Nos próximos três posts (para não ficar muito longo e cansativo!) será apresentado um item importantíssimo e com bastante complexidade de implantação dentro da Governança de TI, o Sistema de Gestão de Segurança da Informação (SGSI), que está coberto pela Norma ISO 27.001 - com seus 133 controles normatizadores.
Sistema de Gestão de Segurança da Informação
Vamos iniciar com uma pequena transcrição da norma ABNT NBR ISO/IEC 27.001:
"Esta norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação".
Assim sendo, esta norma regula toda a parte de segurança da informação em uma instituição, desde o acesso às áreas críticas, passando por ativos físicos/lógicos (equipamentos e softwares críticos) para chegar até o mais importante, os dados/informações. Em consonância à norma ISO 27.001, esclarecendo detalhadamente a forma prática de atender a todos os seus controles, vem a ISO 27.002, a qual deve servir como excelente suporte nas implementações de um SGSI. Da série de normas de segurança para TI ainda existem outras muito importantes. Segue a relação:
"Esta norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação".
Assim sendo, esta norma regula toda a parte de segurança da informação em uma instituição, desde o acesso às áreas críticas, passando por ativos físicos/lógicos (equipamentos e softwares críticos) para chegar até o mais importante, os dados/informações. Em consonância à norma ISO 27.001, esclarecendo detalhadamente a forma prática de atender a todos os seus controles, vem a ISO 27.002, a qual deve servir como excelente suporte nas implementações de um SGSI. Da série de normas de segurança para TI ainda existem outras muito importantes. Segue a relação:
- ISO/IEC 27000:2014 - Information security management systems - Overview and vocabulary
- ABNT NBR ISO/IEC 27001:2013 - Sistemas de gestão da segurança da informação - Requisitos
- ABNT NBR ISO/IEC 27002:2013 - Código de prática para controles de segurança da informação
- ABNT NBR ISO/IEC 27003:2011 - Diretrizes para implantação de um sistema de gestão da segurança da informação
- ABNT NBR ISO/IEC 27004:2010 - Gestão da segurança da informação - Medição
- ABNT NBR ISO/IEC 27005:2011 - Gestão de riscos de segurança da informação
- ABNT NBR ISO/IEC 27011:2009 - Diretrizes para gestão da segurança da informação para organizações de telecomunicações baseadas na ABNT NBR ISO/IEC 27002
- ABNT NBR ISO/IEC 27014:2013 - Governança de segurança da informação
- ABNT NBR ISO/IEC 27031:2015 - Diretrizes para a prontidão para a continuidade dos negócios da tecnologia da informação e comunicação
- ABNT NBR ISO/IEC 27037:2013 - Diretrizes para identificação, coleta, aquisição e preservação de evidência digital
- ABNT NBR ISO/IEC 27038:2014 - Especificação para redação digital
Como definido, a norma ISO 27.001 nos remete à implementação na instituição de um SGSI, que compreende um conjunto de políticas, processos, documentos e procedimentos, criados com base em normas e leis, para garantir a mínima segurança no uso de seus ativos de TI. Este SGSI deve atuar balizado por uma PSI (Política de Segurança da Informação), que conterá as práticas necessárias à Segurança da Informação adequadas ao cenário de cada instituição, isto é, quanto mais rígido e importante for a necessidade da Segurança da Informação na instituição, mais abrangente, reforçada e complexa será sua PSI.
Ao se estabelecer um SGSI é necessário definir seu escopo e limites (sua abrangência física, lógica e pessoal), de acordo com a necessidade do negócio e, também, sobre o que ficará fora do escopo do SGSI, com as devidas justificativas - além disto tudo, é claro, deve ser formalmente aprovado pela Alta Direção e publicado na Intranet da Instituição para conhecimento por todos.
O objetivo do Escopo da SGSI é definir o que você planeja proteger (dados/informações), independente de onde se encontra fisicamente (on-site ou off-site - site externo, cloud ou computação móvel), de que modo ocorre o acesso (local ou remotamente) e por quem os acessa: funcionários, diretores, fornecedores, parceiros, clientes, interfaces físicas (roteadores, portas de entrada, switches, etc.), interfaces lógicas (desenvolvimento SOA, interfaces de transferência de dados, APIs, etc.) e dependências externas (desenvolvimento de sistemas - que pode vir a causar incidentes de SI, serviços de terceiros - como limpeza e manutenção predial, etc.).
O objetivo do Fora do Escopo da SGSI é informar os ativos ou áreas que serão consideradas como externas à instituição, isto é, terão seus direitos de acesso restritos ao mínimo possível - ou até mesmo a nada! Podemos incluir no fora de escopo, por exemplo, redes apartadas (fora da rede corporativa), temporárias, para realização de uma capacitação off-site. A redução de escopo de atuação em uma institucional pode se tornar um problema, portanto, tenha cuidado - o normal é a Instituição estar contida no escopo de um SGSI.
O objetivo do Escopo da SGSI é definir o que você planeja proteger (dados/informações), independente de onde se encontra fisicamente (on-site ou off-site - site externo, cloud ou computação móvel), de que modo ocorre o acesso (local ou remotamente) e por quem os acessa: funcionários, diretores, fornecedores, parceiros, clientes, interfaces físicas (roteadores, portas de entrada, switches, etc.), interfaces lógicas (desenvolvimento SOA, interfaces de transferência de dados, APIs, etc.) e dependências externas (desenvolvimento de sistemas - que pode vir a causar incidentes de SI, serviços de terceiros - como limpeza e manutenção predial, etc.).
O objetivo do Fora do Escopo da SGSI é informar os ativos ou áreas que serão consideradas como externas à instituição, isto é, terão seus direitos de acesso restritos ao mínimo possível - ou até mesmo a nada! Podemos incluir no fora de escopo, por exemplo, redes apartadas (fora da rede corporativa), temporárias, para realização de uma capacitação off-site. A redução de escopo de atuação em uma institucional pode se tornar um problema, portanto, tenha cuidado - o normal é a Instituição estar contida no escopo de um SGSI.
Atenção: todas as políticas e diretrizes de segurança da informação devem ser implementadas em processos e, estes, devem ter suas execuções controladas e medidas para subsidiar uma evolução em uma revisão planejada, mantendo-os alinhados (foco) e adequados (eficazes e eficientes) aos objetivos da instituição (estratégia).
Política de Segurança da Informação
A.5 - Política de Segurança
A.5.1 - Política de Segurança da Informação
Uma vez definido o escopo e limites do SGSI, devemos atuar na criação da Política de Segurança da Informação (PSI), que é um conjunto de documentos abrangentes e integrados que direciona e/ou estabelece os princípios básicos relacionados à Segurança da Informação, tomando como base os ativos, os negócios a serem protegidos e a própria instituição.
O conjunto de documentos que compõem a política de Segurança da Informação devem ser aprovados pela direção, publicados em local acessível e comunicados/divulgados para todos os funcionários e, também, para as partes externas relevantes. A PSI deve ser analisada criticamente a intervalos planejados (máximo de 12 meses), além de ser analisada também quando ocorrerem mudanças significativas, para garantir sua evolução contínua de eficiência e eficácia.
Existem vários modelos de PSI disponibilizados na Internet. Alguns estão condensadas em um único documento com muitas páginas que facilitam sua manutenção, mas que dificulta a leitura pelos usuários, ficando perdido dentre os muitos itens que, apesar de complementares, não lhe dizem respeito diretamente, como por exemplo, "aquisição, desenvolvimento e manutenção de aplicações" ou "gestão de serviço de terceiros", outros modelos são compostos de documentos categorizados por assuntos (como os dois apresentados acima), mas integrados estruturalmente, sendo, este, o caso do modelo que será aqui apresentado.
A.6 - Organizando a SI
A.6.1 - Infraestrutura da Segurança da Informação
Deve-se desenvolver um normativo que descreva os papeis e responsabilidades da organização quanto à SI e a Direção deve apoiar ativamente a SI dentro da organização, por meio de claro direcionamento, demonstrando seu comprometimento e definindo atribuições de forma explícita. Esta demonstração de apoio deve ser feita através e-mail da gestão aos demais colaboradores, informes sistêmicos que refiram-se ao apoio, termos de adesão à PSI atestando formalmente seu apoio. Com relação à Coordenação da SI, este normativo deve descrever seus papeis e responsabilidades quanto à SI, descrevendo como as atividades de SI devem ser coordenadas por representantes de diferentes partes da organização, com funções e papeis relevantes e, para compor este controle, deverá existir a figura de comitês técnicos e executivos. Assim sendo, todos os papeis e responsabilidades da organização quanto à SI devem estar claramente definidas em um normativo.
Deve-se definir e implementar um processo de gestão de autorização e ativação para novos recursos de processamento da informação.
Deve-se existir termos de sigilo (NDA - Non Disclosure Agreement) entre a instituição, seus colaboradores, empresas prestadoras, e colaboradores terceirizados. Estes termos devem refletir as necessidades da organização para a SI, sendo detalhadamente analisados e atualizados, de forma periódica.
Deve-se instituir um controle da matriz de contatos com autoridades relevantes, internas e externas para acionamentos em possíveis necessidades (gestão de incidentes ou de riscos de SI).
Deve-se criar e manter contatos com grupos de interesses especiais, associações profissionais, fóruns ou outros grupos especializados em SI.
Deve-se analisar criticamente os controles de SI, de forma independente, a intervalos planejados ou quando ocorrerem mudanças significativas relativas à implementação da SI.
A.6.2 - Partes externas
Deve-se implantar processos de gestão, avaliação de riscos e controles, considerando-se riscos para os ativos, para os recursos de processamento da informação e para a informação da organização oriundos de processos do negócio que envolvam clientes, fornecedores ou qualquer outra parte externa. Estes riscos devem ser identificados e controles apropriados (NDA, Termo de Aceitação da PSI) devem ser implementados antes da concessão ao acesso.
A.7 - Gestão de ativos
A.7.1 - Responsabilidade pelos ativos
Deve-se implementar norma e controles que mantenham a norma de Gestão de Ativos, parte integrante da atual PSI, identificando todos os ativos importantes (hardware, software e dados/informação), os seus proprietários (responsáveis) e as regras que permitam o seu uso.
A.7.2 - Classificação da informação
Deve-se implementar norma e processos adequados para classificação da informação. As informações devem classificadas em termos do seu valor, requisitos legais, sensibilidade e criticidade para a instituição - recomenda-se, no mínimo, uma classificação por sigilo. Estes normativos e processos devem possuir um conjunto apropriado de procedimentos para rotular e tratar a informação, que devem ser implementados de acordo com o esquema de classificação adotado pela instituição. Recomenda-se uso de ferramentas de criptografia, Discovery, armazenamento controlado, rotulação e prevenção de perda de dados (DLP), para apoio nos controles descritos neste normativo.
A.8 - Segurança em recursos humanos
A.8.1 - Antes da contratação
Deve-se desenvolver e implantar normativo descrevendo os papéis e responsabilidades pela SI por funcionários, fornecedores e terceiros de acordo com a PSI. Deve-se fazer verificações de controle aos candidatos a emprego, aos fornecedores e a terceiros de acordo com a ética, as leis e regulações relevantes, e, também, de acordo com a classificação das informações a terem o acesso liberado. E, antes de conceder o acesso aos ativos necessários ao trabalho, deve-se obter o "de acordo" e assinatura dos termos (confidencialidade, conhece e seguirá a PSI) e condições de sua contratação para o trabalho, de suas responsabilidades e da instituição para a SI.
A.8.2 - Durante a contratação
Deve-se desenvolver um termo de aceitação da PSI anexo ao contrato de trabalho, que indique a Direção solicitando aos funcionários, fornecedores e terceiros que pratiquem a SI de acordo com o estabelecido na PSI da instituição. Deve-se implantar processos de conscientização para início de atividades (pós-contratação) e de reciclagem periódica planejada e, também, quando a SI sofrer mudanças de impacto - todos os funcionários da organização e, quando for pertinente, fornecedores e terceiros devem receber treinamento apropriado quanto à PSI. Para os funcionários que tenham cometido uma violação da SI, deve-se existir um processo disciplinar formal.
A.8.3 - Encerramento ou mudança da contratação
Deve-se desenvolver processos e diretrizes que definam as responsabilidades para realizar o encerramento ou a mudança de um trabalho. Para o encerramento de atividades, do contrato ou acordo de funcionários, fornecedores e terceiros, deve-se desenvolver processos e diretrizes que definam e garantam a devolução de todos os ativos da instituição e, ainda, processos e diretrizes que definam e garantam que os direitos de acesso à ativos concedidos a estes, sejam removidos ou adequados, após o encerramento de suas atividades.
REFERÊNCIAS
ABNT
ISO 27.001
ISO 27.002
Abraços e até a segunda parte do post sobre SGSI...
Nenhum comentário:
Postar um comentário