UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE CENTRO DE CIÊNCIAS SOCIAIS APLICADAS DEPARTAMENTO DE CIÊNCIAS ADMINISTRATIVAS CURSO DE GRADUAÇÃO EM ADMINISTRAÇÃO ANÁLISE DAS POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO NO HOSPITAL UNIVERSITÁRIO ONOFRE LOPES WERLLEY SANTOS DE CARVALHO Natal/RN 2013 WERLLEY SANTOS DE CARVALHO ANÁLISE DAS POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO NO HOSPITAL UNIVERSITÁRIO ONOFRE LOPES Trabalho de Conclusão de Curso apresentado à Coordenação do curso de graduação em Administração da Universidade Federal do Rio Grande do Norte, com requisito parcial para a obtenção do título de Bacharel em Administração. Orientador: Daniel de Araújo Martins, Dr. Natal/RN 2013 Catalogação da Publicação na Fonte. UFRN / Biblioteca Setorial do CCSA Carvalho, Werlley Santos de. Análise das políticas de segurança da informação no Hospital Universitário Onofre Lopes / Werlley Santos de Carvalho. – Natal, RN, 2013. 92f. : il. Orientador: Prof. Dr. Daniel de Araújo Martins. Monografia (Graduação em Administra ção) – Universidade Federal do Rio Grande do Norte. Centro de Ciências Sociais Aplicadas. Departamento de Ciências Administrativas. 1. Administração – Monografia. 2. Segurança da informação – Monografia. 3. Tecnologia da informação – Monografia. 4. Hospital Onofre Lopes – Monografia. I. Martins, Daniel de Araújo. II. Universidade Federal do Rio Grande do Norte. III. Título. RN/BS/CCSA CDU 004.056:658 UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE CENTRO DE CIÊNCIAS SOCIAIS APLICADAS DEPARTAMENTO DE CIÊNCIAS ADMINISTRATIVAS CURSO DE GRADUAÇÃO EM ADMINISTRAÇÃO ANÁLISE DAS POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO NO HOSPITAL UNIVERSITÁRIO ONOFRE LOPES WERLLEY SANTOS DE CARVALHO Monografia apresentada e aprovada em ____/____/____ pela Banca Examinadora composta pelos seguintes membros: ______________________________________________________ Orientador – Daniel de Araújo Martins _______________________________________________ Examinador – Carlos David Cerqueira Feitor ______________________________________________ Examinador – André Morais Gurgel Natal, ____de_________ de 2013. Dedico este trabalho à minha Mãe, que sempre lutou e buscou oferecer a mim uma oportunidade de vida que ela não teve, fazendo-me trilhar o caminho da retidão e do amor em Deus. AGRADECIMENTOS Agradeço primeiramente a Deus, pelo dom da vida e da sabedoria, pois sem estes não teria chegado até aqui. Agradeço a minha mãe, meu pai e meus familiares que me incentivaram e torceram pela minha vitória, em especial a minha tia Ednalva e a minha avó Emília, que na mesma postura de mãe se preocupam e me incentivam a crescer. Agradeço ao meu orientador Daniel Martins pelos momentos de atenção e contribuição para o fim desta jornada. Agradeço ao professor Vicente Moro, que nesses anos de graduação contribuiu, incentivou o meu desenvolvimento assumindo uma postura de “paisão” acolhendo com atenção nos momentos de necessidade e de sufoco, e ao professor Josué Vitor que contribuiu e me serviu de inspiração na escolha da área. Agradeço aos meus amigos: Jean, Jhonnata, Adean, Emerson, Joelson, Tharcisio, Ben, [...] que em todos os momentos estiveram ao meu lado, aconselhando e torcendo por minha vitória, me trazendo momentos de felicidade e de sustentação na hora da tristeza. Em especial, a Diego Silva que nas horas de maior necessidade esteve de prontidão, sendo mais que um amigo, um irmão. Agradeço a esta instituição – Universidade Federal do Rio Grande do Norte - UFRN, aos funcionários e docentes, pelo trabalho e ensinamentos depositados nesta jornada que está apenas se iniciando. Por último, e das mais importantes, agradeço a minha companheira Suzana, por todo carinho, amor e atenção, sendo tudo que eu sempre busquei em uma mulher. A vocês pessoas especiais, que passaram e deixaram suas marcas em mim, agradeço e dedico esta vitória. “Não tenho certeza de nada, mas a visão das estrelas me faz sonhar.” Vincent Van Gogh RESUMO Em um ambiente de competição, próprio do mundo capitalista, a utilização de ferramentas de tecnologia da informação é algo imprescindível para o sucesso das organizações. Tendo em vista essa necessidade, a temática de segurança da informação se torna cada vez mais importante em um ambiente que a informação é chave para o sucesso, necessitando, portanto, estabelecer meios adequados de proteção. O objetivo deste trabalho é verificar o grau de conformidade das políticas de segurança da informação existentes no Hospital Universitário Onofre Lopes (HUOL), objeto deste estudo, em comparação aos requisitos estabelecidos pela Norma ISO 17799:2005. Foi feito um levantamento bibliográfico, abordando os conceitos relativos à temática, onde estes servirão de embasamento para a análise, bem como a aplicação de um questionário. O presente estudo apontou que o HUOL atende à maioria dos requisitos propostos pela norma, porém revelou algumas vulnerabilidades no aspecto humano da segurança da informação. Após as devidas correções o hospital estará apto a receber a certificação pela norma proposta. Palavras chave: Segurança da informação, NBR ISO/IEC 17799:2005, Hospital Universitário Onofre Lopes. SUMÁRIO AGRADECIMENTOS ....................................................................................................... 6 LISTA DE FIGURAS E QUADROS ............................................................................... 11 1. PARTE INTRODUTÓRIA ...................................................................................... 13 1.1 CARACTERIZAÇÃO DA ORGANIZAÇÃO .................................................................... 13 1.2 CONTEXTUALIZAÇÃO E PROBLEMA DA PESQUISA ................................................... 14 1.3 OBJETIVOS .......................................................................................................... 15 1.3.1 Geral ......................................................................................................... 15 1.3.2 Específicos ............................................................................................... 15 1.4 JUSTIFICATIVA ..................................................................................................... 15 2. REFERENCIAL TEÓRICO .................................................................................... 17 2.1 GESTÃO DA INFORMAÇÃO .................................................................................... 17 2.1.1 Sistema de Informações ........................................................................... 18 2.1.2 Tecnologia da Informação ........................................................................ 19 2.2 SEGURANÇA DA INFORMAÇÃO .............................................................................. 20 2.2.1 Princípios da segurança da informação ................................................... 21 2.2.2 As camadas de segurança da informação ............................................... 23 2.3 CERTIFICAÇÃO ISO/IEC 17799:2005 .................................................................. 24 2.3.1 Política de Segurança .............................................................................. 26 2.3.2 Segurança Organizacional ....................................................................... 27 2.3.3 Classificação e controle de ativos de informação .................................... 28 2.3.4 Segurança em pessoas ............................................................................ 29 2.3.5 Segurança física e de ambiente ............................................................... 29 2.3.6 Gerenciamento de operações e comunicações ....................................... 30 2.3.7 Controle de acesso ................................................................................... 31 2.3.8 Desenvolvimento e manutenção de sistemas .......................................... 31 2.3.9 Gestão de continuidade do negócio ......................................................... 32 2.3.10 Conformidade ........................................................................................... 32 2.4 MODELO CONCEITUAL .......................................................................................... 32 3. METODOLOGIA .................................................................................................... 35 3.1 CARACTERIZAÇÃO DA PESQUISA ........................................................................... 35 3.2 POPULAÇÃO E AMOSTRA ...................................................................................... 35 3.3 DADOS E INSTRUMENTOS DE COLETA .................................................................... 35 3.4 TÉCNICA DE ANÁLISE DE DADOS ............................................................................ 36 4. RESULTADOS ...................................................................................................... 38 4.1 DIAGNÓSTICO ORGANIZACIONAL ........................................................................... 38 4.1.1 Domínio “Política de Segurança” .............................................................. 38 4.1.2 Domínio “Segurança Organizacional” ...................................................... 40 4.1.3 Domínio “Classificação e controle de ativos de informação” ................... 42 4.1.4 Domínio “Segurança em pessoas” ........................................................... 43 4.1.5 Domínio “Segurança física e de ambiente” .............................................. 44 4.1.6 Domínio “Gerenciamento de operações e comunicações” ...................... 46 4.1.7 Domínio “Controle de acesso” .................................................................. 48 4.1.8 Domínio “Desenvolvimento e manutenção de sistemas” ......................... 49 4.1.9 Domínio “Gestão de continuidade do negócio” ........................................ 50 4.1.10 Domínio “Conformidade” .......................................................................... 51 5. CONSIDERAÇÕES FINAIS .................................................................................. 53 5.1 CONCLUSÕES ...................................................................................................... 53 5.2 LIMITAÇÕES E RECOMENDAÇÕES .......................................................................... 55 REFERÊNCIAS .............................................................................................................. 57 APÊNDICE 1 – ROTEIRO DA ENTREVISTA ............................................................... 61 APÊNDICE 2 – CHECKLIST ......................................................................................... 72 APÊNDICE 3 – RESUMO DA NBR ISO/IEC 17799:2005 ............................................ 74 LISTA DE FIGURAS E QUADROS Figura 1 - Processo de formação da informação .............................................. 17 Figura 2- Modelo Conceitual ............................................................................ 33 Quadro 1 - Camadas de segurança da informação .......................................... 25 Quadro 2 - Conceitos de confidencialidade ...................................................... 28 Quadro 3- Medidas de controle de acesso físico em ambiente ........................ 29 Quadro 4 - Medidas de gerenciamento de operações e comunicações ........... 30 Quadro 5 - Medidas de Controle de acesso ..................................................... 31 APRESENTAÇÃO Com a crescente automação dos processos empresariais, bem como a necessidade de proteção dos ativos organizacionais, a temática de segurança da informação vem se mostrando cada vez mais presente no cotidiano das empresas. O presente trabalho terá a finalidade de analisar em que grau políticas de segurança da informação do hospital universitário Onofre Lopes se apresenta em comparação aos requisitos estabelecidos pela NBR ISO 17799:2005. O trabalho está dividido em cinco capítulos: o primeiro capítulo deste estudo se destina à caracterização da organização, os objetivos a serem alcançados, além da justificativa do estudo. O segundo contempla o referencial teórico, apresentando a revisão da literatura relacionada ao tema, relatando os conceitos relacionados à segurança da informação e os principais controles que abrangem a norma utilizada como objeto de comparação. No terceiro será exposta a metodologia utilizada na pesquisa, a forma de coleta de dados e o plano de análise dos mesmos. No quarto capítulo faz-se a apresentação dos dados colhidos, comparando-os com requesitos estabelecidos pela norma. Por fim, no quinto capítulo são apresentadas as conclusões acerca dos resultados e algumas recomendações. 13 1. PARTE INTRODUTÓRIA Este capítulo apresenta a caracterização da Empresa, o tema escolhido, seu contexto e a problemática da pesquisa. Da mesma forma serão esclarecidos os objetivos gerais e específicos e a justificativa do presente estudo. 1.1 Caracterização da organização O Hospital Universitário Onofre Lopes, foi inaugurado em 12 de setembro de 1909 (inicialmente, com o nome de “Hospital de Caridade Juvino Barreto"). Funcionava numa antiga casa de veraneio, com um total de 18 leitos, sob a direção do médico Januário Cicco que, sozinho, administrava e prestava assistência aos doentes internados e ambulatoriais da cidade. Em 05 de fevereiro de 1955, é criada a Faculdade de Medicina. Isso faz do Hospital o campo das práticas, para todos os cursos que envolvem a área Biomédica. A partir de 1960, o Hospital adota a personalidade de Hospital-Escola, passando a se integrar à UFRN, denominado como "Hospital das Clínicas". Com a sua federalização, ficou assegurada a sua manutenção, através do Ministério da Educação, nas funções de Ensino, Pesquisa e Extensão. Até novembro de 1984 manteve tal nomenclatura, quando passou a ser chamado de "Hospital Universitário Onofre Lopes - HUOL", em homenagem ao criador da Universidade Federal do Rio Grande do Norte. Atualmente, o HUOL é uma instituição de saúde pública terciária, de âmbito federal, com vínculo ao Ministério da Saúde. Seu objetivo é apoiar o ensino de graduação e pós-graduação do Centro de Ciências da Saúde (CCS), com incentivo à pesquisa científica em diversas áreas, bem como prestar assistência à população. A organização possui por missão: promover de forma integrada o ensino, a pesquisa, a extensão, no âmbito das ciências da saúde e correlatas, com qualidade, ética e sustentabilidade; e visão: ser reconhecido como hospital universitário de referência, identificado pela excelência, sentido humanitário e relevância social. 14 1.2 Contextualização e Problema da pesquisa No mundo contemporâneo, a tecnologia da informação é uma grande aliada das organizações, uma vez que possibilita às mesmas oferecerem melhores serviços e minimização dos custos, otimizando desde as atividades básicas até as rotineiras, bem como proporcionar a vantagem competitiva, a gerência e, consequentemente, a organização no ambiente competitivo. Em meio aos avanços tecnológicos, o homem busca formas de manter suas informações cada vez mais sigilosas, algo que não é diferente no âmbito gerencial. Esse domínio de informações, que se julga ser importantes, existe há milênios. Registros históricos estimam que esses acontecimentos sejam provenientes desde 1900 (A.C.), no Egito antigo, do qual há apontamentos de escritas de valor estratégicos e comercial codificadas. Esses códigos se expandiram de tal forma que na antiga China apenas as classes superiores sabiam interpretar a linguagem criptografada. No final da década de 1930, com os conflitos da Segunda Guerra Mundial, a criação de sistemas automatizados ganhou maior proporção e, com isso, as informações passaram a ficar cada vez mais vulneráveis, pois foram elaborados programas para criptografar, bem como para realizar a criptoanálise e quebra de codificações (SCHNEIER, 2001). Nos dias atuais, a segurança das informações passou a ser um dos maiores desafios das organizações, tendo em vista que todos os indivíduos têm o total acesso à tecnologia contemporânea, o que consequentemente implica numa relativa facilidade ao acesso de informações que se encontram na rede. Como medida de padronização, existem diversas normas que são usadas com esta finalidade. Para este estudo, e como medida de comparação, fora escolhida a Norma ISO/IEC 17799:2005. Esta norma é reconhecida internacionalmente, uma vez que fora estabelecida pela International Organization for Standardization – ISO. Segurança da Informação, conforme definido pela ISO/IEC 17799:2005, é a proteção contra um grande número de ameaças às informações, de forma a 15 assegurar a continuidade do negócio, minimizando danos comerciais e maximizando o retorno de investimentos e oportunidades. As organizações hospitalares também se encontram inseridas nesse contexto. Com o massivo uso de tecnologias que possam melhorar a qualidade dos serviços prestados, essas organizações tendem a buscar meios de garantir que os seus ativos informacionais se encontrem de modo seguro a ameaças externas. Nesse sentido, este trabalho se coloca com a seguinte problemática: Em que grau as políticas de segurança da informação do Hospital Universitário Onofre Lopes atendem aos requisitos definidos pela ISO Norma ISO/IEC 17799:2005. 1.3 Objetivos 1.3.1 Geral Analisar em que grau estão as políticas de segurança da informação, implantadas no Hospital Universitário Onofre Lopes, em comparação com os requisitos definidos pela NBR ISO/IEC 17799:2005. 1.3.2 Específicos  Identificar as políticas de segurança da informação no Hospital Universitário Onofre Lopes;  Confrontar as políticas de segurança, com os requisitos da NBR ISO/IEC 17799:2005;  Elencar pontos fortes e fracos, com a finalidade de propor sugestões para incrementar e maximizar as políticas de segurança da informação. 1.4 Justificativa A informação é um ativo indispensável para toda a empresa. Todo e qualquer gestor precisa saber gerir de forma eficiente e eficaz esse ativo, de forma que o mesmo esteja seguro, em termos confidencialidade, disponibilidade e acessibilidade. 16 A importância acadêmica deste estudo se justifica pelo fato de existir poucos trabalhos que contemplem a temática de segurança da informação, bem como a escassa quantidade de estudos no âmbito gerencial, mais especificamente em hospitais, com esta finalidade. Em termos práticos, este estudo auxiliará os gestores da assessoria de informática, a adequarem-se às políticas de segurança da informação, aos requisitos da Norma ISO/IEC 17799:2005. Diante do que foi exposta anteriormente a motivação para este deve-se ao fato de o pesquisador ter interesse na temática, bem como compreender que a informação é o principal ativo que o gestor precisa saber lidar e, portanto, precisa saber mantê-lo seguro do seu uso indiscriminado. A pesquisa proposta foi considerada viável uma vez que a mesma possui uma literatura suficiente para abordagem do tema. Outro fator que contribuiu para o sucesso da pesquisa é a relativa facilidade de acesso às informações presentes no hospital, as quais foram autorizadas pelos gestores responsáveis pela unidade alvo do estudo. 17 2. REFERENCIAL TEÓRICO O presente capítulo está dividido em três etapas principais. O primeiro tópico aborda a gestão da informação e sua importância para sobrevivência das empresas evidenciando os conceitos de sistemas da informação e tecnologia da informação; o segundo trata dos princípios de segurança da informação, riscos, ameaças e medidas de segurança; no terceiro tópico serão abordados os requisitos da NBR ISO/IEC 17799:2005 evidenciando suas principais características e abrangência; e quarto e último tópico apresentará o modelo conceitual enfatizando a importância dos conceitos apresentados para os objetivos da pesquisa. 2.1 Gestão da Informação A Gestão refere-se ao processo de atingir objetivos organizacionais com planejamento, organização, liderança e controle dos recursos organizacionais (GORDON e GORDON, 2006, p.12). A informação se trata de dados processados que produzem algum conhecimento (Figura 1) dentro de um determinado contexto. Por sua vez, dados são fatos, valores, observações, que isoladamente não produzem nenhum conhecimento. Figura 1 - Processo de formação da informação Fonte: Elaborado pelo próprio pesquisador, mar. 2013 A informação é um dos principais ativos que uma empresa possui e saber geri-la é de fundamental importância para as organizações. A informação se trata de dados processados que produzem algum conhecimento para um determinado objetivo. 18 Segundo Moresi (Apud BEAL, 2004 p. 14), as informações recebem diferentes classificações nos diferentes níveis organizacionais afirmando que as organizações dependem de informações de naturezas diversas para alcançar seus objetivos, a saber: a) Informação a nível institucional: permite ao nível institucional observar as variáveis presentes nos ambientes externo e interno, com a finalidade de monitorar e avaliar o desempenho e subsidiar o planejamento e as decisões de alto nível; b) Informação a nível intermediário: permite ao nível intermediário, observar variáveis presentes nos ambientes externo e interno, monitorar e avaliar o desempenho e subsidiar o planejamento e as decisões de nível gerencial; c) Informação a nível operacional: possibilita ao nível operacional executar suas atividades e tarefas, monitorar o espaço geográfico sob sua responsabilidade e subsidiar o planejamento e a tomada de decisão de nível operacional. 2.1.1 Sistema de Informações Stair (2002, p.4) afirma que um sistema de informação é um conjunto de componentes inter-relacionados que coletam, manipulam e disseminam dados e informação proporcionando um mecanismo de feedback para atender a um objetivo, o qual O’brien (2002, p.9) completa: os sistemas de informação executam três papeis principais, são eles: suporte de seus processos e operações, suporte na tomada de decisões de seus funcionários e gerentes e suporte em suas estratégias em busca de vantagem competitiva. No contexto organizacional, existem diversos tipos de sistemas de informação, segundo Stair (2002, p.16-20) os mais comuns são: a) Sistemas de Processamento de Transações (SPT) – Sistema organizado de pessoas, procedimentos, software, banco de dados e dispositivos que lidam, registram e processam informações empresarias. b) Comércio eletrônico (ecommerce) – são sistemas que envolvem quaisquer transações empresariais executadas eletronicamente entre partes como 19 empresas entre si, podendo ser (business-to-business) quando realizadas entre empresas e (business-to-consumer) quando realizadas entre empresas e consumidor, sendo essa transação realizada exclusivamente no ambiente web. c) Sistemas de Informações Gerenciais (SIG) - abrange uma coleção organizada de pessoas, procedimentos, software, banco de dados e dispositivos que fornecem informações rotineiras aos gerentes e aos tomadores de decisão. O principal foco desses sistemas é a eficiência operacional. d) Sistemas de Suporte à Decisão (SSD) – se trata de uma coleção organizada de pessoas, procedimentos, software, banco de dados e dispositivos usados para dar suporte à tomada de decisão de um problema específico. A diferença básica entre um SSD e um SIG é que um SSD vai além de um SIG tradicional, pois tem a capacidade de fornecer uma assistência imediata, na solução de um problema independente da complexidade, quando comparado ao SIG. e) Inteligência Artificial (AI) – Diversas organizações frequentemente utilizam sistemas de inteligência artificial que assumem características humana, executando tarefas complexas, sendo também denominados de sistemas especialistas. Gordon e Gordon (2006, p.11) complementam com sistemas de informações interorganizacionais, que são sistemas que se destinam a estabelecer um ponto de interação comum e um repositório de informações comum a uma empresa, seus fornecedores, distribuidores, e/ou transportadores. 2.1.2 Tecnologia da Informação A tecnologia da informação nos dias atuais vem se apresentando como um agente facilitador dos objetivos empresariais, a níveis estratégico, tático e operacional. Como consequência permitiu uma gerência mais eficaz e eficiente, ficando cada vez mais evidente a sua importância. Saber utilizar a tecnologia da informação com eficiência significa garantir que a mesma é a que melhor atende às necessidades de informação e consequentemente aos objetivos organizacionais. 20 Para Turban (2004, p.27) a tecnologia da informação é definida como “um conjunto de todos os sistemas de computação usados por uma empresa”, afirmando que os recursos de Sistema de informação dão sustentação aos seguintes objetivos empresariais: aumentar a produtividade, reduzir custos, agilizar a tomada de decisões, melhorar a relação com os consumidores e desenvolver novas aplicações estratégicas. Num sentido mais restrito, segundo o autor, a tecnologia da informação diz respeito ao aspecto tecnológico de um sistema de informação, incluindo em seu escopo: hardware, software, rede; banco de dados [...], ou seja, a tecnologia da informação é um subsistema de sistemas de informação. Traçando um paralelo entre os conceitos citados anteriormente pode-se afirmar que a Tecnologia da Informação (TI) não deve ser vista somente a nível estrutural ou como um departamento da empresa. A TI principalmente nos dias de hoje, deve ser vista como um fator chave para a organização, um fator que cria soluções e resultados contribuindo assim para que as organizações alcancem seus objetivos, num mundo cada vez mais globalizado, em que as informações se tornaram um ativo de grande relevância para as organizações. 2.2 Segurança da Informação As organizações têm grande interesse na preservação de suas informações, visto que a mesma é um importante ativo para os negócios, e por consequência necessita de uma adequada proteção. Com o advento da globalização, as informações circulam e transitam cada vez mais rápido na rede, dissipando-se muitas vezes sem controle, possibilitando o uso indiscriminado por outrem. É com essa mentalidade que as empresas vem investindo fortemente em segurança de informação, pois a perda de informações e a indisponibilidade de algum serviço ou de algum sistema pode vir a acarretar sérios prejuízos. 21 2.2.1 Princípios da segurança da informação Na era do conhecimento, a informação é considerada um dos principais patrimônios das corporações e deve ser protegida em seus aspectos de disponibilidade, integridade e confidencialidade, sendo a área de Segurança da Informação o elemento chave dessa proteção (VASCONCELLOS, 2004). A abordagem de segurança de informação se fundamenta basicamente em três elementos: Confidencialidade, Disponibilidade e Integridade. Segundo Campos (2006, p.4) quando um desses elementos é desrespeitado, ocorre uma quebra de segurança de informação, que também pode ser chamado de incidente de segurança de informação, a saber: a) Confidencialidade – garantir que a informação esteja acessível somente às pessoas que realmente se destinam e, por conseguinte tenha autorização ao acesso. Segundo Cardoso (2006, p. 20) “a necessidade de confidencialidade evidencia-se pela vantagem competitiva que oferece a organização, já que a diferenciação ocorre não só pela qualidade e quantidade de informações das quais as empresas dispõe, mas também pela sua capacidade de mantê-la em sigilo”. Toda e qualquer informação que possua um caráter confidencial, deve estar disposta somente às pessoas as quais se destinam. Como um exemplo de confidencialidade, pode-se citar o email, uma conta que é criada por um usuário, só deve estar disposta a ele mesmo, ou a outras pessoas que o mesmo deseje. Um fato interessante a ser citado é que por descuido, muitas vezes, alguns usuários deixam suas senhas gravadas no browser que utilizam para acessarem suas contas, onde um segundo usuário por vezes mal-intencionado, e de posse dessa informação, toma pra si os direitos dessa conta, simplesmente por descuido do usuário que criou o email. b) Disponibilidade – garantir que as informações, somente estejam disponíveis a pessoas autorizadas, no momento em que são necessárias. Em outras palavras, segundo Casanas e Machado (2006), disponibilidade refere-se à garantia 22 de que os usuários autorizados tenham acesso à informação e aos recursos associados, quando necessário; c) Integridade – garantia que as informações são íntegras, ou seja, garantir que as informações não foram alteradas no processo de manuseio ou transporte, em outras palavras, a integridade da informação tem como objetivo garantir a exatidão da informação, assegurando que pessoas não autorizadas possam modificá-la, adicioná-la ou removê-la, seja de forma intencional ou acidental. (NETTO & SILVERA, 2007). Podemos tomar como exemplo, um site que hospeda arquivos para download, muitos usuários de computadores normais já se depararam com o fato de o conteúdo, ao baixá-lo, não ser íntegro, ou seja, muitas vezes o arquivo fora modificado e o mesmo contém vírus, que é muito prejudicial aos usuários. Trazendo para o contexto organizacional, caso uma informação não seja íntegra e o usuário a necessite e seja de suma importância, caso o arquivo não seja integro, colocará em risco toda uma operação que se utilize, da informação, comprometendo por consequência a segurança da mesma. Sêmola (2003, p. 47) acrescenta a estes princípios os conceitos de legalidade e autenticidade, a saber: d) Legalidade – garantia de que a informação produzida esteja em conformidade com a lei; e) Autenticidade – garantia de que num processo de comunicação os remetentes sejam exatamente o que dizem ser e que a mensagem ou informação não foi alterada após o seu envio ou validação. De acordo com Beal (2004, p. 53) é raro uma organização que tenha uma política de informação explícita (um documento, contendo diretrizes, regras e princípios adotados com relação aos fluxos informacionais corporativos). Quando a tem, esse documento auxilia aos gestores a identificar melhor as necessidades de segurança possibilitando uma melhor análise dos riscos, de ameaças e vulnerabilidades, que por sua vez possibilita á gestão traçar os requisitos de segurança. 23 2.2.2 As camadas de segurança da informação Para um melhor entendimento da abrangência da segurança da informação optou-se por usar a classificação das camadas: física, lógica e humana, (ADACHI, 2004), conforme a seguir: - A camada física é local em que os equipamentos e periféricos estão dispostos fisicamente, seja esse uma residência ou uma organização, ou seja, é o local onde está instalado o hardware – equipamento utilizado no processamento eletrônico das informações (GORDO e GORDON, 2006 p. 7). Hardwares são “conjuntos integrados de dispositivos físicos, posicionados por mecanismos de processamento que utilizam eletrônica digital, usados para entrar, processar, armazenar e sair com dados e informação” (REZENDE e ABREU, 2008). Uma das formas de gerir a segurança desta camada é o controle de acesso, que pode ser através de senhas, documentos ou medidas biométricas (MEIRELLES, 1994). Pode citar-se ainda controle no fornecimento de energia, catástrofes naturais, disposição física de servidores e da rede. Essas medidas servem pra evitar danos de natureza física aos equipamentos que gerem e/ou processam de forma direta ou indireta as informações. - A camada lógica é caracterizada pelo software, que é um conjunto de instruções, arranjadas logicamente, para serem interpretadas e executadas por um hardware, necessário para usufruir toda a capacidade de processamento do computador (MEIRELLES, 1994), ou seja, os software dirigem , organizam e controlam os recursos de hardware, fornecendo instruções, comandos, em outras palavras, programas. (REZENDE E ABREU, 2008). De acordo com Gordon (2006, p. 7) existem basicamente dois tipos de software, responsáveis por processar eletronicamente os dados: a) Software de sistemas que dirige o funcionamento do hardware; b) Software de aplicação, que atua na aquisição, processamento, armazenamento, recuperação e comunicação da informação. 24 Dentre as formas de evitar um incidente de segurança na camada lógica pode-se citar: atualizações cíclicas de seu software de segurança, tais como: firewall e antivírus, controle no acesso às aplicações, criptografia. - A camada humana é representada pelos indivíduos que manipulam as tecnologias presentes no meio organizacional, em outras palavras, o ser humano é um fator presente em todas as organizações e o mesmo não deixa de ser, algo passível de erro; no contexto da tecnologia da informação não é diferente. Segundo Beal (2005, p. 70) As pessoas são o “elo frágil” da segurança da informação, sendo, cronicamente, responsável pela falha dos sistemas de segurança. A autora relata que estudos demonstram que os maiores incidentes de segurança são provocados por integrantes da própria organização, sejam eles acidentais (decorrentes de ignorância, erro, negligência ou distração) ou intencionais (por motivo de fraude, vingança, desconfiança, descontentamento etc.). Os aspectos importantes desta camada são a percepção do risco pelas pessoas: como elas lidam com os sinistros que ocorrem raramente; se são usuários confiantes ou ignorantes no uso do computador; o perigo dos intrusos maliciosos ou ingênuos; e a engenharia social, da qual os hackers conseguem informações por meios lícitos (SCHNEIER, 2001). Esta camada engloba, além dos recursos humanos da empresa e do usuário final, os processos operacionais, a política de segurança adotada pelo banco e a conscientização e treinamento destes recursos humanos. O QUADRO 01 detalha as camadas de segurança da informação evidenciando sua abrangência, domínios, ou seja, suas subdivisões com a leitura de Adachi (2004). 2.3 Certificação ISO/IEC 17799:2005 A ISO – International Organization for Standardization, se trata de uma federação internacional que envolve membros do mundo inteiro, tendo por objetivo a promoção, expansão e desenvolvimento da normalização das atividades organizacionais inter-relacionadas a fim de facilitar o comércio internacional de bens e serviços, bem como os processos que a originam, ou seja, estabelecem normas visando as melhores práticas gerenciais. 25 Quadro 1 - Camadas de segurança da informação Domínio Camada Escopo Camada – Define a política, a arquitetura e a metodologia de segurança, para depois implementar e 1. Arquitetura e comparar com critérios iniciais, para mensurar a aderência entre o planejado e o realizado. modelos de – A arquitetura compõe-se de todas as partes do sistema computacional, como sistema Física segurança operacional, memória, circuitos, discos rígidos, componentes de segurança, canais e componentes de rede. – Define, monitora e controla as políticas e procedimentos de acesso, bem como promove 2. Sistemas de treinamento e conscientização sobre o acesso seguro aos sistemas, dados e informações. Física controle de acesso – Define a metodologia de acesso por meio de senhas, documentos digitais, smart cards, medidas biométricas ou qualquer outro mecanismo de autenticidade. – Elabora e monitora a segurança de comunicação dos sistemas analógicos, digitais, ou wireless, em meio físico ou aéreo, que transmitem voz, dados e imagens em um local restrito ou público, de forma remota ou local. – Previne ataques, detecta intruso e corrige erros, para manter a integridade, 3. Segurança em confidencialidade e disponibilidade da comunicação. telecomunicações Física e redes – Define e monitora os filtros de acesso (firewall), roteadores, portas de acesso e protocolos da Internet, Extranet e Intranet. – Administra o uso dos diversos protocolos (TCP/IP, PAP, SMTP, PPP), que são um conjunto de regras padronizadas que ditam como os computadores se comunicarão na rede. – Elabora e controla a segurança e capacidade da infraestrutura de comunicação. – Controla, administrativamente, tecnicamente e fisicamente a segurança física dos recursos e informações sensíveis. 4. Segurança física – Gerencia a segurança, controla as ameaças e define as medidas preventivas que protegem Física o ativo físico, como o espaço, a construção e os equipamentos. – Autentica indivíduos e detecta invasores – Gerencia os diversos tipos de software de controle e as suas implementações. 5. – Cria e administra os bancos de dados e cerca-os de segurança, para evitar problemas. Desenvolvimento – Administra o ciclo de vida dos processos de desenvolvimento i. Estudo e definição do Lógica de sistemas e projeto; ii. Planejamento, análise e desenho das funcionalidades; iii. Especificação do aplicativos desenho do sistema; iv. Desenvolvimento do software; v. Instalação; vi. Manutenção e suporte; vii. Revisão e substituição). – Elabora e implementa a forma de encriptar e decriptar dados, informações e senhas, para que a mensagem siga de forma confidencial, íntegra, e confiável e a autentica, em alguns casos. 6. Criptografia – Avalia a intensidade de segurança necessária para os diferentes tipos de funcionalidades e Lógica níveis de acesso. – Desenvolve a encriptação simétrica ou assimétrica, com ou sem assinatura digital, com ou sem função hash, para garantir a integridade da mensagem. – Desenvolve a política dos padrões, guias e procedimentos de segurança. 7. Práticas de – Promove a conscientização, educação e treinamento sobre segurança. gerenciamento de Humana – Gerencia o risco. segurança – Define e monitora o papel e as responsabilidades da administração de segurança – Mantém as soluções implementadas e os sistemas, monitora as mudanças, institui padrões necessários e segue as práticas e tarefas de segurança. 8. Segurança da – Gerencia a administração da segurança das operações, principalmente os recursos Humana informação humanos envolvidos, para que uma única pessoa não possa comprometer os ativos e a imagem da empresa. – Auditora os registros operacionais e monitora os problemas. – Conhece e compreende como se aplicam as leis para crimes em ambiente eletrônico, como 9. Legislação, se detecta se houve crime, como se preserva as evidências, os princípios básicos de conduta investigação e Humana e investigação e as obrigações perante a lei. ética – Conhece e age conforme a ética. 10. Plano de – Analisa o impacto no negócio, nas operações e na contabilidade, em casos de desastre continuidade do natural ou falhas humanas. negócio e plano de – Seleciona, desenvolve e implementa planos de contingência e de desastre. Humana recuperação em caso de desastre – Responde pelo back-up e site de contingência, fora da organização. Fonte: ADACHI, 2004 p. 84-6 26 Segundo Beal (2005, p.36) as normas e padrões tem a finalidade de definir regras princípios e critérios com intuito de se registrar as melhores práticas provendo aos processos, produtos ou serviços, uniformidade e qualidade. Existem diversas normas difundidas internacionalmente, dentre elas: ISO 9000, que diz respeito ao sistema de gestão da qualidade, gestão ambiental (série 14000), dentre outros. Para efeito de estudo e de medida de comparação, a norma a ser estudada é a NBR ISO/IEC 17799:2005 que diz respeito aos melhores controles/métodos de gestão de segurança da informação. Devido ao interesse de se estabelecer um padrão/conformidade por parte da comunidade internacional, fora publicada a primeira norma internacional ISO 17799:2000, posteriormente a Associação Brasileira de Normas Técnicas (ABNT), publicou a versão brasileira da norma, denominando-a NBR/ISO 17799 – Código de Prática para a Gestão da Segurança da Informação. No ano de 2005, esta norma passou por uma nova atualização sendo publicada como NBR ISO/IEC 17799:2005. A ISO/IEC 17799:2005, em sua seção introdutória cita que os objetivos da segurança da informação é garantir a proteção da informação de vários tipos de ameaças para proporcionar a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e gerar oportunidades de negócio. (Academia Latino-Americana de Segurança da Informação, 2006 p. 10). A NBR ISO/IEC 17799:2005 estabelece 127 controles agrupados em 10 seções que compõem um código de práticas e gestão de segurança da informação, descritas a seguir. 2.3.1 Política de Segurança A Política de Segurança consiste em um conjunto formal de normas, diretrizes, procedimentos e instruções que define os critérios que devem ser adotados e seguidos pela organização a fim de minimizar possíveis ameaças na segurança da informação. Dentro desse contexto a ISO/IEC 17799:2005 recomenda a elaboração de um documento formal e escrito que contenha: 27  Os conceitos de segurança da informação bem como sua importância para a continuidade do negócio;  Requisitos para a conscientização e treinamento em segurança da informação;  Ações a serem tomadas para a continuidade do negócio e;  A orgânica da segurança da informação (papéis e atribuições) Sua revisão deve ser feita periodicamente bem como seu conteúdo deve estar ao alcance de todos os membros da organização de forma a conscientizá-los de sua importância. 2.3.2 Segurança Organizacional De posse de uma política de segurança da informação formalizada é necessário que o gestor disponha de meios pra que se implemente, controle e se atribua funções de acordo com requisitos estabelecidos os requisitos estabelecidos pela política. A direção e coordenação da organização devem estar comprometidas com a política estabelecida definindo atribuições de forma explícita, bem como reconhecer suas responsabilidades. No primeiro momento devem ser investigados todos os meios de processamento da informação, de forma a identificar componentes que possam introduzir novas vulnerabilidades, executando-se posteriormente medidas corretivas. No segundo momento deve ser implementados acordos de confidencialidade, visando proteger informações relevantes do conhecimento não autorizado de funcionários, terceirizados e clientes. Para tal, deve-se identificar as informações a serem protegidas, tempo de duração de um acordo, responsabilidades e punições a fim de evitar a divulgação não autorizada de tais informações e termos para a informação ser retornada ou destruída. No último momento deve-se identificar os riscos relacionados ao acesso externo, bem como o valor dessa informação, implementando-se controles apropriados e específicos seja esse lógico ou físico, obedecendo aos requisitos legais. 28 2.3.3 Classificação e controle de ativos de informação A gestão de ativos se trata de um processo de avaliação e tratamento dos riscos que tem por objetivo a identificação e proteção efetiva dos ativos de informação. O ativo passará por um processo de rotulação, cuja finalidade é assegurar que a informação receba um nível adequado de proteção. Esta classificação estabelece a maneira com que a informação deve ser tratada com segurança física ou lógica, bem com seu grau de sigilo, obedecendo aos conceitos básicos de segurança da informação: a confidencialidade, a integridade e a disponibilidade da informação. O inventário deverá ser documentado e deverá destacar:  O tipo de ativo (informacional, software, físico, serviços, pessoas);  Sua localização e formato (caso exista);  Informações sobre licença e cópia de segurança;  Importância do ativo para o negócio. Quanto à confidencialidade a Academia Latino-Americana de Segurança da Informação, a classifica da seguinte forma, (segundo mostra o quadro 2) Quadro 2 - Conceitos de confidencialidade Decreto Federal 4.553/002 para a Classificação da informação Classificação Militar administração pública comercial Ultrassecretos: Informações cujo Confidencial: Se for revelada conhecimento possa acarretar em dano pode afetar seriamente a Ultra secretos (Top Secret) excepcionalmente grave à segurança empresa nacional Secretos: Informações cujo conhecimento Privada: Informações sobre o possa acarretar em dano grave à Secreto (secret) corpo funcional. segurança da sociedade e ao estado Confidenciais: Aquele cuja revelação pode frustrar seus objetivos ou causar Sensível: Requer precauções Confidencial (Confidential) dano à segurança da sociedade e ao especiais Estado Reservados: Aquele cuja revelação pode Proprietária: se revelada, Sensível mas não classificada frustrar seus objetivos ou causar dano à pode reduzir a margem (Sensitive but unclassified) segurança da sociedade e ao Estado competitiva Pública: se revelada não Não classificada (unclassified) afetará a organização Fonte: Academia Latino-Americana de Segurança da Informação 29 2.3.4 Segurança em pessoas A segurança em gestão de pessoas tem por objetivo a redução de riscos relacionados a roubo, fraude e o uso indiscriminado de recursos. Este requesito envolve a seleção, treinamento e a conscientização dos funcionários para que estejam cientes e aptos a apoiar as Políticas de Segurança da Informação durante a execução de suas funções. Controles devem ser impostos antes, durante e depois da contratação. Todos os colaboradores (funcionários, fornecedores e terceiros) deverão estar conscientes das ameaças e preocupações relativas à segurança da informação. Logo, todos estarão preparados para apoiar a política de segurança da informação da organização reconhecendo suas responsabilidades e obrigações, reduzindo-se, portanto, o risco de erro humano. 2.3.5 Segurança física e de ambiente A segurança física e de ambiente tem a finalidade de prover meios de segurança que inviabilizem o acesso não autorizado às informações, bem como evitar danos aos locais que se destinam ao processamento de informações. Segundo a Academia Latino-Americana de Segurança da Informação (2006, p.33) as medidas de segurança que podem ser adotadas são (ver Quadro 3): Quadro 3- Medidas de controle de acesso físico em ambiente CONTROLE DESCRIÇÃO Monitorar as atividades realizadas no ambiente Sistemas de monitoramento organizacional, buscando inibir atividades ilícitas nesse meio. Sistemas de detecção de Exigir que os funcionários estejam devidamente identificados intrusos dentro do ambiente organizacional. Fazer controle da temperatura local, objetivando manter os Sistemas de ambientação equipamentos, que dela necessitem, em perfeito estado. Implementação de geradores visando manter equipamentos que precisem de funcionamento ininterrupto, ligados Sistemas de geradores constantemente, evitando assim danos físicos e financeiros decorrentes da queda de energia. Realizar a manutenção periódica de todos os equipamentos que dela necessitem, não só dos equipamentos que geram Manutenção dos as informações, mas de todas as instalações físicas da equipamentos organização, ou seja, a manutenção visa assegurar a 30 integridade e a disponibilidade dos ativos da empresa. Fonte: Norma ISO IEC 17799:2005 2.3.6 Gerenciamento de operações e comunicações Esta seção tem por finalidade garantir que os ativos de informação sejam manipulados de forma segura conforme o Quadro 4: Quadro 4 - Medidas de gerenciamento de operações e comunicações CONTROLE DESCRIÇÃO Procedimentos de É necessário que todos os procedimentos e operações responsabilidades sejam claramente definidos. operacionais Documentação dos Todos os procedimentos operacionais devem estar procedimentos de operação devidamente documentos e atualizados. Procedimentos rotineiros de cópias de segurança devem ser feitos, bem como prover orientações sobre estas, de Procedimentos de backups forma que, em caso de sinistro, as informações possam ser recuperadas prontamente. Devem ser implementadas diretrizes formais, tais como: proibição do uso de softwares não autorizados; quando necessário, a aquisição e instalação de novos softwares que devem ser solicitados à equipe de TI (Tecnologia da Informação). Controle de prevenção de vírus A utilização de antivírus e firewall é indispensável, uma vez que garantem a integridade dos sistemas e das mídias removíveis, quanto à presença de códigos maliciosos (ex.: vírus, Cavalos de Tróia, worms, spyware, adware e rootkits). Devem se implementar medidas de segurança quanto ao uso indiscriminado do ambiente da web, visando a proteção dos ativos informacionais do uso não autorizado. Procedimentos para o uso da O uso da internet deve ser monitorado, implementando internet medidas tais como: identificação do usuário, data e hora da conexão e controle da quantidade de dados enviados e recebidos. É necessário medidas de conscientização e controle do Segurança do serviço de uso do correio eletrônico (email), pois este meio é correio eletrônico passível de fraudes. Fonte: Norma ISO IEC 17799:2005 31 2.3.7 Controle de acesso Medidas de controle de acesso se justificam principalmente pela necessidade de confidencialidade dos ativos informacionais, bem como a usabilidade. As medidas de controle de acesso estão descritas no Quadro 5: Quadro 5 - Medidas de Controle de acesso CONTROLE DESCRIÇÃO O direito ao controle e acesso ao sistema Controle de acesso de sistema e de deve ser feito através da utilização e login e usuário senha, de forma a inibir o acesso às informações. Por vezes o acesso remoto é necessário, para que este ocorra de forma segura, devem Acesso remoto existir meios de autenticação e meios de criptografação. Assim como acesso aos sistemas, a todos os usuários devem ser impostas diretrizes de Acesso à rede acesso à rede, este controle vai além dos limites da organização. Fonte: Norma ISO IEC 17799:2005 2.3.8 Desenvolvimento e manutenção de sistemas Os sistemas de informação incluem os sistemas operacionais, infraestrutura, aplicações de negócios entre outras aplicações. O desenvolvimento de sistemas destinados a apoiar os processos de negócios da organização é crucial para se assegurar o uso indiscriminado dos ativos informacionais. As aplicações devem ser ministradas de forma correta, sendo necessários mecanismos para a validação de dados de entrada, processamento interno e saída das informações. Algumas medidas podem ser citadas:  Controles criptográficos;  Gerenciamento de chaves;  Controle do software operacional (devem ser realizadas atualizações constantes, de forma a corrigir possíveis bugs), e;  Controles de códigos-fonte de aplicações (quando houver). 32 2.3.9 Gestão de continuidade do negócio A gestão de continuidade do negócio se trata de medidas, diretrizes e ações que minimizem o impacto em caso de falhas de segurança, em casos de desastres naturais, invasão, acidentes, falhas de equipamentos, ou perda das informações, permitindo assim, a um nível aceitável, a continuidade das atividades da organização. 2.3.10 Conformidade Esta última seção apresenta a necessidade de observação das obrigações legais com o objetivo de evitar a violação de qualquer lei, regulamentos ou obrigações contratuais e de quaisquer requisitos de segurança da informação que possam estar sujeitos aos sistemas de informação. Outra finalidade desta seção é garantir o direito à propriedade legal, garantindo-se que os softwares utilizados na organização sejam de origem confiável e atendam às necessidades da organização. Para verificar a conformidade das políticas de segurança fazem-se necessárias auditorias regulares. Caso a auditoria identifique uma não conformidade, é necessário que os gestores investiguem os motivos do ocorrido, definam ações de correção, de forma que não ocorram reincidências, determinando, portanto ações corretivas. 2.4 Modelo conceitual De acordo com os conceitos relatados anteriormente, a informação, para ser considerada segura e livre de ameaça, deve possuir três características básicas: confidencialidade, integridade e disponibilidade. Uma vez atendida essas premissas deve-se verificar se esta ainda obedece aos requisitos de legalidade e autenticidade. Toda e qualquer informação possui um ciclo de vida que passa pelo manuseio, armazenamento, transporte e o descarte. Por sua vez, é neste processo que se deve ter a maior atenção, uma vez que os ativos ficam vulneráveis a ameaças, podendo estas ser de natureza física, lógica ou humana. 33 Neste contexto faz-se necessário estabelecer controles, de forma a garantir a segurança dos ativos informacionais. Para tal, existem normas reconhecidas a níveis internacionais, sendo uma delas a Norma ISO/IEC 17799:2005 que sugere 127 controles de seguranças, distribuídos em dez domínios a níveis físicos, tecnológicos e humanos. Estes conceitos estão inter-relacionados conforme a figura 2. Figura 2- Modelo Conceitual Fonte: Sêmola (2006) Considerando os conceitos apresentados anteriormente, eles servirão de base para realização do diagnóstico acerca das políticas de segurança da informação do Hospital Universitário Onofre Lopes, em comparação aos requisitos impostos pela Norma ISO/IEC 17799:2005. Dessa forma, segundo Sêmola (2006, p. 140), o HUOL estará apto, após identificar os requisitos necessários, para elaboração de uma política de segurança, identificando os riscos e as vulnerabilidades presentes na organização. O hospital estará apto a receber uma pré-certificação, desde que atenda plenamente aos requisitos propostos pela ISO. 34 Investir na elaboração de uma política de segurança advém da necessidade de um sistema que transpareça confiança. Atualmente, segundo Nobre (2009, p. 31) “a adoção de normas e padrões nacionais, possibilita maior responsabilidade pelos clientes e fornecedores e demais envolvidos na organização”, ou seja, perante o mercado, bem como aos clientes, as organizações que seguem uma padronização, passam a imagem de credibilidade e confiança. 35 3. METODOLOGIA 3.1 Caracterização da pesquisa O presente trabalho teve por finalidade verificar o grau de conformidade das políticas de segurança da informação no Hospital Universitário Onofre Lopes, com os requisitos de segurança estabelecidos pelo NBR ISO/IEC 17799:2005. Portanto, trata-se de uma pesquisa, segundo Tripode (1981, p 32-40), exploratória e descritiva, subtipo estudo de caso (BRUYNE et al, 1977, p. 224-8). A pesquisa de exploratória segundo Mattar (1996, p.18) tem por finalidade prover ao pesquisador maior conhecimento sobre o tema ou problema da pesquisa em perspectiva. As pesquisas descritivas são caracterizadas por possuírem objetivos bem definidos, procedimentos formais, ser bem estruturada e dirigida para a solução ou avaliação de alternativas de cursos de ação (MATTAR, 1996, p. 19), ou seja, uma pesquisa descritiva de uma “simples descrição de um fenômeno” (LAKATOS e MARCONI, 1982) Para realização da pesquisa, houve também a elaboração de um referencial teórico, baseando-se nos requisitos da norma e na respectiva bibliografia que serviu de fomento para elaboração do estudo. 3.2 População e amostra Segundo Lakatos e Marconi (1992, p. 37) população é um conjunto de seres inanimados ou animados, que apresentam ao menos uma característica comum. A população desta pesquisa compreende a assessoria de informática do Hospital Universitário Onofre Lopes, representada diretora da assessoria de informática e o responsável pela área de segurança do HUOL. 3.3 Dados e instrumentos de coleta Os dados primários foram levantados através de uma entrevista, pois, segundo Lakatos e Marconi (1982, p.70), “a entrevista é um encontro entre duas 36 pessoas, afim de que uma delas obtenha informações a respeito de um determinado assunto, mediante uma conversação de natureza profissional”. O instrumento utilizado foi um questionário que, sendo este aplicado pelo próprio pesquisador, aborda os domínios de segurança da informação propostos pela NBR ISO/IEC 17799:2005. Os domínios compreendem as camadas de segurança da informação, que, por sua vez, desdobram-se em dez domínios (Sêmola, 2003 p. 140), evidenciando-se o grau de conformidade que hospital tem em relação aos controles sugeridos pelo código de conduta de gestão de segurança da informação definidos pela norma. O questionário está estruturado da seguinte forma: Especificação Questões Política de Segurança 01 e 02 Segurança Organizacional 03 à 08 Classificação e controle de ativos de informação 09 e 10 Segurança em pessoas 11 à 14 Segurança física e de ambiente 15 à 18 Gerenciamento de operações e comunicações 19 à 27 Controle de acesso 28 à 34 Desenvolvimento e manutenção de sistemas 35 à 37 Gestão de continuidade do negócio 38 Conformidade 39 e 40 Desta forma, puderam-se propor sugestões de melhorias, de forma a adequar as políticas de segurança adotadas pela instituição possibilitando a identificação de vulnerabilidades e ameaças para, posteriormente, buscar-se a certificação. 3.4 Técnica de análise de dados A técnica escolhida para interpretação dos dados colhidos no decorrer da pesquisa é denominada análise de conteúdo, uma ferramenta de análise qualitativa, no qual o pesquisador utiliza textos construídos no decorrer da pesquisa tais como transcrições de entrevista e protocolos de observação. 37 A análise de conteúdo é considerada uma técnica para o tratamento de dados que visa identificar o que está sendo dito a respeito de determinado tema (VERGARA, 2005, p. 15) Bardin (1977, p.19) conceitua análise de conteúdo como uma técnica de investigação que tem a finalidade a descrição objetiva, sistemática e quantitativa do conteúdo manifesto da comunicação. Na análise qualitativa e descrição dos dados, fez-se a comparação dos dados obtidos com o teste sugerido por Sêmola (2006, p. 151-3), utilizando as escalas também propostas pelo autor. Feito isso, identificou-se as ameaças e as vulnerabilidades do sistema de segurança. Assim, podem-se propor sugestões para maximizar sistema de segurança da organização. 38 4. RESULTADOS Este capítulo tem por finalidade apresentar os dados obtidos através da aplicação de entrevistas com os funcionários, pertencentes à assessoria de informática do Hospital Universitário Onofre Lopes (HUOL), utilizando como base os requisitos de controle estabelecidos pela Norma ISO 17799:2005. As entrevistas foram feitas individualmente, com a gestora responsável pela área de TI e por um técnico de informática, pertencente ao departamento. A partir dos dados coletados, foi possível verificar o grau de conformidade das políticas de segurança do HUOL em relação aos requisitos e controles estabelecidos pela norma utilizada como medida de comparação. Segundo o regimento do HUOL, são da competência da assessoria de informática e processamento de dados as seguintes atividades: 4.1 Diagnóstico organizacional 4.1.1 Domínio “Política de Segurança” O primeiro domínio se propôs a analisar a existência de uma política de segurança da informação, um documento contendo normas, diretrizes, controles e procedimentos com a finalidade de nortear a gestão de segurança da informação. De acordo com Silva (2011 p. 43) a política existente numa organização vai influenciar as características dos seus sistemas de informação e, para que seja eficaz, deve estar sempre alinhada com o planejamento estratégico dessa mesma organização. Segundo Sêmola (2003, p.34) a política de segurança da informação deve ser elaborada considerando: Com extrema particularização e detalhamento as características de cada processo de negócio, perímetro e infraestrutura, materializando-a através de diretrizes, normas, procedimentos e instruções que irão oficializar o posicionamento da empresa ao redor do tema e, ainda, apontar as melhores práticas para o manuseio, armazenamento, transporte e descarte de informação na faixa de risco apontada como ideal. 39 Quando indagada da existência do respectivo documento, obteve-se como resposta que o documento está em fase de elaboração, conforme o trecho da entrevista a seguir: Este documento está parcialmente pronto, no final do ano deverá estar concluído. O documento está sendo elaborado juntamente à superintendência de informática, órgão que rege toda a TI da instituição, estando em consonância com a Norma ISO 17799:2005 1 (informação verbal). Outro fator verificado foi existência de um Security Office, um profissional que se dedique exclusivamente à gestão das políticas de segurança da informação. Como a política de segurança da informação está em fase de elaboração, a figura do profissional existe, porém não está vinculada à função formalmente, ou seja, não existe um Security Office, sendo que essa atribuição está vinculada diretamente à gestão da TI do hospital em conjunto com a superintendência de informática da UFRN, conforme o trecho da entrevista a seguir: Não existe um profissional dedicado exclusivamente à segurança da informação. Havendo uma necessidade de uma implementação, que fuja aos controles já existentes, é solicitado à superintendência de informática. Nós juntamente a eles implantamos a política específica, oferecendo todo o apoio logístico necessário pra esta 2 implementação . Em contrapartida, após a elaboração das políticas segurança de informação, existe a possibilidade de se formalizar a função, mediante a necessidade. É fundamental a existência de uma política de segurança que seja realmente uma referência para os colaboradores da organização, uma vez que esta possibilita a garantia dos três princípios básicos da segurança da informação: integridade, disponibilidade e acessibilidade (MARTINS e SANTOS, 2005 p.127). O desenvolvimento de uma política de segurança da informação, no ambiente corporativo, é de suma importância, pois uma vez existente esse documento, permite que todos os colaboradores, fornecedores e clientes fiquem cientes das limitações e dos controles necessários, de forma a garantir a segurança da prestação de serviços, no que tange ao ambiente organizacional. 1 Trecho de entrevista concedida pela gestora da área de tecnologia da informação do HUOL 2 Trecho de entrevista concedida pelo técnico de informática do HUOL. 40 A existência ou não do documento, transparece o comprometimento da gestão acerca das necessidades de segurança que a organização detém, uma vez que possui ativos que precisam ser protegidos do acesso indiscriminado e/ou não autorizado. Isso poderia implicar em prejuízos financeiros, patrimoniais e principalmente de ordem informacional. 4.1.2 Domínio “Segurança Organizacional” O segundo domínio se propôs a analisar no primeiro momento os aspectos de segurança da organizacional, considerando-se a infraestrutura, a existência de fórum responsável por lidar com mudanças estratégicas e as atribuições dos funcionários em relação à segurança da informação. No segundo momento o domínio procura elucidar a existência de requisitos contratuais, controle de acesso e riscos relacionados a prestação de serviços e terceiros. A Norma ISO 17799 (2005, p.22-27), estabelece como objetivos: No âmbito interno: Gerenciar a segurança da informação dentro da organização; No âmbito externo: Manter a segurança dos recursos de processamento da informação e da informação da organização, que são acessados, processados, comunicados ou gerenciados por partes externas. A infraestrutura diz respeito à existência de um corpo de gestores a nível estratégico que reconheçam a importância da gestão de segurança da informação, por sua vez estes devem dispor de recursos e ações de formação e sensibilização. (SILVA, 2011 p.89) A Norma ISO 17799 (2005, p22), estabelece que: Convém que a direção apoie ativamente a segurança da informação dentro da organização, por meio de um claro direcionamento, demonstrando o seu comprometimento, definindo atribuições de forma explícita e conhecendo as responsabilidades pela segurança da informação. Verificou-se a inexistência desse requisito no Hospital Universitário Onofre Lopes, pois a função de segurança da informação é atribuída ao departamento de TI, que por sua vez não está em uma posição estratégica, mas sim operacional. 41 Segundo relato da gestora, não existe a figura específica de um gestor responsável unicamente pela segurança da informação. Essa função é facultada ao gestor geral da TI e, diante da dimensão da equipe, não justifica a sua existência. Um segundo fator indagado é a existência de fórum de gestão de segurança da informação, que no mesmo raciocínio anterior é inexistente. De acordo com a respondente, o HUOL não possui um fórum de segurança formado pelo corpo diretor, todavia após a implementação formal das políticas de segurança, o fórum possa vir a existir, conforme o trecho da entrevista a seguir: Ainda não existe um fórum de segurança composto por gestores, talvez no ano seguinte, após a implementação das políticas de 3 segurança, esse fórum possa ser criado. (informação verbal) . Segundo Sêmola (2003 p. 20) existe uma necessidade de conscientização do corpo executivo, uma vez que para tratar de um problema generalizado e corporativo de forma a atingir as vulnerabilidades de todos os ambientes e processos distribuídos da empresa, é necessário principalmente o apoio da cúpula. Apesar de não existir claramente as atribuições de responsabilidade com a relação à segurança da informação, foi verificado que o corpo técnico de TI consegue responder prontamente aos incidentes de segurança, desde que este seja a níveis tático e operacional. Quaisquer mudanças a níveis estratégicos faz-se necessária a intervenção da superintendência de informática da UFRN. Quanto à identificação do acesso dos prestadores de serviço, e os riscos inerentes a estes, a Norma ISO 17799 (2005, p.27) coloca que: Convém que os riscos para os recursos de processamento, da informação e da informação da organização, oriundos de processos do negócio que envolva as partes externas sejam identificados e controles apropriados implementados antes de se conceder o acesso. Martins (2008 p.11) afirma que para uma eficaz segurança da informação é necessário uma análise dos sistemas que interagem com as organizações e dos diversos atores e suas relações, de forma a identificar a perspectivar ameaças a que está sujeita. 3 Trecho de entrevista concedida pela gestora da área de tecnologia da informação do HUOL 42 Todo e qualquer acesso necessário às dependências e recursos do HUOL, passa por um processo de avaliação, sendo concedido de acordo com a necessidade que a prestação de serviço de acesso demande. Todavia não há uma identificação clara dos riscos, pois nunca se identificou esta necessidade. 4.1.3 Domínio “Classificação e controle de ativos de informação” O terceiro domínio tem por finalidade a orientação de medidas de segurança que visam à proteção apropriada dos ativos da organização. São orientadas por essa seção medidas para a realização do inventário e classificação dos ativos, evidenciando-se seus proprietários e regras de uso. Ativos representam todos os itens da organização onde informações são criadas, processadas, armazenadas, transmitidas ou descartadas. O gerenciamento de ativos é fundamental para priorizar investimentos e concentrar esforços nos ativos mais críticos, que sustentam os processos da organização. (MODULO, 2013) De acordo com a Norma ISO 17799 (2005, p.21) a necessidade de classificação dos ativos é de manter e alcançar a proteção apropriada, sendo necessário portanto, um inventário, bem como um proprietário responsável. Com relação à existência de um inventário que trate dos ativos físicos, tecnológicos e humanos, a respondente afirmou que: A classificação dos ativos é feita anualmente, acrescentando ou eliminando através do SIPAC, módulo de patrimônio. Toda a classificação da informação com respeito ao seu nível de 4 confidencialidades é feita pelo próprio software. São atribuídas aos ativos as seguintes classificações: físico, tecnológico e humano (ADACHI, 2004). A principal justificativa segundo a ABNT (Norma ISO 17799:2005, p.33) é: os inventários de ativos ajudam a assegurar que a proteção efetiva do ativo pode ser feita e também pode ser requerido para outras finalidades do negócio, como saúde e segurança, seguro ou financeira (gestão de ativos). É através da classificação que determinada informação, tem que ganhamos a percepção do seu valor, e, por conseguinte, é através dessa que se definem os 4 Trecho de entrevista concedida pela gestora da área de tecnologia da informação do HUOL 43 mecanismos que aquela informação terá para que se possa garantir a sua segurança. (SILVA, 2011 p. 97). 4.1.4 Domínio “Segurança em pessoas” O domínio da norma “segurança em pessoas” tem a finalidade de orientar e estabelecer controles, visando garantir que funcionários, fornecedores e terceiros compreendam suas responsabilidades, ou seja, este domínio se ocupa em conscientizar os envolvidos na prestação de serviço, no que diz respeito à segurança da informação. Dentre os controles/orientações verificados podem se citar: os critérios de seleção, a atribuição de papéis e responsabilidades, termos de condição de contratação no que tange à confidencialidade dos dados trabalhados, capacitação e treinamento (segurança da informação) e processo disciplinar. No domínio de “Segurança em pessoas” existe a preocupação com o fator humano, pois é este que na maioria das vezes está por trás dos incidentes de segurança. A Norma ISO 17799 (2005, p. 37), diz que um dos objetivos é: “Assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis, e reduzir o risco de roubo, fraude ou mau uso de recursos.” É necessário conhecer e fazer o controle de todos os funcionários, fornecedores e terceiros, tendo vista a necessidade de, no ato da contratação, estabelecer os limites. King (apud GAVÉIO, 2008) diz que muitas violações à segurança são concretizadas por pessoal de confiança que efetuam atividades não autorizadas ou mesmo atividades que extravasa suas autorizações. Gavéio (2008 p. 172) afirma que este fato reforça a necessidade de ter uma atenção especial para com os aspectos relativos às atitudes das pessoas, considerando simultaneamente a obrigatoriedade de colocar cláusulas adequadas ao estabelecimento de regras de confidencialidade e privacidade, quando se concretiza a respectiva contratação. Quando indagada a respeito da existência de capacitação e treinamento no que diz respeito à segurança da informação, ambos os entrevistados afirmaram que 44 todos os colaboradores passam por treinamento informal, onde existe somente uma orientação a respeito. Quando indagada a respeito de acordos de confidencialidade antes da contratação, a gestora informou que este controle não é feito, ou desconhece a existência de termos de confidencialidade. No entanto, existe a orientação no momento da contratação. A seleção de pessoal para a atuação no hospital é feito pelo Recursos Humanos e pela FUNPEC no caso da seleção de bolsistas. O trecho da entrevista a seguir revela uma fragilidade, embora esta falha seja decorrente da natureza da organização: Por se tratar de uma entidade pública seu acesso é liberado ao conhecimento externo, desde que se a devida identificação e autorização, porém existem informações que não devem ir a público, 5 tais como o conteúdo do prontuário dos pacientes. A principal necessidade, no tocante ao domínio “segurança em pessoas”, é a confidencialidade das informações que circulam dentro da organização. Para isso, por vezes, se torna necessário que haja acordos, visando o sigilo das informações. Todas as orientações a respeito da segurança da informação são feitas verbalmente, não existe um treinamento, nem capacitação formal dos usuários, revelando assim uma grande vulnerabilidade no que se refere a este domínio da Norma. 4.1.5 Domínio “Segurança física e de ambiente” O domínio “segurança física e de ambiente” tem a finalidade de se estabelecer controles de acesso físico não autorizado, evitando danos, interrupções ou interferência aos serviços prestados e ativos da organização. Foi investigada a existência de perímetros que estabeleçam regras de acesso físico às dependências do hospital bem como medidas de proteção dos equipamentos e instalações da organização. 5 Trecho de entrevista concedida pela gestora da área de tecnologia da informação do HUOL 45 De acordo com a NBR ISO/IEC 17799 (2005, p.44) o objetivo da segurança física é “prevenir o acesso não autorizado, danos e interferências com as instalações e informações da organização”. Convém que as instalações de processamento da informação críticas ou sensíveis sejam mantidas em áreas seguras, protegidas por perímetros de segurança definidos, com barreiras de segurança e controles de acesso apropriados. Convém que sejam fisicamente protegidas contra o acesso não autorizado, danos e interferências. (Norma ISO 17799, p.44) A segurança física desempenha um papel tão fundamental quanto a lógica, porque é a base para a proteção de qualquer investimento na organização (MATOS, 2010 p.38). Neste contexto, verificou-se uma grande preocupação por parte da assessoria de informática do hospital. Os recursos físicos informacionais são constantemente monitorados quanto ao perfeito funcionamento, em virtude da grande dependência destes. Esta preocupação pode ser constatada de acordo com o relato da gestora a seguir: Nossos recursos informacionais de hardware, tais como: rede, computadores, impressoras são monitorados diariamente, o próprio usuário pode nos relatar eventuais problemas, onde na maioria das vezes o corrigimos remotamente, quando isto não é possível fazemos a intervenção imediata, pois há uma grande dependência destes 6 recursos . Também foi verificada a existência de estruturas que possibilitam o fornecimento ininterrupto de energia, tais como geradores e nobreaks. Muitos equipamentos, não só os que geram, processam e armazenam a informação, necessitam do fornecimento ininterrupto de energia (ex.: unidade de terapia intensiva – UTI). Quanto ao perímetro e ao acesso físico às dependências do hospital é necessário a identificação e autorização prévia por parte da gestão ou mesmo da portaria. Todos os funcionários são devidamente identificados por meio de crachás. O hospital possui ainda um sistema de monitoramento em diversos setores. 6 Trecho de entrevista concedida pelo técnico de informática do HUOL. 46 Cardoso (2006, p.270) afirma que a inexistência de um sistema eficaz de proteção física dos ativos de segurança da informação torna qualquer outra iniciativa de segurança insuficiente ou inválida. Investir nos mais diversos aspectos da segurança, sem identificar devidas prioridades, pode ocasionar uma perda de todos os recursos investidos, em virtude de uma falha nos sistemas mais vulneráveis (Ferreira e Araújo, 2006). A partir do momento em que o hospital passou a automatizar seus processos operacionais, investindo em tecnologia de processamento de dados com o intuitito de agilizar as atividades, bem como recursos de fornecimento de energia foi gerada uma grande dependência desses ativos tornando inviável a inexistência desses recursos para as atividades no âmbito estratégico, tático e operacional. 4.1.6 Domínio “Gerenciamento de operações e comunicações” O sexto domínio, “Gerenciamento de operações e comunicações”, teve a finalidade de estabelecer procedimentos, responsabilidades e mudanças operacionais. Também é da abrangência deste domínio verificar a existência de segregação de funções, o planejamento para a adoção de sistemas, procedimentos relacionados a backups, controle e gerenciamento de redes e uso de emails no ambiente organizacional. A ABNT NBR ISO/IEC 17799 (2005 p. 40) coloca que o objetivo do domínio “gerenciamento de operações e comunicações” é garantir a operação segura e correta dos recursos de processamento de informações. O departamento de TI é composto atualmente por uma gestora e quatro técnicos (dois desses, estagiários). Os técnicos são responsáveis pelo software de gestão, redes, manutenção e suporte ao usuário. Não há uma designação formal das atividades de cada técnico, conforme relata a gestora no trecho a seguir: Não há atribuição dos procedimentos e responsabilidades operacional formalizados (escrito), somente conceitual de acordo com a especialidade/perfil necessária. Buscamos sempre que nossa equipe 7 tenha um conhecimento homogêneo . 7 Trecho de entrevista concedida pela gestora da área de tecnologia da informação do HUOL 47 Quanto ao planejamento para a adoção de sistemas e software verificou-se que ocorre um planejamento prévio, onde a TI avalia o desempenho e as funções dos aplicativos, antes da implementação, comunicando ao fornecedor eventuais falhas. O ERP utilizado atualmente para gestão do hospital vem sendo considerado satisfatório, visto que nenhum entrave quanto à usabilidade do sistema tenha sido relatado. O HUOL utiliza hoje, para a manutenção das atividades operacionais, bem como para as atividades de gestão, o “MV 2000”, este sistema é responsável por padronizar e integrar processos, garantindo a transformação de dados em informações, gerando conhecimento do negócio de saúde para a tomada de decisões e o “SIPAC” responsável por lidar com informações relacionadas a gestão, patrimônio, finanças, licitações [...] . Diversos são os controles utilizados no ambiente hospitalar de forma a evitar e/ou reparar danos, dentre os quais podem se citar: - O controle de mudanças operacionais de hardwares e redes: são feitos através de um software em um “módulo” onde o usuário registra o problema e solicita a reparação deste. É de responsabilidade do departamento da TI investigar as causas e de acordo com a demanda o problema é resolvido; - Sistemas de Backups: o procedimento de cópias de segurança é feito diariamente para o banco de dados; - Sistemas de Firewall e antivírus. - Conscientização acerca do uso indiscriminado de emails; É impensável que organizações de grande porte atuem hoje sem o uso de software para desempenhar tarefas relacionadas ao processamento de dados, bem como usá-las como meio de comunicação. Quando bem gerido o uso de sistemas proporcionou uma gama de benefícios, tais como: maior agilidade, maior controle, maior eficiência no atendimento ao cliente. Essas mudanças são evidentes não só no ambiente hospitalar, mais nas organizações como um todo. 48 4.1.7 Domínio “Controle de acesso” O domínio “controle de acesso” se refere aos controles utilizados para impedir o acesso não autorizado aos ativos que fazem o processamento das informações. São estabelecidos por este domínio os requesitos necessários para o controle de acesso, tais como: acesso ao sistema, acesso à rede, acesso às aplicações, requisitos para a utilização de dispositivos móveis e as medidas de monitoramento. A norma NBR ISO/IEC 17799 (2005, p.65) coloca como objetivo “controlar acesso à informação” e “convém que o acesso à informação, recursos de processamento das informações e processos de negócio sejam controlados com base nos requisitos de negócio e segurança da informação”. De acordo com Veiga (Apud Gavéio, 2008 p.173): Problemas de segurança podem localizar-se nos mais diversos níveis organizacionais (redes, sistemas informáticos, instalações, Pessoas – utilizadores e/ou técnicos, modo como é encarada a segurança), onde é crucial atender ao fato de as falhas ocorrerem habitualmente no elo mais fraco, considerando-se por isso todas as dimensões do problema. Ou seja, é necessário se impor controles de acesso aos mais diversos níveis da organização, de forma a garantir a integridade, a acessibilidade e confidencialidade dos ativos informacionais. Quanto à existência de controle de acesso, o respondente afirmou: Existe um login individual tanto pra acesso a rede, quando para estrutura do software de gestão. Existem dois níveis de acesso: o primeiro diz respeito ao acesso do computador e a internet e o segundo ao software de gestão. Não é possível fazer o segundo antes do primeiro. Quando há desconfiança sob a utilização do sistema, este permite que se faça uma investigação de tudo que foi acessado pelo usuário, através de um log, embora nunca antes isto tenha sido 8 necessário. Foi verificada a existência dos seguintes controles de acesso, no Hospital Universitário Onofre Lopes: 8 Trecho de entrevista concedida pela gestora da área de tecnologia da informação do HUOL 49 - Controle de acesso ao sistema operacional: para se acessar os computadores do hospital é necessário que os usuários estejam devidamente cadastrados e se utilizem de senhas criptografadas; - Controle de acesso à rede: embora possua o Wi-fi aberto o hospital conta ainda com uma intranet, sendo que suas aplicações de gestão hospitalar só funcionam neste ambiente; - Controle de acesso às aplicações: o software de gestão só permite a visualização e modificação de quaisquer informações, mediante um login e senha, própria do aplicativo, e; - Controle de acesso físico: este controle é feito pela portaria, existem áreas no hospital que só é possível adentrar com uma permissão prévia, tais como o servidor. - Sistemas de monitoramento – o software permite em caso de necessidade o monitoramento do uso do sistema por completo. Os controles de acesso se mostram de extrema necessidade, uma vez que eles impedem que aspectos fundamentais da segurança, tais como confidencialidade, integridade e acessibilidade, sejam violados. 4.1.8 Domínio “Desenvolvimento e manutenção de sistemas” O domínio “desenvolvimento e manutenção dos sistemas” se propôs a investigar os requesitos necessários para a segurança dos sistemas. O domínio investiga ainda a existência de controles criptográficos e vulnerabilidades técnicas, presentes no ambiente de desenvolvimento e suporte. A norma NBR ISO/IEC 17799 (2005, p.84) afirma que o objetivo do domínio é garantir que a segurança é parte integrante de sistemas de gestão da informação. Segundo o regimento interno do HUOL (2009), uma das atribuições da assessoria de informática e processamento de dados é: “acompanhar o processo de desenvolvimento ou de aquisição de sistemas específicos para uso do Hospital”. 50 Quando indagado a respeito da existência de mecanismos de segurança nos ambientes de desenvolvimento e suporte, os entrevistados relataram que o serviço de desenvolvimento é terceirizado, conforme o trecho da entrevista a seguir: No que tange ao desenvolvimento, o departamento não desenvolve software, é da competência do setor apenas a gerência do aplicativo, quando há falhas comunicamos ao desenvolvedor pra que seja feita as correções necessárias. Todo sistema utilizado pelo hospital é certificado pela sociedade brasileira de informática da saúde e seguem 9 normas e padrões pré-estabelecidos. Também são feitas correções do software operacional através de atualizações regulares. A respeito da terceirização do software, de acordo com Veras (2009) a organização optou pelo modelo tradicional de terceirização, onde a organização contratante está preocupada com a redução dos custos operacionais de TI, delegando o serviço de desenvolvimento a terceiros. A gestão de uma organização deve ser alicerçada em um Sistema de Informações seguro, em tempo real e baseado em Tecnologias de Informação adequadamente projetadas. (CONSULT, 2013). 4.1.9 Domínio “Gestão de continuidade do negócio” O penúltimo domínio, gestão de continuidade do negócio, no primeiro momento, tem a finalidade de estabelecer medidas a serem tomadas de forma a impedir e/ou prevenir a interrupção dos serviços prestados pela organização. No segundo momento verificam-se quais os controles são utilizados em caso defeitos, falhas ou desastres naturais. A norma NBR ISO/IEC 17799 (2005, p.104) coloca que: Convém que os planos sejam desenvolvidos e implementados para a manutenção ou recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio. 9 Trecho de entrevista concedida pela gestora da área de tecnologia da informação do HUOL 51 Segundo Sêmola (2006 p. 135) para garantir a eficiência de um plano de continuidade de negócios, é preciso construir um processo dinâmico de manutenção e gestão de todos os documentos, garantindo a integração e a eficácia em situação de desastres. Segundo Gil (1999) um plano de continuidade permite reestabelecer a prestação de serviços no ambiente informacional, após a decorrência de um desastre, ou seja, este plano é um guia para direcionar ações para que se evitem prejuízos maiores. Devido à falta de equipamentos e da indisponibilidade de verbas, afim de se desenvolver um plano de continuidade mais robusto, o único meio que o hospital possui para se evitar interrupções são as rotinas de Backups. A importância da gestão da continuidade do negócio é demonstrada no trecho a seguir: Todo o hospital é dependente dos recursos informacionais, nós não sobrevivemos mais sem a informática, se o sistema ficar 15 minutos fora do ar isso aqui vira uma “loucura”, o telefone não para de tocar! 10 (informação verbal) Segundo Winkler et al (Apud CARVALHO, 2011) interrupções em infraestrutura de TI nas organizações acarretam em rupturas em processos de negócio que levam a perdas financeiras, consequências legais, perdas de reputação e pode causar falências. Os principais ganhos de se desenvolver esse plano são maximizar a eficácia e o retorno sobre o investimento, devendo-se partir de uma análise de riscos prévia. Esse instrumento possibilitará identificar eventuais prejuízos em decorrência de sinistro. A descontinuidade de suas atividades pode acarretar danos referentes à imagem da organização, além de perdas financeiras, de clientes e de confiabilidade. 4.1.10 Domínio “Conformidade” O domínio “conformidade” se propõe a analisar a conformidade dos sistemas de informações com as normas legais e técnicas existentes no ambiente 10 Trecho de entrevista concedida pela gestora da área de tecnologia da informação do HUOL 52 organizacional, evitando-se, portanto, a violação de qualquer lei, bem como o uso indiscriminado do software. De acordo com a ABNT NBR ISO/IEC 17799 (2005, p.120) o objetivo do domínio “conformidade” é evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. No que diz respeito à conformidade com as normas e leis, o software de gestão hospitalar, atualmente usado pelo hospital, atende a todas as necessidades de gestão ao qual o mesmo se destina, conforme o trecho da entrevista a seguir: Nosso software de gestão hospitalar (MV 2000) atendem todas as normas requesitos legais. O software é certificado pela Sociedade Brasileira de Informática em Saúde – SBIS e pela Associação Brasileira das Empresas de Software, seguindo todas as regras determinadas 11 para o prontuário eletrônico de pacientes e gestão de hospitais. É uma grande preocupação da instituição que o software atenda aos requisitos legais, estando sempre em consonância com princípios de segurança da informação, uma vez que a desconformidade pode causar sanções ao hospital. A conformidade permitirá a organização estar antes de tudo, em dia com as leis que regulamentam a prestação de serviços no setor da saúde, evidenciando o comprometimento que HUOL de tem com a vida. 11 Trecho de entrevista concedida pela gestora da área de tecnologia da informação do HUOL 53 5. CONSIDERAÇÕES FINAIS O presente capítulo abordará as principais conclusões da pesquisa, as limitações do estudo e recomendações à organização. 5.1 Conclusões Com o surgimento da tecnologia, da internet e dos computadores, a informação encontrou meios de se disseminar cada vez mais rápido e por vezes fora de controle. Para as organizações, que estão cada vez mais dependentes do uso de tecnologias, a informação se mostra como um de seus ativos mais valiosos, estabelecendo uma relação de dependência. Com base nesta visão e nessa relação, pode-se constatar o quão importante é a temática de segurança da informação para o mundo organizacional. Três conceitos foram considerados básicos para o entendimento da temática: o de confidencialidade, de integridade e o de acessibilidade. Para efeitos de estudo e de melhor compreensão, optou-se por uma divisão em camadas: física, lógica e humana. De forma a auxiliar os gestores a desenvolver políticas de segurança adequadas, visando à correta proteção dos dados, existem diversas normas reconhecidas internacionalmente com esta finalidade, uma delas é a NBR ISO/IEC 17799:2005, usada como principal ferramenta de comparação no presente trabalho. A norma possui um total de dez domínios, que englobam 127 controles, onde uma total conformidade com a presente norma permite a organização ser certificada. O presente trabalho teve por objetivo verificar o grau de conformidade das políticas de segurança da informação do Hospital Universitário Onofre Lopes em comparação a NBR ISO/IEC 17799:2005. Para tal, foram realizadas duas entrevistas, com funcionários do departamento de TI as quais fomentaram parte do diagnóstico proposto. Utilizando-se da técnica análise de conteúdo, foi feita uma entrevista com os funcionários da assessoria de informática do HUOL, na qual o instrumento de avaliação, utilizado para verificar a conformidade das políticas de segurança do hospital, com os requisitos estabelecidos pela ISO revelou que o hospital atende à 54 maioria dos requisitos de segurança da informação, obtendo 60 pontos (ver apêndice 2) na escala proposta por Sêmola, conforme a citação a seguir: Resultado de 80-54 Parabéns! Sua empresa é uma exceção e deve estar em destaque em seu segmento de mercado por conta da abrangência de controles que se aplica no negócio. Apesar de não podemos ver uniformidade das ações, distribuídos pelos dez domínios, podemos dizer que sua empresa está conscientizada da importância da segurança para a saúde dos negócios. A situação estará ainda melhor se todas as ações e controles aplicados tiverem sido decididos com uma análise de riscos integrada e, ainda, sob a gestão de um Security Office. (Sêmola, 2006, p.157) Para efeitos de cálculos, foi atribuída a pontuação (2), quando obtida a resposta sim, a pontuação (1), para parcialmente, e (0), quando obtida a resposta não. A investigação dos controles foi considerada satisfatória, uma vez que o checklist revelou que 65% dos controles são praticados plenamente, 20% são aplicados parcialmente ou estão em fase de implementação e apenas 15% não são praticados. A presente análise revelou que existe uma deficiência no aspecto humano dos controles, pois os 15% não praticados refere-se basicamente à natureza humana dos controles. Diversos são os motivos que podem ser atribuídos à falha humana, dentre os quais: falta de conhecimento, falta de treinamento, falta de comprometimento, entre outros motivos. Foi revelada uma deficiência a respeito de “segurança em pessoas”, pois a principal necessidade deste domínio não é implementada formalmente: acordos de confidencialidade, embora em relação a este haja uma orientação neste sentido no momento da contratação dos funcionários. Outra deficiência encontrada diz respeito diretamente à alta gestão. O departamento de TI não possui autonomia em suas ações sendo considerada muitas vezes uma atividade operacional, o que não só se revela como uma falha de segurança, no que se refere à norma, como também uma deficiência estratégica, uma vez que o departamento gere recursos sem os quais o hospital não sobrevive. Portanto, dentro das limitações do escopo da pesquisa, ficou perceptível a falta de participação ativa da diretoria do hospital em relação ao departamento de TI, 55 uma vez que este não possui autonomia nem investimentos consideráveis, que possibilitem o crescimento e/ou desenvolvimento do referido setor. Em contrapartida, verificou-se que o departamento de TI conseguiu ser eficiente, dado que, com o baixo volume de capital alocado, pode obter um resultado bem satisfatório. 5.2 Limitações e recomendações Como limitações da pesquisa, citam-se: o fato de ter sido um estudo feito em um curto espaço de tempo e a escassa quantidade de estudos com a temática de segurança da informação voltadas para organizações da saúde. Recomenda-se que o HUOL formalize (documente) as políticas de segurança já existentes, oferecendo uma atenção maior ao aspecto humano dos controles. È necessário também que a alta cúpula participe de forma pró-ativa na formulação da política de segurança e se possível, crie de um fórum com representantes de todos os setores, designando-se as reais responsabilidades, com intuito de melhor investigar as vulnerabilidades e ameaças presentes e/ou futuras que a organização possua ou possa vir a possuir respectivamente. Muitos são os ganhos de se investir na formulação de uma política de segurança as quais se pode citar: Conformidade – Se uma organização necessita cumprir diversos regulamentos, a ISO 17799 dispõe de ferramentas que possibilitarão fazer isso de forma correta e eficiente; Vantagem de mercado – No mundo capitalista, por vezes é necessário encontrar algo que destaque a organização aos olhos dos clientes, principalmente em uma organização que lida com informações sigilosas, como é o caso do HUOL; Redução de despesas – Embora a segurança da informação seja considerada como um custo financeiro sem ganho aparente, deve-se enxergar um outro lado. O plano de continuidade dos negócios possibilitará evitar e amenizar interrupções decorrentes da prestação de serviços e/ou vazamento de informações, o que consequentemente se reflete na diminuição de gastos decorrentes de sinistro. Organização da empresa – A ISO estabelece como um de seus requesitos, a definição de papéis e responsabilidades, a norma proposta fará com que os 56 gestores delimitem de forma precisa as atribuições de cada colaborador bem como as devidas limitações. É válido salientar que implementar todos os controles, aqui mencionados, pode acarretar em um investimento de alto custo inicial. Porém, os prejuízos de sua não implementação são ainda maiores. Portanto, o investimento em segurança da informação deve ser tratado como prioridade, estando plenamente justificado. 57 REFERÊNCIAS 1. ADACHI, Tomi. Gestão de Segurança em Internet Banking – São Paulo: FGV, 2004. 2. BRUYNE, Paul de; Herman, Jacques; SCHOUTHEETE, Marc de. Dinâmica de pesquisa em ciências Sociais. Rio de Janeiro: Francisco Alves, 1977. 3. BARDIN, Laurence. Análise de conteúdo. Lisboa: Edições 70, 1977. 4. BEAL, Adriana. Gestão estratégica da informação: como transformar a informação e a tecnologia da informação em fatores de crescimento e alto desempenho nas organizações. São Paulo: Atlas, 2004. 5. ___________. Segurança da informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2005. 6. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Código de Práticas para a Gestão da Segurança da Informação (NBR ISO/IEC 17799). Rio de Janeiro: ABNT, 2005 7. CAMPOS, André L. N. Sistema de segurança de informação: controlando os riscos. Florianópolis: Visual Books, 2006. 8. CASANAS, Alex Delgado Gonçalves e MACHADO, Cesar de Souza. O impacto da implementação da Norma NBR ISO/IEC 17799 – código de prática para a gestão da segurança da informação nas empresas. Santa Catarina: UFSC, 2006. 9. CARDOSO, Monique Fonseca. O alinhamento entre fatores organizacionais e medidas de segurança adotadas: pesquisa exploratória em maiores empresas arrecadadoras de ICMS do RN. 2006. 89. Monografia (Graduação em administração) – Departamento de Ciências administrativas da UFRN, Natal, 2006 10. CARVALHO, Ítalo Rezende ferreira de. Segurança da Informação: um instrumento para a avaliação do plano de continuidade do negócio aplicado a uma organização pública. Disponível em: < http://www.bsi.ufla.br/monografias/ItaloRFCarvalho.pdf> acesso em: 25 de maio de 2013 11. CONSULT. Gestão de negócios. Disponível em: . Acesso em: 20 maio 2013. 58 12. GAIVÉO, José Manuel. As pessoas nos Sistemas de Gestão de Segurança da Informação. Lisboa: Universidade Aberta, 2008. 2 vol. 668 p. (Doutorado em Informática). Universidade Aberta, 2011. 13. GIL, Antônio Lourenço. Segurança empresarial e patrimonial. 2 .ed. São Paulo: Atlas, 1999 14. GORDON, Steven R; GORDON, Judith R. Sistemas de informação: uma abordagem gerencia. 3. ed. Rio de Janeiro: LTC, 2006. 15. FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Marcio Tadeu, Política de segurança da informação: Guia prático para embalagem e implementação. Rio de Janeiro: Ciência Moderna, 2006. 16. HUOL. Nossa história; visão e missão. Disponível em: HTTP://www.huol.ufrn.br>. Acesso em: 12 set. 2011 17. INFORMAÇÃO, Academia Latino-americana de Segurança da (Org.). Entendendo e implementando a Norma ABNT NBR ISO/IEC 17799:2005: Aspectos teóricos e práticos para implantação da Norma ABNT NBR ISO/IEC 17799:2005. Disponível em: . Acesso em: 23 abr. 2013. 18. INFORMAÇÃO, Academia Latino-americana de Segurança da (Org.). Entendendo e implementando a Norma ABNT NBR ISO/IEC 17799:2005: Aspectos teóricos e práticos para implantação da Norma ABNT NBR ISO/IEC 17799:2005. Disponível em: . Acesso em: 23 abr. 2013 19. INFORMAÇÃO, Academia Latino-americana de Segurança da (Org.). Entendendo e implementando a Norma ABNT NBR ISO/IEC 17799:2005: Aspectos teóricos e práticos para implantação da Norma ABNT NBR ISO/IEC 17799:2005. Disponível em: < http://dc408.4shared.com/doc/0lQv9Ff- /preview.html>. Acesso em: 23 abr. 2013 20. INFORMAÇÃO, Academia Latino-americana de Segurança da (Org.). Entendendo e implementando a Norma ABNT NBR ISO/IEC 17799:2005: Aspectos teóricos e práticos para implantação da Norma ABNT NBR ISO/IEC 17799:2005. Disponível em: < http://dc102.4shared.com/doc/uFi5IxE3/preview.html>. Acesso em: 23 abr. 2013 21. LAKATOS, Eva Maria; MARCONI, Marina de Andrade. Técnica de pesquisa. São Paulo: Mcgraw-Hill do Brasil, 1976. 59 22. LUCAS JÚNIOR, Henry C. Tecnologia da informação: tomada de decisão estratégica para administradores. Rio de Janeiro: LTC, 2006. 23. MATTAR, Fauze Najib. Pesquisa de marketing. São Paulo. Atlas 1996. 24. Martins, José Carlos Lourenço. Framework de segurança de um sistema de informação. Portugal/Lisboa, 2008. Dissertação (Mestrado em Sistemas da Informação) – Universidade do Minho, Guimarães, 2008. 25. MEIRELLES, Fernando S. Informática: novas aplicações com microcomputadores. São Paulo: Editora Makron Books, 1994. 26. MODULO. Gestão de ativos. Disponível em: . Acesso em: 21 maio 2013. 27. NETTO, Abner da Silva; SILVEIRA, Marco Antonio Pinheiro da. Gestão da segurança da informação: fatores que influenciam sua adoção em pequenas e médias empresas. São Paulo, Universidade Municipal de São Caetano do Sul – IMES, 2007. 28. NOBRE, Ana Cláudia dos Santos. Fatores que influenciam a aceitação de práticas avançadas em gestão de segurança da informação: um estudo com gestores públicos estaduais no Brasil. Brasil/Rio Grande do Norte, 2009, 172 p. Dissertação (mestrado em Administração). Universidade Federal do Rio Grande do Norte 29. HUOL. Regimento Interno. Disponível em: . Acesso em: 21 maio 2013. 30. REZENDE, Regina e ABREU, Aline. Tecnologia da informação: aplicada a sistemas de informações empresariais. 3.ed S]ao Paulo. Atlas, 2003 31. SILVA, Bruna Patrícia Ribeiro Alves da. Planeamento e Implementação de um Sistema de Gestão da Segurança da Informação. 2011. 110 f. Dissertação (Mestrado) - Curso de Ciências da Informação, Faculdade de Engenharia da Universidade do Porto, Porto, 2011. 32. SCHNEIER, Bruce. Segurança.com: segredos e mentiras sobre a proteção na vida digital – Rio de Janeiro: Campus, 2001. 60 33. SÊMOLA, Marcos. Gestão da segurança da informação: visão executiva da segurança da informação; aplicada ao Security Officer /. Rio de Janeiro: Campus, 2003. 154 p. 34. STAIR, Ralph M; REYNOLDS, George W. Princípios de sistemas de informação: uma abordagem gerencial. 4. Ed. Rio de Janeiro: LTC, 2002. 35. TRIPODI, Tony; FELLIN, Phillip; MEYER, Henry. Análise de pesquisa social. 2.ed: Rio de janeiro: Francisco Alves, 1981. 36. TURBAN, Efraim; WETHERBE James; MCLEAN, Ephraim R. Gestão da segurança da informação: visão executiva da segurança da informação ; aplicada ao Security Officer /. 3. ed. Porto Alegre: Bookman, 2004. Tradução de: Information technology for management : transforming business in the digital economy. 37. VERAS, Manuel. Classificação do Outsourcing de TI - I. Disponível em: . Acesso em: 22 maio 2013. 38. Vergara, Sylvia Constant. Métodos de pesquisa em administração. São Paulo: Atlas, 2005. 61 APÊNDICE 1 – Roteiro da entrevista 62 I. Política de Segurança 1. O HUOL possui uma política de segurança estabelecida (Documento contendo normas, procedimentos, instruções e diretrizes)? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 2. Existe algum responsável pela política de segurança (Security Officer)? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ II. Segurança Organizacional 3. O HUOL possui infraestrutura (corpo de gestores) de segurança da informação para gerenciar as ações corporativas? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 4. Existe fórum de segurança formada pelo corpo diretor, a fim de gerir mudanças estratégicas? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 63 5. Há definição clara das atribuições de responsabilidade associadas à segurança da informação? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 6. Há identificação dos riscos no acesso de prestadores de serviço? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 7. Há controle de acesso específico para prestadores de serviço? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 8. Há requisitos de segurança dos contratos de terceirização? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ III. Classificação e controle de ativos de informação 9. Há inventário dos ativos físicos, tecnológicos e humanos? 64 _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 10. Há critérios de classificação da informação? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ IV. Segurança em pessoas 11. Existem critérios de seleção de política de pessoal? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 12. Existe acordo de confidencialidade (documento formalizado), termos e condições de trabalho? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 13. Existe processo de capacitação e treinamento de usuários no que tange a segurança da informação? _________________________________________________________________ _________________________________________________________________ 65 _________________________________________________________________ ________________________________________________________________ 14. Existem estrutura para notificar e responder aos incidentes e falhas de segurança? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ V. Segurança física e de ambiente 15. Existe definição de perímetros e controle de acesso físico aos ambientes? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 16. Existem recursos de segurança e manutenção dos equipamentos (hardwares e instalações físicas)? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 17. Existem estrutura para o fornecimento adequado de energia (sistema de geradores para eventuais urgências)? _________________________________________________________________ _________________________________________________________________ 66 _________________________________________________________________ ________________________________________________________________ 18. Existem segurança do cabeamento? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ VI. Gerenciamento de operações e comunicações 19. Há procedimentos e responsabilidades operacionais (definições claras de atribuições e responsabilidades)? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 20. Há controle de mudanças operacionais? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 21. Há Segregação de funções e ambientes? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 67 22. Existe planejamento para a adoção de sistemas? Ele é bem aceito? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 23. Há Procedimentos para cópias de segurança? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 24. Há Controle e gerenciamento de rede? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 25. Há Mecanismos de segurança e tratamento de mídias? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 26. Há Procedimentos para documentação de sistemas? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 68 27. Há Mecanismos de segurança de correio eletrônico (conscientização)? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ VII. Controle de acesso 28. Existem Requisitos do negócio para controle de acesso (limites de acesso dentro e fora da organização)? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 29. Há gerenciamento de acessos do usuário? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 30. Há controle de acesso à rede? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 31. Há controle de acesso a sistema operacional? _________________________________________________________________ _________________________________________________________________ 69 _________________________________________________________________ ________________________________________________________________ 32. Há Controle de acesso as aplicações? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 33. Existe monitoração do uso e acesso ao sistema? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 34. Existem critérios para computação móvel e trabalho remoto? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ VIII. Desenvolvimento e manutenção de sistemas 35. Existem Requisitos de seguranças de sistemas? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 70 36. Existem controles de criptografia? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 37. Há Mecanismos de segurança nos processos de desenvolvimento e suporte? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ IX. Gestão de continuidade do negócio 38. Há Processo de gestão de continuidade de negócios? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ X. Conformidade 39. Há Gestão de conformidades técnicas e legais? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ________________________________________________________________ 40. Há Recursos e critérios para auditoria dos sistemas? _________________________________________________________________ _________________________________________________________________ 71 _________________________________________________________________ ________________________________________________________________ 72 APÊNDICE 2 – Checklist 73 Controle Sim Parcialmente Não Politica de segurança 1 Security office 0 Infra estrutura de segurança da informação 0 Fórum de segurança formado por diretores 0 Atribuiçãoes de responsabilidades 1 Identifucação dos riscos 2 Controle de acesso especifico 2 Segurança nos contratos de terceirização 1 Inventário dos ativos 2 Critérios de avaliação 2 Critérios de seleção 2 Acordo de confidencialidade 1 Capacitação e treinamento 1 Estrutura de notificação e resposta a falhas 0 Perímetros e controles de acesso 2 Segurança e manutenção dos equipamentos 2 Estrutura para fornecimento de energia 2 Segurança do cabeamento 2 Procedimentos e responsabilidades 1 Controle de mudanças operacionais 2 Segregação de funções e ambientes 1 Planejamento e aceitação de sistemas 2 Procedimentos para cópias de segurança 2 Controles e gerenciamento de rede 2 Mecanismos de segurança e tratamento de midias 2 Documentação de sistemas 2 Segurança do correio eletronico (concientização) 2 Requisitos do negócio para controle de acessos 2 Gerenciamento de acessos do usuário 2 Controle de acesso a rede 2 Controle de acesso ao sistema operacional 2 Controle de acessos às aplicações 2 Uso e acesso ao sistema 2 Critérios de computação móvel e trabalho remoto 0 Requisitos de segurança de sistemas 2 Controle de criptografia 2 Segurança no processo de desenvolvimento e suporte 0 Gestão da continuidade do negócio 1 Conformidades técnicas e legais 2 Auditoria de sistemas 2 TOTAL 60 Pontos 74 APÊNDICE 3 – Resumo da NBR ISO/IEC 17799:2005 75 NBR ISO/IEC17799-27002 Seções Objetivos de Controle Categorias Controles Política de segurança da informação Prover uma orientação e apoio da direção para a segurança da Convém que um documento da informação de acordo com os Documento da política de segurança da requisitos do negócio e com as Política de informação seja aprovado pela leis e regulamentações Segurança da direção, publicado e comunicado relevantes. Informação para todos os funcionários e partes externas relevantes. Política de Convém que a direção Segurança da estabeleça uma política clara, Convém que a política de Informação alinhada com os objetivos do segurança da informação seja negócio e demonstre apoio e Análise crítica da analisada criticamente a comprometimento com a política de intervalos planejados ou quando segurança da informação por Segurança da mudanças significativas meio da publicação e Informação ocorrerem, para assegurar a sua manutenção de uma política de contínua pertinência, adequação segurança da informação para e eficácia. toda a organização. Política de segurança da informação Organizando a segurança da informação Gerenciar a segurança da informação dentro da organização. Convém que a direção apóie ativamente a segurança da Convém que uma estrutura de informação dentro da gerenciamento seja organização, por meio de um estabelecida para iniciar e Comprometimento claro direcionamento, controlar a implementação da da direção com a demonstrando o seu segurança da informação segurança da comprometimento, definindo dentro da organização. Convém informação atribuições de forma explícita e que a direção aprove a política conhecendo as de segurança da informação, responsabilidades pela atribua as funções da segurança da informação. segurança coordenem e analisem criticamente a implementação da segurança da informação por toda a Convém que as atividades de organização. segurança da informação sejam Coordenação da Infraestrutura da coordenadas por representantes segurança da Segurança da de diferentes informação Informação partes da organização, com funções e papéis relevantes. Atribuições de Convém que todas as responsabilidades responsabilidades pela para a segurança da segurança da informação, informação estejam claramente definidas. Processo de Convém que seja definido e autorização para os implementado um processo de recursos de gestão de autorização para processamento da novos recursos de informação processamento da informação. Convém que os requisitos para confidencialidade ou acordos de não divulgação que reflitam as Acordos de necessidades confidencialidade da organização para a proteção da informação sejam identificados e analisados criticamente, de forma regular. 76 Convém que contatos Contato com as apropriados com autoridades autoridades relevantes sejam mantidos. Convém que sejam mantidos contatos apropriados com Contato com grupos grupos de interesses especiais especiais ou outros fóruns especializados de segurança da informação e associações profissionais. Convém que o enfoque da organização para gerenciar a segurança da informação e a sua implementação (por exemplo, controles, objetivo dos controles, políticas, processos e Análise crítica procedimentos para a segurança independente de da informação) seja analisado segurança da criticamente, de forma informação independente, a intervalos planejados, ou quando ocorrerem mudanças significativas relativas à implementação da segurança da informação. Manter a segurança dos Convém que os riscos para os recursos de processamento da recursos de processamento da informação e da informação da informação e da informação da organização, que são Identificação dos organização oriundos de acessados, processados, riscos relacionados processos do negócio que comunicados ou gerenciados com partes externas envolva as partes externas por partes externas. sejam identificados e controles apropriados implementados Convém que a segurança dos antes de se conceder o acesso. recursos de processamento da Convém que todos os requisitos informação e da informação da Identificando a de segurança da informação organização não seja reduzida segurança da identificados sejam considerados pela introdução de produtos ou informação, quando antes de conceder aos clientes o serviços oriundos de partes tratando com os Partes Externas acesso aos ativos ou às externas. clientes informações da organização. Convém que os acordos com Convém que qualquer acesso terceiros envolvendo o acesso, aos recursos de processamento processamento, comunicação ou da informação da organização gerenciamento dos recursos de e ao processamento e Identificando a processamento da informação comunicação da informação por segurança da ou da informação da partes externas seja controlado. informação nos organização, ou o acréscimo de acordos com produtos ou serviços aos terceiros recursos de processamento da informação cubram todos os requisitos de segurança da informação relevantes. Organizando a segurança da informação Gestão de Ativos Alcançar e manter a proteção Convém que todos os ativos adequada dos ativos da sejam claramente identificados e Responsabilidade organização. Inventário dos ativos um inventário de todos os ativos pelos ativos importantes seja estruturado e Convém que todos os ativos mantido. 77 sejam inventariados e tenham Convém que todas as um proprietário responsável. informações e ativos associados com os recursos de Proprietário dos Convém que os proprietários processamento da informação ativos dos ativos sejam identificados e tenham um proprietário a eles seja atribuída a designado por uma parte responsabilidade pela definida da organização. manutenção apropriada dos Convém que sejam identificadas, controles. A implementação de documentadas e implementadas controles específicos pode ser regras para que sejam delegada pelo proprietário, Uso aceitável dos permitidos o uso de informações conforme apropriado, porém o ativos e de ativos associados aos proprietário permanece recursos de processamento da responsável pela proteção informação. adequada dos ativos. Assegurar que a informação receba um nível adequado de proteção.Convém que a Convém que a informação seja informação seja classificada classificada em termos do seu para indicar a necessidade, Recomendações valor, requisitos legais, prioridades e o nível esperado para classificação sensibilidade e criticidade para a de proteção quando do organização. tratamento da informação.A informação possui vários níveis Classificação da de sensibilidade e criticidade. informação Alguns itens podem necessitar um nível adicional de proteção Convém que um conjunto ou tratamento especial. apropriado de procedimentos Convém que um sistema de para rotulação e tratamento da classificação da informação Rótulos e tratamento informação seja definido e seja usado para definir um da informação implementado de acordo com o conjunto apropriado de níveis esquema de classificação de proteção e determinar a adotado pela organização. necessidade de medidas especiais de tratamento. Gestão de Ativos Segurança em recursos humanos Assegurar que os funcionários, fornecedores e terceiros Convém que papéis e entendam suas responsabilidades pela responsabilidades e estejam segurança da informação de de acordo com os seus papéis, Papéis e funcionários, fornecedores e e reduzir o risco de roubo, responsabilidades terceiros sejam definidos e fraude ou mau uso de recursos. documentados de acordo com a Convém que as política de segurança da responsabilidades pela informação da organização. Antes da segurança da informação sejam Contratação atribuídas antes da Convém que verificações de contratação, de forma controle de todos os candidatos adequada, nas descrições de a emprego, fornecedores e cargos e nos termos e terceiros sejam realizadas de condições de contratação. acordo com as leis relevantes, Seleção Convém que todos os regulamentações e éticas, e candidatos ao emprego, proporcional aos requisitos do fornecedores e terceiros sejam negócio, à classificação das adequadamente analisados, informações a serem acessadas e aos riscos percebidos. 78 especialmente em cargos com Como parte das suas obrigações acesso a informações contratuais, convém que os sensíveis. funcionários, fornecedores e Convém que todos os terceiros concordem e assinem funcionários, fornecedores e Termos e Condições os termos e condições de sua terceiros, usuários dos recursos de contratação contratação para o trabalho, os de processamento da quais devem declarar as suas informação, assinem acordos responsabilidades e a da sobre seus papéis e organização para a segurança responsabilidades pela da informação. segurança da informação. Assegurar que os funcionários, Convém que a direção solicite fornecedores e terceiros estão aos funcionários, fornecedores e conscientes das ameaças e terceiros que pratiquem a preocupações relativas à Responsabilidades segurança da informação de segurança da informação, suas da direção acordo com o estabelecido nas responsabilidades e políticas e procedimentos da obrigações, e estão preparados organização. para apoiar a política de segurança da informação da Convém que todos os organização durante os seus funcionários da organização e, trabalhos normais, e para Conscientização, onde pertinente, fornecedores e Durante a reduzir o risco de erro humano. educação e terceiros recebam treinamento Contratação treinamento em apropriados em conscientização, Convém que as segurança da e atualizações regulares nas responsabilidades pela direção informação políticas e procedimentos sejam definidas para garantir organizacionais, relevantes para que a segurança da informação as suas funções. é aplicada em todo trabalho Convém que exista um processo individual dentro da disciplinar formal para os organização. Processo disciplinar funcionários que tenham cometido uma violação da segurança da informação. Assegurar que funcionários, Convém que responsabilidades fornecedores e terceiros para realizar o encerramento ou deixem a organização ou Encerramento de a mudança de um trabalho mudem de trabalho de forma atividades sejam claramente definidas e ordenada. atribuídas. Convém que responsabilidades Convém que todos os sejam definidas para assegurar funcionários, fornecedores e que a saída de funcionários, terceiros devolvam todos os fornecedores e terceiros da ativos da organização que organização seja feita de modo Devolução de ativos estejam em sua posse, após o controlado e que a devolução Encerramento ou encerramento de suas de todos os equipamentos e a mudança da atividades, do contrato ou retirada de todos os direitos de contratação acordo. acesso estão concluídas. Convém que os direitos de Convém que as mudanças de acesso de todos os funcionários, responsabilidades e de fornecedores e terceiros às trabalhos dentro de uma informações e aos recursos de organização sejam gerenciadas Retirada de Direitos processamento da informação quando do encerramento da de acesso sejam retirados após o respectiva responsabilidade ou encerramento de suas trabalho de acordo com esta atividades, contratos seção, e quaisquer novos ou acordos, ou ajustado após a trabalhos sejam gerenciados mudança destas atividades. conforme descrito em 8.1. Segurança em recursos humanos Segurança Física e do Ambiente 79 Prevenir o acesso físico não Convém que sejam utilizados autorizado, danos e perímetros de segurança interferências com as (barreiras tais como paredes, instalações e informações da portões de entrada controlados organização. Perímetro de por cartão ou balcões de segurança física recepção com recepcionistas) Convém que as instalações de para proteger as áreas que processamento da informação contenham informações e críticas ou sensíveis sejam instalações de processamento mantidas em áreas seguras, da informação. protegidas por perímetros de Convém que as áreas seguras segurança definidos, com sejam protegidas por controles Controles de entrada barreiras de segurança e apropriados de entrada para física controles de acesso assegurar que somente pessoas apropriados. Convém que autorizadas tenham acesso. sejam fisicamente protegidas Segurança em Convém que seja projetada e contra o acesso não autorizado, escritórios, salas e aplicada segurança física para danos e interferências. instalações escritórios, salas e instalações. Convém que a proteção Convém que sejam projetadas e oferecida seja compatível com aplicadas proteção física contra Áreas seguras os riscos identificados. incêndios, enchentes, Proteção contra terremotos, explosões, ameaça externa e do perturbações da ordem pública e meio ambiente outras formas de desastres naturais ou causados pelo homem. Convém que seja projetada e Trabalhando em aplicada proteção física, bem áreas seguras como diretrizes para o trabalho em áreas seguras. Convém que os pontos de acesso, tais como áreas de entrega e de carregamento e outros pontos em que pessoas Acesso do público, não autorizadas possam entrar áreas de entrega e nas instalações, sejam de carregamento controlados e, se possível, isolados das instalações de processamento da informação, para evitar o acesso não autorizado. Impedir perdas, danos, furto ou Convém que os equipamentos comprometimento de ativos e sejam colocados no local ou interrupção das atividades da Instalações e protegidos para reduzir os riscos organização. proteção do de ameaças e perigos do meio equipamento ambiente, bem como as Convém que os equipamentos oportunidades de acesso não sejam protegidos contra autorizado. ameaças físicas e do meio Convém que os equipamentos ambiente. A proteção dos sejam protegidos contra falta de equipamentos (incluindo Utilidades energia elétrica e outras aqueles utilizados fora do local, interrupções causadas por falhas Seguranças de e a retirada de ativos) é das utilidades. equipamentos necessária para reduzir o risco de acesso não autorizado às Convém que o cabeamento de informações e para proteger energia e de telecomunicações contra perdas ou danos. Segurança do que transporta dados ou dá cabeamento suporte aos serviços de Convém que também seja informações seja protegido levado em consideração a contra interceptação ou danos. introdução de equipamentos no Convém que os equipamentos local, bem como sua remoção. tenham uma manutenção correta Manutenção dos Podem ser necessários para assegurar sua equipamentos controles especiais para a disponibilidade e integridade permanentes. 80 proteção contra ameaças Convém que sejam tomadas físicas e para a proteção de medidas de segurança para Reutilização de instalações de suporte, como a equipamentos que operem fora equipamentos fora infraestrutura de suprimento de do local, levando em conta os das dependências da energia e de cabeamento. diferentes riscos decorrentes do organização fato de se trabalhar fora das dependências da organização. Convém que todos os equipamentos que contenham mídias de armazenamento de Reutilização e dados sejam examinados antes alienação segura de do descarte, para assegurar que equipamentos todos os dados sensíveis e software licenciados tenham sido removidos ou sobregravados com segurança. Convém que equipamentos, Remoção de informações ou software não propriedade sejam retirados do local sem autorização prévia. Segurança Física e do Ambiente Gerenciamento de operações e comunicações Garantir a operação segura e Convém que os procedimentos correta dos recursos de de operação sejam Documentação dos processamento da informação. documentados, mantidos procedimentos de atualizados e disponíveis a todos operação Convém que os procedimentos os usuários que deles e responsabilidades pela necessitem. gestão e operação de todos os Convém que modificações nos recursos de processamento das recursos de processamento da Gestão de mudanças informações sejam definidos. informação e sistemas sejam Isto abrange o desenvolvimento controladas. Procedimento e de procedimentos operacionais Convém que funções e áreas de responsabilidades apropriados. responsabilidade sejam operacionais segregadas para reduzir as Convém que seja utilizada a Segregação de oportunidades de modificação ou segregação de funções quando função uso indevido não autorizado ou apropriado, para reduzir o risco não intencional dos ativos da de mau uso ou uso doloso dos organização. sistemas. Convém que recursos de Separação dos desenvolvimento, teste e recursos de produção sejam separados para desenvolvimento, reduzir o risco de acessos ou teste e de produção modificações não autorizadas aos sistemas operacionais. Implementar e manter o nível Convém que seja garantido que apropriado de segurança da os controles de segurança, as informação e de entrega de definições de serviço e os níveis serviços em consonância com de entrega incluídos no acordo Entrega de serviços acordos de entrega de serviços de entrega de serviços terceirizados. terceirizados sejam Gerenciamento de implementados, executados e serviços Convém que a organização mantidos pelo terceiro. terceirizados verifique a implementação dos Convém que os serviços, acordos, monitore a Monitoramento e relatórios e registros fornecidos conformidade com tais acordos análise crítica de por terceiro sejam regularmente e gerencie as mudanças para serviços monitorados e analisados garantir que os serviços terceirizados criticamente, e que auditorias entregues atendem a todos os sejam executadas regularmente. 81 requisitos acordados com os Convém que mudanças no terceiros. provisionamento dos serviços, incluindo manutenção e melhoria da política de segurança da Gerenciamento de informação, procedimentos e mudanças para controles existentes, sejam serviços gerenciadas levando-se em terceirizados conta a criticidade dos sistemas e processos de negócio envolvidos e a reanálise/reavaliação de riscos. Minimizar o risco de falhas nos sistemas. O planejamento e a Convém que utilização dos preparação prévios são recursos seja monitorada e requeridos para garantir a sincronizada e as projeções disponibilidade adequada de Gestão de feitas para necessidades de capacidade e recursos para capacidade capacidade futura, para garantir entrega do desempenho o desempenho requerido do desejado ao sistema. sistema. Planejamento e aceitação dos Convém que projeções de sistemas requisitos de capacidade futura Convém que sejam sejam feitas para reduzir o risco estabelecidos critérios de de sobrecarga dos sistemas. aceitação para novos sistemas, Aceitação de atualizações e novas versões, e Convém que os requisitos sistemas que sejam efetuados testes operacionais dos novos apropriados do(s) sistema(s) sistemas sejam estabelecidos, durante seu desenvolvimento e documentados e testados antes antes da sua aceitação. da sua aceitação e uso. Proteger a integridade do software e da informação. Precauções são requeridas Convém que sejam implantados para prevenir e detectar a controles de detecção, introdução de códigos prevenção e recuperação para maliciosos e códigos móveis Controles contra proteger contra códigos não códigos maliciosos maliciosos, assim como autorizados. Os recursos de procedimentos para a devida processamento da informação conscientização dos usuários. e os software são vulneráveis à introdução de código malicioso, Proteção contra tais como vírus de computador, códigos maliciosos e worms de rede, cavalos de códigos móveis Tróia e bombas lógicas. Onde o uso de códigos móveis é Convém que os usuários autorizado, convém que a estejam conscientes dos configuração garanta que o perigos do código malicioso. código móvel autorizado opere Controles contra de acordo com uma política de códigos móveis Convém que os gestores, onde segurança da informação apropriado, implantem claramente definida e códigos controles para prevenir, móveis não autorizados tenham detectar e remover código sua execução impedida. malicioso e controlar códigos móveis. 82 Manter a integridade e disponibilidade da informação e dos recursos de processamento de informação. Convém que as cópias de Convém que procedimentos de segurança das informações e rotina sejam estabelecidos para Cópias de segurança dos software sejam efetuadas e Cópias de segurança implementar as políticas de das informações testadas regularmente conforme estratégias para a geração de a política de geração de cópias cópias de segurança (ver 14.1) de segurança definida. e possibilitar a geração das cópias de segurança dos dados e sua recuperação em um tempo aceitável. Garantir a proteção das Convém que as redes sejam informações em redes e a adequadamente gerenciadas e proteção da infraestrutura de controladas, de forma a protegê- suporte. O gerenciamento las contra ameaças e manter a Controles de redes seguro de redes, que pode ir segurança de sistemas e além dos limites da aplicações que utilizam estas organização, requer cuidadosas redes, incluindo a informação em considerações relacionadas ao trânsito. Gerenciamento de fluxo de dados, implicações Convém que as características segurança em redes legais, monitoramento e de segurança, níveis de serviço proteção. Controles adicionais e requisitos de gerenciamento podem ser necessários para dos serviços de rede sejam Segurança dos proteger informações sensíveis identificados e incluídos em serviços de rede trafegando sobre redes qualquer acordo de serviços de públicas. rede, tanto para serviços de rede providos internamente ou terceirizados. Prevenir contra divulgação não Convém que existam autorizada, modificação, Gerenciamento de procedimentos implementados remoção ou destruição aos mídias removíveis para o gerenciamento de mídias ativos, e interrupções das removíveis. atividades do negócio. Convém que as mídias sejam Convém que as mídias sejam descartadas de forma segura e controladas e fisicamente Descarte de mídias protegida quando não forem protegidas. mais necessárias, por meio de procedimentos formais. Manuseios de mídias Convém que procedimentos Convém que sejam operacionais apropriados sejam estabelecidos procedimentos estabelecidos para proteger Procedimento para para o tratamento e o documentos, mídias tratamento de armazenamento de informações, magnéticas de computadores informação para proteger tais informações (fitas, discos), dados de entrada contra a divulgação não e saída e documentação dos autorizada ou uso indevido. sistemas contra divulgação não Segurança da Convém que a documentação autorizada, modificação, documentação dos dos sistemas seja protegida remoção e destruição. sistemas contra acessos não autorizados. Manter a segurança na troca de Convém que políticas, informações e software procedimentos e controles sejam internamente à organização e Políticas e estabelecidos e formalizados com quaisquer entidades procedimentos para para proteger a troca de externas. troca de informações informações em todos os tipos Troca de de recursos de comunicação. informações Convém que as trocas de informações e software entre Convém que sejam organizações estejam estabelecidos acordos para a Acordos para troca baseadas numa política troca de informações e software de informações formalespecífica, sejam entre a organização e entidades externas. 83 efetuadas a partir de acordos Convém que mídias contendo entre as partes e estejam em informações sejam protegidas conformidade com toda a contra acesso não autorizado, legislação pertinente (ver seção Mídias em trânsito uso impróprio ou alteração 15). indevida durante o transporte externo aos limites físicos da Convém que sejam organização. estabelecidos procedimentos e Convém que as informações que normas para proteger a Mensagens trafegam em mensagens informação e a mídia física que eletrônicas eletrônicas sejam contém informação em trânsito. adequadamente protegidas. Convém que políticas e procedimentos sejam Sistemas de desenvolvidos e implementados informações do para proteger as informações negócio associadas com a interconexão de sistemas de informações do negócio. Garantir a segurança de Convém que as informações serviços de comércio eletrônico envolvidas em comércio e sua utilização segura. eletrônico transitando sobre redes públicas sejam protegidas Comércio eletrônico Convém que as implicações de de atividades fraudulentas, segurança da informação disputas contratuais e associadas com o uso de divulgação e modificações não serviços de comércio autorizadas. eletrônico, incluindo transações Convém que informações on-line e os requisitos de envolvidas em transações on- controle, sejam consideradas. line sejam protegidas para Serviços de prevenir transmissões comércio eletrônico Convém que a integridade e a incompletas, erros de Transações on-line disponibilidade da informação roteamento, alterações não publicada eletronicamente por autorizadas de mensagens, sistemas publicamente divulgação não autorizada, disponíveis sejam também duplicação ou reapresentação consideradas. de mensagem não autorizada. Convém que a integridade das informações disponibilizadas em Informações sistemas publicamente publicamente acessíveis seja protegida para disponíveis prevenir modificações não autorizadas. Detectar atividades não Convém que registros (log) de autorizadas de processamento auditoria contendo atividades da informação. dos usuários, exceções e outros eventos de segurança da Convém que os sistemas sejam Registros de informação sejam produzidos e monitorados e eventos de auditoria mantidos por um período de segurança da informação sejam tempo acordado para auxiliar em registrados. futuras investigações e monitoramento de controle de Convém que registros (log) de acesso. operador e registros (log) de Convém que sejam Monitoramento falhas sejam utilizados para estabelecidos procedimentos assegurar que os problemas de para o monitoramento do uso sistemas de informação são Monitoramento do dos recursos de processamento identificados. uso do sistema da informação e os resultados das atividades de monitoramento Convém que as organizações sejam analisados criticamente, estejam de acordo com todos de forma regular. os requisitos legais relevantes Convém que os recursos e aplicáveis para suas atividades Proteção das informações de registros (log) de registro e monitoramento. informações dos sejam protegidos contra registros (log) falsificação e acesso não Convém que o monitoramento autorizado. 84 do sistema seja utilizado para Registros (log) de Convém que as atividades dos checar a eficácia dos controles administrador e administradores e operadores do adotados e para verificar a operador sistema sejam registradas. conformidade com o modelo de política de acesso. Convém que as falhas ocorridas Registro (log) de sejam registradas e analisadas, falhas e que sejam adotadas ações apropriadas. Convém que os relógios de todos os sistemas de processamento da informação Sincronização dos relevantes, dentro da relógios organização ou do domínio de segurança, sejam sincronizados de acordo com uma hora oficial. Gerenciamento de operações e comunicações Controle de Acesso Controlar acesso à informação. Convém que o acesso à informação, recursos de processamento das Convém que a política de informações e processos de controle de acesso seja negócios sejam controlados Requisitos de estabelecida documentada e com base nos requisitos de Política de controle negócio para analisada criticamente, tomando- negócio e segurança da de acesso controle de acesso se como base os requisitos de informação. acesso dos negócios e segurança da informação. Convém que as regras de controle de acesso levem em consideração as políticas para autorização e disseminação da informação. Assegurar acesso de usuário autorizado e prevenir acesso Convém que exista um não autorizado a sistemas de procedimento formal de registro informação. e cancelamento de usuário para Registro de usuário garantir e revogar acessos em Convém que procedimentos todos os sistemas de informação formais sejam implementados e serviços. para controlar a distribuição de direitos de acesso asistemas de informação e serviços. Convém que a concessão e o Gerenciamento de uso de privilégios sejam restritos privilégios Convém que os procedimentos e controlados. Gerenciamento de cubram todas as fases do ciclo acesso do usuário de vida de acesso do usuário, da inscrição inicial como novos Convém que a concessão de usuários até o cancelamento Gerenciamento de senhas seja controlada através final do registro de usuários que senha do usuário de um processo de já não requerem acesso a gerenciamento formal. sistemas de informação e serviços. Convém que atenção especial seja dada, onde Convém que o gestor conduza a apropriado, para anecessidade Análise crítica dos intervalos regulares a análise de controlar a distribuição de direitos de acesso de crítica dos direitos de acesso direitos de acesso privilegiado usuário dos usuários, por meio de um que permitem os usuários processo formal. mudarcontroles de sistemas. 85 Prevenir o acesso não autorizado dos usuários e evitar Convém que os usuários sejam o comprometimento ou roubo solicitados a seguir as boas da informação e dos recursos Uso de senhas práticas de segurança da de processamento da informação na seleção e uso de informação. A cooperação de senhas. usuários autorizados é essencial para uma efetiva segurança. Convém que os usuários Convém que os usuários Equipamentos de estejam conscientes de suas assegurem que os usuário sem Responsabilidades responsabilidades para manter equipamentos não monitorados monitoração dos usuários efetivo controle de acesso, tenham proteção adequada. particularmente em relação ao uso de senhas e de segurança dos equipamentos de usuários. Convém que uma política de Convém que seja adotada uma mesa e tela limpa seja política de mesa limpa de papéis implementada para reduzir o Política de mesa e mídias de armazenamento risco de acessos não limpa e tela limpa removível e política de tela limpa autorizados ou danos a para os recursos de documentos/papéis, mídias e processamento da informação. recursos de processamento da informação. Prevenir acesso não autorizado Convém que usuários somente aos serviços de rede. recebam acesso para os Política de uso dos serviços que tenham sido serviços de rede Convém que o acesso aos especificamente autorizados a serviços de rede internos e usar. externos seja controlado. Convém que métodos Autenticação para apropriados de autenticações Convém que os usuários com conexão do usuário sejam usados para controlar acesso às redes e aos serviços acesso de usuários remotos. de rede não comprometam a Convém que sejam segurança desses serviços, consideradas as identificações assegurando: Identificação de automáticas de equipamentos a) uso de interfaces equipamentos em como um meio de autenticar apropriadas entre a rede da redes conexões vindas de localizações organização e as redes de e equipamentos específicos. outras organizações e redes Proteção e públicas; Convém que seja controlado o configuração de b) uso de mecanismos de acesso físico e lógico das portas portas de autenticação apropriados para de diagnóstico e configuração. diagnósticos remotas Controle de acesso à os usuários e equipamentos; Convém que grupos de serviços rede c) reforço do controle de de informação, usuários e acesso de usuários aos Segregação de redes sistemas de informação sejam serviços de informação. segredados em redes. Para redes compartilhadas, especialmente essas que se estendem pelos limites da organização, convém que a Controle de capacidade dos usuários para conexões de rede conectar-se à rede seja restrita, alinhada com a política de controle de acesso e os requisitos das aplicações do negócio (ver 11.1). Convém que seja implementado controle de roteamento na rede, para assegurar que as conexões Controle de de computador e fluxos de roteamento de redes informação não violem a política de controle de acesso das aplicações do negócio. 86 Prevenir acesso não autorizado Convém que o acesso aos aos sistemas operacionais. Procedimento sistemas operacionais seja seguros de entrada controlado por um procedimento Convém que recursos de no sistema (log-on) seguro de entrada no sistema segurança da informação sejam (log-on). usados para restringir o acesso aos sistemas operacionais para Convém que todos os usuários usuários autorizados. Convém tenham um identificador único que estes recursos permitam: (ID de usuário) para uso pessoal Identificação e a) autenticação de usuários e exclusivo, e convém que uma autenticação de autorizados, conforme a política técnica adequada de usuário de controle de acesso definida; autenticação seja escolhida para b) registro das tentativas de validar a identidade alegada por autenticação no sistema com um usuário. sucesso ou falha; Convém que sistemas para Sistema de c) registro do uso de privilégios gerenciamento de senhas sejam Controle de acesso gerenciamento de especiais do sistema; interativos e assegurem senhas ao sistema senha d) disparo de alarmes quando de qualidade. operacional as políticas de segurança do Convém que o uso de sistema são violadas; programas utilitários que podem e) fornecer meios apropriados Uso de utilitários de ser capazes de sobrepor os de autenticação; sistema controles dos sistemas e f) restrição do tempo de aplicações seja restrito e conexão dos usuários, quando estritamente controlado. apropriado. Desconexão de Convém que terminais inativos terminal por sejam desconectados após um inatividade período definido de inatividade. Convém que restrições nos horários de conexão sejam Limitação de horário utilizadas para proporcionar para conexão segurança adicional para aplicações de alto risco. Prevenir acesso não autorizado à informação contida nos sistemas de aplicação. Convém que os recursos de Convém que o acesso à segurança da informação sejam informação e às funções dos utilizados para restringir o sistemas de aplicações por Restrição de acesso acesso aos sistemas de usuários e pessoal de suporte à informação aplicação. seja restrito de acordo com o definido na política de controle Convém que o acesso lógico à de acesso. aplicação e informação seja restrito a usuários autorizados. Convém que os sistemas de aplicação: Controle de acesso à a) controlem o acesso dos aplicações e a usuários à informação e às informação funções dos sistemas de aplicação, de acordo com uma política de controle de acesso definida; b) proporcionem proteção contra acesso não autorizado Convém que sistemas sensíveis para qualquer software utilitário, Isolamento de tenham um ambiente sistema operacional e software sistemas sensíveis computacional dedicado malicioso que seja capaz de (isolado). sobrepor ou contornar os controles da aplicação ou do sistema; c) não comprometam outros sistemas com os quais os recursos de informação são compartilhados. 87 Garantir a segurança da informação quando se utilizam a computação móvel e recursos Convém que uma política formal de trabalho remoto. seja estabelecida e que medidas de segurança apropriadas sejam Computação e Convém que a proteção adotadas para a proteção contra comunicação móvel requerida seja proporcional os riscos do uso de recursos de com o risco desta forma computação e comunicação específica de trabalho. Quando móveis. se utiliza a computação móvel, Computação móvel e convém que os riscos de trabalho remoto trabalhar em um ambiente desprotegido sejam considerados e a proteção Convém que uma política, adequada seja aplicada. No planos operacionais e caso de trabalho remoto, procedimentos sejam convém que a organização Trabalho remoto desenvolvidos e implementados aplique proteção ao local do para atividades de trabalho trabalho remoto e assegure que remoto. as providências adequadas estão implementadas para este tipo de trabalho. Controle de Acesso Aquisição, desenvolvimento e manutenção de sistemas da informação Garantir que segurança é parte integrante de sistemas de informação. Sistemas de informação incluem sistemas operacionais, infraestrutura, aplicações de negócios, produtos de prateleira, serviços e aplicações desenvolvidas pelo usuário. O projeto e a implementação de sistemas de informação destinados a apoiar o processo de negócios podem Convém que sejam ser cruciais para a segurança. especificados os requisitos para Requisição de Análise e controles de segurança nas segurança de Convém que os requisitos de especificação dos especificações de requisitos de sistemas de segurança sejam identificados requisitos de negócios, para novos sistemas informação e acordados antes do segurança de informação ou melhorias em desenvolvimento e/ou sistemas existentes. implementação de sistemas de informação. Convém que todos os requisitos de segurança sejam identificados na fase de definição de requisitos de um projeto e justificados, acordados e documentados como parte do caso geral de negócios para um sistema de informações. Prevenir a ocorrência de erros, Convém que os dados de Processamento perdas, modificação não correto nas autorizada ou mau uso de Validação dos dados entrada de aplicações sejam de entrada validados para garantir que são aplicações informações em aplicações. corretos e apropriados. 88 Convém que controles Convém que sejam apropriados sejam incorporadas, nas aplicações, incorporados no projeto das Controle do checagens de validação com o aplicações, inclusive aquelas processamento objetivo de detectar qualquer desenvolvidas pelos usuários, interno corrupção de informações, por para assegurar o erros ou por ações deliberadas. processamento correto. Convém que requisitos para Convém que esses controles garantir a autenticidade e incluam a validação dos dados proteger a integridade das Integridade de de entrada, do processamento mensagens em aplicações mensagens interno e dos dados de saída. sejam identificados e os Controles adicionais podem ser controles apropriados sejam necessários para sistemas que identificados e implementados. processem informações sensíveis, valiosas ou críticas, Convém que os dados de saída ou que nestas exerçam algum das aplicações sejam validados impacto. Validação de dados para assegurar que o de saída processamento das informações Convém que tais controles armazenadas está correto e é sejam determinados com base apropriado às circunstâncias. em requisitos de segurança e a análise/avaliação de riscos. Proteger a confidencialidade, a autenticidade ou a integridade Convém que seja desenvolvida e das informações por meios Política para uso de implementada uma política para criptográficos. controles o uso de controles criptográficos criptográficos para a proteção da informação. Convém que uma política seja Controles desenvolvida para o uso de criptográficos controles criptográficos. Convém que um processo de gerenciamento de chaves seja Convém que o gerenciamento Gerenciamento de implantado para apoiar o uso de de chaves seja implementado chaves técnicas criptográficas pela para apoiar o uso de técnicas organização. criptográficas. Garantir a segurança de Convém que procedimentos arquivos de sistema. para controlar a instalação de Controle de software software em sistemas operacional Convém que o acesso aos operacionais sejam arquivos de sistema e aos implementados. programas de código fonte seja controlado e que atividades de Convém que os dados de teste Segurança dos projeto de tecnologia da Proteção dos dados sejam selecionados com arquivos do sistema informação e de suporte sejam para teste de sistema cuidado, protegidos e conduzidas de forma segura. controlados. Convém que cuidados sejam Controle de acesso Convém que o acesso ao tomados para evitar a ao código-fonte de código-fonte de programa seja exposição de dados sensíveis programa restrito. em ambientes de teste. Manter a segurança de Convém que a implementação sistemas aplicativos e da Procedimentos para de mudanças seja controlada informação. controle de utilizando procedimentos formais mudanças de controle de mudanças. Convém que os ambientes de Segurança em projeto e de suporte sejam Convém que aplicações críticas processos de estritamente controlados. de negócios sejam analisadas desenvolvimento e Análise crítica criticamente e testadas quando de suporte técnica das Convém que os gerentes sistemas operacionais são aplicações após responsáveis pelos sistemas mudados, para garantir que não mudanças no aplicativos sejam também haverá nenhum impacto adverso sistema operacional responsáveis pela segurança na operação da organização ou na segurança. 89 dos ambientes de projeto ou de Convém que modificações em suporte. Convém que eles pacotes de software não sejam Restrições sobre assegurem que mudanças incentivadas e limitadas às mudanças em propostas sejam analisadas mudanças necessárias e que pacotes de software criticamente para verificar que todas as mudanças sejam não comprometam a segurança estritamente controladas. do sistema ou do ambiente Convém que oportunidades para Vazamento de operacional. vazamento de informações informações sejam prevenidas. Convém que a organização Desenvolvimento supervisione e monitore o terceirizado de desenvolvimento terceirizado de software software. Reduzir riscos resultantes da exploração de vulnerabilidades técnicas conhecidas. Convém que seja obtida Convém que a implementação informação em tempo hábil da gestão de vulnerabilidades sobre vulnerabilidades técnicas técnicas seja implementada de Gestão de Controle de dos sistemas de informação em forma efetiva, sistemática e de vulnerabilidade vulnerabilidade uso, avaliada a exposição da forma repetível com medições técnicas técnicas organização a estas de confirmação da efetividade. vulnerabilidades e tomadas as medidas apropriadas para lidar Convém que estas com os riscos associados. considerações incluam sistemas operacionais e quaisquer outras aplicações em uso. Aquisição, desenvolvimento e manutenção de sistemas da informação Gestão de Incidentes de Segurança da informação Assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados, permitindo a Convém que os eventos de Notificação de tomada de ação corretiva em segurança da informação sejam eventos de tempo hábil. relatados através dos canais segurança da apropriados da direção, o mais informação Convém que sejam rapidamente possível. estabelecidos procedimentos formais de registro e escalonamento. Notificação de fragilidades e Convém que todos os eventos de funcionários, fornecedores e segurança da terceiros estejam conscientes informação sobre os procedimentos para notificação dos diferentes tipos Convém que os funcionários, de eventos e fragilidades que fornecedores e terceiros de possam ter impactos na Notificação sistemas e serviços de segurança dos ativos da fragilidades de informação sejam instruídos a organização. segurança da registrar e notificar qualquer informação observação ou suspeita de Convém que seja requerido que fragilidade em sistemas ou os eventos de segurança da serviços. informação e fragilidades sejam notificados, tão logo quanto possível, ao ponto de contato designado. 90 Assegurar que um enfoque Convém que responsabilidades consistente e efetivo seja e procedimentos de gestão aplicado à gestão de incidentes sejam estabelecidos para Responsabilidades e de segurança da informação. assegurar respostas rápidas, procedimentos efetivas e ordenadas a Convém que responsabilidades incidentes de segurança da e procedimentos estejam informação. definidos para o manuseio efetivo de eventos de Convém que sejam segurança da informação e Aprendendo com os estabelecidos mecanismos para fragilidades, uma vez que estes incidentes de permitir que tipos, quantidades e Gestão de incidentes tenham sido notificados. segurança da custos dos incidentes de informação segurança da informação sejam de segurança da Convém que um processo de quantificados e monitorados. informação e melhorias melhoria contínua seja aplicado Nos casos em que uma ação de às respostas, monitoramento, acompanhamento contra uma avaliação e gestão total de pessoa ou organização, após um incidentes de segurança da incidente de segurança da informação. informação, envolver uma ação legal (civil ou criminal), convém Convém que onde evidências Coleta de evidências que evidências sejam coletadas, sejam exigidas, estas sejam armazenadas e apresentadas coletadas para assegurar a em conformidade com as conformidade com as normas de armazenamento de exigências legais. evidências da jurisdição(ões) pertinente(s). Gestão de Incidentes de Segurança da informação Gestão de Continuidade dos Negócios Não permitir a interrupção das Convém que um processo de atividades do negócio e gestão seja desenvolvido e proteger os processos críticos mantido para assegurar a Incluindo segurança contra efeitos de falhas ou continuidade do negócio por da informação no desastres significativos, e toda a organização e que processo de gestão assegurar a sua retomada em contemple os requisitos de da continuidade de tempo hábil, se for o caso. segurança da informação negócio necessários para a Convém que o processo de continuidade do negócio da gestão da continuidade do organização. negócio seja implementado para minimizar um impacto Convém identificar os eventos sobre a organização e Continuidade de que podem causar interrupções recuperar perdas de ativos da negócios e aos processos de negócio, junto informação (que pode ser análise/validação dos a probabilidade e impacto de tais resultante de, por exemplo, riscos interrupções e as conseqüências Aspectos da gestão desastres naturais, acidentes, para a segurança de informação. da continuidade do falhas de equipamentos e negócio, relativos à Convém que os planos sejam ações intencionais) a um nível segurança da desenvolvidos e implementados aceitável através da informação Desenvolvimento e para a manutenção ou combinação de ações de implementação de recuperação das operações e prevenção e recuperação. planos de para assegurar a disponibilidade Convém que este processo continuidade da informação no nível requerido identifique os processos críticos relativos à segurança e na escala de tempo requerida, e integre a gestão da da informação após a ocorrência de segurança da informação com interrupções ou falhas dos as exigências da gestão da processos críticos do negócio. continuidade do Convém que uma estrutura negócio com outros requisitos básica dos planos de de continuidade relativo a tais continuidade do negócio seja aspectos como operações, Estrutura do plano de mantida para assegurar que funcionários, materiais, continuidade do todos os planos são transporte e instalações. negócio consistentes, para contemplar os Convém que as conseqüências requisitos de segurança da de desastres, falhas de informação e para identificar segurança, perda de serviços e prioridades para testes e 91 disponibilidade de serviços manutenção. estejam sujeitas a uma análise de impacto nos negócios. Convém que os planos de continuidade do negócio sejam desenvolvidos e implementados para assegurar que as operações essenciais sejam recuperadas dentro da requerida escala de tempo. Convém que a segurança da informação seja uma parte integrante do processo global de continuidade de negócios e a gestão de outros processos dentro da organização. Convém que os planos de Teste, manutenção e Convém que a gestão da continuidade do negócio sejam reavaliação dos continuidade do negócio inclua testados e atualizados planos de controles para identificar e regularmente, de forma a continuidade dos reduzir riscos, em assegurar sua permanente negocios complementação ao processo atualização e efetividade. de análise/avaliação de riscos global, limite as conseqüências aos danos do incidente e garanta que as informações requeridas para os processos do negócio estejam prontamente disponíveis. Gestão de Continuidade dos Negócios Conformidade Evitar violação de qualquer lei Convém que todos os requisitos criminal ou civil, estatutos, estatutários, regulamentares e regulamentações ou obrigações contratuais relevantes, e o contratuais e de quaisquer enfoque da organização para Identificação da requisitos de segurança da atender a esses requisitos, legislação vigente informação. O projeto, a sejam explicitamente definidos, operação, o uso e a gestão de documentados e mantidos sistemas de informação podem atualizados para cada sistema estar sujeitos a requisitos de de informação da organização segurança contratuais, Convém que procedimentos regulamentares ou estatutários. apropriados sejam implementados para garantir a Convém que consultoria em conformidade com os requisitos requisitos legais específicos Direito de legislativos, regulamentares e seja procurada em propriedade contratuais no uso de material, organizações de consultoria intelectual em relação aos quais pode Conformidade com jurídica ou em profissionais haver direitos de propriedade requisitos legais liberais, adequadamente intelectual e sobre o uso de qualificados nos aspectos produtos de software legais. Os requisitos legislativos proprietários. variam de país para país e Convém que registros também para a informação importantes sejam protegidos criada em um país e transmitida contra perda, destruição e para outro (isto é, fluxo de Proteção de registros falsificação, de acordo com os dados transfronteira). organizacionais requisitos regulamentares, estatutários, contratuais e do negócio. Convém que a privacidade e Proteção de dados e proteção de dados sejam privacidade de asseguradas conforme exigido informações nas legislações relevantes, pessoais regulamentações e, se aplicável, nas cláusulas contratuais. 92 Convém que os usuários sejam Prevenção de mau dissuadidos de usar os recursos uso de recursos de de processamento da processamento da informação para propósitos não informação autorizados. Convém que controles de Regulamentação de criptografia sejam usados em controles de conformidade com todas as leis, criptografia acordos e regulamentações relevantes. Garantir conformidade dos sistemas com as políticas e Convém que gestores garantam normas organizacionais de que todos os procedimentos de segurança da informação. segurança da informação dentro Conformidade com da sua área de responsabilidade políticas e normas de Convém que a segurança dos estão sendo executados segurança da sistemas de informação seja corretamente para atender à informação analisada criticamente a conformidade com as normas e Conformidade com intervalos regulares. políticas de segurança da normas e políticas informação. de segurança da Convém que tais análises informação e críticas sejam executadas com conformidade base nas políticas de técnica segurança da informação Convém que sistemas de apropriadas e que as informação sejam plataformas técnicas e sistemas Verificação da periodicamente verificados em de informação sejam auditados conformidade técnica sua conformidade com as em conformidade com as normas de segurança da normas de segurança da informação implementadas. informação implementadas pertinentes e com os controles de segurança documentados. Maximizar a eficácia e Convém que requisitos e minimizar a interferência no atividades de auditoria processo de auditoria dos envolvendo verificação nos Controles de sistemas de informação. sistemas operacionais sejam auditoria de sistemas cuidadosamente planejados e de informação Considerações Convém que existam controles acordados para minimizar os quanto à auditoria de para a proteção dos sistemas riscos de interrupção dos sistemas de operacionais e ferramentas de processos do negócio. informação auditoria durante as auditorias Convém que o acesso às de sistema de informação. Proteção de ferramentas de auditoria de Proteção também é necessária ferramentas de sistema de informação seja para proteger a integridade e auditoria de sistemas protegido, para prevenir prevenir o uso indevido das de informação qualquer possibilidade de uso ferramentas de auditoria. impróprio ou comprometimento. Conformidade