A segurança da informação com base na NBR ISO/IEC 27002 para ambientes de riscos

A computação em nuvem ou cloud computing permite a realização tanto de tarefas básicas quanto das mais complexas na internet. É possível criar documentos de texto, planilhas ou fazer a edição de imagens. O sistema que permite rodar aplicativos e utilitários em nuvem, também guarda os dados do usuário, dispensando o disco rígido do computador. Suas vantagens são muitas: acessar os seus arquivos de qualquer computador ou dispositivo móvel; não correr o risco de perdê-los no caso de seu computador ou disco rígido estragar; não ter necessidade de usar uma máquina com muito espaço de armazenamento, já que tudo é executado e salvo em servidores remotos e muito mais. Mas e a segurança da informação? O valor da informação vai além das palavras escritas, números e imagens: conhecimento, conceitos, ideias e marcas são exemplos de formas intangíveis da informação. Em um mundo interconectado, a informação e os processos relacionados, sistemas, redes e pessoas envolvidas nas suas operações são informações que, como outros ativos importantes, têm valor para o negócio da organização e, consequentemente, requerem proteção contra vários riscos. Desta forma, em função das várias maneiras nas quais as ameaças podem se aproveitar das vulnerabilidades para causar dano à organização, os riscos de segurança da informação estão sempre presentes. Uma segurança da informação eficaz reduz estes riscos, protegendo a organização das ameaças e vulnerabilidades e, assim, reduzindo o impacto aos seus ativos.

mauricio1

Mauricio Ferraz de Paiva

Com o aumento das restrições ou contenções financeiras, é possível considerar o armazenamento em nuvem para reduzir custos e melhorar a eficiência. Para isso, os gestores têm que alinhar cuidadosamente as necessidades da empresa com o que a nuvem tem a oferecer antes de tomar uma decisão.

É muito importante que o cliente que opta por esse tipo de serviço tenha confiança e segurança no provedor de serviço. É preciso perguntar-se: a infraestrutura do provedor é adequada; tem processos que garantem a visibilidade e controle sobre todos os eventos desde o momento em que os dados são migrados na nuvem até mesmo sob operações do dia a dia; tem verificação e controle de acesso; tem aplicação da virtualização do controle de acesso suficiente para se adequar ao controle da sua empresa; tem gerenciamento e monitoramento contínuos; tem criptografia; e será que se poderá acessar os dados daqui a alguns anos?

Também é necessário levar em conta que o ambiente de nuvem utiliza segurança compartilhada. Todos os sistemas, assim, têm que trabalhar para garantir o processo de segurança e privacidade de dados, desde a criação até o uso no dia a dia.

A movimentação de dados do ambiente físico, dentro do cliente, para a nuvem pública, traz a necessidade de garantir o isolamento, desde o processo da movimentação dos dados para o ambiente compartilhado até para o uso no dia a dia. A mudança de ambiente físico para ambiente virtualizado deve contemplar o isolamento dos ambientes e assegurar a segurança das informações.

A NBR ISO/IEC 27002 de 11/2013 – Tecnologia da informação – Técnicas de segurança – Código de Prática para controles de segurança da informação fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização. É projetada para ser usada por organizações que pretendam: selecionar controles dentro do processo de implementação de um sistema de gestão da segurança da informação baseado na NBR ISO/IEC 27001; implementar controles de segurança da informação comumente aceitos; c) desenvolver seus próprios princípios de gestão da segurança da informação.

Importante dizer que a norma foi projetada para as organizações usarem como uma referência na seleção de controles dentro do processo de implementação de um sistema de gestão da segurança da informação (SGSI), baseado na NBR ISO/IEC 27001 ou como um documento de orientação para as organizações implementarem controles de segurança da informação comumente aceitos. É também usada no desenvolvimento de organizações e indústrias específicas de gerenciamento de segurança da informação, levando em consideração os seus ambientes de risco de segurança da informação específicos.

Organizações de todos os tipos e tamanhos (incluindo o setor privado e público, organizações comerciais e sem fins lucrativos), coletam, processam, armazenam e transmitem informações em diferentes formatos, incluindo o eletrônico, físico e verbal (por exemplo, conversações e apresentações). O valor da informação vai além das palavras escritas, números e imagens: conhecimento, conceitos, ideias e marcas são exemplos de formas intangíveis da informação. Em um mundo interconectado, a informação e os processos relacionados, sistemas, redes e pessoas envolvidas nas suas operações são informações que, como outros ativos importantes, têm valor para o negócio da organização e, consequentemente, requerem proteção contra vários riscos.

Ativos são objeto de ameaças, tanto acidentais como deliberadas, enquanto que os processos, sistemas, redes e pessoas têm vulnerabilidades inerentes. Mudanças nos processos e sistemas do negócio ou outras mudanças externas (como novas leis e regulamentações) podem criar novos riscos de segurança da informação.

Desta forma, em função das várias maneiras nas quais as ameaças podem se aproveitar das vulnerabilidades para causar dano à organização, os riscos de segurança da informação estão sempre presentes. Uma segurança da informação eficaz reduz estes riscos, protegendo a organização das ameaças e vulnerabilidades e, assim, reduzindo o impacto aos seus ativos.

A segurança da informação é alcançada pela implementação de um conjunto adequado de controles, incluindo políticas, processos, procedimentos, estrutura organizacional e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, quando necessário, para assegurar que os objetivos do negócio e a segurança da informação da organização sejam atendidos.

Um sistema de gestão da segurança da informação (SGSI), a exemplo do especificado na NBR ISO/IEC 27001, considera uma visão holística e coordenada dos riscos de segurança da informação da organização, para implementar um conjunto de controles de segurança da informação detalhado, com base na estrutura global de um sistema de gestão coerente.

Muitos sistemas de informação não têm sido projetados para serem seguros, na ótica da NBR ISO/IEC 27001 e desta norma. A segurança que pode ser alcançada através de meios técnicos é limitada e está apoiada por procedimentos e gerenciamentos apropriados.

A identificação de quais controles devem ser implementados requer planejamento e atenção cuidadosa em nível de detalhes. Um sistema de gestão da segurança da informação bem-sucedido requer apoio de todos os funcionários da organização. Isto pode também exigir a participação de acionistas, fornecedores ou outras partes externas. Orientações de especialistas externos podem também ser necessárias.

De um modo geral, uma segurança da informação eficaz também garante à direção e a outras partes interessadas que os ativos da organização estão razoavelmente seguros e protegidos contra danos, agindo como um facilitador dos negócios. Assim, é essencial que uma organização identifique os seus requisitos de segurança da informação. Existem três fontes principais de requisitos de segurança da informação.

A avaliação de riscos para a organização, levando-se em conta os objetivos e as estratégias globais de negócio da organização. Por meio da avaliação de riscos, são identificadas as ameaças aos ativos e as vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio.

A legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que atender, além do seu ambiente sociocultural. Os conjuntos particulares de princípios, objetivos e os requisitos do negócio para o manuseio, processamento, armazenamento, comunicação e arquivo da informação, que uma organização tem que desenvolver para apoiar suas operações.

Os recursos empregados na implementação dos controles precisam ser balanceados com base na probabilidade de danos ao negócio, resultado dos problemas de segurança pela ausência desses controles. Os resultados de uma avaliação de risco ajudarão a orientar e determinar as ações de gestão apropriadas e as prioridades para gerenciar os riscos de segurança da informação e a implementação dos controles selecionados para proteger contra estes riscos.

A NBR ISO/IEC 27005 de 11/2011 – Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação fornece as diretrizes sobre gestão de riscos de segurança da informação, incluindo orientações sobre avaliação de riscos, tratamentos de riscos, aceitação de riscos, comunicação de riscos, monitoramento e análise crítica dos riscos. Os controles podem ser selecionados desta norma ou de outros conjuntos de controles, ou novos controles podem ser projetados para atender às necessidades específicas, conforme apropriado.

A seleção de controles de segurança da informação depende das decisões da organização, baseadas nos critérios para aceitação de risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco aplicado à organização, e convém que a seleção destes controles também esteja sujeita a todas as legislações e regulamentações nacionais e internacionais relevantes. A seleção de controles também depende da maneira pela qual os controles interagem para prover uma proteção segura.

Alguns dos controles nesta norma podem ser considerados princípios básicos para a gestão da segurança da informação e podem ser aplicados à maioria das organizações. Os controles são explicados em mais detalhes logo a seguir, no campo diretrizes para implementação. Mais informações sobre seleção de controles e outras opções para tratamento de riscos podem ser encontradas na NBR ISO/IEC 27005.

A informação tem um ciclo de vida natural, desde a sua criação e origem, armazenamento, processamento, uso e transmissão, até a sua eventual destruição ou obsolescência. O valor e os riscos aos ativos podem variar durante o tempo de vida da informação (por exemplo, revelação não autorizada ou roubo de balanços financeiros de uma companhia é muito menos importante depois que eles são formalmente publicados), porém a segurança da informação permanece importante em algumas etapas de todos os estágios.

Sistemas de informação têm ciclos de vida nos quais eles são concebidos, especificados, projetados, desenvolvidos, testados, implementados, usados, mantidos e, eventualmente, retirados do serviço e descartados. Convém que a segurança da informação seja considerada em cada estágio. Desenvolvimentos de sistemas novos e mudanças nos sistemas existentes são oportunidades para as organizações atualizarem e melhorarem os controles de segurança, levando em conta os incidentes reais e os riscos de segurança da informação, projetados e atuais.

Enfim, a segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Pode-se entender como informação todo o conteúdo ou dado valioso para um indivíduo/organização, que consiste em qualquer conteúdo com capacidade de armazenamento ou transferência, que serve a determinado propósito e que é de utilidade do ser humano.

Atualmente, a informação digital é um dos principais produtos de nossa era e necessita ser convenientemente protegida. A segurança de determinadas informações podem ser afetadas por vários fatores, como os comportamentais e do usuário, pelo ambiente/infraestrutura em que ela se encontra e por pessoas que têm o objetivo de roubar, destruir ou modificar essas informações.

Três características são básicas para segurança da informação em nuvem: confidencialidade, disponibilidade e integridade e podem ser consideradas até mesmo atributos. A confidencialidade diz respeito à inacessibilidade da informação, que não pode ser divulgada para um usuário, entidade ou processo não autorizado; quanto à integridade, a informação não deve ser alterada ou excluída sem autorização; e a disponibilidade é o acesso aos serviços do sistema/máquina para usuários ou entidades autorizadas. Toda vulnerabilidade de um sistema ou computador pode representar possibilidades de ponto de ataque de terceiros.

Mauricio Ferraz de Paiva é engenheiro eletricista, especialista em desenvolvimento em sistemas, presidente do Instituto Tecnológico de Estudos para a Normalização e Avaliação de Conformidade (Itenac) e presidente da Target Engenharia e Consultoria – mauricio.paiva@target.com.br



Categorias:Normalização, Opinião

Tags:, , , , , , ,

Deixe uma resposta

%d blogueiros gostam disto: