Os profissionais de TI muitas vezes se deparam com a necessidade de documentar processos internos de segurança da informação. Este artigo mostra de forma clara e breve, os principais itens relacionados a este assunto. Este tópico inicial tratará das normas envolvidas e os próximos posts mostrarão ferramentas Open Source que podem ser usadas nesta área.
Sendo responsável pelo controle de acessos e integridade das informações de uma empresa, os profissionais de TI muitas vezes se deparam com a necessidade de documentar processos internos de segurança da informação. Este artigo mostra de forma clara e breve, os principais itens relacionados a este assunto. Este tópico inicial tratará das normas envolvidas e os próximos posts mostrarão ferramentas Open Source que podem ser usadas nesta área.
Código de práticas para gerenciamento de segurança da informação
O padrão ISO/IEC 27002 é internacionalmente aceito como conjunto das melhores práticas de segurança da informação. A versão atualmente em uso deste padrão é de 2005. Está prevista uma atualização para 2011 que está sendo revisada neste momento pelo comitê do ISO/IEC.
Como a governança, a segurança da informação é uma área muito ampla com ramificações em quase todas as partes de uma organização. Governo, entidades filantrópicas e empresas privadas de qualquer tamanho ou objetivo envolvem questões relevantes para a segurança da informação. O objetivo pode ser diferente, mas todos tem pontos em comum.
Os departamentos de TI são meros "curadores" de uma boa quantidade das informações de valor de uma organização e são considerados os responsáveis por estas informações pelos demais colaboradores. No entanto, boa parte da informação escrita e intangível (como conhecimento estratégico, por exemplo) não tem nada a ver com TI.
O padrão ISO/IEC 27001 define formalmente um conjunto de requisitos obrigatórios para um Sistema de Gerenciamento de Segurança da Informação (ISMS - Information Security Management System). Porém, como este padrão é um guia/código de melhores práticas e não um padrão de certificação, as organizações estão livres para adotar o que melhor se adequar ao seu cenário. Normalmente as empresas que adotam o padrão ISO/IEC 27002 também adotam o ISO/IEC 27001.
Estrutura do ISO/IEC 27002
O padrão ISO/IEC 27002 é um código de práticas, um documento genérico e consultivo, não exatamente um padrão formal como o ISO/IEC 27001. Ele aborda um conjunto razoável de sugestões de controle para riscos de segurança da informação cobrindo confidencialidade, integridade e disponibilidade que são os 3 pilares da segurança.
As organizações que adotam este padrão precisam avaliar seus próprios riscos e decidir por ações aplicáveis a eles. A rigor, nenhum dos controles são obrigatórios, mas se uma organização opta por não adotar algo comum como, por exemplo, controles de antivírus, certamente deve estar preparado para demonstrar que esta decisão foi tomada através de um processo racional de decisão de gestão de risco, se pretende se certificar em conformidade com a norma ISO / IEC 27001.
Um documento que se proponha a registrar, sugerir ou controlar elementos de segurança da informação, deve cobrir os seguintes aspectos:
1 - Gerenciamento e tratamento de riscos
2 - Política de segurança da informação
3 - Organização da segurança da informação
4 - Gestão de ativos
5 - Segurança de recursos humanos
5.1 Antes da contratação
5.2 Durante a contratação
5.3 Término ou mudança na contratação
6 - Segurança física e do ambiente
6.1 Áreas de segurança
6.2 Segurança dos equipamentos
7 - Gerenciamento das operações e comunicações
7.1 Responsabilidades e procedimentos operacionais
7.2 Gerenciamento de entrega de serviços de terceiros
7.3 Aprovação e planejamento de serviços
7.4 Proteção contra código malicioso e ameaças móveis
7.5 Backup
7.6 Gerenciamento de segurança de rede
7.7 Gerenciamento de mídias
7.8 Intercâmbio de informações
7.9 Serviços de comércio eletrônico
7.10 Monitoramento
8 - Controle de acessos
8.1 Requisitos do negócio para controle de acesso
8.2 Gerenciamento de acessos de usuários
8.3 Responsabilidades de usuários
8.4 Controle de acessos à rede
8.5 Controle de acesso ao sistema operacional
8.6 Controle de acesso à aplicações e informação
8.7 Teletrabalho e computação móvel
9 - Aquisição, desenvolvimento e manutenção de sistemas de informação
9.1 Requisitos de segurança de um sistema de informação
9.2 Processamento correto em aplicações
9.3 Controle de criptografia
9.4 Segurança de sistema de arquivos
9.5 Segurança nos processos de desenvolvimento e suporte
9.6 Gerenciamento de vulnerabilidades técnicas
10 - Gestão de incidentes de segurança da informação
10.1 Registro de eventos de segurança e fraquezas
10.2 Gerenciamento de eventos de segurança e melhorias
11 - Gestão da continuidade do negócio ou planejamento de recuperação de desastres
12 - Conformidade
12.1 Conformidade com requisitos legais
12.2 Conformidade com padrões e políticas de segurança
12.3 Considerações sobre auditoria de sistemas de informação
[1] Comentário enviado por pedrocipoli em 07/06/2010 - 13:46h
Esses padrões de segurança ão bastante importantes para uma organização, e as pessoas (o peopleware) tem uma grande parcela de importância nisso. Os sistemas de segurança não funcionam por si só, e quanto mais os funcionários de uma empresa forem instruídos à seguir essas recomendações à risca, mais estável e segura serão os as informações.
Acredito que bons artigos virão depois desse, e esse é um ótimo prelúdio!
Parabéns mvuelma!
[2] Comentário enviado por mvuelma em 07/06/2010 - 14:00h
Olá pedrocipoli!
Concordo plenamento com você. A cultura de gerenciamento precisa ser desenvolvida na área de segurança.
Obrigada pelo comentário. Em breve publicarei os próximos tópicos.
Sucesso.
Marta Vuelma
[3] Comentário enviado por luizvieira em 07/06/2010 - 16:15h
Olá Marta, bom artigo!
Trabalho na área e ministro treinamentos tbm, inclusive um deles de Hardening de servidores Linux, baseado na norma ISO 27002. Em cima disso, vemos o quanto essas normas são importantes, mas elas não ensinam como implantar os sistemas de controle e proteção, daí a necessidade de conhecer bem o sistema operacional para ser capaz de adaptar a norma ao cotidiano e suas necessidades.
[ ]'s
Luiz