2.3.2.1
2.3.2.1
2.3.2.1 CISSPCISSPCISSPCISSP
A segurança da informação é, nos dias de hoje, considerada por algumas organizações, como uma parte integrante do negócio. Deste modo, todos os projetos de uma organização devem incorporar-se na segurança da informação e vice-versa, isto porque qualquer projeto de uma organização possui informação, informação essa que não pode ser perdida nem divulgada para o exterior. Para tal, existem várias organizações que têm por objetivo a criação de formalidades que visam a proteção da informação de uma organização.
A
International Information Systems Security Certification Consortium
((ISC)²) é uma organização sem fins-lucrativos especializada na educação e certificações em segurança da informação [(ISC)² 1996]. Esta certificação internacionalmente reconhecida, surge em 1989 e certifica os profissionais do sector, de acordo com o padrão de segurança da informação. A certificação é composta por:Certified Information Systems Security Professional
(CISSP) – cerificação que define a arquitetura, a gestão de risco e os controlos que garantem a segurança do negócio;Certified Authorization Professional
(CAP) – certificação que auxilia os profissionais no processo de automatização e manutenção dos sistemas de informação;Systems Security Certified Practitioner
(SSCP) – certificação responsável pela implementação e/ou atuação na infraestrutura de segurança de uma organização eCertified Secure Software
Lifecycle Professional
(CSSLP) – certificação que auxilia o desenvolvimento de um programa de segurança para o ciclo de vida do desenvolvimento desoftware
. Para o caso de estudo, apenas se aprofundará a certificação CISSP.A
Certified Information Systems Security Professional
(CISSP) é considerada mundialmente como a primeira credencial de segurança de informação [(ISC)² 1996]. Numaorganização, a CISSP debruça-se sobre a conceção e manutenção da infraestrutura de segurança, auxiliando os profissionais de
information
assurance
12 que definem a arquitetura,desenho, gestão e/ou controlos a garantir a segurança dos ambientes de negócio [Harris 2012]. Dada a perseverante evolução tecnológica e social é essencial que esta certificação esteja em constante atualização de modo a ser capaz de lidar com as novas tecnologias, novas ameaças e perfis de utilizador, implementando novas tecnologias de segurança que respondam às novas necessidades organizacionais. Para os profissionais de segurança da informação, tornou-se essencial a reflexão sobre o papel que cada individuo desempenha na conceção, desenvolvimento, implementação e manutenção de um programa de segurança de informação, assim como, averiguar se os objetivos vão de encontro aos requisitos de negócio da organização.
Esta certificação abrange uma variedade de conceitos de SSI, sendo eles agrupados de acordo com o assunto e reconhecidos em dez domínios, permitindo aos profissionais de SSI uma linguagem comum, facilitando a sua discussão e debate, resolvendo desta forma, as questões relacionadas com a área de estudo.
Seguidamente, descreve-se de modo sucinto cada domínio CISSP com base no que está descrito pela (ISC)2 [1996]:
1. 1.1.
1. Controlo de Acesso (Controlo de Acesso (Controlo de Acesso (Controlo de Acesso (
Access ControlAccess ControlAccess ControlAccess Control
) ) ) )Os controlos de acesso são um conjunto de mecanismos que permitem a criação de uma arquitetura de segurança que protege os ativos do sistema de informação numa organização. Este domínio é composto pela infraestrutura tecnológica do sistema de processamento de informação, tipos de controlos, sensibilidade/criticidade dos dados e processos, que incluem o sistema, plataformas de rede e conexões de rede, e ambiente físico [Tipton 2009]. Através deste domínio é possível controlar os indivíduos que acedem ao sistema após a sua autorização, autenticação e monitorização, reduzindo as vulnerabilidades e ameaças a que o sistema está exposto. Ao alinhar pessoas, processos e tecnologia, as organizações podem estabelecer uma supervisão clara, reduzindo a exposição ao risco, construir a sua eficiência, e ter confiança nos seus ambientes de controlo.
12
Utilizou-se o termo em língua inglesa dada a sua elevada disseminação. Na língua portuguesa o termo podia ser traduzido para: garantia da informação.
2. 2. 2.
2. Telecomunicações e Segurança da Rede (Telecomunicações e Segurança da Rede (Telecomunicações e Segurança da Rede (Telecomunicações e Segurança da Rede (
Telecommunications and NetwoTelecommunications and NetwoTelecommunications and NetwoTelecommunications and Network Securityrk Securityrk Securityrk Security
)))) De forma a garantir a integridade, disponibilidade e confidencialidade da informação, este domínio engloba estruturas de rede, métodos de transmissão, protocolos e medidas de segurança, quer seja para transmissões em redes públicas e/ou privadas.3. 3. 3.
3. Governação daGovernação daGovernação daGovernação da Segurança da ISegurança da ISegurança da ISegurança da Informação nformação e Gestão de Rnformação nformação e Gestão de Re Gestão de Re Gestão de Riscos (iscos (iscos (iscos (
Information Security Information Security Information Security Information Security
Governance and Risk Management
Governance and Risk Management
Governance and Risk Management
Governance and Risk Management
))))Este domínio baseia-se na execução correta das atividades de segurança numa organização, permitindo especificar o quadro de responsabilização e fornecer a supervisão de forma a garantir uma adequada mitigação dos riscos. Compreende estruturas e políticas, conceitos, princípios, estruturas e padrões que são utilizados para estabelecer os critérios necessários para a proteção dos ativos da informação na organização. A Governação de Segurança de Informação garante que as estratégias de segurança de informação estão alinhadas com os objetivos do negócio e regulamentos. A gestão de risco foca-se na minimização da perda dos ativos de informação, fazendo com que a organização conheça os riscos de gestão correntes, e as decisões a tomar com conhecimento de garantias de risco.
4. 4. 4.
4. Segurança no Desenvolvimento de Software Segurança no Desenvolvimento de Software Segurança no Desenvolvimento de Software Segurança no Desenvolvimento de Software ((((
Software Development SecuritySoftware Development SecuritySoftware Development SecuritySoftware Development Security
))))O presente domínio é constituído pelas abordagens de desenvolvimento de software seguro, aplicações seguras e falhas de software, tendo por objetivo assegurar a confidencialidade, integridade e disponibilidade dos dados. O termo software é aqui entendido como sendo o software de sistema operativo (gere as operações de um sistema de computador) e software aplicacional (fornece funcionalidades para os utilizadores).
5. 5. 5.
5. Criptografia (Criptografia (Criptografia (Criptografia (
CryptographyCryptographyCryptographyCryptography
))))O domínio Criptografia analisa os diversos tipos de criptografia, abordagens e tecnologias, incluindo algoritmos simétricos face a algoritmos assimétricos, infraestrutura de chave pública, funções
hash
e métodos de ataque, com o intuito de garantir a integridade, confidencialidade, autenticidade na transferência e armazenamento enquanto a informação se encontra oculta. A junção do uso de “cifra” (fórmula matemática) e de chave, permite a conversão de dados legíveis (texto simples) em formato não compreensível (texto cifrado) – criptografia.6. 6.6.
6. ArquiteturaArquiteturaArquiteturaArquitetura e e e Conceçãoe ConceçãoConceçãoConceção de Segurança (de Segurança (de Segurança (de Segurança (
SeSecurity Architecture and DesignSeSecurity Architecture and Designcurity Architecture and Designcurity Architecture and Design
))))O presente domínio analisa as melhores práticas para que o software seja projetado de forma segura, dando resposta às necessidades do negócio atual e futuro na organização. Concentra-se essencialmente nas políticas de segurança técnica da organização, implementação e execução dessas políticas. Versa claramente a conceção, implementação e operação dos controlos usados para executar os vários níveis de disponibilidade, integridade e confidencialidade de modo a garantir o funcionamento eficaz de uma organização. Do ponto de vista da conceção, descreve a um nível abstrato a relação entre os elementos-chave de
hardware
, sistema operacional, aplicativos, redes e outros componentes necessários para proteger os interesses da organização.7. 7.7.
7. Segurança OperacionalSegurança OperacionalSegurança OperacionalSegurança Operacional ((((
OperationsOperationsOperationsOperations SecuriSecuriSecuriSecuritytytyty
))))A Segurança Operacional permite identificar controlos sobre o pessoal, hardware, sistemas, auditoria e técnicas de monitoramento. Este domínio inclui preocupações com a proteção e controlo de recursos de processamento de informações em ambientes centralizados e distribuídos, sendo a disponibilidade o principal objetivo para a segurança operacional. Há uma série de processos e técnicas que podem ser implementados para garantir que um sistema mantenha a disponibilidade desejada quando confrontados com ameaças. Este domínio discute conceitos e técnicas que um profissional de segurança terá de implementar para satisfazer os requisitos de disponibilidade de um determinado sistema.
8. 8.8.
8. Continuidade de NContinuidade de NContinuidade de NContinuidade de Negóegóegóegócio e Recuperação de Desastres (cio e Recuperação de Desastres (cio e Recuperação de Desastres (cio e Recuperação de Desastres (
Business Continuity and DiBusiness Continuity and DiBusiness Continuity and DiBusiness Continuity and Disastsastsastsaster er er er
Recovery
Recovery
Recovery
Recovery
))))Este foco consiste na preparação, nos processos e nas práticas necessárias para garantir a preservação da empresa face a grandes ruturas de operações normais. Envolve a identificação de riscos, seleção, implementação, teste e atualização dos processos, ações específicas necessárias para proteger de forma prudente os processos críticos de negócio dos efeitos do sistema principal, disrupções de rede e garantia de recuperação atempada das operações da empresa.
9. 9. 9.
9. Legalidade, Regulamentos, ObserLegalidade, Legalidade, Legalidade, Regulamentos, Regulamentos, Regulamentos, ObserObserObservânciavânciavânciavância e e e e Investigação Investigação Investigação Investigação ((((
Legal, Legal, Legal, Legal,
Regulations, Regulations, Regulations, Regulations,
Investigations, and Compliance
Investigations, and Compliance
Investigations, and Compliance
Investigations, and Compliance
) ) ) )Com este domínio analisa-se a criminalidade informática, leis e regulamentos. Por isso, inclui medidas e técnicas que devem ser usadas para determinar o incidente que ocorreu, bem como a recolha, análise e gestão de provas, caso existam. Aposta ainda, na forma de como desenvolver e implementar um programa de tratamento de incidentes.
10. 10. 10.
10. Segurança FSegurança FSegurança FSegurança Física (Ambiental) (ísica (Ambiental) (ísica (Ambiental) (ísica (Ambiental) (
Physical (EnvironmentalPhysical (Physical (Physical (EnvironmentalEnvironmentalEnvironmental)))) SecuritySecuritySecuritySecurity
))))Por fim, este domínio analisa as ameaças, vulnerabilidades e contramedidas que podem ser utilizados para proteger fisicamente os recursos de uma empresa e informações confidenciais. Reflete sobre defensivas físicas, processuais, estratégias de recuperação, medidas a tomar e recursos disponíveis, incluindo a infraestrutura física da organização, políticas e procedimentos de segurança, ferramentas de segurança física e da equipa da organização.