Nesta unidade temática, você vai aprender

• A abordar a importância das normas e padrões relacionados com Segurança da Informação;

• A analisar as características da norma ISO/IEC 27002.

Histórico e normas de Segurança da Informação

A preocupação com a informação e com o conhecimento atrelado a ela remonta a milênios atrás. Isso pode ser observado no processo de escrita de alguns povos, como no caso da civilização egípcia, na qual somente as castas "superiores" da sociedade tinham acesso aos manuscritos da época e poucas pessoas dominavam o processo de escrita e leitura propriamente dito.

Assim, a escrita por meio de hieróglifos do Egito antigo representa uma das várias formas utilizadas pelos antigos para protegerem e, ao mesmo tempo, perpetuarem o seu conhecimento.

Mas foi no século passado que talvez tenhamos tido a grande ruptura de paradigma, onde a máquina eletromecânica Enigma, de criptografia com rotores desenvolvida por criptógrafos alemães, veio a ser usada para cifrar informações a partir de 1920. Essa máquina tornou-se fator determinante para o exército alemão proteger as comunicações durante a guerra, possibilitando que os comandantes do exército de Hitler se comunicassem em absoluto sigilo.

Porém, quando esses códigos utilizados pelo exército Alemão foram descobertos por Alan Turing, cientista de computação britânico, isso possibilitou às forças aliadas, sob a liderança de Turing, desenvolver o COLOSSUS, o primeiro computador eletrônico do mundo utilizado na Segunda Guerra Mundial para quebrar os códigos alemães ultra secretos.

Como os códigos gerados pelo Enigma mudavam frequentemente, isso obrigou o projeto do COLOSSUS a incorporar recursos que possibilitassem uma decodificação rápida das mensagens, o que impulsionou o surgimento de novas soluções que acabaram dando origem ao que temos hoje em termos de computação e o fantástico crescimento dessa área em tão pouco tempo.

A preocupação com a segurança da informação sempre teve como principal objetivo proteger “as informações” do acesso de outras pessoas, com o objetivo de manutenção do poder, preservar benefícios, táticas e estratégias de guerra etc.

A segurança da Tecnologia da Informação começou a ser discutida quase simultaneamente aos primeiros resultados práticos da Internet, estabelecidos em 1969 pela até então chamada ARPANET. Logo após os primeiros passos dessa rede, pesquisadores de diversas linhas começaram a perceber que esse sistema de comunicação de informações entre computadores não era completamente seguro. Uma das primeiras referências à preocupação com a segurança se referia ao controle das senhas. Era um ponto crítico, pois, embora o indivíduo feitor do ataque não possuísse ainda tecnologia ou conhecimentos suficientes para efetivá-lo através de meios mais elaborados, ele poderia perfeitamente tentar algo tão simples como adivinhar uma senha.

Em 1973, Bob Metcalfe, um pesquisador da ARPA Computer Networks alertava através da RFC 602 para a fragilidade das senhas, dizendo que um dos mais simples meios, e portanto o primeiro a ser tentado, de invadir um sistema de computadores interconectados ou não, era tentar o login usando uma conta conhecida de administrador e uma senha óbvia, como o nome ou sobrenome do administrador, nome do servidor, datas importantes, números de telefone conhecidos etc. Atualmente, mais de trinta anos depois do aviso de Metcalfe, muitos dos ataques ainda são conseguidos a partir da quebra de uma senha daquele tipo, visto que apesar das atuais tecnologias elaboradas de proteção e ocultação de senhas e base de senhas, pouco se pode fazer se um usuário, por exemplo, coloca seu próprio nome de usuário como senha. Curiosamente Metcalfe também é o criador da tecnologia Ethernet que domina as redes de computadores até hoje, bem como fundador da extinta empresa 3COM.

Nessa época, também surgiu o primeiro vírus. De repente, na tela de todos os Mainframes IBM 360, começava a aparecer a mensagem “I am a creeper... catch me if you can!” (Sou uma trepadeira... agarre-me se puder!). Robert Thomas Morris é considerado o autor desse mítico vírus, que também deu lugar ao primeiro programa antivírus; seu nome era muito lógico: “Reaper”, ou seja, ceifeiro.

Nessas últimas décadas, a tecnologia evolui muito rapidamente, e a segurança da informação vem acompanhando essa evolução e está preparada para os desafios atuais, onde destacamos o AUMENTO DA EXPOSIÇÃO DAS INFORMAÇÕES, a CONVERGÊNCIA de meios de acessos, as DIFERENÇAS TECNOLÓGICAS, as questões relacionadas com LEIS, REGULAMENTAÇÕES e NORMAS.

Quanto ao Aumento da Exposição das Informações, no cenário da década de 60, as redes de comunicação de dados começaram a se proliferar, baseadas em computadores Mainframes.

Estes eram máquinas grandes e poderosas que abrigavam informações centralizadas. Os usuários acessavam essas informações por terminais ligados diretamente ao Mainframe. Os dados viajavam de seus terminais pelo cabo até o Mainframe, que então distribuía esses dados para outros terminais. Esse era um método centralizado e muito simplificado de comunicação, sendo mais fácil garantir a segurança das informações.

Nessas últimas décadas, a tecnologia evolui muito rapidamente, e a segurança da informação vem acompanhando essa evolução e está preparada para os desafios atuais, onde destacamos o AUMENTO DA EXPOSIÇÃO DAS INFORMAÇÕES, a CONVERGÊNCIA de meios de acessos, as DIFERENÇAS TECNOLÓGICAS, as questões relacionadas com LEIS, REGULAMENTAÇÕES e NORMAS.

Quanto ao Aumento da Exposição das Informações, no cenário da década de 60, as redes de comunicação de dados começaram a se proliferar, baseadas em computadores Mainframes.

Estes eram máquinas grandes e poderosas que abrigavam informações centralizadas. Os usuários acessavam essas informações por terminais ligados diretamente ao Mainframe. Os dados viajavam de seus terminais pelo cabo até o Mainframe, que então distribuía esses dados para outros terminais. Esse era um método centralizado e muito simplificado de comunicação, sendo mais fácil garantir a segurança das informações.

Com o passar dos anos, vieram as estações de trabalho e as informações começaram a ficar distribuídas. As fronteiras da segurança da informação foram se expandindo à medida que as informações começam a descentralizar dos Mainframes para as estações de trabalho que armazenam planilhas, documentos, mensagens de correio eletrônico entre outras bases de informações descentralizadas. A complexidade para garantir-se a segurança vai aumentando. Na medida que as empresas começaram a se conectar à Internet e a fazer uso dela como ferramenta de negócios, os problemas de segurança explodiram, pois os sistemas ficam expostos a um número infinitamente maior de pessoas.

Como exemplo de Convergências, podemos pegar o setor bancário, onde há alguns anos, apenas pelo computador se fazia operações bancárias. Hoje em dia, isso também é feito com diversos dispositivos como smartphones, tablets, TVs e relógios inteligentes e possivelmente até de eletrodomésticos como geladeiras. Isso faz com que uma quantidade cada vez maior de informações trafegue por diferentes meios, facilitando cada vez mais o acesso de pessoas mal-intencionadas

Os Problemas Tecnológicos também podem usar como referência essas tecnologias convergentes para acesso a um banco (telefones, tablets etc.), que foram desenvolvidas com pouca ou nenhuma preocupação com segurança, o que agrava muito a situação atual, potencializando as fraudes bancárias. São cenário de constante transposição de controles e de muitas falhas que surgem diariamente, demandando que uma área de segurança da informação se mantenha atualizada e preparada para lidar com os novos problemas a todo o momento, identificando qual o melhor padrão de criptografia que atenda desde um computador avançado até um relógio de pulso inteligente com acesso à conta bancária, as formas de leitura de um cartão com chip, seja no smartphone de um cliente ou na estação de trabalho de um estabelecimento.

Questões relacionadas com conformidade a Leis, Regulamentos e Normas remetem a organizações como do Banco Central, as regras da CVM (Comissão de Valores Mobiliários), Lei do Sigilo Bancário, acordos internacionais como SOX e Basiléia II, que demonstram a preocupação dos governos e órgãos reguladores com fraudes e outros problemas relativos à confiabilidade e disponibilidade de informações, que podem colocar sob suspeita as ações de uma organização e conduzem à necessidade de controles de segurança e padrões de auditoria. Alguns requisitos dessas leis referem-se nitidamente à segurança da informação, como a disponibilidade de informações de sistemas de informação (logs), garantia de não-repúdio de transações, sistemas menos suscetíveis a fraudes, segregação de funções e controle rígido de acesso, entre outros.

Conjunto de Normas Internacionais ISO/IEC 27000

A ISO, “International Organization for Standardization”, é uma organização sediada em Genebra, na Suíça. Foi fundada em 1946. O propósito da ISO é desenvolver e promover normas que possam ser utilizadas igualmente por todos os países do mundo. Cerca de 111 países integram essa importante organização internacional, especializada em padronização, cujos membros são entidades normativas de âmbito nacional. O Brasil é representado pela Associação Brasileira de Normas Técnicas – ABNT. A sigla IEC significa International Electrotechnical Commission. É uma organização voltada para o aprimoramento da indústria da informação. Uma associação entre as duas instituições produz normas e padronizações internacionais.

A série ISO 27000 está relacionada com segurança da informação, estando em conformidade com outros padrões de sistemas de gerência ISO, como ISO 9001 (sistemas de gerência da qualidade) e ISO 14001 (sistemas de gerência ambiental), ambos em acordo com suas estruturas gerais e de natureza a combinar as melhores práticas com padrões de certificação.

A ISO 27002 é um conjunto de recomendações para gestão da Segurança da Informação para uso de implementação ou manutenção da segurança nas organizações. Providencia uma base comum para o desenvolvimento de normas de segurança organizacional e das práticas efetivas de gestão da segurança.

A ISO/IEC 27002, por sua vez, substituiu a ISO 17799 que estava apoiada na parte 1 da BS7799 descrita anteriormente. Essa norma é publicada no Brasil pela ABNT com o código NBR ISO 27002 e amplamente apoiada nas normas ISO/IEC 27002 (sendo uma tradução literal dessa norma).

A norma foi revisada em Junho de 2005 (Modificações estruturais) e a última revisão em Setembro de 2013 (Modificações estruturais e nos controles).

Mudanças entre a versão 2005 e 2013 da ISO/IEC 27002:

Número de seções – O número de seções aumentou de 11 para 14 na nova versão. Alguns controles estavam inseridos em seções as quais não pertenciam, agora o problema foi resolvido.

Número de controles – O número de controles diminuiu de 133 a 114. Isso é devido à eliminação de alguns controles que eram muito específicos ou desatualizados.

Estrutura de seções – A Criptografia tornou-se uma seção separada. Uma coisa semelhante aconteceu com as Relações com o Fornecedor que tornou-se uma seção separada. A seção Gerenciamento das operações e Comunicações foi dividida em Operações de Segurança e Segurança nas Comunicações.

Mudanças entre a versão 2005 e 2013 da ISO/IEC 27002: