Segurança da Informação
Introdução à Segurança da Informação
- Conceito
- Vulnerabilidade
- é a falha no projeto, implementação de um software ou sistema operacional, que quando explorada por um atacante resulta na violação da segurança do computador;
- Ameaças → considera-se qualquer ação que coloque em risco as propriedades se segurança do sistema;
- Naturais
- decorrem de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, etc.
- Involuntárias
- são inconscientes, quase sempre causada pelo desconhecimento, como acidentes, erros, etc.
- Voluntárias
- são propositais, causadas por agentes humanos, como crackers, invasores, ladrões, criados de vírus, etc.
- Naturais
- Risco
- é a probabilidade de uma fonte de ameaça explorar um vulnerabilidade, resultando em um impacto para a organização;
- Segurança da informação
- é preservação da confidencialidade, integridade e disponibilidade da informação por meio de sua gestão, do uso de boas práticas (controles) e da gestão de riscos;
- Vulnerabilidade
- Ameaças
- Furto de dados
- informações pessoais e outros dados podem ser obtidos pela interceptação do tráfego ou explorando de vulnerabilidades;
- Uso indevido de recursos
- prática de atividades maliciosas, como obter arquivos, disseminar spam, realizar ataques;
- Ataques de negação de serviço
- envio de grande volume de mensagens para tornar o serviço inoperante;
- Ataque de força bruta
- inúmeras tentativas de autenticação a sistemas que não impõe limites de senhas incorretas;
- Ataque de personificação
- substitui ou introduz um dispositivo à rede para que usuários se conectem nele;
- permitindo a captura de senhas de acesso e outras informações;
- Ameaça persistente avançada (APT – advanced persistent threat)
- ataques direcionados para coleta de informações que tenham valor para o atacante, ainda que despendam tempo e recursos para obtê-las;
- utilizam planejamento, engenharia social e aprofundamento da invasão com a exploração de outros ativos;
- Ameaça → ações humanas coordenadas, com objetivo específico, motivadas e financiadas, que colocam em risco as propriedades de segurança;
- Persistente → buscam objetivo específico guiados por organizações externas, com interação e monitoramento contínuo, inclusive com ataques lentos e de menor escala;
- Avançadas → combinam múltiplas técnicas, ferramentas e métodos de ataque, desde escutar telefônicas até exploração de vulnerabilidades, como 0-day exploits;
- Furto de dados
- Ameaças à confidencialidade → buscar informações (dados sensíveis, cartões de crédito, senhas) a partir do tráfego da rede nas interfaces locais, no núcleo da rede, áreas de memória, arquivos de outros usuários, etc.
- spyware → programa espião para obtenção de informações;
- keylogger → captura teclas;
- screenlogger → captura telas;
- engenharia social → obtenção de informações por meio da persuasão;
- phishing/scam → obtenção de informações por meio de mensagem/e-mail falso;
- pharming → obtenção de informações por meio de sites falsos;
- spoofing → o invasor, pessoalmente, convence a alguém que ele é algo ou alguém que não é, por exemplo, quando um usuário externo se faz passar por um usuário interno para obter autenticação e acessar o que não deveria ter acesso (um ataque contra a autenticação a fim de atingir a confidencialidade);
- sniffers → um programa que monitora o tráfego da rede (farejador), pode ser usado legitimamente ou por um intruso para roubar informações ou credenciais;
- backdoor → um acesso alternativo instalado por um invasor ou pelo próprio usuário para o seu acesso;
- eavesdropping (espionagem) → interceptar (ouvir, obter) secretamente (sem consentimento) uma conversa privada, seja telefônica (wiretapping), email, instant messaging, VoIP;
- spyware → programa espião para obtenção de informações;
- Ameaças à integridade → tem objetivo alterar, corromper ou destruir informações por meio da instalação de programas, drivers ou módulos de núcleo maliciosos, para obter o controle do sistema ou alterar de senhas;
- vírus → embutido em um programa executado;
- botnet → escraviza diversos computadores para realizar ataques programados pelo invasor;
- cavalo de troia → voluntariamente instalado pelo usuário escondido/embutido em um programa ou arquivo comum;
- Ameaças à disponibilidade → um usuário alocar para si todos os recursos do sistema, como a memória, o processador ou o espaço em disco, para impedir que outros usuários possam utilizá-lo;
- worm → não necessita de execução pelo usuário (ao receber um e-mail, ele explora uma vulnerabilidade para se reenviar para todos seus contatos);
- ransonware → sequestro da informações, por meio da criptografia dos dados, com exigência de pagamento de valores;
- adware → envio de e-mails ou pop-ups em massa de propagandas para induzir ao acesso a site fraudulento;
- DOS → ataque de sobrecarga; utiliza um computador para tirar de operação um serviço ou computador conectado a internet;
- DDOS → ataque de sobrecarga partindo de várias máquinas;
- Proteções → mecanismos de segurança da informação
- Firewall
- um controlador do fluxo tráfego de dados, físico (appliance) ou lógico (software), comumente entre a rede interna e a internet, que não permite o acesso a partir máquinas externas;
- implementa recursos de filtro de conteúdo para analisar o tráfego entre a rede local e a internet, e impede acesso a sites por URL ou horário;
- Proxy
- um controlador de trafego em camada de aplicação que controla o acesso a partir de máquinas internas;
- em modo reverso, otimizar o acesso de máquinas externas a um site hospedado;
- Sistema de detecção de intrusão (IDS)
- analisa características do tráfego da rede de forma passiva;
- identifica atividades suspeitas e ataques a partir de algum tipo de conhecimento, como assinaturas de ataques ou desvio de comportamentos;
- Port Mirror → consiste no espelhamento do tráfego de uma porta de comunicação para outra para monitoramento pelo IDS;
- Port Span → switches com IDS embutidos;
- Splitting Wire → colocar um (hub ou optical tap) entre o switch e o equipamento que se deseja monitorar;
- Sistema de prevenção de intrusão (IPS)
- analisa características do tráfego da rede de forma ativa;
- aplica ações programadas para evitar a concretização da ameaça com o bloqueio do tráfego individualmente;
- Antivírus
- identificam os vírus por meio de assinaturas, para isolar, desinfectar ou excluir o arquivo;
- Windows defender
- ferramenta do windows que se trata de um anti-vírus a partir da versão 8.1, anteriormente era somente anti-spyware;
- Atualizações automáticas
- corrige vulnerabilidades utilizada por atacantes;
- Firewall
Normas de Segurança da Informação
- Normas de segurança
- ISO/IEC 27.001
- Define requisitos para implementação de um sistema de gestão da segurança (SGSI);
- os itens são obrigatórios e é possível obter a certificação;
- ISO/IEC 27.002
- Estabelece código práticas e controles para a gestão de segurança da informação;
- os controle são recomendações, não há certificação;
- ISO/IEC 27.005
- Gestão de riscos em segurança da informação (GRSI);
- BS 25.999-1
- Estabelece código práticas e controles para a gestão de continuidade de negócios;
- BS 25.999-2
- Define requisitos para a Gestão da Continuidade do Negócio (GCN);
- ISO/IEC 27.001
Backup – salvaguarda
- Backup → cópia dos dados em meio separado do original, de forma a protegê-los de qualquer eventualidade por meio de distintas mídias ou em nuvem;
- Fatores da política de backup;
- Recovery Point Objective (RPO) → período máximo que as alterações podem ser perdidas em caso de falhas ou desastres;
- Recovery Time Objective (RTO) → período máximo para restauração a um estado operacional;
- Prioridades de backup e rapidez da recuperação;
- Frequência de mudança dos dados;
- Restrições de tempo para realização do backup;
- Validação (prevalência) dos dados recuperados;
- Acessibilidade das mídias de backup por pessoas autorizadas;
- Marcadores (atributo de arquivo) → orienta o backup futuro;
- arquivo marcado → deve estar presente no próximo backup;
- arquivo desmarcado → não foi alterado deste o último backup (não deve estar presente no próximo backup);
- novos arquivos e aqueles modificados recebem a marcação para backup;
- Quente → em tempo real, com o sistema em funcionamento;
- Frio → com sistemas e arquivos fechados;
- Normal ou completo (full) → cópia de tudo, modifica a marca;
- restaura-se o último backup normal;
- não refere-se a todos os arquivos da máquina, mas a ignorar a marcação existente em arquivos de determinado diretório;
- Incremental → cópia dos marcados, modifica a marca;
- restaura-se todos backups incrementais a partir do último normal, se houver;
- Diferencial → cópia dos marcados, não modifica a marca;
- restaura-se somente o último backup diferencial; o último normal e o último diferencial, somente;
- Diário → cópia dos criados/alterados no dia, não modifica a marca;
- restaura-se todos os backups, um para cada dia, não utiliza o backup normal como referência;
- Cópia → cópia de tudo, não modifica a marca;
- equivalente ao backup normal sem alterar a marcação, não interfere as rotinas;
- Normal ou completo (full) → cópia de tudo, modifica a marca;
- Fatores da política de backup;
- Fitas LTO (Linear Tape-Open) → formato aberto de armazenamento de dados em fita magnética;
- Conceitos
- utiliza o método de gravação linear;
- os dados são gravados como uma sequência de faixas que são executadas alternadamente, para a frente e para trás (serpentina);
- WORM (write once read many) → tipo de mídia que não permite sobrescrita, utilizada para histórico e conformidade;
- Criptografia → utiliza o algoritmo AES256-GMC;
- Hierarchical storage management → técnica para movimentação automática de dados entre mídias de alto custo para mídias de baixo custo;
- Modelos
- LTO-4 → 800 GB, 120 MB/s, chip de memória de 8 KB, cor verde;
- LTO-5 → 1.5 TB, 140 MB/s,chip de memória de 8 KB, cor vermelha escura, 2 partições em LTFS;
- LTO-6 → 2.5 TB, 160 MB/s, chip de memória de 16 KB, cor preta, 4 partições em LTFS;
- LTO-7 → 6 TB, 300 MB/s, chip de memória de 16 KB, cor roxa, 4 partições em LTFS;
- LTFS (Linear Tape File System)
- um padrão aberto que utiliza XML para representar metadados e índices dos arquivos;
- arquivos são modificados, sobrescritos e removidos logicamente (no índice), sendo os blocos já usados marcos como indisponíveis;
- a capacidade utilizada só é liberada com a formatação da fita;
- Conceitos
- Ferramentas de backup
- Netbackup → suíte corporativa de backup e restauração para múltiplas plataformas.
- arquitetura baseada no servidor central (central master server) que gerencia os servidores de mídias (media servers) e o clientes (servidores que são copiados).
- suporta backup a quente para os principais gerenciadores de banco de dados (Oracle, etc);
- tem capacidade nativa de backup e restauração de máquinas virtuais dos principais produtos (VMware, etc);
- implementa o Network Data Management Protocol (NDMP);
- permite a descentralização dos dados críticos em distintos locais como apoio ao plano de recuperação de desastres (off-site data protection, vaulting);
- permite a realização de backup diretamente pela rede SAN, sem utilizar a rede LAN (LAN-free).
- Robocopy (Robust File Copy) → linha de comando para para replicação de arquivos e diretórios em Windows.
- aceita somente diretórios como parâmetros de origem ou destino;
- Robocopy C:\A C:\B *.* /PARAM
- /E → recursivamente todos os arquivos e diretórios;
- /S →recursivamente, exceto diretórios vazios;
- /COPYALL → equivalente a /COPY:DATSOU (D=Dados, A=Atributos, T=Timestamps, S=NTFS ACLs, O=proprietário, U=auditoria)
- /R:0 → não tentar novamente em caso de falhas (como em arquivos abertos), ou pode-se especificar o número de tentativas (padrão é 1 milhão de vezes);
- /W:0 → não esperar entre falhas, ou pode-se especificar o tempo em segundos (padrão é 30 segundos);
- /MIR → opção mirror apaga os arquivos do destino que não mais existem na origem a redefine as permissões dos arquivos;
- /Z → opção de resumo em caso de falhas de comunicação de rede;
- /V → exibe arquivos não copiados;
- /NP → não exibe o progresso da cópia/
- /ETA → exibe o tempo estimado que a cópia dos dados levará;
- /LOG: → especifica o local onde o log será armazenado e sobrescreve;
- /LOG+: → especifica o local onde o log será armazenado e adiciona ao final do arquivo existente;
- /LEV: → número de níveis de hierarquia do diretório de origem;
- /MOV → move os arquivos e os exclui da origem;
- /MOVE →move arquivos e diretórios e exclui-los da origem;
- Rsync → ferramenta de cópia de arquivos em linha de comando em Linux.
- realiza cópia de arquivos locais, sob ssh (:) ou pelo serviço rsync (::);
- utiliza o algoritmo delta-transfer para reduzir a quantidade de dados;
- utiliza o algoritmo quick-check para identificar mudanças em arquivos por meio da mudança do tamanho e da última data de modificação;
- ao especificar diretórios o uso da barra do final, indica os arquivos internos (rsync -av /src/foo /dest ↔ rsync -av /src/foo/ /dest/foo);
- rsync -av server:/src /dest (de ssh)
- rsync -av server::modulename /dest (de rsync daemon)
- -n → simular execução sem copiar;
- -v → exibe nome do arquivo durante a cópia (verbose);
- -a → modo de arquivamento, equivale a -rlptgoD (no -H,-A,-X);
- -H → copiar hardlinks;
- -A → preservar ACLs;
- -X → preservar atributos estendidos;
- -c → use checksum em ves do quick-check para ignorar arquivos;
- -b → usa um padrão de estrutura de diretórios para backup;
- -u → ignorar arquivos que são mais novos no destino;
- -r → recursivamente;
- -l → preservar links simbólicos;
- -p → preservar permissões (rwx);
- -t → preservar marcas de tempo de modificação;
- -g → preservar grupo;
- -o → preservar dono;
- -D → preservar arquivos de dispositivos e especiais;
- –delete → apaga os arquivos do destino que não mais existem na origem;
- Netbackup → suíte corporativa de backup e restauração para múltiplas plataformas.
Autenticação e Autorização
- Conceitos
- Identificação (login)
- envio da identidade do usuário ao sistema a fim de comprovar se o sujeito é a entidade que ele afirma ser;
- Autenticação (senha)
- procedimento realizado pelo sistema para validar (verificar, comprovar, confirmar, averiguar) a identidade declarada;
- identifica quem efetua o acesso a uma dada informação;
- Autorização (permissões)
- procedimento para determinar os recursos acessíveis à identidade autenticada (calcula os objetos acessíveis);
- habilidade de permitir ou negar a utilização de um objeto (recurso);
- Identificação (login)
- Controle de acesso
- Conceitos
- métodos de concessão (definição) de permissões (ações disponíveis, recursos/objetos acessíveis) aos sujeitos (usuários do sistema);
- Controle de acesso baseado em papéis (RBAC) → modelo NIST;
- papel (role) é uma coleção de objetos/operações (permissões) determinado pela função desempenhada na organização (responsabilidades);
- concessão de permissões a partir da associação de grupos de usuários (coleção de usuários) ou individualmente a papéis;
- RBAC0 (básico) → relação N:N entre usuários e papéis (User Assignment) e relação N:N entre papéis e permissões (Permission Assignment);
- RBAC1 (hierárquico) → há hierarquia de papéis;
- RBAC2 (restrito) → utiliza regras de restrições (constraints) para controlar a concessão de permissões (horários, número de usuário por papel, etc);
- Separação estática de deveres → restrição de papéis mutuamente exclusivos (papel A não pode ser concedido com papel B);
- Separação dinâmica de deveres →permite que o usuário selecione um papel concedido ao entrar no sistema (sessão);
- RBAC3 → hierarquia (RBAC1) e restrições (RBAC2);
- Controle de acesso discricionário (DAC)
- concessão de permissões pelo dono do objeto por meio de privilégios (ler, escrever, executar, etc) ou pela transferência da propriedade;
- todo recurso deve ter um proprietário;
- Controle de acesso obrigatório (MAC)
- concessão de permissões definida por regras do sistema a partir de rótulos de sensibilidade (segurança) atribuídos aos sujeitos e objetos;
- concessão de permissões definida por um grafo sem ciclos (hierárquico) para decisões complexas (modelo lattice);
- concessão de permissões definida por listas de controle de acesso (ACLs);
- Conceitos
- Gestão de identidade
- Conceitos
- atende às necessidades de negócio, o que inclui requisitos de conformidade e auditoria, com a gestão do nível adequado de acesso;
- implementa estratégias, diretivas, processos e tecnologias para o controle de ameaças internas por acessos autorizados indevidos;
- administração centralizada com login único (single sign-on) ou com replicação de usuários (provisionamento) para outras bases;
- realiza a gestão de papéis com o mapeamento de perfis (mapa de função), workflows de aprovação de acesso e auditoria de concessões;
- controle de acesso automatizado baseado no ciclo de vida da identidade, como o desligamento do usuário ou mudança de função;
- monitoramento e relatório de acessos do usuário, identificação de contas compartilhadas e gerenciamento de acessos privilegiados;
- Recursos conectados
- repositórios de usuários descentralizados (diversos sistemas) integrados ao repositório central (metadiretório);
- Fontes autoritativas
- fonte principal de dados do usuário da organização (sistemas de RH ou correio eletrônico) integrados ao repositório central;
- Provisionamento
- envio de atualizações do repositório central aos recursos conectados por meio de agentes de integração;
- Conceitos
- Classificação da informação
- Níveis de acesso → não prescritos pela ISO 27.001; são definidos pela organização em N níveis; exemplo abaixo;
- Público → todos podem ter acesso a informação;
- Uso interno → somente membros da organização podem ter acesso (nível mais baixo de confidencialidade);
- Privado → informações internas de área específica (nível médio de confidencialidade);
- Confidencial → informações internas a pessoas específicas (nível mais alto de confidencialidade);
- Processo de classificação da informação
- Inventariar a informação → definir o responsável pela informação, seu tipo e natureza, e catalogar no inventário;
- Classificar a informação → o nível de confidencialidade é comumente indicado pelo responsável;
- Rotular a informação → padronização da forma de identificação do nível de confidencialidade (ex: águia no canto superior direito);
- Manusear a informação → especifica como manusear cada tipo de informação (exigir envelope fechado, trancado em armário, etc);
- Inventário de informações (catalogação das informações classificadas)
- Responsável pela informação;
- Tipo da informação → verbal, em mídia, em papel, email, em sistema, etc;
- Natureza da informação → quanto a valor, requisitos legais, grau de sensibilidade, grau de criticidade e necessidade de compartilhamento;
- Mídia de armazenamento → discos, fitas, cartões de memória, etc;
- Níveis de acesso → não prescritos pela ISO 27.001; são definidos pela organização em N níveis; exemplo abaixo;
- Meios de identificação → sua implementação considera a intrusão, esforço, precisão e custo;
- O que você sabe?
- Tipos
- Senha, chave, PIN, frase-secreta, perguntas/respostas (identificação positiva), desafios/respostas (ex: CHAP);
- Ataques
- password guessing, força bruta, por dicionário, pesca, compartilhamento da senha, repositório de senhas, keylogger, sniffer, replay;
- Single Sign On (login único)
- modelo para identificação única que centraliza a autenticação e a autorização e simplifica a aplicação de políticas de segurança;
- Tipos
- O que você tem?
- Token
- Características físicas → cartão (Smart Cards ou de fita magnética), chaveiros, bastões, etc;
- Formato → de contato (cartão de fita magnética), sem contato (calculadora desafio-resposta) e inteligentes (Smart Cards e JavaCards);
- Interface → interface eletrônica (Smart Cards e JavaCards) ou leitura manual do visor;
- Protocolo → senha estática (Smart Cards), senha dinâmica (OTP), desafio-resposta (expressão matemática que usa a senha);
- Tipos
- Memory Token → dispositivo apenas de armazenamento (cartão de fita magnética);
- Smart Token → dispositivo de armazenamento e processamento de informações (Smart Cards e Java Cards);
- microchip que realiza armazenamento e processamento de informações;
- pode conter um certificado digital e chave privada;
- requer um PIN para utilização e possui um PUK para desbloqueio do PIN;
- Token
- O que você é?
- Biometria → verifica e estabelece a identidade de um indivíduo a partir de características individuais físicas e comportamentais;
- não pode ser transferida, esquecida ou perdida;
- difícil de copiar ou adulterar;
- requer a presença física no local de autenticação;
- Biometria → verifica e estabelece a identidade de um indivíduo a partir de características individuais físicas e comportamentais;
- O que você sabe?
- Biometria
- Características → em relação ao universo de indivíduos;
- Universalidade → é abrangente?
- Exclusividade → é distinguível?
- Permanência → é invariante?
- Coletabilidade → (não) é intrusiva ou requer esforço?
- Circuvenção → (não) é compartilhável?
- Aceitabilidade → (não) há estigma ou senso de privacidade?;
- Fases
- Cadastramento → captura e extração do template;
- Identificação → comparação e combinação;
- Identificação (Quem eu sou?) → comparação com com várias/todas identidades armazenadas (menor precisão);
- Verificação (Eu sou quem digo ser?) → comparação com uma identidade armazenada (maior precisão);
- Falhas → confiabilidade da coleta e da extração de características, ruído no sinal, interceptação e alteração durante a comparação;
- Falha na aquisição (FTA) →
- Falha no registro (Failure to Enrol Rate) →
- Falha no utilização (FTU) →
- False Reject Rate (False Non-Match Rate) → índice de rejeição de pessoas autênticas e registradas (falso negativo);
- False Accept Rate (False Match Rate) → índice de aceitação de pessoas não autênticas ou não registradas (falso positivo);
- Equal Error Rate (Crossover Error Rate) → índice de interseção de erros, quando os índices de rejeição e aceitação são iguais;
- Classificação dos métodos
- Fisiológicas (físicos) → impressões digitais, facial, odor do corpo, retina, iria, geometria da mão, DNA;
- Comportamentais → modo de caminhar, padrão de digitação (pressionamento de teclas), voz, assinatura;
- Métodos → todos possuem certa limitação as classificações;
- Impressão digital
- baixo custo; grande precisão; invariante;
- posição das minúcias dos dedos;
- dispositivos ótico (reflexão da luz), capacitivo (calor) ou ultrassônico (radar);
- limitações de universalidade (ausência de digitais);
- Assinatura manuscrita
- análise da forma, da velocidade, da aceleração, da pressão e da continuidade;
- limitação de permanência (caneta, papel, alterações emocionais);
- Face
- não é intrusiva; medidas da face;
- limitações de permanência (ângulo da câmera, luminosidade, expressões faciais);
- Vasos sanguíneos
- padrão de veias por meio de lentes infravermelhas;
- Geometria das mãos e dedos
- medição do formato da mão;
- limitações de exclusividade, universalidade e permanência (crescimento do corpo);
- Retina
- alto custo; grande precisão; mais intrusiva; padrão de vasos sanguíneos na parte posterior (interna) do olho;
- Iris
- maior precisão; combinação de padrões da coroa, filamentos, estrias e glândulas da iris;
- limitação de exclusividade (pessoas com padrões simples de iris);
- Voz
- baixo custo; não é intrusiva; baixa precisão; padrão das ondas sonoras;
- limitação de permanência (ruídos, alterações emocionais ou resfriados);
- Impressão digital
- Conceitos
- Os métodos de biometria estão relacionados a identificação e autenticação;
- Não há um método necessariamente a ser utilizado!
- Não há um método melhor para todos os casos;
- Não há um método a prova de falhas;
- Não há um método que independa de limiares, ajustes ou configurações;
- Múltiplas biometrias nem sempre obtém melhor resultado que uma única biometria;
- A biometria não significa 100% de segurança;
- Usar biometria não é invasão de privacidade;
- Características → em relação ao universo de indivíduos;
Criptografia
- Função Hash
- resumo, normalmente de 128bits, de uma mensagem de qualquer tamanho;
- o algoritmo (MD2, MD4, MD5 e SHA-1) deve garantir, no limite do possível, que mensagens diferentes gerem resumos diferentes;
- Criptografia → procedimento para embaralhar a informação tornando a leitura incompreensível por pessoas que não possuam a chave, utilizada para manter dados sigilosos (confidencialidade), e para garantir a identidade do remetente de uma mensagem (autenticidade).
- Simétrica → utilizada a mesma chave para codificar e decodificar, um segredo entre as partes envolvidas;
- AES standard → chave de 128/192/256bits, blocos de 128 bits, 10, 12 ou 14 rounds depende do tamanho da chave respectivamente, algoritmo de rede de substituição-permutação;
- Rijndael → chave de 128/160/192/224/256bits, blocos de 128/160/192/224/256 bits, algoritmo de rede de substituição-permutação;
- Serpent (AES finalist) → chave de 128/192/256bits, blocos de 128 bits, 32 rounds, algoritmo de rede de substituição-permutação;
- Twofish (AES finalist) → chave de 128/192/256bits, blocos de 128 bits, 16 rounds, algoritmo de rede de Feistel;
- Blowfish → chave de 32 a 448bits, blocos de 64 bits, 16 rounds, algoritmo de rede de Feistel;
- 3DES → 3 chaves de 64bits, destes, 8 bits são de verificação de integridade (paridade), blocos de 64 bits, 48 DES rounds, algoritmo de rede de Feistel;
- Assimétrica → utiliza duas chaves, pública e privada;
- Simétrica → utilizada a mesma chave para codificar e decodificar, um segredo entre as partes envolvidas;
- One Time Pad (OTP)
- Conceitos
- método clássico de criptografia simétrica com chave de uso único que permite ser computada à mão;
- um sistema matematicamente inviolável, porém passível de falhas na geração ou guarda da chave;
- único criptosistema provido de segurança, pois não depende de capacidade de processamento para quebrá-lo;
- criptosistemas padrões são susceptíveis a descobertas por criptoanalíticas futuras ou pela evolução de computadores, como a computação quântica;
- o termo super-criptografia é utilizado quando se utiliza o OTP em conjunto com outro criptosistema padrão;
- sem a utilização de um computador, que permite a técnica de universal hashing, não fornece nenhuma autenticação da mensagem;
- Modelo clássico
- baseado em sequências aleatórias idênticas e um padrão de utilização dessa sequência, ambos conhecidos pelas partes;
- exemplo: cada palavra usa uma parte do início e outra do final da sequência, sucessivamente;
- as sequências aleatórias são utilizada para codificação e decodificação da mensagem a partir de um padrão de combinação com a mensagem;
- exemplo: adição modular, soma-se a mensagem com a parte da sequência e dividi-se por 26 para obter o resto (A=1, …, Z=26, A=27, …);
- números aleatórios da alta qualidade podem ser difíceis de gerar;
- geradores apropriados para o uso criptográfico normal, incluindo /dev/random, fazem algum uso das funções criptográficas cuja segurança não é provada;
- Modelos comuns → padrões aplicados em ambas as partes para codificação e decodificação;
- Algoritmo matemático → sequências aleatórias idênticas geradas por aplicação de uma função repetidas vezes;
- Sincronização de tempo → sequências aleatórias idênticas geradas a partir do tempo corrente combinada a chave secreta (RFC 6238);
- Hardcopy → modelo clássico com uma lista de OTPs impressas em uma cartão e enviadas ao usuário;
- Conceitos
- Assinatura digital
- resumo de um dado gerado pela chave privada, verificável pela chave pública;
- Certificado digital → é um arquivo eletrônico que contém dados de uma pessoa ou instituição (nome, número de identificação, email, nome da autoridade certificadora, número de série, validade, assinatura da AC), utilizado para comprovar a identidade.
- A1/S1 → 1 ano, chave de 1024bits, armazenado em arquivo;
- A2/S2 → 2 anos, chave de 1024bits, armazenado em smartcard ou token, sem geração de chave;
- A3/S3 → 3 anos, chave de 1024bits, armazenado em smartcard ou token, com geração de chave;
- A4/S4 → 3 anos, chave de 2048bits, armazenado em smartcard ou token, com geração de chave;
- SSL
- Conceitos
- provê segurança a comunicação TCP/IP;
- provê um padrão para interoperabilidade;
- extensível a novos métodos de criptografia simétrica e assimétrica que possam ser implementados;
- eficiente, uma vez que utiliza chave de sessão (simétrica);
- Record (Registro) → gerencia a transmissão e recepção de dados;
- Transmissão → fragmenta os dados em blocos, pode realizar compressão dos dados, encripta e transmite;
- Recebimento → decripta, verifica a integridade, realiza descompressão, reagrupa os blocos e encaminha à camada superior;
- Handshaking
- Handshake → troca de mensagens entre o cliente e o servidor para estabelecer uma conexão SSL;
- Fase 1 – Client Hello → estabelece qualificação de segurança (versão do protocolo, id da sessão, cifras, método de compactação);
- Id da sessão → sequência de bytes definida pelo servidor para identificar cada sessão ativa ou uma sessão reiniciável;
- Método de compressão → define o método de compressão que será utilizado;
- Is Resumable → flag que indica se a sessão pode ser continuada (não há fase 4 quando a conexão é continuada);
- Fase 2 – Server Hello → envio do certificado do servidor, solicitação do certificado do cliente, final da fase hello;
- o envio do certificado do servidor ao cliente é essencial para o funcionamento do SSL;
- a solicitação do certificado do cliente pode ser exigida por política do servidor, em geral, não é obrigatório;
- Fase 3 – Client Key Exchange → envio do certificado do cliente (opcional ou requerido), envio de chave de sessão (Client Key Exchange);
- Client Key Exchange (sessão) → chave secreta de 48 bytes que será compartilhada entre o cliente e o servidor;
- Fase 4 – Change Cipher Spec → envio da mudança de cifragem (Change Cipher Spec) e finaliza a fase de handshake;
- também pode ocorrer após o conexão estiver estabelecida para troca do tipo de chave;
- Fase 1 – Client Hello → estabelece qualificação de segurança (versão do protocolo, id da sessão, cifras, método de compactação);
- Change Cipher Spec →informa ao servidor sobre a mudança do tipo de chave;
- define o algoritmo de criptografia (DES), o algoritmo de MAC (MD5, SHA), atributos criptográficos (tamanho do hash);
- Alerta → informa ao cliente ou ao servidor sobre um alerta, e contém o nível de criticidade e descrição;
- Alertas de encerramento → sobre o encerramento da conexão (close_notify);
- Alertas de erro
- sobre um erro identificado (bad_certificate, certificate_expired, illegal_parameter, unknown CA, insuffiecient security);
- erros fatais indicam encerramento da conexão, e não pode ser resumida;
- Handshake → troca de mensagens entre o cliente e o servidor para estabelecer uma conexão SSL;
- Conceitos
Sistema de Gestão da Segurança da Informação (SGSI)
- Norma 27.001 → requisitos para um Sistema de Gestão da Segurança da Informação (SGSI);
- Provê um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar (EIOMAMM) um Sistema de Gestão da Segurança da Informação (SGSI) dentro:
- do contexto das atividades de negócio globais;
- dos riscos enfrentados, e a partir;
- das fontes de requisitos de segurança da informação:
- os requisitos, princípios e objetivos do negócio;
- análise/avaliação sistemática e periódica de riscos;
- legislação e normas vigentes;
- Adoção do SGSI é uma decisão estratégica para atender as necessidades de segurança de forma, cujos:
- recursos envolvidos sejam compatíveis com os retornos esperados e;
- os gastos com os controle sejam compatíveis com os danos causados;
- por meio de uma abordagem:
- de processo;
- de melhoria contínua baseada no modelo PDCA, e;
- adaptada de acordo com as mudanças nos riscos organizacionais;
- Planejar (Plan) → estabelecer a política, objetivos processos e procedimento do SGSI;
- Executar (Do) → implementar e operar o SGSI de acordo com a política, controle processos e procedimentos;
- Verificar (Check) → monitorar e analisar criticamente o SGSI por meio de medição de desempenho e apresentar resultados para análise crítica;
- Agir (Act) → manter e melhorar o SGSI com a execução de ações corretivas e preventivas a partir da análise crítica e da auditoria interna;
- Provê um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar (EIOMAMM) um Sistema de Gestão da Segurança da Informação (SGSI) dentro:
- Objetivo
- O SGSI permite:
- a seleção de controles de segurança adequados para proteger ativos de informação e propiciar confiança às partes interessadas por meio da especificação de requisitos genéricos;
- a implementação de controles de segurança personalizados às necessidades individuais da organização ou das partes, de forma documentada, alinhada aos riscos globais e aplicável a todos os tipos organizações;
- garantir a continuidade do negócio, a minimização dos riscos para o negócio e a maximização do retorno sobre os investimentos:
- A implantação do SGSI em conformidade a essa norma não permite a exclusão de qualquer requisito previsto, podendo-se excluir ou substituir controles de forma documentada, justificada, com evidências que os riscos associados foram aceitos pelos responsáveis, que tal exclusão não afete a capacidade e/ou responsabilidade de prover segurança da informação, que não afete o atendimento aos requisitos legais, regulamentares ou aqueles determinados pela análise de riscos;
- O SGSI permite:
- Referência normativa
- É indispensável a aplicação da 27002;
- Termos e definições
- Ativo
- qualquer coisa que tenha valor para a organização;
- Disponibilidade
- propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada;
- Confidencialidade
- propriedade que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados;
- Integridade
- propriedade de salvaguarda da exatidão e completeza de ativos;
- Segurança da informação
- preservação da confidencialidade, integridade e disponibilidade da informação; e adicionalmente autenticidade, responsabilidade, não repúdio e confiabilidade;
- Evento de segurança da informação
- ocorrência identificada de alteração do estado um sistema, serviço ou rede que indica:
- possível violação da PSI, ou;
- falha nos controles, ou;
- situação previamente desconhecida;
- ocorrência identificada de alteração do estado um sistema, serviço ou rede que indica:
- Incidente de segurança da informação
- um simples ou série de eventos de segurança da informação indesejados ou inesperados;
- com grande probabilidade de comprometer as operações do negócio;
- Sistema de Gestão de Segurança da Informação
- é parte do sistema de gestão global, baseado na abordagem de riscos do negócio;
- que estabelece, implementa, opera, monitora, analisa criticamente, mantêm e melhora a segurança da informação;
- Risco residual
- risco remanescente após o tratamento de riscos;
- Aceitação do risco
- decisão de aceitar um risco;
- Análise do risco
- uso sistemático de informações para identificar fontes e estimar o risco, envolve a observação inicial da situação;
- Análise e avaliação de riscos
- uso sistemático de informações para identificar fontes e estimar o risco, e;
- compara-se o risco estimado com critérios pré-definidos para determinar a importância do risco;
- Gestão de riscos
- atividades coordenadas para direcionar e controlar uma organização no que tange a riscos;
- Tratamento de riscos
- processo de seleção e implementação de medidas para modificar um risco;
- Declaração de aplicabilidade
- declaração documentada que:
- descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI;
- descreve as justificativas da não aplicabilidade de determinados controles;
- declaração documentada que:
- Ativo
- Sistema de gestão de segurança da informação – Parte I
- Estabelecer o SGSI (Plan) → a organização deve:
- definir o escopo, limites e uma política nos termos das características do negócio, da organização, de sua localização, de seus ativos e tecnologias;
- definir a abordagem e metodologia de identificação/análise/avaliação de riscos e assegurar que seus resultados sejam comparáveis e reproduzíveis;
- identificar riscos, bem como vulnerabilidades e ameaças;
- analisar e avaliar os riscos por meio da análise dos impactos, da probabilidade real de ocorrência, da estimativa dos níveis de risco e da aceitabilidade do risco;
- identificar e avaliar as opções de tratamento de risco, seja aplicar controles, aceitar objetivamente, evitar ou transferir o risco;
- selecionar objetivos de controle e controles para o tratamento de riscos;
- obter aprovação da direção dos riscos residuais propostos;
- obter autorização da direção para implementar e operar o SGSI;
- preparar uma declaração de aplicabilidade;
- Implementar e operar o SGSI (Do) → a organização deve:
- formular um plano de tratamento de riscos que identifique a ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança;
- implementar o plano de tratamento de riscos para alcançar os objetivos de controle identificados, que inclua considerações de financiamentos e atribuição de papéis e responsabilidades;
- implementar os controles selecionados para atender aos objetivos de controle;
- definir como medir a eficácia dos controles ou grupos de controles selecionados de modo a produzir resultado comparáveis e reproduzíveis;
- implementar programas de conscientização e treinamento;
- gerenciar as operações do SGSI;
- gerenciar os recursos do SGSI;
- implementar procedimentos e outros controles capazes de permitir a pronta detecção de eventos e resposta a incidentes de segurança da informação;
- Monitorar e analisar criticamente o SGSI (Check) → a organização deve:
- executar procedimentos de monitoração, análise crítica e outros controles para prontamente:
- detectar erros;
- identificar incidentes de segurança da informação;
- identificar tentativas e violações de segurança bem-sucedidas;
- identificar não-conformidades, incluindo as potenciais, e determinar suas causas;
- permitir à direção apreciar a eficácia da segurança da informação;
- ajudar a detectar eventos de segurança da informação;
- determinar se as ações tomadas foram eficazes;
- realizar análises críticas regulares da eficácia do SGSI, levando em consideração:
- os resultados de auditorias de segurança da informação;
- os incidentes de segurança da informação;
- os resultados da análise de eficácia e medições;
- sugestões e realimentação de todas as partes interessadas;
- medir a eficácia dos controles para verificar que os requisitos de segurança da informação foram atendidos;
- analisar criticamente as análises/avaliações de riscos a intervalos planejados;
- analisar criticamente os riscos residuais e os níveis de riscos aceitáveis identificados;
- conduzir auditorias internas do SGSI a intervalos planejados;
- realizar uma análise crítica do SGSI pela direção em bases regulares para assegurar que o escopo permanece adequado e que os processos estão sendo melhorados;
- atualizar os planos de segurança da informação para levar em consideração os resultados das atividades de monitoramento e análise crítica;
- registrar ações e eventos que possam ter um impacto na eficácia ou no desempenho do SGSI;
- executar procedimentos de monitoração, análise crítica e outros controles para prontamente:
- Manter e melhorar o SGSI (Act) → a organização deve regularmente:
- implementar as melhorias identificadas no SGSI;
- aplicar as lições aprendidas de experiências de segurança da informação da própria e de outras organizações;
- executar as ações preventivas e corretivas apropriadas;
- comunicar as ações e melhorias a todas as partes interessadas com um nível de detalhe apropriado às circunstâncias, e se relevante, obter concordância sobre como proceder;
- assegurar-se de que as melhorias atinjam os objetivos pretendidos;
- Estabelecer o SGSI (Plan) → a organização deve:
- Sistema de gestão de segurança da informação – Parte II
- Requisitos de documentação → a documentação deve incluir:
- registros de decisões da direção, assegurar que as ações sejam rastreáveis às políticas e decisões da direção, e assegurar que os resultados registrados sejam reproduzíveis;
- declarações documentadas do escopo, da política e objetivos do SGSI;
- procedimentos e controles que apoiam o SGSI;
- uma descrição da metodologia de análise/avaliação de riscos;
- o relatório de análise/avaliação de riscos;
- o plano de tratamento de riscos;
- procedimentos para assegurar o planejamento efetivo, a operação, controle de seus processos e a medição da eficácia dos controles;
- a declaração de aplicabilidade;
- registro requeridos mencionados na norma;
- Controle de documentos → definição documentada de procedimentos com as ações de gestão necessárias para:
- aprovar documentos para adequação antes de sua emissão;
- analisar criticamente, atualizar e, quando necessário, reprovar documentos;
- assegurar que as alterações e a situação da revisão atual dos documentos sejam identificados;
- assegurar que as versões pertinentes de documentos aplicáveis estejam disponíveis nos locais de uso;
- assegurar que os documentos permaneçam legíveis e prontamente identificáveis;
- assegurar que os documentos estejam disponíveis àqueles que deles precisam;
- assegurar que os documentos sejam transferidos, armazenados e descartados conforme procedimentos aplicáveis a sua classificação;
- assegurar que os documentos de origem externa sejam identificados;
- assegurar que a distribuição de documentos seja controlada;
- prevenir o uso não intencional de documentos obsoletos;
- aplicar identificação adequada nos casos em que sejam retidos para qualquer propósito;
- Controle de registros → registros devem:
- ser estabelecidos e mantidos para fornecer evidências de conformidade aos requisitos e da operação eficaz do SGSI;
- levar em consideração quaisquer requisitos legais ou regulamentares pertinentes e obrigações contratuais;
- permanecer legíveis, prontamente identificáveis e recuperáveis;
- ser mantidos registros do desempenho do processo e de todas as ocorrências de incidentes de segurança da informação significativos;
- e deve-se também: documentar e implementar controles para a identificação, armazenamento, proteção, recuperação, tempo de retenção e disposição dos registros;
- Requisitos de documentação → a documentação deve incluir:
- Responsabilidade da direção
- Evidências do comprometimento da direção → a direção deve fornecer evidências do seu comprometimento com o SGSI por meio do(a):
- estabelecimento da política, dos planos e objetivos do SGSI;
- estabelecimento dos papéis e responsabilidades pela segurança da informação;
- comunicação à organização da importância em atender:
- os objetivos de segurança da informação;
- a conformidade com a política de segurança da informação;
- suas responsabilidades perante a lei;
- as necessidades de melhoria contínua;
- provisão de recursos suficientes para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI;
- definição de critérios para aceitação de riscos e dos níveis de riscos aceitáveis;
- garantia de que as auditorias internas do SGSI sejam realizadas;
- condução de análises críticas do SGSI pela direção;
- Gestão de recursos → a organização deve determinar e prover os recursos necessários para:
- estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI;
- assegurar que os procedimentos de segurança da informação apoiam os requisitos de negócio;
- identificar e tratar os requisitos legais e regulamentares e obrigações contratuais de segurança da informação;
- manter a segurança da informação adequada pela aplicação correta de todos os controles implementados;
- realizar análises críticas e, quando necessário, reagir adequadamente aos resultados destas análises críticas;
- melhorar a eficácia do SGSI quando for requerido;
- Treinamento, conscientização e competência → a organização deve assegurar que todo o pessoal responsável seja competente para desempenhar as atividades, como:
- determinar as competências necessárias para o pessoal que executa trabalhos que afetam o SGSI;
- fornecer treinamento ou ações relacionadas para satisfazer essas necessidades;
- avaliar a eficácia das ações de treinamento executadas;
- manter registros de educação, treinamento, habilidades, experiências e qualificações;
- conscientizar sobre a relevância e importância das atividades de segurança da informação de todo o pessoal pertinente;
- Evidências do comprometimento da direção → a direção deve fornecer evidências do seu comprometimento com o SGSI por meio do(a):
- Auditorias internas do SGSI
- Conduzir auditorias internas do SGSI a intervalos regulares → para determinar se os objetivos de controles, controles, processos e procedimentos:
- atendem aos requisitos desta norma e à legislação ou regulamentações pertinentes;
- atendem aos requisitos de segurança da informação identificados;
- estão mantidos e implementados eficazmente;
- são executados conforme esperado;
- Planejar um programa de auditoria → considerando:
- a situação e a importância dos processos e áreas a serem auditadas, bem como os resultados de auditorias anteriores;
- os critérios da auditoria, escopo, frequência e métodos definidos;
- a seleção dos auditores e a execução das auditorias baseadas em objetividade e imparcialidade a partir do processo de auditoria;
- a não auditoria do seu próprio trabalho;
- as ações sejam executadas, sem demora indevida, asseguradas pelo responsável da área, para eliminar as não-conformidades detectadas e suas causas;
- Conduzir auditorias internas do SGSI a intervalos regulares → para determinar se os objetivos de controles, controles, processos e procedimentos:
- Análise crítica do SGSI pela direção
- Análise crítica a direção → a direção deve analisar criticamente o SGSI a intervalos regulares, ao menos uma vez ao ano, e:
- assegurar a contínua pertinência, adequação e eficácia do SGSI;
- incluir a avaliação de oportunidades para a melhoria e a de necessidades de mudanças do SGSI, da política e dos objetivos;
- claramente documentar os resultados e manter os registros;
- Entradas → as entradas da análise crítica pela direção devem incluir:
- resultados de auditorias internas do SGSI de análises críticas;
- a realimentação das partes interessadas;
- as técnicas, produtos ou procedimentos que podem ser usados na organização para melhorar o desempenho e a eficácia do SGSI;
- situação das ações preventivas e corretivas;
- vulnerabilidades ou ameaças não contempladas adequadamente nas análises/avaliações de risco anteriores;
- resultados da eficácia das medições;
- acompanhamento das ações oriundas de análises críticas anteriores pela direção;
- quaisquer mudanças que possam afetar o SGSI;
- as recomendações para melhoria;
- Saídas → as saídas da análise crítica pela direção devem incluir:
- a melhoria da eficácia do SGSI;
- a atualização da análise/avaliação de riscos e do plano de tratamento de riscos;
- a modificação de procedimentos e controles que afetem a segurança da informação, quando necessário, para responder a eventos internos e externos;
- necessidades de recursos;
- melhoria de como a eficácia dos controles está sendo medida
- Análise crítica a direção → a direção deve analisar criticamente o SGSI a intervalos regulares, ao menos uma vez ao ano, e:
- Melhoria do SGSI
- Melhoria contínua → a organização deve continuamente melhorar a eficácia do SGSI por meio do uso:
- da política de segurança da informação;
- dos objetos de segurança da informação;
- dos resultados de auditorias;
- das análises de eventos monitorados;
- de ações corretivas e preventivas;
- da análise críticas da direção;
- Ações corretivas → a organização deve executar ações corretivas para eliminar as causas de não-conformidades com os requisitos do SGSI de forma a evitar sua repetição, como:
- identificar não-conformidades e determinar suas causas;
- avaliar a necessidade de ações para assegurar que aquelas não-conformidades não ocorram novamente;
- determinar e implementar as ações corretivas necessárias;
- analisar criticamente as ações corretivas executadas;
- registrar os resultados das ações executadas;
- Ações preventivas → a organização deve executar ações preventivas para eliminar causas de não-conformidades potenciais com os requisitos do SGSI de forma evitar sua ocorrência, como:
- identificar não-conformidades potenciais e determinar suas causas;
- avaliar a necessidade de ações para evitar a ocorrência de não-conformidades;
- determinar e implementar as ações preventivas necessárias;
- analisar criticamente as ações preventivas executadas;
- registrar os resultados de ações executadas;
- Melhoria contínua → a organização deve continuamente melhorar a eficácia do SGSI por meio do uso:
Controles para a Gestão de Segurança da Informação
- Norma 27.002 → Práticas para a gestão de Segurança da Informação;
- tem como objetivo identificar os riscos e implantar controles que de forma efetiva torne-os gerenciáveis e minimizados;
- não há garantias que estes controles tornem a segurança inviolável, mas procura reduzir os riscos a nível aceitável pela organização;
- apresenta orientações efetivas para o processo de segurança da informação na organização e os principais elementos desse processo que devem ser desenvolvidos e implantados;
- os requisitos de segurança da informação são identificados por meio de uma análise/avaliação sistemática dos riscos de segurança da informação;
- os gastos com os controles precisam ser compatíveis com os danos causados ao negócio gerados pelas potenciais falhas na segurança da informação;
- a seleção de controle de segurança da informação depende das decisões da organização, baseadas nos critérios para aceitação de risco;
- Introdução
- A informação
- A informação, seja impressa, eletrônica ou falada, é um ativo que é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegida para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio;
- A segurança da informação decorre da implementação de conjunto de controles adequados, como políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware, que precisam ser estabelecidos, implementados, operados, monitoramentos, analisados criticamente, mantidos e melhorados;
- Controles iniciais → controles aplicáveis a maioria das organizações, entretanto recomenda-se selecionar controles a partir da análise/avaliação de riscos;
- Controles essenciais e legais
- proteção de dados e privacidade de informações pessoais;
- proteção de registros organizacionais;
- direitos de propriedade intelectual;
- Controles e práticas
- elaborar documento de política de segurança da informação;
- atribuir responsabilidades para a segurança da informação;
- conscientizar, educar e treinar em segurança da informação;
- processamento correto nas aplicações;
- gestão de vulnerabilidades técnicas;
- gestão da continuidade do negócio;
- gestão de incidentes e melhorias em segurança da informação;
- Controles essenciais e legais
- Fatores críticos de sucesso
- política de segurança da informação, com objetivos e atividades que reflitam os objetivos de negócio;
- uma abordagem consistente com a cultura da organização;
- comprometimento e apoio visível dos níveis gerenciais;
- bom entendimento dos requisitos de segurança da informação, da análise/avaliação e da gestão de riscos;
- divulgação eficiente da segurança da informação para todas as partes envolvidas;
- distribuição de diretrizes e normas sobre a política de segurança da informação para todas as partes envolvidas;
- provisão de recursos financeiros para as atividades de gestão da segurança da informação;
- conscientização, treinamento e educação adequados;
- estabelecimento de um eficiente processo de gestão de incidentes de segurança da informação;
- implementação de um sistema de medição (avalia o desempenho da gestão da segurança da informação e propõe melhorias);
- A informação
- Objetivos
- Estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar (IIManMe) a gestão de segurança da informação em uma organização;
- Termos e definições
- Ativo
- qualquer coisa que tenha valor para a organização;
- Controle
- é a forma de gerenciar o risco, como políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais;
- podem ter natureza administrativa, técnica, de gestão ou legal;
- Diretriz
- descrição que orienta o que deve ser feito e como para se alcançar os objetivos estabelecidos nas políticas;
- Recursos de processamento da informação
- qualquer sistema de processamento da informação, serviço ou infraestrutura, ou instalações físicas que os abriguem;
- Segurança da informação
- preservação da confidencialidade, integridade e disponibilidade da informação; e adicionalmente autenticidade, responsabilidade, não repúdio e confiabilidade;
- Evento de segurança da informação
- ocorrência identificada de alteração do estado um sistema, serviço ou rede que indica:
- possível violação da PSI, ou;
- falha nos controles, ou;
- situação previamente desconhecida;
- ocorrência identificada de alteração do estado um sistema, serviço ou rede que indica:
- Incidente de segurança da informação
- um simples ou série de eventos de segurança da informação indesejados ou inesperados;
- com grande probabilidade de comprometer as operações do negócio;
- Política
- intenções e diretrizes globais e formalmente expressas pela direção;
- Risco
- combinação da probabilidade de um evento e de duas consequências;
- a probabilidade de uma fonte de ameaça explorar uma vulnerabilidade e resultar em um impacto para a organização;
- Análise do riscos
- uso sistemático de informações para identificar fontes e estimar o risco, envolve a observação inicial da situação;
- Avaliação de riscos
- compara-se o risco estimado com critérios pré-definidos para determinar a importância do risco;
- Análise e avaliação de riscos
- uso sistemático de informações para identificar fontes e estimar o risco, e;
- compara-se o risco estimado com critérios pré-definidos para determinar a importância do risco;
- Gestão de riscos
- atividades coordenadas para direcionar e controlar uma organização no que tange a riscos;
- definição de contexto, e análise/avaliação, tratamento, aceitação e comunicação de riscos;
- Tratamento de riscos
- processo de seleção e implementação de medidas para modificar um risco;
- Terceira parte
- pessoa ou organismo reconhecido como independente das partes envolvidas, referente a um dado assunto;
- Ameaça
- causa potencial de um incidente indesejado que possa provocar dano a um sistema ou organização;
- mediante a exploração de uma determinada vulnerabilidade;
- Vulnerabilidade
- fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças;
- Ativo
- Estrutura da norma → a norma é formada:
- seções iniciais;
- seção preliminar que trata a análise/avaliação e o tratamento de riscos;
- 11 seções de controles de segurança da informação;
- 39 categorias principais de controles;
- 39 objetivos de controles, um para cada categoria principal, que define o que deve ser alcançado;
- 113 controles;
- não há ordenação;
- estrutura da seções: objetivo de controle, controle, diretrizes e informações adicionais;
- Análise/Avaliação e tratamento de riscos → convém que:
- identifiquem, quantifiquem e priorizem os riscos com base em critérios para aceitação dos riscos e dos objetivos relevantes para a organização;
- inclua um enfoque sistemático de estimar a magnitude do risco (análise de risco);
- inclua um processo para comparar os riscos estimados contra os critérios de risco para determinar a significância do risco (avaliação do risco);
- sejam realizadas periodicamente, para contemplar as mudanças nos requisitos de segurança da informação e na situação do risco;
- sejam realizadas a partir de mudanças significativa no ambiente;
- definir os critérios de aceitação de risco antes de realizar o tratamento dos riscos;
- uma decisão de tratamento seja tomada para cada risco identificado;
- opções de tratamento do risco:
- aplicar controles para redução do risco;
- conhecer objetivamente e aceitar o risco;
- evitar os riscos, proibindo ações que possam causar o risco;
- transferir para outras partes;
- Atenção: a análise/avaliação de riscos resulta na seleção de adequada de controles!
Seções, categoria de controle, objetivo dos controles e controles
- Política de segurança da informação
- Política de segurança da informação → provê uma orientação da direção para a segurança da informação com foco no requisitos do negócio e conformidade com leis e regulamentações;
- Documento da política de segurança da informação
- convém que um documento da PSI seja aprovado pela direção, publicado e comunicado a todos as partes interessadas;
- Análise crítica da política de segurança da informação
- convém que a PSI seja analisada criticamente para assegurar a sua contínua pertinência, adequação e eficácia;
- Documento da política de segurança da informação
- Política de segurança da informação → provê uma orientação da direção para a segurança da informação com foco no requisitos do negócio e conformidade com leis e regulamentações;
- Organização da segurança da informação
- Infraestrutura da segurança da informação → gerenciar a infraestrutura dentro da organização;
- Comprometimento da direção com a segurança da informação
- convém que a direção apoie ativamente a segurança da informação dentro da organização;
- por meio de um claro direcionamento, demonstrando seu comprometimento, definindo explicitamente atribuições e conhecendo as responsabilidades;
- Coordenação da segurança da informação
- convém que as atividades de segurança da informação;
- sejam coordenadas por representantes de diferentes partes da organização com funções e papéis relevantes;
- Atribuição de responsabilidade para a segurança da informação
- convém que todas as responsabilidades estejam claramente definidas, e;
- que os responsáveis possuam poderes necessários para a implementação e operação dos controles;
- a fim de viabilizar o atendimento aos requisitos de segurança;
- Processo de autorização para os recursos de processamento da informação
- convém que seja definido e implementado um processo de gestão de autorização para os novos recursos de processamento da informação;
- Acordos de confidencialidade
- convém que os requisitos para confidencialidade ou acordos de não divulgação reflitam as necessidade da organização;
- sejam identificados, analisados criticamente e revisados de forma regular;
- Contato com autoridades
- convém que contatos apropriados com autoridades relevantes sejam mantidos;
- Contrato com grupos especiais
- convém que sejam mantidos contatos apropriados com grupos de interesses especiais, ou;
- outros fóruns especializados em segurança da informação e associações profissionais;
- Comprometimento da direção com a segurança da informação
- Partes externas → manter a segurança dos recursos de processamento da informação e da informação da organização que são acessados, processados ou gerenciados por partes externas;
- Identificação dos riscos relacionados com partes externas
- convém que os riscos relacionados a partes externas sejam identificados e sejam implementados controles apropriados antes de se conceder o acesso;
- quando envolvam recursos de processamento da informação e informação da organização oriundos de processos de negócio;
- Identificar requisitos de segurança da informação quando tratando com clientes
- convém que todos os requisitos de segurança da informação identificados sejam considerados;
- antes de conceder aos clientes o acesso aos ativos ou às informações da organização;
- Identificar requisitos de segurança da informação nos acordos com terceiros
- convém que os acordos com terceiros cubram todos os requisitos relevantes de segurança da informação;
- quando envolvem o acesso, processamento, comunicação ou;
- gerenciamento de recursos de processamento da informação, informação da organização, ou;
- acréscimo de produtos ou serviços aos recursos de processamento da informação;
- Identificação dos riscos relacionados com partes externas
- Infraestrutura da segurança da informação → gerenciar a infraestrutura dentro da organização;
- Gestão de ativos
- Responsabilidade pelos ativos → alcançar e manter a proteção adequada dos ativos da organização;
- Inventários dos ativos
- convém que todos os ativos sejam claramente identificados e;
- seja estruturado e mantido um inventário de todos os ativos importantes;
- Proprietário dos ativos
- convém que todas as informações e ativos associados com os recursos de processamento da informação;
- tenham um proprietário designado por uma parte definida da organização;
- a fim de que seja responsável pela implementação dos controles de segurança, ainda que a implantação seja delegada;
- Uso aceitável dos ativos
- convém que sejam identificadas, documentadas e implementadas regras;
- a fim de que sejam permitidos o uso de informações e de ativos associados aos recursos de processamento da informação;
- Inventários dos ativos
- Classificação da informação → assegurar que a informação receba um nível adequado de proteção;
- Recomendações para classificação
- convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização;
- seja efetuada pelo proprietário do ativo;
- Rótulos e tratamento da informação
- convém que um conjunto apropriado de procedimentos para rotulação e tratamento da informação seja definido e implementado de acordo com o esquema de classificação;
- Recomendações para classificação
- Responsabilidade pelos ativos → alcançar e manter a proteção adequada dos ativos da organização;
- Segurança em recursos humanos
- Antes da contratação → assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com seus papéis a fim de reduzir o risco de roubo, fraude ou mau uso dos recursos;
- Papéis e responsabilidades
- convém que papéis e responsabilidades pela segurança da informação de funcionários, fornecedores e terceiros sejam identificados e documentados de acordo com a PSI;
- Seleção
- convém que verificações de controle de todos os candidatos a empregos, fornecedores e terceiros sejam realizadas de acordo com as leis relevantes, regulamentações e éticas;
- de forma proporcional: aos requisitos do negócio, à classificação das informações a serem acessadas e aos riscos percebidos;
- Termos e condições de contratações
- como parte das suas obrigações contratuais, convém que os funcionários, fornecedores e terceiros concordem e assinem os termos e condições de sua contratação para o trabalho;
- os quais devem declarar suas responsabilidades e a da organização para a segurança da informação;
- Papéis e responsabilidades
- Durante a contratação → assegurar que os funcionários, fornecedores e terceiros estão conscientes das ameaças e preocupações relativas à segurança da informação, suas responsabilidades e obrigações, e preparados para a apoiar a PSI da organização durante os seus trabalhos normais a fim de reduzir o risco de erro humano;
- Responsabilidades da direção
- convém que a direção solicite aos funcionários, fornecedores e terceiros que:
- pratiquem a segurança da informação de acordo com o estabelecido nas políticas e procedimentos da organização;
- Conscientização, educação e treinamento em segurança da informação
- convém que todos os funcionários da organização e, onde pertinente, fornecedores e terceiros que:
- recebam treinamento apropriado em conscientização, atualizações regulares nas políticas e procedimentos organizacionais relevantes para suas funções;
- Processo disciplinar
- convém que exista um processo disciplinar formal para os funcionários que tenham cometido uma violação da segurança da informação;
- Responsabilidades da direção
- Encerramento ou mudança da contratação → assegurar que funcionários, fornecedores e terceiros deixem a organização ou mudem de função de forma ordenada;
- Encerramento de atividades
- convém que responsabilidades para realizar o encerramento ou a mudança de um trabalho sejam claramente definidas e atribuídas;
- Devolução de ativos
- convém que todos os funcionários, fornecedores e terceiros devolvem todos os ativos da organização que estejam em sua posse;
- após o encerramento de suas atividades, do contrato ou acordo;
- Retirada dos direitos de acesso
- convém que os direitos de acesso de todos os funcionários, fornecedores e terceiros à informações e aos recursos de processamento de informação;
- sejam retirados após o encerramento de suas atividades, contratos ou acordos, ou ajustado após a mudança destas atividades;
- Encerramento de atividades
- Antes da contratação → assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com seus papéis a fim de reduzir o risco de roubo, fraude ou mau uso dos recursos;
- Segurança física e do ambiente
- Áreas seguras → prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização;
- Perímetro de segurança física
- convém que sejam utilizados perímetros de segurança para proteger as áreas que contenham informações e instalações de processamento de informação;
- Controles de entrada física
- convém que as áreas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso;
- Segurança em escritórios, salas e instalações
- convém que escritórios, salas e instalações sejam projetados e aplicada a segurança física;
- Proteção contra ameaças externas e do meio ambiente
- convém que sejam projetadas e aplicadas proteção física contra:
- incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e outras formas de desastres naturais ou causados pelo homem;
- Trabalhando em área seguras
- convém que seja projetada e aplicada proteção física, bem como diretrizes para o trabalho em áreas seguras;
- Acesso público, áreas de entrega e de carregamento
- convém que os pontos de acesso sejam controlados e, se possível, isolados das instalações de processamento da informação, para evitar o acesso não autorizado;
- tais como áreas de entrega e de carregamento e outros pontos em que pessoas não autorizadas possam entrar nas instalação;
- Perímetro de segurança física
- Segurança de equipamentos → impedir perdas, danos, furtos ou comprometimento de ativos e que causem interrupção das atividades da organização;
- Instalação e proteção de equipamentos
- convém que os equipamentos sejam protegidos para reduzir os riscos de ameaças, perigos do meio ambiente e oportunidades de acesso não autorizado;
- Utilidades
- convém que os equipamentos sejam protegidos contra falta de energia elétrica e outras interrupções causadas por falhas das utilidades;
- Segurança do cabeamento
- convém que o cabeamento de energia e de telecomunicações que transporta dados ou dá suporte aos serviços de informações seja protegido contra interceptação ou danos;
- Manutenção dos equipamentos
- convém que os equipamentos tenham uma manutenção correta para assegurar sua disponibilidade e integridade permanentes;
- Segurança de equipamentos fora das dependências da organização
- convém que sejam tomadas medidas de segurança para equipamentos que operem fora do local;
- levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependências da organização;
- Reutilização e alienação segura de equipamentos
- convém que todos os equipamentos que contenham mídias de armazenamento de dados sejam examinadas antes do descarte;
- a fim de assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos ou sobregravados com segurança;
- Remoção de propriedade
- convém que os equipamentos, informações ou software não sejam retirados do local sem autorização prévia;
- Instalação e proteção de equipamentos
- Áreas seguras → prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização;
- Gerenciamento das operações e comunicações
- Procedimentos e responsabilidades operacionais → assegurar a operação segura e correta dos recursos de processamento da informação;
- Documentação dos procedimentos de operação
- convém que os procedimentos de operação sejam documentados, mantidos atualizados e disponíveis a todos os usuários que deles necessitem;
- Gestão de mudanças
- convém que modificações nos recursos de processamento da informação e sistema sejam controladas;
- Segregação de funções
- convém que funções e áreas de responsabilidades sejam segregadas;
- a fim de reduzir as oportunidades de modificação ou uso indevido não autorizado ou não intencional dos ativos da organização;
- Separação dos recursos de desenvolvimento, teste e de produção
- convém que recursos de desenvolvimento, teste e produção sejam separados;
- a fim de reduzir o risco de acessos ou modificações não autorizadas aos sistemas operacionais;
- Documentação dos procedimentos de operação
- Gerenciamento de serviços terceirizados → implementar e manter o nível apropriado de segurança da informação e de entrega de serviços em consonância com acordos de entrega de serviços terceirizados;
- Entrega de serviços
- convém que seja garantido que os controles da segurança, as definições de serviço e os níveis de entrega incluídos no acordo de entrega de serviços terceirizados;
- sejam implementados, executados e mantidos pelo terceiro;
- Monitoramento e análise crítica de serviços terceirizados
- convém que os serviços, relatórios e registros fornecidos por terceiro;
- sejam regularmente monitorados e analisados criticamente, e que auditorias sejam executadas regularmente;
- Gerenciamento de mudanças para serviços terceirizados
- convém que mudanças no provisionamento dos serviços, incluindo manutenção e melhoria da PSI, de procedimentos e controles existentes;
- sejam gerenciados levando-se em conta a criticidade dos sistemas e processos de negócio envolvidos e a reanálise/reavaliação de riscos;
- Entrega de serviços
- Planejamento e aceitação de sistemas → minimizar o risco de falhas nos sistemas;
- Gestão de capacidade
- convém que a utilização dos recursos seja monitorada e sincronizada e as projeções feitas para necessidades de capacidade futura;
- a fim de garantir o desempenho requerido do sistema;
- Aceitação de sistemas
- convém que sejam estabelecidos critérios de aceitação para novos sistemas, atualizações e novas versões;
- bem como sejam efetuados testes apropriados dos sistemas durante seu desenvolvimento e antes de sua aceitação;
- Gestão de capacidade
- Proteção contra códigos maliciosos e códigos móveis → proteger a integridade do software e da informação;
- Controles contra códigos maliciosos
- convém que sejam implantados controles de detecção, prevenção e recuperação;
- a fim de proteger contra códigos maliciosos, assim como procedimentos para a devida conscientização dos usuários;
- Controles contra códigos móveis
- convém que a configuração garanta que o código móvel autorizado opere de acordo com uma PSI claramente definida;
- bem como que códigos móveis não autorizados tenham sua execução impedida;
- Controles contra códigos maliciosos
- Cópias de segurança → manter a integridade e disponibilidade da informação e dos recursos de processamento de informação;
- Cópias de segurança das informações
- convém que as cópias de segurança das informações e dos softwares sejam efetuadas e testadas regularmente conforme a política de geração de cópias de segurança definida;
- Cópias de segurança das informações
- Gerenciamento da segurança em redes → assegurar a proteção das informações em redes e a proteção da infraestrutura de suporte;
- Controle de redes
- convém que as redes sejam adequadamente gerenciadas e controladas;
- a fim de protegê-las contra ameaças e manter a segurança de sistemas e aplicações que utilizam estas redes, incluindo a informação em trânsito;
- Segurança dos serviços de rede
- convém que as características de segurança, níveis de serviço e requisitos de gerenciamento dos serviços de rede;
- sejam identificados e incluídos em qualquer acordo de serviços de rede, tanto para serviços de rede providos internamente ou terceirizados;
- Controle de redes
- Manuseio de mídias → prevenir contra divulgação não autorizada, modificação, remoção ou destruição aos ativos e interrupções das atividades do negócio;
- Gerenciamento de mídias removíveis
- convém que existam procedimentos implementados para o gerenciamento de mídias removíveis;
- Descarte de mídias
- convém que as mídias sejam descartadas de forma segura e protegida quando não forem mais necessárias por meio de procedimentos formais;
- Procedimentos para tratamento de informação
- convém que sejam estabelecidos procedimentos para o tratamento e armazenamento de informações;
- a fim de proteger tais informações contra a divulgação não autorizada ou uso indevido;
- Segurança da documentação dos sistemas
- convém que a documentação dos sistemas seja protegida contra acessos não autorizados;
- Gerenciamento de mídias removíveis
- Troca de informação → manter a segurança da informação transferida dentro da organização e com e entidades externas;
- Política e procedimentos para troca de informações
- convém que políticas, procedimentos e controles sejam estabelecidos e formalizados;
- a fim de proteger a troca de informação em todos os tipos de recursos de comunicação;
- Acordos para a troca de informações
- convém que sejam estabelecidos acordos para a troca de informações e softwares entre a organização e entidades externas;
- Mídias em trânsito
- convém que mídias contendo informações sejam protegidas contra acesso não autorizado, uso impróprio ou alteração indevida durante o transporte externo aos limites físicos da organização;
- Mensagens eletrônicas
- convém que as informações que trafegam em mensagens eletrônicas sejam adequadamente protegidas;
- Sistemas de informações do negócio
- convém que políticas e procedimentos sejam desenvolvidos e implementados para proteger as informações associadas com a interconexão de sistemas de informações do negócio;
- Política e procedimentos para troca de informações
- Serviços de comércio eletrônico → assegurar a segurança de serviços de comércio eletrônico e sua utilização segura;
- Comércio eletrônico
- convém que as informações envolvidas em comércio eletrônico transitando sobre redes públicas;
- sejam protegidas de atividades fraudulentas, disputas contratuais e divulgação e modificações não autorizadas;
- Transações on-line
- convém que informações envolvidas em transações on-line sejam protegidas;
- a fim de prevenir transmissões incompletas, erros de roteamento, alterações não autorizadas de mensagens, divulgação não autorizada, duplicação ou reapresentação de mensagem não autorizada;
- Informações publicamente disponíveis
- convém que a integridade das informações disponibilizadas em sistemas publicamente acessíveis seja protegida para prevenir modificações não autorizadas;
- Comércio eletrônico
- Monitoramento → detectar atividades não autorizadas de processamento da informação;
- Registros de auditoria
- convém que registros de auditoria contendo atividades do usuário, exceções e outros eventos de segurança da informação;
- sejam produzidos e mantidos por um período de tempo acordado para auxiliar em futuras investigações e monitoramento de controle de acesso;
- Monitoramento do uso do sistema
- convém que sejam estabelecidos procedimentos para o monitoramento do uso dos recursos de processamento da informação, e;
- os resultados das atividades de monitoramento sejam analisados criticamente, de forma regular;
- Proteção das informações dos registros
- convém que os recursos e informações de registros sejam protegidos contra falsificação e acesso não autorizado;
- Registros de administrador e operador
- convém que as atividades dos administradores e operadores do sistema sejam registradas;
- Registro de falhas
- convém que as falhas ocorridas sejam registradas e analisadas, e que sejam adotadas ações apropriadas;
- Sincronização dos relógios
- convém que os relógios de todos os sistemas de processamento de informações relevantes sejam sincronizados de acordo com uma hora oficial;
- Registros de auditoria
- Procedimentos e responsabilidades operacionais → assegurar a operação segura e correta dos recursos de processamento da informação;
- Controle de acesso
- Requisitos do negócio para controle de acesso → controlar e limitar o acesso à informação a partir dos requisitos do negócio;
- Política de controle de acesso
- convém que a política de controle de acesso seja estabelecida, documentada e analisada criticamente;
- tomando-se por base os requisitos de acesso dos negócios e a segurança da informação;
- Política de controle de acesso
- Gerenciamento de acesso do usuário → assegurar o acesso de usuários autorizados e prevenir acesso não autorizado a sistemas de informação;
- Registro de usuário
- convém que exista um procedimento formal de registro e cancelamento de usuário para garantir a revogação de acessos em todos os sistema de informação e serviços;
- Gerenciamento de privilégios
- convém que a concessão e o uso de privilégios sejam restritos e controlados;
- Gerenciamento de senha do usuário
- convém que a concessão de senhas seja controlada por meio de um processo de gerenciamento formal;
- Análise crítica dos direitos de acesso de usuário
- convém que o gestor conduza a intervalos regulares a análise crítica dos direitos de acesso dos usuários por meio de um processo formal;
- Registro de usuário
- Responsabilidades dos usuários → prevenir o acesso não autorizado dos usuários e evitar o comprometimento ou roubo da informação e dos recursos de processamento da informação;
- Uso de senhas
- convém que os usuários sejam solicitados a seguir as boas práticas de segurança da informação na seleção e uso de senhas;
- Equipamentos de usuário sem monitoração
- convém que os usuários asseguram que os equipamentos não monitorados tenham proteção adequada;
- Política de mesa limpa e tela limpa
- convém que seja adotada uma política de mesa limpa de papéis e mídias de armazenamento removível e política de tela limpa para os recursos de processamento da informação;
- Uso de senhas
- Controle de acesso a rede → prevenir acesso não autorizado aos serviços de rede;
- Política de uso dos serviços de rede
- convém que os usuários recebam acesso somente para os serviços que tenham sido especificamente autorizados a usar;
- Autenticação para conexão externa do usuário
- convém que métodos apropriados de autenticações sejam usados para controlar acesso de usuários remotos;
- Identificação de equipamentos em redes
- convém que sejam consideradas as identificações automáticas de equipamentos como um meio de autenticar conexões vindas de localizações e equipamentos específicos;
- Proteção e configuração de portas de diagnóstico remotas
- convém que seja controlado o acesso físico e lógico das portas de diagnóstico e configuração;
- Segregação de redes
- convém que grupos de serviços de informação, usuário e sistemas de informação sejam segregados em redes;
- Controle de conexão de rede
- convém que a capacidade dos usuários para conectar-se à rede seja restrita, alinhada com a política de controle de acesso e os requisitos das aplicações do negócio;
- para redes compartilhadas, especialmente essas que se estendem pelos limites da organização;
- Controle de roteamento de redes
- convém que seja implementado controle de roteamento na rede;
- a fim de assegurar que as conexões de computador e fluxo de informações não violem a política de controle de acesso das aplicações do negócio;
- Política de uso dos serviços de rede
- Controle de acesso ao sistema operacional → prevenir acesso não autorizado aos sistemas operacionais;
- Procedimentos seguros de entrada no sistema
- convém que o acesso aos sistemas operacionais seja controlado por um procedimento seguro de entrada no sistema;
- Identificação e autenticação de usuário
- convém que todos os usuários tenham um identificador único para uso pessoal e exclusivo;
- convém que uma técnica adequada de autenticação seja escolhido para validar a identidade alegada por um usuário;
- Sistema de gerenciamento de senha
- convém que seja estabelecido um sistema de gerenciamento de senhas que assegurem senhas de qualidade;
- Uso de utilitários de sistema
- convém que seja restrito e estritamente controlado o uso de programas utilitários que podem ser capazes de sobrepor os controles dos sistemas e aplicações;
- Desconexão de terminal por inatividade
- convém que terminais inativos sejam desconectados após um período definido de inatividade;
- Limitação de horário de conexão
- convém que restrições de horário de conexão sejam utilizadas para proporcionar segurança adicional para aplicações de alto risco;
- Procedimentos seguros de entrada no sistema
- Controle de acesso à aplicação e à informação → prevenir acesso não autorizado à informação contida nos sistemas;
- Restrição de acesso à informação
- convém que o acesso à informação e às funções dos sistemas de aplicações por usuários e pessoal de suporte seja restrito de acordo com o definido na política de controle de acesso;
- Isolamento de sistemas sensíveis
- convém que sistemas sensíveis tenham um ambiente computacional dedicado;
- Restrição de acesso à informação
- Computação móvel e trabalho removo → garantir a segurança da informação quando se utilizam a computação móvel e recursos de trabalho remoto;
- Computação e comunicação móvel
- convém que uma política formal seja estabelecida e que medidas de segurança apropriadas sejam adotadas;
- a fim de proteger contra os riscos do uso de recursos de computação e comunicação móveis;
- Trabalho remoto
- convém que uma política, planos operacionais e procedimentos sejam desenvolvidos e implementados para atividades de trabalho remoto;
- Computação e comunicação móvel
- Requisitos do negócio para controle de acesso → controlar e limitar o acesso à informação a partir dos requisitos do negócio;
- Aquisição, desenvolvimento e manutenção de sistemas
- Requisitos de segurança de sistemas de informação → garantir que a segurança da informação seja integrante de todo ciclo de vida dos sistemas;
- Análise e especificação dos requisitos de segurança
- convém que sejam incluídos requisitos para controles de segurança nas especificações de requisitos de negócio;
- para novos sistemas de informação ou melhorias em sistemas existentes;
- Análise e especificação dos requisitos de segurança
- Processamento correto nas aplicações → prevenir a ocorrência de erros, perdas, modificações não autorizadas ou mau uso de informações em aplicações;
- Validação dos dados de entrada
- convém que os dados de entrada de aplicações sejam validados;
- a fim de garantir que são corretos e apropriados;
- Controle do processamento interno
- convém que sejam incorporadas, nas aplicações, checagens de validação com o objetivo de detectar qualquer corrupção de informações por erros ou por ações deliberadas;
- Integridade de mensagens
- convém que requisitos para garantir a autenticidade e proteger a integridade das mensagens em aplicações;
- sejam identificados e os controles apropriados sejam identificados e implementados;
- Validação de dados de saída
- convém que os dados de saída das aplicações;
- sejam validados para assegurar que o processamento das informações armazenadas está correto e é apropriado às circunstâncias;
- Validação dos dados de entrada
- Controles criptográficos → assegurar o uso apropriado de meios criptográficos para proteger a confidencialidade, a autenticidade e/ou a integridade da informação;
- Política para o uso de controles criptográficos
- convém que seja desenvolvida e implementada uma política para o uso de controles criptográficos para a proteção da informação;
- Gerenciamento de chaves
- convém que um processo de gerenciamento de chaves seja implantado para apoiar o uso de técnicas criptográficas pela organização;
- Política para o uso de controles criptográficos
- Segurança dos arquivos de sistema → garantir a segurança da informação dos arquivos de sistema;
- Controle de software operacional
- convém que procedimentos para controlar a instalação de software em sistemas operacionais sejam implementados;
- Proteção dos dados para teste de sistema
- convém que os dados de teste sejam selecionados com cuidado, protegidos e controlados;
- Controle de acesso ao código-fonte de programa
- convém que o acesso ao código-fonte de programa seja restrito;
- Controle de software operacional
- Segurança em processos de desenvolvimento e suporte → manter a segurança da informação e dos sistemas;
- Procedimentos para controle de mudanças
- convém que a implementação de mudanças seja controlada utilizando procedimentos formais de controle de mudanças;
- Análise crítica técnica das aplicações após mudanças no sistema operacional
- convém que aplicações críticas de negócios sejam analisadas criticamente e testadas quando sistemas operacionais são mudados;
- a fim de garantir que não haverá impacto adverso na operação da organização ou na segurança;
- Restrições sobre mudanças em pacotes de software
- convém que modificações em pacotes de software não sejam incentivadas e limitadas às mudanças necessárias e que todas as mudanças sejam estritamente controladas;
- Vazamento de informações
- convém que oportunidades para vazamento de informações sejam prevenidas;
- Desenvolvimento terceirizado de software
- convém que a organização supervisione e monitore o desenvolvimento terceirizado de software;
- Procedimentos para controle de mudanças
- Gestão de vulnerabilidades técnicas → reduzir riscos resultantes da exploração de vulnerabilidades técnicas conhecidas;
- Controle de vulnerabilidades técnicas
- convém que seja obtida informação em tempo hábil sobre vulnerabilidades técnicas dos sistemas de informação em uso;
- bem como avaliar a exposição da organização a estas vulnerabilidades e tomar medidas apropriadas para lidar com os riscos associados;
- Controle de vulnerabilidades técnicas
- Requisitos de segurança de sistemas de informação → garantir que a segurança da informação seja integrante de todo ciclo de vida dos sistemas;
- Gestão de incidentes de segurança da informação
- Notificação de fragilidades e eventos de segurança da informação → assegurar que fragilidades e eventos de segurança da informação associados com sistema de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil;
- Notificação de eventos de segurança da informação
- convém que os eventos de segurança da informação sejam relatados por meio dos canais apropriados da direção, o mais rapidamente possível;
- Notificação de fragilidades de segurança da informação
- convém que os funcionários, fornecedores e terceiros de sistemas e serviços de informação sejam instruídos a registrar e notificar qualquer observação ou suspeita de fragilidades em sistema ou serviços;
- Notificação de eventos de segurança da informação
- Gestão de incidentes de segurança da informação e melhorias → assegurar que um enfoque consistente e efetivo seja aplicado à gestão de incidentes de segurança da informação;
- Responsabilidades e procedimentos
- convém que responsabilidades e procedimentos de gestão sejam estabelecidos;
- a fim de assegurar respostas rápidas, efetivas e ordenadas a incidentes de segurança da informação;
- Aprender com os incidentes de segurança da informação
- convém que sejam estabelecidos mecanismos para permitir que tipos, quantidades e custos dos incidentes de segurança da informação sejam quantificados e monitorados;
- Coleta de evidências
- convém que evidências sejam coletadas, armazenadas e apresentadas em conformidade com as normas pertinentes de armazenamento de evidências da jurisdição;
- nos casos em que uma ação contra uma pessoa ou organização, após um incidente de segurança da informação, envolva uma ação legal;
- Responsabilidades e procedimentos
- Notificação de fragilidades e eventos de segurança da informação → assegurar que fragilidades e eventos de segurança da informação associados com sistema de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil;
- Gestão da continuidade do negócio
- Aspectos da gestão da continuidade do negócio relativos à segurança da informação → não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso;
- Incluir segurança da informação no processo de gestão da continuidade de negócio
- convém que um processo de gestão seja desenvolvido e mantido para assegurar a continuidade do negócio por toda a organização, e;
- que contemple os requisitos de segurança da informação necessário para a continuidade do negócio da organização;
- Continuidade de negócios e análise/avaliação de riscos
- convém identificar os eventos que podem causar interrupções aos processos de negócio, junto a probabilidade e impacto de tais interrupções e as consequências para a segurança de informação;
- Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação
- convém que os planos sejam desenvolvidos e implementados para a manutenção ou recuperação das operações, e;
- a fim de assegurar a disponibilidade da informação, no nível requerido e na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio;
- Estrutura do plano de continuidade do negócio
- convém que uma estrutura básica dos planos de continuidade do negócio seja mantida para assegurar que todos os planos são consistentes;
- a fim de contemplar os requisitos de segurança da informação e para identificar prioridades para testes e manutenção;
- Testes, manutenção e reavaliação dos planos de continuidade do negócio
- convém que os planos de continuidade do negócio sejam testados e atualizados regularmente;
- de forma a assegurar sua permanente atualização e efetividade;
- Incluir segurança da informação no processo de gestão da continuidade de negócio
- Aspectos da gestão da continuidade do negócio relativos à segurança da informação → não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso;
- Conformidade
- Conformidade com requisitos legais → evitar a violação de obrigações legais, estatutárias, regulamentares, contratuais e de qualquer requisito de segurança da informação;
- Identificação da legislação vigente
- convém que todos os requisitos estatutários, regulamentares e contratuais relevantes, e o enfoque da organização para atender a esses requisitos;
- sejam explicitamente definidos, documentados e mantidos atualizados para cada sistema de informação da organização;
- Direitos de propriedade intelectual
- convém que procedimentos apropriados sejam implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais no uso de material;
- uma vez que podem haver direitos de propriedade intelectual e sobre o uso de produtos de software proprietários;
- Proteção de registros organizacionais
- convém que registros importantes sejam protegido contra perda, destruição e falsificação, de acordo com os requisitos regulamentares, estatutários, contratuais e do negócio;
- Proteção de dados e privacidade de informações pessoais
- convém que a privacidade e proteção de dados sejam asseguradas conforme exigido nas legislações relevantes, regulamentações e, se aplicável, nas cláusulas contratuais;
- Prevenção de mau uso de recursos de processamento da informação
- convém que os usuários sejam dissuadidos de usar os recursos de processamento da informação para propósitos não autorizados;
- Regulamentação de controles de criptografia
- convém que controles de criptografia sejam usados em conformidade com todas as, acordos e regulamentações relevantes;
- Identificação da legislação vigente
- Conformidade com normas e políticas de segurança da informação e conformidade técnica → garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação;
- Conformidade com as políticas e normas de segurança da informação
- convém que gestores garantam que todos os procedimentos de segurança da informação dentro de sua área de responsabilidade estão sendo executados corretamente;
- a fim de atender à conformidade com as normas e políticas de segurança da informação;
- Verificação da conformidade técnica
- convém que sistemas de informação sejam periodicamente verificados em sua conformidade com as normas de segurança da informação implementadas;
- Conformidade com as políticas e normas de segurança da informação
- Considerações quanto à auditoria de sistemas de informação → maximizar a eficácia e minimizar a interferência no processo de auditoria dos sistema de informação;
- Controles de auditoria de sistema de informação
- convém que requisitos e atividades de auditoria envolvendo verificação nos sistemas operacionais;
- sejam cuidadosamente planejados e acordados para minimizar os riscos de interrupção dos processos de negócio;
- Proteção de ferramentas de auditoria de sistema de informação
- convém que o acesso às ferramentas de auditoria de sistema de informação seja protegido para prevenir qualquer possibilidade de uso impróprio ou comprometimento;
- Controles de auditoria de sistema de informação
- Conformidade com requisitos legais → evitar a violação de obrigações legais, estatutárias, regulamentares, contratuais e de qualquer requisito de segurança da informação;
Gestão de Riscos em Segurança da Informação
- Norma 27.005 → Gestão de Riscos em Segurança da Informação (GRSI);
- provê diretrizes, mas não inclui uma metodologia específica, para o processo de Gestão de Riscos de Segurança da Informação (GRSI);
- cuja abordagem ao processo de risco deve ser:
- alinhado à gestão de riscos corporativos por uma abordagem sistemática;
- definida por cada organização a partir:
- do escopo do SGSI;
- do contexto da gestão de riscos, e;
- de sua atividade econômica;
- pode ser aplicado:
- à toda organização;
- a uma parte da organização;
- a algum controle específico;
- melhorada continuadamente por meio das atividades:
- definição de contexto;
- análise e avaliação de riscos;
- tratamento dos riscos;
- aceitação dos riscos;
- comunicação do risco, e;
- monitoramento e análise crítica do risco;
- Referência normativa
- São indispensáveis a aplicação da 27001 e 27002;
- Termos e definições
- Impacto
- mudança adversa no nível obtido dos objetivos de negócio;
- Riscos de segurança da informação
- a possibilidade de uma ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, prejudicando a organização;
- Ação de evitar o risco
- decisão de não se envolver ou agir de forma se retirar de uma situação de risco;
- Comunicação do risco
- troca ou compartilhamento de informação sobre risco entre o tomador de decisão e outras partes envolvidas;
- Estimativa de riscos
- processo utilizado para atribuir valores à probabilidade e consequências de um risco;
- Identificação de riscos
- processo para localizar, listar e caracterizar elementos do risco;
- Redução de risco
- ações tomadas para reduzir a probabilidade, as consequências negativas ou ambas associadas a um risco;
- Retenção do risco
- aceitação do ônus da perda ou do benefício do ganho associado a um determinado risco;
- Transferência do risco
- compartilhamento com uma outra entidade do ônus da perda associado a um risco;
- Impacto
Atividade, entrada, ação, diretrizes para implementação e saída
- Definição de contexto
- Entrada → todas as informações sobre a organização que auxiliem o contexto do GRSI;
- Ação → definição do escopo, dos limites do processo de GRSI, de critérios básicos e o estabelecimento de organização apropriada para operar a GRSI;
- Diretrizes → determinar o propósito da GRSI, como apoiar:
- um SGSI;
- um plano de resposta a incidentes;
- um plano de continuidade de negócio;
- a conformidade legal;
- Saída
- Especificação de escopo
- precisa ser definido para assegurar que todos os ativos relevantes sejam considerados na análise/avaliação de riscos;
- Especificação de limites
- precisam ser definidos para permitir o reconhecimento dos riscos que possam ir além dos limites;
- Critérios básicos
- Critérios para avaliação de riscos permitem uma abordagem contínua consistente, bem como estabelecer prioridades;
- Critérios de impacto são especificados em função do montante dos custos ou dos danos causados por um evento relacionado com a segurança da informação;
- Critérios para aceitação do risco dependem das políticas, metas e objetivos da organização, bem como do interesse das partes interessadas;
- Organização responsável do GRSI
- desenvolvimento do processo de GRSI adequado à organização;
- identificação e análise das partes interessadas;
- definição de papéis e responsabilidades;
- definição de alçadas para a tomada de decisões;
- especificação dos registros a serem mantidos;
- Especificação de escopo
- Análise e avaliação de riscos
- Entrada → escopo, limites, critérios básicos e organização do processo;
- Ação → convém que os riscos sejam:
- Identificados
- identificação (nessa ordem) de ativos, ameaças, controles existentes, vulnerabilidades e consequências (AACVC);
- Estimados
- qualitativamente para avaliar preliminarmente e empiricamente a consequência potencial ao risco (baixo, médio, alto);
- quantitativamente para efetuar a análise numérica da consequência dos riscos;
- nível do risco para cada risco;
- Priorizados em função:
- dos critérios de avaliação de riscos, e;
- dos objetivos relevantes da organização;
- Avaliados para cada cenário de incidente em relação a probabilidade e consequência;
- sendo reanalisados e reavaliados até a obtenção de avaliação satisfatória;
- Identificados
- Diretrizes
- determinar o valor dos ativos de informação;
- identificar ameaças e vulnerabilidades aplicáveis existentes ou que possam existir;
- identificar os controles existentes e seus efeitos no risco identificado;
- determinar as consequências possíveis;
- priorizar os riscos derivados de acordo com os critérios estabelecidos;
- pode-se realizar mais de uma interação;
- Saída → lista de riscos avaliados e ordenados por prioridade de acordo com os critérios de avaliação de riscos;
- Tratamento dos riscos
- Entrada → lista de riscos ordenados por prioridade e associados aos cenários de incidentes que os causam;
- Ação → convém que sejam selecionados controles para reduzir, reter, evitar ou transferir os riscos e seja definido um plano de tratamento dos riscos;
- Diretrizes
- reduzir o risco, reter o risco, evitar o risco e transferir o risco;
- convém que as opções de tratamento sejam baseadas na análise e avaliação de riscos, nos custos de implementação e nos benefícios esperados;
- independente de outros critérios, as consequências adversas devem ser reduzidas ao menor nível possível;
- convém levar em consideração custos e a própria SI no caso da remoção de controles redundantes;
- um único tratamento pode ser efetivo contra mais de um risco;
- uma vez que o plano de tratamento do risco tenha sido definido, os riscos residuais precisam ser determinados;
- convém que as opções do tratamento do risco sejam consideradas levando-se em conta:
- como o risco é percebido pelas partes afetadas, e;
- as formas mais apropriadas de comunicação com as partes;
- Saída → o plano de tratamento de risco e os riscos residuais, sujeitos à decisão de aceitação por parte dos gestores da organização;
- Aceitação do riscos
- Entrada → o plano de tratamento de risco e a análise e avaliação dos riscos residuais sujeitos à decisão dos gestores da organização;
- Ação → convém que a decisão de aceitar os riscos seja feita e formalmente registrada;
- Diretrizes
- convém que os planos de tratamento do risco descrevam como os riscos avaliados serão tratados para atender os critérios de aceitação;
- convém que os gestores responsáveis façam análise crítica e aprovem:
- os planos propostos de tratamento de risco;
- os riscos residuais resultantes, e;
- que registrem as condições associadas a essa aprovação;
- eventualmente, os tomadores de decisão podem ter que aceitar riscos que não satisfaçam os critérios normais pois pode não existir um limite bem definido de aceitabilidade;
- convém que o tomador de decisão justifique e comente sua decisão de não seguir os critérios normais para aceitar os riscos;
- Saída → lista de riscos aceitos e uma justificativa para os riscos que não satisfizeram os critérios normais de aceitação;
- Comunicação do risco
- Entrada → todas as informações sobre riscos provenientes da gestão de riscos;
- Ação → convém que o tomador de decisões e demais partes interessadas troquem e compartilhem as informações sobre riscos;
- Diretrizes
- obter consenso sobre como gerenciar os riscos por meio da troca das informações sobre o risco entre os tomadores de decisões e outras partes interessadas;
- convém que a organização desenvolva planos de comunicação dos riscos, tanto para operações rotineiras, quanto para situações emergenciais;
- uma comissão de riscos pode ser formada, de modo a discutir prioridades, tratamento e aceitação de riscos;
- Saída → o entendimento contínuo do processo de gestão de riscos de segurança da informação e dos resultados obtidos;
- Monitoramento e análise crítica dos fatores de riscos
- Entrada → todas as informações sobre riscos provenientes da gestão de riscos;
- Ação → convém que os riscos e seus fatores:
- tais como valores dos ativos, impactos, ameaças, vulnerabilidades e probabilidades de ocorrências
- sejam monitoradas e analisados criticamente, a fim de:
- identificar mudanças no contexto da organização;
- manter uma visão geral dos riscos;
- Diretrizes
- monitoramento constante de ativos e seus valores, vulnerabilidades, ameaças, consequências, impacto e incidentes;
- o monitoramento pode fornecer dados de entrada a análise crítica;
- Saída → alinhamento contínuo da gestão de riscos com:
- os objetivos de negócio da organização, e;
- os critérios para aceitação do risco;
- Monitoramento, análise crítica e melhoria do processo de GRSI
- Entrada → todas as informações sobre riscos provenientes da gestão de riscos;
- Ação → convém que o processo de gestão de riscos de segurança da informação seja continuamente monitorado, analisado criticamente e melhorado;
- Diretrizes
- convém que a organização se certifique que o processo de gestão de riscos de segurança da informação e as atividades relacionadas permaneçam pertinentes às condições atuais;
- o monitoramento pode resultar em modificações ou acréscimo da abordagem, metodologia ou ferramentas utilizadas para gestão de riscos;
- Saída → atualização do processo de GRSI ou a garantia permanente da relevância deste para os objetivos de negócio da organização;
Gestão da Continuidade de Negócios
- Conceitos
- possibilitar o funcionamento da organização em um nível aceitável durante as situações de contingência;
- está relacionado com o resultado da análise de riscos e ameaças ao negócio da organização;
- a alta administração deve aprovar as ameaças e os riscos que serão aceitos, e conhecer as fases de desenvolvimento do plano;
- o plano deve priorizar o risco por impacto e probabilidade e tratá-los em ordem de importância;
- o plano deve prever treinamento e conscientização de todos os colaboradores para o procedimento de contingência;
- pode ser testado na totalidade, parcialmente ou, ainda, por meio de simulações, quando ocorrem representações de situação emergencial;
Práticas para a Gestão de Continuidade de Negócio
- Norma 25.999-1 → Práticas para a Gestão da Continuidade de Negócio (GCN);
- estabelece o processo, os princípios e a terminologia da Gestão de Continuidade de Negócios;
- fornece uma base para entender, desenvolver e implementar a continuidade de negócios e obter confiança nos negócios da organização;
- Termos e definições
- Análise de impacto nos negócios
- processo de analisar as funções de negócio e os efeitos que uma interrupção possa causar a elas;
- Plano de gerenciamento de incidentes (PGI)
- plano de ação claramente definido e documentado, para ser usado quando ocorrer um incidente;
- cobre as principais pessoas, recursos, serviços e outras ações do processo de gerenciamento de incidentes;
- Análise de impacto nos negócios
- Visão geral da GCN
- ajuda a garantir que as metas e objetivos de negócio não serão comprometidos por interrupções inesperadas;
- complementar a estrutura de gestão de riscos;
- Política de GCN
- define as atividades de preparação para se estabelecer uma capacidade de continuidade de negócio;
- inclui o planejamento, criação, implementação e testes iniciais de capacidade;
- permite o gerenciamento contínuo e manutenção desta capacidade;
- adequada ao contexto, à natureza, complexidade e criticidade as suas atividades de negócio;
- reflete a cultura, dependências e ambiente operacional;
- contém os objetivos e o escopo da GCN;
- Gestão do programa de GCN
- estabelece a abordagem da organização à CN por meio de um programa de GCN;
- atribui responsável experiente a com autoridade pela política GCN e sua implementação;
- implementa a CN na organização com planejamento, desenvolvimento e implementação do programa de GCN;
- gestão contínua por meio do monitoramento e análise critica;
- atualizar os planos em caso de mudanças significativas na organização ou quanto o teste ou incidente revelar deficiências;
- armazenar, proteger e disponibilizar a documentação, como a política de GCN, análise de impacto, estratégias, PGI, demais planos;
- Entender a organização (Plan)
- identificar os objetivos da organização, as obrigações das partes interessadas e o ambiente operacional;
- garantir o alinhamento do programa de GCN a conformidade necessária;
- identificar os produtos e serviços fundamentais, bem como as atividades críticas e os recursos que os suportam;
- avaliar o impacto e as consequências sobre o tempo de falha dessas atividades, ativos e recursos;
- identificar e avaliar ameaças que podem interromper os produtos e serviços fundamentais;
- realizar e documentar a análise de impacto no negócio;
- determinar os requisitos de continuidade e estimar os recursos necessários para a recuperação de cada atividade;
- identificar medidas que reduzam o período e a chance de interrupção, limitando o impacto;
- aprovação pela alta administração dos produtos e serviços fundamentais, da avaliação de riscos;
- Determina a estratégia de CN (Plan)
- implemente as medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e/ou reduzir os potenciais efeitos;
- mantenha registro das medidas de resiliência e mitigação, bem como as atividades que não foram identificadas como críticas;
- estratégias de continuidade podem envolver pessoas, instalações, tecnologias, partes interessadas, etc;
- aprovação pela alta administração das estratégias documentadas;
- Desenvolver e implementar uma resposta de GCN (Do)
- desenvolve e implanta os planos apropriados para garantir a continuidade das atividades críticas e gestão de incidentes;
- manter uma estrutura simples para confirmar a natureza e extensão do incidente, tomar o controle da situação e comunicar as partes interessadas;
- elaborar planos com objetivo, escopo, papéis, responsabilidades, método de ativação dos planos, proprietário e mantenedor do documento;
- Plano de Gerenciamento de Incidentes com plano de ação, contatos de emergência, atividades das pessoas e gestão das partes;
- Plano de Continuidade de Negócio com plano de ação, recursos necessários, responsáveis e formulários;
- Testar, manter e analisar criticamente os preparativos de GCN (Check e Act)
- verificar os preparativos por meio de programa de teste com aspectos técnicos, logísticos, administrativos, procedimental e outros sistemas;
- garantir que mudanças que causem impacto à organização sejam analisadas criticamente por meio do programa de manutenção;
- realização de análise crítica dos preparativos pela alta administração;
- providenciar auditoria independente (interna ou externa) para avaliar a GCN e a capacidade de identificar falhas reais e potenciais;
- executar processo de autoavaliação para verificar qualitativamente a capacidade da organização de se recuperar de um incidente;
- criar, aumentar e manter a consciência com a educação permanente em GCN;
- treinar a equipe de GCN e o pessoal não relacionado que necessite de habilidades específicas para desempenhar seu papel em CN;
Sistema de Gestão de Continuidade de Negócio
- Norma 25.999-2 → Requisitos para o Sistema de Gestão da Continuidade de Negócio (SGCN);
Reinaldo Gil Lima de Carvalho