Definisjoner

Com o objetivo de facilitar o processo de identificação como resultado da pesquisa, os requisitos de segurança foram categorizados tendo como principal característica a relação com os conceitos de CI. Com esta classificação pretendeu-se identificar quais agrupamentos de requisitos de segurança possuem relação direta com os conceitos de CI. Após esta análise observou-se que o agrupamento denominado de categoria 1 foi definido como sendo o conjunto de requisitos de segurança que possui relação direta com no mínimo 1 processo de CI. Na categoria 2 temos a relação com no mínimo 2 e no máximo 3 processos, e na categoria 3 apresentam-se os requisitos relacionados com no mínimo 4 ou com todos os processos de CI. Obteve-se assim a tabela 8 como resultado desta classificação.

Tabela 8 – Categorias de Requisitos Categorias Qtde. Requisitos x conceitos CI Categoria 1 51 50% Categoria 2 46 46% Categoria 3 4 4% Qtde 101 100%

Os requisitos de segurança da ISO 27001 das categorias 1 e 2 em conjunto obtiveram 96% da abrangência relacionada com a contra-inteligência. Os 4% restantes da categoria 3 representam um agrupamento de requisitos com uma abrangência bastante completa frente aos processos de CI. Estes agrupamentos são analisados a seguir.

5.1.1. Categoria 1

Nesta categoria estão os requisitos de segurança associados a partir das atividades de CI, esta categoria teve como principal característica a associação de 1 requisito de segurança para com 1 processo de CI. Desta maneira, torna-se mais didático apresentar esta relação a partir dos processos de CI para com o conjunto de requisitos.

O processo de CI denominado Identificação de Informação Crítica esteve associado com os seguintes requisitos de segurança, A.7.1.1 Inventário dos ativos; A.7.1.2 Proprietários dos ativos; A.7.1.3 Uso aceitável dos ativos; A.10.5.1 Cópias de segurança das informações; A.10.7.1 Gerenciamento de mídias removíveis; A.10.7.3 Procedimentos para tratamento de informação.

Os objetivos de tais requisitos estão voltados para o controle quanto à responsabilidade pelos ativos organizacionais, cópias de segurança e gestão de mídias removíveis. Estes requisitos, descritos pela ISO 17779 (2005), ressaltam a necessidade de a organização definir e controlar níveis de responsabilidade quanto à proteção de tais ativos.

Para o processo Análise do Potencial da Ameaça não foram identificados nesta categoria requisitos de segurança associados com este processo de CI.

Análise das Vulnerabilidades está associada com os seguintes requisitos de segurança, A.6.1.8 Análise crítica independente de segurança da informação; A.10.3.1 Gestão de capacidade; A.10.8.5 Sistemas de informações do negócio; A.10.9.3 Informações publicamente disponíveis; A.11.4.7 Controle de roteamento de redes.

Estes requisitos enfatizam a necessidade de análises críticas periódicas em controles, políticas, processos e procedimentos para a segurança da informação. Tais análises podem incluir mudanças significativas da organização, oportunidades de melhoria e necessidades de

mudanças. Gerir a capacidade por estes requisitos é apresentado aqui como a monitoração dos recursos e/ou sistemas chaves no ambiente organizacional.

Para o processo Avaliação dos Riscos não foram identificados requisitos de segurança associados com este processo de CI na categoria 1.

Aplicação das Contramedidas está associada com os seguintes requisitos de segurança, A.6.1.5 Acordos de Confidencialidade; A.8.2.3 Processo Disciplinar; A.8.3.2 Devolução de Ativos; A.8.3.3 Retirada de Direitos de Acesso; A.9.1.1 Perímetro de Segurança Física; A.9.1.2 Controles de Entrada Física; A.9.1.3 Segurança em escritórios, salas e instalações; A.9.2.4 Manutenção dos equipamentos; A.9.2.7 Remoção de propriedade; A.10.1.4 Separação dos recursos de desenvolvimento, teste e de produção; A.10.3.2 Aceitação de sistemas; A.10.4.2 Controle contra códigos móveis; A.10.6.1 Controles de redes; A.10.6.2 Segurança dos serviços de rede; A.10.7.2 Descarte de mídias; A.10.8.3 Mídias em trânsito; A.10.8.4 Mensagens eletrônicas; A.10.10.3 Proteção das informações dos registros; A.10.10.4 Registros (log) de administrador e operador; A.10.10.5 Registros (log) de falhas; A.11.2.1 Registro de usuário; A.11.2.3 Gerenciamento de senha do usuário; A.11.3.1 Uso de senhas; A.11.3.3 Política de mesa limpa e tela limpa; A.11.5.1 Procedimentos seguros de entrada no sistema (log-on); A.11.5.4 Uso de utilitários de sistema; A.11.5.5 Desconexão de terminal por inatividade; A.12.2.1 Validação dos dados de entrada; A.12.3.2 Gerenciamento de chaves; A.12.4.3 Controle de acesso ao código-fonte de programa; A.12.5.5 Desenvolvimento terceirizado de software; A.13.1.1 Notificação de eventos de segurança da informação; A.13.2.1 Responsabilidades e procedimentos; A.13.2.3 Coleta de evidencias; A.14.1.3 Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação; A.14.1.4 Estrutura do plano de continuidade do negócio; A.14.1.5 Testes, manutenção e reavaliação dos planos de continuidade do negócio; A.15.1.5 Prevenção de mau uso de recursos de processamento da informação; A.15.1.6 Regulamentação de controles de criptografia; A.15.3.2 Proteção de ferramentas de auditoria de sistemas de informação.

5.1.2. Categoria 2

Os requisitos de segurança da ISO 27001 da categoria 2 obtiveram 45% de abrangência relacionados com a CI. Os seguintes requisitos estão nesta categoria. 6.1.6 Contato com autoridades; A.6.1.7 Contato com grupos especiais; A.6.2.1 Identificação dos riscos relacionados com partes externas; A.6.2.2 Identificando segurança da informação quando tratando com clientes; A.6.2.3 Identificando segurança da informação nos acordos

com terceiros; A.7.2.1 Recomendações para classificação; A.7.2.2 Rótulos e

tratamento da informação; A.8.3.1 Encerramento de atividades; A.9.1.5 Trabalhando em áreas seguras; A.9.1.6 Acesso público, áreas de entrega e de carregamento; A.9.2.1 Instalação e proteção do equipamento; A.9.2.3 Segurança do cabeamento; A.9.2.5 Segurança de equipamentos fora das dependências da organização; A.9.2.6 Reutilização e alienação segura de equipamentos; A.10.1.3 Segregação de funções; A.10.2.2 Monitoramento e análise crítica de serviços terceirizados; A.10.4.1 Controle contra códigos maliciosos; A.10.7.4 Segurança da documentação dos sistemas; A.10.8.1 Políticas e procedimentos para troca de informações; A.10.9.1 Comércio eletrônico; A.10.9.2 Transações on-line; A.10.10.1 Registros de auditoria; A.11.1.1 Política de controle de acesso; A.11.4.1 Política e uso dos serviços de rede; A.11.4.3 Identificação de equipamento em redes; A.11.4.4 Proteção e configuração de portas de diagnóstico remotas; A.11.4.5 Segregação de redes; A.11.4.6 Controle de conexão de rede; A.11.5.2 Identificação e autenticação de usuário; A.11.5.6 Limitação de horário de conexão; A.11.6.1 Restrição de acesso à informação; A.11.6.2 Isolamento de sistemas sensíveis; A.11.7.1 Computação e comunicação móvel; A.12.2.2 Controle do processamento interno; A.12.2.3 Integridade de mensagens; A.12.3.1 Política para o uso de controles criptográficos; A.12.5.1 Procedimentos para controle de mudanças; A.12.5.4 Vazamento de informações; A.12.6.1 Controle de vulnerabilidades técnicas; A.13.1.2 Notificando fragilidades de segurança da informação; A.14.1.1 Incluindo segurança da informação no processo de gestão da continuidade de negócio; A.14.1.2 Continuidade de negócios e análise/avaliação de risco; A.15.1.1 Identificação da legislação vigente; A.15.1.2 Direitos de propriedade intelectual; A.15.1.3 Proteção de registros organizacionais; A.15.2.2 Verificação da conformidade técnica.

Neste agrupamento observa-se que o processo de CI Identificação da Informação crítica obteve a maior associação com 35 requisitos de segurança, em seguida o processo Análise das Vulnerabilidades contém mais requisitos associados, sendo ao todo 33. O apêndice 7 apresenta detalhadamente as relações que se formaram na categoria 2. Do total de 46 requisitos associados, os seguintes requisitos tiveram 3 processos associados nesta categoria. Representam assim a melhor expressão neste agrupamento de identificação.

A.9.2.5 Segurança de equipamentos fora das dependencias da organização A.10.8.1 Políticas e procedimentos para troca de informações

A.10.9.1 Comércio eletrônico

A.11.5.2 Identificação e autenticação de usuário A.11.5.6 Limitação de horário de conexão A.11.7.1 Computação e comunicação móvel A.12.2.2 Controle do processamento interno

A.12.2.3 Integridade de mensagens

A.12.3.1 Política para o uso de controles criptográficos A.12.5.4 Vazamento de informações

A.14.1.1 Incluindo segurança da informação no processo de gestão da continuidade de negócio A.15.1.2 Direitos de propriedade intellectual

A.15.1.3 Proteção de registros organizacionais A.15.2.2 Verificação da conformidade técnica

5.1.3. Categoria 3

Os requisitos de segurança da categoria 3, considerados como os de maior relevância, obtiveram 4% de abrangência relacionada com a CI. Esta categoria tem a característica de associar um requisito a vários possíveis processos de CI. Desta maneira, torna-se mais didático apresentar este conjunto a partir da relação dos requisitos de segurança para o conjunto de processos de CI.

Requisito A.9.1.4: Proteção Contra Ameaças Externas e do Meio Ambiente está identificado com os seguintes processos de CI: Identificação da Informação crítica; Análise do potencial da ameaça; Análise das vulnerabilidades e Aplicação das contramedidas. Conforme a ISO 27001 (2006), este requisito possui como objetivo prevenir o acesso físico não autorizado, eventuais danos e interferências com as instalações e informações da organização. Ressalta a necessidade da organização ser projetada a plicada proteção física contra incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e outras formas de desastres naturais ou causados pelo homem.

A.10.10.2: Monitoramento do Uso do Sistema está identificado com os seguintes processos de CI: Identificação da Informação crítica; Análise do potencial da ameaça; Análise das vulnerabilidades; Avaliação de Riscos e Aplicação das contramedidas. A ISO 27001 (2006) define este requisito como um mecanismo de monitoramento do uso de recursos de processamento da informação com foco na detecção de atividades não autorizadas.

A.11.4.2: Autenticação para Conexão Externa do Usuário está relacionado com os seguintes processos de CI: Identificação da Informação crítica; Análise das vulnerabilidades; Avaliação de Riscos e Aplicação das contramedidas. Este requisito está definido como um método que visa controlar o acesso de usuários remotos (ISO 27001, 2006). A orientação da norma neste requisito é prescritiva e detalha que a autenticação de usuários remotos pode ser alcançada usando, por exemplo, técnica baseada em criptografia, hardware tokens ou um protocolo de desfio/resposta. Podem ser achadas possíveis implementações de tais técnicas

em várias soluções de redes privadas virtuais (VPN), Também podem ser usadas linhas privadas dedicadas para prover garantia da origem de conexões.

O requisito A.11.7.2: Trabalho Remoto está identificado com os seguintes processos de CI: Identificação da Informação crítica; Análise das vulnerabilidades; Avaliação de Riscos e Aplicação das contramedidas. Conforme a ISO 27001 (2006), este requisito congrega uma série de práticas para as atividades de trabalho remoto, tais como política e planos operacionais. Detalhes deste requisito incluem provisão de equipamento e mobília apropriados às atividades de trabalho remoto, onde o uso de equipamentos de propriedade particular que não esteja sob controle da organização não é permitido; definição de plano de trabalho permitido, o período de trabalho e a classificação da informação que pode ser tratada e os sistemas internos e serviços que o usuário do trabalho remoto está autorizado a acessar.