Governanças: Sistema de Gestão de Segurança da Informação

Hoje será dado continuidade à definição dos controles da Norma ISO 27.001 que estabelece o SGSI... vamos em frente!

Sistema de Gestão de Segurança da Informação

A.9 - Segurança física e do ambiente

A.9.1 - Áreas seguras

Deve-se utilizar de perímetros de segurança (barreiras físicas como paredes, portões de entrada controlados por cartão ou balcões de recepção com circuito fechado de TV (CFTV), recepcionista e registro de visitantes) para proteger as áreas que contenham ativos de alto risco, devendo ser avaliado o acesso às áreas comuns e internas, e, incluída, áreas restritas como salas técnicas e o Data Center - nestas áreas deve-se implementar controles com registros de eventos de abertura de porta, por crachá ou biometria, assegurando a entrada de pessoas autorizadas e, até mesmo, de CFTV. Estas instalações devem possuir controles e alertas que garantam proteção física contra desastres naturais (incêndios, enchentes, terremotos, furacões, etc) ou causados pelo ser humano (perturbações da ordem pública, vandalismo, etc.) e possuir normas e diretrizes que balizem o trabalho dentro destas. Para pontos de acessos secundários (entradas de serviço) também devem ser implementados controles e, quando possível, ser isolados de ativos críticos, reduzindo o acesso não autorizado.

A.9.2 - Segurança de equipamentos

Deve-se instalar ativos críticos em locais de mais protegidos, longe de ameaças naturais ou humanas e dificultando o acesso por não autorizados. Os equipamentos que compõem os ativos críticos devem ter suas utilidades (energia, água, ar condicionado, etc.) redundantes e com testes de falha planejados e executados periodicamente. Para a infraestrutura de energia e dados, seus cabos devem ser protegidos contra ações de terceiros. Os ativos críticos devem estar assegurados por garantia e contratos de manutenção.

Deve-se implantar acesso por duplo fator, biometria e controles criptográficos aos ativos móveis (notebooks, tablets, discos removíveis, etc.) utilizados fora da instituição.

Deve-se estabelecer processos, procedimentos e/ou contratos que garantam que todos os equipamentos que armazenem dados sejam examinados antes do descarte, para assegurar que todos os dados sensíveis sejam efetivamente destruídos.

Deve-se implementar a monitoração física (segurança, vistorias aleatórias, detectores de metais, etc.) para se registrar a entrada e evitar a retirada de ativos da instituição sem a devida autorização.

A.10 - Gerenciamento das operações e comunicações

A.10.1 - Procedimentos e responsabilidades operacionais

Devem-se publicar (e-mail, painéis, site institucional) os procedimentos de operação atualizados, para acesso por todos os usuários.

Deve-se implementar Gestão de Mudanças para ativos críticos, com aprovação prévia, controle e documentação devida.

Deve-se implementar controles para mapeamento dos processos e identificação de funções e áreas de responsabilidade que devem ser partidas para se reduzir as oportunidades de modificação (intencional ou não) dos ativos da organização.

Deve-se implantar controle/barreira que garanta que informações utilizadas em recursos de desenvolvimento, teste, homologação e produção sejam adequadamente protegidas e isoladas uma das outras.

A.10.2 - Gerenciamento de serviços terceirizados

Deve-se implantar controles de segurança que garantam as definições de serviço e os níveis de entrega (SLAs), incluídos no acordo de entrega de serviços terceirizados, sejam implementados, executados e mantidos pelo terceiro.

Deve-se implantar processo de auditoria periódica de prestadores de serviços terceirizados, monitorando e analisando criticamente, verificando sua conformidade às políticas, avaliando seus serviços, relatórios e registros fornecidos.

Deve-se implantar processo que garanta que mudanças no provisionamento dos serviços, incluindo manutenção e melhoria da PSI, dos procedimentos e controles existentes, sejam gerenciadas, levando-se em conta a criticidade dos sistemas, processos de negócio envolvidos e a reanálise/reavaliação dos riscos.

A.10.3 - Planejamento e aceitação dos sistemas

Deve-se implantar processo para Gestão de Capacidade considerando a utilização dos recursos, monitoração e sincronização, com projeções para necessidades de capacidade futura, afim de garantir o desempenho requerido dos ativos geridos.

Deve-se implantar processo para homologação/aceitação de sistemas com critérios específicos novos sistemas e suas versões e garantir a prévia execução de seus testes.

A.10.4 - Proteção contra códigos maliciosos e códigos móveis

Deve-se implantar políticas, normas, processos e procedimentos formais para acompanhar os níveis de atualização e controle a códigos maliciosos, bem como processos de conscientização a todos que possam gerar riscos de malwares de qualquer tipo.

Deve-se implantar políticas e processos de controle e autorização para códigos móveis, bem como, implantar controles detectivos para códigos móveis (Mcafee SiteAdvisor).

A.10.5 - Cópias de segurança

Deve-se implantar a Políticas de Backup/Restauração, inclusive, com seus processos e procedimentos para efetuar testes regulares da restauração de informações e softwares.

A.10.6 - Gerenciamento da segurança em redes

Deve-se implantar processos e ferramentas que garantam controle e gerenciamento de redes (monitoração de performance, serviços e disponibilidade, auditorias de regras de firewall, IDS/IPS, analisadores de comportamento de tráfego e controle de acesso à rede) de forma a protegê-las contra ameaças e manter a segurança de sistemas e aplicações que utilizam estas redes, incluindo a informação em trânsito.

Deve-se implantar controles e processos que identifiquem e incluam em qualquer acordo de serviços de rede, características de segurança, níveis de serviço e requisitos de gerenciamento dos serviços de rede (providos internamente ou por terceiros).

A.10.7 - Manuseio de mídias

Deve-se implantar políticas, normas, processos e ferramentas para controle adequado do uso de mídias removíveis, para o descarte de mídias de forma segura e protegida quando não forem mais necessárias e, também, para o tratamento, armazenamento e proteção de informações contra seu uso indevido - atrelando a política e a norma formal de classificação da informação à plataforma de DLP da instituição.

Deve-se proteger a documentação dos sistemas com o uso de versionadores (código-fonte, documentos, modelos de dados, etc.) com acessos restritos e backups gerenciados.

A.10.8 - Troca de informações

Deve-se implantar políticas, procedimentos e controles formais para proteger a troca de informações em todos os tipos de recursos de comunicação como a monitoração de interfaces sistêmicas, processos automatizados de carga/exportação de dados, emails internos e externos à instituição, correspondências, rede wireless, impressoras, fax, etc.

Deve-se fazer uso de gateways seguros para interconexões, troca de informações, dados e/ou softwares com entidades externas.

Deve-se proteger mídias transportadas externamente à instituição contendo informações sensíveis contra acesso não autorizado, fazendo uso de criptografia e/ou controles de acesso como biometria.

Deve-se realizar uma adequada implantação de políticas atreladas a norma formal de classificação da informação na plataforma de DLP da instituição, controlando e protegendo as informações que trafegam em mensagens eletrônicas e/ou com uso de criptografia.

A.10.9 - Serviços de comércio eletrônico (Sistemas transacionais On-Line)

Deve-se implantar processos seguros de autenticação com duplo fator de autenticação e controles criptográficos para os sistemas e informações envolvidas em transações eletrônicas transitando sobre a Internet, bem como de processos de verificação de vulnerabilidades sistêmicas e de infraestrutura devem ser implantados, controlados e performados com periodicidade mínima adequada, protegendo, tanto as transações quanto as informações nelas contidas, de acesso ou modificações não autorizadas.

A.10.10 - Monitoramento

Deve-se implementar processos, procedimentos e ferramentas para concentração e correlação de LOGs (SIEM), com a identificação de um período mínimo para retenção ativa dos LOGs e o período de retenção offline definido pelos requisitos legais aplicáveis à instituição. Os LOGs contendo o monitoramento do uso dos recursos de processamento da informação, atividades dos administradores e operadores de sistemas, falhas de softwares e sistemas, e os resultados destas atividades de monitoramento devem ser analisados criticamente, de forma regular, e com planos de ações apropriadas (considerar uma área de monitoração e um plano de resposta à incidentes de segurança). Para que os LOGs possam ser correlacionados é necessário que os relógios de todos os sistemas de processamento de informações relevantes, dentro da instituição ou do domínio de segurança, sejam sincronizados.

A.11 Controle de acessos

A.11.1 Requisitos de negócio para controle de acesso

Deve-se implantar uma política de controle de acesso, documentada e analisada criticamente de forma periódica, tomando-se como base os requisitos de acesso dos negócios e a SI, considerando os adequados níveis de aprovação para acesso aos sistemas e informações e, ainda, a gestão do ciclo de vida dos acessos e gestão de perfis.

A.11.2 - Gerenciamento de acesso do usuário

Deve-se implementar um processo formal que considere as aprovações necessárias para a concessão, alteração e revogação de acessos para garantir a ação em todos os sistemas de informação e serviços. Deve-se definir na PSI que a política de senhas deve ser aplicada em todos os sistemas e que o bloqueio das credenciais por erros sucessivos ou por falta de uso deve ser implantado. Um processo formal com intervalos regulares para a execução de análise crítica dos direitos de acesso dos usuários deve ser implantado.

A.11.3 - Responsabilidades dos usuários

Deve-se implantar processos de conscientização de usuários sobre a PSI e a política de uso de senhas. Deve-se implantar termos aditivos ao contrato de trabalho que considerem: a declaração de conhecimento e adesão à PSI; a monitoração do uso dos sistemas e informações; a política de mesa limpa de papéis e mídias de armazenamento removíveis; a política de tela limpa para os recursos de processamento da informação.

A.11.4 - Controle de acesso à rede

Deve-se implementar procedimento formal que considere as aprovações necessárias às liberações de acessos estritamente necessárias e o cancelamento de usuários para garantir e revogar acessos em todos os sistemas de informação e serviços.

Deve-se adotar sistemas adequados de autenticação para usuários remotos, como a autenticação com duplo fator.

Deve-se implementar soluções de controle de acesso à rede para acesso às redes wireless e para pontos de acesso à rede que sejam críticos, por exemplo, salas de reunião.

Deve-se implantar políticas adequadas para a solução de Host IPS e Personal Firewall nos notebooks, desktops e servidores da empresa.

Deve-se adotar arquitetura de rede segmentada por VLANs com adequada segregação de acesso por ACL, que garanta a segregação de redes críticas, redes de servidores, redes de gerências, redes de suporte e TI, com políticas e normas formalizadas para estes controles.

A.11.5 - Controle de acesso ao sistema operacional

Deve-se controlar o acesso aos sistemas operacionais por procedimento seguro de entrada no sistema (logon), com apresentação de disclaimer automático sobre a necessidade de conhecimento da PSI.

Deve-se eliminar credencias de amplo conhecimento (utilizadas por grupo de usuários) e implantar procedimentos de detecção deste tipo de compartilhamento de credenciais e sua devida remediação e ter implementado, em sistema de gerenciamento de senhas, as regras descritas na política de senhas.

Deve-se desenvolver e adotar um template baseline de segurança para a plataforma computacional, com sistemas adequados para monitoração e enforcement deste baseline.

Deve-se implantar normas formais e controles para: evitar uso de utilitários que sobreponham as normas implantadas; realizar bloqueio e desconexão de terminais por tempo de inatividade; realizar restrição de horário para logon relacionado a jornada formal de trabalho para todas as credenciais de rede e sistemas.

A.11.6 - Controle de acesso à aplicação e à informação

Deve-se criar normas e procedimentos formais para garantir que o acesso à informação e às funções dos sistemas de aplicações por usuários e pessoal de suporte seja restrito e de acordo com a política de controle de acesso, estabelecendo procedimentos de aprovação e revisão periódica.

Deve-se identificar os sistemas sensíveis de forma periódica com base em normativo com critérios pré-definidos e isolá-los de forma adequada.

A.11.7 - Computação móvel e trabalho remoto

Deve-se implantar uma política formal apropriada para a proteção contra os riscos do uso de recursos de computação e comunicação móveis, com soluções para controle e gestão de dispositivos móveis como tokens e criptografia, bem como implementar uma política para normatizar o trabalho remoto.