Implementação da Gestão da Segurança da Informação

& Informações

recentes sobre segurança da informação

O uso dos sistemas de informação e da internet para a realização das mais diversas atividades se tornou um recurso indispensável para sociedade e para a economia mundial. Os recursos tecnológicos proporcionam inúmeros benefícios, contudo, é importante lembrar que esse universo digital está sujeito a várias formas de ameaças, físicas ou virtuais, que podem comprometer a segurança da informação nas organizações.

Segundo Kayworth e Whitten (2010), nenhuma solução ou mecanismo tecnológico é suficiente para garantir a eficácia da segurança da informação nas organizações, pois esta eficácia só pode ser atingida através da aplicação de uma estratégia corporativa de segurança que envolva aspectos técnicos e sociais. Neste contexto, os problemas relacionados à segurança da informação estão cada vez mais evidentes no cenário mundial.

O que é a segurança da informação ?Uma área do conhecimento que tem como objetivo proteger ativos de informação contra acessos não autorizados, alterações indevidas e indisponibilidade.

Ativos

É através do ativo que a informação é manipulada.

Os elementos que compõem o que são considerados de ativos são: as informações, os equipamentos (hardwares) e sistemas (softwares) e as pessoas que fazem o uso desse conjunto.

Os ativos precisam receber uma proteção adequada, pelo motivo de serem valores para as empresas e manterem a importante sustentabilidade dos negócios.

Informação

Hardware

Usuário

Software

Anteriormente reconhecida por seu papel como redutora de incertezas, a informação é cada vez mais vista como um recurso transformador do individuo e da sociedade, cabendo-lhe papel essencial no contexto sócio econômico. As características da informação que são atualmente mais ressaltadas são as seguintes:

A informação

Informação

Valor

TEMPORALIDADE E

INSTABILIDADEABRANGENCIA

EXTENSIBILIDADE

Estando dispersos nos ambientes organizacionais ,os ativos da informação estão sujeitos a diversos eventos e potencialidades, nocivos à sua segurança, divididos em três categorias ameaças, vulnerabilidade e incidentes, os quais compõe e caracterizam os riscos.

Um estudo realizado por Whitman (2003) ,procurou responder à algumas questões primordiais ,e uma delas foi “Quais são as ameaças à segurança da informação?” e foram listadas doze categorias de ameaças potenciais, obtidas a partir de trabalhos anteriores e de entrevistas com três security officers. Estas categorias estão em ordem decrescente de severidade.

Uma das definições apresentadas para ameaça é “ evento ou atitude indesejável (roubo, incêndio, vírus, etc) que potencialmente remove, desabilita, danifica ou destrói um recurso”

AMEAÇAS

Ameaças

Numero de eventos por mês Nenhum Até 50De 51 a

100Mais de

100Sem

Resposta

Eventos por software 16,7 62,5 9,4 11,5  

Erros ou falhas técnicas de software 30,2 64,6 5,2    

Falhas ou erros humanos 24 66,3 2,1 5,2 12,5

Espionagem ou invasão 68,8 23,9 3,1 4,2  

Sabotagem ou vandalismo 64,6 34,4   1  

Erros ou falhas técnicas de hardware 34,4 62,5 3,1    

Furto 54,2 45,8      

Forças da natureza 62,5 36,5   1  

Comprometimento à propriedade intelectual 61,5 28,1 2,1 1 7,3

Variação de qualidade de serviço 46,9 52,1 1    

Obsolescêcia técnica 60,4 37,5 1   1

Extorsão 90,6 9,3      

Numero mensal de eventos por ameaça, em percentual de respondentes:

Uma vulnerabilidade representa um ponto potencial de falha, ou seja, um elemento relacionado à informação que é passível de ser explorado por alguma ameaça – pode ser um servidos ou sistema computacional, uma instalação física ou, ainda, um usuário ou um gestor de informação consideradas sensível.

VULNERABILIDADE

INCIDENTE

“Um evento que envolve uma violação de segurança”- Shirey, 2002.“Um ataque ou um grupo de ataques que pode ser diferenciado de outros ataques pela distinção dos atacantes, ataques, objetivos, sites e ocasião” – Howard e Meunier, 2002.

RISCOSO risco pode ser definido como as perdas, incluindo perdas em vidas humanas, que podem ocorrer mediante a adoção de determinado curso de ação. Pode-se medir o risco em termos de unidade monetária envolvida ou pela variância da distribuição de probabilidade de eventuais perdas e ganhos associados a alguma alternativa em particular.

A norma BS7799, formulada pelo British Standards Institute que inspirou a norma ISO/IEC 17799, cuja primeira parte foi implementada no Brasil por meio da norma NRB17799, descreve os controles de segurança requeridos no ambiente organizacional e preconiza que os sistemas de gestão de segurança da informação devem se focar na gestão de riscos a fim de atingir os seguintes objetivos:Identificar o valor e analisar eventuais fraquezas dos ativos de informação;

Permitir que a gerencia tome decisão fundamentadas sobre a gestão de risco, eventualmente justificando despesas alocadas a este fim;

Incrementar a informação organizacional sobre os sistemas de tecnologia da informação a fim de melhorar sua segurança;

A avaliação de risco compreende nove passos:

1 • Caracterização do sistema;

2 • Identificação de ameaças;

3• Identificação de

vulnerabilidades;4

• Analise dos controles Utilizados;

5• Determinação da probabilidade

dos eventos listados nos passos anteriores;

6 • Analise do impacto;

7 • Determinação dos riscos;

8• Recomendação dos

controles a utilizar;9

• Documentação dos resultados;

Então ... Para que serve a segurança da informação ?

O que se pode perceber nos dias atuais é que os negócios das organizações - sejam elas empresas privadas ou instituições públicas - são, na grande maioria dos casos, sustentados pela informática. Estamos na era da Tecnologia da Informação.A Segurança da Informação se refere à proteção existente sobre as informações e seus ativos, de uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto às pessoais.

Para se implementar a gestão da segurança da informação, Beal (2005) sugere o uso do método PDCA, muito utilizado em sistemas de gestão da qualidade.O significado da sigla PDCA vem de:• P = Plan, de planejar• D = Do, de executar• C = Check, de verificar, avaliar• A = Act, de agir corretivamenteCom o uso do método PDCA, a autora estipulou as seguintes etapas aplicadas àgestão da segurança da informação:

Planejamento da

segurança

Implementação da

segurança

Avaliação e ação corretiva

Análise crítica independente da segurança

da informação

Para se implementar a gestão da segurança da informação, Beal (2005) sugere o uso do método PDCA, muito utilizado em sistemas de gestão da qualidade.

O significado da sigla PDCA vem de:• P = Plan, de planejar• D = Do, de executar• C = Check, de

verificar, avaliar• A = Act, de agir

corretivamenteCom o uso do método PDCA, a autora estipulou as seguintes etapas aplicadas àgestão da segurança da informação:

Quando se implementa um processo de gestão da segurança da informação, procura-se eliminar o máximo possível de pontos fracos ou garantir o máximo de segurança possível. (CARUSO e STEFFEN, 1999).Conforme Beal (2005, p. XII) “os problemas de segurança da informação são complexos, e normalmente têm sua origem em preocupações organizacionais e de negócio, não de tecnologia.” Ainda conforme a autora, os administradores devem preocupar-se com a segurança dos componentes de TI e da informação neles armazenada por quatro razões principais:• Dependência da tecnologia da informação;• Vulnerabilidade da infra-estrutura tecnológica – hardware e software;• Alto valor da informação armazenada;• Pouca atenção dada à segurança nos estágios iniciais do desenvolvimento desoftware.

Abordar a prática de Segurança da Informação significa implementar mecanismos e ferramentas de segurança que se fundamentem nos seguintes princípios:• O princípio da Confidencialidade• O princípio da Disponibilidade• O princípio da Integridade• O princípio da Autenticidade• O princípio da Legalidade• O princípio da Auditabilidade.

Para que se possa compreender a abrangência da Segurança da Informação é necessário observar os principais aspectos desse cenário:• Físico• Lógico• Ambiental• Organizacional• Comunicação

Como visto anteriormente a norma ISO/IEC 17799 estabelece as diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Também pode ser utilizada como um guia prático para desenvolver os procedimentos de segurança da informação da organização. Dentre essas diretrizes estão todas as formas de proteção citadas durante a apresentação

Atualizadas as normas 27001 e 27002 - Técnicas de Segurança

No dia 18 de novembro foram lançadas as novas versões das normas "ABNT NBR ISO/IEC 27001: 2013 - Sistemas de Gestão da Segurança da Informação – Requisitos" e "ABNT NBR ISO/IEC 27002: 2013 - Código de Prática para Controles de Segurança da Informação". A atualização das normas reflete a evolução de práticas de gestão e governança de segurança da informação nos últimos oito anos. Elas incluem, além do aperfeiçoamento e efetividade dos controles, uma facilidade de alinhamento com outros Sistemas de Gestão.

As novas versões contam com 14 seções de controles, 35 objetivos de controle e 114 controles mandatórios. Foram incluídas seções de Criptografia, Segurança nas Operações, Segurança nas Comunicações e Relacionamento na cadeia de suprimento. Dentre os novos controles destacam-se os que tratam do desenvolvimento seguro de aplicações.

Eu posso usar essa norma para garantir a segurança de um programa ou equipamento?

Essa norma foi criada para possibilitar a implantação de segurança da informação em empresas. Para processos, hardware e software, existem normas especificamente criadas com esse fim tal como a Tsec, ITSec e Commum Critéria.

Implementação da Gestão da Segurança da Informação

Informações recentes publicadas na mídia indicam o crescimento de incidentes de segurança da informação, suas principais ameaças e os investimentos na área: Dados divulgados pelo Comitê Gestor da Internet no Brasil através do Centro deEstudos, Respostas e Tratamento de Incidentes de Segurança no Brasil (CERT.br)mostram que o número de incidentes de segurança motivados por falhas evulnerabilidades de software a ataques externos, vírus etc, passou de 3,1 mil em 1999 para 52,6 mil em 2004. Houve, entre o final de 2002 e o primeiro trimestre de 2003, um aumento de 84% no número de ataques e incidentes de segurança (MESQUITA, 2003).

1999 20040

20

40

60

Aumento em milhares

Aumento em milhares

50%

32%

18%

Ataques sofridos por empresas brasileiras

VirusTrojanBots ou Worms

Outro estudo do Comitê Gestor da Internet no Brasil (2006) destaca quepraticamente metade das empresas brasileiras com acesso à Internet já sofreu algum incidente de segurança.

Nuvem e redes sociais exigem mais orçamento para Segurança da InformaçãoAs empresas deverão gastar cerca de US$ 71,7 bilhões com Segurança em Informação em 2014, o que significa um aumento de 7,9% em relação a 2013. A área com maior aporte de recursos é a de prevenção para a perda de dados, que registrou um incremento de 18,9%, revela estudo do Gartner. Para 2015, esse montante deverá crescer ainda mais e chegar a US$ 76,9 bilhões. Boa parte desse incremento virá da convergência dos dados das empresas com a mobilidade, computação em nuvem e redes sociais. 

Strong Security Brasil anuncia serviços gerenciados em Segurança da Informação Corporativa

A Strong Security Brasil, fornecedora de soluções e serviços de segurança da informação corporativa, anuncia o Strong Security Managed Services, que inclui ampla gama de serviços e produtos para diversos níveis de estratégia de gestão da segurança da informação e configuráveis às políticas de segurança dos diversos perfis e tamanhos de empresa.

Dario Caraponale, diretor da Strong Security Brasil, explica que os serviços gerenciados em segurança da informação corporativa é um conjunto de ações baseada em produtos e serviços associados concentrados no Security Operations Center (SOC), mantido em operação 24 horas com ampla gama de tecnologias aplicadas por seus especialistas em apoio aos departamentos de TI e alta direção das empresas que buscam otimizar os recursos, investimentos e infraestrutura, com foco nos melhores resultados de ROI (retorno dos investimentos). “O lançamento visa entregar o mais elevado nível de aderência às necessidades de cada projeto de segurança e a partir de serviços personalizados para garantir alto nível de resposta às políticas de segurança”.

Mulheres ambicionam lugar na Segurança da InformaçãoAs mulheres têm menos oportunidades no mercado de TI. Tanto que apenas 24% dos postos oferecidos pelo setor estão ocupados por profissionais do sexo feminino. Porém, quanto ao nível de satisfação com a carreira na área de TI, o grupo de mulheres que afirma estar muito satisfeito com a escolha é superior ao dos homens.

Mulheres Homens32

33

34

35

36

37

38

39

40

41

42

Altamente sat-isfeitos com o

trabalho

• 66% das mulheres profissionais de TI que detêm uma certificação CompTIA contra 54% dos homens;

• Para 72% das mulheres, o trabalho proporciona a oportunidade de crescer e se desenvolver. Entre os homens, 61% têm a mesma opinião.

• Quanto ao índice de satisfação sobre apoio do empregador para o desenvolvimento profissional, 73% das mulheres afirmam receber apoio, em comparação com 64% dos homens

Bibliografia

• www.convergenciadigital.uol.com.br

• www.segs.com.br

• www.ufrgs.br

• www.techoje.com.br

• www.claudiododt.com

• www.informabr.com.br

• www.esr.rnp.br

• www.portaleducacao.com.br

• www.repositorio.unb.br