Sistema de Gerenciamento de Segurança da Informação

Introdução

O valor da informação vai além das palavras escritas, números e imagens: conhecimento, conceitos, idéias e marcas são exemplos de formas intangíveis da informação. Em um mundo interconectado, a informação e os processos relacionados, sistemas, redes e pessoas envolvidas nas suas operações, são informações que, como outros ativos importantes, têm valor para o negócio da organização e, consequentemente, requer proteção contra vários riscos.
A segurança da informação é a proteção de informações contra ameaças. Todas as pessoas na organização que têm contato com algum tipo de informação precisam receber um treinamento sobre segurança da informação.
Algumas razões para implementar um sistema de gerenciamento de segurança da informação:

• Garantir a continuidade do negócio
• Minimizar riscos
• Maximar o retorno do investimento
• Diferencial competitivo de mercado
• Governança corporativa
• Atendimento aos requisitos de segurança dos clientes
• Em alguns casos poder ser usada como vantagem no marketing

Esse documento contém normas e propostas para implementar um sistema de gerenciamento de segurança da informação (SGSI) com o objetivo de chegar o mais próximo possível sem perder agilidade do cumprimento da norma ISO/IEC 27001, que define os requisitos para que os mecanismos de controle consigam garantir a confidencialidade, integridade e disponibilidade da informação.

Normas

1. Escopo

As normas descritas nesse documento são para a prática de gestão de segurança da informação levando em consideração os riscos existentes e possíveis ameaças que possam afetar a brainn ou seus clientes.
Fazem parte do escopo dessas normas:

• Ficar o mais próximo possível da conformidade com a norma ISO/IEC 27001 sem perder agilidade;
• Implementar controles de segurança da informação que sejam aceitos pelos sócios e partners;
• Desenvolver nossos próprios princípios de gestão da segurança da informação.

2. Referências normativas

A inspiração para esse documento veio das normas ISO/IEC 27001 e ISO/IEC 27002. A família ISO/IEC 27000 é composta por dezenas de normas relacionadas a segurança da informação, certificada e com confiança comprovada, servindo como base para outros modelos de governança como ITIL e COBIT.
A ISO/IEC 27001 estabelece requisitos mandatórios para planejar, implementar, monitorar e analisar o SGSI e é usada como base para auditoria de certificação da empresa. Já a ISO/IEC 27002 traz recomendações de controles para o anexo A da 27001 e não pode ser usada como base para auditoria.

3. Termos e definições

• Informação: conjunto de dados que tem significado em algum contexto.
• Confidencialidade: Propriedade da informação relacionada a exclusividade e privacidade, que não é disponibilizada à quem não tem acesso.
• Integridade: Propriedade da exatidão e completeza da informação.
• Disponibilidade: Propriedade da informação ser acessível e utilizada sob demanda para quem precisa e tem autorização.
• Incidente: Evento indesejado de causa desconhecida.
• Ameaça: Algo que ainda não ocorreu mas pode ocorrer para causar um incidente.
• Problema: Quando um incidente tem uma causa conhecida.
• Vulnerabilidade: Uma fraqueza que pode ser explorada por uma ameaça.
• Risco: Probabilidade de uma ameaça explorar uma vulnerabilidade e causar danos.

4. Estrutura desta Norma

4.1 Seções

Cada seção que define os controles de segurança da informação contém um ou mais objetivos de controle. Esse documento aborda as seções da ISO/IEC 27002 referentes ao anexo A da ISO/IEC 27001:

• Seção A.5 Política de segurança da informação PSI
• Seção A.6 Organização da segurança da informação
• Seção A.7 Segurança em recursos humanos
• Seção A.8 Gestão de ativos
• Seção A.9 Controle de acesso
• Seção A.10 Criptografia
• Seção A.11 Segurança física e do ambiente
• Seção A.12 Segurança nas operações
• Seção A.13 Segurança nas comunicações
• Seção A.14 Aquisição, desenvolvimento e manutenção de sistemas
• Seção A.15 Relacionamento na cadeia de suprimentos
• Seção A.16 Gestão de incidentes em segurança da informação
• Seção A.17 Aspectos da segurança da informação na gestão da continuidade do negócio
• Seção A.18 Conformidade

4.2 Categorias de Controle

Cada seção principal contém:

• um objetivo de controle declarando o que se espera ser alcançado;
• um ou mais controles que podem ser aplicados para se alcançar o objetivo de controle.

5. Política de segurança da informação (PSI)

Objetivo: Prover uma orientação e apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.

A Política de segurança da informação (PSI) é o documento que registra os princípios e as diretrizes adotadas pela organização e que devem ser seguidos por todos. É recomendado haver uma revisão do documento a cada 3 meses pelo responsável dela ou após os resultados das avaliações de gerenciamento, que mostram se determinada medida está sendo seguida ou não e se faz sentido mante-la ou não. Depois de escrita, deve ser comunicada para a organização inteira.
Esse documento pode ser encontrado aqui e deve permanecer acessível para todos os integrantes da empresa.

6. Organização da segurança da informação

Objetivo: Estabelecer uma estrutura de gerenciamento, para iniciar e controlar a implementação da segurança da informação dentro da organização e garantir a segurança das informações no trabalho remoto e no uso de dispositivos móveis.

6.1 Organização interna

Todas as responsabilidades pela segurança da informação devem ser definidas e atribuídas.

Versionamento de código fonte de softwares

• Cada cliente deve ter seu próprio grupo no Gitlab onde ficarão seus repositórios;
• Se o cliente exigir que seja utilizado um repositório que não seja administrado pela brainn, então o líder técnico deve sincronizar o código junto à um repositório da empresa antes da reunião de planejamento de cada sprint;
• Todo repositório deve conter um ícone que representa ou identifica o cliente e uma descrição em português ou inglês;
• O líder técnico e o PO de cada time devem ser responsáveis por gerenciar as permissões dos usuários e criar os repositórios dentro do grupo;
• Por padrão, membros do time de um cliente não devem ter acesso aos repositórios de outros clientes. Caso seja necessário o acesso, deve haver uma solicitação via email informando o motivo para o CISO, para o líder técnico e PO do outro projeto.

Armazenamento de documentos digitais

• Documentos e arquivos que precisam ser compartilhados com pessoas de fora da organização devem ser armazenados no Google Drive;
• Documentos confidenciais como contratos, propostas, planejamento estratégico, informações financeiras e dados pessoais dos funcionários, devem ser armazenados no repositório Git para registrar quando e quem alterou o conteúdo;
• O CEO gerencia quem tem permissão para acessar os documentos de negócio da empresa;

Conscientização sobre segurança da informação

• O CISO fica responsável pela divulgação de conteúdo e a política de segurança para conscientizar as pessoas;
• Cada ISM deve ajudar a solucionar as dúvidas sobre segurança que os funcionários possam ter.

Melhoria do SGSI

• Cada ISM deve verificar se alguma norma de segurança está impactando negativamente um processo e relatar ao CISO;
• O CISO deve rever o SGSI frequentemente com base nos feedbacks obtidos de cada ISM.

6.2 Dispositivos móveis e trabalho remoto

6.2.1 Política para o uso de dispositivo móvel

• O proprietário de um smartphone deve sempre ficar próximo e nunca se afastar dele;
• Dispositivos contendo dados privados ou confidenciais não devem se conectar à redes sem fio inseguras;
• O sistema operacional e os sotwares instalados devem estar sempre atualizados;
• Todos os dispositivos devem utilizar senhas de bloqueio automático;
• Não é permitida a alteração da configuração dos sistemas operacionais pelos usuários dos equipamentos de propriedade da organização;
• No caso de furto ou roubo de um dispositivo móvel fornecido pela organização, o usuário deve notificar imediatamente o ISM ou o CISO e procurar a ajuda das autoridades policiais registrando um boletim de ocorrência (BO);
• Dispositivos utilizados para o desenvolvimento de software devem utilizar unidades e mídias criptografadas para armazenamento de dados e instalação de softwares;
• Não deve ser instalado o sistema operacional Windows em nenhum dispositivo fornecido pela empresa sem uma passar por uma análise de risco do CISO.

6.2.2 Trabalho remoto

• Não deve ser permitido o acesso de familiares e visitantes ao equipamento utilizado para o trabalho;
• O ambiente não deve apresentar risco de roubo ou furto ao equipamento;
• O dispositivo só pode ser conectado à uma rede segura e protegida por um firewall;
• O profissional deve ficar disponível online no período acordado com o time do qual faz parte.

7. Segurança em recursos humanos

Objetivo: Assegurar que funcionários e partes externas entendam suas responsabilidades e estejam em conformidade com os papéis para os quais eles foram selecionados, que estão conscientes e cumprem as suas responsabilidades pela segurança da informação e proteger os interesses da organização como parte do processo de mudança ou encerramento da contratação.

7.1 Antes da contratação

A organização deve assegurar que funcionários e partes externas entendam suas responsabilidades e estejam em conformidade com os papéis para os quais eles foram selecionados, enviandos primeiramente os documentos política de segurança da informação e política de desenvolvimento de software.

7.1.1 Seleção

A organização deve confirmar:

• As informações pessoais e o endereço de residência fornecidos pelo futuro funcionário;
• Informações acadêmicas e profissionais;
• Condições físicas e mentais para exercer o trabalho, especialmente se a for algo crítico para a organização. Essa avaliação é informal e pode ser conduzida durante a entrevista.

7.1.2 Termos e condições de contratação

• Todos os funcionários, fornecedores e partes externas que tenham acesso a informações sensíveis devem assinar um termo de confidencialidade ou de não divulgação (NDA);
• Os funcionários devem ser informados sobre as responsabilidades legais com relação às leis de direitos autorais e legislação de proteção de dados;
• Os funcionários devem estar cientes e de acordo sobre suas responsabilidades com o tratamento da informação recebida de outras empresas ou partes interessadas, como não divulgar para terceiros por exemplo;
• Devem ser informadas as ações a serem tomadas no caso de o funcionário ou partes externas, desrespeitar os requisitos de segurança da informação da organização;
• Os papéis e responsabilidades pela segurança da informação devem ser comunicados para o candidato durante o processo de pré-contratação;
• O funcionário deve receber o código de conduta da empresa.

7.2 Durante a contratação

A organização deve assegurar que os funcionários e partes externas estão conscientes e cumprem as suas responsabilidades pela segurança da informação.

7.2.1 Responsabilidades da direção

Convém que as responsabilidades da direção assegurem que os funcionários e partes externas:

• Estão de acordo com os termos da seção 7.1.2 antes de obterem acesso às informações sensíveis ou sistemas;
• Saibam que devem reportar violações nas políticas e procedimentos de segurança da informação para o ISM e CISO.

7.2.2 Conscientização, educação e treinamento em segurança da informação

• Todos na organização devem ser notificados via email quando houverem atualizações regulares da política de segurança da informação;
• A organização deve fornecer um programa de conscientização da segurança da informação que pode ser através de artigos, videos, livros ou workshops;
• A organização deve utilizar o canal #security no slack para notificação sobre falhas de segurança descobertas.

7.2.3 Processo disciplinar

A organização deve comunicar que pode tomar ações contra funcionários que tenham cometido uma violação de segurança da informação, cuja punição, dependendo da gravidade e do impacto causado, pode ser desde de uma advertência formal até a quebra de contrato de prestação de serviços.

7.3 Encerramento e mudança da contratação

Para proteger os interesses da organização como parte do processo de mudança ou encerramento da contratação, é necessário:

• Deixar claro ao funcionário que qualquer NDA assinado ainda é válido e precisa ser respeitado;
• Desativar quaisquer acessos à softwares, serviços e conteúdo particular da empresa e de cada projeto;
• Certificar de que todos os equipamentos, dispositivos e materiais de propriedade da empresa que foram fornecidos para a realização do trabalho sejam devolvidos em perfeitas condições;
• Recolher chaves, cartões de acesso, crachá e qualquer outro item que possibilite o acesso físico dentro da empresa;
• Avisar aos outros funcionários, fornecedores e terceiros envolvidos para não mais compartilhar esta informação com a pessoa que está saindo.

8. Gestão de ativos

Objetivo: Identificar os ativos da organização e definir as responsabilidades apropriadas para a proteção dos ativos e assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância para a organização.

8.1 Responsabilidade pelos ativos

• Deve haver um registro de todos os ativos em uma base de dados. As informações mínimas são o tipo, proprietário, localização, classificação e valor para o negócio;
• Todo software comprado (ou grupo de softwares) deve possuir um proprietário cuja responsabilidade é definir quem pode utilizar e ser o “administrador” dele;
• Todos os funcionários e partes externas devem devolver os ativos que estejam em sua posse, após o encerramento de suas atividades, do contrato ou acordo;
• Funcionários ou partes externas cuja as atividades executadas são importantes, devem documentar e transferir todas as informações para a empresa.

8.2 Classificação de ativos de informação

Todo ativo de informação deve:

• Receber um nível adequado de proteção, de acordo com a sua importância para a empresa e valor de negócio (alto, médio e baixo);
• Ser classificado como confidencial, restrito, uso interno e público;

Exemplo:

9. Controle de acesso

Objetivo: Limitar o acesso à informação e aos recursos de processamento da informação, assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas e serviços.

• Pedidos de acesso devem ser socilitados via email para o proprietário do ativo;
• Os direitos de acesso de usuários devem ser revisados em intervalos regulares e depois de quaisquer mudanças, como promoção, remanejamento ou encerramento do contrato;
• Os direitos de acesso da pessoa devem ser removidos ou suspensos em caso de férias ou afastamento das atividades;
• Todos os acessos permitidos a cada ativo devem ser registrados em uma base de dados;
• Os usuários devem ser orientados a seguir as práticas da PSI para criação de senhas;
• Os softwares para gestão de informação da empresa (contabilidade, home banking, planilhas, contratos…) devem ser acessados através de um dispositivo único com acesso restrito e localizado fisicamente dentro da empresa;
• Deve ser utilizado um sistema de gerenciamento de senhas que possibilite a criação de senhas fortes, que permita criar um grupo de usuários para gerenciar a permissão ao grupo e que consiga registrar quando e quem solicitou determinada senha.

10. Criptografia

Objetivo: Assegurar o uso efetivo e adequado da criptografia para proteger a confidencialidade, autenticidade e/ou a integridade da informação.

• As chaves geradas para um sistema não devem ser reutilizadas por outros;
• As chaves devem ser distribuídas para os usuários devidos;
• As chaves devem ser revogadas quando forem comprometidas ou o usuário deixar a empresa;
• Deve haver um backup das chaves de segurança.

11. Segurança física e do ambiente

Objetivo: Prevenir o acesso físico não autorizado, danos e interferências com os recursos de processamento das informações e as informações da organização.

• Visitantes não devem ficar sozinhos no escritório;
• Assuntos sigilosos devem ser discutidos apenas em espaços com isolamento acústico;
• Documentos confidenciais em papel devem ser guardados em gaveteiros com fechadura e apenas pessoas autorizadas podem ter uma cópia das chaves;
• Equipamentos devem ser protegidos contra falta de energia elétrica e outras interrupções causadas por falhas elétricas;
• Apenas os sócios têm permissão para permitir a remoção de ativos para fora do escritório;
• Deve ser adotada uma política de mesa limpa na qual as informações do negócio sensíveis ou críticas, por exemplo, em papel ou em mídia de armazenamento eletrônicas, sejam guardadas em lugar seguro;
• Deve ser adotada uma política de tela limpa bloqueando ou desligando as estações de trabalho ao se afastar do computador.

12. Segurança nas operações

Objetivo: Garantir a operação segura e correta dos recursos de processamento da informação.

• A utilização do repositório Git deve ser documentada para usuários que não são desenvolvedores;
• Os usuários do Git devem ser conscientizados à não versionar senhas, chaves criptográficas ou informações confidenciais;
• Mudanças na organização, nos processos do negócio, nos recursos de processamento da informação e nos sistemas que afetam a segurança da informação, devem ser controladas através de um processo de gerenciamento de mudanças, capaz de verificar se os requisitos de segurança foram atendidos, qual o impacto da mudança para o negócio, etc;

13. Segurança nas comunicações

Objetivo: Garantir a proteção das informações em redes e dos recursos de processamento da informação que os apoiam.

Nenhuma das diretrizes se aplicam à brainn nesse momento devido a empresa não possuir uma infra estrutura de rede própria e utilizar conexões gerenciadas pelo fornecedor de coworking.

14. Aquisição, desenvolvimento e manutenção de sistemas

Objetivo: Garantir que a segurança da informação é parte integrante de todo o ciclo de vida dos sistemas de informação. Isto também inclui os requisitos para sistemas de informação que fornecem serviços sobre as redes públicas.

• Os requisitos relacionados com segurança da informação devem ser incluídos nos requisitos para novos sistemas de informação ou melhorias dos sistemas de informação existentes;
• Deve ser avaliado o nível de proteção requerida para manter a confidencialidade e integridade das informações. Se a informação possuir um alto valor para o negócio, o sistema deve possuir um elevado nível de controle de acesso e permitir efetuar cópias de segurança;
• O desenvolvimento de sistemas deve considerar a política de desenvolvimento de software (PDS) da organização.

15. Relacionamento na cadeia de suprimentos

Objetivo: Garantir a proteção dos ativos da organização que são acessíveis pelos fornecedores.

Nenhuma das diretrizes se aplicam à brainn nesse momento pois nenhum fornecedor acessa quaisquer ativos da empresa.

16. Gestão de incidentes em segurança da informação

Objetivo: Assegurar um enfoque consistente e efetivo para gerenciar os incidentes de segurança da informação, incluindo a comunicação sobre fragilidades e eventos de segurança da informação.

• Funcionários e fornecedores devem ser avisados a não tentar provar suspeitas de fraquezas de segurança;
• Um processo mais aprofundado sobre gerenciamento de incidentes pode ser aplicado em um momento futuro da empresa.

17. Aspectos da segurança da informação na gestão da continuidade do negócio

Objetivo: É recomendado que a continuidade da segurança da informação seja considerada nos sistemas de gestão da continuidade do negócio da organização.

Nenhuma das diretrizes se aplicam à brainn nesse momento pois há uma perda significativa na agilidade da empresa.

18. Conformidade

Objetivo: Garantir que a segurança da informação está implementada e operada de acordo com as políticas e procedimentos da organização.

• Uma análise crítica independente deve ser iniciada pela direção;
• A análise crítica deve ser executada por pessoas independentes da área avaliada;
• Se forem usados teste de invasão ou avaliações de vulnerabilidades, devem ser tomadas precauções uma vez que tais atividades podem conduzir a um comprometimento da segurança do sistema.