Política de Segurança e Inventário de Ativos de Informação

Indaial 2020 Política de Segurança e inventário e ativoS de informação Profª Neli Miglioli Sabadin 1a Edição Copyright UNIASSELVI 2020 Elaboração Profª Neli Miglioli Sabadin Revisão Diagramação e Produção Centro Universitário Leonardo da Vinci UNIASSELVI Ficha catalográfica elaborada na fonte pela Biblioteca Dante Alighieri UNIASSELVI Indaial Impresso por S113p Sabadin Neli Miglioli Política de segurança e inventário e ativos de informação Neli Miglioli Sabadin Indaial UNIASSELVI 2020 174 p il ISBN 9786556630717 1 Segurança da informação Brasil Centro Universitário Leonardo Da Vinci CDD 004 aPreSentação Caro acadêmico estamos iniciando o estudo da disciplina Política de Segurança e Inventário e Ativos de Informação Esta disciplina objetiva reconhecer os conceitos básicos de segurança da informação além de apresentar as políticas para manter as informações íntegras e seguras Por fim conheceremos como se caracterizam os ativos de informação Nesse contexto o Livro Didático Política de Segurança e Inventário e Ativos de Informação está dividido em três unidades Unidade 1 Conceitos de Segurança da Informação Unidade 2 Política de Segurança e Inventário e Unidade 3 Inventário e Ativos de Informação Aproveitamos a oportunidade para destacar a importância de desenvolver as autoatividades lembrando que estas não são opcionais Elas objetivam a fixação dos conceitos apresentados Em caso de dúvida na realização sugerimos que você entre em contato com o seu tutor externo ou com a tutoria da UNIASSELVI não prosseguindo sem ter sanado todas as dúvidas Bom estudo Sucesso na sua trajetória acadêmica e profissional Neli Miglioli Sabadin Você já me conhece das outras disciplinas Não É calouro Enfim tanto para você que está chegando agora à UNIASSELVI quanto para você que já é veterano há novi dades em nosso material Na Educação a Distância o livro impresso entregue a todos os acadêmicos desde 2005 é o material base da disciplina A partir de 2017 nossos livros estão de visual novo com um formato mais prático que cabe na bolsa e facilita a leitura O conteúdo continua na íntegra mas a estrutura interna foi aperfeiçoada com nova diagra mação no texto aproveitando ao máximo o espaço da página o que também contribui para diminuir a extração de árvores para produção de folhas de papel por exemplo Assim a UNIASSELVI preocupandose com o impacto de nossas ações sobre o ambiente apresenta também este livro no formato digital Assim você acadêmico tem a possibilida de de estudálo com versatilidade nas telas do celular tablet ou computador Eu mesmo UNI ganhei um novo layout você me verá frequentemente e surgirei para apresentar dicas de vídeos e outras fontes de conhecimento que complementam o assun to em questão Todos esses ajustes foram pensados a partir de relatos que recebemos nas pesquisas institucionais sobre os materiais impressos para que você nossa maior prioridade possa continuar seus estudos com um material de qualidade Aproveito o momento para convidálo para um batepapo sobre o Exame Nacional de Desempenho de Estudantes ENADE Bons estudos NOTA Olá acadêmico Você já ouviu falar sobre o ENADE Se ainda não ouviu falar nada sobre o ENADE agora você receberá algumas informações sobre o tema Ouviu falar Ótimo este informativo reforçará o que você já sabe e poderá te trazer novidades Vamos lá Qual é o significado da expressão ENADE EXAME NACIONAL DE DESEMPENHO DOS ESTUDANTES Em algum momento de sua vida acadêmica você precisará fazer a prova ENADE Que prova é essa É obrigatória organizada pelo INEP Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira Que determina que esta prova é obrigatória O MEC Ministério da Educação O objetivo do MEC com esta prova é de avaliar seu desempenho acadêmico assim como a qualidade do seu curso Fique atento Quem não participa da prova fica impedido de se formar e não pode retirar o diploma de conclusão do curso até regularizar sua situação junto ao MEC Não se preocupe porque a partir de hoje nós estaremos auxiliando você nesta caminhada Você receberá outros informativos como este complementando as orientações e esclarecendo suas dúvidas Você tem uma trilha de aprendizado do ENADE receberá emails SMS seu tutor e os profissionais do polo também estarão orientados Participar de webconferências entre outras tantas atividades para que esteja preparado para mandar bem na prova ENADE Nós aqui no NEAD e também a equipe no polo estamos com você para vencermos este desafio Conte sempre com a gente para juntos mandarmos bem no ENADE Olá acadêmico Iniciamos agora mais uma disciplina e com ela um novo conhecimento Com o objetivo de enriquecer seu conhecimento construímos além do livro que está em suas mãos uma rica trilha de aprendizagem por meio dela você terá contato com o vídeo da disciplina o objeto de aprendizagem materiais complemen tares entre outros todos pensados e construídos na intenção de auxiliar seu crescimento Acesse o QR Code que levará ao AVA e veja as novidades que preparamos para seu estudo Conte conosco estaremos juntos nesta caminhada LEMBRETE Sumário UNIDADE 1 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO1 TÓPICO 1 CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO3 1 INTRODUÇÃO 3 2 CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO 3 3 TRÍADE CID OU CIA 5 31 CONFIDENCIALIDADE 6 32 INTEGRIDADE 9 33 DISPONIBILIDADE 12 4 HEXADIANO PARKERIANO15 RESUMO DO TÓPICO 117 AUTOATIVIDADE 18 TÓPICO 2 SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL 19 1 INTRODUÇÃO 19 2 ATIVOS DE INFORMAÇÃO 19 3 ACESSO À INFORMAÇÃO 21 31 CONTROLE FÍSICO 21 32 SEGURANÇA LÓGICA 24 33 CONVERGÊNCIA ENTRE A SEGURANÇA FÍSICA E A LÓGICA 26 34 COMPONENTE HUMANO 27 35 CICLO DE VIDA DA INFORMAÇÃO 28 RESUMO DO TÓPICO 231 AUTOATIVIDADE 32 TÓPICO 3 VULNERABILIDADES AMEAÇAS E RISCOS 33 1 INTRODUÇÃO 33 2 ABORDAGEM 33 3 VULNERABILIDADES 35 4 AMEAÇAS 36 5 RISCO 37 6 ATAQUE 37 7 INCIDENTE DE SEGURANÇA DA INFORMAÇÃO 38 71 PROBABILIDADE E IMPACTO 38 LEITURA COMPLEMENTAR 41 RESUMO DO TÓPICO 351 AUTOATIVIDADE 52 UNIDADE 2 FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO 55 TÓPICO 1 PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 57 1 INTRODUÇÃO 57 2 PLANEJAMENTO ESTRATÉGICO DA SEGURANÇA DA INFORMAÇÃO PESI 57 3 SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO SGSI60 4 COMO IMPLEMENTAR O CICLO PDCA 64 5 O USUÁRIO FAZ A DIFERENÇA 66 6 ABRANGÊNCIA 67 7 VIOLAÇÃO DA POLÍTICA 68 RESUMO DO TÓPICO 170 AUTOATIVIDADE 71 TÓPICO 2 ENTENDENDO A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 75 1 INTRODUÇÃO 75 2 POLÍTICAS NORMAS E PROCEDIMENTOS 75 3 POLÍTICAS DE SEGURANÇA ISO 27000 77 4 BOAS PRÁTICAS PARA A CONSTRUÇÃO DA PSI 80 5 DIVULGAÇÃO DA POLÍTICA 81 RESUMO DO TÓPICO 283 AUTOATIVIDADE 84 TÓPICO 3 CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 87 1 INTRODUÇÃO 87 2 CRIAÇÃO E IMPLANTAÇÃO DA PSI 87 3 POLÍTICA DE SEGURANÇA 88 4 POLÍTICA DE USO DE ESTAÇÃO DE TRABALHO 92 5 POLÍTICA DE USO DA INTERNET 93 6 POLÍTICA DE EMAIL 95 7 POLÍTICA DE MESA LIMPA 97 LEITURA COMPLEMENTAR 100 RESUMO DO TÓPICO 3105 AUTOATIVIDADE 106 UNIDADE 3 INVENTÁRIO E ATIVOS DE INFORMAÇÃO 109 TÓPICO 1 CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO 111 1 INTRODUÇÃO 111 2 INVENTÁRIO 111 3 CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO 113 4 PROPRIETÁRIO DO ATIVO 115 RESUMO DO TÓPICO 1123 AUTOATIVIDADE 124 TÓPICO 2 PLANEJANDO O INVENTÁRIO DE ATIVOS EM SEGURANÇA DA INFORMAÇÃO 127 1 INTRODUÇÃO 127 2 POR QUE CONSTRUIR UM INVENTÁRIO DE ATIVOS DE INFORMAÇÃO 127 3 MATRIZ DE RESPONSABILIDADE 129 4 MATRIZ DE RISCO 132 5 ANÁLISE SWOT 137 RESUMO DO TÓPICO 2141 AUTOATIVIDADE 142 TÓPICO 3 FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO 145 1 INTRODUÇÃO 145 2 TRAGA SEU PRÓPRIO EQUIPAMENTO 145 3 BOAS PRÁTICAS DE GERENCIAMENTO DE INVENTÁRIO DE TI148 4 MODELOS DE INVENTÁRIOS 150 LEITURA COMPLEMENTAR 156 RESUMO DO TÓPICO 3166 AUTOATIVIDADE 167 REFERÊNCIAS 169 1 UNIDADE 1 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO OBJETIVOS DE APRENDIZAGEM PLANO DE ESTUDOS A partir do estudo desta unidade você deverá ser capaz de saber a definição além da importância dos conceitos básicos de segurança da informação identificar a importância da segurança das informações no contexto empresarial conhecer a tríade de segurança da informação CID e o hexagrama parkeriano identificar e diferenciar o que são riscos ameaças e vulnerabilidade das informações Esta unidade está dividida em três tópicos No decorrer da unidade você encontrará autoatividades com o objetivo de reforçar o conteúdo apresentado TÓPICO 1 CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO TÓPICO 2 SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL TÓPICO 3 VULNERABILIDADES AMEAÇAS E RISCOS Preparado para ampliar seus conhecimentos Respire e vamos em frente Procure um ambiente que facilite a concentração assim absorverá melhor as informações CHAMADA 2 3 TÓPICO 1 UNIDADE 1 CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO 1 INTRODUÇÃO Para que possamos proteger nossas informações é necessário saber quais são as ameaças e o que deve ser protegido O conhecimento sobre segurança da informação deve ser responsabilidade de todos em uma empresa Independentemente do tipo de empresa os riscos se assemelham A partir da segurança aplicada em nossas casas onde mantemos as portas fechadas quando saímos ou não deixamos pessoas estranhas entrarem com as informações nas empresas também devemos seguir alguns procedimentos São as chamadas políticas de segurança e neste livro também veremos o que deve ser protegido Como já sabemos em muitas empresas as informações são vitais para sua sobrevivência Ter em mente que somos todos responsáveis e que todos estamos envolvidos seja de maneira proativa ou apenas seguindo as normas já são maneiras de participar do processo de segurança das informações Começaremos nossos estudos revisitando alguns conceitos de segurança da informação para que seja possível identificar as diferenças entre os riscos e as vulnerabilidades das informações 2 CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO Como já comentado a segurança dos dados de uma empresa é um dos grandes desafios da tecnologia da informação A empresa e os indivíduos podem sofrer ameaças Para minimizar os riscos ferramentas e políticas de segurança podem assegurar a precisão a integridade e a segurança dos sistemas e recursos de informação BARRETO et al 2018 Estar ciente do problema é o primeiro passo para tomar as medidas protetivas necessárias Por isso governos entidades privadas empresas e indivíduos estão cada vez mais cientes dos desafios e das ameaças relacionadas às atividades online Ainda a dependência das redes de computadores para a manutenção das informações e a sobrevivência dos negócios das empresas UNIDADE 1 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO 4 aumentam exponencialmente ano após ano Seguindo a mesma evolução o impacto causado pelas violações de segurança abrange desde inconveniências até sérias perdas financeiras e insegurança nacional BARRETO et al 2018 A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados incluindo políticas processos procedimentos estruturas organizacionais e funções de software e hardware Esses controles precisam ser estabelecidos implementados monitorados analisados criticamente e melhorados garantindo que os objetivos do negócio e de segurança da organização sejam atendidos Convém que tudo seja feito em conjunto com outros processos de gestão do negócio BARRETO et al 2018 p 17 Para entender como a segurança pode ser gerenciada diversos conceitos importantes devem ser explicados como informação vulnerabilidade ameaça risco e exposição pois são termos que são repetidamente usados para representar a mesma coisa mesmo que tenham diferentes significados e relações entre si É importante entender a definição de cada palavra mas mais importante ainda é entender as suas relações com outros conceitos BAARS HINTZBERGEN HINTZBERGEN 2018 Começamos com o conceito básico das informações no contexto da segurança da informação No cenário atual as informações se constituem como objetos de valor para as empresas e a tecnologia da informação é um grande facilitador tratandose do armazenamento e transporte das informações No contexto organizacional a informação pode estar relacionada por exemplo aos dados armazenados em software e ao uso eficiente BARRETO et al 2018 Ainda segundo Barreto et al 2018 o conhecimento e a informação são pontoschave para as organizações e merecem uma atenção especial para a correta utilização de mecanismos que garantam a segurança uma vez que a segurança da informação tem como propósito proteger os ativos da informação No cenário da segurança da informação de acordo com Barreto et al 2018 p 14 podemos definir um ativo de informação como qualquer objeto que retém partes da informação da empresa nas suas mais diversas formas de representação e armazenamento impressas em papel armazenadas em discos rígidos de computadores armazenadas na nuvem ou até mesmo retidas em pessoas TÓPICO 1 CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO 5 FIGURA 1 ATIVOS DE INFORMAÇÃO FONTE Lyra 2015 p 12 Um ativo é qualquer coisa que tenha valor para organização Portanto podem existir diversos tipos de ativos incluindo a própria informação contratos e acordos documentações de sistema bases de dados manuais de usuário trilhas de auditoria planos de continuidade etc pessoas e suas qualificaçõesexperiências ativos de software sistemas aplicativos ferramentas etc ativos físicos mídias removíveis equipamentos computacionais equipamentos de comunicação etc serviços iluminação eletricidade refrigeração etc e aqueles que são intangíveis como é o caso da reputação da organização LYRA 2015 p 11 Lyra 2015 afirma que para o sucesso e a garantia da segurança da informação devem existir identificação controle e constante atualização dos diferentes tipos de ativos inventário Como princípio básico é recomendado que todo ativo seja identificado além de documentado pela organização Para cada um devese estabelecer um proprietário responsável que cuidará da manutenção dos controles estes que podem ser delegados a outros profissionais porém sempre sob a responsabilidade do proprietário Agora que já temos definido o que é um ativo vamos relembrar os conceitos fundamentais da segurança da informação Um dos conceitos mais conhecimentos e buscados pelas empresas é o proposto pela tríade Confidencialidade Integridade e Disponibilidade Avaliability conhecida por CID ou CIA 3 TRÍADE CID OU CIA Quando planejamos um programa de segurança de informação esse projeto pode ter objetivos simples como usar senhas nos computadores ou objetivos maiores como um plano de contingência Não é um projeto que tem começo meio e fim ou uma data para acabar é um processo contínuo e com um proposito O propósito principal da segurança da informação é proteger ou preservar as propriedades de Confidencialidade Integridade e Disponibilidade da informação Esse propósito também é conhecido como tríade Confidencialidade Integridade e Disponibilidade CID ou em inglês CIA Condidentiality Integrity Avaliability UNIDADE 1 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO 6 FIGURA 2 TRÍADE CID FONTE O autor Conforme apresentado veremos cada um dos itens que dão sustentação à segurança da informação Lembrando que todos têm igual importância 31 CONFIDENCIALIDADE Confidencialidade Condidentiality para Barreto et al 2018 é a capacidade de um sistema de impedir que usuários não autorizados vejam determinada informação que foi delegada somente a usuários autorizados Para Baars Hintzbergen e Hintzbergen 2018 a confidencialidade também chamada de exclusividade referese aos limites em termos de quem pode obter tal tipo de informação Vale ressaltar que ela pode variar de pessoa para pessoa ou nível hierárquico Baars Hintzbergen e Hintzbergen 2018 p 21 exemplificam que os executivos podem estar preocupados com a proteção dos planos estratégicos de sua empresa em relação aos concorrentes as pessoas por outro lado estão preocupadas com o acesso não autorizado aos seus registros financeiros Ainda ela assegura que o nível necessário de sigilo seja aplicado em cada elemento de processamento de dados evitando a divulgação não autorizada Tudo deve prevalecer enquanto os dados estiverem em sistemas e dispositivos na rede e durante a sua transmissão Esse grau de confidencialidade pode ser obtido através da criptografia de dados à medida que são armazenados e transmitidos monitoramento de redes estrito controle de acesso classificação dos dados e treinamento de pessoal com procedimentos apropriados Reforçando a definição Kim e Solomon 2014 p 11 afirmam que proteger dados privados é o processo de garantir sua confidencialidade Assim as organizações precisam usar controles de segurança apropriados específicos Por exemplo TÓPICO 1 CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO 7 Definir políticas padrões procedimentos e diretrizes no âmbito da organização para proteger dados confidenciais é uma instrução Adotar um padrão de classificação de dados que defina como tratá los em toda infraestrutura de TI É o roteiro para identificar quais controles são necessários para manter os dados seguros Limitar o acesso a sistemas e aplicativos que hospedem dados confidenciais para uso somente de usuários autorizados Usar técnicas de criptografia para ocultar dados confidenciais e mantêlos invisíveis aos usuários não autorizados Criptografar dados que cruzem a internet pública Criptografar dados armazenados em bancos e dispositivos de armazenamento Kim e Solomon 2014 reforçam que não basta enviar dados para outros computadores usando uma rede É preciso tomar medidas especiais para impedir que usuários não autorizados tenham acesso a dados confidenciais Assim é sugerida a criptografia como prática de ocultar dados e mantêlos longe de usuários não autorizados protegendo as informações de ponta a ponta FIGURA 3 PROCESSO DE ENCRIPTAÇÃO FONTE Kim e Solomon 2014 p 9 Como podemos observar há a transmissão e o detalhamento do processo no qual ocorre a encriptação Segundo Kim e Solomon 2014 p 9 a encriptação é o processo de transformar dados de texto claro para texto cifrado Dados em texto claro são aqueles que qualquer um pode ler Texto cifrado são os dados misturados que resultam da encriptação do texto claro Como vemos as mensagens são encriptadas após o envio e só são descriptadas quando o usuário recebe UNIDADE 1 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO 8 Conheça um pouco da segurança em redes de dados em httpswww projetoderedescombrartigosartigocriptografiasimetricaphp DICAS São exemplos de medidas de confidencialidade segundo Baars Hintzbergen e Hintzbergen 2018 O acesso à informação é concedido com base na necessidade de conhecer Não é necessário por exemplo que um funcionário do departamento financeiro seja capaz de ver relatórios de discussões com clientes Os funcionários tomam medidas para garantir que a informação não vá para pessoas que não necessitem dela Eles asseguram por exemplo que nenhum documento confidencial seja deixado sobre suas mesas enquanto estão ausentes política da mesa limpa O gerenciamento de acesso lógico assegura que pessoas ou processos não autorizados não tenham acesso a sistemas automatizados base de dados e programas Um usuário por exemplo não tem o direito de alterar as configurações do PC É criada uma separação de funções entre a organização de desenvolvimento do sistema a organização de processamento e a organização do usuário O desenvolvedor não pode por exemplo fazer qualquer modificação nos salários São criadas separações estritas entre o ambiente de desenvolvimento o ambiente de teste e aceitação e o ambiente de produção Baars Hintzbergen e Hintzbergen 2018 ainda sugerem algumas medidas no processamento e uso dos dados para garantir a privacidade dos funcionários da empresa e de terceiros que possam estar prestando serviços como o uso de uma rede dedicada por departamento Outra maneira de aumentar a confidencialidade proposta por Baars Hintzbergen e Hintzbergen 2018 referese ao uso de computadores por usuários finais Ele sugere algumas de medidas como uso de senhas para garantir a confidencialidade da informação Um exemplo é a autenticação dos usuários autorizados por meio de uma combinação entre a identificação do usuário ID a senha e às vezes um token de resposta a um desafio criando uma senha de uso único onetimepassword para cada sessão de login TÓPICO 1 CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO 9 FIGURA 4 TOKEN FONTE Olhar Digital 2009 sp Fique por dentro da tecnologia de tokens em httpsolhardigitalcombrfique seguronoticiaentendendoaautenticacaocomtokens10049 e httpsadministradores combrnoticiasentendendoaautenticacaocomtokens DICAS 32 INTEGRIDADE Integridade Integrity segundo Barreto et al 2018 p 14 referese ao atributo de segurança que garante que a informação seja alterada somente de forma autorizada sendo mantida assim correta e completa A integridade para Baars Hintzbergen e Hintzbergen 2018 referese a ser correto e consistente com o estado ou a informação pretendida Qualquer modificação não autorizada de dados seja ela proposital ou acidental configura uma violação da integridade dos dados Vale ressaltar que dados que não possuem integridade não são precisos não são válidos e não têm utilidade Por isso alterações não autorizadas podem acabar com o valor dos dados Sabotagem e corrupção da integridade dos dados são sérias ameaças para uma organização especialmente se os dados forem críticos para operações de negócios KIM SOLOMON 2014 UNIDADE 1 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO 10 FIGURA 5 INTEGRIDADE FONTE Kim e Solomon 2014 p 4 Para auxiliar o entendimento Baars Hintzbergen e Hintzbergen 2018 p 54 explicam que é esperado que dados armazenados em disco sejam estáveis Não se espera que eles sejam alterados aleatoriamente por problemas com os controladores de disco Seguindo essa linha também se espera que os programas de aplicação sejam confiáveis e que salvem as informações perfeitamente sem alterações Baars Hintzbergen e Hintzbergen 2018 p 54 explicam da seguinte forma minha definição para integridade da informação vem dos dicionários Integridade significa que a informação é completa perfeita e intacta não necessariamente correta Significa que nada está faltando na informação ela está completa e em um desejado bom estado A afirmação dos autores se aproxima de dizer que a informação está em um estado correto A informação pode ser incorreta ou não autêntica mas possuir integridade ou ser correta e autêntica mas faltar integridade Ambientes que reforçam e fornecem o atributo de segurança asseguram que atacantes ou erros de usuários não comprometam a integridade dos sistemas ou dados Quando um atacante insere um vírus uma bomba lógica ou um backdoor em um sistema a integridade é comprometida Isso pode por sua vez afetar negativamente a integridade da informação contida no sistema através de corrupção modificação maliciosa ou substituição de dados por dados incorretos Controle de acesso estrito detecção de intrusão e hashing podem combater as ameaças TÓPICO 1 CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO 11 Os usuários normalmente afetam o sistema ou a integridade de seus dados por erro embora usuários internos também possam cometer atos maliciosos Por exemplo um usuário com disco rígido cheio pode involuntariamente apagar arquivos de configuração supondo equivocadamente que não haveria problema ao apagar o arquivo bootini por não se lembrar de têlo usado em qualquer momento Ainda por exemplo um usuário pode inserir valores incorretos em uma aplicação de processamento de dados cobrando de um cliente 300000000 em vez de 30000 Modificar incorretamente dados mantidos em banco de dados é outra forma comum de os usuários corromperem acidentalmente os dados um erro que pode ter efeitos duradouros São exemplos de medidas de integridade Mudanças em sistemas e dados são autorizadas Por exemplo um membro da equipe atribui um novo preço a um artigo no website e outro verifica a validade desse preço antes de ser publicado Onde possível são criados mecanismos que forcem a pessoa a usar o termo correto Por exemplo um cliente é sempre chamado de cliente o termo freguês não pode ser inserido na base de dados As ações dos usuários são gravadas logged de forma que possa ser determinado quem modificou a informação Ações vitais para o sistema como a instalação de novo software não podem ser conduzidas por uma só pessoa Ao segregar funções posições e autoridades ao menos duas pessoas são necessárias para realizar mudanças que tenham graves consequências A integridade dos dados pode ser garantida em grande parte por meio de técnicas de criptografia protegendo a informação de acesso ou mudança não autorizada Os princípios de política e de gestão para criptografia podem ser definidos em um documento de políticas separado Dê uma olhada no backdoor ou entrada secreta em httpswww welivesecuritycombr20160831backdooretrojan Ainda veja a definição de detecção de intrusão em httpswwwgtaufrjbrgrad1622016IDSconceituacaohtml Por fim confira o que é hashing httpswwwdevmediacombrsegurancadainformacaopara desenvolvedoresfuncoesdehash25008 DICAS UNIDADE 1 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO 12 33 DISPONIBILIDADE Barreto et al 2018 definem disponibilidade Avaliability como a quantidade de vezes que o sistema cumpriu uma tarefa solicitada sem falhas internas para um número de vezes em que foi solicitada essa tarefa Para Baars Hintzbergen e Hintzbergen 2018 a disponibilidade possui algumas características como oportunidade continuidade e robustez Para oportunidade a informação está disponível sempre que necessário Para continuidade a equipe pode dar sequência aos trabalhos em caso de uma falha Para a característica de robustez Baars Hintzbergen e Hintzbergen 2018 explicam que existe capacidade suficiente para permitir que toda a equipe trabalhe no sistema Por exemplo tanto uma falha de disco como um ataque de negação de serviço causam violação da disponibilidade Qualquer atraso que exceda o nível de serviço esperado para um sistema pode ser descrito como uma violação da disponibilidade A disponibilidade do sistema pode ser afetada pela falha de um dispositivo ou software Dispositivos de backup devem ser utilizados para substituir rapidamente os sistemas críticos e funcionários devem ser qualificados e estar disponíveis para fazer os ajustes necessários para a restauração do sistema Questões ambientais como calor frio umidade eletricidade estática e contaminantes também podem afetar a disponibilidade do sistema Sistemas devem ser protegidos contra esses elementos devidamente aterrados e monitorados de perto Ataques de negação de serviço ou DenialofService DoS são métodos populares que hackers usam para interromper a disponibilidade e a utilização do sistema de uma empresa Esses ataques são montados para impedir o usuário de acessar recursos e informações do sistema Para se proteger apenas os serviços e portas necessárias devem estar disponíveis nos sistemas e sistemas de detecção de intrusão Intrusion Detection Systems IDS devem monitorar o tráfego da rede e a atividade das máquinas Certas configurações de roteadores e firewalls também podem reduzir a ameaça de ataques e possivelmente impedilos Exemplos de medidas de disponibilidade incluem A gestão e o armazenamento de dados para que o risco de perder informações seja mínimo O dado é por exemplo armazenado em um disco de rede e não no disco rígido do PC Os procedimentos de backup são estabelecidos Os requisitos legais de quanto tempo os dados devem ser armazenados são levados em conta A localização do backup é separada fisicamente do negócio a fim de garantir a disponibilidade nos casos de emergência TÓPICO 1 CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO 13 Os requisitos legais sobre quanto tempo os dados devem ser mantidos armazenados variam de país para país na União Europeia nos EUA e em outros lugares É importante checar as agências reguladoras individuais do governo para requisitos específicos Procedimentos de emergência são estabelecidos para garantir que as atividades possam ser recuperadas o mais breve possível após uma interrupção de grande escala Apresentaremos algumas sugestões de como os riscos de negócios podem ser evitados atendendo aos requisitos de segurança FIGURA 6 MEDIDAS DE PROTEÇÃO FONTE O autor No contexto da segurança da informação a disponibilidade é expressa como a quantidade de tempo que um usuário pode usar um sistema aplicativo e dados Medidas comuns de tempo de disponibilidade incluem as seguintes segundo Kim e Solomon 2014 Tempo de utilização A quantidade de tempo total que um sistema aplicativo e dados ficam acessíveis O tempo de utilização ou uptime normalmente é medido em unidades de segundos minutos e horas dentro de determinado mês Tempo de paralisação A quantidade de tempo total que um sistema aplicativo e dados não ficam acessíveis O tempo de paralisação ou downtime também é medido em unidades de segundos minutos e horas para um mês Disponibilidade Um cálculo matemático no qual D Tempo de utilização total Tempo de utilização total Tempo de paralisação Tempo médio para falha MTTF Mean Time to Failure O tempo médio para falha é a quantidade média de tempo entre falhas para determinado sistema UNIDADE 1 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO 14 Semicondutores e produtos eletrônicos não quebram e possuem um MTTF de muitos anos por exemplo 25 anos ou mais Partes físicas como conectores cabeamento ventiladores e fontes de alimentação possuem um MTTF muito menor cinco anos ou menos visto que o uso e o desgaste podem danificálas Tempo médio para reparo MTTR Mean Time to Repair O tempo médio para reparo é a quantidade média de tempo necessária para reparar um sistema aplicativo ou componente O objetivo é colocálo novamente em atividade o mais rápido possível Objetivo de tempo de recuperação RTO Recovery Time Objective O objetivo de tempo de recuperação é a quantidade de tempo necessária para recuperar e tornar um sistema aplicativo e dados disponíveis para uso após uma parada Planos de continuidade de negócios normalmente definem um RTO para sistemas aplicativos e acesso a dados de missão crítica Como medir a disponibilidade Para determinado mês de 30 dias a quantidade total de tempo de utilização é ᵒ 30 dias 24 horasdia 60 minutoshora 43200 minutos Para um mês de 28 dias fevereiro a quantidade total de tempo de utilização é ᵒ 28 dias 24 horasdia 60 minutoshora 40320 minutos Usando a fórmula Disponibilidade Tempo de utilização totalTempo de utilização total Tempo de paralisação calcule o fator de disponibilidade para um mês de 30 dias com 30 minutos de tempo de paralisação Disponibilidade 43200 minutos43200 minutos 30 minutos 09993 ou 9993 Além dos princípios já conhecidos e seguindo os padrões internacionais sobre segurança da informação a ISOIEC 27002 aponta apenas três princípios básicos da segurança da informação Preservação da confidencialidade da integridade e da disponibilidade da informação No entanto foram adicionadas outras propriedades a autenticidade o não repúdio e a legalidade Autenticidade Garante a identidade de quem está enviando a informação ou seja gera o não repúdio que se dá quando há garantia de que o emissor não poderá se esquivar da autoria da mensagem Irretratabilidade Normalmente não entra como um dos pilares da segurança da informação É através da autenticidade que se garante que a informação é proveniente da fonte anunciada ou seja não sofreu nenhuma alteração durante o processo Legalidade O uso da tecnologia da informática e comunicação deve seguir as leis vigentes do local ou país Irretratabilidade ou Não repúdio Visa garantir que o autor não negue ter criado ou assinado algum documento ou arquivo Estabelecer um programa de segurança da informação na empresa deve sempre passar por ações que norteiam esses princípios Tal modelo deve estar amparado por um sistema de gestão de segurança da informação que precisa ser planejado e organizado implementado mantido e monitorado OLIVEIRA 2019 sp TÓPICO 1 CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO 15 Agora que já conhecemos a tríade CID o modelo de segurança mais conhecido é incapaz de cobrir todas as preocupações que os proprietários de dados possam ter em relação à segurança O hexadiano Parkeriano contém três atributos adicionais além dos três da tríade da CID 4 HEXADIANO PARKERIANO O modelo apresentado na tríade CID é um modelo de segurança que existe há mais de 20 anos A importância dos dados na atualidade aumentou significativamente além da complexidade sem falar na quantidade de dados que é armazenada eletronicamente Segundo PenderBey 2012 tendências tecnológicas como armazenamento em nuvem e registros eletrônicos de saúde tornaram a proteção de dados muito mais complexa O modelo da CID está muito orientado para a tecnologia não se concentrando o suficiente o elemento humano na segurança da informação O modelo hexadiano Parkeriano PH foi desenvolvido com base no CID e foram adicionados componentes para fornecem um modelo abrangente e completo protegendo os dados O hexadiano Parkeriano é um modelo de segurança composto por seis elementos de atributos de segurança Originalmente foi proposto por Donn Parker em 1998 Os seis atributos são segundo PenderBey 2012 Confidencialidade os dados podem ser mantidos em segredo para usuários não autenticados Pode ser definida como a qualidade ou estado de ser privado ou secreto conhecido apenas por poucos Integridade dados que estão em um estado intacto até quando foram criados Pode ser definida como condição intacta ou sem marca solidez correspondência inteira com uma condição original a qualidade ou estado de estar completo ou indiviso totalidade material Disponibilidade acessar e usar os dados Pode ser definida como capaz de ser utilizada para a realização de um propósito imediatamente utilizável acessível que possa ser obtido Autenticidade confirmação de que uma reivindicação de propriedade dos dados é genuína Também definida como válida verdadeira real genuína ou digna de aceitação ou crença por motivo de conformidade com fato e realidade PosseControle Quando tem sob controle próprio acesso aos dados Também é definido como um estado de posse ou controle ou posse de alguém controle físico real da propriedade distinto da custódia algo de propriedade ou controlado Utilitário É a capacidade de usar propositadamente esses dados Em outras palavras é definido como útil adequado para algum propósito UNIDADE 1 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO 16 Quando Parker propôs o nome do modelo segundo PenderBey 2012 ele queria mudar a maneira como a segurança da informação era avaliada e compreendida Para Parker o modelo da CID consistia em uma visão incompleta e muito simplista para algumas aplicações A segurança da informação não se concentrava suficientemente no papel que as pessoas têm na manutenção e na perda das informações Assim Parker sugeriu que os elementos fossem analisados nos seguintes agrupamentos confidencialidade posse integridade autenticidade disponibilidade e utilidade Os atributos da informação são atômicos ou seja eles não são divididos em outras partes constituintes não se sobrepõem já que se referem a aspectos únicos da informação Qualquer violação da segurança da informação pode ser descrita como aquilo que afeta um ou mais desses atributos fundamentais da informação Confidencialidade integridade e disponibilidade foram mencionadas anteriormente BAARS HINTZBERGEN HINTZBERGEN 2018 p 27 Finalizamos nosso tópico e esperamos que você tenha compreendido a importância de as informações estarem corretas acessadas somente por quem é devido No próximo tópico apresentaremos como as informações devem ser mantidas 17 Neste tópico você aprendeu que Há muita importância do conhecimento dos conceitos de segurança da informação para a proteção dos ativos Os ativos de informação não são apenas equipamentos mas tudo que se refere à informação Os ativos da informação em muitos negócios têm muito valor Há importância de conhecer os princípios de segurança para garantir que as políticas possam ser desenvolvidas Existem algumas medidas para a garantia dos princípios de segurança da informação Há métricas de disponibilidade da informação Existe o Hexadiano Parkeriano uma forma de observar o novo cenário de segurança da informação RESUMO DO TÓPICO 1 18 1 O processo de proteção da informação das ameaças se caracteriza como segurança da informação Para que se sejam obtidos bons resultados é necessário conhecimento sobre o assunto para realizar uma boa gestão da segurança da informação Para tanto deve existir suporte a cinco aspectos principais I Somente as pessoas autorizadas têm acesso às informações II As informações são confiáveis e exatas Pessoas não autorizadas não podem alterar os dados III Garante o acesso às informações sempre que for necessário por pessoas autorizadas IV Garante que em um processo de comunicação os remetentes não se passem por terceiros e nem que a mensagem sofra alterações durante o envio V Garante que as informações sejam produzidas respeitando a legislação vigente Os aspectos apresentados correspondem correta e respectivamente à a Autenticidade integridade disponibilidade legalidade confidencialidade b Autenticidade confidencialidade integridade disponibilidade legalidade c Integridade disponibilidade confidencialidade autenticidade legalidade d Disponibilidade confidencialidade integridade legalidade autenticidade e Confidencialidade integridade disponibilidade autenticidade legalidade 2 Imagine o seguinte cenário Um hacker consegue acesso a um servidor web e com isso ele consegue ver um arquivo no servidor contendo números de cartões de crédito Baseandose nesse cenário e analisando cada um dos princípios CIA confidencialidade integridade e disponibilidade qual desses princípios o hacker violou ao acessar o arquivo de cartões de crédito 3 Em uma empresa de prestação de serviços ao fim do expediente na impressora de rede que se localiza no corredor da empresa próxima ao refeitório muitos dos documentos impressos não são buscados ou sejam ficam na impressora Ao analisarmos o cenário quais são as consequências em relação à confiabilidade da informação a A empresa não pode garantir a integridade da informação b A disponibilidade da informação não é mais garantida c A confidencialidade da informação não é mais garantida d A legalidade da informação não é mais garantida AUTOATIVIDADE 19 TÓPICO 2 UNIDADE 1 SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL 1 INTRODUÇÃO Talvez a pergunta sobre a importância da segurança da informação seja irrelevante dado o cenário em que vivemos Grande parte das informações já não se encontra mais no meio físico estamos apenas no formato digital e na maioria das vezes armazenada em uma nuvem Se para pessoas comuns a perda de um celular gera grande incômodo imagine a perda de dados para uma empresa Existem diversos motivos para que as empresas se atentem à segurança das suas informações como uma falha em um equipamento um incêndio ou até mesmo o sequestro dos seus dados Neste tópico vamos falar como a empresa pode se precaver pois para muitas empresas o seu maior capital é a regra de negócio da empresa a fórmula de algum produto ou a configuração de um equipamento Agora imagine que uma invasão nos servidores tire seus sistemas do ar e faça com que a empresa pare de trabalhar por 24 horas Apesar de ser algo comum a situação com certeza traz transtornos financeiros operacionais e talvez o mais difícil de recuperar que é a confiança dos clientes 2 ATIVOS DE INFORMAÇÃO Até o momento vimos a importância das informações nas empresas Neste tópico conheceremos a importância da física É importante sabermos que esta não começa na mesa de trabalho e não se restringe a uma sala Sua amplitude é bem maior Antes de começarmos a falar de como a informação deve ser protegida vamos ampliar nosso leque e vamos tratar dos ativos da informação Talvez na empresa em que você trabalha ou em algum assunto sobre contabilidade você já deve ter ouvido falar dos ativos O termo tratandose de segurança da informação é muito utilizado Entendese ativo como qualquer componente seja humano tecnológico software etc que ampara um ou mais processos do negócio de uma unidade ou área do negócio 20 UNIDADE 1 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO Uma outra boa definição de ativo é tudo aquilo que tem valor para a empresa É preciso que todos os ativos relevantes sejam identificados além de inventariados Existe um pouco de confusão porque costumamos associar a expressão inventário de ativos ao usual inventário de hardware e software Quando o assunto é segurança da informação por inventário de ativos devemos compreender um conjunto mais abrangente de ativos que contempla sistemas pessoas ambientes físicos etc Antes de começarmos vamos contextualizar o que são ativos segundo Souza 2013 sp O departamento de TI não pode resumir os ativos a equipamentos de informática e softwares instalados no ambiente sob sua responsabilidade É algo muito mais abrangente que envolve tudo o que pode ter ou fornecer um valor para uma organização justamente porque a definição de um ativo na norma ABNT NBR ISOIEC 27002 Código de Prática para a Gestão de Segurança da Informação é bem sucinta Ativo qualquer coisa que tenha valor para a organização Portanto é preciso localizar e identificar todos esses ativos que podem estar representados em diversas formas de acordo com a ISO a Ativos de informação base de dados e arquivos contratos e acordos documentação de sistema informações sobre pesquisa manuais do usuário material de treinamento procedimentos de suporte ou operação planos de continuidade do negócio procedimentos de recuperação trilhas de auditoria e informações armazenadas b Ativos de software aplicativos sistemas ferramentas de desenvolvimento e utilitários c Ativos físicos equipamentos computacionais equipamentos de comunicação mídias removíveis e outros equipamentos d Serviços serviços de computação e comunicações utilidades gerais como aquecimento iluminação eletricidade e refrigeração e Pessoas e suas qualificações habilidades e experiências f Intangíveis como a reputação e a imagem da organização Semelhante à definição proposta Barreto et al 2018 afirmam que pode ser considerado um ativo tudo que possui um valor para empresa o que ela quer proteger Os ativos são elementos fundamentais da segurança da informação e a razão da existência dessa preocupação O valor de um ativo pode estar no próprio ativo como um servidor ou no uso que se faz dele como em um banco de dados conforme leciona Correa Junior 2011 Os ativos de informação podem ser divididos nas seguintes categorias Informações toda e qualquer informação que a empresa possui digitalizada ou não Software esse grupo de ativos contém todos os programas de computador utilizados nos processos de acesso leitura transmissão e armazenamento das informações de uma empresa Hardware todos os elementos físicos que apresentam valor importante para uma empresa no que diz respeito à informação por exemplo computadores e servidores Organização no grupo estão incluídos os aspectos que compõem as estruturas física e organizacional das empresas Usuários engloba os indivíduos que lidam com as informações no seu dia a dia de trabalho BARRETO et al 2018 p 17 TÓPICO 2 SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL 21 Agora que já definimos o que são os ativos de informação vejamos como ocorrem as proteções lógica física e humana desses ativos 3 ACESSO À INFORMAÇÃO Para garantir a devida segurança das informações e dos ativos de TI temos que ter em mente que eles estão armazenados em algum lugar e que esse lugar precisa atender alguns requisitos para a garantia da segurança itens que podem até passar despercebidos como paredes e portas Neste tópico conheceremos maneiras de proteção dos ativos de informação e como podemos desenvolver maneiras de restrição dos acessos físico lógico e humano 31 CONTROLE FÍSICO Além de garantimos a segurança e a qualidade das nossas informações é de suma importância garantir que nossos ativos estejam seguros A segurança física é fundamental ao pensarmos em proteção de informações e continuidade dos negócios O objetivo maior é impedir perdas danos furto comprometimento de ativos e a interrupção das atividades da organização Para tanto os equipamentos necessitam de proteção contra ameaças físicas e do meio ambiente Como vimos nas definições apresentadas por Souza 2013 e Barreto et al 2018 todos os ativos possuem um certo valor e dependendo desse valor além das ameaças e riscos a esses ativos medidas específicas devem ser tomadas Segundo Baars Hintzbergen e Hintzbergen 2018 devido à importância desses ativos medidas de segurança física precisam ser tomadas para proteger a informação de incêndio furto vandalismo sabotagem acesso não autorizado acidentes e desastres naturais O objetivo com esse tipo de proteção segundo Baars Hintzbergen e Hintzbergen 2018 é dificultar o acesso das pessoas aos ativos que necessitam ser protegidos O anel externo representa a área em torno das instalações No nível em questão a proteção se refere aos acessos que circundam as instalações por barreiras naturais e arquitetônicas como vegetação densa ou um rio Já as barreiras arquitetônicas são aquelas que incluem cercas e muros O acesso deve ser permitido apenas para pessoas autorizadas de modo que as barreiras sempre empreguem uma verificação pessoal eou eletrônica 22 UNIDADE 1 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO FIGURA 7 ANÉIS DE PROTEÇÃO FONTE Baars Hintzbergen e Hintzbergen 2018 p 107 Para Baars Hintzbergen e Hintzbergen 2018 o segundo nível se refere ao prédio onde o controle e o acesso às instalações devem acontecer uma vez que o anel externo em alguns cenários pode não acontecer Devem existir algumas maneiras de melhorar a segurança dos prédios e tornar seguras as aberturas nas instalações como vidros resistentes grades ou portas que não permitam o arrombamento Além dessas medidas estruturais mencionadas medidas de controle de entrada física podem ser adotadas Nesta etapa pode ser aplicado também o gerenciamento do acesso eletrônico Medidas como o acesso eletrônico que inclui sistemas de cartão fechaduras de código e acesso por RFID ou Tags são muito utilizados Leia mais sobre a técnica de RFID em httpswwwfilipeflopcomblog controleacessoleitorrfidarduino e httpswwwusinainfocombrblogprojetoarduino controledeacessorfid DICAS TÓPICO 2 SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL 23 Além do RFID existem outros tipos de controle de acesso que não podem ser penetrados e podem complementar a segurança física Segundo Baars Hintzbergen e Hintzbergen 2018 No crachá de identificação colocar uma foto pois isso torna a cópia um pouco mais difícil Também ajuda a equipe de segurança a verificar se a credencial pertence ao portador Lembrando que esse crachácredencial deve ser único ou seja só deve ter um proprietáriousuário caso contrário não será possível determinar quem acessou o edifíciosala Outra prática é não colocar o nome da empresa ou logotipo na credencial com utilização em estilo neutro Em caso de perda se alguém encontrar a credencial seu propósito não deve estar óbvio Devese criar a cultura na empresa do uso da credencial e de forma visível Isso também deve se aplicar aos visitantes para que a segurança e os funcionários possam detectar e abordar qualquer pessoa que não esteja usando uma credencial Todas essas credenciais também devem exibir uma data de validade legível para os humanos ou seja sem a necessidade de consulta em um sistema Além do gerenciamento do acesso com cartõescredenciais ele também pode ser feito por biometria A biometria se refere a tecnologias que medem e analisam características do corpo humano como impressões digitais retinas e íris dos olhos padrões de voz padrões faciais e medidas das mãos para propósitos de autenticação Características biométricas podem ser divididas em duas classes principais fisiológicas que são relacionadas à forma do corpo e comportamentais que são relacionadas ao comportamento da pessoa BAARS HINTZBERGEN HINTZBERGEN 2018 p 108 Veja as diferentes formas de biometria httpssitesgooglecomsite admtopicosdeinformaticabiometriatiposdebiometria e httpswwwgtaufrjbr grad081biovozHMMhtml DICAS No próximo nível do anel de proteção está o local de trabalho as salas dentro das instalações o conhecido anel interno Na parte mais interna chamado objeto é efetivamente o ativo que deve ser protegido Medidas protetivas como apenas esconder esses locais não são suficientes e nem eficientes Nada adianta realizar uma reunião de portas fechadas sobre um assunto importante e as paredes da sala permitem ouvir o que acontece lá dentro Ainda se as paredes são de vidro e o planejamento está sendo apresentado em um quadro na parede BAARS HINTZBERGEN HINTZBERGEN 2018 24 UNIDADE 1 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO Vale ressaltar que cada espaço de trabalho deve ter sua função específica e a proteção necessária para garantia da segurança Medidas protetivas para evitar as ameaças devem ser tomadas de acordo com a sensibilidade do ativo a ser protegido como a estrutura da sala dos servidores que deve possuir estrutura específica de construção e de refrigeração Silva 2009 destaca os aspectos que devem ser analisados para a prevenção do acesso físico não autorizado ocasionando danos e interferências prejudiciais aos ativos A lista das ameaças que devem ser consideradas na proteção dos ativos é Incêndios Água chuvas enchentes Atividades sísmicas terremotos erupções vulcânicas e furacões Sabotagens e vandalismos Explosões Materiais tóxicos Quedas no fornecimento de energia água e refrigeração Desmoronamento de prédios Falhas de equipamentos Perdas pessoais acidentes doenças e acesso não autorizado 32 SEGURANÇA LÓGICA Após a explicação do que é a segurança física dos sistemas de informação de maneira bem genérica podemos dizer que é tudo que não é físico como as informações são protegidas dentro de um sistema seja através da criptografia de arquivos limitação controle de acesso à internet firewall etc Antes de mais nada é preciso que haja uma convergência entre a segurança física e a lógica Nada adianta ter todos os arquivos protegidos em uma sala onde qualquer um pode entrar por exemplo Izquierdo 2017 sp afirma que a proteção que ocorre na segurança lógica é a que controla o acesso a aplicativos dados sistemas operacionais senhas e arquivos de log por meio de firewalls de hardwares e softwares criptografia antivírus outras aplicações contra hackers e possíveis invasões às fontes internas da empresa A segurança lógica permite que o acesso às informações seja liberado segundo as necessidades de uso de cada usuário para realização das tarefas com a devida identificação com senha e login Dessa maneira evitase que pessoas não autorizadas ou até mesmo funcionários realizem funções que não sejam do seu cargo IZQUIERDO 2017 TÓPICO 2 SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL 25 A proteção da informação vem sendo um grande desafio para as empresas e exige investimento não só de equipamentos e estruturas mas de pessoal treinado e atualizado com as novas tecnologias de segurança da informação que surgem diariamente Estar atento aos riscos é o primeiro passo para a melhor segurança Os riscos que uma empresa pode correr por não ter uma boa estrutura de segurança lógica são muitos Podemos listar por exemplo o acesso de terceiros a informações sigilosas perdas de dados falhas na rede causadas por fraudes etc Como consequências temos a perda de confidencialidade que acontece quando há quebra de sigilo e informações restritas apenas a determinados funcionários são vazadas perda de integridade que significa que uma pessoa não autorizada consegue ter acesso e modificar algum dado importante e a perda de disponibilidade quando pessoas autorizadas passam a não conseguir acessar uma aplicação IZQUIERDO 2017 Já ouviu falar em sequestro de dados ou ransomware Conheça um pouco mais sobre o tema em httpswwwsecurityunicampbrblog99ransomwarearquivos sequestrados e httpsdocsmicrosoftcomptbrwindowssecuritythreatprotection intelligenceunderstandingmalware DICAS Malware é o termo utilizado para descrever aplicativos e códigos mal intencionados Esses programas podem causar sérios danos e interromper o uso normal de dispositivos Como características um malware pode permitir acesso não autorizado usar recursos do sistema roubar senhas bloquear você do seu computador pedir um resgate e muito mais Vale ressaltar que essa prática dos criminosos cibernéticos que distribuem malware tem motivação financeira Utilizam computadores infectados como porta de entrada para iniciar ataques obter credenciais do banco coletar informações que podem ser vendidas e vender acesso a recursos de computação Os malwares podem ser classificados como mineradores de moedas virtuais explorações e kits de exploração phishing ransomware rootkits ataques de cadeia de fornecedores scams de suporte técnico cavalos de Tróia software indesejado e worms 26 UNIDADE 1 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO O objetivo do nosso livro são as políticas de segurança por isso para mais informações sobre a classificação acesse httpsdocsmicrosoftcomptbrwindows securitythreatprotectionintelligenceunderstandingmalware DICAS Como percebemos a segurança física e a lógica caminham de mãos dadas por isso é necessário que haja uma convergência entre as duas áreas a fim de obter melhores resultados para a segurança da empresa 33 CONVERGÊNCIA ENTRE A SEGURANÇA FÍSICA E A LÓGICA Ainda é comum que as empresas tratem desses assuntos separadamente porém com a convergência dos dois departamentos algumas ameaças podem ser identificadas e controladas de forma mais rápida Além da diminuição dos riscos de segurança há economia de tempo e dinheiro A integração também ajuda nas auditorias já que é possível ter acesso ao controle de todas as atividades que acontecem na empresa melhorando as investigações e o rastreamento de possíveis problemas Os dois departamentos trabalham pelo mesmo objetivo ainda que de formas diferentes Por isso realizar a convergência é reconhecer a importância de todos os seus componentes para existirem soluções necessárias à segurança Quando tudo acontece a comunicação entre departamentos diferentes melhora e é possível que mais funcionários participem da tomada de decisão IZQUIERDO 2017 Zaniquelli 2010 sp corrobora e diz que as convergências física e lógica nada mais são que a integração de ambas e exemplifica imagine um cenário em que tenhamos câmeras espalhadas pela empresa inteira porém apenas as câmeras são ineficientes para fins de investigação ou seja apenas exibem o que acontece naquele momento sem gravar nada Para resolver o problema é fundamental a convergência É necessário começar a gravar e a armazenar os dados Tudo que for filmado deve ser armazenado em um computador com HD suficiente uma forma de convergir segurança física e lógica Outro exemplo pode ser dado em relação ao controle de acesso imagine que uma empresa possua catracas físicas dessa forma há controle físico da entrada O funcionário passa o crachá e entra As formas de integração seriam o registro e o armazenamento dos dados da entrada e saída do funcionário permitindo a rastreabilidade dos funcionários Assim conseguese melhorar a TÓPICO 2 SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL 27 eficiência da segurança É possível entregar uma credencial a um funcionário e com essa credencial ele pode acessar as áreas e sistemas que foram vinculados a ele Podese verificar as áreas que esse funcionário passou seus horários de acesso e tentativas de acesso não autorizadas ZANIQUELLI 2010 Zaniquelli 2010 reforça que os criminosos estão sempre bem atualizados e conseguem utilizar novos meios para roubar informações das empresas Muitas vezes os criminosos utilizam meios lógicos como roubo de um computador para posteriormente roubar os dados lógicos A convergência segundo Zaniquelli 2010 deve estar integrada com os processos da empresa para facilitar a administração deles pessoas e sistemas de TI Ela também ajuda a dificultar ataques e ao mesmo tempo auxiliar na detecção correção e prevenção Política de Segurança da Informação Provisionamento de usuário e ativos Monitoramento e auditoria Resposta a incidentes Plano de continuidade de negócios Como vimos até agora não basta ter várias camadas de segurança se elas não interagirem entre si por isso são os seres humanos que efetivamente dão garantia de sucesso ou fracasso nas seguranças física e lógica 34 COMPONENTE HUMANO Quando falamos em componente humano estamos nos referindo aos riscos que consciente ou inconscientemente podem afetar os ativos de informação Nesta etapa são consideradas todas as pessoas que possuem acesso às informações No grupo estão incluídos desde quem dá manutenção até aos que simplesmente utilizam SILVA NETTO SILVEIRA 2007 Para Silva Netto e Silveira 2007 é uma etapa da segurança da informação que merece muita atenção e a mais difícil de ser avaliada pois envolve pessoas com características individuais Dentre os problemas já mencionados em relação à individualidade dos que interagem com a informação outro ponto é a engenharia social Ela busca explorar a falta de consciência sobre segurança dentro de uma organização Para conseguir o que quer o criminoso que utiliza a técnica usa expressões corretas ou nomes de pessoas conhecidas e seus departamentos enganando ou dando a impressão de que é um colega Com essa técnica um engenheiro social tira proveito dos pontos fracos das pessoas para concretizar seus objetivos Como pontos de sucesso da técnica podemos citar que grande parte das pessoas desconhece o conceito de engenharia social e não reconhece um engenheiro da área 28 UNIDADE 1 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO Conheça um pouco mais o tema e como ele é aplicado em httpswww kasperskycombrresourcecenterthreatsmalwaresocialengineering DICAS Uma maneira de acesso indevido das informações é devido à forma incorreta de descarte 35 CICLO DE VIDA DA INFORMAÇÃO Quando falamos de ativos de informação temos que ter em mente todo o processo desde a obtenção até o descarte Esse processo é composto por criação obtenção tratamento distribuição uso armazenamento e descarte Assim podemos dizer que essas etapas são a espinha dorsal da informação segundo Lyra 2015 A etapa de identificação das necessidades e dos requisitos é chamada de criação São identificadas as necessidades de informação dos grupos e indivíduos que integram a organização e seus públicos externos LYRA 2015 A etapa seguinte é a obtenção na qual são desenvolvidos procedimentos para captura e recepção da informação esta que pode ser proveniente de uma fonte externa de qualquer mídia ou formato Ainda é preciso garantir que a informação seja genuína e que foi produzida por pessoas ou entidades autorizadas está completa e compatível com os requisitos apontados na etapa anterior LYRA 2015 Na etapa do tratamento é o momento de deixar a informação ser aproveitada Segundo Lyra 2015 p 20 é comum que a informação precise passar por processos de organização formatação estruturação classificação análise síntese apresentação e reprodução com o propósito de tornála mais acessível organizada e fácil de localizar pelos usuários A garantia da integridade deve ser observada especialmente se estiverem envolvidas técnicas de adequação do estilo adaptação de linguagem contextualização condensação da informação etc Ainda nesta etapa Lyra 2015 p 20 adverte TÓPICO 2 SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL 29 O uso dessas técnicas deve levar em conta a preservação das características de quantidade e qualidade necessárias para que a informação efetivamente sirva No caso das atividades de reprodução da informação para posterior distribuição as questões relacionadas à preservação da confidencialidade podem adquirir grande relevância uma vez que a existência de diversas cópias de uma mesma informação qualquer que seja a mídia utilizada computador papel disquete fita de áudio ou vídeo etc amplia os problemas de restrição de acesso aos usuários devidamente autorizados A etapa de distribuição como o nome já informa consiste em levar a informação até seus consumidores Devese garantir que a informação certa seja entregue a quem necessita dela para a tomada de decisão LYRA 2015 Na etapa do uso os princípios de integridade e disponibilidade devem receber cuidado específico pois se a informação estiver corrompida difícil de localizar ou indisponível pode atrasar os processos decisórios e operacionais da organização LYRA 2015 A etapa de armazenamento é o momento em que a informação é armazenada seja em um banco de dados compartilhado em uma anotação de papel para posteriormente ser registrada ou ainda em uma mídia guardada em uma gaveta LYRA 2015 A etapa do descarte é o momento em que o ativo de informação perde seu uso podendo cair em mãos erradas Lyra 2015 p 23 afirma Quando uma informação se torna obsoleta ou perde a utilização para a organização ela deve ser objeto de processos de descarte que obedeçam a normas legais políticas operacionais e exigências internas Excluir dos repositórios de informação corporativos os dados e as informações inúteis melhoram o processo de gestão da informação de diversas formas economizando recursos de armazenamento aumentando a rapidez e eficiência na localização da informação necessária melhorando a visibilidade dos recursos informacionais importantes etc Entretanto o descarte de dados e informação precisa ser realizado dentro de condições de segurança principalmente no que tange ao aspecto da confidencialidade e em menor grau também de disponibilidade No que tange à confidencialidade o descarte de documentos e mídias que contenham dados de caráter sigiloso precisa ser realizado com observância de critérios rígidos de destruição segura por exemplo uso de máquinas fragmentadoras para documentos em papel ou de softwares destinados a apagar com segurança arquivos de um microcomputador que se simplesmente excluídos do sistema poderiam ser facilmente recuperados com o uso de ferramentas de restauração de dados Vejamos um resumo do ciclo de vida da informação 30 UNIDADE 1 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO QUADRO 1 CICLO DE VIDA DA INFORMAÇÃO FONTE Armstrong et al 2019 p 590 Vale reforçar que cada empresa deve definir políticas de descarte de informação pois caso isso não seja realizado pode haver uso indevido Veja o exemplo apresentado por Fontes 2006 p 17 Disputa entre academias de ginástica chega à Justiça A concorrência acirrada entre as academias de ginástica de São Paulo chegou à Justiça A Companhia Athletica está processando a academia Reebok por suposto roubo de mala direta o que caracteriza crime de concorrência desleal Como parte do inquérito policial aberto pela Polícia Civil de São Paulo o Instituto de Criminalística da Secretaria de Segurança Pública do Estado elaborou um laudo comprovando que a maioria dos nomes de clientes da Cia Athletica consta de forma idêntica no arquivo da Reebok apreendido pela polícia A briga começou quando a Reebok inaugurou sua unidade na Vila Olimpia cerca de 500 metros da Cia Athletica do Brooklin Vários clientes da Cia Athletica reclamaram do fato de terem recebido correspondência da concorrente e queriam saber se a academia teria vendido seus dados cadastrais Fontes 2006 alerta que toda informação tem um valor para a organização e por isso deve haver cuidado em todas as etapas Para uma empresa que presta serviço o cadastro de clientes tem muito valor e deve ser protegido adequadamente Por ingenuidade talvez muitas vezes a organização só se preocupa com invasões mirabolantes e acaba pecando com pequenas coisas como uma listagem de clientes jogada no lixo ou venda de equipamentomídia de armazenamento sem a devida destruição da informação anteriormente gravada Na próxima unidade veremos um pouco mais sobre os riscos ameaças e vulnerabilidades dos ativos de informação 31 RESUMO DO TÓPICO 2 Neste tópico você aprendeu que Os ativos de informação precisam de certos cuidados para serem acessados Devese conhecer como os ativos estão armazenados A segurança lógica merece muita importância Não há como desassociar a convergência entre as seguranças física e lógica O componente humano é fundamental para a garantia da segurança da informação As etapas do ciclo de vida da informação devem ser observadas inclusive quando ela perde utilidade 32 1 Você é funcionário de uma grande empresa e no meio do expediente recebe uma ligação de uma pessoa alegando ser do departamento de suporte e que estão precisando fazer uma atualização no sistema A pessoa pergunta a sua senha pois precisa fazer a conexão remota Que tipo de ameaça é essa a Ameaça natural pois é natural esse tipo de chamada b Engenharia social pois um funcionário do departamento de suporte nunca pergunta a sua senha c Ameaça social pois acaba com a confiança na empresa d Ameaça organizacional pois as organizações usam o procedimento 2 Na segurança física utilizamos maneiras de proteger os equipamentos e informações contra agentes mal intencionados ou usuários que não possuem autorização Uma forma de resolver de maneira simples é implantar recursos de identificação de funcionários como crachás senhas e cadastro de digitais Podem ser aplicadas várias zonas de expansão anéis de proteção em que podem ser tomadas diferentes medidas O que não é um anel de proteção a Um prédio b Um anel intermediário c Um objeto d Um anel externo 3 Ao analisar a estrutura de segurança de uma empresa percebese que a sala de computadores é protegida por um leitor de dispositivos de acesso e que somente os funcionários do departamento de gestão de sistemas possuem um dispositivo de acesso Que tipo de medida de segurança é essa a Uma medida de segurança física b Uma medida de segurança corretiva c Uma medida de segurança lógica d Uma medida de segurança repressiva AUTOATIVIDADE 33 TÓPICO 3 UNIDADE 1 VULNERABILIDADES AMEAÇAS E RISCOS 1 INTRODUÇÃO Santos 2018 afirma que uma empresa só é capaz de resolver rapidamente e de maneira assertiva as ameaças quando possui conhecimento total sobre seu negócio e consegue responder Que vulnerabilidades possuo A que ameaças estou suscetível Quais agentes estão envolvidos Quais são os impactos históricos e possíveis da exploração dessas ameaças Para que possamos desenvolver políticas e controlar nossos ativos é de suma importância saber o que pode nos atingir Por isso precisamos conhecer nossas vulnerabilidades o que nos ameaça e a que riscos estamos expostos 2 ABORDAGEM Exemplificando um pouco melhor esses termos Santos 2018 menciona que vulnerabilidade também pode ser chamada de falha ou fraqueza por exemplo uma parede rachada dentro de uma rede podemos encontrar uma rachadura ou falha em um design mal planejado implementação mal realizada ou até em controles internos de um sistema mal desenvolvido levando a rede a abrir pequenas falhas na política de segurança Vulnerabilidades internas podem ser tratadas Fraquezas podem ser identificadas e até mesmo eliminadas com a aplicação de ações proativas para correção das vulnerabilidades Ameaça é a possibilidade de um agente interno ou externo explorar acidentalmente ou propositalmente uma vulnerabilidade específica Ameaças externas normalmente não podem ser controladas É impossível impedir uma inundação um homembomba ou uma greve em andamento Ameaças podem ser identificadas mas geralmente estão fora do nosso controle O risco define o que está em jogo na sua organização em termos de bens econômicos sejam físicos ou lógicos É a fonte de ameaça que explora uma vulnerabilidade levando um impacto para o funcionamento de uma organização como mal funcionamento roubo de informações etc 34 UNIDADE 1 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO Riscos externos eou internos podem ser minimizados ou mitigados Riscos podem ser gerenciados em relação às vulnerabilidades ou impactos Perallis Channel 2019 apresenta um resumo dos termos e relembra o que são os ativos Se a empresa estiver bem protegida ela corre menos risco e as ameaças não impactam tanto os negócios Contudo se a vulnerabilidade for ignorada e não for tratada e os invasores encontrarem uma brecha com certeza surge um impacto muito negativo nos negócios FONTE Perallis Channel 2019 sp FIGURA 8 VULNERABILIDADE AMEAÇA RISCOS Com base nos conceitos vejamos como eles impactam na segurança da sua informação e o porquê da necessidade de criarmos políticas de segurança A partir do momento em que conhecemos nossas vulnerabilidades podemos nos preparar para possíveis riscos e gerenciálos Como poderemos observar a seguir os ativos de informação possuem valor para a empresa por esse motivo eles despertam interesse de pessoal mal intencionado que busca pontos vulneráveis na segurança da informação para poder fazer ameaças e obter lucro TÓPICO 3 VULNERABILIDADES AMEAÇAS E RISCOS 35 FIGURA 9 FLUXO DAS VULNERABILIDADES FONTE O autor Por isso a necessidade de a empresa possuir políticas e requisitos de segurança para garantia da sua existência Detalharemos um pouco mais esses termos 3 VULNERABILIDADES Começaremos pela vulnerabilidade Ela está intimamente ligada ao ponto fraco de um ativo em outras palavras pode ser entendida como uma fragilidade É um erro no procedimento no caso de sistemas falha de um agente ou má configuração dos aplicativos de segurança Lembrando que ela pode acontecer de maneira não proposital ou proposital e como consequência gerar uma informação não confiável Quando isso ocorre temos um rompimento de um ou mais princípios da segurança da informação LYRA 2015 Físicas Instalações prediais fora do padrão salas de CPD mal planejadas falta de extintores detectores de fumaça e de outros recursos para combate a incêndio em sala com armários e fichários estratégicos risco de explosões vazamento ou incêndio Naturais Computadores são suscetíveis a desastres naturais como incêndios enchentes terremotos tempestades etc como falta de energia acúmulo de poeira aumento da umidade e da temperatura etc Hardware Falha nos recursos tecnológicos desgaste obsolescência má utilização ou erros durante a instalação Software Erros na instalação ou na configuração podem acarretar acessos indevidos vazamento de informações perda de dados ou indisponibilidade do recurso quando necessário Mídias Discos fitas relatórios e impressos podem ser perdidos ou danificados A radiação eletromagnética pode afetar diversos tipos de mídias magnéticas 36 UNIDADE 1 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO Comunicação Acessos não autorizados ou perda da comunicação Humanas Falta de treinamento compartilhamento de informações confidenciais não execução de rotinas de segurança erros ou omissões ameaça de bomba sabotagens distúrbios civis greves vandalismo roubo destruição da propriedade ou dados invasões ou guerras LYRA 2015 p 14 Tendo conhecimento das vulnerabilidades o próximo passo é conhecer a quais ameaças estamos expostos Imagine sua empresa a quais ameaças está exposta Baars Hintzbergen e Hintzbergen 2018 exemplificam que pode haver um serviço rodando em um servidor aplicações ou sistemas operacionais que não estão atualizados acesso irrestrito para entrada de chamadas no modem uma porta aberta no firewall não configurada etc ainda segurança física fraca que não faça limitação e controle de acesso e permita que qualquer pessoa entre em uma sala de servidores Outra vulnerabilidade pode ser a não aplicação de controle de senhas em servidores e estações de trabalho 4 AMEAÇAS No começo do nosso livro definimos os objetivos da segurança para garantir a confidencialidade integridade e disponibilidade que são os pilares da segurança da informação Contudo para a garantia devemos estar cientes de que estamos expostos a ameaças Como posso garantir a integridade de um dado por exemplo se não sei a quais ameaças ele corre Como já definido há a ameaça e a expectativa de acontecimentos sejam eles acidentais ou propositais que foram gerados por um agente que pode afetar um ambiente sistema ou ativo de informação No contexto em questão agentes podem ser pessoas eventos meio ambiente sistemas etc LYRA 2015 Ainda com relação à classificação dos agentes Baars Hintzbergen e Hintzbergen 2018 afirmam que a entidade que busca vantagem em cima de uma vulnerabilidade é chamada de agente ameaçador Esse agente ameaçador pode ser um invasor que está acessando a rede através de uma porta no firewall ou que acessa dados de uma forma que viole a política de segurança um funcionário cometendo um erro não intencional que pode expor informações confidenciais ou destruir a integridade de um arquivo O agente como já mencionamos ainda pode ser o meio ambiente como um tornado destruindo uma instalação Vale ressaltar que as ameaças diferem em cada país dependendo do nível de desenvolvimento e do uso da internet No contexto atual falamos muitas vezes em organizações mas a segurança da informação é importante para governos universidades militares saúde etc Terrorismo e guerras também são ameaças à segurança Para melhor contextualização exemplificaremos ameaças acidentais como uma falha de hardware desastres naturais erros de programação etc diferentes de uma ameaça proposital como roubo invasão fraude etc No que tange às TÓPICO 3 VULNERABILIDADES AMEAÇAS E RISCOS 37 ameaças propositais podem ser passivas ou ativas como podemos observar pela explicação de Lyra 2015 p 15 Ativas Envolvem alteração de dados Passivas Envolvem invasão eou monitoramento mas sem alteração de informações Lyra 2015 p 15 também classifica as ameaças quanto à intencionalidade assumindo que podem ser divididas em três grupos Naturais ameaças decorrentes de fenômenos da natureza Involuntárias ameaças inconsistentes quase sempre causadas pelo desconhecimento Voluntárias ameaças propositais causadas por agentes humanos como hackers invasores espiões ladrões criadores e disseminadores de vírus de computador incendiários 5 RISCO Um risco é a possibilidade de um agente ameaçador tirar vantagem em cima de uma vulnerabilidade além do correspondente impacto nos negócios Por exemplo se um firewall não é configurado corretamente e tem diversas portas abertas existe uma grande probabilidade de um invasor usar uma delas para acessar a rede de forma não autorizada Com relação às equipes os riscos podem aparecer se os usuários não forem treinados com processos e procedimentos Consequentemente há grande chance de um funcionário cometer um erro intencional ou não que possa destruir dados Tratandose das redes se um sistema de detecção de intrusão não for implementado a possibilidade de um ataque não ser percebido é maior e quando finalmente acontecer pode ser que seja tarde demais Estamos constantemente expostos aos riscos pois amarram a vulnerabilidade a ameaça e a probabilidade de exploração ao impacto resultante dos negócios Na prática um incêndio pode surgir na empresa um funcionário que não trabalha no departamento de RH pode obter acesso a informações sensíveis ou privadas alguém aparece como um funcionário e tenta obter informação sua empresa é atingida por uma falha de energia ou um hacker consegue obter acesso à rede de TI por exemplo Até o momento vimos que todos estamos vulneráveis as ameaças a que estamos expostos e que riscos corremos Nesta etapa veremos o ataque 6 ATAQUE Um ataque segundo Lyra 2015 é um evento que ocorre em decorrência da exploração de uma vulnerabilidade por uma ameaça em outras palavras um ataque representa a concretização de uma ameaça 38 UNIDADE 1 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO Pode ter como focos diferentes princípios de segurança como a invasão de uma rede corporativa deixandoa inoperante No caso o princípio da disponibilidade é violado visto que a informação requerida pelo usuário provavelmente não pode ser acessada não está disponível Contudo se o agente ainda adulterar um arquivo logo além da quebra da disponibilidade acaba de praticar a quebra da integridade LYRA 2015 Para Lyra 2015 os ataques podem ser divididos em dois grupos passivos e ativos Os ataques passivos são os que não interferem no conteúdo do recurso que foi atacado ou seja o agente teve apenas a observação e o conhecimento de informações armazenadas nos sistemas institucionais ou análise de tráfego de uma rede Já no ataque ativo os danos são maiores pois prejudicam diretamente o conteúdo do recurso atacado modificando e eliminando informações ou gerando informações falsas 7 INCIDENTE DE SEGURANÇA DA INFORMAÇÃO Um incidente de segurança da informação é caracterizado por um único ou uma série de eventos de segurança indesejáveis ou inesperados que têm uma probabilidade significativa de comprometer a operação dos negócios Ainda ameaçam a segurança da informação Em outras palavras Lyra 2015 p 16 descreve eventos de segurança indesejados que violem algum dos principais aspectos da segurança da informação confiabilidade integridade disponibilidade etc Podemos exemplificar esses incidentes de segurança como a perda da integridade de informações e a divulgação de informações indevidas Como já mencionado desastres causados por fenômenos da natureza como incêndios inundações quedas de energia greves invasões por hackers defeito em equipamentos etc 71 PROBABILIDADE E IMPACTO Se perguntassem a você qual a probabilidade de você sair de casa ou quais os impactos dessa ação Você saberia mensurar Por isso a importância de conseguirmos mensurar como os ativos são impactados e a probabilidade A probabilidade vulnerabilidade e ameaças estão fortemente ligadas Podemos dizer que a probabilidade trata das chances de uma vulnerabilidade se tornar uma ameaça LYRA 2015 Para Lyra 2015 a probabilidade é a possibilidade de uma falha de segurança acontecer observandose o grau de vulnerabilidade encontrado nos ativos e as ameaças que venham a influenciálo Possivelmente um ativo possui várias vulnerabilidades que não representem ameaças No entanto é possível que todas essas vulnerabilidades se tornem ameaças TÓPICO 3 VULNERABILIDADES AMEAÇAS E RISCOS 39 Já se tratando de impacto diferentemente da probabilidade Lyra 2015 afirma que este ocorre após o incidente ou seja um incidente de segurança da informação pode ou não causar um impacto nos processosnegócios da organização Segundo Lyra 2015 p 17 O impacto de um incidente de segurança é medido pelas consequências que possa causar aos processos de negócios suportados pelo ativo em questão Os ativos possuem valores diferentes pois suportam informações com relevâncias diferentes para o negócio da organização Quanto maior for o valor do ativo maior será o impacto de um eventual incidente que possa ocorrer As consequências desses impactos podem ser classificadas de acordo com o impacto na organização a curto ou a longo prazo Lyra 2015 p 18 caracteriza como 0 Impacto irrelevante 1 Efeito pouco significativo sem afetar a maioria dos processos de negócios da instituição 2 Sistemas não disponíveis por um determinado período de tempo podendo causar perda de credibilidade aos clientes e pequenas perdas financeiras 3 Perdas financeiras de maior vulto e perda de clientes para a concorrência 4 Efeitos desastrosos porém sem comprometer a sobrevivência da instituição 5 Efeitos desastrosos comprometendo a sobrevivência da instituição Vejamos o fluxo proposto por Lyra 2015 no qual podemos observar como os ativos de informação são impactados quando não são tomadas as devidas providências com as vulnerabilidades 40 UNIDADE 1 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO FONTE Lyra 2015 p 18 FIGURA 10 RELACIONAMENTO ENTRE CARACTERÍSTICAS Para evitar que nossos ativos sejam impactados e os impactos sejam minimizados devemos criar políticas bem definidas O assunto será abordado na próxima unidade de estudos TÓPICO 3 VULNERABILIDADES AMEAÇAS E RISCOS 41 Segurança física dos ativos conhecendo a Norma ISO 27002 Este artigo discorre sobre a segurança física dos ativos Para isso tem seu foco direcionado para a explicação da norma ISO 27002 Essa norma tem como objetivo auxiliar a implantação a manutenção e a melhoria contínua dos controles de segurança da informação padronizando diretrizes e procedimentos que auxiliarão a organização na sua gestão A Norma ISO 27002 possui 133 controles divididos em 11 seções que abrangem a segurança da informação em todos os seus aspectos tratando de ferramentas processos e pessoas Controle de Segurança da Informação Nunca se falou tanto em Segurança da Informação como no último ano Foram diversos eventos artigos reportagens palestras que contribuíram para o fortalecimento do setor Porém no dia a dia das empresas ainda há muito o que se fazer principalmente no âmbito das pequenas e médias empresas PMEs que ainda possuem grandes dificuldades em adotar requisitos básicos de segurança sobretudo na infraestrutura que suporta o negócio Enxergar o departamento de TI como uma área que suporta toda a operação relacionada ao negócio da empresa ainda é algo raro no meio empresarial das PMEs Se há investimentos em equipamentos e sistemas básicos para o funcionamento da rede é de se esperar que não haja qualquer melhoria em questões de segurança Parte da causa do problema em muitos casos é do próprio gestor do departamento de TI que por ter uma formação puramente técnica acaba tendo dificuldades em apresentar argumentos na hora de buscar investimentos para sua área Em outros casos os argumentos são mesmo difíceis de mensurar principalmente investimentos em segurança que muitas vezes só têm um retorno tangível para o empresário quando ele percebe que a ocorrência de uma falha não paralisou suas atividades Outros tipos de investimentos só serão notados ao longo do tempo por não se tratar de um produto físico mas de uma mudança cultural que envolve treinamento e conscientização de todo o time Contudo no que se diz respeito à segurança da infraestrutura há diversos investimentos que podemos dizer que são um pouco mais fáceis de justificar desde que os argumentos mostrem um ganho ao negócio É o que chamamos de Entrega de Valor ao Cliente Quando falamos de segurança de uma infraestrutura de rede pensamos em datacenters robustos verdadeiras salascofre rede elétrica estabilizada com potentes nobreaks e geradores de grande porte além de robôs automatizados LEITURA COMPLEMENTAR 42 UNIDADE 1 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO de backup Contudo se avaliarmos de forma mais detalhada veremos que há outras inúmeras ações a serem estudadas para a garantia de um nível adequado de segurança da infraestrutura da rede Todas as ações estão organizadas na Norma ABNT NBR ISOIEC 270022005 Código de Prática para a Gestão de Segurança da Informação A norma tem como objetivo auxiliar a implantação a manutenção e a melhoria contínua dos controles de segurança da informação padronizando diretrizes e procedimentos que auxiliarão a organização na sua gestão A Norma ISO 27002 possui 133 controles divididos em 11 seções que abrangem a segurança da informação em todos os seus aspectos tratando de ferramentas processos e pessoas Além da proteção física dos ativos a norma apresenta uma série de recomendações que visam proteger a informação em três fundamentais aspectos Confidencialidade Este aspecto da informação visa garantir que somente as pessoas previamente autorizadas tenham acesso à informação No caso por exemplo utilizamos sistemas com contas de acesso exclusivas senhas individuais e softwares de criptografia para proteger o acesso e a comunicação dos dados Integridade Garantir que a informação permaneça autêntica e que se for alterada seja somente por pessoas autorizadas A integridade é importante principalmente para garantir a autenticidade de informações disponibilizadas publicamente Tal tipo de informação deve ser preservado para que ninguém altere o conteúdo ou autor Disponibilidade Garantir que a informação esteja disponível sempre que for necessário para as pessoas autorizadas Para atingir o objetivo é que utilizamos sistemas de backup links redundantes e servidores de contingência por exemplo Não necessariamente uma informação deve possuir esses três aspectos para garantir proteção De acordo com a classificação da informação é que o proprietário poderá definir o nível adequado de segurança Para garantir esses três fundamentais aspectos da segurança da informação a Norma ISO 27002 abrange em suas 11 seções uma série de ações que envolvem soluções tecnológicas documentação de processos e conscientização de pessoas A seguir temos um resumo da Norma Política da Segurança da Informação Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes Organizando a Segurança da Informação Estrutura de gerenciamento para iniciar e controlar a implementação da segurança da informação na organização TÓPICO 3 VULNERABILIDADES AMEAÇAS E RISCOS 43 Gestão de Ativos Alcançar e manter a proteção adequada dos ativos da organização Segurança em Recursos Humanos Assegurar que os funcionários fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis Ainda reduzir o risco de furto roubo fraude ou mal uso de recursos Segurança Física e do Ambiente Prevenir o acesso físico não autorizado danos e interferências com as instalações e informações da organização Gestão das Operações e Comunicações Garantir a operação segura e correta dos recursos de processamento da informação Controle de Acesso Controlar o acesso à informação com base nos requisitos de negócio e segurança da informação Aquisição Desenvolvimento e Manutenção de Sistemas de Informação Garantir que a segurança seja parte integrante dos sistemas da informação Gestão de Incidentes de Segurança da Informação Assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de informação sejam comunicados permitindo a tomada de ação em tempo hábil Gestão da Continuidade do Negócio Não permitirá interrupção das atividades dos negócios É preciso proteger os processos críticos contra falhas ou desastres significativos além de assegurar a retomada em tempo hábil Conformidade Adequar os requisitos de segurança para não permitir a violação de regulamentações ou leis estabelecidas além de obrigações contratuais Nas 11 seções da Norma temos uma que trata exclusivamente da segurança física para proteção da informação tema central deste artigo A seção possui 13 itens de controle para serem aplicados de acordo com a necessidade de cada organização Eles estão distribuídos da seguinte forma 1 Segurança Física e do Ambiente 11 Áreas seguras 111 Perímetro de segurança física 112 Controles de entrada física 113 Segurança em escritórios salas e instalações 114 Proteção contra ameaças externas e do meio ambiente 44 UNIDADE 1 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO 115 O trabalho em áreas seguras 116 Acesso do público áreas de entrega e de carregamento 12 Segurança de equipamentos 121 Instalação e proteção do equipamento 122 Utilidades 123 Segurança do cabeamento 124 Manutenção dos equipamentos 125 Segurança de equipamentos fora das dependências da organização 126 Reutilização e alienação segura de equipamentos 127 Remoção de propriedade Com base nesses controles serão apresentadas algumas sugestões de como sua organização pode elevar o nível de segurança A implementação dos controles da seção 1 Segurança física e do ambiente traz mais do que uma proteção para a informação Esses controles contribuem para a proteção dos ativos que representam valor para a organização incluindo equipamentos e recursos humanos Com essa visão já começamos a mudar o ponto de vista antes voltado apenas para o departamento de TI mas agora abrindo o horizonte para mostrar os benefícios da organização incluindo o bem estar das pessoas 2 Áreas Seguras Em todas as organizações existem áreas em que é permitida a circulação livre de pessoas e materiais Por outro lado há também áreas restritas onde a circulação de pessoas e materiais deve ser controlada para preservar algo de valor para a organização ou para garantir a segurança das pessoas Para implementar uma ou mais áreas seguras na organização é necessário identificar quais ativos desejase proteger e por quais razões garantindo a proteção adequada ao valor do ativo Não faz sentido construir um muro alto de concreto com cerca elétrica para proteger um barraco simples de madeira Também não adianta nada comprar um palácio decorado com ouro e não querer protegêlo com muros para não ofuscar sua beleza Com essas informações bem definidas podese começar a adotar os controles necessários discutidos na sequência TÓPICO 3 VULNERABILIDADES AMEAÇAS E RISCOS 45 3 Perímetro de Segurança Física O perímetro de segurança física é um delimitador uma barreira que tem como objetivo controlar restringir ou impedir o acesso a determinado local ou determinado objeto Em uma organização encontramos ou deveríamos encontrar uma combinação de barreiras para limitar o acesso a determinados pontos As barreiras podem ser físicas ou combinadas com recursos lógicos Exemplos de barreiras puramente físicas são portarias recepções cercas muros e catracas comuns No caso de barreiras com recursos lógicos empregados temos como exemplos portas ou catracas com fechaduras eletrônicas abertas por crachás senhas ou leitor biométrico muito usado atualmente Alarmes e Circuitos Internos de TV CFTV também são considerados barreiras que auxiliam na proteção do ambiente Esses recursos em sua maioria já são utilizados nas organizações mas muitas vezes falta uma administração correta Inúmeras vezes conseguimos entrar sem a devida identificação em empresas que possuíam portarias e recepções bem equipadas mas com pessoas mal treinadas Bastava um pouco de conversa e o acesso era liberado 4 Controles de Entrada Física Além dos perímetros para criar barreiras que dificultem o acesso à organização e que protejam os ativos em geral incluindo as pessoas é necessário um cuidado maior com os locais identificados como áreas seguras Nesses locais o acesso só pode ser realizado por meio de credenciais que possam validar a presença da pessoa no ambiente como o uso de crachás magnéticos cartões eletrônicos ou senhas para fechaduras de portas e catracas eletrônicas Atualmente vem se destacando no setor o uso da biometria Além desses recursos tecnológicos a adoção de procedimentos por parte de todos os funcionários da organização é fundamental Todos devem estar cientes das suas responsabilidades como manter sempre visível sua identificação e exigir dos visitantes o mesmo sejam eles clientes ou fornecedores Todos os visitantes devem ser identificados em uma recepção onde seus dados serão registrados e armazenados para eventuais consultas Os visitantes devem ser supervisionados ou acompanhados por alguém responsável na organização 5 Segurança em Escritórios Salas e Instalações Com a descentralização das informações que antes ficavam nos mainframes dos antigos CPD se hoje se encontram fragmentadas em toda a rede ficou difícil estabelecer limites físicos para proteger os ativos especialmente nos dias atuais em que a mobilidade virou requisito obrigatório em qualquer tipo de negócio Portanto determinado tipo de controle só tem validade quando combinado com outros controles que previnem o acesso da informação fora das áreas seguras 46 UNIDADE 1 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO De qualquer forma ainda há diversos ambientes de trabalho com equipamentos fixos desktops impressoras copiadoras faxes pen drives e onde a informação a ser protegida não está apenas no formato digital mas em formato impresso também Pensando nisso a organização deve proteger o acesso a esses ambientes para evitar furto roubo de ativos ou acesso às informações importantes O uso de armários com fechaduras política de mesa limpa para não deixar documentos expostos e bloqueio para evitar o acesso não autorizado aos sistemas da empresa durante a ausência do usuário são alguns exemplos de recursos que podem ser utilizados 6 Proteção Contra Ameaças Externas e do Meio Ambiente Toda a organização deve mapear a quais ameaças externas e do meio ambiente ela está exposta de acordo com as características da região e do setor de mercado Uma empresa localizada próxima à passagem de rios deve adotar proteções específicas contra enchentes Uma empresa que trabalha com produtos altamente inflamáveis deve ter sua central de processamento em local afastado das áreas com grandes riscos ou ainda empresas próximas a centros de detenções ou penitenciárias devem ter planos de continuidades bem definidos pois na realidade do nosso país é comum a ocorrência de rebeliões que acabam isolando as áreas próximas inclusive a empresa e seus funcionários 7 O Trabalho em Áreas Seguras Áreas seguras não devem ser identificadas facilmente Parece contraditório mas se você analisar somente quem precisa exercer suas atividades no local é que tem que saber que aquele ambiente fechado é uma área segura É comum encontrar em muitas empresas placas indicando claramente SALA DE SERVIDORES ou SALA DE MONITORAMENTO Ninguém precisa saber que ali estão todos os seus servidores ou todos os registros de filmagem Se um fornecedor prestar algum tipo de suporte nesses locais ele deverá ser acompanhado por alguém que sabe onde ficam os equipamentos Todo o trabalho deve ser monitorado principalmente quando se tratar de visitante fornecedor ou terceiro Este deve ter acesso somente às informações necessárias para execução do trabalho Nessas áreas devese evitar o uso de câmeras fotográficas ou de filmagem a não ser com expressa autorização da área responsável 8 Acesso do Público Áreas de Entrega e de Carregamento Essas áreas onde circulam muitas pessoas devem ser sempre que possível afastadas das áreas seguras da empresa evitando o acesso não autorizado de entregadores por exemplo Locais onde são realizados atendimentos públicos devem ser protegidos para evitar o roubo de ativos ou acesso aos sistemas sem autorização TÓPICO 3 VULNERABILIDADES AMEAÇAS E RISCOS 47 9 Segurança de Equipamentos Os equipamentos que armazenam e processam as informações devem ser protegidos contra ameaças físicas e do ambiente para garantir a tríade básica da segurança da informação confidencialidade disponibilidade e integridade e consequentemente garantir a continuidade dos negócios evitando assim prejuízos para a organização Neste item é que podem ser encontrados alguns dos principais argumentos para o investidor em tecnologia atender aos requisitos da Norma ISO27002 Contudo vale lembrar que a aquisição de tecnologias e o apoio de processos bem desenhados e da capacitação de pessoas não proverão os resultados esperados 10 Instalação e Proteção do Equipamento Todos os equipamentos devem ser instalados em ambientes adequados protegidos contra ameaças físicas e do meio ambiente Deixar equipamentos expostos à poeira altas temperaturas vibrações ou interferências elétricas pode comprometer sua durabilidade afetando a integridade e a disponibilidade das informações Muitos departamentos de TI adotam ambientes com controle de temperatura umidade e de alimentação elétrica mas às vezes esquecem detalhes como excesso de vibração e acomodação correta dos equipamentos Em ambientes industriais devese evitar instalar os servidores em locais que possam vibrar devido ao impacto de prensas ou durante a passagem de veículos pesados Outro cuidado necessário é a restrição da entrada de alimentos bebidas e materiais químicos e inflamáveis dentro do ambiente onde estão alocados os equipamentos de informática 11 Utilidades Todo o sistema que provê alimentação elétrica suprimento de água e climatização do ambiente é identificado com nome de Utilidade Esses sistemas permitem que os equipamentos que armazenam e processam as informações estejam sempre disponíveis evitando paradas abruptas que poderiam comprometer a integridade dos dados O uso de sistemas de suprimento ininterrupto de energia ou UPS Uninterruptible Power Supply como nobreaks por exemplo é algo até que comum na realidade das pequenas e médias empresas Contudo isso por si só acaba não trazendo benefícios reais para a organização pois se não forem tomadas medidas preventivas o nobreak acaba se tornando apenas mais um acessório na sala dos servidores O nobreak tem como principais funções estabilizar qualquer variação na alimentação da energia elétrica e manter por um breve período o fornecimento de energia o suficiente para que todos os equipamentos conectados possam ser desligados corretamente Em situações em que os equipamentos não podem sofrer qualquer tipo de interrupção se faz necessário o uso de geradores de 48 UNIDADE 1 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO energia A manutenção preventiva e a realização de testes periódicos para checar sua autonomia e sua capacidade são requisitos fundamentais 12 Segurança do Cabeamento Por mais trivial que possa parecer manter esse requisito em plena conformidade é uma das tarefas mais difíceis devido à cultura enraizada de Disponibilidade a qualquer custo Com a crescente expansão dos equipamentos tecnológicos a necessidade de disponibilizar pontos de rede e de telefone é essencial porém há pressão em concluir as solicitações da organização uma série de extensões das conexões em cascata mal projetadas que resultam em baixa qualidade do sinal afetando a performance de toda a rede Às vezes o próprio departamento de TI assume a responsabilidade de puxar cabos da rede para aumentar a distribuição de pontos Só que saber puxar cabos e crimpar os conectores não é a única preocupação que se deve ter O cabeamento lógico rede e telefone deve ser separado dos cabos que conduzem energia elétrica evitando interferências magnéticas Ainda em todo o percurso o cabeamento lógico deve ser protegido em conduits e canaletas para evitar interceptações não autorizadas Manter os cabos devidamente identificados e ter em mãos um diagrama de toda sua distribuição são requisitos obrigatórios para qualquer departamento de TI bem administrado Qual o impacto que o negócio pode sofrer caso um cabo de comunicação seja rompido ou danificado durante a realização de alguma obra ou reforma na empresa Qual será o custo para a empresa ao solicitar uma manutenção ou expansão da rede de comunicação quando o fornecedor se deparar com o trabalho extra que ele terá para executar o serviço justamente por não ter qualquer informação previamente em mãos Quanto tempo a equipe de TI perde durante a realização de suporte técnico e manutenção na rede tentando localizar possíveis gargalos que deixam a rede lenta Como identificar pontos de rede sem a documentação e as ferramentas corretas Se o gestor conseguir mensurar esses custos ele terá melhores condições de negociar com a alta direção os investimentos necessários para adequar sua estrutura dentro de um padrão aceitável 13 Manutenção dos Equipamentos Infelizmente quando falamos em manutenção somos levados a pensar em consertos algo reativo quando na verdade o objetivo da manutenção é preventivo Evitar que os equipamentos que suportam toda a operação da organização parem de funcionar é um dos principais objetivos do controle Todas as manutenções realizadas devem ser antecipadamente programadas dentro de intervalos periódicos e todas as ações devem ser registradas para manter um histórico de eventuais problemas que auxiliará na tomada de decisões futuras TÓPICO 3 VULNERABILIDADES AMEAÇAS E RISCOS 49 14 Segurança de Equipamentos Fora das Dependências da Empresa Hoje é um dos pontos mais críticos da segurança da informação Manter um nível de proteção dentro dos limites físicos das organizações já é uma tarefa difícil ainda mais quando exposto às diversas ameaças do ambiente externo No aspecto em questão somente a combinação de ferramentas processos e pessoas trará algum efeito positivo Com toda a evolução do conceito de mobilidade sendo aplicado aos negócios é natural que algumas medidas preventivas devam ser tomadas evitando que todas as medidas de proteção adotadas internamente também tenham algum efeito externamente O uso de dispositivos móveis como notebooks smartphones celulares câmeras digitais pen drives e tablets expõe a disponibilidade a integridade mas principalmente a confidencialidade das informações O roubo ou a perda desses dispositivos pode trazer graves consequências e prejuízos imensuráveis à organização Para reduzir os riscos dessa exposição e os graves impactos caso essas ameaças se concretizem as seguintes medidas devem ser tomadas Criptografar as informações contidas em dispositivos móveis Fazer o uso de senhas fortes inclusive em dispositivos como celulares Manter uma cópia atualizada dos dados armazenados nos dispositivos Transportar os equipamentos de forma discreta e protegida contra impactos e exposições a variações de temperaturas e agentes químicos Treinar os usuários sobre as melhores práticas em segurança da informação e conscientizar o time do uso aceitável desses dispositivos 15 Reutilização e Alienação Segura de Equipamentos Este controle passa despercebido em grande parte das empresas Quando tratamos da reutilização e alienação ou descarte de equipamentos tecnológicos as principais preocupações das organizações são cumprir regulamentações ambientais evitando descarte de componentes que possam contaminar o meio ambiente e atender questões de responsabilidade social realizando doações a ONGs e institutos educacionais Tão importante como essas questões está o fato de que muitas vezes informações sensíveis da empresa acabam sendo esquecidas nas unidades de armazenamento dos equipamentos como computadores e copiadoras O simples ato de formatar o disco rígido de um computador não é garantia de que a informação não possa ser recuperada O mercado de recuperação de discos tem evoluído de forma crescente tanto para o bem quanto para o mal Essas ferramentas são facilmente encontradas na Internet e para quem não tem conhecimento técnico no assunto tem à disposição inúmeras empresas especializadas Mesmo discos com problemas físicos podem ter informações restauradas 50 UNIDADE 1 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO Para evitar incidentes todo o equipamento que não for mais utilizado e que contenha dados gravados deve ter suas unidades de armazenamento destruídas fisicamente observando os cuidados com a segurança do funcionário Para equipamentos que possuam informações sensíveis e se forem reutilizados em outros departamentos ou doados para alguma ONG ou instituição devem ter seus dados apagados com softwares específicos evitando apenas o recurso básico de formatação Mesmo que seja para doação devese avaliar a importância das informações gravadas e se for pertinente doar o equipamento sem a unidade de armazenamento 16 Remoção de Propriedade A retirada de equipamentos de dentro das organizações seja para realocação ou para manutenção externa deve ser feita de forma controlada registrando sua saída e se for o caso sua entrada na organização Em muitas empresas o controle é rigoroso com emissão de nota fiscal de saída e com autorização formal para liberação na portaria Contudo em outras empresas por se ter um contato constante com a assistência técnica a informalidade ganha espaço A facilidade para liberar a saída do equipamento pode fazer com que dados sensíveis acabem sendo entregues em mãos de terceiros que muitas vezes não possuem qualquer precaução para preservar a integridade e a confidencialidade das informações Todo o processo deve ser registrado e acompanhado por um responsável para evitar a perda de ativos para a organização No decorrer deste artigo foi possível ver que a Norma ISO 27002 é muito abrangente abordando vários aspectos no tratamento da informação Para o departamento de TI existem várias recomendações que devem ser avaliadas para que a área possa fornecer suporte ao negócio Quando o departamento de TI consegue mensurar a importância das suas ações consegue obter com mais facilidade os recursos necessários para prover os serviços com qualidade a toda organização Como base inicial de qualquer ação de melhoria no departamento de TI em relação à segurança a Norma dispõe de várias recomendações que são mais fáceis de mensuração melhorias que são visualmente percebidas pelas demais áreas Portanto seus resultados são práticos diferentemente de ações que envolvem mudança cultural como políticas e treinamentos que só são percebidas ao longo do tempo Contudo todas essas ações precisam acontecer para que a segurança possa realmente agregar valor ao negócio lembrando que a segurança da informação é sustentada por ferramentas processos e pessoas FONTE CHANNEL360 Segurança física dos ativos conhecendo a Norma ISO 27002 2019 Disponível em httpswwwchannel360combrsegurancafisicadosativosconhecendoa normaiso27002 Acesso em 4 jun 2020 51 RESUMO DO TÓPICO 3 Neste tópico você aprendeu que Todas as empresas e organizações possuem vulnerabilidades Precisamos estar cientes de algo a quais ameaças nossos ativos estão sujeitos Riscos podem ser minimizados desde que tenhamos políticas de prevenção Devemos fazer uma análise da probabilidade e os impactos em um incidente de segurança da informação Ficou alguma dúvida Construímos uma trilha de aprendizagem pensando em facilitar sua compreensão Acesse o QR Code que levará ao AVA e veja as novidades que preparamos para seu estudo CHAMADA 52 1 Foi solicitado para uma empresa de consultoria um levantamento dos perigos que podem ocorrer Durante o processo foram encontrados vários eventos que podem ter um efeito prejudicial sobre a confiabilidade da informação O nome do evento é a Uma dependência por ter um efeito negativo sobre a confiabilidade da informação b Uma vulnerabilidade um possível evento que pode ter um efeito negativo sobre a confiabilidade da informação c Um risco um possível evento que pode ter um efeito negativo sobre a confiabilidade da informação d Uma ameaça um possível evento que pode ter um efeito negativo sobre a confiabilidade da informação 2 A segurança da informação para muitas organizações é um ponto que exige extrema atenção pois é vital para a sobrevivência das organizações na era da informação Existem diversos problemas que podem assombrar as organizações desde o roubo de equipamentos até a violação dos dados Sobre a segurança da informação considere I Risco probabilidade de uma fonte de ameaça explorar uma vulnerabilidade ocasionando um impacto para a organização II Ameaça Fragilidade de um ativo que pode ser explorada por uma ou mais ameaças III Vulnerabilidade Resultado gerado por uma ameaça ao explorar uma vulnerabilidade IV Impacto Causa potencial de um incidente indesejado Resultado gerado por uma ameaça ao explorar uma vulnerabilidade Está CORRETO o que consta apenas em a Somente a opção I b As alternativas II e III estão corretas c As alternativas I e III estão corretas d As alternativas II e IV estão corretas e As alternativas III e III estão corretas 3 A vulnerabilidade está relacionada ao ponto fraco de um ativo ou seja pode ser entendida como uma fragilidade Nesse sentido analise as afirmativas a seguir I Erros durante a instalação de hardwares e falha nos recursos tecnológicos não podem ser considerados exemplos de vulnerabilidade II Erros na instalação ou na configuração de softwares podem gerar acessos indevidos vazamento de informações e perda de dados AUTOATIVIDADE 53 III A vulnerabilidade tratase de um erro de procedimento falha de um agente ou má configuração dos aplicativos de segurança Quando isso ocorre há o rompimento de um ou mais princípios da segurança da informação Assinale a alternativa CORRETA a Apenas as afirmativas I e II estão corretas b Apenas as afirmativas II e III estão corretas c Apenas as afirmativas I e III estão corretas d Todas as afirmativas estão corretas 55 UNIDADE 2 FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO OBJETIVOS DE APRENDIZAGEM PLANO DE ESTUDOS A partir do estudo desta unidade você deverá ser capaz de entender como um plano de segurança é desenvolvido pela organização conseguir o engajamento de todos os envolvidos compreender uma política de segurança da informação conhecer alguns exemplos de políticas para o entendimento do assunto Esta unidade está dividida em três tópicos No decorrer da unidade você encontrará autoatividades com o objetivo de reforçar o conteúdo apresentado TÓPICO 1 PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO TÓPICO 2 ENTENDENDO A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO TÓPICO 3 CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Preparado para ampliar seus conhecimentos Respire e vamos em frente Procure um ambiente que facilite a concentração assim absorverá melhor as informações CHAMADA 57 UNIDADE 2 1 INTRODUÇÃO Para alguns a palavra segurança vem associada ao perigo pois se for preciso pensar em segurança é necessário pensar nos riscos a que estou exposto Com o passar dos anos com o aumento da responsabilidade seja pessoal ou profissional a preocupação com a segurança aumenta A preocupação com segurança não é algo novo Segundo Baars Hintzbergen e Hintzbergen 2015 p 1 as raízes da segurança de TI têm mais de 2000 anos de idade Os egípcios utilizavam hieróglifos não padronizados esculpidos em monumentos e os romanos inventaram a chamada cifra de César para criptografar mensagens Além disso a segurança física é muito antiga Indo além pense em quantas estruturas hoje consideradas monumentos históricos que foram construídas para aumentar a segurança como a grande Muralha da China Atualmente de maneira mais discreta continuamos buscando segurança Começaremos nossos estudos conhecendo os conceitos que baseiam as políticas de segurança da informação Apresentaremos conceitos modelos para que você possa desenvolver e especialmente aplicar 2 PLANEJAMENTO ESTRATÉGICO DA SEGURANÇA DA INFORMAÇÃO PESI Você já deve ter ouvido a seguinte expressão se não sabe para onde está indo então qualquer direção serve Em segurança da informação é o mesmo se você não conhece os seus ativos não sabe a quais riscos estão expostos então qualquer proteção serve É importante saber os cenários para que haja um processo coerente e especialmente aderente por todos em relação à segurança da informação nas organizações Para resolver é fundamental a existência de política e dos demais regulamentos de proteção da informação Somente através dessas políticas que os limites e direcionamentos que a organização busca em relação à proteção dos seus ativos são alcançados FONTES 2012 TÓPICO 1 PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO UNIDADE 2 FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO 58 Empresas que atuam na bolsa de valores ou que são do segmento financeiro são obrigadas por lei a ter políticas de segurança como nos Estados Unidos por causa da Lei SarbanesOxley Como essa lei é aplicada ao mercado americano as empresas brasileiras que buscam passar mais credibilidade e segurança em relação às informações financeiras devem estar em conformidade com a SOX Vale reforçar que além da credibilidade e segurança as empresas que seguem os princípios da Lei SarbanesOxley têm mais oportunidade de destaque nos cenários nacional e internacional CAMARGO 2017 As empresas brasileiras que se adequam ou buscam se adequar à SOX devem ter mecanismos para identificar riscos definir e avaliar os ambientes Conheça a lei aplicada nos EUA em httpsportaldeauditoriacombrintroducaoleisarbanesoxleysox DICAS Em alguns casos a própria conscientização das empresas na busca da sustentabilidade dos negócios percebe a necessidade da organização estruturação e controles mais adequados em relação à segurança da informação O processo de segurança da informação existe para possibilitar que a organização utilize de maneira confiável os recursos que suportam as informações necessárias para as suas atividades estratégicas táticas e operacionais Vejamos a definição sobre segurança da informação segundo Fontes 2012 p 8 A segurança da informação deve estar ligada diretamente aos objetivos do negócio A segurança da informação não deve existir para ela mesma o processo de segurança da informação por si só não tem valor a segurança da informação deve existir para atender à organização e aos seus objetivos de negócio Peltier 2004 reforça indicando que para garantir que os objetivos de negócio sejam alcançados no tempo previsto e de uma maneira eficiente padrões e políticas eficazes devem existir na organização Complementa ao indicar que a criação de políticas padrões e procedimentos deve ser benéfica para a organização Nenhuma política deve ser criada para garantir que a organização esteja em conformidade com os requerimentos da auditoria Políticas padrões e procedimentos são criados para garantir que a organização atenda aos requisitos legais e às obrigações contratuais para com seus clientes acionistas funcionários e demais colaboradores Ainda segundo Fontes 2012 p 8 é fundamental termos em mente que as regras e os controles de segurança da informação não são desenvolvidos para atender à própria segurança mas eles são implantados para proteger os recursos de informação que são utilizados operacionalmente para o funcionamento da organização e para o atendimento dos objetivos TÓPICO 1 PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 59 Vale reforçar que a proteção é importante para todas as organizações por isso a NBR ISOIEC 27002 2005 indica explicitamente que o processo de segurança da informação se aplica a todas as empresas e a todos os segmentos independentemente se são públicos ou privados com ou sem fins lucrativos FONTES 2012 Todo processo que envolve segurança da informação somente tem sucesso se a sua implantação for uma decisão estratégica da organização e consequentemente a direção apoie explicitamente o desenvolvimento a implantação e a manutenção do processo de proteção da informação Para dar suporte a NBR ISOIEC 27001 fornece um modelo para estabelecer implantar operar monitorar analisar criticamente manter e melhorar um Sistema de Gestão de Segurança da Informação SGSI conforme as necessidades FONTES 2012 FIGURA 1 NÍVEL DE DECISÃO FONTE Adaptado de Bezerra 2014 Como podemos observar é importante que a decisão venha de cima pois assim as chances de aderência e comprometimento são maiores Assim listamos os principais aspectos da segurança da informação que todos de uma organização devem conhecer É importante ressaltar que nenhum plano terá sucesso se não for utilizado Por isso Fontes 2008 desenvolveu uma lista para que todo executivo conheça independentemente se tem ou não conhecimento de segurança da informação A segurança da informação não é um assunto somente de tecnologia mas uma decisão empresarial como um todo Muitas organizações pecam em transferir toda a responsabilidade para a área de TI Não basta apenas possuir soluções técnicas como programas de antivírus achando que são o suficiente FONTES 2008 UNIDADE 2 FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO 60 Como sendo uma decisão que afeta todos é necessário investimento A proteção não vai acontecer por milagre Por isso a proteção das informações já deve fazer parte dos requisitos de negócio da organização A segurança da informação deve ser tratada com profissionalismo Deve ter normas políticas e regulamentos FONTES 2008 Como já foi apontado na Unidade 1 cada usuário deve ter acesso somente ao que é pertinente para a execução da sua atividade profissional O funcionário da produção talvez não precise ter acesso aos cadastros e folha de pagamento dos funcionários Uma solução para o problema é a criação de um controle a partir do proprietário da informação Com o gestor de RH informar quem pode ou não acessar a informação FONTES 2008 As normas de segurança devem ser aplicadas a todos funcionários prestadores de serviço terceirizados consultores e trabalhadores temporários Todos são colaboradores e devem ser contemplados no processo de segurança da informação Os parceiros da sua organização devem ter o mesmo nível de comprometimento pois se um funcionário não pode fazer uso do celular em determinado ambiente os terceiros também não podem Os ativos da informação só estão seguros se todas as pessoas da organização participarem FONTES 2008 A aplicação da segurança da informação nas organizações é um processo que não termina nunca e que não existe por si só Ela existe para possibilitar que o negócio da organização aconteça de forma protegida uma decisão empresarial Por isso a utilização do ciclo PDCA 3 SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO SGSI Antes da criação das políticas e normas de segurança que serão aplicadas na organização sugerese a criação de um Sistema de Gestão da Segurança da Informação SGSI lembrado que aqui sistemas não têm conotação de software É um sistema de gestão corporativo voltado para a segurança da informação que inclui toda a abordagem organizacional usada para proteger a informação empresarial e seus critérios de confidencialidade integridade e disponibilidade No sistema estão as estratégias planos políticas medidas controles e diversos instrumentos usados para estabelecer implementar operar monitorar analisar criticamente manter e melhorar a segurança da informação PALMA 2017 TÓPICO 1 PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 61 FIGURA 2 NORMA ISOIEC 27002 FONTE Adaptado de Coelho Araújo e Bezerra 2014 Soula 2013 p 549 afirma que o gerente da segurança da informação deve entender que segurança não é somente um passo dentro do ciclo de vida de serviços e sistemas e que a segurança não pode ser resolvida somente através da tecnologia Na Unidade 1 Tópico 3 vimos como um ativo de informação tem valor para as organizações e que estas estão suscetíveis a ameaças FONTE Soula 2013 p 552 FIGURA 3 CONTROLES DE SEGURANÇA UNIDADE 2 FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO 62 Soula 2013 afirma que a segurança da informação deve ser parte integral de todos os serviços e sistemas além de ser uma prática diária e que precisa ser continuamente gerenciada através de um conjunto de controles de segurança preventivos redutivos detectivos repressivos e corretivos conforme detalhados individualmente Os controles preventivos são medidas de segurança que são desenvolvidas e utilizadas para impedir que um incidente de segurança ocorra O exemplo mais conhecido de medida preventiva é a alocação de direitos de acesso a um grupo limitado de pessoas autorizadas Somente quem tem necessidade de uma informação ou acesso a determinado local deve acessálo SOULA 2013 Os controles redutivos são medidas que podem ser tomadas com antecedência buscando minimizar possíveis danos Podemos exemplificar como os backups regulares e o desenvolvimento o teste e a manutenção de planos de contingência SOULA 2013 O tempo de resposta a um incidente é de suma importância por isso existem os controles detectivos Eles se referem ao tempo de detecção de um incidente Um exemplo do controle é o monitoramento associado a um procedimento de alerta Por exemplo uma detecção de um ataque malicioso em um servidor SOULA 2013 Nos controles repressivos segundo Soula 2013 p 551 as medidas são usadas para neutralizar qualquer continuação ou a repetição do incidente de segurança Por exemplo um endereço de conta ou rede é temporariamente bloqueado após inúmeras tentativas frustradas de login Já no controle corretivo segundo Soula 2013 p 551 o dano é reparado usando medidas corretivas Por exemplo medidas corretivas incluem a restauração do backup ou retornar a uma situação estável anterior rollback backout Além dos controles apresentados por Soula 2013 ele também indica algumas atividadeschaves que devem ocorrer dentro do processo de gerenciamento da segurança da informação Produção e revisão da política de segurança da informação e das políticas específicas de suporte Comunicação implementação e reforço da política de segurança Avaliação e classificação de todas as informações dos ativos e sua respectiva documentação Implementação revisão e aplicação de melhorias no conjunto de controles de segurança e avaliações de riscos e respostas a esses riscos Por exemplo conceder medidas que bloqueiam o acesso a um serviço quando são realizadas múltiplas tentativas sem sucesso senha incorreta Assim a central de serviços da organização deve ser capaz de restaurar o acesso aos clientes existentes Monitoração e gerenciamento de todas as quebras de segurança relacionadas à aplicação e infraestrutura e maiores incidentes de segurança TÓPICO 1 PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 63 Análise relatórios e redução dos volumes de incidentes e impactos de quebras na segurança Programação e realização completa das revisões de segurança auditorias e testes de invasão em sistemas SOULA 2013 p 552 Após o entendimento da necessidade da criação dos controles de segurança percebese que é um processo cíclico e segundo a Norma NBR ISO IEC 27001 deve ser desenvolvido de maneira escalonada com o seguinte Modelo PDCA PlanDoCheckAct que permite o Planejamento a Operação a Avaliação e a Melhoria contínua da segurança da informação FONTES 2008 FONTE Adaptado de Doyle 2016 FIGURA 4 CICLO PDCA Vale ressaltar que a segurança da informação é padronizada por meio da família de normas ISO 27000 tendo por objetivo a proteção das informações organizacionais e ativos de TI Ainda duas normas são mais conhecidas a ISO 27001 que é o modelo focado em determinar implantar operar monitorar rever manter e melhorar um Sistema de Gestão da Segurança da Informação e o modelo ISO 27002 que estabelece o código de práticas para a Segurança da Informação É interessante termos o conhecimento da norma para a correta criação das políticas de padronização A ISO 27001 traz uma abordagem da implementação da segurança da informação para organizações com base na estrutura do ciclo UNIDADE 2 FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO 64 PDCA seguindo os passos a seguir PLAN ocorre o entendimento dos requisitos e da necessidade de se ter uma política de segurança da informação DO momento da implementação e operação dos controles para gerenciamento dos riscos CHECK começa o monitoramento do desempenho e da eficácia da política de segurança da informação ACT análise e promoção da melhoria contínua 4 COMO IMPLEMENTAR O CICLO PDCA As atividades para a implantação do ciclo PDCA ficam divididas em quatro etapas da seguinte maneira Planejamento o primeiro passo é a definição do escopo e da política do Sistema de Gestão de Segurança da Informação SGSI Para isso devese realizar uma abordagem de análise dos riscos que podem afetar a segurança dos dados e dos ativos da organização Nesta etapa a metodologia deve ser definida assim como os critérios para a aceitação de riscos e qual o nível aceitável Independentemente da metodologia escolhida ela deve assegurar que as análisesavaliações de riscos produzam resultados comparáveis e reproduzíveis Além disso todo o processo de análise e avaliação de risco deve estar documentado A avaliação dos riscos deve incluir as seguintes identificações identificação dos ativos e dos seus proprietários inventários e das ameaças que podem comprometêlos causas potenciais de incidentes identificação das vulnerabilidades nos processos e dos impactos que a perda de integridade e confidencialidade pode causar nos ativos da empresa avaliação dos riscos incluindo impacto para o negócio probabilidade real de ocorrência de falhas e estimativa dos níveis de riscos determinação se os riscos são aceitáveis ou se requerem tratamento identificação e avaliação das opções para o tratamento de riscos como a aplicação dos controles apropriados medidas preventivas e transferência do risco com a contratação de um seguro Implementação e operação do SGSI esse é o momento de implementar o plano de tratamento dos riscos elaborado na primeira etapa É preciso colocar em prática os controles selecionados além de buscar uma forma de medir a eficácia Além disso é o momento de implementar programas para conscientizar treinar a equipe interna e gerenciar as operações e os recursos do SGSI garantindo a detecção e resposta imediata aos incidentes de segurança da informação TÓPICO 1 PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 65 Monitoramento e análise crítica do SGSI é a hora de checar se a implantação do Sistema de Gestão de Segurança da Informação está funcionando É preciso executar os procedimentos de monitoramento e análise crítica da eficácia dos controles e da política de segurança Auditorias internas devem ser conduzidas para garantir a conformidade com as normas ISO 27000 e os planos de segurança devem ser atualizados considerando os resultados dos processos de avaliação e monitoramento No momento é preciso estar atento a toda e qualquer ação que gere impacto na eficácia do desempenho do seu SGSI Manutenção e melhoria contínua do SGSI por último o processo de agir mantém e melhora o Sistema de Gestão de Segurança da Informação por meio de ações preventivas e corretivas com base nos resultados da revisão da gestão e reavaliação do escopo da política de segurança e dos objetivos A última etapa do ciclo PDCA é o momento de institucionalizar as melhorias identificadas e testadas nas demais fases além de executar as ações de prevenção e correção Tudo envolve a comunicação das ações de melhoria à empresa e a confirmação de que a aplicação das novas metodologias teve o efeito desejado A segurança da informação só tem êxito a partir da implementação de um conjunto de controles adequados Estão inclusas as políticas por exemplo FIGURA 5 DIVULGAÇÃO FONTE Elpescador 2016 sp A organização deve escolher como é feita a divulgação com treinamentos por exemplo ou organizar a disposição dos funcionários Também pode divulgar através de cartazes em ambientes de ampla circulação além de outras formas No próximo tópico apresentaremos formas de divulgação da PSI Agora que já vimos que uma política precisa ser revisitada com frequência observaremos como é importante ter o engajamento de todos os funcionários e prestadores no processo UNIDADE 2 FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO 66 5 O USUÁRIO FAZ A DIFERENÇA Para a melhor gestão das políticas é necessária a adesão de todos além da noção de que são pessoas que comandam a organização Todo comando executivo é formado por pessoas que definem a prioridade com que a segurança da informação é tratada dentro da organização Independentemente do ramo de negócio a segurança da informação deve ser inserida dentro da estratégia FONTES 2008 Fontes 2008 afirma que como são as pessoas que desenvolvem sistemas seja esse desenvolvimento interno ou terceirizado a estrutura de segurança deve nascer com a criação dos sistemas aplicativos pois a implementação de requisitos de segurança fica mais difícil se o sistema de informação não permite os controles adequados por exemplo níveis de acesso Se o sistema não foi projetado não há como implementar na utilização Em muitos casos Fontes 2008 alerta que as pessoas apenas pensam em proteger o computador Não têm noção do descarte indevido como jogar papel com informação confidencial no lixo sem destruir deixar informação em salas após as reuniões e comentar informações confidenciais em lugares sem garantia de sigilo como elevador táxi avião recepções de happy hour etc São atitudes que as pessoas tomam muitas vezes sem querer mas que podem prejudicar os negócios da empresa Como já vimos os agentes que pretendem invadir a organização para fraudar miram nas pessoas da organização Esses malfeitores se aproveitam do descuido e da boafé das pessoas da organização Independentemente do nível hierárquico e da condição de conhecimento técnico todos os funcionários são alvos dos que querem fraudar ou roubar informação FONTES 2008 Outro fator que Fontes 2008 menciona é que são as pessoas que seguem as políticas e normas são elas que cristalizam como a organização deseja que a proteção aconteça Assim é preciso que os usuários leiam entendam e executem os regulamentos Ainda são elas que não cumprem os regulamentos Muitas das falhas acontecem pelo não cumprimentos de normas Talvez elas não se sentem parte integrante pois às vezes simplesmente recebem uma enorme quantidade de papel contendo regulamentos e outras obrigações como a assinatura de termo de compromisso na sua contratação mas não leem ou se leem não entendem Fontes 2008 p 197 cita que saber realmente como todos se comportam e consideram as regras se dá através do exemplo do colega pelas ações da chefia e principalmente pela coerência da direção executiva Sentirse parte de alguma coisa é uma característica do ser humano ser mais do que uma simples conta de matemática ser mais do que um número na organização Por isso o Sistema de Gestão da Segurança da Informação deve explicar para as pessoas apresentando e informando os riscos sendo honesto e coerente Dessa maneira é possível conseguir o comprometimento de cada TÓPICO 1 PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 67 usuário fazendo com que todos se sintam parte e fazendo a diferença Uma única pessoa pode colocar tudo a perder pois ela pode contaminar outra pessoa com os conceitos de segurança É de responsabilidade da área de segurança orientar além de facilitar o conhecimento e a criação de uma boa cultura FONTES 2008 Dentro de uma política normalmente criase um capítulo para a sua divulgação Devem estar descritas as regras que a organização pretende utilizar A divulgação das regras e orientações de segurança aplicadas aos usuários deve ser objeto de campanhas internas permanentes disponibilização integral e contínua na Intranet seminários de conscientização e quaisquer outros meios Por isso quando desenvolver uma política é necessário definir a abrangência de cada colaborador 6 ABRANGÊNCIA Além dos objetivos princípios e requisitos do documento que está sendo construído deve deixar clara a responsabilidade do colaborador como a imposição dos limites de uso além das responsabilizações no caso da má utilização dos recursos de TI da empresa Nesta etapa podem ser inseridas as regras com relação à impossibilidade de uso de dispositivos externos em equipamentos corporativos informações sobre websites de acesso proibido recomendações de preservação do maquinário da empresa etc Uma boa PSI deve conter regras e diretrizes que orientem os colaboradores clientes e fornecedores além da própria TI da organização com relação aos padrões de comportamento ligados à segurança da informação condições de instalações de equipamentos restrições de acesso mecanismos de proteção monitoramento e controle além de outros cuidados imprescindíveis aos processos de negócio Em muitos casos é a chamada abrangência ou seja quem é afetado pela política Vejamos um exemplo A política abrange todos os colaboradores e visitantes que possuem acesso à rede FANTASIA Ltda seja acesso às informações confidenciais aos equipamentos computacionais ou aos ambientes controlados que necessitam de um login ou cartão de acesso Os funcionáriosterceiros que concordarem com a política devem registrar o conhecimento e o aceite através da assinatura do TERMO DE COMPROMISSO apresentado quando há a admissão Esse termo determina a adesão do parceiro a todas as políticas e normas internas incluindo a política em questão É importante frisar que o uso indevido dos recursos informações e ambientes em desacordo com a política pode gerar advertência suspensão e demissão a critério da direção e organização UNIDADE 2 FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO 68 A seguir apresentaremos um exemplo de como a classificação é feita em uma política Identificaremos os papéis o perfil associado e a descrição FIGURA 6 DESCRIÇÃO DE PAPÉIS FONTE Iphan 2013 p 3 Como veremos toda política além de definir o que podemos e devemos fazer também orienta quais ações devem ser tomadas em caso do não cumprimento ou violação independentemente se intencional ou não 7 VIOLAÇÃO DA POLÍTICA A própria Política de Segurança de Informações PSI deve definir quais são os procedimentos a serem tomados para cada caso de violação de acordo com a severidade a amplitude e o tipo de infrator que a perpetra BRASIL 2014 Vale ressaltar que a punição pode ser desde uma simples advertência verbal ou escrita até uma ação judicial Como podemos observar TÓPICO 1 PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 69 Segundo a Lei nº 9983 de 14 de julho de 2000 que altera o Código Penal Brasileiro prevê penas para os casos de violação de integridade e quebra de sigilo de sistemas informatizados ou banco de dados da Administração Pública O novo art 313A trata da inserção de dados falsos em sistemas de informação enquanto o art 313B discorre sobre a modificação ou alteração não autorizada dos sistemas O 1º do art 153 do Código Penal foi alterado e atualmente define penas quando da divulgação de informações sigilosas ou reservadas contidas ou não nos bancos de dados da Administração Pública O fornecimento ou empréstimo de senha que possibilite o acesso de pessoas não autorizadas a sistemas de informações é tratado no inciso I do 1º do Art 325 do Código Penal BRASIL 2014 p 11 Ainda segundo Brasil 2014 p 11 é necessária a ampla divulgação das políticas para os funcionários e terceirizados pois se todos tiverem o conhecimento não será admissível que as pessoas aleguem ignorância quanto às regras estabelecidas a fim de livrarse da culpa sobre violações cometidas Um resumo das implicações da violação das políticas deve ser desenvolvido e amplamente divulgado seja por meio de palestras de material orientativo etc Os empregados devem ser aconselhados sobre as consequências do não cumprimento das políticas e dos procedimentos de segurança Em contrapartida um programa de recompensa deve ser criado para os empregados que demonstram boas práticas de segurança ou que identificam e comunicam um incidente Os colaboradores devem ser recompensados por frustrar uma quebra de segurança e essa atitude também deve ser amplamente divulgada em toda a empresa como um artigo circular É importante que quando detectada uma violação seja feita a averiguação das causas consequências e circunstâncias em que ocorreu pois pode ter sido proveniente de um simples acidente erro ou mesmo desconhecimento da PSI Ainda pode ter sido causada por ação deliberada fraudulenta ou negligência A verificação permite que vulnerabilidades até então desconhecidas pelo pessoal da gerência de segurança passem a ser consideradas exigindo se for o caso alterações na PSI BRASIL 2014 70 Neste tópico você aprendeu que Antes de construímos uma política é necessária a adesão dos níveis estratégicos da organização A política não é um documento estático e precisa ser revistada e alterada com frequência A ferramenta PDCA é muito interessante e tem excelentes benefícios na aplicação de uma política de segurança da informação Uma política só funciona se todos a aplicarem necessários o conhecimento o entendimento e o engajamento da organização Para conseguir que o maior número de pessoas aplique as políticas a comunicação deve ser clara e falar a linguagem da equipe A criação de um sistema de gestão de segurança da informação auxilia a criação implantação e controle das políticas de segurança O ciclo PDCA é uma ferramenta muito útil na aplicação e validação das políticas de segurança Nenhuma política tem sucesso se não estiver alinhada com a cultura da organização e se não for vivenciada por todos RESUMO DO TÓPICO 1 71 1 Segundo Fontes 2008 a segurança da informação é obtida a partir da implementação de um conjunto de controles adequados incluindo políticas processos procedimentos estruturas organizacionais e funções de software e hardware Assim julgue os itens a seguir relativos à gestão de segurança da informação No modelo PDCA Plan Do Check Act aplicado aos processos do SGSI uma análise de riscos deve ser realizada somente quando houver mudança nos requisitos de segurança ou quando forem identificadas ameaças que coloquem em risco a segurança da organização a Certo b Errado 2 Leia o trecho a seguir relacionado ao modelo PDCA para estruturação de todos os processos do Sistema de Gestão da Segurança da Informação SGSI A letra C em PDCA referese ao check checar monitorar e analisar criticamente o SGSI A letra Estabelecer a política objetivos processos e procedimentos do SGSI relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização A letra Executar ações corretivas e preventivas com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente alcançando a melhoria contínua do SGSI A letra Implementar e operar a política controles processos e procedimentos do SGSI As lacunas são corretamente preenchidas respectivamente por a P Plan Planejar A Act Agir D Do Fazer b P Plan Planejar D Do Fazer A Act Agir c A Act Agir P Plan Planejar D Do Fazer d D Do Fazer P Plan Planejar A Act Agir 3 O Ciclo PDCA é creditado a W Edwards Deming referência em controle de qualidade em todo o mundo O ciclo PDCA definido por Deming como Ciclo de Shewart um físico que na década de 1920 introduziu gráficos de controle na Bell Labs baseiase nos conceitos anteriores do método científico este que envolve formular uma hipótese experimentála e avaliá la Considerando o PDCA como sendo o ciclo de Plan Planejamento Do Execução Check Avaliação ou Auditoria e Act Ação avalie as seguintes afirmações AUTOATIVIDADE 72 I Planejar Plan é estabelecer metas e processos para se atingir o objetivo Em nível organizacional contempla determinar a missão visão e objetivos II Executar Do é colocar os processos em execução para se atingir o objetivo que sigam as definições da forma como foram desenhados Somente após o término da Execução Do é acionada a Avaliação Check para por fim dar andamento à Ação Act III Agir Act se vale da etapa de Avaliação Check do ciclo que gerou relatórios demonstrando a aderência da execução final dos processos às métricas e indicadores de qualidade planejados para que sejam elaborados planos de ação para serem incluídos no planejamento e serem tratados na execução do próximo ciclo PDCA É CORRETO apenas o que se afirma em a I e II b I e III c II e III d II e I 4 Política de segurança da informação é a documentação que espelha as decisões da empresa no que diz respeito à manipulação e à proteção da informação Esse conjunto de políticas deve ser definido aprovado pela direção publicado e comunicado para a Todos os funcionários e partes externas relevantes b Apenas os diretores da empresa c Apenas os diretores e gerentes da empresa d Apenas os diretores gerentes e supervisores da empresa e Apenas os diretores gerentes supervisores e líderes de equipe da empresa 5 Na criação implantação e gestão de uma Política de Segurança da Informação PSI a O escopo deve ser apresentado apenas para os membros da alta direção visando obter apoio e confiança na criação da PSI Somente com o apoio da alta gestão será possível aplicar as políticas criadas b A área de TI deve assumir as seguintes atividades e funções escrever as regras para a PSI definir atribuições papéis e responsabilidades detalhar os procedimentos para as violações da PSI aprovar o documento com a PSI e alterações propostas pela alta direção c As regras da PSI devem ser divulgadas de forma segmentada Cada pessoa deve ter acesso apenas às regras que atingem relativamente a função ou seja a PSI deve chegar à pessoa certa com as regras certas que ela precisa conhecer O acesso integral à PSI deve ser impedido aos funcionários sob pena de a própria PSI ser colocada em risco 73 d As regras da PSI devem ter força de lei Uma vez que as regras da PSI tenham sido amplamente divulgadas não podem existir violações Caso existam quem viola deve sofrer as consequências para que a PSI não perca credibilidade A punição pode ser desde uma simples advertência verbal ou escrita até uma ação judicial e A área de TI deve realizar reuniões anuais com a alta direção para fazer uma análise crítica da PSI considerando os incidentes relatados No entanto a PSI não deve ser alterada fora do período de um ano recomendado para as reuniões a fim de que esta não seja comprometida pelo excesso ou escassez de controles 75 UNIDADE 2 1 INTRODUÇÃO Conseguir a aderência da gestão da organização é o ponto crucial para o desenvolvimento de políticas estas que devem ser seguidas e especialmente incorporadas no dia a dia de todos Feita a adesão do nível mais alto é necessário que ela seja comunicada a todos Vale ressaltar que a política deve ser criada de acordo com os negócios e a cultura da empresa devendo ser dinâmica e viva Assim deve estar sempre sendo revisitada e adequada aos cenários da organização e da tecnologia Talvez você acadêmico já estava ansioso para criar uma política de segurança da informação na sua empresa mas o sucesso de uma política está ligado a outros fatores como já vimos como tecnologia e funcionários TÓPICO 2 ENTENDENDO A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO A Política de Segurança da Informação PSI é o documento que orienta e estabelece as diretrizes organizacionais no que diz respeito à proteção de ativos de informação devendo portanto ser aplicado a todas as esferas de uma instituição NOTA 2 POLÍTICAS NORMAS E PROCEDIMENTOS Já que produtos e serviços são cada vez mais semelhantes o acesso à informação é facilitado pelos instrumentos digitais e a área da tecnologia se tornou carrochefe no ganho de vantagem competitiva das organizações A forma com que os dados empresariais são manipulados armazenados e tratados se torna fundamental para decidir quem vai sobreviver diante do cenário A evolução é um prato cheio para os criminosos pois hoje praticamente todos os documentos fórmulas contratos das organizações estão no formato digital e os dados não mentem 76 UNIDADE 2 FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO O Brasil sofreu 15 bilhões de tentativas de ataque cibernético em apenas três meses de acordo com a empresa de segurança cibernética Fortinet Os dados apontam que somos um importante alvo mundial e que ainda estamos muito vulneráveis a ataques antigos como os usados no Wannacry em 2017 e os que violaram bancos no Chile e no México em 2018 REUTERS 2019 Precisamos criar políticas que garantam a sobrevivência da organização Uma boa política é construída com base em normas e procedimentos Coelho Araújo e Bezerra 2014 afirmam que uma política de segurança de uma organização é composta por diretrizes gerais que servem de base para as normas procedimentos e instruções referentes à segurança da informação FIGURA 7 HIERARQUIA FONTE Saavedra 2013 sp Ter noção de como funciona a hierarquia e o que deve acontecer em cada etapa dão a base para a construção da nossa política FIGURA 8 SEQUÊNCIA E RELAÇÃO DA POLÍTICA DE SEGURANÇA COM AS FASES DO PLANEJAMENTO FONTE Coelho Araújo e Bezerra 2014 p 72 TÓPICO 2 ENTENDENDO A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 77 Como podemos observar Coelho Araújo e Bezerra 2014 afirmam que as políticas devem estar alinhadas com a norma ABNT com a legislação vigente e com as normas gerais As políticas devem mencionar o porquê de ser realizada a segurança da informação definindo diretrizes genéricas do que deve ser realizado pela organização para alcançar a segurança da informação Já as normas são regras básicas de como deve ser implementado o controle ou conjunto de controles que foi definido nas políticas Mencionam o que fazer para alcançar as diretrizes definidas na política de segurança Os procedimentos são atividades detalhadas de como deve ser implementado o controle ou conjunto de controles É preciso responder como fazer cada item definido nas normas específicas e suas políticas COELHO ARAÚJO BEZERRA 2014 As instruções apresentam a descrição de uma operação ou conjunto de operações para a execução da implementação de controles de segurança da informação Por último temos as evidências que são mecanismos adotados para permitir a coleta e a comprovação da aplicação dos controles de segurança da informação sua eficácia e eficiência São permitidos a rastreabilidade e uso em auditorias COELHO ARAÚJO BEZERRA 2014 3 POLÍTICAS DE SEGURANÇA ISO 27000 Como já mencionamos cada organização precisa definir e desenvolver suas políticas de acordo com sua realidade mas é necessário que a arquitetura de segurança utilizada tenha uma base teórica Assim uma sugestão é a Norma NBR ISOIEC 27000 Com base nos elementos dessa norma e considerando um agrupamento e estruturação que facilitam a representação com a realidade estruturamos uma arquitetura de segurança da informação que possui os seguintes aspectos ou dimensões no primeiro nível FONTES 2008 FIGURA 9 POLÍTICA DE SEGURANÇA ISO 27002 FONTE Fontes 2008 p 91 78 UNIDADE 2 FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO Ainda segundo Fontes 2008 as políticas as normas e os procedimentos são os regulamentos que dão suporte e validade ao PSI e aos controles definidos e aplicados nos aspectos seguintes para a Garantir o acesso à informação Gestão da identidade do usuário como o usuário se apresenta para o ambiente computacional e o ciclo de vida dessa identidade Gestão de autenticação do usuário verificação da veracidade do usuário e definição das técnicas de autenticação que serão utilizadas Gestão de autorização para acessar a informação verificação se o usuário está autorizado modelo de perfil do usuário individual grupo perfil funcional existência de gestor da informação regras para a autorização de acesso b Classificar a informação Definição dos níveis de sigilo da informação do gestor da informação e do custodiante da informação c Enfrentar situações de contingência Definição da solução para o tempo suportável de indisponibilidade dos recursos de informação antes que o negócio atinja um nível de impacto financeiro operacional ou de imagem que comprometa a continuidade da organização d Garantir a resiliência operacional A existência de gestão de problemas gestão de mudanças gestão de recursos gestão de capacidade possibilita que a organização suporte situações adversas sem que haja ruptura na operação do negócio no que se refere aos recursos de informação e Proteger o ambiente físico e de infraestrutura Garantia de que o ambiente físico está controlado e protegido e que os elementos da infraestrutura como água energia temperatura e condições do ar estão adequados para o uso pelos recursos da informação f Desenvolver aplicações Existência de metodologia requisitos de segurança proteção do ambiente de desenvolvimento de sistemas e documentação para garantia do conhecimento g Tratar incidentes de segurança Registrar incidentes responder em tempo adequado e encaminhar para a solução definitiva h Garantir informações para atividade forense Definição de ações preventivas treinamento de usuário para tratar situações infraestrutura mínima de tecnologia realização de análise forense de situações de fraude erro e recuperação da informação i Proteger recursos de tecnologia Proteção da rede da organização contra ataques externos e internos proteção de cada computador definição da autenticação entre recursos de tecnologia garantia de utilização de produtos atualizados e correções dos produtos e do SW básico j Conscientizar e treinar os usuários Definir procedimentos para conscientização definir e implementar treinamentos necessários garantir engajamento da direção e garantir o alinhamento com regulamentos internos e externos k Definir área organizacional da segurança da informação Definição do escopo da atuação definição da estrutura de pessoas e recursos identificação das áreas gestoras da informação identificação das áreas que utilizam a informação identificação dos processos necessários para a gestão da segurança da informação e definição da posição organizacional l Evitar fraudes pela tecnologia Análise dos sistemas e processos do negócio TÓPICO 2 ENTENDENDO A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 79 definiçãoavaliação das contramedidas definição do monitoramento constante definição das medidas preventivas definição de maneiras de detecção de fraude e existência de respostas rápidas m Os aspectos legais e outros requerimentos que a organização é obrigada a cumprir devem ser considerados em uma visão corporativa possibilitando uma única implementação Questões que atingem áreas específicas continuam tendo uma abordagem corporativa porém com uma implementação específica n Uma arquitetura de segurança da informação é uma estrutura que possibilita a existência de controles nas diversas dimensões que tratam da informação O objetivo principal é o de proteger o negócio A política não pode ou melhor ela não deve surgir do nada Para que ela tenha sentido e que seja adotada é necessário que esteja alinhada aos objetivos da organização Com base nos objetivos do negócio são definidos os objetivos da segurança da informação que têm como destaque possibilitar a realização do negócio com o uso dos recursos de informação pois a PSI de uma empresa de desenvolvimento de software difere de uma organização de ajuda humanitária Para que não existam problemas de comunicação e que todos sigam as mesmas regras outros documentos e regulamentos da organização servem para definir estratégias regras padrões e procedimentos que norteiam as ações para a garantia da segurança das informações Podem ser atividades técnicas como o backup ou atividades dos usuários como a criação de senhas Sem o direcionamento a equipe pode ficar sem saber para onde ir sem saber qual é a filosofia da organização e qual o nível de proteção desejado Para ter uma estrutura adequada recomendamos que deva existir uma política principal descrita em um documento curto e simples de forma que todos os usuários entendam facilmente como a organização deseja que a informação seja tratada e quais são as principais responsabilidades dos usuários Outros documentos tipo políticas específicas e normas podem e devem complementar esses requisitos básicos Todo esse conjunto de regulamentos deve declarar e clarificar as regras definir obrigações responsabilidades e autoridade formalizar processos e procedimentos documentar a boa cultura empresarial evitar o crescimento da parte do folclore organizacional que impede as boas práticas de proteção possibilitar seu uso em questões legais em contratos no relacionamento com as pessoas que participam do negócio e nas relações com o mercado estabelecer padrões ajudar a educar as pessoas e ser a base para uma efetiva arquitetura de segurança da informação FONTES 2008 p 34 As sugestões apresentadas constituem a base para a documentação e norteiam a construção Contudo a empresa pode e deve ter políticas internas estas que compõem a política de segurança da informação Além disso também temos que definir o não cumprimento das políticas 80 UNIDADE 2 FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO 4 BOAS PRÁTICAS PARA A CONSTRUÇÃO DA PSI Apresentaremos algumas práticas que em alguns documentos são chamadas de políticas São comportamentos que visam melhorar a segurança da informação pequenas atitudes de grande impacto para evitar invasões e tornar o ambiente mais seguro Outro ponto presente nas políticas de segurança e privacidade de vários negócios são os controles de segurança Eles são feitos para que a infraestrutura de TI tenha uma série de regras capazes de impedir que contas comprometidas ou vulnerabilidades possam impactar negativamente outras áreas Um controle de acesso eficiente é aquele que reduz o número de diretórios e sistemas disponíveis para o usuário Dessa forma caso a sua conta seja comprometida as chances de obter acesso a informações privilegiadas e recursos administrativos são reduzidas Além disso a sua conta deve estar vinculada a sistemas de monitoramento tornando o bloqueio de contas que executam atividades suspeitas mais ágil NEOWAY 2019 sp Assim todos os controles de segurança também devem estar interligados e ser abrangentes Deve existir a conexão de toda gestão eles devem se comunicar entre áreas avaliando quais os recursos devem ser liberados e como cada bloqueio afeta a rotina dos colaboradores Apenas com a união de todos da empresa é mantida uma rotina de trabalho ágil e com alta segurança NEOWAY 2019 É importante reforçar novamente que as políticas de segurança só são realmente eficazes a partir do momento em que os profissionais passam a atuar preventivamente Por mais eficazes que sejam os processos de controle e monitoramento da organização se os usuários não aplicam não tornam as boas práticas parte do seu dia a dia as chances de a empresa ter os seus sistemas infectados por malwares se mantêm altas Assim a empresa deve adotar uma série de medidas preventivas para reduzir as chances de vulnerabilidades NEOWAY 2019 O primeiro passo é capacitar o profissional a identificar falhas e conteúdos maliciosos Ele deve conhecer as principais técnicas de ataque e as práticas mais comuns para evitar ataques Não utilizar pen drives de origem desconhecida Confirmar com o remetente o envio de mensagens eletrônicas com anexos Fazer da nuvem o ambiente prioritário para compartilhamento de arquivos Copiar e colar links de emails ao invés de clicar neles diretamente Manter um filtro de SPAM atualizado Adotar autenticação de dois passos sempre que possível Utilizar senhas com alto nível de complexidade Manter dispositivos criptografados Sempre utilizar uma VPN em redes WiFi desconhecidas ou públicas TÓPICO 2 ENTENDENDO A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 81 Apesar de simples essas rotinas podem impedir que grande parte das ameaças digitais consiga invadir sistemas internos de uma empresa diminuindo os riscos e tornando todo o ambiente de tecnologia da informação TI mais seguro uma vez que as políticas de segurança têm um impacto elevado Assim toda a empresa deve contar com uma infraestrutura robusta com baixo nível de falhas de segurança e alta performance NEOWAY 2019 5 DIVULGAÇÃO DA POLÍTICA Após a definição da política do que quer ser protegido é necessário que todos saibam Assim a organização pode utilizar diversos canais de comunicação e atingir o nível de conscientização que espera O segredo do sucesso de uma campanha consiste em uma boa estratégia para utilização desses canais gerando os efeitos desejados em cada uma das fases falando com os diversos tipos de audiência de forma distinta compreendendo as características e o contexto no qual cada um dos canais é mais eficaz Segundo Cabral e Caprino 2015 a organização pode utilizar o email quando deseja distribuir mensagens de curto e médio tamanhos É preciso notificar os compromissos relacionados à divulgação da política como data e local de palestras ou informar a localização de recursos importantes para consulta futura como a localização da política ou dos canais para denúncia de incidentes Vale ressaltar que é importante não distribuir conteúdo que precise ser efetivamente lido e compreendido Os pôsteres podem ser colocados em pontos de passagens e utilizados para apresentar mensagens curtas de fixação ou lembrete como você sabe criar uma senha segura Despertam a curiosidade por assuntos que ainda não foram revelados em sua totalidade Ainda há os quadros de aviso colocados em locais onde os colaboradores costumam ir com frequência e permanecem por algum tempo como a mesa de café ou o bebedouro No caso as mensagens já são um pouco mais detalhadas dando dicas de como criar a senha segura CABRAL CAPRINO 2015 O protetor de tela em razão da sua presença constante nas telas é quase que virtualmente ignorado pois não desperta mais o interesse do colaborador assim é necessário que o conteúdo mude com frequência Cabral e Caprino 2015 p 127 afirmam que quando a organização possui tecnologia para trocálo de forma periódica ou mesmo aleatória pode ser usado para mensagens de fixação Outra maneira de divulgação é a newsletter que possui conteúdo periódico normalmente contendo informações a respeito do que acontece dentro da organização Essa ferramenta de divulgação tem um aspecto humano forte ou seja os colaboradores querem saber o que outros colaboradores estão fazendo de forma que deve ser o foco do conteúdo ou pelo menos o ponto de partida 82 UNIDADE 2 FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO Para estimular o interesse é possível utilizar essa ferramenta para por exemplo divulgar casos de denúncias de incidentes bemsucedidos destacando a pessoa responsável e emendando com conteúdo de fixação CABRAL CAPRINO 2015 Na divulgação através de palestra o conteúdo deve ser mais detalhado buscando a sensibilização e compreensão como os motivadores por trás das iniciativas de segurança da informação sejam eles empresariais ou recomendações habituais para a rotina das pessoas Nessas palestras o objetivo é despertar as sensações de engajamento e comunidade importantes para desenvolver sinergia A quantidade de palestras pode variar conforme a necessidade de proteção mas o ideal é fazer pelo menos uma palestra focada no público de alta administração e multiplicadores CABRAL CAPRINO 2015 Caso a palestra não consiga contemplar todos os colaboradores por questão de horários diferenciados ou questões físicas e geográficas podese fazer uso de vídeo mas com a noção de que sua eficácia é reduzida por não possuir o apelo de ser um evento único e não permitir interações Uma sugestão é combinar ou seja executar algumas palestras e depois graválas especialmente para reprodução remota CABRAL CAPRINO 2015 Não basta apenas a divulgação é necessário um programa de estímulo Uma vez que as políticas de segurança tenham sido entregues é fundamental estimular seu cumprimento através de benefícios diretos aos que adaptaram sua rotina de acordo com o que foi solicitado Para alcançar o engajamento além da divulgação nas newsletters segundo Cabral e Caprino 2015 p 128 passar nas mesas de forma aleatória no horário do almoço em busca de informações sigilosas deixando um valebrinde na gaveta de todas as mesas que estiverem arrumadas 83 RESUMO DO TÓPICO 2 Neste tópico você aprendeu que Conseguir a aderência da gestão da organização é o ponto crucial para o desenvolvimento de políticas As normas são regras básicas de como deve ser implementado o controle ou o conjunto de controles estes que foram definidos nas políticas As políticas as normas e os procedimentos são os regulamentos que dão suporte e validade ao PSI e aos controles definidos Cada organização deve definir e desenvolver suas políticas de acordo com a sua realidade mas é necessário que a arquitetura de segurança utilizada tenha uma base teórica A organização deve criar boas práticas que auxiliem a evitar ataques e documentar essas ações nas políticas Além de existir uma política é necessário que todos saibam assim a divulgação de forma correta é de extrema importância para o engajamento de todos 84 1 Que toda informação deve ser protegida isso é fato mas conseguir a adesão de todos não é fácil Muitas organizações quando começam a se preocupar com a segurança sentem dificuldade na elaboração dos documentos Sobre o que deve conter no documento que reúne as diretrizes para a implementação de uma política de segurança da informação considere as afirmativas a seguir I Uma definição de segurança da informação suas metas globais escopo e importância da segurança da informação como um mecanismo que habilita o compartilhamento da informação II Uma definição impressa que deve ser recebida no momento da contratação pois não há alterações elas são estáticas e não precisam ser atualizadas III Uma estrutura para estabelecer os objetivos de controle e os controles incluindo a estrutura de análiseavaliação e gerenciamento de risco IV Breve explanação das políticas princípios normas e requisitos de conformidade de segurança da informação específicos para a organização V Definição das responsabilidades gerais e específicas na gestão da segurança da informação incluindo o registro dos incidentes VI Referências à documentação que possam apoiar a política por exemplo políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários devem seguir Estão CORRETAS as afirmativas a I II e VI b I II III IV V e VI c II III V e VI d I III IV V e VI e III IV e VI 2 Uma organização não é igual a outra os ativos de uma diferem muito dos ativos de outra Por isso o que cada organização deve proteger depende muito da sua estrutura Com base nisso cada uma deve desenvolver sua política de segurança Uma política de segurança é um instrumento importante para proteger a organização contra ameaças à segurança da informação Considerando as necessidades e particularidades da organização é correto afirmar que a As políticas de segurança definem procedimentos específicos de manipulação e proteção da informação mas não atribuem direitos e responsabilidades às pessoas que lidam com a informação b A política de segurança não estipula penalidades Isso é feito separadamente no manual do usuário entregue pelo RH no momento da contratação AUTOATIVIDADE 85 c Antes que a política de segurança seja escrita é necessário definir a informação a ser protegida e isso é feito geralmente através de uma análise de riscos d Questões relacionadas ao uso de senhas requisitos para formação de senhas período de validade das senhas etc não são cobertas pela Política de Segurança da Informação Essas questões são tratadas em um manual para criação de senhas seguras criado pela equipe de TI e A política de segurança é escrita e implantada pelo departamento de TI Deve ser seguida por todos os funcionários da organização e assinada pelo Gerente de TI sem envolver a alta gestão que cuida de assuntos estratégicos 3 A segurança da informação busca garantir que as informações não caiam em mãos erradas Cada organização tem suas particularidades em relação à segurança das suas informações Embora o conteúdo de políticas de segurança da informação varie de instituição para instituição é comum a presença do seguinte item a Declaração informal do comprometimento da alta administração com a política b Orientações sobre gerência de projetos de sistemas de informação c Princípios legais que devem ser observados quanto à tecnologia da informação d Definição do controle temporário das tentativas de violação da segurança da informação 4 A política de segurança da informação é um dos documentos que auxilia na garantia das integridades das suas informações Sem a adesão de todos da organização é apenas mais um documento Com relação à política de segurança da informação analise as afirmativas a seguir I Uma política de segurança precisa avaliar as ameaças e os riscos classificandoos de acordo com a criticidade da operação e do ativo que pode ser afetado II A violação da política de segurança da informação deve ser apurada informalmente para não expor vulnerabilidades desnecessariamente salvo nos casos mais graves III Convém que a direção estabeleça uma clara orientação da política alinhada com os objetivos do negócio demonstrando apoio e comprometimento com a segurança da informação Está CORRETO somente o que se afirma em a Somente o item I b Somente o item II c Somente o item III d I e II e I e III 86 5 Quando falamos de políticas de segurança da informação devemos ter em mente um conjunto de regras procedimentos padrões normas e diretrizes que deve ser de conhecimento de todos na organização Além dos conhecimentos que devem ser seguidos Assim com relação às políticas normas e procedimentos de segurança da informação analise e selecione a opção correta a Não necessitam do envolvimento da alta administração já que são responsabilidades da área de TI b Devem estar alinhados com as estratégias de negócio da empresa padrões e procedimentos já existentes c Devem ser concentrados exclusivamente em ações proibitivas e punitivas garantindo a segurança dos recursos de informação e a responsabilização legal daqueles que infringirem as normas e procedimentos de segurança d São criados e implantados pelo Comitê de Segurança da Informação constituído na sua totalidade por profissionais das áreas administrativas e de Tecnologia da Informação e Devem abranger todos os serviços e áreas da organização e ser implantados de uma única vez minimizando a possível resistência de alguns setores da empresa 6 Após reconhecer a importância da segurança da informação e desenvolver a Política de Segurança da Informação PSI é preciso usar uma linguagem conhecida e meios adequados aos tipos de mensagens e usuários adotar estilo simples e claro respeitar o interlocutor sem superestimálo nem subestimálo e respeitar a cultura organizacional e a do país Assim é necessário que todos entendam e vivenciem as políticas desde a criação da sua senha até o acesso a sites indevidos É correto concluir que tal afirmação a Adere parcialmente às expectativas de uma PSI pois a política deve ser única e não deve levar em conta características humanas e legais do país no qual ela é aplicada b Adere parcialmente às expectativas de uma PSI tendo em vista que ela deve ser construída considerando uma linguagem tecnológica desvinculada de adoção de estilos c Adere integralmente à formulação de uma PSI pois ao elaborar uma política é necessário que ela seja ajustada a cada instituição e deve ser comunicada de maneira que todos entendam d Adere parcialmente às expectativas de uma PSI porque os atributos do interlocutor não devem constituir relevância já que todos os usuários presumivelmente foram selecionados pela empresa para entender a tecnologia usada e Não atende aos propósitos de uma PSI pois linguagem estilo e interlocutor não podem se sobrepor à linguagem tecnológica e é preciso levar em conta a cultura do país a linguagem tecnológica utilizada e os níveis de sensibilidade de cada tipo de interlocutor 87 UNIDADE 2 1 INTRODUÇÃO Chegou o momento de criarmos as nossas políticas Já temos o embasamento do que é necessário ser protegido como vimos no Tópico 1 Ainda como a política dá suporte para mantermos a integridade e a confidencialidade dos nossos ativos Também apresentamos que a política deve ser de conhecimento de todos que deve ser seguida e que as penalidades devem ser informadas na própria PSI A atitude de todos é essencial na construção e na segurança das informações de uma organização Nesta unidade apresentaremos alguns itens dicas e exemplos que auxiliarão na documentação da sua política de segurança Lembrando que a PSI não é um documento escrito por uma só mão é necessária a participação de todos 2 CRIAÇÃO E IMPLANTAÇÃO DA PSI Semelhante ao desenvolvimento de um sistema quando é feita a entrega é feita através da formalização que é assinada pelo cliente Com a PSI ocorre o mesmo Conforme as etapas de desenvolvimento de um sistema o tempo desde o início até a completa implantação não é feito de um dia para outro As principais etapas que conduzem para a implantação bemsucedida da PSI são elaboração aprovação implementação divulgação e manutenção BRASIL 2014 De forma mais detalhada é possível citar como as principais fases que compõem o processo de implantação da PSI segundo Borges et al 2019 p 69 identificação dos recursos críticos classificação das informações definição em linhas gerais dos objetivos de segurança a serem atingidos análise das necessidades de segurança identificação das possíveis ameaças análise de riscos e impactos elaboração de proposta de política discussões abertas com os envolvidos apresentação de documento formal à alta administração TÓPICO 3 CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 88 UNIDADE 2 FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO aprovação publicação divulgação treinamento implementação avaliação e identificação das mudanças necessárias revisão Sempre lembrando que são sugestões e que cada organização deve desenvolver sua política de acordo seu cenário Apresentaremos algumas práticas estas que poderão ser incorporadas na política de segurança 3 POLÍTICA DE SEGURANÇA Começamos apresentando um modelo genérico com os pontos que devem ser abordados Conforme a necessidade da organização podem ser mais detalhados A etapa de introdução busca apresentar do que se trata o documento Introdução a segurança é um dos assuntos mais importantes dentre as preocupações de qualquer empresa Nesse documento apresentaremos um conjunto de instruções e procedimentos para normatizar e melhorar nossa visão e atuação em segurança PALMA 2017 p 1 Veja o exemplo de uma introdução A informação é o dado com uma interpretação lógica ou natural dada por seu usuário REZENDE ABREU 2000 A informação tem um valor altamente significativo e pode representar grande poder para quem a possui A informação contém valor pois está integrada com os processos pessoas e tecnologias Diante da sua importância para as tomadas de decisões as empresas têm se empenhado para utilizar mecanismos de segurança no sentido de salvaguardar essas informações GHC 2015 p 2 Segundo Senac 2013 p 4 A Política de Segurança da Informação também referida como PSI é o documento que orienta e estabelece as diretrizes corporativas do Senac São Paulo para a proteção dos ativos de informação e a prevenção da responsabilidade legal para todos os usuários Deve portanto ser cumprida e aplicada em todas as áreas da instituição A presente PSI está baseada nas recomendações propostas pela norma ABNT NBR ISOIEC 270022005 reconhecida mundialmente como um código de prática para a gestão da segurança da informação Ainda está de acordo com as leis vigentes em nosso país Com a intenção de aumentar a segurança da infraestrutura tecnológica direcionada ao uso acadêmico foi desenvolvida paralelamente uma Norma de Segurança da Informação Educacional visando à orientação dos nossos clientes para a utilização dos ativos de tecnologia da informação disponibilizados Tais documentos se encontram disponíveis na intranet do Senac São Paulo na seção SisNormas TÓPICO 3 CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 89 A próxima etapa deve apresentar como a empresa está se colocando nesse documento o que espera quais são os objetivos Todas as normas aqui estabelecidas serão seguidas à risca por todos os funcionários parceiros e prestadores de serviços Ao receber essa cópia da Política de Segurança oa srsra se comprometeu a respeitar todos os tópicos aqui abordados e está ciente de que seus emails e navegação na internetintranet podem estar sendo monitorados A equipe de segurança se encontra à total disposição para saneamento de dúvidas e auxílio técnico PALMA 2017 p 1 OBJETIVO A Política de Segurança da Informação do Grupo Hospitalar Conceição PSIGHC visa preservar a confiabilidade integridade e disponibilidade das informações para a resolução de problemas e tomada de decisão primando por melhorar a qualidade do atendimento e tratamento do paciente O PSIGHC é uma declaração formal da instituição acerca do seu compromisso com a proteção das informações de sua propriedade eou sob sua guarda devendo haver cumprimento por todos os seus colaboradores no que diz respeito a seus direitos e responsabilidades com os recursos computacionais da instituição e as informações Seu propósito é estabelecer as diretrizes a serem seguidas pelo GHC no que diz respeito à adoção de procedimentos e mecanismos relacionados à segurança da informação GHC 2015 p 2 Estabelecer diretrizes que permitam aos colaboradores e clientes do Senac São Paulo seguirem padrões de comportamento relacionados à segurança da informação adequados às necessidades de negócio e de proteção legal da empresa e do indivíduo Nortear a definição de normas e procedimentos específicos de segurança da informação além da implementação de controles e processos para o atendimento Preservar as informações do Senac São Paulo quanto à Integridade garantia de que a informação seja mantida em seu estado original visando protegêla na guarda ou transmissão contra alterações indevidas intencionais ou acidentais Confidencialidade garantia de que o acesso à informação seja obtido somente por pessoas autorizadas Disponibilidade garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes SENAC 2013 p 4 Como podemos observar nos exemplos eles justificam a importância da informação para a organização Lembrando que a ordem dos itens é definida pela organização Aqui tomamos como base Palma 2017 O próximo item é a informação o que acontece com o não cumprimento da política quais as sanções O não cumprimento dessas políticas acarretará sanções administrativas em primeira instância podendo acarretar o desligamento do funcionário de acordo com a gravidade da ocorrência PALMA 2017 p 1 90 UNIDADE 2 FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO PENALIDADES A não observância dos preceitos desta política poderá implicar na aplicação de sanções administrativas cíveis e penais previstas na legislação em vigor que regule ou venha regular a matéria As penalidades administrativas serão aplicadas após a sua devida apuração em processo administrativo disciplinar sendo observados critérios de gravidade e reincidência dos atos de violação cometidos à Política de Segurança da Informação As infrações ocorridas violando as normas que compõem a Política de Segurança da Informação deverão ser analisadas pelo gestor imediato do infrator que deverá comunicar a Gerência de Informática para fins de determinação da apuração das eventuais responsabilidades dos funcionários envolvidos GHC 2015 p 9 O Senac ao monitorar a rede interna pretende garantir a integridade dos dados e programas Toda tentativa de alteração dos parâmetros de segurança por qualquer colaborador sem o devido credenciamento e a autorização será julgada inadequada e os riscos relacionados serão informados ao colaborador e ao respectivo gestor O uso de qualquer recurso para atividades ilícitas poderá acarretar ações administrativas e penalidades decorrentes de processos civil e criminal sendo que a instituição cooperará ativamente com as autoridades competentes SENAC 2013 p 11 Comum em todos os modelos usados é a necessidade de autenticação baseada uma senha Esse meio é muito utilizado por suas facilidades de implantação e manutenção além do baixo custo Como risco o uso de senha fraca facilmente identificada Por isso podese definir uma política para a criação da senha As senhas de usuário são pessoais e intransferíveis não podendo ser compartilhadas divulgadas a terceiros inclusive colaboradores da própria empresa anotadas em papel ou em sistema visível ou de acesso não protegido GHC 2015 p 10 Senhas como nome do usuário combinações simples abc123 substantivos casa meia cadeira Brasil datas 11092001 e outras são extremamente fáceis de descobrir Então aprenda a criar senha de forma coerente observando nossa política de senhas Uma senha segura deverá conter no mínimo 6 caracteres alfanuméricos letras e números com diferentes caixas Para facilitar a memorização das senhas utilize padrões mnemônicos Por exemplo eSus6C SEMPRE usamos seis 6 CARACTERES odIamp0709 ouviram do Ipiringa as margens plácidas 7 de setembro s3Nh45 Na palavra senha o 3 substitui o E o 4 o A e o 5 o S As senhas terão um tempo de vida útil determinado pela equipe de segurança devendo ser respeitado caso contrário o usuário ficará sem acesso aos sistemas Sua senha não deve ser passada a ninguém nem mesmo à equipe de segurança Caso desconfie que sua senha não está mais segura sinta se à vontade para alterála mesmo antes do prazo determinado de validade Tudo que for executado com a sua senha será de sua inteira responsabilidade por isso tome todas as precauções possíveis para manter sua senha secreta PALMA 2017 p 2 TÓPICO 3 CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 91 Devem ser distintamente identificados os visitantes estagiários empregados temporários empregados regulares e prestadores de serviços sejam eles pessoas físicas eou jurídicas Ao realizar o primeiro acesso ao ambiente de rede local o usuário deverá trocar imediatamente a sua senha conforme as orientações apresentadas Os usuários que não possuem perfil de administrador deverão ter senha de tamanho variável possuindo no mínimo seis caracteres alfanuméricos utilizando caracteres especiais e variação entre caixaalta e caixabaixa maiúsculo e minúsculo sempre que possível Já os usuários que possuem perfil de administrador ou acesso privilegiado deverão utilizar uma senha de no mínimo dez caracteres alfanumérica utilizando caracteres especiais e variação de caixaalta e caixabaixa maiúsculo e minúsculo É de responsabilidade de cada usuário a memorização da sua própria senha além da proteção e da guarda dos dispositivos de identificação As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos Word Excel etc compreensíveis por linguagem humana não criptografados não devem ser baseadas em informações pessoais como próprio nome nome de familiares data de nascimento endereço placa de veículo nome da empresa nome do departamento e não devem ser constituídas de combinações óbvias do teclado como abcdefgh 87654321 etc Após 3 três tentativas de acesso a conta do usuário será bloqueada Para o desbloqueio é necessário que o usuário entre em contato com a Gerência de Sistemas do Senac São Paulo Deverá ser estabelecido um processo para a renovação de senha confirmar a identidade Os usuários podem alterar a própria senha e devem ser orientados a fazer caso suspeitem que terceiros obtiveram acesso indevido ao seu loginsenha A periodicidade máxima para troca das senhas é 45 quarenta e cinco dias não podendo ser repetidas as três últimas senhas Os sistemas críticos e sensíveis para a instituição e os logins com privilégios administrativos devem exigir a troca de senhas a cada 30 dias Os sistemas devem forçar a troca das senhas dentro do prazo máximo Todos os acessos devem ser imediatamente bloqueados quando se tornarem desnecessários Portanto assim que algum usuário for demitido ou solicitar demissão o Departamento de Recursos Humanos deverá imediatamente comunicar tal fato ao Departamento de Tecnologia da Informação a fim de que a providência seja tomada A mesma conduta se aplica aos usuários cujo contrato ou prestação de serviços tenha se encerrado além dos usuários de testes e outras situações similares Caso o colaborador esqueça sua senha ele deverá requisitar formalmente a troca ou comparecer à área técnica responsável para cadastrar uma nova SENAC 2013 92 UNIDADE 2 FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO 4 POLÍTICA DE USO DE ESTAÇÃO DE TRABALHO Cada estação de trabalho tem códigos internos que permitem que ela seja identificada na rede e cada indivíduo possui sua própria estação de trabalho Assim tudo que venha a ser executado da sua estação acarretará responsabilidade sua Por isso sempre que sair da frente da sua estação tenha certeza de que efetuou logoff ou travou o console Não instale nenhum tipo de softwarehardware sem autorização da equipe técnica ou de segurança Não tenha MP3 filmes fotos e softwares com direitos autorais ou qualquer outro tipo de pirataria Mantenha na sua estação somente o que for supérfluo ou pessoal Todos os dados relativos à empresa devem ser mantidos no servidor onde existe um sistema de backup diário e confiável Caso não saiba como fazer entre em contato com a equipe técnica Política Social Como seres humanos temos a grande vantagem de sermos sociáveis mas muitas vezes quando discorremos sobre segurança isso é uma desvantagem Por isso observe os seguintes tópicos Não fale sobre a política de segurança da empresa com terceiros ou em locais públicos Não diga sua senha para ninguém Nossa equipe técnica jamais pedirá sua senha Não digite suas senhas ou usuários em máquinas de terceiros especialmente fora da empresa Somente aceite ajuda técnica de um membro de nossa equipe técnica previamente apresentado e identificado Nunca execute procedimentos técnicos cujas instruções tenham vindo por email Relate à equipe de segurança pedidos externos ou internos que venham a discordar dos tópicos anteriores Vírus e códigos maliciosos Mantenha seu antivírus atualizado Provavelmente nossa equipe técnica se encarregará disso mas caso não tenha sido feito ou você perceba que a atualização não está funcional entre em contato para que a situação possa ser corrigida Não traga disquetes ou CDs de fora da empresa Caso isso seja extremamente necessário encaminhe para a equipe técnica passando por uma verificação antes da liberação TÓPICO 3 CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 93 Reporte atitudes suspeitas em seu sistema à equipe técnica para que possíveis vírus possam ser identificados no menor espaço de tempo possível Suspeite de softwares que você clica e não acontece nada Continuidade de negócios De nada adianta uma informação segura se ela estiver indisponível para quem necessita dela Por isso nossas equipes técnicas e de segurança contam com a sua colaboração para manter nossa empresa como líder de mercado Entre em contato conosco sempre que julgar necessário Função Nome email Ramal Contato Equipe técnica Fulano fulanoempresacom 123 99999990 Equipe segurança Beltrano beltranoempresacom 345 99999991 QUADRO 1 CONTATOS FONTE Adaptado de Palma 2017 5 POLÍTICA DE USO DA INTERNET Podemos dizer que uma política de uso da internet pode ajudar a garantir que os colaboradores façam um uso da internet de maneira mais eficaz sem perder tempo em redes sociais e outros sites de entretenimento que em nada agregam Lembrando que tudo pode variar conforme o ramo de atuação da organização Essa preocupação se justifica não apenas em relação ao comprometimento da produtividade dos colaboradores mas também a outras questões como a segurança Assim a política de uso da internet deve incluir etapas para minimizar os riscos causados por vírus como permitir somente ao funcionário autorizado a fazer downloads e a instalar softwares MARQUES 2017 Marques 2017 ressalta que esse controle de acesso à internet deve ser desenvolvido para dar ao colaborador noção de responsabilidade ao utilizar a rede do trabalho Ainda não deve ser cercado por autoritarismo e proibições pois estas podem ser facilmente burlados Hoje na internet é fácil encontrar tutoriais que ensinam como acessar sites bloqueados assim é necessária a conscientização para o bom uso É importante que a política de uso da internet seja mais uma ferramenta educativa Para que a política de acesso à internet seja praticada deve ser um documento de fácil compreensão e que todos sejam capazes de entendêlo com facilidade e usálo como guia por isso a sua divulgação é tão importante Pode ser necessário dependendo da organização promover uma reunião para apresentar cada ponto e sanar as possíveis dúvidas dos funcionários É importante mencionar que são medidas preventivas para evitar problemas e não há a intenção de criar um clima de proibições É preciso que os colaboradores não sintam que não há confiança por parte do gestor MARQUES 2017 94 UNIDADE 2 FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO Veja um exemplo a seguir de política de uso Após a divulgação o colaborador confirma o entendimento e assina É de suma importância que o jurídico da organização valide o documento Política de uso da internet O propósito dessa política é assegurar o uso apropriado da Internet na empresa O uso da internet pelos empregados da empresa é permitido e encorajado desde que seu uso seja aderente aos objetivos e atividades de negócio Entretanto a empresa tem uma política para o uso da internet desde que os funcionárioscolaboradores assegurem que cada um deles Siga a legislação corrente sobre pirataria pedofilia ações discriminatórias Use a internet de uma forma aceitável Não crie riscos desnecessários para o negócio da empresa Se você tem alguma dúvida ou comentários sobre essa Política de Uso da Internet por favor entre em contato com o seu supervisor Concorrentemente ao descrito será considerado totalmente inaceitável tanto no uso quanto no comportamento dos empregados visitar sites da internet que contenham material obsceno eou pornográfico usar o computador para executar quaisquer tipos ou formas de fraudes ou software música pirata usar a internet para enviar material ofensivo ou de assédio para outros usuários baixar download de software comercial ou qualquer outro material cujo direito pertença a terceiros copyright sem ter um contrato de licenciamento ou outros tipos de licença atacar eou pesquisar em áreas não autorizadas hacking criar ou transmitir material difamatório executar atividades que desperdicem os esforços do pessoal técnico ou dos recursos da rede introduzir de qualquer forma um vírus de computador dentro da rede corporativa Monitoramento A empresa reafirma que o uso da internet é uma ferramenta valiosa para seus negócios Entretanto o mau uso dessa facilidade pode ter impacto negativo na produtividade dos funcionários e na própria reputação do negócio Em adição todos os recursos tecnológicos da empresa existem para o propósito exclusivo do negócio Portanto a empresa se dá ao direito de monitorar o volume de tráfico na internet e na rede além dos endereços web http visitados IMPORTANTE TÓPICO 3 CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 95 A falha em não seguir a política resultará em sanções que variarão desde procedimentos disciplinares com avisos verbais ou escritos até a demissão Declaração Eu li e concordo em seguir as regras descritas nessa política e entendo que o não seguimento das regras pode resultar em ação disciplinar ou ação judicial contra minha pessoa Assinatura Data Nome extenso FONTE httpwwwsmartunioncombrdownloadartigosPoliticaInternetSmart UnionVersaoSimpleshtm Acesso em 6 jul 2020 Após a leitura e assinatura de concordância e entendimento é necessário o monitoramento garantindo que as regras estão sendo seguidas por todos Contudo esse monitoramento é um processo delicado e deve ser realizado de forma transparente e que todos sejam informados que os acessos feitos pela rede corporativa são monitorados Assim deixe claro para os colaboradores que não se trata de uma forma de vigiálos mas de uma maneira de a organização se resguardar em casos que possam ser prejudiciais como queda da produtividade ataque de hackers e outros problemas MARQUES 2017 Como vimos no modelo apresentado é importante que fique claro que o não cumprimento gera penalidades para o funcionário Por isso é fundamental que esse documento seja feito com o apoio do jurídico pois as penas podem ser desde avisos verbais e se o problema persistir demissão por justa causa MARQUES 2017 Para a implementação da política de mesa limpa por exemplo a organização também deve desenvolver eventos de treinamento e conscientização para comunicar aos empregados e outras pessoas envolvidas os aspectos da política Ainda cartazes emails informativos etc 6 POLÍTICA DE EMAIL Exemplo de política de uso de email corporativo 96 UNIDADE 2 FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO Política de uso do email O propósito dessa política é assegurar o uso apropriado do sistema de mensagens eletrônicas da empresa Todas as mensagens distribuídas pelo sistema da empresa até emails pessoais são de propriedade da empresa Você não deve manter quaisquer expectativas de privacidade sobre quaisquer mensagens que você crie armazene envie ou receba através do sistema de email Seus emails podem ser monitorados sem prévia notificação se a empresa assim achar necessário Se existirem quaisquer evidências que você não está aderindo às regras citadas na política a empresa se reserva ao direito de tomar medidas disciplinares incluindo demissão eou ação judicial Se você tem alguma dúvida ou comentários sobre essa política por favor entre em contato com o seu supervisor É estritamente proibido Enviar ou encaminhar emails contendo comentários difamatórios ofensivos racistas ou obscenos Se você receber algum email dessa natureza envie no mesmo instante para o seu supervisor Encaminhar mensagens ou copiar uma mensagem ou anexo pertencente a outro funcionário sem obter a permissão da pessoa Enviar spam ou correntes Forjar ou tentar forjar mensagens de email ou disfarçar ou tentar disfarçar sua identidade enviando um email Cuidados necessários Os usuários devem ter cuidado Informações confidenciais não devem ser enviadas via email Para evitar fraudes recomendamos fortemente que seja utilizada uma identificação digital de segurança ou pelo menos uma assinatura com padrão de conhecimento prévio por seus colegas de trabalho citando seu nome completo e função Uso pessoal Apesar do sistema de email ser para assuntos de negócio a empresa permite o uso pessoal se for necessário e se não interferir com o trabalho a ser executado Isenção de Responsabilidade Disclaimer Todas as mensagens devem finalizar com a seguinte comunicação de isenção Aviso 1 esta mensagem é direcionada apenas para os endereços constantes no cabeçalho inicial Se você não está listado nos endereços constantes no cabeçalho pedimos que desconsidere completamente o conteúdo dessa mensagem cuja cópia encaminhamento eou execução das ações citadas estão imediatamente anulados e proibidos IMPORTANTE TÓPICO 3 CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 97 Aviso 2 apesar da empresa tomar todas as precauções razoáveis para assegurar que nenhuma virose esteja presente no email não poderá aceitar a responsabilidade por quaisquer perdas ou danos causados por esse email ou por seus anexos Declaração Eu li e concordo em seguir as regras descritas nessa política e entendo que o não seguimento das regras pode resultar em ação disciplinar ou ação judicial contra minha pessoa Assinatura Data Nome Extenso Smart Union Consultoria e Soluções em Tecnologia Ltda wwwsmartunioncombr FONTE httpwwwsmartunioncombrdownloadartigosPoliticaEmailSmartUnion VersaoSimpleshtm Acesso em 6 jul 2020 Conheça outros modelos de política de email em httpwwwidebrasilnet downloadspoliticausoemailspdf DICAS 7 POLÍTICA DE MESA LIMPA Tratase da engenharia social Pessoas mal intencionadas se aproveitam para obter informações 98 UNIDADE 2 FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO FIGURA 10 MESA LIMPA FONTE Marcondes 2015 sp No exposto o colaborador sai para tomar um cafezinho ou para alguma reunião e deixa seu computador aberto Na tela há informações confidenciais ou em qualquer outro documento deixado sobre a mesa Qualquer pessoa pode acessar facilmente Apesar de bem comum imaginamos que você também já tenha presenciado isso na sua empresa representando um grande risco à informação Sem medidas apropriadas todas as informações e ativos deixados na mesa podem ser acessados vistos ou levados por uma pessoa não autorizada Dependendo da intenção a pessoa mal intencionada já que o computador não está com senha pode realizar atividades no nome do empregado que se ausentou LEAL 2016 A organização deve estar pronta para explicar aos colaboradores independentemente se funcionários ou terceirizados que estejam prestando serviços mas que estejam manuseando suas informações e ativos como proceder adequadamente com informações e outros materiais mantidos na área de trabalho Para auxiliar na atividade há a ISO 27001 que é um framework popular de segurança da informação além da ISO 27002 que apresenta um código de prática detalhado Podem oferecer boa orientação por meio do controle de segurança LEAL 2016 A política de mesa limpa e tela limpa fala da prática relacionada a assegurar que informações sensíveis independentemente do seu formato seja ele digital ou físico e ativos notebooks celulares tablets etc não sejam deixados desprotegidos em lugares de trabalho pessoais ou públicos quando não estiverem sendo usados ou quando alguém deixa sua área de trabalho por um curto período de tempo ou ao fim do dia LEAL 2016 Leal 2016 afirma que uma vez que informações e ativos estejam em um dos lugares mais vulneráveis sujeito à divulgação ou uso não autorizado como previamente comentado a aplicação de uma política de mesa limpa e tela TÓPICO 3 CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 99 limpa é uma das principais táticas para diminuir os riscos de segurança Muitos procedimentos requerem poucos investimentos e são fáceis de aplicar Use áreas com trancas gavetas com trancas armários de pastas cofres e salas de arquivo deveriam estar disponíveis para armazenar mídias de informação documentos em papel pen drives cartões de memória etc ou dispositivos facilmente transportáveis celulares tablets e notebooks quando não em uso ou quando não houver ninguém tomando conta Além da proteção contra o acesso não autorizado a medida também pode proteger a informação e ativos contra desastres como incêndios terremotos inundações ou explosões Proteção de dispositivos e sistemas de informação computadores e dispositivos similares deveriam estar posicionados para evitar que transeuntes tenham a chance de olhar as telas Ainda configurados para protetores de tela ativados por tempo e protegidos por senha minimizando as chances de que alguém tire vantagem de equipamentos desacompanhados Adicionalmente sistemas de informação deveriam ter sessões encerradas quando não em uso Ao fim do dia os dispositivos deveriam ser desligados especialmente aqueles conectados em rede quanto menos tempo o dispositivo permanecer ligado menos tempo haverá para alguém tentar acessálo Restrições ao uso de tecnologias de cópia e impressão o uso de impressoras fotocopiadoras scanners e câmeras por exemplo deveria ser controlado pela redução da sua quantidade quanto menos unidades disponíveis menor o número de pontos potenciais de vazamento de dados ou pelo uso de funções de código que permitam que somente pessoas autorizadas tenham acesso ao material enviado Qualquer informação enviada a impressoras deveria ser recolhida rapidamente Adoção de uma cultura sem papel documentos não deveriam ser impressos desnecessariamente e lembretes não deveriam ser deixados em monitores ou sob teclados Lembrese mesmo pequenos pedaços de informação podem ser o suficiente para uma pessoa mal intencionada descobrir aspectos da sua vida ou dos processos da organização que possam ajudálo a comprometer informações Descarte de informações deixadas em salas de reunião todas as informações em quadros brancos deveriam ser apagadas e todos os pedaços de papel usados durante a reunião deveriam estar sujeitos a um descarte apropriado pelo uso de picotadora por exemplo LEAL 2016 100 UNIDADE 2 FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO LEITURA COMPLEMENTAR Política de Segurança da Informação 1 OBJETIVO Esta política tem por objetivo estabelecer os conceitos e as diretrizes de segurança da informação visando proteger a Organização os clientes e o público em geral 2 ABRANGÊNCIA Esta política aplicase a todos os administradores funcionários estagiários e prestadores de serviços da B3 SA Brasil Bolsa e Balcão e de suas controladas no Brasil e no exterior Companhia 3 REFERÊNCIAS Código de Conduta Política de Gestão de Riscos Corporativos Política de Continuidade de Negócios Política de Tecnologia da Informação ABNT NBR ISO IEC 270022005 IOSCO Guidance on cyber resilience for financial market infrastructures 4 CONCEITOS A segurança da informação é aqui caracterizada pela preservação dos seguintes conceitos confidencialidade garantia de que a informação somente possa ser acessada por pessoas autorizadas pelo período necessário disponibilidade garantia de que a informação esteja disponível para as pessoas autorizadas quando se fizer necessária e integridade garantia de que a informação esteja completa exata íntegra e que não tenha sido modificada ou destruída indevidamente de maneira não autorizada ou acidental durante o seu ciclo de vida TÓPICO 3 CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 101 5 DIRETRIZES A informação constituise ativo valioso de extrema importância para a Companhia e fundamental para o sucesso dos seus negócios merecendo portanto proteção adequada Segurança da informação consiste na adoção de medidas para proteger a propriedade confidencialidade disponibilidade e integridade da informação em qualquer forma e suporte que se apresente física ou digital das diversas ameaças existentes a fim de evitar seu uso indevido inadequado ilegal ou em desconformidade com as políticas e os procedimentos internos Para tanto devem ser observadas as diretrizes a seguir indicadas 51 PROPRIEDADE MONITORAMENTO E CLASSIFICAÇÃO DA INFORMAÇÃO As informações produzidas pelos administradores funcionários estagiários e prestadores de serviços em formato físico ou digital são de propriedade exclusiva da Companhia bem como as informações a ela disponibilizadas de maneira autorizada por terceiros devendo ser utilizadas exclusivamente para o atendimento dos objetivos do negócio Os equipamentos meios de comunicação e sistemas da Companhia estão sujeitos a monitoramento sendo certo que eventuais informações de cunho pessoal tratadas por esses meios ou fornecidas à Companhia serão abrangidas por referido controle O monitoramento aqui previsto é de conhecimento de todos os administradores funcionários estagiários e prestadores de serviços Deve existir método para a classificação da informação de acordo com o nível de confidencialidade e criticidade para o negócio da Companhia As informações devem ser atribuídas a proprietários formalmente designados como responsáveis pela autorização de acesso às informações sob a sua responsabilidade As informações devem estar adequadamente protegidas e rotuladas em observância às diretrizes de segurança da informação da Companhia em todo o ciclo de vida que compreende geração acesso manuseio armazenamento reprodução transporte e descarte 52 ACESSOS E IDENTIDADES Os acessos às informações e aos ambientes tecnológicos da Companhia devem ser controlados de acordo com sua classificação e revisados periodicamente de forma a serem disponibilizados apenas às pessoas autorizadas e com os privilégios necessários para o desempenho de suas atividades 102 UNIDADE 2 FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO 53 DESCARTE DE INFORMAÇÕES O descarte da informação deve ser realizado com o emprego de medidas que impossibilitem a sua reconstrução de acordo com as necessidades do suporte físico ou digital A informação deve ser descartada considerando prazos mínimos legais ou regulatórios bem como sua necessidade para o negócio ou a área o que for maior 54 FORNECEDORES E PARTES EXTERNAS Os contratos com as empresas prestadoras de serviços que possuem acesso às informações aos sistemas eou ao ambiente da Companhia devem conter cláusulas que assegurem o cumprimento das regras de segurança da informação bem como penalidades no caso de descumprimento 55 CONTINUIDADE DE NEGÓCIOS A gestão de continuidade de negócios estabelece e mantém estrutura estratégica e operacional preparada para gerenciar e responder à interrupção nos processos que suportam os negócios da Companhia Este é disciplinado pela Política de Continuidade de Negócios 6 RESPONSABILIDADES 61 ADMINISTRADORES FUNCIONÁRIOS ESTAGIÁRIOS E PRESTADORES DE SERVIÇOS Cumprir as regras de Segurança da Informação Proteger as informações contra acessos modificação destruição ou divulgação não autorizados Assegurar que os recursos tecnológicos as informações e os sistemas a sua disposição sejam utilizados apenas para as finalidades de negócio Cumprir as leis e as normas que regulamentam a propriedade intelectual Não discutir citar ou compartilhar assuntos confidenciais em ambientes públicos ou em áreas expostas aviões transporte restaurantes encontros sociais etc incluindo comentários e opiniões em blogs e redes sociais Não compartilhar informações confidenciais de qualquer tipo Comunicar imediatamente à Segurança da Informação qualquer descumprimento ou violação desta política eou de suas normas e procedimentos TÓPICO 3 CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 103 62 GESTORES Reforçar e orientar a equipe em relação a práticas processos de segurança e acessos a sistemas 63 SUPERINTENDÊNCIA DE SEGURANÇA DA INFORMAÇÃO Prover ampla divulgação da Política e das Normas de Segurança da Informação para administradores funcionários estagiários e prestadores de serviços Promover ações de conscientização sobre segurança da informação para os funcionários estagiários e prestadores de serviços Propor ações de aperfeiçoamento da segurança da informação Estabelecer normas e procedimentos relacionados à instrumentação da segurança da informação dispondo sobre a propriedade e o uso da informação a gestão de acessos e identidades e os incidentes de segurança da informação 64 SUPERINTENDÊNCIA DE ADMINISTRAÇÃO SUPRIMENTOS E PATRIMÔNIO Assegurar que contratos com as empresas prestadoras de serviços que possuem acesso às informações aos sistemas eou ao ambiente da Companhia contenham cláusulas que assegurem o cumprimento desta Política e das Normas de Segurança da Informação bem como penalidades no caso de descumprimento 7 INFORMAÇÕES DE CONTROLE Vigência a partir de junho de 2018 1ª versão 16022009 Responsáveis pelo documento Responsável Área Elaboração Gerência de Segurança da Informação Revisão Diretoria de Governança e Gestão Integrada Diretoria Jurídica Aprovação Diretoria Colegiada Conselho de Administração 104 UNIDADE 2 FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO Registro de alterações Versão Item Modificado Motivo Data 01 Versão Original NA 16022009 011 Diversos Primeira revisão da Política 10082009 012 Diversos Inclusão da abrangência da Política atualização das nomenclaturas das áreas e revisão na aplicação da Política 27122010 02 Diversos Ampliação das diretrizes substituição de glossário por definições remoção de regras da Política 08032011 03 Diversos Revisão geral foco nas diretrizes corporativas para a Segurança da Informação 15052013 04 Diversos Inclusão dos conceitos e gestão de incidentes simplificação das diretrizes e responsabilidades 06052014 105 RESUMO DO TÓPICO 3 Neste tópico você aprendeu que É de suma importância o envolvimento de todas as áreas para a construção da PSI desde a área de tecnologia até o jurídico Cada organização deve ter consciência dos ativos que quer proteger além de deixar isso claro na PSI Procedimentos simples podem ser adotados como política de senha e acesso para melhoria da segurança Algumas atitudes como manter a mesa organizada e deixar o computador com senha também melhoram a segurança Ficou alguma dúvida Construímos uma trilha de aprendizagem pensando em facilitar sua compreensão Acesse o QR Code que levará ao AVA e veja as novidades que preparamos para seu estudo CHAMADA 106 1 Após o desenvolvimento da política de segurança é importante que ela seja de fácil compreensão e amplamente divulgada na organização É preciso que atitudes simples como a criação de uma senha sigam os critérios de segurança definidos pela política de segurança Com relação à política de acesso a sistemas é correto afirmar que a É aconselhável utilizar palavras do dicionário como senhas b Uma senha grande e formada por caracteres que não constituem uma palavra dificulta o ataque baseado na força ou na engenharia social c As senhas são a única forma segura de se autenticar em um computador d Uma boa senha é a que é facilmente lembrada pelo usuário como data de aniversários sobrenomes ou nome dos filhos 2 Quando a organização decide criar uma política de segurança deve além de decidir o que e como quer proteger como será feita a divulgação A política deve ser desenvolvida seguindo os princípios da organização deve ser aprovada pelo conselho de administração e publicada para todo o pessoal e todos os parceiros externos relevantes como clientes e fornecedores Com relação à política de segurança da informação assinale a alternativa correta a A política de segurança da informação deve ser analisada criticamente em intervalos planejados ou quando mudanças significativas ocorrerem assegurando a contínua pertinência adequação e eficácia b Uma política de segurança tem por objetivo fornecer direção e apoio gerenciais para a segurança de informações através da elaboração de regras e diretrizes Recomendase que o documento que define a política de uma organização apresente uma descrição detalhada dos mecanismos de segurança além da configuração de cada um c O documento da política de segurança de uma organização é considerado sigiloso e deve ser mantido em local seguro e controlado para que somente a alta gerência da organização tenha acesso d Uma política de segurança é um conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização São englobadas regras para implantação de controles lógicos e organizacionais Regras para os controles físicos devem ser especificadas no plano de continuidade dos negócios e O documento da política de segurança deve atribuir responsabilidades de forma explícita às pessoas que lidam com os recursos computacionais e informações de uma organização O cumprimento de responsabilidades é papel exclusivo do departamento de tecnologia da informação TI AUTOATIVIDADE 107 3 A divulgação das políticas de segurança da informação pode ser feita via palestras panfletos e quadros dispostos em locais de grande circulação para conhecimento de todos Convém que o documento da política de segurança da informação declare o comprometimento da direção Ainda que estabeleça o enfoque da organização para gerenciar a segurança da informação É INCORRETO dizer que o documento da política deva conter a Uma breve explanação das políticas princípios normas e requisitos de conformidade de segurança da informação específicos para a organização b Uma definição de segurança da informação suas metas globais escopo e importância da segurança da informação como um mecanismo que habilita o compartilhamento da informação c Uma declaração do comprometimento da direção apoiando as metas e princípios da segurança da informação em alinhamento com os objetivos e estratégias do negócio d Referências à documentação que possam apoiar a política por exemplo políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários devam seguir e Uma estrutura para coibir os objetivos de controle incluindo a estrutura de análiseavaliação e gerenciamento de risco em conformidade com a legislação e com os requisitos regulamentares e contratuais 109 UNIDADE 3 INVENTÁRIO E ATIVOS DE INFORMAÇÃO OBJETIVOS DE APRENDIZAGEM PLANO DE ESTUDOS A partir do estudo desta unidade você deverá ser capaz de conhecer alguns equipamentos de segurança da informação identificar recursos para garantir a segurança dos ativos compreender a importância dos controles de inventário visualizar alguns exemplos para construir um controle de ativos Esta unidade está dividida em três tópicos No decorrer da unidade você encontrará autoatividades com o objetivo de reforçar o conteúdo apresentado TÓPICO 1 CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO TÓPICO 2 PLANEJANDO O INVENTÁRIO DE ATIVOS EM SEGURANÇA DA INFORMAÇÃO TÓPICO 3 FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO Preparado para ampliar seus conhecimentos Respire e vamos em frente Procure um ambiente que facilite a concentração assim absorverá melhor as informações CHAMADA 111 UNIDADE 3 1 INTRODUÇÃO Vimos na Unidade 2 que é necessária a participação de todos para a construção de uma política de segurança da informação É uma forma de difundir medidas de proteção e que a política precisa estar sempre sendo atualizada Agora conheceremos alguns equipamentos e procedimentos estes que darão suporte em busca da segurança da informação Veremos que a informação pode ser classificada conforme o seu risco mas que os equipamentos também precisam ser controlados pois o roubo de um hardware pode trazer vamos prejuízos para a organização Para conseguirmos gerenciar alguma coisa é necessário conseguir medir ou contar Assim em nossa última unidade de estudos começaremos conhecendo alguns ativos de informação pois é preciso ter um sistema documentado no qual os ativos e processos de segurança da informação são identificados e descritos Todo e qualquer ativo ou processo de segurança da informação deve ser atribuído a pessoas Vamos começar com o inventário qual a necessidade dessa prática 2 INVENTÁRIO Provavelmente você já deve ter ouvido falar da palavra inventário ou participado de algum processo de inventário mas você sabe o que efetivamente ele significa e qual a sua real necessidade A aplicação da palavra inventário pode ser usada em outros contextos como quando uma pessoa morre para efetuar a divisão dos bens entre os herdeiros Segundo Significados 2018 sp Inventário é um documento contabilístico que consiste em uma listagem de bens que pertencem a uma pessoa entidade ou comunidade Dentro de uma empresa a realização de um inventário é feita para que seja possível obter um balanço real Em muitos países a administração pública instituiu a obrigatoriedade do inventário já que é uma prática importante na gestão de empresas porque ajuda a definir os seus resultados facilitando a administração fiscal De acordo com a legislação o resultado do inventário deve ficar devidamente registrado TÓPICO 1 CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO UNIDADE 3 INVENTÁRIO E ATIVOS DE INFORMAÇÃO 112 No contexto empresarial muitas vezes o inventário é feito com o objetivo de determinar a liquidez da empresa em caso de separação dos seus sócios O inventário é um método de registro que permite saber em qualquer momento o estoque existente ou seja os materiais existentes em armazém ou almoxarifado O método possibilita determinar os lucros e perdas de um determinado negócio A aplicação da palavra inventário no contexto organizacional segundo Teixeira 2018 é uma listagem de todos os bens e materiais que pertencem à organização ou que estão disponíveis em estoque buscando controlar o que se tem e diminuir os desperdícios Quando falamos de gerenciamento de inventário dos ativos tecnológicos ele difere um pouco pois estamos trabalhando com software e hardware chamados de ativos de TI Podemos classificar segundo Teixeira 2018 sp da seguinte forma Softwares todas as licenças utilizadas serviços em nuvem versões aplicativos etc Hardwares todos os equipamentos físicos relacionados à tecnologia como computadores laptops smartphones roteadores cabos etc Ao conseguirmos ter controle podemos nos preparar e evitar gastos com manutenções e paradas desnecessárias por não sabermos que temos determinado equipamento em estoque No Tópico 3 apresentaremos formas de gerenciar os equipamentos Antes é preciso listarmos alguns motivos para justificar esse controle Segundo Teixeira 2018 a diminuição do risco permite a antecipação aos problemas tornando possível a resolução de um problema antes que ele se agrave Com o inventário é possível ter no controle de ativos o controle de garantias dadas pelo fabricante como suporte gratuito e limite de prazos para renovação da garantia de equipamentos mais críticos como servidores Outra vantagem é o aumento da vida útil dos ativos pois com esse controle de informações sabese o momento de fazer a manutenção dos equipamentos pois estão documentadas todas as datas de manutenções trocas e atualizações de sistemas Em consequência são evitados gastos desnecessários com novos equipamentos TEIXEIRA 2018 Com a manutenção periódica e com o controle de garantias como vimos temos a redução dos custos Ainda com a melhoria na gestão dos ativos o aumento na vida útil e a diminuição dos riscos de perdas significativas o inventário traz benefícios para os ativos de TI e para a gestão financeira da empresa Além disso com o controle dos softwares instalados a gestão consegue identificar se algo não devidamente instalado evitando que softwares maliciosos causem riscos à segurança da informação TEIXEIRA 2018 TÓPICO 1 CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO 113 3 CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO A NBR ISOIEC 27002 trata da questão da gestão de ativos sob a ótica da gestão da segurança da informação O objetivo é definir a responsabilidade pelos ativos da organização identificandoos e definindo as devidas responsabilidades pela proteção desses ativos Segundo a norma NBR ISOIEC 27002 os inventários de ativos ajudam a assegurar que a proteção efetiva ocorra e podem igualmente ser exigidos para outras finalidades como saúde e segurança razões de seguro ou financeiras gestão de ativos Além disso a compilação do inventário de ativos é um requisito importante da gestão de riscos A norma recomenda que um controle seja aplicado para identificar os ativos e os recursos de processamento associados à informação e que um inventário seja mantido e estruturado Indica também algumas diretrizes para implementar esse controle a Convém que a organização identifique os ativos relevantes no ciclo de vida da informação e documente a sua importância Convém que o ciclo de vida da informação inclua a criação o processamento o armazenamento a transmissão a exclusão e a sua destruição Convém que a documentação seja mantida em um inventário existente ou exclusivo conforme apropriado b Convém que o inventário de ativos seja completo atualizado e alinhado com outros inventários c Convém que para cada um dos ativos identificados seja indicado um responsável além da classificação do ativo a ser identificado SILVA PINTO 2019 Como vimos durante nossos estudos a tecnologia da informação está cada vez mais ligada aos negócios das organizações Em muitos casos a sobrevivência das organizações depende de como as suas informações estão seguras independentemente do segmento ou porte Assim uma correta gestão de ativos aparece como um fator decisivo no controle na identificação e na redução de custos relacionados à infraestrutura de TI SCHULTZ 2018 É uma correta gestão de ativos que permite que a organização se mantenha alinhada às expectativas de um mercado cada vez mais concorrido Essa gestão também é importante para que a gerência consiga suprir a demanda de clientes cada vez mais exigentes Além desse controle outro fator se refere à infraestrutura física evitando que equipamentos se percam ou sejam extraviados A gestão de ativos evita o uso de softwares sem a devida licença e o uso de equipamentos e softwares obsoletos que geram gastos gargalos e reduzem o desempenho de sistemas SCHULTZ 2018 UNIDADE 3 INVENTÁRIO E ATIVOS DE INFORMAÇÃO 114 Na Unidade 1 vimos que um ativo em tecnologia da informação são as informações os softwares ou hardwares de propriedade da organização utilizados durante suas atividades de negócios ou seja qualquer coisa que tenha valor para a organização Para um melhor gerenciamento e tomada de decisões de negócios é importante termos um inventário detalhado dos ativos Os ativos custam dinheiro ou possuem certo valor Podemos listar alguns segundo Baars Hintzbergen e Hintzbergen 2018 p 170 Informações na forma de documentos base de dados contratos documentação de sistemas procedimentos manuais logs de sistemas planos e guias Programas de computador como programas do sistema programas do usuário e programas de desenvolvimento Equipamentos como servidores PCs componentes de rede e cabos Mídias como CDROMs pen drives HDs externos etc Serviços como construções equipamentos de fabricação instalações de distribuição etc Pessoas e seus conhecimentos Ativos não tangíveis como a imagem e a reputação da organização Reforçando o conceito apresentado Kosutic 2014a afirma que o propósito para desenvolver um inventário de ativos é identificar quais informações classificadas você tem em sua posse além do responsável ou proprietário delas A informação classificada pode estar em diferentes formatos e tipos de mídia como documentos eletrônicos sistemas de informaçãobases de dados documentos em papel mídias de armazenamento discos cartões de memória etc informação transmitida verbalmente e email Uma importante recomendação em relação aos ativos é que eles devem ser classificados a fim de permitir a definição de níveis de segurança É preciso identificar quem é o dono e este deve ser registrado em uma base de dados gerenciada de forma centralizada BAARS HINTZBERGEN HINTZBERGEN 2018 Sugestões das informações que devem ser gravadas sobre um ativo da empresa são BAARS HINTZBERGEN HINTZBERGEN 2018 p 170 O tipo de ativo da empresa O dono A localização O formato A classificação O valor para o negócio O custo inicial A idade O custo estimado de reposição TÓPICO 1 CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO 115 Baars Hintzbergen e Hintzbergen 2018 reforçam ao dizer que essas informações podem ser necessárias por exemplo para a recuperação que se segue a um incidente ou desastre Já o dono é a pessoa responsável por um processo subprocesso ou atividade de negócio e cuida de todos os aspectos dos ativos de negócio incluindo segurança gestão produção e desenvolvimento Veremos mais adiante uma matriz de responsabilidade Continuando com a definição dos ativos Kosutic 2014a faz um questionamento muito pertinente por que ativos são importantes para a gestão da segurança da informação Segundo ele existem duas razões do porquê gerenciar ativos 1 Ativos são geralmente utilizados para se realizar análiseavaliação de riscos São o elementochave para a identificação de riscos com ameaças e vulnerabilidades KOSUTIC 2014a 2 Se a organização não sabe quem é o responsável por cada ativo o caos reina A definição de proprietários de ativos e a designação de responsabilidades quanto à proteção da confidencialidade integridade e disponibilidade da informação são os principais conceitos KOSUTIC 2014a Como todo processo o mais fácil é definilo desde o início da maneira correta A forma mais fácil de construirmos um inventário de ativos também é durante o processo inicial de análiseavaliação de riscos porque é o momento quando todos os ativos precisam ser identificados com seus proprietários KOSUTIC 2014a É preciso iniciar entrevistando o responsável por cada departamento e solicitase uma lista de todos os ativos que o departamento usa A técnica é conhecida como descreva o que você vê Basicamente a pessoa faz uma lista de todos os softwares que ela vê que estão instalados no computador todos os documentos que estão em suas pastas e armários todas as pessoas trabalhando no departamento todos os equipamentos vistos etc KOSUTIC 2014a Começaremos conhecendo o conceito de proprietário da informação e depois veremos como são a classificação e a rotulagem dos ativos 4 PROPRIETÁRIO DO ATIVO Neste momento você deve estar pensando no contexto de uma organização O dono da empresa é o proprietário do ativo De uma maneira geral sim mas estamos falando no contexto do funcionamento da organização no contexto da responsabilidade UNIDADE 3 INVENTÁRIO E ATIVOS DE INFORMAÇÃO 116 O dono é a pessoa responsável por um processo subprocesso ou atividade de negócio e cuida de todos os aspectos dos ativos de negócio incluindo segurança gestão produção e desenvolvimento BAARS HINTZBERGEN HINTZBERGEN 2018 p 170 Segundo Kosutic 2014a o proprietário é geralmente o responsável pela operação é a pessoa que opera o ativo que assegura que a informação relacionada a esse ativo esteja protegida Por exemplo um proprietário de servidor pode ser o administrador do sistema e o proprietário de um arquivo pode ser a pessoa que criou o ativo Já a pessoa que é responsável pelos empregados o proprietário geralmente é o supervisor direto Em casos de ativos similares que são utilizados por várias pessoas como o software da empresa o proprietário pode ser um membro da diretoria que tem a responsabilidade por toda a organização Ou seja construir um registro de ativos pode parecer um trabalho muito burocrático sem muito uso prático mas a verdade é que listar esses ativos ajuda a esclarecer o que é valioso na organização e quem é responsável por eles Sem saber o que você tem e quem está no comando nem pense que é capaz de proteger a informação KOSUTIC 2014a Como sempre mencionamos essa classificação depende de diversas características da organização como tamanho faturamento e tipo de negócio pois quanto maior e mais complexa for a organização mais níveis de confidencialidade existem Segundo Baars Hintzbergen e Hintzbergen 2018 a classificação da informação é utilizada para definir os diferentes níveis de sensibilidade da estruturação por exemplo se ela é ou não confidencial ou pública Correia 2016 reforça afirmando que diferentes tipos de informações devem ser protegidos de formas distintas e que para que isso seja possível a informação precisa ser classificada O autor menciona que a classificação é um dos primeiros passos para a implementação de uma política de segurança da informação As políticas de segurança da informação da organização para haver sucesso devem ser construídas com base no inventário de ativos pois não adianta construir uma política de acesso a sala de servidores se esse serviço não é realizado pela organização No caso de uma organização de médio porte você pode utilizar segundo Kosutic 2014a três níveis de confidencialidade e um nível público Confidencial o mais alto nível de confidencialidade Restrito médio nível de confidencialidade Uso interno o mais baixo nível de confidencialidade Público todos podem ver a informação TÓPICO 1 CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO 117 Outra definição para Baars Hintzbergen e Hintzbergen 2018 p 175 é a de designar que é uma forma especial de categorizar a informação por exemplo de acordo com um determinado assunto da organização ou um grupo de pessoas autorizadas Ainda identificar quem é dono ou seja quem é a pessoa encarregada de um ativo de negócio Correia 2016 apresenta uma forma de classificação que deve estar registrada na Política de Classificação e Manuseamento da Informação São propostos os seguintes níveis de classificação da informação informação pública interna e confidencial Correia 2016 p 17 afirma a Informação pública essas informações podem ser divulgadas a qualquer pessoa sem que a organização seja prejudicada b Informação interna são informações que não devem sair da organização mas se isso acontecer não há consequências danosas c Informação confidencial o acesso a essas informações é realizado conforme a sua necessidade só sendo permitido se as informações forem fundamentais para o desempenho satisfatório do trabalho A organização pode ainda estratificar o nível de classificação nos tipos informação secreta e informação ultrassecreta Informação secreta para este tipo de informação o controle sobre o uso das informações é total o acesso não autorizado é crítico para a organização Informações ultrassecretas neste tipo de informação o controle também é total pois o acesso não autorizado é extremamente crítico Vale ressaltar que como a vida de uma organização é dinâmica a classificação da informação também é dinâmica As informações consideradas sigilosas em determinada época podem ser futuramente de domínio público CORREIA 2016 p 17 Lembrando que a organização que deve definir os níveis baseada no que quer e com quem quer compartilhar Assim uma vez classificada a informação é necessário rotular As técnicas são variáveis como o exemplo proposto No caso de um documento impresso é possível definir as regras para documentos em papel de forma que o nível de confidencialidade seja indicado no canto superior direito de cada página do documento e que a classificação também seja indicada na capa ou no envelope que transporta tal documento assim como na pasta na qual o documento é armazenado KOSUTIC 2014a Você já ouviu falar da Lei Geral de Proteção de Dados Pessoais LGPD Art 1º Esta Lei dispõe sobre o tratamento de dados pessoais inclusive nos meios digitais por pessoa natural ou por pessoa jurídica de direito público ou privado com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural Conheça mais em httpwwwplanaltogovbr ccivil03ato201520182018leiL13709compiladohtm DICAS UNIDADE 3 INVENTÁRIO E ATIVOS DE INFORMAÇÃO 118 Vejamos um exemplo de documento disponibilizado na cartilha do governo sobre a classificação de informações sigilosas no Tesouro Nacional FIGURA 1 EXEMPLO DE CLASSIFICAÇÃO DE INFORMAÇÃO FONTE Fazenda 2018 p 44 TÓPICO 1 CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO 119 É importante que todos tenham conhecimento de como os documentos são classificados quais as regras e quem são os responsáveis como veremos a seguir segundo Fazenda 2018 p 4647 Preenchimento dos campos a Cabeçalho identificar o órgãounidade e seu endereço telefone e email para contato b ÓRGÃOENTIDADE identificar o órgãounidade classificadora c CÓDIGO DE INDEXAÇÃO Código de Indexação de Documento com Informação Classificada As orientações para formatação do CIDIC conforme Decreto nº 78452012 estão disponíveis em cartilha Procedimentos para Classificação da Informação em Grau de Sigilo COGRL 2015 httpdsicplanaltogovbrdocumentosNSCCIDICFORMATACAO ORIENTACAOpdf httpdsicplanaltogovbrdocumentosNSCCIDICCOMPOSICAOpdf d GRAU DE SIGILO indicar dentre as opções o grau de classificação de sigilo da informação Após selecionado o grau de sigilo será exibido no canto superior direito do TCI e CATEGORIA identificar o código numérico da categoria na qual se enquadra a informação que está sendo classificada de acordo o Anexo II do Decreto nº 7845 de 14 de novembro de 2012 A categoria referente às atividadesfim do Ministério da Fazenda é 06 Economia e Finanças já às atividades finalísticas da ESAF aplicase a categoria 07 Educação f TIPO DE DOCUMENTO descrever o documento Exemplos Memorando nº 1SEMF de 5 de janeiro de 2015 Processo nº 01001001201501 g DATA DE PRODUÇÃO identificar a data em que o documentoprocesso foi produzido h FUNDAMENTO LEGAL PARA CLASSIFICAÇÃO identificar o dispositivo legal incluindo artigo e inciso que fundamenta a classificação dentre os estabelecidos no artigo 25 do Decreto nº 77242012 i RAZÕES PARA A CLASSIFICAÇÃO demonstrar como a informação se enquadra à hipótese legal ou seja a motivação do ato administrativo observados os critérios estabelecidos no art 27 do Decreto nº 77242012 Quando da desclassificação reclassificação ou alteração do prazo de sigilo o campo no novo TCI deve ser complementado com a motivação da respectiva decisão j PRAZO DA RESTRIÇÃO DE ACESSO indicar o prazo de sigilo contado em anos meses ou dias ou do evento que defina o seu término conforme limites previstos no art 28 do Decreto 77242012 k DATA DE CLASSIFICAÇÃO identificar a data em que o documento processo foi classificado com grau de sigilo l AUTORIDADE CLASSIFICADORA identificação nome e cargo da autoridade competente para classificar de acordo com o grau de sigilo conforme estabelecido no art 30 do Decreto nº 77242012 UNIDADE 3 INVENTÁRIO E ATIVOS DE INFORMAÇÃO 120 grau secreto as autoridades referidas no grau ultrassecreto e titulares de autarquias fundações empresas públicas e sociedades de economia mista grau reservado todas as autoridades referidas nos graus ultrassecreto e secreto e aquelas que exerçam funções de direção comando ou chefia nível DAS 1015 ou superior e seus equivalentes m AUTORIDADE RATIFICADORA quando aplicável identificação nome e cargo do Ministro de Estado no prazo de 30 dias a partir da classificação É necessária somente quando se tratar de informação classificada no grau ultrassecreto n DESCLASSIFICAÇÃO em quando aplicável informar a data nome e cargo da autoridade competente mediante decisão de desclassificação da informação o RECLASSIFICAÇÃO em quando aplicável informar a data nome e cargo da autoridade competente mediante decisão de reclassificação da informação p REDUÇÃO DE PRAZO em quando aplicável informar a data nome e cargo da autoridade competente mediante decisão de redução do prazo de classificação da informação q PRORROGAÇÃO DE PRAZO em quando aplicável informar a data nome e cargo da autoridade competente mediante decisão de prorrogação do prazo de classificação da informação Observação somente informações classificadas em grau de sigilo ultrassecreto podem ter seus prazos prorrogados inciso IV do art 47 do Decreto nº 77242012 FAZENDA Classificação de informações sigilosas no Tesouro Nacional 2018 Disponível em httpwwwfazendagovbrseipublicacoescartilha classificacaodeinformacoessigilosasnastn Acesso em 12 abr 2020 Além disso podese solicitar a assinatura de um documento como apresentado por Fazenda 2018 TÓPICO 1 CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO 121 FIGURA 2 TERMO DE COMPROMISSO FONTE Fazenda 2018 p 48 Como mencionamos anteriormente tudo depende do que se está protegendo do tamanho da empresa e do valor dessa informação É possível também em uma mensagem e email colocar um aviso em relação ao sigilo adicionando aviso legais em todas as mensagens enviadas O administrador pode cadastrar um aviso legal disclaimer que é adicionado automaticamente em todos os emails enviados do seu domínio Os casos mais comuns para utilizar um aviso legal no rodapé de mensagens de email são avisos de confidencialidade de direitos autorais informações contratuais etc Segundo Mindnet 2020 sp UNIDADE 3 INVENTÁRIO E ATIVOS DE INFORMAÇÃO 122 O conteúdo deste email é confidencial e destinado exclusivamente ao destinatário especificado apenas na mensagem É estritamente proibido compartilhar qualquer parte da mensagem com terceiros sem o consentimento por escrito do remetente Se você recebeu a mensagem por engano responda e siga com sua exclusão para que possamos garantir que tal erro não ocorra no futuro Para auxiliar na classificação a organização pode definir por exemplo que a rotulagem da informação geralmente é de responsabilidade do proprietário da informação É preciso desenvolver regras sobre como proteger cada tipo de ativo dependendo do nível de confidencialidade Por exemplo você pode usar definir as regras para cada nível de confidencialidade e para cada tipo de mídia FONTE Kosutic 2014a sp QUADRO 1 CLASSIFICANDO A INFORMAÇÃO Lembrando que essa classificação da informação é definida pela organização mas normalmente é o dono do ativo que faz Segundo Baars Hintzbergen e Hintzbergen 2018 p 175 O dono de um ativo de negócio atribui uma classificação apropriada de acordo com uma lista acordada de classificações A classificação indica a forma de segurança que é necessária Isso é determinado em parte pela sensibilidade pelo valor pelos requisitos legais e pela importância para a organização A classificação está de acordo com a forma como o ativo de negócio é utilizado no negócio O dono do ativo de negócio deve assegurar que ele seja reclassificado se necessário Se ativos de negócio de uma organização estiverem classificados apenas o dono é capaz de reduzir a classificação a categoria ou dar permissão para que isso seja feito A informação por exemplo pode ser classificada como confidencial até o momento da sua publicação mas uma vez que a informação tenha se tornado pública a classificação é reduzida Agora que já conhecemos os papéis e o que deve ser inventariado veremos no próximo tópico algumas ferramentas que poderão auxiliar 123 Neste tópico você aprendeu que Ativos de informação não são apenas equipamentos mas tudo que se refere à informação Os ativos são muito importantes para a organização criar um controle Os ativos devem ser classificados conforme seu grau de divulgação Após a classificação é preciso atribuir um proprietário para auxiliar no controle RESUMO DO TÓPICO 1 124 1 Quando falamos da classificação da informação estamos nos referindo à classificação das informações e dos níveis de proteção que cada dado deve ganhar Por exemplo os relatórios financeiros da empresa devem ter um nível de proteção diferente daquele da lista de números de telefone internos dos setores Com relação ao processo de classificação da informação qual é o seu objetivo a Estabelecer a quantidade de categorias de classificação e os benefícios obtidos pelo seu uso b Determinar o valor da informação os requisitos legais a sensibilidade e a criticidade para a organização c Determinar o valor da informação os requisitos legais e as medidas especiais de tratamento d Analisar a confidencialidade a integridade e a disponibilidade da informação e Assegurar que as informações recebam um nível adequado de tratamento e de proteção 2 Com relação à gestão de ativos precisamos saber o que temos para que possamos gerenciar da melhor maneira Acerca do gerenciamento de segurança da informação julgue os itens a seguir As políticas de classificação da informação são fundamentais para permitir que os ativos e as informações sejam gerenciados com base em classificações de sigilo Ainda podem variar de acordo com a nomenclatura adotada pela organização conforme a sua classificação como público ostensivo ou confidencial sigiloso secreto a Certo a Errado 3 Quando se desenvolve uma política para a segurança da informação ela deve fornecer as instruções do que deve ser feito e contar com o apoio da organização Essa política deve ser escrita em conformidade com os objetivos do negócio e em consonância com as leis e os regulamentos relevantes Com base nisso julgue os itens seguintes relacionados à segurança física segurança lógica e gestão de risco Para que a gestão de riscos de segurança da informação seja viável e eficiente em qualquer tipo de organização os ativos de informação devem ser analisados com o objetivo de identificar as vulnerabilidades e após identificar as ameaças a Certo b Errado AUTOATIVIDADE 125 4 Segundo Baars Hintzbergen e Hintzbergen 2015 p 146 é comum um documento de políticas ter uma estrutura hierárquica Vários documentos de política são desenvolvidos tendo como base uma política de segurança corporativa de alto nível Eles devem estar sempre em conformidade com a política corporativa e prover diretrizes mais detalhadas para uma área específica Um exemplo é um documento de política sobre o uso de criptografia Com relação à classificação da informação no setor público tem como objetivo assegurar que a informação receba um nível adequado de proteção Sobre a política de classificação da informação no setor público é INCORRETO afirmar a Os dados ou informações sigilosas são classificados como ultrassecretos secretos confidenciais e reservados em razão do seu teor ou dos seus elementos intrínsecos b É aconselhável que considere decretos ou leis que disciplinam a salvaguarda de dados informações documentos e materiais sigilosos além das áreas e instalações c Representa um conjunto de normas procedimentos e instruções existentes que trata de como proteger as informações d Para determinar o grau de sigilo devese definir os rótulos de classificação da informação independentemente do público de acesso e Considera que o grau de sigilo de uma informação é uma classificação rótulo atribuída para cada tipo de informação com base no conteúdo 127 UNIDADE 3 1 INTRODUÇÃO Nos últimos tempos temos visto que para que as empresas se mantenham ativas é necessária uma forte organização no setor de tecnologia Além dos controles e segurança das informações é preciso também do controle da rede e dos equipamentos Ao ter o controle em mãos o responsável pela organização consegue ter mais agilidade no controle das operações e se adequar às situações como a necessidade de fornecer equipamentos para o trabalho remoto ou a segurança das informações sendo acessadas fora da rede Neste tópico apresentaremos algumas dicas de como desenvolver o documento que pode ser em uma simples planilha de controle ou um software específico 2 POR QUE CONSTRUIR UM INVENTÁRIO DE ATIVOS DE INFORMAÇÃO Vale reforçar que é muito importante que a organização tenha registrado todos os ativos mas caso isso não tenha acontecido a forma mais fácil de construir acontece durante o processo inicial de análiseavaliação É o momento em que todos os ativos precisam ser identificados com seus proprietários Quando falamos em inventário de ativos não estamos apenas preocupados em manter o ambiente de trabalho organizado o que é muito importante também mas é muito mais abrangente A correta gestão de todos os ativos especialmente dos ativos relacionados à tecnologia evita desperdícios com investimentos desnecessários otimiza as atividades do negócio permite a aderência a vários controles de normas da gestão além da qualidade e segurança fundamentais em alguns casos para a sobrevivência da empresa em um mercado cada vez mais competitivo Quando esse controle não acontece é quase inevitável o aumento dos custos estes que acabam parando no preço do seu produto ou serviço A atividade de gerir os ativos é um trabalho que identifica e cataloga ativos de uma TÓPICO 2 PLANEJANDO O INVENTÁRIO DE ATIVOS EM SEGURANÇA DA INFORMAÇÃO 128 UNIDADE 3 INVENTÁRIO E ATIVOS DE INFORMAÇÃO organização para averiguar se determinado ativo existe na empresa se está em sua devida localização e se está sendo utilizado pelas pessoas corretas dentro de um prazo de vida útil adequado SOUZA 2014 Ter todas as informações detalhadas e atualizadas dos equipamentos de informática e softwares utilizados numa organização não só é uma prática necessária para a localização dos ativos espalhados muitas vezes em plantas geograficamente distantes como também é um mecanismo que permite identificar possíveis fontes de desperdício de recursos mal ou subutilizados ferramentas inadequadas para realização das atividades dos funcionários depredação dos equipamentos e fraudes ocasionadas por furtos e extravios muitas vezes cometidos pelos próprios colaboradores internos SOUZA 2014 sp Por isso o inventário de ativos se justifica e parte da regra básica de que todos os ativos precisam ser identificados localizados e devem ter sua importância ou valor para a organização definido para que se possa realizar a devida proteção para cada tipo de ativo Como percebemos o inventário além de ser fundamental para a segurança da informação da organização também serve de apoio para a gestão SOUZA 2014 Outra vantagem na construção de um inventário é a identificação dos proprietários dos ativos pois como vimos anteriormente todos os ativos relacionados com recursos de processamento da informação devem ter um proprietário definido para que este possa dar a devida classificação especialmente auxiliar no controle do acesso Essa identificação auxilia na identificação da pessoa ou organismo que tenha responsabilidades sobre o ativo mas não o direito de posse pois se entende que o direito de posse é da organização que fornece SOUZA 2014 Ao falar de inventários é importante conhecer as corretas terminologias Conheceremos os termos Software Asset Management SAM Hardware Asset Management HAM e IT Asset Management ITAM que aparecerão constantemente nas suas pesquisas referentes à gestão de ativos SAM HAM e ITAM É primordial que haja familiaridade a respeito dessas expressões segundo Freire 2019 Software Asset Management SAM ou gerenciamento de ativos de software talvez seja o mais popular dos termos Tratase do processo empregado para tomar decisões de aquisição ou cancelamento de programas É a prática que gera mais insegurança nos gestores mesmo que o compromisso de gerenciar recursos imateriais ainda pareça um mistério Hardware Asset Management HAM por sua vez é a terminologia pertinente aos recursos materiais do parque de TI Considerando que os componentes de hardware ocupam um espaço físico nas empresas o monitoramento do seu ciclo de vida se torna mais intuitivo TÓPICO 2 PLANEJANDO O INVENTÁRIO DE ATIVOS EM SEGURANÇA DA INFORMAÇÃO 129 IT Asset Management ITAM finalmente consiste na prática de gestão integrada de todos os ativos tecnológicos pertencentes à organização Tanto SAM quando HAM fazem parte do ITAM compondo uma perspectiva ampla sobre o desempenho das redes corporativas Um programa ideal deve contemplar ambos os aspectos FREIRE 2019 sp No próximo subtópico veremos uma maneira de fazer a gestão de quem é o responsável através da matriz de responsabilidade 3 MATRIZ DE RESPONSABILIDADE Vimos até o momento a importância para a segurança da informação de termos um SGSI Em conjunto com a diretoria é preciso definir o que é importante proteger pois existem graus distintos de importâncias Algumas podem ser de cunho competitivo como a fórmula de um produto ou o código de um programa e existem as de aspecto legal como contratos e acordos Já vimos também é fundamental saber quem é o proprietário do ativo Assim momento apresentaremos a matriz de responsabilidade de extrema importância na gestão dos ativos de informação Segundo Espinha 2020 é de suma importância que todos os envolvidos saibam exatamente quais são os seus papéis pelo que são responsáveis e quais são as suas atribuições Todos devem ter clareza de quais ações devem tomar em caso de um incidente ou quando apenas precisam ser informados Por exemplo você é do setor de montagem de peças e o servidor apresenta uma instabilidade No caso você deve ser apenas informado mas o responsável pelo departamento de TI precisa tomar alguma atitude Para resolver esse tipo de problema surge a matriz de responsabilidade muito conhecida apenas por RACI Rensponsible Accountable Consulted e Informed O acrônimo do inglês é traduzido para o português como Responsável Autoridade Consultado e Informado ESPINHA 2020 Essa matriz segundo Espinha 2020 permite aos membros da equipe visualizarem suas responsabilidades e a garantia de que os processos acontecem de maneira esperada Ainda mapeia todas as partes envolvidas e a melhora na comunicação entre todos Vejamos cada uma das partes da matriz definidas por Espinha 2020 130 UNIDADE 3 INVENTÁRIO E ATIVOS DE INFORMAÇÃO FIGURA 3 MATRIZ DE RESPONSABILIDADES FONTE Espinha 2020 sp Responsabilidade Responsible Indica o grupo de pessoas ou o indivíduo que é responsável pela execução pelo desenvolvimento pela conclusão e pela entrega da atividade É o time de entrega do projeto Autoridade Accountable Indica quem deve responder pela atividade o dono Vale ressaltar que apenas uma autoridade pode ser atribuída por atividade Ela corresponde à parte que tem autoridade para organizar a tarefa acompanhar seu desenvolvimento e aceitar ou recusar formalmente uma entrega O papel do Accountable é o de aprovador cobrado caso algo se desvie do esperado Por isso somente deve existir uma autoridade por tarefa e mesmo se essa pessoa delegar a responsabilidade pela aprovação de um entregável para outra ela deve responder pelo aceite daquela entrega Consultado Consulted São os apoiadores todos aqueles que podem dar dicas opiniões e sugestões para melhorar o desenvolvimento da atividade ou aperfeiçoar o entregável Espinha 2020 sp reforça Essas pessoas possuem o dever de responder aos questionamentos do responsável Responsible enquanto este último deve solicitar o envolvimento delas para agregar valor ou tirar dúvidas sobre a tarefa que está sendo executada Informado Informed neste item estão inclusas todas as pessoas que precisam receber a informação sobre a conclusão e o início de uma atividade ou uma entrega gerando uma mudança impactante no cotidiano Neste grupo estão usuárioschave colegas de projeto gestores ou interessados diretamente no projeto Veremos agora como construir uma matriz de responsabilidade e quais os passos que devem ser seguidos Contudo primeiramente é importante que se faça uma lista de todas as atividades e de todos aqueles que estão envolvidos no processo TÓPICO 2 PLANEJANDO O INVENTÁRIO DE ATIVOS EM SEGURANÇA DA INFORMAÇÃO 131 Descrição Gerente TI Gerente de RH Gerente Finanças Responsável Suporte Backup diário A C I R Manutenção de servidor R I CI I Treinamento e divulgação de PSI A R CI I Controle e troca de equipamentos A I CI R QUADRO 2 EXEMPLO DE MATRIZ RACI FONTE O autor Oliveira 2019 pontua seis regras fundamentais para fazer uma matriz de responsabilidade RACI Vejamos Sempre deve haver ao menos um responsável para cada atividade do processo Da mesma forma sempre deve existir ao menos um aprovador para cada tarefa do processo Por outro lado não pode haver mais de um aprovador para uma mesma atividade dos processos O responsável por uma determinada atividade pode ser o aprovador Em uma mesma atividade podem existir várias pessoas consultadas e informadas O ideal é haver apenas um responsável para cada atividade Com isso evitam se processos paralelos ou em duplicidade Contudo caso seja realmente necessário definir mais de um responsável a divisão de tarefas de cada um deve ser clara e muito bem definida Vejamos mais um modelo Agora o cenário proposto é o de Oliveira 2019 sp para o desenvolvimento de um sistema QUADRO 3 EXEMPLO 2 DE MATRIZ DE RESPONSABILIDADE FONTE Oliveira 2019 sp 132 UNIDADE 3 INVENTÁRIO E ATIVOS DE INFORMAÇÃO Agora que já conhecemos a matriz de responsabilidade e que identificamos os proprietários dos ativos conheceremos a quais riscos os ativos estão expostos 4 MATRIZ DE RISCO A importância de termos um inventário bem definido se justifica porque não podemos gerenciar o que não sabemos Como podemos nos preparar para uma situação se nem sabemos que estamos expostos a ela Uma avaliação de riscos deve começar com o inventário dos ativos de informação Feito isso partese para a identificação das ameaças as quais os ativos estão expostos e o seu grau de exposição Esse último é determinado pela natureza do negócio histórico de incidentes e a experiência do analista ou gestor que lida com determinado ativo Vale reforçar que também devem ser consideradas ameaças intencionais como ataques externos e acidentais como condições naturais e usuários sem treinamento SOLVIMM 2019 Como mencionamos após listadas as ameaças a etapa seguinte é identificar as vulnerabilidades que podem ser exploradas A seguir observaremos uma sugestão de como essas ameaças podem ser documentadas Identificaremos inicialmente qual o ativo a ser protegido quais são as ameaças e as vulnerabilidades Para poder avaliar riscos é importante considerar quais são as fontes ou seja as vulnerabilidades dos ativos que podem expor a organização a falhas de segurança Devese estar atento a tudo pois a má configuração de um firewall é uma vulnerabilidade que pode ser explorada por exemplo SOLVIMM 2019 TÓPICO 2 PLANEJANDO O INVENTÁRIO DE ATIVOS EM SEGURANÇA DA INFORMAÇÃO 133 QUADRO 4 ATIVO X AMEAÇA X VULNERABILIDADE FONTE Adaptado de Solvimm 2019 Após a identificação dos ativos devese avaliar quais os eventos que podem decorrer da exposição de uma vulnerabilidade Um possível vazamento de dados por exemplo pode ter como consequência o comprometimento na confidencialidade das informações Essas consequências podem gerar além da perda da confidencialidade problemas maiores como prejuízos financeiros e de imagem SOLVIMM 2019 Solvimm 2019 alerta que a probabilidade desse cenário se concretizar e o impacto dessa probabilidade na organização são fatores que ajudam a determinar a criticidade de um risco Quer conhecer um pouco mais das análises qualitativa e quantitativa Acesse httpssitecampuscombrvamosplanejaranalisequalitativaquantitativadosriscos e httpwwwtechojecombrsitetechojecategoriadetalheartigo686 DICAS 134 UNIDADE 3 INVENTÁRIO E ATIVOS DE INFORMAÇÃO A análise dos riscos pode ser feita de maneira qualitativa ou quantitativa A análise qualitativa é mais subjetiva já a análise quantitativa atribui valores ao impacto e à probabilidade para determinar o nível de criticidade de um risco Solvimm 2019 explica que Para cada item da tríade de segurança é atribuído um valor de 0 a 4 de acordo com o efeito que a quebra de confi dencialidade integridade ou disponibilidade de um ativo tem sobre a empresa Assim Impacto Confi dencialidade Integridade Disponibilidade3 Da mesma forma são dados valores de 0 a 4 para a probabilidade de ocorrência do risco Dessa forma Risco Impacto Probabilidade2 QUADRO 5 MATRIZ DE RISCO POR SOMATÓRIO FONTE Solvimm 2019 sp Podemos identifi car maneiras diferentes de identifi cação dos riscos Veja outras formas de classifi cação dos riscos em httpwwwiso27000com brindexphpsitemaparticles76analisederiscosdeti DICAS TÓPICO 2 PLANEJANDO O INVENTÁRIO DE ATIVOS EM SEGURANÇA DA INFORMAÇÃO 135 QUADRO 6 MATRIZ DE RISCO COM PROBABILIDADE FONTE Correia 2016 p 44 É necessário para o correto preenchimento evitar a subjetividade pessoal além de ter uma legenda para indicar a classificação como proposto por Correia 2016 FONTE Correia 2016 p 44 QUADRO 7 CLASSIFICAÇÃO Outro item proposto por Correia 2016 é o impacto Impacto I Perda ou ganho na ocorrência de uma ameaça O impacto pode ser determinado pela avaliação e pelo processamento de vários resultados da ocorrência de um evento pela extrapolação de estudos experimentais ou dados e registos do passado CORREIA 2016 p 45 136 UNIDADE 3 INVENTÁRIO E ATIVOS DE INFORMAÇÃO FONTE Correia 2016 p 45 QUADRO 8 IMPACTO O risco é calculado e classificado em função da combinação do Impacto I e da Probabilidade P P x I Risco Para determinar qualitativamente o nível de risco é preciso multiplicar a Probabilidade P pelo Impacto I Assim podemos identificar o nível de risco associado a um determinado risco identificado segundo Correia 2016 FONTE Correia 2016 p 45 QUADRO 9 NÍVEL DE RISCO Exemplificaremos um evento que tem um impacto muito baixo valor 1 e a probabilidade de ocorrer valor 2 tem como risco a Probabilidade 1 multiplicada pelo impacto no caso 2 TÓPICO 2 PLANEJANDO O INVENTÁRIO DE ATIVOS EM SEGURANÇA DA INFORMAÇÃO 137 2 x 1 2 Risco FONTE Adaptado de Correia 2016 QUADRO 10 TEMPO DE RESPOSTA O código das cores da matriz constitui a base de decisão sobre a aceitabilidade do risco e as medidas de prevenção e controle Assim devem ser estabelecidas as prioridades além dos respectivos prazos de atuação É preciso priorizar de um lado os de mais fácil implementação e de outro lado os de grau de risco mais elevado CORREIA 2016 É importante lembrar que o tratamento dos riscos é a etapa posterior à avaliação Existem algumas formas de tratálos aceitar diminuir ou compartilhar o risco Ainda ter em mente que riscos nunca deixam de existir caso contrário a atividade também é extinta Lembrando que esses são exemplos e que cada organização deve fazer sua categorização de acordo com a sua realidade 5 ANÁLISE SWOT Outra ferramenta para auxiliar na identificação dos riscos com os ativos da organização expostos é a análise SWOT Strength Weakness Opportunities and Threats que também é conhecida pelo acrônimo FOFA do português Força Oportunidades Fraqueza e Ameaças A análise SWOT é uma metodologia útil para promover mudanças e melhorias contínuas Segundo Reis 2014 com o auxílio da ferramenta é possível fazer uma análise ter noção do cenário em que seu negócio ou projeto está inserido além de servir para que profissionais e empresários fiquem atentos ao movimento do mercado 138 UNIDADE 3 INVENTÁRIO E ATIVOS DE INFORMAÇÃO Veja na prática a aplicação da análise SWOT realizada no Instituto Nacional de Pesquisas Espaciais INPE em seu PLANEJAMENTO ESTRATÉGICO DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO PETIC n 407 de 29062006 httpwwwinpebrcti arquivosPETICINPEpdf Ainda do DENIT httpwwwdnitgovbracessoainformacao insitucionalcopyofcomitegestordetipetidnit20162019v16pdf DICAS A análise SWOT é dividida em dois grupos ambiente interno e ambiente externo O ambiente interno é representado por pontos fortes Strenght e pontos fracos Weakness e está sob controle da organização ou seja só depende de os gestores tomarem ou não determinadas atitudes Já o outro quadrante definido como ambiente externo corresponde às oportunidades Opportunities e ameaças Threats Na parte em questão a empresa não tem controle sobre os fatores não sabe se acontecerão mas é importante ter atenção para aproveitálos ou evitálos REIS 2014 Para fazer a Análise SWOT é preciso seguir os seguintes passos segundo Reis 2014 sp 1 Defina os Pontos Fortes O objetivo é definir o potencial do negócio ou projeto o que o difere dos outros Inclua os recursos e capacidades que geram vantagens Ex matériaprima utilizada grupo técnico localização geográfica qualidade dos produtos e serviços etc 2 Identifique as Fraquezas Aqui você identifica quais os pontos mais vulneráveis ou seja fatores que podem impedir o sucesso do negócio ou projeto Ex sistema de comunicação interna fraco produto altamente perecível matériaprima escassa equipe pouco qualificada etc 3 Aproveite as Oportunidades As oportunidades são as situações externas à empresa que podem acontecer e afetar positivamente no negócio ou projeto Essas situações normalmente estão fora do controle da empresa mas existe uma chance de elas acontecerem Ex aprovação de uma nova lei lançamento de uma nova tecnologia lançamento de um produto complementar etc 4 Protejase das Ameaças Por fim as ameaças representam todos os fatores que podem atrapalhar ou oferecer risco ao negócio e projeto Ex pirataria dos produtos escassez lançamento de um produto superior ao seu etc TÓPICO 2 PLANEJANDO O INVENTÁRIO DE ATIVOS EM SEGURANÇA DA INFORMAÇÃO 139 FONTE Reis 2014 sp FIGURA 4 SWOT Como define Reis 2014 a Análise SWOT é etapa essencial para qualquer planejamento estratégico de sucesso e sua qualidade depende da habilidade e atenção de quem executa Com a ajuda da ferramenta podese determinar a posição atual do negócio ou projeto além de antecipar o futuro visando às oportunidades e precavendo as ameaças Veja um recorte da Análise SWOT QUADRO 11 SWOT AMBIENTE EXTERNO FORÇA E FRAQUEZAS FONTE INPE 2017 p 22 140 UNIDADE 3 INVENTÁRIO E ATIVOS DE INFORMAÇÃO QUADRO 12 SWOT AMBIENTE EXTERNO OPORTUNIDADE E AMEAÇA FONTE INPE 2017 p 23 É muito importe salientar que os exemplos apresentados nas matrizes e na análise SWOT são ilustrativos e que cada organização deve desenvolver seus próprios valores para detecção de riscos e ameaças 141 RESUMO DO TÓPICO 2 Neste tópico você aprendeu que Antes de criar um inventário é importante conhecer os riscos associados a ele Planilhas como a de responsabilidade nos auxiliam na gestão dos ativos A matriz de risco pode ser muito útil na classificação dos riscos associados aos ativos Ferramentas como a SWOT permitem uma melhor análise e classificação dos ativos 142 1 Ao fazer uma gestão da informação eficiente as organizações garantem benefícios que vão desde a proteção de dados estratégicos à obtenção de novos negócios Para alcançar tudo isso é necessário realizar além de garantir que políticas processos hardwares e softwares supram suas necessidades considerando todos os riscos e atividades do negócio Com relação às normas relacionadas à segurança da informação julgue os itens a seguir marcando com V a afirmativa verdadeira e com F a afirmativa falsa A gestão de riscos geralmente inclui a análiseavaliação de riscos o tratamento a aceitação e a comunicação A elaboração de uma política de segurança da informação deve ser o primeiro passo de uma organização que deseja proteger seus ativos e estar livre de perigos e incertezas Autenticidade se refere à propriedade de salvaguarda da exatidão e completeza da informação A norma ISOIEC 15408 Common Criteria é a versão brasileira da bS 7799 British Standard e específica os requisitos para implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes Assinale a opção com a sequência CORRETA a V F V V b F F F V c F V V F d V V F F 2 As políticas buscam desenvolver boas práticas e definir regras já a classificação da informação é uma prática muito mais antiga muito utilizada por governos e empresas para a classificação e o correto tratamento das informações consideradas confidenciais diante de um possível vazamento de dados Analise as seguintes afirmativas sobre política de segurança da informação e classificação da informação I Todas as informações e ativos associados com os recursos de processamento da informação devem ter um proprietário designado por uma parte definida da organização O termo proprietário não significa que a pessoa realmente tenha direito de propriedade pelo ativo II Um documento da política de segurança da informação deve ser aprovado pela direção mas deve ser mantido em sigilo em relação aos funcionários e partes externas relevantes III A informação deve ser classificada em termos do seu valor requisitos legais sensibilidade e criticidade para a organização A classificação da informação deve ser instituída por uma política AUTOATIVIDADE 143 Marque a alternativa CORRETA a Apenas as afirmativas I e II são verdadeiras b Apenas as afirmativas I e III são verdadeiras c Apenas as afirmativas II e III são verdadeiras d Todas as afirmativas são verdadeiras 3 Um Sistema de Gestão de Segurança da Informação SGSI é um sistema voltado para a segurança da Informação Nele estão declaradas as regras e políticas que a organização deve utilizar para proteger a informação e garantir que seus critérios de confidencialidade integridade e disponibilidade sejam mantidos O SGSI inclui estratégias planos políticas medidas controles e diversos instrumentos usados para estabelecer implementar operar monitorar analisar criticamente manter e melhorar a segurança da informação Para estabelecer o Sistema de Gestão de Segurança da Informação SGSI este se torna requisito a ser implementado em ambientes corporativos educacionais industriais governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam manipulam ou destroem informações relevantes Com relação ao SGSI considere I A organização deve definir uma política do SGSI nos termos das características do negócio A organização sua localização ativos e tecnologia devem estar alinhados com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e manutenção do SGSI ocorrem III A organização deve definir a abordagem de análiseavaliação de riscos da organização desenvolver critérios para a aceitação de riscos e identificar os níveis aceitáveis de risco III Identificar e avaliar as opções para o tratamento dos riscos sendo uma possível ação aceitar os riscos consciente e objetivamente desde que satisfaçam claramente as políticas da organização e os critérios de aceitação dos riscos Está CORRETO o que se afirma em a I e II apenas b I e III apenas c II apenas d III apenas e I II e III 144 145 UNIDADE 3 1 INTRODUÇÃO Vimos ao longo do livro didático que é muito importante saber onde se está para poder definir o tipo de proteção Ainda antes de verificar qual o modelo adotar para o inventário de ativos se um software pronto ou uma planilha é preciso haver a necessidade de controle da organização Uma prática que começa a ganhar força nos últimos anos é a de trabalhar a distância conhecida por home office No cenário em questão os equipamentos e informações acabam saindo da organização entrando equipamentos particulares como celulares e notebooks Por isso a prática também precisa ser incluída nas políticas devem ser definidas as regras para avaliar os riscos e a definição de boas práticas para manter a segurança das informações 2 TRAGA SEU PRÓPRIO EQUIPAMENTO Uma prática muito comum e que você já deve ter presenciado ou vivenciado é o uso de equipamentos próprios A prática se chama Traga o Seu Próprio Dispositivo do inglês Bring Your Own Device conhecida pelo elo acrônimo BYOD Baars Hintzbergen e Hintzbergen 2018 p 179 definem Com relação à propriedade de ativos há um termo que não deve ser esquecido É Bring Your Own Device BYOD ou traga o seu próprio dispositivo As empresas dão ao seu pessoal a possibilidade de usar dispositivos próprios para trabalhar na companhia Se for o caso os ativos pessoais um tablet laptop ou telefone celular possuem informações de negócio e essas informações devem ser protegidas da mesma forma Deve haver uma política para BYOD na empresa e as informações nos ativos BYOD devem ser protegidas Essa nova forma de trabalhar também traz seus pontos positivos e negativos Como pontos positivos temos o aumento da produtividade economia de recursos e o engajamento dos colaboradores como detalhados por Sankhya 2016 TÓPICO 3 FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO 146 UNIDADE 3 INVENTÁRIO E ATIVOS DE INFORMAÇÃO O ganho na produtividade se refere a um funcionário feliz que trabalha melhor e com mais engajamento Se os funcionários se sentem mais engajados é natural que eles passem a produzir mais em prol da empresa Vale ressaltar que essa produtividade não advém apenas da questão da comodidade mas muito da agilidade que o colaborador tem ao manusear o seu próprio equipamento Para exemplificar essa situação Sankhya 2016 menciona por exemplo quem está acostumado a usar o notebook pessoal com determinada configuração Provavelmente ficaria incomodado ao utilizar outra Ao dar ao funcionário o poder de escolha ele retribui com desempenho na produção Outro diferencial se refere à economia que a organização tem Como o dispositivo que é utilizado é de propriedade do funcionário você como organização reduz gastos com equipamentos licenças de softwares e manutenção Para as micro e pequenas empresas é uma vantagem a ser considerada visto que se torna uma despesa desnecessária SANKHYA 2016 Obviamente essa prática também tem desvantagens especialmente no que se refere à segurança da informação pois um ativo que poderia ser controlado pela organização agora é de responsabilidade do colaborador conforme define Sankhya 2016 sp Esse é o grande problema que envolve a implementação do BYOD em uma empresa Afinal quando um funcionário tem a liberdade para acessar e transportar informações internas muitas delas de caráter sigiloso para outros lugares a empresa assume o risco de perdêlas por alguma eventualidade O smartphone de um colaborador pode não ter um antivírus um notebook pode ser furtado ou roubado uma outra pessoa próxima do funcionário pode acessar as informações Enfim são tipos de problemas que põem em risco as informações de uma organização Vejamos alguns pontos que devem ser observados para garantir a segurança dos ativos Segundo Softline 2018 as sete práticas a seguir podem colocar a segurança da organização em risco 1 Esquecer de implementar uma política de segurança Segundo Softline 2018 um dos maiores problemas para não dizer erro no uso do BYOD é a falta de uma política de segurança das informações corporativas Uma vez que o dispositivo é do colaborador é fundamental que ele siga certas obrigações a fim de prevenir o vazamento dos dados Assim ele deve ter conhecimento e essas obrigações devem estar listadas em um documento no qual o funcionário afirma ter conhecimento e se compromete a respeitar e a seguir as normas que podem conter desde sistemas operacionais recomendados e termos de monitoramento dos equipamentos até regras sobre replicação dos dados TÓPICO 3 FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO 147 2 Ignorar o treinamento dos funcionários Seguindo o que explicamos na Unidade 2 não basta ter uma boa política de segurança É fundamental garantir que os funcionários entendam todas as normas do documento e executem as instruções necessárias adequadamente Uma maneira de divulgação surge através do treinamento da equipe sobre o conceito de BYOD suas vantagens os cuidados necessários e as responsabilidades dos envolvidos SOFTLINE 2018 3 Permitir o uso de lojas terceirizadas para download de aplicativos É outro ponto a ser observado para a segurança das informações Além dos computadores o BYOD também envolve o uso de smartphones e de tablets Assim é importante ter controle sobre as plataformas de aplicativos das quais seus funcionários fazem os downloads SOFTLINE 2018 4 Aceitar a utilização de versões desatualizadas do sistema operacional A atualização do sistema operacional SO é uma das medidas mais importantes para manter o aparelho livre de ameaças Softline 2018 afirma que essa medida é de suma importância pois versões ultrapassadas podem conter vulnerabilidades que deixam o dispositivo exposto a atividades de sequestro de dados e outros ciberataques Assim é essencial incentivar os funcionários adeptos do BYOD a acatarem o update do SO das suas máquinas 5 Autorizar que os colaboradores conectem seus dispositivos a redes públicas Quando é permitido que o colaborador faça uso do seu próprio dispositivo dentro do ambiente da empresa o departamento de segurança e tecnologia não só pode como deve seguir alguns protocolos de segurança para garantir que a rede seja confiável Porém Softline 2018 alerta que caso o colaborador faça uso da máquina em ambientes em que a rede não é protegida como o acesso WiFi em locais públicos alguns indivíduos conseguem ter acesso aos dados que trafegam na rede como informações confidenciais de caráter pessoal e até mesmo da empresa Portanto o ideal é evitar que funcionários aderentes ao BYOD utilizem redes públicas ou que mantenham suas máquinas com um software especializado 6 Não implantar mecanismos eficazes de controle de acesso Como afirma Softline 2018 o controle de acesso às informações pertinentes à empresa também deve ser outra preocupação Ele garante que a informação só fique disponível para quem de fato precisa visualizála ou modificála Assim é necessário levar em conta questões como o colaborador realmente precisa ter acesso a certos arquivos e pastas É preciso oferecer permissão de editar e excluir ou basta autorizar a visualizar os arquivos As informações são criptografadas antes de serem compartilhadas entre os colaboradores O profissional precisa ter cópias locais dos arquivos ou eles devem permanecer armazenados na nuvem 7 Não utilizar bloqueio por senha e encriptação das informações Outra falha é a não aplicação de senhas e criptografia Elas precisam constar na política de segurança Devem existir orientações para bloquear o equipamento com senha e instruções para encriptar as informações gravadas na memória do equipamento 148 UNIDADE 3 INVENTÁRIO E ATIVOS DE INFORMAÇÃO do usuário Softline 2018 afirma que a proteção de dispositivos móveis com senha costuma ser suficiente para evitar que terceiros tenham acesso ao conteúdo em situação de perda ou de roubo No entanto no notebook mesmo que o equipamento exija uma senha pessoas de má índole podem abrir a máquina retirar o disco rígido HD e encontrar formas de acessar os arquivos salvos Então para evitar problemas é importante fazer uso de uma ferramenta de encriptação de disco Com isso as informações do HD permanecem criptografadas e só podem ser lidas depois de inserida uma senha no sistema Como percebemos o uso do celular ou do computador pessoal traz vários riscos que devem ser analisados É preciso observar se sua organização pode ou não seguir a prática Caso sim são necessárias diversas medidas de segurança para que a prática do BYOD funcione sem contratempos para a empresa e para os funcionários Ainda ter em mente que por mais que possam causar alguns inconvenientes para os donos dos equipamentos são essas ações que permitem que eles trabalhem com o conforto do próprio dispositivo e com a tranquilidade de que não estão colocando dados sensíveis da organização em risco SOFTLINE 2018 No próximo subtópico veremos algumas boas práticas que podem ser aplicadas para o gerenciamento de inventário 3 BOAS PRÁTICAS DE GERENCIAMENTO DE INVENTÁRIO DE TI Como vimos durante nossos estudos podemos fazer uso de diversas ferramentas para melhorar a segurança da informação desde práticas de marketing até a divulgação das práticas que devem ser seguidas como planilhas que auxiliam na identificação de quem é responsável a quais riscos estamos expostos etc Ainda uma empresa para o seu bom funcionamento conta com uma série de recursos tecnológicos que envolve software e hardware O inventário de ativos de informação nada mais é que uma lista completa de todos os recursos Segundo Schultz 2018 essa relação deve envolver todas as principais informações necessárias para a gestão de cada um dos itens como dados técnicos ata de compra número de série local de instalação data da última manutenção ou atualização Esses são alguns dos pontos básicos e essenciais que devem ser demonstrados em um inventário de TI Essa lista de acordo com Schultz 2018 pode ser desenvolvida de forma manual por meio de planilhas e realizada por TÓPICO 3 FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO 149 profissionais da equipe de TI interna ou um time externo contratado O objetivo maior é trazer segurança para a informação Como vimos através do ciclo PDCA é importante revistar a política de segurança da informação com o inventário de ativos Também deve ser sempre revisitado e atualizado evitando assim qualquer tipo de surpresa desagradável Para obter os melhores resultados possíveis ao implantar um inventário de tecnologia da informação na sua empresa é possível utilizar uma série de boas práticas A utilização de ferramentas para a criação e gestão do inventário dos recursos de tecnologia é uma boa solução dependendo do tamanho da organização já que dependendo da quantidade de ativos o controle manual da listagem do inventário pode estar sujeito a uma série de problemas como erros de interpretação de listagem e confusão de informações que podem levar a falhas críticas SCHULTZ 2018 Mesmo contando com uma plataforma para gestão de inventário é importante a possibilidade de dar entrada além de atualizar caso necessário manualmente no sistema de dados referente aos recursos Hoje ainda não é possível para a ferramenta realizar a coleta de todos os dados que podem ser relevantes para o controle do inventário Ainda a listagem de todos os ativos uma prática imprescindível pois algumas empresas optam por não criar uma listagem completa de todos os seus ativos tecnológicos O que muitas vezes acontece é que elas deixam os softwares e sistemas de fora da lista do inventário buscando facilitar o trabalho Obviamente é uma solução incorreta já que boa parte dos recursos são sistemas e não há como realizar uma boa gestão com apenas metade dos dados O real controle do inventário de TI só é possível com uma listagem completa A atualização automatizada segundo Schultz 2018 também é uma boa prática realizada para melhorar a gestão dos ativos fazendo uso de rotinas de atualização automatizada Assim o responsável pode autorizar a atualização necessária a determinado recurso automaticamente No caso de uma gestão de ativos complexa em que exista uma grande variedade de itens a ser controlada essa automatização pode facilitar e muito As informações acerca dos ativos podem ser ou não importantes para o melhor gerenciamento e controle O que é regra e importante para outra organização pode não ser para a sua Por isso verifique no momento da criação da sua lista de recursos quais são as informações realmente necessárias De nada adianta coletar o máximo de dados acerca de cada ativo se tais dados não serão utilizados SCHULTZ 2018 150 UNIDADE 3 INVENTÁRIO E ATIVOS DE INFORMAÇÃO Ainda há a criação de relatórios customizados Schultz 2018 afirma que assim como você deve se preocupar com informações que sejam relevantes para a sua gestão a criação de relatórios deve seguir a mesma lógica É preciso colocar nos relatórios apenas o necessário com clareza permitindo visualizar um conhecimento realmente útil Segundo Freire 2019 atingir um nível adequado de maturidade no processo de gestão de ativos pode levar tempo o inventário de TI certamente a base para chegar lá No entanto a aplicação de algumas boas práticas auxilia para que a técnica seja agregada à cultura organizacional Veja alguns itens que podem aprimorar e de guiar o aprendizado ITIL Information Technology Infrastructure Library ITIL é um framework para ser aplicado no gerenciamento de infraestrutura operação e serviços de TI Essa biblioteca de boas práticas engloba o conhecimento acumulado por empresas ao redor do mundo ISO 20000 A primeira norma mundial que discorre sobre os requisitos e melhores práticas para Gestão de Qualidade de Serviços de TI ISO 27001 e 27002 Ambas as normas abordam orientações para um Sistema de Gestão da Segurança da Informação SGSI Indicam a importância de estruturar e manter um inventário de ativos nas organizações ISO 19770 A família de normas 19770 apresenta uma série de estruturas e padrões a serem seguidos para implementar e comprovar um processo de Gestão de Ativos de TI ISO 55000 Norma internacional que oferece uma visão panorâmica com terminologias requisitos e indicações para o Gerenciamento de Ativos de TI FREIRE 2019 sp O objetivo do inventário de TI não é a geração de gráficos bonitos ou uma tonelada de dados mas suporte para decisões importantes do setor de tecnologia em relação à infraestrutura e à segurança das informações 4 MODELOS DE INVENTÁRIOS A escolha de um software especializado em gestão de ativos é determinante para que a prática seja implantada com sucesso Atualmente uma empresa consegue optar por diferentes soluções presentes nos mercados nacional e estrangeiro Além disso a ferramenta pode ser instalada localmente ou disponibilizada na nuvem TÓPICO 3 FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO 151 Conheça algumas planilhas grátis para o gerenciamento de ativos em http mktbrasilmundolenovocombrgestaodeinventariohtml e httpsmagma3combr comofazeroinventariodecomputadoresdaminhaempresa DICAS Apesar de existirem inúmeras particularidades em cada alternativa a principal finalidade do produto é a de elevar a produtividade da TI CACIC é uma abreviação que traduz literalmente sua funcionalidade Configurador Automático e Coletor de Informações Computacionais ou seja um sistema de inventário automatizado na rede Ele foi lançado em 2005 e tem sido motivo de orgulho para o Governo Federal por ser este o primeiro e também o mais conhecido software criado e desenvolvido em uma parceria com o Ministério do Planejamento Orçamento e Gestão MP da Secretaria de Logística e Tecnologia da Informação SLTI e da Empresa de Tecnologia e Informações da Previdência Social Dataprev Conheça mais em https wwwdevmediacombrgestaodeativosaorganizacaonasmaosdatirevistainfra magazine1127895 DICAS Antes veja alguns passos que devem ser observados que já foram apresentados no nosso livro Servem como ponto fundamental para a criação do seu inventário segundo Schultz 2018 FIGURA 5 TIPOS DE ATIVOS FONTE Lenovo 2020 sp 152 UNIDADE 3 INVENTÁRIO E ATIVOS DE INFORMAÇÃO Rotule os ativos O primeiro passo é criar uma rotulação para os seus ativos de tecnologia Os básicos são usuários software e hardware mas nada impede que você crie rótulos para melhorar o controle Outra possibilidade é que você desmembre cada uma dessas categorias em subtipos por exemplo recursos de rede um tipo que conta com hub cabeamento e roteador SCHULTZ 2018 FIGURA 6 ROTULAR FONTE Lenovo 2020 sp Segundo Schultz 2018 independentemente do tamanho da empresa por menor que seja existe uma grande chance de ela possuir equipamentos e sistemas repetidos como dois computadores de uma mesma marca Podem ser máquinas iguais porém a nível de controle são distintas Assim é fundamental criar um esquema de nomeação com etiquetas físicas que possam ser coladas para identificação em cada um dos equipamentos O mesmo ocorre com sistemas pode ser que cada usuário do sistema conte com uma licença sendo necessário diferenciálas Liste seus ativos também Feita a criação dos rótulos além do esquema de nomeação agora é possível realizar a listagem de todos os recursos tecnológicos disponíveis na empresa Lembrando que a listagem obedece aos rótulos criados subtipos e nomeação criados para a organização Quando chegar na etapa pode se observar e fazer a gestão dos ativos com a visualização de vulnerabilidades oportunidades de melhoria e o constante monitoramento dos recursos SCHULTZ 2018 FIGURA 7 ROTULAR FONTE Lenovo 2020 sp TÓPICO 3 FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO 153 Com base no inventário busque por vulnerabilidades ou oportunidades Com posse de todas as informações relevantes em mãos acerca dos ativos de tecnologia é simples observar qualquer anomalia A seguir será possível observar quantas vezes cada máquina precisou de conserto Segundo Schultz 2018 uma alteração pode se mostrar como uma vulnerabilidade ou oportunidade de melhoria Também podemos observar a seguir o controle de licenças Schultz 2018 cita como exemplo de vulnerabilidade ou fraqueza pois é possível identificar pela quantidade de máquinas e quantidade de licenças evitando assim um processo e custos desnecessários Como uma oportunidade encontrar determinado ativo que pode ser utilizado para melhorar o desempenho de outro setor da empresa Monitore constantemente como mencionado diversas vezes O processo precisa ser revisitado sempre Ao fim o gestor pode realizar a verificação das necessidades encontradas durante o levantamento dos recursos de TI A seguir será possível acompanhar a garantia de um equipamento FIGURA 8 MANUTENÇÕES FONTE Lenovo 2020 sp FIGURA 9 LICENÇAS FIGURA 10 GARANTIAS FONTE Lenovo 2020 sp FONTE Lenovo 2020 sp 154 UNIDADE 3 INVENTÁRIO E ATIVOS DE INFORMAÇÃO Já para empresas que têm uma infraestrutura montada e que realizam o inventário pela primeira vez não é raro se assustarem e encontrarem várias falhas que exigem atenção Segundo Schultz 2018 as mais frequentes se referem à questão de equipamentos ou sistemas que não se adequam à demanda atual da empresa para mais ou para menos causando gastos desnecessários para o negócio Depois de ter realizado todas as primeiras intervenções basta ao administrador do setor de TI manterse vigilante acerca de qualquer alteração ou necessidade de mudança na infraestrutura FONTE Lenovo 2020 sp FIGURA 11 CONTROLE Conheça uma listagem de ferramentas de gestão de ativos disponível no mercado httpssgatecnologiacombrconhecaas11melhoresferramentaspara gestaodeti DICAS Caso a organização decida por uma solução pronta Freire 2019 pontua alguns pontos que devem ser observados requisitos básicos que você procura ao realizar uma compra Enfim algumas funcionalidades são indispensáveis em um software inteligente de gestão de ativos O controle em tempo real segundo Freire 2019 é o principal diferencial entre adquirir uma ferramenta de controle automatizado e preenchimento de planilhas manualmente Não há necessidade de cadastrar tudo manualmente já que o software mapeia de forma espontânea a rede corporativa com o objetivo de detectar quaisquer alterações TÓPICO 3 FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO 155 Com relação ao aproveitamento de ativos mais que coletar informações e centralizálas em um banco de dados segundo Freire 2019 sp uma boa ferramenta para gestão de ativos deve produzir insights sobre a sua infraestrutura O cruzamento dos elementos que permeiam um parque de máquinas revela oportunidades de intervenção para a otimização dos recursos Por fim há os relatórios e estatísticas outra diferença entre as planilhas Segundo Freire 2019 a possibilidade de extrair relatórios predefinidos ou criar os seus próprios modelos agiliza subsequentes análises gerenciais além de alertas personalizados para que nenhuma ação passe em branco e você não precise acessar o sistema para conferir se há algum movimento nos seus ativos Assim a possibilidade de habilitar alertas personalizados que comuniquem as atualizações via email se faz necessária 156 UNIDADE 3 INVENTÁRIO E ATIVOS DE INFORMAÇÃO LEITURA COMPLEMENTAR INTRODUÇÃO As micro e pequenas empresas enfrentam desde sua fundação diversos problemas inerentes aos pequenos negócios Pouca especialização gestão não profissional foco no aspecto operacional em detrimento ao estratégico além da escassez de recursos financeiros são fatores que limitam o crescimento das pequenas organizações empresariais no Brasil FERNANDES ABREU 2014 A gestão de empresas é um campo abrangente e não trivial para o pequeno empresário que por não contar com recursos financeiros adequados para contratar profissionais qualificados em cada área de gestão acaba por contratar outras pequenas empresas para suprir suas necessidades Uma dessas áreas de gestão é a da tecnologia da informação que tem um papel fundamental na gestão das empresas suportando todos os setores desde o operacional até a alta administração Essa utilização abrangente da tecnologia da informação se faz presente nas grandes empresas e o investimento em tecnologia assume papel estratégico nos negócios Entretanto existe nas micro e pequenas empresas uma utilização dos recursos tecnológicos que poderiam auxiliar o empresário a gerir melhor seus empreendimentos Os problemas enfrentados pelas micro e pequenas empresas advêm essencialmente da falta de conhecimento A maioria não possui conhecimentos sobre planejamento estratégico e desenvolve o negócio utilizando conhecimento tácito FIGUEIREDO et al 2014 Para executar uma gestão eficaz em qualquer área é preciso conhecer aquilo que se deseja gerir Para a tecnologia da informação conhecer os recursos informáticos ou ativos de informação mais especificamente os ativos de rede é a base para manter um ambiente onde a informação possa fluir de maneira segura e confiável As informações podem ajudar o pequeno empresário a tomar decisões mais assertivas com relação ao ambiente tecnológico como a implantação de um novo sistema ou a renovação do parque de máquinas por exemplo O resultado pode ocasionar a vantagem competitiva em relação a seus concorrentes no mercado PEREIRA et al 2016 Além disso com a informatização por parte do governo aumenta ainda mais a pressão sobre os gestores para o cumprimento de exigências regulatórias e fiscais STUMPF CRIBB 2018 Nesse contexto este trabalho propõe avaliar a importância da gestão de ativos em uma microempresa prestadora de serviços contábeis na cidade de Bragança Paulista TÓPICO 3 FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO 157 FUNDAMENTAÇÃO TEÓRICA Para que a gestão de ativos de rede seja bem compreendida fazse necessária sua contextualização dentro do universo das melhores práticas de governança e gestão da tecnologia da informação Cougo 2015 cita a biblioteca ITIL Information Technology Infrastructure Library para a gestão de serviços a norma ISOIEC 27002 para segurança da informação e o COBIT Control Objectives for Information and Related Technology para a governança e auditoria como instrumentos que auxiliam os gestores no processo de tomada de decisão A essa lista Fernandes e Abreu 2014 acrescentam a norma ISOIEC 38500 e ISOIEC 20000 para governança corporativa de tecnologia da informação e gerenciamento de serviços de TI respectivamente Castilho et al 2013 apresentaram um estudo sobre dois sistemas para documentação de ativos de tecnologia da informação o GLPI Gestion Libre de Parc Informatiqué e o OCS Inventory NG Open Computer and Software Inventory Next Generation É preciso demonstrar a importância do uso de ferramentas como forma de auxiliar no processo de documentação e inventário dos ativos de tecnologia e alinhamento com as melhores práticas de gestão de serviços propostas pela ITIL Em sua pesquisa Lopes 2016 abordou aspectos relacionados à implantação da gestão de serviços de TI em uma Instituição de Ensino Superior usando as mesmas ferramentas e premissas do COBIT da norma ISOIEC 20000 e da ITIL Todas as publicações e normas descritas pelos autores indicam que sua aplicação pode ser dada em qualquer tipo e tamanho de organização Entretanto as pequenas empresas possuem particularidades que precisam ser avaliadas previamente Fernandes e Abreu 2016 elencam as características do cenário de TI nas pequenas e médias empresas brasileiras a a infraestrutura de TI não é complexa b tarefas mais complexas são terceirizadas como suporte à rede desenvolvimento de sistemas e implantação de sistemas integrados de gestão c geralmente comprase em vez de desenvolver d há limitações de habilidades em TI dentro da empresa e a tolerância ao risco é alta f há muito foco em relação aos custos g a estrutura de comando é simples h existem poucos controles i o foco da informatização está nas áreas administrativas e financeiras das empresas e na automação de pontos de venda no caso de empresas comerciais j uso do email k eventualmente há aplicações de B2B e B2C através da internet 158 UNIDADE 3 INVENTÁRIO E ATIVOS DE INFORMAÇÃO Essas características e os resultados evidenciados pelo estudo de Silva et al 2018 em empresas nordestinas mostram que o distanciamento da direção da empresa com relação ao setor de TI a cultura organizacional a baixa qualificação dos profissionais de TI e a falta de qualificação da direção em relação à gestão e ou governança de TI são fatores que implicam na não adoção de frameworks de TI como o COBIT e o ITIL Para os objetivos desta pesquisa o estudo será limitado ao tratamento dado à questão de gestão de ativos pela norma ISOIEC 27002 por ser uma referência conhecida das pequenas e médias empresas possuir controles mais simplificados e além disso ser referência básica para outras publicações relevantes da área Será utilizada a ferramenta OCS Inventory NG para a coleta de dados pois se trata de uma ferramenta específica de inventário sem custos de aquisição e amplamente utilizada nas organizações Governança e Gestão A governança corporativa é um sistema por meio do qual as sociedades são dirigidas e monitoradas permitindo que a missão a visão e a estratégia sejam transformadas tendo em vista as metas e os objetivos As boas práticas de governança buscam aumentar o valor da organização facilitar o acesso ao capital e contribuir para sua longevidade MOLINARO RAMOS 2015 O COBIT5 faz uma distinção clara entre governança e gestão A governança garante que as necessidades condições e opções das partes interessadas sejam avaliadas a fim de determinar objetivos corporativos acordados e equilibrados definindo a direção através de priorizações e tomadas de decisão e monitorando o desempenho e a conformidade com a direção e os objetivos estabelecidos A gestão é responsável pelo planejamento desenvolvimento execução e monitoramento das atividades em consonância com a direção definida pelo órgão de governança a fim de atingir os objetivos corporativos ITGI 2012 Em termos gerais a governança aponta a direção a seguir e os objetivos a serem alcançados enquanto a gestão trata das questões operacionais para atingir esses objetivos Definição de Gerenciamento Rede Gerenciar uma rede de computadores é uma tarefa de monitoramento dos elementos da rede sejam eles hardwares ou softwares De acordo com Kurose e Ross 2013 o gerenciamento de rede contém a disponibilização integração e a coordenação de elementos de hardware software e humanos É preciso monitorar além de consultar configurar e controlar os recursos da rede e seus elementos Sistemas de Gerenciamento de Rede Segundo Kurose e Ross 2013 uma arquitetura de um sistema de gerenciamento de rede contempla três componentes principais TÓPICO 3 FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO 159 a Uma entidade gerenciadora para controle da coleta processamento análise e apresentação de informações permitindo que o administrador interaja com os dispositivos da rede b Os dispositivos gerenciados ou dispositivos de rede como um switch uma impressora ou um roteador Nesses dispositivos residem agentes de gerenciamento que permitem à entidade gerenciadora executar ações sobre o dispositivo c Um protocolo de gerenciamento de rede que permite à entidade gerenciadora investigar o estado dos dispositivos gerenciados mediante o agente instalado Sistemas de Gestão de Ativos A gestão de ativos de rede compreende além do registro das informações dos dispositivos outros dados pertinentes ao ciclo de vida incluindo informações de aquisição e garantia Essas informações permitem ao administrador ter uma visão estratégica do parque de computadores podendo assim prever possíveis atualizações e manutenções Pereira et al 2016 sp apresentam a seguinte definição A gestão de ativos é o tratamento dado sobre os ativos físicos utilizados para suportar a tomada de decisões a priorização de investimentos a determinação de manutenção ideal dos ativos e a frequência de renovação Envolve o controle de construções físicas ativação operação manutenção desativação de instalações e equipamentos e gestão de todo o ciclo de vida dos ativos Castilho et al 2013 destacam a importância da documentação dos ativos de rede para a manutenção das atividades e sucesso dos negócios A utilização de sistemas de gestão de ativos contribui para o planejamento em redes de médio e grande porte mantendo uma base de dados dos equipamentos e dos programas utilizados É possível facilitar o processo de gerência e a administração da rede A gestão de ativos tem um papel relevante para o administrador de rede O processo portanto é o primeiro a ser dado para a implantação de uma rede organizada Todos os dispositivos são registrados e sua utilização é acompanhada desde a aquisição até o descarte reduzindo desperdícios e maximizando a utilização dos recursos existentes Ativo de Rede Sêmola 2014 p 4344 define um ativo como todo elemento que compõe os processos que manipulam e processam a informação Segundo o autor o ativo é um elemento de valor para um indivíduo ou organização e como tal deve ser protegido Para Galvão 2015 p 18 ativo pode ser entendido como qualquer parte que componha a estrutura de uma organização Um ativo é portanto qualquer elemento que represente valor para a empresa No contexto de uma rede de computadores de uma empresa os ativos de rede integram um conjunto de dispositivos e suas informações relacionadas que permitem a operacionalização dos negócios da organização 160 UNIDADE 3 INVENTÁRIO E ATIVOS DE INFORMAÇÃO ESTUDO DE CASO Nesta seção são realizadas análises dos resultados levantados durante a pesquisa compreendendo a descrição da estrutura tecnológica da empresa da situação atual da gestão de ativos de TI e dos procedimentos adotados para a coleta de informações dos ativos Estrutura Tecnológica A estrutura tecnológica da rede da empresa estudada é composta por um computador servidor onze estações de trabalho e três impressoras Apenas o servidor e os equipamentos de rede que estão no armário do servidor como roteador e switch são protegidos por um nobreak contra falta de energia A rede de acesso à internet é composta por um modem com roteador sem fio integrado fornecido pela operadora de banda larga FIGURA ESTRUTURA TECNOLÓGICA DA EMPRESA FONTE O autor Os departamentos são bem definidos e distribuídos em um prédio próprio de dois andares e 100 m² de construção Cada departamento ocupa uma sala e cada estação de trabalho conta com uma conexão de rede telefone e energia TÓPICO 3 FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO 161 FIGURA VISÃO GERAL DO INVENTÁRIO Situação da Gestão de Ativos Atual Apesar do número pequeno de equipamentos não existia um controle formal da estrutura Computadores e equipamentos podem ser inseridos e removidos conforme a necessidade da empresa e geralmente os próprios funcionários fazem as mudanças Mesmo existindo um suporte de TI externo esse serviço se limita a resolver os problemas que surgem eventualmente na rede ou nos sistemas existentes Inventário da Rede Como não havia documentação sobre os computadores e dispositivos instalados no ambiente foi realizado um levantamento automatizado das máquinas utilizando o software OCS Inventory NG A versão servidora responsável pelo armazenamento e apresentação dos dados enviados pela versão agente instalada nas estações da rede foi instalada na máquina RECEPCAO pelo fato desta estar ociosa Com os dados coletados foi possível avaliar as características de cada computador em termos de processamento quantidade de memória e capacidade de armazenamento Além dessas informações todos os softwares instalados nos computadores foram inventariados automaticamente o que permitiu avaliar quais sistemas operacionais antivírus e outros programas estavam instalados em cada estação O exposto a seguir apresenta a página inicial do OCS com a visão geral das máquinas inventariadas FONTE O autor 162 UNIDADE 3 INVENTÁRIO E ATIVOS DE INFORMAÇÃO A tela inicial do OCS apresenta uma barra de ferramentas na qual é possível escolher entre diversas opções de filtros e configurações Para a funcionalidade de inventário e visualização dos dados pelos utilizadores o ícone computadores mostra a relação de computadores inventariados RELATÓRIO DOS EQUIPAMENTOS FONTE O autor Na tela é possível aplicar filtros de visualização além de adicionar e remover colunas com as informações desejadas Por meio dessa visualização obtemos uma primeira análise das configurações dos computadores como o nome da máquina o sistema operacional a quantidade de memória a velocidade do processador e o endereço de rede Além disso podemos detectar anomalias como nome duplicado na lista e falta de identificação do sistema operacional Escolhendo um nome de computador na coluna computer podemos obter detalhes da configuração da máquina TÓPICO 3 FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO 163 FIGURA DETALHES DO PROCESSADOR DPPC FONTE O autor Por meio dessa tela obtemos um segundo nível de detalhes que inclui o nome do usuário informações de licenciamento do sistema operacional e última data que essa máquina foi inventariada Essa tela apresenta uma barra de ferramentas na qual podemos obter informações das partes que integram o computador como o processador memória e dispositivos de armazenamento FIGURA DETALHES DE ARMAZENAMENTO DPPC FONTE O autor 164 UNIDADE 3 INVENTÁRIO E ATIVOS DE INFORMAÇÃO Observe o detalhamento dos dispositivos de armazenamento contidos no equipamento informando seu tipo sistema de arquivos tamanho total e espaço livre Uma visão gráfica facilita o acompanhamento da utilização de cada disco permitindo detectar a situação FIGURA DETALHES DOS SOFTWARES INSTALADOS DPPC FONTE O autor Outro relatório importante diz respeito à lista de programas instalados no computador A figura anterior mostra o resultado ao escolher a ferramenta indicada Uma lista com todos os programas instalados permite identificar qualquer programa não permitido que esteja presente na máquina do usuário Esse monitoramento é importante para evitar multas por infração à lei de direitos autorais ou outros problemas como programas antigos que não são mais utilizados ou que estão desatualizados ocasionando riscos de segurança Resultados A partir dos relatórios gerados pelo programa OCS as seguintes recomendações foram apresentadas à direção da empresa a Os nomes dos computadores não seguem um padrão que possa indicar qual usuário é o utilizador e a qual departamento pertence Sugerese adotar uma identificação do tipo usuáriodepartamento para identificar cada computador na rede A adoção dessa nomenclatura segundo o item c da ISO27002 permitiria identificar o responsável pelo ativo b Em termos de processamento e memória todos os computadores possuem requisitos mínimos desejados para operar os programas instalados entretanto uma atualização ou substituição dos três computadores com dois gigabytes de memória pode ser necessária a curto prazo TÓPICO 3 FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO 165 c O relatório de dispositivo de armazenamento mostrou que a maioria dos computadores utiliza menos da metade dos recursos de disco e apenas um chegou a 60 de utilização d Outro relatório importante mostrou que existiam vários programas instalados que não diziam respeito às atividades da empresa assim sugeriuse que cada usuário avaliasse a necessidade dos programas instalados e solicitasse a remoção daqueles que não mais seriam utilizados Sugeriuse uma verificação semanal dos relatórios pela diretoria com o objetivo de manter sob controle os parâmetros mínimos de funcionamento da rede Esse monitoramento pode ser delegado ao suporte terceirizado que ficaria responsável por reportar qualquer anomalia ou necessidade de reparo ou atualização O processo permitiria atingir a conformidade com o item b da Norma 27002 no que tange à manutenção do inventário CONCLUSÕES A gestão de ativos se caracteriza como atividade essencial para o gerenciamento de uma rede de computadores Para uma gestão eficaz é preciso conhecer os recursos existentes e utilizálos adequadamente evitando desperdícios e maximizando sua operação A atividade exige recursos tecnológicos que podem demandar recursos financeiros e humanos que no universo das micro e pequenas empresas podem inviabilizar o projeto A presente pesquisa teve por objetivo revelar a importância da gestão de ativos de rede à luz das melhores práticas da gestão da tecnologia da informação para a gestão de uma microempresa prestadora de serviços contábeis Com a implantação da ferramenta de inventário OCS Inventory NG os responsáveis pela empresa puderam ter uma visão da situação do parque tecnológico e tomar decisões com base em informações precisas e atualizadas A gestão de ativos aliada aos controles da norma NBR ISOIEC 27002 propicia aos gestores das pequenas empresas a porta de entrada para a adoção de tecnologias mais robustas de gestão e governança TI conforme a empresa se familiariza com a adoção de boas práticas 166 RESUMO DO TÓPICO 3 Neste tópico você aprendeu que A divulgação de boas práticas na gestão dos ativos traz diversos benefícios No mercado existem diversas soluções que podem auxiliar no controle inventário de ativos Através de uma planilha é possível fazer o inventário de ativos Ficou alguma dúvida Construímos uma trilha de aprendizagem pensando em facilitar sua compreensão Acesse o QR Code que levará ao AVA e veja as novidades que preparamos para seu estudo CHAMADA 167 1 Para o sucesso de uma organização independentemente do segmento é preciso saber o que tem e onde tem Com a informação não é diferente pois como vimos a informação é um ativo que como qualquer outro ativo importante é essencial para os negócios de uma organização e todo cuidado na sua classificação e controle é essencial Sobre os ativos é correto afirmar a Alguns ativos de informação como documentos em forma eletrônica não podem ser fisicamente rotulados sendo necessário usar um rótulo eletrônico b O inventário do ativo deve incluir apenas seu tipo formato e localização pois essas são as únicas informações relevantes para a recuperação de um desastre c A implementação de controles específicos não pode ser delegada pelo proprietário do ativo mesmo sendo ele o único responsável pelos controles e pela proteção adequada d Todos os ativos devem ter um alto nível de proteção pois independentemente da sua importância possuem valor para o negócio e O processo de compilação de um inventário de ativos é importante mas não é requisito no gerenciamento de riscos 2 As políticas de classificação da informação fundamentais para permitir que os ativos e as informações sejam gerenciados com base em classificações de sigilo podem variar de acordo com a nomenclatura adotada pela organização conforme a sua classificação como público ostensivo ou confidencial sigiloso secreto Quando observamos as informações são critérios que precisam ser considerados para a classificação da informação I Os requisitos legais associados à informação II O valor da informação III Criticidade da informação para o negócio Assinale a opção CORRETA a Apenas as afirmações I e II são verdadeiras b Apenas as afirmações I e III são verdadeiras c Apenas as afirmações II e III são verdadeiras d As afirmações I II e III são verdadeiras e Nenhuma das afirmações é verdadeira 3 A Segurança da Informação busca garantir a proteção das informações das pessoas e das organizações São definidas as informações como todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa Para dar suporte temos a ISO que define alguns padrões Há o seguinte controle para a Classificação da Informação Convém que AUTOATIVIDADE 168 a informação seja classificada em termos do seu valor requisitos legais sensibilidade e criticidade para a organização Para implementação desse controle a norma recomenda também a seguinte diretriz a Convém que sejam identificadas documentadas e implementadas regras para que seja permitido o uso de informações e de ativos associados aos recursos de processamento da informação b Convém que o proprietário do ativo da informação seja responsável por assegurar que as informações e os ativos associados com os recursos de processamento da informação estejam adequadamente classificados c Convém que acordos com outras organizações que incluam o compartilhamento de informações considerem procedimentos para identificar a classificação daquela informação e para interpretar os rótulos de classificação de outras organizações d Convém que sejam definidos para cada nível de classificação procedimentos para o tratamento da informação que contemplem o processamento seguro a armazenagem a transmissão a reclassificação e a sua destruição e Convém que a classificação da informação e seus respectivos controles de proteção levem em consideração as necessidades de compartilhamento ou restrição de informações e os respectivos impactos nos negócios associados com tais necessidades 169 REFERÊNCIAS ARMSTRONG M et al Ciclo de vida da informação no suporte ao processo de inovação uma proposta de modelo interativo Revista Gestão e Planejamento Salvador v 20 n 1 p 581599 2019 ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS NBR ISOIEC 270022005 Tecnologia da informação técnicas de segurança Rio de Janeiro 2006 BAARS H HINTZBERGEN K HINTZBERGEN J Fundamentos de segurança da informação com base na ISO 27001 e na ISO 27002 Rio de Janeiro Brasport 2018 BAARS H HINTZBERGEN K HINTZBERGEN J Fundamentos de segurança da informação com base na ISO 27001 e na ISO 27002 Rio de Janeiro Brasport 2015 BARRETO J S et al Fundamentos de segurança da informação Porto Alegre SAGAH 2018 BEZERRA F Planejamento estratégico tático e operacional 2014 Disponível em httpswwwportaladministracaocom201407planejamentoestrategico taticooperacionalhtml Acesso em 15 maio 2020 BORGES D et al Segurança da informação para iniciantes Joinville Clube de Autores 2019 BRASIL Boas práticas em segurança da informação 4 ed Brasília TCU Secretaria de Fiscalização de Tecnologia da Informação 2012 Disponível em httpwww4planaltogovbrcgdassuntospublicacoes2511466pdf Acesso em 6 jul 2020 CABRAL C CAPRINO W O Trilhas em segurança da informação caminhos e ideias para a proteção de dados Rio de Janeiro Brasport 2015 CAMARGO R F de Lei SarbanesOxley aprimorando a prestação de contas com a SOX 2017 Disponível em httpswwwtreasycombrblogsoxlei sarbanesoxleyEmpresasbrasileiraseaLeiSarbanesOxley Acesso em 21 mar 2020 COELHO F E S ARAÚJO L G S BEZERRA E K Gestão da segurança da informação NBR 27001 e NBR 27002 Rio de Janeiro RNPESR 2014 170 CORREIA C M R Plano de implementação da Norma ISOIEC 27001 no INEM 2016 Disponível em httpsrununlptbitstream10362196051TGI0069pdf Acesso em 18 abr 2020 DOYLE D O que é gestão estratégica empresarial e sua importância 2016 Disponível em httpswwwsitewarecombrgestaoestrategicagestao estrategicanasempresas Acesso em 21 mar 2020 ELPESCADOR O que é ciclo educativo e por que ele é importante na conscientização em segurança da informação 2016 Disponível em https wwwelpescadorcombrblogindexphpoqueecicloeducativoeporqueele eimportantenaconscientizacaoemsegurancadainformacao Acesso em 21 mar 2020 ESPINHA R G Matriz RACI o que é a matriz de responsabilidades e como fazer 2020 Disponível em httpsartiacomblogmatrizracioqueeamatriz deresponsabilidades Acesso em 12 abr 2020 FAZENDA Classificação de informações sigilosas no Tesouro Nacional 2018 Disponível em httpwwwfazendagovbrseipublicacoescartilha classificacaodeinformacoessigilosasnastn Acesso em 12 abr 2020 FONTES E Políticas e normas para a segurança da informação Rio de Janeiro Brasport 2012 FONTES E Praticando a segurança da informação Rio de Janeiro Brasport 2008 FREIRE V Gestão de ativos de TI tudo o que você precisa saber 2019 Disponível em httpsneteyecobloggestaoativosti Acesso em 18 abr 2020 GHC Política de segurança da informação 2015 Disponível em httpswww ghccombrfilesPSIGHCpdf Acesso em 29 mar 2020 INFONOVA Gestão de TI 2018 Disponível em httpswwwinfonovacombr artigoinventariodeti Acesso em 3 abr 2020 INPE Planejamento Estratégico de Tecnologia da Informação e Comunicação PETIC 2017 Disponível em httpwwwinpebrctiarquivosPETICINPEpdf Acesso em 18 abr 2020 IPHAN Política de segurança da informação do IPHAN 2013 Disponível em httpportaliphangovbruploadsckfinderarquivosPolC3ADtica20 de20SeguranC3A7a20da20InformaC3A7C3A3opdf Acesso em 21 mar 2020 171 IZQUIERDO V A Qual a diferença entre segurança física e segurança lógica 2017 Disponível em httpsblogbrasilwestconcomqualadiferencaentre segurancafisicaesegurancalogica Acesso em 15 mar 2020 KIM D SOLOMON M G Fundamentos de segurança de sistemas de informação Rio de Janeiro LTC 2014 KOSUTIC D Classificação da informação de acordo com a ISO 27001 2014a Disponível em httpsadviseracom27001academyptbrblog20140514 classificacaodainformacaodeacordocomaiso27001 Acesso em 3 abr 2020 KOSUTIC D Como lidar com o registro de ativos inventário de ativos de acordo com a ISO 27001 2014b Disponível em httpsadvisera com27001academyptbrblog20140514classificacaodainformacaode acordocomaiso27001 Acesso em 3 abr 2020 LEAL R Política de mesa limpa e tela limpa O que a ISO 27001 requer 2016 Disponível em httpsadviseracom27001academyptbrblog20160317 politicademesalimpaetelalimpaoqueaiso27001requer Acesso em 21 mar 2020 LENOVO Gestão do inventário de tecnologia 2020 Disponível em http mktbrasilmundolenovocombrgestaodeinventariohtml Acesso em 8 jul 2020 LYRA M R Governança da segurança da informação Brasília Editora UnB 2015 MARCONDES J S Políticas de mesas limpas e telas limpas na segurança da informação 2015 Disponível em httpsgestaodesegurancaprivadacombr politicademesaslimpasetelaslimpasnasegurancadainformacao Acesso em 29 mar 2020 MARQUES M Criando uma política interna de acesso à internet na organização 2017 Disponível em httpmarcusmarquescombrgestaode pessoascriandopoliticainternaacessointernetorganizacao Acesso em 29 mar 2020 MINDNET Adicionando aviso legal em todas as mensagens enviadas 2020 Disponível em httpsmindnetcombrpainelindexphprp knowledgebase219Adicionandoavisolegalemtodasasmensagensenviadas html Acesso em 12 abr 2020 NEOWAY Conheça as melhores práticas para garantir a segurança das informações 2019 Disponível em httpswwwneowaycombrmelhores praticasparagarantirsegurancadasinformacoes Acesso em 29 mar 2020 172 OLHAR DIGITAL Entendendo a autenticação com tokens 2009 Disponível em rhttpsolhardigitalcombrfiqueseguronoticiaentendendoa autenticacaocomtokens10049 Acesso em 15 mar 2020 OLIVEIRA P C Política de segurança da informação definição importância elaboração e implementação 2013 Disponível em httpswwwprofissionaisti combr201306politicadesegurancadainformacaodefinicaoimportancia elaboracaoeimplementacao Acesso em 15 mar 2020 OLIVEIRA W Entenda o que é matriz RACI e como montar essa matriz de responsabilidades 2019 Disponível em httpswwwheflocomptbr modelagemprocessosmatrizracihttpswwwheflocomptbrmodelagem processosmatrizraci Acesso em 12 abr 2020 PALMA F Sistema de gestão de segurança da informação SGSI 2017 Disponível em httpswwwportalgsticombr201612sistemadegestaode segurancadainformacaosgsihtml Acesso em 15 jun 2020 PALMA F Exemplo de política de segurança 2011 Disponível em https ptslidesharenetfernandopalmaexemplodepolticadesegurana acesso Acesso em 15 mar 2020 PENDERBEY G The parkerian hexad 2012 Disponível em httpcslewisu edumathcsmsisprojectspapersgeorgiependerbeypdf Acesso em 15 mar 2020 PERALLIS CHANNEL Riscos ameaças e vulnerabilidades em segurança da informação 2019 Disponível em httpswwwyoutubecomwatchvzD3M EqkVFg Acesso em 18 mar 2020 PLATAFORMA WINDOWS Noções básicas sobre malware e outras ameaças 2020 Disponível em httpsdocsmicrosoftcomptbrwindowssecuritythreat protectionintelligenceunderstandingmalware Acesso em 18 mar 2020 REIS M O que é Análise SWOT ou Matriz SWOT 2014 Disponível em httpswwwprofissionaisticombr201409oqueeanaliseswotoumatriz swot Acesso em 18 abr 2020 REUTERS A A Brasil sofreu 15 bilhões de ataques cibernéticos em 3 meses diz estudo 2019 Disponível em httpsexameabrilcombrtecnologiabrasil sofreu15bilhoesdeataquesciberneticosem3mesesdizestudo Acesso em 21 mar 2020 SANKHYA Quais são os benefícios que o byod pode trazer para sua empresa 2016 Disponível em httpswwwsankhyacombrblogquaissaoosbeneficios queobyodpodetrazerparasuaempresa Acesso em 18 abr 2020 173 SANTOS A H O Análise de vulnerabilidades o que é e qual a importância para a organização 2018 Disponível em httpswwwuniaogeekcombr analisedevulnerabilidadesimportancia Acesso em 18 mar 2020 SAAVEDRA E Segurança da informação 2013 Disponível em https ptslidesharenetefrasaavedraseguranadainformao31917261 Acesso em 21 mar 2020 SCHULTZ F Gestão de ativos saiba quais as vantagens de ter dados interligados 2018 Disponível em httpsmilvuscombrgestaodeativossaiba quaisasvantagensdeterdadosinterligados Acesso em 18 abr 2020 SENAC PSI Política de Segurança da Informação 2013 Disponível em http wwwspsenacbrnormasadministrativaspsinormasadministrativaspdf Acesso em 29 mar 2020 SIGNIFICADOS Significado de inventário 2018 Disponível em httpswww significadoscombrinventario Acesso em 18 abr 2020 SILVA G K de P Segurança física e de ambientes 2009 Disponível em httpssiteantigoportaleducacaocombrconteudoartigosinformatica segurancafisicaedeambientes19075 Acesso em 18 mar 2020 SILVA S PINTO J Análise da importância da gestão de ativos de TI no ambiente de micro e pequenas empresas 2019 Disponível em http periodicosfaexedubrindexphpeLocucaoarticleview181 Acesso em 18 abr 2020 SILVA NETTO A da SILVEIRA M A P da Gestão da segurança da informação fatores que influenciam sua adoção em pequenas e médias empresas 2007 Disponível em httpwwwscielobrscielophpscriptsci arttextpidS180717752007000300007lngennrmiso Acesso em 18 mar 2020 SOFTLINE 7 erros que você não pode cometer com o Bring Your Own Device 2018 Disponível em httpsbrasilsoftlinegroupcomsobreaempresablog7 errosquevocenaopodecometercomobringyourowndevice Acesso em 18 abr 2020 SOLVIMM Como avaliar um risco de segurança da informação 2019 Disponível em httpssolvimmcomblogcomoavaliarumriscodeseguranca dainformacao Acesso em 19 abr 2020 SOULA J M F ISOIEC 20000 Gerenciamento de Serviços de Tecnologia da Informação Rio de Janeiro Brasport 2013 174 SOUSA R H de Gestão de ativos A organização nas mãos da TI 2013 Disponível em httpswwwdevmediacombrgestaodeativosaorganizacao nasmaosdatirevistainframagazine1127895 Acesso em 18 abr 2020 SOUZA R H Gestão de ativos A organização nas mãos da TI Revista Infra Magazine 11 2014 Disponivel em httpswwwdevmediacombrgestaode ativosaorganizacaonasmaosdatirevistainframagazine1127895 Acesso em 8 jul 2020 TEIXEIRA R F O que é controle de inventário de TI e 5 motivos para utilizálo 2018 Disponível em httpsblogdeskmanagercombrcontrolede inventario Acesso em 18 abr 2020 TEIXEIRA FILHO S A Segurança da informação descomplicada Brasília Clube dos Autores 2015 VALUEHOST Entenda por que o inventário de TI é essencial para o seu negócio 2019 Disponível em httpswwwvaluehostcombrbloginventario deti Acesso em 6 abr 2020 ZANIQUELLI T Convergência segurança física e lógica 2010 Disponivel em httpswwwdevmediacombrconvergenciasegurancafisicaelogica15760 Acesso em 4 jun 2020