UFRJ – UNIVERSIDADE FEDERAL DO RIO DE JANEIRO ESCOLA POLITÉCNICA MBA EM ENGENHARIA DA COMPUTAÇÃO AVANÇADA MBCA-3 DISCIPLINA DE GOVERNANÇA DOCENTE: Carlos Henrique Santos da Silva, Msc. ISO/IEC 27002 Gabriel Ferreira Filipe Muggiati Mário Vale Rodrigo de Souza Rio de Janeiro Setembro de 2010
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
UFRJ – UNIVERSIDADE FEDERAL DO RIO DE JANEIRO
ESCOLA POLITÉCNICAMBA EM ENGENHARIA DA COMPUTAÇÃO AVANÇADA
MBCA-3DISCIPLINA DE GOVERNANÇA
DOCENTE: Carlos Henrique Santos da Silva, Msc.
ISO/IEC 27002
Gabriel FerreiraFilipe Muggiati
Mário ValeRodrigo de Souza
Rio de Janeiro
Setembro de 2010
RESUMO
O presente trabalho visa apresentar a norma ISO/IEC 27002, responsável pelas boas práticas de Gestão de Segurança da Informação, as quais envolvem as avaliações de risco, políticas de segurança da informação, gestão de ativos e outros segmentos.
Este trabalho apresenta uma breve introdução sobre a norma, sua evolução cronológica e, posteriormente, apresenta sua estrutura básica. Em seguida são resumidas as principais seções, seus objetivos e processos de controle.
Por fim, é apresetado um estudo de caso com propostas de medidas de segurança da informação para a gestão de continuidade do negócio de uma microempresa.
Palavras-Chave: ISO/IEC-27002, Gestão de Segurança da Informação, Boas Práticas.
1.1 Objetivo.....................................................................................................................................12. INFORMAÇÃO E SEGURANÇA DA INFORMAÇÃO................................................................2
2.1 A Informação como um Ativo....................................................................................................22.2 Segurança da Informação...........................................................................................................22.3 Motivação da Segurança da Informação....................................................................................22.4 Requisitos...................................................................................................................................32.5 Avaliação dos Riscos..................................................................................................................32.6 Seleção de Controles..................................................................................................................42.7 Pontos de Partida.......................................................................................................................4
3. A ISO/IEC 27002..............................................................................................................................63.1 Seções Preliminares...................................................................................................................73.2 Seção 5 – Política de Segurança da Informação........................................................................83.3 Seção 6 – Organizando a Segurança da Informação..................................................................83.4 Seção 7 – Gestão de Ativos........................................................................................................83.5 Seção 8 – Segurança em Recursos Humanos............................................................................83.6 Seção 9 – Segurança Física e do Ambiente...............................................................................93.7 Seção 10 – Gerenciamento das Operações e Comunicações.....................................................93.8 Seção 11 – Controle de Acessos..............................................................................................103.9 Seção 12 – Aquisição, desenvolvimento e manutenção de sistemas de informação...............103.10 Seção 13 – Gestão de Incidentes de Segurança da Informação.............................................103.11 Seção 14 – Gestão da Continuidade do Negócio...................................................................113.12 Seção 15 – Conformidade......................................................................................................11
4. ESTUDO DE CASO......................................................................................................................124.1 Justificativa..............................................................................................................................124.2 A ISO/IEC 27001 e 27002 nas Pequenas e Microempresas....................................................124.3 A Nota Fiscal Eletrônica..........................................................................................................134.4 PROPOSTA: Implementar uma Gestão de Continuidade do Negócio para emissão de NFe em Microempresas...............................................................................................................................134.5 Análise de Riscos.....................................................................................................................134.6 Gestão de Ativos......................................................................................................................144.7 Segurança Física e do Meio Ambiente – Proteção contra ameaças externas e do meio ambiente.........................................................................................................................................144.8 Segurança de Equipamentos....................................................................................................154.9 Manutenção dos Equipamentos...............................................................................................154.10 Procedimentos e Responsabilidades Operacionais................................................................154.11 Proteção contra Códigos Maliciosos......................................................................................164.12 Cópias de Segurança..............................................................................................................164.13 Gestão de Incidentes de Segurança da Informação e melhorias............................................164.14 Testes dos planos de Continuidade do Negócio.....................................................................174.15 Resultados..............................................................................................................................17
• Objetivo: Manter a integridade e a disponibilidade da informação e dos recursos de
processamento de informação.
• Controle: Convém que as cópias de segurança das informações e dos softwares críticos
sejam efetuadas e testadas regularmente.[1]
• Diretriz adotada: As informações identificadas na Gestão de Ativos serão copiadas em um
serviço de backup online, que entre outras coisas garante as seguintes recomendações feitas
pela norma:
a) Freqüência diária;
b) Registro e notificações sobre cópias bem sucedidas e falhas;
c) Armazenamento em um lugar distante;
d) Cópias encriptadas.
Além disso, os softwares que fazem a emissão da NFe serão instalados em um
computador de retaguarda, para uma eventual falha no micro principal. Isto não terá custos
de hardware, pois este pode ser um micro usado pra outras atividades, já que ele só receberá
a base de dados em caso de falha do micro principal.
• Referência: ISO/IEC 27002 – Seção 10.5.1
4.13 Gestão de Incidentes de Segurança da Informação e melhorias
• Objetivo: Assegurar que um enfoque consistente e efetivo seja aplicado à gestão de
incidentes de segurança da informação.
• Controle: Estabelecer responsabilidades e procedimentos para assegurar respostas rápidas,
16
efetivas e ordenadas a incidentes de segurança da informação.
• Diretriz adotada: Serão estabelecidos procedimentos para manusear incidentes de falha no
microcomputador emissor da NFe.
• Referência: ISO/IEC 27002 – Seção 13.1.1
4.14 Testes dos planos de Continuidade do Negócio
• Objetivo: “Não permitir a interrupção das atividades do negócio e proteger os processos
críticos contra o efeito de falhas ou desastres significativos, e assegurar a sua retomada em
tempo hábil, se for o caso”.[1]
• Controle: Os planos de Continuidade do Negócio deverão ser Testados Regularmente
• Diretriz adotada: Serão emitidas, regularmente, NFes do computador de retaguarda, além
da restauração de backup e teste da autonomia da UPS.
• Referência: ISO/IEC 27002 – Seção 14.1.5
4.15 Resultados
Observa-se que a ISO/IEC 27002 permite uma abordagem simples e lógica de medidas que
podem ser tomadas para se identificar e mitigar riscos associados a continuidade do negócio.
Além disso, a aplicação específica, de apenas alguns pontos da norma, permite a elaboração
de soluções com um custo aceitável e compatível com a realidade das microempresas, como mostra
as estimativas das tabelas a seguir:
17
Tabela 1: Custos estimados do investimento necessário para adotar as medidas propostas.
AÇÃO CUSTOInstalar NO Break 600VA no PC do Adriano R$ 300,00Instalar o sistema emissor de NFe em outro micro (Redundância) R$ 50,00Realizar simulação de trocaMicro emissão de NFe (Documentar Procedimento) R$ 50,00Realizar teste de autonomia do nobreak R$ 0,00Realizar Backup ONLINE da base de dados e das NFes 7x por semana R$ 100,00Documentar todo o processo de emissão de NFe R$ 100,00Instalação de Anti-vírus gratuito R$ 30,00INVESTIMENTO INICIAL TOTAL R$ 630,00
Por fim, é importante destacar que este estudo de caso tem um caráter exclusivamente
didático, objetivando um melhor entendimento da ISO/IEC 27002, seus objetivos e diretrizes, e não
deve ser aplicado de maneira prática sem que antes sejam feitas avaliações mais criteriosas dos
riscos, objetivos e controles adotados.
18
Tabela 2: Custos estimados para a manutenção das medidas propostas.
Observou-se, com a elaboração deste trabalho, que a informação pode ser um dos principais
ativos de uma empresa, pois possui um valor agregado altíssimo, quando comparada a matéria-
prima produzidas normalmente por países subdesenvolvidos. Porém, a complexidade da ISO/IEC
27002 demostra que protegê-la não é uma tarefa trivial, pois a informação pode se apresentar de
inúmeras formas e, atualmente, com as ferramentas tecnológicas disponíveis, possui uma
mobilidade incrível, podendo estar do outro lado do planeta em uma fração de segundo.
No entanto, é importante destacar que todos estes atributos da informação, como a
mobilidade que foi apontada como uma vulnerabilidade, podem ser encaradas como qualidades.
Esta mobilidade citada, por exemplo, é fundamental para a dinâmica de muitos negócios,
permitindo que processos, envolvendo recursos em vários continentes, sejam executados
simultaneamente. Assim, a segurança da informação é e deve ser cada vez mais importante para que
as organizações possam se posicionar de maneira estratégica no mercado, pois permite que elas
gerenciem suas informações de maneira íntegra, segura e ágil.
No estudo de caso apresentado, observou-se que apenas a análise da norma permite elaborar
planos simples para a mitigação de riscos associados à segurança da informação, o que pode trazer
benefícios significativos para muitas empresas de pequeno porte.
19
6. REFERÊNCIAS BIBLIOGRÁFICAS
[1] ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação. ABNT, 2005.
[2] FONTES, E.,” Segurança Da Informação ”. Editora Saraiva, 2005.
[3] CAMPOS, André. “Sistema de segurança da Informação”. 2 ed. - Florianópolis: Visual Books, 2007.
[4] Gerra, Márcia Regina - Fundamentos da Segurança da Informação com Base na ISO/IEC 27002 - TI Exames
[5] GOMES, Bruno Bellard - Estudo de caso sobre o impacto da implementação da norma nbr ISO/IEC 27002 em micro e pequenas empresas - Sistemas de Informação – Centro Universitário Módulo - Caraguatatuba – SP – Brasil – 2010.
[6] AFONSO, Rodrigo. Por que pequenas empresas investem pouco em segurança?. Disponível em: http://computerworld.uol.com.br/seguranca/2009/06/09/por-que-pequenas-e-medias-empresas-investem-pouco-em-seguranca/ - 2009.