LEANDRO JOS AGUILAR ANDRIJIC MALANDRIN

MODELO DE SUPORTE A POLTICAS E GESTO DE RISCOS DE SEGURANA VOLTADO TERCEIRIZAO DE TIC, COMPUTAO EM NUVEM E MOBILIDADE

So Paulo 2013

2

LEANDRO JOS AGUILAR ANDRIJIC MALANDRIN

MODELO DE SUPORTE A POLTICAS E GESTO DE RISCOS DE SEGURANA VOLTADO TERCEIRIZAO DE TIC, COMPUTAO EM NUVEM E MOBILIDADE

Dissertao apresentada Escola Politcnica da Universidade de So Paulo para obteno do ttulo de Mestre em Engenharia

rea de concentrao: Sistemas Digitais

Orientadora: Professora Doutora Tereza Cristina Melo de Brito Carvalho

So Paulo 2013

3

Este exemplar foi revisado e corrigido em relao verso original, sob responsabilidade nica do autor e com a anuncia de seu orientador.

So Paulo, 25 de maio de 2013.

Assinatura do autor ____________________________

Assinatura do orientador _______________________

Autorizo a reproduo e divulgao total ou parcial deste trabalho, por qualquer meio convencional ou eletrnico, para fins de estudo e pesquisa, desde que citada a fonte.

Catalogao da Publicao Servio de Documentao

Escola Politcnica da Universidade de So Paulo

FICHA CATALOGRFICA

Malandrin, Leandro Jos Aguilar Andrijic Modelo de suporte a polticas e gesto de riscos de seguran-

a voltado terceirizao de TIC, computao em nuvem e mobilidade / L.J.A.A. Malandrin. -- verso corr. -- So Paulo, 2013.

155 p.

Dissertao (Mestrado) - Escola Politcnica da Universidade de So Paulo. Departamento de Engenharia de Computao e Sistemas Digitais.

1.Anlise de risco 2.Poltica de segurana 3.Normas tcnicas 4. Sistema de gesto de segurana da informao I.Universidade So Paulo. Escola Politcnica. Departamento de Engenharia de Computao e Sistemas Digitais II.t.

4

DEDICATRIA

Ao meu pai, Joo Malandrin, engenheiro, pelo exemplo de vida e de carreira.

minha me, Maria Aparecida Malandrin, professora, pelos ensinamentos em todas as escolas da vida.

minha irm, Tatiana Malandrin, hoteleira, por me mostrar como receber e acomodar os novos desafios.

Ao meu irmo, Daniel Malandrin, tcnico e administrador, pelo interesse compartilhado em tecnologia e orientao nas decises da vida.

minha Vanessa, por estar comigo em todos os momentos e por me ajudar a ser uma pessoa melhor.

5

AGRADECIMENTOS

Agradeo a todos os colegas que me ajudaram direta ou indiretamente no desenvolvimento desse trabalho.

Agradeo a toda a equipe do Laboratrio de Arquitetura e Redes de Computadores da Escola Politcnica da USP, pelo incentivo pesquisa em segurana da informao e por toda a ajuda durante as discusses sobre o mestrado.

Agradeo Profa. Dra. Tereza Cristina Melo de Brito Carvalho, pelas grandes oportunidades oferecidas e pela orientao durante todo o mestrado, essencial para a sua finalizao.

Agradeo PromonLogicalis pela flexibilidade e pelo comprometimento incomparvel com a capacitao de seus funcionrios, sem os quais esse trabalho no seria possvel.

6

RESUMO

O cenrio tecnolgico um fator importante a ser considerado ao se trabalhar com Sistemas de Gesto de Segurana da Informao (SGSI). No entanto, nos ltimos anos esse cenrio se alterou profundamente, aumentando em complexidade de maneira at antes no vista. Caracterizado principalmente por tendncias tecnolgicas como a terceirizao de infraestrutura de TIC, a computao em nuvem e a mobilidade, o cenrio externo atual gera grandes novos desafios de segurana. A abordagem tpica para tratar com mudanas de cenrio em SGSIs uma reviso da anlise de riscos e a implantao de novos controles de segurana. No entanto, frente a um cenrio to disruptivo, riscos podem passar despercebidos, devido falta de conhecimento sobre os novos elementos introduzidos por esse cenrio. Por causa disso, adaptaes mais profundas, durante o prprio planejamento do SGSI, so necessrias. Usando a norma de segurana ISO/IEC 27001 como referncia, esse trabalho introduz um modelo de suporte que permite a identificao dessas adaptaes. Para construir esse modelo, foram inicialmente levantados os riscos referentes a cada uma das trs tendncias tecnolgicas listadas. Esses riscos foram compilados e analisados em conjunto, buscando a identificao de temas de preocupao recorrentes entre eles. Para enderear cada um dos temas dentro do modelo de suporte, foram levantadas adaptaes do SGSI sugeridas na literatura e na prtica de segurana. Essas adaptaes foram transformadas em pontos de checagem a serem observados durante a execuo das duas atividades principais da fase de Planejamento do SGSI da ISO/IEC 27001: definio de polticas de segurana e gesto de riscos. A contribuio principal do trabalho um modelo de suporte de segurana com o qual as organizaes podem adaptar o seu SGSI e assim melhor protegerem suas informaes frente ao cenrio tecnolgico externo descrito. Como contribuio secundria est a sugesto de uma anlise unificada com foco em segurana das tendncias tecnolgicas desse cenrio.

Palavras-chave: Segurana da Informao, Gesto de Segurana da Informao, Gesto de Riscos, Polticas de Segurana, Computao em Nuvem, Terceirizao, Mobilidade

7

ABSTRACT

The technological scenario is an important factor to be considered while working with Information Security Management Systems (ISMS). However, in the latter years this scenario has changed deeply, increasing in complexity in a way not seen so far. Characterized mainly by the heavy use of ITC infrastructure outsourcing, cloud computing and mobility, the current external scenario creates big new security challenges. The typical approach to handle changes of scenarios in ISMSs is a risk assessment review and deployment of new security controls. However, when considering such a disruptive scenario, some risks may go unnoticed, due to the lack of knowledge of the elements introduced by this scenario. Because of that, deeper adaptations are needed, during the actual ISMS planning. Using the ISO/IEC 27001 as a reference, this research introduces a framework for the identification of these adaptations. To build this framework, risks related to each of the three technological trends mentioned were identified. These risks were compiled and analyzed together, searching for recurring themes of concern among them. To address each of these themes in the framework, ISMS adaptations suggested in the security literature and practice were identified. These adaptations were transformed in checkpoints to be verified during the execution of the two main activities of the ISO/IEC 27001 ISMS Plan phase: security policies definition and risk management. The main contribution of this research is a framework which can help organizations adapt their ISMSs and better protect their information in the technological scenario described. As a secondary contribution is the proposal of a unified security analysis of the distinct security trends of the external scenario.

Keywords: Information Security, Information Security Management, Risk Analysis, Security Policies, Cloud Computing, Outsourcing, Mobility

8

LISTA DE ILUSTRAES

Figura 1 Relao existente entre os diversos padres de segurana e a ISO/IEC 27001 (TSOHOU, KOKOLAKIS, et al., 2010)............................................................ 41 Figura 2 Modelo de Sistema de Gesto de Segurana da Informao da ISO 27000 (ISO/IEC 27001, 2005) ................................................................................... 43 Figura 3 - Processo de referncia para definio de polticas de segurana ............ 82 Figura 4 - Modelo de suporte para definio de polticas de segurana ................... 92 Figura 5 - Processo de referncia para gesto de riscos (ISO/IEC 27005, 2011) ..... 95 Figura 6 - Modelo de suporte a gesto de riscos .................................................... 113

9

LISTA DE TABELAS

Tabela 1 - Exemplos de riscos identificados referentes Terceirizao da Infraestrutura de TIC ................................................................................................. 60 Tabela 2 - Exemplos de riscos identificados referentes Computao em Nuvem (RTO = Recovery Time Objective; RPO Recovery Point Objective)....................... 64 Tabela 3 - Exemplos de riscos identificados referentes Mobilidade ....................... 67 Tabela 4 - Resultados da compilao dos riscos identificados para cada tendncia tecnolgica ................................................................................................................ 68 Tabela 5 - Temas de segurana identificados com base nos riscos mapeados pelo trabalho ..................................................................................................................... 70 Tabela 6 - Relao entre pontos de checagem estabelecidos para suporte definio de polticas de segurana e temas de segurana identificados ................. 83 Tabela 7 - Relao entre pontos de checagem estabelecidos para suporte gesto de riscos e temas de segurana identificados .............................................................. 100 Tabela 8 - Evidncias referentes ao processo de referncia para definio de polticas de segurana ............................................................................................ 124 Tabela 9 - Evidncias referentes ao processo de referncia para gesto de riscos 125 Tabela 10 - Critrios para avaliao dos pontos de checagem frente ao SGSI da INTEGRA ................................................................................................................ 126 Tabela 11 - Anlise dos pontos de checagem do modelo de suporte para definio de polticas de segurana........................................................................................ 127 Tabela 12 - Anlise dos pontos de checagem do modelo de suporte para gesto de riscos ....................................................................................................................... 129 Tabela 13 - Avaliao do atendimento dos requisitos secundrios do modelo de suporte .................................................................................................................... 136

10

LISTA DE ABREVIATURAS E SIGLAS

API Application Program Interface BPO Business Process Outsourcing BSI British Standards Institute BYOD Bring Your Own Device CIA Confidentiality, Integrity and Availability CPNI Centre for Protection of National Infrastructure CRM Customer Relationship Management CSA Cloud Security Alliance DLP Data Loss Prevention DNS Domain Name System ERP Enterprise Resource Planning GSI Gesto da Segurana da Informao IaaS Infrastructure-as-a-Service IEC International Electrotechnical Commission IDS Intrusion Detection System IPS Intrusion Prevention System ISF Information Security Forum ISO International Standards Organization ITSM IT Services Management NIST National Institute for Standards and Technology PaaS Platform-as-a-Service PCI-DSS Payment Card Industry Data Security Standard PDCA Plan, Do, Check, Act ROA Real Options Analysis RPO Recovery Point Objective RTO Recovery Time Objective SaaS Software-as-a-Service SAS 70 Security Auditing Standards 70 SoA Statement of Applicability SGSI Sistema de Gesto de Segurana da Informao SI Segurana da Informao TI Tecnologia da Informao

11

TIC Tecnologia da Informao e Comunicao VPN Virtual Private Networking XaaS / EaaS Everything-as-a-Service

SUMRIO

1. INTRODUO .................................................................................................. 15 1.1. MOTIVAO .................................................................................................... 15 1.2. DESCRIO DE PROBLEMA .......................................................................... 18 1.3. OBJETIVOS ...................................................................................................... 22 1.4. MTODO .......................................................................................................... 23

1.4.1. ETAPA 1: PESQUISA E ANLISE DE INFORMAES ......................... 24 1.4.2. ETAPA 2: CONSTRUO DO MODELO DE SUPORTE ........................ 25 1.4.3. ETAPA 3: ESTUDO DE APLICABILIDADE DO MODELO ....................... 26

1.5. ORGANIZAO DO TRABALHO ..................................................................... 26 2. VISO GERAL DO ESTADO DA ARTE .......................................................... 28 2.1. GESTO DE SEGURANA ............................................................................. 29 2.2. DESENVOLVIMENTO DE SISTEMAS DE INFORMAO SEGUROS ........... 31 2.3. TRABALHOS RELACIONADOS ....................................................................... 32 2.4. CONSIDERAES FINAIS .............................................................................. 34 3. CONCEITUAO GERAL EM SEGURANA ................................................. 36 3.1. EVOLUO DA GESTO DE SEGURANA DA INFORMAO ................... 36 3.2. SISTEMAS DE GESTO DE SEGURANA DA INFORMAO (SGSI) ......... 38 3.3. A NORMA ISO/IEC 27001 ................................................................................ 42 3.4. FASES DO SISTEMA DE GESTO DA ISO/IEC 27001 .................................. 45 3.5. CONSIDERAES FINAIS .............................................................................. 47 4. CARACTERIZAO DO CENRIO EXTERNO .............................................. 48 4.1. TERCEIRIZAO DE INFRAESTRUTURA DE TIC ......................................... 49 4.2. COMPUTAO EM NUVEM ............................................................................ 51 4.3. MOBILIDADE .................................................................................................... 55 4.4. CONSIDERAES FINAIS .............................................................................. 56 5. RISCOS IDENTIFICADOS PARA O CENRIO EXTERNO ............................. 58 5.1. ANLISE TERCEIRIZAO DE INFRAESTRUTURA DE TIC ...................... 59 5.2. ANLISE COMPUTAO EM NUVEM ......................................................... 62 5.3. ANLISE MOBILIDADE ................................................................................. 66 5.4. ANLISE CONSOLIDADA ................................................................................ 67 5.5. CONSIDERAES FINAIS .............................................................................. 71

6. ESPECIFICAO DE REQUISITOS DO MODELO DE SUPORTE ................ 72 6.1. REQUISITOS PRIMRIOS ............................................................................... 72 6.2. REQUISITOS SECUNDRIOS ......................................................................... 73 6.3. CONSIDERAES FINAIS .............................................................................. 75 7. MODELO DE SUPORTE PROPOSTO ............................................................. 76 7.1. SUPORTE A DEFINIO DE POLTICAS DE SEGURANA.......................... 76

7.1.1. DESCRIO DE PROCESSO DE REFERNCIA ................................... 77 7.1.2. DEFINIO DE PONTOS DE CHECAGEM ............................................ 82

7.1.2.1. Escopo e objetivos .......................................................................... 84 7.1.2.2. Requisitos gerais sobre a informao ............................................. 86 7.1.2.3. Mtodo de gesto de risco .............................................................. 87 7.1.2.4. Conscientizao e treinamento sobre segurana ........................... 88 7.1.2.5. Responsabilidades sobre a gesto de segurana ........................... 89 7.1.2.6. Comprometimento da direo e comunicao ................................ 90

7.1.3. CONSTRUO DO MODELO DE SUPORTE ......................................... 91 7.2. SUPORTE A GESTO DE RISCOS ................................................................. 93

7.2.1. DESCRIO DE PROCESSO DE REFERNCIA ................................... 94 7.2.2. DEFINIO DE PONTOS DE CHECAGEM ............................................ 99

7.2.2.1. Estabelecimento de escopo .......................................................... 100 7.2.2.2. Identificao de Riscos (Levantamento de Ativos) ........................ 102 7.2.2.3. Identificao de Riscos (Levantamento de Controles Existentes) . 104 7.2.2.4. Identificao de Riscos (Levantamento de

Ameaas/Vulnerabilidades) .................................................................... 105 7.2.2.5. Anlise de Riscos .......................................................................... 108 7.2.2.6. Avaliao de Riscos ...................................................................... 108 7.2.2.7. Tratamento de Riscos ................................................................... 109

7.2.3. CONSTRUO DO MODELO DE SUPORTE ....................................... 112 7.3. CONSIDERAES FINAIS ............................................................................ 114 8. VALIDAO VIA ESTUDO DE APLICABILIDADE ....................................... 115 8.1. CONTEXTUALIZAO DA INTEGRA ............................................................ 115 8.2. GESTO DE SEGURANA NA INTEGRA .................................................... 117 8.3. IMPACTOS DO CENRIO EXTERNO PARA A INTEGRA ............................ 120

8.3.1. TERCEIRIZAO DA INFRAESTRUTURA DE TIC .............................. 121 8.3.2. COMPUTAO EM NUVEM ................................................................. 122

8.3.3. MOBILIDADE ......................................................................................... 123 8.4. INTEGRAO AOS PROCESSOS DE REFERNCIA .................................. 124

8.4.1. DEFINIO DE POLTICA DE SEGURANA ....................................... 124 8.4.2. GESTO DE RISCO .............................................................................. 125

8.5. APLICAO DO MODELO DE SUPORTE .................................................... 126 8.5.1. DEFINIO DE POLTICAS DE SEGURANA ..................................... 126 8.5.2. GESTO DE RISCO .............................................................................. 128

8.6. CONSIDERAES FINAIS ............................................................................ 129 9. CONCLUSES ............................................................................................... 131 9.1. ANLISE CRTICA E AVALIAO DE REQUISITOS .................................... 131 9.2. CONTRIBUIES .......................................................................................... 138 9.3. TRABALHOS FUTUROS ................................................................................ 141 10. REFERNCIAS .............................................................................................. 142 11. ANEXOS ......................................................................................................... 147 11.1. ANEXO A RISCOS TERCEIRIZAO DE INFRAESTRUTURA DE TIC . 147 11.2. ANEXO B RISCOS COMPUTAO EM NUVEM .................................... 149 11.3. ANEXO C RISCOS MOBILIDADE ............................................................ 154

15

1. INTRODUO

Neste captulo so apresentadas as motivaes e problema abordado por esse trabalho. Tambm so descritos os objetivos e mtodo utilizado para alcan-los.

1.1. MOTIVAO

A informao e o conhecimento gerado a partir dela so comumente considerados por muitas organizaes como um dos principais ativos a sua disposio (NONAKA e TOYAMA, 2003), (RANDEREE, 2008). Comum tambm o desejo de proteg-la de maneira adequada. De fato muitas organizaes pensam dessa forma, mas a realidade no corresponde ao discurso. Basta observar as notcias dirias para notar que incidentes de segurana continuam cada vez mais frequentes e diversos, indo desde pequenas quebras de sigilo de senhas at monumentais perdas de dados e ataques complexos a plantas industriais. Como se isso no bastasse, os incidentes publicados constituem apenas uma frao do nmero real de casos, pois ainda grande a falta de conscientizao sobre a segurana da informao.

Isso acontece porque, apesar de toda a preocupao com a proteo da informao, a verdade que hoje a Informao e a Segurana da Informao so tratadas de maneira bem distintas na maioria das organizaes.

A Informao corresponde aos dados manipulados constantemente na organizao em todo tipo de situao. A discusso realizada durante uma reunio, o fax enviado pela matriz para uma filial, a cpia impressa de um documento e at o bate papo no elevador caracterizam-se como troca de informaes que dizem respeito ao trabalho do dia a dia. Dessa forma, a informao pode ser manipulada de diversas formas, por todo tipo de equipe e em diferentes nveis organizacionais.

A Segurana da Informao, no entanto, um tpico visto de maneira bem mais restrita e que normalmente remete a invasores de sistemas, vrus e spam de e-mail, proteo das senhas da rede, entre outros. Assim, a segurana da informao um assunto discutido apenas do ponto de vista tecnolgico, e que responsabilidade das equipes de Tecnologia da Informao (TI). Dessa forma, cria-

16

se a iluso que a nica informao que deve ser protegida aquela em formato digital.

No entanto, durante a ltima dcada os incidentes de segurana trouxeram tona a necessidade de aplicar as tcnicas de segurana j conhecidas informao manipulada por pessoas e processos, e no apenas por meios tecnolgicos. Outro ponto importante foi perceber que a proteo da informao no uma atividade pontual, mas que deve ser executada e revisada continuamente. Agregando essas ideias, foram criados e implantados em muitas organizaes os chamados Sistemas de Gesto de Segurana da Informao (SGSI). Com base em mtodos de reviso contnua j presentes em abordagens consagradas de gesto, os SGSI tentam implantar o tratamento seguro da informao nas organizaes. Hoje existem vrios padres para gesto da segurana: ISO/IEC 27001 o mais aceito e conhecido Payment Cart Industry Data Security Standard (PCI-DSS), NIST FIPS 140-2 e Information Security Forum Standard of Good Practice (ISF) (TSOHOU, KOKOLAKIS, et al., 2010).

A definio de polticas de segurana da informao e uma avaliao constante dos riscos aos quais a organizao est exposta so chaves para os SGSIs. Por exemplo, no caso do SGSI estabelecido pela ISO/IEC 27001, uma das primeiras definies a ser feita justamente a da poltica e do mtodo de avaliao de riscos. Uma vez definido o mtodo, ele executado periodicamente de forma a identificar novos requisitos de segurana derivados dos cenrios interno e externo. Essa abordagem clssica, quando bem executada, consegue mitigar os riscos causados por novas vulnerabilidades ou ameaas. No entanto, v-se que ela utiliza como premissa que a poltica e mtodo definidos so capazes de identificar novos requisitos de segurana. Infelizmente isso acontece apenas quando se consideram ativos de informao e processos bem conhecidos pela organizao

A realidade que as organizaes atualmente se veem imersas em um cenrio muito dinmico, que traz consigo vrias mudanas tecnolgicas e novos paradigmas. Entre as tendncias tecnolgicas podem ser citadas a terceirizao de servios, a computao em nuvem e a mobilidade. Entre os novos paradigmas esto o uso constante de mdias sociais, a convergncia de ambientes profissionais e pessoais e a consumerizao1, com modelos BYOD (Bring Your Own Device). 1 Consumerizao se refere tendncia de novos produtos serem desenvolvidos inicialmente para o mercado

consumidor e depois se espalhar para mercados corporativos e governamentais.

17

Esse um cenrio bem disruptivo, onde novas formas de trabalho esto sendo estabelecidas e novos conceitos so introduzidos no dia a dia das organizaes, de maneira at ento nunca vista.

Observando essas caractersticas e a premissa da abordagem do SGSI comentada, nota-se que os impactos desse cenrio para a gesto de segurana da informao podem ser muito grandes. Mais agravante a noo que a adoo de determinadas tecnologias acontece naturalmente devido s inmeras vantagens que ela traz. Portanto, as organizaes precisam agora descobrir formas de minimizar as suas desvantagens. Por exemplo, no uso de servios terceirizados para a gesto da infraestrutura tecnolgica, o controle sobre informao e o conhecimento sobre processos executados diminui significativamente. No entanto, o aumento da disponibilidade sobre a infraestrutura e o ganho de tempo disponvel das equipes de sistemas so muito significativos. Da mesma forma, a entrada de dispositivos pessoais no ambiente de trabalho aumenta a possibilidade de novas vulnerabilidades e ataques informao. Mas a produtividade dos profissionais seria impactada se lhes for proibido o uso desses dispositivos, em especial se a organizao no oferece dispositivos prprios, como smartphones e tablets.

Assim as organizaes no podem mais depender de controles pr-definidos em processos especficos a fim de garantir a segurana da informao. A segurana mais do que nunca um alvo em movimento. Alm disso, tambm essencial o foco cada vez maior no grau de conscientizao da segurana da informao pelos colaboradores, pois esses representam os maiores riscos para a organizao. Nesse cenrio so comuns as situaes no planejadas, que dependem de decises tomadas com base em entendimento de conceitos mais bsicos de segurana da informao (LACEY, 2010).

Ento, pode-se imaginar que a abordagem tpica descrita para os SGSI, baseada em uma simples reavaliao dos riscos, requer adaptaes para lidar com essa nova realidade. Para tal, necessrio o desenvolvimento de prticas que permitam reduzir a distncia entre a Informao e a Segurana da Informao, buscando a criao de uma cultura de segurana que esteja adaptada s novas tendncias tecnolgicas e ao mesmo tempo seja flexvel para lidar com outras mudanas. Isso essencial para garantir que todos os benefcios do novo contexto tecnolgico sejam aproveitados ao mximo e de maneira segura.

18

1.2. DESCRIO DE PROBLEMA

A situao descrita na seo 1.1 leva a um questionamento principal, a saber:

Como permitir s organizaes continuarem respondendo adequadamente aos riscos de segurana da informao frente s profundas alteraes do cenrio tecnolgico?

Uma anlise mais profunda desse questionamento facilita a correta descrio do problema em questo. A gesto de segurana da informao por si s um conceito relativamente novo no dia a dia das organizaes. Alm disso, tambm bem amplo, onde prticas diversas podem ser aplicadas para atingir os resultados desejados. Sendo assim, importante que o escopo da pesquisa a ser realizada seja delimitado.

O primeiro ponto de delimitao de escopo a caracterizao do tipo de organizao a ser considerada. Atualmente tecnologias tpicas do novo cenrio, como a terceirizao da infraestrutura de TIC, servios de computao em nuvem e mobilidade, esto presentes no dia a dia de todo tipo de organizao, em qualquer ramo de atividade. Mesmo quando essas tecnologias no so adotadas de forma corporativa, seus colaboradores as trazem para o dia a dia naturalmente, mudando paradigmas tpicos de trabalho, como comunicao, localizao e jornada de trabalho. Por exemplo, o uso de dispositivos mveis pessoais conectados a servios na Internet comum em todo ramo de atividade. Assim, a rea de atuao da empresa por si s no um ponto de grande diferenciao para os propsitos dessa pesquisa. Alm disso, importante observar que as tcnicas de gesto de segurana da informao so aplicveis a qualquer organizao (ISO/IEC 27001, 2005), independente seus fins e ramo de atividade. No entanto, provvel que organizaes que empregam essas tecnologias de maneira corporativa se beneficiem mais de qualquer iniciativa voltada adequao de prticas de segurana para o novo cenrio. Isso porque existe uma chance maior da informao da organizao ser manipulada atravs de uma determinada tecnolgica quando essa utilizada de maneira corporativa do que se essa tecnologia fosse utilizada apenas pontualmente por um ou outro colaborador.

19

O segundo ponto de delimitao de escopo diz respeito ao porte da organizao. Novas medidas de segurana tem impacto em maior ou menor grau de acordo com o quo forte a cultura organizacional de segurana. Essa cultura, por sua vez, construda e depende de funcionrios, executivos e todas as pessoas que manipulam as informaes da organizao. Quanto maior o nmero de funcionrios, portanto, maior a dificuldade de mudar ou uniformizar essa cultura e de obter resultados a partir da implantao de novos controles. Por exemplo, espera-se que uma organizao de mais de 1000 funcionrios (considerada de mdio porte para os propsitos dessa pesquisa) tenha muito mais dificuldade de alterar sua cultura do que uma organizao de 100 funcionrios (considerada de pequeno porte para os propsitos dessa pesquisa). Assim, a pesquisa aqui desenvolvida deve focar em organizaes de mdio e grande porte, onde necessrio um maior suporte para adaptao da cultura de segurana.

O terceiro ponto a ser considerado o grau de maturidade das organizaes quanto ao tema segurana. Apesar das prticas de gesto de segurana serem aplicveis a todo tipo de trabalho, muitas organizaes sequer possuem programas estruturados sobre o tema. Para esse tipo organizao, mesmo conceitos bsicos como proteo de senhas de usurios, classificao da informao e identificao de incidentes precisam ainda ser inseridos e disseminados na cultura organizacional. Isso torna a adoo de novas posturas quanto segurana uma tarefa bem complicada, em especial se necessrio considerar o novo cenrio tecnolgico externo e suas implicaes.

Para organizaes que j possuem prticas de segurana estabelecidas, a situao diferente. Nesse caso, os conceitos mais bsicos de gesto de segurana j fazem parte do dia a dia e possvel pensar na adaptao de algumas abordagens clssicas para melhor preparar a organizao para lidar com novos riscos de segurana. Assim, faz sentido delimitar a rea de estudo da pesquisa em organizaes que esto nessa situao. Para melhor caracterizar esse tipo de organizao, podem-se considerar aquelas que j possuem um sistema de gesto de segurana formalmente estabelecido.

O quarto ponto de definio para a pesquisa a caracterizao do sistema de gesto de segurana, dentre os diversos existentes, que dever ser considerado. interessante que qualquer iniciativa no sentido de modificar prticas j existentes no impacte profundamente o modo de trabalho da organizao com segurana. Da

20

a necessidade de se escolher um padro para o estudo. A abordagem estabelecida pela ISO/IEC 27001 a mais comumente referida para se estabelecer um Sistema de Gesto de Segurana da Informao (SGSI). A srie 27000 da ISO mudou profundamente a percepo de problemas em segurana (BELSIS e KOKOLAKIS, 2005). Dessa forma, apesar de existirem outros padres aceitos no mercado PCI-DSS, NIST FIPS 140-2 e ISF, por exemplo essa pesquisa ir focar em organizaes que estejam trabalhando com o modelo de gesto de segurana proposto pela srie 27000 da ISO.

O quinto e ltimo ponto de delimitao do escopo da pesquisa diz respeito ao momento mais interessante para realizar qualquer interveno no modelo proposto pelo SGSI da ISO/IEC 27001. A maior parte das abordagens existentes para a Gesto de Segurana da Informao possui uma fase inicial de planejamento onde so definidas as principais diretrizes de todo o sistema de gesto a ser implantado (TSOHOU, KOKOLAKIS, et al., 2010). A ISO/IEC 27001 no diferente: como ser apresentado com maiores detalhes nos prximos captulos, esse modelo utiliza o ciclo PDCA (Plan, Do, Check, Act). Ele utilizado como meio de garantir a melhoria contnua da segurana organizacional (ISO/IEC 27001, 2005). A fase de Planejamento, a primeira a ser executada a base para todo o processo e composta por duas atividades principais:

Definio da Poltica de Segurana da Informao; e Gesto de Riscos de Segurana.

Essas atividades direcionam a conduo das demais fases. Sendo assim, a criao de uma Poltica de Segurana bem estruturada combinada com execuo adequada de uma Anlise de Risco crtica para a melhoria da segurana da informao (ISO/IEC 27001, 2005). Entre os dez enganos mais comuns relacionados Gesto de Segurana da Informao esto justamente a falta de um desenvolvimento adequado de polticas de segurana e de uma anlise de riscos (VON SOLMS e VON SOLMS, 2004). Sendo assim, essa pesquisa ir focar na adequao dos resultados da fase de Planejamento do SGSI da organizao para lidar com perspectivas do novo cenrio de segurana.

De fato muitas organizaes enfrentam uma srie de dificuldades na criao de um SGSI, as quais muitas vezes esto relacionadas maneira com que a fase de

21

Planejamento (Plan) foi executada. As vrias dificuldades enfrentadas nessa etapa podem ser resumidas em:

Internamente organizao, o uso de tcnicas e solues de mercado, tomadas como melhores prticas sem nenhuma adaptao (SIPONEN e WILLISON, 2009), alm da falta de dedicao de tempo e recursos ao planejamento adequado do SGSI; e

Externamente organizao, alteraes causadas pelo novo cenrio tecnolgico, onde a infraestrutura baseada intensivamente em servios, de forma a proporcionar alta flexibilidade e mobilidade.

Como evidncias dessas dificuldades podem ser citadas: polticas de segurana desconhecidas; polticas distantes do dia a dia dos colaboradores; criao de evidncias falsas para auditorias; anlises de risco conduzidas uma nica vez e sem acompanhamento; controles com alto ndice de rejeio e investimentos desnecessrios e duplicados em solues de segurana (HERLEY, 2009), (FURNELL, 2005).

Em resumo, entende-se que pesquisas voltadas a responder o questionamento destacado no incio desta seo devem se concentrar em organizaes de mdio e grande porte que fazem uso corporativo de terceirizao de TIC, computao em nuvem e mobilidade, tecnologias essas caractersticas do novo cenrio. Essas organizaes devem possuir maturidade em segurana da informao, expressa atravs da conformidade com padres de segurana conhecidos de mercado como o proposto pela ISO/IEC 27001. Finalmente, interessante a atuao em momentos mais significativos da criao e adequao do SGSI. No caso do padro citado, esses correspondem fase de Planejamento do SGSI.

Com base no escopo de atuao para a pesquisa, surge o interesse no desenvolvimento de ferramentas que possam ser utilizadas na fase de Planejamento (Plan) do SGSI para melhorar a abordagem de segurana frente a esse novo cenrio externo. Esse trabalho busca a criao de uma dessas ferramentas: um modelo de suporte para identificar, adaptar e correlacionar, de maneira uniforme, os principais riscos encontrados e as formas de mitigao. O desenvolvimento do modelo utiliza como referncia principal pesquisas realizadas na rea de Gesto de Segurana e a experincia acumulada pelo autor ao longo de cinco anos de trabalho de consultoria no tema para clientes nos mais diversos segmentos de atuao.

22

Esse trabalho servir de guia para organizaes imersas no novo cenrio e que esto tentando lidar com os desafios de implantao de Sistemas de Gesto de Segurana da Informao.

1.3. OBJETIVOS

O desenvolvimento de um modelo de suporte para a fase de Planejamento da ISO/IEC 27001 no pode deixar de levar em considerao as prticas e conceitos desenvolvidos ao longo dos anos. Muito pelo contrrio o fato desses conceitos terem sido incorporados a padres internacionais como a ISO/IEC 27001 indicam a sua validade e solidez (VON SOLMS e VON SOLMS, 2004). Assim, o propsito do modelo de suporte deve ser guiar as organizaes na implantao desses conceitos, mas considerando o novo cenrio tecnolgico que se apresenta.

Uma forma de obter esse tipo de resultado fazer com que o modelo de suporte permita ao responsvel pela fase de planejamento melhor compreender esse cenrio durante o desenvolvimento de suas atividades. O modelo deve influenciar os resultados da atividade de planejamento, mas no deve substituir o seu fluxo natural. Ele deve expandir o escopo de atuao em direes bem especficas, oferecendo o suporte ao fluxo principal de trabalho, mas sem substitu-lo.

O objetivo primrio do trabalho a proposio de um modelo de suporte fase de Planejamento da Gesto de Segurana da informao que siga as diretrizes bsicas explicitadas acima. Dado que existem dois fluxos de atividades principais, o modelo deve ser dividido em duas partes: definio de Polticas de Segurana e Gesto de Riscos de Segurana.

Dessa forma, o modelo de suporte proposto poder ser utilizado paralelamente aos trabalhos de planejamento de um SGSI, no invalidando os conceitos e mtodo, mas ajudando as organizaes de forma prtica durante a execuo.

Antes de dar incio do desenvolvimento do modelo de suporte necessria a compreenso do cenrio descrito e quais so as perspectivas para o tipo de trabalho realizado e novas tecnologias. Tambm importante um estudo dos problemas j

23

conhecidos na fase de planejamento de SGSI e como esses problemas influenciam o resto das atividades.

Um objetivo secundrio do trabalho , portanto, a realizao de estudo que consolide as pesquisas j realizadas a respeito de problemas prticos identificados para a implantao de Sistemas de Gesto de Segurana da Informao. Tambm se inclui nesse estudo o levantamento e a anlise dos riscos existentes nas tecnologias que caracterizam o novo cenrio, de forma que o modelo de suporte possa levar em considerao esses riscos.

Finalmente, outro objetivo secundrio do trabalho a validao da aplicabilidade do modelo de suporte proposto. Existe uma grande dificuldade para justificar a aplicao de prticas de segurana em termos quantitativos ou qualitativos (BOEHMER, 2008). No entanto, dado que o modelo proposto no visa substituio do processo de Planejamento, mas sim o seu suporte e melhoria, importante avaliar eventuais dificuldades na sua utilizao. Indiretamente, o modelo de suporte visa melhoria da segurana da informao da organizao. Assim, pode ser interessante avaliar os resultados da anlise de riscos frente utilizao ou no do modelo, observando a reduo dos riscos da organizao segundo o mtodo escolhido pela mesma.

No objetivo deste trabalho a proposio de modelos de suporte para outras fases alm da de Planejamento, ou seja, para as fases de Execuo, Verificao e Atuao. Da mesma forma, no objetivo do trabalho validar mecanismos propostos atualmente para garantir a segurana da informao.

1.4. MTODO

O mtodo utilizado para atingir os objetivos do trabalho foi dividido em trs grandes etapas, sendo elas:

Pesquisa e anlise de informaes; Construo do modelo de suporte; Estudo de aplicabilidade do modelo de suporte.

24

1.4.1. ETAPA 1: PESQUISA E ANLISE DE INFORMAES

Foi realizada uma pesquisa referenciada e sistemtica em trabalhos j publicados na academia e em outras fontes relevantes da rea de Gesto de Segurana. Uma reviso bibliogrfica, que contm um resumo dos resultados dessa etapa, pode ser encontrada no captulo 2. A seguir so detalhados os temas pesquisados e o interesse em cada um deles:

Desafios atuais em Sistemas de Gesto de Segurana da Informao (SGSI), com o interesse de compreender quais so os principais padres utilizados no mercado, os pontos crticos encontrados na sua utilizao e prticas utilizadas para contorn-los;

Caracterizao do cenrio externo: Segurana em terceirizao de infraestrutura de TIC, com o interesse de mapear riscos identificados pelo mercado e levantar recomendaes e tcnicas usadas para aumentar a segurana da informao sem depender de infraestrutura terceirizada;

Caracterizao do cenrio externo: Segurana em computao em nuvem, com o interesse de mapear riscos identificados pelo mercado e, compreender melhor o funcionamento da tecnologia e como ela se relaciona com outras tendncias tecnolgicas;

Caracterizao do cenrio externo: Segurana em mobilidade, com o interesse de mapear riscos identificados pelo mercado e avaliar melhor os impactos da utilizao de dispositivo mveis em ambientes organizacionais;

Planejamento do SGSI: Desenvolvimento de Polticas de Segurana, com o interesse de levantar a abordagem e contedo tpicos para o desenvolvimento da atividade e entender os desafios que existem na sua concepo;

Planejamento do SGSI: Desenvolvimento da Anlise de Risco, com o interesse de levantar a abordagem tpica para a execuo da

25

atividade e mapear prticas e controles existentes para considerao de riscos de novas tecnologias;

Cultura organizacional de segurana, com o interesse de identificar formas mais adequadas para realizar mudanas organizacionais baseadas em segurana, evitando a tradicional resistncia dos usurios segurana da informao.

Com os resultados das pesquisas realizadas durante a primeira etapa, foi definida a estrutura geral do trabalho, as anlises a serem feitas na etapa seguinte e o contedo necessrio para o desenvolvimento do modelo de suporte. O contedo pesquisado tambm permitiu posicionar esse trabalho dentro das pesquisas realizadas sobre o tema.

A estrutura do trabalho busca apresentar os tpicos mais gerais sobre o tema proposto (Gesto de Segurana da Informao), passando para uma particularizao desse tema (Sistemas de Gesto de Segurana da Informao). Com esses resultados, pode-se chegar a concluses sobre os tipos de cuidados a serem tomados para construo do modelo de suporte proposto. As concluses so apresentadas ao longo dos captulos iniciais deste trabalho.

1.4.2. ETAPA 2: CONSTRUO DO MODELO DE SUPORTE

Durante a segunda etapa do trabalho foi realizada uma anlise estruturada sobre o cenrio externo e as tendncias tecnolgicas que o definem. Para tal, foi criada uma compilao dos riscos reconhecidos por organizaes e artigos relevantes sobre cada uma das trs principais tendncias tecnolgicas desse cenrio: terceirizao de infraestrutura de TIC, computao em nuvem e mobilidade.

Essas compilaes levaram identificao de pontos de ateno comuns das organizaes. Combinando os pontos de ateno identificados com as abordagens tpicas utilizadas para a ISO/IEC 27001 foram definidos pontos de checagem para cada uma das atividades da fase de Planejamento. Finalmente, esses pontos de checagem foram organizados no formato do modelo de suporte proposto para cada atividade.

26

1.4.3. ETAPA 3: ESTUDO DE APLICABILIDADE DO MODELO

Na ltima etapa do trabalho foi desenvolvido um estudo de aplicabilidade do modelo de suporte proposto. Para tal foi escolhida uma empresa que se encaixasse nos parmetros de delimitao de escopo apresentados anteriormente. No caso, a empresa atua no setor de integrao de solues de TIC.

O estudo consistiu na verificao da situao do SGSI da empresa, os impactos do cenrio externo no seu ambiente e por fim uma anlise de cada um dos pontos de checagem do modelo de suporte.

Os resultados do estudo de aplicabilidade foram incorporados na avaliao dos requisitos propostos para o modelo de suporte.

1.5. ORGANIZAO DO TRABALHO

O presente trabalho foi organizado de forma a documentar os aspectos mais relevantes da pesquisa realizada e justificar as decises tomadas para construo do modelo de suporte proposto.

O captulo 2 VISO GERAL DO ESTADO DA ARTE faz um sumrio da pesquisa relevante em cada campo de interesse para o desenvolvimento do modelo de suporte proposto. Alm disso, so indicados quais dos artigos pesquisados apresentam elementos diretamente relacionados ao modelo de suporte, deixando claro como esses elementos foram combinados para a construo do modelo de suporte.

O captulo 3 CONCEITUAO GERAL EM SEGURANA, apresenta aspectos relevantes da evoluo da Gesto de Segurana da Informao para o trabalho. Tambm apresenta as principais fases para criao de um SGSI baseado na ISO 27001 em uma organizao.

27

Na sequencia, o captulo 4 CARACTERIZAO DO CENRIO EXTERNO, descreve o novo contexto que as organizaes se inserem, dando foco nos servios disponveis e como essas organizaes trabalham nesse ambiente.

O captulo 5 RISCOS IDENTIFICADOS PARA O CENRIO EXTERNO, apresenta a compilao de todos os riscos identificados para cada uma das tendncias tecnolgicas apresentadas como caractersticas do cenrio externo, e faz uma anlise desses riscos em conjunto.

Com base nas informaes dos captulos anteriores, o captulo 6 ESPECIFICAO DE REQUISITOS DO MODELO DE SUPORTE, define os requisitos que devem ser atendidos pelo modelo de suporte proposto.

No captulo 7 MODELO DE SUPORTE PROPOSTO, so estabelecidas as bases para criao do modelo de suporte, indicando os motivos da estrutura escolhida e as principais fontes de pesquisa. O captulo segue indicando como o modelo foi construdo e apresentando as verses finais para o modelo de suporte para definio de polticas de segurana e para a gesto de risco.

O captulo 8 VALIDAO VIA ESTUDO DE APLICABILIDADE, apresenta os resultados do estudo conduzido para validao do modelo de suporte. Para realizao do estudo foi feita uma anlise sobre a documentao relacionada ao SGSI de uma empresa do setor de integrao de solues de TIC.

Ao fim do trabalho, o captulo 9 CONCLUSES faz uma anlise crtica dos resultados alcanados, indicando os benefcios e potenciais problemas para a utilizao do modelo de suporte. Tambm so identificadas as principais contribuies para pesquisa na rea e trabalhos futuros.

28

2. VISO GERAL DO ESTADO DA ARTE

As pesquisas atuais no meio acadmico sobre segurana da informao so amplas devido importncia recebida por esse tema na ltima dcada. Nessa seo so apresentados quais so os principais campos de pesquisa dentro desse tema e os trabalhos dentro de cada um deles relevantes para a pesquisa aqui conduzida. Como ser observado em detalhe na seo 2.3, desses trabalhos foram extrados elementos importantes para a construo do modelo de suporte.

Em artigo publicado em 2007 foram identificados quatro grandes campos de pesquisa de segurana da informao (SIPONEN e OINAS-KUKKONEN, 2007):

Acesso a sistemas de informao (Access to IS); Comunicao segura (Secure Communication); Gesto de segurana (Security Management); Desenvolvimento de sistemas de informao seguros (Development of

secure IS).

Segundo os autores do artigo essa classificao bem abstrata, mas foi escolhida devido dificuldade de classificar determinados alguns dos trabalhos de segurana da informao. Utilizar um grau de granularidade maior prejudicaria a qualidade da classificao.

Podemos notar que dentro da classificao apresentada, trs campos so focados em aspectos tecnolgicos (Acesso a sistemas de informao, comunicao segura e desenvolvimento de sistemas de informao seguros) e um focado em aspectos no tecnolgicos (Gesto de segurana). Essa proporo no se limita apenas classificao escolhida, mas tambm na quantidade de trabalhos disponveis em cada campo. A anlise dos trabalhos mostrou que mesmo a pesquisa em Gesto de segurana focada primariamente em problemas tcnicos. provvel que o foco em aspectos tecnolgicos seja derivado das origens histricas da segurana da informao j comentada.

Dentro da pesquisa realizada para construo desse trabalho foram utilizadas referncias relacionadas ao campo de Gesto de Segurana, principalmente, e tambm ao campo de Desenvolvimento de sistemas de informao seguros. A seguir, utilizando essa classificao, apresentado um panorama das pesquisas

29

nessas reas de interesse, com destaque para os trabalhos mais relevantes para a construo do modelo de suporte.

2.1. GESTO DE SEGURANA

Entre os principais erros no desenvolvimento de iniciativas de segurana da informao esto: falhas ao entender que a segurana est mais relacionada a negcios que tecnologia e no perceber o papel crtico que os padres de segurana da informao internacional possuem (VON SOLMS e VON SOLMS, 2004). Talvez por causa disso uma quantidade cada vez maior de estudos busca entender melhor como funcionam e devem ser aplicados os padres de segurana da informao, dos quais muitos visam criao de um Sistema de Gesto de Segurana da Informao (SGSI).

Existe uma quantidade considervel de estudos que procura a correlao entre os padres de gesto de segurana existentes atualmente. Foi identificado que existem padres que trazem abordagens completas para segurana da informao enquanto outros lidam apenas com problemas tcnicos bem especficos. Esses padres no so diretamente interoperveis entre si, o que causa uma srie de problemas (SHARIATI, BAHMANI e SHAMS, 2010) nas suas implantaes. Apesar disso, possvel desenvolver modelos para viabilizar essa interoperabilidade, auxiliando profissionais de segurana a adequar suas prticas com diversos modelos ao contexto de seu trabalho. Isso pode ser feito atravs da anlise das diretrizes bsicas comuns entre os modelos (MILICEVIC e GOEKEN, 2011) ou atravs da avaliao das reas de cobertura comum entre eles (TSOHOU, KOKOLAKIS, et al., 2010).

Tambm na linha de auxlio aos praticantes de segurana, existe uma constante preocupao em mostrar para as organizaes como desenvolver as prticas sugeridas em cada norma ou padro. A abordagem holstica de muitos modelos, entre eles a ISO 27001, acaba deixando muitas organizaes perdidas na tentativa de entender e aplicar o conceito proposto pelo modelo de gesto sugerido no seu contexto, o que resulta em falhas de segurana da informao (SIPONEN e WILLISON, 2009). Focando especificamente na ISO 27001, foi demonstrado que

30

apesar de ser o padro mais adotado e conhecido mundialmente, ainda apresenta uma srie de barreiras a sua adoo e certificao, sendo uma das principais a grande quantidade de recursos pessoais humanos e financeiros a serem investidos. Por causa disso existe um constante interesse no desenvolvimento de modelos de suporte focado especificamente na simplificao da implantao da ISO/IEC 27001 (GILLIES, 2011), (ANDERSON e RACHAMADUGU, 2006), (BELLONE, DE BASQUIAT e RODRIGUEZ, 2008).

Outro campo em desenvolvimento na rea de Gesto de Segurana trata de um problema um pouco mais especfico: como lidar com aspectos no tecnolgicos durante a implantao da gesto de segurana, mais especificamente a construo de uma cultura de segurana forte e a alterao do comportamento de colaboradores com relao segurana.

A alterao da cultura organizacional para incluso de segurana envolve mudanas profundas na organizao. Quando a direo de uma organizao no mostra coerncia em desenvolver e seguir a poltica de segurana corporativa, no possvel esperar que os seus colaboradores faam isso (KNAPP, MARSHALL, et al., 2006). Alm do apoio gerencial, outras aes devem ser tomadas, como a educao interna e suporte a educao externa em segurana e recompensas para conformidade com polticas (CORRISS, 2010). Na tentativa de melhor entender como funciona esse processo, um modelo de pesquisa foi desenvolvido e aplicado em organizaes com diferentes nveis de maturidade com relao segurana (CHIA, MAYNARD e RUIGHAVER, 2002).

A alterao do comportamento de colaboradores pode ser feita por meio de programas de conscientizao de funcionrios que nem sempre so eficazes. possvel identificar os tipos de comportamentos que levam ao sucesso ou ao fracasso dessa prtica (STANTON, STAM, et al., 2005). Diversos estudos mostram de maneira qualitativa (ALBRECHTSEN, 2007), (FURNELL, 2005) e quantitativa (HERLEY, 2009) que existe uma tendncia dos usurios a no respeitarem controles impostos a eles. Outros estudos tentam buscar solues para esses problemas. O comprometimento dos usurios com relao segurana afetado por bonificaes, exemplos de pares, certeza de deteco de incidentes e polticas, mas no por penalidades (RAO e HERATH, 2009). Tambm possvel desenvolver modelos de suporte que permitam aos usurios se sentirem no controle e responsveis por ativos de segurana, na forma de uma anlise pessoal de riscos (VAN CLEEFF,

31

2010). Fica claro que as organizaes devem ser capazes de alterar seus programas de conscientizao de forma a treinar seus usurios para identificar incidentes de segurana um cenrio mais dinmico e menos determinstico, como por exemplo, o criado pela computao em nuvem e mobilidade (LACEY, 2010).

2.2. DESENVOLVIMENTO DE SISTEMAS DE INFORMAO SEGUROS

O desenvolvimento de sistemas de informao seguros depende de um levantamento de requisitos de segurana. A principal fonte para tais requisitos a realizao de uma anlise de riscos (ISO/IEC 27002, 2005). Existe no meio acadmico uma quantidade grande de estudos voltados anlise de riscos de segurana, no entanto, muitos deles se baseiam em abordagens matemticas, que fogem aos objetivos do trabalho apresentados na seo 1.3. Para o propsito desse trabalho foram observados apenas os trabalhos que focam em aspectos conceituais da anlise de riscos.

A anlise de riscos deve ser um processo que considera no apenas aspectos tecnolgicos e ativos tangveis, mas tambm que englobe ativos intangveis (GERBER e VON SOLMS, 2005). Para tal, modelos de anlise de risco focados em processos j foram sugeridos, reduzindo parte dos problemas existentes no acompanhamento de risco de ativos de segurana individuais (KHANMOHAMMADI, 2010). Com o mesmo objetivo, tambm j se sugeriu uma abordagem para lidar com as diversas interaes necessrias para o monitoramento, a identificao e o tratamento de riscos entre os vrios nveis organizacionais (MA, 2010).

Devido s mudanas existentes no cenrio organizacional causadas por novas tendncias tecnolgicas como terceirizao da infraestrutura de TIC, computao em nuvem e mobilidade, nota-se um grande interesse na considerao dessas tecnologias para anlise de riscos.

Para terceirizao de infraestrutura de TIC j foram desenvolvidos modelos de deciso com base nos riscos de segurana da informao (ZAVARSKY, RUHL, et al., 2009) e modelos de suporte para identificao desses riscos (DOOMUM, 2008), (KHIDZIR, MOHAMED e ARSHAD, 2010). possvel tambm desenvolver modelos de negcio focados no planejamento e monitoramento do prestador de servios,

32

atravs de abordagens focadas no risco que eles representam para o negcio (JAKOUBI, TJOA, et al., 2010).

A computao em nuvem traz uma srie de novos riscos para segurana da informao. Tambm para essa tecnologia, que uma forma particular de terceirizao de infraestrutura de TIC, foram desenvolvidos modelos de anlise de risco e controle de requisitos de segurana da informao (ZHANG, WUWONG, et al., 2010), (MLLER, HAN, et al., 2011), (SCHNJAKIN, ALNEMR e MEINEL, 2010).

Assim como as demais tendncias apresentadas, a tendncia de mobilidade traz uma srie de preocupaes do ponto de vista de segurana, o que gera interesse de pesquisas. Algumas das anlises relacionadas a esse tpico buscam a identificao e categorizao das ameaas geradas pela mobilidade (GOODE, 2010), (LEAVITT, 2011), (AMOROSI, 2011). Tambm possvel encontrar estudos paralelos que identificam ameaas de segurana na convergncia dos ambientes profissionais e pessoais (THORNGREN, ANDERSSON, et al., 2004).

2.3. TRABALHOS RELACIONADOS

No foram encontrados durante a pesquisa trabalhos que exploram diretamente a ideia de definir modelos de suporte para lidar com alteraes profundas no cenrio externo de segurana. No entanto, pode-se dizer que a pesquisa aqui apresentada combina elementos encontrados em diversos artigos que ajudaram e deram subsdios para a criao do modelo proposto de suporte a Sistemas de Gesto de Segurana da Informao (SGSI).

Inicialmente, o entendimento sobre a necessidade de melhorar a capacidade de segurana das organizaes frente a cenrios externos muito dinmicos explorada no artigo Addressing dynamic issues in information security management, de Abbas (ABBAS, MAGNUSSON, et al., 2011). Nele a teoria de Anlise de Opes Reais2 (ROA Real Options Analysis) utilizada para lidar com as incertezas causadas por problemas especficos. Entre esses problemas est a existncia de requisitos dinmicos de segurana causados por avanos 2 A Anlise de Opes Reais uma tcnica que permite a tomada de decises com base na criao de rvores

de deciso, que especificam a probabilidade de diversos cenrios de evoluo a partir de um estado inicial.

33

tecnolgicos, tais como os que podem ser encontrados no cenrio externo estudado por esse trabalho. No entanto essa abordagem voltada para adaptaes em controles de segurana muito especficos, os quais podem ser mais bem associados fase de Execuo (Plan Do, Check, Act) do que fase de Planejamento do ciclo PDCA.

Tambm reconhecendo a necessidade de adaptaes na abordagem de gesto de segurana frente ao cenrio dinmico de tecnologia, David Lacey apresenta o artigo Understanding and transforming organizational security culture (LACEY, 2010). No entanto adota uma abordagem bem mais generalista, buscando identificar quais so as dificuldades existentes nas tentativas de mudana da cultura de segurana em uma organizao. Conclui indicando que para trabalhar com segurana no novo cenrio tecnolgico, necessrio que a proteo da informao seja natural para os profissionais. Contudo, o autor argumenta que isso s pode ser alcanado quando os programas de segurana corporativos derem mais ateno a pessoas do que tecnologia, inclusive do ponto de vista de investimentos.

O artigo A Risk Management Process for Consumers: The Next Step in Information Security, de Andr van Cleeff une as motivaes dos dois trabalhos citados com a criao de ferramentas de suporte (VAN CLEEFF, 2010). No trabalho proposto o desenvolvimento de um modelo a ser utilizado por qualquer pessoa para fazer a gesto do seu prprio conjunto de informaes pessoais. Da mesma forma que uma organizao pode criar um software para suportar o processo de anlise de riscos, o trabalho mencionado sugere a criao de um software, s que para indivduos, no organizaes. Nesse software, o usurio iria listar suas informaes crticas, associando a elas impacto de ataques, vulnerabilidades, ameaas e finalmente, riscos, da mesma maneira que uma organizao faria. Apesar da ferramenta proposta pelo artigo ser ousada e de difcil implementao, ela traz em si a noo de que novas abordagens de segurana dependero fortemente de pessoas e do conhecimento sobre conceitos de segurana que elas possuem. Alm disso, tambm nota-se o posicionamento do indivduo como responsvel pela segurana da informao a sua disposio.

A ideia de propor modelos de suporte para a gesto de segurana explorada em diversos artigos, conforme comentado anteriormente. No entanto, nenhum visa adaptao de abordagens para lidar com novos cenrios tecnolgicos. Por exemplo, Anderson e Rachamadugu no artigo Information Security Guidance for Enterprise

34

Transformation, apresentam um roteiro derivado em parte da prpria ISO/IEC 27001 para a implantao de segurana (ANDERSON e RACHAMADUGU, 2006). Especificamente nesse caso, um dos objetivos da ferramenta criada aumentar a conscientizao sobre segurana nos estgios iniciais do planejamento, de forma a envolver equipes relevantes rapidamente. No modelo de suporte proposto por essa pesquisa, a mesma ideia utilizada, mas busca um foco maior nas novas tendncias tecnolgicas logo na fase de Planejamento da ISO/IEC 27001.

Os trabalhos de Gilles, Improving the quality of information security management systems with ISO27000 e de Milicevic e Goeken, Application of Models in Information Security Management tambm buscam a definio de modelos de suporte para a implantao da ISO/IEC 27001 (GILLIES, 2011), (MILICEVIC e GOEKEN, 2011). Ambos os artigos sugerem a necessidade de ferramentas de suporte para aumentar a adoo desse padro, especialmente em pequenas e mdias organizaes.

O trabalho aqui proposto utiliza os elementos apresentados na construo de uma nova ferramenta para criao de SGSIs baseados na ISO/IEC 27001. Inicialmente, reconhece tambm as dificuldades existentes na criao desse tipo de sistema e identifica a transformao da cultura organizacional de segurana como um ponto chave para a soluo do problema. Nesse contexto, o trabalho aqui desenvolvido utiliza a ideia de modelos de suporte para a ISO/IEC 27001. No entanto, esse modelo focado especificamente na fase de Planejamento do SGSI e sobre a qual aplicada uma srie de restries, derivadas da anlise do cenrio externo e suas tendncias tecnolgicas.

2.4. CONSIDERAES FINAIS

Apesar de se apoiar em trabalhos de dois campos de pesquisa em segurana da informao Gesto de Segurana e Desenvolvimento de Sistemas de Informao Seguros entende-se que o trabalho aqui proposto se encaixa no primeiro. Como caractersticas para essa categorizao podem ser citados o forte embasamento em um padro de SGSI, no caso o proposto pela ISO/IEC 27001, e o

35

desejo de criao de um modelo de suporte para a implantao desse tipo de sistema em uma organizao.

Alguns dos artigos apresentados serviram como referncias principais para a construo desse modelo de suporte. Nota-se que muitos dos elementos utilizados na construo do modelo de suporte j existem na literatura, mas nessa pesquisa foram adaptados e combinados de maneira inovadora, buscando a soluo do problema proposto.

36

3. CONCEITUAO GERAL EM SEGURANA

Para sugerir adaptaes na abordagem tpica da ISO/IEC 27001 para criao de Sistemas de Gesto de Segurana da Informao (SGSI), necessrio o entendimento dos conceitos que fundamentam essa norma.

Nesse captulo apresentado, de maneira sumarizada, um histrico da evoluo da segurana da informao, que culminou na criao de padres de Gesto de Segurana, como o caso da ISO/IEC 27001.

Tambm apresentado um detalhamento das fases existentes na norma ISO/IEC 27001, visto que o modelo de suporte proposto deve focar em uma dessas fases, a de Planejamento.

3.1. EVOLUO DA GESTO DE SEGURANA DA INFORMAO

O acesso informao nunca foi to fcil. Atravs das mdias digitais e conectividade Internet, a informao necessria est ao nosso alcance a qualquer momento e em vrios formatos. Pesquisas recentes indicam que devido a essa facilidade, a prpria forma das pessoas pensarem sobre como lidar com suas atividades do dia a dia est mudando. Pessoas acostumadas com essa facilidade para acesso a informao armazenam cada vez menos detalhes, buscando, ao invs disso, guardar formas de localizar contedos (SPARROW, LIU e WEGNER, 2011). No entanto, essa facilidade traz como consequncia uma maior probabilidade de incidentes de segurana, devido ao acesso generalizado a toda essa informao.

Outro ponto importante que muitas das falhas de segurana que ocorrem no so ainda reconhecidas como incidentes de segurana da informao. Na verdade existe uma falta de conhecimento sobre o que de fato a segurana da informao (VON SOLMS e VON SOLMS, 2004). Essa dificuldade tem origens compreensveis: infelizmente a preocupao com a segurana da informao historicamente foi e continua sendo uma preocupao tecnolgica (CORRISS, 2010).

A discusso sobre segurana da informao teve incio no meio militar. Boa parte dos trabalhos iniciais no tema derivou da necessidade de proteger os

37

mainframes utilizados nesse meio. Alm da implantao de controles de segurana fsica rgidos, era necessrio garantir a segurana do sistema operacional desses equipamentos. Dessa forma, grandes esforos foram dedicados ao desenvolvimento de sistemas operacionais seguros e de tcnicas de controle de acesso. Muitos desses esforos replicaram sistemas e processos de classificao das informaes militares. Infelizmente, esses mesmos esforos no poderiam ser aproveitados para aumentar a segurana dentro dos novos paradigmas computacionais que estavam por vir. Isso porque no meio militar, os vetores de ataques3 possveis eram limitados, visto que era necessria uma grande quantidade de recursos financeiros e tcnicos para explor-los. Essa premissa deixou de ser vlida na era da computao pessoal (ARCE e LEVY, 2003).

A chegada dos computadores pessoais na dcada de 80 revolucionou as formas de trabalho de muitas pessoas e organizaes, mas tambm criou novos tipos de ameaas de segurana, sendo a principal delas os vrus. Apesar de serem disseminados basicamente por meios fsicos, ou seja, a insero de uma mdia contaminada em algum dispositivo de entrada, os vrus de computador tornaram-se muito comuns. Isso porque a grande quantidade de computadores pessoais criou o potencial para disseminao em grande escala. Os vrus de computador nessa poca buscavam atacar a disponibilidade das informaes, destruindo discos rgidos e desabilitando computadores. Era necessrio proteger os sistemas computacionais contra essa ameaa. Criou-se assim, uma indstria de segurana completamente nova, focada na proteo dos sistemas com base em barreiras fsicas e especialmente, na implantao dos primeiros antivrus via software.

Por meio das primeiras redes de computadores, j na dcada de 90, a quantidade de vetores de ataque aumentou exigindo novas contra medidas para proteo. Alm disso, a troca de informaes facilitou tambm o desenvolvimento de novas variantes de vrus existentes e formas de contornar os softwares antivrus. As redes de comunicao passaram, ento, a ser vistas como o elemento comum que ligava todas essas ameaas. Para proteger tais redes e seus recursos computacionais, foram desenvolvidos firewalls4 e outros dispositivos para a segregao de redes. Infelizmente, sendo criadas inicialmente em ambientes de 3 O termo vetor de ataque utilizado em segurana para especificar as diferentes formas que um sistema pode

ser atacado. 4 Firewall um equipamento de rede que permite ou bloqueia trfego de pacotes, de acordo com regras pr-

estabelecidas ou construdas de forma dinmica.

38

pesquisa, os primeiros protocolos e aplicaes para redes de computadores no foram concebidos com uma preocupao excessiva com segurana.

O preo a pagar por essa simplificao foi sentido com a disseminao do uso da Internet. Os protocolos e aplicaes anteriormente utilizados apenas localmente tiveram de evoluir para permitir a interconexo de redes e o uso em massa por todo o mundo. A falta de mecanismos de segurana no ncleo dessa infraestrutura traz at hoje problemas muito difceis de resolver, como o caso do spam de e-mail e ataques possveis no Domain Name System (DNS). Adicionalmente, o uso da Internet em si exige que se evite que qualquer pessoa inadvertidamente coloque informaes sigilosas no domnio pblico. Assim, foram criadas ferramentas de preveno perda de dados (DLP Data Loss Prevention) e de controle de acesso individual a redes de computadores (VPN Virtual Private Network), instaladas diretamente nas mquinas dos usurios finais.

Assim, desde a poca dos primeiros mainframes at os dias atuais o ponto mais fraco da cadeia sempre foi visto como algum componente tecnolgico do ambiente. Esse o conhecido jogo de segurana que jogado at hoje: atacantes desenvolvem novas ameaas e pesquisadores e organizaes buscam formas de mitigar essas ameaas. Infelizmente, para cada salto de evoluo nas medidas de proteo, dado um salto ainda maior na complexidade dos ataques.

Essa abordagem de segurana pode parecer ineficiente, mas uma das mais utilizadas. Mesmo com o desenvolvimento de tcnicas preditivas de segurana, como anlise de comportamentos e mitigao baseada em vulnerabilidades, as ameaas so sempre desenvolvidas por seres humanos com objetivos especficos (i.e. evitar a ltima defesa criada), e ainda no temos computadores capazes de competir de igual para igual com esse tipo de raciocnio. Isso no significa que no existem formas para melhorar a capacidade e velocidade de resposta a ameaas de segurana.

3.2. SISTEMAS DE GESTO DE SEGURANA DA INFORMAO (SGSI)

Felizmente, as organizaes perceberam logo que a informao em si, e no a mdia onde ela armazenada o que realmente precisa ser protegido. Pode parecer

39

um conceito relativamente bvio, mas implica em se ter uma estratgia completamente diferente para lidar com segurana. Isso porque as organizaes passam a entender que a informao pode estar presente em diversas formas na organizao. Todas essas formas devem ser protegidas, o que envolve no s a abordagem de tecnologia, como tambm pessoas e processos (ISO/IEC 27001, 2005).

Nesse cenrio, passou a existir um interesse cada vez maior pela criao de abordagens fim a fim para segurana da informao, que unissem alm de recursos e melhores prticas voltadas tecnologia, uma maior preocupao com segurana envolvendo pessoas e processos. Assim, comearam a serem implantados novos tipos de controles voltados segurana da informao, que combinados aos controles tecnolgicos existentes, tomaram forma de iniciativas estruturadas ou programas. Como exemplos de controles em geral, podem ser citados:

Segregao de redes atravs de firewalls; Instalao de softwares antivrus nos computadores de usurios; Implantao de catracas eletrnicas para controle de acesso fsico; Requisio de acompanhamento de terceiros durante visitas; Redao e distribuio de polticas de segurana da informao; Treinamentos para conscientizao dos funcionrios; Eliminao de impresses desnecessrias de documentos; Definio de procedimentos para descarte de documentos; Criao de comits de segurana organizacional.

De fato a segurana da informao depende de todas essas componentes: pessoas e processos combinados com tecnologia (RAO e HERATH, 2009). A componente tecnolgica nunca poder ser abandonada, mas deve ser constantemente revista. As empresas de segurana criam a cada dia novos produtos, baseados em tcnicas preditivas5 e com maior capacidade de processamento. O grande desafio, no entanto, est nas componentes relacionadas s pessoas e aos processos: necessrio superar barreiras comportamentais

5 Tcnicas preditivas de segurana utilizam informaes histricas coletadas sobre um sistema para identificar

comportamentos e estados aceitveis, tomando aes especficas no caso de deteco de uma situao

desconhecida.

40

existentes e criar uma cultura para a utilizao segura das informaes. O comportamento seguro deve se tornar algo natural (CORRISS, 2010).

Nessa linha, percebe-se que quanto menos relacionada com tecnologia o trabalho de uma pessoa, menos conscientizada com relao segurana das informaes ela est. Alm disso, muitas vezes a conformidade com controles de segurana tem uma relao custo/benefcio ruim para os usurios (HERLEY, 2009). O conceito de que a conscientizao de pessoas fundamental para a segurana da informao relativamente recente. Muitos dos mais famosos ataques informao foram realizados como uma combinao de conhecimento tcnico e engenharia social (MITNICK, 2002). Infelizmente, mesmo hoje raro encontrar pessoas que consigam detectar e evitar um ataque de engenharia social. Isso resulta em distores de comportamento em relao proteo das informaes, as quais compe o desafio existente ao lidar com pessoas e sua influncia na segurana das informaes.

Contribuindo para a gravidade do problema, no so todos os controles de segurana que so aplicveis a qualquer tipo de organizao. A deciso de aplicao ou no depende de um conhecimento profundo do contexto interno e externo de segurana. A deciso de aplicar controles inadvertidamente gera gastos desnecessrios e contribui para a viso de que a segurana da informao no apresenta uma relao custo/benefcio adequada. necessrio um processo contnuo de avaliao da situao e deciso sobre os mecanismos de controle a serem adotados e paulatinamente incorporados.

A partir dessa necessidade de uma abordagem para segurana da informao organizacional, melhores prticas foram incorporadas em diretrizes para o trabalho com segurana (SHARIATI, BAHMANI e SHAMS, 2010). Alm dos controles de segurana tpicos, essas diretrizes incluem tambm processos de anlise de riscos para escolha de quais desses controles devem ser aplicados na organizao. Por fim, estabelecem formas de garantir que as anlises de riscos sejam refeitas continuamente, melhorando cada vez mais o grau de segurana da organizao. Esses conjunto de diretrizes formam a base das abordagens dos chamados Sistemas de Gesto de Segurana da Organizao (SGSI).

O SGSI mais conhecido atualmente o definido pela International Standards Organization (ISO) na sua srie 27000. A ISO/IEC 27001, em especial, fornece um modelo para o estabelecimento, operao, monitorao, reviso, manuteno e

41

melhoria de um SGSI (ISO/IEC 27001, 2005). Essa norma conhecida como o guia de melhores prticas para organizaes que desejam trabalhar com segurana da informao de maneira estruturada. Existem diversos outros padres mundiais para criao de SGSIs (SIPONEN e WILLISON, 2009), mas devido ao reconhecimento dado a ISO/IEC 27001, o trabalho aqui desenvolvido ser focado nesse padro. Em agosto de 2012, o International Register of ISMS Certificates contava com 7940 organizaes certificadas pelo mundo (IRIC, 2013). Apesar disso, os conceitos incorporados na ISO/IEC 27001 devem ser adaptveis para outros padres. A Figura 1 mostra como os principais modelos de SGSI podem se relacionar entre si.

Figura 1 Relao existente entre os diversos padres de segurana e a ISO/IEC 27001 (TSOHOU, KOKOLAKIS, et al., 2010)

Camada 1: ISO/IEC 27001:2005; CoBIT v.4.1: 2007

Atuar

Planejar

Executar

Checar

Camada 2:

ISO/IEC 27005:2008, NIST 800-

30:2002

Camada 3:

ISO/IEC 27002:2005, GAISP: 2004, ISF: 2007

Camada 4: Padres de segurana especializadosDiretrizes para:

Implantao de controles

Diretrizes para:

Auditoria

Diretrizes para:

Categorias de segurana

Especificao de Plano de Tratamento de Riscos

Diretrizes para:

Estabelecimento de contexto

Avaliao de Riscos

Planos de tratamento de riscos

Aceitao de riscos (risco residual)

Diretrizes para: Implantao de plano

de tratamento de riscos

Diretrizes para:

Comunicao de Riscos

Reviso e monitoramento de Riscos

Diretrizes para:

Implantao de Plano de Tratamento de Riscos

42

Apesar das inmeras vantagens, a implantao de um SGSI uma tarefa complexa que exige esforos considerveis de vrias reas da organizao. Alm disso, uma das maiores dificuldades da abordagem proposta nesse padro entender que ele no contm as atividades necessrias para a implantao das melhores prticas propostas. Assim, essencial que o contedo dessas prticas seja assimilado e resulte em uma abordagem customizada para a organizao.

3.3. A NORMA ISO/IEC 27001

O nome oficial em lngua inglesa da ISO/IEC 27001 Information Technology Security Techniques Information Security Management Systems Requirements. No Brasil, a ABNT publicou uma verso traduzida da norma, conhecida por NBR ISO/IEC 2700, com o ttulo Tecnologia da Informao Tcnicas de Segurana Sistemas de Gesto de Segurana da Informao Requisitos.

A ISO/IEC 27001 teve origem na publicao do Department of Trade and Industry (UK DTI) da Gr-Bretanha, intitulada Cdigo de Prtica para Gesto da Segurana da Informao em 1989 (GILLIES, 2011). Em 1995, o British Standards Institute (BSI) incorporou a norma e a publicou com o cdigo BS7799. Em 2000, ela foi incorporada novamente, agora pela ISO, que a publicou sob o cdigo ISO/IEC 17799. Em 2002, uma nova verso do padro BS7799 publicada pela BSI, no mais na forma de um cdigo de prtica, mas na forma de uma especificao de sistema de gesto, garantindo o alinhamento com outros sistemas, como o da ISO 9000. Finalmente, em 2005, a ISO/IEC 27001 publicada, substituindo a ISO/IEC 17799 e com alinhamento completo com a ltima verso da BS7799.

A implantao de um SGSI baseado na ISO/IEC 27001 em uma organizao apoia-se, como mencionado anteriormente, na aplicao de uma srie de conceitos bsicos e melhores prticas acumuladas por diversas organizaes ao longo dos anos. A norma especifica um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gesto de Segurana da Informao (SGSI). O modelo mencionado pode ser observado na Figura 2. Nele, os requisitos de segurana so inseridos em ciclo de gesto que

43

inclui atividades de Planejamento, Execuo, Checagem e Atuao (detalhados na sequncia).

Figura 2 Modelo de Sistema de Gesto de Segurana da Informao da ISO 27000 (ISO/IEC 27001, 2005)

Observando o ciclo proposto, fica implcita uma mensagem importante. A gesto da segurana no um projeto, com incio, meio e fim, mas sim uma atividade recorrente, baseada em constante planejamento, aplicao e reviso. Se o objetivo garantir a segurana, e o cenrio de segurana est em constante alterao, nada mais lgico que o processo interno de garantia de segurana esteja tambm em constante mudana.

O ponto de partida desse ciclo deve estar vinculado a um objetivo da organizao. A ISO coloca como um dos o objetivos da segurana da informao garantir a continuidade do negcio, minimizar o risco do negcio, maximizar o retorno sobre os investimentos e as oportunidades de negcio (ISO/IEC 27002, 2005). Para muitas organizaes, o retorno sobre as oportunidades de negcio se traduz em lucro. Assim a implantao de um SGSI visa algum retorno financeiro, direto ou indireto. O segundo caso mais comum, como manuteno de negcios devido ao aumento da confiana de clientes e eliminao de investimento desnecessrio em solues tecnolgicas.

Partes

Interessadas

Expectativas e

requisitos de

segurana da

informao

Partes

Interessadas

Segurana da

informao

gerenciada

Estabelecimento

do SGSI

Implementao e

Operao do SGSI

Manuteno e

melhoria do SGSI

Monitoramento e

anlise crtica do

SGSI

Plan

Check

Do Act

44

Para alcanar esse objetivo, a implantao do SGSI e da segurana da informao depende da manuteno de algumas propriedades essenciais sobre a informao da organizao. Em geral, so listadas como propriedades da informao a serem mantidas a Confidencialidade, a Integridade e Disponibilidade (CIA Confidentiality, Integrity and Availability):

Confidencialidade: a propriedade que a informao tem de que no ser divulgada a entidades no autorizadas. Essa propriedade pode se referir ao contedo da informao ou a prpria existncia da informao. Controles de acesso ajudam a manuteno de confidencialidade da informao;

Integridade: a propriedade que a informao tem de no ser alterada por entidades no autorizadas. Essa propriedade tambm se refere tanto quanto ao contedo da informao como a sua origem. Controles existem para permitir a preveno contra ataques a integridade ou a deteco de ataques que j aconteceram.

Disponibilidade: a propriedade que a informao tem de que estar disponvel para as entidades autorizadas. A indisponibilidade de uma informao quase to ruim quando a inexistncia da informao.

A ateno a essas propriedades tende a garantir proteo adequada para boa parte das organizaes. Alm disso, muitas outras propriedades que podem ser atribudas para a informao podem ser mantidas se o CIA for mantido (BISHOP, 2003). importante ressaltar, no entanto, que o contexto de cada organizao diferente. possvel considerar determinadas propriedades adicionais, para fins de adequao cultura organizacional.

A ltima afirmao reflete mais um conceito importante no estabelecimento de um SGSI: cada organizao deve customizar a sua abordagem para segurana da informao. Apesar de algumas regras gerais no caso, as melhores prticas da ISO/IEC 27001 serem vitais, muitos dos passos dados por uma organizao podem no ser adequados para outra organizao, levando-as ao fracasso na implantao do SGSI. Essa tambm uma razo para a existncia de modelos de suporte para essas atividades, como o que desenvolvido neste trabalho.

importante compreender que a Segurana deve estar sempre prxima da Informao. Ter essa meta clara dentro do processo do SGSI crtica para seu

45

sucesso. A lembrana contnua dessa regra facilita a implantao de mecanismos de proteo em locais onde eles tendem a ser esquecidos. Por exemplo, esse caso de reas que lidam com pouca tecnologia e tendem a acreditar que a informao armazenada em um formulrio, registrada em uma embalagem nunca ser uma informao relevante a ser protegida. A consequncia um SGSI cada vez mais maduro e com visibilidade de todos os pontos da organizao onde determinada informao manipulada.

3.4. FASES DO SISTEMA DE GESTO DA ISO/IEC 27001

A ISO/IEC 27001 prope 4 etapas para o estabelecimento de um SGSI: Planejar (Plan), Executar (Do), Checar (Check) e Atuar (Act). Essas fases compem um ciclo conhecido como PDCA, o qual baseado em um conceito da teoria de qualidade conhecido como Roda de Deming e aplicado inicialmente por Shewhart (GILLIES, 2011). Esse ciclo deve ser executado continuamente na organizao buscando, a cada rodada, o aperfeioamento dos mecanismos de segurana.

A primeira etapa desse ciclo, o Planejamento, o foco desse trabalho e corresponde a um momento crtico no ciclo de implantao. Nessa etapa so executadas duas atividades principais: a elaborao da poltica de segurana do SGSI e a anlise de riscos.

A poltica de segurana estabelecida definindo as diretrizes gerais da organizao em relao ao tratamento de segurana da informao. Nela so estabelecidas as definies do tipo de informao a ser protegida e as responsabilidades sobre a informao. Com base nas definies da poltica de segurana, a anlise de risco executada, considerando as vulnerabilidades e ameaas de cada ativo de informao. O resultado da anlise a definio de mecanismos de segurana que devem ser implantados, consolidados nos planos de tratamento de riscos.

A ISO/IEC 27001 apresenta no seu Anexo A uma lista de controles que pode servir de referncia para a criao do plano de tratamento de riscos previstos no Planejamento. Esses controles foram detalhados na forma de um Cdigo de Prtica para a Gesto da Segurana da Informao na ISO/IEC 27002. Para fins de

46

auditoria, a organizao deve gerar ao fim do Planejamento um documento chamado Declarao de Aplicabilidade (SoA Statemento of Aplicability) que indica quais desses controles so aplicveis ao contexto organizacional e quais no so, justificando a no aplicabilidade. A norma apresenta tambm, dentre esses controles da ISO/IEC 27002, quais provavelmente devem estar presentes em todas as organizaes, criando um ponto de partida para implantao do SGSI. No entanto, deixa claro que apesar dos controles do Anexo A serem importantes para a maior parte das organizaes, essas devem levar em considerao novos controles que julgarem necessrios (ISO/IEC 27002, 2005).

Na segunda etapa do ciclo, Execuo, so colocadas em prtica as iniciativas definidas na etapa anterior. Nessa etapa novos processos so desenhados e executados, processos em andamento so modificados, solues tecnolgicas implantadas e programas de conscientizao disseminados, sempre de acordo com os planos definidos. Nessa etapa em muitos casos podem ser utilizados os controles apresentados no Anexo A da ISO/IEC 27001.

A etapa de Execuo deve ser estar sempre ancorada nos resultados da anlise de risco. Os resultados da anlise de risco levam em considerao as prioridades da organizao quanto a investimentos e cultura organizacional. Aes definidas sem um planejamento adequado tendem a trazer prtica medidas paliativas que geram investimentos desnecessrios sem grandes benefcios do ponto de vista de segurana.

A etapa de Checagem, terceira do ciclo, identifica atravs de anlises qualitativas e quantitativas, se os mecanismos implantados esto atingindo os resultados esperados durante a anlise de risco. Em geral, durante essa etapa realizada uma reviso da anlise de risco considerando as medidas implantadas. O resultado dessa etapa a visualizao do risco residual ao qual est sujeita a organizao. A partir da devem ser definidos os planos de ao para lidar com os riscos residuais encontrados.

A ltima etapa do ciclo, Atuao, busca a reviso das definies da fase de Planejamento, de forma que os desvios observados durante a execuo do ciclo atual no se repitam para o prximo ciclo. A etapa de Atuao traz para o SGSI a capacidade de acompanhar mudanas internas e externas da organizao, realizando uma anlise crtica do que foi feito e buscando alternativas de melhoria.

47

As mudanas sugeridas atravs da anlise crtica podem alterar completamente o SGSI, desde que visem uma garantia melhor da segurana da informao.

3.5. CONSIDERAES FINAIS

As discusses sobre segurana tiveram incio com controles baseados puramente em tecnologia. Com o aumento da complexidade de sistemas e da quantidade de informao disponvel para acesso, notou-se que esses controles no eram suficientes. Eram necessrios, alm de controles baseados em tecnologia, aqueles tambm focados em pessoas e processos.

Os SGSIs foram criados para consolidar essa viso dentro das organizaes, desenvolvendo prticas de reviso contnua de riscos de segurana e aplicao de controles diversos de acordo com o contexto. A ISO/IEC 27001, principal referncia para definio de SGSI atualmente, traz uma abordagem baseada em 4 etapas distintas: Planejamento, Execuo, Checagem e Atuao.

Infelizmente, essa abordagem pode no ser eficiente ao tentar assimilar grandes alteraes no cenrio externo. O modelo de suporte proposto nesse trabalho focado na etapa de Planejamento da ISO/IEC 27001 e busca adequ-la para as mudanas introduzidas por esse cenrio externo. Essas mudanas so detalhadas no prximo captulo.

48

4. CARACTERIZAO DO CENRIO EXTERNO

As principais fontes de requisitos para a segurana da informao so os princpios e cultura organizacionais, legislaes e normas aplicveis e principalmente, a anlise de risco (ISO/IEC 27002, 2005). Os princpios e cultura organizacional representam os valores, as diretrizes e a misso da organizao. Esses tipos de conceitos alteram-se pouco ao longo do tempo de vida de uma organizao. Da mesma forma, as legislaes e as normas aplicveis constituem-se em fontes de requisitos que apresentam pouca variao. Assim, tendo implantado um conjunto de aes focados no atendimento desses requisitos, existem poucas alteraes a serem feitas durante o funcionamento do SGSI.

No entanto, o mesmo no acontece para os requisitos derivados da anlise de riscos. O grande desafio da segurana da informao sempre foi acompanhar os riscos gerados pela situao do cenrio externo. Novas tecnologias, novas formas de comportamento e relaes sociais geram novos vetores de ataques que precisam ser controlados e evitados.

Dentre essas diversas componentes do cenrio externo, a tecnologia a que mais influencia as decises de segurana. Como apresentado, a gesto de segurana da informao uma teoria relativamente nova, onde boa parte dos conceitos tende a estar vinculada ao contexto tecnolgico. Na medida em que o contexto tecnolgico se altera, a gesto de segurana tambm precisa ser alterada. Por exemplo, a criao de dispositivos de anlise de trfego passou a ser importante na medida em que as redes se tornaram mais comuns. Da mesma forma, antivrus evoluram para antimalwares6 na medida em que as ameaas existentes passaram a assumir outras formas, como phishing7, trojans8 e spam.

No entanto, acompanhar essas tendncias est se tornando cada vez mais complexo, pois o cenrio externo traz mudanas cada vez mais disruptivas. Para caracterizar esse cenrio nesse trabalho, foram escolhidas trs grandes tendncias 6 Malware um termo utilizado para descrever qualquer tipo de ameaa em software. Isso acontece, pois

atualmente existem diversos tipos de ameaas (trojans, phishing, spam, etc.), que vo alm dos antigos vrus

de computador. Antimalware uma ferramenta criada para proteger sistemas de todo tipo de malware. 7 Phishing uma fraude onde um usurio levado a revelar informaes sensveis atravs do direcionamento

desse usurio para sistemas falsos com aparncia de sistemas legtimos. 8 Trojan uma aplicao no autorizada criada para se instalar em um sistema hospedeiro e coletar dados

especficos, os quais so posteriormente enviados para uma entidade externa.

49

tecnolgicas: a utilizao cada vez maior de terceirizao de infraestrutura de TIC, computao em nuvem e a mobilidade. De fato, analistas de mercado de TIC reconhecem essas tendncias como chave para os prximos anos de forma recorrente (GARTNER, 2010) (GARTNER, 2011), (GARTNER, 2012), (IDC, 2011), (IDC, 2012). Alm disso, essas tendn