe senhas individuais compromete a segurança da informação RABELO JÚNIOR VIEIRA 2015 p 47 A tecnologia sozinha não pode ser a solução Segundo Rabelo Júnior e Vieira 2015 p 47 A solução efetiva para integrar pessoas requer ações gradativas e constantes visando criar e fortalecer a cultura de segurança da informação Quando uma organização incorpora a cultura da segurança da informação as ameaças de hoje e os emergentes de amanhã não parecerão mais tão ameaçadores Esta cultura não pode ficar restrita às organizações é um trabalho cujo resultado positivo é certo mas não é imediato e requer planejamento RABELO JÚNIOR VIEIRA 2015 p 47 As pessoas geralmente mudam a maneira de se portarem quando estão em situações de risco e suas decisões são fundamentadas em situações que exigem confiança Rabelo Júnior e Viera 2015 p 47 colocam que A engenharia social se aproveita dessas brechas e da falta de consciência com relação à segurança A informação é o melhor jeito de enfrentar a engenharia social Dessa forma os colaboradores de uma organização precisam estar bem informados referente à engenharia social Mas afinal de contas o que é a engenharia social 32 UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO 2 ENGENHARIA SOCIAL A associação dos termos engenharia e social contêm um sentido diferenciado referente à segurança da informação Esses termos juntos concebem a forma que os engenheiros utilizam de burlar pessoas para obter informações sigilosas de maneira fácil e sem que as estas pessoas se deem conta Podese dizer que o termo engenharia social é usado para caracterizar aquelas intrusões que não forem técnicas enfatizando a interação humana Além disso a engenharia social está relacionada a ter habilidade de iludir as pessoas com o objetivo que os procedimentos de segurança da informação sejam violados RABELO JÚNIOR VIEIRA 2015 A Figura 7 traz o perfil do engenheiro social ou seja pessoas com boa aparência com habilidade em lidar com pessoas bem educadas e agradáveis FIGURA 7 PERFIL DO ENGENHEIRO SOCIAL FONTE Rabelo Júnior e Vieira 2015 p 49 O engenheiro social é aquele que utiliza a influência a fraude e a persuasão contra as organizações geralmente com a intenção de obter informações ATENCAO TÓPICO 2 CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL 33 As organizações conectadas à rede de hoje enfrentam ameaças de segurança cada vez maiores pois a tecnologia da informação provê diversas facilidades como porta de entrada para pessoas fraudulentas BRECHT 2019 Segundo Rabelo Júnior e Vieira 2015 os vírus que são implantados em computadores quando se realiza um download ou quando uma pessoa faz um clique em determinando link recebido por meio email malicioso são maneiras de invadir uma rede corporativa Essas invasões podem gerar prejuízos para toda organização não somente em nível financeiro Dessa forma o treinamento de conscientização de segurança vale a pena Todo o pessoal precisa estar ciente das ameaças comuns para que no mínimo não sejam vítimas fáceis de golpes e tentativas do engenheiro socialphishing Os colaboradores que possuem conscientização quando são vítimas de ataques mais sofisticados pelos engenheiros sociais conseguem minimizar os efeitos dos ataques reunindo informações necessárias e notificando o departamento apropriado por meio dos canais certos Cabe destacar ainda que a organização depende de seus colaboradores para promover uma cultura consciente da segurança reduzir riscos e prevenir ameaças cibernéticas BRECHT 2019 Portanto é fundamental que exista a inclusão de conscientização de ataques de engenharia social BRECHT 2019 Uma maneira de um invasor usar a engenharia social é adquirir as credenciais de um usuário e percorrer a organização de uma área de baixa segurança para uma área de alta segurança Acesso privilegiado é referente aos usuários que possuem direito de acesso acima de um usuário normal Normalmente é concedido acesso privilegiado aos usuários que precisam executar funções de nível administrativo ou acessar dados confidenciais que podem incluir o acesso aos dados do titular do cartão O acesso privilegiado pode incluir acesso físico eou lógico Grifters são aquelas pessoas que visam enganar pessoas enquanto o engenheiro social visa enganar as organizações Phishing é um tipo de engenharia social na tentativa de se obter informações confidenciais por exemplo senhas nomes de usuários detalhes do cartão de pagamento de uma pessoa por um canal de batepapo um fórum por email e afins O agressor geralmente finge ser alguém confiável ou conhecido do indivíduo IMPORTANTE NOTA 34 UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO Adaptar essa conscientização para refletir os tipos de ataques que a organização pode encontrar fornece resultados mais eficazes Pois de acordo com Rabelo Júnior e Vieira 2015 p 50 Vale lembrar que o engenheiro social visa conseguir informações valiosas com técnicas de enganar pessoas sem se dar o trabalho de invadir um sistema Através de um diálogo convincente e envolvente o indivíduo de um help desk por exemplo chega a gerar nova senha no sistema e informa ao transgressor este consegue de forma fácil e rápida se passa pelo usuário final e tendo em mãos todas as informações precisas sem muito esforço Mas ainda não destacamos o principal todas essas tentativas são realizadas com sucesso por conta de um ator principal que é o homem No caso da engenharia social do funcionário colaborador de uma empresa corporativa Estudos mostram o quanto é fácil distrair a atenção de uma pessoa mesmo que aparentemente esteja atenta São fórmulas usadas por mágicos para trazer a ilusão de suas apresentações Uma das técnicas adquiridas por Kevin Mitnick o que o ajudou a ser reconhecido como o rei da engenharia social Dessa forma os colaboradores devem estar cientes dos métodos comuns pelos quais fraudadores hackers ou outras pessoas malintencionados podem tentar obter credenciais dados de cartão de pagamento e outros dados confidenciais para minimizar o risco de o pessoal disseminar informações confidenciais involuntariamente a terceiros IMAN 2020 Segundo Rabelo Júnior e Vieira 2015 a pessoa que é a vítima de uma extorsão é como uma marionete só que manipulada pelo homem Para isso basta apenas que o engenheiro social fraudador consiga a confiança da pessoa por meio de um conhecimento mínimo da organização para obter a informação quista Entretanto na maioria das vezes não é somente o colaborador que é explorado Rabelo Júnior e Vieira 2015 p 50 observam que o engenheiro social começa do operacional até chegar ou se passar por um executivo Ou seja a partir do momento que o engenheiro social tem sua primeira vítima é fácil ele obter informações das demais pessoas da organização E a organização como pode lidar com esse tipo de situação As organizações têm investido em treinamento de políticas e procedimentos organizacionais especificando o manuseio adequado dos dados incluindo o compartilhamento e a transmissão de dados confidenciais SECURITY AWARENESS PROGRAM SPECIAL INTEREST GROUP 2014 Rabelo Júnior e Vieira 2015 p 51 complementam que as organizações também contratam especialistas em segurança da informação implantando políticas de segurança para o ambiente organizacional treinando seus funcionários e bloqueando acessos Web em estações de trabalho Contudo esses investimentos não terão a resposta esperada se a conscientização não partir do colaborador este se estiver desmotivado pode até dar uma forcinha ao engenheiro social visando a uma vingança devido a sua insatisfação RABELO JÚNIOR VIEIRA 2015 p 51 Rabelo Júnior e Vieira 2015 destacam as seguintes técnicas a serem utilizadas tanto em separado quanto as combinando TÓPICO 2 CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL 35 Contato por telefone realizados por meio de ferramentas de mensagens simulando pessoa com afinidades com a vítima Obtenção de informações vazadas por parte da administração de rede e colaboradores em geral em listas de discussão ou comunidades virtuais na Internet motivando também um contato posterior de forma mais estruturado Utilizar telefone público dificultando detecção Varredura do lixo informático visando obter informações adicionais para tentativas posteriores de contato Passar pela equipe de manutenção Realizar visita em pessoa se passando por estudante estagiário ou pessoa com disfarce de ingenuidade Contatos telefônicos para simular algum tipo de atendimento de suporte ou uma ação de emergência Contato por meio de email se passando como estudante interessado em pesquisa referente determinado assunto ou como pessoa interessada em determinado assunto que for de conhecimento da vítima 3 DISSEMINAÇÃO DA CONSCIENTIZAÇÃO Ao se tratar de pessoas precisamos lembrar que seres humanos são imperfeitos e situações de risco modificam os comportamentos naturais e decisões serão fortemente baseadas em confiança ou grau de criticidade da situação RABELO JÚNIOR VIEIRA 2015 p 52 Em detrimento destes aspectos a engenharia social se faz eficaz sendo necessário que a organização crie uma cultura corporativa forte com priorização na conscientização e treinamento de seus colaboradores BRECHT 2019 A organização precisa treinar e educar seus colaboradores referente aos ativos da informação e como elas devem ser protegidas para que os ataques de engenharia social sejam identificados como situações de risco Para criar e disseminar essa consciência as organizações devem criar e divulgar suas políticas normas e procedimentos de segurança da informação por meio de um plano programa de treinamento e conscientização constantes RABELO JÚNIOR VIEIRA 2015 Estabelecer e manter a conscientização sobre segurança da informação por meio de um programa de conscientização sobre segurança é vital para o progresso e o sucesso de uma organização Um programa de conscientização de segurança robusto e implementado adequadamente auxilia a organização na educação monitoramento e manutenção contínua da conscientização de segurança dentro da organização SECURITY AWARENESS PROGRAM SPECIAL INTEREST GROUP 2014 BRECHT 2019 36 UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO As políticas de segurança são instruções claras que fornecem as orientações de comportamento do colaborador visando proteger as informações Essas políticas são um elemento fundamental no desenvolvimento de controles efetivos para conter possíveis ameaças à segurança e estão entre os instrumentos mais significativos para evitar e detectar os ataques da engenharia social Já os controles efetivos de segurança devem ser definidos tanto nos procedimentos quanto nas políticas implementadas pelo treinamento dos colaboradores Contudo é importante observar que as políticas de segurança mesmo que sejam seguidas rigorosamente por todos não evitam todos os ataques da engenharia social RABELO JÚNIOR VIEIRA 2015 BRECHT 2019 Ao desenvolver uma política de segurança devese levar em consideração que existem colaboradores que não têm conhecimento da linguagem técnica PIVOT POINT SECURITY 2020 Portando os jargões técnicos não devem ser utilizados para que o documento seja de fácil entendimento por qualquer colaborador Além disso Rabelo Júnior e Viera 2015 colocam que o documento precisa ser claro quanto a relevância da política de segurança possibilitando que os colaboradores não encarem essas práticas como perca de tempo Os colaboradores devem ser aconselhados sobre as consequências do não cumprimento dos procedimentos e das políticas de segurança Assim é aconselhável que seja desenvolvido um resumo das consequências da violação das políticas bem como ele deve ser amplamente divulgado Por conseguinte um programa de recompensa deve ser criado para aqueles colaboradores que demonstram boas práticas de segurança ou que identificam e relatam um incidente de segurança Sempre que um colaborador for recompensado por frustrar uma quebra de segurança isso deve ser amplamente divulgado em toda organização Essa divulgação pode ser feita com um artigo circular da organização RABELO JÚNIOR VIEIRA 2015 A conscientização de segurança deve ser conduzida como um programa contínuo para garantir que o treinamento e o conhecimento não sejam entregues apenas como uma atividade anual e sim para manter um alto nível de conscientização de segurança diariamente Um programa de conscientização estimula e motiva colaboradores treinados a se preocuparem com a segurança e os continua lembrando dos impactos e consequências de não levar a segurança a sério Além disso é provável que um programa de conscientização de segurança seja significativamente menos dispendioso do que outras medidas de segurança Ou seja ter um programa ou um plano de conscientização é o primeiro passo para proteger a organização e seus colaboradores SECURITY AWARENESS PROGRAM SPECIAL INTEREST GROUP 2014 BRECHT 2019 IMPORTANTE TÓPICO 2 CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL 37 Um dos objetivos de um programa de conscientização referente à segurança é a comunicação da importância das políticas de segurança e o dano que a falha em seguir essas regras pode causar PIVOT POINT SECURITY 2020 Dada à natureza do ser humano os colaboradores ocasionalmente sabotam ou ignoram aquelas políticas que lhes parecem sem justificativas ou devido demandaram muito tempo É de responsabilidade da gerência certificar que os colaboradores entendam a importância dos procedimentos e das políticas e sejam motivados para as atender e não as tratar como obstáculos ou desafios a serem contornados RABELO JÚNIOR VIEIRA 2015 BRECHT 2019 As políticas de segurança devem sofrer mudanças ou serem suplementadas à medida que novas tecnologias de segurança da informação surgem ou à medida que as vulnerabilidades de segurança evoluem Rabelo Júnior e Vieira 2015 apontam que deve ser estabelecido um processo de exame e atualização regular da política de segurança adotada Cabe destacar ainda que é necessário que sejam realizados testes periódicos de penetração e avaliações de vulnerabilidade fazendo uso de táticas e métodos da engenharia social Essas abordagens devem ser utilizadas para que se consigam expor os pontos fracos da capacitação de conscientização ou até mesmo a ausência de cumprimento do procedimento e das políticas da organização Para que essas abordagens aconteçam é necessário que os colaboradores sejam avisados de que tais testes podem ocorrer de tempos em tempos RABELO JÚNIOR VIEIRA 2015 O objetivo central de um programa de conscientização referente segurança deve influenciar as pessoas para que elas mudem seu comportamento e suas atitudes motivando cada colaborador a querer entrar no programa e fazer a sua parte para proteger os ativos de informações da organização RABELO JÚNIOR VIEIRA 2015 ATENCAO Um ótimo motivador nesse caso é explicar como a participação das pessoas beneficiará não apenas a organização mas também os colaboradores de forma individual Como a organização detém determinadas informações particulares sobre cada colaborador quando os colaboradores fazem a sua parte para proteger as informações ou os sistemas de informações na verdade eles estão protegendo também as suas próprias informações IMPORTANTE 38 UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO Em outra vertente mas não menos importante está o suporte necessário exigido pelo programa de conscientização O esforço de treinamento precisa alcançar cada uma das pessoas que fazem parte da organização com acesso às informações confidenciais ou aos sistemas computacionais Ele também precisa ser contínuo e sofrer revisões constantes para propiciar atualizações aos colaboradores referentes as novas ameaças e vulnerabilidades Os colaboradores devem ver que a gerência e alta direção estão comprometidos com a conscientização RABELO JÚNIOR VIEIRA 2015 A tecnologia está envolvida de forma geral com muitos aspectos da segurança da informação Dessa forma muitas vezes os colaboradores pensam que o problema está sendo resolvido tratado por firewalls e por outras tecnologias de segurança Um dos objetivos principais da conscientização é justamente para que o colaborador crie consciência que eles são a linha de frente na proteção da segurança geral da organização RABELO JÚNIOR VIEIRA 2015 Brecht 2019 complementa que um aspecto importante a ser focado não é se a conscientização sobre segurança vale a pena e sim que ela deve ser realizada com as melhores práticas e de forma eficiente para fortalecer a postura referente a conscientização A conscientização deve ter um objetivo substancialmente maior do que simplesmente impor regras O conhecimento das táticas da engenharia social e de como se defender dos ataques é importante contudo esse conhecimento não servirá para nada se o treinamento não se concentrar na motivação dos colaboradores para aplicarem os conhecimentos aprendidos Portanto as organizações precisam de conscientizações adaptadas aos distintos grupos de colaboradores por exemplo pessoal de segurança física os recepcionistas assistentes administrativas os usuários de computadores o pessoal de TI e os gerentes RABELO JÚNIOR VIEIRA 2015 Outra característica importante que precisa ser levada em consideração na conscientização é referente aos colaboradores da segurança física de uma organização Esses colaboradores geralmente não são proficientes em tecnologia ou utilizem a tecnologia de uma maneira limitada não entrando em contato com os computadores da organização e em grande parte não são considerados ao se criar a conscientização Contudo esses colaboradores responsáveis pela segurança ou pela entrada predial podem ser enganados pelos engenheiros sociais justamente para terem acesso a organização Esse acesso pode se dar de forma física ou de forma a executarem alguma ação que resulte na invasão de um computador Portanto é importante que a conscientização seja para todos os colaboradores da organização RABELO JÚNIOR VIEIRA 2015 Rabelo Júnior e Vieira 2015 sugerem que após a sessão de treinamento inicial sessões mais longas devem ser criadas para educar os colaboradores referente às vulnerabilidades específicas e técnicas de ataque sobre à sua posição na organização A conscientização deve ser realizada no mínimo uma vez por ano Pois a natureza da ameaça e os métodos utilizados para explorar colaboradores de TÓPICO 2 CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL 39 uma organização estão em constante evolução e consequentemente o conteúdo da conscientização precisa ser devidamente atualizado BRECHT 2019 Além disso com o passar do tempo as pessoas voltam a zona de conforto e toda a conscientização das pessoas diminuem com o tempo de modo que a conscientização deve ser realizada de tempos em tempos razoáveis visando reforçar os princípios da segurança da informação RABELO JÚNIOR VIEIRA 2015 Por definição a engenharia social está relacionada a algum tipo de interação humana Frequentemente um engenheiro social atacante faz uso tanto de vários métodos de comunicação como de várias tecnologias objetivando seu alvo Desta forma Rabelo Júnior e Vieira 2015 observam que um programa de conscientização bem elaborado deve estar atento aos seguintes itens As políticas de segurança relacionadas com senhas de computador e voice mail O procedimento de divulgação de informações ou material confidencial A política de uso do correio eletrônico incluindo as medidas para evitar ataques maliciosos de código tais com vírus worms e Cavalos de Tróia Os requisitos de segurança física tais como a utilização de crachás A responsabilidade de questionar as pessoas que estão nas instalações sem o crachá As melhores práticas de segurança para o uso do voice mail Como determinar a classificação das informações e as medidas adequadas para proteger as informações confidenciais A eliminação adequada de documentos confidenciais e mídia de computador que contenham ou que já tenham contido material confidencial Destacamos que a ênfase precisa estar em manter os colaboradores convencidos em relação a importância das políticas de segurança e motivados para que as sigam além de expor as ameaças específicas e os métodos da engenharia social Portanto é fundamental que no plano de capacitação dos colaboradores sejam incluídos cursos de capacitação crachás de identificação termo de responsabilidade e de confiabilidade procedimentos específicos para demissão e admissão de colaboradores campanhas de divulgação da política de segurança software de acesso de monitoramento e de filtragem de conteúdo seminários de sensibilização e conscientização IMPORTANTE 40 UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO Nesse sentido segundo Brecht 2019 as técnicas utilizadas pela organização podem incluir uma ou mais ferramentas de conscientização instrucional e de avaliação conforme sugerido pela Publicação Especial NIST 80050 criando um programa de conscientização e treinamento em segurança da tecnologia da informação de outubro de 2003 Iremos abordar o referencial indicado em nossa unidade 3 de estudo Iman 2020 ainda coloca que o programa de conscientização ideal deve incorporar os 10 exercícios de comportamento seguro apresentados no Quadro 7 IMPORTANTE QUADRO 7 10 EXERCÍCIOS DE COMPORTAMENTO SEGURO EXERCÍCIO DESCRIÇÃO 1 Política de secretaria limpa ou mesa limpa Notas adesivas papéis e impressões podem ser facilmente capturadas por pessoas malintencionadas e vistas por olhares indiscretos De acordo com o comportamento seguro da política de mesa limpa os únicos documentos que devem ser deixados expostos são aqueles relevantes para o projeto atual em que você está trabalhando Todas as informações sensíveis e confidenciais devem ser removidas da mesa ao final de cada dia útil Durante o almoço ou qualquer partida de emergência durante o horário de expediente todas as informações críticas devem ser colocadas em uma gaveta trancada 2 Política de traga seu próprio dispositivo também conhecida como Bring Your Own Device BYOD O BYOD abrange os bens de computação pessoal dos colaboradores que podem ser usados em um ambiente de trabalho Eles podem incluir dispositivos móveis reprodutores de áudio câmeras digitais e vários outros dispositivos eletrônicos portáteis que podem ser utilizados para roubar dados confidenciais Os BYODs também fazem parte da consumerização de TI pela qual o hardware eou software de um colaborador é trazido para a organização Garantir a segurança dos dispositivos no BYOD é uma tarefa assustadora No entanto as organizações podem alcançálo ao implementar o comportamento seguro de maneira proativa 3 Gerenciamento de Dados Existem vários tipos de dados como uma cópia de backup dos contratos dos clientes ou declarações da missão e muitos colaboradores podem não estar cientes desses ativos da informação Nesses casos os colaboradores não percebem a importância desse dado ou dessa informação classificada Por exemplo do ponto de vista TÓPICO 2 CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL 41 financeiro uma cópia de backup de um contrato de cliente é mais importante do que uma cópia de backup de uma declaração da missão Os colaboradores devem aprender sobre os tipos de dados existentes para que possam entender o valor daquela informação para o negócio da organização 4 Mídia removível É mais comum do que se possa imaginar um colaborador encontrar um pen drive removível ou um disco rígido externo no estacionamento e o trazerem para dentro da organização e conectarem em seu computador para ver a quem ele pertence Consequentemente eles acabam descobrindo que o dispositivo foi plantado lá para destruir ou assumir o controle do computador com Malware O uso seguro de dispositivos pessoais e corporativos é crucial Mídia removível não autorizada pode ser um convite para problemas de segurança de dados infecção por Malware falha de hardware e violação de direitos autorais A equipe corporativa deve ser informada sobre as ameaças à mídia removível não solicitada e proibir o acesso de qualquer mídia perdida como um disco rígido externo 5 Hábitos seguros da internet Quase todo trabalhador especialmente em tecnologia tem acesso à internet Por esse motivo o uso seguro da internet é de suma importância para as organizações Os programas de conscientização em segurança devem incorporar hábitos seguros da internet evitando que a rede corporativa seja invadida Alguns comportamentos seguros que os colaboradores devem ter ao fazer uso da internet são i os colaboradores devem estar familiarizados com ataques de phishing e aprender a não abrir anexos maliciosos ou clicar em links suspeitos Isso é alcançado com uma compreensão mais profunda dos sinais de alerta de um ataque de phishing ii é melhor desativar as janelas popup pois elas convidam a riscos iii colaboradores devem absterse de instalar programas de software de fontes desconhecidas especialmente links infectados por Malware Atualmente um número esmagador de sites oferece programas gratuitos de segurança na Internet de forma enganadora pois na verdade o que eles fazem é infectar o sistema ao invés de o proteger 6 Segurança física e controles ambientais A conscientização de segurança não é apenas sobre o que reside nos computadores ou dispositivos portáteis da organização Os colaboradores devem estar cientes dos 42 UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO possíveis problemas de segurança originados nos aspectos físicos do local de trabalho Isso inclui consciência do ambiente e dos componentes físicos Exemplos de questões de controle de ambiente incluem i visitantes ou novos contratados assistindo os colaboradores digitarem senhas ii entrada de visitantes que alegam ser inspetores exterminadores ou outros visitantes incomuns que possam estar procurando entrar no sistema iii deixar senhas em pedaços de papel na mesa iv deixar o computador ligado e não protegido por senha ao sair do trabalho durante a noite v deixar um telefone ou dispositivo pelo escritório à vista A segurança física também pode abranger aspectos físicos do edifício desde trancas de portas ativadas por cartão chave bancos de dados bloqueados e protegidos com extintores de incêndio regularizado e vidro adequadamente reforçado Mas mesmo essas defesas aparentemente inquebráveis têm um componente de conscientização de segurança Por exemplo os colaboradores devem ser cautelosos ao entrarem no prédio e deixarem pessoas desconhecidas entrarem ou saírem nesse momento Uma técnica conhecida de uso não autorizada ocorre quando um colaborador da organização usa o cartãochave e abre a porta mas não sabe que alguém se escondeu atrás dele antes que a porta se fechasse A manutenção da segurança física também é um aspecto importante não apenas para a equipe de manutenção mas também para classificar os colaboradores Por exemplo é importante que o colaborador tenha o hábito do comportamento seguro relatando as devidas autoridades quando perceber que uma porta habilitada para cartãochave está presa e se abre mesmo sem a devida autorização ou uma câmera de segurança aparentemente está danificada ou desligada 7 Perigos de redes sociais Atualmente as organizações usam as redes sociais como uma ferramenta poderosa para criar uma marca local ou globalmente gerar vendas Online e afins Infelizmente as redes sociais também abrem as portas para ataques de phishing que podem levar a organização a um imenso desastre Por exemplo o Facebook compartilhou os dados de seus usuários sem a permissão deles para desenvolvedores de aplicativos de terceiros A News Corp TÓPICO 2 CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL 43 Australia Network informou em 1 de maio do ano de 2018 que não era apenas o Facebook que o Twitter também vendeu os dados dos usuários para a Cambridge Analytica Ltda CA uma organização britânica de consultoria política que estava influenciando as eleições nos EUA no ano de 2016 Para evitar a perda de dados críticos a organização deve ter um programa viável de treinamento em redes sociais limitando o uso dessas redes e orientando os colaboradores em relação à ameaça de ataques de phishing Além disso os colaboradores que não deve fornecer suas credenciais ou informações de login em sites desconhecidos ou similares aos originais Por exemplo o usuário deve ter o comportamento seguro e ver a diferença entre www yahoocom e wwwyahooocom 8 Golpes por email Os golpes de email envolvem emails fraudulentos e não solicitados que oferecem uma pechincha por nada Um email fraudulento atrai um usuário para a oferta gratuita oportunidades de negócios falsas empréstimos ou créditos garantidos dinheiro fácil esquemas de saúde e dieta e assim por diante Um hábito de comportamento seguro e que deve estar incorporado nos hábitos dos colaboradores da organização é a dica dos colaboradores tomarem conhecimento dos golpes de email e que eles sejam instruídos sobre como evitálos O comportamento seguro é i não confiar em email não solicitado ii não enviar fundos para pessoas que os solicitem por email principalmente antes de verificar com a liderança iii filtrar spam iv configurar o cliente de email corretamente v instalar programa antivírus e firewall e os manterem atualizados vi não clicar em links desconhecidos em mensagens de email vii cuidar com anexos de email 9 Malware Uma sessão de treinamento sobre Malware deve ilustrar os tipos de Malware e suas implicações Os tipos de Malware devem incluir adware spyware vírus Trojans backdoors rootkits ransomware botnets bombas lógicas e vírus blindados Os colaboradores devem aprender a identificar Malware e o que fazer se seu dispositivo ou rede for infectado O comportamento seguro imediato deve ser desligar o sistema ou dispositivo e informar a equipe de gerenciamento de segurança 44 UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO 10 Hoaxes Uma farsa é definida como uma falsidade ou engano fabricada deliberadamente para subterfúgio e vitimização dos usuários Os atacantes geralmente usam trotes por meio de emails para prejudicar os colaboradores Um email falso geralmente notifica os usuários sobre supostas ameaças iminentes Por exemplo uma farsa pode informálo de que o seu computador estará seriamente comprometido se você não o desligar às 3h da sextafeira 13 Uma conscientização útil é aquela que ensina seus colaboradores sobre as possíveis fraudes Em vez de confiar em uma farsa os colaboradores devem aprender a responder a eles Somente emails verificados pelo seu departamento de segurança e relevantes para os seus negócios corporativos devem ser confiáveis Em caso de email ameaçador alerte imediatamente seu departamento de segurança de TI FONTE Adaptado de Iman 2020 Para saber mais sobre os golpes e os ataques na internet faça a leitura complementar desta unidade ESTUDOS FUTUROS Cabe ainda destacar os testes que a organização deve realizar Da mesma forma se a organização pretender utilizar testes para determinar a eficiência das defesas contra os ataques da engenharia social um aviso deve ser dado para que os colaboradores tomem conhecimento dessa prática É importante que os colaboradores saibam que em algum momento eles podem receber uma ligação telefônica ou outra comunicação que utilizará as abordagens do engenheiro social atacante como parte de tal testes Os resultados destes testes devem ser utilizados para definir a necessidade de conscientização adicional em algumas áreas e não como forma punitiva RABELO JÚNIOR VIEIRA 2015 A maioria das pessoas sabe que o aprendizado mesmo das questões importantes tende a desaparecer a menos que seja reforçado periodicamente Devido à importância de manter os colaboradores atualizados frente a determinado assunto da defesa contra os ataques da engenharia social um programa constante de conscientização é de grande relevância BRECHT 2019 Uma abordagem para manter a segurança sempre na mente do colaborador é fazer com que a segurança TÓPICO 2 CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL 45 da informação faça parte da vivência da função de cada um dos colaboradores da organização Possivelmente isso faz com ele reconheça não somente o seu papel individual na segurança da informação da organização mas no seu papel de forma geral RABELO JÚNIOR VIEIRA 2015 A engenharia social é difícil de ser evitada contudo é necessária uma conscientização contínua para que os colaboradores sempre saibam quais são as novas abordagens utilizadas e como se lida com cada uma delas BRECHT 2019 Outra maneira de prevenção da engenharia social é realização de pesquisas de perfis dos colaboradores antes deles serem admitidos efetivamente na organização identificando eventuais problemas de conduta de falhas de segurança A gestão dos perfis de acesso após a contratação dos colaboradores também deve ser constantemente realizada Da mesma forma os perfis são amplamente utilizados por organizações para descrever as pessoas nos sistemas de informação ou mesmo os atributos de cargos sendo necessário que estejam constantemente atualizadas evitando assim os acessos indevidos RABELO JÚNIOR VIEIRA 2015 46 RESUMO DO TÓPICO 2 Neste tópico você aprendeu que Em cibernética o elemento humano é considerado o elo mais fraco da segurança contudo há formas significativas de reduzir o risco Os ataques estão presentes no cotidiano das pessoas e das organizações sendo necessário que os colaboradores se tornem firewalls humanos Os hackers estão plenamente conscientes de que o erro humano é o fruto que eles podem explorar para obter acesso irrestrito até às mais sofisticadas infraestruturas técnicas Um dos principais problemas que a segurança da informação deve tratar é a segurança em pessoas A cooperação dos usuários é essencial para a eficácia da segurança RABELO JÚNIOR VIEIRA 2015 p 47 O fator humano é quem mais exerce impacto referente aos princípios da segurança da informação da tríade CID A solução efetiva para integrar pessoas requer ações gradativas e constantes visando criar e fortalecer a cultura de segurança da informação RABELO JÚNIOR VIEIRA 2015 p 47 As pessoas geralmente mudam a maneira de se portarem quando estão em situações de risco e suas decisões são fundamentadas em situações que exigem confiança A informação é o melhor jeito de enfrentar a engenharia social Dessa forma os colaboradores de uma organização precisam estar bem informados referente à engenharia social O termo engenharia social é usado para caracterizar aquelas intrusões que não forem técnicas enfatizando a interação humana A engenharia social está relacionada a ter habilidade de iludir as pessoas com o objetivo que os procedimentos de segurança da informação sejam violados O engenheiro social é aquele que utiliza a influência a fraude e a persuasão contra as organizações geralmente com a intenção de obter informações Grifter é aquela pessoa que visa enganar pessoas enquanto o engenheiro social visa enganar as organizações Phishing é um tipo de engenharia social na tentativa de se obter informações confidenciais por exemplo senhas nomes de usuário detalhes do cartão de pagamento de uma pessoa por um canal de batepapo um fórum por email e afins O agressor geralmente finge ser alguém confiável ou conhecido do indivíduo 47 Acesso privilegiado é referente aos usuários que possuem direito de acesso acima de um usuário normal O acesso privilegiado é geralmente concedido aos usuários que precisam executar funções de nível administrativo ou acessar dados confidenciais que podem incluir o acesso aos dados do titular do cartão O acesso privilegiado pode incluir acesso físico eou lógico Todos os colaboradores sem exceção precisam estar cientes das ameaças comuns para que no mínimo não sejam vítimas fáceis de golpes e tentativas do engenheiro socialphishing Os colaboradores que possuem conscientização quando são vítimas de ataques mais sofisticados pelos engenheiros sociais conseguem minimizar os efeitos dos ataques reunindo informações necessárias e notificando o departamento apropriado por meio dos canais certos A organização depende de seus colaboradores para promover uma cultura consciente da segurança reduzir riscos e prevenir ameaças cibernéticas É fundamental que exista a inclusão de conscientização de ataques de engenharia social Uma maneira de um invasor usar a engenharia social é adquirir as credenciais de um usuário e percorrer a organização de uma área de baixa segurança para uma área de alta segurança Os colaboradores devem estar cientes dos métodos comuns pelos quais fraudadores hackers ou outras pessoas malintencionados podem tentar obter credenciais dados de cartão de pagamento e outros dados confidenciais para minimizar o risco de o pessoal disseminar informações confidenciais involuntariamente a terceiros A pessoa que é a vítima de uma extorsão é como uma marionete só que manipulada pelo homem Para isso basta apenas que o engenheiro social fraudador consiga a confiança da pessoa por meio de um conhecimento mínimo da organização para obter a informação quista Ao se tratar de pessoas precisamos lembrar que seres humanos são imperfeitos e situações de risco modificam os comportamentos naturais e decisões serão fortemente baseadas em confiança ou grau de criticidade da situação RABELO JÚNIOR VIEIRA 2015 p 52 A organização precisa treinar e educar seus colaboradores referente aos ativos da informação e como elas devem ser protegidas para que os ataques de engenharia social sejam identificados como situações de risco Para criar e disseminar essa consciência as organizações devem criar e divulgar suas políticas normas e procedimentos de segurança da informação por meio de um plano programa de treinamento e conscientização constantes 48 Um programa de conscientização de segurança robusto e implementado adequadamente auxilia a organização na educação monitoramento e manutenção contínua da conscientização de segurança dentro da organização As políticas de segurança são instruções claras que fornecem as orientações de comportamento do colaborador visando proteger as informações Os controles efetivos de segurança devem ser definidos tanto nos procedimentos quanto nas políticas implementadas pelo treinamento dos colaboradores Ao desenvolver uma política de segurança devese levar em consideração que existem colaboradores que não têm conhecimento da linguagem técnica Jargões técnicos não devem ser utilizados para que o documento seja de fácil entendimento por qualquer colaborador Os colaboradores devem ser aconselhados sobre as consequências do não cumprimento dos procedimentos e das políticas de segurança O objetivo central de um programa de conscientização referente segurança deve influenciar as pessoas para que elas mudem seu comportamento e suas atitudes motivando cada colaborador a querer entrar no programa e fazer a sua parte para proteger os ativos de informações da organização Alguns exercícios seguros que devem ser incorporados são política de secretaria limpa ou mesa limpa política de traga seu próprio dispositivo também conhecida como Bring Your Own Device BYOD gerenciamento de dados mídia removível hábitos seguros da internet segurança física e controles ambientais perigos de redes sociais golpes por email Malware e Hoaxes Política de secretaria limpa ou mesa limpa são informações sensíveis em uma mesa como notas adesivas papéis e impressões podem ser facilmente capturadas por mãos indevidas e vistas por olhares indiscretos Durante o almoço ou qualquer partida de emergência durante o horário de expediente todas as informações críticas devem ser colocadas em uma gaveta trancada BYOD abrange os bens de computação pessoal dos colaboradores que podem ser usados em um ambiente de trabalho BYOD podem incluir dispositivos móveis reprodutores de áudio câmeras digitais e vários outros dispositivos eletrônicos portáteis que podem ser utilizados para roubar dados confidenciais Os BYODs também fazem parte da consumerização de TI pela qual o hardware eou software de um consumidor é trazido para a organização Os colaboradores devem aprender todos os tipos de dados para que possam entender o valor da informação para o negócio da organização 49 Existem vários tipos de dados como uma cópia de backup dos contratos dos clientes ou declarações de missão e muitos colaboradores podem não estar cientes desse fato Mídia removível não autorizada pode convidar problemas de segurança de dados infecção por Malware falha de hardware e violação de direitos autorais Mídia removível não autorizada pode ser um convite para problemas de segurança de dados infecção por Malware falha de hardware e violação de direitos autorais A equipe corporativa deve ser informada sobre as ameaças à mídia removível não solicitada e proibir o acesso de qualquer mídia perdida como um disco rígido externo O uso seguro da internet é de suma importância para as organizações Os programas de conscientização em segurança devem incorporar hábitos seguros da internet evitando que a invasão na rede corporativa Colaboradores devem estar familiarizados com ataques de phishing e aprender a não abrir anexos maliciosos ou clicar em links suspeitos Colaboradores devem ter o comportamento seguro de desativar as janelas popup pois elas convidam a riscos Colaboradores devem ter o comportamento seguro de absterse de instalar programas de software de fontes desconhecidas especialmente links infectados por Malware Exemplos de questões espaciais no comportamento seguro para se ter segurança física incluem i visitantes ou novos contratados assistindo os colaboradores digitarem senhas ii entrada de visitantes que alegam ser inspetores exterminadores ou outros visitantes incomuns que possam procurar entrar no sistema iii deixar senhas em pedaços de papel na mesa iv deixar o computador ligado e não protegido por senha ao sair do trabalho durante a noite v deixar um telefone ou dispositivo pelo escritório à vista Os colaboradores devem ser cautelosos ao entrarem no prédio e deixarem pessoas desconhecidas entrarem ou saírem nesse momento É importante que o colaborador tenha o hábito do comportamento seguro e relatar as devidas autoridades em situações como perceber que uma porta habilitada para cartãochave está presa e se abre mesmo sem a devida autorização ou se uma câmera de segurança aparentemente está danificada ou desligada As redes sociais também abrem as portas para ataques de phishing que podem levar a organização a um imenso desastre Para evitar a perda de dados críticos a organização deve ter um programa viável de treinamento em redes sociais limitando o uso dessas redes e orientando os colaboradores em relação à ameaça de ataques de phishing 50 Um email fraudulento atrai um usuário para a oferta gratuita oportunidades de negócios falsas empréstimos ou créditos garantidos dinheiro fácil esquemas de saúde e dieta e assim por diante O comportamento seguro referente aos golpes por email envolve i não confiar em email não solicitado ii não enviar fundos para pessoas que os solicitem por email principalmente antes de verificar com a liderança iii filtrar spam iv configurar o cliente de email corretamente v instalar um programa antivírus e firewall e os manterem atualizados vi não clicar em links desconhecidos em mensagens de email vii cuidar com anexos de email Os tipos de Malware vistos na conscientização devem incluir adware spyware vírus Trojans backdoors rootkits ransomware botnets bombas lógicas e vírus blindados Uma farsa é definida como uma falsidade ou engano fabricada deliberadamente para subterfúgio e vitimização dos usuários Uma conscientização útil é aquela que ensina seus colaboradores sobre as possíveis fraudes É importante que os colaboradores saibam que em algum momento eles podem receber uma ligação telefônica ou outra comunicação que será utilizará das abordagens do engenheiro social atacante como parte de tal testes A engenharia social é difícil de ser evitada contudo é necessária uma conscientização contínua para que os colaboradores sempre saibam quais são as novas abordagens utilizadas e como se lida com cada uma delas A gestão dos perfis de acesso após a contratação dos colaboradores também deve ser constantemente realizada 51 1 A associação dos termos engenharia e social contém um sentido diferenciado referente à segurança da informação Esses termos juntos concebem a forma que os engenheiros utilizam de burlar pessoas para obter informações sigilosas de maneira fácil e sem que estas pessoas se deem conta O termo engenharia social é usado para caracterizar aquelas intrusões que não forem técnicas e enfatizam qual interação a Humana b Em dispositivo móvel c Computador d Tecnológica 2 A engenharia social está relacionada a ter habilidade de iludir as pessoas com o objetivo que os procedimentos de segurança da informação sejam violados Para isso o engenheiro social tem o perfil de ser uma pessoa com boa aparência com habilidade em lidar com pessoas bemeducadas e agradáveis Referente à engenharia social analise as sentenças a seguir classificando com V as sentenças verdadeiras e com F as sentenças falsas Grifter é aquela pessoa que visa enganar pessoas enquanto o engenheiro social visa enganar as organizações Phishing é um tipo de engenharia social na tentativa de se obter informações confidenciais por exemplo senhas nomes de usuário detalhes do cartão de pagamento de uma pessoa por um canal de batepapo um fórum por email e afins O engenheiro social é aquele que utiliza a influência a fraude e a persuasão contra as organizações geralmente com a intenção de obter informações As organizações não precisam se preocupar com a engenharia social apenas com hackers Assinale a alternativa com a sequência CORRETA a V V V F b V F V F c F V V F d F F V V 3 Estabelecer e manter a conscientização sobre segurança da informação por meio de um programa de conscientização sobre segurança é vital para o progresso e o sucesso de uma organização Um programa de conscientização de segurança robusto e implementado adequadamente auxilia a organização na educação monitoramento e manutenção contínua da conscientização de segurança dentro da organização Portanto a conscientização precisa fazer parte da cultura da organização Como o programa de conscientização deve ser conduzido para que ela faça parte da cultura da organização a Projeto b Processo AUTOATIVIDADE 52 c Melhoria continuada programa contínuo d Seminário 4 O objetivo central de um programa de conscientização referente à segurança deve influenciar as pessoas para que elas mudem seu comportamento e suas atitudes motivando cada colaborador a querer entrar no programa e fazer a sua parte para proteger os ativos de informações da organização Referente ao comportamento seguro analise as sentenças a seguir classificando com V as sentenças verdadeiras e com F as falsas Política de secretaria limpa ou mesa limpa se preocupa com notas ade sivas papéis e impressões podem ser facilmente capturadas por pessoas malintencionadas e vistas por olhares indiscretos O BYOD abrange os bens de computação pessoal dos colaboradores que podem ser usados em um ambiente de trabalho Gerenciamento de dados está relacionado aos colaboradores não estarem cientes Mídia removível não autorizada pode ser um convite para problemas de segurança de dados infecção por Malware falha de hardware e violação de direitos autorais Assinale a alternativa com a sequência CORRETA a V V F F b V F V F c F V V F d V V V V 5 Os golpes de email envolvem emails fraudulentos e não solicitados que oferecem uma pechincha por nada Um email fraudulento atrai um usuário para a oferta gratuita oportunidades de negócios falsas empréstimos ou créditos garantidos dinheiro fácil esquemas de saúde e dieta e assim por diante Um hábito de comportamento seguro e que deve estar incorporado nos hábitos dos colaboradores da organização é a dica dos colaboradores tomarem conhecimento dos golpes de email e que eles sejam instruídos sobre como evitálos I Não confiar em email não solicitado II Os spams não precisam ser filtrados pois não trazem golpes apenas emails indesejados III Instalar programa antivírus e firewall e os manterem atualizados IV Cuidar com anexos de email Assinale a alternativa que contém somente sentenças corretas a As sentenças I III e IV estão corretas b As sentenças I e II estão corretas c As sentenças II III e IV estão corretas d As sentenças III e IV estão corretas 53 TÓPICO 3 UNIDADE 1 PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 1 INTRODUÇÃO A Security Awareness Program Special Interest Group 2014 traz práticas recomendadas a serem aplicadas no desenvolvimento em um plano de programa de conscientização que iremos tratar neste tópico Este programa pode ser utilizado como ponto de partida tanto para organizações que estão iniciando na conscientização como para ser utilizado como um referencial dos requisitos mínimos sobre o Payment Card Industry Data Security Standard PCI DSS que é um Padrão de Segurança de Dados da Indústria de Pagamento com Cartão Também abordaremos as práticas relacionadas às ameaças e vulnerabilidades enfrentadas pelas organizações nesse ambiente em constante mudanças e as práticas para reforçar a cultura organizacional Esta orientação se concentra principalmente nas seguintes práticas recomendadas Reconhecimento de segurança organizacional nesse item devese dar atenção especial para formação da equipe de reconhecimento de segurança fazer o reconhecimento baseandose nas funções organizacionais ter métricas bem definidas e como elas serão avaliadas ter um conteúdo apropriado de conscientização e a maneira que a conscientização será comunicada ou seja a comunicação da conscientização de segurança dentro da organização Conteúdo de conscientização de segurança um aspecto crítico da conscientização é determinar o tipo de conteúdo que será utilizado Determinar as diferentes funções dentro de uma organização é o primeiro passo para desenvolver um conteúdo apropriado e determinar as informações que devem estar inclusas na conscientização Lista de verificação do treinamento de conscientização de segurança estabelecer uma lista de verificação pode ajudar uma organização a desenvolver monitorar eou manter um programa de treinamento de conscientização de segurança de forma eficaz Payment Card Industry Data Security Standard PCI DSS é um Padrão de Segurança de Dados da Indústria de Pagamento com Cartão NOTA 54 UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO 2 PRÁTICAS RECOMENDADAS DE CONSCIENTIZAÇÃO SOBRE SEGURANÇA ORGANIZACIONAL Como vimos anteriormente a conscientização de segurança da informação da organização deve ser tratada como uma melhoria continuada garantindo que o treinamento e o conhecimento sejam mantidos diariamente em alto nível de conscientização de segurança Outra boa prática é que a proteção de dados do titular do cartão Card Holder Data CHD deve fazer parte do programa de conscientização sobre segurança da informação em toda a organização Garantir que a equipe esteja ciente da importância da segurança dos dados do titular do cartão é importante para o sucesso de um programa de conscientização de segurança O objetivo desse item a partir daqui é trazer as práticas recomendadas para os três passos críticos do plano de programa de conscientização 21 MONTAR A EQUIPE DE CONSCIENTIZAÇÃO DE SEGURANÇA O primeiro passo é montar uma equipe de conscientização Essa equipe é responsável pelo desenvolvimento entrega e manutenção do programa de conscientização de segurança Recomendase que a equipe seja composta por pessoas de diferentes áreas da organização com responsabilidades diferentes representando uma seção transversal da organização A presença de uma equipe ajudará a garantir o sucesso do programa de conscientização de segurança por meio da atribuição de responsabilidade pelo programa O tamanho e a participação da equipe de conscientização de segurança dependerão das necessidades específicas de cada organização e de sua cultura 22 DETERMINAR FUNÇÕES PARA CONSCIENTIZAÇÃO DE SEGURANÇA A conscientização de segurança baseada em funções provê às organizações de realizarem o treinamento nos níveis apropriados baseandose em suas funções de trabalho O treinamento pode ser expandido acontecer de alguma maneira combinada ou algo ser removido conforme os níveis de responsabilidade e os papéis definidos na organização O objetivo é criar um catálogo de referência de vários tipos e profundidades de treinamento auxiliando as organizações a prover treinamento certo para as pessoas certas na hora certa Ao se fazer isso a segurança da organização é melhorada e se mantém a conformidade com o PCI DSS Quer o foco seja uma abordagem singular holística ou em camadas o conteúdo pode ter um escopo definido para atender aos requisitos de uma organização Identificar níveis de responsabilidade TÓPICO 3 PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 55 Segundo Security Awareness Program Special Interest Group 2014 a primeira tarefa ao definir um programa de conscientização de segurança baseado em funções é agrupar indivíduos de acordo com suas funções ou seja conforme as funções de trabalho na organização Um conceito simplificado disso é mostrado na Figura 8 FIGURA 8 FUNÇÕES DE CONSCIENTIZAÇÃO DE SEGURANÇA PARA ORGANIZAÇÕES FONTE Security Awareness Program Special Interest Group 2014 p 4 A Figura 8 identifica três tipos de funções todo o pessoal funções especializadas e gerenciamento Um programa sólido de conscientização ajudará todas as pessoas da organização a reconhecerem ameaças verem a segurança como benéfica para a tomar como hábito no trabalho e em casa e se sentirem confortável em relatarem possíveis problemas de segurança Esse grupo de usuários deve estar ciente da sensibilidade dos dados do cartão de pagamento mesmo que suas responsabilidades diárias não envolvam o trabalho com os dados do cartão de pagamento O treinamento adicional para aqueles em Funções Especializadas deve se concentrar na obrigação das pessoas seguirem procedimentos seguros para lidar com informações confidenciais e reconhecer os riscos associados se o acesso privilegiado for mal utilizado Exemplos de usuários nessa categoria podem incluir aqueles que processam cartões de pagamento escrevem aplicativos que processam cartões de pagamento constroem bancos de dados para manter o CHD ou projetam e constroem redes pelas quais o CHD atravessa Cada uma dessas funções especializadas requer treinamento e conscientização adicionais para criar e manter um ambiente seguro Além disso pode ser necessário treinamento específico para incluir o entendimento dos requisitos do PCI DSS e PADSS A gerência possui necessidades adicionais de treinamento que podem diferir das duas áreas anteriores A gerência precisa entender a política de segurança da organização e os requisitos de segurança suficientemente bem para que possam discutir e reforçar positivamente a mensagem para a equipe assim como incentivar a conscientização reconhecer e resolver problemas relacionados à 56 UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO segurança caso ocorram O nível de conscientização para a gerência pode precisar que seja incluído no programa um entendimento de como as diferentes áreas estão relacionadas Assim os gerentes da equipe com acesso privilegiado devem ter um entendimento sólido dos requisitos de segurança de sua equipe especialmente aqueles com acesso a dados confidenciais O treinamento para a gerência também ajudará nas decisões de proteção das informações da organização Estabelecer conhecimento mínimo de segurança Security Awareness Program Special Interest Group 2014 coloca que estabelecer um nível mínimo de conscientização para todo o pessoal pode ser a base do programa de conscientização de segurança Esse programa pode ser realizado de algumas maneiras incluso com treinamento formal treinamento baseado em computador emails e circulares memorandos avisos boletins pôsteres etc O programa de conscientização sobre segurança deve ser ministrado de maneira que se adapte à cultura geral de organização e que tenha o maior impacto para as pessoas da organização A Figura 9 traz o treinamento de conscientização que deve aumentar conforme o nível de risco associado a diferentes funções FIGURA 9 TREINAMENTO DE CONSCIENTIZAÇÃO SOBRE SEGURANÇA FONTE Security Awareness Program Special Interest Group 2014 p 5 Determinar o conteúdo do treinamento e a aplicabilidade com base no PCI DSS Caso a organização queira implantar o PCI DSS o conteúdo do treinamento pode ser subdividido para mapear os requisitos que lhe sejam aplicáveis do PCI DSS O item 3 desta unidade contém mais informações relacionadas ao conteúdo do treinamento para os diferentes níveis de uma organização SECURITY AWARENESS PROGRAM SPECIAL INTEREST GROUP 2014 TÓPICO 3 PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 57 23 CONSCIENTIZAÇÃO DE SEGURANÇA EM TODA ORGANIZAÇÃO Para Security Awareness Program Special Interest Group 2014 a chave para um programa eficaz de conscientização de segurança é direcionar a entrega de material relevante ao público apropriado de maneira oportuna e eficiente Para ser eficaz o canal de comunicação também deve se adequar à cultura da organização Ao disseminar o treinamento de conscientização sobre segurança por meio de vários canais de comunicação a organização garante que o pessoal seja exposto à mesma informação várias vezes de diferentes maneiras Desta forma as pessoas se lembram das informações a elas apresentadas O conteúdo pode precisar ser adaptado dependendo do canal Por exemplo o conteúdo de um boletim eletrônico pode ser diferente do conteúdo de um seminário de treinamento ministrado por instrutor mesmo que ambos tenham a mesma mensagem subjacente O canal de comunicação usado deve corresponder ao público que recebe o conteúdo do treinamento e o tipo de conteúdo bem como o próprio conteúdo Os métodos de comunicação eletrônica podem ser de notificações por email eLearning mídia social interna etc É importante direcionar notificações de conscientização de segurança eletrônica para o público apropriado garantindo assim que as informações sejam lidas e entendidas Cabe destacar que pessoas muito ocupadas acabam ignorando mais facilmente as notificações eletrônicas Portanto ao direcionar o canal de material e comunicação para o pessoal relevante a equipe de conscientização de segurança pode adotar práticas mais eficazes do programa de conscientização de segurança SECURITY AWARENESS PROGRAM SPECIAL INTEREST GROUP 2014 As notificações não eletrônicas podem ser na forma de pôsteres malas diretas internas boletins e eventos de treinamento ministrados por instrutores Eventos pessoais de conscientização de segurança envolvendo a participação ativa do pessoal podem ser extremamente eficazes A inclusão de atividades envolvendo o público como atividades baseadas em cenários ajudam a garantir que os conceitos sejam entendidos e lembrados Por exemplo um exercício estruturado de engenharia social ensinará aos colaboradores de forma rápida a identificar um ataque de engenharia social e reagir adequadamente Caso você queira se aprofundar nesse estudo leia o Apêndice A de Security Awareness Program Special Interest Group 2014 Information supplement best practices for implementing a security awareness program Disponível em httpswww pcisecuritystandardsorgdocumentsPCIDSSV10BestPracticesforImplementing SecurityAwarenessProgrampdf Acesso em 30 mar 2020 DICAS 58 UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO Seminários internos treinamento fornecido durante os intervalos para o almoço comumente chamado de almoce e aprenda e eventos sociais dos colaboradores também são ótimas oportunidades para a equipe de conscientização de segurança interagir com o pessoal e introduzir conceitos de segurança Agora tire uns minutos para ver o UNI NOTA e o UNI DICAS que preparamos para você O tamanho da audiência em uma apresentação liderada por instrutor é importante quanto maior o grupo maior o risco de que o conteúdo não seja comunicado efetivamente pois os indivíduos podem perder o foco no material apresentado se não se sentirem envolvidos IMPORTANTE O almoce e aprenda ou almoço e aprendizado se refere à organização proporcionar aos colaboradores uma maneira de desenvolver o conhecimento dos colaboradores e despertar seu interesse por oportunidades de crescimento e desenvolvimento O almoce e aprenda propicia o compartilhamento de informações de forma amigável e casual O evento pode envolver alimentos fornecidos pela organização ou levados pelos colaboradores e podem incluir palestrantes convidados vídeos educacionais e sessões finais de perguntas e respostas Portanto são momentos para oportunizar o aprendizado de colaborados interessados NOTA Caso você queira se aprofundar nesse estudo referente aos métodos de comunicar a conscientização de segurança em toda a organização leia o Apêndice B de Security Awareness Program Special Interest Group 2014 Information supplement best practices for implementing a security awareness program Disponível em httpswww pcisecuritystandardsorgdocumentsPCIDSSV10BestPracticesforImplementing SecurityAwarenessProgrampdf Acesso em 30 mar 2020 DICAS TÓPICO 3 PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 59 Security Awareness Program Special Interest Group 2014 recomenda que a comunicação da conscientização sobre segurança seja incluída nos processos de novos contratados bem como quando os colabores mudam de função O treinamento de conscientização de segurança pode ser combinado com outros requisitos organizacionais como acordos de confidencialidade e ética Cada cargo na organização deve ser identificado com base da sua necessidade de nível de acesso a dados Para garantir que a equipe de conscientização de segurança seja notificada sempre que uma função identificada como necessitando de conscientização de segurança for preenchida recomendase que essa etapa seja incluída no processo para todas as novas classificações ou reclassificações A inclusão no processo de nova contratação ou reclassificação garante que as metas gerais de treinamento sejam promovidas sem depender de unidades organizacionais individuais Security Awareness Program Special Interest Group 2014 observa que a liderança de gerenciamento e o suporte ao programa de conscientização de segurança são cruciais para que a equipe tenha sucesso Os gerentes são incentivados a Incentivar ativamente o pessoal a participar e defender os princípios de conscientização de segurança Modelar a abordagem de conscientização de segurança apropriada para reforçar o aprendizado obtido com o programa Incluir métricas de conscientização de segurança nas análises de gerenciamento e desempenho da equipe 3 CONTEÚDO DO TREINAMENTO DE CONSCIENTIZAÇÃO DE SEGURANÇA DA INFORMAÇÃO Conforme discutido no item 2 deste tópico é recomendado que o conteúdo do treinamento seja determinado com base na função e na cultura da organização A equipe de conscientização de segurança pode coordenar com as devidas unidades organizacionais a classificação por função determinando o nível de treinamento de conscientização necessário para cada atividade de acordo com sua função Isso é vital no desenvolvimento de conteúdo pois é tão fácil treinar demais um colaborador quanto treinar um colaborador Nos dois casos se as informações não forem absorvidas adequadamente a organização pode correr riscos desnecessários independentemente da função Portanto é recomendável que todos os colaboradores recebam treinamento básico de conscientização sobre segurança desenvolvido de acordo com a política organizacional Além do treinamento geral de conscientização sobre segurança recomendase que a equipe seja exposta a conceitos gerais de segurança de dados do titular do cartão promovendo o manuseio adequado dos dados em conformidade com a função exercida na organização 60 UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO Os materiais de treinamento devem estar disponíveis para todas as áreas da organização Os materiais de conscientização e treinamento em segurança podem ser desenvolvidos internamente adaptados de uma agência especializada ou adquiridos de um fornecedor Existem fornecedores de conscientização de segurança que desenvolvem materiais como os de treinamento baseado em computador TeamBased Learning TBL pôsteres e boletins Por exemplo o PCI SSC e outros fornecedores de eLearning oferecem treinamento sobre tópicos como compreensão do PCI DSS práticas seguras de senha como evitar a engenharia social como evitar downloads maliciosos etc Embora o plano do programa de conscientização em segurança da informação de uma organização geralmente é específico e personalizado é aconselhável que a organização incorpore as melhores práticas da área utilizando materiais de referência confiáveis O Quadro 8 traz alguns destes materiais que serão aprofundados na nossa segunda unidade de estudo Cabe destacar ainda que devido ao aumento do foco na conscientização sobre segurança cibernética muitas agências governamentais e órgãos da indústria fornecem materiais de treinamento de forma pública sem nenhum custo QUADRO 8 REFERENCIAL CONFIÁVEL MATERIAL SITE DESCRIÇÃO Publicação Especial 800 50 do Instituto Nacional de Padrões e Tecnologia NIST wwwnistgov Material para construir um plano de conscientização e treinamento em segurança de tecnologia da informação Organização Internacional de Padrões ISO 27002 2013 wwwisoorg Código de práticas para técnicas de Segurança da Tecnologia da Informação para controles de Segurança da Informação Organização Internacional de Padrões ISO 27001 2013 wwwisoorg Tecnologia da informação Técnicas de segurança Sistemas de gerenciamento de segurança da informação COBIT www isacaorgcobit Orientação Detalhada Ativador de Serviços Infraestrutura e Aplicativos Sensibilização para a Segurança FONTE Adaptado de Security Awareness Program Special Interest Group 2014 TÓPICO 3 PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 61 Security Awareness Program Special Interest Group 2014 observa que a escolha dos materiais a serem utilizados irá depender da organização Cada organização deve considerar o tempo os recursos e a cultura ao selecionar os materiais a serem usados no treinamento de conscientização Todas as práticas recomendadas neste tópico podem ser incluídas na conscientização no entanto essas melhores práticas não são um requisito obrigatório 31 TODOS DA ORGANIZAÇÃO Security Awareness Program Special Interest Group 2014 recomenda como boa prática que o treinamento geral de segurança para todos da organização inclua a definição do que constituem os dados do titular do cartão e os dados de autenticação confidenciais bem como a responsabilidade da organização de proteger ambos Para garantir que todos se envolvam é necessário que as funções e responsabilidades de cada um sejam descritas durante todo o treinamento de conscientização de segurança em conformidade com a política organizacional Como os dados estão em risco tanto no formato eletrônico quanto no não eletrônico papel é recomendável que as diferentes maneiras de proteger as informações para diferentes mídias sejam cobertas em um nível básico para todo o pessoal Por exemplo considerações para proteger dados em formato eletrônico podem incluir armazenamento transmissão e descarte seguros As considerações para formatos baseados em papel também podem incluir armazenamento e descarte seguros além de uma política de mesa limpa Sem entender como os diferentes tipos de mídia precisam ser protegidos o pessoal pode inadvertidamente manipular os dados de maneira insegura Security Awareness Program Special Interest Group 2014 ainda ressalta que outra consideração importante para a inclusão no treinamento de segurança geral é a conscientização de ataques de engenharia social Uma maneira de um invasor utilizar a engenharia social é adquirir as credenciais de um usuário e percorrer a organização de uma área de baixa segurança para uma área de alta segurança Adaptar essa conscientização provê resultados mais eficazes quando se refletem os tipos de ataques que a organização pode encontrar Portanto os usuários precisam estar cientes dos métodos mais comumente utilizados pelos fraudadores hackers ou outros indivíduos malintencionados que podem tentar obter credenciais dados de cartão de pagamento e outros dados confidenciais visando minimizar o risco de o pessoal disseminar informações confidenciais involuntariamente a terceiros Security Awareness Program Special Interest Group 2014 também recomenda que seja realizado o treinamento em políticas e procedimentos organizacionais que especificam o manuseio adequado dos dados incluso o compartilhamento e a transmissão de dados confidenciais O programa de treinamento deve exigir que as pessoas reconheçam que receberam e compreenderam o conteúdo a eles entregue Isso é crucial para o sucesso 62 UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO do programa de conscientização Se o conteúdo é entregue e não compreendido o colaborador ainda poderá inadvertidamente colocar em risco as informações da organização O feedback referente ao conteúdo e o entendimento do treinamento é essencial para garantir que a equipe compreenda o conteúdo e as políticas de segurança da organização Nesse sentido Security Awareness Program Special Interest Group 2014 traz o seguinte exemplo de conteúdo que normalmente consta em treinamento geral de conscientização referente a segurança Política de conscientização de segurança da organização Impacto do acesso não autorizado por exemplo sistemas ou instalações Conhecimento dos requisitos de segurança do CHD para diferentes ambientes de pagamento Ambientes presentes no cartão Ambientes sem cartão Telefone individual ou central de atendimento Correio Fax Online comércio eletrônico Como obter mais informações sobre a proteção de CHD na organização por exemplo agente de segurança gerenciamento etc Importância de senhas fortes e controles de senha Práticas de email seguro Práticas para trabalhar remotamente de maneira segura Evitar software malicioso vírus spyware adware etc Práticas de navegação segura Segurança de dispositivos móveis incluindo BYOD Uso seguro das mídias sociais Como relatar um possível incidente de segurança e a quem o reportar Proteção contraataques de engenharia social Pessoal Acesso físico Telefone falsificação de identificação de chamadas Email Phishing Spear Phishing Falsificação de endereço de email Mensagens instantâneas Segurança física Shoulder surfing Dumpster Diving Shoulder surfing é o espiar sobre os ombros ou seja este tipo de ataque é ocasionado quando uma das pessoas envolvidas consegue ou é capaz de olhar sobre o ombro de outra pessoa eou espionar a tela do outro Dumpster Diving ou trashing é o termo utilizado para a ação de hackers que vasculham a lixeira NOTA TÓPICO 3 PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 63 32 GERÊNCIA Além do conteúdo utilizado para todos de forma geral o treinamento voltado para gerência segundo Security Awareness Program Special Interest Group 2014 deve incluir informações mais detalhadas referente às consequências de uma violação para as partes interessadas da gerência A gerência deve entender não apenas as penalidades monetárias oriundas da não proteção do cartão mas também os danos permanentes causados à organização referente à reputação marca Esse fator geralmente é ignorado quando as organizações terceirizam o processamento de pagamentos mas é extremamente importante Conforme discutido anteriormente a gerência precisa ter de compreender os requisitos de segurança de maneira conseguir discutilos e reforçálos além de incentivar as pessoas a seguir os requisitos Recomendase que o treinamento de conscientização referente à segurança da gerência inclua conteúdo específico relevante a área de responsabilidade particularmente áreas com acesso a dados confidenciais A gerência que tem conhecimento sobre segurança entende melhor quais são os fatores de risco para as informações da organização Esse conhecimento os ajuda a tomar decisões bem fundamentadas referente às operações de negócios Os gerentes com conhecimento de segurança também podem ajudar no desenvolvimento de políticas de segurança de dados procedimentos seguros e treinamento de conscientização de segurança 33 FUNÇÕES ESPECIALISTAS As categorias listadas no Quadro 9 são exemplos de algumas funções e conteúdo de treinamento que pode ser adequado para esses usuários As funções especialistas de cada organização podem diferir e o tipo de treinamento para cada função precisará ser considerado com precaução QUADRO 9 FUNÇÕES E CONTEÚDO FUNÇÃO DESCRIÇÃO Colaboradores de caixa contabilidade Ao desenvolver um treinamento de conscientização de segurança da equipe de caixacontabilidade é importante lembrar que o pessoal nessas funções geralmente é a primeira linha de defesa devido interagirem diretamente com os clientes e os cartões de pagamento desses clientes O treinamento para caixas pode incluir como inspecionar dispositivos de ponto de venda para adulteração no início de cada turno e se atentar a comportamentos suspeitos em áreas nas quais o público tem acesso a terminais de pagamento 64 UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO Equipe de compras Se uma organização compartilhar o CHD ou terceirizar uma função que possa impactar a segurança do ambiente dos CDE é necessário a compreensão de determinados requisitos para garantir a proteção contínua do CHD e do CDE Cabe destacar que as pessoas envolvidas no processo de compras de terceiros precisa compreender como a segurança das informações compartilhadas com terceiros pode ser afetada e o papel que esses terceiros desempenham no programa de conscientização sobre segurança Administradores e desenvolvedores de TI Os administradores de sistema banco de dados de redes e outras equipes com acesso privilegiado a sistemas de computador que podem armazenar processar ou transmitir CHD exigirão um treinamento mais detalhado sobre conscientização de segurança incluindo a compreensão da importância de se ter configurações seguras do sistema para a proteção de informações confidenciais Apesar do treinamento geral de conscientização sobre segurança discutido no item 31 deste tópico constituir a base do programa de conscientização referente segurança para essas funções um treinamento adicional pode ser necessário para abordar os diferentes métodos pelos quais a função lida com a CHD Também pode ser apropriado que essas funções tenham uma visão geral de como a organização recebe e processa pagamentos Para funções especializadas como as que oferecem suporte a sistemas e a parte de redes as recomendações dadas pelo fornecedor e os guias de melhores práticas do setor para configurações seguras podem ser vistas como um conteúdo útil para incluir no treinamento Por exemplo o Center for Internet Security CIS traz recomendações de segurança e de configurações Os desenvolvedores de aplicativos de sistemas e a equipe de teste têm acesso à base de código subjacente o que é essencial para a segurança do ambiente Esses usuários devem estar cientes de suas responsabilidades em seguir a política de segurança da organização práticas seguras de codificação e procedimentos de controle de alterações bem como precisam estar cientes das informações atualizadas referente ameaças à segurança e eficácia FONTE Adaptado de Security Awareness Program Special Interest Group 2014 TÓPICO 3 PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 65 34 DEFINIR MÉTRICAS PARA AVALIAR O TREINAMENTO DE CONSCIENTIZAÇÃO As métricas podem ser uma ferramenta eficaz para medir o sucesso de um programa de conscientização de segurança e fornecer informações para manter o programa de conscientização de segurança atualizado e eficaz As métricas específicas utilizadas para medir o sucesso de um programa de conscientização de segurança variam de organização para organização baseandose em considerações como tamanho setor e tipo de treinamento O Quadro 10 exibe algumas métricas de um programa de conscientização de segurança bemsucedido e pode ser utilizada como ponto de partida para o desenvolvimento de métricas QUADRO 10 MÉTRICAS PARA AVALIAR TREINAMENTO DE CONSCIENTIZAÇÃO MÉTRICA INDICADOR DE EFICÁCIA DO TREINAMENTO MÉTRICAS OPERACIONAIS Tempo de inatividade e de rede reduzidos ou interrupções de aplicativos Gerenciamento de alterações consistente e processos aprovados menos surtos de Malware melhores controles Redução de surtos de Malware e problemas de desempenho do computador relacionados a Malware Menos colaboradores abriram emails maliciosos aumento de relatórios de colaboradores de emails maliciosos Aumento no relatório de tentativa de fraude por email ou telefone Melhor reconhecimento pelos colaboradores de phishing e outras tentativas de engenharia social Aumento no relatório de preocupações de segurança e acesso incomum aumentou no relatório Maior entendimento dos colaboradores sobre riscos Aumento do número de consultas dos colaboradores sobre como implementar procedimentos seguros Melhor conscientização dos colaboradores sobre possíveis ameaças A digitalização Data Loss Prevention DLP e os rastreamentos de rede estão ativos mas não detectam os dados do titular do cartão fora do CDE Melhor entendimento dos colaboradores sobre ameaças em potencial As verificações de vulnerabilidade estão ativas e detectam vulnerabilidades altas ou críticas Diminuição do tempo entre a detecção e remediação 66 UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO As vulnerabilidades são tratadas ou atenuadas em tempo hábil Melhor entendimento do pessoal sobre possíveis ameaças e riscos para informações confidenciais MÉTRICAS DO PROGRAMA DE TREINAMENTO Aumento do número de pessoas concluindo o treinamento Rastreamento de presença e avaliações de desempenho Aumento do número de funcionários com acesso privilegiado que receberam o treinamento necessário Rastreamento de presença e avaliações de desempenho Aumento da compreensão do pessoal sobre o material de treinamento Feedback do pessoal testes e avaliações de treinamento FONTE Adaptado de Security Awareness Program Special Interest Group 2014 p 11 4 LISTA DE VERIFICAÇÃO DO PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA Ter uma lista de verificação pode auxiliar as organizações a realizarem o planejamento e o gerenciamento do programa treinamento de conscientização sobre segurança O Quadro 10 lista informações que podem auxiliar no treinamento de conscientização de segurança e no planejamento educacional Cabe ressaltar que não é um requisito a inclusão e utilização dessas informações QUADRO 10 LISTA DE VERIFICAÇÃO DO PROGRAMA ETAPA LISTA DE VERIFICAÇÃO Criando o programa de conscientização Identifique os padrões de conformidade ou de auditoria aos quais sua organização deve aderir Identifique os requisitos de conscientização de segurança para esses padrões Data Loss Prevention DLP ou prevenção de perdas de dados O DLP é um conjunto de ferramentas e processos utilizados com o objetivo de certificar que os dados confidenciais não sejam perdidos ou utilizados de forma indevida ou ainda que não sejam acessados por usuários sem autorização NOTA TÓPICO 3 PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 67 Criando o programa de conscientização Identifique objetivos organizacionais riscos e política de segurança Identifique as partes interessadas e obtenha o apoio delas Crie uma linha de base da conscientização de segurança da organização Crie o termo de abertura do projeto para estabelecer o escopo do programa de treinamento de conscientização de segurança Crie um comitê de direção para ajudar no planejamento execução e manutenção do programa de conscientização Identifique quem para quem será o treinamento funções diferentes podem exigir treinamento diferente adicional como por exemplo colaboradores pessoal de TI desenvolvedores liderança sênior Identifique o que será comunicado aos diferentes grupos o objetivo é o treinamento mais curto possível e com maior impacto Identifique como será comunicado o conteúdo como por exemplo três categorias de treinamento novo anual e contínuo Implementando a conscientização Se uma organização compartilhar o CHD ou terceirizar uma função que possa impactar a segurança do ambiente dos CDE é necessário a compreensão de determinados requisitos para Desenvolva eou adquira materiais e conteúdo de treinamento para atender aos requisitos identificados durante a criação do programa Documente como e quando será medido o sucesso do programa Identifique com quem comunicar os resultados quando e como Implante o treinamento de conscientização de segurança utilizando diferentes métodos de comunicação identificados durante a criação do programa Implemente mecanismos de rastreamento para registrar quem conclui o treinamento e quando ele foi concluído 68 UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO Sustentando a conscientização Identifique quando o programa de conscientização de segurança será revisado anualmente Identifique as ameaças novas ou decorrentes de mudança de padrões de conformidade e atualizações necessárias as incluir na atualização anual Realize avaliações periódicas da conscientização de segurança da organização e compare com a linha de base Pesquise a equipe para obter feedback como por exemplo utilidade eficácia facilidade de entendimento facilidade de implementação alterações recomendadas acessibilidade Manter o compromisso da gerência de apoiar endossar e promover o programa Documentando o programa de conscientização Documente o programa de conscientização sobre segurança incluindo todas as etapas listadas anteriormente FONTE Adaptado de Security Awareness Program Special Interest Group 2014 Fique agora com a leitura complementar a qual traz os ataques da internet e os códigos maliciosos Malware Esse material foi retirado da Cartilha de Segurança para Internet versão 40 elaborada pelo CertBr que possui um extenso material sobre o tema O Centro de Estudos Resposta e Tratamento de Incidentes de Segurança no Brasil CERTbr é o grupo responsável desde o ano de 1997 para tratar de questões relacionadas aos incidentes de segurança relacionadas a redes conectadas à Internet no Brasil O Certbr também realiza treinamento e conscientização Para saber mais acesse o link httpswwwcertbr DICAS TÓPICO 3 PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 69 LEITURA COMPLEMENTAR CARTILHA DE SEGURANÇA PARA INTERNET VERSÃO 40 Equipe CERTbr ATAQUES NA INTERNET Ataques costumam ocorrer na Internet com diversos objetivos visando diferentes alvos e usando variadas técnicas Qualquer serviço computador ou rede que seja acessível via Internet pode ser alvo de um ataque assim como qualquer computador com acesso a Internet pode participar de um ataque Os motivos que levam os atacantes a desferir ataques na Internet são bastante diversos variando da simples diversão até a realização de ações criminosas Alguns exemplos são Demonstração de poder mostrar a uma organização que ela pode ser invadida ou ter os serviços suspensos e assim tentar vender serviços ou chantageála para que o ataque não ocorra novamente Prestígio vangloriarse perante outros atacantes por ter conseguido invadir computadores tornarse serviços inacessíveis ou desfigurar sites considerados visados ou difíceis de serem atacados disputar com outros atacantes ou grupos de atacantes para revelar quem consegue realizar o maior número de ataques ou ser o primeiro a conseguir atingir um determinado alvo Motivações financeiras coletar e utilizar informações confidenciais de usuários para aplicar golpes Motivações ideológicas tornar inacessível ou invadir sites que divulguem conteúdo contrário a opinião do atacante divulgar mensagens de apoio ou contrarias a uma determinada ideologia Motivações comerciais tornar inacessível ou invadir sites e computadores de organizações concorrentes para tentar impedir o acesso dos clientes ou comprometer a reputação destas organizações Exploração de Vulnerabilidades Uma vulnerabilidade é definida como uma condição que quando explorada por um atacante pode resultar em uma violação de segurança Exemplos de vulnerabilidades são falhas no projeto na implementação ou na configuração de programas serviços ou equipamentos de rede Um ataque de exploração de vulnerabilidades ocorre quando um atacante utilizandose de uma vulnerabilidade tenta executar ações maliciosas como invadir um sistema acessar informações confidenciais disparar ataques contra outros computadores ou tornar um serviço inacessível 70 UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO Varredura em redes scan Varredura em redes ou scan é uma técnica que consiste em efetuar buscas minuciosas em redes com o objetivo de identificar computadores ativos e coletar informações sobre eles como por exemplo serviços disponibilizados e programas instalados Com base nas informações coletadas é possível associar possíveis vulnerabilidades aos serviços disponibilizados e aos programas instalados nos computadores ativos detectados A varredura em redes e a exploração de vulnerabilidades associadas podem ser usadas de forma Legítima por pessoas devidamente autorizadas para verificar a segurança de computadores e redes e assim tomar medidas corretivas e preventivas Maliciosa por atacantes para explorar as vulnerabilidades encontradas nos serviços disponibilizados e nos programas instalados para a execução de atividades maliciosas Os atacantes também podem utilizar os computadores ativos detectados como potenciais alvos no processo de propagação automática de códigos maliciosos e em ataques de força bruta Falsificação de email email spoofing Falsificação de email ou email spoofing é uma técnica que consiste em alterar campos do cabeçalho de um email de forma a aparentar que ele foi enviado de uma determinada origem quando na verdade foi enviado de outra Esta técnica é possível devido a características do protocolo Simple Mail Transfer Protocol SMTP que permitem que campos do cabeçalho como From endereço de quem enviou a mensagem ReplyTo endereço de resposta da mensagem e ReturnPath endereço no qual possíveis erros no envio da mensagem são reportados sejam falsificados Ataques deste tipo são bastante usados para propagação de códigos maliciosos envio de spam e em golpes de phishing Atacantes utilizamse de endereços de email coletados de computadores infectados para enviar mensagens e tentar fazer com que os seus destinatários acreditem que elas partiram de pessoas conhecidas Exemplos de emails com campos falsificados são aqueles recebidos como sendo de alguém conhecido solicitando que você clique em um link ou execute um arquivo anexo do seu banco solicitando que você de dados da sua conta bancária Siga um link fornecido na própria mensagem e informe do administrador do serviço de email que você utiliza solicitando informações pessoais e ameaçando bloquear a sua conta caso você não as envie Você também pode já ter observado situações na qual o seu próprio endereço de email foi indevidamente utilizado Alguns indícios disto são TÓPICO 3 PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 71 você recebe respostas de emails que você nunca enviou você recebe emails aparentemente enviados por você mesmo sem que você tenha feito isto você recebe mensagens de devolução de emails que você nunca enviou reportando erros como usuário desconhecido e caixa de entrada lotada cota excedida Interceptação de tráfego Sniffing Interceptação de tráfego ou sniffing é uma técnica que consiste em inspecionar os dados trafega dos em redes de computadores por meio do uso de programas específicos chamados de sniffers Esta técnica pode ser utilizada de forma Legítima por administradores de redes para detectar problemas analisar desempenho e monitorar atividades maliciosas relativas aos computadores ou redes por eles administrados Maliciosa por atacantes para capturar informações sensíveis como senhas números de cartão de credito e o conteúdo de arquivos confidenciais que estejam trafegando por meio de conexões inseguras ou seja sem criptografia Força bruta Brute force Um ataque de força bruta ou brute force consiste em adivinhar por tentativa e erro um nome de usuário e senha e assim executar processos e acessar sites computadores e serviços em nome e com os mesmos privilégios deste usuário Qualquer computador equipamento de rede ou serviço que seja acessível via Internet com um nome de usuário e uma senha pode ser alvo de um ataque de força bruta Dispositivos moveis que estejam protegidos por senha além de poderem ser atacados pela rede também podem ser alvo deste tipo de ataque caso o atacante tenha acesso físico a eles Se um atacante tiver conhecimento do seu nome de usuário e da sua senha ele pode efetuar ações maliciosas em seu nome como por exemplo trocar a sua senha dificultando que você acesse novamente o site ou computador invadido invadir o serviço de email que você utiliza e ter acesso ao conteúdo das suas mensagens e a sua lista de contatos além de poder enviar mensagens em seu nome acessar a sua rede social e enviar mensagens aos seus seguidores contendo códigos maliciosos ou alterar as suas opções de privacidade invadir o seu computador e de acordo com as permissões do seu usuário executar ações como apagar arquivos obter informações confidenciais e instalar códigos maliciosos Mesmo que o atacante não consiga descobrir a sua senha você pode ter problemas ao acessar a sua conta caso ela tenha sofrido um ataque de força bruta pois muitos sistemas bloqueiam as contas quando várias tentativas de acesso sem sucesso são realizadas Apesar dos ataques de força bruta poderem ser realizados 72 UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO manualmente na grande maioria dos casos eles são realizados com o uso de ferramentas automatizadas facilmente obtidas na Internet e que permitem tornar o ataque bem mais efetivo As tentativas de adivinhação costumam ser baseadas em dicionários de diferentes idiomas e que podem ser facilmente obtidos na Internet listas de palavras comumente usadas como personagens de filmes e nomes de times de futebol substituições óbvias de caracteres como trocar a por e o por 0 sequências numéricas e de teclado como 123456 qwert e 1qaz2wsx informações pessoais de conhecimento prévio do atacante ou coletadas na Internet em redes sociais e blogs como nome sobrenome datas e números de documentos Um ataque de força bruta dependendo de como é realizado pode resultar em um ataque de negação de serviço devido à sobrecarga produzida pela grande quantidade de tentativas realizadas em um pequeno período de tempo Desfiguração de página Defacement Desfiguração de página defacement ou pichação é uma técnica que consiste em alterar o conteúdo da página Web de um site As principais formas que um atacante neste caso também chamado de defacer pode utilizar para desfigurar uma página Web são explorar erros da aplicação Web explorar vulnerabilidades do servidor de aplicação Web explorar vulnerabilidades da linguagem de programação ou dos pacotes utilizados no desenvolvimento da aplicação Web invadir o servidor em que a aplicação Web está hospedada e alterar diretamente os arquivos que compõem o site furtar senhas de acesso a interface Web usada para administração remota Para ganhar mais visibilidade chamar mais atenção e atingir maior número de visitantes geral mente os atacantes alteram a página principal do site porém páginas internas também podem ser alteradas Negação de serviço Dos e DDoS Negação de serviço ou Denial of Service DoS é uma técnica pela qual um atacante utiliza um computador para tirar de operação um serviço um computador ou uma rede conectada a Internet Quando utilizada de forma coordenada e distribuída ou seja quando um conjunto de computadores é utilizado no ataque recebe o nome de negação de serviço distribuído ou Distributed Denial of Service DDoS TÓPICO 3 PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 73 O objetivo destes ataques não é invadir e nem coletar informações mas sim exaurir recursos e causar indisponibilidades ao alvo Quando isto ocorre todas as pessoas que dependem dos recursos afetados são prejudicadas pois ficam impossibilitadas de acessar ou realizar as operações desejadas Nos casos já registrados de ataques os alvos ficaram impedidos de oferecer serviços durante o período em que eles ocorreram mas ao final voltaram a operar normalmente sem que tivesse havido vazamento de informações ou comprometimento de sistemas ou computadores Uma pessoa pode voluntariamente usar ferramentas e fazer com que seu computador seja utilizado em ataques A grande maioria dos computadores porém participa dos ataques sem o conhecimento de seu dono por estar infectado e fazendo parte de botnets Ataques de negação de serviço podem ser realizados por diversos meios como pelo envio de grande quantidade de requisições para um serviço consumindo os recursos necessários ao seu funcionamento processamento número de conexões simultâneas memória e espaço em disco por exemplo e impedindo que as requisições dos demais usuários sejam atendidas pela geração de grande trafego de dados para uma rede ocupando toda a banda disponível e tornando indisponível qualquer acesso a computadores ou serviços desta rede pela exploração de vulnerabilidades existentes em programas que podem fazer com que um determinado serviço fique inacessível Nas situações nas quais há saturação de recursos caso um serviço não tenha sido bem dimensionado ele pode ficar inoperante ao tentar atender as próprias solicitações legítimas Por exemplo um site de transmissão dos jogos da Copa de Mundo pode não suportar uma grande quantidade de usuários que queiram assistir aos jogos finais e parar de funcionar Prevenção O que define as chances de um ataque na Internet ser ou não bemsucedido é o conjunto de medidas preventivas tomadas pelos usuários desenvolvedores de aplicações e administradores dos computadores serviços e equipamentos envolvidos Se cada um fizer a sua parte muitos dos ataques realizados vias Internet podem ser evitadas ou ao menos minimizados A parte que cabe a você como usuário da Internet é proteger os seus dados fazer uso dos mecanismos de proteção disponíveis e manter o seu computador atualizado e livre de códigos maliciosos Ao fazer isto você contribuirá para a segurança geral da Internet pois quanto menor a quantidade de computadores vulneráveis e infectados menor será a potência das botnets e menos eficazes serão os ataques de negação de serviço 74 UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO quanto mais consciente dos mecanismos de segurança você estiver menores serão as chances de sucesso dos atacantes quanto melhores forem as suas senhas menores serão as chances de sucesso de ataques de força bruta e consequentemente de suas contas serem invadidas quanto mais os usuários usarem criptografia para proteger os dados armazenados nos computa dores ou aqueles transmitidos pela Internet menores serão as chances de tráfego em texto claro ser interceptado por atacantes quanto menor a quantidade de vulnerabilidades existentes em seu computador menores serão as chances de ele ser invadido ou infectado Faça sua parte e contribua para a segurança da Internet incluindo a sua própria CÓDIGOS MALICIOSOS MALWARE Códigos maliciosos Malware são programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador Algumas das diversas formas como os códigos maliciosos podem infectar ou comprometer um computador são pela exploração de vulnerabilidades existentes nos programas instalados pela autoexecução de mídias removíveis infectadas como pen drive pelo acesso a páginas Web maliciosas utilizando navegadores vulneráveis pela ação direta de atacantes que após invadirem o computador incluem arquivos contendo códigos maliciosos pela execução de arquivos previamente infectados obtidos em anexos de mensagens eletrônicas via mídias removíveis em páginas Web ou diretamente de outros computadores por meio do compartilhamento de recursos Uma vez instalados os códigos maliciosos passam a ter acesso aos dados armazenados no computador e podem executar ações em nome dos usuários de acordo com as permissões de cada usuário Os principais motivos que levam um atacante a desenvolver e a propagar códigos maliciosos são a obtenção de vantagens financeiras a coleta de informações confidenciais o desejo de autopromoção e o vandalismo Além disto os códigos maliciosos são muitas vezes usados como intermediários e possibilitam a prática de golpes a realização de ataques e a disseminação de spam Os principais tipos de códigos maliciosos existentes são apresentados aqui Vírus Vírus é um programa ou parte de um programa de computador normalmente malicioso que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos Para que possa se tornar ativo e dar continuidade ao processo de infecção o vírus depende da execução do programa ou arquivo hospedeiro ou seja para que o seu computador seja infectado é preciso que um programa já infectado seja executado TÓPICO 3 PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 75 O principal meio de propagação de vírus costumava ser os disquetes Com o tempo porém estas mídias caíram em desuso e começaram a surgir novas maneiras como o envio de email Atualmente as mídias removíveis tornaram se novamente o principal meio de propagação não mais por disquetes mas principalmente pelo uso de pen drive Há diferentes tipos de vírus Alguns procuram permanecer ocultos infectando arquivos do disco e executando uma série de atividades sem o conhecimento do usuário Há outros que permanecem inativos durante certos períodos entrando em atividade apenas em datas específicas Alguns dos tipos de vírus mais comuns são Vírus propagado por email recebido como um arquivo anexo a um email cujo conteúdo tenta induzir o usuário a clicar sobre este arquivo fazendo com que seja executado Quando entra em ação infecta arquivos e programas e envia cópias de si mesmo para os emails encontrados nas listas de contatos gravadas no computador Vírus de script escrito em linguagem de script como Script e JavaScript e recebido ao acessar uma página Web ou por email como um arquivo anexo ou como parte do próprio email escrito em formato HyperText Markup Language HTML Pode ser automaticamente executado dependendo da configuração do navegador Web e do programa leitor de emails do usuário Vírus de macro tipo específico de vírus de script escrito em linguagem de macro que tenta infectar arquivos manipulados por aplicativos que utilizam esta linguagem como por exemplo os que compõem o Microsoft Office Excel Word e PowerPoint entre outros Vírus de telefone celular vírus que se propaga de celular para celular por meio da tecnologia bluetooth ou de mensagens Multimídia Message Service MMS A infecção ocorre quando um usuário permite o recebimento de um arquivo infectado e o executa Após infectar o celular o vírus pode destruir ou sobrescrever arquivos remover ou transmitir contatos da agenda efetuar ligações telefônicas e drenar a carga da bateria além de tentar se propagar para outros celulares Worm Worm é um programa capaz de se propagar automaticamente pelas redes enviando copias de si mesmo de computador para computador Diferente do vírus o worm não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos mas sim pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores Worms são notadamente responsáveis por consumir muitos recursos devido à grande quantidade de cópias de si mesmo que costumam propagar e como consequência podem afetar o desempenho de redes e a utilização de computadores O processo de propagação e infecção dos worms ocorre da seguinte maneira 76 UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO Identificação dos computadores alvos após infectar um computador o worm tenta se propagar e continuar o processo de infecção Para isto necessita identificar os computadores alvos para os quais tentara se copiar o que pode ser feito de uma ou mais das seguintes maneiras i efetuar varredura na rede e identificar computadores ativos ii aguardar que outros computadores contatem o computador infectado iii utilizar listas predefinidas ou obtidas na Internet contendo a identificação dos alvos iv utilizar informações contidas no computador infectado como arquivos de configuração e listas de endereços de email Envio das cópias após identificar os alvos o worm efetua cópias de si mesmo e tenta enviálas para estes computadores por uma ou mais das seguintes formas i como parte da exploração de vulnerabilidades existentes em programas instalados no computador alvo ii anexadas a emails iii via canais de Internet Relay Chat IRC iv via programas de troca de mensagens instantâneas v incluídas em pastas compartilhadas em redes locais ou do tipo Peer to Peer P2P Ativação das cópias após realizado o envio da cópia o worm necessita ser executado para que a infecção ocorra o que pode acontecer de uma ou mais das seguintes maneiras i imediatamente após ter sido transmitido pela exploração de vulnerabilidades em programas sendo executados no computador alvo no momento do recebimento da cópia ii diretamente pelo usuário pela execução de uma das cópias enviadas ao seu computador iii pela realização de uma ação específica do usuário a qual o worm está condicionado como por exemplo a inserção de uma mídia removível Reinício do processo após o alvo ser infectado o processo de propagação e infecção recomeça sendo que a partir de agora o computador que antes era o alvo passa a ser também o computador originador dos ataques Bot e botnet Bot é um programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remota mente Possui processo de infecção e propagação similar ao do worm ou seja é capaz de se propagar automaticamente explorando vulnerabilidades existentes em programas instalados em computadores A comunicação entre o invasor e o computador infectado pelo bot pode ocorrer via canais de IRC servidores Web e redes do tipo P2P entre outros meios Ao se comunicar o invasor pode enviar instruções para que ações maliciosas sejam executadas como desferir ataques furtar dados do computador infectado e enviar spam Um computador infectado por um bot costuma ser chamado de zumbi zombie computer pois pode ser controlado remotamente sem o conhecimento do seu dono Também pode ser chamado de spam zombie quando o bot instalado o transforma em um servidor de emails e o utiliza para o envio de spam Botnet é uma rede formada por centenas ou milhares de computadores zumbis e que permite potencializar as ações danosas executadas pelos bots Quanto mais zumbis participarem da botnet mais potente ela será O atacante que TÓPICO 3 PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 77 a controlar além de usála para seus próprios ataques também pode alugála para outras pessoas ou grupos que desejem que uma ação maliciosa especifica seja executada Algumas das ações maliciosas que costumam ser executadas por intermédio de botnets são ataques de negação de serviço propagação de códigos maliciosos inclusive do próprio bot coleta de informações de um grande número de computadores envio de spam e camuflagem da identidade do atacante com o uso de proxies instalados nos zumbis O esquema simplificado apresentado a seguir exemplifica o funcionamento básico de uma botnet um atacante propaga um tipo específico de bot na esperança de infectar e conseguir a maior quantidade possível de zumbis os zumbis ficam então à disposição do atacante agora seu controlador à espera dos comandos a serem executados quando o controlador deseja que uma ação seja realizada ele envia aos zumbis os comandos a serem executados usando por exemplo redes do tipo P2P ou servidores centralizados os zumbis executam então os comandos recebidos durante o período predeterminado pelo controlador quando a ação se encerra os zumbis voltam a ficar à espera dos próximos comandos a serem executados Spyware Spyware é um programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas para terceiros Pode ser usado tanto de forma legítima quanto maliciosa dependendo de como é instalado das ações realizadas do tipo de informação monitorada e do uso que é feito por quem recebe as informações coletadas Pode ser considerado de uso Legítimo quando instalado em um computador pessoal pelo próprio dono ou com consentimento deste com o objetivo de verificar se outras pessoas o estão utilizando de modo abusivo ou não autorizado Malicioso quando executa ações que podem comprometer a privacidade do usuário e a segurança do computador como monitorar e capturar informações referentes à navegação do usuário ou inseridas em outros programas por exemplo conta de usuário e senha Alguns tipos específicos de programas spyware são Keylogger capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador Sua ativação em muitos casos é condicionada a uma ação prévia do usuário como o acesso a um site específico de comercio eletrônico ou de Internet Banking Screenlogger similar ao keylogger capaz de armazenar a posição do cursor e a tela apresentada no monitor nos momentos em que o mouse é clicado ou a região que circunda a posição em que o mouse é clicado É bastante utilizado 78 UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO por atacantes para capturar as teclas digitadas pelos usuários em teclados virtuais disponíveis principalmente em sites de Internet Banking Adware projetado especificamente para apresentar propagandas Pode ser usado para fins legítimos quando incorporado a programas e serviços como forma de patrocínio ou retorno financeiro para quem desenvolve programas livres ou presta serviços gratuitos Também pode ser usado para fins maliciosos quando as propagandas apresentadas são direcionadas de acordo com a navegação do usuário e sem que este saiba que tal monitoramento está sendo feito Backdoor Backdoor é um programa que permite o retorno de um invasor a um computador com prometido por meio da inclusão de serviços criados ou modificados para este fim Pode ser incluído pela ação de outros códigos maliciosos que tenham previamente infectado o computador ou por atacantes que exploram vulnerabilidades existentes nos programas instalados no computador para invadilo Após incluído o backdoor é usado para assegurar o acesso futuro ao computador comprometido permitindo que ele seja acessado remotamente sem que haja necessidade de recorrer novamente aos métodos utilizados na realização da invasão ou infecção e na maioria dos casos sem que seja notado A forma usual de inclusão de um backdoor consiste na disponibilização de um novo serviço ou na substituição de um determinado serviço por uma versão alterada normalmente possuindo recursos que permitem o acesso remoto Programas de administração remota como BackOrifice NetBus SubSeven VNC e Radmin se mal configurados ou utilizados sem o consentimento do usuário também podem ser classificados como backdoors Há casos de backdoors incluídos propositalmente por fabricantes de programas sob alegação de necessidades administrativas Esses casos constituem uma séria ameaça à segurança de um computador que contenha um destes programas instalados pois além de comprometerem a privacidade do usuário também podem ser usados por invasores para acessarem remotamente ao computador Cavalo de troia Trojan Cavalo de troia trojan ou trojanhorse é um programa que além de executar as funções para as quais foi aparentemente projetado também executa outras funções normalmente maliciosas e sem o conhecimento do usuário Exemplos de trojans são programas que você recebe ou obtém de sites na Internet e que parecem ser apenas cartões virtuais animados álbuns de fotos jogos e protetores de tela entre outros Estes programas geralmente consistem em um único arquivo e necessitam ser explicitamente executados para que sejam instalados no computador Trojans também podem ser instalados por atacantes que após invadirem um computador alteram programas já existentes para que além de continuarem a desempenhar as funções originais também executem ações maliciosas Há diferentes tipos de trojans classificados de acordo com as ações maliciosas que costumam executar ao infectar um computador Alguns destes tipos são TÓPICO 3 PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 79 Trojan Downloader instala outros códigos maliciosos obtidos de sites na Internet Trojan Dropper instala outros códigos maliciosos embutidos no próprio código do trojan Trojan Backdoor inclui backdoors possibilitando o acesso remoto do atacante ao computador Trojan dos instala ferramentas de negação de serviço e as utiliza para desferir ataques Trojan Destrutivo alteraapaga arquivos e diretórios formata o disco rígido e pode deixar o computador fora de operação Trojan Clicker redireciona a navegação do usuário para sites específicos com o objetivo de aumentar a quantidade de acessos a estes sites ou apresentar propagandas Trojan Proxy instala um servidor de proxy possibilitando que o computador seja utilizado para navegação anônima e para envio de spam Trojan Spy instala programas spyware e os utiliza para coletar informações sensíveis como senhas e números de cartão de credito e enviálas ao atacante Trojan Banker ou Bancos coleta dados bancários do usuário por meio da instalação de programas spyware que são ativados quando sites de Internet Banking são acessados É similar ao Trojan Spy porém com objetivos mais específicos Rootkit Rootkit é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido O conjunto de programas e técnicas fornecido pelos rootkits pode ser usado para remover evidências em arquivos de logs instalar outros códigos maliciosos como backdoors para assegurar o acesso futuro ao computador infectado esconder atividades e informações como arquivos diretórios processos chaves de registro conexões de rede etc mapear potenciais vulnerabilidades em outros computadores por meio de varreduras na rede capturar informações da rede na qual o computador comprometido está localizado pela interceptação de tráfego É muito importante ressaltar que o nome rootkit não indica que os programas e as técnicas que o compõe são usadas para obter acesso privilegiado a um computador mas sim para mantêlo Rootkits inicialmente eram usados por atacantes que após invadirem um computador os instalavam para manter o acesso privilegiado sem precisar recorrer novamente aos métodos utilizados na invasão e para esconder suas atividades do responsável eou dos usuários do computador Apesar de ainda serem bastante usados por atacantes os rootkits atualmente têm sido também utilizados e incorporados por outros códigos maliciosos para ficarem ocultos e não serem detectados pelo usuário e nem por mecanismos de proteção Há casos de rootkits instalados propositalmente por organizações distribuidoras de Compact Disc CD 80 UNIDADE1 COLABORADORES E COMPORTAMENTO SEGURO de música sob a alegação de necessidade de proteção aos direitos autorais de suas obras A instalação nestes casos costumava ocorrer de forma automática quando um dos CDs distribuídos contendo o código malicioso era inserido e executado É importante ressaltar que estes casos constituem uma séria ameaça à segurança do computador pois os rootkits instalados além de comprometerem a privacidade do usuário também podem ser reconfigurados e utilizados para esconder a presença e os arquivos inseridos por atacantes ou por outros códigos maliciosos Prevenção Para manter o seu computador livre da ação dos códigos maliciosos existe um conjunto de medidas preventivas que você precisa adotar Essas medidas incluem manter os programas instalados com as versões mais recentes e com todas as atualizações disponíveis aplicadas e usar mecanismos de segurança como antiMalware e firewall pessoal Além disso há alguns cuidados que você e todos que usam o seu computador devem tomar sempre que forem manipular arquivos Novos códigos maliciosos podem surgir a velocidades nem sempre acompanhadas pela capacidade de atualização dos mecanismos de segurança Resumo Comparativo Cada tipo de código malicioso possui características próprias que o define e o diferencia dos demais tipos como forma de obtenção forma de instalação meios usados para propagação e ações maliciosas mais comuns executadas nos computadores infectados Para facilitar a classificação e a conceituação a tabela a seguir apresenta um resumo comparativo das características de cada tipo É importante ressaltar entretanto que definir e identificar essas características têm se tornado tarefas cada vez mais difíceis devido às diferentes classificações existentes e ao surgimento de variantes que mesclam características dos demais códigos Desta forma o resumo apresentado na tabela não e definitivo e baseiase nas definições apresentadas nesta leitura complementar TÓPICO 3 PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 81 FONTE CERTbr Cartilha de segurança para Internet versão 40 São Paulo Comitê Gestor da Internet no Brasil 2012 p 1731 Disponível em httpscartilhacertbrlivrocartilhasegurancain ternetpdf Acesso em 5 jun 2020 82 RESUMO DO TÓPICO 3 Neste tópico você aprendeu que A conscientização de segurança da informação da organização deve ser tratada como um processo de melhoria continuada garantindo que o treinamento e o conhecimento sejam mantidos diariamente em alto nível de conscientização de segurança A proteção de dados do titular do cartão Card Holder Data CHD deve fazer parte do programa de conscientização sobre segurança da informação em toda a organização Garantir que a equipe esteja ciente da importância da segurança dos dados do titular do cartão é importante para o sucesso de um programa de conscientização de segurança Um aspecto crítico da conscientização é determinar o tipo de conteúdo que será utilizado Determinar as diferentes funções dentro de uma organização é o primeiro passo para desenvolver um conteúdo apropriado e determinar as informações que devem estar inclusas na conscientização Estabelecer uma lista de verificação pode ajudar uma organização a desenvolver monitorar eou manter um programa de treinamento de conscientização de segurança de forma eficaz O primeiro passo para criar um plano de programa de conscientização é montar uma equipe de conscientização A equipe de conscientização é responsável pelo desenvolvimento entrega e manutenção do programa de conscientização de segurança A equipe de conscientização de ser formada por pessoas de diferentes áreas e com responsabilidades diferentes representando uma seção transversal da organização A presença de uma equipe ajudará a garantir o sucesso do programa de conscientização de segurança por meio da atribuição de responsabilidade pelo programa O tamanho e a participação da equipe de conscientização de segurança dependerão das necessidades específicas de cada organização e de sua cultura A conscientização de segurança baseada em funções provê às organizações de realizarem o treinamento nos níveis apropriados se baseando em suas funções de trabalho 83 A primeira tarefa ao definir um programa de conscientização de segurança baseado em funções é agrupar indivíduos de acordo com suas funções ou seja conforme as funções de trabalho na organização O plano do programa de conscientização pode ser pensado para três tipos de funções Todo o pessoal Funções especializadas e Gestão Gerência Um programa sólido de conscientização ajudará todas as pessoas da organização a reconhecerem ameaças verem a segurança como benéfica para a tomar como hábito no trabalho e em casa e se sentirem confortável em relatarem possíveis problemas de segurança O treinamento adicional para aqueles em Funções Especializadas deve se concentrar na obrigação das pessoas seguirem procedimentos seguros para lidar com informações confidenciais e reconhecer os riscos associados se o acesso privilegiado for mal utilizado A gerência precisa entender a política de segurança da organização e os requisitos de segurança suficientemente bem para que possam discutir e reforçar positivamente a mensagem para a equipe assim como incentivar a conscientização reconhecer e resolver problemas relacionados à segurança caso ocorram Os gerentes da equipe com acesso privilegiado devem ter um entendimento sólido dos requisitos de segurança de sua equipe especialmente aqueles com acesso a dados confidenciais Estabelecer um nível mínimo de conscientização para todo o pessoal pode ser a base do programa de conscientização de segurança O programa de conscientização sobre segurança deve ser ministrado de maneira que se adapte à cultura geral de organização e que tenha o maior impacto para as pessoas da organização A chave para um programa eficaz de conscientização de segurança é direcionar a entrega de material relevante ao público apropriado de maneira oportuna e eficiente Ao disseminar o treinamento de conscientização sobre segurança por meio de vários canais de comunicação a organização garante que o pessoal seja exposto à mesma informação várias vezes de diferentes maneiras O canal de comunicação usado deve corresponder ao público que recebe o conteúdo do treinamento e o tipo de conteúdo bem como o próprio conteúdo Os métodos de comunicação eletrônica podem ser de notificações por email eLearning mídia social interna etc As notificações não eletrônicas podem ser na forma de pôsteres malas diretas internas boletins e eventos de treinamento ministrados por instrutores 84 Eventos pessoais de conscientização de segurança envolvendo a participação ativa do pessoal podem ser extremamente eficazes A inclusão de atividades envolvendo o público como atividades baseadas em cenários ajudam a garantir que os conceitos sejam entendidos e lembrados Um exercício estruturado de engenharia social ensinará aos colaboradores de forma rápida a identificar um ataque de engenharia social e reagir adequadamente Seminários internos treinamento fornecido durante os intervalos para o almoço comumente chamado de almoce e aprenda e eventos sociais dos colaboradores também são ótimas oportunidades para a equipe de conscientização de segurança interagir com o pessoal e introduzir conceitos de segurança O tamanho da audiência em uma apresentação liderada por instrutor é importante quanto maior o grupo maior o risco de que o conteúdo não seja comunicado efetivamente pois os indivíduos podem perder o foco no material apresentado se não se sentirem envolvidos A comunicação da conscientização sobre segurança seja incluída nos processos de novos contratados bem como quando os colabores mudam de função O treinamento de conscientização de segurança pode ser combinado com outros requisitos organizacionais como acordos de confidencialidade e ética É recomendável que todos os colaboradores recebam treinamento básico de conscientização sobre segurança desenvolvido de acordo com a política organizacional Além do treinamento geral de conscientização sobre segurança recomenda se que a equipe seja exposta a conceitos gerais de segurança de dados do titular do cartão promovendo o manuseio adequado dos dados em toda a organização e conforme com sua função na organização Embora o plano do programa de conscientização em segurança da informação de uma organização geralmente é específico e personalizado é aconselhável que a organização incorpore as melhores práticas da área utilizando materiais de referência confiáveis Publicação Especial 80050 do Instituto Nacional de Padrões e Tecnologia NIST Organização Internacional de Padrões ISO 27002 2013 Organização Internacional de Padrões ISO 27001 2013 e COBIT são materiais de referência confiáveis e que as práticas contidas devem ser incorporadas no plano de conscientização Cada organização deve considerar o tempo os recursos e a cultura ao selecionar os materiais a serem usados no treinamento de conscientização sobre segurança 85 Ficou alguma dúvida Construímos uma trilha de aprendizagem pensando em facilitar sua compreensão Acesse o QR Code que levará ao AVA e veja as novidades que preparamos para seu estudo CHAMADA Shoulder surfing é o espiar sobre os ombros ou seja este tipo de ataque é ocasionado quando umas das pessoas envolvidas consegue ou é capaz de olhar sobre o ombro de outra pessoa eou espionar a tela do outro Dumpster Diving ou trashing é o termo utilizado para a ação de hackers que vasculham a lixeira As métricas podem ser uma ferramenta eficaz para medir o sucesso de um programa de conscientização de segurança e fornecer informações para manter o programa de conscientização de segurança atualizado e eficaz Data Loss Prevention DLP ou prevenção de perdas de dados é um conjunto de ferramentas e processos utilizados com o objetivo de certificar que os dados confidenciais não sejam perdidos ou utilizados de forma indevida ou ainda que não sejam acessados por usuários sem autorização Ter uma lista de verificação pode auxiliar as organizações a realizarem o planejamento e o gerenciamento do programa treinamento de conscientização sobre segurança Que a lista de verificação deve ser realizada para cada uma das quatro etapas do programa sendo Criando o programa de conscientização implementando a conscientização sustentando a conscientização de segurança e documentando o programa de conscientização Ataques na internet acontecem por diferentes objetivos alvos e são utilizadas as mais variadas técnicas Os códigos Malware são programas que foram escritos de forma específica com objetivo de causar dano e tarefas maliciosas em um computador Algumas das várias maneiras como os Malware podem infectar um computador 86 1 A primeira tarefa ao definir um programa de conscientização de segurança baseado em funções é agrupar indivíduos de acordo com suas funções ou seja conforme as funções de trabalho na organização Essas funções podem ser de três tipos todas as pessoas pessoal especializado e gerência Com relação a esses três tipos analise as sentenças a seguir classificando com V as sentenças verdadeiras e com F as falsas Todos da organização devem estar cientes da sensibilidade dos dados do cartão de pagamento mesmo que suas responsabilidades diárias não envolvam o trabalho com os dados do cartão de pagamento A conscientização referente às funções especializadas deve se concentrar na obrigação das pessoas seguirem procedimentos seguros para lidar com informações confidenciais e reconhecer os riscos associados se o acesso privilegiado for mal utilizado A gerência possui necessidades adicionais de treinamento que podem diferir das duas áreas anteriores A gerência precisa ter uma visão geral e não se preocupar em entender a política de segurança da organização pois é a equipe de conscientização que possui esse papel Assinale a alternativa com a sequência CORRETA a V V V F b V F V F c F V V F d F F V V 2 A chave para um programa eficaz de conscientização de segurança é dire cionar a entrega de material relevante ao público apropriado de maneira oportuna e eficiente Para ser eficaz o canal de comunicação também deve se adequar à cultura da organização Ao disseminar o treinamento de cons cientização sobre segurança por meio de vários canais de comunicação a organização garante que o pessoal seja exposto à mesma informação vá rias vezes de diferentes maneiras Desta forma as pessoas se lembram das informações a elas apresentadas O conteúdo pode precisar ser adaptado dependendo do canal Escolha a sentença CORRETA referente aos métodos de comunicação a Pôsteres não devem ser utilizados como métodos de comunicação b Os boletins e malas diretas internas são métodos de comunicação eletrônica c Atividades baseadas em cenários é um método de comunicação eletrônica que ajuda que os conceitos sejam entendidos e lembrados d Notificações por email eLearning mídia social interna etc são métodos de comunicação eletrônica AUTOATIVIDADE 87 3 As métricas podem ser uma ferramenta eficaz para medir o sucesso de um programa de conscientização de segurança e fornecer informações para manter o programa de conscientização de segurança atualizado e eficaz As métricas específicas utilizadas para medir o sucesso de um programa de conscientização de segurança variam de organização para organização baseando se em considerações como tamanho setor e tipo de treinamento Analise as afirmações quanto às métricas operacionais que podem ser utilizadas como ponto de partida para o desenvolvimento de métricas classificando com V as sentenças verdadeiras e com F as sentenças falsas A métrica de tempo de inatividade e de rede reduzidos ou interrupções de aplicativos pode ser medida com indicadores como gerenciamento de alterações consistente e processos aprovados menos surtos de Malware melhores controles A métrica de redução de surtos de Malware e problemas de desempenho do computador relacionados a Malware pode ser medida com indicadores como menos colaboradores abriram emails maliciosos e aumento de relatórios de colaboradores de emails maliciosos A métrica de aumento no relatório de preocupações de segurança e acesso incomum aumentou no relatório pode ser medida com indicadores como diminuição do tempo entre a detecção e remediação A métrica das verificações de vulnerabilidade estão ativas e detectam vulnerabilidades altas ou críticas pode ser medida com indicadores como melhor conscientização dos colaboradores sobre possíveis ameaças Assinale a alternativa com a sequência CORRETA a V V F F b V F V F c F V V F d F F V V 5 Além das métricas operacionais como tempo de inatividade e de rede reduzidos ou interrupções de aplicativos redução de surtos de Malware e problemas de desempenho do computador relacionados a Malware aumento do número de consultas dos colaboradores sobre como implementar procedimentos seguros entre outras que são utilizadas para medir o sucesso de um programa eficaz podemos utilizar métricas do programa de treinamento Analise as sentenças a seguir quanto às métricas do programa de treinamento classificando com V as sentenças verdadeiras e com F as sentenças falsas A métrica de aumento do número de pessoas concluindo o treinamento pode ser medida com indicadores rastreamento de presença e avaliações de desempenho A métrica de aumento do número de funcionários com acesso privilegiado que receberam o treinamento necessário pode ser medida com indicadores como feedback do pessoal testes e avaliações de treinamento A métrica de aumento da compreensão do pessoal sobre o material de treinamento pode ser medida com indicadores como rastreamento de presença e avaliações de desempenho 88 Assinale a alternativa com a sequência CORRETA a V V F b V F V c F V V d V F F 89 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO OBJETIVOS DE APRENDIZAGEM PLANO DE ESTUDOS A partir do estudo desta unidade você deverá ser capaz de compreender a estrutura capaz de fornecer governança de TI ou seja com preender o Control Objectives for Information and Related Technology COBIT conhecer as principais práticas referente à ABNT NBR ISOIEC 270012013 que faz parte da grande família da ABNT NBR ISOIEC 270002018 conhecer as principais práticas referente à ABNT NBR ISOIEC 270022013 que faz parte da grande família da ABNT NBR ISOIEC 270002018 conhecer as principais práticas relacionadas ao ciclo de vida do plano programa de conscientização e treinamento da publicação Especial 800 50 do Instituto Nacional de Padrões e Tecnologia conhecer as quatro etapas do ciclo de vida do plano programa de cons cientização e treinamento da publicação Especial 80050 do Instituto Nacional de Padrões e Tecnologia Esta unidade está dividida em três tópicos No decorrer da unidade você encontrará autoatividades com o objetivo de reforçar o conteúdo apresentado TÓPICO 1 CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY COBIT TÓPICO 2 PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO ABNT NBR ISOIEC 270012013 E ABNT NBR ISOIEC 270022013 TÓPICO 3 CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 80050 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST 91 UNIDADE 2 1 INTRODUÇÃO As mudanças tecnológicas fazem parte do dia a dia das organizações Aliado a essas mudanças estão os riscos e as vulnerabilidades no cotidiano das organizações Desta forma é necessário ter conhecimento da legislação que a organização precisa seguir bem como elicitar os requisitos referentes à segurança necessários para atendêla Ao se saber quais são os requisitos legais é necessário identificar quais são os controles apontados pelas normas de segurança A partir dos controles identificados é necessário gerar as políticas normas e procedimentos para a implementação dos controles COELHO ARAÚJO BEZERRA 2014 p 8 Agora acadêmico vamos visualizar graficamente na Figura 1 esta visão geral FIGURA 1 VISÃO GERAL DA SEGURANÇA DA INFORMAÇÃO FONTE Coelho Araújo e Bezerra 2014 p 7 Outro ponto que queremos que você tenha em mente é a existência de três fontes principais a serem consideradas no momento de estabelecer os requisitos de segurança da informação de uma organização sendo elas Análise e avaliação de riscos devese levar em consideração quais são os objetivos e estratégias de negócio da organização resultando na identificação TÓPICO 1 CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY COBIT UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 92 de vulnerabilidades e ameaças aos ativos Nesse contexto levase em conta a probabilidade de ocorrência de ameaças e o impacto para o negócio COELHO ARAÚJO BEZERRA 2014 p 9 Legislação vigente é necessário identificar os estatutos regulamentação e cláusulas contratuais que devem atender à organização seus parceiros terceirizados e fornecedores COELHO ARAÚJO BEZERRA 2014 p 9 Conjunto de princípios é necessário identificar os objetivos e requisitos de negócio para o processamento de dados que a organização deve definir para dar suporte às suas operações COELHO ARAÚJO BEZERRA 2014 p 9 O objetivo a partir daqui é trazer o conhecimento que você precisa referente às melhores práticas a serem utilizadas para criar um plano do programa de conscientização e treinamento conforme identificamos no Tópico 3 da Unidade 1 Assim iremos abordar agora neste tópico o Cobit 2 FRAMEWORK COBIT O Control Objectives for Information and related Technology COBIT é um conjunto de melhores práticas para o gerenciamento de TI que foi criado pela Information Systems Audit and Control Association ISACA uma Associação de Auditoria e Controle de Sistemas de Informação internacional e pelo Information Technology Governance Institute ITGI A ISACA desenvolve e mantém o framework Cobit reconhecido internacionalmente ajudando profissionais de Tecnologia da Informação TI e líderes empresariais no cumprimento de suas responsabilidades de Governança de TI e para que agreguem valor aos negócios ISACA 2018a Isaca 2018b coloca que a equipe de desenvolvimento do Cobit 2019 analisou os padrões e estruturas apresentados na Figura 2 para alinhar o Cobit 2019 evoluindo para uma estrutura de governança e gerenciamento gestão de Informações Tecnologias IT de forma abrangente e mais ampla No Tópico 2 abordaremos o código de práticas para técnicas de Segurança da Tecnologia da Informação para controles de Segurança da Informação referente às normas ABNT NBR ISOIEC 2700012013 e ABNT NBR ISOIEC 2700022013 Por fim em nosso Tópico 3 abordaremos a publicação Especial 80050 do NIST Construindo um plano de programa de conscientização e treinamento em segurança de tecnologia da informação ESTUDOS FUTUROS TÓPICO 1 CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY COBIT 93 FIGURA 2 PADRÕES E ESTRUTUADAS ANALISADAS NO COBIT 2019 FONTE Isaca 2018b p 8 O framework Cobit 2019 fornece aos profissionais de segurança de informação e para as partes interessadas da organização orientações e práticas detalhadas a serem aplicadas na segurança da informação fundamentadas nas melhores práticas acadêmicas além de ele ser reconhecido mundialmente ao apoiar a governança corporativa de informações e tecnologia de maneira eficaz O framework Cobit 2019 foi atualizado com novas informações e orientações visando a uma implementação mais fácil e personalizada do Cobit 2019 ISACA 2018a A Figura 3 traz a estrutura do Cobit 2019 e a Figura 4 apresenta as maiores diferenças entre a versão do Cobit 2019 e a versão do Cobit 5 ISACA 2018b Essa estrutura se refere a i a introdução e metodologia que trazem o detalhamento dos princípios de governança oferecendo conceitos e a exemplificação básica bem como lança a construção da estrutura de maneira geral incluso o Cobit Core Model modelo central ii objetivos de governança e gerenciamento que proveem a descrição de maneira detalhada do Cobit Core Model bem como os seus 40 objetivos de governançagerenciamento Eles são estabelecidos e acordados com o processo metas da organização e com as práticas de governança e gerenciamento iii a guia de design que traz o desenho de uma solução de governança de informação e tecnologia provendo informação referente de como criar um sistema de governança sob medida iv guia de implementação que traz a forma de implementar e otimizar uma solução de governança de informação e tecnologia provendo um roteiro para melhoria contínua da governança UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 94 FIGURA 3 ESTRUTURA DO COBIT 2019 FONTE A autora FIGURA 4 MAIORES DIFERENTEÇAS ENTRE COBIT 2019 E COBIT 5 FONTE Isaca 2018a p 5 Basicamente podemos dizer que o modelo de habilitador foi removido contudo estruturas similares ainda farão parte do modelo conceitual do Cobit mas de forma oculta Além dos habilitadores os objetivos do processo foram removidos e seu papel passa a ser assumido pelas declarações de prática de processo Cabe destacar ainda que o modelo de avaliação de capacidade de processo fundamentado no Cobit 5 e na ABNT NBR ISOIEC 15504 agora ABNT NBR ISOIEC 33000 foi TÓPICO 1 CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY COBIT 95 substituído por um modelo de capacidade inspirado no Capability Maturity Model Integration CMMI Por fim ainda referente a esta figura veja o que preparamos para você no Quadro 1 os termos e significados da Figura 4 QUADRO 1 TERMOS E SIGNIFICADOS DA FIGURA 4 TERMO SIGNIFICADO Framework Estrutura Enabling processes Facilitadores Implementation Guide Guia de implementação Design Guide Guia de desenho Introduction Methodology Introdução Metodologia Governance Management Objectives Objetivos de Gerenciamento e Governança Designing Your Information Technology Governance System Desenhando o sistema de Governança de Informação Tecnologia Implementaing and Optimizing Your Information Technology Governance System Implementando e Otimizando o Sistema de Governança de Informação Tecnologia Focus Area Áreas foco Small and Mediumsized Enterprises SME Empresas de pequeno ou médio porte Developments and Operations DevOps Desenvolvimento e Operações Risk Risco Security Segurança FONTE A autora Você deve se perguntar por que é importante vermos essas diferenças e como a orientação da ISACA viabiliza a boa prática da conscientização É importante entendermos quais são as diferenças existentes devido que o ISACA viabilizava as boas práticas de conscientização pelos habilitadores no Cobit 5 inclusive processos fornecendo orientação sobre as exigências relativas ao comportamento humano Segundo Isaca 2012 Os habilitadores do Cobit 5 incluem pessoas habilidades e competências bem como cultura ética e comportamento O processo do Cobit 5 Align Plan and Organize APO APO07 se refere ao gerenciamento de recursos humanos UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 96 O processo do Cobit 5 Build Acquire and Implement BAI BAI02 se refere ao gerenciamento na definição de requisitos Os processos Cobit 5 BAI05 se refere ao gerenciamento da capacidade de mudança organizacional O processo Cobit BAI08 se refere ao gerenciamento do conhecimento De acordo com Isaca 2018c essas práticas referentes à implementação permanecem iguais e voltaremos nesse assunto no Item 3 deste tópico Agora vamos falar de outra característica importante os Fatores de Desenho e Área de Foco que permitem criar uma solução de governança sob medida e são justamente estes componentes que eram referidos como habilitadores no Cobit 5 Para que você possa compreender melhor essas questões apresentamos visualmente o overview do Cobit 2019 na Figura 5 FIGURA 5 OVERVIEW DO COBIT 2019 FONTE Isaca 2018c p 6 Veja o que preparamos para você que traz no Quadro 2 os termos e significados da Figura 5 QUADRO 2 TERMOS E SIGNIFICADOS DA FIGURA 5 TERMO SIGNIFICADO Inputs Entrada Standards frameworks regulations Padrões estruturas regulamentos Community contribution Contribuição da comunidade TÓPICO 1 CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY COBIT 97 Core publication Publicação central principal Reference model of governance and management objective Modelo de referência dos objetivos de governança e gerenciamentos gestão Enterprise strategy Estratégia empresarial Enterprise goals Objetivos da empresa Enterprise size Tamanho da empresa Role of it Papel da TI Sourcing model for IT Modelo fornecido para TI Compliance requirements Requisitos de conformidade Design factors Fatores de desenho Tailored enterprise governance system for information and technology Sistema de governança corporativa de Informação e Tecnologia sob medida Priority governance and management objectives Objetivos prioritários de governança e gerenciamento Specific guidance from focus areas Orientação das áreas foco Target capability and performance management guidance Orientação sobre o gerenciamento de capacidade e o nível de desempenho FONTE A autora Pela Figura 5 é possível perceber que o Cobit 2019 sofreu alterações significativas nos fatores de desenho O desenho aborda desde a estratégia corporativa até os objetivos referentes à organização tamanho o papel exercido pela TI o modelo de prestação de serviços da TI os requisitos de conformidade e afins Em contrapartida a área de foco antigos habilitadores tem como objetivo definir o componente principal do seu sistema de Governança ou seja se é referente à segurança ao risco ao desenvolvimento e operações Developments and Operations DevOps ou mesmo se é sobre uma empresa pequena ou de médio porte ISACA 2018c Segundo Isaca 2018c são seis os principais princípios para um Sistema de Governança Governance System Provide stakeholder value cada organização precisa de um sistema de governança para satisfazer as necessidades das partes interessadas e gerar valor a partir do uso da informação e da tecnologia Holistic approach um sistema de governança corporativa de TI é construído a partir de vários componentes de diferentes tipos e trabalhando em conjunto de maneira holística Dynamic Governance System um sistema de governança deve ser dinâmico ou seja sempre que um ou mais dos fatores de projeto são alterados o impacto dessas alterações no sistema deve ser considerado UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 98 Governance Distinct from Management um sistema de governança deve distinguir de forma clara entre as atividades e as estruturas de governança e de gerenciamento Tailored to enterprise needs um sistema de governança deve se adaptar às necessidades da organização utilizando um conjunto de fatores de design como parâmetros para personalizar e priorizar os componentes do sistema de governança EndtoEnd Governance System um sistema de governança deve cobrir a atividade fim da organização concentrandose não só nas funções desempenhadas por ela mas sim por toda tecnologia e processamento de informações que a organização precisa para alcançar seus objetivos A Figura 6 traz esses seis princípios do sistema de governança FIGURA 6 PRINCÍPIOS DO SISTEMA DE GOVERNANÇA FONTE Adaptada de Isaca 2018c p 11 Além dos seis princípios do sistema de governança existem três princípios do Framework de Governança Governance Framework ilustrados na Figura 7 e descritos aqui ISACA 2018c Based on conceptual model uma estrutura de governança deve estar fundamentada em um modelo conceitual identificando os principais componentes e as relações existentes entre esses componentes maximizando a consistência e possibilitando a automação Open and flexible uma estrutura de governança deve ser aberta e flexível permitindo adicionar novo conteúdo e ter a capacidade de resolver novos problemas da maneira mais flexível mantendo a integridade e a consistência Aligned to major standards uma estrutura de governança deve estar alinhada aos principais padrões estruturas e regulamentos relacionados FIGURA 7 PRINCÍPIOS DO FRAMEWORK DE GOVERNANÇA FONTE Adaptada de Isaca 2018c p 11 TÓPICO 1 CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY COBIT 99 Assim para que um plano de programa de conscientização tenha sucesso temos que pensar que a informação e a tecnologia precisam trazer contribuições significativas para os objetivos da organização e para que isso aconteça vários objetivos de governança e gerenciamento devem ser alcançados ISACA 2018c Agora tire uns minutos para ver o UNIIMPORTANTE e os dois UNI DICA que preparamos para você Semelhante ao Cobit 5 os objetivos de governança e gerenciamento do Cobit 2019 estão agrupados em cinco domínios Os domínios têm nomes que expressam o objetivo principal e as áreas de atividade dos objetivos contidos nele ou seja as áreas de foco Para que você tenha o melhor entendimento do tema a Figura 8 traz a representação desses domínios e a Figura 9 traz o Modelo Central ou Modelo Essencial que representa o modelo básico dos processos do Cobit 2019 FIGURA 8 OBJETIVOS DE GOVERNANÇA E GESTÃO FONTE Isaca 2018c p 15 Um objetivo de governança ou gerenciamento sempre está relacionado a um processo e a uma série de componentes que se relacionam a outros tipos para ajudar a alcançar o objetivo ISACA 2018c Um objetivo de governança se refere a um processo de governança enquanto um objetivo de gerenciamento se relaciona a um processo de gestão ISACA 2018c IMPORTANTE Os objetivos cascata de tecnologia e informação do Cobit 5 foram substituídos pelos objetivos de alinhamento no Cobit 2019 dizendo respeito ao alinhamento da tecnologia da informação com os objetivos corporativos Já os objetivos dos habilitadores do Cobit 5 passam a se chamar de Objetivos de Governança e Gerenciamento no Cobit 2019 ATENCAO UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 100 FIGURA 9 MODELO CENTRAL CORE DO COBIT 2019 FONTE Isaca 2018c p 16 TÓPICO 1 CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY COBIT 101 Veja o que preparamos para você que traz no Quadro 3 os termos e significados da Figura 8 e Figura 9 QUADRO 3 TERMOS E SIGNIFICADOS DA FIGURA 8 E FIGURA 9 TERMO SIGNIFICADO Governance objectives Objetivos de governança Evaluate Direct and Monitor EDM Avaliar Direcionar e Monitorar Management objectives Objetivos de gerenciamento gestão Align Plan and Organize APO Alinhar Planejar e Organizar Build Acquire and Implement BAI Construir Adquirir e Implementar Deliver Service and Support DSS Entregar Serviço e Suporte Monitor Evaluate and Assess MEA Monitorar Avaliar e Analisar EDM01 Ensured Governance Framework Setting and Maintenance EDM01 Garantir a definição e manutenção do modelo de Governança EDM02 Ensured Benefits Delivery EDM02 Garantir a realização de benefícios EDM03 Ensured Risk Optimization EDM03 Garantir a otimização do risco EDM04 Ensured Resource Optimization EDM04 Garantir a otimização dos recursos EDM05 Ensured Stakeholder Engagement EDM05 Garantir a transparência para as partes interessadas APO01 Managed IT Management Framework APO01 Gerenciar a estrutura de gestão de IT APO02 Managed Strategy APO02 Gerenciar a estratégia APO03 Managed Enterprise Architecture APO03 Gerenciar a estrutura da organização APO04 Managed Innovation APO04 Gerenciar inovação APO05 Managed Portfolio APO05 Gerenciar portfólio APO06 Managed Budget and Costs APO06 Gerenciar orçamento e custos APO07 Managed Human Resources APO07 Gerenciar recursos humanos APO08 Managed Relationships APO08 Gerenciar relacionamentos APO09 Managed Service Agreements APO09 Gerenciar contratos de prestação de serviço UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 102 APO10 Managed Vendors APO10 Gerenciar fornecedores APO11 Managed Quality APO11 Gerenciar qualidade APO12 Managed Risk APO12 Gerenciar riscos APO13 Managed Security APO13 Gerenciar segurança APO14 Managed Data APO14 Gerenciar dados MEA01 Managed Performance and Conformance Monitoring MEA01 Gerenciar o monitoramento de desempenho e conformidade BAI01 Managed Programs BAI01 Gerenciar Programas BAI02 Managed Requirements Definition BAI02 Gerenciar definição de requisitos BAI03 Managed Solutions Identification and Build BAI03 Gerenciar identificação e desenvolvimento de soluções BAI04 Managed Availability and Capacity BAI04 Gerenciar disponibilidade e Capacidade BAI05 Managed Organizational Change BAI05 Gerenciar a capacidade de mudança organizacional BAI06 Managed IT Changes BAI06 Gerenciar mudanças de TI BAI07 Managed IT Change Acceptance and Transitioning BAI07 Gerenciar aceitação e transição da mudança de TI BAI08 Managed Knowledge BAI08 Gerenciar conhecimento BAI09 Managed Assets BAI09 Gerenciar ativos BAI10 Managed Configuration BAI10 Gerenciar configuração BAI11 Managed Projects BAI11 Gerenciar projetos MEA02 Managed System of Internal Control MEA02 Gerenciar sistema de controle interno MEA03 Managed Compliance with External Requirements MEA03 Gerenciar conformidade com os requisitos externos DSS01 Managed Operation DSS01 Gerenciar operações DSS02 Managed Service Requests and Incidents DSS02 Gerenciar solicitações de incidentes de serviços DSS03 Managed Problems DSS03 Gerenciar problemas DSS04 Managed Continully DSS04 Gerenciar continuidade DSS05 Managed Security Services DSS05 Gerenciar serviços de segurança TÓPICO 1 CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY COBIT 103 DSS06 Managed Business Process Controls DSS06 Gerenciar controles do processo de negócio MEA04 Managed Assurance MEA04 Gerenciar avaliação FONTE A autora Como falamos anteriormente precisamos conhecer como o Cobit 2019 está estruturado para que quando estivermos em posse dele possamos encontrar o referencial referente à conscientização Desta forma elencamos no Quadro 4 os conceitoschave referentes aos objetivos de governança e gerenciamento No referido quadro é possível identificar que os componentes relacionados estão contemplando as práticas referentes à conscientização QUADRO 4 CONCEITOS CHAVES DOS OBJETIVOS DE GOVERNANÇA E GERENCIAMENTO CONCEITOCHAVE CONTEMPLA Informação de alto nível Nome do domínio Área de foco Nome do objetivo de governança ou gerenciamento Descrição Declaração de propósito Cascata de objetivos Objetivos de alinhamento Metas de alinhamento aplicáveis Objetivos aplicáveis da empresa Exemplo de métricas Componentes relacionados Processos práticas e atividades Estruturas organizacionais Fluxos de informação e itens Pessoas habilidades e competências Políticas e frameworks Cultura ética e comportamento Serviços infraestrutura e aplicativos Orientação relacionada Local dos links e referências cruzadas aplicáveis são fornecidos a outros padrões e estruturas de cada um dos componentes de governança dentro de cada objetivo de governança e gerenciamento FONTE Adaptado de Isaca 2018c A cascata de objetivos citada no Quadro 4 são apresentadas na Figura 10 para que você possa compreender esse alinhamento enfatizandoo dos esforços de TI com os objetivos de negócio Isaca 2018c coloca que UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 104 essas eram metas relacionadas à TI no Cobit 5 a atualização procura evitar o entendimento frequente de que essas metas indicam objetivos puramente internos do departamento de TI em uma organização as metas de alinhamento também foram consolidadas reduzidas atualizadas e esclarecidas quando necessário FIGURA 10 CASCATA DE OBJETIVOS FONTE Adaptada de Isaca 2018c p 18 Cabe destacar ainda que o sistema de governança de cada organização é construído a partir de vários componentes que podem ser de tipos diferentes podendo interagir entre si resultando em um sistema holístico de governança para informação e tecnologia e que anteriormente eles eram conhecidos como facilitadores no Cobit 5 Os componentes podem ser genéricos ou variações dos componentes genéricos Os componentes genéricos são descritos no modelo principal do Cobit 2019 sendo aplicados em princípio a qualquer situação contudo eles são de natureza genérica e geralmente precisam de personalização antes de serem implementados Já os componentes variantes são baseados em componentes genéricos mas adaptados para um propósito ou contexto específico dentro de uma área de foco por exemplo para segurança da informação DevOps um regulamento específico e afins Agora acadêmico analise a Figura 11 que exemplifica essa questão ISACA 2018c TÓPICO 1 CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY COBIT 105 FIGURA 11 COMPONENTES GENÉRICOS E VARIÁVEIS FONTE Isaca 2018c p 20 Os componentes de governança relevantes passaram a ser agrupados no Cobit 2019 em Áreas de Foco Mas o que é uma Área de Foco Veja o UNI NOTA sobre o tema Uma Área de Foco descreve um determinado tópico domínio ou problema de governança que pode ser tratado por uma coleção de objetivos de governança e gerenciamento e seus componentes As áreas de foco podem conter uma combinação de componentes e variantes genéricos de governança Destacamos ainda que o número de áreas de foco é praticamente ilimitado É isso que torna o Cobit 2019 aberto Novas áreas de foco podem ser adicionadas conforme necessário ou conforme especialistas e profissionais do assunto NOTA Isaca 2018c destaca os fatores de desenho no Cobit 2019 como conceitos chave e por isso os apresentamos para você na Figura 12 Eles influenciam o desenho do sistema de governança de uma organização e que eles precisam estar devidamente posicionados para que a organização consiga obter sucesso no uso da informação e da tecnologia Portanto podemos dizer que é necessário que exista uma conscientização referente a esses fatores Acadêmico acesse o UNI que preparamos para você UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 106 FIGURA 12 FATORES DE DESENHO FONTE Isaca 2018c p 22 Os diferentes estágios e etapas do processo de desenho apresentados na Figura 12 resultarão em recomendações para priorizar os objetivos de governança e gerenciamento ou nos componentes do sistema de governança relacionados podendo ser gerenciadas nos níveis de maturidade e capacidade que demandam um novo modelo de maturidade fundamentado no Capability Maturity Model Integration CMMI ou seja na Integração do modelo de maturidade de capacidade ISACA 2018c Tire uns minutos para ver a exemplificação do desenho de um sistema de governança sob medida apresentada na Figura 13 FIGURA 13 FLUXO DE TRABALHO DO PROJETO DO SISTEMA DE GOVERNANÇA FONTE Isaca 2018c p 29 O Cobit Design Guide traz informações e orientações detalhadas sobre como usar os fatores de design para projetar um sistema de governança Para mais informações acesse o link httpswwwisacaorgbookstorebookstorecobit19digitalwcb19dgd DICAS TÓPICO 1 CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY COBIT 107 Isaca 2018c traz a abordagem de implementação que se baseia em capacitar as partes interessadas de negócios e de TI e os participantes para assumir a propriedade das decisões e atividades de governança e gerenciamento relacionadas à TI facilitando e possibilitando mudanças Isaca 2018c ainda coloca que o guia de implementação é uma abordagem em fases com três perspectivas Melhoria contínua Gerenciamento de programas Alterar ativação Isaca 2018c complementa que o guia de implementação do Cobit 2019 enfatiza uma visão corporativa da governança de informação e tecnologia reconhecendo que a informação e tecnologia precisam ser difundidas nas organizações Além disso reconhece que não é possível e nem é uma boa prática separar as atividades comerciais das atividades relacionadas à TI 3 COMPORTAMENTO HUMANO E O COBIT Você pode se perguntar o que isso de fato significa na prática A implementação de qualquer mudança habilitada por TI inclusive na governança de TI em si geralmente exige uma mudança cultural e comportamental significativa das organizações e na relação com seus clientes e parceiros comerciais Isso pode causar medo e malentendido entre as equipes de modo que a implementação deve ser administrada cuidadosamente a fim de manter o pessoal positivamente engajado A alta direção deverá comunicar claramente os objetivos e ser percebidos como apoiando positivamente as mudanças propostas Treinamento e capacitação dos colaboradores são aspectos chave da mudança especialmente em função da natureza de mudança rápida da tecnologia Pessoas são afetadas pela TI em todos os níveis da organização como as partes interessadas gestores e usuários ou especialistas que prestam serviços e soluções de TI para a organização Além da organização a TI afeta clientes e parceiros comerciais e permite cada vez mais o autoatendimento em serviços de TI e as transações automatizadas entre organizações em nível doméstico e internacional Já os processos de negócios habilitados por TI trazem novos benefícios e oportunidades eles também ampliam os tipos de riscos O interesse das pessoas por questões sobre privacidade e fraudes está aumentando e estes e os demais tipos de riscos devem ser geridos para que as pessoas tenham confiança nos sistemas de TI que utilizam Sistemas de informação também podem afetar drasticamente os métodos de trabalho por meio da automação dos procedimentos manuais FONTE ISACA Cobit 5 Modelo Corporativo para Governança e Gestão de TI da Organi zação Schaumburg Isaca 2012 p 63 Disponível em httpstitjrrjusbrarqpdfgovernanca guiasCOBIT5resPor0914pdf Acesso em 12 abr 2020 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 108 31 CULTURA ÉTICA E COMPORTAMENTO e PESSOAS HABILIDADES E COMPETÊNCIAS Cultura ética e comportamento das pessoas e da organização são muitas vezes subestimados como um fator de sucesso nas atividades de governança e gestão ISACA 2012 p 29 Para Isaca 2012 p 33 O comportamento também é um habilitador essencial da boa governança e gestão da organização Ele fica no topo liderando por exemplos e é portanto uma interação importante entre a governança e a gestão A Cultura ética e comportamento determinam a eficiência e eficácia das estruturas organizacionais e de suas decisões ISACA 2012 p 79 Nesse sentido Isaca 2012 p 72 coloca que é necessário que A composição das estruturas organizacionais seja considerada exigindo um conjunto de habilidades adequadas de seus membros Os princípios de ordem e operação das estruturas organizacionais são orientados pelos modelos de políticas adotado Portanto você precisa conhecer os papéis e quais são as estruturas definidas para cada um deles Para isso preparamos o Quadro 5 para que você possa conhecer essas definições Isaca 2012 ressalta que essas definições servem como base e não necessariamente representam os papéis reais desempenhadas nas organizações Lembrese elas agregam valor por serem utilizadas em grande parte das organizações QUADRO 5 PAPÉIS E SUAS ESTRUTURAS ORGANIZACIONAIS PAPELESTRUTURA DEFINIÇÃODESCRIÇÃO Conselho de Administração O grupo de executivos mais antigos eou conselheiros não executivos da organização responsáveis pela governança da organização e controle geral dos seus recursos Diretor Executivo Chief Executive Officer CEO Diretor com o maior nível de autoridade responsável pela administração da organização como um todo Diretor Financeiro Chief Financial Officer CFO O diretor mais graduado da organização na área responsável por todos os aspectos da administração financeira inclusive riscos e controles financeiros bem como pela confiabilidade e exatidão das contas Diretor Operacional Chief Operation Officer COO O diretor mais graduado da organização na área responsável pela operação da organização TÓPICO 1 CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY COBIT 109 Diretor de Riscos Chief Risk Officer CRO O diretor mais graduado da organização na área responsável por todos os aspectos da gestão de risco da organização A função do diretor de risco de TI pode ser criada para supervisionar os riscos de TI Diretor de TI Chief Information Officer CIO O diretor mais graduado da organização na área responsável pelo alinhamento de TI com as estratégias de negócios e responsável pelo planejamento mobilização de recursos e administração da prestação de serviços e soluções de TI em apoio aos objetivos corporativos Diretor de Segurança da Informação Chief Information Security Officer CISO O diretor mais graduado da organização na área responsável pela segurança das informações da organização em todas as suas formas Executivo de Negócios O administrador sênior responsável pela operação de uma unidade de negócios ou subsidiária específica Responsável pelo Processo de Negócios Pessoa responsável pela execução de um processo e consecução de seus objetivos orientação de melhorias no processo e aprovação de mudanças no processo Comitê Estratégico Executivo Estratégico de TI Grupo de executivos seniores nomeados pelo conselho de administração para garantir que o conselho participe e seja informado sobre as principais questões e decisões de TI O comitê é responsável pela administração dos portfólios de investimentos habilitados pela TI serviços de TI e ativos de TI garantindo a criação de valor e a gestão de riscos O comitê é geralmente presidido por um membro do conselho e não pelo Diretor de TI UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 110 Comitês Diretivos Projeto e Programa Grupo departes interessadas e especialistas responsáveis pela orientação de programas e projetos inclusive monitoramento e administração de planos alocação de recursos realização de benefícios e criação de valor bem como a gestão do risco do programa e do projeto Conselho de Arquitetura Grupo departes interessadas e especialistas responsáveis pela orientação dos assuntos e decisões sobre a arquitetura corporativa da organização e pela definição das políticas e padrões arquitetônicos Comitê de Riscos da Organização Grupo de executivos da organização responsáveis pela colaboração em nível organizacional e pelo consenso exigido para apoiar as atividades e decisões da governança de riscos organizacionais Enterprise Risk Management ERM Um conselho de risco de TI pode ser criado para considerar os riscos de TI de forma mais detalhada e aconselhar o comitê de riscos da organização Chefe de RH O diretor mais graduado de uma organização na área responsável pelo planejamento e pelas políticas de recursos humanos daquela organização Conformidade Papel na organização responsável pela orientação sobre a conformidade legal regulatória e contratual Auditor Papel na organização responsável pela realização de auditorias internas Chefe de Arquitetura Colaborador mais graduado responsável pelos processos de arquitetura da organização Chefe de Desenvolvimento Colaborador mais graduado responsável pelos processos de desenvolvimento de soluções de TI Chefe de Operações de TI Colaborador mais graduado responsável pelos ambientes operacionais e pela estrutura de TI TÓPICO 1 CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY COBIT 111 Chefe de Administração de TI Colaborador graduado responsável pelos registros de TI e pelos assuntos administrativos relacionados à TI Escritório de Gerenciamento de Projetos Project Management Office PMO Órgão responsável pelo apoio aos gerentes de programa e de projeto levantamento avaliação e relatório das informações sobre a conduta de seus programas e projetos constituintes Escritório de Gestão de Valor Value Management Office VMO Órgão que atua na gestão de portfólios de investimentos e serviços inclusive avaliando e aconselhando sobre oportunidades de investimentos e estudos de caso recomendando métodos e controles de valores de governança gestão e informando sobre o progresso na sustentação e criação de valores gerados pelos investimentos e serviços Gerente de Serviços Pessoa que gerencia o desenvolvimento implementação avaliação e o controle contínuo de produtos e serviços novos e já existentes para um cliente específico usuário ou grupo de clientes usuários Gerente de Segurança da Informação Pessoa que administra projeta prevê eou avalia a segurança da informação de uma organização Gerente de Continuidade dos Negócios Pessoa que administra projeta prevê e ou avalia a capacidade de continuidade dos negócios de uma organização para garantir que as funções críticas daquela empresa continuem a operar após eventos de interrupção Diretor de Privacidade Chief Privacy Officer CPO Pessoa responsável pelo monitoramento dos riscos e impacto nos negócios de leis de privacidade e pela orientação e coordenação da implementação de políticas e atividades que garantam que as diretrizes de privacidade serão cumpridas Também conhecido como diretor de proteção de dados FONTE Adaptado de Isaca 2012 p 8081 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 112 Em outra vertente mas ainda relacionado ao tema estão as pessoas habilidades e competências que para Isaca 2012 p 33 estão relacionadas com As atividades de governança e gestão requerem conjuntos de habilidades diferentes mas uma habilidade essencial para os membros do órgão de governança e de gestão é entender as duas tarefas e como elas se diferenciam Assim é importante identificar quais são os controles de desempenho Controle de desempenho Organizações esperam resultados positivos da aplicação e uso dos habilitadores Para controlar o desempenho dos habilitadores as perguntas a seguir terão de ser monitoradas e posteriormente respondidas com base em indicadores periodicamente As necessidades das partes interessadas foram consideradas As metas do habilitador foram atingidas O ciclo de vida do habilitador é controlado Boas práticas foram aplicadas Os dois primeiros pontos tratam do resultado efetivo do habilitador Os indicadores usados para aferir em que medida as metas foram atingidas podem ser chamadas de indicadores de resultado Os dois últimos pontos tratam do funcionamento efetivo do próprio habilitador e estes indicadores podem ser chamadas de indicadores de progresso Agora vamos ilustrar o exemplo adaptado de Isaca 2012 p 3132 referente aos objetivos suas interligações e as dimensões e como usálos para benefício prático Uma organização nomeou gerentes de processo de TI encarregados de definir e operar processos de TI eficientes e eficazes no contexto da boa governança e gerenciamento de TI da organização Primeiramente os gerentes de processo se concentraram no habilitador do processo considerando as dimensões do habilitador Partes interessadas partes interessadas incluem todos os atores do processo ou seja todas as partes Responsáveis Consultadas ou Informadas RACI sobre ou durante as atividades do processo Metas cada processo deve definir metas adequadas e indicadores correspondentes Por exemplo para o processo Gerenciar Relacionamentos processo APO08 podese encontrar um conjunto de metas e indicadores de processo tais como i Meta bom entendimento documentação e aprovação das estratégias planos e requisitos do negócio Métrica percentual de programas alinhados com os requisitosprioridades de negócios da organização ii Meta existência de bons relacionamentos entre a organização e a área de TI Métrica classificações de usuário e pesquisas de satisfação do pessoal de TI TÓPICO 1 CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY COBIT 113 Ciclo de Vida cada processo tem um ciclo de vida ou seja ele deve ser criado executado monitorado e ajustado conforme necessário Eventualmente o processo deixa de existir Neste caso os gerentes de processo terão de conceber e definir o processo primeiro Eles podem usar vários elementos do Cobit o antigo habilitador de processos para conceber os processos ou seja definir responsabilidades e desmembrar o processo em práticas e atividades bem como definir os produtos do trabalho do processo entradas e saídas Em um segundo momento o processo deverá ser criado de forma mais sólida e eficiente e para isso os gerentes de processo podem elevar o nível de capacidade do processo O Modelo de Capacidade de Processo do Cobit inspirado no ISOIEC 15504 e os atributos de capacidade do processo podem ser usados para essa finalidade Boa prática o Cobit descreve de forma bastante detalhada as boas práticas de processos no Cobit conforme mencionado no item anterior Inspiração e exemplos de processos podem ser encontrados ali cobrindo todo o espectro de atividades necessárias para a boa governança e gerenciamento corporativo de TI Além de orientação sobre o habilitador de processo os gerentes de processo podem decidir observar diversos outros habilitadores tais como As tabelas RACI que descrevem as funções e responsabilidades Outros habilitadores permitem aprofundarse nesta dimensão tais como No habilitador competências e habilidades as que são necessárias em cada função podem ser definidas com metas apropriadas ex níveis de habilidade técnica e comportamental e seus respectivos indicadores podem ser definidos A tabela RACI também contém diversas estruturas organizacionais Essas estruturas podem ser mais bem elaboradas no habilitador estruturas organizacionais em que uma descrição mais detalhada da estrutura pode ser encontrada resultados esperados e seus respectivos indicadores podem ser definidos ex decisões e boas práticas podem ser definidas ex abrangência do controle princípios operacionais da estrutura nível de autoridade Princípios e políticas formalizarão os processos e prescreverão porque o processo existe a quem se aplica e como o processo deverá ser usado Esta é a área de enfoque do habilitador de políticas e princípios FONTE Adaptado de ISACA Cobit 5 Modelo Corporativo para Governança e Gestão de TI da Organização Schaumburg Isaca 2012 p 3132 Disponível em httpstitjrrjusbrarqpdf governancaguiasCOBIT5resPor0914pdf Acesso em 12 abr 2020 Cultura ética e comportamento Cultura ética e comportamento referemse ao conjunto de comportamentos individuais e coletivos de cada organização O modelo do habilitador cultura ética e comportamento evidência UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 114 Partes interessadas As partes interessadas referentes à cultura ética e comportamento podem ser internas e externas à organização Partes interessadas internas incluem toda a organização partes interessadas externas incluem reguladores por exemplo auditores externos ou órgãos de fiscalização Há dois tipos de interesses i algumas partes interessadas por exemplo representantes legais gerentes de risco administradores de RH conselhos e diretores de remuneração tratam da definição implementação e execução dos comportamentos desejados ii os demais devem alinharse às normas e regulamentos definidos Metas as metas do habilitador cultura ética e comportamento se referem ᵒ À ética organizacional determinada pelos valores que nortearão a existência da organização ᵒ À ética individual determinada pelos valores pessoais de cada colaborador da organização e dependente em uma importante medida de fatores externos como religião etnia contexto socioeconômico geografia e experiências pessoais ᵒ A comportamentos individuais que determinam coletivamente a cultura de uma organização Diversos fatores tais como os fatores externos mencionados anteriormente além das relações interpessoais nas organizações objetivos e ambições pessoais orientam o comportamento Alguns tipos de comportamentos que podem ser significativos neste contexto incluem i Comportamento relativo à assunção de riscos em que medida a organização sente que pode absorver riscos e quais riscos ela está disposta a assumir ii Comportamento relativo à adoção de políticas em que medida as pessoas adotarão eou cumprirão a política iii Comportamento no caso de resultados negativos como a organização lida com resultados negativos ou seja prejuízos ou até mesmo perda de oportunidades Ela aprende com essas perdas e tenta melhorar ou a culpa será atribuída sem tratar da causa raiz Ciclo de vida cultura organizacional postura ética e comportamento individual etc todos possuem seus ciclos de vida Partindo da cultura existente uma organização pode identificar as mudanças necessárias e trabalhar em sua implementação Boas práticas boas práticas para criação incentivo e manutenção do comportamento desejado ᵒ Comunicação para toda a organização dos comportamentos desejados e valores corporativos subjacentes ᵒ Conscientização do comportamento desejado reforçada por um exemplo de comportamento exercido pela alta administração e outras lideranças ᵒ Incentivos para encorajar e convencer a adotar o comportamento desejado Há uma conexão clara entre o comportamento individual e o esquema de recompensas de RH adotado pela organização ᵒ Regulamentos e normas que fornecem mais orientação sobre o comportamento organizacional desejado Isso conecta de forma muita clara os princípios e políticas adotados pela organização TÓPICO 1 CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY COBIT 115 ᵒ Relações com os demais as interações com outros habilitadores incluem i processos podem ser concebidos em um nível de perfeição mas se as partes interessadas do processo não desejarem executar as atividades do processo conforme esperado Por exemplo se seu comportamento não estiver em conformidade os resultados do processo não serão alcançados Do mesmo modo estruturas organizacionais podem ser projetadas e criadas de acordo com o manual mas se suas decisões não forem implementadas por motivos de agendas pessoais diferentes falta de incentivos etc elas não resultarão em uma governança e gerenciamento de TI da organização aceitável ii princípios e políticas são um mecanismo de comunicação muito importante para os valores corporativos e o comportamento desejado FONTE ISACA Cobit 5 Modelo Corporativo para Governança e Gestão de TI da Organi zação Schaumburg Isaca 2012 p 8283 Disponível em httpstitjrrjusbrarqpdfgover nancaguiasCOBIT5resPor0914pdf Acesso em 12 abr 2020 Agora acadêmico preparamos duas exemplificações para você O Quadro 6 traz um exemplo de melhoria contínua e o Quadro 7 exemplifica o risco de TI QUADRO 6 EXEMPLO DE MELHORIA CONTÍNUA Uma organização enfrenta repetidamente sérios problemas de qualidade com novos aplicativos Apesar do fato de uma sólida metodologia de desenvolvimento de projeto de software ter sido adotada muitas vezes os problemas com o software geram problemas operacionais no cotidiano da organização Uma pesquisa mostrou que os membros da equipe de desenvolvimento e a administração são avaliados e recompensados com base na pontualidade da entrega dentro do orçamento de seus projetos Eles não são avaliados por critérios de qualidade ou critérios de benefícios para a organização Consequentemente eles se concentram diligentemente no prazo de entrega e na redução de custos durante o desenvolvimento por exemplo tempo dos testes A pesquisa mostrou também que o cumprimento da metodologia e dos procedimentos estabelecidos praticamente não existe uma vez que ela exigiria um pouco mais de tempo no desenvolvimento do orçamento a favor da qualidade Além disso a estrutura organizacional é de tal forma que o envolvimento da área de desenvolvimento cessa uma vez que o desenvolvimento é transferido para a equipe de operações A partir daí o envolvimento com a área de desenvolvimento é somente indireto por meio dos processos criados para controle de incidentes e controle de problemas A lição aprendida é que os melhores incentivos devem ser usados para solucionar a administração do desenvolvimento e incentivar as equipes melhorarem a qualidade do trabalho FONTE Isaca 2018 p 83 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 116 QUADRO 7 EXEMPLO DE RISCO DE TI Alguns sintomas de uma cultura inadequada ou problemática em relação aos riscos de TI incluem desalinhamento entre a real inclinação ao risco e a sua conversão em políticas Os reais valores da administração em relação aos riscos podem ser razoavelmente agressivos e de assunção de riscos ao passo que as políticas criadas refletem uma atitude muito mais conservadora Por isso há uma incompatibilidade entre os valores e os meios para se compreender esses valores levando inevitavelmente ao conflito Conflitos podem surgir por exemplo entre os incentivos definidos para a administração e a execução de políticas desalinhadas A existência de uma cultura de culpa Este tipo de cultura deve ser evitado de todas as formas ela é o mais eficaz inibidor de comunicação significativa e eficaz Em uma cultura de culpa as unidades de negócios tendem a apontar o dedo para TI quando os projetos não são entregues no prazo ou não atendem às expectativas Ao fazêlo elas não conseguem perceber como o envolvimento das unidades de negócios no início do projeto afeta o sucesso do processo Em casos extremos a unidade de negócios pode assumir a culpa por não atender às expectativas que a unidade nunca comunicou claramente O jogo de culpa só prejudica a comunicação eficaz entre as unidades fazendo aumentar os atrasos A liderança executiva deve identificar e controlar rapidamente a cultura de culpa se a colaboração for fomentada em toda a organização FONTE Isaca 2018 p 83 Pessoas habilidades e competências As especificidades das pessoas habilidades e competências são comparadas com a descrição do habilitador genérico O modelo de pessoas habilidades e competências destaca Partes interessadas as habilidades e competências podem ser encontradas em Partes Interessadas internas e externas à organização Cada interessado assume funções participantes administradores de negócios administradores de projeto parceiros concorrentes recrutadores instrutores desenvolvedores especialistas técnicos em TI etc e cada papel exige um conjunto de habilidades distintas Metas as metas das habilidades e competências estão relacionadas com os níveis de educação e qualificação habilidades técnicas níveis de experiência conhecimento e habilidades comportamentais necessários para realizar e desenvolver as atividades do processo com sucesso os papéis organizacionais etc As metas dos colaboradores incluem níveis corretos de disponibilidade de pessoal e índice de rotatividade Ciclo de vida habilidades e competências têm um ciclo de vida Uma organização tem que saber qual é sua atual base de habilidades e planejar o que ela deve ser Isto é influenciado pela estratégia entre outras coisas e pelos objetivos corporativos As habilidades devem ser desenvolvidas por exemplo com treinamento ou adquiridas por exemplo com recrutamento TÓPICO 1 CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY COBIT 117 e implantadas nos diversos papéis da estrutura organizacional As habilidades devem ser transferidas por exemplo se uma atividade for automatizada ou terceirizada Periodicamente por exemplo anualmente a organização deve avaliar a base de competências para compreender a evolução ocorrida que será informada no processo de planejamento do próximo período Esta avaliação também pode ser incluída no processo de recompensa e reconhecimento de recursos humanos Boas práticas as boas práticas de habilidades e competências incluem a definição de requisitos de qualificação claros e objetivos de cada papel desempenhado pelas diversas partes interessadas Isto pode ser descrito em diferentes níveis de habilidades em diversas categorias Para cada nível de habilidade apropriado em cada categoria de habilidade uma definição da habilidade deverá ser disponibilizada As categorias de habilidade correspondem às atividades de TI assumidas por exemplo gestão da informação análise de negócios Outras boas práticas Há fontes externas de boas práticas como Skills Framework for the Information Age SFIA que fornece definições detalhadas de habilidades Exemplos de potenciais categorias de habilidades mapeados nos domínios de processo do Cobit 5 são apresentados no Quadro 8 Conforme vimos anteriormente essa parte continua igual no Cobit 2019 QUADRO 8 DOMÍNIO DO PROCESSO E EXEMPLOS DE CATEGORIAS DE HABILIDADES DOMÍNIO DO PROCESSO EXEMPLOS DE CATEGORIAS DE HABILIDADES Avaliar Dirigir e Monitorar Evaluating Direction and Monitoring EDM Governança corporativa de TI Alinhar Planejar e Organizar Align Plan and Organize APO Formulação da política de TI Estratégia de TI Arquitetura corporativa Inovação Gestão financeira Gestão de portfólio Construir Adquirir e Implementar Build Acquire and Implement BAI Análise de negócios Gerenciamento de projetos Avaliação de usabilidade Definição e gestão de requisitos Programação Ergonomia do sistema Desativação de software Gestão da capacidade UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 118 Entregar Serviços e Suporte Deliver Service and Support DSS Gestão da disponibilidade Gestão de problemas Central de Atendimento e gestão de incidentes Administração de segurança Operações de TI Administração do banco de dados Monitorar Avaliar e Analisar Monitor Evaluate and Assess MEA Análise de conformidade Monitoramento de desempenho Auditoria de controles FONTE Isaca 2012 p 91 Relações com outros habilitadores as interações com outros habilitadores incluem ᵒ Habilidades e competências são necessárias para realizar as atividades do processo e tomar decisões em estruturas organizacionais Reciprocamente alguns processos visam apoiar o ciclo de vida das habilidades e competências ᵒ Há ainda uma relação com a cultura ética e comportamento por meio das habilidades comportamentais que orientam o comportamento do indiví duo e são influenciadas pela ética da pessoa e pela ética da organização ᵒ As definições de habilidades também são informações para as quais boas práticas do habilitador de informação devem ser consideradas FONTE ISACA Cobit 5 modelo corporativo para governança e gestão de ti da organização Isaca 2012 p 9091 Disponível em httpswwwisacaorgbookstorecobit5wcb5b Acesso em 12 abr 2020 32 PROCESSOS REFERENTE À CONSCIENTIZAÇÃO O processo APO07 Gerenciar recursos humanos explica como o desempenho dos indivíduos deve ser alinhado aos objetivos corporativos como as habilidades dos especialistas em TI devem ser mantidas e como e responsabilidades devem ser definidas ISACA 2012 p 63 Dessa forma ele fornece uma abordagem estruturada para garantir a estruturação ideal colocação direitos de decisão e as habilidades dos recursos humanos Isso inclui a comunicação tanto dos papéis como das responsabilidades definidas planos de aprendizagem e de crescimento bem como as expectativas de desempenho apoiado por pessoas que se encontram motivadas e são competentes O processo BAI02 Gerenciar definição de requisitos ajuda a assegurar que o projeto dos aplicativos atenda às exigências de uso e operação por pessoas ISACA 2012 p 65 Assim ele identifica soluções e analisa os requisitos anteriormente a aquisição ou a criação assegurando que eles estão em conformidade com os requisitos estratégicos corporativos e cobrindo os processos TÓPICO 1 CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY COBIT 119 de negócio aplicações dadosinformações os serviços e a infraestrutura Esse processo também visa a coordenar com as partes interessadas afetadas a revisão de opções viáveis incluso custos e benefícios análise de risco e aprovação de requisitos e soluções propostas O processo BAI05 Gerenciar capacidade de mudança organizacional e BAI08 gerenciar conhecimento estão relacionados com capacitar a mudança ISACA 2012 p 65 Segundo ISACA 2012 p 3839 capacitar a mudança diz respeito que O sucesso da implementação depende da implantação da mudança adequada dos habilitadores da governança ou gestão apropriados de forma correta Em muitas organizações há um foco significativo no primeiro aspecto núcleo de governança ou gestão de TI mas há pouca ênfase na gestão dos aspectos humanos comportamentais e culturais da mudança e motivação das partes interessadas para aceitar a mudança Não se deve pressupor que as várias partes interessadas envolvidas com os habilitadores novos ou revisados ou afetados por eles os aceitarão prontamente e adotarão a mudança A possibilidade de ignorarem eou resistirem à mudança deve ser tratada por meio de uma abordagem estruturada e proativa Além disso a conscientização ideal do programa de implementação deve ser alcançada por meio de um plano de comunicação eficiente que defina o que será comunicado de que forma e por quem ao longo das várias fases do programa Melhoria sustentável pode ser conseguida obtendose o compromisso das partes interessadas investimento na conquista de corações e mentes do tempo dos líderes e na comunicação e resposta à força de trabalho ou se ainda for necessário aplicandose em conformidade investimento em processos para administrar monitorar e executar Em outras palavras as barreiras humanas comportamentais e culturais devem ser superadas de modo que haja um interesse comum em adotar corretamente a mudança infundir a vontade de adotar a mudança e garantir a capacidade de adotar a mudança O processo BAI005 visa maximizar a probabilidade de implementar com sucesso a mudança organizacional sustentável em toda a organização de maneira rápida e reduzindo risco Além disso busca cobrir o ciclo de vida completo da mudança e de todas as partes interessadas que são afetadas no negócio e a TI Já o processo BAI08 mantém a disponibilidade de conhecimento relevante atual válida e confiável para suportar todas as atividades do processo e facilitar a tomada de decisão 120 Neste tópico você aprendeu que É necessário ter conhecimento da legislação que a organização precisa seguir bem como elicitar os requisitos referentes à conscientização em segurança da informação necessários para atendêla Ao se saber quais são os requisitos legais é necessário identificar quais são os controles apontados pelas normas de segurança A partir dos controles identificados é necessário gerar as políticas normas e procedimentos para a implementação dos controles COELHO ARAÚJO BEZERRA 2014 p 8 Existem três fontes principais a serem consideradas no momento de estabelecer os requisitos de segurança da informação de uma organização sendo elas i análise e avaliação de riscos ii legislação vigente iii conjunto de princípios O Control Objectives for Information and related Technology COBIT são um conjunto de melhores práticas para o gerenciamento de TI que foi criado pela Information Systems Audit and Control Association ISACA uma Associação de Auditoria e Controle de Sistemas de Informação internacional e pelo IT Governance Institute ITGI A ISACA desenvolve e mantém o framework Cobit reconhecido internacionalmente ajudando profissionais de TI e líderes empresariais no cumprimento de suas responsabilidades de Governança de TI e para que agreguem valor aos negócios O Cobit 2019 é a versão atual do Cobit e que Cobit 5 Implementation Guide passa a se chamar Cobit 2019 Implementation Guide mantendose assim as práticas referente ao comportamento humano ou seja a conscientização O framework Cobit fornece aos profissionais de segurança de informação e para as partes interessadas da organização orientações e práticas detalhadas a serem aplicadas na segurança da informação fundamentadas nas melhores práticas acadêmicas O framework Cobit 2019 foi atualizado com novas informações e orientações visando a uma implementação mais fácil e personalizada do Cobit 2019 As práticas de conscientização se referem aos habilitadores do Cobit 5 incluem pessoas habilidades e competências bem como cultura ética e comportamento e os processos APO07 BAI02 BAI05 e BAI08 O processo do APO07 se refere ao gerenciamento de recursos humanos O processo BAI02 se refere ao gerenciamento na definição de requisitos RESUMO DO TÓPICO 1 121 O processo BAI05 se refere ao gerenciamento da capacidade de mudança organizacional O processo BAI08 se refere ao gerenciamento do conhecimento A área de foco antigos habilitadores tem como objetivo definir o componente principal do seu sistema de Governança ou seja se é referente à segurança ao risco DevOps ou mesmo se é sobre uma média ou pequena empresa e assim sucessivamente São seis princípios em um sistema de governança e três princípios do framework de governança Cada organização precisa de um sistema de governança para satisfazer as necessidades das partes interessadas e gerar valor a partir do uso da informação e da tecnologia Um sistema de governança para informação e tecnologia corporativa é construído a partir de vários componentes de diferentes tipos e trabalhando em conjunto de maneira holística Um sistema de governança deve ser dinâmico ou seja sempre que um ou mais dos fatores de projeto são alterados o impacto dessas alterações no sistema deve ser considerado Um sistema de governança deve distinguir de forma clara entre atividades e estruturas de governança e gerenciamento Um sistema de governança deve se adaptar às necessidades da organização utilizando um conjunto de fatores de design como parâmetros para personalizar e priorizar os componentes do sistema de governança Um sistema de governança deve cobrir a atividade fim da organização concentrandose não só nas funções desempenhadas pela mas por toda tecnologia e processamento de informações que a organização precisa para alcançar seus objetivos Uma estrutura de governança deve estar fundamentada em um modelo conceitual identificando os principais componentes e as relações existentes entre esses componentes maximizando a consistência e possibilitando a automação Uma estrutura de governança deve ser aberta e flexível permitindo adicionar novo conteúdo e ter a capacidade de resolver novos problemas da maneira mais flexível mantendo a integridade e a consistência Uma estrutura de governança deve estar alinhada aos principais padrões estruturas e regulamentos relacionados Um objetivo de governança ou gestão sempre está relacionado a um processo e a uma série de componentes que se relacionam a outros tipos para ajudar a alcançar o objetivo 122 Um objetivo de governança se refere a um processo de governança enquanto um objetivo de gestão se relaciona a um processo de gestão Os objetivos de tecnologia e informação na cascata do Cobit 5 foram substituídos pelos objetivos de alinhamento dizendo respeito ao alinhamento da tecnologia da informação com os objetivos corporativos Os objetivos dos Habilitadores do Cobit 5 passam a se chamar de Objetivos de Governança e Gestão Semelhante ao Cobit 5 os objetivos de governança e gerenciamento do Cobit 2019 estão agrupados em cinco domínios O sistema de governança de cada organização é construído a partir de vários componentes que podem ser de tipos diferentes podendo interagir entre si resultando em um sistema holístico de governança para informação e tecnologia e que anteriormente eles eram conhecidos como facilitadores no Cobit 5 Os componentes podem ser genéricos ou variações dos componentes genéricos Os componentes genéricos são descritos no modelo principal do Cobit sendo aplicados em princípio a qualquer situação contudo eles são de natureza genérica e geralmente precisam de personalização antes de serem implementados Os componentes variantes são baseados em componentes genéricos mas adaptados para um propósito ou contexto específico dentro de uma área de foco por exemplo para segurança da informação DevOps um regulamento específico e afins Os componentes de governança relevantes passaram a ser agrupados no Cobit 2019 em Áreas de Foco Uma Área de Foco descreve um determinado tópico domínio ou problema de governança que pode ser tratado por uma coleção de objetivos de governança e gerenciamento e seus componentes As áreas de foco podem conter uma combinação de componentes e variantes genéricas de governança A abordagem de implementação está baseada em capacitar as partes interessadas de negócios e de TI e os participantes para assumir a propriedade das decisões e atividades de governança e gerenciamento relacionadas à TI facilitando e possibilitando mudanças O guia de implementação é uma abordagem em fases com três perspectivas melhoria contínua gerenciamento de programas e alterar ativação O guia de implementação do Cobit 2019 enfatiza uma visão corporativa da governança de informação e tecnologia reconhecendo que a informação e tecnologia precisam ser difundidas nas organizações 123 A implementação de qualquer mudança habilitada por TI incluso na governança de TI em si na maioria das vezes exige uma mudança cultural e comportamental significativa das organizações e na relação com seus clientes e parceiros comerciais A alta direção deverá comunicar de forma clara os objetivos e ser percebidos por toda organização como apoiando positivamente as mudanças propostas Cultura ética e comportamento das pessoas e da organização são muitas vezes subestimados como um fator de sucesso nas atividades de governança e gestão ISACA 2012 p 29 Cultura ética e comportamento determinam a eficiência e eficácia das estruturas organizacionais e de suas decisões ISACA 2012 p 79 As atividades de governança e gestão requerem conjuntos de habilidades diferentes mas uma habilidade essencial para os membros do órgão de governança e de gestão é entender as duas tarefas e como elas se diferenciam ISACA 2012 p 33 O processo APO07 Gerenciar recursos humanos explica como o desempenho dos indivíduos deve ser alinhado aos objetivos corporativos como as habilidades dos especialistas em TI devem ser mantidas e como e responsabilidades devem ser definidas ISACA 2012 p 63 O processo BAI02 Gerenciar definição de requisitos ajuda a assegurar que o projeto dos aplicativos atenda às exigências de uso e operação por pessoas ISACA 2012 p 65 O processo BAI05 Gerenciar capacidade de mudança organizacional e BAI08 gerenciar conhecimento estão relacionados com capacitar a mudança ISACA 2012 p 65 O processo BAI005 visa maximizar a probabilidade de implementar com sucesso a mudança organizacional sustentável em toda a organização de maneira rápida e reduzindo risco O processo BAI08 mantém a disponibilidade de conhecimento relevante atual válida e confiável para suportar todas as atividades do processo e facilitar a tomada de decisão 124 1 As mudanças tecnológicas fazem parte do dia a dia das organizações e aliadas a elas estão os riscos e as vulnerabilidades no cotidiano das organizações Desta forma é necessário ter conhecimento da legislação que a organização precisa seguir bem como elicitar os requisitos referentes à segurança necessários para atendêla Ao se saber quais são os requisitos legais é necessário identificar quais são os controles apontados pelas normas de segurança Destacamos ainda que são três fontes principais a serem consideradas no momento de estabelecer os requisitos de segurança da informação de uma organização Analise as sentenças a seguir referentes a essas três principais fontes classificando com V as sentenças verdadeiras e com F as falsas Na análise e avaliação de riscos deve ser levado em consideração a probabilidade de ocorrência de ameaças e o impacto para o negócio Conjunto de princípios está relacionado às necessidades de cláusulas contratuais regulamentação e estatutos que devem atender à organização terceirizados e fornecedores bem como seus parceiros Legislação vigente está relacionado à identificação dos objetivos e requisitos de negócio para o processamento de dados que a organização deve definir para dar suporte às suas operações Assinale a alternativa com a sequência CORRETA a V F F b V V F c V V F d F F V 2 O Control Objectives for Information and related Technology COBIT é um conjunto de melhores práticas para o gerenciamento de TI que foi criado pela Information Systems Audit and Control Association ISACA uma Associação de Auditoria e Controle de Sistemas de Informação internacional e pelo IT Governance Institute ITGI A versão anterior do Cobit 2019 era o Cobit 5 Com relação às principais mudanças dessas duas versões analise as sentenças a seguir classificando com V as sentenças verdadeiras e com F as falsas Introdução e Metodologia trazem o detalhamento dos princípios de governança oferecendo conceitos e a exemplificação básica bem como lança a construção da estrutura de maneira geral incluso o Cobit Core Model Objetivos de gestão e governança fornecem a descrição de maneira detalhada do Cobit Core Model bem como os seus 40 objetivos de gestão governança Guia de design traz a forma de implementar e otimizar uma solução de governança de informação e tecnologia provendo um roteiro para a contínua melhoria da governança AUTOATIVIDADE 125 Guia de implementação traz o desenho de uma solução de governança de informação e tecnologia provendo informação referente de como se faz para desenhar um sistema de governança de forma específica para as organizações Assinale a alternativa com a sequência CORRETA a V F V F b F V V F c F F V V d V V F F 3 O Cobit traz boas práticas de conscientização e orientações sobre as exigências relativas ao comportamento humano Essas práticas incluem pessoas habilidades e competências bem como cultura ética e comportamento Além disso Cobit traz processos que tratam de orientações a serem utilizadas referente à conscientização Analise as sentenças referente a esses processos classificando com V as sentenças verdadeiras e com F as falsas O processo Cobit BAI08 se refere ao gerenciamento na definição de requisitos O processo do Cobit APO07 se refere ao gerenciamento de recursos humanos O processo Cobit BAI05 se refere ao gerenciamento da capacidade de mudança organizacional O processo do Cobit BAI02 se refere ao gerenciamento do conhecimento Assinale a alternativa com a sequência CORRETA a V V F F b V F V F c F V V F d F F V V 4 A eficiência e eficácia das estruturas organizacionais e de suas decisões são determinadas pela cultura ética e comportamento das pessoas envolvidas na organização Nesse sentido é necessário que a composição das estruturas organizacionais seja considerada exigindo um conjunto de habilidades adequadas de cada uma das pessoas e os princípios de ordem e operação das estruturas organizacionais são regidos pelos modelos de políticas adotado Assim é necessário que você conheça os papéis e as estruturas definidas Com relação a esses papéis e suas estruturas analise as sentenças a seguir classificando com V as sentenças verdadeiras e com F as falsas O diretor financeiro é responsável por todos os aspectos da administração financeira inclusive riscos e controles financeiros bem como pela confiabilidade e exatidão das contas O diretor de TI é responsável por todos os aspectos da gestão de risco da organização 126 O diretor de riscos é responsável pelo alinhamento de TI com as estratégias de negócios e responsável pelo planejamento mobilização de recursos e administração da prestação de serviços e soluções de TI em apoio aos objetivos corporativos O diretor executivo é responsável pela administração da organização como um todo Assinale a alternativa com a sequência CORRETA a V V F F b V F F V c F V V F d F F V V 5 O Cobit traz orientações relevantes referentes à cultura à ética e ao comportamento Eles formam um conjunto de comportamentos tanto individuais como coletivos de cada Os comportamentos das partes interessadas internas incluem toda a organização e nas partes interessadas externas incluem as questões de reguladores Podemos citar como exemplos auditores externos ou órgãos de fiscalização Ainda existem dois tipos de interesses representantes legais gerentes de risco administradores de RH conselhos e diretores de remuneração e os demais interessados Referente a esses dois tipos de interesse analise as sentenças a seguir classificando com V as sentenças verdadeiras e com F as sentenças falsas Representantes legais gerentes de risco administradores de RH conselhos e diretores de remuneração tratam da definição implementação e execução dos comportamentos desejados As demais partes interessadas devem se alinhar às normas e regulamentos definidos Representantes legais gerentes de risco administradores de RH conselhos e diretores de remuneração devem se alinhar as normas e regulamentos definidos As demais partes interessadas tratam da definição implementação e execução dos comportamentos desejados Assinale a alternativa com a sequência CORRETA a V V F F b V F V F c F V V F d F F V V 127 UNIDADE 2 1 INTRODUÇÃO A International Organization for Standardization ISO homologou pela Associação Brasileira de Normas Técnicas ABNT a Norma Brasileira NBR no ano de 2000 e a publicou como ABNT NBR ISOIEC 177992000 Destacamos que alguns padrões da International Electrotechnical Commission IEC são desenvolvidos em conjunto com a ISO Desta forma no ano de 2005 a ISO atualizou ABNT NBR ISOIEC 177992000 como ABNT NBR ISOIEC 177992005 e no ano de 2006 publicou a norma BS779932006 de acordo com a ABNT NBR ISOIEC 27001 No ano de 2007 criou a família ABNT NBR ISOIEC 27000 e a ABNT NBR ISOIEC 17799 passa a ser chamada de ABNT NBR ISOIEC 27002 OLIVEIRA et al 2015 Agora acadêmico veja as quatro UNIDICA que preparamos para você TÓPICO 2 PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO ABNT NBR ISOIEC 270012013 E ABNT NBR ISOIEC 270022013 A International Organization for Standardization ISO é uma organização com sede em Genebra na Suíça que foi fundada no ano de 1946 A ISO tem como objetivo desenvolver e promover normas que possam ser usadas da mesma forma em todos os países do mundo NOTA A International Electrotechnical Commission IEC é uma organização internacional de padronização de tecnologias elétricas eletrônicas e afins Desta forma a IEC em conjunto com a ISO desenvolve alguns de seus padrões NOTA 128 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO A Associação Brasileira de Normas Técnicas ABNT é uma entidade sem fins lucrativos que representa a ISO Ela ajuda a promover o desenvolvimento tecnológico do nosso país com a padronização de documentos e de processos produtivos por meio do estabelecimento das NBR NOTA As Normas Brasileiras BNR objetivam aumentar o processo produtivo das organizações bem como entregar o produto de maior qualidade e aumentar a competitividade destes produtos NOTA A ABNT NBR ISOIEC 27000 fornece a visão geral dos Sistemas de Gerenciamento de Segurança da Informação SGSI e os termos e definições comumente utilizados na família de padrões SGSI A ABNT NBR ISOIEC 270012013 e a ABNT NBR ISOIEC 27002 2013 fazem parte da família ABNT NBR ISOIEC 27000 que abrangem a gestão da segurança da informação ISO IEC 27000 2018 Além da família ABNT NBR ISOIEC 27000 o National Institute of Standards and Technology NIST traz normas referente à cultura de segurança da informação A norma NIST 80050 traz orientações quanto à construção e manutenção de um plano de conscientização e treinamento e a norma NIST 80016 traz um framework conceitual referente ao treinamento em segurança OLIVEIRA et al 2015 Portando o objetivo a partir daqui é entendermos as normas ABNT NBR ISOIEC 270012013 e a ABNT NBR ISOIEC 27002 2013 que fazem parte da família ABNT NBR ISOIEC 270002018 2 ABNT NBR ISOIEC 270012013 A ABNT NBR ISOIEC 27001 específica formalmente um Sistema de Gerenciamento de Segurança da Informação SGSI contendo um conjunto de atividades relacionadas ao gerenciamento de riscos de informações chamado dentro da norma de riscos à segurança da informação O SGSI é uma estrutura de gerenciamento abrangente por meio da qual a organização identifica analisa e aborda seus riscos de informações O SGSI garante que os arranjos de segurança sejam ajustados para acompanhar as mudanças nas ameaças à segurança vulnerabilidades e impactos nos negócios ISOIEC 27000 2018 TÓPICO 2 PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO ABNT NBR ISOIEC 270012013 E ABNT NBR ISOIEC 270022013 129 Desta forma a norma foi elaborada com o objetivo de especificar os requisitos para estabelecer implementar manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização ABNT NBR ISOIEC 27001 2013 p 1 Cabe destacar ainda que a Norma também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização ABNT NBR ISOIEC 27001 2013 p 1 A norma ISO 27001 faz referência ao modelo conhecido como PlanDo CheckAct PDCA apesar de não obrigar O modelo PDCA é aplicado para estruturar todos os processos do SGSI A Figura 14 traz este modelo que é composto por um conjunto de ações de forma sequencial e é estabelecido pelas letras pertencentes a sigla P Plan planejar D Do fazer executar C Check verificar controlar e finalmente o A Act agir atuar corretivamente COELHO ARAÚJO BEZERRA 2014 p 54 FIGURA 14 MODELO PDCA FONTE Coelho Araújo e Bezerra 2014 p 54 Para Coelho Araújo e Bezerra 2014 p 54 É esperado que a implementação de um SGSI seja escalada conforme as necessidades da organização por exemplo uma situação simples requer uma solução de um SGSI simples devido seu processo ser estruturado para tratar a segurança da informação nos diversos setores Portanto esta norma abrange todos os tipos de organizações Por exemplo empresas comerciais agências governamentais organizações sem fins lucrativos Cabe destacar ainda que a ABNT NBR ISOIEC 27001 não exige formalmente controles específicos de segurança da informação uma vez que os controles necessários variam de acordo com o tipo da organização As 130 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO organizações que adotam a ABNT NBR ISOIEC 27001 são livres para escolher os controles específicos de segurança da informação aplicáveis a seus riscos específicos baseandose nos controles existentes Esses controles podem ser complementados com outras opções conhecidas como conjuntos de controle estendidos Nesta norma assim como na norma ABNT NBR ISOIEC 27002 a chave para selecionar os controles aplicáveis é realizar uma avaliação abrangente dos riscos de informações da organização que é uma parte vital do SGSI ISOIEC 27000 2018 Agora tire uns minutos para ver o UNIDICA e o UNIIMPORTANTE que preparamos especialmente para você Os controles da norma são apresentados como boas práticas para que a organização adote uma postura preventiva e proativa diante das suas necessidades e requisitos de segurança da informação COELHO ARAÚJO BEZERRA 2014 p 20 IMPORTANTE A ABNT NBR ISOIEC 27001 tem na sua estrutura as seções de 0 a 10 o anexo A que lista 114 controles e a bibliografia Não podemos listar todos eles porque estaríamos violando os direitos de propriedade intelectual mas deixenos somente colocar como brevemente os controles estão estruturados dentro da norma e para que servem as 14 seções do Anexo A ATENCAO 21 ESTRUTURA DA ABNT NBR ISOIEC 270012013 A ABNT NBR ISOIEC 27001 tem na sua estrutura as seções de 0 a 10 o anexo A e as bibliografias Figura 15 Na seção 0 Introdução é descrito um processo para gerenciar sistematicamente os riscos à informação no 1 Escopo é especificado os requisitos genéricos do SGSI adequados para organizações de qualquer tipo tamanho ou natureza em 2 Referências normativas apenas a ABNT NBR ISOIEC 27000 é considerada essencial para os usuários da 27001 sendo as demais normas ISO27k opcionais e na Seção 3 Termos e definições são colocadas as definições que devem ser utilizadas e da quarta cláusula em diante se busca de maneira objetiva e de forma genérica apresentar os requisitos que são aplicáveis a todas as organizações independentemente do tipo tamanho ou natureza da organização SEC AWARE 2020a TÓPICO 2 PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO ABNT NBR ISOIEC 270012013 E ABNT NBR ISOIEC 270022013 131 FIGURA 15 ESTRUTURA DA NORMA FONTE A Autora Agora vamos ver as seções referente à gestão de um Sistema de Gestão da Segurança da Informação SGSI Seção 4 Contexto da organização A Seção 4 se refere a compreender o contexto organizacional as necessidades e expectativas das partes interessadas que definem o escopo do SGSI trazendo na sua seção 44 que a organização deve estabelecer implementar manter e ter melhoria contínua no SGSI SEC AWARE 2020a conforme as etapas apresentadas na Figura 16 Aqui é abordada a necessidade de entender todo o contexto da organização ou seja interpretar ou analisar toda a organização para determinar as questões internas e externas que possam afetar a capacidade do sistema de gestão da segurança da informação COELHO ARAÚJO BEZERRA 2014 p 56 132 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO FIGURA 16 ETAPAS DA SEÇÃO CONTEXTO DA ORGANIZAÇÃO FONTE Coelho Araújo e Bezerra 2014 p 56 Ao se iniciar um projeto do SGSI geralmente é preciso a aprovação pela direção da organização Desta forma segundo Coelho Araújo e Bezerra 2014 p 56 é importante que a primeira atividade a ser desempenhada seja coletar informações relevantes que demonstrem o valor de um SGSI para a organização esclarecendo por que é necessária a implantação de um SGSI Outra consideração mais diz respeito à organização determinar as partes interessadas importantes para SGSI e os requisitos demandados de segurança de informação por estas partes interessadas Seção 5 Liderança A Seção 5 está relacionada à alta gerência demonstrar liderança e compromisso com o SGSI determinando políticas e atribuindo funções responsabilidades e autoridades responsáveis pela segurança da informação SEC AWARE 2020a Para isso está seção possui as etapas apresentadas na Figura 17 FIGURA 17 ETAPAS DA SEÇÃO LIDERANÇA FONTE Coelho Araújo e Bezerra 2014 p 57 É necessário o envolvimento da alta direção da organização por meio do seu comprometimento e da sua liderança que devem ser demonstrados durante todo o processo do SGSI Segundo Coelho Araújo e Bezerra 2014 p 57 Essa liderança iniciase pelo estabelecimento da política de segurança e os objetivos de segurança da TÓPICO 2 PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO ABNT NBR ISOIEC 270012013 E ABNT NBR ISOIEC 270022013 133 informação compatíveis com a direção estratégica da organização A política deve ser formalizada e comunicada e ainda ser apropriada ao propósito da organização Seção 6 Planejamento A Seção 6 descreve o processo de identificação análise e planejamento de como os riscos às informações devem ser tratados e esclarece os objetivos de segurança das informações SEC AWARE 2020a Para isso está seção possui as etapas apresentadas na Figura 18 FIGURA 18 ETAPAS DA SEÇÃO PLANEJAMENTO FONTE Coelho Araújo e Bezerra 2014 p 57 A avaliação da segurança da informação é a atividade para identificar o nível existente de segurança da informação ou seja os atuais procedimentos organizacionais de tratamento da proteção da informação O objetivo fundamental da avaliação de segurança da informação é fornecer informações de apoio necessárias para a descrição do sistema de gestão sob a forma de políticas e diretrizes O desempenho de uma análiseavaliação de riscos de segurança dentro do contexto de negócios apoiado pelo escopo do SGSI é essencial para a conformidade e a implementação bemsucedida do SGSI de acordo com a ABNT NBR ISOIEC 270012013 COELHO ARAÚJO BEZERRA 2014 p 58 Seção 7 Apoio A Seção 7 se refere à adequação dos recursos e às competências a serem atribuídas bem como a realização da conscientização a documentação e o controle SEC AWARE 2020a Para isso esta seção possui as etapas apresentadas na Figura 19 Ou seja esta seção diz respeito a todos os recursos que são necessários para estabelecer implementar manter e para melhoria contínua do SGSI FIGURA 19 ETAPAS DA SEÇÃO APOIO FONTE Coelho Araújo e Bezerra 2014 p 58 134 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO Coelho Araújo e Bezerra 2014 colocam que a definição das competências necessárias das pessoas é uma característica relevante Desta forma apresentamos uma lista exemplificada de papéis e responsabilidades pela segurança informação Quadro 9 e a lista completa consta no Anexo B informativo Papéis e responsabilidades pela Segurança da Informação da norma ABNT NBR ISO IEC 270032011 QUADRO 9 LISTA RESUMIDA DE PAPÉIS E RESPONSABILIDADE PAPEL BREVE DESCRIÇÃO DA RESPONSABILIDADE Alta administração exemplo COO CEO CSO e CFO É o responsável pela visão decisões estratégicas e pela coordenação de atividades para dirigir e controlar a organização Gerentes de linha isto é o último nível de comando na escala hierárquica Tem a responsabilidade final pelas funções organizacionais Diretorexecutivo de Segurança da Informação Tem a responsabilidade e a governança globais em relação à segurança da informação garantindo o correto tratamento dos ativos de informação Comitê de Segurança da Informação membro do comitê É responsável por tratar ativos de informação e tem um papel de liderança no SGSI da organização Equipe de Planejamento da Segurança da Informação membro da equipe É responsável durante as operações enquanto o SGSI está sendo implantado A Equipe de Planejamento trabalha em diversos departamentos e resolve conflitos até que a implantação do SGSI seja concluída A Etapa 73 Conscientização trata especificamente da conscientização como seu próprio nome diz IMPORTANTE TÓPICO 2 PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO ABNT NBR ISOIEC 270012013 E ABNT NBR ISOIEC 270022013 135 Parte interessada No contexto das outras descrições de papéis relativos à segurança da informação a parte interessada é aqui definida primariamente como pessoas eou órgãos que estão fora das operações normais como o conselho e os proprietários tanto proprietários da organização se esta for parte de um grupo de empresas ou se for governamental quanto proprietários diretos como acionistas de uma organização privada Outros exemplos de partes interessadas podem ser companhias associadas clientes fornecedores e demais organizações públicas como agências governamentais de regulação financeira ou bolsa de valores se a organização não estiver listada Administrador de sistema O administrador de sistema é responsável por um sistema de TI Gerente de TI É o gerente de todos os recursos de TI Por exemplo o Gerente do Departamento de TI Segurança Física A pessoa responsável pela segurança física por exemplo construções etc normalmente chamado de Gerente de instalações Gerência de Risco As pessoas que são responsáveis pela estrutura de gerenciamento de risco da organização incluindo avaliação de risco tratamento de risco e monitoramento de risco Consultor Jurídico Muitos riscos de segurança da informação têm aspectos legais e o consultor jurídico é responsável por levar esses riscos em consideração Recursos Humanos São pessoas com responsabilidade global pelos colaboradores Arquivo Todo tipo de organização tem arquivos contendo informações vitais e que precisam ser armazenadas por longo tempo As informações podem estar localizadas em vários tipos de mídia e convém que uma pessoa específica seja responsável pela segurança desse armazenamento 136 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO Dados Pessoais Se for exigência legal pode haver uma pessoa responsável por ser o contato com um conselho de inspeção de dados ou organização oficial similar que supervisione a integridade pessoal e questões de privacidade Desenvolvedor de Sistema Se uma organização desenvolve seus próprios sistemas de informação alguém tem a responsabilidade por esse desenvolvimento EspecialistaExpert Convém que seja feita referência a especialistas e experts responsáveis por determinadas operações em uma organização quanto ao interesse destes nos assuntos pertinentes ao uso do SGSI nas suas áreas específicas de atuação Consultor Externo Consultores externos podem emitir opiniões com base em seus pontos de vista macroscópicos da organização e em suas experiências na indústria Contudo pode ser que os consultores não tenham conhecimento aprofundado da organização e suas operações EmpregadoFuncionário ColaboradorUsuário Cada colaborador é igualmente responsável pela manutenção da segurança da informação no seu local de trabalho e em seu ambiente Auditor O auditor é responsável por avaliar o SGSI Instrutor O instrutor ministra treinamentos e executa programas de conscientização Responsável pela TI ou pelos Sistemas de Informação SI locais Em uma organização maior há geralmente alguém na organização local que é responsável pelos assuntos de TI e provavelmente também pela segurança da informação Defensor pessoa influente Esse não é em si um papel de responsabilidade propriamente dito mas em uma organização maior pode ser muito útil durante o estágio de implementação contar com pessoas que tenham conhecimento aprofundado sobre a implementação do SGSI e que possam apoiar o entendimento sobre a implementação e as razões que estiverem por trás dela Essas pessoas podem influenciar positivamente a opinião das outras e podem também ser chamadas de Embaixadoras FONTE Adaptado de Coelho Araújo e Bezerra 2014 p 5960 TÓPICO 2 PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO ABNT NBR ISOIEC 270012013 E ABNT NBR ISOIEC 270022013 137 A comunicação e as atividades de conscientização são etapas importantes para o sucesso de um SGSI A organização deve implementar um programa de conscientização treinamento e educação em segurança da informação para que toda a organização entenda seus papéis e suas competências para executarem as operações necessárias ao SGSI A documentação dentro de um SGSI é um importante fator de sucesso pois demonstrará a relação dos controles implementados com os resultados esperados A documentação muitas vezes será a evidência necessária para averiguar que um SGSI está implementado de forma correta e eficiente permitindo que as ações possam ser rastreáveis e passíveis de reprodução COOELHO ARAÚJO BEZERRA 2014 p 63 Seção 8 Operação A Seção 8 traz de forma um pouco mais detalhadamente sobre como avaliar e tratar riscos de informações gerenciar mudanças e realizar a documentação SEC AWARE 2020a Para isso está seção possui as etapas apresentadas na FIGURA 20 FIGURA 20 ETAPAS DA SEÇÃO OPERAÇÃO FONTE Coelho Araújo e Bezerra 2014 p 62 Seção 9 Avaliação do desempenho A Seção 9 se refere a monitorar medir analisar e avaliarauditaranalisar os controles processos do SGSI melhorando sistematicamente as coisas sempre que necessário SEC AWARE 2020a Para isso está seção possui as etapas apresentadas na Figura 21 138 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO FIGURA 21 ETAPAS DA SEÇÃO AVALIAÇÃO DO DESEMPENHO FONTE Coelho Araújo e Bezerra 2014 p 62 A norma ainda destaca a importância do monitoramento para verificar a eficácia do SGSI por meio da determinação tanto do que deve ser monitorado como do medido A Figura 22 traz o Fluxo do processo de Monitoramento segundo a norma ABNT NBR ISOIEC 27003 Diretrizes para implantação de um SGSI COELHO ARAÚJO BEZERRA 2014 FIGURA 22 FLUXO DO PROCESSO DE MONITORAMENTO FONTE Coelho Araújo e Bezerra 2014 p 62 Seção 10 Melhoria A Seção 10 aborda as conclusões de auditorias e revisões por exemplo não conformidades e ações corretivas tratando de fazer aprimoramentos contínuos no SGSI SEC AWARE 2020a Para isso está seção possui as etapas apresentadas na Figura 23 TÓPICO 2 PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO ABNT NBR ISOIEC 270012013 E ABNT NBR ISOIEC 270022013 139 FIGURA 23 ETAPAS DA SEÇÃO MELHORIA FONTE Coelho Araújo e Bezerra 2014 p 63 Anexo A O Anexo A traz os objetivos e controles de referência apresentando uma lista de títulos das seções de controle na ABNT NBR ISOIEC 27002 e o detalhamento dos controles incluindo as orientações de como realizar a implementação fazem parte da ABNT NBR ISOIEC 27002 para obter mais detalhes úteis sobre os controles incluindo orientações de implementação Segundo Coelho Araújo e Bezerra 2014 p 63 O Anexo A da norma ABNT NBR ISOIEC 270012013 lista os controles que de acordo com a norma devem ser implementados na implementação de um SGSI Os controles são semelhantes aos existentes na ABNT NBR ISOIEC 270022013 com a diferença de que contém o verbo dever que apresenta circunstâncias que são externas ao participante envolvido numa situação de segurança mas que a tornam necessária com um sentido de dever ter de Assim os controlem devem ser implementados para que seja possível que se tenha um SGSI Bibliografia A bibliografia aponta os cinco padrões relacionados mais a parte 1 das diretivas da ISOIEC Além disso a família ABNT NBR ISOIEC 27000 é identificada no corpo da norma como uma norma normativa e existem referências à ISO 31000 na gestão de riscos 22 VISÃO GERAL DO ANEXO A DA ABNT NBR ISOIEC 270012013 O Anexo A da ABNT NBR ISOIEC 270012013 apresenta uma visão geral de quais controles podemos aplicar de maneira a não esquecermos algum controle que poderia passar desapercebido É importante que você também tenha em mente a flexibilidade existente fazendo com que você escolha somente aqueles controles que identificar como aplicáveis a sua organização de maneira a não desperdiçar recursos em controles que não sejam importantes para você KOSUTIC 2020 p 1 De acordo com Kosutic 2020 p 1 A melhor forma de entender o Anexo A é pensar nele como um catálogo de controles de segurança que você pode 140 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO selecionar dos 114 controles que estão listados no Anexo A você pode escolher aqueles que são aplicáveis a sua organização Esses 114 controles estão dispostos em quatorze seções do Anexo A da ABNT NBR ISOIEC 270012013 O Quadro 10 traz as 14 seções e o propósito correspondente a cada uma delas QUADRO 10 14 SEÇÕES DO ANEXO A DA ABNT NBR ISOIEC 270012013 SEÇÃO PROPÓSITO A5 Políticas de segurança da informação Controles referente como as políticas são escritas e revisadas A6 Organização da segurança da informação Controles referentes como as responsabilidades são designadas bem como inclui os controles para dispositivos móveis e realização de trabalho remoto A7 Segurança em recursos humanos Controles para antes de se realizar uma contratação durante e após a contratação A8 Gestão de ativos Controles referente ao inventário de ativos e utilização aceitável bem como para a classificação de informação e manuseio de mídias A9 Controle de acesso Controles para criar a política de controle de acesso gestão de acesso de usuários controle de acesso a sistemas e aplicações e as responsabilidades dos usuários A10 Criptografia Controles referentes a gestão de chaves criptográficas A11 Segurança física e do ambiente Controles para definição de áreas seguras controles de entrada proteção contra ameaças segurança de equipamentos descarte seguro política de mesa limpa e tela limpa e afins A12 Segurança nas operações Controles diversos referentes a gestão da produção de Tecnologia de Informação TI gestão de mudança gestão de capacidade software malicioso cópia de segurança registro de eventos monitoramento instalação vulnerabilidades e afins A13 Segurança nas comunicações Controles referentes a segurança em rede segregação serviços de rede transferência de informação mensageria e afins A14 Aquisição desenvolvimento e manutenção de sistemas Controles definindo requisitos de segurança e segurança em processos de desenvolvimento e suporte TÓPICO 2 PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO ABNT NBR ISOIEC 270012013 E ABNT NBR ISOIEC 270022013 141 A15 Relacionamento na cadeia de suprimento Controles relacionados o que incluir em acordos e como realizar a monitoração dos fornecedores A16 Gestão de incidentes de segurança da informação Controles para relatar os eventos e as fraquezas definindo responsabilidades procedimentos de resposta e coleta de evidências A17 Aspectos da segurança da informação na gestão da continuidade do negócio Controles requisitando o planejamento da continuidade do negócio procedimentos verificação e revisão e as redundâncias da TI A18 Conformidade Controles requisitando a identificação de leis e regulamentações aplicáveis proteção da propriedade intelectual proteção de dados pessoais e revisões da segurança da informação FONTE Adaptado de Kosutic 2020 Agora acadêmico tire uns minutos para ver o UNI IMPORTANTE que preparamos para você Como falamos anteriormente que nem todos estes 114 controles são de fato obrigatórios A organização que vai determinar quais controles ela identifica como sendo aplicáveis em seu plano e então deve implementálos De acordo com Kosutic 2020 o principal critério utilizado para selecionar os controles deve ser referente ao uso do levantamento de riscos o qual é definido nas seções de 6 e 8 da parte principal da ABNT NBR ISOIEC 270012013 Cabe destacar ainda que a Seção 5 da parte principal da ABNT NBR ISOIEC 270012013 coloca a definição das responsabilidades para a gestão referente aos controles e a Seção 9 está relacionado a medir se os controles estão cumprindo o seu propósito Por fim a Seção 10 requer que você repare qualquer coisa que esteja errada com estes controles assegurando que você consiga atingir os objetivos de segurança da informação com estes controles IMPORTANTE 3 ABNT NBR ISOIEC 270022013 A ABNT NBR ISOIEC 270022013 fornece uma lista de objetivos de controles comumente aceitos e de melhores práticas como forma de orientar a implementação de controles na obtenção da segurança da informação ISOIEC 27000 2018 Cabe destacar que a norma ABNT NBR ISOIEC 270022013 foi preparada para servir como um guia prático para o desenvolvimento e a implementação de procedimentos e controles de segurança da informação em uma organização COELHO ARAÚJO BEZERRA 2014 p 19 142 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO Acadêmico visando a sua atualização constante preparamos o UNI DICA referente aos avanços tecnológicos que afetam diretamente a forma de conscientização Verifique FIGURA 24 ESTRUTURA DO NOVO PADRÃO FONTE SEC AWARE 2020b p 1 31 ESTRUTURA DA ABNT NBR ISOIEC 2700220131 A norma ABNT NBR ISOIEC 270022013 é estruturada de maneira que forneça um código de boas práticas para que se possa gerir a segurança Segundo Coelho Araújo e Bezerra 2014 p 19 a norma é organizada em capítulos de 0 a 18 Os capítulos de 0 a 4 apresentam os temas de introdução 0 Escopo 1 Referência normativa 2 Termos e definições 3 e Estrutura desta norma 4 A partir do Capítulo 5 a norma passa a chamar cada capítulo de seção Atualmente o padrão está sendo revisado para contemplar coisas como Bring Your Own Device BYOD trazer seu próprio dispositivo computação em nuvem virtualização redes sociais pocket Information and Communication Technology ICT e Internet of Things IoT O padrão será renomeado como Controles de segurança da informação e terá a estrutura apresentada na Figura 24 e terceira edição deve ser publicada no final do ano de 2021 SEC AWARE 2020b ATENCAO TÓPICO 2 PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO ABNT NBR ISOIEC 270012013 E ABNT NBR ISOIEC 270022013 143 A Figura 25 acadêmico traz a sequência estrutural da norma trazendo as catorze seções específicas apresentando os códigos de práticas da gestão da segurança Cada seção define um ou mais objetivos de controle As catorze seções formam o total de 35 objetivos de controle A Seção 4 da norma apresenta sua estrutura COELHO ARAÚJO BEZERRA 2014 p 19 FIGURA 25 SEQUÊNCIA ESTRUTURAL DA NORMA FONTE Coelho Araújo e Bezerra 2014 p 20 De forma específica as seções 5 a 18 fornecem conselhos e orientações de implementação específicos sobre as melhores práticas de suporte aos controles especificados na ABNT NBR ISOIEC 27001 2013 A5 a A18 Seção 5 Políticas de segurança da informação Esta seção da norma trata da política de segurança da informação e seus requisitos O objetivo da categoria de controle é prover orientação e apoio da direção para a segurança da informação por meio do estabelecimento de uma política objetiva e clara de acordo com os objetivos de negócio da organização Nesta seção é apresentado como deve ser desenvolvido mantido e atualizado o documento referente a política de segurança da informação da organização COELHO ARAÚJO BEZERRA 2014 Para isso a seção da política de segurança da informação possui uma categoria principal conforme Figura 26 e esta categoria por sua vez traz dois controles 144 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO FIGURA 26 CATEGORIA OBJETIVO E CONTROLES DA SEÇÃO POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO FONTE Coelho Araújo e Bezerra 2014 p 21 O controle 511 traz nas Diretrizes para implementação o que convém que o documento da política contenha e a importância de que ela seja comunicada a todos Além disso coloca exemplos de políticas específicas para apoiarem as políticas de segurança da informação Já O controle 512 apresenta como convém que seja realizada a análise crítica pela direção da organização a intervalos planejados ou quando mudanças importantes ocorrerem COELHO ARAÚJO BEZERRA 2014 Seção 6 Organização da segurança da informação Esta seção da norma objetiva trazer os controles referentes à organização ter a estrutura necessária para realizar o gerenciamento da segurança da informação tanto de dentro da organização assim como os controles para manter a segurança dos recursos de processamento da informação quando forem disponibilizados por meio de trabalho remoto ou de dispositivos móveis COELHO ARAÚJO BEZERRA 2014 Portanto a seção da organização da segurança da informação traz os controles referentes à estrutura funcional em duas categorias principais conforme apresentadas na Figura 27 que possui cinco controles na categoria 61 e dois controles na categoria 62 Além disso a referida figura traz o objetivo de cada categoria e os seus respectivos controles TÓPICO 2 PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO ABNT NBR ISOIEC 270012013 E ABNT NBR ISOIEC 270022013 145 FIGURA 27 CATEGORIA OBJETIVO E CONTROLES DA SEÇÃO ORGANIZAÇÃO DA SEGURAN ÇA DA INFORMAÇÃO FONTE Adaptado de Coelho Araújo e Bezerra 2014 p 22 Seção 7 Segurança em recursos humanos Esta seção da norma trata dos controles referente a segurança da informação no decorrer do ciclo de vida que o profissional na organização irá prestar um serviço COELHO ARAÚJO BEZERRA 2014 Para isso a seção em recursos humanos possui três categorias conforme Figura 28 que se referem à fase antes de realizar a contratação durante essa contração e no encerramento e mudança da contratação A referida figura ainda traz os objetivos de cada categoria e os seus respectivos controles 146 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO FIGURA 28 CATEGORIA OBJETIVO E CONTROLES DA SEÇÃO SEGURANÇA EM RECURSOS HUMANOS FONTE Coelho Araújo e Bezerra 2014 p 24 Os controles em cada categoria são organizados dentro das necessidades mínimas de segurança a serem observadas em cada uma delas Desta forma a categoria 71 traz o processo de seleção e as condições dos contratos de recursos humanos a categoria 72 apresenta os controles de responsabilidades de capacitação dos recursos humanos em segurança da informação e do processo disciplinar caso ocorra uma violação da segurança da informação e por fim a categoria 73 traz os controles referentes à mudança de área de cargo promoção entre outras destacandose os controles de devolução de ativos e retirada de direitos de acesso COELHO ARAÚJO BEZERRA 2014 Veja o UNI IMPORTANTE que preparamos para você O controle 722 trata especificamente da conscientização educação e treinamento em segurança da informação IMPORTANTE TÓPICO 2 PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO ABNT NBR ISOIEC 270012013 E ABNT NBR ISOIEC 270022013 147 Seção 8 Gestão de Ativos Esta seção da norma trata dos controles de segurança de informação nas categorias 81 e 82 e traz os controles referentes a proteção dos ativos da organização na categoria 83 A Figura 29 traz cada uma dessas categorias o objetivo e os controles de cada categoria FIGURA 29 CATEGORIA OBJETIVO E CONTROLES DA SEÇÃO GESTÃO DE ATIVOS FONTE Coelho Araújo e Bezerra 2014 p 26 Seção 9 Controle de acesso Esta seção da norma trata dos controles de acesso lógico que são tratados aspectos referentes a privilégios de acesso acesso à rede senhas e afins A Figura 29 traz as quatro categorias desta seção o objetivo e os controles de cada categoria 148 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO FIGURA 30 CATEGORIA OBJETIVO E CONTROLES DA SEÇÃO CONTROLE DE ACESSO FONTE Adaptado de Coelho Araújo e Bezerra 2014 p 2829 Seção 10 Criptografia Esta seção da norma tem como objetivo assegurar tanto o uso efetivo da criptografia quanto ela ser adequada Para isso a seção criptografia possui uma categoria principal contendo os dois controles apresentados na FIGURA 31 assim como objetivo da categoria ali colocado TÓPICO 2 PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO ABNT NBR ISOIEC 270012013 E ABNT NBR ISOIEC 270022013 149 FIGURA 31 CATEGORIA OBJETIVO E CONTROLES DA SEÇÃO CRIPTOGRAFIA FONTE Coelho Araújo e Bezerra 2014 p 30 Seção 11 Segurança física e de ambiente Esta seção da norma trata da segurança física e de ambiente Para isso a seção foi estruturada em duas categorias uma referente às áreas seguras e outra referente aos equipamentos A Figura 32 traz o objetivo de cada uma dessas categorias bem como expõe os respectivos controles FIGURA 32 CATEGORIA OBJETIVO E CONTROLES DA SEÇÃO SEGURANÇA FÍSICA E DO AMBIENTE FONTE Coelho Araújo e Bezerra 2014 p 32 150 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO Seção 12 Segurança nas operações Esta seção da norma trata das operações dos serviços tecnológicos da organização Para isso a seção possui sete categorias que apresentam controles que convêm serem aplicados no dia a dia das operações e comunicações da organização Cada umas dessas categorias seus objetivos e os controles correspondentes estão contidos na Figura 33 De acordo com Coelho Araújo e Bezerra 2014 p 33 É a seção que apresenta os controles de segurança que atendem à maioria das vulnerabilidades relativas a aspectos operacionais do cotidiano da área de TIC FIGURA 33 CATEGORIA OBJETIVO E CONTROLES DA SEÇÃO SEGURANÇA NAS OPERAÇÕES FONTE Adaptado de Coelho Araújo e Bezerra 2014 p 3436 TÓPICO 2 PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO ABNT NBR ISOIEC 270012013 E ABNT NBR ISOIEC 270022013 151 Veja agora o UNI IMPORTANTE que preparamos para você O controle 1221 controles contra malware se refere aos controles de detecção e prevenção para que a organização se proteja de malware aliado ao programa de conscientização do usuário que a organização deve realizar IMPORTANTE Seção 13 Segurança nas comunicações Esta seção da norma trata dos controles que são necessários para existir segurança nas comunicações distribuídos em duas categorias Cada umas dessas categorias seus objetivos e os controles correspondentes das categoria estão contidos na Figura 34 FIGURA 34 CATEGORIA OBJETIVO E CONTROLES DA SEÇÃO SEGURANÇA NAS COMUNICAÇÕES FONTE Coelho Araújo e Bezerra 2014 p 38 Seção 14 Aquisição desenvolvimento e manutenção de sistemas Esta seção da norma trata os controles referentes às atividades de aquisição desenvolvimento e manutenção de sistemas tendo como objetivo desenvolver a segurança da informação nos aplicativos existentes da organização Desta forma ela possui seis categorias principais Cada umas dessas categorias seus objetivos e os controles correspondentes da categoria estão contidos na Figura 35 152 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO FIGURA 35 CATEGORIA OBJETIVO E CONTROLES DA SEÇÃO AQUISIÇÃO DESENVOLVI MENTO E MANUTENÇÃO DE SISTEMAS FONTE Adaptado de Coelho Araújo e Bezerra 2014 p 4042 Seção 15 Relacionamento na cadeia de suprimento Esta seção da norma se refere ao processo de segurança na relação com os fornecedores Desta forma ela possui duas categorias principais Cada umas dessas categorias seus objetivos e os controles correspondentes da categoria estão contidos na Figura 36 TÓPICO 2 PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO ABNT NBR ISOIEC 270012013 E ABNT NBR ISOIEC 270022013 153 FIGURA 36 CATEGORIA OBJETIVO E CONTROLES DA SEÇÃO RELACIONAMENTO NA CA DEIA DE SUPRIMENTOS FONTE Coelho Araújo e Bezerra 2014 p 43 Seção 16 Gestão de incidentes de segurança da informação Esta seção da norma trata de como ocorre a notificação de eventos relacionados à segurança as responsabilidades e a coleta de evidências Desta forma ela possui uma categoria principal e seis controles A categoria seu objetivo e os controles correspondentes da categoria estão contidos na Figura 37 FIGURA 37 CATEGORIA OBJETIVO E CONTROLES DA SEÇÃO GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO FONTE Coelho Araújo e Bezerra 2014 p 44 154 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO Seção 17 Aspectos da segurança da informação na gestão da continuidade do negócio Esta seção da norma se refere às questões de continuidade do negócio se ocorrer algum desastre Desta forma ela possui duas categorias principais Cada umas dessas categorias seus objetivos e os controles correspondentes da categoria estão contidos na Figura 38 FIGURA 38 CATEGORIA OBJETIVO E CONTROLES DA SEÇÃO ASPECTOS DA SEGURANÇA DA INFORMAÇÃO NA GESTÃO DA CONTINUIDADE DO NEGÓCIO FONTE Coelho Araújo e Bezerra 2014 p 46 Seção 18 Conformidade A Figura 39 traz a categoria os objetivos e os controles da Seção 18 conformidade TÓPICO 2 PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO ABNT NBR ISOIEC 270012013 E ABNT NBR ISOIEC 270022013 155 FIGURA 39 CATEGORIA OBJETIVO E CONTROLES DA SEÇÃO CONFORMIDADE FONTE Coelho Araújo e Bezerra 2014 p 47 Esta é a última seção da norma e ela trata de estabelecer que os requisitos de segurança da informação estejam em conformidade com qualquer tipo de legalidade legislação como as de estatutos regulamentações ou obrigações contratuais Desta forma ela possui duas categorias principais Por fim trouxemos na Figura 39 cada umas dessas categorias seus objetivos e os controles correspondentes 156 RESUMO DO TÓPICO 2 Neste tópico você aprendeu que A International Organization for Standardization ISO é uma organização com sede em Genebra na Suíça que foi fundada no ano de 1946 A ISO tem como objetivo desenvolver e promover normas que possam ser usadas da mesma forma em todos os países do mundo A Associação Brasileira de Normas Técnicas ABNT é uma entidade sem fins lucrativos que representa a ISO As Normas Brasileiras BNR objetivam aumentar o processo produtivo das organizações bem como entregar o produto de maior qualidade e aumentar a competitividade destes produtos A ABNT NBR ISOIEC 27000 fornece a visão geral dos Sistemas de Gerenciamento de Segurança da Informação SGSI e os termos e definições comumente utilizados na família de padrões SGSI A ABNT NBR ISOIEC 270012013 e a ABNT NBR ISOIEC 27002 2013 fazem parte da família ABNT NBR ISOIEC 27000 que abrangem a gestão da segurança da informação A ABNT NBR ISOIEC 27001 específica formalmente um Sistema de Gerenciamento de Segurança da Informação SGSI contendo um conjunto de atividades relacionadas ao gerenciamento de riscos de informações chamado dentro da norma de riscos à segurança da informação O SGSI é uma estrutura de gerenciamento abrangente por meio da qual a organização identifica analisa e aborda seus riscos de informações O SGSI garante que os arranjos de segurança sejam ajustados para acompanhar as mudanças nas ameaças à segurança vulnerabilidades e impactos nos negócios A Norma também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização ABNT NBR ISOIEC 27001 2013 p 1 A ABNT NBR ISOIEC 27001 não exige formalmente controles específicos de segurança da informação uma vez que os controles necessários variam de acordo com o tipo da organização As organizações que adotam a ABNT NBR ISOIEC 27001 são livres para escolher os controles específicos de segurança da informação aplicáveis a seus riscos específicos baseandose nos controles existentes 157 Os controles da norma são apresentados como boas práticas para que a organização adote uma postura preventiva e pró ativa diante das suas necessidades e requisitos de segurança da informação COELHO ARAÚJO BEZERRA 2014 p 20 A ABNT NBR ISOIEC 27001 tem na sua estrutura as seções de 0 a 10 o anexo A e as bibliografias Na Introdução 0 da ABNT NBR ISOIEC 27001 é descrito um processo para gerenciar sistematicamente os riscos à informação No Escopo 1 da ABNT NBR ISOIEC 27001 é especificado os requisitos genéricos do SGSI adequados para organizações de qualquer tipo tamanho ou natureza Nas Referências normativas 2 da ABNT NBR ISOIEC 27001 apenas a ABNT NBR ISOIEC 27000 é considerada essencial para os usuários da 27001 sendo as demais normas ISO27k opcionais Nos Termos e definições 3 da ABNT NBR ISOIEC 27001 são colocadas as definições que devem ser utilizadas Da quarta cláusula em diante da ABNT NBR ISOIEC 27001 se busca de maneira objetiva e de forma genérica apresentar os requisitos que são aplicáveis a todas as organizações independentemente do tipo tamanho ou natureza da organização A Seção 4 da ABNT NBR ISOIEC 27001 se refere a compreender o contexto organizacional as necessidades e expectativas das partes interessadas que definem o escopo do SGSI e a etapa 44 desta secção traz o que a organização deve estabelecer implementar manter e ter melhoria contínua no SGSI A Seção 5 da ABNT NBR ISOIEC 27001 está relacionada a alta gerência demonstrar liderança e compromisso com o SGSI determinando políticas e atribuindo funções responsabilidades e autoridades responsáveis pela segurança da informação A Seção 6 da ABNT NBR ISOIEC 27001 descreve o processo de identificação análise e planejamento de como os riscos às informações devem ser tratados e esclarece os objetivos de segurança das informações A Seção 7 da ABNT NBR ISOIEC 27001 se refere a adequação dos recursos e as competências a serem atribuídas bem como a realização da conscientização a documentação e o controle A Etapa 73 Conscientização da seção 7 da ABNT NBR ISOIEC 27001 trata especificamente da conscientização como seu próprio nome diz A Seção 8 da ABNT NBR ISOIEC 27001 traz de forma um pouco mais detalhadamente sobre como avaliar e tratar riscos de informações gerenciar mudanças e realizar a documentação 158 A Seção 9 da ABNT NBR ISOIEC 27001 se refere a monitorar medir analisar e avaliarauditaranalisar os controles processos do SGSI melhorando sistematicamente as coisas sempre que necessário A Seção 10 da ABNT NBR ISOIEC 27001 aborda as conclusões de auditorias e revisões como por exemplo nãoconformidades e ações corretivas tratando de fazer aprimoramentos contínuos no SGSI O Anexo A da ABNT NBR ISOIEC 270012013 apresenta uma visão geral de quais controles podemos aplicar de maneira a não esquecermos algum controle que poderia passar desapercebido O Anexo A da ABNT NBR ISOIEC 27001 traz os objetivos e controles de referência apresentando uma lista de títulos das seções de controle na ABNT NBR ISOIEC 27002 e o detalhamento dos controles incluindo as orientações de como realizar a implementação fazem parte da ABNT NBR ISOIEC 27002 para obter mais detalhes úteis sobre os controles incluindo orientações de implementação A ABNT NBR ISOIEC 270022013 fornece uma lista de objetivos de controles comumente aceitos e de melhores práticas como forma de orientar a implementação de controles na obtenção da segurança da informação A norma ABNT NBR ISOIEC 270022013 é estruturada de maneira que forneça um código de boas práticas para que se possa gerir a segurança a norma é organizada em capítulos de 0 a 18 Os capítulos de 0 a 4 apresentam os temas de introdução 0 Escopo 1 Referência normativa 2 Termos e definições 3 e Estrutura desta norma 4 A partir do capítulo 5 a norma passa a chamar cada capítulo de seção COELHO ARAÚJO BEZERRA 2014 p 19 As Seções 5 a 18 da ABNT NBR ISOIEC 270022013 fornecem conselhos e orientações de implementação específicos sobre as melhores práticas de suporte aos controles especificados na ABNT NBR ISOIEC 27001 2013 A5 a A18 A Seção 5 da ABNT NBR ISOIEC 270022013 trata da política de segurança da informação e seus requisitos O objetivo da categoria de controle é prover orientação e apoio da direção para a segurança da informação por meio do estabelecimento de uma política objetiva e clara de acordo com os objetivos de negócio da organização A Seção 6 da ABNT NBR ISOIEC 270022013 objetiva trazer os controles referentes à organização ter a estrutura necessária para realizar o gerenciamento da segurança da informação tanto de dentro da organização assim como os controles para manter a segurança dos recursos de processamento da informação quando forem disponibilizados por meio de trabalho remoto ou de dispositivos móveis A Seção 7 da ABNT NBR ISOIEC 270022013 trata dos controles referentes à segurança da informação no decorrer do ciclo de vida que o profissional na organização irá prestar um serviço 159 A Seção 8 da ABNT NBR ISOIEC 270022013 trata dos controles de segurança de informação nas categorias 81 e 82 e traz os controles referentes a proteção dos ativos da organização na categoria 83 A Seção 9 da ABNT NBR ISOIEC 270022013 trata dos controles de acesso lógico que são tratados aspectos referentes a privilégios de acesso acesso à rede senhas e afins A Seção 10 da ABNT NBR ISOIEC 270022013 tem como objetivo assegurar tanto o uso efetivo da criptografia quanto ela ser adequada e adequado da criptografia A Seção 11 da ABNT NBR ISOIEC 270022013 trata da segurança física e de ambiente Para isso a seção foi estruturada em duas categorias uma referente às áreas seguras e outra referente aos equipamentos A Seção 12 da ABNT NBR ISOIEC 270022013 trata das operações dos serviços tecnológicos da organização A Seção 13 da ABNT NBR ISOIEC 270022013 trata dos controles que são necessários para existir segurança nas comunicações distribuídos em duas categorias A Seção 14 da ABNT NBR ISOIEC 270022013 trata os controles referentes às atividades de aquisição desenvolvimento e manutenção de sistemas A Seção 15 da ABNT NBR ISOIEC 270022013 se refere ao processo de segurança na relação com os fornecedores A Seção 16 da ABNT NBR ISOIEC 270022013 trata de como ocorre a notificação de eventos relacionados à segurança às responsabilidades e à coleta de evidências A Seção 17 da ABNT NBR ISOIEC 270022013 se refere às questões de continuidade do negócio se ocorrer algum desastre A Seção 18 da ABNT NBR ISOIEC 270022013 trata de estabelecer que os requisitos de segurança da informação estejam em conformidade com qualquer tipo de legalidade legislação como as de estatutos regulamentações ou obrigações contratuais 160 1 A International Organization for Standardization ISO é uma organização com sede em Genebra na Suíça que foi fundada no ano de 1946 A ISO tem como objetivo desenvolver e promover normas que possam ser usadas da mesma forma em todos os países do mundo Já a Associação Brasileira de Normas Técnicas ABNT é uma entidade sem fins lucrativos que representa a ISO Ela ajuda a promover o desenvolvimento tecnológico do nosso país com a padronização de documentos e de processos produtivos por meio do estabelecimento das Normas Brasileiras NBR Qual sigla tem em sua definição o objetivo de aumentar o processo produtivo das organizações brasileiras bem como entregar o produto de maior qualidade e aumentar a competitividade destes produtos a NBRs b ISO c ABNT d NIST 2 A ABNT NBR ISOIEC 27000 fornece a visão geral dos Sistemas de Gerenciamento de Segurança da Informação SGSI e os termos e definições comumente utilizados na família de padrões SGSI A ABNT NBR ISOIEC 270012013 e a ABNT NBR ISOIEC 27002 2013 fazem parte da família ABNT NBR ISOIEC 27000 que abrangem a gestão da segurança da informação Referente à ABNT NBR ISOIEC 270012013 analise as sentenças a seguir classificando com V as sentenças verdadeiras e com F as falsas A ABNT NBR ISOIEC 27001 específica formalmente um Sistema de Gerenciamento de Segurança da Informação SGSI A ABNT NBR ISOIEC 27001 contém um conjunto de atividades relacionadas ao gerenciamento de riscos de informações chamado dentro da norma de riscos à segurança da informação A ABNT NBR ISOIEC 27001 adota o modelo conhecido como PlanDo CheckAct PDCA A ABNT NBR ISOIEC 27001 é aplicada para estruturar todas as políticas da organização Assinale a alternativa com a sequência CORRETA a V V V F b V F V F c F V V F d F F V V 3 A norma ISO 27001 adota o modelo conhecido como PlanDoCheckAct PDCA O modelo PDCA é aplicado para estruturar todos os processos do SGSI Este modelo é composto por um conjunto de ações de forma sequencial e é estabelecido pelas letras pertencentes a sigla Referente ao modelo analise as sentenças a seguir classificando com V as sentenças verdadeiras e com F as sentenças falsas AUTOATIVIDADE 161 O P se refere ao Plan de planejar O D se refere ao Do de verificar O C se refere ao Check de controlar O A se refere ao Act de agir atuar corretivamente Assinale a alternativa com a sequência CORRETA a V V F F b V F V F c V F V V d F F V V 4 A ABNT NBR ISOIEC 27001 não exige formalmente controles específicos de segurança da informação uma vez que os controles necessários variam de acordo com o tipo da organização As organizações que adotam a ABNT NBR ISOIEC 27001 são livres para escolher os controles específicos de segurança da informação aplicáveis a seus riscos específicos baseandose nos controles existentes Referente a esses controles analise as sentenças a seguir classificando com V as sentenças verdadeiras e com F as sentenças falsas Os controles da norma são apresentados como boas práticas para que a organização adote uma postura preventiva diante das necessidades e requisitos de segurança da informação Os controles da norma são apresentados como boas práticas para que a organização adote uma postura proativa diante das necessidades e requisitos de segurança da informação O controle P se refere ao planejamento O controle D se refere ao fazer executar Assinale a alternativa com a sequência CORRETA a F F F F b V V V V c F V V F d V V F F 5 A ABNT NBR ISOIEC 27001 tem na sua estrutura as seções de 0 a 10 o anexo A e as bibliografias Na Seção 0 Introdução é descrito um processo para gerenciar sistematicamente os riscos à informação no 1 Escopo são especificados os requisitos genéricos do SGSI adequados para organizações de qualquer tipo tamanho ou natureza em 2 Referências normativas apenas a ABNT NBR ISOIEC 27000 é considerada essencial para os usuários da 27001 sendo as demais normas ISO27k opcionais e na seção 3 Termos e definições são colocadas as definições que devem ser utilizadas Quais das seções a seguir se refere a compreender o contexto organizacional as necessidades e expectativas das partes interessadas que definem o escopo do SGSI a Seção 4 Contexto da organização b Seção 5 Liderança c Seção 6 Planejamento d Seção 7 Apoio 163 UNIDADE 2 1 INTRODUÇÃO Wilson e Hash 2003 identificaram quatro etapas críticas no ciclo de vida do plano em conscientização e treinamento em segurança da informação Agora tire uns minutos para analisar o Quadro 11 pois ele traz uma breve descrição de cada uma destas etapas para sua melhor compreensão QUADRO 11 QUATRO ETAPAS CRÍTICAS DO CICLO DE VIDA ETAPA DESCRIÇÃO Projeto de conscientização e treinamento Nesta etapa é realizada uma avaliação das necessidades da organização e uma estratégia de treinamento é desenvolvida e aprovada Esse documento de planejamento estratégico identifica as tarefas de implementação a serem executadas em apoio às metas estabelecidas de treinamento em segurança da organização Conscientização e desenvolvimento de materiais de treinamento Esta etapa se concentra nas fontes de treinamento disponíveis escopo conteúdo e desenvolvimento de material de treinamento incluso solicitação de assistência do contratado nos casos que se fizer necessário Implementação do programa Esta etapa aborda tanto a comunicação eficaz quanto a implementação do plano de conscientização e treinamento Além disso aborda as opções para a entrega de material de conscientização e treinamento baseado na Web ensino a distância vídeo no local etc TÓPICO 3 CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 80050 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST 164 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO Pósimplementação Esta etapa fornece orientação para manter o plano atualizado e métodos de feedback eficazes são descritos em pesquisas grupos focais benchmarking etc FONTE Adaptado de Wilson e Hash 2003 Agora vamos avançar em cada uma das etapas do ciclo do programa de conscientização e treinamento de segurança de TI que foi adaptado especialmente para você da edição especial 80050 do NIST versão ativa WILSON HASH 2003 2 ETAPA 1 PROJETO DE CONSCIENTIZAÇÃO E TREINAMENTO A postura de segurança de TI e a vigilância dentro de uma organização melhora consideravelmente quando existe algum tipo de conscientização e treinamento em segurança de TI Vamos iniciar esta etapa começando pela primeira etapa do plano que é projetar o programa Para isso os programas de conscientização e treinamento devem ser projetados com a missão da organização em mente É importante que o programa de conscientização e treinamento ofereça suporte às necessidades de negócio da organização e seja relevante tanto para a cultura quanto para a arquitetura de TI da organização Os programas mais bemsucedidos são aqueles que os usuários consideram relevantes os assuntos e os problemas que são apresentados A criação de um programa de conscientização e treinamento em segurança de TI responde à pergunta Qual é o nosso plano para desenvolver e implementar oportunidades de conscientização e treinamento em conformidade com as diretivas existentes Nesta etapa do plano as necessidades de conscientização e treinamento da organização precisam ser identificadas para que um plano eficaz seja desenvolvido Além disso você deve ter em mente que se deve buscar a adesão da organização e posteriormente estabelecer quais são as prioridades do programa Nesta fase é descrito Como estruturar a atividade de conscientização e treinamento Como e por que realizar uma avaliação de necessidades Como desenvolver um plano de conscientização e treinamento Como estabelecer prioridades Como definir o nível de complexidade do objeto adequadamente Como financiar o programa de conscientização e treinamento ATENCAO TÓPICO 3 CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 80050 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST 165 21 ESTRUTURANDO O PROGRAMA Um programa de conscientização e treinamento pode ser projetado desenvolvido e implementado de diferentes maneiras Queremos destacar para você que são três as abordagens ou modelos comumente aceitos sendo eles Modelo 1 Política estratégia e implementação centralizada Modelo 2 Política e estratégia centralizada implementação distribuída Modelo 3 Política centralizada estratégia distribuída e implementação Você deve se perguntar do que depende a escolha do modelo a ser adotado A escolha do modelo adotado e estabelecido para supervisionar a atividade do programa de conscientização e treinamento dependem i do tamanho e a dispersão geográfica da organização ii das funções e das responsabilidades organizacionais definidas iii das alocações e autorizações do orçamento 22 AVALIANDO AS NECESSIDADES A avaliação das necessidades pode ser utilizada para determinar as necessidades de conscientização e do treinamento de uma organização Os resultados obtidos nesta avaliação podem trazer justificativas relevantes para que você convença a gerência na alocação dos recursos adequados e atenda às necessidades de conscientização e treinamento que foram identificadas Desta forma é importante que você tenha em mente que para conduzir uma avaliação de necessidades é importante que o pessoalchave esteja todo envolvido e das funções mínimas que precisam ser realizadas Agora tire uns minutos para analisar o Quadro 12 que contém essas funções Sugerimos a leitura das páginas 1216 da Publicação Especial NIST 80055 disponível no link httpscsrcnistgovpublicationsdetailsp80055rev1final para o detalhamento de cada um destes três modelos DICAS 166 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO QUADRO 12 FUNÇÕES NECESSÁRIAS FUNÇÃO DESCRIÇÃO Gerente executivo Os líderes organizacionais precisam entender completamente as diretrizes e leis que formam a base do programa de segurança Eles também precisam compreender suas funções de liderança para garantir a total conformidade dos usuários em suas unidades Pessoal de segurança gerentes de programas de segurança e agentes de segurança Essas pessoas atuam como consultoras especializadas para sua organização e portanto devem ser bem informadas sobre a política de segurança e as melhores práticas aceitas Proprietários do sistemas Os proprietários devem ter um amplo entendimento da política de segurança e um grau alto de entendimento sobre os controles e requisitos de segurança aplicáveis aos sistemas que gerenciam Administradores de sistema e pessoal de suporte de TI Colaboradores que possuem um grau alto de autoridade sobre as operações de suporte críticas para um programa de segurança bemsucedido essas pessoas precisam ter conhecimento técnico em práticas e implementação de segurança eficazes Gerentes operacionais e usuários do sistema Esses colaboradores precisam de um grau elevado de conscientização e treinamento em segurança sobre controles de segurança e regras de comportamento para os sistemas que eles usam para conduzir operações comerciais FONTE Adaptado de Wilson e Hash 2003 As necessidades de conscientização e treinamento em segurança de TI podem ser levantadas de diversas fontes de informações da organização e elas podem ser coletadas de diferentes maneiras Algumas das técnicas que podem ser utilizadas para coletar as informações são Entrevistas com todos os principais grupos e organizações identificados Pesquisas organizacionais Revisão e avaliação do material disponível como material atual de conscientização e treinamento cronogramas de treinamento e listas de participantes TÓPICO 3 CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 80050 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST 167 Análise de métricas relacionadas à conscientização e treinamento Por exemplo porcentagem de usuários que completam a sessão ou exposição de conscientização necessária porcentagem de usuários com responsabilidades significativas de segurança que foram treinadas em material específico da função Revisão dos planos de segurança para sistemas gerais de suporte e aplicativos principais para identificar proprietários de sistemas e aplicativos e representantes de segurança nomeados Revisão dos bancos de dados de identificação do usuário do inventário do sistema e do aplicativo para determinar todos os que têm acesso Revisão de todas as descobertas eou recomendações dos órgãos de supervisão como por exemplo inquérito do Congresso inspetor geral programa de revisãoauditoria interna e controles internos ou análises de programas sobre o programa de segurança de TI Conversas e entrevistas com a gerência proprietários de suporte geral sistemas e aplicativos principais e outra equipe da organização cujas funções comerciais dependem de TI A análise de eventos como ataques de negação de serviço alterações no site sequestro de sistemas usados em ataques subsequentes ataques de vírus bemsucedidos Estes podem indicar a necessidade de treinamento ou treinamento adicional de grupos específicos de pessoas Revisão de quando são realizadas as alterações técnicas ou de infraestrutura O estudo das tendências identificadas pela primeira vez em publicações da indústria acadêmicas ou governamentais ou por organizações de treinamentoeducação O uso desses sistemas de alerta precoce pode fornecer informações referente um problema dentro da organização que ainda não foi visto como um problema Você deve se perguntar se existe alguma forma de identificar as necessidades de conscientização e treinamento de uma maneira eficaz Sim existe As métricas são uma ferramenta importante e eficaz que pode ser utilizada nesta atividade As métricas servem para monitorar se as metas e os objetivos do plano foram atingidos Cabe lembrar que elas também quantificam o nível da eficácia e da eficiência analisando a adequação dos esforços de conscientização e treinamento e identificando possíveis melhorias Para uma discussão completa sobre métricas consulte a Publicação Especial NIST 80055 disponível no link httpscsrcnistgovpublicationsdetailsp80055rev1 final Guia de Métricas de Segurança para Sistemas de Tecnologia da Informação DICAS 168 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO Cabe destacar ainda que um aspecto importante da avaliação é avaliar a existência dos recursos necessários para que o programa seja realizado Por exemplo se o material elaborado no plano fizer uso de abordagens apoiadas pela tecnologia é necessário que se realize na avaliação técnica referente às plataformas que serão utilizadas no programa tais como rede estações de trabalho placas de vídeo altofalantes etc Isso é necessário para determinar se existe ambiente na organização para que o programa de conscientização seja implementado Da mesma forma se a organização planeja fornecer treinamento em sala de aula a avaliação das necessidades deve identificar se existe espaço adequado para um ambiente de ensino aprendizagem As questões de recursos humanos incluindo colaboradores com alguma necessidade especial devem ser avaliadas assim como questões sindicais inexistentes que podem surgir a partir desse momento Após a conclusão da avaliação das necessidades as informações necessárias para desenvolver um plano de conscientização e treinamento estarão disponíveis O plano deve abranger toda a organização e incorporar as prioridades identificadas pela avaliação de necessidades 23 DESENVOLVENDO A ESTRATÉGIA E O PLANO DE CONSCIENTIZAÇÃO E TREINAMENTO A conclusão da avaliação de necessidades permite que uma organização externa ou órgão regulamentado desenvolva uma estratégia para desenvolver implementar e manter seu programa de conscientização e treinamento em segurança de TI O plano do programa é o documento de trabalho que contém os elementos que compõem essa estratégia Portanto é fundamental que você se atente para os seguintes elementos que devem ser discutidos no plano do programa Política nacional e local existente que requer a conscientização e o treinamento a serem realizados A análise das informações coletadas deve fornecer respostas para as principais perguntas Que tipo de conscientização treinamento eou educação são necessários O que está sendo realizado atualmente para atender a essas necessidades Qual é o status atual em relação a como essas necessidades estão sendo atendidas ou seja quão bem os esforços atuais estão funcionando Onde estão as lacunas entre as necessidades e o que está sendo feito ou seja o que mais precisa ser feito Quais necessidades são mais críticas IMPORTANTE TÓPICO 3 CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 80050 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST 169 Escopo do programa de conscientização e treinamento Funções e responsabilidades do pessoal da organização que deve projetar desenvolver implementar e manter o material de conscientização e treinamento e que deve garantir que os usuários apropriados atendam ou visualizem o material aplicável Metas a serem alcançadas para cada aspecto do programa como por exemplo conscientização treinamento educação desenvolvimento profissional certificação Públicoalvo para cada aspecto do programa Cursos ou materiais obrigatórios e se aplicável opcionais para cada públicoalvo Objetivos de aprendizagem para cada aspecto do programa Tópicos a serem abordados em cada sessão ou curso Métodos de implantação a serem usados para cada aspecto do programa Documentação feedback e evidência de aprendizado para cada aspecto do programa Avaliação e atualização de material para cada aspecto do programa Frequência em que cada públicoalvo deve ser exposto ao material 24 ESTABELECENDO PRIORIDADES Depois que a estratégia e o plano do programa de conscientização e treinamento em segurança forem finalizados deve ser estabelecido um cronograma de implementação Às vezes é necessário que a implementação ocorra em fases Por exemplo você precisa analisar se existem restrições orçamentárias e disponibilidade de recursos Dessa forma é importante decidir quais fatores serão usados para determinar as prioridades e a sequência em que elas acontecem Agora tire uns minutos para analisar o Quadro 13 que contém os principais fatores a serem analisados QUADRO 13 PRINCIPAIS FATORES A SEREM CONSIDERADOS DESCRIÇÃO Disponibilidade de material e recursos Se o material de conscientização e treinamento e os recursos necessários estiverem prontamente disponíveis as principais iniciativas do plano poderão ser agendadas com antecedência No entanto se o material do curso deve ser desenvolvido eou os instrutores precisam ser identificados e programados esses requisitos devem ser considerados na definição de prioridades 170 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO Papel e impacto organizacional É muito comum abordar a prioridade em termos de função e risco organizacional As iniciativas de conscientização de base ampla que atendem ao mandato amplo da empresa podem receber alta prioridade porque as regras de boas práticas de segurança podem ser entregues rapidamente à força de trabalho Além disso é comum observar posições de alta confiançaalto impacto Por exemplo gerentes de programas de segurança de TI agentes de segurança administradores de sistema e administradores de segurança cujas posições na organização foram determinadas como tendo uma sensibilidade mais alta Outro ponto é garantir que elas recebam alta prioridade na estratégia de lançamento Esses tipos de posições geralmente são proporcionais ao tipo de acesso e a qual sistema esses usuários possuem Estado atual de conformidade Envolve examinar as principais lacunas no programa de conscientização e treinamento por exemplo análise de lacunas e direcionar áreas deficientes para a implantação antecipada Dependências críticas do projeto Se houver projetos dependentes de um segmento de treinamento de segurança para preparar os requisitos necessários para o sistema envolvido Por exemplo novo sistema operacional firewalls redes virtuais privadas Portanto é importante que o cronograma de treinamento estabelecido garanta que o treinamento ocorre dentro do prazo estipulado Dessa forma é necessário lidar com as dependências existentes FONTE Adaptado de Wilson e Hash 2003 25 ESTABELECENDO O PADRÃO Estabelecer o padrão ou estabelecer o parâmetro significa que uma decisão deve ser tomada quanto à complexidade do material que será desenvolvido Dessa forma você precisa pensar que a complexidade na elaboração é proporcional ao papel exercido pela pessoa que terá o esforço do aprendizado e deve ser desenvolvido com base em dois critérios importantes i a posição do participante alvo dentro da organização e ii o conhecimento das habilidades de segurança necessárias para a posição exercida por esse participante Destacamos ainda que essa complexidade do material deve ser determinada antes do início do desenvolvimento TÓPICO 3 CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 80050 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST 171 Ao estabelecer o padrão de esforço do programa o foco deve estar nas regras de comportamento esperadas para o uso dos sistemas Essas regras devem vir diretamente da política da organização e elas devem ser aplicadas a todos da organização Para isso é necessário que elas sejam explicadas de forma clara não deixando margem para erros desculpas ou malentendidos O item 5 traz a 4ª etapa do plano a etapa de pósimplementação nela discutiremos o aumento do padrão que foi estabelecido ATENCAO Estabelecer o padrão significa que deve ser tomada uma decisão quanto à complexidade do material que será desenvolvido e deve ser aplicado aos três tipos de aprendizado conscientização treinamento e educação IMPORTANTE O padrão estabelecido pode ser aumentado à medida que o programa de conscientização amadurece e a maioria dos usuários é exposta ao material inicial IMPORTANTE Queremos ainda destacar para você que definir o padrão corretamente é ainda mais importante ao desenvolver o material de treinamento devido que o objetivo do treinamento é produzir as habilidades e as competências relevantes necessárias Portanto é crucial que a avaliação das necessidades identifique os indivíduos com responsabilidades significativas de segurança de TI avalie suas funções e identifique quais são as reais necessidades de conscientização e treinamento Desta forma o material a ser desenvolvido precisa fornecer o conjunto de habilidades necessárias para que os participantes cumpram as responsabilidades de segurança associadas à sua função O material de treinamento de segurança de TI pode ser desenvolvido em um nível inicial para uma pessoa que está apenas aprendendo a disciplina por exemplo para o administrador do sistema administrador de servidor Web ou de email um auditor etc Assim como o material pode ser desenvolvido em um nível intermediário ou seja para alguém que tem 172 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO mais experiência e portanto mais responsabilidade em uma disciplina É possível desenvolver material avançado para os centros de excelência ou especialistas no assunto da organização cujos trabalhos incorporam o mais alto nível de confiança e consequentemente um alto nível de responsabilidade de segurança de TI Depois que as necessidades educacionais são identificadas dentro de uma organização geralmente as organizações buscam alguma empresa especializada para realizar o programa 26 FINANCIAMENTO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO EM SEGURANÇA Uma vez que a estratégia de conscientização e treinamento tenha sido acordada e as prioridades tenham sido estabelecidas você deve se atentar que os requisitos de financiamento devem ser adicionados ao plano Uma determinação deve ser feita em relação à qual será a extensão do financiamento e o suporte necessário a ser alocado com base nos modelos de implementação discutidos em nosso item 21 Dessa forma o diretor de informática da organização deve enviar uma mensagem clara sobre as expectativas de conformidade nessa área As abordagens usadas para determinar as fontes de financiamento devem ser analisadas com base no orçamento existente ou previsto em alguma prioridade da organização O plano deve ser visto como um conjunto de requisitos mínimos a serem atendidos e esses requisitos devem ser compatíveis com uma perspectiva contratual ou orçamental Os requisitos contratuais devem ser especificados na documentação vinculada como de memorando contratos etc As abordagens usadas para expressar o requisito de financiamento podem incluir Percentual do orçamento geral de treinamento A alocação por usuário por função Um exemplo disso seria o treinamento dos principais colaboradores de segurança e administradores de sistema será mais caro que o treinamento geral de segurança para aqueles na organização que não executam funções específicas de segurança Porcentagem do orçamento geral de TI O Capítulo 4 da publicação especial NIST 80016 disponível no link httpscsrc nistgovpublicationsdetailsp80016final fornece orientação sobre o desenvolvimento de material de treinamento para esses três níveis de complexidade incluindo objetivos de aprendizado em cada um dos três níveis DICAS TÓPICO 3 CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 80050 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST 173 Alocações explícitas por componente com base nos custos gerais de implementação Os problemas na implementação do plano de conscientização e treinamento em segurança podem ocorrer quando as iniciativas de conscientização e treinamento em segurança são consideradas com prioridade mais baixa do que outras iniciativas da organização É de responsabilidade do diretor de informática avaliar as prioridades concorrentes e desenvolver uma estratégia para solucionar qualquer déficit de financiamento que possa afetar a capacidade da organização de cumprir os requisitos de treinamento em segurança existentes Isso pode significar ajustar a estratégia de conscientização e treinamento para estar mais alinhada com o orçamento disponível fazer lobby por financiamento adicional ou direcionar a realocação dos recursos atuais Também pode significar que o plano de implementação pode ser implementado em etapas durante um período predefinido à medida que o financiamento se torna disponível 3 ETAPA 2 DESENVOLVIMENTO DE MATERIAIS DE CONSCIENTIZAÇÃO E DE TREINAMENTO Uma vez elaborado o programa de conscientização e treinamento é possível desenvolver material de apoio Mas o que devemos incluir no material O material deve ser desenvolvido tendo o seguinte em mente Que comportamento queremos reforçar Consciência Qual habilidade ou habilidades queremos que o público aprenda e aplique Treinamento Nos dois casos o foco deve estar no material específico que os participantes devem incorporar nas atividades exercidas no trabalho Os participantes prestarão atenção e incorporarão o que veem ou ouvem em uma sessão se sentirem que o material foi desenvolvido especificamente para eles A apresentação não pode ser engessada ou mesmo impessoal ou para um público em geral para que ela não seja lembrada como mais uma das sessões anuais de estamos aqui porque precisamos estar aqui Um programa de conscientização e treinamento pode ser eficaz somente se o material for interessante e atual Em algum momento se você for o responsável pela elaboração do material você fará a seguinte pergunta Estou desenvolvendo material de conscientização ou treinamento Geralmente como o objetivo do material de conscientização é simplesmente focar a atenção nas boas práticas de segurança a mensagem que o esforço de conscientização envia deve ser curta e simples A mensagem pode abordar um tópico ou vários tópicos sobre os quais o públicoalvo deve estar ciente 174 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 31 DESENVOLVENDO MATERIAL DE CONSCIENTIZAÇÃO A pergunta a ser respondida ao começar a desenvolver material para um programa ou campanha de conscientização da organização é Quais assuntos queremos que todas as pessoas da organização estejam cientes sobre segurança de TI O plano de conscientização e treinamento deve conter uma lista de tópicos Destacamos algumas fontes de ideias e materiais como avisos por email sites de notícias diárias sobre segurança de TI online e periódicos A política da organização revisões de programas auditorias internas revisões de programas de controles internos autoavaliações e verificações pontuais também podem identificar tópicos adicionais a serem abordados no programa Agora queremos destacar dois pontos i os tópicos que podem ser discutidos de forma breve em qualquer sessão ou campanha de conscientização e ii as fontes dos tópicos que serão utilizadas Destacamos ainda que podem existir várias fontes de material a serem incorporadas no programa O material pode tratar de uma questão específica ou em alguns casos pode descrever como iniciar o desenvolvimento de um programa sessão ou campanha de conscientização Agora tire uns minutos para aprender pelo Quadro 14 quais são alguns desses tópicos e algumas das fontes que você pode utilizar Ao analisar os tópicos a serem vistos na conscientização você verá que alguns deles já tínhamos identificado na Unidade 1 do nosso livro didático QUADRO 14 TÓPICOS E FONTES A SEREM VISTOS EM CONSCIENTIZAÇÃO TÓPICOS Uso e gerenciamento de senhas incluindo criação frequência de alterações e proteção Proteção contra vírus worms cavalos de Tróia e outros códigos maliciosos varredura atualização de definições Política e as implicações do não cumprimento Email e anexos desconhecidos O públicoalvo da conscientização deve incluir todos os usuários em uma organização A mensagem a ser divulgada por meio de um programa ou campanha de conscientização deve conscientizar todos os indivíduos sobre suas responsabilidades de segurança de TI comumente compartilhada Já por outro lado a mensagem em uma aula de treinamento é direcionada a um público específico A mensagem no material de treinamento deve incluir tudo relacionado à segurança que os participantes precisam saber para realizar seu trabalho O material de treinamento geralmente é muito mais profundo do que o material usado em uma sessão ou campanha de conscientização IMPORTANTE TÓPICO 3 CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 80050 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST 175 Uso da Web permitido versus proibido e o monitoramento da atividade do usuário Spam Backup e armazenamento de dados abordagem centralizada ou descentralizada Engenharia social Resposta a incidentes entre em contato com quem O que eu faço Alterações no ambiente do sistema aumento dos riscos para os sistemas e dados por exemplo água fogo poeira ou sujeira acesso físico Inventário e transferência de propriedade identifique a organização responsável e as responsabilidades do usuário por exemplo higienização da mídia Problemas de uso pessoal e de ganho sistemas no trabalho e em casa Problemas de segurança de dispositivos móveis resolva problemas de segurança física e sem fio Uso de criptografia e transmissão de informações confidenciaisconfidenciais pela Internet diretiva procedimentos e contato técnico da organização de endereços para obter assistência Segurança do laptop durante a viagem resolva problemas físicos e de segurança da informação Sistemas e software de propriedade pessoal no trabalho indique se é permitido ou não por exemplo direitos autorais Aplicação oportuna de correções do sistema parte do gerenciamento de configuração Problemas de restrição de licença de software endereço quando as cópias são permitidas e não permitidas Software suportado permitido nos sistemas da organização parte do gerenciamento de configuração Problemas de controle de acesso abordam os níveis de privilégios e a separação de tarefas Responsabilização individual explique o que isso significa na organização Uso de declarações de reconhecimento senhas acesso a sistemas e dados uso pessoal e ganhos Controle do visitante e acesso físico a espaços discuta políticas e procedimentos de segurança física aplicáveis por exemplo desafie estranhos relate atividades incomuns 176 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO Segurança da área de trabalho discuta o uso de protetores de tela restringindo a exibição de informações dos visitantes na tela impedindo limitando o espiar dispositivos de backup de bateria acesso permitido aos sistemas Proteger as informações sujeitas a preocupações de confidencialidade em sistemas arquivados em mídia de backup em formato de cópia impressa e até serem destruídos Etiqueta da lista de email arquivos anexados e outras regras FONTES Avisos por email emitidos por grupos de notícias hospedados pelo setor instituições acadêmicas ou pelo escritório de segurança de TI da organização Organizações e fornecedores profissionais Sites de notícias diárias sobre segurança de TI online Periódicos Conferências seminários e cursos FONTE Adaptado de Wilson e Hash 2003 32 DESENVOLVENDO MATERIAL DE TREINAMENTO A pergunta a ser respondida ao iniciar o desenvolvimento do material para um curso de treinamento específico é Qual habilidade ou habilidades queremos que o públicoalvo aprenda O plano de treinamento deve identificar um públicoalvo ou vários públicosalvo e cada um deles deve receber treinamento personalizado os possibilitando a lidar com suas responsabilidades de segurança de TI 4 ETAPA 3 IMPLEMENTAÇÃO DO PROGRAMA A terceira etapa do programa se refere a como o programa será implementado Contudo você precisa estar ciente que o programa só pode ser implementado após i a avaliação de necessidades ter sido realizada ii a estratégia ter sido desenvolvida iii o plano de programa de conscientização e treinamento para implementar essa estratégia ter sido concluído iv o material de conscientização e de treinamento ter sido desenvolvido Agora sim podemos iniciar a implementação TÓPICO 3 CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 80050 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST 177 41 COMUNICAÇÃO DO PLANO A implementação do programa deve ser totalmente explicada à organização para obter suporte para sua implementação e comprometimento dos recursos necessários Essa explicação inclui as expectativas da gerência da organização e do suporte da equipe bem como os resultados esperados do programa e os benefícios que o programa trará a organização Destacamos ainda para você que as questões de financiamento também devem ser abordadas Por exemplo os gerentes devem saber se o custo para implementar o programa de conscientização e treinamento será totalmente financiado pelo orçamento do programa de segurança de TI ou diretor de informática ou se seus orçamentos serão impactados para cobrir sua parcela das despesas com a implementação do programa É essencial que todos os envolvidos na implementação do programa compreendam seus papéis e as suas responsabilidades Além disso os cronogramas e os requisitos de conclusão devem ser comunicados A comunicação do plano pode ser mapeada para os três modelos de implementação discutidos no item 21 deste tópico Seguem os cenários típicos 42 TÉCNICAS PARA CRIAR MATERIAL DE CONSCIENTIZAÇÃO Existem algumas técnicas que podem ser utilizadas para transmitir a mensagem de conscientização Você precisa ter em mente que as técnicas escolhidas dependem dos recursos e da complexidade da mensagem que você quer passar Listamos algumas dessas técnicas Mensagens sobre ferramentas de conscientização podem ser utilizadas canetas portachaves notas postit blocos de notas kits de primeiros socorros kits de limpeza pen drive com uma mensagem marcadores de páginas Frisbees relógios cartões e afins Cartazes listas do que fazer e não fazer ou listas de verificação Protetores de tela e bannersmensagens de aviso Boletins Alertas de escrivaninha para mesa como um boletim de uma página em papel colorido e brilhante um por mesa ou roteado por um escritório que é distribuído pelo sistema de correio da organização Mensagens de email Vídeos Sessões baseadas na Web Sessões baseadas em computador Sessões de teleconferência Sessões presenciais conduzidas por instrutor Dias de segurança de TI ou eventos similares 178 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO Seminários Calendário popup com informações de contato de segurança dicas mensais de segurança etc Mascotes Palavras cruzadas Programa de prêmios por meio de placas canecas cartas de agradecimento Queremos destacar que algumas dessas técnicas servem para passar que uma única mensagem como as utilizadas em pôsteres listas de acesso protetores de tela e banners de aviso alertas de mesa em mesa emails seminários e programas de prêmios Já as técnicas que conseguem passar várias mensagens são aquelas como Faça e não faça boletins fitas de vídeo sessões baseadas na Web sessões baseadas em computador sessões de teleconferência sessões presenciais com instrutores e seminários As técnicas que podem ser razoavelmente baratas de implementar incluem mensagens em ferramentas de conscientização pôsteres listas de acesso listas de Faça e não faça listas de verificação protetores de tela e banners de aviso alertas de mesa em mesa mensagens de email sessões conduzidas por instrutor seminários sobre malas marrons e programas de recompensas As técnicas que podem exigir mais recursos incluem boletins fitas de vídeo sessões baseadas na Web sessões baseadas em computador e sessões de teleconferência Além de tornar o material de conscientização interessante e atual repetir uma mensagem de conscientização e usar várias maneiras de apresentá la pode aumentar muito a retenção de lições ou problemas de conscientização dos usuários Por exemplo a discussão em uma sessão conduzida por instrutor sobre como evitar ser vítima de um ataque de engenharia social pode ser reforçada com pôsteres mensagens de email periódicas em toda a organização e mensagens sobre ferramentas de conscientização que são distribuídas aos usuários 43 TÉCNICAS PARA CRIAR MATERIAL DE TREINAMENTO As técnicas para se obter um material mais efetivo de treinamento são aquelas que fazem uso da tecnologia e suportam os seguintes recursos Facilidade de uso fácil acesso e fácil atualizaçãomanutenção Escalabilidade pode ser usada para vários tamanhos de público e em vários locais Responsabilização capturar e usar estatísticas sobre o grau de conclusão Ampla base de suporte do setor número adequado de fornecedores em potencial maior chance de encontrar suporte subsequente TÓPICO 3 CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 80050 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST 179 Acadêmico as organizações podem fazer várias técnicas destacamos as mais comumente utilizadas pelas organizações para você sendo elas Treinamento em Vídeo Interativo TVI é uma das várias técnicas de ensino à distância disponíveis para a entrega de material de treinamento Esta tecnologia suporta instruções interativas de áudio e vídeo bidirecionais O recurso interativo torna a técnica mais eficaz do que as técnicas não interativas mas é mais cara Treinamento baseado na Web é uma técnica popular para ambientes distribuídos Os participantes de uma sessão baseada na Web podem estudar de forma independente e aprender no seu próprio ritmo Os recursos de teste e responsabilidade podem ser incorporados para avaliar o desempenho Algumas técnicas ainda permitem uma interação entre o instrutor e o aluno como Treinamento não Web e baseado em computador essa técnica continua popular mesmo com a disponibilidade da Web Ainda pode ser um método eficaz para a distribuição de material de treinamento especialmente se o acesso a material baseado na Web não for viável Como o treinamento baseado na Web essa técnica não permite a interação entre o instrutor e os alunos ou entre os alunos Treinamento ministrado por instrutor no local incluindo apresentações e mentoria de colegas essa é uma das técnicas mais antigas mas uma das mais populares para fornecer material de treinamento para o público A maior vantagem da técnica é a natureza interativa da instrução Essa técnica no entanto tem várias desvantagens em potencial Em uma organização grande pode haver dificuldade em agendar aulas suficientes para que todo o público alvo possa participar Em uma organização que possui uma força de trabalho amplamente distribuída pode haver custos de viagem significativos para instrutores e estudantes Embora existam desafios para ambientes distribuídos alguns alunos preferem esse método tradicional a outros métodos A combinação de várias técnicas em uma sessão pode ser uma maneira eficaz tanto do material a ser apresentado como fazer que o público preste atenção Por exemplo se você usar a técnica de exibir vídeos durante a sessão conduzida por instrutor isto permite que o público se concentre em uma fonte de informação diferente O vídeo também pode reforçar o que o instrutor tem apresentado A TVI o treinamento baseado na Web e o treinamento não baseado na Web também podem ser utilizados como parte de uma sessão de treinamento liderada por instrutor 5 ETAPA 4 PÓSIMPLEMENTAÇÃO O programa de conscientização e treinamento em segurança de TI de uma organização pode rapidamente se tornar obsoleto se não for dada atenção suficiente aos avanços tecnológicos a infraestrutura de TI e as mudanças organizacionais 180 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO além de mudanças na missão e nas prioridades organizacionais Os diretores de informática e os gerentes do programa de segurança de TI precisam conhecer esse problema em potencial e incorporar mecanismos em sua estratégia para garantir que o programa continue relevante e compatível com os objetivos gerais 51 MONITORANDO A CONFORMIDADE Uma vez implementado o programa é necessário implementar processos para monitorar a conformidade e a eficácia Um sistema de rastreamento automatizado deve ser projetado para capturar informações importantes sobre a atividade do programa por exemplo cursos datas público custos fontes O sistema de rastreamento deve capturar esses dados no nível da organização para que possam ser usados para fornecer análises e relatórios de toda a empresa sobre iniciativas de conscientização treinamento e educação Os requisitos para o banco de dados devem incorporar as necessidades de todos os usuários pretendidos Os usuários típicos desse banco de dados estão descritos no Quadro 15 QUADRO 15 USUÁRIOS USUÁRIO DESCRIÇÃO Diretores de informática Podem usar o banco de dados para apoiar o planejamento estratégico informar o chefe da organização e outros colaboradores da alta gerência sobre a saúde do programa de conscientização e treinamento em segurança de TI identificar a capacidade interna e as necessidades críticas da força de trabalho de segurança executar análises de programas identificar atividades em toda a empresa auxiliar na segurança e no orçamento de TI identificar a necessidade de aprimoramento do programa e avaliar a conformidade A melhoria contínua deve sempre ser o tema das iniciativas de conscientização e treinamento em segurança pois essa é uma área em que você nunca pode fazer o suficiente IMPORTANTE TÓPICO 3 CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 80050 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST 181 Gerentes de programas de segurança de TI Podem usar o banco de dados para dar suporte ao planejamento de segurança fornece relatórios de status ao diretor de informática e a outras equipes de gerenciamento e segurança justificar solicitações de financiamento demonstrar conformidade com as metas e objetivos estabelecidos pela organização identificar fornecedores e outras fontes de treinamento responder a perguntas relacionadas à segurança identificar a cobertura atual e fazer ajustes para omissões críticas Departamentos de Recursos Humanos Podem usar o banco de dados para garantir a existência de um mecanismo eficaz para capturar todo o treinamento relacionado à segurança identificar os custos relacionados ao treinamento em segurança de TI auxiliar no estabelecimento de descrições de cargos dar suporte ao relatório de status responder a consultas de treinamento e auxiliar desenvolvimento profissional Departamentos de treinamento Podem usar o banco de dados para ajudar no desenvolvimento da estratégia geral de treinamento da organização estabelecer requisitos de banco de dados de treinamento vinculados às diretrizes de segurança identificar possíveis fontes de treinamento dar suporte a solicitações de treinamento identificar a relevância e popularidade do curso apoiar a atividade orçamentária e responder a perguntas Gerentes funcionais Podem usar o banco de dados para monitorar o progresso do treinamento do usuário e ajustar os planos de treinamento do usuário conforme necessário obter relatórios de status e responder a perguntas sobre o treinamento de segurança em seus componentes e identificar fontes e custos de treinamento para ajudar com solicitações e propostas de orçamento Auditores Podem usar as informações do banco de dados para monitorar a conformidade com as diretivas de segurança e a política da organização Diretores Financeiros Pode usar as informações do banco de dados para responder a perguntas sobre orçamento auxiliar no planejamento financeiro e fornece relatórios ao chefe da organização e aos gerentes seniores sobre as atividades de financiamento do treinamento em segurança FONTE Adaptado de Wilson e Hash 2003 182 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO O rastreamento da conformidade envolve a avaliação do status do programa conforme indicado pelas informações do banco de dados e o mapeamento para os padrões estabelecidos pela organização Portanto tenha em mente que os relatórios podem ser gerados e usados para identificar lacunas ou problemas Além disso é necessário que se tenham ações corretivas e os devidos acompanhamento caso elas se façam necessárias Você pode utilizar isso em forma de lembretes formais para a gerência ofertas adicionais de conscientização treinamento ou educação eou ainda estabelecer um programa corretivo com datas de conclusão programadas 52 AVALIAÇÃO E FEEDBACK Os mecanismos formais de avaliação e de feedback são componentes críticos de qualquer programa de conscientização treinamento e educação sobre segurança A melhoria contínua não pode ocorrer sem um bom senso de como o programa existente está funcionando Além disso o mecanismo de feedback deve ser projetado para atender aos objetivos inicialmente estabelecidos para o programa Uma vez solidificados os requisitos da linha de base uma estratégia de feedback pode ser projetada e implementada Uma estratégia de feedback precisa incorporar elementos que abordem a qualidade o escopo o método de implantação por exemplo baseado na Web no local externo nível de dificuldade facilidade de uso duração da sessão relevância moeda e sugestões para modificação IMPORTANTE Os métodos mais comumente utilizados na obtenção de feedback são apresentados no Quadro 16 QUADRO 16 MÉTODOS PARA OBTER FEEDBACK MÉTODO DESCRIÇÃO Formulários de avaliação questionários É possível usar uma variedade de formatos Os melhores designs eliminam a necessidade de muita escrita por parte da pessoa que os conclui A chave é projetar os formulários para serem o mais amigáveis possível Trabalhe com especialistas internos que estejam familiarizados com as melhores técnicas para projetar esses instrumentos de avaliação ou busque a assistência de especialistas externos TÓPICO 3 CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 80050 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST 183 Grupos focais Reúna os participantes do treinamento em fóruns abertos para discutir suas perspectivas sobre a eficácia do programa de treinamento em segurança de TI e solicitar suas ideias para aprimoramento Entrevista seletiva Essa abordagem primeiro identifica os gruposalvo do treinamento com base no impacto prioridade ou outros critérios estabelecidos e identifica áreas específicas para feedback Normalmente conduzida usando entrevistas individuais ou em pequenos grupos homogêneos geralmente dez ou menos essa abordagem é mais personalizada e privada do que a abordagem do grupo focal e pode incentivar os participantes a serem mais em sua crítica ao programa Observação análise independente Outra abordagem para solicitar feedback é incorporar uma revisão do programa de conscientização e treinamento em segurança de TI como uma tarefa a um contratado externo ou a terceiros como parte de uma auditoria iniciada pela organização A organização faz isto além da atividade normal de supervisão para obter uma opinião imparcial sobre a eficácia do programa Relatórios formais de status Uma boa maneira de manter o foco na conscientização de segurança e nos requisitos de treinamento em toda a organização é implementar um requisito para relatórios regulares de status pelos gerentes funcionais Benchmarking do Programa de Segurança Visão Externa Muitas organizações incorporam o benchmarking do Programa de Segurança como parte de sua estratégia de melhoria contínua e busca pela excelência Esse tipo de benchmarking está focado na pergunta como faço para classificar meus colegas A forma de benchmarking de segurança com foco externo compara o desempenho de uma organização com várias outras organizações e fornece um relatório à organização sobre onde elas caem com base nas linhas de base observadas em todas as organizações com os dados disponíveis no momento Um componente desse tipo de benchmarking deve incluir conscientização e treinamento sobre segurança Esse tipo de benchmarking é normalmente realizado por especialistas em técnicas de benchmarking que possuem informações dados abrangentes em uma ampla gama de organizações por uma duração bastante longa cinco anos ou mais FONTE Adaptado de Wilson e Hash 2003 184 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 53 GERENCIANDO MUDANÇAS Será necessário garantir que o programa conforme estruturado continue sendo atualizado à medida que novas tecnologias e problemas de segurança associados surgirem As necessidades de treinamento mudarão à medida que novas habilidades e capacidades forem necessárias para responder a essas novas mudanças arquiteturais e tecnológicas Uma mudança na missão eou nos objetivos organizacionais também pode influenciar ideias sobre a melhor forma de projetar locais e conteúdo de treinamento Questões emergentes como a defesa da pátria também afetarão a natureza e extensão das atividades de conscientização de segurança necessárias para manter os usuários informados instruídos sobre as mais recentes explorações e contramedidas Novas leis e decisões judiciais também podem afetar a política organização que por sua vez pode afetar o desenvolvimento eou implementação de material de conscientização e treinamento Por fim à medida que as diretrizes de segurança mudam ou são atualizadas o material de conscientização e treinamento deve refletir essas mudanças 54 MELHORIA CONTÍNUA ELEVANDO O PADRÃO ESTABELECIDO Esta etapa do programa está focada na criação de um nível de conscientização e excelência em segurança que alcance uma presença generalizada de segurança na organização Os processos que proporcionam conscientização treinamento e educação à força de trabalho devem ser totalmente integrados à estratégia geral de negócios Um programa maduro de conscientização e treinamento em segurança define um conjunto de métricas para essa área Assim é necessário que sistemas automatizados devem estar em vigor para apoiar a captura de dados quantitativos e para entrega de informações de gerenciamento a partes responsáveis em um ciclo regular e predefinido O gerenciamento da mudança é o componente do programa projetado para garantir que as implantações de treinamento conscientização e educação não fiquem estagnadas e portanto irrelevantes para os problemas reais emergentes enfrentados pela organização Ele também foi projetado para lidar com mudanças em política e procedimentos de segurança refletidos na cultura da organização DICAS TÓPICO 3 CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 80050 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST 185 Os procedimentos de monitoramento acompanhamento e correção são bem definidos e contínuos Por fim nesse estágio as organizações costumam incorporar ao seu programa de conscientização mecanismos formais da melhoria contínua em áreas de avanço tecnológico boas práticas e oportunidades de benchmarking 55 INDICADORES DE SUCESSO Os diretores de informática colaboradores e gerentes do programa de segurança de TI devem ser os principais defensores da melhoria contínua e do apoio ao programa de conscientização treinamento e educação de segurança da organização É fundamental que todos estejam aptos e dispostos a desempenhar suas funções de segurança atribuídas na organização Em segurança a frase Apenas tão forte quanto o elo mais fraco é verdadeira Proteger as informações e a infraestrutura de uma organização é um esforço de equipe Alguns indicadores chave para avaliar o apoio e a aceitação do programa são Financiamento suficiente para implementar a estratégia acordada Posicionamento organizacional adequado para permitir que pessoas com responsabilidades importantes diretor de informática colaboradores do programa e gerente do programa de segurança de TI implementem efetivamente a estratégia Suporte para ampla distribuição por exemplo Web email TV e postagem de itens de reconhecimento de segurança Mensagens de nível executivo e sênior para a equipe em relação à segurança Por exemplo reuniões da equipe transmissões para todos os usuários pelo chefe da organização O uso de métricas Por exemplo para indicar um declínio nos incidentes ou violações de segurança 22 indica que a diferença entre a conscientização existente e a cobertura de treinamento e as necessidades identificadas está diminuindo a porcentagem de usuários expostos ao material de conscientização estão aumentando e a porcentagem de usuários com responsabilidades significativas de segurança treinadas adequadamente está aumentando Os gerentes não usam seu status na organização para evitar controles de segurança que são consistentemente respeitados pela classificação e arquivo Nível de participação em fórunsinstruções de segurança obrigatórios Reconhecimento de contribuições de segurança Por exemplo prêmios concursos Motivação demonstrada por aqueles que desempenham papéischave no gerenciamentocoordenação do programa de segurança WILSON HASH 2003 186 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO LEITURA COMPLEMENTAR CARTILHA DE SEGURANÇA PARA INTERNET VERSÃO 40 Equipe CERTbr Contas e senhas Uma conta de usuário também chamada de nome de usuário nome de login e username corresponde a identificação única de um usuário em um computador ou serviço Por meio das contas de usuário é possível que um mesmo computador ou serviço seja compartilhado por diversas pessoas pois permite por exemplo identificar unicamente cada usuário separar as configurações específica de cada um e controlar as permissões de acesso A sua conta de usuário é de conhecimento geral e é o que permite a sua identificação Ela é muitas vezes derivada do seu próprio nome mas pode ser qualquer sequência de caracteres que permita que você seja identificado unicamente como o seu endereço de email Para garantir que ela seja usada apenas por você e por mais ninguém é que existem os mecanismos de autenticação Existem três grupos básicos de mecanismos de autenticação que se utilizam de i aquilo que você é informações biométricas como a sua impressão digital a palma da sua mão a sua voz e o seu olho ii aquilo que apenas você possui como seu cartão de senhas bancárias e um token gerador de senhas e iii finalmente aquilo que apenas você sabe como perguntas de segurança e suas senhas Uma senha ou password serve para autenticar uma conta ou seja e usada no processo de verificação da sua identidade assegurando que você é realmente quem diz ser e que possui o direito de acessar o recurso em questão E um dos principais mecanismos de autenticação usados na Internet devido principalmente a simplicidade que possui Se uma outra pessoa souber a sua conta de usuário e tiver acesso à sua senha ela poder a usálas para se passar por você na Internet e realizar ações em seu nome como acessar a sua conta de correio eletrônico e ler seus emails enviar mensagens de spam eou contendo phishing e códigos maliciosos furtar sua lista de contatos e pedir o reenvio de senhas de outras contas para este endereço de email e assim conseguir acesso a elas acessar o seu computador e obter informações sensíveis nele armazenadas como senhas e números de cartões de crédito utilizar o seu computador para esconder a real identidade desta pessoa o invasor e então desferir ataques contra computadores de terceiros acessar sites e alterar as configurações feitas por você e de forma a tornar públicas informações que deveriam ser privadas TÓPICO 3 CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 80050 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST 187 acessar a sua rede social e usar a confiança que as pessoas da sua rede de relacionamento depositam em você para obter informações sensíveis ou para o envio de boatos mensagens de spam eou códigos maliciosos Uso seguro de contas e senhas Algumas das formas como a sua senha pode ser descoberta são ao ser usada em computadores infectados Muitos códigos maliciosos ao infectar um computador armazenam as teclas digitadas inclusive senhas espionam o teclado pelo Webcam caso você possua uma e ela esteja apontada para o teclado e gravam a posição da tela na qual o mouse foi clicado ao ser usada em sites falsos Ao digitar a sua senha em um site falso achando que está no site verdadeiro um atacante pode armazenála e posteriormente usála para acessar o site verdadeiro e realizar operações em seu nome por meio de tentativas de adivinhação ao ser capturada enquanto trafega na rede sem estar criptografada por meio do acesso ao arquivo na qual a senha foi armazenada caso ela não tenha sido gravada de forma criptografada com o uso de técnicas de engenharia social como forma a persuadilo a entregála voluntariamente pela observação da movimentação dos seus dedos no teclado ou dos cliques do mouse em teclados virtuais Cuidados a serem tomados ao usar suas contas e senhas certifiquese de não ser observado ao digitar as suas senhas não forneça as suas senhas para outra pessoa em hipótese alguma certifiquese de fechar a sua sessão ao acessar sites que requeiram o uso de senhas Use a opção de sair logout pois isto evita que suas informações sejam mantidas no navegador elabore boas senhas altere as suas senhas sempre que julgar necessário não use a mesma senha para todos os serviços que acessa ao usar perguntas de segurança para facilitar a recuperação de senhas evite escolher questões cujas respostas possam ser facilmente adivinhadas certifiquese de utilizar serviços criptografados quando o acesso a um site envolver o fornecimento de senha procure manter sua privacidade reduzindo a quantidade de informações que possam ser coletadas sobre você pois elas podem ser usadas para adivinhar a sua senha caso você e não tenha sido cuidadoso ao elaborála mantenha a segurança do seu computador seja cuidadoso ao usar a sua senha em computadores potencialmente infectados ou comprometidos Procure sempre que possível utilizar opções de navegação anônima 188 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO Elaboração de senhas Uma senha boa bem elaborada e aquela que é difícil de ser descoberta forte e fácil de ser lembrada Não convém que você é crie uma senha forte se quando for usála não conseguir recordála Também não convém em que você crie uma senha fácil de ser lembrada se ela puder ser facilmente descoberta por um atacante Alguns elementos que você não deve usar na elaboração de suas senhas são Qualquer tipo de dado pessoal evite nomes sobrenomes contas de usuário números de documentos placas de carros números de telefones e datas Sequencias de teclado evite senhas associadas a proximidade entre os caracteres no teclado como 1qaz2wsx e QwerTAsdfG pois são bastante conhecidas e podem ser facilmente observadas ao serem digitadas Palavras que façam parte de listas evite palavras presentes em listas publicamente conhecidas como nomes de músicas times de futebol personagens de filmes dicionários de diferentes idiomas etc Existem programas que tentam descobrir senhas combinando e testando estas palavras e que portanto não devem ser usadas Alguns elementos que você deve usar na elaboração de suas senhas são Números aleatórios quanto mais ao acaso forem os números usados melhor principalmente em sistemas que aceitem exclusivamente caracteres numéricos Grande quantidade de caracteres quanto mais longa for a senha mais difícil será descobrila Apesar de senhas longas parecerem a princípio difíceis de serem digitadas com o uso frequente elas acabam sendo digitadas facilmente Diferentes tipos de caracteres quanto mais bagunçada for a senha mais difícil será descobrila Procure misturar caracteres como números sinais de pontuação e letras maiúsculas e minúsculas O uso de sinais de pontuação pode dificultar bastante que a senha seja descoberta sem necessariamente tornála difícil de ser lembrada Algumas dicas práticas que você pode usar na elaboração de boas senhas são Selecione caracteres de uma frase baseiese em uma frase e selecione a primeira a segunda ou a última letra de cada palavra Exemplo com a frase O Cravo brigou com a Rosa debaixo de uma sacada você pode gerar a senha OCbcaRddus o sinal de interrogação foi colocado no início para acrescentar um símbolo a senha Utilize uma frase longa escolha uma frase longa que faça sentido para você que seja fácil de ser memorizada e que se possível tenha diferentes tipos de caracteres Evite citações comuns como ditados populares e frases que possam ser diretamente ligadas a você como o refrão de sua música preferida Exemplo se quando criança você sonhava em ser astronauta pode usar como senha 1 dia ainda verei os anéis de Saturno TÓPICO 3 CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 80050 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST 189 Faça substituições de caracteres invente um padrão de substituição baseado por exemplo na semelhança visual w e vv ou de fonética ca e k entre os caracteres Crie o seu próprio padrão pois algumas trocas são bastante óbvias Existem serviços que permitem que você teste a complexidade de uma senha e que de acordo com critérios podem classificála como sendo por exemplo muito fraca fraca forte ou muito forte Ao usar estes serviços e importante ter em mente que mesmo que uma senha tenha sido classificada como muito forte pode ser que ela não seja uma boa senha caso contenha dados pessoais que não são de conhecimento do serviço mas que podem ser de conhecimento de um atacante Apenas você é capaz de definir se a senha elaborada é realmente boa Alteração de senhas Você deve alterar a sua senha imediatamente sempre que desconfiar que ela pode ter sido descoberta ou que o computador no qual você a utilizou pode ter sido invadido ou infectado Algumas situações nas quais você deve alterar rapidamente a sua senha são se um computador na qual a senha esteja armazenada tenha sido furtado ou perdido se usar um padrão para a formação de senhas e desconfiar que uma delas tenha sido descoberta Neste caso tanto o padrão como todas as senhas elaboradas com ele devem ser trocadas pois com base na senha descoberta um atacante pode conseguir inferir as demais se utilizar uma mesma senha em mais de um lugar e desconfiar que ela tenha sido descoberta em algum deles Neste caso esta senha deve ser alterada em todos os lugares nos quais e usada ao adquirir equipamentos acessíveis via rede como roteadores WiFi dispositivos bluetooth e modems Asymmetric Digital Subscriber Line ADSL Muitos destes equipamentos são configurados de fábrica com senha padrão facilmente obtida em listas na Internet e por isto sempre que possível deve ser alterada Nos demais casos e importante que a sua senha seja alterada regularmente como forma de assegurar a confidencialidade Não há como definir entretanto um período ideal para que a troca seja feita pois depende diretamente de quão boa ela é e de quanto você a expõe você a usa em computadores de terceiros Você a usa para acessar outros sites Elas mantêm seu computador atualizado Não convêm que você troque a senha em períodos muito curtos menos de um mês por exemplo se para conseguir se recordar precisara elaborar uma senha fraca ou anotála em um papel e colocálo no monitor do seu computador Períodos muito longos mais de um ano por exemplo também não são desejáveis pois caso ela tenha sido descoberta os danos causados podem ser muito grandes 190 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO Gerenciamento de contas e senhas Você já pensou em quantas contas e senhas diferentes precisa memorizar e combinar para acessar todos os serviços que utiliza e que exigem autenticação Atualmente confiar apenas na memorização pode ser algo bastante arriscado Para resolver este problema muitos usuários acabam usando técnicas que podem ser bastante perigosas e que sempre que possível devem ser evitadas Algumas destas técnicas e os cuidados que você deve tomar caso mesmo ciente dos riscos opte por usálas são Reutilizar as senhas usar a mesma senha para acessar diferentes contas pode ser bastante arriscado pois basta ao atacante conseguir a senha de uma conta para conseguir acessar as demais contas quais esta mesma senha foi usada procure não usar a mesma senha para assuntos pessoais e profissionais jamais reutilize senhas que envolvam o acesso a dados sensíveis como as usadas em Internet Banking ou email Usar opções como lembrese de mim e continuar conectado o uso destas opções faz com que informações da sua conta de usuário sejam salvas em cookies que podem ser indevidamente coletados e permitam que outras pessoas se autentiquem como você use estas opções somente nos sites nos quais o risco envolvido e bastante baixo jamais as utilize em computadores de terceiros Salvar as senhas no navegador Web esta prática é bastante arriscada pois caso as senhas não estejam criptografadas com uma chave mestra elas podem ser acessadas por códigos maliciosos atacantes ou outras pessoas que venham a ter acesso ao computador assegurese de configurar uma chave mestra seja bastante cuidadoso ao elaborar sua chave mestra pois a segurança das demais senhas depende diretamente da segurança dela não esqueça sua chave mestra Para não ter que recorrer a estas técnicas ou correr o risco de esquecer suas contassenhas ou pior ainda ter que apelar para o uso de senhas fracas você pode buscar o auxílio de algumas das formas de gerenciamento disponíveis Uma forma bastante simples de gerenciamento e listar suas contassenhas em um papel e guardálo em um local seguro como uma gaveta trancada Neste caso a segurança depende diretamente da dificuldade de acesso ao local escolhido para guardar este papel de nada adianta colálo no monitor deixálo embaixo do teclado ou sobre a mesa Veja que é preferível usar este método a optar pelo TÓPICO 3 CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 80050 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST 191 uso de senhas fracas pois geralmente é mais fácil garantir que ninguém terá acesso físico ao local em que o papel está guardado do que evitar que uma senha fraca seja descoberta na Internet Caso você considere este método pouco prático pode optar por outras formas de gerenciamento como as apresentadas a seguir juntamente com alguns cuidados básicos que você e deve ter ao usálas Criar grupos de senhas de acordo com o risco envolvido você pode criar senhas únicas e bastante fortes e usálas em lugares em que haja recursos valiosos envolvidos por exemplo para acesso à Internet Banking ou email Outras senhas únicas porém um pouco mais simples para casos nos quais o valor do recurso protegido e inferior por exemplo sites de comercio eletrônico desde que suas informações de pagamento como números de cartão de crédito não sejam armazenadas para uso posterior e outras simples e reutilizadas para acessos sem risco como o cadastro para baixar um determinado arquivo reutilize senhas apenas em casos nos quais o risco envolvido e bastante baixo Usar um programa gerenciador de contassenhas programas como 1Password3 e KeePass4 permitem armazenar grandes quantidades de contas senhas em um único arquivo acessível por meio de uma chave mestra seja bastante cuidadoso ao elaborar sua chave mestra pois a segurança das demais senhas depende diretamente da segurança dela não esqueça sua chave mestra sem ela não há como você acessar os arquivos que foram criptografados ou seja todas as suas contassenhas podem ser perdidas assegurese de obter o programa gerenciador de senhas de uma fonte confiável e de sempre mantêlo atualizado evite depender do programa gerenciador de senhas para acessar a conta do email de recuperação Gravar em um arquivo criptografado você pode manter um arquivo criptografado em seu computador e utilizálo para cadastrar manualmente todas as suas contas e senhas assegurese de manter o arquivo sempre criptografado assegurese de manter o arquivo atualizado sempre que alterar uma senha que esteja cadastrada no arquivo você deve lembrar de atualizálo faça backup do arquivo de senhas para evitar perdêlo caso haja problemas em seu computador Recuperação de senhas Mesmo que você tenha tomado cuidados para elaborar a sua senha e utilizado mecanismos de gerenciamento podem ocorrer casos por inúmeros motivos de você perdêla Para restabelecer o acesso perdido alguns sistemas disponibilizam recursos como 192 UNIDADE 2 PADRÃO NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO permitir que você responda a uma pergunta de segurança previamente determinada por você enviar a senha atual ou uma nova para o email de recuperação previamente definido por você confirmar suas informações cadastrais como data de aniversário país de origem nome da mãe números de documentos etc apresentar uma dica de segurança previamente cadastrada por você enviar por mensagem de texto para um número de celular previamente cadastrado por você Todos estes recursos podem ser muito uteis desde que cuidadosamente utilizados pois assim como podem permitir que você recupere um acesso também podem ser usados por atacantes que queiram se apossar da sua conta Alguns cuidados que você deve tomar ao usálos são cadastre uma dica de segurança que seja vaga o suficiente para que ninguém mais consiga descobrila e clara o bastante para que você consiga entendê la Exemplo se sua senha for SS0l asstrr0rrei d0 SSisstema SS0larr pode cadastrar a dica Uma das notas musicais o que o fara se lembrar da palavra Sol e se recordar da senha seja cuidadoso com as informações que você disponibiliza em blogs e redes sociais pois podem ser usadas por atacantes para tentar confirmar os seus dados cadastrais descobrir dicas e responder perguntas de segurança evite cadastrar perguntas de segurança que possam ser facilmente descobertas como o nome do seu cachorro ou da sua mãe Procure criar suas próprias perguntas e de preferência com respostas falsas Exemplo caso você tenha medo de altura pode criar a pergunta Qual seu esporte favorito e colocar como resposta paraquedismo ou alpinismo ao receber senhas por email procure alterálas o mais rápido possível Muitos sistemas enviam as senhas em texto claro ou seja sem nenhum tipo de criptografia e elas podem ser obtidas caso alguém tenha acesso a sua conta de email ou utilize programas para interceptação de tráfego procure cadastrar um email de recuperação que você acesse regularmente para não esquecer a senha desta conta também procure não depender de programas gerenciadores de senhas para acessar o email de recuperação caso você esqueça a sua chave mestra ou por algum outro motivo não tenha mais acesso as suas senhas o acesso ao email de recuperação pode ser a única forma de restabelecer os acessos perdidos preste muita atenção ao cadastrar o email de recuperação para não digitar um endereço que seja invalido ou pertencente a outra pessoa Para evitar isto muitos sites enviam uma mensagem de confirmação assim que o cadastro é realizado Tenha certeza de recebêla e de que as eventuais instruções de verificação tenham sido executadas FONTE CERTbr Cartilha de segurança para Internet versão 40 São Paulo Comitê Gestor da Internet no Brasil 2012 p 5966 Disponível em httpscartilhacertbrlivrocartilhaseguranca internetpdf Acesso em 5 jun 2020 193 RESUMO DO TÓPICO 3 Neste tópico você aprendeu que Existem quatro etapas críticas no ciclo de vida do plano em conscientização e treinamento em segurança da informação Projeto de conscientização e treinamento Desenvolvimento de materiais de conscientização e treinamento Implementação do programa e a Pósimplementação Na etapa Projeto de conscientização e treinamento é realizada uma avaliação das necessidades da organização e uma estratégia de treinamento é desenvolvida e aprovada A etapa Desenvolvimento de materiais de conscientização e treinamento se concentra nas fontes de treinamento disponíveis escopo conteúdo e desenvolvimento de material de treinamento incluso solicitação de assistência do contratado nos casos que se fizer necessário A etapa Implementação do programa aborda tanto a comunicação eficaz quanto a implementação do plano de conscientização e treinamento A etapa Implementação do programa aborda as opções para a entrega de material de conscientização e treinamento baseado na Web ensino a distância vídeo no local etc A etapa Pósimplementação fornece orientação para manter o plano atualizado e métodos de feedback eficazes são descritos em pesquisas grupos focais benchmarking etc A postura de segurança de TI e a vigilância dentro de uma organização melhora consideravelmente quando existe algum tipo de conscientização e treinamento em segurança de TI Os programas de conscientização e treinamento devem ser projetados com a missão da organização em mente É importante que o programa de conscientização e treinamento ofereça suporte às necessidades de negócio da organização e seja relevante tanto para a cultura quanto para a arquitetura de TI da organização Os programas mais bemsucedidos são aqueles que os usuários consideram relevantes os assuntos e os problemas que são apresentados A criação de um programa de conscientização e treinamento em segurança de TI responde à pergunta Qual é o nosso plano para desenvolver e implementar oportunidades de conscientização e treinamento em conformidade com as diretivas existentes 194 Na etapa Projeto de conscientização e treinamento as necessidades de conscientização e treinamento da organização precisam ser identificadas para que um plano eficaz seja desenvolvido Um programa de conscientização e treinamento pode ser projetado desenvolvido e implementado de diferentes maneiras Queremos destacar para você que são três as abordagens ou modelos comumente aceitos sendo eles Modelo 1 política estratégia e implementação centralizada Modelo 2 política e estratégia centralizada implementação distribuída e o Modelo 3 política centralizada estratégia distribuída e implementação A escolha do modelo adotado e estabelecido para supervisionar a atividade do programa de conscientização e treinamento dependem i do tamanho e a dispersão geográfica da organização ii das funções e das responsabilidades organizacionais definidas iii das alocações e autorizações do orçamento A avaliação das necessidades pode ser utilizada para determinar as necessidades de conscientização e do treinamento de uma organização As necessidades de conscientização e treinamento em segurança de TI podem ser levantadas de diversas fontes de informações da organização e elas podem ser coletadas de diferentes maneiras A análise das informações coletadas deve fornecer respostas para as principais perguntas Que tipo de conscientização treinamento eou educação são necessários O que está sendo realizado atualmente para atender a essas necessidades Qual é o status atual em relação a como essas necessidades estão sendo atendidas ou seja quão bem os esforços atuais estão funcionando Onde estão as lacunas entre as necessidades e o que está sendo feito ou seja o que mais precisa ser feito Quais necessidades são mais críticas Um aspecto importante da avaliação é avaliar a existência dos recursos necessários para que o programa seja realizado Após a conclusão da avaliação das necessidades as informações necessárias para desenvolver um plano de conscientização e treinamento estarão disponíveis O plano deve abranger toda a organização e incorporar as prioridades identificadas pela avaliação de necessidades A conclusão da avaliação de necessidades permite que uma organização externa ou órgão regulamentado desenvolva uma estratégia para desenvolver implementar e manter seu programa de conscientização e treinamento em segurança de TI O plano do programa é o documento de trabalho que contém os elementos que compõem essa estratégia Depois que a estratégia e o plano do programa de conscientização e treinamento em segurança forem finalizados deve ser estabelecido um cronograma de implementação Às vezes é necessário que a implementação ocorra em fases 195 Estabelecer o padrão ou estabelecer o parâmetro significa que uma decisão deve ser tomada quanto à complexidade do material que será desenvolvido O material deve ser desenvolvido com base em dois critérios importantes i a posição do participante alvo dentro da organização e ii o conhecimento das habilidades de segurança necessárias para a posição exercida por esse participante Estabelecer o padrão significa que deve ser tomada uma decisão quanto à complexidade do material que será desenvolvido e deve ser aplicado aos três tipos de aprendizado conscientização treinamento e educação O material a ser desenvolvido precisa fornecer o conjunto de habilidades necessárias para que os participantes cumpram as responsabilidades de segurança associadas à sua função Uma vez que a estratégia de conscientização e treinamento tenha sido acordada e as prioridades tenham sido estabelecidas você deve se atentar que os requisitos de financiamento devem ser adicionados ao plano O plano deve ser visto como um conjunto de requisitos mínimos a serem atendidos e esses requisitos devem ser compatíveis com uma perspectiva contratual ou orçamental Os problemas na implementação do plano de conscientização e treinamento em segurança podem ocorrer quando as iniciativas de conscientização e treinamento em segurança são consideradas com prioridade mais baixa do que outras iniciativas da organização Uma vez elaborado o programa de conscientização e treinamento é possível desenvolver material de apoio Mas o que devemos incluir no material O material deve ser desenvolvido tendo o seguinte em mente Que comportamento queremos reforçar Consciência Qual habilidade ou habilidades queremos que o público aprenda e aplique Treinamento O públicoalvo da conscientização deve incluir todos os usuários em uma organização A pergunta a ser respondida ao começar a desenvolver material para um programa ou campanha de conscientização da organização é Quais assuntos queremos que todas as pessoas da organização estejam cientes sobre segurança de TI A pergunta a ser respondida ao iniciar o desenvolvimento do material para um curso de treinamento específico é Qual habilidade ou habilidades queremos que o públicoalvo aprenda A terceira etapa do programa referese como o programa será implementado O programa só pode ser implementado após i a avaliação de necessidades ter sido realizada ii a estratégia ter sido desenvolvida iii o plano de programa de conscientização e treinamento para implementar essa estratégia ter sido concluído iv o material de conscientização e de treinamento ter sido desenvolvido 196 A implementação do programa deve ser totalmente explicada à organização para obter suporte para sua implementação e comprometimento dos recursos necessários Existem algumas técnicas que podem ser utilizadas para transmitir a mensagem de conscientização Você precisa ter em mente que as técnicas escolhidas dependem dos recursos e da complexidade da mensagem que você quer passar As técnicas para se obter um material mais efetivo de treinamento são aquelas que fazem uso da tecnologia e suportam os seguintes recursos de facilidade de uso escalabilidade responsabilização ampla base de suporte do setor A combinação de várias técnicas em uma sessão pode ser uma maneira eficaz tanto do material ser apresentado como fazer que o público preste atenção O programa de conscientização e treinamento em segurança de TI de uma organização pode rapidamente se tornar obsoleto se não for dada atenção suficiente aos avanços tecnológicos a infraestrutura de TI e as mudanças organizacionais além de mudanças na missão e nas prioridades organizacionais Os diretores de informática e os gerentes do programa de segurança de TI precisam conhecer esse problema em potencial e incorporar mecanismos em sua estratégia para garantir que o programa continue relevante e compatível com os objetivos gerais A melhoria contínua deve sempre ser o tema das iniciativas de conscientização e treinamento em segurança pois essa é uma área em que você nunca pode fazer o suficiente Uma vez implementado o programa é necessário implementar processos para monitorar a conformidade e a eficácia Os mecanismos formais de avaliação e de feedback são componentes críticos de qualquer programa de conscientização treinamento e educação sobre segurança A melhoria contínua não pode ocorrer sem um bom senso de como o programa existente está funcionando Uma estratégia de feedback precisa incorporar elementos que abordem a qualidade o escopo o método de implantação por exemplo baseado na Web no local externo nível de dificuldade facilidade de uso duração da sessão relevância moeda e sugestões para modificação O gerenciamento da mudança é o componente do programa projetado para garantir que as implantações de treinamento conscientização e educação não fiquem estagnadas e portanto irrelevantes para os problemas reais emergentes enfrentados pela organização O gerenciamento da mudança também foi projetado para lidar com mudanças em política e procedimentos de segurança refletidos na cultura da organização Os processos que proporcionam conscientização treinamento e educação à força de trabalho devem ser totalmente integrados à estratégia geral de negócios 197 Ficou alguma dúvida Construímos uma trilha de aprendizagem pensando em facilitar sua compreensão Acesse o QR Code que levará ao AVA e veja as novidades que preparamos para seu estudo CHAMADA Um programa maduro de conscientização e treinamento em segurança define um conjunto de métricas para essa área Alguns indicadoreschave para avaliar o apoio e a aceitação do programa são ᵒ financiamento suficiente para implementar a estratégia acordada ᵒ posicionamento organizacional adequado para permitir que pessoas com responsabilidades importantes implementem efetivamente a estratégia ᵒ suporte para ampla distribuição e postagem de itens de reconhecimento de segurança ᵒ mensagens de nível executivo sênior para a equipe em relação à segurança ᵒ o uso de métricas ᵒ os gerentes não usam seu status na organização para evitar controles de segurança que são consistentemente respeitados pela classificação e arquivo ᵒ nível de participação em fóruns instruções de segurança obrigatórios ᵒ reconhecimento de contribuições de segurança ᵒ motivação demonstrada por aqueles que desempenham papéischave no gerenciamentocoordenação do programa de segurança 198 1 O NIST identifica como sendo quatro etapas críticas no ciclo de vida do plano em conscientização e treinamento em segurança da informação Essas quatro etapas são Projeto de conscientização e treinamento Desenvolvimento de materiais de conscientização e treinamento Implementação do programa e Pósimplementação Com relação a essas quatro etapas analise as sentenças a seguir classificando com V as sentenças verdadeiras e com F as falsas Projeto de conscientização e treinamento é a segunda etapa Desenvolvimento de materiais de conscientização e treinamento é a pri meira etapa Implementação do programa é a terceira etapa Pósimplementação é a quarta etapa Assinale a alternativa com a sequência CORRETA a V F V V b V F V F c F V V F d F F V V 2 É importante que o programa de conscientização e treinamento ofereça suporte às necessidades de negócio da organização e seja relevante tanto para a cultura quanto para a arquitetura de TI da organização Os programas mais bemsucedidos são aqueles que os usuários consideram relevantes os assuntos e os problemas que são apresentados A criação de um programa de conscientização e treinamento em segurança de TI responde à qual pergunta a Quais necessidades são mais críticas b Qual é o nosso plano para desenvolver e implementar oportunidades de conscientização e treinamento em conformidade com as diretivas existentes c Que tipo de conscientização treinamento eou educação são necessários d Onde estão as lacunas entre as necessidades e o que está sendo feito ou seja o que mais precisa ser feito 3 A conclusão da avaliação de necessidades permite que uma organização externa ou órgão regulamentado desenvolva uma estratégia para desenvolver implementar e manter seu programa de conscientização e treinamento em segurança de TI O plano do programa é o documento de trabalho que contém os elementos que compõem essa estratégia Portanto é fundamental que você se atente para os elementos que devem ser discutidos no plano do programa Diante disso escolha a alternativa que NÃO trata desses elementos a Política nacional e local existente que requer a conscientização e o trei namento a serem realizados b Escopo do programa de conscientização e treinamento AUTOATIVIDADE 199 c Públicoalvo para cada aspecto do programa d Contratação de colaboradores de forma geral 4 Depois que a estratégia e o plano do programa de conscientização e treinamento em segurança forem finalizados deve ser estabelecido um cronograma de implementação Às vezes é necessário que a implementação ocorra em fases Por exemplo você precisa analisar se existem restrições orçamentárias e disponibilidade de recursos Dessa forma é importante decidir quais fatores serão usados para determinar as prioridades e a sequência que elas acontecem Referente a esses fatores analise as sentenças a seguir classificando com V as sentenças verdadeiras e com F as falsas O fator de disponibilidade de material e recursos permite que assim eles estiverem prontamente disponíveis as principais iniciativas do plano poderão ser agendadas com antecedência O fator de dependências críticas do projeto se refere a ter que se lidar com as dependências existentes para que o cronograma seja cumprido O fator estado atual de conformidade é referente a algum novo sistema operacional firewalls redes virtuais privadas etc O fator de impacto está relacionado a abordar as prioridades em termos de função e risco operacional Assinale a alternativa com a sequência CORRETA a F F F F b V V V V c F V V F d V F V V 5 A pergunta a ser respondida ao começar a desenvolver material para um programa ou campanha de conscientização da organização é Quais assuntos queremos que todas as pessoas da organização estejam cientes sobre segurança de TI O plano de conscientização e treinamento deve conter uma lista de tópicos Destacamos ainda que podem existir várias fontes de material a serem incorporadas no programa O material pode tratar de uma questão específica ou em alguns casos pode descrever como iniciar o desenvolvimento de um programa sessão ou campanha de conscientização Analise as sentenças a seguir referente aos tópicos a serem abordados e as fontes a serem utilizadas classificando com V as sentenças verdadeiras e com F as sentenças falsas Uso e gerenciamento de senhas incluindo criação frequência de alterações e proteção é um tipo de fonte a ser utilizada Política e as implicações do não cumprimento é um tópico a ser abordado A Engenharia social referenciada nesta unidade e amplamente estudada em nossa Unidade 1 é um tópico a ser abordado Avisos por email emitidos por grupos de notícias hospedados pelo setor instituições acadêmicas ou pelo escritório de segurança de TI da organização é um tipo de fonte a ser utilizada 200 Assinale a alternativa com a sequência CORRETA a F F F F b V V V V c F V V F d V F V V 201 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO OBJETIVOS DE APRENDIZAGEM PLANO DE ESTUDOS A partir do estudo desta unidade você deverá ser capaz de compreender o real valor da informação para a o negócio compreender que a informação precisa ser devidamente gerida compreender a segurança da informação na visão corporativa saber quais são as atribuições do gestor da segurança da informação compreender a importância da conscientização do corpo executivo ter compreensão do que é um retorno de investimento compreender a importância de um posicionamento hierárquico adequado saber o que é o modelo de gestão corporativa de segurança da informação saber as principais diferenças entre um Escritório de Segurança da In formação e o Comitê Corporativo de Segurança da Informação saber o que é a Política de Segurança da Informação compreender as Políticas e Regulamentos de Segurança da Informação Esta unidade está dividida em três tópicos No decorrer da unidade você encontrará autoatividades com o objetivo de reforçar o conteúdo apresentado TÓPICO 1 VISÃO CORPORATIVA E POSICIONAMENTO HIERÁRQUICO TÓPICO 2 MODELO DE GESTÃO CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO TÓPICO 3 POLÍTICAS E REGULAMENTOS DE SEGURANÇA DA INFOR MAÇÃO Preparado para ampliar seus conhecimentos Respire e vamos em frente Procure um ambiente que facilite a concentração assim absorverá melhor as informações CHAMADA 203 UNIDADE 3 1 INTRODUÇÃO Como vimos em nossas Unidades 1 e 2 atualmente nós convivemos com o uso de um grande volume de informações em toda esfera organizacional Assim podemos ver a informação norteando todas as decisões e os seu respectivo plano Sêmola 2014 representa a onipresença da informação nos principais processos de negócio na Figura 1 FIGURA 1 ONIPRISENÇA DA INFORMAÇÃO FONTE Sêmola 2014 p 2 Desta forma nós podemos verificar a dependência da informação nas mais diversas atividades da organização desde a infraestrutura organizacional até a visão empresarial Neste contexto Sêmola 2014 trata essa dependência por meio da visão holística do risco e a colocamos aqui na introdução para sua melhor compreensão da importância de se ter a conscientização no corpo executivo Sêmola 2014 faz uma analogia com o corpo humano e o cenário atual vivido pelas organizações perante o crescimento exponencial da dependência da informação Pense no ser humano como uma máquina complexa ímpar imprevisível e sujeita a mudanças físicas e emocionais a qualquer momento muitas motivadas por fatores externos SÊMOLA 2014 p 5 TÓPICO 1 VISÃO CORPORATIVA E POSICIONAMENTO HIERÁRQUICO UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO 204 Agora acadêmico reflita sobre as similaridades com a sua organização sujeita a influências de variáveis mercadológicas macroeconômicas físicas setoriais tecnológicas e políticas Visualize as caraterísticas de visão missão valores estratégias metas produtos e serviços Por mais que outras organizações tenham similaridades com a sua bem como o corpo humano todas possuem diferenças que as tornam exclusivas ou seja única pois cada uma possui características específicas e certamente com sensibilidades diversas Sêmola 2014 p 56 coloca O que aconteceria com dois indivíduos aparentemente semelhantes se considerarmos as similaridades anatômicas dos membros órgãos etc consumindo açúcar em exagero sendo um deles diabético Teriam sensibilidades iguais provocando os mesmos efeitos Agora pense na sua organização novamente Aparentemente similar a um concorrente por atuar no mesmo segmento com os mesmos produtos e até possuindo processos de negócio semelhantes Imagine então ambas sendo contaminadas por um vírus de computador ou tendo sua conexão à Internet fora do ar momentaneamente Algumas das perguntas que devem ser feitas são Teriam sofrido os mesmos efeitos Teriam tido impactos financeiros idênticos Estou certo de que não pois cada instituição possui diferenças físicas tecnológicas humanas além dos fatores externos que influenciam direta e indiretamente interferem nas variações de sensibilidade e consequentemente nos impactos resultantes Por fim pense nos nossos membros Cada qual com sua função e importância para a manutenção e o funcionamento do nosso corpo Com similar papel aparecem os processos de negócio para a organização cada um com objetivos distintos que integrados permitem seu crescimento e operação Contudo para que tenhamos vida e sejamos capazes de manter o organismo vivo precisamos de um elemento vital o sangue Ele transporta e compartilha oxigênio a cada célula espalhada pela massa corporal Leva alimento a todos os membros e circula incessantemente da cabeça aos pés Esta analogia foi possível devido às organizações terem algum nível de informatização bem como compartilharem informações conforme representado graficamente na Figura 2 TÓPICO 1 VISÃO CORPORATIVA E POSICIONAMENTO HIERÁRQUICO 205 FIGURA 2 INFLUÊNCIAS DAS VARIÁVEIS INTERNAS E EXTERNAS QUE PERSONALIZAM O PRO BLEMA DA SEGURANÇA DA INFORMAÇÃO FONTE Sêmola 2014 p 6 A informação é o sangue que corre nas veias da organização distribuída por todos os processos de negócio alimentandoos e circulando por vários ativos ambientes e tecnologias Nesse cenário a informação é fundamental em cumprir o papel de prover instrumentos para a gestão do negócio da organização Assim como o coração no corpo humano nas organizações existem grandes computadores e servidores que armazenam e processam grandes volumes de informações de maneira central Toda e qualquer informação estão acessíveis independentemente da localização geográfica por meio da Internet Intranet Extranet Virtual Private Network VPNs que culminam com tecnologias de acesso sem fio como Wireless Fidelity WiFi 3G 4G SÊMOLA 2014 O nível de risco vem crescendo como podemos ver no exemplo seguinte Pense em um correntista de um banco Antigamente era preciso irmos na agência do nosso banco para realizar a movimentação bancária devido às informações estarem compartilhadas de forma parcial e somente eram acessíveis por meio dos caixas ou terminais de autoatendimento Ao ter a informação centralizada é necessário um maior controle e segurança à informação SÊMOLA 2014 Atualmente o deslocamento à agência do banco só é realizado quando desejamos pois grande parte dos serviços são realizados no site aplicativos de telefone e Internet Banking a partir de qualquer ponto de acesso à Web no mundo Sêmola 2014 p 7 lembra que essas novas e modernas condições elevam o risco das empresas a níveis nunca antes vividos fazendoas perceber a necessidade de ações corporativas integradas em busca de mecanismos de controle que permitam reduzilo e tornálo administrável e viável No ambiente corporativo muitos outros processos de tratamento do risco estão UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO 206 amadurecidos como risco jurídico risco de crédito risco financeiro risco de pessoal etc mas ainda há muito a desenvolver no campo do risco da informação Veja agora algumas dicas que preparamos para você Informação ativo cada vez mais valorizado A informação representa a inteligência competitiva dos negócios e é reconhecida como ativo crítico para a continuidade operacional e saúde da empresa SÊMOLA 2014 p 36 IMPORTANTE Ciclo de vida da informação A visão corporativa da segurança da informação deve ser comparada a uma corrente em que o elo mais fraco determina o seu grau de resistência e proteção A invasão ocorre onde a segurança falha SÊMOLA 2014 p 37 IMPORTANTE Crescimento da dependência Os riscos são inerentes e proporcionais aos índices de dependência que a empresa tem da informação e da complexidade da estrutura que suporta os processos de automação informatização e compartilhamento de informações SÊMOLA 2014 p 36 IMPORTANTE Podemos afirmar que as vulnerabilidades e ameaças são grandes sendo necessário conhecêlas e ter o apoio do alto escalão da organização Até o momento já apresentamos algumas dessas ameaças e vulnerabilidades e trazemos outras na leitura complementar desta unidade Não deixe de as conhecer Outra característica importante é a visão executiva na gestão da segurança da informação ou seja a visão corporativa Agora veja a UNI referente à visão corporativa TÓPICO 1 VISÃO CORPORATIVA E POSICIONAMENTO HIERÁRQUICO 207 2 VISÃO CORPORATIVA A informação é um importante ativo para as organizações sendo considerada o sangue da organização O Quadro 1 traz em uma única visão o cenário da segurança da informação vivido pelas organizações QUADRO 1 VISÃO ÚNICA DO CENÁRIO Crescimento sistemático da digitalização de informações Crescimento exponencial da conectividade da organização Crescimento das relações eletrônicas entre organizações Crescimento exponencial do compartilhamento de informações Barateamento dos computadores e demais dispositivos de acesso à informação facilitando sua aquisição Uso de dispositivos móveis pessoais com alta capacidade de interconexão e armazenamento nos ambientes de trabalho e fora dele Facilidade e gratuidade de acesso à Internet em banda larga Baixo nível de identificação do usuário no acesso à Internet Alto compartilhamento de técnicas de ataque e invasão Disponibilidade de grande diversidade de ferramentas de ataque e invasão Facilidade de uso de ferramentas de ataque e invasão Amplitude confusão subjetivismo e desconhecimento dos mecanismos legais de responsabilização em ambiente virtual e das leis que tipificam os crimes de informática no país Comunicação de massa exaltando o jovem invasor pelo mérito da invasão Criação do estereótipo do hacker como gênio e herói que obteve êxito em invasão Associação equivocada entre inteligência competitiva e espionagem eletrônica Diversificação dos perfis da ameaça concorrente sabotador especulador adolescente hacker colaborador insatisfeito etc Visão corporativa As empresas são diferentes e precisarão mapear o seu risco através da ponderação de ameaças vulnerabilidades físicas tecnológicas e humanas e impactos em busca da especificação da solução ideal SÊMOLA 2014 p 37 ATENCAO UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO 208 Crescente valorização da informação como principal ativo de gestão das organizações Redes Sociais Computação em nuvem Problemas tecnológicos Convergência digital Leis regulamentações e normas não unificadas Fragilidade na identificação de usuário ao acesso à internet Necessidade de tratar a informação como um recurso estratégico e econômico Interdependência entre os ativos de informação Aumento dos riscos associados aos ativos de informação Desconhecimento das tecnologias embutidas nas arquiteturas proprietárias Alinhamento estratégico da segurança da informação com as atribuições organizacionais FONTE Adaptado de Sêmola 2014 p 8 e Brasil 2016 p 1718 Podemos dizer que este cenário é abrangente e turbulento Segundo Brasil 2016 cabe ao gestor da segurança da informação conseguir lidar com esse cenário abrangente do Quadro 1 O gestor da segurança da informação precisa ter várias atribuições para que ele possa gerenciar esse cenário As atribuições necessárias ao gestor estão dispostas no Quadro 2 QUADRO 2 ATRIBUIÇÕES DO GESTOR DA SEGURANÇA DA INFORMAÇÃO Promover a cultura de segurança da informação e comunicações Acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança Propor à alta administração recursos necessários às ações de segurança da informação e comunicações Coordenar o Comitê de Segurança da Informação e Comunicações e a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais Realizar e acompanhar estudos de novas tecnologias quanto a possíveis impactos da Seguranção da Informação e Comunicação SIC no órgão Manter contato direto com o Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República DSICGSIPR para o trato de assuntos relativos à segurança da informação e comunicações TÓPICO 1 VISÃO CORPORATIVA E POSICIONAMENTO HIERÁRQUICO 209 Propor normas relativas à SIC ao Comitê Gestor de SIC do Órgão Responder pela SIC no órgão Gerenciar a aplicação de normas e políticas de proteção aos ativos e sistemas de acordo com a legislação vigente Desenvolver a análise de risco e mapeamento de vulnerabilidades Elaborar o plano estratégico de Continuidade de Negócios e Recuperação de Desastres Atuar junto aos usuários finais para resolução de problemas que coloquem em risco a SIC do órgão Cuidar para que sejam observadas e aplicadas no órgão integralmente a Política de Segurança da Informação e Comunicações PoSIC e os normativos vigentes FONTE Adaptado de Brasil 2016 p 19 Brasil 2016 destaca quatro contextos fundamentais a serem tratados pelo gestor da segurança da informação que são Política de Segurança da Informação e Comunicações PoSIC Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais ETIR Gestão de Continuidade de Negócios GCN e Gestão de Riscos em Segurança da Informação e Comunicações GRSIC Entretanto queremos destacar que para que o gestor da segurança da informação consiga realizar tanto as suas atribuições como focar nesses quatro grandes contextos é preciso estar ciente que não existe uma receita explosiva Mas o que seria a receita explosiva Veja nossa UNI Além de não existir uma receita explosiva ou uma receita de bolo é necessário entendermos a anatomia do problema e a devida conscientização do corpo executivo da organização Veja as dicas que preparamos para você Receita explosiva Olhar ao redor e projetar novas situações prática para as empresas preocupadas em construir sólida mas adequadamente flexível para se ajustar às inevitavelmente ocorrerão no ambiente SÊMOLA 2014 p 37 ATENCAO Anatomia do problema Segurança é implementar controles que reduzam o risco a níveis adequados viáveis e administráveis SÊMOLA 2014 p 38 IMPORTANTE UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO 210 Conscientização do corpo executivo Somente com apoio executivo as ações de segurança ganharão autonomia e abrangência capazes de incidir corporativamente sobre os furos de segurança SÊMOLA 2014 p 38 IMPORTANTE 21 CONSCIENTIZAÇÃO DO CORPO EXECUTIVO Acadêmico você pode se perguntar por que é necessário que exista conscientização do corpo executivo Sêmola 2014 faz algumas perguntas interessantes nesse sentido e as trazemos no Quadro 3 QUADRO 3 PERGUNTAS A SEREM RESPONDIDA Se a equipe de segurança está voltada apenas para os aspectos tecnológicos de segurança e consequentemente esquecendo os aspectos físicos e humanos Será que os investimentos realizados em segurança estão alinhados com os objetivos estratégicos da organização a fim de propiciar o melhor retorno sobre o investimento Se as ações estão orientadas por um plano diretor de segurança ou continuam ocorrendo de acordo com demandas reativas em caráter emergencial Estaria sua organização operando em terreno de alto risco encorajada por mecanismos de controle que lhe dão uma falsa sensação de segurança apesar de continuar com as portas trancadas mas as janelas ainda abertas FONTE Adaptado de Sêmola 2014 p 8 Além dessas perguntas acadêmico Sêmola 2014 p 17 coloca que O nível de segurança de uma empresa está diretamente associado à segurança oferecida pela porta mais fraca Portanto é preciso ter uma visão corporativa capaz de viabilizar uma ação consistente e abrangente levando a empresa a atingir o nível de segurança adequado à natureza do seu negócio SÊMOLA 2014 p 17 Essas ideias estão representadas graficamente na Figura 3 TÓPICO 1 VISÃO CORPORATIVA E POSICIONAMENTO HIERÁRQUICO 211 FIGURA 3 CENÁRIO ATUAL X CENÁRIO DESEJADO FONTE Sêmola 2014 p 18 Pela referida figura é possível verificar os três aspectos que devem ser levados em consideração na abrangência de segurança que são pessoas tecnologias e processos Esses três aspectos são constantemente alvos de todo tipo de investida visando sempre encontrar o alvo mais vulnerável e quando a investida funciona a segurança é quebrada Isto decorre na maioria das vezes pela visão míope do problema e a percepção distorcida ao se pensar em segurança da informação Muitos percebem os aspectos da segurança considerando e enxergando apenas os problemas associados à tecnologia mais precisamente Internet redes computador email vírus e hacker SÊMOLA 2014 p 20 grifo nosso Em decorrência disso esquematizamos no Quadro 4 os pecados praticados que refletem negativamente o negócio da organização Veja a dica que preparamos para você Pecados praticados Aprender com as experiências e erros cometidos por terceiros faz parte do processo de crescimento mas aprender com os próprios erros deve fazer parte do seu processo de sobrevivência SÊMOLA 2014 p 38 IMPORTANTE UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO 212 QUADRO 4 PECADOS PRATICADOS Atribuir exclusivamente à área tecnológica a segurança da informação Posicionar hierarquicamente essa equipe abaixo da diretoria de TI e julgar que esse é o posicionamento definitivo Definir investimentos subestimados e limitados à abrangência dessa diretoria Elaborar planos de ação orientados à reatividade Não perceber a interferência direta da segurança com o negócio Tratar as atividades como despesa e não como investimento Adotar ferramentas pontuais como medida paliativa Satisfazerse com a sensação de segurança provocada por ações isoladas Não cultivar corporativamente a cultura da gestão de riscos Tratar a segurança como um projeto e não como um processo FONTE Adaptado de Sêmola 2014 p 19 Por envolver os aspectos das pessoas tecnologias e processos e ser um problema de toda organização a segurança da informação tem que ser aplicada de forma top down Desta forma é necessário que inicialmente a alta diretoria seja mobilizando e somente após isto devese buscar atingir as demais partes interessadas na hierarquia da organização Sêmola 2014 p 20 destaca que Essa condição é fundamental pois não haverá possibilidade de atingir simultaneamente e com igualdade as vulnerabilidades de todos os ambientes e processos da organização se não houver uma ação coordenada e principalmente apoiada pela cúpula Agora acadêmico veja as dicas que destacamos para você Entendese por apoio não só a sensibilização e a percepção adequada dos riscos e problemas associados mas também a consequente priorização das ações e definição orçamentária à altura SÊMOLA 2014 p 20 NOTA TÓPICO 1 VISÃO CORPORATIVA E POSICIONAMENTO HIERÁRQUICO 213 Visão holística do risco considerar os planos e identificar as características específicas do negócio são os primeiros a modelar uma solução de segurança adequada SÊMOLA 2014 p 37 IMPORTANTE Para que as ações definidas na segurança da informação e da comunicação sejam operacionalizadas é necessário que essas definições sejam realizadas pelo corpo executivo Além disso queremos destacar que o nível gerencial também conhecido como tático é o nível que geralmente faz a parte de normatização e no nível operacional os procedimentos FIGURA 4 AÇÃO COORDENADA POR DEFINIÇÕES ESTRATÉGICAS FONTE Adaptada de Sêmola 2014 Nas extremidades da pirâmide temos a gestão estratégica e a gestão operacional e no meio da pirâmide temos a gestão tática ou gestão gerencial A gestão operacional visa garantir que as operacionais transacionais rotineiras da organização sejam realizadas com eficácia e eficência Para Hintzbergen et al 2018 p 132 a gestão operacional está concentrada em garantir que os trabalhadores no chão de fábrica sejam instruídos corretamente sobre o trabalho a ser realizado por eles em qualquer momento específico e que eles sejam providos de materiais ferramentas e outras instalações necessárias para seguir com o trabalho Já no meio da pirâmide temos a gestão tática ou gerencial Esta gestão está preocupada com o planejamento e com o controle para funções organizacionais individuais como marketing produção e desenvolvimento de recursos humanos ou funções abaixo destas que visam melhorar o desempenho a curto e médio prazo HINTZBERGEN et al 2018 p 132 Já na gestão estratégica se busca alcançar um equilíbrio entre os requisitos das diferentes funções e unidades da organização Ela também implica em equilibrar os riscos tanto em curto como em longo prazo HINTZBERGEN et al 2018 p 131 A UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO 214 gestão estratégica se baseia nessas considerações para estabelecer os requisitos de longo prazo e a serem perseguidos identificando maneiras e os meios de como os atingir Uma característica única da gestão estratégica é a ausência de quaisquer planos ou objetivos de nível mais elevado HINTZBERGEN et al 2018 p 131 que possam lhe auxiliar Pois conforme Sêmola 2014 p 21 Não é tarefa fácil encontrar uma linguagem adequada capazes de traduzir de forma executiva as necessidades de investimento e principalmente os benefícios diretamente segurança Isto ocorre por existir muita subjetividade nas ações além de se tratar de um investimento que comumente não se materializa facilmente e só mostra retorno quando há algum evento que põe à prova os mecanismos de controle SÊMOLA 2014 p 20 Os executivos fazem parte justamente da gestão estratégica e já passaram por algumas situações que possuem similaridade e convergências com os desafios atuais O QUADRO 1 traz três desses desafios vividos bug do ano 2000 Enterprise Resource Planning ERP e ISO 9001 Sêmola 2014 p 21 coloca que Em tempo do desafio de reduzir os riscos proporcionados pelo bug do ano 2000 todo o alto escalão foi envolvido e conscientizado dos riscos e da necessidade de investir a fim de superar a ameaça Neste desafio foram realizadas análises e extraídas características relevantes aplicadas à segurança da informação Sêmola 2014 p 21 grifo nosso coloca que O mesmo ocorreu quando buscaram organizar seu sistema corporativo de gestão de forma integrada por meio de sistemas Enterprise Resource Planning ERP no momento de se adequarem aos padrões de qualidade proporcionados pela certificação ISO 9001 QUADRO 5 CARACTERÍSTICAS EXTRAÍDAS PELOS EXECUTIVOS DOS DESAFIOS ENFRENTADOS DESAFIO CARACTERÍSTICAS EXTRAÍDAS AÇÃO Bug do ano 2000 Problema generalizado Em tempo de resolver o problema dos sistemas para a virada do ano 2000 concluíram que se tratava de um problema generalizado necessitando de uma ação corporativa e que precisavam ser complacentes com o bug Ação corporativa Conformidade ERP Visão estratégica No momento de otimizar seu modelo de gestão com as soluções ERP concluíram com a análise de que para obter sucesso necessitavam ter uma visão estratégica mudar e adaptar os processos e ainda manter o controle centralizado Mudança de processos Controle centralizado TÓPICO 1 VISÃO CORPORATIVA E POSICIONAMENTO HIERÁRQUICO 215 ISO 9001 Conscientização da alta administração Já na iniciativa de certificação de qualidade ISO perceberam a dependência da conscientização da alta administração a criação de normas e procedimentos a certificação a implantação e a administração constante Criação de normas e procedimentos Implementação certificação e administração FONTE Adaptado de Sêmola 2014 p 2122 Para Sêmola 2014 p 22 fatores críticos de sucesso em ações distintas são igualmente importantes para superar o desafio da segurança e configuram modelos mentais já vividos e absorvidos pelos executivos que enfrentam o desafio da segurança da informação A Figura 5 resume a absorção desses três modelos mentais na qual no eixo horizontal é possível averiguar as experiênciais temporais e no eixo vertical os fatores críticos de sucesso FIGURA 5 ABSORÇÃO DOS MODELOS MENTAIS FONTE Sêmola 2014 p 22 Nesse sentido Fontes 2008 p 31 observa que O executivo não precisa ser um especialista em segurança da informação mas precisa conhecer requisitos básicos sobre o assunto Os requisitos básicos que todo executivo precisa conhecer estão elencados e descritos no quadro a seguir para sua melhor comprrensão UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO 216 QUADRO 6 REQUISITOS BÁSICOS QUE TODO EXECUTIVO DEVE CONHECER REQUISITO DESCRIÇÃO Não é um assunto somente de tecnologia Os computadores processam e armazenam a maioria das informações operacionais e estratégicas da organização Por isso esse ambiente precisa ser protegido Para tanto é necessário contar com a ajuda de especialistas O erro está em pensar que somente com soluções técnicas tipo programas de antivírus estaremos protegendo a informação Coerente com o porte sua empresa deve ter melhor proteção tecnológica Saiba que isso é fundamental mas não o suficiente É uma decisão empresarial Proteger a informação é uma decisão empresarial porque seu objetivo é proteger o negócio da organização Se acontecer um fato em que a organização tenha um grande prejuízo ou que seja impedida de continuar a realizar o seu negócio serão os acionistas que perderão o investimento realizado Não acontece por milagre A proteção da informação exige dedicação de recursos financeiros de tempo e de pessoas Em termos financeiros toda organização tem condições de realizar uma proteção adequada Se o recurso financeiro estiver sendo usado como desculpa algo está errado Até o usuário doméstico tem condições de proteger adequadamente a sua informação A propósito você protege a informação do computador da sua residência Deve fazer parte dos requisitos do negócio O gasto com a segurança da informação deve fazer parte do negócio da organização É mais um item que compõe o preço final para o seu produto Cuidado com o canto da sereia do retorno de investimento Encare a segurança da informação como um elemento crítico que possibilita a realização do negócio Exige postura profissional das pessoas A regra básica é tratar o assunto de segurança da informação de forma profissional Devem existir regulamentos normas e políticas que valem para todos Se outros assuntos da organização não são tratados de forma profissional essa cultura dificulta o processo de proteção É liberar infomação apenas para quem precisa Uma regra básica é somente o usuário que precisa da informação para o desempenho profissional das suas atividades na organização deve ter acesso à informação Se alguém não precisa da informação não deve ter acesso independentemente do seu nível hierárquico TÓPICO 1 VISÃO CORPORATIVA E POSICIONAMENTO HIERÁRQUICO 217 É implementar o conceito de Gestor da informação Historicamente a área de tecnologia era responsável pela autorização e liberação da informação para o usuário Pode até continuar sendo assim porém tem que existir uma autorização da área proprietária daquela informação A área de tecnologia é apenas uma prestadora de serviço Ela é a custodiante da informação Por exemplo quem deve autorizar o acesso às informações financeiras deve ser a diretoria financeira Deve contemplar todos os colaboradores A organização conta com colaboradores prestadores de serviço terceirizados consultores e trabalhadores temporários Todos são colaboradores e devem ser contemplados no processo de segurança da informação Os parceiros da sua organização devem ter o mesmo nível de comprometimento que os seus próprios colaboradores É considerar as pessoas um elemento vital As pessoas fazem a organização As pessoas fazem acontecer a segurança da informação Pouco adianta ter uma super estrutura de proteção técnica se seus colaboradores não internalizam os conceitos de segurança Exige alinhamento com o negócio As ações de segurança devem estar alinhadas ao negócio da organização Porém essa é uma via de mão dupla As iniciativas de negócio devem considerar a segurança da informação desde o início Não se deve estruturar e implementar um novo produto de negócio para depois considerar a proteção da informação FONTE Adaptado de Fontes 2008 p 3134 Você deve se perguntar se existe algo mais para que de fato se tenha a conscientização adequada do corpo executivo Sua pergunta está coerente acadêmico pois além do exposto até o momento é necessário tratar do Return on Investment ROI Antes de você ir para esse tema veja as dicas que preparamos para você O ROI é o retorno sobre o investimento É a linguagem mais intimamente ligada ao perfil executivo de avaliação de custo rentabilidade receita lucro dividendos ganho de market share e de share of mind e valorização das ações SÊMOLA 2014 p 23 NOTA UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO 218 22 RETORNO SOBRE O INVESTIMENTO O retorno do investimento ou Return on Investment ROI é uma medida de desempenho utilizada para avaliar a eficiência de um investimento ou comparar a eficiência de vários investimentos diferentes O ROI mede a quantidade de retorno de um investimento em relação ao custo dos investimentos Para calcular o ROI o benefício ou retorno de um investimento é dividido pelo custo do investimento e o resultado é expresso em porcentagem ou proporção MARKS 2018 Sêmola 2014 p 23 lembra que o ROI é uma ferramenta antiga velha conhecida dos empreendedores investidores e executivos atentos ao mercado e às oportunidades e que foi construída por meio do cruzamento de dados reais relacionados a custos diretos indiretos e intangíveis com a projeção de investimentos tornase ótimo instrumento para nortear as ações desses executivos SÊMOLA 2014 p 23 Na área tecnológica não é diferente acadêmico também temos que planejar projetar medir e cobrar os resultados da integração entre tecnologia e negócio SÊMOLA 2014 p 24 Para que isso seja possível Sêmola 2014 p 24 coloca que precisamos exercitar mais o ROI em subcategorias com maior detalhamento Não basta modelar um macro ROI tecnológico é preciso abordar mais tecnologias e problemas mais específicos como a segurança da informação A visão corporativa precisa por meio de uma combinação de pessoas processos e tecnologia possuir boas métricas juntamente com a estrutura certa para descoberta classificação e governança de dados Consequentemente ao se ter esses ingredientes a escolha dos métodos controles e tecnologias de proteção certos fica muito mais fácil Embora não exista maneira de garantir que os sistemas sejam à prova de balas é possível garantir que a postura de risco de uma organização esteja alinhada com seu nível de tolerância a riscos e que tenha a melhor proteção de segurança possível dentro do custo x benefício possível WINSER 2018 Não é um trabalho simples mas é necessário que entenda conheça e se mapeie Retorno sobre o investimento projetar o ROI de ações integradas e alinhadas com as diretrizes estratégicas da empresa representará eficaz ferramenta de conscientização e sensibilização do executivo a fim de ganhar seu comprometimento SÊMOLA 2014 p 38 ATENCAO TÓPICO 1 VISÃO CORPORATIVA E POSICIONAMENTO HIERÁRQUICO 219 os problemas corporativos porque sem essas informações não seria possível desenvolver uma ferramenta de confiável e pronta para apoiar a priorização das ações e as tomadas de decisão O ROI da segurança tem especialmente muitas respostas elucidativas que nos ajudam a reverter a velha imagem de despesa convertendoa em investimento SÊMOLA 2014 p 24 O ROI da segurança colocado por Sêmola 2014 Marks 2018 e Winser 2018 entre outros na literatura é abordado por Sonnenreich 2006 com o termo Return On Security Investment ROSI Sonnenreich 2006 observa que em um mundo no qual hackers vírus de computador e cyber terroristas fazem manchete a segurança se tornou uma prioridade em todos os aspectos da vida inclusive nos negócios Provavelmente em algum momento você já se pegou fazendo perguntas do tipo Mas como uma organização se torna segura Quanta segurança é suficiente Como uma organização sabe quando seu nível de segurança é razoável Mais importante qual é a quantidade certa de dinheiro e tempo para investir em segurança Como Sonnenreich 2006 coloca os executivos não se importam se firewalls ou gnomos protegem os servidores de suas empresas Em vez disso eles querem saber o impacto que a segurança está causando nos resultados Para saber quanto eles devem gastar em segurança eles precisam saber Quanto custa a falta de segurança para os negócios Qual é o impacto da falta de segurança na produtividade Que impacto teria uma violação catastrófica de segurança Quais são as soluções mais econômicas Qual é o impacto das soluções na produtividade O dinheiro investido em segurança precisa fazer sentido para os negócios É necessário que existam métricas de segurança que mostrem como os gastos com segurança afetam os resultados finais Não faz sentido implementar uma solução se o custo real for maior que a exposição ao risco Agora acadêmico pare alguns minutos para analisar e refletir sobre as percepções do ROI da segurança apresentadas na Figura 6 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO 220 FIGURA 6 PERCEPÇÕES DO ROI DA SEGURANÇA FONTE Sêmola 2014 p 24 Sêmola 2014 exercita alguns desses custos envolvidos nestas percepções elencadas no quadro a seguir QUADRO 7 ALGUNS DOS CUSTOS ENVOLVIDOS CUSTO DESCRIÇÃO DIRETO Se cruzarmos o número de contaminações por vírus de computador em um ano o percentual de colaboradores atingidos o tempo perdido com a paralisação e o custo homemhora perceberemos com nitidez o impacto direto no negócio Ao analisarmos o tempo de trabalho consumido pelos colaboradores com acesso livre à Internet acessando informações que não estão associadas à atividade profissional e novamente o custo homem hora poderemos projetar o impacto na produtividade dos recursos humanos Se por ocasião de um desastre houver a indisponibilidade de um serviço por exemplo Internet Banking multiplique o número de correntistas que o acessam por hora a economia que a organização tem pelo fato de seus correntistas evitarem as agências e migrarem para a Internet e assim terá o impacto direto TÓPICO 1 VISÃO CORPORATIVA E POSICIONAMENTO HIERÁRQUICO 221 INDIRETO Vamos usar as mesmas situações colocodas nos custos diretos Podemos realçar os custos relacionados à mobilização de equipes para remover os vírus que infectaram os computadores da rede o tempo necessário para reconstruir arquivos e informações que se perderam com a contaminação e ainda possíveis restaurações de cópias de segurança se existirem Seguindo os exemplos anteriores o acesso indiscriminado e sem controle à Internet pode provocar uma sobrecarga da banda de rede antecipando investimentos e causando indisponibilidade Além disso pode permitir a contaminação por vírus de toda a rede com a execução de programas copiados da Internet e pior expor a organização a sanções legais relacionadas à pirataria de software pedofilia e crimes virtuais E os problemas não param por aí a indisponibilidade dos serviços pode atingir profundamente você e o seu cliente Primeiro você pelo fato de o cliente não ter conseguido realizar uma transação financeira um investimento ou uma solicitação de cartão de crédito etc Agora o cliente que deverá ser reparado por meio de uma ligação do telemarketing de campanhas de marketing direto etc INTANGÍVEIS E INCALCULÁVEIS Estes põem verdadeiramente em risco a continuidade do negócio O impacto de uma invasão seja interna seja externa causando o roubo de informações não é fácil de ser calculado Muitas vezes não se sabe que fim levou aquela informação e muito menos como ela será explorada Será que estará na mão de um concorrente Ou na mão da imprensa pronta para um furo de reportagem Trata se de um problema sem dimensão definida O impacto à imagem é coisa séria e custosa para ser revertida Gasta se muito mais recurso tentando reconstruir uma imagem sólida segura eficiente e compromissada com o cliente do que o que foi gasto para construíla Ainda temos de pensar nos novos negócios que estão por vir e que dependerão da segurança para sua viabilidade Afinal que organização não gostaria de ser o empreendimento que faz acontecer em vez de apenas ver o que acontece FONTE Adaptado de Sêmola 2014 p 2426 O estudo de ROI definitivamente já faz parte do dia a dia dos executivos de tecnologia e a segurança da informação em especial já é pauta certa de reunião e motivo de sobra para ser considerada um investimento SÊMOLA 2014 p 26 Portanto é necessário gerar e implantar mecanismos de controle que UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO 222 preliminarmente reúnam informações que sinalizem os eventos em que há quebra de segurança e registrem os efeitos ao longo do tempo SÊMOLA 2014 p 26 Em pose disso acrescido das projeções e simulações será possível gerar um estudo de ROI capaz de traduzir na linguagem executiva o que realmente é preciso entender segurança é um investimento importante necessário mensurável e justificável SÊMOLA 2014 p 26 Agora veja o que preparamos para você acadêmico Para Sonnenreich 2006 o ROSI é calculado com a equação ROSI Exposição Risco Risco Mitigado Custo da solução Um método analítico simples para calcular a exposição ao risco é multiplicar o custo projetado de um incidente de segurança Exposição a Perdas Individuais EPI pela sua Ocorrência Estimada Anual OEA O valor resultante é chamado de Exposição de Perda Anual EPA Sonnenreich 2006 também lembra que embora não haja métodos padrão para estimar o EPI ou o OEA existem tabelas atuariais que fornecem valores estatísticos médios com base em relatórios de danos no mundo real Essas tabelas são criadas a partir de dados de reivindicações de seguros pesquisas acadêmicas ou pesquisas independentes Com isso colocamos a fórmula de Exposição ao Risco EPA EPI OEA SONNENREICH 2006 Cabe destacar neste momento que todo investimento tem seu ponto de inflexão ou seja um ponto na curva em que o retorno já não é proporcional ao esforço empregado Essa situação é indesejada e deve ser alvo de atenção para evitar sua ocorrência Seria o mesmo que investir em segurança um montante maior do que o próprio valor do bem protegido considerando e ponderando é claro todos os aspectos associados à operação do negócio SÊMOLA 2014 Novamente pedimos que você pare alguns minutos para analisar e refletir sobre a análise do pronto de inflexão dos investimentos em segurança da informação e comunicação versus o ROI que apresentamos na figura a seguir A pergunta fundamental que o ROI visa responder é qual dessas opções me dá mais valor pelo meu dinheiro O ROI é frequentemente usado para comparar estratégias alternativas de investimento Por exemplo uma organização pode usar o ROI como um fator ao decidir se deve investir no desenvolvimento de uma nova tecnologia ou ampliar os recursos de sua tecnologia existente IMPORTANTE TÓPICO 1 VISÃO CORPORATIVA E POSICIONAMENTO HIERÁRQUICO 223 FIGURA 7 ANÁLISE DO PONTO DE INFLEXÃO DOS INVESTIMENTOS EM SEGURANÇA X ROI FONTE Sêmola 2014 p 27 3 POSICIONAMENTO HIERÁRQUICO ADEQUADO São muitos os desafios relacionados à segurança da informação Sêmola 2014 acredita que diante da abrangência desses desafios é preciso reorganizar a estrutura hierárquica da organização Portanto é necessário um posicionamento hierárquico devido à existência de confusões relacionadas às atividades e responsabilidade da gestão de segurança à tecnologia ou seja a área tecnológica da organização Sêmola 2014 destaca ainda que muitas organizações chegam a orçar e colocar as atividades relacionadas à segurança no Plano Diretor de Informática PDI também conhecido como Plano Diretor de Tecnologia de Informação e Comunicação PDTIC Veja a nossa dica referente ao posicionamento hierárquico Acadêmico nas Unidades 1 e 2 vimos uma vasta gama de vulnerabilidades ameaças e impactos que caem sobre todos os processos e ambientes organizacionais assim como recaem sobre as pessoas e demais aspectos Para lidar com esse ambiente Sêmola 2014 p 28 coloca que As ações precisam Posicionamento hierárquico Autonomia e posicionamento estratégico são condições primordiais para sustentar um processo dinâmico de administração de segurança eficiente SÊMOLA 2014 p 38 IMPORTANTE UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO 224 estar intimamente alinhadas às diretrizes estratégicas da empresa e para isso é necessário ter uma visão corporativa global e ampla capaz de criar sinergia entre as atividades e principalmente maior retorno sobre o investimento Isto de fato é alcançado ao se eliminar as operações redundantes e muitas vezes conflitantes que desacreditam o plano corporativo de segurança da informação Consequentemente é necessário que a organização tenha o posicionamento hierárquico adequado conforme apresentado na figura a seguir FIGURA 8 POSICIONAMENTO HIERÁRQUICO ADEQUADO FONTE Sêmola 2014 p 29 Pela Figura 8 é possível perceber a criação de um comitê corporativo de segurança da informação Esse comitê já herda a participação e a importância pelo comitê de auditoria Ainda pela referida figura acadêmico você pode perceber que esta unidade deve ser multidepartamental Sêmola 2014 p 29 destaca que este comitê deve ser coordenado e mediado pelo Security Officer mas com forte representatividade das diretorias da empresa Sêmola 2014 ilustra a percepção do dinamismo do contexto que a organização está inserida conforme a figura a seguir Analise cuidadosamente a referida figura apresentada acadêmico percebendo o dinamismo colocado TÓPICO 1 VISÃO CORPORATIVA E POSICIONAMENTO HIERÁRQUICO 225 FIGURA 9 PERCEPÇÃO DO DINANISMO FONTE Sêmola 2014 p 29 A Figura 9 traz as diversas variáveis que influenciam direta e indiretamente nos riscos operacionais do negócio da organização Sêmola 2014 p 30 ainda acrescenta que Diante do dinamismo dessas variáveis muitas das quais imprevisíveis e incontroláveis as empresas não poderão se deixar encurralar por estarem respaldadas por uma solução de segurança que represente apenas um projeto com início meio e fim Para acompanhar esse ambiente na qual as variáveis dinâmicas provocam mudanças constantes no contexto as organizações precisam buscar um processo igualmente contínuo e dinâmico visando acompanhar de forma veloz as oscilações e variações do ambiente Cabe destacar que os controles também precisam ser ajustados para preservar o nível de risco condizente Desta forma as organizações precisam que a segurança seja mantida por um verdadeiro processo de gestão corporativa de segurança da informação sustentado por subprocessos retroalimentados que interajam todo o tempo com as variáveis e estejam constantemente sendo ajustados às diretrizes estratégicas do negócio SÊMOLA 2014 p 30 A mudança é uma certeza que assim como temos presente em nossas vidas temos nos ambientes corporativos Portanto devemos estar preparamos para lidar com as constantes e cada vez mais crescentes mudanças UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO 226 Acadêmico o que a organização de fato precisa é de um modelo de gestão corporativo de segurança da informação que veremos no Tópico 2 desta unidade de estudo ESTUDOS FUTUROS Agora analise a figura a seguir que traz a representação da visão macro do processo de gestão tendo a gestão corporativa da segurança da informação permeando o processo cíclico e contínuo necessário às organizações FIGURA 10 VISÃO MACRO DO PROCESSO DE GESTÃO FONTE Sêmola 2014 p 30 Antes de passarmos para o próximo tópico pedimos que você veja as dicas que destacamos para você Gerência de mudanças a segurança deve ser tratada como um processo corporativo capaz de considerar as inevitáveis mudanças físicas tecnológicas humanas e contextuais e reagir dinamicamente SÊMOLA 2014 p 38 IMPORTANTE Modelo de gestão corporativa de segurança o fato de existir agora um modelo de gestão que sirva de bússola não garante o sucesso de sua implantação É preciso ter uma estrutura humana multiespecialista dedicada e embasada conceitualmente sempre em busca de atualização SÊMOLA 2014 p 38 IMPORTANTE 227 Neste tópico você aprendeu que É necessário ter conhecimento da legislação que a organização precisa seguir bem como elicitar os requisitos referentes à conscientização em segurança da informação necessários para atendêla A informação norteia todas as decisões e os planos políticas regulamentos e procedimentos referente à segurança da informação A informação está onipresente nos principais processos de negócio O sangue que corre nas veias da organização é a informação A informação representa a inteligência competitiva dos negócios e é reconhecida como ativo crítico para a continuidade operacional e saúde da empresa SÊMOLA 2014 p 36 A informação está onipresente nos principais processos de negócio A visão corporativa da segurança da informação deve ser comparada a uma corrente em que o elo mais fraco determina o seu grau de resistência e proteção A invasão ocorre onde a segurança falha SÊMOLA 2014 p 37 Os riscos são inerentes e proporcionais aos índices de dependência que a empresa tem da informação e da complexidade da estrutura que suporta os processos de automação informatização e compartilhamento de informações SÊMOLA 2014 p 36 O gestor da informação deve promover a cultura de segurança da informação e comunicação O gestor da informação deve acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança O gestor da informação deve propor à alta administração recursos necessários às ações de segurança da informação e comunicações O gestor da informação deve coordenar o Comitê de Segurança da Informação e Comunicações e a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais O gestor da informação deve realizar e acompanhar estudos de novas tecnologias quanto a possíveis impactos da Segurança da Informação e Comunicação SIC no órgão RESUMO DO TÓPICO 1 228 O gestor da informação deve manter contato direto com o Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República DSICGSIPR para o trato de assuntos relativos à segurança da informação e comunicações O gestor da informação deve propor normas relativas à SIC ao Comitê Gestor de SIC do Órgão O gestor da informação deve responder pela SIC no órgão O gestor da informação deve gerenciar a aplicação de normas e políticas de proteção aos ativos e sistemas de acordo com a legislação vigente O gestor da informação deve desenvolver a análise de risco e mapeamento de vulnerabilidades O gestor da informação deve elaborar o plano estratégico de Continuidade de Negócios e Recuperação de Desastres O gestor da informação deve atuar junto aos usuários finais para resolução de problemas que coloquem em risco a SIC do órgão O gestor da informação deve cuidar para que sejam observadas e aplicadas no órgão integralmente a Política de Segurança da Informação e Comunicações PoSIC e os normativos vigentes Os quatro contextos fundamentais do gestor da informação são Política de Segurança da Informação e Comunicações PoSIC Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais ETIR Gestão de Continuidade de Negócios GCN e Gestão de Riscos em Segurança da Informação e Comunicações GRSIC Olhar ao redor e projetar novas situações prática para as empresas preocupadas em construir sólida mas adequadamente flexível para se ajustar às inevitavelmente ocorrerão no ambiente SÊMOLA 2014 p 37 Segurança é implementar controles que reduzam o risco a níveis adequados viáveis e administráveis SÊMOLA 2014 p 38 O nível de segurança de uma empresa está diretamente associado à segurança oferecida pela porta mais fraca SÊMOLA 2014 p 17 Portanto é preciso ter uma visão corporativa capaz de viabilizar uma ação consistente e abrangente levando a empresa a atingir o nível de segurança adequado à natureza do seu negócio SÊMOLA 2014 p 17 As pessoas as tecnologias e os processos ou seja o físico tecnológico e o humano que são os três aspectos que devem ser levados em consideração na abrangência de segurança Aprender com as experiências e erros cometidos por terceiros faz parte do processo de crescimento mas aprender com os próprios deve fazer parte do seu processo de sobrevivência SÊMOLA 2014 p 38 229 Entendese por apoio não só a sensibilização e a percepção adequada dos riscos e problemas associados mas também a consequente priorização das ações e definição orçamentária à altura SÊMOLA 2014 p 20 Considerar os planos e identificar as características específicas do negócio são os primeiros a modelar uma solução de segurança adequada SÊMOLA 2014 p 37 Para que as ações definidas na segurança da informação e da comunicação sejam operacionalizadas é necessário que essas definições sejam realizadas pelo corpo executivo O nível gerencial também conhecido como tático é o nível que geralmente faz a parte de normatização e no nível operacional os procedimentos Nas extremidades da pirâmide temos a gestão estratégica e a gestão operacional e no meio da pirâmide temos a gestão tática A gestão operacional é referente garantir que as operacionais transacionais rotineiras da organização sejam realizadas com eficácia e eficiência A gestão tática está preocupada com o planejamento e controle para funções organizacionais individuais tais como marketing produção e desenvolvimento de recursos humanos ou funções abaixo destas destinadas a melhorar o desempenho a curto e médio prazos HINTZBERGEN et al 2018 p 132 A estratégica busca alcançar um equilíbrio entre os requisitos das diferentes funções e unidades da organização Ela também implica em equilibrar os riscos tanto em curto como em longo prazo HINTZBERGEN et al 2018 p 131 A gestão estratégica se baseia nessas considerações para estabelecer os requisitos de longo prazo e a serem perseguidos identificando maneiras e os meios de como os atingir Uma característica única da gestão estratégica é a ausência de quaisquer planos ou objetivos de nível mais elevado para orientar a ação de gestão estratégica HINTZBERGEN et al 2018 p 131 O ROI é o retorno sobre o investimento É a linguagem mais intimamente ligada ao perfil executivo de avaliação de custo rentabilidade receita lucro dividendos ganho de market share e de share of mind e valorização das ações SÊMOLA 2014 p 23 O retorno do investimento ou Return on Investment ROI é uma medida de desempenho utilizada para avaliar a eficiência de um investimento ou comparar a eficiência de vários investimentos diferentes A visão corporativa precisa por meio de uma combinação de pessoas processos e tecnologia possuir boas métricas juntamente com a estrutura certa para descoberta classificação e governança de dados Os custos podem ser diretos indiretos tangíveis ou intangíveis 230 É necessário um posicionamento hierárquico pois existe uma nítida confusão as relacionas as atividades e responsabilidade da gestão de segurança à tecnologia ou seja a área tecnológica da organização As ações precisam estar intimamente alinhadas às diretrizes estratégicas da empresa e para isso é necessário ter uma visão corporativa global e ampla capaz de criar sinergia entre as atividades e principalmente maior retorno sobre o investimento SÊMOLA 2014 p 28 Autonomia e posicionamento estratégico são condições primordiais para sustentar um processo dinâmico de administração de segurança eficiente SÊMOLA 2014 p 38 A segurança deve ser tratada como um processo corporativo capaz de considerar as inevitáveis mudanças físicas tecnológicas humanas e contextuais e reagir dinamicamente SÊMOLA 2014 p 38 O fato de existir agora um modelo de gestão que sirva de bússola não garante o sucesso de sua implantação É preciso ter uma estrutura humana multiespecialista dedicada e embasada conceitualmente sempre em busca de atualização SÊMOLA 2014 p 38 231 1 Podemos afirmar que as vulnerabilidades e ameaças são grandes sendo necessário conhecer e ter o apoio do alto escalão da organização Desta forma o cenário que o gestor da informação atua é abrangente e turbulento tendo inúmeras atribuições Dentre essas atribuições analise as sentenças classificando com V as sentenças verdadeiras e com F as falsas Promover a cultura de segurança da informação e comunicações Acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança Propor à alta administração recursos necessários às ações de segurança da informação e comunicações Coordenar o Comitê de Segurança da Informação e Comunicações e a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais Assinale a alternativa com a sequência CORRETA a V V V V b V V F F c V V F F d F F V F 2 Os três aspectos que devem ser levados em consideração na abrangência de segurança são pessoas tecnologias e processos Esses três aspectos são constantemente alvos de todo tipo de investida visando sempre encontrar o alvo mais vulnerável e quando a investida funciona a segurança é quebrada Nesse contexto os erros são cometidos ou seja acontecem os pecados praticados que refletem negativamente o negócio da organização Com relação aos pecados praticados analise as sentenças a seguir classificando com V as sentenças verdadeiras e com F as falsas Posicionar hierarquicamente essa equipe abaixo da diretoria de TI e julgar que esse é o posicionamento definitivo Elaborar planos de ação orientados à reatividade Não perceber a interferência direta da segurança com o negócio Não cultivar corporativamente a cultura da gestão de riscos Assinale a alternativa com a sequência CORRETA a V F V F b F F V F c F F V V d V V V V AUTOATIVIDADE 232 3 Para que as ações definidas na segurança da informação e da comunicação sejam operacionalizadas é necessário que essas definições sejam realizadas pelo corpo executivo Além disso queremos destacar que o nível gerencial também conhecido como tático é o nível que geralmente faz a parte de normatização e no nível operacional os procedimentos são realizados Analise as sentenças referentes a esses aos níveis estratégicos gerenciais e operacionais classificando com V as sentenças verdadeiras e com F as falsas A gestão operacional é referente garantir que as operacionais transacionais rotineiras da organização sejam realizadas com eficácia e eficência A gestão gerencial está preocupada com o planejamento e controle para funções organizacionais individuais tais como marketing produção e desenvolvimento de recursos humanos ou funções abaixo destas destinadas a melhorar o desempenho a curto e médio prazos A gestão estratégica também é conhecida como gestão tática Nas extremidades da pirâmide temos a gestão estratégica e a gestão operacional e no meio da pirâmide temos a gestão tática Assinale a alternativa com a sequência CORRETA a F V F F b V F V F c V V F V d F F F V 4 Os executivos fazem parte justamente da gestão estratégica e já passaram por algumas situações que possuem similaridade e convergências com os desafios atuais Alguns desses desafios vividos foram o bug do ano 2000 Enterprise Resource Planning ERP e ISO 9001 Com relação a esses três desafios analise as sentenças a seguir classificando com V as sentenças verdadeiras e com F as falsas Características do bug do ano 2000 foram problema generalizado ação corporativa conformidade e visão estratégica Características do ERP foram criação de normas e procedimentos implementação certificação e administração Características da ISO 9001 foram mudança de processos e controle centralizado Características do ERP foram visão estratégica mudanças de processos e controle centralizado Assinale a alternativa com a sequência CORRETA a V V F F b V F F V c F V V F d F F V V 233 5 Os fatores críticos de sucesso em ações distintas são igualmente importantes para superar o desafio da segurança e configuram modelos mentais já vividos e absorvidos pelos executivos que enfrentam o desafio da segurança da informação O executivo não precisa ser um especialista em segurança da informação mas precisa conhecer requisitos básicos sobre o assunto Referente aos requisitos básicos que todo executivo deve conhecer analise as sentenças a seguir classificando com V as sentenças verdadeiras e com F as falsas O requisito de não ser um assunto somente de tecnologia se refere a proteger a informação é uma decisão empresarial porque seu objetivo é proteger o negócio da organização O requisito de ser uma decisão empresarial é referente aos computadores processarem e armazenarem a maioria das informações operacionais e estratégicas da organização O requisito de não acontecer por milagre se refere que a proteção da informação exige dedicação de recursos financeiros de tempo e de pessoas O requisito de exigir postura profissional das pessoas se refere que a regra básica é tratar o assunto de segurança da informação de forma profissional Assinale a alternativa com a sequência CORRETA a F F V V b V F V F c F V V F d V V F F 235 UNIDADE 3 1 INTRODUÇÃO Não é suficiente criar uma unidade administrativa ou departamento e o chamar de comitê corporativo de segurança da informação mas sim é necessário que haja uma visão clara de todas as etapas envolvidas e a devida formalização do processo Sêmola 2014 credita isso pôr o modelo de gestão corporativo de segurança da informação da organização de forma cíclica e encadeada conforme apresentado na figura a seguir FIGURA 11 MODELO DE GESTÃO CORPORATIVO DE SEGURANÇA DA INFORMAÇÃO FONTE Sêmola 2014 p 32 O diagrama apresentado na figura anterior traz as etapas que fazem parte do modelo de gestão corporativo de segurança da informação visto por Sêmola 2014 que são i mapeamento de segurança ii estratégia de segurança iii planejamento de segurança iv implementação de segurança v administração de segurança vi segurança na cadeia produtiva TÓPICO 2 MODELO DE GESTÃO CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO 236 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO Para Sêmola 2014 p 30 Cada uma dessas etapas cumpre um papel importante no ciclo e gera resultados finais que deverão estar devidamente formatados e prontos para alimentar a etapa subsequente Assim será possível reagir com velocidade às mudanças que inevitavelmente ocorrerão na operação do negócio fazendo o risco oscilar SÊMOLA 2014 p 30 Portando o objetivo a partir daqui é conhecermos essas etapas que tabulamos no Quadro 8 para sua melhor compreensão QUADRO 8 ETAPAS DO MODELO DE GESTÃO CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO ETAPA ATIVIDADES MAPEAMENTO DE SEGURANÇA Inventariar os ativos físicos tecnológicos humanos e ambientais que sustentam a operação da organização considerando também as demais variáveis internas e externas que interferem nos riscos da organização como mercado nicho concorrência expansão etc Identificar o grau de relevância e as relações diretas e indiretas entre os diversos processos de negócio perímetros infraestruturas e ativos Identificar o cenário atual ameaças vulnerabilidades e impactos e especular a projeção do cenário desejado de segurança capaz de sustentar e viabilizar os atuais e novos negócios da organização Mapear as necessidades e as relações da organização associadas ao manuseio armazenamento transporte e descarte de Informações Organizar as demandas de segurança do negócio ESTRATÉGIA DE SEGURANÇA Definir um plano de ação comumente plurianual que considere todas as particularidades estratégicas táticas e operacionais do negócio mapeadas na etapa anterior dos aspectos de risco físicos tecnológicos e humanos Criar sinergia entre os cenários atual e desejado além da sintonia de expectativas entre os executivos a fim de ganhar comprometimento e apoio explícito às medidas previstas no plano de ação PLANEJAMENTO DE SEGURANÇA Organizar os comitês interdepartamentais especificando responsabilidades posicionamento e escopo de atuação oficializando seu papel diante de ações locais em sintonia com ações globais coordenadas pelo comitê corporativo de segurança da informação Iniciar ações preliminares de capacitação dos executivos e técnicos a fim de melhor norteálos quanto aos desafios envolvendoos nos resultados e compartilhando com eles a responsabilidade pelo sucesso do modelo de gestão TÓPICO 2 MODELO DE GESTÃO CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO 237 Elaborar uma política de segurança da informação sólida considerando com extrema particularização e detalhamento as características de cada processo de negócio perímetro e infraestrutura materializandoa por meio de diretrizes normas procedimentos e instruções que oficializarão o posicionamento da organização ao redor do tema e ainda apontar as melhores práticas para manuseio armazenamento transporte e descarte de informações na faixa de risco apontada como ideal Realizar ações corretivas emergenciais em função do risco iminente percebido nas etapas de mapeamento e atualmente na elaboração dos critérios definidos na política de segurança IMPLEMENTAÇÃO DE SEGURANÇA Divulgar corporativamente a política de segurança a fim de tornála o instrumento oficial de conhecimento de todos que norteará os executivos técnicos e usuários quanto às melhores práticas no relacionamento com a informação Capacitar conscientizando os usuários no que se refere ao comportamento diante do manuseio armazenamento transporte e descarte da informação incluindo o conhecimento dos critérios proibições e responsabilizações inerentes ao assunto Implementar mecanismos de controle físicos tecnológicos e humanos que permitirão a eliminação das vulnerabilidades ou a sua viável administração a fim de conduzir o nível de risco a um patamar desejado de operação ADMINISTRAÇÃO DE SEGURANÇA Monitorar os diversos controles implementados medindo sua eficiência e sinalizando mudanças nas variáveis que interferem direta e indiretamente no nível de risco do negócio Projetar a situação do ROI com base nas medições realizadas permitindo identificar resultados alcançados e ainda viabilizar novas necessidades que surgirem por demandas do negócio Garantir a adequação e a conformidade do negócio com normas associadas regras internas regras do segmento de mercado padrões e legislação incidente Manter planos estratégicos para contingência e recuperação de desastres objetivando garantir o nível de disponibilidade adequado e a consequente continuidade operacional do negócio 238 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO Administrar os controles implementados adequando suas regras de operação aos critérios definidos na política de segurança ou preparandoas para atender as novas necessidades provocadas por mudanças de contexto ou variáveis internas e externas SEGURANÇA NA CADEIA PRODUTIVA Equalizar as medidas de segurança adotadas pela organização aos processos de negócio comuns mantidos junto aos parceiros da cadeia produtiva fornecedores clientes governo etc a fim de nivelar o fator de risco sem que uma das partes exponha informações compartilhadas e represente ameaça à operação de ambos os negócios FONTE Adaptado de Sêmola 2014 Agora tire uns minutos para ver os UNIs que preparamos especialmente para você Além das etapas do modelo de gestão corporativa de segurança da informação podemos perceber pela representação hierárquica o posicionamento do Comitê Corporativo da Segurança da Informação que de forma resumida segundo Sêmola 2014 visa Como você pode ver acadêmico o que chamamos de segurança da informação deve assumir a maneira de um conjunto de processos integrados e objetivos específicos intimamente alinhados a um único objetivo corporativo gerir dinamicamente mecanismos de controle abrangentes levando em consideração processos tecnologias pessoas e ambientes agregando valor ao negócio e permitindo sua operação com risco controlado SÊMOLA 2014 A teoria do perímetro é a compreensão de segmentar os ativos físicos tecnológicos e humanos de acordo com a similaridade de sua criticidade e importância valor para o negócio é a base para a especificação e a aplicação dos controles certos que oferecerão o nível de proteção adequado a cada perfil e necessidade SÊMOLA 2014 p 74 IMPORTANTE NOTA TÓPICO 2 MODELO DE GESTÃO CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO 239 Orientar as ações corporativas de segurança e todas as etapas do modelo além de medir os resultados parciais e finais com o intuito de reparar desvios de foco Alinhar o plano de ação às diretrizes estratégicas do negócio buscando agregar valor e viabilizar o melhor retorno sobre o investimento Coordenar os agentes de segurança em seus comitês interdepartamentais a fim de sintonizálos quanto a possíveis ajustes no plano de ação Garantir o sucesso de implantação do modelo de gestão corporativo de segurança da informação que vai preparar e dar autonomia à organização para gerir seus atuais e futuros desafios associados Promover a consolidação do modelo de gestão corporativo de segurança da informação como um processo dinâmico autogerido Portanto acadêmico nosso objetivo a partir daqui é explorar os modelos de forma geral da organização da Segurança da Informação pois além do comitê corporativo de segurança da informação a organização pode fazer uso de Escritório da Segurança da Informação 2 MODELOS DA ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO Como vimos até o momento é necessário que a organização tenha uma estrutura que dê o alicerce físico e geográfico necessários aos processos de implementação de segurança ou seja que tenha um Comitê de Segurança da Informação ou um Escritório da Segurança da Informação Segundo Barros e Estrela 2015 p 28 o Escritório tem como objetivo centralizar os recursos humanos materiais e estruturais necessários ao desenvolvimento implantação e acompanhamento das políticas de SI Barros e Estrela 2015 colocam que objetivos dos Comitês de Segurança da Informação e do Escritório da Segurança da Informação se assemelham basicamente a diferença é que ao usar o Modelo de Escritório não é necessário centralizar os recursos humanos materiais e estruturais necessários ao processo O propósito nas duas estruturas é o mesmo conforme você pode avaliar no quadro a seguir que elaboramos para você acadêmico QUADRO 9 PROPÓSITOS DO COMITÊ E DO ESCRITÓRIO Analisar o posicionamento da organização no mercado em que se situa visan do mapear seus clientes fornecedores concorrentes produtos serviços e os riscos que cada um destes pode representar à organização Definir as políticas de controle de acesso físico às instalações da organização Implementar os aspectos sociotécnicos da Segurança da Informação mapean do as características sociais referentes ao ambiente da organização e as pessoas que nela vivem e trabalham 240 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO Definir as políticas de controle de acesso lógico aos dados organizacionais Desenvolver a matriz de riscos do negócio identificando priorizando e qua lificando todos os riscos inerentes ao processo mapeando pelo menos uma resposta a cada risco identificado Garantir a sustentabilidade do processo de controle da segurança da informação Escrever e implementar os acordos de nível de serviço de segurança da infor mação na organização Avaliar novas tecnologias e suas devidas adequações e aplicações nos proces sos de segurança da informação organizacional Mapear e definir os planos de contingência dos processos organizacionais Definir os procedimentos a serem adotados em situações de crises emergên cias e desastres para a continuidade de negócio Avaliar o nível de proteção atual dos processos organizacionais Garantir a eficácia dos processos da segurança da informação por meio de testes periódicos Desenvolver políticas de treinamento de funcionários visando garantir o com prometimento destes com os processos de SI organizacionais Aplicar políticas de certificação digital de segurança da informação Implementar políticas de desenvolvimento de software seguro Definir políticas de controle de versão de arquivos Promover auditorias nos processos sistêmicos organizacionais Regulamentar as políticas de uso dos recursos informacionais da organização computadores redes de dados emails corporativos ferramentas de redes sociais etc FONTE Adaptado Barros e Estrela 2015 Barros e Estrela 2015 colocam que o Escritório de Segurança da Informação precisa de um ambiente próprio diferentemente dos Comitês Este ambiente é tanto para as instalações estruturais quanto para as físicas que serão utilizadas para dar suporte necessário ao desenvolvimento das atividades colocadas no quadro anterior propiciando a equipe de analistas de Segurança da Informação possa compartilhar experiências atividades e rotinas inerentes ao processo de suas atribuições diárias BARROS ESTRELA 2015 p 29 Ao fazer uso da estrutura de Escritório é disponibilizado em tempo integral um ambiente exclusivo e de conhecimento de toda organização tanto os recursos tecnológicos como os recursos humanos necessários nas atividades TÓPICO 2 MODELO DE GESTÃO CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO 241 demandadas pela segurança de informação Contudo esta estrutura traz como desvantagem o custo fixo de manter todos os recursos necessários das instalações tanto os recursos humanos como os tecnológicos e mais ainda o próprio espaço físico demandado A adoção dos Comitês de Segurança da Informação pelas organizações é uma forma de fugir desses custos Contudo é importante destacarmos para você acadêmico que justamente o que torna mais acessível se ter o comitê é o motivo de não ser ter equipe em tempo integral e nem um espaço exclusivo para esse propósito Nesse sentido Barros e Estrela 2015 elencam as principais vantagens e desvantagens dessas duas estruturas e apresentamos para você no quadro a seguir QUADRO 10 VANTAGENS E DESVANTAGENS DOS ESCRITÓRIOS E COMITÊS DE SI MODELO VANTAGENS DESVANTAGENS ESCRITÓRIO DE SEGURANÇA DA INFORMAÇÃO Disponibilidade da equipe em um local fixo Disponibilidade da equipe em tempo integral Atribuições da equipe somente focadas em segurança da informação Custo com local físico e equipamentos Custo com pagamento de pessoal específico para segurança de informação COMITÊ DE SEGURANÇA DA INFORMAÇÃO Custo inexistente de pagamento para pessoal específico de segurança da informação Custo inexistente com local físico Não disponibilidade em tempo integral da equipe Equipe com diversas atribuições além de segurança da informação FONTE Adaptado de Barros e Estrela 2015 p 30 Comitê corporativo de segurança da informação Espinha dorsal o comitê corporativo deve ser consistente dinâmico e flexível para representar oficialmente os interesses da empresa perante os desafios do negócio SÊMOLA 2014 p 76 ATENCAO Agora que vimos as principais diferenças entre o Escritório e o Comitê de Segurança da Informação vamos analisar a composição colocada por Sêmola 2014 do Comitê Corporativo de Segurança da Informação 242 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO 21 COMITÊ CORPORATIVO DE SEGURANÇA DA INFORMAÇÃO O comitê corporativo de segurança da informação representa o núcleo concentrador dos trabalhos e deve estar além de adequadamente posicionado na hierarquia do organograma formatado a partir da clara definição de seu i objetivo ii da estrutura funções e responsabilidades iii do perfil dos executores além da formal e oficial identificação de seus membros que darão representatividade aos departamentos mais críticos e relevantes da organização SÊMOLA 2014 Desta forma para Sêmola 2014 p 57 Reunir gestores com visões do mesmo objeto mas de pontos distintos é fundamental para a obtenção da nítida imagem dos problemas desafios e impactos Por isso envolver representantes das áreas tecnológica de comunicação comercial de negócios jurídica patrimonial financeira de auditoria etc em muito agregará para o processo de gestão de forma a evitar conflitos desperdícios redundâncias e o principal fomentar a sinergia da empresa o que intimamente alinha as suas diretrizes estratégicas de curto médio e longo prazos A Figura 12 traz a representação gráfica destes dois cenários FIGURA 12 CENÁRIOS DA INTEGRAÇÃO DE VISÕES DISTINTAS DO MESMO OBJETO FONTE Sêmola 2014 p 57 Queremos destacar ainda os objetivos do Comitê contidos no quadro a seguir QUADRO 11 OBJETIVOS DO COMITÊ Fomentar o modelo de gestão corporativa de segurança da informação por meio de ações distribuídas porém integradas que têm abrangência física tecnológica e humana e interferem em todos os processos de negócio mantenedores da operação da organização TÓPICO 2 MODELO DE GESTÃO CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO 243 Analisar por meio de equipe multidisciplinar e multidepartamental com representatividade no comitê os resultados parciais e finais das ações de forma a medir efeitos comparálos às metas definidas e realizar ajustes no plano diretor de segurança adequandoo à nova realidade gerada pela mudança de variáveis internas e externas Interagir constantemente com o comitê executivo e o comitê de auditoria buscando sinergia dos macro objetivos da organização além de trocar informações ligadas aos índices e indicadores de segurança como forma de demonstrar os resultados corporativos do comitê de segurança Alinhar e definir ações para os comitês interdepartamentais que deverão agir localmente de forma distribuída coletando com maior riqueza de detalhes os fatos relacionados aos aspectos físicos tecnológicos e humanos inerentes à sua esfera e abrangência FONTE Adaptado de Sêmola 2014 p 58 O Security Officer conforme vimos nas nossas unidades anteriores é o coordenador do comitê corporativo de segurança da informação Basicamente o comitê traz em sua estrutura a coordenação geral da segurança a coordenação de segurança o controle o planejamento e avalição e por fim a execução Você deve estar se perguntando quais são as funções e responsabilidades desta estrutura A Figura 13 traz a resposta para esta questão Agora tire um tempo para estudála com atenção FIGURA 13 ESTRUTURA FUNÇÕES E RESPONSABILIDADES 244 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO FONTE Adaptada de Sêmola 2014 p 60 A atuação do Comitê é abrangente fazendo muitas vezes que grandes organizações adotem um modelo distribuído e pulverizado Neste cenário para Sêmola 2014 p 59 passam a necessitar de células de segurança distribuídas pela organização e localizadas em departamentos ou unidades mais representativas e críticas Essas células recebem o nome de comitês interdepartamentais de segurança da informação e mantêm em sua estrutura as mesmas quatro últimas funções e responsabilidades que se aplicam ao comitê corporativo de segurança O que os distingue nessa dimensão são a abrangência e a esfera de atuação que correspondem respectivamente à gestão táticooperacional e à gestão estratégica Dessa forma passam a ter uma relação de dependência e sinergia em que os comitês interdepartamentais se reportam ao comitê corporativo que por sua vez os mantêm alinhados às definições estratégicas de segurança e da empresa como um todo A figura a seguir traz a representação gráfica deste cenário em que podemos visualizar a relação de sinergia entre o Comitê Corporativo que atua na gestão estratégica e os Comitês Interdepartamentais atuando na gestão táticooperacional FIGURA 14 RELAÇÃO DE COMITÊS CONTEXTUALIZADA A EMPRESA DE GRANDE PORTE E MODELO DE GESTÃO DISTRIBUÍDO FONTE Sêmola 2014 p 59 TÓPICO 2 MODELO DE GESTÃO CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO 245 Agora acadêmico precisamos saber qual é o perfil dos executores deste modelo e para isto preparamos a figura a seguir Além desta figura trouxemos para você a representação funcional desta estrutura na Figura 16 FIGURA 15 PERFIL DO EXECUTOR FONTE Adaptada de Sêmola 2014 p 63 FIGURA 16 MACRODIAGRAMA FUNCIONAL FONTE Adaptada de Sêmola 2014 p 63 246 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO 22 PAPEL DO SECURITY OFFICER O papel do Security Officer é significativo para o sucesso do modelo pois ele atua como eixo centralizador na função da coordenação geral do comitê corporativo de segurança da informação Pense nele como alguém que está preparado para receber toda a pressão demandada pela organização frente aos resultados que ela visa obter Além disso é a pessoa responsável pela adequação de nível controle e desta forma o nível de segurança para prover as necessidades do negócio SÊMOLA 2014 Acadêmico veja a dica referente ao Papel do Security Officer Melo 2018 complementa que é fundamental o devido posicionamento hierárquico do Security Officer ou Chief Information Security Officer CISO para que atenda à cultura da organização e que seja condizente com as responsabilidades Melo 2018 observa que o Security Officer pode se reportar a diferentes papéis conforme é possível averiguar na figura a seguir todos com vantagens e desvantagens FIGURA 17 A QUEM O SECURITY OFFICER PODE SE REPORTAR FONTE Melo 2018 p 1 Papel do Security Officer Explicite as responsabilidades do Security Officer para com o resultado mas municieo adequadamente para viabilizar sua atividade SÊMOLA 2014 p 76 grifo nosso IMPORTANTE TÓPICO 2 MODELO DE GESTÃO CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO 247 Como falamos anteriormente não existe uma receita de bolo a melhor estrutura é aquela que sua organização possa adotar tendo o maior apoio estratégico e com o menor conflito Lembre quanto mais adaptável e consciente da importância da função de segurança da informação melhor MELO 2018 p 1 O Security Officer é fundamentado na ABNT NBR ISOIEC 270012013 dependendo do tamanho da organização e a maneira que ela está organizada tanto em funções técnicas quanto da posição hierárquica na estrutura Portanto ele tem a responsabilidade de definir políticas garantir a implementação bem como a eficácia dos domínios técnicos que estudamos em nossa Unidade 2 sendo eles Política de Segurança Organizando a Segurança da Informação Segurança em Recursos Humanos Gestão de Ativos Controle de Acessos Criptografia Segurança Física e do Ambiente Segurança nas Operações Segurança nas Comunicações Aquisição Desenvolvimento e Manutenção de Sistemas Relacionamento na Cadeia de Suprimentos Gestão de Incidentes de Segurança da Informação Gestão da Continuidade Conformidade Não são poucos os desafios enfrentados pelo Security Officer Sêmola 2014 p 75 coloca que a pessoa que ocupa essa posição tem de estar estritamente verticalizado às funções associadas sem compartilhamento de foco e para tal não basta ter perfil tecnológico extremo Esse executivo deve ser multe especialista ter uma visão completa e horizontal da segurança da informação a partir de conceitos sólidos conhecimento abrangente das disciplinas de GRC além de possuir ricos fundamentos de gestão de projetos coordenação de equipes e liderança Tem de ser verdadeiramente executivo em toda a amplitude da palavra alimentando com sabedoria os relacionamentos interpessoais sempre em busca da conquista de comprometimento Agora tire uns minutos para ver a dica que preparamos especialmente para você 248 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO O alinhamento e o foco nas características e necessidades no negócio são o fator crítico de sucesso Portanto é necessário conhecimento profundo sobre ele e se preocupar de forma constante em ajustar seu plano de ação às premissas e definições estratégicas da organização O Security Officer se orienta por resultados ou seja compelido a obter o melhor ROI em segurança da informação A organização opera sob risco controlado em virtude de a segurança ser gerida de forma dinâmica pensando tanto nos desafios atuais como nos desafios futuros A figura a seguir apresenta os fatores importantes para o adequado exercício da atividade de Security Officer lado esquerdo considerando da esquerda para direita e os macro desafios do Security Officer estão abordados no lado direito da referida figura FIGURA 18 FATORES IMPORTANTES PARA O ADEQUADO EXERCÍCIO DA ATIVIDADE E OS MACRODESAFIOS DO SECURITY OFFICER FONTE Adaptada de Sêmola 2014 Governance Risk e Compliance GRC é um acrônimo que descreve uma aproximação organizacional integrada para a governança garantia e a gestão da performance riscos e conformidade SÊMOLA 2014 p 75 que foi inventado por Open Compliance and Ethics Group OCEG visando garantir que os objetivos fossem atingidos mantendo o foco mesmo existindo às incertezas e agir sempre com integridade A gestão do risco e da conformidade se aproxima de maneira muito clara da gestão da segurança da informação principalmente no que tange ao estabelecimento de controles enquanto a governança garante o equilíbrio e a associação com os objetivos de negócio SÊMOLA 2014 p 75 NOTA TÓPICO 2 MODELO DE GESTÃO CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO 249 23 COMO CONDUZIR INTERNAMENTE A NEGOCIAÇÃO Primeiramente devese definir quais assuntos são de interesse do executivo não apenas para que ele possa compreender os desafios relacionados à segurança da informação mas também para que ele entenda a relevância para o valor do negócio da organização Sêmola 2014 p 64 ainda coloca que se deve envolvêlo de tal forma que se sinta corresponsável pela superação do desafio e sucesso da iniciativa Além disso Alinhados os objetivos é preciso tocar nos pontos que o sensibilizem nos assuntos que convirjam e estejam em sintonia com suas expectativas e seus maiores interesses É como se adaptássemos a linguagem ora técnica ora gerencial para outra contextualizada que tornasse tangíveis os resultados de curto médio e longo prazos da solução de segurança SÊMOLA 2014 p 64 Nesse sentido preparamos uma dica referente à como conduzir internamente a negociação e o quadro a seguir com dicas QUADRO 12 DICAS Nada melhor do que a linguagem dos números e dos gráficos para se fazer entender na restrita janela de tempo que o executivo nos concederá Use a projeção de slides para conduzir a explanação mas com moderação sem sobrecarregar em quantidade e evitando poluílos com informação desnecessária Procure passar mensagens claras e consistentes Compare o cenário atual com o cenário projetado resultante da solução de segurança proposta Organize seus maiores desafios e os associe com os benefícios diretos e indiretos da segurança Projete uma análise de ROI mesmo que tenha abrangência limitada a ambientes específicos mas não pegue pela inconsistência Como conduzir internamente a negociação Conquistar o comprometimento da diretoria da empresa é condição sine qua non para obter o dimensionamento apropriado dos recursos financeiros que irão subsidiar a estrutura mantenedora do modelo de gestão corporativa de segurança da informação SÊMOLA 2014 p 76 Dessa forma seja convincentemente consistente para fazêla perceber a segurança como investimento e não como despesa SÊMOLA 2014 p 76 IMPORTANTE 250 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO Reúna informações reais e representativas que demonstrem o valor agregado pela iniciativa Identifique no Quadro 13 os motivos que levariam o executivo a agir voluntariamente e o conduza à postura desejada última do referido quadro FONTE Adaptado de Sêmola 2014 p 64 QUADRO 13 PRINCIPAIS MOTIVOS QUE LEVARIAM OS EXECUTIVOS A AGIR VOLUNTARIAMENTE MOTIVO DESCRIÇÃO Modismo Ação pontual motivada pela opinião pública Normativo Ação pontual motivada por regras e regulamentos externos Ameaça da concorrência Ação pontual motivada por espionagem industrial etc Medo Ação pontual motivada pela percepção opaca e parcial dos riscos Desastre Ação pontual reativa motivada por fatos consumados Visão ampla dos desafios e percepção do valor agregado ao negócio Ação integrada motivada pelo entendimento dos benefícios da solução corporativa FONTE Adaptado de Sêmola 2014 p 65 Conforme vimos nas unidades anteriores um fator que precisa ser considerado é o fator humano Os seres humanos são pessoas complexas Portanto é necessário ter informações referentes à personalidade valores linha de atuação pois quanto mais informações tivermos a abordagem terá uma eficácia maior Sêmola 2014 traz uma lista de prioridades e objetivos referente aos executivos que estão na diretoria da organização a qual elencamos no Quadro 14 para você QUADRO 14 PRIORIDADES E OBJETIVOS Valorizar as ações da organização Viabilizar novos negócios Viabilizar a exploração de novos mercados Bônus e opção de ações Gerar novos produtos e serviços Ser pioneiro Combater a concorrência TÓPICO 2 MODELO DE GESTÃO CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO 251 Aumentar a receita Aumentar a lucratividade Aumentar a produtividade Reduzir o timetomarket Reduzir os custos diretos e indiretos Reduzir os riscos Gerir a relação com investidores Dar visibilidade aos resultados Fortalecer a imagem e o posicionamento da organização no mercado FONTE Adaptado de Sêmola 2014 p 65 Apesar da lista de itens a serem abordados ser grande o tempo que você terá com o executivo não será grande portanto aborde os fatores críticos de sucesso que são agir com objetividade definir claramente os impactos proporcionados pela falta de segurança revelando o cenário atual definir claramente os benefícios da proposta de segurança revelando o cenário projetado e definir os montantes de investimentos associados SÊMOLA 2014 p 66 É importante que seja mensurado os custos em decorrência de algum tipo de risco ou seja alguma situação que a organização fique em risco comprometendo as operações da organização e consequentemente gerando impacto no negócio da organização Por exemplo podese levantar as informações de forma abrangente e superficial por meio de uma simulação de invasão Nesta simulação se captura um retrato do ambiente em determinado período Sêmola 2014 p 66 coloca que o resultado dessas simulações comumente são positivos pela concretização da invasão se ganha poder de persuasão e convencimento aumentando a eficiência da abordagem e as chances de conquista da atenção e do comprometimento do alto executivo 24 SABENDO IDENTIFICAR O PARCEIRO EXTERNO A utilização de parceiros externos em TI é uma realidade e uma necessidade atual considerando a complexidade e o dinamismo dos ambientes a organização possivelmente não terá como realizar todas as atividades eou desenvolver todos os sistemas necessários Dessa forma a organização terá que monitorar frequentemente a sua dependência com o parceiro externo FONTES 2008 SÊMOLA 2014 Fontes 2008 p 95 lembra que Toda dependência é uma ameaça o terceiro pode deixar de prestar o serviço e a organização deve atuar proativamente para que o risco associado a esta ameaça seja o menor possível e caso a ameaça se concretize existem opções de minimizar este impacto 252 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO Nesse sentido Sêmola 2014 p 67 observa ainda que surge um novo e difícil desafio para o Security Officer atrelado à busca de organizações capazes de oferecer o apoio externo complementar atuando como uma verdadeira e onipresente retaguarda de segurança Fontes 2008 p 96 complementa Esses prestadores de serviço devem ser especialistas nessas outras atividades e devem ser capazes de oferecerem um serviço de melhor qualidade mais eficiente mais eficaz e de menor custo em comparação com a solução caso fosse realizada pela própria organização Evidentemente os parceiros escolhidos devem ter a melhor relação custobenefício Contar com a colaboração de parceiros não significa que a organização perde o controle do seu negócio Significa que a organização pode ser mais ágil a um custo menor porque está utilizando o seu melhor conhecimento e a melhor especialidade do parceiro Nesse sentido acadêmico preparamos uma dica e o quadro a seguir com as características desejadas na consultoria externa ou nesse parceiro externo QUADRO 15 CARACTERÍSTICAS DESEJADAS NA CONSULTORIA EXTERNA Posicionamento e perfil de consultoria e integradora de ferramentas Notória especialização em segurança da informação Especificidade em segurança da informação Equipe técnica multiespecialista Ação local com visão global Estrutura de execução de projetos capaz de viabilizar ações simultâneas em paralelo Metodologia para dimensionamento de solução que considere fundamentalmente as características e desafios de negócio Metodologia específica para execução de projetos de segurança da informação Metodologias em conformidade com as normas internacionais ISO 27001 ISO 27002 ISO 27005 e ISO 31000 Metodologias em conformidade com o COBIT A consultoria externa está relacionada a saber identificar o parceiro externo Segundo Sêmola 2014 p 76 A escolha do parceiro que cumprirá o papel de retaguarda de segurança definirá o sucesso ou o insucesso da iniciativa por isso reúna informações particulares sobre o candidato que ratifiquem sua notória especialização sua experiência e principalmente seu comprometimento com os resultados corporativos finais e alinhado às diretrizes estratégicas do negócio Afinal ninguém procura qualquer médico quando tem que operar o coração IMPORTANTE TÓPICO 2 MODELO DE GESTÃO CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO 253 Metodologias em conformidade com o NIST Metodologias que utilizem cartilhas reconhecidas Presença geográfica proporcional ou capaz de atender às características da organização Ponto de presença no exterior viabilizando a absorção de experiências inovações e tendências e facilitação de parcerias e contatos técnicos Comprovada experiência em projetos corporativos complexos FONTE Adaptado de Sêmola 2014 p 67 As características desejadas são grandes contudo uma forma de realizar uma boa gestão sobre um parceiro externo é adotar o Acordo de Nível de Serviço ou Service Level Agreement SLA entre a organização e o prestador de serviço Um SLA é um acordo que prevê de modo claro e em termos quantificáveis os objetivos e as responsabilidades do fornecedor e do cliente FONTES 2008 p 100 Hintzbergen et al 2018 colocam que é prática comum providenciar um SLA descrevendo os serviços que se esperam sejam realizadas e em quais circunstâncias Isso é descrito pelas duas partes Ainda nesse sentido Auditorias são efetuadas regularmente para verificar se esses acordos estão sendo observados Deve fazer parte do SLA uma seção de segurança em que são detalhados os requisitos legais e regulatórios incluindo proteção de dados direitos de propriedade intelectual e direitos autorais juntamente com uma descrição de como será assegurado que esses requisitos serão atendidos Se forem usados dados sigilosos devem ser descritos os requisitos para a seleção de pessoal do fornecedor incluindo as responsabilidades da condução da seleção e os procedimentos de notificação HINTZBERGEN et al 2018 p 153154 Hintzbergen et al 2018 p 154 ainda observam que os requisitos mais relevantes que devem estar presentes no SLA são obrigação do fornecedor apresentar periodicamente um relatório independente sobre a eficácia dos controles de segurança um acordo sobre a correção oportuna de questões relevantes levantadas no relatório obrigações do fornecedor referente cumprir os requisitos de segurança da organização Sêmola 2014 p 69 vê como natural e coerente em determinado momento avaliar os novos riscos inerentes à terceirização de parte ou de todas as ações de segurança da informação considerando a acessibilidade de ativos físicos e tecnológicos informações críticas para a organização Contudo a seleção de um parceiro adequado aliado a gestão cabível resultará de forma positiva uma boa relação de custo x benefício 254 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO 25 FERRAMENTAS METODOLÓGICAS Acadêmico preparamos alguns exemplos de ferramentas metodológicas QUADRO 16 FERRAMENTAS METODOLÓGICAS Formulário para mapeamento de vulnerabilidades Formulário para mapeamento de processos de negócio críticos Formulário para orientação na condução de entrevistas Planilha para identificação de ativos físicos tecnológicos e humanos Planilha para estudo de sensibilidades à quebra de segurança Instrumento para mapeamento topológico Matriz de criticidade para priorização das ações Matriz de tolerância à paralisação Análise Strengths Forças Weaknesses Fraquezas Opportunities Oportunidades e Threats Ameaças SWOT Teste de conformidade FONTE Adaptado de Sêmola 2014 p 67 Dentre essas ferramentas vamos aplicar o teste de conformidade de Sêmola 2014 p 141149 Este instrumento vai auxiliálo a perceber o grau de aderência de sua empresa em relação recomendações de segurança da informação da ISO 27002 Pela superficialidade natural de tipo de teste ele é comumente referenciado como ISO 27002 Gap Analysis Light ou se um diagnóstico simples e rápido baseado em perguntas objetivas com pontuação associada que vai revelar seu índice de aderência Objetivo do teste Permitir a percepção quanto ao grau de aderência da organização aos controles sugeridos pela norma ISO 27002 Instruções Escolha apenas uma resposta para cada pergunta e contabilize os pontos ao final Sua empresa possui 1 POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO Política de segurança da informação Sim Sim porém desatualizada TÓPICO 2 MODELO DE GESTÃO CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO 255 Não 2 ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO Um responsável pela gestão da política de segurança Sim Sim porém não está desempenhando essa função Não Definição clara das atribuições de responsabilidade associadas à segurança da informação Sim Sim porém desatualizada Não Política de segregação de funções e responsabilidade Sim Sim porém desatualizada Não Acordos de cooperação com autoridades e grupos especiais Sim Sim porém desatualizados Não Práticas de segurança em gerenciamento de projetos Sim Sim porém desatualizadas Não Política definida para uso de dispositivos móveis e trabalho remoto Sim Sim porém desatualizada Não 3 SEGURANÇA EM RECURSOS HUMANOS Critérios de seleção e contratação de pessoal Sim Sim porém desatualizados Não Processos para capacitação e treinamento de usuários Sim Sim porém desatualizados Não Processos disciplinares estabelecidos Sim Sim porém desatualizados Não Procedimentos definidos para encerramento de contratações e desligamentos Sim Sim porém desatualizados 256 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO Não 4 GESTÃO DE ATIVOS Inventário dos ativos físicos tecnológicos e humanos Sim Sim porém desatualizados Não Critérios de classificação da informação Sim Sim porém desatualizados Não Mecanismos de segurança e tratamento de mídias Sim Sim porém desatualizados Não Procedimentos para descarte de mídias Sim Sim porém desatualizados Não 5 CONTROLE DE ACESSO Requisitos do negócio para controle de acesso Sim Sim porém desatualizados Não Gerenciamento de acessos do usuário Sim Sim porém desatualizado Não Definição de responsabilidades dos usuários Sim Sim porém desatualizada Não Controle de acesso à rede Sim Sim porém desatualizado Não Controle de acesso ao sistema operacional Sim Sim porém desatualizado Não Controle de acesso às aplicações Sim Sim porém desatualizado Não TÓPICO 2 MODELO DE GESTÃO CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO 257 6 CRIPTOGRAFIA Política para uso de controles criptográficos Sim Sim porém desatualizada Não Política de gestão do ciclo de vida das chaves criptográficas Sim Sim porém desatualizada Não 7 SEGURANÇA FÍSICA E DO AMBIENTE Definição de perímetros e controles de acesso físico aos ambientes Sim Sim porém desatualizada Não Recursos para segurança e manutenção dos equipamentos Sim Sim porém desatualizados Não Estrutura para fornecimento adequado de energia Sim Sim porém desatualizada Não Segurança do cabeamento Sim Sim porém desatualizada Não Procedimentos para reutilização e alienação de equipamentos Sim Sim porém desatualizados Não Política de mesa limpa e tela limpa Sim Sim porém desatualizada Não 8 SEGURANÇA NAS OPERAÇÕES Procedimentos e responsabilidades operacionais definidos e documentados Sim Sim porém desatualizados Não Processo de gestão de mudanças Sim Sim porém desatualizado Não 258 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO Processo de gestão de capacidade Sim Sim porém desatualizado Não Processos para segregação entre ambientes de desenvolvimento teste e produção Sim Sim porém desatualizados Não Proteção contra códigos maliciosos e códigos móveis Sim Sim porém desatualizada Não Procedimentos para cópias de segurança Sim Sim porém desatualizados Não Procedimentos para monitoramento e registro de logs Sim Sim porém desatualizados Não Procedimentos para instalação e atualização de software Sim Sim porém desatualizados Não Procedimentos para auditoria em sistemas de informação Sim Sim porém desatualizados Não 9 SEGURANÇA NAS COMUNICAÇÕES Controles e gerenciamento de redes Sim Sim porém desatualizados Não Procedimentos para segregação de redes Sim Sim porém desatualizados Não Políticas para transferência de informações Sim Sim porém desatualizadas Não Procedimentos para proteção de informações em mensagens eletrônicas Sim Sim porém desatualizados Não TÓPICO 2 MODELO DE GESTÃO CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO 259 Acordos de confidencialidade e não divulgação padronizados Sim Sim porém desatualizados Não 10 AQUISIÇÃO DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS Requisitos de segurança de sistemas Sim Sim porém desatualizados Não Processos para garantia de segurança de aplicações em redes públicas Sim Sim porém desatualizados Não Política e procedimentos para desenvolvimento seguro de sistemas Sim Sim porém desatualizados Não Procedimentos para controle de mudanças em sistemas Sim Sim porém desatualizados Não Testes documentados de aceitação e segurança de sistemas Sim Sim porém desatualizados Não Procedimento de proteção a dados para teste Sim Sim porém desatualizado Não 11 RELACIONAMENTO NA CADEIA DE SUPRIMENTO Requisitos de segurança para relacionamento com fornecedores Sim Sim porém desatualizados Não Requisitos de segurança para a cadeia de suprimento de produtos e serviços Sim Sim porém desatualizados Não Procedimentos de gerenciamento da entrega de serviços Sim Sim porém desatualizados Não 260 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO 12 GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO Mecanismos de notificação de fragilidades e eventos de segurança da informação Sim Sim porém desatualizados Não Procedimentos para gestão de incidentes de segurança da informação e melhorias Sim Sim porém desatualizados Não 13 ASPECTOS DA SEGURANÇA DA INFORMAÇÃO NA GESTÃO DA CONTINUIDADE DO NEGÓCIO Procedimentos e requisitos para a gestão da continuidade da gestão da segurança da informação Sim Sim porém desatualizados Não Redundâncias para garantia de disponibilidade de recursos de processamento da informação Sim Sim porém insuficientes Não 14 CONFORMIDADE Requisitos de conformidade legal e contratual documentados Sim Sim porém desatualizados Não Controles para a proteção da privacidade e direitos individuais definidos e implementados Sim Sim porém desatualizada Não Procedimentos para analisar criticamente o enfoque e a implementação da segurança na empresa Sim Sim porém desatualizados Não Tabela de pontuação Some os pontos correspondentes às respostas de acordo com os seguintes critérios Resposta A some 2 pontos Resposta B some 1 ponto Resposta C não some nem subtraia pontos FONTE SÊMOLA Marcos Gestão da segurança da informação uma visão executiva Rio de Janeiro Elsevier 2014 p 141149 TÓPICO 2 MODELO DE GESTÃO CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO 261 3 AGREGANDO VALOR AO NEGÓCIO A análise do retorno sobre o investimento já deve ter dado pistas referentes aos resultados mensuráveis relacionados ao modelo de gestão corporativa de segurança Contudo é importante que você observe o quadro a seguir pois nele destacarmos os benefícios da gestão integrada sob a visão do executivo e do negócio QUADRO 17 BENEFÍCIOS DA GESTÃO INTEGRADA SOB A VISÃO DO EXECUTIVO E DO NEGÓCIO Valoriza as ações da organização Viabiliza novos negócios Viabiliza a exploração para novos mercados Viabiliza novas fontes de receita Aumenta o marketshare Aumenta o share of mind Consolida a imagem de modernidade Consolida a imagem de saúde administrativa Consolida o diferencial competitivo proporcionado pela tecnologia aplicada Aumenta a satisfação dos clientes Aumenta a produtividade dos usuários Aumenta a receita Aumenta a lucratividade Aumenta a agilidade na adaptação a mudanças Aumenta os níveis de disponibilidade operacional Reduz os custos provocados por ameaças que exploram as falhas de segurança Reduz os custos provocados pela má utilização dos recursos tecnológicos Reduz os riscos operacionais Prepara a organização para os desafios atuais Prepara a organização para reagir aos desafios futuros Preserva a imagem da organização Integra segurança ao negócio FONTE Adaptado de Sêmola 2014 262 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO Portanto acadêmico a gestão integrada é um dos benefícios tangíveis mais importantes proporcionados pelo modelo devido ser o responsável por evitar atividades contrárias ou conflitantes investimentos redundantes ações desencontradas e principalmente por propiciar a canalização de esforços que vão ao encontro de um objetivo comum o negócio da organização SÊMOLA 2014 Veja a dica que preparamos para você referente à agregação de valor ao negócio Agregando valor ao negócio Diferentemente do que se pensava toda iniciativa de segurança da informação deve ter como alvo principal o negócio e consequentemente suas ações devem estar totalmente convergentes alinhadas e focadas nos desafios do negócio SÊMOLA 2014 p 38 ATENCAO 263 RESUMO DO TÓPICO 2 Neste tópico você aprendeu que Não é suficiente criar uma unidade administrativa ou departamento e o chamar de comitê corporativo de segurança da informação é necessário que haja uma visão clara de todas as etapas envolvidas e a devida formalização do processo A teoria do perímetro é a compreensão de segmentar os ativos físicos tecnológicos e humanos de acordo com a similaridade de sua criticidade e importância valor para o negócio é a base para a especificação e a aplicação dos controles certos que oferecerão o nível de proteção adequado a cada perfil e necessidade SÊMOLA 2014 p 74 O Comitê Corporativo da Segurança da Informação orienta as ações corporativas de segurança e todas as etapas do modelo além de medir os resultados parciais e finais com o intuito de reparar desvios de foco O Comitê Corporativo da Segurança da Informação alinha o plano de ação às diretrizes estratégicas do negócio buscando agregar valor e viabilizar o melhor retorno sobre o investimento O Comitê Corporativo da Segurança da Informação coordena os agentes de segurança em seus comitês interdepartamentais a fim de sintonizálos quanto a possíveis ajustes no plano de ação O Comitê Corporativo da Segurança da Informação garante o sucesso de implantação do modelo de gestão corporativo de segurança da informação que vai preparar e dar autonomia à organização para gerir seus atuais e futuros desafios associados O Comitê Corporativo da Segurança da Informação promove a consolidação do modelo de gestão corporativo de segurança da informação como um processo dinâmico autogerido Os objetivos dos Comitês de Segurança da Informação e do Escritório da Segurança da Informação se assemelham basicamente a diferença é que ao usar o Modelo de Escritório não é necessário centralizar os recursos humanos materiais e estruturais necessários ao processo Tanto o Comitê como o Escritório analisam o posicionamento da organização no mercado em que se situa visando mapear seus clientes fornecedores concorrentes produtosserviços e os riscos que cada um destes pode representar à organização Tanto o Comitê como o Escritório definem as políticas de controle de acesso físico às instalações da organização 264 Tanto o Comitê como o Escritório implementam os aspectos sociotécnicos da Segurança da Informação mapeando as características sociais referentes ao ambiente da organização e as pessoas que nela vivem e trabalham Tanto o Comitê como o Escritório definem as políticas de controle de acesso lógico aos dados organizacionais Tanto o Comitê como o Escritório desenvolvem a matriz de riscos do negócio identificando priorizando e qualificando todos os riscos inerentes ao processo mapeando pelo menos uma resposta a cada risco identificado Tanto o Comitê como o Escritório garantem a sustentabilidade do processo de controle da segurança da informação Tanto o Comitê como o Escritório escrevem e implementam os acordos de nível de serviço de segurança da informação na organização Tanto o Comitê como o Escritório avaliam novas tecnologias e suas devidas adequações e aplicações nos processos de segurança da informação organizacional Tanto o Comitê como o Escritório mapeiam e definem planos de contingência dos processos organizacionais Tanto o Comitê como o Escritório definem procedimentos a serem adotados em situações de crises emergências e desastres para a continuidade de negócio Tanto o Comitê como o Escritório avaliam o nível de proteção atual dos processos organizacionais Tanto o Comitê como o Escritório garantem a eficácia dos processos da segurança da informação por meio de testes periódicos Tanto o Comitê como o Escritório desenvolvem políticas de treinamento de colaboradores visando garantir o comprometimento destes com os processos de SI organizacionais Tanto o Comitê como o Escritório aplicam políticas de certificação digital de segurança da informação Tanto o Comitê como o Escritório implementam políticas de desenvolvimento de software seguro Tanto o Comitê como o Escritório definem políticas de controle de versão de arquivos Tanto o Comitê como o Escritório promovem auditorias nos processos sistêmicos organizacionais Tanto o Comitê como o Escritório regulamentam as políticas de uso dos recursos informacionais da organização computadores redes de dados emails corporativos ferramentas de redes sociais etc 265 O Escritório de Segurança da Informação precisa de um ambiente próprio disponibilizado em tempo integral um ambiente exclusivo e de conhecimento de toda organização tanto os recursos tecnológicos como os recursos humanos necessários nas atividades demandadas pela segurança de informação O Escritório de Segurança da Informação tem como desvantagem o custo fixo de manter todos os recursos necessários das instalações tanto os recursos humanos como os tecnológicos e mais o próprio espaço físico demandado A adoção dos Comitês de Segurança da Informação pelas organizações é uma forma de fugir dos custos demandados pelo Escritório Comitê corporativo de segurança da informação Espinha dorsal o comitê corporativo deve ser consistente dinâmico e flexível para representar oficialmente os interesses da empresa perante os desafios do negócio SÊMOLA 2014 p 76 O comitê corporativo de segurança da informação representa o núcleo concentrador dos trabalhos e deve estar além de adequadamente posicionado na hierarquia do organograma formatado a partir da clara definição de seu i objetivo ii da estrutura funções e responsabilidades iii do perfil dos executores além da formal e oficial identificação de seus membros que darão representatividade aos departamentos mais críticos e relevantes da organização O coordenador do comitê corporativo de segurança da informação é o Security Officer O comitê traz em sua estrutura a coordenação geral da segurança a coordenação de segurança o controle o planejamento e avalição e por fim a execução O papel do Security Officer é significativo para o sucesso do modelo pois ele atua como eixo centralizador na função da coordenação geral do comitê corporativo de segurança da informação Papel do Security Officer Explicite as responsabilidades do Security Officer para com o resultado mas municieo adequadamente para viabilizar sua atividade SÊMOLA 2014 p 76 grifo nosso Governance Risk e Compliance GRC é um acrônimo que descreve uma aproximação organizacional integrada para a governança garantia e a gestão da performance riscos e conformidade SÊMOLA 2014 p 75 GRC foi inventado por Open Compliance and Ethics Group OCEG visando garantir que os objetivos fossem atingidos mantendo o foco mesmo existindo as incertezas e agir sempre com integridade A gestão do risco e da conformidade se aproxima de maneira muito clara da gestão da segurança da informação principalmente no que tange ao estabelecimento de controles enquanto a governança garante o equilíbrio e a associação com os objetivos de negócio SÊMOLA 2014 p 75 266 O Security Officer se orienta por resultados ou seja compelido a obter o melhor ROI em segurança da informação Portanto a organização opera sob risco controlado a segurança é gerida de forma dinâmica pensando tanto nos desafios atuais como futuros Um fator que precisa ser considerado é o fator humano Os seres humanos são pessoas complexas Portanto é necessário ter informações referente à personalidade valores linha de atuação pois quanto mais informações tivermos a abordagem terá uma eficácia maior A utilização de parceiros externos em TI é uma realidade e uma necessidade atual considerando a complexidade e o dinamismo dos ambientes a organização possivelmente não terá como realizar todas as atividades eou desenvolver todos os sistemas necessários Uma forma de realizar uma boa gestão sobre um parceiro externo é adotar o Acordo de Nível de Serviço ou Service Level Agreement SLA entre a organização e o prestador de serviço Um SLA é um acordo que prevê de modo claro e em termos quantificáveis os objetivos e as responsabilidades do fornecedor e do cliente FONTES 2008 p 100 A gestão integrada é um dos benefícios tangíveis mais importantes proporcionados pelo modelo devido ser o responsável por evitar atividades contrárias ou conflitantes investimentos redundantes ações desencontradas e principalmente por propiciar a canalização de esforços que vão ao encontro de um objetivo comum o negócio da organização SÊMOLA 2014 Agregando valor ao negócio Diferentemente do que se pensava toda iniciativa de segurança da informação deve ter como alvo principal o negócio e consequentemente suas ações devem estar totalmente convergentes alinhadas e focadas nos desafios do negócio SÊMOLA 2014 p 38 267 1 Não é suficiente criar uma unidade administrativa ou departamento e chamálo de Comitê Corporativo de Segurança da Informação é necessário que haja uma visão clara de todas as etapas envolvidas e a devida formalização do processo As etapas do modelo dizem respeito ao mapeamento de segurança estratégia de segurança planejamento de segurança implementação de segurança administração de segurança e a segurança na cadeia produtiva Umas das atividades envolvidas nessas etapas diz respeito a inventariar os ativos físicos tecnológicos humanos e ambientais que sustentam a operação da organização considerando também as demais variáveis internas e externas que interferem nos riscos da organização como mercado nicho concorrência expansão etc Qual é a etapa do modelo que realiza esta atividade a Mapeamento de segurança b Estratégia de segurança c Planejamento de segurança d Implementação de segurança 2 Uma das atividades dessa etapa é elaborar uma política de segurança da informação sólida considerando com extrema particularização e detalhamento as características de cada processo de negócio perímetro e infraestrutura materializandoa por meio de diretrizes normas procedimentos e instruções que oficializarão o posicionamento da organização ao redor do tema e ainda apontar as melhores práticas para manuseio armazenamento transporte e descarte de informações na faixa de risco apontada como ideal Qual é a etapa do modelo que realiza esta atividade a Mapeamento de segurança b Estratégia de segurança c Planejamento de segurança d Implementação de segurança 3 A adoção dos Comitês de Segurança da Informação pelas organizações é uma forma de fugir dos custos demandados pelo Escritório de Segurança de Informação O que torna o Comitê mais vantajoso financeiramente é também o motivo de não ser ter equipe em tempo integral e nem um espaço exclusivo para esse propósito Referente aos comitês analise as sentenças a seguir classificando com V as sentenças verdadeiras e com F as falsas Custo inexistente de pagamento para pessoal específico de segurança da informação Equipe com diversas atribuições além de segurança da informação Disponibilidade da equipe em um local fixo Custo com local físico e equipamentos AUTOATIVIDADE 268 Assinale a alternativa com a sequência CORRETA a V F F V b F F V F c V V F F d F F V V 4 O Security Officer é o coordenador do Comitê Corporativo de Segurança da Informação Basicamente o Comitê traz em sua estrutura a coordenação geral da segurança a coordenação de segurança o controle o planejamento e avalição e por fim a execução Essa estrutura possui funções e responsabilidades Referente às funções e responsabilidades nessa estrutura analise as sentenças a seguir classificando com V as sentenças verdadeiras e com F as falsas Conduzir ações de auditoria e monitoramento diz respeito ao controle Cumprir e fazer cumprir a política de segurança nos ambientes associados diz respeito a Coordenação geral de segurança Promover palestras de conscientização e manutenção do conhecimento diz respeito ao planejamento e avaliação Propor mudanças se refere ao controle Assinale a alternativa com a sequência CORRETA a F F F F b V V V V c F V V F d V F V F 5 O comitê corporativo de segurança da informação representa o núcleo concentrador dos trabalhos e deve estar além de adequadamente posicionado na hierarquia do organograma formatado a partir da clara definição se seu objetivo da estrutura funções e responsabilidades do perfil dos executores além da formal e oficial identificação de seus membros que trazem representatividade aos departamentos mais críticos e relevantes da organização O perfil do executor de um Security Officer é apoiar diretores e seus representantes Em qual estrutura o Security Officer participa a Coordenação geral de segurança b Coordenação de segurança c Planejamento e avaliação d Controle 269 UNIDADE 3 1 INTRODUÇÃO Acadêmico chegamos no nosso último tópico de nosso Livro Didático No início desta unidade colocamos que um dos contextos fundamentais da gestão da segurança da informação é a Política de Segurança da Informação e Comunicação PoSIC que também é conhecida como Política de Segurança da Informação PSI Segundo Hintzbergen et al 2018 a política de segurança é o principal documento da maior parte das organizações Este documento contém desde a política procedimentos até orientações que visam um determinado aspecto de segurança da informação e que fornecem expectativas detalhadas Esses documentos são uma parte importante do Sistema de Gerenciamento da Segurança da Informação HINTZBERGEN et al 2018 p 103 também conhecido como Information Security Management System ISMS Vamos relembrar que o ISMS é o Sistema de Gestão de Segurança de Informação SGSI Portanto a estrutura da organização é justamente para controlar o seu SGSI De acordo com Hintzbergen et al 2018 Essa estrutura fornece uma classificação lógica de todas as questões relacionadas à segurança da informação organizandoas em domínios Domínios que estudamos na Unidade 2 e colocamos uma dica para você relembrar TÓPICO 3 POLÍTICAS E REGULAMENTOS DE SEGURANÇA DA INFORMAÇÃO Cabe lembrar também que os requisitos estabelecidos pela ABNT NBR ISOIEC 270012013 que estudamos na Unidade 2 são aplicáveis e genéricos a qualquer tipo de organização Hintzbergen et al 2018 p 104 colocam que Excluir qualquer dos requisitos especificados nas cláusulas de 4 a 10 não é aceitável quando uma organização reivindica conformidade a esta norma internacional Domínio é um grupo de assuntos que estão logicamente conectados uns aos outros Os domínios formam a base para a estrutura do SGSI Esses domínios algumas vezes possuem seus próprios documentos de política procedimentos e instruções de trabalho HINTZBERGEN et al 2018 p 104 NOTA 270 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO Esses requisitos assim como o COBIT e os temas discutidos até o momento devem ser utilizados na hora da implantação de um SGSI e consequentemente da elaboração da política Além disso como vimos na Unidade 1 após estabelecer uma PSI e ela ser aprovada pelo conselho de administração e publicada para todas as partes interessadas ou seja pessoal interno e externo relevantes ela tem que ser distribuída publicada e fazer parte do programa de conscientização Para Hintzbergen et al 2018 p 147 É comum um documento de políticas ter uma estrutura hierárquica Vários documentos de política são desenvolvidos tendo como base uma política de segurança corporativa de alto nível estando sempre de acordo com a política corporativa e fornece diretrizes mais detalhadas para uma determinada política Com base em documentos de política o quadro a seguir apresenta os itens que podem ser escritos QUADRO 18 DOCUMENTOS ESCRITOS BASEADOS NA POLÍTICA DE SEGURANÇA DOCUMENTO DESCRIÇÃO REGULAMENTO Um regulamento é mais detalhado que um documento de política Regulamentos são normalmente considerados obrigatórios e a sua não observância pode levar a procedimentos disciplinares PROCEDIMENTOS Procedimentos descrevem em detalhes como medidas particulares devem ser conduzidas e podem por vezes incluir instruções de trabalho como por exemplo uma política de mesa limpa Visando assegurar que materiais sensíveis não sejam facilmente removidos é necessária a política de mesas limpas Nenhuma informação deve ser deixada sobre uma mesa sem supervisão de alguém e após o expediente toda informação deve ser guardada em algo que possa ser trancado DIRETRIZES Diretrizes como o termo sugere fornecem orientações Elas descrevem quais aspectos têm de ser examinados em função de determinados pontos de vista de segurança Diretrizes não são obrigatórias mas são de caráter consultivo NORMAS As normas podem compreender por exemplo a configuração padrão de certas plataformas FONTE Adaptado de Hintzbergen et al 2018 p 147 Portanto acadêmico nosso objetivo a partir daqui é trazer documentos práticos que foram formulados para uma organização específica TÓPICO 3 POLÍTICAS E REGULAMENTOS DE SEGURANÇA DA INFORMAÇÃO 271 2 EXEMPLOS DE REGULAMENTOS E POLÍTICAS De acordo com Fontes 2008 p 363 Um programa de segurança da informação precisará de mais regulamentos Para cada dimensão ou aspecto da proteção deve existir um conjunto de regulamentos com seus níveis de detalhamento política norma ou procedimentos Desta forma exemplificamos tipos de regulamentos neste item No quadro a seguir você pode analisar como se elabora uma política de segurança e proteção da informação Esta política especificamente foi criada para uma determinada organização A sua organização assim como toda organização possui características únicas e portanto a política dela também deve ter Contudo você pode se basear e se apoiar em políticas de outras organizações e adaptálas a sua QUADRO 19 POLÍTICA DE SEGURANÇA E PROTEÇÃO DA INFORMAÇÃO Objetivo Definir o tratamento que deve ser dado às informações armazenadas processadas ou transmitidas no ambiente convencional ou no ambiente de tecnologia da organização As orientações aqui apresentadas são os princípios fundamentais e representam como a organização exige que a informação seja utilizada Abrangência É aplicada a todos os usuários associados prestadores de serviços e estagiários que utilizam as informações da organização Implementação A Gerência de Segurança da Informação e a Área de Apoio ao Usuário Final são responsáveis pela implementação e continuidade dessa norma de segurança Política O bem informação O bem informação A informação utilizada pela organização é um bem que tem valor Ela deve ser protegida cuidada e gerenciada adequadamente com o objetivo de garantir a sua disponibilidade integridade confidencialidade legalidade e auditabilidade independentemente do meio de armazenamento processamento ou transmissão que esteja sendo utilizado No ambiente de tecnologia da informação será tratada com o detalhamento de transação tela ou relatório gerado Gestor da informação O Gestor da Informação é a pessoa responsável pela autorização de acesso validação de uso e definição dos demais controles sobre a informação Cada informação deverá ter o seu Gestor que será indicado formalmente pela diretoria responsável pelos sistemas que acessam a informação 272 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO Confidencialidade da informação O Gestor da Informação classificará o nível de confidencialidade e sigilo da informação baseandose nos critérios predefinidos pela Gerência de Segurança da Informação A confidencialidade da informação deve ser mantida durante todo o processo de uso da informação e pode ter níveis diferentes ao longo da vida dessa informação Utilização da informação e recursos A liberação do acesso da informação para os usuários será autorizada pelo gestor que levará em conta a confidencialidade da informação e a necessidade de acesso do usuário O acesso da informação deve ser autorizado apenas para os usuários que necessitam da mesma para o desempenho das suas atividades profissionais na organização Esse conhecimento do usuário deve ser utilizado apenas para o desenvolvimento e operacionalização do negócio da Organização Cada usuário deve acessar apenas as informações e os ambientes previamente autorizados Qualquer tentativa de acesso a ambientes não autorizados será considerada uma violação desta política O acesso da informação armazenada e processada no ambiente de tecnologia é individual e intransferível Esse acesso acontece por meio da identificação e autenticação do usuário Quando a autenticação for feita por meio de senha o usuário deve manter a mesma em segredo e não utilizar senhas óbvias de forma que somente ele seja capaz de reproduzila Os recursos de tecnologia da organização disponibilizados para os usuários têm como objetivo a realização de atividades profissionais A utilização dos recursos de tecnologia com finalidade pessoal é permitida desde que seja em um nível mínimo e que não viole a Política de Segurança e Proteção da Informação e o Código de Conduta e Ética da organização Proteção da informação Toda informação deve ser protegida para que não seja alterada acessada e destruída indevidamente A informação armazenada em meio digital deve ser protegida contra desastre físico fogo água calor etc e desastre lógico vírus alteração indevida da informação etc TÓPICO 3 POLÍTICAS E REGULAMENTOS DE SEGURANÇA DA INFORMAÇÃO 273 Continuidade do uso da informação Toda informação crítica para o funcionamento da organização deve possuir pelo menos uma cópia de segurança atualizada e guardada em local remoto com proteção adequada O Gestor da Informação é responsável pela definição dessa criticidade Para a criação das cópias de segurança devem ser considerados os aspectos legais históricos de auditoria e de recuperação do ambiente Os recursos tecnológicos de infraestrutura e os ambientes físicos onde os usuários realizam o negócio da organização devem ser protegidos contra desastres e contingências Os locais nos quais se encontram os recursos da organização devem ter proteção e controle de acesso físico compatível com o seu nível de criticidade e será de responsabilidade da diretoria gestora do recurso validar a solução com a Gerência da Segurança da Informação A definição e implementação das medidas de prevenção e recuperação para situações de desastre e contingência devem ser efetuadas de forma permanente e devem contemplar recursos de tecnologia humanos e de infraestrutura Elas são de responsabilidade da diretoria gestora dos recursos contando com o apoio e validação da Gerência de Segurança da Informação Computação pessoal e móvel A proteção de recurso computacional de uso individual é de responsabilidade do usuário que o utiliza Ambiente real dos sistemas O ambiente do sistema computacional destinado à execução dos sistemas e dados reais ambiente de produção não deve ser utilizado para testes e outras atividades semelhantes A passagem de programas e dados para o ambiente de produção deve ser controlada de maneira a garantir a integridade e disponibilidade desse ambiente para a realização do negócio Correio eletrônico As mensagens de correio eletrônico são instrumentos de comunicação interna e externa para a realização do negócio da organização Elas devem ser escritas em linguagem profissional e que não comprometa a imagem da organização não vá de encontro à legislação vigente e nem aos princípios éticos da organização Mensagens fora dessas características não devem ser enviadas O conteúdo do correio eletrônico de cada usuário pode ser acessado pela organização quando de situações que ponham em risco a sua imagem e o seu negócio 274 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO Este acesso será feito a critério da organização mediante comunicação ao superior imediato do usuário à Gerência de Segurança e deve ser registrado formalmente permitindo uma auditoria desse procedimento O uso do correio eletrônico é pessoal e o usuário é responsável por toda mensagem enviada pelo seu endereço Mensagens recebidas não coerentes com essa política devem ser eliminadas Ambiente de Internet O ambiente de Internet deve ser usado para o desempenho das atividades profissionais do usuário para a organização Sites que não contenham informações que agreguem conhecimento profissional e para o negócio não devem ser acessados Os acessos realizados nesse ambiente são monitorados pela organização com o objetivo de garantir o cumprimento dessa política Documentação Todos os procedimentos que possibilitam a proteção da informação e a continuidade do seu uso devem ser documentados de tal forma que possibilite que a organização continue a operacionalização desses procedimentos mesmo na ausência do usuário responsável Conclusão A utilização das informações do ambiente de tecnologia ou do ambiente convencional pelos usuários da organização deve estar de acordo com os documentos institucionais Código de Conduta Política de Privacidade Dados Pessoais e Conduta Ética e Conflito de Interesses Todos os usuários devem conhecer e entender esses documentos A segurança e proteção da informação é uma responsabilidade contínua de cada usuário da organização em relação às informações que acessa e gerencia Todos os usuários devem utilizar a informação da organização de acordo com as determinações desta Política de Segurança e Proteção da Informação O não cumprimento desta política eou dos demais instrumentos normativos que complementarão o processo de segurança constitui em falta grave e o usuário está sujeito a penalidades administrativas eou contratuais A Gerência de Segurança da Informação é a área responsável pela existência efetiva do processo de proteção e segurança da informação da organização Informações adicionais poderão ser solicitadas diretamente à Gerência de Segurança da Informação ou encaminhadas por meio do Help Desk FONTE Adaptado de Fontes 2008 p 105109 TÓPICO 3 POLÍTICAS E REGULAMENTOS DE SEGURANÇA DA INFORMAÇÃO 275 Agora acadêmico verifique o quadro a seguir para ver o regulamento de segurança no uso de correio eletrônico QUADRO 20 REGULAMENTO DE SEGURANÇA USO DE CORREIO ELETRÔNICO Objetivo Definir os requisitos e regras de segurança para o uso do correio eletrônico email no âmbito da organização Abrangência Esta política se aplica a todos os usuários associados e prestadores de serviços que utilizam as informações da organização Implementação A Gerência de Segurança da Informação e a Área de Apoio ao Usuário Final são responsáveis pela implementação e continuidade dessa norma de segurança Política de Segurança e Proteção da Informação Itens referentes ao correio eletrônico Documento já publicado O correio eletrônico é um instrumento de comunicação interna e externa para a realização do negócio da organização As mensagens do correio eletrônico devem ser escritas em linguagem profissional e que não comprometa a imagem da organização não vá contra à legislação vigente e nem aos princípios éticos da ORGANIZAÇÃO O uso do correio eletrônico é pessoal e o usuário é responsável por toda mensagem enviada pelo seu endereço O conteúdo do correio eletrônico de cada usuário pode ser acessado pela organização quando de situações que ponham em risco a sua imagem e o seu negócio Este acesso será feito a critério da organização mediante comunicação ao superior imediato do usuário à Gerência de Segurança e deve ser registrado formalmente permitindo uma auditoria desse procedimento Regras Você como usuário cadastrado e autorizado no ambiente de correio eletrônico da organização Uso de Mensagens Referente ao que pode ser realizado i Pode enviar mensagens relativas aos negócios da empresa para usuários internos ou para pessoasorganizações em endereços externos ii Pode utilizar o correio eletrônico para propósitos pessoais incidentais desde que sejam em um nível mínimo não prejudiquem o desempenho dos recursos da organização não interfiram no desempenho das suas atividades profissionais e não violem a Política de Segurança e Proteção da Informação e o Código de Conduta e Ética da organização Não pode originar ou encaminhar mensagens ou imagens que i contenham declarações difamatórias ou linguagem ofensiva de qualquer natureza ii menosprezem depreciem ou 276 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO incitem ao preconceito a determinadas classes como sexo raça orientação sexual idade religião nacionalidade ou deficiência física iii possua informação pornográfica obscena ou imprópria para um ambiente profissional iv possam trazer prejuízo a outras pessoas v sejam hostis ou inúteis vi que defendam ou possibilitem a realização de atividades ilegais vii sejam ou sugiram a formação ou divulgação de correntes de mensagens viii possam prejudicar a imagem da organização ou seus produtos e serviços ix possam prejudicar a imagem de outras companhias ou sejam incoerentes com as políticas e códigos da organização Não pode reproduzir qualquer material recebido pelo correio eletrônico ou outro meio que possa infringir direitos autorais marcas licença de software ou patentes existentes sem que haja permissão por escrito do criador do trabalho Nunca deve enviar por correio eletrônico qualquer comunicação que possa ser de alguma maneira incorreta ou não apropriada para envio pelo correio regular em papel timbrado da empresa Uma mensagem eletrônica é considerada um documento formal da organização Não pode encaminhar mensagens que representem a opinião pessoal do autor colocandoa em nome da organização Não pode utilizar o endereço do correio eletrônico da organização para outras atividades profissionais Caso receba uma mensagem originada da Internet de um remetente desconhecido você deve remover essa mensagem da sua caixa de entrada preferencialmente antes mesmo de abrila Por fim não responda caso receba mensagens contendo texto ou imagem não profissional ou de propaganda Nem mesmo que seja para solicitar o não envio da mesma Neste caso o remetente saberá que o seu endereço eletrônico está válido Confidencialidade e validade da mensagem Se o correio eletrônico não utilizar a Certificação Digital ou qualquer outro processo que garanta a confidencialidade da mensagem e a autenticidade do destinatárioremetente você não deve enviar mensagens para fora do domínio organizaçãocombr em que i o destinatário ou a organização ficariam incomodados ou embaraçados se a mensagem fosse publicada na primeira página de jornal de grande circulação ii um parceiro cliente fornecedor autorize determinada ação para a organização e que caso essa mensagem não seja reconhecida no futuro por esse parceiro esse fato traga prejuízo para a organização Para esses casos o envio de mensagem pode agilizar um processo porém deve ser formalizado por meio de um outro meio que confirme a ação solicitada TÓPICO 3 POLÍTICAS E REGULAMENTOS DE SEGURANÇA DA INFORMAÇÃO 277 Para os casos em que uma negociação tenha que ser feita via correio eletrônico o diretor da área deverá estar formalmente ciente desse fato e do potencial risco para a organização Quando envia uma mensagem de correio eletrônico ela está restrita a você e ao destinatário Porém no caso de informações que exijam um maior sigilo você deve na primeira linha da mensagem indicar o nível de classificação dessa informação dentre os níveis de confidencialidade descritos na Norma de Segurança Classificação da Informação Caso receba por algum motivo uma mensagem que por erro lhe foi enviada deve proceder da seguinte maneira i caso seja uma mensagem de endereço organizaçãocombr informe ao remetente o ocorrido e remova a mensagem da sua caixa de entrada ii caso não seja do ambiente organizaçãocombr simplesmente remova a mensagem da sua caixa de entrada Ao enviar uma mensagem para um destinatário com cópia para várias pessoas tenha certeza de que todas essas pessoas realmente devem receber essa mensagem A facilidade de se copiar uma mensagem no correio eletrônico nos leva a endereçar cópias para muitas pessoas Isso vale para quando vamos responder a uma mensagem Cópias desnecessárias sobrecarregam os recursos do ambiente computacional Ao indicar o destinatário ou ccópia tenha absoluta certeza de que o nome colocado é o do usuário para quem você deseja enviar a mensagem Quando for enviar para vários usuários com certa frequência utilize a opção de grupo de endereços evitando erros de endereçamento Tenha muita atenção com o uso da opção EncaminharForward que vai criando um histórico com todas as mensagens encadeadas Avalie se é necessário e conveniente o envio de todas essas mensagens Existe o risco de quebra de confidencialidade da informação e a ocorrência de situações desagradáveis com a leitura indevida de mensagens do correio eletrônico Arquivos em anexo Somente deve enviar arquivos anexados quando for imprescindível Cuidado quando estiver repassando EncaminharForward mensagens para não estar também repassando desnecessariamente arquivos anexados Deve garantir que cada um dos arquivos anexados possua o seu nível de confidencialidade da informação de acordo com a Norma de Segurança Classificação da Informação Não deve abrir arquivos anexados de remetentes desconhecidos Remova esses arquivos do seu ambiente de correio eletrônico 278 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO Gestão do correio eletrônico É obrigado a verificar regularmente a sua caixa de entrada do ambiente de correio eletrônico Caso necessite manter a mensagem verifique seu espaço no servidor de correio eletrônico Caso esteja perto do limite transfira a mesma para uma de suas pastas pessoais Porém nesse caso você está sem a facilidade de cópias de segurança que são executadas no servidor Caso necessite de cópias de segurança para suas pastas pessoais entre em contato com o HelpDesk para receber a devida orientação Não compartilhe a sua senha de acesso ao ambiente de rede e ao correio eletrônico com nenhum outro usuário Caso você necessite que algum outro usuário por exemplo uma secretária tenha acesso ao seu correio eletrônico faça por meio dos procedimentos de acesso compartilhado porém cada um utilizando sua própria identificação e senha Quando for passar um período sem acessar o correio eletrônico deixe uma mensagem de ausência e indique quem pode ser procurado no seu lugar Deve cuidar do espaço limitado que cada usuário possui no servidor para sua caixa de entrada caixa de saída e alguns outros recursos Quando esse espaço for ultrapassado haverá restrições para envio e recebimento de mensagens Conclusão O não cumprimento das regras descritas neste documento que complementam a Política de Segurança e Proteção da Informação constitui em falta grave e o usuário está sujeito a penalidades administrativas eou contratuais Situações não previstas e sugestões devem ser encaminhadas à Gerência de Segurança da Informação Dúvidas e informações adicionais poderão ser encaminhadas diretamente ao Help Desk FONTE Adaptado Fontes 2008 Agora acadêmico verifique o quadro a seguir para ver o regulamento de segurança referente a como o usuário deve utilizar o ambiente Web QUADRO 21 REGULAMENTO DE SEGURANÇA USUÁRIO DO AMBIENTE WEB Objetivo Definir os requisitos e regras de segurança para o uso do ambiente de Internet Intranet e Extranet da organização Abrangência Esta política se aplica a todos os usuários associados prestadores de serviços e estagiários que utilizam o ambiente de tecnologia da organização TÓPICO 3 POLÍTICAS E REGULAMENTOS DE SEGURANÇA DA INFORMAÇÃO 279 Implementação A Gerência de Segurança da Informação e a Área de Apoio ao Usuário Final são responsáveis pela implementação e continuidade dessa norma de segurança POLÍTICA DE SEGURANÇA E PROTEÇÃO DA INFORMAÇÃO Itens referentes à Internet Documento já publicado O acesso da informação deve ser autorizado apenas para os usuários que necessitam da mesma para o desempenho das suas atividades profissionais na organização Esse conhecimento do usuário deve ser utilizado apenas para o desenvolvimento e operacionalização do negócio da organização O ambiente de Internet deve ser usado para o desempenho das atividades profissionais do usuário para a organização Sites que não contenham informações que agreguem conhecimento profissional e para o negócio não devem ser acessados Os acessos realizados nesse ambiente são monitorados pela organização com o objetivo de garantir o cumprimento dessa política Os recursos de tecnologia da organização disponibilizados para os usuários tem como objetivo a realização de atividades profissionais A utilização dos recursos de tecnologia com finalidade pessoal é permitida desde que seja em um nível mínimo e que não viole a Política de Segurança e Proteção da Informação e o Código de Conduta e Ética da organização A utilização das informações do ambiente de tecnologia ou do ambiente convencional pelos usuários da organização deve estar de acordo com os documentos institucionais Código de Conduta Política de Privacidade Dados Pessoais e Conduta Ética e Conflito de Interesses Todos os usuários devem conhecer e entender esses documentos DEFINIÇÕES Internet É o ambiente virtual no qual diferentes computadores de várias partes do mundo se comunicam através de protocolos padrões permitindo a troca de informações e o compartilhamento de conhecimento Existem vários serviços disponibilizados na Internet sendo o correio eletrônico e o ambiente gráfico World Wide Web WWW os mais conhecidos Intranet É um ambiente semelhante ao da Internet porém restrito ao ambiente de tecnologia da organização Extranet É o ambiente com o mesmo conteúdo da intranet porém extensivo ao ambiente da rede corporativa organização pela Internet Esse ambiente está logicamente restrito aos usuários organização 280 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO Ambiente Web É o conjunto dos ambientes Internet intranet extranet Receber a devida orientação Não compartilhe a sua senha de acesso ao ambiente de rede e ao correio eletrônico com nenhum outro usuário haverá restrições para envio e recebimento de mensagens Site É o local virtual no qual se encontram as informações relativas a um endereço do Ambiente Web No mundo real é suportado por um ou vários equipamentos que estão ligados à rede dentro do ambiente considerado Regras para os Usuários Apenas os softwares e versões homologados para a função de navegadores no Ambiente Web devem ser utilizados pelos usuários Todos os arquivos recebidos a partir do ambiente da Internet para o ambiente do computador do usuário devem ser analisados por produto antivírus homologado para a organização O usuário não deve alterar a configuração do navegador da sua máquina no que diz respeito aos parâmetros de segurança Havendo necessidade o Help Desk deve ser acionado para informar o procedimento a ser seguido Quando estiver acessando a Internet o usuário não deve acessar sites ou executar ações que possam infringir direitos autorias marcas licença de software ou patentes existentes Nenhum material com nível de sigilo Confidencial ou superior pode ser disponibilizado fora das áreas seguras da intranet Não são permitidas páginas pessoais de usuários ou qualquer outra propaganda comercial pessoal no ambiente Internet utilizando recursos da organização Nenhum material ofensivo ou hostil pode ser disponibilizado nos sites da organização no ambiente Internet É proibido e considerado abuso i a visualização transferência cópia ou qualquer outro tipo de acesso a sites de conteúdo pornográfico ou relacionados a sexo bem como a distribuição interna ou externa de qualquer tipo de conteúdo proveniente destes sites que defendam atividades ilegais que menosprezem depreciem e incitem o preconceito a determinadas classes como sexo raça orientação sexual religião nacionalidade ii a transferência ou cópia de grandes quantidades de arquivos de vídeo som ou gráficos não relacionados aos interesses de negócios da companhia este tipo de ação afeta diretamente os recursos de rede iii participação em salas de chat ou grupos de discussão de assuntos não relacionados aos negócios da companhia qualquer discussão pública sobre os negócios da companhia por meio do uso de salas de chat grupos de discussão ou TÓPICO 3 POLÍTICAS E REGULAMENTOS DE SEGURANÇA DA INFORMAÇÃO 281 qualquer outro tipo de fórum público a menos que autorizado pela diretoria iv distribuição de informações confidenciais da organização Conclusão O não cumprimento das regras descritas neste documento que complementam a Política de Segurança e Proteção da Informação constitui em falta grave e o usuário está sujeito a penalidades administrativas eou contratuais Situações não previstas e sugestões devem ser encaminhadas à Gerência de Segurança da Informação Dúvidas e informações adicionais poderão ser encaminhadas diretamente ao Help Desk FONTE Adaptado de Fontes 2008 Agora acadêmico verifique o quadro a seguir para ver a política e processo de acesso à informação QUADRO 22 POLÍTICA E PROCESSO DE ACESSO À INFORMAÇÃO Objetivo Definir os requisitos e regras para o acesso à informação no ambiente de tecnologia Abrangência Esta política se aplica a todos os usuários associados e prestadores de serviços que utilizam o ambiente de tecnologia da organização Implementação A Gerência de Segurança da Informação e as áreas que suportam a tecnologia da informação são responsáveis pela implementação e continuidade dessa norma de segurança POLÍTICA DE SEGURANÇA E PROTEÇÃO DA INFORMAÇÃO Itens referentes ao Acesso de Informação Documento já publicado O Gestor da Informação é a pessoa responsável pela autorização de acesso validação de uso e definição dos demais controles sobre a informação Cada informação deverá ter o seu Gestor que será indicado formalmente pela diretoria responsável pelos sistemas que acessam a informação O Gestor da Informação classificará o nível de confidencialidade e proteção da informação baseandose nos critérios predefinidos pela Gerência de Segurança da Informação A liberação da informação para os usuários será autorizada pelo Gestor que levará em conta a confidencialidade da informação e a necessidade de acesso do usuário Toda informação crítica para o funcionamento da organização deve possuir pelo menos uma cópia de segurança atualizada e guardada em local remoto com proteção adequada O Gestor da Informação é responsável pela definição dessa criticidade 282 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO DEFINIÇÕES Gestor da Informação É o diretor da área responsável pelo uso dos sistemas e serviços de informação ou parte deles que possibilitam a realização das atividades de negócio administrativas e ou de apoio Cada diretor poderá indicar para os sistemas e serviços sob sua responsabilidade outras pessoas para também exercerem a função de Gestor da Informação Gestor de Usuário É a pessoa que garante para a organização que o usuário está exercendo normalmente as suas atividades profissionais O Gestor de Usuário para o associado é a sua chefia organizacional a partir do nível gerente ou superior O Gestor de Usuário para não associado é o gerente ou pessoa de nível hierárquico superior responsável pela contratação da prestação de serviço RESPONSABILIDADES Gestor da Informação iAutorizar ou negar o acesso do usuário à informação considerando a real necessidade de acesso pelo usuário a confidencialidade da informação e o tipo de acesso leitura alteração remoção a ser autorizado ii validar e atualizar pelo menos a cada seis meses os usuários que possuem acesso à informação iii definir o nível de classificação de confidencialidade da informação iv definir o impacto para a organização caso a informação esteja indisponível para a realização do negócio v definir o nível de continuidade de negócio referente ao sistemaserviço sob sua responsabilidade validando as soluções para situações de desastre e de contingência implementadas pelas áreas de tecnologia vi definir a necessidade de cópias de segurança e validar as soluções implementadas pelas áreas de tecnologia para o sistemas e serviços sob sua responsabilidade vii validar a eventual necessidade de armazenamento de dados pessoais nos sistemas e serviços sob sua responsabilidade de forma que esteja coerente com a Política de Privacidade Dados Pessoais viii buscar junto à organização os recursos que permitam a implantação e manutenção do nível de proteção e disponibilidade desejado para os sistemas ou serviços sob a sua responsabilidade possibilitando realização do negócio TÓPICO 3 POLÍTICAS E REGULAMENTOS DE SEGURANÇA DA INFORMAÇÃO 283 Gestor de Usuário i Garantir que o usuário somente esteja ativo no ambiente de tecnologia caso seja um colaborador ou prestador de serviço exercendo normalmente as suas funções profissionais para a organização ii validar e atualizar pelo menos a cada trinta dias os usuários tipo prestador de serviço sob sua responsabilidade Usuário iSolicitar acesso apenas para as informações que vai utilizar nas suas atividades profissionais na organização ii solicitar o corte de acesso à informação quando suas atividades profissionais na organização não mais exigirem esse acesso PROCEDIMENTOS Inclusão do usuário no ambiente computacional i O Gestor do Usuário autoriza a inclusão do usuário no ambiente computacional ii a área responsável pelo cadastro de usuário realiza a inclusão do usuário e arquiva a autorização Exclusão e manutenção do usuário no ambiente computacional i Sempre que acontece um desligamento de associado a área de recursos humanos comunica à área de tecnologia responsável pelo cadastro de usuários o nome desses associados ii o Gestor de Usuário também deve comunicar à área de tecnologia responsável pelo cadastro de usuários o nome dos associados e de prestadores de serviço que estão sob sua responsabilidade e que deixarão a organização iii para cada prestador de serviço existirá uma data de expiração de contrato Após essa data a identificação do usuário deve perder a validade Esta data de expiração não poderá ser maior do que seis meses iv periodicamente o Gestor de Usuário validará os usuários tipo prestadores de serviço que estão sob sua responsabilidade v a área responsável pelo cadastro do usuário arquiva a comunicação de manutenção ou exclusão Acesso à informação i O Gestor da Informação autoriza o acesso do usuário à informação ii o Gestor da informação valida periodicamente os usuários que possuem acesso à informação sob sua responsabilidade Quando de mudança de função profissional dentro da organização o próprio usuário deve solicitar a exclusão de acesso às informações de que não precisa mais para o desempenho das suas atividades profissionais iii a área responsável pela liberação do acesso à informação realiza a liberação do acesso arquiva a autorização de acesso ou a comunicação de corte de acesso 284 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO Conclusão Os Gestores de Informação e de Usuário aprovados pela organização estão com os nomes divulgados na norma de segurança Gestor de Informação e Gestor de Usuário Procedimentos poderão ser formalizados para cada um dos ambientes computacionais com o objetivo de descrever mais detalhadamente as regras aqui definidas O não cumprimento das regras descritas neste documento que complementam a Política de Segurança e Proteção da Informação constitui em falta grave e o usuário está sujeito a penalidades administrativas eou contratuais Situações não previstas dúvidas informações adicionais e sugestões devem ser encaminhadas à Gerência de Segurança da Informação FONTE Adaptado de Fontes 2008 Em nossa Unidade 1 trouxemos a leitura complementar referente aos ataques e códigos maliciosos Agora vamos trazer mecanismos de segurança pois eles vêm para complementar e consolidar os temas vistos nesta unidade e em todo nosso livro didático Este material foi adaptado da Cartilha de segurança para Internet versão 40 elaborada pelo CertBr 285 CARTILHA DE SEGURANÇA PARA INTERNET VERSÃO 40 Equipe CERTbr Mecanismos de segurança Agora que você já está ciente de alguns dos riscos relacionados ao uso de computadores e da Internet e que apesar disso reconhece que não é momento de aprender detalhadamente a se proteger No seu dia a dia há cuidados que você toma muitas vezes de forma instintiva para detectar e evitar riscos Por exemplo o contato pessoal e a apresentação de documentos possibilitam que você confirme a identidade de alguém a presença na agência do seu banco garante que há um relaciona mento com ele os Cartórios podem reconhecer a veracidade da assinatura de alguém etc E como fazer isto na Internet onde as ações são realizadas sem contato pessoal e por um meio de comunicação que em princípio é considerado inseguro Para permitir que você possa aplicar na Internet cuidados similares aos que costuma tomar em seu dia a dia é necessário que os serviços disponibilizados e as comunicações realizadas por este meio garantam alguns requisitos básicos de segurança como Identificação permitir que uma entidade se identifique ou seja diga quem ela é Autenticação verificar se a entidade é realmente quem ela diz ser Autorização determinar as ações que a entidade pode executar Integridade proteger a informação contra alteração não autorizada Confidencialidade ou sigilo proteger uma informação contra acesso não autorizado Não repúdio evitar que uma entidade possa negar que foi ela quem executou uma ação Disponibilidade garantir que um recurso esteja disponível sempre que necessário Uma entidade pode ser por exemplo uma pessoa uma empresa ou um programa de computador Para prover e garantir estes requisitos foram adaptados e desenvolvidos os mecanismos de segurança que quando corretamente configurados e utilizados podem auxiliálo a se proteger dos riscos envolvendo o uso da Internet LEITURA COMPLEMENTAR 286 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO Antes de detalhar estes mecanismos porém é importante que você seja advertido sobre a possibilidade de ocorrência de falso positivo Este termo é usado para designar uma situação na qual um mecanismo de segurança aponta uma atividade como sendo maliciosa ou anômala quando na verdade tratase de uma atividade legítima Um falso positivo pode ser considerado um falso alarme ou um alarme falso Um falso positivo ocorre por exemplo quando uma página legítima é classificada como phishing uma mensagem legítima é considerada spam um arquivo é erroneamente detectado como estando infectado ou um firewall indica como ataques algumas respostas dadas as solicitações feitas pelo próprio usuário Apesar de existir esta possibilidade isto não deve ser motivo para que os mecanismos de segurança não sejam usados pois a ocorrência destes casos é geralmente baixa e muitas vezes pode ser resolvida com alterações de configuração ou nas regras de verificação Agora vamos apresentar alguns dos principais mecanismos de segurança e os cuidados que você deve tomar ao usar cada um deles Política de segurança A política de segurança define os direitos e as responsabilidades de cada um em relação à segurança dos recursos computacionais que utiliza e as penalidades às quais está sujeito caso não a cumpra É considerada como um importante mecanismo de segurança tanto para as instituições como para os usuários pois com ela é possível deixar claro o comportamento esperado de cada um Desta forma casos de mau comportamento que estejam previstos na política podem ser tratados de forma adequada pelas partes envolvidas A política de segurança pode conter outras políticas especificas como Política de senhas define as regras sobre o uso de senhas nos recursos computacionais como tamanho mínimo e máximo regra de formação e periodicidade de troca Política de backup define as regras sobre a realização de cópias de segurança como tipo de mídia utilizada período de retenção e frequência de execução Política de privacidade define como são tratadas as informações pessoais sejam elas de clientes usuários ou funcionários Política de confidencialidade define como são tratadas as informações institucionais ou seja se elas podem ser repassadas a terceiros Política de Uso Aceitável PUA ou Acceptable Use Policy AUP também chamada de Termo de Uso ou Termo de Serviço define as regras de uso dos recursos computacionais os direitos e as responsabilidades de quem os utiliza e as situações que são consideradas abusivas TÓPICO 3 POLÍTICAS E REGULAMENTOS DE SEGURANÇA DA INFORMAÇÃO 287 A política de uso aceitável costuma ser disponibilizada na página Web eou ser apresentada quando a pessoa passa a ter acesso aos recursos Talvez você já tenha se deparado com estas políticas por exemplo ao ser admitido em uma empresa ao contratar um provedor de acesso e ao utilizar serviços disponibilizados por meio da Internet como redes sociais e Webmail Algumas situações que geralmente são consideradas de uso abusivo não aceitável são compartilhamento de senhas divulgação de informações confidenciais envio de boatos e mensagens contendo spam e códigos maliciosos envio de mensagens com objetivo de difamar caluniar ou ameaçar alguém cópia e distribuição não autorizadas de material protegido por direitos autorais ataques a outros computadores comprometimento de computadores ou redes O desrespeito à política de segurança ou à política de uso aceitável de uma instituição pode ser considerado como um incidente de segurança e dependendo das circunstâncias ser motivo para encerramento de contrato de trabalho de prestação de serviços etc Cuidados a serem tomados procure estar ciente da política de segurança da empresa onde você trabalha e dos serviços que você utiliza como Webmail e redes sociais fique atento às mudanças que possam ocorrer nas políticas de uso e de privacidade dos serviços que você utiliza principalmente aquelas relacionadas ao tratamento de dados pessoais para não ser surpreendido com alterações que possam comprometer a sua privacidade fique atento à política de confidencialidade da empresa onde você trabalha e seja cuidadoso ao divulgar informações profissionais principalmente em blogs e redes sociais notifique sempre que se deparar com uma atitude considerada abusiva Além da política de segurança vimo em nosso tópico 1 que o gerenciamento de incidentes é outro contexto fundamental que o gestor da segurança deve estar a par Agora iremos ver justamente a Notificação de incidentes e abusos Notificação de incidentes e abusos Um incidente de segurança pode ser definido como qualquer evento adverso confirmado ou sob suspeita relacionado à segurança de sistemas de computação ou de redes de computadores Alguns exemplos de incidentes de 288 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO segurança são tentativa de uso ou acesso não autorizado a sistemas ou dados tentativa de tornar serviços indisponíveis modificação em sistemas sem o conhecimento ou consentimento prévio dos donos e o desrespeito à política de segurança ou à política de uso aceitável de uma instituição É muito importante que você notifique sempre que se deparar com uma atitude que considere abusiva ou com um incidente de segurança De modo geral a lista de pessoasentidades a serem notificadas inclui os responsáveis pelo computador que originou a atividade os responsáveis pela rede que originou o incidente incluindo o grupo de segurança e abusos se existir um para aquela rede e o grupo de segurança e abusos da rede a qual você está conectado seja um provedor empresa universidade ou outro tipo de instituição Ao notificar um incidente além de se proteger e contribuir para a segurança global da Internet também ajudará outras pessoas a detectarem problemas como computadores infectados falhas de configuração e violações em políticas de segurança ou de uso aceitável de recursos Para encontrar os responsáveis por uma rede você deve consultar um servidor de WHOIS onde são mantidas as bases de dados sobre os responsáveis por cada bloco de números Internet Protocol IP existentes Para IPs alocados ao Brasil você pode consultar o servidor em httpregistrobrcgibinwhois para os demais países você pode acessar o site httpwwwgeektoolscomwhoisphp que aceita consultas referentes a qualquer número IP e as redireciona para os servidores apropriados É importante que você mantenha o CERTbr na cópia das suas notificações pois isto contribuirá para as atividades deste grupo e permitirá que os dados relativos a vários incidentes sejam correlacionados ataques coordenados sejam identificados e novos tipos de ataques sejam descobertos ações corretivas possam ser organizadas em cooperação com outras instituições sejam geradas estatísticas que reflitam os incidentes ocorridos na Internet brasileira sejam geradas estatísticas sobre a incidência e origem de spams no Brasil sejam escritos documentos como recomendações e manuais direcionados às necessidades dos usuários da Internet no Brasil A notificação deve incluir a maior quantidade de informações possível tais como logs completos data horário e fuso horário time zone dos logs ou da atividade que está sendo notificada o email completo incluindo cabeçalhos e conteúdo no caso de notificação de spam trojan phishing ou outras atividades maliciosas recebidas por email dados completos do incidente ou qualquer outra informação que tenha sido utilizada para identificar a atividade TÓPICO 3 POLÍTICAS E REGULAMENTOS DE SEGURANÇA DA INFORMAÇÃO 289 Os emails encontrados nestas consultas não são necessariamente da pessoa que praticou o ataque mas sim dos responsáveis pela rede à qual o computador está conectado ou seja podem ser os administradores da rede sócios da empresa ou qualquer outra pessoa que foi designada para cuidar da conexão da instituição com a Internet Os endereços de email usados pelo CERTbr para o tratamento de incidentes de segurança são certcertbr para notificações gerais e mailabusecertbr específico para reclamações de spam Outras informações e respostas para as dúvidas mais comuns referentes ao processo de notificação de incidentes podem ser encontradas na lista de questões mais frequentes também conhecido como Frequently Asked Questions FAQ mantida pelo CERTbr e disponível em httpwwwcertbrdocsfaq1html Contas e senhas Contas e senhas saio atualmente o mecanismo de autenticação mais usado para o controle de acesso a sites e serviços oferecidos pela Internet É por meio das suas contas e senhas que os sistemas conseguem saber quem você é e definir as ações que você pode realizar Dicas de elaboração alteração e gerenciamento assim como os cuidados que você deve ter ao usar suas contas e senhas são apresentados no Capítulo Contas e senhas que se encontra disponível em httpscartilhacertbrlivro Criptografia Usando criptografia você pode proteger seus dados contra acessos indevidos tanto os que trafegam pela Internet como os já gravados em seu computador Detalhes sobre como a criptografia pode contribuir para manter a segurança dos seus dados e os conceitos de certificados e assinaturas digitais são apresentados no Capítulo Criptografia Detalhes sobre como a criptografia pode ser usada para garantir a conexão segura aos sites na Internet são apresentados na Seção 101 do Capitulo Uso seguro da Internet que se encontra disponível em httpscartilhacertbrlivro Cópias de segurança backups Você já imaginou o que aconteceria se de uma hora para outra perdesse alguns ou até mesmo todos os dados armazenados em seu computador E se fossem todas as suas fotos ou os dados armazenados em seus dispositivos móveis E se ao enviar seu computador para manutenção você o recebesse de volta com 290 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO o disco rígido formatado Para evitar que estas situações aconteçam é necessário que você aja de forma preventiva e realize cópias de segurança backups Muitas pessoas infelizmente só percebem a importância de ter backups quando já é tarde demais ou seja quando os dados já foram perdidos e não se pode fazer mais nada para recuperálos Backups são extremamente importantes pois permitem Proteção de dados você pode preservar seus dados para que sejam recuperados em situações como falha de disco rígido atualização malsucedida do sistema operacional exclusão ou substituição acidental de arquivos ação de códigos maliciososatacantes e furtoperda de dispositivos Recuperação de versões você pode recuperar uma versão antiga de um arquivo alterado como uma parte excluída de um texto editado ou a imagem original de uma foto manipulada Arquivamento você pode copiar ou mover dados que deseja ou que precisa guardar mas que não são necessários no seu dia a dia e que raramente são alterados Muitos sistemas operacionais já possuem ferramentas de backup e recuperação integradas e também há a opção de instalar programas externos Na maioria dos casos ao usar estas ferramentas basta que você tome algumas decisões como Onde gravar os backups você pode usar mídias como CD DVD pen drive disco de Bluray e disco rígido interno ou externo ou armazenálos remotamente online ou offsite A escolha depende do programa de backup que está sendo usado e de questões como capacidade de armazenamento custo e confiabilidade Um CD DVD ou Bluray pode bastar para pequenas quantidades de dados um pen drive pode ser indicado para dados constantemente modificados ao passo que um disco rígido pode ser usado para grandes volumes que devam perdurar Quais arquivos copiar apenas arquivos confiáveis e que tenham importância para você devem ser copiados Arquivos de programas que podem ser reinstalados geralmente não precisam ser copiados Fazer cópia de arquivos desnecessários pode ocupar espaço inutilmente e dificultar a localização dos demais dados Muitos programas de backup já possuem listas de arquivos e diretórios recomendados você pode optar por aceitálas ou criar suas próprias listas Com que periodicidade devo realizálos depende da frequência com que você cria ou modifica arquivos Arquivos frequentemente modificados podem ser copiados diariamente ao passo que aqueles pouco alterados podem ser copiados semanalmente ou mensalmente Arquivos que possam conter códigos maliciosos ou ter sido modificados substituídos por invasores não devem ser copiados TÓPICO 3 POLÍTICAS E REGULAMENTOS DE SEGURANÇA DA INFORMAÇÃO 291 Cuidados a serem tomados mantenha seus backups atualizados de acordo com a frequência de alteração dos dados mantenha seus backups em locais seguros bem condicionados longe de poeira muito calor ou umidade e com acesso restrito apenas de pessoas autorizadas configure para que seus backups sejam realizados automaticamente e certifiquese de que eles estejam realmente sendo feitos backups manuais estão mais propensos a erros e esquecimento além dos backups periódicos sempre faça backups antes de efetuar grandes alterações no sistema adição de hardware atualização do sistema operacional etc e de enviar o computador para manutenção armazene dados sensíveis em formato criptografado mantenha backups redundantes ou seja várias cópias para evitar perder seus dados em um incêndio inundação furto ou pelo uso de mídias defeituosas você pode escolher pelo menos duas das seguintes possibilidades sua casa seu escritório e um repositório remoto cuidado com mídias obsoletas disquetes já foram muito usados para backups porém atualmente acessálos têmse se tornado cada vez mais complicado pela dificuldade em encontrar computadores com leitores deste tipo de mídia e pela degradação natural do material assegurese de conseguir recuperar seus backups a realização de testes periódicos pode evitar a péssima surpresa de descobrir que os dados estão corrompidos em formato obsoleto ou que você não possui mais o programa de recuperação mantenha seus backups organizados e identificados você pode etiquetálos ou nomeálos com informações que facilitem a localização como tipo do dado armazenado e data de gravação copie dados que você considere importantes e evite aqueles que podem ser obtidos de fontes externas confiáveis como os referentes ao sistema operacional ou aos programas instalados nunca recupere um backup se desconfiar que ele contém dados não confiáveis Ao utilizar serviços de backup online há alguns cuidados adicionais que você deve tomar como observe a disponibilidade do serviço e procure escolher um com poucas interrupções alta disponibilidade observe o tempo estimado de transmissão de dados tanto para realização do backup quanto para recuperação dos dados Dependendo da banda disponível e da quantidade de dados a ser copiada ou recuperada o backup online pode se tornar impraticável seja seletivo ao escolher o serviço Observe critérios como suporte tempo 292 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO no mercado há quanto tempo o serviço é oferecido a opinião dos demais usuários e outras referências que você possa ter leve em consideração o tempo que seus arquivos são mantidos o espaço de armazenagem e a política de privacidade e de segurança procure aqueles nos quais seus dados trafeguem pela rede de forma criptografada caso não haja esta possibilidade procure você mesmo criptografar os dados antes de enviálos Registros de eventos Log é o registro de atividade gerado por programas e serviços de um computador Ele pode ficar armazenado em arquivos na memória do computador ou em bases de dados Agora veja o UNI que preparamos para você referente ao Log Log é um termo técnico que se refere ao registro de atividades de diversos tipos como por exemplo de conexão informações sobre a conexão de um computador à Internet e de acesso a aplicações informações de acesso de um computador a uma aplicação de Internet Neste tópico este termo é usado para se referir ao registro das atividades que ocorrem no computador do usuário A partir da análise desta informação você pode ser capaz de detectar o uso indevido do seu computador como um usuário tentando acessar arquivos de outros usuários ou alterar arquivos do sistema detectar um ataque como de força bruta ou a exploração de alguma vulnerabilidade rastrear auditar as ações executadas por um usuário no seu computador como programas utilizados comandos executados e tempo de uso do sistema detectar problemas de hardware ou nos programas e serviços instalados no computador Baseado nisto você pode tomar medidas preventivas para tentar evitar que um problema maior ocorra ou caso não seja possível tentar reduzir os danos Alguns exemplos são se o disco rígido do seu computador estiver apresentando mensagens de erro você pode se antecipar fazer backup dos dados nele contidos e no momento oportuno enviálo para manutenção se um atacante estiver tentando explorar uma vulnerabilidade em seu computador você pode verificar se as medidas preventivas já foram aplicadas e tentar evitar que o ataque ocorra se não for possível evitar um ataque os logs podem permitir que as ações executadas pelo atacante sejam rastreadas como arquivos alterados e as informações acessadas TÓPICO 3 POLÍTICAS E REGULAMENTOS DE SEGURANÇA DA INFORMAÇÃO 293 Logs são essenciais para notificação de incidentes pois permitem que diversas informações importantes sejam detectadas como por exemplo a data e o horário em que uma determinada atividade ocorreu o fuso horário do log o endereço IP de origem da atividade as portas envolvidas e o protocolo utilizado no ataque Transmission Control Protocol TCP User Datagram Protocol UDP Internet Control Message Protocol ICMP etc os dados completos que foram enviados para o computador ou rede e o resultado da atividade se ela ocorreu com sucesso ou não Cuidados a serem tomados mantenha o seu computador com o horário correto o horário em que o log é registrado é usado na correlação de incidentes de segurança e por este motivo deve estar sincronizado verifique o espaço em disco livre em seu computador logs podem ocupar bastante espaço em disco dependendo das configurações feitas evite registrar dados desnecessários pois isto além de poder ocupar espaço excessivo no disco também podem degradar o desempenho do computador comprometer a execução de tarefas básicas e dificultar a localização de informações de interesse fique atento e desconfie caso perceba que os logs do seu computador foram apagados ou que deixaram de ser gerados por um período muitos atacantes na tentativa de esconder as ações executadas desabilitam os serviços de logs e apagam os registros relacionados ao ataque ou até mesmo os próprios arquivos de logs restrinja o acesso aos arquivos de logs Não é necessário que todos os usuários tenham acesso às informações contidas nos logs Por isto sempre que possível permita que apenas o usuário administrador tenha acesso a estes dados Ferramentas antimalware Ferramentas antimalware são aquelas que procuram detectar e então anular ou remover os códigos maliciosos de um computador Antivírus antispyware antirootkit e antitrojan são exemplos de ferramentas deste tipo Ainda que existam ferramentas específicas para os diferentes tipos de códigos maliciosos muitas vezes é difícil delimitar a área de atuação de cada uma delas pois a definição do tipo de código malicioso depende de cada fabricante e muitos códigos mesclam as características dos demais tipos Entre as diferentes ferramentas existentes a que engloba a maior quantidade de funcionalidades é o antivírus Apesar de inicialmente eles terem sido criados para atuar especificamente sobre vírus com o passar do tempo passaram também a englobar as funcionalidades dos demais programas fazendo com que alguns deles caíssem em desuso Há diversos tipos de programas antimalware que diferem entre si das seguintes formas 294 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO Método de detecção assinatura uma lista de assinaturas é usada à procura de padrões heurística baseiase nas estruturas instruções e características que o código malicioso possui e comportamento baseiase no comportamento apresentado pelo código malicioso quando executado são alguns dos métodos mais comuns Forma de obtenção podem ser gratuitos quando livremente obtidos na Internet e usados por prazo indeterminado experimentais trial usados livremente por um prazo predeterminado e pagos exigem que uma licença seja adquirida Um mesmo fabricante pode disponibilizar mais de um tipo de programa sendo que a versão gratuita costuma possuir funcionalidades básicas ao passo que a versão paga possui funcionalidades extras além de poder contar com suporte Execução podem ser localmente instalados no computador ou executados sob demanda por intermédio do navegador Web Também podem ser online quando enviados para serem executados em servidores remotos por um ou mais programas Funcionalidades apresentadas além das funções básicas detectar anular e remover códigos maliciosos também podem apresentar outras funcionalidades integradas como a possibilidade de geração de discos de emergência e firewall pessoal Alguns exemplos de antimalware online são Anubis Analyzing Unknown Binaries httpanubisiseclaborg Norman Sandbox SandBox Information Center httpwwwnormancom securitycentersecuritytools ThreatExpert Automated Threat Analysis httpwwwthreatexpertcom VirusTotal Free online Virus Malware and URL Scanner httpswww virustotalcom Para escolher o antimalware que melhor se adapta à sua necessidade é importante levar em conta o uso que você faz e as características de cada versão Observe que não há relação entre o custo e a eficiência de um programa pois há versões gratuitas que apresentam mais funcionalidades que versões pagas de outros fabricantes Alguns sites apresentam comparativos entre os programas de diferentes fabricantes que podem guiálo na escolha do qual melhor lhe atende tais como AVComparatives Independent Tests of AntiVirus Software httpwwwav comparativesorg Virus Bulletin Independent Malware Advice httpwwwvirusbtncom Cuidados a serem tomados tenha um antimalware instalado em seu computador programas online apesar de bastante úteis exigem que seu computador esteja conectado à Internet para que funcionem corretamente e podem conter funcionalidades reduzidas TÓPICO 3 POLÍTICAS E REGULAMENTOS DE SEGURANÇA DA INFORMAÇÃO 295 utilize programas online quando suspeitar que o antimalware local esteja desabilitado comprometido ou quando necessitar de uma segunda opinião quiser confirmar o estado de um arquivo que já foi verificado pelo antimalware local configure o antimalware para verificar toda e qualquer extensão de arquivo configure o antimalware para verificar automaticamente arquivos anexados aos emails e obtidos pela Internet configure o antimalware para verificar automaticamente os discos rígidos e as unidades removíveis como pen drive CDs DVDs e discos externos mantenha o arquivo de assinaturas sempre atualizado configure o antimalware para atualizálo automaticamente pela rede de preferência diariamente mantenha o antimalware sempre atualizado com a versão mais recente e com todas as atualizações existentes aplicadas evite executar simultaneamente diferentes programas antimalware eles podem entrar em conflito afetar o desempenho do computador e interferir na capacidade de detecção um do outro crie um disco de emergência e o utilizeo quando desconfiar que o antimalware instalado está desabilitadocomprometido ou que o comportamento do computador está estranho mais lento gravando ou lendo o disco rígido com muita frequência etc Firewall pessoal Firewall pessoal é um tipo específico de firewall que é utilizado para proteger um computador contra acessos não autorizados vindos da Internet Os programas antimalware apesar da grande quantidade de funcionalidades não são capazes de impedir que um atacante tente explorar via rede alguma vulnerabilidade existente em seu computador e nem de evitar o acesso não autorizado caso haja algum backdoor nele instalado Devido a isto além da instalação do antimalware é necessário que você utilize um firewall pessoal Quando bem configurado o firewall pessoal pode ser capaz de registrar as tentativas de acesso aos serviços habilitados no seu computador bloquear o envio para terceiros de informações coletadas por invasores e códigos maliciosos bloquear as tentativas de invasão e de exploração de vulnerabilidades do seu computador e possibilitar a identificação das origens destas tentativas analisar continuamente o conteúdo das conexões filtrando diversos tipos de códigos maliciosos e barrando a comunicação entre um invasor e um código malicioso já instalado evitar que um código malicioso já instalado seja capaz de se propagar impedindo que vulnerabilidades em outros computadores sejam exploradas Alguns sistemas operacionais possuem firewall pessoal integrado Caso o sistema instalado em seu computador não possua um ou você não queira usálo há diversas opções disponíveis pagas ou gratuitas Você também pode optar por um antimalware com funcionalidades de firewall pessoal integradas 296 UNIDADE 3 VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO Cuidados a serem tomados antes de obter um firewall pessoal verifique a procedência e certifiquese de que o fabricante é confiável certifiquese de que o firewall instalado esteja ativo estado ativado configure seu firewall para registrar a maior quantidade de informações possíveis desta forma é possível detectar tentativas de invasão ou rastrear as conexões de um invasor As configurações do firewall dependem de cada fabricante De forma geral a mais indicada é liberar todo tráfego de saída do seu computador ou seja permitir que seu computador acesse outros computadores e serviços e bloquear todo tráfego de entrada ao seu computador ou seja impedir que seu computador seja acessado por outros computadores e serviços e liberar as conexões conforme necessário de acordo com os programas usados Filtro antispam Os filtros antispam já vem integrado à maioria dos Webmails e programas leitores de emails e permite separar os emails desejados dos indesejados spams A maioria dos filtros passa por um período inicial de treinamento no qual o usuário seleciona manualmente as mensagens consideradas spam e com base nas classificações o filtro vai aprendendo a distinguir as mensagens Outros mecanismos Filtro antiphishing já vem integrado à maioria dos navegadores Web e serve para alertar os usuários quando uma página suspeita de ser falsa é acessada O usuário pode então decidir se quer acessála mesmo assim ou navegar para outra página Filtro de janelas de popup já vem integrado à maioria dos navegadores Web e permite que você controle a exibição de janelas de popup Você pode optar por bloquear liberar totalmente ou permitir apenas para sites específicos Filtro de códigos móveis filtros como o NoScript permitem que você controle a execução de códigos Java e JavaScript Você pode decidir quando permitir a execução destes códigos e se eles serão executados temporariamente ou permanentemente httpnoscriptnet Filtro de bloqueio de propagandas filtros como o Adblock permitem o bloqueio de sites conhecidos por apresentarem propagandas httpadblockplusorg Teste de reputação de site complementos como o Web of Trust WoB permitem determinar a reputação dos sites que você acessa Por meio de um esquema de cores ele indica a reputação do site como verde escuro excelente verde claro boa amarelo insatisfatória vermelho claro ruim e vermelho escuro péssima httpwwwmywotcom TÓPICO 3 POLÍTICAS E REGULAMENTOS DE SEGURANÇA DA INFORMAÇÃO 297 Programa para verificação de vulnerabilidades programas como o Secunia Personal software Inspector PSI permitem verificar vulnerabilidades nos programas instalados em seu computador e determinar quais devem ser atualizados httpsecuniacomvulnerabilityscanningpersonal Sites e complementos para expansão de links curtos complementos ou sites específicos como o LongURL permitem verificar qual é o link de destino de um link curto Desta forma você pode verificar a URL de destino sem que para isto necessite acessar o link curto httplongurlorg Anonymizer sites para navegação anônima conhecidos como anonymizers intermediam o envio e recebimento de informações entre o seu navegador Web e o site que você deseja visitar Desta forma o seu navegador não recebe cookies e as informações por ele fornecidas não são repassadas para o site visitado httpwwwanonymizercom FONTE CERTbr Cartilha de segurança para Internet versão 40 São Paulo Comitê Gestor da Internet no Brasil 2012 p 4758 Disponível em httpscartilhacertbrlivrocartilhasegurancain ternetpdf Acesso em 5 jun 2020 299 RESUMO DO TÓPICO 3 Neste tópico você aprendeu que Um dos contextos fundamentais da gestão da segurança da informação é a Política de Segurança da Informação e Comunicação PoSIC que também é conhecido como Política de Segurança da Informação PSI A PSI é o principal documento da maior parte das organizações A PSI contém desde a política procedimentos até orientações que visam um determinado aspecto de segurança da informação e que fornecem expectativas detalhadas Esses documentos são uma parte importante do Sistema de Gerenciamento da Segurança da Informação HINTZBERGEN et al 2018 p 103 também conhecido como Information Security Management System ISMS Domínio é um grupo de assuntos que estão logicamente conectados uns aos outros Os domínios formam a base para a estrutura do SGSI Esses domínios algumas vezes possuem seus próprios documentos de política procedimentos e instruções de trabalho HINTZBERGEN et al 2018 p 104 É comum um documento de políticas ter uma estrutura hierárquica Vários documentos de política são desenvolvidos tendo como base uma política de segurança corporativa de alto nível HINTZBERGEN et al 2018 p 147 estando sempre de acordo com a política corporativa e fornece diretrizes mais detalhadas para uma determinada política Um regulamento é mais detalhado que um documento de política HINTZBERGEN et al 2018 p 147 Regulamentos são normalmente considerados obrigatórios e a sua não observância pode levar a procedimentos disciplinares HINTZBERGEN et al 2018 p 147 Procedimentos descrevem em detalhes como medidas particulares devem ser conduzidas e podem por vezes incluir instruções de trabalho por exemplo uma política de mesa limpa HINTZBERGEN et al 2018 p 147 Diretrizes como o termo sugere fornecem orientações Elas descrevem quais aspectos têm de ser examinados em função de determinados pontos de vista de segurança Diretrizes não são obrigatórias mas são de caráter consultivo HINTZBERGEN et al 2018 p 147 As normas podem compreender a configuração padrão de certas plataformas HINTZBERGEN et al 2018 p 147 Uma entidade pode ser uma pessoa uma organização ou um programa de computador 300 A PSI define os direitos e as responsabilidades de cada um em relação à segurança dos recursos computacionais que utiliza e as penalidades às quais está sujeito caso não a cumpra A política de senhas define as regras sobre o uso de senhas nos recursos computacionais como tamanho mínimo e máximo regra de formação e periodicidade de troca A política de backup define as regras sobre a realização de cópias de segurança como tipo de mídia utilizada período de retenção e frequência de execução A política de privacidade define como são tratadas as informações pessoais sejam elas de clientes usuários ou colaboradores A política de confidencialidade define como são tratadas as informações institucionais ou seja se elas podem ser repassadas a terceiros A Política de Uso Aceitável PUA ou Acceptable Use Policy AUP também chamada de Termo de Uso ou Termo de Serviço define as regras de uso dos recursos computacionais os direitos e as responsabilidades de quem os utiliza e as situações que são consideradas abusivas A política de uso aceitável costuma ser disponibilizada na página Web eou ser apresentada quando a pessoa passa a ter acesso aos recursos O desrespeito à política de segurança ou à política de uso aceitável de uma instituição pode ser considerado como um incidente de segurança e dependendo das circunstâncias ser motivo para encerramento de contrato de trabalho de prestação de serviços etc Um incidente de segurança pode ser definido como qualquer evento adverso confirmado ou sob suspeita relacionado à segurança de sistemas de computação ou de redes de computadores Backups são extremamente importantes Log é o registro de atividade gerado por programas e serviços de um computador Ele pode ficar armazenado em arquivos na memória do computador ou em bases de dados Log é um termo técnico que se refere ao registro de atividades de diversos tipos por exemplo de conexão informações sobre a conexão de um computador à Internet e de acesso a aplicações informações de acesso de um computador a uma aplicação de Internet Ferramentas antimalware são aquelas que procuram detectar e então anular ou remover os códigos maliciosos de um computador Para escolher o antimalware que melhor se adapta à sua necessidade é importante levar em conta o uso que você faz e as características de cada versão 301 Firewall pessoal é um tipo específico de firewall que é utilizado para proteger um computador contra acessos não autorizados vindos da Internet Os filtros antispam já vêm integrados à maioria dos Webmails e programas leitores de emails e permite separar os emails desejados dos indesejados spams Ficou alguma dúvida Construímos uma trilha de aprendizagem pensando em facilitar sua compreensão Acesse o QR Code que levará ao AVA e veja as novidades que preparamos para seu estudo CHAMADA 302 1 O documento de política possui uma estrutura hierárquica composta por vários documentos de políticas que são desenvolvidos tendo como base uma política de segurança corporativa de alto nível Estas políticas sempre devem estar em conformidade com a política corporativa fornecendo diretrizes mais detalhadas para uma determinada política Além das políticas o documento é composto por regulamento procedimentos diretrizes e normas Qual destes documentos fornecem orientações descrevendo aspectos que têm de ser examinados em função de determinados pontos de vista de segurança a Diretrizes b Normas c Regulamentos d Procedimentos 2 Um programa de segurança da informação precisará de mais regulamentos Para cada dimensão ou aspecto da proteção deve existir um conjunto de regulamentos com seus níveis de detalhamento política norma diretrizes ou procedimentos Qual destes documentos descrevem em detalhes como medidas particulares devem ser conduzidas e podem por vezes incluir instruções de trabalho como por exemplo uma política de mesa limpa a Diretrizes b Normas c Regulamentos d Procedimentos 3 A política de segurança define os direitos e as responsabilidades de cada um em relação à segurança dos recursos computacionais que utiliza e as penalidades às quais está sujeito caso não as cumpra É considerada como um importante mecanismo de segurança tanto para as instituições como para os usuários pois com ela é possível deixar claro o comportamento esperado de cada um A política de segurança pode conter outras políticas específicas como uma política que define regras sobre o uso de senhas nos recursos computacionais como tamanho mínimo e máximo regra de formação e periodicidade de troca Qual é essa política a Confidencialidade b Backup c Privacidade d De senhas AUTOATIVIDADE 303 4 Muitas pessoas só percebem a importância de ter backups quando já é tarde demais ou seja quando os dados já foram perdidos e não se pode fazer mais nada para recuperálos Backups são extremamente importantes permitindo preservar seus dados para que sejam recuperados em situações como falha de disco rígido atualização malsucedida do sistema operacional exclusão ou substituição acidental de arquivos ação de códigos maliciososatacantes e furtoperda de dispositivos A qual tipo de backup estamos falando a Proteção de dados b Recuperação de versões c Arquivamento d Exclusão 5 Ferramentas antimalware são aquelas que procuram detectar e então anular ou remover os códigos maliciosos de um computador Antivírus antispyware antirootkit e antitrojan são exemplos de ferramentas deste tipo Ainda que existam ferramentas específicas para os diferentes tipos de códigos maliciosos muitas vezes é difícil delimitar a área de atuação de cada uma delas pois a definição do tipo de código malicioso depende de cada fabricante e muitos códigos mesclam as características dos demais tipos Por exemplo ao falarmos de programas antimalware existem diversos tipos de que diferem entre si Qual tipo de programa antimalware pode ser localmente instalado no computador ou executado sob demanda por intermédio do navegador Web assim como pode ser online quando enviados para serem executados em servidores remotos por um ou mais programas a Execução b Método de detecção c Forma de obtenção d Funcionalidades apresentadas 304 REFERÊNCIAS ABNT NBR ISOIEC 27001 Tecnologia da informação Técnicas de Segurança Sistemas de gestão de segurança da informação Requisitos Rio de Janeiro Associação Brasileira de Normas Técnicas 2013 ABNT NBR ISOIEC 27002 Tecnologia da informação Técnicas de segurança Código de prática para controles de segurança da informação Rio de Janeiro Associação Brasileira de Normas Técnicas 2013 ALERTA SECURITY Afinal o que é plano de conscientização em segurança da informação Alerta Security São Paulo ago 2019 Disponível em httpswww alertasecuritycombrafinaloqueeplanodeconscientizacaoemseguranca dainformacao Acesso em 10 mar 2020 BARROS E N ESTRELA L de S Organização da segurança da informação In LYRA M R org Governança da Segurança da Informação Brasília Edição do Autor 2015 p 2735 Disponível em httpdocplayercombr18984127Go vernancadasegurancadainformacaohtml Acesso em 30 mar 2020 BASTOS A CAUBIT R Gestão de segurança da informação ISO 27001 e 27002 uma visão prática Porto Alegre Zouk 2009 BRASIL Guia básico de orientações ao gestor em segurança da informação e co municações versão 20 Brasília Presidência da República 2016 p 92 Disponível em httpdsicplanaltogovbrlegislacaoguiagestorpdf Acesso em 5 abr 2020 BRECHT D The components of top security awareness programs updated 2019 Security Awareness sl 2019 Disponível em httpsresourcesinfosecinstitute comcomponentstopsecurityawarenessprogramsgref Acesso em 5 abr 2020 CERTbr Cartilha de segurança para Internet versão 40 São Paulo Comitê Gestor da Internet no Brasil 2012 Disponível em httpscartilhacertbrlivro cartilhasegurancaInternetpdf Acesso em 5 jun 2020 COELHO F E S ARAÚJO L G S de BEZERRA E K Gestão da segurança da informação NBR 27001 e NBR 27002 Rio de Janeiro Rede Nacional de Ensi no e Pesquisa RNPESR 2014 DANTAS M L Segurança da informação uma abordagem focada em gestão de riscos Olinda Livro Rápido 2011 FONTES E Praticando a segurança da informação São Paulo Brasport 2008 HINTZBERGEN J et al Fundamentos de segurança da informação com base na ISO 27001 e na ISO 27002 São Paulo Brasport 2018 305 HSC BRASIL Por que ter um plano de conscientização em segurança da infor mação HSC Brasil Porto Alegre out 2018 Disponível em httpswwwhs cbrasilcombrplanodeconscientizacaoemsegurancadainformacao Acesso em 10 mar 2020 IMAN F Top 10 security awareness training topics for your employees upda ted 2020 Security Awareness sl 2020 Disponível em httpsresourcesinfo secinstitutecomtop10securityawarenesstrainingtopicsforyouremployees Acesso em 5 abr 2020 ISACA Major differences with Cobit5 Schaumburg Isaca 2018a Disponível em httpswwwisacaorgmediafilesisacadpprojectisacaresourcescobit 2019toolkitv127zlaenhash8E54167154AF1E8E34E13B61400A0056438E C1B9 Acesso em 12 abr 2020 ISACA Introducing Cobit 2019 executive summary Schaumburg Isaca 2018b Disponível em httpswwwisacaorgmediafilesisacadpprojectisacaresour cescobit2019toolkitv127zlaenhash8E54167154AF1E8E34E13B61400A 0056438EC1B9 Acesso em 12 abr 2020 ISACA Introducing Cobit 2019 overview Schaumburg Isaca 2018c Disponí vel em httpswwwisacaorgmediafilesisacadpprojectisacaresourcescobi t2019toolkitv127zlaenhash8E54167154AF1E8E34E13B61400A0056438E C1B9 Acesso em 12 abr 2020 ISACA Cobit 5 Modelo Corporativo para Governança e Gestão de TI da Or ganização Schaumburg Isaca 2012 Disponível em httpstitjrrjusbrarqpdf governancaguiasCOBIT5resPor0914pdf Acesso em 12 abr 2020 KASPERSKY LAB The human factor in it security how employees are making businesses vulnerable from within Kaspersky daily Moscow RUS c2020 Dis ponível em httpswwwkasperskycomblogthehumanfactorinitsecurity Acesso em 5 abr 2020 KOSUTIC D Visão geral do Anexo A da ISO 270012013 In 27001 Academy New York Advisera Books c2020 Disponível em httpsadviseracom27001a cademyptbrknowledgebasevisaogeraldoanexoadaiso270012013 Acesso em 31 mar 2020 LYRA M R Checking the maturity of security policies for information and communication ISACA Journal Schaumburg IL v 2 mar 2015a Disponível em httpswwwisacaorgresourcesisacajournalissues2015volume2che ckingthematurityofsecuritypoliciesforinformationandcommunication Acesso em 30 mar 2020 LYRA M R org Governança da segurança da informação Brasília Edição do Autor 2015b 160p Disponível em httpdocplayercombr18984127Gover nancadasegurancadainformacaohtml Acesso em 30 mar 2020 306 LYRA M R Segurança e auditoria em sistemas de informação Rio de Janeiro Ciência Moderna 2008 MACHADO JÚNIOR D M Segurança da informação uma abordagem sobre proteção da privacidade em Internet das coisas 2018 159f Tese Doutorado em Tecnologia da Inteligência e Design Digital Pontifícia Universidade Católica de São Paulo São Paulo 2018 Disponível em httpstede2pucspbrhandle handle21366 Acesso em 30 mar 2020 MARKS N Is there an ROI for investing in information security CMS Wire São Francisco CA 18 jul 2018 Disponível em httpswwwcmswirecomin formationmanagementisthereanroiforinvestingininformationsecurity Acesso em 21 abr 2020 MELO K CISO Chief Information Security Officer Minuto da Segurança sl 6 jul 2018 Disponível em httpsminutodasegurancablogbrcisochiefin formationsecurityofficer Acesso em 23 abr 2020 OLIVEIRA M S et al Aplicação das normas ABNT NBR ISOIEC 27001 e ABNT NBR ISOIEC 27002 em uma média empresa Revista Eletrônica de Sistemas de Informação e de Gestão Tecnológica Franca v 6 n 2 p 3749 2015 Disponível em httpperiodicosunifacefcombrindexphpresigetarticle view1065848 Acesso em 30 mar 2020 PIVOT POINT SECURITY Protect your business invest in your people Pivot Point Security Hamilton Square NJ c2020 Disponível em httpswwwpivo tpointsecuritycomsecurityawarenesstraining Acesso em 4 abr 2020 RABELO JÚNIOR M R VIEIRA S C da C Aspectos humanos da segurança da informação In LYRA M R org Governança da Segurança da Informação Brasília Edição do Autor 2015 p 4758 Disponível em httpdocplayercombr 18984127Governancadasegurancadainformacaohtml Acesso em 30 mar 2020 RIBEIRO H R S Governança da segurança da informação In LYRA M R org Governança da Segurança da Informação Brasília Edição do Autor 2015 p 5965 Disponível em httpdocplayercombr18984127Governancada segurancadainformacaohtml Acesso em 30 mar 2020 ROCHA Y S LIMA E A de Aplicabilidade da Norma ABNT NBR ISO IEC 27002 em uma Empresa de Médio Porte In ESCOLA REGIONAL DE INFORMÁTICA DE GOIÁS 6 2018 Goiânia Anais Goiânia UFGO 2018 p 287296 Disponível em httpssolsbcorgbrindexphperigoarticle view71467035 Acesso em 30 mar 2020 SCHNEIDER C A Classificação dos ativos da informação In LYRA M R org Governança da Segurança da Informação Brasília Edição do Autor 2015 p 3745 Disponível em httpdocplayercombr18984127Governancada segurancadainformacaohtml Acesso em 30 mar 2020 307 SEC AWARE ISOIEC 270012013 Information technology Security tech niques Information security management systems Requirements 2 ed Hastings NZ IsecT Limited 2020a Disponível em httpswwwiso27001securi tycomhtml27001html Acesso em 30 mar 2020 SEC AWARE ISOIEC 270022013 Information technology Security techni ques Code of practice for information security controls 2 ed 2020b Disponível em httpswwwiso27001securitycomhtml27002html Acesso em 30 mar 2020 SEC AWARE ISOIEC 27000 Information technology Security techni ques Information security management systems Overview and vocabu lary 2018 Disponível em httpswwwiso27001securitycomhtml27000html Acesso em 30 mar 2020 SECURITY AWARENESS PROGRAM SPECIAL INTEREST GROUP Information supplement best practices for implementing a security awareness program PCI Security Standards Council sl v 1 p 124 out 2014 Disponível em https wwwpcisecuritystandardsorgdocumentsPCIDSSV10BestPracticesforIm plementingSecurityAwarenessProgrampdf Acesso em 30 mar 2020 SÊMOLA M Gestão da segurança da informação uma visão executiva Rio de Janeiro Elsevier 2014 SONNENREICH W et al Return on Security Investment ROSI a practical quantitative model Journal of Research and practice in Information Technolo gy sl v 38 n 1 p 45 2006 SOUZA E V PINHO M de O Gestão da Segurança da Informação segundo o COBIT 5 In LYRA M R org Governança da Segurança da Informação Bra sília Edição do Autor 2015 p 7794 Disponível em httpdocplayercombr 18984127Governancadasegurancadainformacaohtml Acesso em 30 mar 2020 TORRES F C Conceitos e Princípios da Segurança da Informação In LYRA M R org Governança da Segurança da Informação Brasília Edição do Autor 2015 p 919 Disponível em httpdocplayercombr18984127Governancada segurancadainformacaohtml Acesso em 30 mar 2020 WILSON M HASH J Building an information technology security awareness and training program NIST Special publication v 800 n 50 p 170 2003 Disponível em httpstsappsnistgovpublicationgetpdfcfmpubid151287 Acesso em 30 mar 2020 WINZER G Reading for executives cybersecurity ROI how to maximize Linkedin sl 5 nov 2018 Disponível em httpswwwlinkedincompulsere adingexecutivescybersecurityroihowmaximisegerganakiryakovatrkpor tfolioarticlecardtitle Acesso em 21 abr 2020