Boas Práticas em Segurança da Informação

Na época em que as informações eram armazenadas apenas em papel, a segurança era relativamente simples. Bastava trancar os documentos em algum lugar e restringir o acesso físico àquele local. Com as mudanças tecnológicas e o uso de computadores de grande porte, a estrutura de segurança ficou um pouco mais sofisticada, englobando controles lógicos, porém ainda centralizados. Com a chegada dos computadores pessoais e das redes de computadores que conectam o mundo inteiro, os aspectos de segurança atingiram tamanha complexidade que há a necessidade de desenvolvimento de equipes e métodos de segurança cada vez mais sofisticados. Paralelamente, os sistemas de informação também adquiriram importância vital para a sobrevivência da maioria das instituições modernas, já que, sem computadores e redes de comunicação, a prestação de serviços de informação pode se tornar inviável.

O objetivo desta publicação é apresentar na forma de capítulos boas práticas em segurança da informação, a qualquer pessoa que interaja de alguma forma com ambientes informatizados, desde profissionais de TI envolvidos com segurança de informações até auditores, usuários e dirigentes preocupados em proteger o patrimônio, os investimentos e os negócios da instituição, em especial, os gestores da Administração Pública Federal.

Esta quarta edição traz a mudança de nomenclatura com relação à norma ABNT NBR ISO/ IEC 17799:2005, substituída pela norma ABNT NBR ISO/IEC 27002:2005, e acrescenta, no Capítulo 4, novas deliberações do Tribunal sobre segurança da informação. Ademais, nos três primeiros capítulos, foram feitas menções às normas de segurança da informação e comunicações do Gabinete de Segurança Institucional da Presidência da República (GSI/PR).

Na época em que as informações eram armazenadas apenas em papel, a segurança era relativamente simples. Bastava trancar os documentos em algum lugar e restringir o acesso físico àquele local. Com as mudanças tecnológicas e o uso de computadores de grande porte, a estrutura de segurança ficou um pouco mais sofisticada, englobando controles lógicos, porém ainda centralizados. Com a chegada dos computadores pessoais e das redes de computadores que conectam o mundo inteiro, os aspectos de segurança atingiram tamanha complexidade que há a necessidade de desenvolvimento de equipes e métodos de segurança cada vez mais sofisticados. Paralelamente, os sistemas de informação também adquiriram importância vital para a sobrevivência da maioria das instituições modernas, já que, sem computadores e redes de comunicação, a prestação de serviços de informação pode se tornar inviável.

O objetivo desta publicação é apresentar na forma de capítulos boas práticas em segurança da informação, a qualquer pessoa que interaja de alguma forma com ambientes informatizados, desde profissionais de TI envolvidos com segurança de informações até auditores, usuários e dirigentes preocupados em proteger o patrimônio, os investimentos e os negócios da instituição, em especial, os gestores da Administração Pública Federal.

Esta quarta edição traz a mudança de nomenclatura com relação à norma ABNT NBR ISO/ IEC 17799:2005, substituída pela norma ABNT NBR ISO/IEC 27002:2005, e acrescenta, no Capítulo 4, novas deliberações do Tribunal sobre segurança da informação. Ademais, nos três primeiros capítulos, foram feitas menções às normas de segurança da informação e comunicações do Gabinete de Segurança Institucional da Presidência da República (GSI/PR).

A segurança de informações visa garantir a integridade, confidencialidade, autenticidade e disponibilidade das informações processadas pela instituição. A integridade, a confidencialidade e a autenticidade de informações estão intimamente relacionadas aos controles de acesso.

Consiste na fidedignidade de informações. Sinaliza a conformidade de dados armazenados com relação às inserções, alterações e processamentos autorizados efetuados. Sinaliza, ainda, a conformidade dos dados transmitidos pelo emissor com os recebidos pelo destinatário. A manutenção da integridade pressupõe a garantia de não violação dos dados com intuito de alteração, gravação ou exclusão, seja ela acidental ou proposital.

Consiste na garantia de que somente pessoas autorizadas tenham acesso às informações armazenadas ou transmitidas por meio de redes de comunicação. Manter a confidencialidade pressupõe assegurar que as pessoas não tomem conhecimento de informações, de forma acidental ou proposital, sem que possuam autorização para tal procedimento.

Consiste na garantia da veracidade da fonte das informações. Por meio da autenticação é possível confirmar a identidade da pessoa ou entidade que presta as informações.

Consiste na garantia de que as informações estejam acessíveis às pessoas e aos processos autorizados, a qualquer momento requerido, durante o período acordado entre os gestores da informação e a área de informática. Manter a disponibilidade de informações pressupõe garantir a prestação contínua do serviço, sem interrupções no fornecimento de informações para quem é de direito.

Porque a informação é um ativo muito importante para qualquer instituição, podendo ser considerada, atualmente, o recurso patrimonial mais crítico. Informações adulteradas, não disponíveis, sob conhecimento de pessoas de má-fé ou de concorrentes podem comprometer significativamente, não apenas a imagem da instituição perante terceiros, como também o andamento dos próprios processos institucionais. É possível inviabilizar a continuidade de uma instituição se não for dada a devida atenção à segurança de suas informações.

Política de segurança de informações é um conjunto de princípios que norteiam a gestão de segurança de informações e que deve ser observado pelo corpo técnico e gerencial e pelos usuários internos e externos. As diretrizes estabelecidas nesta política determinam as linhas mestras que devem ser seguidas pela instituição para que sejam assegurados seus recursos computacionais e suas informações.

É recomendável que na estrutura da instituição exista uma área responsável pela segurança de informações, a qual deve iniciar o processo de elaboração da política de segurança de informações, bem como coordenar sua implantação, aprová-la e revisá-la, além de designar funções de segurança.

Vale salientar, entretanto, que pessoas de áreas críticas da instituição devem participar do processo de elaboração da PSI, como a alta administração e os diversos gerentes e proprietários dos sistemas informatizados. Além disso, é recomendável que a PSI seja aprovada pelo mais alto dirigente da instituição.

A política de segurança de informações deve extrapolar o escopo abrangido pelas áreas de sistemas de informação e recursos computacionais. Ela não deve ficar restrita à área de informática. Ao contrário, ela deve estar integrada à visão, à missão, ao negócio e às metas institucionais, bem como ao plano estratégico de informática e às políticas da instituição concernentes à segurança em geral.

O conteúdo da PSI varia, de instituição para instituição, em função de seu estágio de maturidade, grau de informatização, área de atuação, cultura organizacional, necessidades requeridas, requisitos de segurança, entre outros aspectos. No entanto, é comum a presença de alguns tópicos na PSI, tais como:

•  definição de segurança de informações e de sua importância como mecanismo que possibilita o compartilhamento de informações;

• declaração do comprometimento da alta administração com a PSI, apoiando suas metas e princípios;

• objetivos de segurança da instituição;

• definição de responsabilidades gerais na gestão de segurança de informações;

• orientações sobre análise e gerência de riscos;

• princípios de conformidade dos sistemas computacionais com a PSI;

• padrões mínimos de qualidade que esses sistemas devem possuir;

• políticas de controle de acesso a recursos e sistemas computacionais;

• classificação das informações (de uso irrestrito, interno, confidencial e secretas);

• procedimentos de prevenção e detecção de vírus;

• princípios legais que devem ser observados quanto à tecnologia da informação (direitos de propriedade de produção intelectual, direitos sobre software, normas legais correlatas aos sistemas desenvolvidos, cláusulas contratuais);

• princípios de supervisão constante das tentativas de violação da segurança de informações;

• consequências de violações de normas estabelecidas na política de segurança;

• princípios de gestão da continuidade do negócio;

• plano de treinamento em segurança de informações.

A política de segurança de informações deve conter princípios, diretrizes e regras genéricos e amplos, para aplicação em toda a instituição. Além disso, ela deve ser clara o suficiente para ser bem compreendida pelo leitor em foco, aplicável e de fácil aceitação. A complexidade e extensão exageradas da PSI pode levar ao fracasso de sua implementação.

Cabe destacar que a PSI pode ser composta por várias políticas inter-relacionadas, como a política de senhas, de backup, de contratação e instalação de equipamentos e softwares.

Ademais, quando a instituição achar conveniente e necessário que a PSI seja mais abrangente e detalhada, sugere-se a criação de outros documentos que especifiquem práticas e procedimentos e que descrevam com mais detalhes as regras de uso da tecnologia da informação. Esses documentos costumam dispor sobre regras mais específicas, que detalham as responsabilidades dos usuários, gerentes e auditores e, normalmente, são atualizados com maior frequência. A PSI é o primeiro de muitos documentos com informações cada vez mais detalhadas sobre procedimentos, práticas e padrões a serem aplicados em determinadas circunstâncias, sistemas ou recursos.

O processo de implantação da política de segurança de informações deve ser formal. No decorrer desse processo, a PSI deve permanecer passível a ajustes para melhor adaptar-se às reais necessidades. O tempo desde o início até a completa implantação tende a ser longo. Em resumo, as principais etapas que conduzem à implantação bem-sucedida da PSI são: elaboração, aprovação, implementação, divulgação e manutenção. Muita atenção deve ser dada às duas últimas etapas, haja vista ser comum a não observância. Normalmente, após a consecução das três primeiras etapas, as gerências de segurança acreditam terem cumprido o dever e esquecem-se da importância da divulgação e atualização da PSI.

De forma mais detalhada, pode-se citar como as principais fases que compõem o processo de implantação da PSI:

• identificação dos recursos críticos;

• classificação das informações;

• definição, em linhas gerais, dos objetivos de segurança a serem atingidos;

• análise das necessidades de segurança (identificação das possíveis ameaças, análise de riscos e impactos);

• elaboração de proposta de política;

• discussões abertas com os envolvidos;

• apresentação de documento formal à alta administração;

• aprovação; • publicação;

• divulgação;

• treinamento;

• implementação;

• avaliação e identificação das mudanças necessárias;

• revisão.

O sucesso da PSI está diretamente relacionado ao envolvimento e à atuação da alta administração. Quanto maior for o comprometimento da administração superior com os processos de elaboração e implantação da PSI, maior a probabilidade de ela ser efetiva e eficaz. Esse comprometimento deve ser expresso formalmente, por escrito.

A divulgação ampla a todos os usuários internos e externos à instituição é um passo indispensável para que o processo de implantação da PSI tenha sucesso. A PSI deve ser de conhecimento de todos que interagem com a instituição e que, direta ou indiretamente, serão afetados por ela. É necessário que fique bastante claro, para todos, as consequências advindas do uso inadequado dos sistemas computacionais e de informações, as medidas preventivas e corretivas que estão a seu cargo para o bom, regular e efetivo controle dos ativos computacionais. A PSI fornece orientação básica aos agentes envolvidos de como agir corretamente para atender às regras nela estabelecidas. É importante, ainda, que a PSI esteja permanentemente acessível a todos.

A própria Política de Segurança de Informações deve prever os procedimentos a serem adotados para cada caso de violação, de acordo com a severidade, a amplitude e o tipo de infrator que a perpetra. A punição pode ser desde uma simples advertência verbal ou escrita até uma ação judicial.

A Lei n.º 9.983, de 14 de julho de 2000, que altera o Código Penal Brasileiro, já prevê penas para os casos de violação de integridade e quebra de sigilo de sistemas informatizados ou banco de dados da Administração Pública. O novo art. 313-A trata da inserção de dados falsos em sistemas de informação, enquanto o art. 313-B discorre sobre a modificação ou alteração não autorizada desses mesmos sistemas. O § 1º do art. 153 do Código Penal foi alterado e, atualmente, define penas quando da divulgação de informações sigilosas ou reservadas, contidas ou não nos bancos de dados da Administração Pública. O fornecimento ou empréstimo de senha que possibilite o acesso de pessoas não autorizadas a sistemas de informações é tratado no inciso I do § 1º do art. 325 do Código Penal.

Neste tópico, fica ainda mais evidente a importância da conscientização dos funcionários quanto à PSI. Uma vez que a Política seja de conhecimento de todos da instituição, não será admissível que as pessoas aleguem ignorância quanto às regras nela estabelecidas a fim de livrar-se da culpa sobre violações cometidas.

Quando detectada uma violação, é preciso averiguar as causas, consequências e circunstâncias em que ocorreu. Pode ter sido derivada de um simples acidente, erro ou mesmo desconhecimento da PSI, como também de negligência, ação deliberada e fraudulenta. Essa averiguação possibilita que vulnerabilidades até então desconhecidas pelo pessoal da gerência de segurança passem a ser consideradas, exigindo, se for o caso, alterações na PSI.

A PSI não só pode ser alterada, como deve passar por processo de revisão definido e periódico que garanta a reavaliação a qualquer mudança que venha afetar a análise de risco original, tais como: incidente de segurança significativo, novas vulnerabilidades, mudanças organizacionais ou na infraestrutura tecnológica. Além disso, deve haver análise periódica da efetividade da política, demonstrada pelo tipo, volume e impacto dos incidentes de segurança registrados. É desejável, também, que sejam avaliados o custo e o impacto dos controles na eficiência do negócio, a fim de que esta não seja comprometida pelo excesso ou escassez de controles. É importante frisar, ainda, que a PSI deve ter um gestor responsável por sua manutenção e análise crítica.

O Decreto n.º 3.505, de 13.06.2000, instituiu a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal. Em linhas gerais, os objetivos traçados nessa PSI dizem respeito à necessidade de capacitação e conscientização das pessoas lotadas nos órgãos e entidades da Administração Pública Federal quanto aos aspectos de segurança da informação; e necessidade de elaboração e edição de instrumentos jurídicos, normativos e organizacionais que promovam a efetiva implementação da segurança da informação. Com relação às matérias que esses instrumentos devem versar, o Decreto menciona:

• padrões relacionados ao emprego dos produtos que incorporam recursos criptográficos;

• normas gerais para uso e comercialização dos recursos criptográficos;

• normas, padrões e demais aspectos necessários para assegurar a confidencialidade dos dados;

• normas relacionadas à emissão de certificados de conformidade;

• normas relativas à implementação dos sistemas de segurança da informação, com intuito de garantir a interoperabilidade, obtenção dos níveis de segurança desejados e permanente disponibilização dos dados de interesse para a defesa nacional; O TCU, por meio do Acórdão 2471/2008 - Plenário, fez as seguintes recomendações ao Gabinete de Segurança Institucional da Presidência da República (GSI/PR): 9.6.1. crie procedimentos para elaboração de Políticas de Segurança da Informação, Políticas de Controle de Acesso, Políticas de Cópias de Segurança, Análises de Riscos e Planos de Continuidade do Negócio. Referidas políticas, planos e análises deverão ser implementadas nos entes sob sua jurisdição por meio de orientação normativa;

9.6.2. identifique boas práticas relacionadas à segurança da informação, difundindo-as na Administração Pública Federal;

O GSI/PR editou, em 30/06/2009, a Norma Complementar 03/IN01/DSIC/GSIPR, que estabeleceu diretrizes para elaboração de política de segurança da informação e comunicações nos órgãos e entidades da Administração Pública Federal, direta e indireta.

Neste capítulo serão apresentados conceitos importantes sobre controles de acesso lógico a serem implantados em instituições que utilizam a informática como meio de geração, armazenamento e divulgação de informações, com o objetivo de prover segurança de acesso a essas informações.

Os controles de acesso, físicos ou lógico, têm como objetivo proteger equipamentos, aplicativos e arquivos de dados contra perda, modificação ou divulgação não autorizada. Os sistemas computacionais, bem diferentes de outros tipos de recursos, não podem ser facilmente controlados apenas com dispositivos físicos, como cadeados, alarmes ou guardas de segurança.

Os controles de acesso lógico são um conjunto de procedimentos e medidas com o objetivo de proteger dados, programas e sistemas contra tentativas de acesso não autorizadas feitas por pessoas ou outros programas de computador.

O controle de acesso lógico pode ser encarado de duas formas diferentes: a partir do recurso computacional que se quer proteger e a partir do usuário a quem serão concedidos certos privilégios e acessos aos recursos.

A proteção aos recursos computacionais baseia-se nas necessidades de acesso de cada usuário, enquanto a identificação e a autenticação do usuário (confirmação de que o usuário realmente é quem ele diz ser) são feitas normalmente por meio de um identificador de usuário (ID) e uma senha durante o processo de logon no sistema.

A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional. Abaixo serão apresentados os motivos pelos quais esses recursos devem ser protegidos.

• Aplicativos (programas fonte e objeto)

O acesso não autorizado ao código fonte dos aplicativos pode ser usado para alterar as funções e a lógica do programa. Por exemplo, em um aplicativo bancário, pode-se zerar os centavos de todas as contas correntes e transferir o total dos centavos para uma determinada conta, beneficiando ilegalmente esse correntista.

• Arquivos de dados

Bases de dados, arquivos ou transações de bancos de dados devem ser protegidos para evitar que os dados sejam apagados ou alterados sem autorização, como por exemplo, arquivos com a configuração do sistema, dados da folha de pagamento, dados estratégicos da empresa.

• Utilitários e sistema operacional

O acesso a utilitários, como editores, compiladores, softwares de manutenção, monitoração e diagnóstico deve ser restrito, já que essas ferramentas podem ser usadas para alterar aplicativos, arquivos de dados e de configuração do sistema operacional, por exemplo. O sistema operacional é sempre um alvo bastante visado, pois sua configuração é o ponto chave de todo o esquema de segurança. A fragilidade do sistema operacional compromete a segurança de todo o conjunto de aplicativos, utilitários e arquivos.

• Arquivos de senha

A falta de proteção adequada aos arquivos que armazenam as senhas pode comprometer todo o sistema, pois uma pessoa não autorizada, ao obter identificador (ID) e senha de um usuário privilegiado, pode, intencionalmente, causar danos ao sistema. Essa pessoa dificilmente será barrada por qualquer controle de segurança instalado, já que se faz passar por um usuário autorizado.

• Arquivos de log

Os arquivos de log são usados para registrar ações dos usuários, constituindo-se em ótimas fontes de informação para auditorias futuras. Os logs registram quem acessou os recursos computacionais, aplicativos, arquivos de dados e utilitários, quando foi feito o acesso e que tipo de operações foram efetuadas. Um invasor ou usuário não autorizado pode tentar acessar o sistema, apagar ou alterar dados, acessar aplicativos, alterar a configuração do sistema operacional para facilitar futuras invasões e depois alterar os arquivos de log para que suas ações não possam ser identificadas. Dessa forma, o administrador do sistema não ficará sabendo que houve uma invasão.

Os controles de acesso lógico são implantados com o objetivo de garantir que:

• apenas usuários autorizados tenham acesso aos recursos;

• os usuários tenham acesso apenas aos recursos realmente necessários para a execução de suas tarefas;

• o acesso a recursos críticos seja bem monitorado e restrito a poucas pessoas;

• os usuários estejam impedidos de executar transações incompatíveis com sua função ou além de suas responsabilidades.

O controle de acesso pode ser traduzido, então, em termos de funções de identificação e autenticação de usuários; alocação, gerência e monitoramento de privilégios; limitação, monitoramento e desabilitação de acessos; e prevenção de acessos não autorizados.

Os usuários dos sistemas computacionais são identificados e autenticados durante um processo, chamado Logon. Os processos de logon são usados para conceder acesso aos dados e aplicativos em um sistema computacional e orientam os usuários durante sua identificação e autenticação. Normalmente esse processo envolve a entrada de um ID (identificação do usuário) e uma senha (autenticação do usuário). A identificação define para o computador quem é o usuário e a senha é um autenticador, isto é, ela prova ao computador que o usuário é realmente quem ele diz ser.

O procedimento de logon deve divulgar o mínimo de informações sobre o sistema, evitando fornecer, a um usuário não autorizado, informações detalhadas. Um procedimento de logon eficiente deve:

• informar que o computador só deve ser acessado por pessoas autorizadas;

• evitar identificar o sistema ou suas aplicações até que o processo de logon esteja completamente concluído;

• durante o processo de logon, evitar o fornecimento de mensagens de ajuda que poderiam auxiliar um usuário não autorizado a completar esse procedimento;

• validar a informação de logon apenas quando todos os dados de entrada estiverem completos. Caso ocorra algum erro, o sistema não deve indicar qual parte do dado de entrada está correta ou incorreta, como por exemplo, ID ou senha;

• limitar o número de tentativas de logon sem sucesso (é recomendado um máximo de três tentativas), e ainda:

a) registrar as tentativas de acesso inválidas;

b) forçar um tempo de espera antes de permitir novas tentativas de entrada no sistema ou rejeitar qualquer tentativa posterior de acesso sem autorização específica;

c) encerrar as conexões com o computador.

• limitar o tempo máximo para o procedimento de logon. Se excedido, o sistema deverá encerrar o procedimento;

• mostrar as seguintes informações, quando o procedimento de logon no sistema finalizar com êxito:

a) data e hora do último logon com sucesso;

b) detalhes de qualquer tentativa de logon sem sucesso, desde o último procedimento realizado com sucesso.

A identificação do usuário, ou ID, deve ser única, isto é, cada usuário deve ter uma identificação própria. Todos os usuários autorizados devem ter um ID, quer seja um código de caracteres, cartão inteligente ou qualquer outro meio de identificação. Essa unicidade de identificação permite um controle das ações praticadas pelos usuários por meio dos logs.

No caso de identificação a partir de caracteres, é comum estabelecer certas regras de composição, como por exemplo, quantidade mínima e máxima de caracteres, misturando letras, números e símbolos.

Após a identificação do usuário, deve-se proceder à sua autenticação, isto é, o sistema deve confirmar se o usuário é realmente quem ele diz ser. Os sistemas de autenticação são uma combinação de hardware, softwares e procedimentos que permitem o acesso de usuários aos recursos computacionais.

Na autenticação, o usuário deve apresentar algo que só ele saiba ou possua, podendo até envolver a verificação de características físicas pessoais. A maioria dos sistemas atuais solicita uma senha (algo que, supostamente, só o usuário conhece), mas já existem sistemas mais modernos utilizando cartões inteligentes (algo que o usuário possui) ou ainda características físicas (algo intrínseco ao usuário), como o formato da mão, da retina ou do rosto, impressão digital e reconhecimento de voz.

Para que os controles de senha funcionem, os usuários devem ter pleno conhecimento das políticas de senha da instituição e devem ser orientados e estimulados a segui-las fielmente. Todos os usuários devem ser solicitados a:

• manter a confidencialidade das senhas;

• não compartilhar senhas;

• evitar registrar as senhas em papel;

• selecionar senhas de boa qualidade, evitando o uso de senhas muito curtas ou muito longas, que os obriguem a escrevê-las em um pedaço de papel para não serem esquecidas (recomenda-se tamanho entre seis e oito caracteres);

• alterar a senha sempre que existir qualquer indicação de possível comprometimento do sistema ou da própria senha;

• alterar a senha em intervalos regulares ou com base no número de acessos (senhas para usuários privilegiados devem ser alteradas com maior frequência que senhas normais);

• evitar reutilizar as mesmas senhas;

• alterar senhas temporárias no primeiro acesso ao sistema;

• não incluir senhas em processos automáticos de acesso ao sistema (por exemplo, armazenadas em macros).

Vale lembrar também que utilizar a mesma senha para vários sistemas não é uma boa prática, pois a primeira atitude de um invasor, quando descobre a senha de um usuário em um sistema vulnerável, é tentar a mesma senha em outros sistemas a que o usuário tenha acesso.

Os usuários devem evitar senhas compostas de elementos facilmente identificáveis por possíveis invasores, como por exemplo:

• nome do usuário;

• identificador do usuário (ID), mesmo que os caracteres estejam embaralhados;

• nome de membros de sua família ou de amigos íntimos;

• nomes de pessoas ou lugares em geral;

• nome do sistema operacional ou da máquina que está sendo utilizada;

• nomes próprios;

• datas;

• números de telefone, de cartão de crédito, de carteira de identidade ou de outros documentos pessoais;

• placas ou marcas de carro;

• palavras que constam de dicionários em qualquer idioma;

• letras ou números repetidos;

• letras seguidas do teclado do computador (ASDFG, YUIOP);

• objetos ou locais que podem ser vistos a partir da mesa do usuário (nome de um livro na estante, nome de uma loja vista pela janela);

• qualquer senha com menos de 6 caracteres.

Alguns softwares são capazes de identificar senhas frágeis, como algumas dessas citadas acima, a partir de bases de dados de nomes e sequências de caracteres mais comuns, e ainda bloquear a escolha dessas senhas por parte do usuário. Essas bases de dados normalmente fazem parte do pacote de software de segurança e podem ser atualizadas pelo gerente de segurança com novas inclusões

Geralmente são consideradas boas senhas aquelas que incluem, na composição, letras (maiúsculas e minúsculas), números e símbolos embaralhados, totalizando mais de seis caracteres. Porém, para ser boa mesmo, a senha tem que ser difícil de ser adivinhada por outra pessoa, mas de fácil memorização, para que não seja necessário anotá-la em algum lugar. Também é conveniente escolher senhas que possam ser digitadas rapidamente, dificultando que outras pessoas, a certa distância ou por cima dos ombros, possam identificar a sequência de caracteres.

Um método bastante difundido hoje em dia é selecionar uma frase significativa para o usuário e utilizar os primeiros caracteres de cada palavra que a compõe, inserindo símbolos entre eles. É também recomendável não utilizar a mesma senha para vários sistemas. Se um deles não for devidamente protegido, a senha poderá ser descoberta e utilizada nos sistemas que, a priori, estariam seguros. Outro conselho: adquira o hábito de trocar sua senha com frequência. Trocá-la a cada 60/90 dias é considerada uma boa prática.

Se você realmente não conseguir memorizar sua senha e tiver que escrevê-la em algum pedaço de papel, tenha pelo menos o cuidado de não identificá-la como sendo uma senha. Não pregue esse pedaço de papel no próprio computador, não guarde a senha junto com a sua identificação de usuário e nunca a envie por e-mail ou armazene em arquivos do computador.

A concessão de senhas deve ser feita de maneira formal, considerando os seguintes pontos:

• solicitar aos usuários a assinatura de uma declaração, a fim de manter a confidencialidade de sua senha pessoal (isso pode estar incluso nos termos e condições do contrato de trabalho do usuário);

• garantir, aos usuários, que estão sendo fornecidas senhas iniciais seguras e temporárias, forçando-os a alterá-las logo no primeiro logon. O fornecimento de senhas temporárias, nos casos de esquecimento por parte dos usuários, deve ser efetuado somente após a identificação positiva do respectivo usuário;

• fornecer as senhas temporárias aos usuários de forma segura. O uso de terceiros ou mensagens de correio eletrônico desprotegidas (não criptografadas) deve ser evitado.

O sistema de controle de senhas deve ser configurado para proteger as senhas armazenadas contra uso não autorizado, sem apresentá-las na tela do computador, mantendo-as em arquivos criptografados e estipulando datas de expiração (normalmente se recomenda a troca de senhas após 60 ou 90 dias). Alguns sistemas, além de criptografar as senhas, ainda guardam essas informações em arquivos escondidos que não podem ser vistos por usuários, dificultando, assim, a ação dos hackers.

Para evitar o uso frequente das mesmas senhas, o sistema de controle de senhas deve manter um histórico das últimas senhas utilizadas por cada usuário. Deve-se ressaltar, entretanto, que a troca muito frequente de senhas também pode confundir o usuário, que poderá passar a escrever a senha em algum lugar visível ou escolher uma senha mais fácil, comprometendo, assim, a segurança.

O gerente de segurança deve desabilitar contas inativas, sem senhas ou com senhas padronizadas. Até mesmo a senha temporária fornecida ao usuário pela gerência de segurança deve ser gerada de forma que já entre expirada no sistema, exigindo uma nova senha para os próximos logons. Portanto, deve haver um procedimento que force a troca de senha imediatamente após a primeira autenticação, quando o usuário poderá escolher a senha que será utilizada dali por diante.

Ex-funcionários devem ter suas senhas bloqueadas. Para isso, devem existir procedimentos administrativos eficientes que informem o gerente de segurança, ou o administrador dos sistemas, da ocorrência de demissões ou desligamentos de funcionários. Esses procedimentos, na prática, nem sempre são seguidos, expondo a instituição a riscos indesejáveis.

Também devem ser bloqueadas contas de usuários após um determinado número de tentativas de acesso sem sucesso. Esse procedimento diminui os riscos de alguém tentar adivinhar as senhas. Atingido esse limite, só o administrador do sistema poderá desbloquear a conta do usuário, por exemplo.

Sim. A autenticação dos usuários pode ser feita a partir de tokens, ou ainda, sistemas biométricos.

A ideia de fornecer tokens aos usuários como forma de identificá-los é bastante antiga. No nosso dia-a-dia estamos frequentemente utilizando tokens para acessar alguma coisa. A chave que abre a porta da residência ou o cartão com tarja magnética para utilizar o caixa eletrônico do banco são exemplos de tokens. O cartão magnético é ainda uma token especial, pois guarda outras informações, como por exemplo, a conta bancária.

Token pode ser definida, então, como um objeto que o usuário possui, que o diferencia das outras pessoas e o habilita a acessar algum objeto. A desvantagem das tokens em relação às senhas é que as tokens, por serem objetos, podem ser perdidas, roubadas ou reproduzidas com maior facilidade.

Os cartões inteligentes são tokens que contêm microprocessadores e capacidade de memória suficiente para armazenar dados, a fim de dificultar a utilização por outras pessoas que não os proprietários legítimos. O primeiro cartão inteligente, patenteado em 1975, foi o de Roland Moreno, considerado o pai do cartão inteligente. Comparado ao cartão magnético, que é um simples dispositivo de memória, o cartão inteligente não só pode armazenar informações para serem lidas, mas também é capaz de processar informações. Sua clonagem é mais difícil e a maioria dos cartões inteligentes ainda oferece criptografia.

Normalmente o usuário de cartão inteligente precisa fornecer uma senha à leitora de cartão para que o acesso seja permitido, como uma medida de proteção a mais contra o roubo de cartões.

As instituições bancárias, financeiras e governamentais são os principais usuários dessa tecnologia, em função de seus benefícios em relação à segurança de informações e pela possibilidade de redução de custos de instalações e pessoal, como por exemplo, a substituição dos guichês de atendimento ao público nos bancos por caixas eletrônicos. Os cartões inteligentes têm sido usados em diversas aplicações: cartões bancários, telefônicos e de crédito, dinheiro eletrônico, segurança de acesso, carteiras de identidade.

Os sistemas biométricos são sistemas automáticos de verificação de identidade baseados em características físicas do usuário. Esses sistemas têm como objetivo suprir deficiências de segurança das senhas, que podem ser reveladas ou descobertas, e das tokens, que podem ser perdidas ou roubadas.

Os sistemas biométricos automáticos são uma evolução natural dos sistemas manuais de reconhecimento amplamente difundidos há muito tempo, como a análise grafológica de assinaturas, a análise de impressões digitais e o reconhecimento de voz. Hoje já existem sistemas ainda mais sofisticados, como os sistemas de análise da conformação dos vasos sanguíneos na retina.

Teoricamente, qualquer característica humana pode ser usada como base para a identificação biométrica. Na prática, entretanto, existem algumas limitações. A tecnologia deve ser capaz de medir determinada característica de tal forma que o indivíduo seja realmente único, distinguindo inclusive gêmeos, porém não deve ser invasiva ou ferir os direitos dos indivíduos.

Um dos problemas enfrentados pelos sistemas biométricos atuais é a alta taxa de erro, em função da mudança das características de uma pessoa com o passar dos anos, ou devido a problemas de saúde ou nervosismo, por exemplo. A tolerância a erros deve ser estabelecida com precisão, de forma a não ser grande o suficiente para admitir impostores, nem pequena demais a ponto de negar acesso a usuários legítimos. Abaixo serão apresentadas algumas características humanas verificadas por sistemas biométricos existentes:

• impressões digitais – são características únicas e consistentes. Nos sistemas biométricos que utilizam essa opção, são armazenados de 40 a 60 pontos para verificar uma identidade. O sistema compara a impressão lida com impressões digitais de pessoas autorizadas, armazenadas em sua base de dados. Atualmente, estão sendo utilizadas impressões digitais em alguns sistemas governamentais, como por exemplo, o sistema de previdência social na Espanha e o de registro de eleitores na Costa Rica;

• voz – os sistemas de reconhecimento de voz são usados para controle de acesso, porém não são tão confiáveis quanto às impressões digitais, em função dos erros causados por ruídos do ambiente e problemas de garganta ou nas cordas vocais das pessoas a eles submetidas;

• geometria da mão – também é usada em sistemas de controle de acesso, porém essa característica pode ser alterada por aumento ou diminuição de peso ou artrite;

• configuração da íris e da retina – os sistemas que utilizam essas características se propõem a efetuar identificação mais confiável do que os sistemas que verificam impressões digitais. Entretanto, são sistemas invasivos, pois direcionam feixes de luz aos olhos das pessoas que se submetem à sua identificação;

• reconhecimento facial por meio de termogramas - o termograma facial é uma imagem captada por uma câmera infravermelha que mostra os padrões térmicos de uma face. Essa imagem é única e, combinada com algoritmos sofisticados de comparação de diferentes níveis de temperatura distribuídos pela face, constitui-se em uma técnica não invasiva, altamente confiável, não sendo afetada por alterações de saúde, idade ou temperatura do corpo. São armazenados ao todo 19.000 pontos de identificação, podendo distinguir gêmeos idênticos, mesmo no escuro. O desenvolvimento dessa tecnologia tem como um de seus objetivos baratear seu custo para que possa ser usada em um número maior de aplicações de identificação e autenticação.

O fato de um usuário ter sido identificado e autenticado não quer dizer que ele poderá acessar qualquer informação ou aplicativo sem qualquer restrição. Deve-se implementar um controle específico restringindo o acesso dos usuários apenas às aplicações, arquivos e utilitários imprescindíveis para desempenhar suas funções na instituição. Esse controle pode ser feito por menus, funções ou arquivos.

Os controles de menu podem ser usados para restringir o acesso de diferentes categorias de usuários apenas àqueles aplicativos ou utilitários indispensáveis a cada categoria. Por exemplo, em um sistema de folha de pagamento, poderá ser apresentado um menu inicial com três opções diferentes : funcionário, gerente e setor de recursos humanos. Nesse caso, o administrador do sistema deverá conceder acesso a cada uma das opções de acordo com a função desempenhada pelo usuário. Portanto, o funcionário só terá acesso a dados da sua folha de pagamento pessoal, enquanto o gerente poderá ter acesso a algumas informações da folha de seus funcionários. O setor de recursos humanos, para poder alimentar a base de dados de pagamento, obterá um nível diferente de acesso e sua interação com o sistema será feita a partir de menus próprios para a administração de pessoal. Os menus apresentados após a seleção de uma das opções (funcionário, gerente ou setor de recursos humanos) serão, portanto, diferentes.

No que diz respeito às funções internas dos aplicativos, os respectivos proprietários deverão definir quem poderá acessá-las e como, por meio de autorização para uso de funções específicas ou restrição de acesso a funções de acordo com o usuário (menus de acesso predefinidos), horário ou tipo de recursos (impressoras, fitas backup).

A maioria dos sistemas operacionais possui mecanismos de controle de acesso que definem as permissões e os privilégios de acesso para cada recurso ou arquivo no sistema. Quando um usuário tenta acessar um recurso, o sistema operacional verifica se as definições de acesso desse usuário e do recurso desejado conferem. O usuário só conseguirá o acesso se essa verificação for positiva.

Para garantir a segurança lógica, pode-se especificar dois tipos de controle, sob óticas diferentes :

• o que um sujeito pode fazer; ou

• o que pode ser feito com um objeto.

• O que são direitos e permissões de acesso? Definir direitos de acesso individualmente para cada sujeito e objeto pode ser uma maneira um tanto trabalhosa quando estiverem envolvidas grandes quantidades de sujeitos e objetos. A forma mais comum de definição de direitos de acesso, neste caso, é a matriz de controle de acesso. Nesta matriz, pode-se fazer duas análises: uma em relação aos sujeitos; outra, em relação aos objetos.

Na primeira abordagem, cada sujeito recebe uma permissão (ou capacidade) que define todos os seus direitos de acesso. As permissões de acesso são, então, atributos, associados a um sujeito ou objeto, que definem o que ele pode ou não fazer com outros objetos. Essa abordagem, no entanto, é pouco utilizada, já que, na prática, com grandes quantidades de sujeitos e objetos, a visualização exata de quem tem acesso a um determinado objeto não é tão clara, comprometendo, assim, a gerência de controle de acesso.

Na segunda abordagem, os direitos de acesso são armazenados com o próprio objeto formando a chamada lista de controle de acesso (ACL - Access Control List).

Enquanto a permissão de acesso define o que um objeto pode ou não fazer com outros, a lista de controle de acesso define o que os outros objetos ou sujeitos podem fazer com o objeto a ela associado. As listas de controle de acesso nada mais são do que bases de dados, associadas a um objeto, que descrevem os relacionamentos entre aquele objeto e outros, constituindo-se em um mecanismo de garantia de confidencialidade e integridade de dados.

A definição das listas de controle de acesso deve ser sempre feita pelos proprietários dos recursos, os quais determinam o tipo de proteção adequada a cada recurso e quem efetivamente terá acesso a eles.

A gerência das listas de controle de acesso, na prática, também é complicada. Para reduzir os problemas de gerenciamento dessas listas e o espaço de memória ou disco por elas ocupado, costuma-se agrupar os sujeitos com características semelhantes ou direitos de acesso iguais. Dessa forma, os direitos de acesso são associados a grupos, e não a sujeitos individualizados. Vale ressaltar que um sujeito pode pertencer a um ou mais grupos, de acordo com o objeto a ser acessado.

O monitoramento dos sistemas de informação é feito, normalmente, mediante registros de log, trilhas de auditoria ou outros mecanismos capazes de detectar invasões. Esse monitoramento é essencial à equipe de segurança de informações, já que é praticamente impossível eliminar por completo todos os riscos de invasão por meio da identificação e autenticação de usuários. Na ocorrência de uma invasão, falha do sistema ou atividade não autorizada, é imprescindível reunir evidências suficientes para que possam ser tomadas medidas corretivas necessárias ao restabelecimento do sistema às suas condições normais, assim como medidas administrativas e/ou judiciais para investigar e punir os invasores. A forma mais simples de monitoramento é a coleta de informações, sobre determinados eventos, em arquivos históricos, mais conhecidos como logs. Com essas informações, a equipe de segurança é capaz de registrar eventos e detectar tentativas de acesso e atividades não autorizadas após sua ocorrência.

Os logs são registros cronológicos de atividades do sistema que possibilitam a reconstrução, revisão e análise dos ambientes e atividades relativas a uma operação, procedimento ou evento, acompanhados do início ao fim.

Os logs são utilizados como medidas de detecção e monitoramento, registrando atividades, falhas de acesso (tentativas frustradas de logon ou de acesso a recursos protegidos) ou uso do sistema operacional, utilitários e aplicativos, e detalhando o que foi acessado, por quem e quando. Com os dados dos logs, pode-se identificar e corrigir falhas da estratégia de segurança. Por conterem informações essenciais à detecção de acesso não autorizado, os arquivos de log devem ser protegidos contra alteração ou destruição por usuários ou invasores que queiram encobrir suas atividades.

Devido à grande quantidade de dados armazenada em logs, deve-se levar em consideração que seu uso pode degradar o desempenho dos sistemas. Sendo assim, é aconselhável balancear a necessidade de registro de atividades críticas e os custos, em termos de desempenho global dos sistemas. Normalmente, os registros de log incluem:

• identificação dos usuários;

• datas e horários de entrada (logon) e saída do sistema (logoff);

• identificação da estação de trabalho e, quando possível, sua localização;

• registros das tentativas de acesso (aceitas e rejeitadas) ao sistema;

• registros das tentativas de acesso (aceitas e rejeitadas) a outros recursos e dados.

Ao definir o que será registrado, é preciso considerar que quantidades enormes de registros podem ser inviáveis de serem monitoradas. Nada adianta ter um log se ele não é periodicamente revisado. Para auxiliar a gerência de segurança na árdua tarefa de análise de logs, podem ser previamente definidas trilhas de auditoria mais simples e utilizados softwares especializados disponíveis no mercado, específicos para cada sistema operacional.

Outro recurso de proteção bastante utilizado em alguns sistemas é o time-out automático, isto é, a sessão é desativada após um determinado tempo sem qualquer atividade no terminal ou computador. Para restaurá-la, o usuário é obrigado a fornecer novamente seu ID e senha. Em alguns sistemas operacionais, o próprio usuário, após sua habilitação no processo de logon, pode ativar e desativar essa função de time-out. Nesse sentido, os usuários devem ser orientados a:

• encerrar as sessões ativas, a menos que elas possam ser protegidas por mecanismo de bloqueio (por exemplo, proteção de tela com senha);

• no caso de terminal conectado a computador de grande porte, efetuar a desconexão quando a sessão for finalizada (não apenas desligar o terminal, mas utilizar o procedimento para desconexão).

Como controle de acesso lógico, a gerência de segurança pode ainda limitar o horário de uso dos recursos computacionais de acordo com a real necessidade de acesso aos sistemas. Pode-se, por exemplo, desabilitar o uso dos recursos nos fins de semana ou à noite.

É usual também limitar a quantidade de sessões concorrentes, impedindo que o usuário consiga entrar no sistema ou na rede a partir de mais de um terminal ou computador simultaneamente. Isso reduz os riscos de acesso ao sistema por invasores, pois se o usuário autorizado já estiver conectado, o invasor não poderá entrar no sistema. Da mesma forma, se o invasor estiver logado, o usuário autorizado, ao tentar se conectar, identificará que sua conta já está sendo usada e poderá notificar o fato à gerência de segurança.

As regras de controle e direitos de acesso para cada usuário ou grupo devem estar claramente definidas no documento da política de controle de acesso da instituição, o qual deverá ser fornecido aos usuários e provedores de serviço para que tomem conhecimento dos requisitos de segurança estabelecidos pela gerência.

A política de controle de acesso deve levar em conta:

• os requisitos de segurança de aplicações específicas do negócio da instituição;

• a identificação de toda informação referente às aplicações de negócio;

• as políticas para autorização e distribuição de informação (por exemplo, a necessidade de conhecer os princípios e níveis de segurança, bem como a classificação da informação);

• a compatibilidade entre o controle de acesso e as políticas de classificação da informação dos diferentes sistemas e redes;

• a legislação vigente e qualquer obrigação contratual considerando a proteção do acesso a dados ou serviços;

• o perfil de acesso padrão para categorias de usuários comuns;

• o gerenciamento dos direitos de acesso em todos os tipos de conexões disponíveis em um ambiente distribuído conectado em rede.

• Ao especificar as regras de controle de acesso, devem ser considerados os seguintes aspectos:

• diferenciar regras que sempre devem ser cumpridas das regras opcionais ou condicionais;

• estabelecer regras baseadas na premissa “Tudo deve ser proibido a menos que expressamente permitido” ao invés da regra “Tudo é permitido a menos que expressamente proibido”;

• diferenciar as permissões de usuários que são atribuídas automaticamente por um sistema de informação daquelas atribuídas por um administrador;

• priorizar regras que necessitam da aprovação de um administrador antes da liberação daquelas que não necessitam de tal aprovação.

O acesso aos sistemas de informação deve ser controlado mediante um processo formal, o qual deverá abordar, entre outros, os seguintes tópicos:

• utilização de um identificador de usuário (ID) único, de forma que cada usuário possa ser identificado e responsabilizado por suas ações;

• verificação se o usuário obteve autorização do proprietário do sistema de informação ou serviço para sua utilização;

• verificação se o nível de acesso concedido ao usuário está adequado aos propósitos do negócio e consistente com a política de segurança da instituição;

• fornecimento, aos usuários, de documento escrito com seus direitos de acesso. Os usuários deverão assinar esse documento, indicando que entenderam as condições dos direitos de acesso;

• manutenção de um registro formal de todas as pessoas cadastradas para usar cada sistema de informações;

• remoção imediata dos direitos de acesso de usuários que mudarem de função ou saírem da instituição;

• verificação periódica da lista de usuários, com intuito de remover usuários inexistentes e IDs em duplicidade;

• inclusão de cláusulas nos contratos de funcionários e prestadores de serviço, que especifiquem as sanções a que estarão sujeitos em caso de tentativa de acesso não autorizado.

A responsabilidade sobre os controles de acesso lógico pode ser tanto do gerente do ambiente operacional como dos proprietários (ou gerentes) de aplicativos. O gerente do ambiente operacional deve controlar o acesso à rede, ao sistema operacional e seus recursos e, ainda, aos aplicativos e arquivos de dados. É responsável, assim, por proteger os recursos do sistema contra invasores ou funcionários não autorizados.

Enquanto isso, os proprietários dos aplicativos são responsáveis por seu controle de acesso, identificando quem pode acessar cada um dos sistemas e que tipo de operações pode executar. Por conhecerem bem o sistema aplicativo sob sua responsabilidade, os proprietários são as pessoas mais indicadas para definir privilégios de acesso de acordo com as reais necessidades dos usuários. Dessa forma, as responsabilidades sobre segurança de acesso são segregadas entre o gerente do ambiente operacional de informática e os gerentes de aplicativos.

A cooperação dos usuários autorizados é essencial à eficácia da segurança. Os usuários devem estar cientes de suas responsabilidades para a manutenção efetiva dos controles de acesso, considerando, particularmente, o uso de senhas e a segurança dos equipamentos de informática que costumam utilizar.

O TCU, por meio do Acórdão 2471/2008 - Plenário, fez as seguintes recomendações ao Gabinete de Segurança Institucional da Presidência da República (GSI/PR): 9.6.1. crie procedimentos para elaboração de Políticas de Segurança da Informação, Políticas de Controle de Acesso, Políticas de Cópias de Segurança, Análises de Riscos e Planos de Continuidade do Negócio. Referidas políticas, planos e análises deverão ser implementadas nos entes sob sua jurisdição por meio de orientação normativa; 9.6.2. identifique boas práticas relacionadas à segurança da informação, difundindo-as na Administração Pública Federal;

O GSI/PR editou, em 06/05/2010, a Norma Complementar 07/IN01/DSIC/GSIPR, que estabeleceu diretrizes para implementação de controles de acesso relativos à segurança da informação e comunicações nos órgãos e entidades da Administração Pública Federal, direta e indireta.

Plano de Continuidade do Negócio consiste num conjunto de estratégias e procedimentos que devem ser adotados quando a instituição ou uma área depara-se com problemas que comprometem o andamento normal dos processos e a consequente prestação dos serviços. Essas estratégias e procedimentos deverão minimizar o impacto sofrido diante do acontecimento de situações inesperadas, desastres, falhas de segurança, entre outras, até que se retorne à normalidade. O Plano de Continuidade do Negócio é um conjunto de medidas que combinam ações preventivas e de recuperação. Obviamente, os tipos de riscos a que estão sujeitas as instituições variam no tempo e no espaço. No entanto, pode-se citar como exemplos de riscos mais comuns a ocorrência de desastres naturais (enchentes, terremotos, furacões), incêndios, desabamentos, falhas de equipamentos, acidentes, greves, terrorismo, sabotagem, ações intencionais. O Plano de Continuidade do Negócio pode ser desenvolvido por instituições que contenham ou não sistemas computadorizados. Porém, para efeito desta cartilha, o Plano se aplica às instituições que, em menor ou maior grau, dependem da tecnologia da informação, pois se faz referência aos riscos a que essa área está sujeita, bem como aos aspectos relevantes para superar problemas decorrentes.

Atualmente, é inquestionável a dependência das instituições aos computadores, sejam eles de pequeno, médio ou grande porte. Esta característica quase generalizada, por si só, já é capaz de explicar a importância do Plano de Continuidade do Negócio, pois, se para fins de manutenção dos serviços, as instituições dependem de computadores e de informações armazenadas em meio eletrônico, o que fazer na ocorrência de situações inesperadas que comprometam o processamento ou disponibilidade desses computadores ou informações? Ao contrário do que ocorria antigamente, os funcionários não mais detêm o conhecimento integral, assim como a habilidade para consecução dos processos organizacionais, pois eles são, muitas vezes, executados de forma transparente. Além disso, as informações não mais se restringem ao papel, ao contrário, elas estão estrategicamente organizadas em arquivos magnéticos. Por conseguinte, pode-se considerar o Plano de Continuidade do Negócio quesito essencial para as instituições preocupadas com a segurança de suas informações.

O objetivo do Plano de Continuidade do Negócio é manter a integridade e a disponibilidade dos dados da instituição, bem como a disponibilidade dos serviços quando da ocorrência de situações fortuitas que comprometam o bom andamento dos negócios. Possui como objetivo, ainda, garantir que o funcionamento dos sistemas informatizados seja restabelecido no menor tempo possível a fim de reduzir os impactos causados por fatos imprevistos. É normal que, em determinadas situações de anormalidade, o Plano preveja a possibilidade de fornecimento de serviços temporários ou com restrições, que, pelo menos, supram as necessidades imediatas e mais críticas. Cabe destacar que o Plano é um entre vários requisitos de segurança necessários para que os aspectos de integridade e disponibilidade sejam preservados durante todo o tempo.

Antes da elaboração do Plano de Continuidade do Negócio propriamente dito, é importante analisar alguns aspectos:

• riscos a que está exposta a instituição, probabilidade de ocorrência e os impactos decorrentes (tanto aqueles relativos à escala do dano como ao tempo de recuperação);

• consequências que poderão advir da interrupção de cada sistema computacional;

• identificação e priorização de recursos, sistemas, processos críticos;

• tempo limite para recuperação dos recursos, sistemas, processos;

• alternativas para recuperação dos recursos, sistemas, processos, mensurando os custos e benefícios de cada alternativa.

De maneira geral, o Plano de Continuidade do Negócio contém informações sobre:

• condições e procedimentos para ativação do Plano (como se avaliar a situação provocada por um incidente);

• procedimentos a serem seguidos imediatamente após a ocorrência de um desastre (como, por exemplo, contato eficaz com as autoridades públicas apropriadas: polícia, bombeiro, governo local);

• a instalação reserva, com especificação dos bens de informática nela disponíveis, como hardware, software e equipamentos de telecomunicações;

• a escala de prioridade dos aplicativos, de acordo com seu grau de interferência nos resultados operacionais e financeiros da instituição. Quanto mais o aplicativo influenciar na capacidade de funcionamento da instituição, na sua situação econômica e na sua imagem, mais crítico ele será;

• arquivos, programas, procedimentos necessários para que os aplicativos críticos entrem em operação no menor tempo possível, mesmo que parcialmente;

• sistema operacional, utilitários e recursos de telecomunicações necessários para assegurar o processamento dos aplicativos críticos, em grau pré-estabelecido;

• documentação dos aplicativos críticos, sistema operacional e utilitários, bem como suprimentos de informática, ambos disponíveis na instalação reserva e capazes de garantir a boa execução dos processos definidos;

• dependência de recursos e serviços externos ao negócio;

• procedimentos necessários para restaurar os serviços computacionais na instalação reserva;

• pessoas responsáveis por executar e comandar cada uma das atividades previstas no Plano (é interessante definir suplentes, quando se julgar necessário);

• referências para contato dos responsáveis, sejam eles funcionários ou terceiros;

• instituições responsáveis por oferecer serviços, equipamentos, suprimentos ou quaisquer outros bens necessários para a restauração;

• contratos e acordos que façam parte do plano para recuperação dos serviços, como aqueles efetuados com outros centros de processamento de dados.

É imprescindível o comprometimento da alta administração com o Plano de Continuidade do Negócio. Na verdade, este Plano é de responsabilidade direta da alta administração, é um problema corporativo, pois trata de estabelecimento de procedimentos que garantirão a sobrevivência da instituição como um todo e não apenas da área de informática. Ainda, muitas das definições a serem especificadas são definições relativas ao negócio da instituição e não à tecnologia da informação.

A alta administração deve designar uma equipe de segurança específica para elaboração, implementação, divulgação, treinamento, testes, manutenção e coordenação do Plano de Continuidade do Negócio. Este deve possuir, ainda, um responsável específico que esteja à frente das demandas, negociações e tudo mais que se fizer necessário.

Provavelmente, a alta administração será demandada a firmar acordos de cooperação com outras instituições, assinar contratos orientados para a recuperação dos serviços, entre outros atos.

Há que ser considerada, ainda, a questão dos custos. Faz parte das decisões da alta administração o orçamento a ser disponibilizado para garantir a exequibilidade do Plano de Continuidade do Negócio, ou seja, para possibilitar, além da implementação, sua manutenção, treinamento e testes.

Diante dos fatos anteriormente abordados, fica evidente a necessidade precípua de envolvimento da alta administração com todo processo que garantirá o sucesso de implantação do Plano de Continuidade do Negócio.

É possível citar três formas de garantir a eficácia do Plano de Continuidade do Negócio: treinamento e conscientização das pessoas envolvidas; testes periódicos do Plano, integrais e parciais; processo de manutenção contínua.

É essencial o desenvolvimento de atividades educativas e de conscientização que visem ao perfeito entendimento do processo de continuidade de serviços e que garantam, por conseguinte, a efetividade do Plano de Continuidade do Negócio.

Cada funcionário envolvido com o processo de continuidade de serviços, especialmente aqueles componentes de equipes com responsabilidades específicas em caso de contingências, deve ter em mente as atividades que deve desempenhar em situações emergenciais. O treinamento deve ser teórico e prático, inclusive com simulações. Além do treinamento, a conscientização pode ser feita de outras formas, como distribuição de folhetos e promoção de palestras informativas e educativas sobre possíveis acidentes e respectivos planos de recuperação.

Por fim, vale salientar que um programa de educação continuada que faça com que as pessoas envolvidas sintam-se como participantes ativos do programa de segurança é a melhor maneira de alcançar o sucesso esperado.

Os planos de continuidade do negócio podem apresentar falhas quando testados, geralmente devido a pressupostos incorretos, omissões ou mudanças de equipamentos, de pessoal, de prioridades. Por isto eles devem ser testados regularmente, de forma a garantir sua permanente atualização e efetividade. Tais testes também devem assegurar que todos os envolvidos na recuperação e os alocados em outras funções críticas possuam conhecimento do Plano.

Deve existir uma programação que especifique quando e como o Plano de Continuidade do Negócio deverá ser testado. Ele pode ser testado na totalidade, caracterizando uma situação bem próxima da realidade; pode ser testado parcialmente, quando se restringem os testes a apenas um conjunto de procedimentos, atividades ou aplicativos componentes do Plano; ou, ainda, pode ser testado por meio de simulações, quando ocorre representações de situação emergencial. A partir da avaliação dos resultados dos testes, é possível reavaliar o Plano, alterá-lo e adequá-lo, se for o caso.

Mudanças que tenham ocorrido e que não estejam contempladas no Plano de Continuidade do Negócio devem gerar atualizações. Quando novos requisitos forem identificados, os procedimentos de emergência relacionados devem ser ajustados de forma apropriada. Diversas situações podem demandar atualizações no Plano, tais como as mudanças:

• no parque ou ambiente computacional (ex: aquisição de novo equipamento, atualização de sistemas operacionais, migração de sistemas de grande porte para ambiente cliente-servidor);

• administrativas, de pessoas envolvidas e responsabilidades;

• de endereços ou números telefônicos;

• de estratégia de negócio;

• na localização e instalações;

• na legislação;

• em prestadores de serviço, fornecedores e clienteschave;

• de processos (inclusões e exclusões);

• no risco (operacional e financeiro)

Como demonstrado, as atualizações regulares do Plano de Continuidade do Negócio são de importância fundamental para alcançar sua efetividade. Deve existir uma programação que especifique a forma de se proceder à manutenção do Plano. Procedimentos com essa finalidade podem ser incluídos no processo de gerência de mudanças a fim de que as questões relativas à continuidade de negócios sejam devidamente tratadas. O controle formal de mudanças permite assegurar que o processo de atualização esteja distribuído e garantido por revisões periódicas do Plano como um todo. A responsabilidade pelas revisões e atualizações de cada parte do Plano deve ser definida e estabelecida.

O TCU, por meio do Acórdão 2471/2008 - Plenário, fez as seguintes recomendações ao Gabinete de Segurança Institucional da Presidência da República (GSI/PR):

9.6.1. crie procedimentos para elaboração de Políticas de Segurança da Informação, Políticas de Controle de Acesso, Políticas de Cópias de Segurança, Análises de Riscos e Planos de Continuidade do Negócio. Referidas políticas, planos e análises deverão ser implementadas nos entes sob sua jurisdição por meio de orientação normativa; 9.6.2. identifique boas práticas relacionadas à segurança da informação, difundindo-as na Administração Pública Federal;

O GSI/PR editou, em 11/11/2009, a Norma Complementar 06/IN01/DSIC/GSIPR, que estabeleceu diretrizes para Gestão de Continuidade de Negócios, nos aspectos relacionados à segurança da informação e comunicações nos órgãos e entidades da Administração Pública Federal, direta e indireta.

A NBR ISO/IEC 27002:2005, norma da Associação Brasileira de Normas Técnicas (ABNT), trata de técnicas de segurança em Tecnologia da Informação e funciona como um código de prática para a gestão da segurança da informação. Essa norma foi elaborada no Comitê Brasileiro de Computadores e Processamento de Dados, pela Comissão de Estudo de Segurança Física em Instalações de Informática e é equivalente à norma internacional ISO/IEC 27002:2005.

Destaca-se que essa norma é a sucessora da ABNT NBR ISO/IEC 17799:2005 (utilizada nas edições anteriores desta cartilha), sendo que essa nova edição visou basicamente à adequação à nova nomenclatura da ISO (International Organization for Standardization), não havendo alteração quanto ao conteúdo em si da NBR ISO/ IEC 17799:2005. Portanto, não se trata propriamente de uma nova versão.

Além do reconhecimento da ABNT, como instituição normalizadora brasileira, as instituições internacionais ISO e IEC (International Eletrotechnical Commission), autoras da norma, são mundialmente reconhecidas pela capacitação técnica. A norma ISO/IEC 27002:2005, equivalente à norma brasileira, é amplamente reconhecida e utilizada por Entidades Fiscalizadoras Superiores, órgãos de governo, empresas públicas e privadas nacionais e internacionais atentas ao tema Segurança da Informação.

Os objetivos definidos nessa norma proveem diretrizes gerais sobre as práticas geralmente aceitas para a gestão da segurança da informação. Apesar de não ter força de lei, a NBR ISO/IEC 27002:2005 configura-se como um dos melhores critérios de auditoria de segurança da informação disponível até a data de publicação desta cartilha. Nos acórdãos e decisões, o Tribunal já mencionou a versão de 2005 dessa norma (NBR ISO/IEC 27002 e NBR ISO/IEC 17799) e a versão de 2001.

Em 2007, o TCU realizou o primeiro Levantamento de Governança de TI, que teve como um dos objetivos “delinear a qualidade do tratamento dado pelos órgãos públicos à segurança das informações sob sua responsabilidade”. Naquela oportunidade, a versão 17799:2005 da norma foi utilizada como critério de avaliação da governança de TI no que se refere aos aspectos de segurança da informação. Este Levantamento foi baseado num questionário de 39 perguntas respondido por 255 órgãos/entidades da administração pública federal.

Considerando que as constatações desse trabalho indicaram que a situação da gestão da segurança da informação era preocupante na maior parte dos órgãos/entidades pesquisados, o TCU, por meio do Acórdão 1.603/2008 - Plenário, recomendou ao Conselho Nacional de Justiça (CNJ), ao Conselho Nacional do Ministério Público (CNMP), à Diretoria-Geral do Senado Federal, à Diretoria-Geral da Câmara dos Deputados, ao Gabinete de Segurança Institucional da Presidência da República (GSI/PR) e também à Secretaria-Geral da Presidência (Segepres) e à Secretaria-Geral de Administração (Segedam) do próprio Tribunal que:

[...] orientem sobre a importância do gerenciamento da segurança da informação, promovendo, inclusive mediante normatização, ações que visem estabelecer e/ou aperfeiçoar a gestão da continuidade do negócio, a gestão de mudanças, a gestão de capacidade, a classificação da informação, a gerência de incidentes, a análise de riscos de TI, a área específica para gerenciamento da segurança da informação, a política de segurança da informação e os procedimentos de controle de acesso;

Em 2010, o TCU realizou novo Levantamento de Governança de TI, em que se utilizou a NBR ISO/IEC 27002:2005 como critério para avaliação da segurança da informação das instituições pesquisadas. O Levantamento foi baseado num questionário mais abrangente composto de 30 perguntas e 152 itens e foi respondido por 301 órgãos/entidades da administração pública federal. O Acórdão 2.308/2010-TCU-Plenário, decorrente deste trabalho, constatou a seguinte situação (demonstrada no gráfico da página a seguir) com relação à segurança da informação:

75. Não se percebe melhora nos indicadores de segurança da informação em relação ao levantamento anterior, a despeito da recomendação emitida pelo TCU. A Administração, de forma geral, continua a desconhecer e a não proteger suas informações críticas adequadamente. Como não há avaliação de riscos, nem ao menos é possível estimar as suas consequências caso estes se materializem. 198. Na comparação com o levantamento de 2007, é preocupante a falta de evolução perceptível na área de segurança da informação, que continua com índices de não conformidade muito altos (seção 2.3) ...

Seguem trechos do voto do Relator, Ministro Aroldo Cedraz:

12. No que tange aos aspectos que já haviam sido examinados em 2007, as principais constatações do presente levantamento foram de que: c) nenhum dos indicadores relativos à segurança da informação, que envolve confidencialidade, integridade e disponibilidade da informação, apresentou avanço substancial, o que significa que, um ano e meio depois dos alertas formulados pelo acórdão 1.603/2008 - Plenário, a administração pública permanece exposta aos mesmos riscos, não tem agido para reduzi-los, não consegue estimar suas consequências e continuar a desconhecer a não proteger suas informações críticas adequadamente. 20. Destaco, em especial, a imprescindibilidade de cumprimento dos comandos relativos ao aprimoramento da segurança da informação, aspecto que considero crucial para funcionamento de todas as organizações públicas, ante os riscos à integridade, confidencialidade e disponibilidade de dados e em face da ausência de qualquer evolução significativa nesse particular desde 2007.

Atendendo ao item 9.4.3 do Acórdão 2.308/2010-TCU-Plenário, o TCU voltou a realizar Levantamento de Governança de TI em 2012, como parte do processo de trabalho estabelecido pela Secretaria de Fiscalização de Tecnologia da Informação (Sefti), o qual prevê a realização de levantamento para acompanhar a situação de governança de TI a cada dois anos. A NBR ISO/IEC 27002:2005, entre outras, foi utilizada novamente como referência para avaliação da segurança da informação das instituições pesquisadas. O Levantamento foi baseado em questionário composto de 36 questões subdivididas em 494 itens e foi respondido por 337 órgãos/entidades da administração pública federal. O Acórdão 2.585/2012-TCU-Plenário, decorrente deste trabalho, constatou a seguinte situação com relação à segurança da informação:

Além da realização desses três levantamentos, o TCU, no âmbito de fiscalizações que analisaram a gestão e o uso da TI na APF, constatou várias fragilidades relacionadas ao tema segurança da informação. O resultado consolidador dessas fiscalizações foi proferido no Acórdão 1.233/2012-TCU-Plenário, que assim deliberou sobre o tema:

9.8. Recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Gabinete de Segurança Institucional da Presidência da república (GSI/PR) que: 9.8.1. em atenção à Lei 10.683/2003, art. 6º, IV, articule-se com as escolas de governo, notadamente à Enap, a fim de ampliar a oferta de ações de capacitação em segurança da informação para os entes sob sua jurisdição); 9.8.2. em atenção a Lei 10.683/2003, art. 6º, IV, oriente os órgãos e entidades sob sua jurisdição que a implantação dos controles gerais de segurança da informação positivados nas normas do GSI/PR não é faculdade, mas obrigação da alta administração, e sua não implantação sem justificativa é passível da sanção prevista na Lei 8.443/1992, art. 58, II; 9.8.3. reveja a Norma Complementar 4/IN01/DSIC/ GSIPR, uma vez que aborda o tema gestão de riscos considerando apenas ativo de informação e não ativo em sentido amplo, como o faz a NBR ISO/IEC 27.002 no item 7.1.1.

A NBR ISO/IEC 27002, versão 2005, está dividida em 11 seções:

a) Política de segurança da informação;

b) Organizando a segurança da informação;

c) Gestão de ativos;

d) Segurança em recursos humanos;

e) Segurança física e do ambiente;

f) Gestão das operações e comunicações;

g) Controle de acessos;

h) Aquisição, desenvolvimento e manutenção de sistemas de informação;

i) Gestão de incidentes de segurança da informação;

j) Gestão da continuidade do negócio;

k) Conformidade.

Essa seção orienta a direção no estabelecimento de uma política clara de segurança da informação, alinhada com os objetivos do negócio, com demonstração de seu apoio e comprometimento com a segurança da informação por meio da publicação, manutenção e divulgação da política para toda a instituição. São fornecidas diretrizes para elaboração e análise crítica do documento.

Nesse sentido, existem vários acórdãos do TCU que tratam, entre outros aspectos, de “Política de segurança da informação”.