ISO 27002 – Código de Prática para a Gestão da Segurança da Informação

CONHEÇA A NBR ISO/IEC 27002 – PARTES 1 e  2 (Site Profissionais de TI)

O objetivo da norma é  “estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização”. Segurança da Informação  trata  proteger as informações consideradas importantes para a continuidade e manutenção dos objetivos de negócio da organização.

A parte principal da norma se encontra distribuída em 11 seções, que correspondem a controles de segurança da informação descritas a seguir.

Seção 5 – Política de Segurança da Informação
Deve ser criado um documento sobre a política de segurança da informação da organização, que deveria conter, entre outros, os conceitos de segurança da informação, o comprometimento da direção com a política, uma estrutura para estabelecer os objetivos de controle e os controles, a estrutura de análise e avaliação e gerenciamento de riscos, as políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização. Essa política também deve ser comunicada a todos, bem como analisada e revisada criticamente, em intervalos regulares ou quando mudanças se fizerem necessárias.

Seção 6 – Organizando a Segurança da Informação
Para implementar a SI em uma organização, é necessária que seja estabelecida uma estrutura para gerenciá-la. Para isso, as atividades de segurança da informação devem ser coordenadas por representantes de diversas partes da organização, com funções e papéis relevantes. Todas as responsabilidades pela segurança da informação também devem estar claramente definidas. É importante ainda que sejam estabelecidos acordos de confidencialidade para proteger as informações de caráter sigiloso, bem como as informações que são acessadas, comunicadas, processadas ou gerenciadas por partes externas, tais como terceiros e clientes.

Seção 7 – Gestão de Ativos
Ativo, de acordo com a norma, “é qualquer coisa que tenha valor para a organização”. Gestão de Ativos, portanto, significa proteger e manter os ativos da organização. Para que eles sejam devidamente protegidos, devem ser primeiramente identificados e levantados, com proprietários também identificados e designados, de tal forma que um inventário de ativos possa ser estruturado e posteriormente mantido. As informações e os ativos ainda devem ser classificados, conforme o nível de proteção recomendado para cada um deles, e seguir regras documentadas, que definem qual o tipo de uso é permitido fazer com esses ativos.

Seção 8 – Segurança em Recursos Humanos
Antes de realizar a contratação de um funcionário ou mesmo de fornecedores e terceiros, é importante que cada um deles entenda suas responsabilidades e esteja de acordo com o papel que desempenhará. Portanto, as descrições de cargo e os termos e condições de contratação devem ser explícitos, especialmente no que tange às responsabilidades de segurança da informação. É importante também que quaisquer candidatos sejam devidamente analisados, principalmente se forem lidar com informações de caráter sigiloso. A intenção aqui é mitigar o risco de roubo, fraude ou mau uso dos recursos.

Seção 9 – Segurança Física e do Ambiente 

As instalações de processamento de informação críticas ou sensíveis devem ser mantidas em áreas seguras, com níveis e controles de acesso apropriados, incluindo proteção física. Essa proteção deve ser compatível com os riscos previamente identificados. Os equipamentos também devem ser protegidos contra ameaças físicas e ambientais, incluindo aqueles utilizados fora do local.

Seção 10 – Gestão das Operações e Comunicações
É importante que estejam definidos os procedimentos e responsabilidades pela gestão e operação de todos os recursos de processamento das informações. Além disso, deve-se utilizar sempre que necessária a segregação de funções (recomenda-se que uma pessoa realize uma ou algumas partes de um processo, mas não todas), visando reduzir o risco de mau uso ou uso indevido dos sistemas.Para o gerenciamento de serviços terceirizados, deve-se implementar e manter o nível apropriado de segurança da informação e em conformidade com acordos de entrega de serviços terceirizados. É fundamental planejar e preparar a disponibilidade e os recursos do sistemas para minimizar o risco de falhas, bem como prever a capacidade futura dos sistemas, de  forma a reduzir os riscos de sobrecarga. Também deve-se prevenir e detectar a introdução de códigos maliciosos e os usuários devem estar conscientes sobre isso. Procedimentos para a geração de cópias de segurança e sua recuperação também devem ser estabelecidos.Deve-se garantir ainda o gerenciamento seguro de redes. Controles adicionais podem até mesmo ser necessários para proteger informações confidenciais que trafegam em redes pública. As trocas de informações entre organizações devem ser baseadas em uma política formal específica, devendo ser efetuadas a partir de acordos entre as partes e sempre em conformidade com toda a legislação pertinente. Deve-se ainda implementar mecanismos de monitoração  de atividades não autorizadas de processamento da informação. Os eventos de segurança da informação devem ser registrados, lembrando que  as organizações devem estar aderentes aos requisitos legais aplicáveis para suas atividades de registro e monitoramento.

Seção 11 – Controle de Acesso
O acesso à informação, aos recursos de processamento das informações e aos processos de negócios devem ser controlados com base nos requisitos de negócio e na segurança da informação.  Portanto, deve ser assegurado o acesso de usuário autorizado e prevenido o acesso não autorizado a sistemas de informação. Para isso, deve haver procedimentos que englobem desde o cadastro inicial de um novo usuário até o cancelamento final do seu registro, garantindo assim que já não possuem mais acesso a sistemas de informação e serviços. Os usuários sempre devem estar conscientes de suas responsabilidades, particularmente no que se refere ao uso de senhas e de segurança dos equipamentos de usuários. Nesse sentido, sugere-se ainda a adoção da “política de mesa e tela limpa”, para reduzir o risco de acessos não autorizados ou danos a documentos, papéis, mídias e recursos de processamento da informação que estejam ao alcance de qualquer um.

Seção 12 – Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
Segundo a norma, “Sistemas de informação incluem sistemas operacionais, infra-estrutura, aplicações de negócios, produtos de prateleira, serviços e aplicações desenvolvidas pelo usuário”. Por essa razão, os requisitos de segurança de sistemas de informação devem ser identificados e acordados antes do seu desenvolvimento e/ou de sua implementação. As informações devem ser protegidas visando a manutenção de sua confidencialidade, autenticidade ou  integridade por meios criptográficos.

Seção 13 – Gestão de Incidentes de Segurança da Informação
Deve-se assegurar que eventos de segurança da informação sejam o mais rápido possível comunicados, de tal forma que a tomada de ação corretiva ocorra em tempo hábil. Para isso, devem ser estabelecidos procedimentos formais de registro e escalonamento, bem como todos os funcionários, fornecedores e terceiros devem estar conscientes sobre os procedimentos para notificação dos diferentes tipos de eventos.

Seção 14 – Gestão da Continuidade do Negócio
Deve-se impedir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar que a sua retomada ocorra em tempo hábil.Para isso, planos de continuidade do negócio, incluindo controles para identificar e reduzir riscos, devem ser desenvolvidos e implementados, visando assegurar que as operações essenciais sejam rapidamente recuperadas.

Seção 15 – Conformidade
Deve-se garantir e evitar a violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação.

Referência Bibliográfica:

ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação. ABNT, 2005.

Modelo de Referência de Processo do COBIT 5 – 37 processos

image004

Processos de Governança Corporativa de TI

Avaliar, Dirigir e Monitorar (5)

EDM01 – Garantir a definição e manutenção do modelo de governança

EDM02- Garantir a realização de benefícios

EDM03 – Garantir a otimização do risco

EDM04 – Garantir a otimização dos recursos

EDM05 – Garantir transparência para as partes interessadas

Processo para Gestão Corporativa de TI 

Alinhar, Planejar e Organizar (13)

APO01 – Gerenciar a estrutura de gestão de TI

APO02 – Gerenciar a estratégia

APO03 – Gerenciar arquitetura da organização

APO04 – Gerenciar inovação

APO05 – Gerenciar portfólio

APO06 – Gerenciar orçamento e custos

APO07 – Gerenciar recursos humanos

APO08 – Gerenciar relacionamentos

APO09 – Gerenciar contratos de prestação de serviços

APO10 – Gerenciar fornecedores

APO11 – Gerenciar qualidade

APO12 – Gerenciar riscos

APO13 – Gerenciar segurança

Construir, Adquirir e Implementar (10)

BAI01 – Gerenciar programas e projetos

BAI02 – Gerenciar definição de requisitos

BAI03 – Gerenciar identificação e desenvolvimento de soluções

BAI04 – Gerenciar disponibilidade e capacidade

BAI05 – Gerenciar capacidade de mudança organizacional

BAI06 – Gerenciar mudanças

BAI07 – Gerenciar aceitação e transição da mudança

BAI08 – Gerenciar conhecimento

BAI09 – Gerenciar ativos

BAI10 – Gerenciar configuração

Entregar, Serviços e Suporte (06)

DSS01 – Gerenciar operações

DSS02 – Gerenciar solicitações e incidentes de serviços

DSS03 – Gerenciar problemas

DSS04 – Gerenciar continuidade

DSS05 – Gerenciar serviços de segurança

DSS06 – Gerenciar controle do processo de negócio

Monitorar, Avaliar e Analisar (03)

MEA01 – Monitorar, avaliar e analisar desempenho e continuidade

MEA02 – Monitorar, avaliar e analisar o sistema de controle interno

MEA03 – Monitorar, avaliar e analisar conformidade com requisitos externos.

Processos e Funções da ITIL 2011 (26 processos e 4 funções)

Processo é um conjunto estruturado de atividades elaborado para alcançar um objetivo específico. Função é um grupo de pessoas e suas  ferramentas que realizam processos.

A ITIL 2011 possui os seguintes processos e funções.

Processos de Estratégia de Serviço (5)

  • Gerenciamento estratégico para serviços de TI
  • Gerenciamento de portfólio de serviço
  • Gerenciamento financeiro
  • Gerenciamento de demanda
  • Gerenciamento de relacionamento de negócio

Processos de Desenho de Serviço (8)

  • Coordenação do desenho
  • Gerenciamento do catálogo de serviço
  • Gerenciamento de nível de serviço
  • Gerenciamento de disponibilidade
  • Gerenciamento de capacidade
  • Gerenciamento de continuidade do serviço
  • Gerenciamento de segurança da informação
  • Gerenciamento do fornecedor

Processos de Transição de Serviço (7)

  • Planejamento e suporte da transição
  • Gerenciamento da mudança
  • Gerenciamento de configuração e de ativo de serviço
  • Gerenciamento de liberação e implantação
  • Validação e teste de serviço
  • Avaliação de mudança
  • Gerenciamento de conhecimento

Processos de Operação de Serviço (5)

  • Gerenciamento de evento
  • Gerenciamento de incidente
  • Atendimento da requisção do serviço
  • Gerenciamento de problema
  • Gerenciamento de acesso

Processo de Melhoria Continua do Serviço (1)

Melhoria de Sete Passos

Funções de Operação de Serviço (4)

  • Central de Serviço
  • Gerenciamento Técnico
  • Gerenciamento de operações de TI
  • Gerenciamento de aplicativo

 

Noções básicas sobre a ITIL

A Information Technology Infrastructure Library (ITIL) é uma abordagem sistemática para a entrega de serviços de TI. A ITIL foi desenvolvida nas décadas de 1980 e 1990 pelo CCTA (agora OGC) sob contrato com o governo do Reino Unido. A ITIL é considerada uma melhor pratica. na indústria de TI.

A ITIL foi atualizada três vezes, a primeira em 2002 (V2), a segunda em 2007 (V3)e a terceira em 2011 (ITIL 2011).com base no ciclo de vida.

A ITIL aborda o gerenciamento de serviço. O gerenciamento de serviços deve acontecer em cinco etapas baseadas em processos e funções. As cinco etapas do ciclo de vida dos serviços são: estratégia de serviço, desenho do serviço, transição do serviço, operação do serviço, melhoria continua do serviço.

  • Estratégia – Fase que define os requisitos para o provedor de serviços ser capaz de dar suporte aos requisitos do negócio.
  • Desenho – Fase que define o projeto dos serviços baseada na fase da estratégia.
  • Transição – Fase que permite que os novos serviços sejam implantados com sucesso.
  • Operação – Fase que o provedor de serviço coordena e executa os processos necessários para fornecer os níveis de serviço acordados aos usuários e clientes do negócio.
  • Melhoria continua – Fase que cuida de melhoria incremental da qualidade dos serviços.

A Figura abaixo ilustra a ideia de ciclo de serviços utilizada pela ITIL.

 

Gastos em TI

Em TI é importante diferenciar custos ,despesas e investimentos, categorias inseridas no conceito de gastos. Gastos são todos os sacrifícios para aquisição de um bem ou serviço, com pagamento no ato (desembolso) ou no futuro (dívida).

Custos

  • Custos são medidas monetárias dos sacrifícios financeiros com os quais uma organização têm de arcar a fim de atingir seus objetivos, sendo considerados esses ditos objetivos, a utilização de um produto ou serviço qualquer, utilizados na obtenção de outros bens ou serviços. Um exemplo de custo é a compra de matérias primas para a produção de um bem. Custos podem ser fixos ou variáveis.

Despesas

  • As despesas são gastos reconhecidos no ato da venda. É um dispêndio no processo de aquisição de receita. As despesas são gastos que não se identificam com o processo de transformação ou produção dos bens e produtos. Elas são classificadas em fixas e variáveis, sendo as fixas aquelas cujo valor a ser pago não depende do volume, ou do valor das vendas, enquanto que as variáveis são aquelas cujo valor a ser pago está diretamente relacionado ao valor vendido.

Investimentos

  • Investimentos são gastos que gerarão suporte estrutural, tecnológico e operacional em função da utilização futura dos bens ou serviços adquiridos Investimento é a aplicação de algum tipo de recurso com a expectativa de receber algum retorno futuro superior ao aplicado compensando, inclusive, a perda de uso desse recurso durante o período de aplicação. O termo aplica-se tanto à compra de máquinas, equipamentos e imóveis para a instalação de unidades produtivas como à compra de títulos financeiros.Significa a aplicação de capital em meios que levam ao crescimento da capacidade produtiva, ou seja, em bens de capital.