Segurança da Informação

Introdução à Segurança da Informação (ameaças, proteções, classificação da informação, backup, fitas LTO)

Autenticação e Autorização

Criptografia

Sistema de Gestão da Segurança da Informação

Controles para a gestão de Segurança da Informação

Gestão de Riscos em Segurança da Informação

Gestão de Continuidade do Negócio

Introdução à Segurança da Informação

Conceito
- Vulnerabilidade
  - é a falha no projeto, implementação de um software ou sistema operacional, que quando explorada por um atacante resulta na violação da segurança do computador;
- Ameaças → considera-se qualquer ação que coloque em risco as propriedades se segurança do sistema;
  - Naturais
    - decorrem de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, etc.
  - Involuntárias
    - são inconscientes, quase sempre causada pelo desconhecimento, como acidentes, erros, etc.
  - Voluntárias
    - são propositais, causadas por agentes humanos, como crackers, invasores, ladrões, criados de vírus, etc.
- Risco
  - é a probabilidade de uma fonte de ameaça explorar um vulnerabilidade, resultando em um impacto para a organização;
- Segurança da informação
  - é preservação da confidencialidade, integridade e disponibilidade da informação por meio de sua gestão, do uso de boas práticas (controles) e da gestão de riscos;

Ameaças
- Furto de dados
  - informações pessoais e outros dados podem ser obtidos pela interceptação do tráfego ou explorando de vulnerabilidades;
- Uso indevido de recursos
  - prática de atividades maliciosas, como obter arquivos, disseminar spam, realizar ataques;
- Ataques de negação de serviço
  - envio de grande volume de mensagens para tornar o serviço inoperante;
- Ataque de força bruta
  - inúmeras tentativas de autenticação a sistemas que não impõe limites de senhas incorretas;
- Ataque de personificação
  - substitui ou introduz um dispositivo à rede para que usuários se conectem nele;
  - permitindo a captura de senhas de acesso e outras informações;
- Ameaça persistente avançada (APT – advanced persistent threat)
  - ataques direcionados para coleta de informações que tenham valor para o atacante, ainda que despendam tempo e recursos para obtê-las;
  - utilizam planejamento, engenharia social e aprofundamento da invasão com a exploração de outros ativos;
  - Ameaça → ações humanas coordenadas, com objetivo específico, motivadas e financiadas, que colocam em risco as propriedades de segurança;
  - Persistente → buscam objetivo específico guiados por organizações externas, com interação e monitoramento contínuo, inclusive com ataques lentos e de menor escala;
  - Avançadas → combinam múltiplas técnicas, ferramentas e métodos de ataque, desde escutar telefônicas até exploração de vulnerabilidades, como 0-day exploits;

Ameaças à confidencialidade → buscar informações (dados sensíveis, cartões de crédito, senhas) a partir do tráfego da rede nas interfaces locais, no núcleo da rede, áreas de memória, arquivos de outros usuários, etc.
- spyware → programa espião para obtenção de informações;
  - keylogger → captura teclas;
  - screenlogger → captura telas;
- engenharia social → obtenção de informações por meio da persuasão;
  - phishing/scam → obtenção de informações por meio de mensagem/e-mail falso;
  - pharming → obtenção de informações por meio de sites falsos;
- spoofing → o invasor, pessoalmente, convence a alguém que ele é algo ou alguém que não é, por exemplo, quando um usuário externo se faz passar por um usuário interno para obter autenticação e acessar o que não deveria ter acesso (um ataque contra a autenticação a fim de atingir a confidencialidade);
- sniffers → um programa que monitora o tráfego da rede (farejador), pode ser usado legitimamente ou por um intruso para roubar informações ou credenciais;
- backdoor → um acesso alternativo instalado por um invasor ou pelo próprio usuário para o seu acesso;
- eavesdropping (espionagem) → interceptar (ouvir, obter) secretamente (sem consentimento) uma conversa privada, seja telefônica (wiretapping), email, instant messaging, VoIP;

Ameaças à integridade → tem objetivo alterar, corromper ou destruir informações por meio da instalação de programas, drivers ou módulos de núcleo maliciosos, para obter o controle do sistema ou alterar de senhas;
- vírus → embutido em um programa executado;
- botnet → escraviza diversos computadores para realizar ataques programados pelo invasor;
- cavalo de troia → voluntariamente instalado pelo usuário escondido/embutido em um programa ou arquivo comum;

Ameaças à disponibilidade → um usuário alocar para si todos os recursos do sistema, como a memória, o processador ou o espaço em disco, para impedir que outros usuários possam utilizá-lo;
- worm → não necessita de execução pelo usuário (ao receber um e-mail, ele explora uma vulnerabilidade para se reenviar para todos seus contatos);
- ransonware → sequestro da informações, por meio da criptografia dos dados, com exigência de pagamento de valores;
- adware → envio de e-mails ou pop-ups em massa de propagandas para induzir ao acesso a site fraudulento;
- DOS → ataque de sobrecarga; utiliza um computador para tirar de operação um serviço ou computador conectado a internet;
- DDOS → ataque de sobrecarga partindo de várias máquinas;

Proteções → mecanismos de segurança da informação
- Firewall
  - um controlador do fluxo tráfego de dados, físico (appliance) ou lógico (software), comumente entre a rede interna e a internet, que não permite o acesso a partir máquinas externas;
  - implementa recursos de filtro de conteúdo para analisar o tráfego entre a rede local e a internet, e impede acesso a sites por URL ou horário;
- Proxy
  - um controlador de trafego em camada de aplicação que controla o acesso a partir de máquinas internas;
  - em modo reverso, otimizar o acesso de máquinas externas a um site hospedado;
- Sistema de detecção de intrusão (IDS)
  - analisa características do tráfego da rede de forma passiva;
  - identifica atividades suspeitas e ataques a partir de algum tipo de conhecimento, como assinaturas de ataques ou desvio de comportamentos;
  - Port Mirror → consiste no espelhamento do tráfego de uma porta de comunicação para outra para monitoramento pelo IDS;
  - Port Span → switches com IDS embutidos;
  - Splitting Wire → colocar um (hub ou optical tap) entre o switch e o equipamento que se deseja monitorar;
- Sistema de prevenção de intrusão (IPS)
  - analisa características do tráfego da rede de forma ativa;
  - aplica ações programadas para evitar a concretização da ameaça com o bloqueio do tráfego individualmente;
- Antivírus
  - identificam os vírus por meio de assinaturas, para isolar, desinfectar ou excluir o arquivo;
- Windows defender
  - ferramenta do windows que se trata de um anti-vírus a partir da versão 8.1, anteriormente era somente anti-spyware;
- Atualizações automáticas
  - corrige vulnerabilidades utilizada por atacantes;

Normas de Segurança da Informação

Normas de segurança
- ISO/IEC 27.001
  - Define requisitos para implementação de um sistema de gestão da segurança (SGSI);
  - os itens são obrigatórios e é possível obter a certificação;
- ISO/IEC 27.002
  - Estabelece código práticas e controles para a gestão de segurança da informação;
  - os controle são recomendações, não há certificação;
- ISO/IEC 27.005
  - Gestão de riscos em segurança da informação (GRSI);
- BS 25.999-1
  - Estabelece código práticas e controles para a gestão de continuidade de negócios;
- BS 25.999-2
  - Define requisitos para a Gestão da Continuidade do Negócio (GCN);

Backup – salvaguarda

Backup → cópia dos dados em meio separado do original, de forma a protegê-los de qualquer eventualidade por meio de distintas mídias ou em nuvem;
- Fatores da política de backup;
  - Recovery Point Objective (RPO) → período máximo que as alterações podem ser perdidas em caso de falhas ou desastres;
  - Recovery Time Objective (RTO) → período máximo para restauração a um estado operacional;
  - Prioridades de backup e rapidez da recuperação;
  - Frequência de mudança dos dados;
  - Restrições de tempo para realização do backup;
  - Validação (prevalência) dos dados recuperados;
  - Acessibilidade das mídias de backup por pessoas autorizadas;
- Marcadores (atributo de arquivo) → orienta o backup futuro;
  - arquivo marcado → deve estar presente no próximo backup;
  - arquivo desmarcado → não foi alterado deste o último backup (não deve estar presente no próximo backup);
  - novos arquivos e aqueles modificados recebem a marcação para backup;
- Quente → em tempo real, com o sistema em funcionamento;
- Frio → com sistemas e arquivos fechados;
  - Normal ou completo (full) → cópia de tudo, modifica a marca;
    - restaura-se o último backup normal;
    - não refere-se a todos os arquivos da máquina, mas a ignorar a marcação existente em arquivos de determinado diretório;
  - Incremental → cópia dos marcados, modifica a marca;
    - restaura-se todos backups incrementais a partir do último normal, se houver;
  - Diferencial → cópia dos marcados, não modifica a marca;
    - restaura-se somente o último backup diferencial; o último normal e o último diferencial, somente;
  - Diário → cópia dos criados/alterados no dia, não modifica a marca;
    - restaura-se todos os backups, um para cada dia, não utiliza o backup normal como referência;
  - Cópia → cópia de tudo, não modifica a marca;
    - equivalente ao backup normal sem alterar a marcação, não interfere as rotinas;

Fitas LTO (Linear Tape-Open) → formato aberto de armazenamento de dados em fita magnética;
- Conceitos
  - utiliza o método de gravação linear;
  - os dados são gravados como uma sequência de faixas que são executadas alternadamente, para a frente e para trás (serpentina);
  - WORM (write once read many) → tipo de mídia que não permite sobrescrita, utilizada para histórico e conformidade;
  - Criptografia → utiliza o algoritmo AES256-GMC;
  - Hierarchical storage management → técnica para movimentação automática de dados entre mídias de alto custo para mídias de baixo custo;
- Modelos
  - LTO-4 → 800 GB, 120 MB/s, chip de memória de 8 KB, cor verde;
  - LTO-5 → 1.5 TB, 140 MB/s,chip de memória de 8 KB, cor vermelha escura, 2 partições em LTFS;
  - LTO-6 → 2.5 TB, 160 MB/s, chip de memória de 16 KB, cor preta, 4 partições em LTFS;
  - LTO-7 → 6 TB, 300 MB/s, chip de memória de 16 KB, cor roxa, 4 partições em LTFS;
- LTFS (Linear Tape File System)
  - um padrão aberto que utiliza XML para representar metadados e índices dos arquivos;
  - arquivos são modificados, sobrescritos e removidos logicamente (no índice), sendo os blocos já usados marcos como indisponíveis;
  - a capacidade utilizada só é liberada com a formatação da fita;

Ferramentas de backup
- Netbackup → suíte corporativa de backup e restauração para múltiplas plataformas.
  - arquitetura baseada no servidor central (central master server) que gerencia os servidores de mídias (media servers) e o clientes (servidores que são copiados).
  - suporta backup a quente para os principais gerenciadores de banco de dados (Oracle, etc);
  - tem capacidade nativa de backup e restauração de máquinas virtuais dos principais produtos (VMware, etc);
  - implementa o Network Data Management Protocol (NDMP);
  - permite a descentralização dos dados críticos em distintos locais como apoio ao plano de recuperação de desastres (off-site data protection, vaulting);
  - permite a realização de backup diretamente pela rede SAN, sem utilizar a rede LAN (LAN-free).
- Robocopy (Robust File Copy) → linha de comando para para replicação de arquivos e diretórios em Windows.
  - aceita somente diretórios como parâmetros de origem ou destino;
  - Robocopy C:\A C:\B *.* /PARAM
    - /E → recursivamente todos os arquivos e diretórios;
    - /S →recursivamente, exceto diretórios vazios;
    - /COPYALL → equivalente a /COPY:DATSOU (D=Dados, A=Atributos, T=Timestamps, S=NTFS ACLs, O=proprietário, U=auditoria)
    - /R:0 → não tentar novamente em caso de falhas (como em arquivos abertos), ou pode-se especificar o número de tentativas (padrão é 1 milhão de vezes);
    - /W:0 → não esperar entre falhas, ou pode-se especificar o tempo em segundos (padrão é 30 segundos);
    - /MIR → opção mirror apaga os arquivos do destino que não mais existem na origem a redefine as permissões dos arquivos;
    - /Z → opção de resumo em caso de falhas de comunicação de rede;
    - /V → exibe arquivos não copiados;
    - /NP → não exibe o progresso da cópia/
    - /ETA → exibe o tempo estimado que a cópia dos dados levará;
    - /LOG: → especifica o local onde o log será armazenado e sobrescreve;
    - /LOG+: → especifica o local onde o log será armazenado e adiciona ao final do arquivo existente;
    - /LEV: → número de níveis de hierarquia do diretório de origem;
    - /MOV → move os arquivos e os exclui da origem;
    - /MOVE →move arquivos e diretórios e exclui-los da origem;
- Rsync → ferramenta de cópia de arquivos em linha de comando em Linux.
  - realiza cópia de arquivos locais, sob ssh (:) ou pelo serviço rsync (::);
  - utiliza o algoritmo delta-transfer para reduzir a quantidade de dados;
  - utiliza o algoritmo quick-check para identificar mudanças em arquivos por meio da mudança do tamanho e da última data de modificação;
  - ao especificar diretórios o uso da barra do final, indica os arquivos internos (rsync -av /src/foo /dest ↔ rsync -av /src/foo/ /dest/foo);
  - rsync -av server:/src /dest (de ssh)
  - rsync -av server::modulename /dest (de rsync daemon)
    - -n → simular execução sem copiar;
    - -v → exibe nome do arquivo durante a cópia (verbose);
    - -a → modo de arquivamento, equivale a -rlptgoD (no -H,-A,-X);
    - -H → copiar hardlinks;
    - -A → preservar ACLs;
    - -X → preservar atributos estendidos;
    - -c → use checksum em ves do quick-check para ignorar arquivos;
    - -b → usa um padrão de estrutura de diretórios para backup;
    - -u → ignorar arquivos que são mais novos no destino;
    - -r → recursivamente;
    - -l → preservar links simbólicos;
    - -p → preservar permissões (rwx);
    - -t → preservar marcas de tempo de modificação;
    - -g → preservar grupo;
    - -o → preservar dono;
    - -D → preservar arquivos de dispositivos e especiais;
    - –delete → apaga os arquivos do destino que não mais existem na origem;

Autenticação e Autorização

Conceitos
- Identificação (login)
  - envio da identidade do usuário ao sistema a fim de comprovar se o sujeito é a entidade que ele afirma ser;
- Autenticação (senha)
  - procedimento realizado pelo sistema para validar (verificar, comprovar, confirmar, averiguar) a identidade declarada;
  - identifica quem efetua o acesso a uma dada informação;
- Autorização (permissões)
  - procedimento para determinar os recursos acessíveis à identidade autenticada (calcula os objetos acessíveis);
  - habilidade de permitir ou negar a utilização de um objeto (recurso);

Controle de acesso
- Conceitos
  - métodos de concessão (definição) de permissões (ações disponíveis, recursos/objetos acessíveis) aos sujeitos (usuários do sistema);
- Controle de acesso baseado em papéis (RBAC) → modelo NIST;
  - papel (role) é uma coleção de objetos/operações (permissões) determinado pela função desempenhada na organização (responsabilidades);
  - concessão de permissões a partir da associação de grupos de usuários (coleção de usuários) ou individualmente a papéis;
  - RBAC0 (básico) → relação N:N entre usuários e papéis (User Assignment) e relação N:N entre papéis e permissões (Permission Assignment);
  - RBAC1 (hierárquico) → há hierarquia de papéis;
  - RBAC2 (restrito) → utiliza regras de restrições (constraints) para controlar a concessão de permissões (horários, número de usuário por papel, etc);
    - Separação estática de deveres → restrição de papéis mutuamente exclusivos (papel A não pode ser concedido com papel B);
    - Separação dinâmica de deveres →permite que o usuário selecione um papel concedido ao entrar no sistema (sessão);
  - RBAC3 → hierarquia (RBAC1) e restrições (RBAC2);
- Controle de acesso discricionário (DAC)
  - concessão de permissões pelo dono do objeto por meio de privilégios (ler, escrever, executar, etc) ou pela transferência da propriedade;
  - todo recurso deve ter um proprietário;
- Controle de acesso obrigatório (MAC)
  - concessão de permissões definida por regras do sistema a partir de rótulos de sensibilidade (segurança) atribuídos aos sujeitos e objetos;
  - concessão de permissões definida por um grafo sem ciclos (hierárquico) para decisões complexas (modelo lattice);
  - concessão de permissões definida por listas de controle de acesso (ACLs);

Gestão de identidade
- Conceitos
  - atende às necessidades de negócio, o que inclui requisitos de conformidade e auditoria, com a gestão do nível adequado de acesso;
  - implementa estratégias, diretivas, processos e tecnologias para o controle de ameaças internas por acessos autorizados indevidos;
  - administração centralizada com login único (single sign-on) ou com replicação de usuários (provisionamento) para outras bases;
  - realiza a gestão de papéis com o mapeamento de perfis (mapa de função), workflows de aprovação de acesso e auditoria de concessões;
  - controle de acesso automatizado baseado no ciclo de vida da identidade, como o desligamento do usuário ou mudança de função;
  - monitoramento e relatório de acessos do usuário, identificação de contas compartilhadas e gerenciamento de acessos privilegiados;
- Recursos conectados
  - repositórios de usuários descentralizados (diversos sistemas) integrados ao repositório central (metadiretório);
- Fontes autoritativas
  - fonte principal de dados do usuário da organização (sistemas de RH ou correio eletrônico) integrados ao repositório central;
- Provisionamento
  - envio de atualizações do repositório central aos recursos conectados por meio de agentes de integração;

Classificação da informação
- Níveis de acesso → não prescritos pela ISO 27.001; são definidos pela organização em N níveis; exemplo abaixo;
  - Público → todos podem ter acesso a informação;
  - Uso interno → somente membros da organização podem ter acesso (nível mais baixo de confidencialidade);
  - Privado → informações internas de área específica (nível médio de confidencialidade);
  - Confidencial → informações internas a pessoas específicas (nível mais alto de confidencialidade);
- Processo de classificação da informação
  - Inventariar a informação → definir o responsável pela informação, seu tipo e natureza, e catalogar no inventário;
  - Classificar a informação → o nível de confidencialidade é comumente indicado pelo responsável;
  - Rotular a informação → padronização da forma de identificação do nível de confidencialidade (ex: águia no canto superior direito);
  - Manusear a informação → especifica como manusear cada tipo de informação (exigir envelope fechado, trancado em armário, etc);
- Inventário de informações (catalogação das informações classificadas)
  - Responsável pela informação;
  - Tipo da informação → verbal, em mídia, em papel, email, em sistema, etc;
  - Natureza da informação → quanto a valor, requisitos legais, grau de sensibilidade, grau de criticidade e necessidade de compartilhamento;
  - Mídia de armazenamento → discos, fitas, cartões de memória, etc;

Meios de identificação → sua implementação considera a intrusão, esforço, precisão e custo;
- O que você sabe?
  - Tipos
    - Senha, chave, PIN, frase-secreta, perguntas/respostas (identificação positiva), desafios/respostas (ex: CHAP);
  - Ataques
    - password guessing, força bruta, por dicionário, pesca, compartilhamento da senha, repositório de senhas, keylogger, sniffer, replay;
  - Single Sign On (login único)
    - modelo para identificação única que centraliza a autenticação e a autorização e simplifica a aplicação de políticas de segurança;
- O que você tem?
  - Token
    - Características físicas → cartão (Smart Cards ou de fita magnética), chaveiros, bastões, etc;
    - Formato → de contato (cartão de fita magnética), sem contato (calculadora desafio-resposta) e inteligentes (Smart Cards e JavaCards);
    - Interface → interface eletrônica (Smart Cards e JavaCards) ou leitura manual do visor;
    - Protocolo → senha estática (Smart Cards), senha dinâmica (OTP), desafio-resposta (expressão matemática que usa a senha);
  - Tipos
    - Memory Token → dispositivo apenas de armazenamento (cartão de fita magnética);
    - Smart Token → dispositivo de armazenamento e processamento de informações (Smart Cards e Java Cards);
      - microchip que realiza armazenamento e processamento de informações;
      - pode conter um certificado digital e chave privada;
      - requer um PIN para utilização e possui um PUK para desbloqueio do PIN;
- O que você é?
  - Biometria → verifica e estabelece a identidade de um indivíduo a partir de características individuais físicas e comportamentais;
    - não pode ser transferida, esquecida ou perdida;
    - difícil de copiar ou adulterar;
    - requer a presença física no local de autenticação;

Biometria
- Características → em relação ao universo de indivíduos;
  - Universalidade → é abrangente?
  - Exclusividade → é distinguível?
  - Permanência → é invariante?
  - Coletabilidade → (não) é intrusiva ou requer esforço?
  - Circuvenção → (não) é compartilhável?
  - Aceitabilidade → (não) há estigma ou senso de privacidade?;
- Fases
  - Cadastramento → captura e extração do template;
  - Identificação → comparação e combinação;
    - Identificação (Quem eu sou?) → comparação com com várias/todas identidades armazenadas (menor precisão);
    - Verificação (Eu sou quem digo ser?) → comparação com uma identidade armazenada (maior precisão);
- Falhas → confiabilidade da coleta e da extração de características, ruído no sinal, interceptação e alteração durante a comparação;
  - Falha na aquisição (FTA) →
  - Falha no registro (Failure to Enrol Rate) →
  - Falha no utilização (FTU) →
  - False Reject Rate (False Non-Match Rate) → índice de rejeição de pessoas autênticas e registradas (falso negativo);
  - False Accept Rate (False Match Rate) → índice de aceitação de pessoas não autênticas ou não registradas (falso positivo);
  - Equal Error Rate (Crossover Error Rate) → índice de interseção de erros, quando os índices de rejeição e aceitação são iguais;
- Classificação dos métodos
  - Fisiológicas (físicos) → impressões digitais, facial, odor do corpo, retina, iria, geometria da mão, DNA;
  - Comportamentais → modo de caminhar, padrão de digitação (pressionamento de teclas), voz, assinatura;
- Métodos → todos possuem certa limitação as classificações;
  - Impressão digital
    - baixo custo; grande precisão; invariante;
    - posição das minúcias dos dedos;
    - dispositivos ótico (reflexão da luz), capacitivo (calor) ou ultrassônico (radar);
    - limitações de universalidade (ausência de digitais);
  - Assinatura manuscrita
    - análise da forma, da velocidade, da aceleração, da pressão e da continuidade;
    - limitação de permanência (caneta, papel, alterações emocionais);
  - Face
    - não é intrusiva; medidas da face;
    - limitações de permanência (ângulo da câmera, luminosidade, expressões faciais);
  - Vasos sanguíneos
    - padrão de veias por meio de lentes infravermelhas;
  - Geometria das mãos e dedos
    - medição do formato da mão;
    - limitações de exclusividade, universalidade e permanência (crescimento do corpo);
  - Retina
    - alto custo; grande precisão; mais intrusiva; padrão de vasos sanguíneos na parte posterior (interna) do olho;
  - Iris
    - maior precisão; combinação de padrões da coroa, filamentos, estrias e glândulas da iris;
    - limitação de exclusividade (pessoas com padrões simples de iris);
  - Voz
    - baixo custo; não é intrusiva; baixa precisão; padrão das ondas sonoras;
    - limitação de permanência (ruídos, alterações emocionais ou resfriados);
- Conceitos
  - Os métodos de biometria estão relacionados a identificação e autenticação;
  - Não há um método necessariamente a ser utilizado!
  - Não há um método melhor para todos os casos;
  - Não há um método a prova de falhas;
  - Não há um método que independa de limiares, ajustes ou configurações;
  - Múltiplas biometrias nem sempre obtém melhor resultado que uma única biometria;
  - A biometria não significa 100% de segurança;
  - Usar biometria não é invasão de privacidade;

Criptografia

Função Hash
- resumo, normalmente de 128bits, de uma mensagem de qualquer tamanho;
- o algoritmo (MD2, MD4, MD5 e SHA-1) deve garantir, no limite do possível, que mensagens diferentes gerem resumos diferentes;

Criptografia → procedimento para embaralhar a informação tornando a leitura incompreensível por pessoas que não possuam a chave, utilizada para manter dados sigilosos (confidencialidade), e para garantir a identidade do remetente de uma mensagem (autenticidade).
- Simétrica → utilizada a mesma chave para codificar e decodificar, um segredo entre as partes envolvidas;
  - AES standard → chave de 128/192/256bits, blocos de 128 bits, 10, 12 ou 14 rounds depende do tamanho da chave respectivamente, algoritmo de rede de substituição-permutação;
  - Rijndael → chave de 128/160/192/224/256bits, blocos de 128/160/192/224/256 bits, algoritmo de rede de substituição-permutação;
  - Serpent (AES finalist) → chave de 128/192/256bits, blocos de 128 bits, 32 rounds, algoritmo de rede de substituição-permutação;
  - Twofish (AES finalist) → chave de 128/192/256bits, blocos de 128 bits, 16 rounds, algoritmo de rede de Feistel;
  - Blowfish → chave de 32 a 448bits, blocos de 64 bits, 16 rounds, algoritmo de rede de Feistel;
  - 3DES → 3 chaves de 64bits, destes, 8 bits são de verificação de integridade (paridade), blocos de 64 bits, 48 DES rounds, algoritmo de rede de Feistel;
- Assimétrica → utiliza duas chaves, pública e privada;

One Time Pad (OTP)
- Conceitos
  - método clássico de criptografia simétrica com chave de uso único que permite ser computada à mão;
  - um sistema matematicamente inviolável, porém passível de falhas na geração ou guarda da chave;
  - único criptosistema provido de segurança, pois não depende de capacidade de processamento para quebrá-lo;
  - criptosistemas padrões são susceptíveis a descobertas por criptoanalíticas futuras ou pela evolução de computadores, como a computação quântica;
  - o termo super-criptografia é utilizado quando se utiliza o OTP em conjunto com outro criptosistema padrão;
  - sem a utilização de um computador, que permite a técnica de universal hashing, não fornece nenhuma autenticação da mensagem;
- Modelo clássico
  - baseado em sequências aleatórias idênticas e um padrão de utilização dessa sequência, ambos conhecidos pelas partes;
  - exemplo: cada palavra usa uma parte do início e outra do final da sequência, sucessivamente;
  - as sequências aleatórias são utilizada para codificação e decodificação da mensagem a partir de um padrão de combinação com a mensagem;
  - exemplo: adição modular, soma-se a mensagem com a parte da sequência e dividi-se por 26 para obter o resto (A=1, …, Z=26, A=27, …);
  - números aleatórios da alta qualidade podem ser difíceis de gerar;
  - geradores apropriados para o uso criptográfico normal, incluindo /dev/random, fazem algum uso das funções criptográficas cuja segurança não é provada;
- Modelos comuns → padrões aplicados em ambas as partes para codificação e decodificação;
  - Algoritmo matemático → sequências aleatórias idênticas geradas por aplicação de uma função repetidas vezes;
  - Sincronização de tempo → sequências aleatórias idênticas geradas a partir do tempo corrente combinada a chave secreta (RFC 6238);
  - Hardcopy → modelo clássico com uma lista de OTPs impressas em uma cartão e enviadas ao usuário;

Assinatura digital
- resumo de um dado gerado pela chave privada, verificável pela chave pública;

Certificado digital → é um arquivo eletrônico que contém dados de uma pessoa ou instituição (nome, número de identificação, email, nome da autoridade certificadora, número de série, validade, assinatura da AC), utilizado para comprovar a identidade.
- A1/S1 → 1 ano, chave de 1024bits, armazenado em arquivo;
- A2/S2 → 2 anos, chave de 1024bits, armazenado em smartcard ou token, sem geração de chave;
- A3/S3 → 3 anos, chave de 1024bits, armazenado em smartcard ou token, com geração de chave;
- A4/S4 → 3 anos, chave de 2048bits, armazenado em smartcard ou token, com geração de chave;

SSL
- Conceitos
  - provê segurança a comunicação TCP/IP;
  - provê um padrão para interoperabilidade;
  - extensível a novos métodos de criptografia simétrica e assimétrica que possam ser implementados;
  - eficiente, uma vez que utiliza chave de sessão (simétrica);
- Record (Registro) → gerencia a transmissão e recepção de dados;
  - Transmissão → fragmenta os dados em blocos, pode realizar compressão dos dados, encripta e transmite;
  - Recebimento → decripta, verifica a integridade, realiza descompressão, reagrupa os blocos e encaminha à camada superior;
- Handshaking
  - Handshake → troca de mensagens entre o cliente e o servidor para estabelecer uma conexão SSL;
    - Fase 1 – Client Hello → estabelece qualificação de segurança (versão do protocolo, id da sessão, cifras, método de compactação);
      - Id da sessão → sequência de bytes definida pelo servidor para identificar cada sessão ativa ou uma sessão reiniciável;
      - Método de compressão → define o método de compressão que será utilizado;
      - Is Resumable → flag que indica se a sessão pode ser continuada (não há fase 4 quando a conexão é continuada);
    - Fase 2 – Server Hello → envio do certificado do servidor, solicitação do certificado do cliente, final da fase hello;
      - o envio do certificado do servidor ao cliente é essencial para o funcionamento do SSL;
      - a solicitação do certificado do cliente pode ser exigida por política do servidor, em geral, não é obrigatório;
    - Fase 3 – Client Key Exchange → envio do certificado do cliente (opcional ou requerido), envio de chave de sessão (Client Key Exchange);
      - Client Key Exchange (sessão) → chave secreta de 48 bytes que será compartilhada entre o cliente e o servidor;
    - Fase 4 – Change Cipher Spec → envio da mudança de cifragem (Change Cipher Spec) e finaliza a fase de handshake;
      - também pode ocorrer após o conexão estiver estabelecida para troca do tipo de chave;
  - Change Cipher Spec →informa ao servidor sobre a mudança do tipo de chave;
    - define o algoritmo de criptografia (DES), o algoritmo de MAC (MD5, SHA), atributos criptográficos (tamanho do hash);
  - Alerta → informa ao cliente ou ao servidor sobre um alerta, e contém o nível de criticidade e descrição;
    - Alertas de encerramento → sobre o encerramento da conexão (close_notify);
    - Alertas de erro
      - sobre um erro identificado (bad_certificate, certificate_expired, illegal_parameter, unknown CA, insuffiecient security);
      - erros fatais indicam encerramento da conexão, e não pode ser resumida;

Sistema de Gestão da Segurança da Informação (SGSI)

Norma 27.001 → requisitos para um Sistema de Gestão da Segurança da Informação (SGSI);
- Provê um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar (EIOMAMM) um Sistema de Gestão da Segurança da Informação (SGSI) dentro:
  - do contexto das atividades de negócio globais;
  - dos riscos enfrentados, e a partir;
  - das fontes de requisitos de segurança da informação:
    - os requisitos, princípios e objetivos do negócio;
    - análise/avaliação sistemática e periódica de riscos;
    - legislação e normas vigentes;
- Adoção do SGSI é uma decisão estratégica para atender as necessidades de segurança de forma, cujos:
  - recursos envolvidos sejam compatíveis com os retornos esperados e;
  - os gastos com os controle sejam compatíveis com os danos causados;
  - por meio de uma abordagem:
    - de processo;
    - de melhoria contínua baseada no modelo PDCA, e;
    - adaptada de acordo com as mudanças nos riscos organizacionais;
      - Planejar (Plan) → estabelecer a política, objetivos processos e procedimento do SGSI;
      - Executar (Do) → implementar e operar o SGSI de acordo com a política, controle processos e procedimentos;
      - Verificar (Check) → monitorar e analisar criticamente o SGSI por meio de medição de desempenho e apresentar resultados para análise crítica;
      - Agir (Act) → manter e melhorar o SGSI com a execução de ações corretivas e preventivas a partir da análise crítica e da auditoria interna;

Objetivo
- O SGSI permite:
  - a seleção de controles de segurança adequados para proteger ativos de informação e propiciar confiança às partes interessadas por meio da especificação de requisitos genéricos;
  - a implementação de controles de segurança personalizados às necessidades individuais da organização ou das partes, de forma documentada, alinhada aos riscos globais e aplicável a todos os tipos organizações;
  - garantir a continuidade do negócio, a minimização dos riscos para o negócio e a maximização do retorno sobre os investimentos:
- A implantação do SGSI em conformidade a essa norma não permite a exclusão de qualquer requisito previsto, podendo-se excluir ou substituir controles de forma documentada, justificada, com evidências que os riscos associados foram aceitos pelos responsáveis, que tal exclusão não afete a capacidade e/ou responsabilidade de prover segurança da informação, que não afete o atendimento aos requisitos legais, regulamentares ou aqueles determinados pela análise de riscos;

Referência normativa
- É indispensável a aplicação da 27002;

Termos e definições
- Ativo
  - qualquer coisa que tenha valor para a organização;
- Disponibilidade
  - propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada;
- Confidencialidade
  - propriedade que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados;
- Integridade
  - propriedade de salvaguarda da exatidão e completeza de ativos;
- Segurança da informação
  - preservação da confidencialidade, integridade e disponibilidade da informação; e adicionalmente autenticidade, responsabilidade, não repúdio e confiabilidade;
- Evento de segurança da informação
  - ocorrência identificada de alteração do estado um sistema, serviço ou rede que indica:
    - possível violação da PSI, ou;
    - falha nos controles, ou;
    - situação previamente desconhecida;
- Incidente de segurança da informação
  - um simples ou série de eventos de segurança da informação indesejados ou inesperados;
  - com grande probabilidade de comprometer as operações do negócio;
- Sistema de Gestão de Segurança da Informação
  - é parte do sistema de gestão global, baseado na abordagem de riscos do negócio;
  - que estabelece, implementa, opera, monitora, analisa criticamente, mantêm e melhora a segurança da informação;
- Risco residual
  - risco remanescente após o tratamento de riscos;
- Aceitação do risco
  - decisão de aceitar um risco;
- Análise do risco
  - uso sistemático de informações para identificar fontes e estimar o risco, envolve a observação inicial da situação;
- Análise e avaliação de riscos
  - uso sistemático de informações para identificar fontes e estimar o risco, e;
  - compara-se o risco estimado com critérios pré-definidos para determinar a importância do risco;
- Gestão de riscos
  - atividades coordenadas para direcionar e controlar uma organização no que tange a riscos;
- Tratamento de riscos
  - processo de seleção e implementação de medidas para modificar um risco;
- Declaração de aplicabilidade
  - declaração documentada que:
    - descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI;
    - descreve as justificativas da não aplicabilidade de determinados controles;

Sistema de gestão de segurança da informação – Parte I
- Estabelecer o SGSI (Plan) → a organização deve:
  - definir o escopo, limites e uma política nos termos das características do negócio, da organização, de sua localização, de seus ativos e tecnologias;
  - definir a abordagem e metodologia de identificação/análise/avaliação de riscos e assegurar que seus resultados sejam comparáveis e reproduzíveis;
  - identificar riscos, bem como vulnerabilidades e ameaças;
  - analisar e avaliar os riscos por meio da análise dos impactos, da probabilidade real de ocorrência, da estimativa dos níveis de risco e da aceitabilidade do risco;
  - identificar e avaliar as opções de tratamento de risco, seja aplicar controles, aceitar objetivamente, evitar ou transferir o risco;
  - selecionar objetivos de controle e controles para o tratamento de riscos;
  - obter aprovação da direção dos riscos residuais propostos;
  - obter autorização da direção para implementar e operar o SGSI;
  - preparar uma declaração de aplicabilidade;
- Implementar e operar o SGSI (Do) → a organização deve:
  - formular um plano de tratamento de riscos que identifique a ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança;
  - implementar o plano de tratamento de riscos para alcançar os objetivos de controle identificados, que inclua considerações de financiamentos e atribuição de papéis e responsabilidades;
  - implementar os controles selecionados para atender aos objetivos de controle;
  - definir como medir a eficácia dos controles ou grupos de controles selecionados de modo a produzir resultado comparáveis e reproduzíveis;
  - implementar programas de conscientização e treinamento;
  - gerenciar as operações do SGSI;
  - gerenciar os recursos do SGSI;
  - implementar procedimentos e outros controles capazes de permitir a pronta detecção de eventos e resposta a incidentes de segurança da informação;
- Monitorar e analisar criticamente o SGSI (Check) → a organização deve:
  - executar procedimentos de monitoração, análise crítica e outros controles para prontamente:
    - detectar erros;
    - identificar incidentes de segurança da informação;
    - identificar tentativas e violações de segurança bem-sucedidas;
    - identificar não-conformidades, incluindo as potenciais, e determinar suas causas;
    - permitir à direção apreciar a eficácia da segurança da informação;
    - ajudar a detectar eventos de segurança da informação;
    - determinar se as ações tomadas foram eficazes;
  - realizar análises críticas regulares da eficácia do SGSI, levando em consideração:
    - os resultados de auditorias de segurança da informação;
    - os incidentes de segurança da informação;
    - os resultados da análise de eficácia e medições;
    - sugestões e realimentação de todas as partes interessadas;
  - medir a eficácia dos controles para verificar que os requisitos de segurança da informação foram atendidos;
  - analisar criticamente as análises/avaliações de riscos a intervalos planejados;
  - analisar criticamente os riscos residuais e os níveis de riscos aceitáveis identificados;
  - conduzir auditorias internas do SGSI a intervalos planejados;
  - realizar uma análise crítica do SGSI pela direção em bases regulares para assegurar que o escopo permanece adequado e que os processos estão sendo melhorados;
  - atualizar os planos de segurança da informação para levar em consideração os resultados das atividades de monitoramento e análise crítica;
  - registrar ações e eventos que possam ter um impacto na eficácia ou no desempenho do SGSI;
- Manter e melhorar o SGSI (Act) → a organização deve regularmente:
  - implementar as melhorias identificadas no SGSI;
  - aplicar as lições aprendidas de experiências de segurança da informação da própria e de outras organizações;
  - executar as ações preventivas e corretivas apropriadas;
  - comunicar as ações e melhorias a todas as partes interessadas com um nível de detalhe apropriado às circunstâncias, e se relevante, obter concordância sobre como proceder;
  - assegurar-se de que as melhorias atinjam os objetivos pretendidos;

Sistema de gestão de segurança da informação – Parte II
- Requisitos de documentação → a documentação deve incluir:
  - registros de decisões da direção, assegurar que as ações sejam rastreáveis às políticas e decisões da direção, e assegurar que os resultados registrados sejam reproduzíveis;
  - declarações documentadas do escopo, da política e objetivos do SGSI;
  - procedimentos e controles que apoiam o SGSI;
  - uma descrição da metodologia de análise/avaliação de riscos;
  - o relatório de análise/avaliação de riscos;
  - o plano de tratamento de riscos;
  - procedimentos para assegurar o planejamento efetivo, a operação, controle de seus processos e a medição da eficácia dos controles;
  - a declaração de aplicabilidade;
  - registro requeridos mencionados na norma;
- Controle de documentos → definição documentada de procedimentos com as ações de gestão necessárias para:
  - aprovar documentos para adequação antes de sua emissão;
  - analisar criticamente, atualizar e, quando necessário, reprovar documentos;
  - assegurar que as alterações e a situação da revisão atual dos documentos sejam identificados;
  - assegurar que as versões pertinentes de documentos aplicáveis estejam disponíveis nos locais de uso;
  - assegurar que os documentos permaneçam legíveis e prontamente identificáveis;
  - assegurar que os documentos estejam disponíveis àqueles que deles precisam;
  - assegurar que os documentos sejam transferidos, armazenados e descartados conforme procedimentos aplicáveis a sua classificação;
  - assegurar que os documentos de origem externa sejam identificados;
  - assegurar que a distribuição de documentos seja controlada;
  - prevenir o uso não intencional de documentos obsoletos;
  - aplicar identificação adequada nos casos em que sejam retidos para qualquer propósito;
- Controle de registros → registros devem:
  - ser estabelecidos e mantidos para fornecer evidências de conformidade aos requisitos e da operação eficaz do SGSI;
  - levar em consideração quaisquer requisitos legais ou regulamentares pertinentes e obrigações contratuais;
  - permanecer legíveis, prontamente identificáveis e recuperáveis;
  - ser mantidos registros do desempenho do processo e de todas as ocorrências de incidentes de segurança da informação significativos;
  - e deve-se também: documentar e implementar controles para a identificação, armazenamento, proteção, recuperação, tempo de retenção e disposição dos registros;

Responsabilidade da direção
- Evidências do comprometimento da direção → a direção deve fornecer evidências do seu comprometimento com o SGSI por meio do(a):
  - estabelecimento da política, dos planos e objetivos do SGSI;
  - estabelecimento dos papéis e responsabilidades pela segurança da informação;
  - comunicação à organização da importância em atender:
    - os objetivos de segurança da informação;
    - a conformidade com a política de segurança da informação;
    - suas responsabilidades perante a lei;
    - as necessidades de melhoria contínua;
  - provisão de recursos suficientes para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI;
  - definição de critérios para aceitação de riscos e dos níveis de riscos aceitáveis;
  - garantia de que as auditorias internas do SGSI sejam realizadas;
  - condução de análises críticas do SGSI pela direção;
- Gestão de recursos → a organização deve determinar e prover os recursos necessários para:
  - estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI;
  - assegurar que os procedimentos de segurança da informação apoiam os requisitos de negócio;
  - identificar e tratar os requisitos legais e regulamentares e obrigações contratuais de segurança da informação;
  - manter a segurança da informação adequada pela aplicação correta de todos os controles implementados;
  - realizar análises críticas e, quando necessário, reagir adequadamente aos resultados destas análises críticas;
  - melhorar a eficácia do SGSI quando for requerido;
- Treinamento, conscientização e competência → a organização deve assegurar que todo o pessoal responsável seja competente para desempenhar as atividades, como:
  - determinar as competências necessárias para o pessoal que executa trabalhos que afetam o SGSI;
  - fornecer treinamento ou ações relacionadas para satisfazer essas necessidades;
  - avaliar a eficácia das ações de treinamento executadas;
  - manter registros de educação, treinamento, habilidades, experiências e qualificações;
  - conscientizar sobre a relevância e importância das atividades de segurança da informação de todo o pessoal pertinente;

Auditorias internas do SGSI
- Conduzir auditorias internas do SGSI a intervalos regulares → para determinar se os objetivos de controles, controles, processos e procedimentos:
  - atendem aos requisitos desta norma e à legislação ou regulamentações pertinentes;
  - atendem aos requisitos de segurança da informação identificados;
  - estão mantidos e implementados eficazmente;
  - são executados conforme esperado;
- Planejar um programa de auditoria → considerando:
  - a situação e a importância dos processos e áreas a serem auditadas, bem como os resultados de auditorias anteriores;
  - os critérios da auditoria, escopo, frequência e métodos definidos;
  - a seleção dos auditores e a execução das auditorias baseadas em objetividade e imparcialidade a partir do processo de auditoria;
  - a não auditoria do seu próprio trabalho;
  - as ações sejam executadas, sem demora indevida, asseguradas pelo responsável da área, para eliminar as não-conformidades detectadas e suas causas;

Análise crítica do SGSI pela direção
- Análise crítica a direção → a direção deve analisar criticamente o SGSI a intervalos regulares, ao menos uma vez ao ano, e:
  - assegurar a contínua pertinência, adequação e eficácia do SGSI;
  - incluir a avaliação de oportunidades para a melhoria e a de necessidades de mudanças do SGSI, da política e dos objetivos;
  - claramente documentar os resultados e manter os registros;
- Entradas → as entradas da análise crítica pela direção devem incluir:
  - resultados de auditorias internas do SGSI de análises críticas;
  - a realimentação das partes interessadas;
  - as técnicas, produtos ou procedimentos que podem ser usados na organização para melhorar o desempenho e a eficácia do SGSI;
  - situação das ações preventivas e corretivas;
  - vulnerabilidades ou ameaças não contempladas adequadamente nas análises/avaliações de risco anteriores;
  - resultados da eficácia das medições;
  - acompanhamento das ações oriundas de análises críticas anteriores pela direção;
  - quaisquer mudanças que possam afetar o SGSI;
  - as recomendações para melhoria;
- Saídas → as saídas da análise crítica pela direção devem incluir:
  - a melhoria da eficácia do SGSI;
  - a atualização da análise/avaliação de riscos e do plano de tratamento de riscos;
  - a modificação de procedimentos e controles que afetem a segurança da informação, quando necessário, para responder a eventos internos e externos;
  - necessidades de recursos;
  - melhoria de como a eficácia dos controles está sendo medida

Melhoria do SGSI
- Melhoria contínua → a organização deve continuamente melhorar a eficácia do SGSI por meio do uso:
  - da política de segurança da informação;
  - dos objetos de segurança da informação;
  - dos resultados de auditorias;
  - das análises de eventos monitorados;
  - de ações corretivas e preventivas;
  - da análise críticas da direção;
- Ações corretivas → a organização deve executar ações corretivas para eliminar as causas de não-conformidades com os requisitos do SGSI de forma a evitar sua repetição, como:
  - identificar não-conformidades e determinar suas causas;
  - avaliar a necessidade de ações para assegurar que aquelas não-conformidades não ocorram novamente;
  - determinar e implementar as ações corretivas necessárias;
  - analisar criticamente as ações corretivas executadas;
  - registrar os resultados das ações executadas;
- Ações preventivas → a organização deve executar ações preventivas para eliminar causas de não-conformidades potenciais com os requisitos do SGSI de forma evitar sua ocorrência, como:
  - identificar não-conformidades potenciais e determinar suas causas;
  - avaliar a necessidade de ações para evitar a ocorrência de não-conformidades;
  - determinar e implementar as ações preventivas necessárias;
  - analisar criticamente as ações preventivas executadas;
  - registrar os resultados de ações executadas;

Controles para a Gestão de Segurança da Informação

Norma 27.002 → Práticas para a gestão de Segurança da Informação;
- tem como objetivo identificar os riscos e implantar controles que de forma efetiva torne-os gerenciáveis e minimizados;
- não há garantias que estes controles tornem a segurança inviolável, mas procura reduzir os riscos a nível aceitável pela organização;
- apresenta orientações efetivas para o processo de segurança da informação na organização e os principais elementos desse processo que devem ser desenvolvidos e implantados;
- os requisitos de segurança da informação são identificados por meio de uma análise/avaliação sistemática dos riscos de segurança da informação;
- os gastos com os controles precisam ser compatíveis com os danos causados ao negócio gerados pelas potenciais falhas na segurança da informação;
- a seleção de controle de segurança da informação depende das decisões da organização, baseadas nos critérios para aceitação de risco;

Introdução
- A informação
  - A informação, seja impressa, eletrônica ou falada, é um ativo que é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegida para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio;
  - A segurança da informação decorre da implementação de conjunto de controles adequados, como políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware, que precisam ser estabelecidos, implementados, operados, monitoramentos, analisados criticamente, mantidos e melhorados;
- Controles iniciais → controles aplicáveis a maioria das organizações, entretanto recomenda-se selecionar controles a partir da análise/avaliação de riscos;
  - Controles essenciais e legais
    - proteção de dados e privacidade de informações pessoais;
    - proteção de registros organizacionais;
    - direitos de propriedade intelectual;
  - Controles e práticas
    - elaborar documento de política de segurança da informação;
    - atribuir responsabilidades para a segurança da informação;
    - conscientizar, educar e treinar em segurança da informação;
    - processamento correto nas aplicações;
    - gestão de vulnerabilidades técnicas;
    - gestão da continuidade do negócio;
    - gestão de incidentes e melhorias em segurança da informação;
- Fatores críticos de sucesso
  - política de segurança da informação, com objetivos e atividades que reflitam os objetivos de negócio;
  - uma abordagem consistente com a cultura da organização;
  - comprometimento e apoio visível dos níveis gerenciais;
  - bom entendimento dos requisitos de segurança da informação, da análise/avaliação e da gestão de riscos;
  - divulgação eficiente da segurança da informação para todas as partes envolvidas;
  - distribuição de diretrizes e normas sobre a política de segurança da informação para todas as partes envolvidas;
  - provisão de recursos financeiros para as atividades de gestão da segurança da informação;
  - conscientização, treinamento e educação adequados;
  - estabelecimento de um eficiente processo de gestão de incidentes de segurança da informação;
  - implementação de um sistema de medição (avalia o desempenho da gestão da segurança da informação e propõe melhorias);

Objetivos
- Estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar (IIManMe) a gestão de segurança da informação em uma organização;

Termos e definições
- Ativo
  - qualquer coisa que tenha valor para a organização;
- Controle
  - é a forma de gerenciar o risco, como políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais;
  - podem ter natureza administrativa, técnica, de gestão ou legal;
- Diretriz
  - descrição que orienta o que deve ser feito e como para se alcançar os objetivos estabelecidos nas políticas;
- Recursos de processamento da informação
  - qualquer sistema de processamento da informação, serviço ou infraestrutura, ou instalações físicas que os abriguem;
- Segurança da informação
  - preservação da confidencialidade, integridade e disponibilidade da informação; e adicionalmente autenticidade, responsabilidade, não repúdio e confiabilidade;
- Evento de segurança da informação
  - ocorrência identificada de alteração do estado um sistema, serviço ou rede que indica:
    - possível violação da PSI, ou;
    - falha nos controles, ou;
    - situação previamente desconhecida;
- Incidente de segurança da informação
  - um simples ou série de eventos de segurança da informação indesejados ou inesperados;
  - com grande probabilidade de comprometer as operações do negócio;
- Política
  - intenções e diretrizes globais e formalmente expressas pela direção;
- Risco
  - combinação da probabilidade de um evento e de duas consequências;
  - a probabilidade de uma fonte de ameaça explorar uma vulnerabilidade e resultar em um impacto para a organização;
- Análise do riscos
  - uso sistemático de informações para identificar fontes e estimar o risco, envolve a observação inicial da situação;
- Avaliação de riscos
  - compara-se o risco estimado com critérios pré-definidos para determinar a importância do risco;
- Análise e avaliação de riscos
  - uso sistemático de informações para identificar fontes e estimar o risco, e;
  - compara-se o risco estimado com critérios pré-definidos para determinar a importância do risco;
- Gestão de riscos
  - atividades coordenadas para direcionar e controlar uma organização no que tange a riscos;
  - definição de contexto, e análise/avaliação, tratamento, aceitação e comunicação de riscos;
- Tratamento de riscos
  - processo de seleção e implementação de medidas para modificar um risco;
- Terceira parte
  - pessoa ou organismo reconhecido como independente das partes envolvidas, referente a um dado assunto;
- Ameaça
  - causa potencial de um incidente indesejado que possa provocar dano a um sistema ou organização;
  - mediante a exploração de uma determinada vulnerabilidade;
- Vulnerabilidade
  - fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças;

Estrutura da norma → a norma é formada:
- seções iniciais;
- seção preliminar que trata a análise/avaliação e o tratamento de riscos;
- 11 seções de controles de segurança da informação;
  - 39 categorias principais de controles;
  - 39 objetivos de controles, um para cada categoria principal, que define o que deve ser alcançado;
  - 113 controles;
  - não há ordenação;
  - estrutura da seções: objetivo de controle, controle, diretrizes e informações adicionais;

Análise/Avaliação e tratamento de riscos → convém que:
- identifiquem, quantifiquem e priorizem os riscos com base em critérios para aceitação dos riscos e dos objetivos relevantes para a organização;
- inclua um enfoque sistemático de estimar a magnitude do risco (análise de risco);
- inclua um processo para comparar os riscos estimados contra os critérios de risco para determinar a significância do risco (avaliação do risco);
- sejam realizadas periodicamente, para contemplar as mudanças nos requisitos de segurança da informação e na situação do risco;
- sejam realizadas a partir de mudanças significativa no ambiente;
- definir os critérios de aceitação de risco antes de realizar o tratamento dos riscos;
- uma decisão de tratamento seja tomada para cada risco identificado;
- opções de tratamento do risco:
  - aplicar controles para redução do risco;
  - conhecer objetivamente e aceitar o risco;
  - evitar os riscos, proibindo ações que possam causar o risco;
  - transferir para outras partes;
- Atenção: a análise/avaliação de riscos resulta na seleção de adequada de controles!

Seções, categoria de controle, objetivo dos controles e controles

Política de segurança da informação
- Política de segurança da informação → provê uma orientação da direção para a segurança da informação com foco no requisitos do negócio e conformidade com leis e regulamentações;
  - Documento da política de segurança da informação
    - convém que um documento da PSI seja aprovado pela direção, publicado e comunicado a todos as partes interessadas;
  - Análise crítica da política de segurança da informação
    - convém que a PSI seja analisada criticamente para assegurar a sua contínua pertinência, adequação e eficácia;

Organização da segurança da informação
- Infraestrutura da segurança da informação → gerenciar a infraestrutura dentro da organização;
  - Comprometimento da direção com a segurança da informação
    - convém que a direção apoie ativamente a segurança da informação dentro da organização;
    - por meio de um claro direcionamento, demonstrando seu comprometimento, definindo explicitamente atribuições e conhecendo as responsabilidades;
  - Coordenação da segurança da informação
    - convém que as atividades de segurança da informação;
    - sejam coordenadas por representantes de diferentes partes da organização com funções e papéis relevantes;
  - Atribuição de responsabilidade para a segurança da informação
    - convém que todas as responsabilidades estejam claramente definidas, e;
    - que os responsáveis possuam poderes necessários para a implementação e operação dos controles;
    - a fim de viabilizar o atendimento aos requisitos de segurança;
  - Processo de autorização para os recursos de processamento da informação
    - convém que seja definido e implementado um processo de gestão de autorização para os novos recursos de processamento da informação;
  - Acordos de confidencialidade
    - convém que os requisitos para confidencialidade ou acordos de não divulgação reflitam as necessidade da organização;
    - sejam identificados, analisados criticamente e revisados de forma regular;
  - Contato com autoridades
    - convém que contatos apropriados com autoridades relevantes sejam mantidos;
  - Contrato com grupos especiais
    - convém que sejam mantidos contatos apropriados com grupos de interesses especiais, ou;
    - outros fóruns especializados em segurança da informação e associações profissionais;
- Partes externas → manter a segurança dos recursos de processamento da informação e da informação da organização que são acessados, processados ou gerenciados por partes externas;
  - Identificação dos riscos relacionados com partes externas
    - convém que os riscos relacionados a partes externas sejam identificados e sejam implementados controles apropriados antes de se conceder o acesso;
    - quando envolvam recursos de processamento da informação e informação da organização oriundos de processos de negócio;
  - Identificar requisitos de segurança da informação quando tratando com clientes
    - convém que todos os requisitos de segurança da informação identificados sejam considerados;
    - antes de conceder aos clientes o acesso aos ativos ou às informações da organização;
  - Identificar requisitos de segurança da informação nos acordos com terceiros
    - convém que os acordos com terceiros cubram todos os requisitos relevantes de segurança da informação;
    - quando envolvem o acesso, processamento, comunicação ou;
    - gerenciamento de recursos de processamento da informação, informação da organização, ou;
    - acréscimo de produtos ou serviços aos recursos de processamento da informação;

Gestão de ativos
- Responsabilidade pelos ativos → alcançar e manter a proteção adequada dos ativos da organização;
  - Inventários dos ativos
    - convém que todos os ativos sejam claramente identificados e;
    - seja estruturado e mantido um inventário de todos os ativos importantes;
  - Proprietário dos ativos
    - convém que todas as informações e ativos associados com os recursos de processamento da informação;
    - tenham um proprietário designado por uma parte definida da organização;
    - a fim de que seja responsável pela implementação dos controles de segurança, ainda que a implantação seja delegada;
  - Uso aceitável dos ativos
    - convém que sejam identificadas, documentadas e implementadas regras;
    - a fim de que sejam permitidos o uso de informações e de ativos associados aos recursos de processamento da informação;
- Classificação da informação → assegurar que a informação receba um nível adequado de proteção;
  - Recomendações para classificação
    - convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização;
    - seja efetuada pelo proprietário do ativo;
  - Rótulos e tratamento da informação
    - convém que um conjunto apropriado de procedimentos para rotulação e tratamento da informação seja definido e implementado de acordo com o esquema de classificação;

Segurança em recursos humanos
- Antes da contratação → assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com seus papéis a fim de reduzir o risco de roubo, fraude ou mau uso dos recursos;
  - Papéis e responsabilidades
    - convém que papéis e responsabilidades pela segurança da informação de funcionários, fornecedores e terceiros sejam identificados e documentados de acordo com a PSI;
  - Seleção
    - convém que verificações de controle de todos os candidatos a empregos, fornecedores e terceiros sejam realizadas de acordo com as leis relevantes, regulamentações e éticas;
    - de forma proporcional: aos requisitos do negócio, à classificação das informações a serem acessadas e aos riscos percebidos;
  - Termos e condições de contratações
    - como parte das suas obrigações contratuais, convém que os funcionários, fornecedores e terceiros concordem e assinem os termos e condições de sua contratação para o trabalho;
    - os quais devem declarar suas responsabilidades e a da organização para a segurança da informação;
- Durante a contratação → assegurar que os funcionários, fornecedores e terceiros estão conscientes das ameaças e preocupações relativas à segurança da informação, suas responsabilidades e obrigações, e preparados para a apoiar a PSI da organização durante os seus trabalhos normais a fim de reduzir o risco de erro humano;
  - Responsabilidades da direção
    - convém que a direção solicite aos funcionários, fornecedores e terceiros que:
    - pratiquem a segurança da informação de acordo com o estabelecido nas políticas e procedimentos da organização;
  - Conscientização, educação e treinamento em segurança da informação
    - convém que todos os funcionários da organização e, onde pertinente, fornecedores e terceiros que:
    - recebam treinamento apropriado em conscientização, atualizações regulares nas políticas e procedimentos organizacionais relevantes para suas funções;
  - Processo disciplinar
    - convém que exista um processo disciplinar formal para os funcionários que tenham cometido uma violação da segurança da informação;
- Encerramento ou mudança da contratação → assegurar que funcionários, fornecedores e terceiros deixem a organização ou mudem de função de forma ordenada;
  - Encerramento de atividades
    - convém que responsabilidades para realizar o encerramento ou a mudança de um trabalho sejam claramente definidas e atribuídas;
  - Devolução de ativos
    - convém que todos os funcionários, fornecedores e terceiros devolvem todos os ativos da organização que estejam em sua posse;
    - após o encerramento de suas atividades, do contrato ou acordo;
  - Retirada dos direitos de acesso
    - convém que os direitos de acesso de todos os funcionários, fornecedores e terceiros à informações e aos recursos de processamento de informação;
    - sejam retirados após o encerramento de suas atividades, contratos ou acordos, ou ajustado após a mudança destas atividades;

Segurança física e do ambiente
- Áreas seguras → prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização;
  - Perímetro de segurança física
    - convém que sejam utilizados perímetros de segurança para proteger as áreas que contenham informações e instalações de processamento de informação;
  - Controles de entrada física
    - convém que as áreas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso;
  - Segurança em escritórios, salas e instalações
    - convém que escritórios, salas e instalações sejam projetados e aplicada a segurança física;
  - Proteção contra ameaças externas e do meio ambiente
    - convém que sejam projetadas e aplicadas proteção física contra:
    - incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e outras formas de desastres naturais ou causados pelo homem;
  - Trabalhando em área seguras
    - convém que seja projetada e aplicada proteção física, bem como diretrizes para o trabalho em áreas seguras;
  - Acesso público, áreas de entrega e de carregamento
    - convém que os pontos de acesso sejam controlados e, se possível, isolados das instalações de processamento da informação, para evitar o acesso não autorizado;
    - tais como áreas de entrega e de carregamento e outros pontos em que pessoas não autorizadas possam entrar nas instalação;
- Segurança de equipamentos → impedir perdas, danos, furtos ou comprometimento de ativos e que causem interrupção das atividades da organização;
  - Instalação e proteção de equipamentos
    - convém que os equipamentos sejam protegidos para reduzir os riscos de ameaças, perigos do meio ambiente e oportunidades de acesso não autorizado;
  - Utilidades
    - convém que os equipamentos sejam protegidos contra falta de energia elétrica e outras interrupções causadas por falhas das utilidades;
  - Segurança do cabeamento
    - convém que o cabeamento de energia e de telecomunicações que transporta dados ou dá suporte aos serviços de informações seja protegido contra interceptação ou danos;
  - Manutenção dos equipamentos
    - convém que os equipamentos tenham uma manutenção correta para assegurar sua disponibilidade e integridade permanentes;
  - Segurança de equipamentos fora das dependências da organização
    - convém que sejam tomadas medidas de segurança para equipamentos que operem fora do local;
    - levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependências da organização;
  - Reutilização e alienação segura de equipamentos
    - convém que todos os equipamentos que contenham mídias de armazenamento de dados sejam examinadas antes do descarte;
    - a fim de assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos ou sobregravados com segurança;
  - Remoção de propriedade
    - convém que os equipamentos, informações ou software não sejam retirados do local sem autorização prévia;

Gerenciamento das operações e comunicações
- Procedimentos e responsabilidades operacionais → assegurar a operação segura e correta dos recursos de processamento da informação;
  - Documentação dos procedimentos de operação
    - convém que os procedimentos de operação sejam documentados, mantidos atualizados e disponíveis a todos os usuários que deles necessitem;
  - Gestão de mudanças
    - convém que modificações nos recursos de processamento da informação e sistema sejam controladas;
  - Segregação de funções
    - convém que funções e áreas de responsabilidades sejam segregadas;
    - a fim de reduzir as oportunidades de modificação ou uso indevido não autorizado ou não intencional dos ativos da organização;
  - Separação dos recursos de desenvolvimento, teste e de produção
    - convém que recursos de desenvolvimento, teste e produção sejam separados;
    - a fim de reduzir o risco de acessos ou modificações não autorizadas aos sistemas operacionais;
- Gerenciamento de serviços terceirizados → implementar e manter o nível apropriado de segurança da informação e de entrega de serviços em consonância com acordos de entrega de serviços terceirizados;
  - Entrega de serviços
    - convém que seja garantido que os controles da segurança, as definições de serviço e os níveis de entrega incluídos no acordo de entrega de serviços terceirizados;
    - sejam implementados, executados e mantidos pelo terceiro;
  - Monitoramento e análise crítica de serviços terceirizados
    - convém que os serviços, relatórios e registros fornecidos por terceiro;
    - sejam regularmente monitorados e analisados criticamente, e que auditorias sejam executadas regularmente;
  - Gerenciamento de mudanças para serviços terceirizados
    - convém que mudanças no provisionamento dos serviços, incluindo manutenção e melhoria da PSI, de procedimentos e controles existentes;
    - sejam gerenciados levando-se em conta a criticidade dos sistemas e processos de negócio envolvidos e a reanálise/reavaliação de riscos;
- Planejamento e aceitação de sistemas → minimizar o risco de falhas nos sistemas;
  - Gestão de capacidade
    - convém que a utilização dos recursos seja monitorada e sincronizada e as projeções feitas para necessidades de capacidade futura;
    - a fim de garantir o desempenho requerido do sistema;
  - Aceitação de sistemas
    - convém que sejam estabelecidos critérios de aceitação para novos sistemas, atualizações e novas versões;
    - bem como sejam efetuados testes apropriados dos sistemas durante seu desenvolvimento e antes de sua aceitação;
- Proteção contra códigos maliciosos e códigos móveis → proteger a integridade do software e da informação;
  - Controles contra códigos maliciosos
    - convém que sejam implantados controles de detecção, prevenção e recuperação;
    - a fim de proteger contra códigos maliciosos, assim como procedimentos para a devida conscientização dos usuários;
  - Controles contra códigos móveis
    - convém que a configuração garanta que o código móvel autorizado opere de acordo com uma PSI claramente definida;
    - bem como que códigos móveis não autorizados tenham sua execução impedida;
- Cópias de segurança → manter a integridade e disponibilidade da informação e dos recursos de processamento de informação;
  - Cópias de segurança das informações
    - convém que as cópias de segurança das informações e dos softwares sejam efetuadas e testadas regularmente conforme a política de geração de cópias de segurança definida;
- Gerenciamento da segurança em redes → assegurar a proteção das informações em redes e a proteção da infraestrutura de suporte;
  - Controle de redes
    - convém que as redes sejam adequadamente gerenciadas e controladas;
    - a fim de protegê-las contra ameaças e manter a segurança de sistemas e aplicações que utilizam estas redes, incluindo a informação em trânsito;
  - Segurança dos serviços de rede
    - convém que as características de segurança, níveis de serviço e requisitos de gerenciamento dos serviços de rede;
    - sejam identificados e incluídos em qualquer acordo de serviços de rede, tanto para serviços de rede providos internamente ou terceirizados;
- Manuseio de mídias → prevenir contra divulgação não autorizada, modificação, remoção ou destruição aos ativos e interrupções das atividades do negócio;
  - Gerenciamento de mídias removíveis
    - convém que existam procedimentos implementados para o gerenciamento de mídias removíveis;
  - Descarte de mídias
    - convém que as mídias sejam descartadas de forma segura e protegida quando não forem mais necessárias por meio de procedimentos formais;
  - Procedimentos para tratamento de informação
    - convém que sejam estabelecidos procedimentos para o tratamento e armazenamento de informações;
    - a fim de proteger tais informações contra a divulgação não autorizada ou uso indevido;
  - Segurança da documentação dos sistemas
    - convém que a documentação dos sistemas seja protegida contra acessos não autorizados;
- Troca de informação → manter a segurança da informação transferida dentro da organização e com e entidades externas;
  - Política e procedimentos para troca de informações
    - convém que políticas, procedimentos e controles sejam estabelecidos e formalizados;
    - a fim de proteger a troca de informação em todos os tipos de recursos de comunicação;
  - Acordos para a troca de informações
    - convém que sejam estabelecidos acordos para a troca de informações e softwares entre a organização e entidades externas;
  - Mídias em trânsito
    - convém que mídias contendo informações sejam protegidas contra acesso não autorizado, uso impróprio ou alteração indevida durante o transporte externo aos limites físicos da organização;
  - Mensagens eletrônicas
    - convém que as informações que trafegam em mensagens eletrônicas sejam adequadamente protegidas;
  - Sistemas de informações do negócio
    - convém que políticas e procedimentos sejam desenvolvidos e implementados para proteger as informações associadas com a interconexão de sistemas de informações do negócio;
- Serviços de comércio eletrônico → assegurar a segurança de serviços de comércio eletrônico e sua utilização segura;
  - Comércio eletrônico
    - convém que as informações envolvidas em comércio eletrônico transitando sobre redes públicas;
    - sejam protegidas de atividades fraudulentas, disputas contratuais e divulgação e modificações não autorizadas;
  - Transações on-line
    - convém que informações envolvidas em transações on-line sejam protegidas;
    - a fim de prevenir transmissões incompletas, erros de roteamento, alterações não autorizadas de mensagens, divulgação não autorizada, duplicação ou reapresentação de mensagem não autorizada;
  - Informações publicamente disponíveis
    - convém que a integridade das informações disponibilizadas em sistemas publicamente acessíveis seja protegida para prevenir modificações não autorizadas;
- Monitoramento → detectar atividades não autorizadas de processamento da informação;
  - Registros de auditoria
    - convém que registros de auditoria contendo atividades do usuário, exceções e outros eventos de segurança da informação;
    - sejam produzidos e mantidos por um período de tempo acordado para auxiliar em futuras investigações e monitoramento de controle de acesso;
  - Monitoramento do uso do sistema
    - convém que sejam estabelecidos procedimentos para o monitoramento do uso dos recursos de processamento da informação, e;
    - os resultados das atividades de monitoramento sejam analisados criticamente, de forma regular;
  - Proteção das informações dos registros
    - convém que os recursos e informações de registros sejam protegidos contra falsificação e acesso não autorizado;
  - Registros de administrador e operador
    - convém que as atividades dos administradores e operadores do sistema sejam registradas;
  - Registro de falhas
    - convém que as falhas ocorridas sejam registradas e analisadas, e que sejam adotadas ações apropriadas;
  - Sincronização dos relógios
    - convém que os relógios de todos os sistemas de processamento de informações relevantes sejam sincronizados de acordo com uma hora oficial;

Controle de acesso
- Requisitos do negócio para controle de acesso → controlar e limitar o acesso à informação a partir dos requisitos do negócio;
  - Política de controle de acesso
    - convém que a política de controle de acesso seja estabelecida, documentada e analisada criticamente;
    - tomando-se por base os requisitos de acesso dos negócios e a segurança da informação;
- Gerenciamento de acesso do usuário → assegurar o acesso de usuários autorizados e prevenir acesso não autorizado a sistemas de informação;
  - Registro de usuário
    - convém que exista um procedimento formal de registro e cancelamento de usuário para garantir a revogação de acessos em todos os sistema de informação e serviços;
  - Gerenciamento de privilégios
    - convém que a concessão e o uso de privilégios sejam restritos e controlados;
  - Gerenciamento de senha do usuário
    - convém que a concessão de senhas seja controlada por meio de um processo de gerenciamento formal;
  - Análise crítica dos direitos de acesso de usuário
    - convém que o gestor conduza a intervalos regulares a análise crítica dos direitos de acesso dos usuários por meio de um processo formal;
- Responsabilidades dos usuários → prevenir o acesso não autorizado dos usuários e evitar o comprometimento ou roubo da informação e dos recursos de processamento da informação;
  - Uso de senhas
    - convém que os usuários sejam solicitados a seguir as boas práticas de segurança da informação na seleção e uso de senhas;
  - Equipamentos de usuário sem monitoração
    - convém que os usuários asseguram que os equipamentos não monitorados tenham proteção adequada;
  - Política de mesa limpa e tela limpa
    - convém que seja adotada uma política de mesa limpa de papéis e mídias de armazenamento removível e política de tela limpa para os recursos de processamento da informação;
- Controle de acesso a rede → prevenir acesso não autorizado aos serviços de rede;
  - Política de uso dos serviços de rede
    - convém que os usuários recebam acesso somente para os serviços que tenham sido especificamente autorizados a usar;
  - Autenticação para conexão externa do usuário
    - convém que métodos apropriados de autenticações sejam usados para controlar acesso de usuários remotos;
  - Identificação de equipamentos em redes
    - convém que sejam consideradas as identificações automáticas de equipamentos como um meio de autenticar conexões vindas de localizações e equipamentos específicos;
  - Proteção e configuração de portas de diagnóstico remotas
    - convém que seja controlado o acesso físico e lógico das portas de diagnóstico e configuração;
  - Segregação de redes
    - convém que grupos de serviços de informação, usuário e sistemas de informação sejam segregados em redes;
  - Controle de conexão de rede
    - convém que a capacidade dos usuários para conectar-se à rede seja restrita, alinhada com a política de controle de acesso e os requisitos das aplicações do negócio;
    - para redes compartilhadas, especialmente essas que se estendem pelos limites da organização;
  - Controle de roteamento de redes
    - convém que seja implementado controle de roteamento na rede;
    - a fim de assegurar que as conexões de computador e fluxo de informações não violem a política de controle de acesso das aplicações do negócio;
- Controle de acesso ao sistema operacional → prevenir acesso não autorizado aos sistemas operacionais;
  - Procedimentos seguros de entrada no sistema
    - convém que o acesso aos sistemas operacionais seja controlado por um procedimento seguro de entrada no sistema;
  - Identificação e autenticação de usuário
    - convém que todos os usuários tenham um identificador único para uso pessoal e exclusivo;
    - convém que uma técnica adequada de autenticação seja escolhido para validar a identidade alegada por um usuário;
  - Sistema de gerenciamento de senha
    - convém que seja estabelecido um sistema de gerenciamento de senhas que assegurem senhas de qualidade;
  - Uso de utilitários de sistema
    - convém que seja restrito e estritamente controlado o uso de programas utilitários que podem ser capazes de sobrepor os controles dos sistemas e aplicações;
  - Desconexão de terminal por inatividade
    - convém que terminais inativos sejam desconectados após um período definido de inatividade;
  - Limitação de horário de conexão
    - convém que restrições de horário de conexão sejam utilizadas para proporcionar segurança adicional para aplicações de alto risco;
- Controle de acesso à aplicação e à informação → prevenir acesso não autorizado à informação contida nos sistemas;
  - Restrição de acesso à informação
    - convém que o acesso à informação e às funções dos sistemas de aplicações por usuários e pessoal de suporte seja restrito de acordo com o definido na política de controle de acesso;
  - Isolamento de sistemas sensíveis
    - convém que sistemas sensíveis tenham um ambiente computacional dedicado;
- Computação móvel e trabalho removo → garantir a segurança da informação quando se utilizam a computação móvel e recursos de trabalho remoto;
  - Computação e comunicação móvel
    - convém que uma política formal seja estabelecida e que medidas de segurança apropriadas sejam adotadas;
    - a fim de proteger contra os riscos do uso de recursos de computação e comunicação móveis;
  - Trabalho remoto
    - convém que uma política, planos operacionais e procedimentos sejam desenvolvidos e implementados para atividades de trabalho remoto;

Aquisição, desenvolvimento e manutenção de sistemas
- Requisitos de segurança de sistemas de informação → garantir que a segurança da informação seja integrante de todo ciclo de vida dos sistemas;
  - Análise e especificação dos requisitos de segurança
    - convém que sejam incluídos requisitos para controles de segurança nas especificações de requisitos de negócio;
    - para novos sistemas de informação ou melhorias em sistemas existentes;
- Processamento correto nas aplicações → prevenir a ocorrência de erros, perdas, modificações não autorizadas ou mau uso de informações em aplicações;
  - Validação dos dados de entrada
    - convém que os dados de entrada de aplicações sejam validados;
    - a fim de garantir que são corretos e apropriados;
  - Controle do processamento interno
    - convém que sejam incorporadas, nas aplicações, checagens de validação com o objetivo de detectar qualquer corrupção de informações por erros ou por ações deliberadas;
  - Integridade de mensagens
    - convém que requisitos para garantir a autenticidade e proteger a integridade das mensagens em aplicações;
    - sejam identificados e os controles apropriados sejam identificados e implementados;
  - Validação de dados de saída
    - convém que os dados de saída das aplicações;
    - sejam validados para assegurar que o processamento das informações armazenadas está correto e é apropriado às circunstâncias;
- Controles criptográficos → assegurar o uso apropriado de meios criptográficos para proteger a confidencialidade, a autenticidade e/ou a integridade da informação;
  - Política para o uso de controles criptográficos
    - convém que seja desenvolvida e implementada uma política para o uso de controles criptográficos para a proteção da informação;
  - Gerenciamento de chaves
    - convém que um processo de gerenciamento de chaves seja implantado para apoiar o uso de técnicas criptográficas pela organização;
- Segurança dos arquivos de sistema → garantir a segurança da informação dos arquivos de sistema;
  - Controle de software operacional
    - convém que procedimentos para controlar a instalação de software em sistemas operacionais sejam implementados;
  - Proteção dos dados para teste de sistema
    - convém que os dados de teste sejam selecionados com cuidado, protegidos e controlados;
  - Controle de acesso ao código-fonte de programa
    - convém que o acesso ao código-fonte de programa seja restrito;
- Segurança em processos de desenvolvimento e suporte → manter a segurança da informação e dos sistemas;
  - Procedimentos para controle de mudanças
    - convém que a implementação de mudanças seja controlada utilizando procedimentos formais de controle de mudanças;
  - Análise crítica técnica das aplicações após mudanças no sistema operacional
    - convém que aplicações críticas de negócios sejam analisadas criticamente e testadas quando sistemas operacionais são mudados;
    - a fim de garantir que não haverá impacto adverso na operação da organização ou na segurança;
  - Restrições sobre mudanças em pacotes de software
    - convém que modificações em pacotes de software não sejam incentivadas e limitadas às mudanças necessárias e que todas as mudanças sejam estritamente controladas;
  - Vazamento de informações
    - convém que oportunidades para vazamento de informações sejam prevenidas;
  - Desenvolvimento terceirizado de software
    - convém que a organização supervisione e monitore o desenvolvimento terceirizado de software;
- Gestão de vulnerabilidades técnicas → reduzir riscos resultantes da exploração de vulnerabilidades técnicas conhecidas;
  - Controle de vulnerabilidades técnicas
    - convém que seja obtida informação em tempo hábil sobre vulnerabilidades técnicas dos sistemas de informação em uso;
    - bem como avaliar a exposição da organização a estas vulnerabilidades e tomar medidas apropriadas para lidar com os riscos associados;

Gestão de incidentes de segurança da informação
- Notificação de fragilidades e eventos de segurança da informação → assegurar que fragilidades e eventos de segurança da informação associados com sistema de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil;
  - Notificação de eventos de segurança da informação
    - convém que os eventos de segurança da informação sejam relatados por meio dos canais apropriados da direção, o mais rapidamente possível;
  - Notificação de fragilidades de segurança da informação
    - convém que os funcionários, fornecedores e terceiros de sistemas e serviços de informação sejam instruídos a registrar e notificar qualquer observação ou suspeita de fragilidades em sistema ou serviços;
- Gestão de incidentes de segurança da informação e melhorias → assegurar que um enfoque consistente e efetivo seja aplicado à gestão de incidentes de segurança da informação;
  - Responsabilidades e procedimentos
    - convém que responsabilidades e procedimentos de gestão sejam estabelecidos;
    - a fim de assegurar respostas rápidas, efetivas e ordenadas a incidentes de segurança da informação;
  - Aprender com os incidentes de segurança da informação
    - convém que sejam estabelecidos mecanismos para permitir que tipos, quantidades e custos dos incidentes de segurança da informação sejam quantificados e monitorados;
  - Coleta de evidências
    - convém que evidências sejam coletadas, armazenadas e apresentadas em conformidade com as normas pertinentes de armazenamento de evidências da jurisdição;
    - nos casos em que uma ação contra uma pessoa ou organização, após um incidente de segurança da informação, envolva uma ação legal;

Gestão da continuidade do negócio
- Aspectos da gestão da continuidade do negócio relativos à segurança da informação → não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso;
  - Incluir segurança da informação no processo de gestão da continuidade de negócio
    - convém que um processo de gestão seja desenvolvido e mantido para assegurar a continuidade do negócio por toda a organização, e;
    - que contemple os requisitos de segurança da informação necessário para a continuidade do negócio da organização;
  - Continuidade de negócios e análise/avaliação de riscos
    - convém identificar os eventos que podem causar interrupções aos processos de negócio, junto a probabilidade e impacto de tais interrupções e as consequências para a segurança de informação;
  - Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação
    - convém que os planos sejam desenvolvidos e implementados para a manutenção ou recuperação das operações, e;
    - a fim de assegurar a disponibilidade da informação, no nível requerido e na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio;
  - Estrutura do plano de continuidade do negócio
    - convém que uma estrutura básica dos planos de continuidade do negócio seja mantida para assegurar que todos os planos são consistentes;
    - a fim de contemplar os requisitos de segurança da informação e para identificar prioridades para testes e manutenção;
  - Testes, manutenção e reavaliação dos planos de continuidade do negócio
    - convém que os planos de continuidade do negócio sejam testados e atualizados regularmente;
    - de forma a assegurar sua permanente atualização e efetividade;

Conformidade
- Conformidade com requisitos legais → evitar a violação de obrigações legais, estatutárias, regulamentares, contratuais e de qualquer requisito de segurança da informação;
  - Identificação da legislação vigente
    - convém que todos os requisitos estatutários, regulamentares e contratuais relevantes, e o enfoque da organização para atender a esses requisitos;
    - sejam explicitamente definidos, documentados e mantidos atualizados para cada sistema de informação da organização;
  - Direitos de propriedade intelectual
    - convém que procedimentos apropriados sejam implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais no uso de material;
    - uma vez que podem haver direitos de propriedade intelectual e sobre o uso de produtos de software proprietários;
  - Proteção de registros organizacionais
    - convém que registros importantes sejam protegido contra perda, destruição e falsificação, de acordo com os requisitos regulamentares, estatutários, contratuais e do negócio;
  - Proteção de dados e privacidade de informações pessoais
    - convém que a privacidade e proteção de dados sejam asseguradas conforme exigido nas legislações relevantes, regulamentações e, se aplicável, nas cláusulas contratuais;
  - Prevenção de mau uso de recursos de processamento da informação
    - convém que os usuários sejam dissuadidos de usar os recursos de processamento da informação para propósitos não autorizados;
  - Regulamentação de controles de criptografia
    - convém que controles de criptografia sejam usados em conformidade com todas as, acordos e regulamentações relevantes;
- Conformidade com normas e políticas de segurança da informação e conformidade técnica → garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação;
  - Conformidade com as políticas e normas de segurança da informação
    - convém que gestores garantam que todos os procedimentos de segurança da informação dentro de sua área de responsabilidade estão sendo executados corretamente;
    - a fim de atender à conformidade com as normas e políticas de segurança da informação;
  - Verificação da conformidade técnica
    - convém que sistemas de informação sejam periodicamente verificados em sua conformidade com as normas de segurança da informação implementadas;
- Considerações quanto à auditoria de sistemas de informação → maximizar a eficácia e minimizar a interferência no processo de auditoria dos sistema de informação;
  - Controles de auditoria de sistema de informação
    - convém que requisitos e atividades de auditoria envolvendo verificação nos sistemas operacionais;
    - sejam cuidadosamente planejados e acordados para minimizar os riscos de interrupção dos processos de negócio;
  - Proteção de ferramentas de auditoria de sistema de informação
    - convém que o acesso às ferramentas de auditoria de sistema de informação seja protegido para prevenir qualquer possibilidade de uso impróprio ou comprometimento;

Gestão de Riscos em Segurança da Informação

Norma 27.005 → Gestão de Riscos em Segurança da Informação (GRSI);
- provê diretrizes, mas não inclui uma metodologia específica, para o processo de Gestão de Riscos de Segurança da Informação (GRSI);
- cuja abordagem ao processo de risco deve ser:
  - alinhado à gestão de riscos corporativos por uma abordagem sistemática;
  - definida por cada organização a partir:
    - do escopo do SGSI;
    - do contexto da gestão de riscos, e;
    - de sua atividade econômica;
  - pode ser aplicado:
    - à toda organização;
    - a uma parte da organização;
    - a algum controle específico;
  - melhorada continuadamente por meio das atividades:
    - definição de contexto;
    - análise e avaliação de riscos;
    - tratamento dos riscos;
    - aceitação dos riscos;
    - comunicação do risco, e;
    - monitoramento e análise crítica do risco;

Referência normativa
- São indispensáveis a aplicação da 27001 e 27002;

Termos e definições
- Impacto
  - mudança adversa no nível obtido dos objetivos de negócio;
- Riscos de segurança da informação
  - a possibilidade de uma ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, prejudicando a organização;
- Ação de evitar o risco
  - decisão de não se envolver ou agir de forma se retirar de uma situação de risco;
- Comunicação do risco
  - troca ou compartilhamento de informação sobre risco entre o tomador de decisão e outras partes envolvidas;
- Estimativa de riscos
  - processo utilizado para atribuir valores à probabilidade e consequências de um risco;
- Identificação de riscos
  - processo para localizar, listar e caracterizar elementos do risco;
- Redução de risco
  - ações tomadas para reduzir a probabilidade, as consequências negativas ou ambas associadas a um risco;
- Retenção do risco
  - aceitação do ônus da perda ou do benefício do ganho associado a um determinado risco;
- Transferência do risco
  - compartilhamento com uma outra entidade do ônus da perda associado a um risco;

Atividade, entrada, ação, diretrizes para implementação e saída

Definição de contexto
- Entrada → todas as informações sobre a organização que auxiliem o contexto do GRSI;
- Ação → definição do escopo, dos limites do processo de GRSI, de critérios básicos e o estabelecimento de organização apropriada para operar a GRSI;
- Diretrizes → determinar o propósito da GRSI, como apoiar:
  - um SGSI;
  - um plano de resposta a incidentes;
  - um plano de continuidade de negócio;
  - a conformidade legal;
- Saída
  - Especificação de escopo
    - precisa ser definido para assegurar que todos os ativos relevantes sejam considerados na análise/avaliação de riscos;
  - Especificação de limites
    - precisam ser definidos para permitir o reconhecimento dos riscos que possam ir além dos limites;
  - Critérios básicos
    - Critérios para avaliação de riscos permitem uma abordagem contínua consistente, bem como estabelecer prioridades;
    - Critérios de impacto são especificados em função do montante dos custos ou dos danos causados por um evento relacionado com a segurança da informação;
    - Critérios para aceitação do risco dependem das políticas, metas e objetivos da organização, bem como do interesse das partes interessadas;
  - Organização responsável do GRSI
    - desenvolvimento do processo de GRSI adequado à organização;
    - identificação e análise das partes interessadas;
    - definição de papéis e responsabilidades;
    - definição de alçadas para a tomada de decisões;
    - especificação dos registros a serem mantidos;

Análise e avaliação de riscos
- Entrada → escopo, limites, critérios básicos e organização do processo;
- Ação → convém que os riscos sejam:
  - Identificados
    - identificação (nessa ordem) de ativos, ameaças, controles existentes, vulnerabilidades e consequências (AACVC);
  - Estimados
    - qualitativamente para avaliar preliminarmente e empiricamente a consequência potencial ao risco (baixo, médio, alto);
    - quantitativamente para efetuar a análise numérica da consequência dos riscos;
    - nível do risco para cada risco;
  - Priorizados em função:
    - dos critérios de avaliação de riscos, e;
    - dos objetivos relevantes da organização;
  - Avaliados para cada cenário de incidente em relação a probabilidade e consequência;
  - sendo reanalisados e reavaliados até a obtenção de avaliação satisfatória;
- Diretrizes
  - determinar o valor dos ativos de informação;
  - identificar ameaças e vulnerabilidades aplicáveis existentes ou que possam existir;
  - identificar os controles existentes e seus efeitos no risco identificado;
  - determinar as consequências possíveis;
  - priorizar os riscos derivados de acordo com os critérios estabelecidos;
  - pode-se realizar mais de uma interação;
- Saída → lista de riscos avaliados e ordenados por prioridade de acordo com os critérios de avaliação de riscos;

Tratamento dos riscos
- Entrada → lista de riscos ordenados por prioridade e associados aos cenários de incidentes que os causam;
- Ação → convém que sejam selecionados controles para reduzir, reter, evitar ou transferir os riscos e seja definido um plano de tratamento dos riscos;
- Diretrizes
  - reduzir o risco, reter o risco, evitar o risco e transferir o risco;
  - convém que as opções de tratamento sejam baseadas na análise e avaliação de riscos, nos custos de implementação e nos benefícios esperados;
  - independente de outros critérios, as consequências adversas devem ser reduzidas ao menor nível possível;
  - convém levar em consideração custos e a própria SI no caso da remoção de controles redundantes;
  - um único tratamento pode ser efetivo contra mais de um risco;
  - uma vez que o plano de tratamento do risco tenha sido definido, os riscos residuais precisam ser determinados;
  - convém que as opções do tratamento do risco sejam consideradas levando-se em conta:
    - como o risco é percebido pelas partes afetadas, e;
    - as formas mais apropriadas de comunicação com as partes;
- Saída → o plano de tratamento de risco e os riscos residuais, sujeitos à decisão de aceitação por parte dos gestores da organização;

Aceitação do riscos
- Entrada → o plano de tratamento de risco e a análise e avaliação dos riscos residuais sujeitos à decisão dos gestores da organização;
- Ação → convém que a decisão de aceitar os riscos seja feita e formalmente registrada;
- Diretrizes
  - convém que os planos de tratamento do risco descrevam como os riscos avaliados serão tratados para atender os critérios de aceitação;
  - convém que os gestores responsáveis façam análise crítica e aprovem:
    - os planos propostos de tratamento de risco;
    - os riscos residuais resultantes, e;
    - que registrem as condições associadas a essa aprovação;
  - eventualmente, os tomadores de decisão podem ter que aceitar riscos que não satisfaçam os critérios normais pois pode não existir um limite bem definido de aceitabilidade;
  - convém que o tomador de decisão justifique e comente sua decisão de não seguir os critérios normais para aceitar os riscos;
- Saída → lista de riscos aceitos e uma justificativa para os riscos que não satisfizeram os critérios normais de aceitação;

Comunicação do risco
- Entrada → todas as informações sobre riscos provenientes da gestão de riscos;
- Ação → convém que o tomador de decisões e demais partes interessadas troquem e compartilhem as informações sobre riscos;
- Diretrizes
  - obter consenso sobre como gerenciar os riscos por meio da troca das informações sobre o risco entre os tomadores de decisões e outras partes interessadas;
  - convém que a organização desenvolva planos de comunicação dos riscos, tanto para operações rotineiras, quanto para situações emergenciais;
  - uma comissão de riscos pode ser formada, de modo a discutir prioridades, tratamento e aceitação de riscos;
- Saída → o entendimento contínuo do processo de gestão de riscos de segurança da informação e dos resultados obtidos;

Monitoramento e análise crítica dos fatores de riscos
- Entrada → todas as informações sobre riscos provenientes da gestão de riscos;
- Ação → convém que os riscos e seus fatores:
  - tais como valores dos ativos, impactos, ameaças, vulnerabilidades e probabilidades de ocorrências
  - sejam monitoradas e analisados criticamente, a fim de:
    - identificar mudanças no contexto da organização;
    - manter uma visão geral dos riscos;
- Diretrizes
  - monitoramento constante de ativos e seus valores, vulnerabilidades, ameaças, consequências, impacto e incidentes;
  - o monitoramento pode fornecer dados de entrada a análise crítica;
- Saída → alinhamento contínuo da gestão de riscos com:
  - os objetivos de negócio da organização, e;
  - os critérios para aceitação do risco;

Monitoramento, análise crítica e melhoria do processo de GRSI
- Entrada → todas as informações sobre riscos provenientes da gestão de riscos;
- Ação → convém que o processo de gestão de riscos de segurança da informação seja continuamente monitorado, analisado criticamente e melhorado;
- Diretrizes
  - convém que a organização se certifique que o processo de gestão de riscos de segurança da informação e as atividades relacionadas permaneçam pertinentes às condições atuais;
  - o monitoramento pode resultar em modificações ou acréscimo da abordagem, metodologia ou ferramentas utilizadas para gestão de riscos;
- Saída → atualização do processo de GRSI ou a garantia permanente da relevância deste para os objetivos de negócio da organização;

Gestão da Continuidade de Negócios

Conceitos
- possibilitar o funcionamento da organização em um nível aceitável durante as situações de contingência;
- está relacionado com o resultado da análise de riscos e ameaças ao negócio da organização;
- a alta administração deve aprovar as ameaças e os riscos que serão aceitos, e conhecer as fases de desenvolvimento do plano;
- o plano deve priorizar o risco por impacto e probabilidade e tratá-los em ordem de importância;
- o plano deve prever treinamento e conscientização de todos os colaboradores para o procedimento de contingência;
- pode ser testado na totalidade, parcialmente ou, ainda, por meio de simulações, quando ocorrem representações de situação emergencial;

Práticas para a Gestão de Continuidade de Negócio

Norma 25.999-1 → Práticas para a Gestão da Continuidade de Negócio (GCN);
- estabelece o processo, os princípios e a terminologia da Gestão de Continuidade de Negócios;
- fornece uma base para entender, desenvolver e implementar a continuidade de negócios e obter confiança nos negócios da organização;

Termos e definições
- Análise de impacto nos negócios
  - processo de analisar as funções de negócio e os efeitos que uma interrupção possa causar a elas;
- Plano de gerenciamento de incidentes (PGI)
  - plano de ação claramente definido e documentado, para ser usado quando ocorrer um incidente;
  - cobre as principais pessoas, recursos, serviços e outras ações do processo de gerenciamento de incidentes;

Visão geral da GCN
- ajuda a garantir que as metas e objetivos de negócio não serão comprometidos por interrupções inesperadas;
- complementar a estrutura de gestão de riscos;

Política de GCN
- define as atividades de preparação para se estabelecer uma capacidade de continuidade de negócio;
- inclui o planejamento, criação, implementação e testes iniciais de capacidade;
- permite o gerenciamento contínuo e manutenção desta capacidade;
- adequada ao contexto, à natureza, complexidade e criticidade as suas atividades de negócio;
- reflete a cultura, dependências e ambiente operacional;
- contém os objetivos e o escopo da GCN;

Gestão do programa de GCN
- estabelece a abordagem da organização à CN por meio de um programa de GCN;
- atribui responsável experiente a com autoridade pela política GCN e sua implementação;
- implementa a CN na organização com planejamento, desenvolvimento e implementação do programa de GCN;
- gestão contínua por meio do monitoramento e análise critica;
- atualizar os planos em caso de mudanças significativas na organização ou quanto o teste ou incidente revelar deficiências;
- armazenar, proteger e disponibilizar a documentação, como a política de GCN, análise de impacto, estratégias, PGI, demais planos;

Entender a organização (Plan)
- identificar os objetivos da organização, as obrigações das partes interessadas e o ambiente operacional;
- garantir o alinhamento do programa de GCN a conformidade necessária;
- identificar os produtos e serviços fundamentais, bem como as atividades críticas e os recursos que os suportam;
- avaliar o impacto e as consequências sobre o tempo de falha dessas atividades, ativos e recursos;
- identificar e avaliar ameaças que podem interromper os produtos e serviços fundamentais;
- realizar e documentar a análise de impacto no negócio;
- determinar os requisitos de continuidade e estimar os recursos necessários para a recuperação de cada atividade;
- identificar medidas que reduzam o período e a chance de interrupção, limitando o impacto;
- aprovação pela alta administração dos produtos e serviços fundamentais, da avaliação de riscos;

Determina a estratégia de CN (Plan)
- implemente as medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e/ou reduzir os potenciais efeitos;
- mantenha registro das medidas de resiliência e mitigação, bem como as atividades que não foram identificadas como críticas;
- estratégias de continuidade podem envolver pessoas, instalações, tecnologias, partes interessadas, etc;
- aprovação pela alta administração das estratégias documentadas;

Desenvolver e implementar uma resposta de GCN (Do)
- desenvolve e implanta os planos apropriados para garantir a continuidade das atividades críticas e gestão de incidentes;
- manter uma estrutura simples para confirmar a natureza e extensão do incidente, tomar o controle da situação e comunicar as partes interessadas;
- elaborar planos com objetivo, escopo, papéis, responsabilidades, método de ativação dos planos, proprietário e mantenedor do documento;
- Plano de Gerenciamento de Incidentes com plano de ação, contatos de emergência, atividades das pessoas e gestão das partes;
- Plano de Continuidade de Negócio com plano de ação, recursos necessários, responsáveis e formulários;

Testar, manter e analisar criticamente os preparativos de GCN (Check e Act)
- verificar os preparativos por meio de programa de teste com aspectos técnicos, logísticos, administrativos, procedimental e outros sistemas;
- garantir que mudanças que causem impacto à organização sejam analisadas criticamente por meio do programa de manutenção;
- realização de análise crítica dos preparativos pela alta administração;
- providenciar auditoria independente (interna ou externa) para avaliar a GCN e a capacidade de identificar falhas reais e potenciais;
- executar processo de autoavaliação para verificar qualitativamente a capacidade da organização de se recuperar de um incidente;
- criar, aumentar e manter a consciência com a educação permanente em GCN;
- treinar a equipe de GCN e o pessoal não relacionado que necessite de habilidades específicas para desempenhar seu papel em CN;

Sistema de Gestão de Continuidade de Negócio

Norma 25.999-2 → Requisitos para o Sistema de Gestão da Continuidade de Negócio (SGCN);

reinaldoc

Segurança da Informação

Introdução à Segurança da Informação

Normas de Segurança da Informação

Backup – salvaguarda

Autenticação e Autorização

Criptografia

Sistema de Gestão da Segurança da Informação (SGSI)

Controles para a Gestão de Segurança da Informação

Seções, categoria de controle, objetivo dos controles e controles

Gestão de Riscos em Segurança da Informação

Atividade, entrada, ação, diretrizes para implementação e saída

Gestão da Continuidade de Negócios

Práticas para a Gestão de Continuidade de Negócio

Sistema de Gestão de Continuidade de Negócio

Reinaldo Gil Lima de Carvalho