Security Officer: Como contratar este profissional?

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security

Ao contrário do que escutamos por aí, o candidato a Security Officer (gestor da segurança da informação) não deve ter um glorioso passado hacker para garantir o bom desempenho das suas atividades e a proteção efetiva da sua organização. Alias, tampouco é recomendado que o tenha. Isso porque o perfil necessário à gestão de um processo tão delicado, transcende o “escovador de byte”, exigindo do Security Officer habilidades que vão da coordenação de projetos à apresentação executiva dos resultados.

É isso mesmo, aquele jovem que foi até a sua organização oferecendo proteção, ora apresentando evidências da fragilidade do seu website, ora fazendo demonstrações práticas de ataque ao seu sistema, em sua grande maioria, não esta ainda em condições de coordenar uma tática de proteção dos seus ativos de informação.

O grande engano é confundir gestão de segurança da informação com refinados conhecimentos em técnicas de intrusão; aquele que sabe invadir, não necessariamente saberá defender. Grandes empresas recebem mensalmente dezenas de currículos de jovens profissionais da informática, interessados em preencher a tão cobiçada vaga, mas fica no ar a dúvida: Como determinar o perfil do profissional de gerência de segurança da informação? Quais os requisitos? Como avaliar?

Em primeiro lugar é necessário entender e aceitar que o gestor tático do processo de segurança deve ser alguém capaz de planejar ações, resolver macro problemas e comunicar resultados. Esta é a química necessária à formação do seu gestor. Em alguns casos, como em instituições financeiras, empresas de telecomunicações ou empresas de comércio eletrônico, é indispensável que o gerente de segurança conheça a fundo as nuances do business que pretende proteger.

Deixaremos o gênio da informática de lado? Claro que não, parte integrante de uma boa equipe, este profissional com alto conhecimento técnico será responsável pela operacionalização das táticas e pela implementação dos controles de segurança necessários à empresa, seja na configuração de um firewall ou no desenvolvimento de uma solução personalizada, sempre coordenado pelo Security Officer.

Quando entrevistamos o candidato, devemos considerar que algumas características pessoais são tão ou mais importantes que a sua capacitação técnica. Enumerarei algumas das diversas atribuições indispensáveis ao bom gestor de segurança, características que têm sua importância elevada quando compreendemos que este funcionário terá acesso a praticamente todas as informações sigilosas da organização e será ponto focal dos eventos de segurança no ambiente corporativo. Não tenho por objetivo esgotar o assunto, antes disso, utilizem este documento como um roteiro de suporte, e não como instrumento único de avaliação.

1-) Ótima capacidade de comunicação

A figura do Security Officer será responsável por manter os executivos da empresa informados, sempre que o assunto envolver segurança da informação; significa que além de uma forte habilidade na comunicação escrita (estilo, clareza e objetividade), o gestor deve ser capaz de defender verbalmente frente ao grupo executivo, a necessidade de se investir, por exemplo, em um novo modelo de firewall, ou sobre a importância da inserção de políticas de segurança ao documento já existente. Significa que os memorandos internos não deverão ser repassados com siglas do informatiquês, típico “Peço aos usuários que não façam mais requisições na porta 25 depois do horário de expediente”, ou que durante a reunião com o Comitê Executivo, não adiantará nada dizer “Eu preciso de um IDS interligado ao firewall na DMZ”.

Um bom trabalho é composto de forma (apresentação, recurso visual e etc.) e conteúdo (produto, idéia e etc.). De nada adianta um relatório entregue ao presidente da companhia ou ao diretor de TI, se este não inspirar o interesse em lê-lo. Faz-se necessário um pré-processamento das informações, ao invés de apresentar o relatório com 80 páginas de logs, seria conveniente demonstrar em um gráfico uma síntese das informaçções mais importantes. Esta habilidade em entender a visão do estrategista e apresentar-lhe somente o que interessa, é indispensável ao Security Officer.

2-) Capacidade de conciliar interesses de segurança e interesses do negócio

O Security Officer deve ser capaz de perceber, dentre uma série de opções de serviços e produtos do mercado, aquela que melhor se enquadra ao perfil e aos interesses da organização. O “melhor produto” é aquele que serve de maneira adequada às necessidades de determinado processo ou unidade de negócio.

Para justificar um investimento em segurança da informação, é importante que o gestor domine conceitos de Return on Investment e Return on Opportunity, e que faça uso destas ferramentas para projetar períodos de payback.

3- ) Auto-atualização: Circular pelo meio tecnológico

O gerente de segurança da informação deverá possuir um perfil pró-ativo: conhecer produtos, novas tecnologias, explorar novidades, estar disposto a formar uma grande rede de contato com experts no assunto e manter-se diariamente atualizado, através de boletins e listas de discussão especializados.

Para muitas empresas é custoso contratar um profissional que ainda não está familiarizado com tecnologia da informação. Significa um grande investimento em cursos, um tempo excedente (que muitas organizações não possuem) e o risco da empresa perder, depois de formado, seu treinee.

O profissional de gestão da segurança não precisará conhecer a fundo os conceitos da programação TCP/IP, ou “o valor do protocolo X no cabeçalho do protocolo Y”, tão somente deve estar apto a escolher uma tecnologia, em vista do respaldo técnico dos profissionais da sua equipe e em vista dos resultados provenientes de suas análises de benchmark.

4-) Familiaridade com termos e conceitos

É indispensável ao Security Officer familiaridade com termos e conceitos comuns da segurança da informação. São poucos os cursos de formação de profissionais de segurança, ainda mais no Brasil, mas esta passagem é importante: algumas regras básicas devem fazer parte da bagagem do futuro gestor, conteúdo que estes cursos costumam abordar.

Termos como alta-disponibilidade, acordo de confidencialidade, análise de risco, diretrizes de segurança e plano de resposta a incidentes, são linguajar comum na rotina deste profissional. Conceitos como firewall, PKI, Intrusion detection system, Single Sign-On e outros, também fazem parte da knowledge base mínima do Security Officer.

Recomendo aos candidatos a leitura da NBR ISO/IEC 17799:2001, norma brasileira que apresenta uma série de controles para uma boa implementação de segurança. Lembrando que este documento considera uma centena de controladores, e que nem todos serão necessários: cabe avaliar as peculiaridades do ambiente de negócio. Outro ponto crítico é compreender a ISO 17799 como um guia das melhores práticas, e não um “como fazer”. É um grande passo àqueles que decidem marchar do mundo técnico para o lado processual da segurança.

Espero que estes quatro pontos sejam proveitosos durante a entrevista. Repasse uma cópia deste documento para o seu gerente de recursos humanos, estou certo de que cedo ou tarde ele precisará destas informações.

Gestão de Segurança da Informação

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security

Gerenciar a segurança da informação em dias como os de hoje, não é tarefa simples. Pergunte ao seu encarregado de TI se ele está satisfeito com o modelo de gerência dos controles de segurança implementados; o acesso à rede, desligamento de funcionários, termos de análise e aceitação de risco, manutenção da segurança dos sistemas e auditoria -, em uma aposta otimista noventa porcento das respostas será um sobrolho pensativo.

São tantos ativos de tecnologia, rotas de dados, aplicativos e sistemas, que fica dificílimo uma só pessoa controlar. Responsabilidade de quem? Alguns dizem que é do gestor do sistema ou equipamento. Os gestores alegam, muitas vezes com razão, serem responsáveis pela produção – o stay working. Não é para menos, um dos primeiros requisitos da gerência de segurança é: delegar a responsabilidade da gestão a alguém sem ligação com o funcionamento do sistema. Quem então é responsável pela salvaguarda da informação?

Este é um assunto polêmico que causa grande inquietação dentro dos mais diversos nichos organizacionais, uma discussão produtiva, capaz de atentar o grupo executivo a uma das mais sérias preocupações do estrategista moderno, garantir a confidencialidade, integridade e disponibilidade do seu maior patrimônio – a informação.

Faz-se necessário que seja instituído um responsável pela segurança da informação organizacional. Chamaremos este colaborador de Security Officer (termo do inglês, caracteriza o gestor de segurança da informação), e a ele será delegada toda a responsabilidade por organizar regras para salvaguardar a informação gerida na organização.

Para início, é necessário demonstrar que há uma consistência no discurso do grupo executivo com as ações de segurança engendradas pelo Security Officer. A base para instauração de um órgão de segurança da informação dá-se com a criação de um fórum interno. O fórum é formado por membros da alta administração, consultores especialistas em segurança e pelo Security Officer. Este comitê será responsável por:

• Analisar e aprovar tecnologias e processos inseridos no negócio;
• Analisar criticamente os relatórios de monitoração de incidentes;
• Aprovar as iniciativas para aumentar o nível de segurança;
• Aprovar o relatório bimestral (mensal ou semanal) de segurança, entregue pelo Security Officer;

Não se aplica ao fórum, a utilização dos jargões técnicos de segurança. O Security Officer (gestor de segurança da informação) deve ser especialmente habilidoso; conciliar sólidos conhecimentos tecnológicos à capacidade de transformar a massa de dados em informações gerenciáveis. Caso contrário, não conseguirá para si a atenção dos executivos por mais de dez minutos.

Após a criação do fórum interno, o Security Officer deverá convocar especialistas na operação de segurança, para tomar parte de sua equipe. Considera-se indispensável (para uma empresa que busca um espelhamento às melhores práticas de segurança da informação), a vinculação dos seguintes profissionais à coordenação do Security Office:

Analista de informações: Deverá avaliar diariamente os registros dos programas críticos (firewall, IDS e outros).

Normatizador: Avaliará a necessidade de atualização da política de segurança da informação. Será o responsável pela normatização escrita dos controladores inseridos no documento da política. Lembre-se: para cada atualização, uma normatização.
Implementador: Aplicará as correções de segurança nos sistemas. Deve ser capaz de inserir regras no firewall, corrigir vulnerabilidades e quando possível, desenvolver soluções personalizadas.

A missão desta equipe e de identificar, avaliar e administrar os riscos à informação da organização. Considera-se de sua responsabilidade determinar dentre as opções existentes aquela que melhor se enquadra na diminuição dos riscos identificados na análise do ambiente. Os resultados deverão ser repassados ao comitê executivo nas ocasiões do fórum, que poderá se reunir pontualmente.

A equipe é responsável por dessenvolver políticas, padrões e procedimentos de segurança para proteger o negócio como um todo.

Em alguns casos, dependendo da necessidade da empresa, é aconselhável a criação de um grupo de resposta a incidentes (Computer Emergence Response Team). Este grupo poderá atuar na holding, atendendo todas as empresas ligadas a ela. Existem empresas que optam por CERTs terceirizados, como opção de uso por demanda, já que e altamente custoso manter uma equipe de especialistas de plantão 24x7.

A gerência de segurança é um elemento estratégico no processo de negócio de uma empresa preocupada com as ameaças do mundo cibernético. Gerenciar riscos é compreender que o em um mercado dinâmico, segurança da informação é mais do que parte do negócio, é parte da lucratividade do negócio.

Imposturas Políticas

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security

Para não começar errado, devemos compreender na sua amplitude, o que é e para que serve a tal da “política”. É muito comum a confusão dos afoitos, são criadas regras inconseqüentes para usuários insatisfeitos. Política deve ser simples, clara e desenhada em um documento conciso, ao alcance de todos os colaboradores. Só isso define? Claro que não! Então vamos por partes.

Imagine um documento segmentado, com especificações simples para procedimentos usuais, some a estes a disponibilidade dos equipamentos e aplicativos necessários e adicione o eterno e super atuante trabalho de um bem disposto grupo de divulgadores. Você está começando a entender.

Pois vamos mais longe, na terra da “informação-sem-dono” onde a falta de comunicação é a marca forte do colaborador, até mesmo lá poderíamos implementar uma rotina de segurança com procedimentos de sucesso – a chave para o êxito é a capacidade do administrador ou consultor em personalizar seus moldes sem afetar o andamento do trabalho na empresa.

Não há nada pior para um usuário e, disso sabemos muito bem, do que ter uma política aplicando bloqueio de terminal para cada 15 minutos de inatividade em um ambiente dinâmico, como em uma loja onde os atendentes mudam de posto com grande freqüência. Este tipo de atividade não protege, só atrapalha.

Outro exemplo da má aplicação de políticas de segurança pode ser onde um determinado usuário é impedido de trabalhar, fora do horário normal, para garantir que nenhuma informação será comprometida. A idéia é utilizar equipamentos que possam conferir as regras da política, como câmaras de segurança e registros de atividades, não forçando o usuário a seguir normas impossíveis.

O correto seria utilizar meios de coerção eletrônico, ao invés de cobrar e punir aqueles que não trocam suas senhas de 90 em 90 dias, devemos criar procedimentos automáticos para que ao expirar - o próprio sistema se encarregue de pedir ao usuário o cadastro de sua senha -, aí sim aplicando todas as regras para proteção de sua autenticação. A segurança da Informação, ao contrário daquilo que comumente escutamos, vai além da atualização sistemática de softwares e das perturbadoras câmaras de vídeo – estamos na era da informação e devemos aproveitar, com cultura, divulgação, conscientização e orientação não há como errar.

Como dizia Descartes ao revelar seu método para eliminação de problemas científicos “reduzo os grandes problemas em pequenas partes” pois hoje sabemos que o francês tinha toda a razão e é assim que devemos trabalhar com o elemento humano. O segredo (que já não é mais segredo faz muito tempo) é corresponder cada norma da sua política a realidade do seu negócio observando:

- Estrutura tecnologia para suportar suas diretrizes, normas e procedimentos;

- Bom senso, sem abusar do usuário com regras de segurança inaplicáveis, por exemplo, proteger o software de calculadora;

- Entendimento por parte do usuário sobre aquilo que ele deve seguir.

Um exemplo engraçado relacionado a uma norma absurda que criou confusão em uma grande empresa: “O usuário deve fazer backup de suas informações sempre que houver infecção de vírus”, o administrador recebeu um telefonema de um usuário reclamando não poder fazer backup justamente por estar acometido pelo vírus da gripe.

NBR ISO/IEC 17799

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security

É perceptível que o crescimento da economia mundial é impulsionado pela tecnologia da informação, e que os computadores são os grandes responsáveis pelo fenômeno – são eles os processadores e armazenadores destas informações, transmitidas entre organizações, clientes e parceiros de negócios.

Uma falha em um sistema informatizado, seja esta intencional ou não, pode causar a paralisação das atividades da organização com perdas muito significativas – quando não, irreparáveis.

A nova norma brasileira NBR ISO/IEC 17799 traz consigo a experiência da prática dos maiores players mundiais, perfazendo os mais diferentes segmentos de mercado. Esta norma é uma padronização dos controles mínimos, e deve ser implementada e gerenciada pelas empresas que consideram as suas informações como de importância crítica na sua estratégia de negócio.

Certificar-se por um órgão acreditado internacionalmente é tornar público seu interesse e preocupação com as informações do seu ambiente corporativo.

Uma gerência de segurança da informação bem implementada, além de manter sua organização preparada para eventualidades, marca suas informações confidenciais pela legitimidade.

Através de uma metodologia desenhada nos padrões e nos critérios de competência da NBR ISO/IEC 17799 é possível executar uma análise dos processos, envolvendo todas as unidades de negócio. As não-conformidades identificadas devem ser documentadas e avaliadas por um profissional com profundo conhecimento do negócio da empresa. Deve ser definido um plano para a normatização da situação de risco, em sintonia ao planejamento estratégico da organização, desta forma é possível mapear investimentos futuros e eqüalizar a relação entre custo e benefício.

A aplicação da análise normativa da NBR ISO/IEC 17799 pode ser aplicada a qualquer organização, não importando o segmento, tamanho ou a tecnologia utilizada na gestão do seu negócio. Já é comum observarmos a aplicação dos padrões em setores (ex.: financeiro) para depois estendê-la a toda a empresa.

A NBR ISO/IEC 17799 provê padrões consistentes para as organizações avaliarem qual o nível de segurança aplicado às suas regras de negócio em comparação ao mercado internacional. É uma ótima ferramenta de benchmark. Uma certificação NBR ISO/IEC 17799 evidencia a prática da melhor política de segurança, baseada no relato de auditores externos – portanto, imparciais.

A certificação deve também ser encarada com fundamental para o interesse de parceiros de negócios, com maior importância àqueles que confiam informações sensíveis à sua empresa (ex.: relação de e-business).

Política de Segurança da Informação

O primeiro passo, prescrito pela NBR ISO/IEC 17799, é a definição formal de um documento com as política de segurança da informação da empresa. A simples existência deste documento, que deve refletir a visão da Alta Administração frente à importância da informação, demonstra o comprometimento do grupo executivo com o plano estratégico de segurança da informação. É uma declaração simples que apresenta a informação como parte do negócio, um bem valiosíssimo e que deve ser salvaguardado.

Este documento deve ser claro. Será dividido em grupos, conforme o enfoque estratégico, tático e operacional. Deverá apresentar regras simples, sem o famoso ‘tecniquês’, utilizando sempre a NBR ISO/IEC 17799 como base. Alguns itens são escolhas individuais, e devem ser cuidadosamente avaliados para permitir uma adequação com impacto mínimo ao ambiente tecnológico e cultural da organização (ex.: “checagem de todas as mídias magnéticas em busca de vírus”). Para que uma política seja um documento verdadeiramente útil, deve deixar o detalhamento excessivo de lado, e imaginar como seria sua aplicação prática.

Análise de Risco

Os controles que deverão ser utilizados para a eliminação das não-conformidades ao padrão NBR ISO/IEC 17799, são apresentados após uma detalhada análise de risco. Esta análise deve ser executada ee documentada metodicamente. Cada classe de dados deve ser identificada e classificada com um valor correspondido em uma escala, determinada pelo especialista em segurança da informação em conjunto a equipe da sua organização, indicando a importância e criticidade da informação nos quesitos confidencialidade, integridade e disponibilidade.

Grande parte dos eventos de segurança da informação podem ser caracterizado pelo cruzamento das variáveis “probabilidade da sua ocorrência” e “impactopotencial”. Esta escala deve ser precisa, a ponto de caracterizar todos os riscos e uma ordem crítica, apontando o melhor controle para cada vulnerabilidade.

Declaração da Aplicabilidade

Após a criação de uma coordenação interna para o processo de segurança da informação, nosso próximo passo será criar uma Declaração da Aplicação. Esta declaração pode ser criada de várias formas, mas a mais adequada talvez seja listar todos os controles da NBR ISO/IEC 17799 e identificar aqueles considerados ideais aos resultados da análise de riscos. Esta aproximação deverá corresponder positivamente aos benefícios mapeados pela Alta Administração e fornecerá material para a auditoria na revisão da documentação.

Resumindo, a declaração da aplicação responderá “Qual é o nosso objetivo?”, e servirá como métrica para responder “Até onde chegamos?”.

Gestão da Segurança

Depois de implementados os controles de segurança, faz-se necessária a criação de uma frente gestora para a manutenção do nível de segurança da informação alcançado. É imprescindível a criação de um documento de gestão, guia de referência à continuidade do processo de segurança, imaginando que cada novo processo inserido ao negócio deverá obrigatoriamente ser avaliado e protegido conforme um modelo padrão, atendendo os quesitos de qualidade e normatização.

Neste ponto incluímos a criação de um fluxograma de avaliação de riscos, treinamento dos recursos humanos, desenvolvimento de procedimentos e cheklists personalizados e etc.

Certificação

Assim como ocorre com outras certificações, a certificação NBR ISO/IEC 17799 não é um produto, é um processo que pode continuar indefinitivamente. Desenvolver e administrar um processo de segurança da informação em uma organização pode ser inicialmente difícil, mas com o tempo ganha-se experiência e isto permite que as ferramentas de gestão sejam melhor adaptadas, determinando uma sinergia cada vez maior entre o seu negócio e os mecanismos de proteção utilizados.

A auditoria é dividida da seguinte maneira: uma pré-auditoria, uma auditoria mensal e uma auditoria periódica.
Estas auditorias têm o objetivo de avaliar a eficiência e eficácia das práticas adotadas na organização. Seus pontos fundamentais são:

Análise de Riscos: revisão da documentação frente as mudanças na organização. Por exemplo, durante ou após um processo de fusão é necessário que seja realizada uma reflexão sobre os seus efeitos na segurança da informação.

Declaração de Aplicabilidade: documento que deve ser revisado em curtos intervalos de tempo. Reflete mudanças imediatas, mercado de atuação, metas, produtos, estratégias e etc.

Requerimentos Básicos para Certificação

Abaixo listarei os requerimentos mínimos para o processo de certificação:

I.) Plano de Gestão de Segurança da Informação;

II.) Criação de uma Coordenação de Segurança da Informação;

III.) Administração e controle dos processos, neste devem estar inclusos:

a. Revisão do Plano de Gestão;b. Formulários desta revisão;c. Modo para administração da documentação;d. Modo para administração das gravações digitais;e. Existência de uma base mínima de controles, como formulário para reportar incidentes, juntamente com sua análise e correção.

Além disso, a certificação dependerá da implementação dos mecanismos de controle selecionados. Todos os aspectos são igualmente necessários para a certificação, variam em forma mas não em conteúdo.

Veremos a seguir que alguns dos controles da NBR ISO/IEC 17799, quando bem adaptados, podem até mesmo diminuir custos dentro de uma empresa. O grande desafio do consultor é identificar os riscos e o seu grau de relevância, para não cercar com cuidados excessivos todo o tipo de informação.

Processo de Certificação

A auditoria periódica para checagem dos processos da NBR ISO/IEC 17799 possui duas partes obrigatórias:

1- A primeira tem uma função muito parecida com as outras formas de certificação. Deverá ser preparada uma revisão de documentação interna. Para isso deverão ser preparados adendos com o resultado da avaliação dos documentos na gestão de segurança da informação corrente, refletindo todos os aspectos abordados na NBR ISO/IEC 17799. Estas obrigações deverão ser discutidas em cada auditoria.

2- O auditor trabalhará para desenvolver um plano que cubra todos os requerimentos considerados importantes verificados na análise de riscos. Serão efetuadas outras auditorias periódicas

Apresentarei agora os objetivos do padrão NBR ISO/IEC 17799 que serão listados e discutidos individualmente. Esta apresentação não deve ser exaustiva: espero que este documento seja útil na hora de definir o escopo da análise de sua organização. Conforme andar a certificação, o processo de auditoria ajudará, afinando cada vez mais o seu sistema.

Objetivos detalhados

Política de segurança da informação: prover à direção uma orientação e apoio para a segurança da informação. Convém que a direção estabeleça uma política clara e demonstre apoio e comprometimento com a segurança da informação através da emissão e manutenção de uma política de segurança da informação para toda a organização.
Infra-estrutura da segurança da informação: gerenciar a segurança dentro da organização. Convém que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementação da segurança da informação dentro da organização.

Segurança no acesso de prestadores de serviço: manter a segurança dos recursos de processamento de informação e ativos de informação organizacionais acessados por prestadores de serviço. Convém que seja controlado o acesso de prestadores de serviços aos recursos de processamento da informação da organização.

Terceirização: manter a segurança da informação quando a responsabilidade pelo processamento da informação é terceirizada para uma outra organização. Convém que o acordo de terceirização considere riscos, controles de segurança e procedimentos para os sistemas de informação, rede de computadores e/ou estações de trabalho no contrato entre as partes.

Contabilização dos ativos: manter a proteção adequada dos ativos da organização. Convém que todos os principais ativos de informação sejam inventariados e tenham um proprietário responsável.

Classificação da informação: assegurar que os ativos de informação recebam um nível adequado de proteção. Convém que a informação seja classificada para indicar a importância, a propriedade e o nível de proteção.

Segurança na definição e nos recursos de trabalho: reduzir os riscos de erro humano, roubo, fraude ou uso indevido das instalações. Convém que responsabilidades de segurança sejam atribuídas na fase de recrutamento, incluídas em contratos e monitoradas durante a vigência de cada contrato de trabalho.

Treinamento dos usuários: Assegurar que os usuários estão cientes das ameaças e das preocupações de segurança da informação e estão equipados para apoiar a política de segurança da organização durante a execução normal do seu trabalho. Convém que usuários sejam treinados nos procedimentos de segurança e no uso correto das instalações de processamento da informação, de forma a minimizar possíveis riscos de segurança.

Respondendo aos incidentes de segurança e ao mau funcionamento: Minimizar danos originados pelos incidentes de segurança e mau funcionamento, e monitorar e aprender com tais incidentes. Convém que os incidentes que afetam a segurança sejam reportados através dos canais apropriados o mais rapidamente possível.

Áreas de Segurança: prevenir acesso não autorizado, dano e interferência às informações e instalações físicas da organização. Convém que os recursos e instalações de processamento de informações críticas ou sensíveis do negócio sejam mantidos em áreas seguras, protegidas por um perímetro de segurança definido, com barreiras de segurança apropriadas e controle de acesso. Convém que estas sejam fisicamente protegidas de acesso não autorizado, dano ou interferência.

Segurança dos equipamentos: prevenir perda, dano ou comprometimento dos ativos, e a interrupção das atividades do negócio. Convém que os equipamentos seam fisicamente protegidos contra ameaças à sua segurança e perigos ambientais. A proteção dos equipamentos é necessária para reduzir o risco de acessos não autorizados a dados e para proteção contra perda ou dano.

Controles gerais: evitar exposição ou roubo de informação e de recursos de processamento da informação. Convém que informações e recursos de processamento da informação sejam protegidos de divulgação, modificação ou roubo por pessoas não autorizadas, e que sejam adotados controles de forma a minimizar sua perda ou dano.

Procedimentos e responsabilidades operacionais: garantir a operação segura e correta dos recursos de processamento da informação. Convém que os procedimentos e responsabilidades pela gestão e operação de todos os recursos de processamento das informações sejam definidos.

Planejamento e Aceitação dos Sistemas: Minimizar o risco de falhas nos sistemas. Convém que projeções de demanda de recursos e de carga de máquina futura sejam feitas para reduzir o risco de sobrecarga dos sistemas.

Proteção contra software malicioso: Proteger a integridade do software e da informação. É necessário que se adotem precauções para prevenir e detectar a introdução de softwares maliciosos.

Housekeeping: Manter a integridadee disponibilidade dos serviços de comunicação e processamento da informação. Convém que sejam estabelecidos procedimentos de rotina para a execução das cópias de segurança e para a disponibilização dos recursos de reserva, conforme definido na estratégia de contingência, de forma a viabilizar a restauração em tempo hábil, controlando e registrando eventos e falhas e, quando necessário, monitorando o ambiente operacional.

Gerenciamento de rede: Garantir a salvaguarda das informações na rede e a proteção da infra-estrutura de suporte. O gerenciamento de segurança de rede que se estendam além dos limites físicos da organização requer particular atenção.

Segurança e tratamento de mídias: Prevenir danos aos ativos e interrupções das atividades do negócio. Convém que as mídias sejam controladas e fisicamente protegidas.

Troca de informação e software: Prevenir a perda, modificação ou mau uso de informações trocadas entre organizações. Convém que as trocas de informações e software entr organizações sejam controladas e estejam em conformidade com toda a legislação pertinente.

Requisitos do negócio para o controle de acesso: Controlar o acesso à informação. Convém que o acesso à informação e processos do negócio seja controlado na base dos requisitos de segurança e do negócio.

Gerenciamento de acessos do usuário: Prevenir acessos não autorizados aos sistemas de informação. Convém que procedimentos formais sejam estabelecidos para controlar a concessão de direitos de acesso aos sistemas de informação e serviços.

Responsabilidade do usuários: Prevenir acesso não autorizado dos usuários. Convém que os usuários estejam cientes de suas responsabildiades para a manutenção efetiva dos controle de acesso, considerando particularmente o uso de senhas e a segurança de seus equipamentos.

Controle de acesso à rede: Proteção dos serviços de rede. Convém que o acesso aos serviços de rede internos e externos seja controlado.

Controle de acesso ao sistema operacional: Prevenir acesso não autorizado ao computador. Convém que as funcionalidade de segurança do sistema operacional sejam usadas para restringir o acesso aos recursos computacionais.

Controle de acesso às aplicações: Prevenir acesso não autorizado à informação contida nos sistemas de informação. Convém que os recursos de segurança sejam utilizados para restringir o acesso aos sistemas de aplicação.

Monitoração do uso e acesso ao sistema: Descobrir atividades não autorizada. Convém que os sistemas sejam monitorados para detectar divergências entre a política de controle de acesso e os registros de eventos monitorados, fornecendo evidências no caso de incidentes de segurança.

Computação móvel: Garantir a segurança da informação quando se utilizam a computação móvel e os recursos de trabalho remoto. Convém que a proteção requerida seja proporcional com o risco desta forma específica de trabalho.

Requisitos de segurança de sistemas: Garantir que a segurança seja parte integrante dos sistemas de informação. Convém que todos os requisitos de segurança, incluindo a necessidade de acordos de contingência, sejam identificados na fase de levantamento de requisitos de um projeto e justificados, acordados e documentados como parte do estudo de caso de um negócio para um sistema de informação.

Segurança nos sistemas de aplicação: Prevenir perda, modificação ou uso impróprio de dados do usuário nos sistemas de aplicações. Convém que os controles apropriados e trilhas de auditoria ou registro de atividades sejam previstos para os sistemas de apllicação, incluindo escritas pelo usuários. Convém que estes incluam a validação dos dados de entrada, processamento interno e dados de saída.

Controles de criptografia: proteger a confidencialidade, autenticidade ou integridade das informações.

Segurança de arquivos do sistema: garantir que os projetos de tecnologia da informação e as atividaedes de suporte serão conduzidas de maneira segura. Convém que o acesso aos arquivos do sistema seja controlado.

Segurança nos processos de desenvolvimento e suporte: Manter a segurança do software e da informação do sistema de aplicação. Convém que os ambientes de desenvolvimento e suporte sejam rigidamente controlados.

Aspectos da gestão da continuiade do negócio: Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos. Convém que o processo de gestão da continuidade seja implementado para reduzir, para um nível aceitável, a interrupção causada por desastres ou falhas de segurança através da combinação de ações de prevenção e recuperação.

Conformidade com requisitos legais: Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaiquer requisitos de segurança. Convém que consultoria em requisitos legais específicos seja procurada em organizações de consultoria jurídica ou em profissionais liberais, adequadamente qualificados nos aspectos legais.

Análise crítica da política de segurança e da conformidade técnica: Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança. Convém que a segurança dos sistemas de informação seja analisada criticamente a intervalos regulares.

Considerações quanto à auditoria de sistemas: Maximizar a eficácia e minimizar a interferência no processo de auditoria de sistema. Convém que existam controles para a salvaguarda dos sistemas operacionais e ferramentas de auditoria durante as auditorias de sistema.