Por Alexandre Coutinho
Olá!
No artigo anterior abordamos a Visão de Infraestrutura do Framework de Arquitetura Corporativa para Interoperabilidade no Apoio à Governança (FACIN). Neste 8º artigo da série apresentaremos a Visão de Segurança.
A informação pode assumir diversas formas: escrita em uma folha, impressa em um papel, exibida em uma tela, armazenada eletronicamente, transmitida pela rede, via correio ou por outros meios eletrônicos, exibida em imagens ou falada em conversas. Independentemente da forma, a informação deve ser protegida adequadamente para minimizar os riscos e suas consequências.
A informação pode assumir diversas formas: escrita em uma folha, impressa em um papel, exibida em uma tela, armazenada eletronicamente, transmitida pela rede, via correio ou por outros meios eletrônicos, exibida em imagens ou falada em conversas. Independentemente da forma, a informação deve ser protegida adequadamente para minimizar os riscos e suas consequências.
Segurança é o estado em que se está livre de perigos e incertezas. Nas instituições governamentais, a segurança está relacionada a proteger tudo aquilo que possui valor para o órgão ou entidade da Administração Pública, ou seja, as capacidades da organização ou ativos de informação e a sua imagem.
A Segurança da Informação (SI) é definida pelo Gabinete de Segurança Institucional da Presidência da República (GSI/PR) como um conjunto de ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações.
A Continuidade de Negócios (CN) é definida como a capacidade da organização de continuar a entrega de produtos ou serviços em um nível aceitável previamente definido, após incidentes de interrupção. A Gestão da Continuidade de Negócios (GCN) tem como objetivo assegurar que os processos e serviços de missão crítica possam ser mantidos após uma falha ou interrupção significativa na operação normal, antes que as perdas se tornem inaceitáveis, por meio da combinação de ações de prevenção e de recuperação, o que também é reforçado com o uso adequado de uma Arquitetura Corporativa.
A segurança da informação e a continuidade de negócios podem ser alcançadas por meio de um conjunto de controles ou medidas que abranjam políticas, estratégias, normas, procedimentos, planos, estruturas organizacionais e funções de software e hardware. Enquanto a segurança da informação visa à proteção dos ativos (capacidades da organização), a continuidade de negócios visa à sustentabilidade desses ativos.
O estabelecimento da Visão de Segurança do FACIN provê uma visão unificada e organizacional sobre os aspectos relacionados à SI/CN, fortalecendo a arquitetura de segurança da organização, uma vez que atua como elemento para se definir, dimensionar e organizar os dispositivos tecnológicos (hardware e software) de acordo com as necessidades de negócio. As capacidades da organização, ou ativos da informação, podem ser caracterizados em:
- Informação: alimenta as atividades produtivas ou processos de negócio. Também é produzida como resultado das atividades produtivas ou processos de negócio;
- Tecnologia: automatiza e suporta as atividades produtivas ou processos de negócio;
- Instalações: ambiente físico onde as atividades produtivas ou processos de negócio são executados;
- Pessoas: operam e monitoram as atividades produtivas ou processos de negócio.
Os conceitos que compõem a Visão de Segurança, bem como seus relacionamentos são apresentados na Figura 1 e, logo a seguir, são rapidamente descritos.
Figura 1 – Conceitos envolvidos com a Visão de Segurança
- Agente de ameaça: Qualquer coisa - por exemplo, um objeto, substância, indivíduo ou grupo - que seja capaz de explorar uma vulnerabilidade e agir contra um ativo de maneira que possa resultar em dano;
- Evento de ameaça: Evento com potencial para impactar negativamente um ativo. Se refere à expectativa de um acontecimento acidental ou proposital, causada por um agente de ameaça, que pode afetar um ativo de informação;
- Evento de perda: Um evento de perda é qualquer circunstância que cause perda ou danos a um ativo;
- Vulnerabilidade: Também chamada de falha, caracteriza a fraqueza de um ativo, a fragilidade que poderia ser explorada por uma ameaça para concretizar um evento de ameaça. Pode ser mensurada como a probabilidade de um ativo ser incapaz de resistir às ações de um Agente de Ameaça;
- Ativo: Qualquer coisa tangível ou intangível que seja capaz de ser utilizada ou controlada para produzir valor. Qualquer dado, dispositivo ou outro componente do ambiente que suporte atividades relacionadas à informação, contemplando as capacidades da organização. Os “ativos” podem ser referenciados como “Recursos” nas demais Visões do FACIN;
- Domínio de Segurança / Risco: É composto por entidades que partilham uma ou mais características relevantes para a gestão de riscos ou segurança. Um domínio de risco é também um contexto ou conjunto de condições que afeta um nível de exposição ao risco;
- Direcionador de Segurança / Risco: É a combinação de configurações que afetam a segurança ou risco de um ambiente. Direciona para as necessidades de segurança/risco dos ativos da organização;
- Objetivo de Controle de Segurança / Risco: Descreve o que a organização pretende alcançar quando realiza um processo ou, em mais alto nível uma condição influenciada por um direcionador;
- Requisito de Segurança: Uma necessidade formalizada e cumprida por meio de um controle para enfrentar uma ameaça identificada. Após identificar os riscos, os níveis de proteção e determinar as decorrências que os riscos podem causar, deve-se definir os Requisitos de Segurança para reduzir tais riscos;
- Medida de Controle: Trata da implantação de um conjunto de serviços de segurança, uma ação, dispositivo, procedimento ou técnica que reduza uma ameaça, uma vulnerabilidade ou um ataque eliminando-o ou prevenindo-o, minimizando o dano que pode causar, ou descobrindo e relatando-o para que uma ação corretiva possa ser tomada;
- Princípio de Segurança: Os Princípios da Segurança norteiam todas as práticas para se evitar a perda de dados, antes, durante e depois de sua transmissão. Representam os principais atributos que orientam a análise, o planejamento e a implementação da segurança para um determinado grupo de ativos;
- Indicador: Representa um conjunto de parâmetros que permite acompanhar a evolução de um Ponto de Controle. Cada indicador permite identificar, mensurar e comunicar, de forma simples, a evolução de determinado aspecto da intervenção proposta pelo Ponto de Controle;
- Meta: Descreve a medida de alcance do Ponto de Controle, podendo ser de natureza qualitativa ou quantitativa.
Para uma adequada gestão dos elementos de segurança disponíveis ou a serem disponibilizados em cada organização governamental, é necessário que a Visão de Segurança esteja totalmente alinhada às demais visões definidas na arquitetura corporativa da organização ou mesmo na de outros órgãos. A figura 2 mostra os principais fluxos de requisitos que são consumidos e gerados pela Visão de Segurança.
Figura 2 – Interfaces da Visão de Segurança com as demais visões
A figura não mostra todas as relações permitidas: cada elemento pode ter relações de composição, agregação e especialização com elementos do mesmo tipo. Além disso, há relações indiretas que podem ser derivadas.
Para operacionalizar e gerir a Visão de Segurança são sugeridos os seguintes papéis no Modelo de Referência do FACIN:
- Alta Administração/Direção da Organização Governamental: Responsável pela governança da organização, incluindo a governança de segurança e de continuidade do negócio;
- Alta Gestão da Organização Governamental: Responsável por definir os objetivos e serviços aplicáveis ao seu contexto, com base nas metas de segurança estabelecidas dentro do planejamento do Governo como um todo e do papel exercido por sua organização em particular;
- Gestores Intermediários da Organização Governamental: Responsáveis por definir e acompanhar o cumprimento de metas específicas definidas dentro da Visão da Segurança da Informação da Informação de sua organização;
- Comitê de SI/CN: Delibera sobre os assuntos de segurança da informação e continuidade de negócios, entre outros. Apoia a organização, por meio de seus representantes, na implementação da segurança da organização;
- Escritório de Segurança (CISO – Chief Information Security Office): Responsável pela coordenação geral da segurança de informação de uma organização;
- Grupos Internos de SI/CN: Grupos formais ou informais internos que tratem de assuntos diretamente ligados à SI ou à CN. Podem estar associados a um segmento, a uma área, ferramenta ou a um tema de estudo. Exemplo de grupos: agentes de segurança; resposta à ataques; governança de gestão de identidade e acesso; gestão de riscos; segurança no desenvolvimento; segurança física; forense computacional, entre outros;
- Grupos Externos de SI/CN: Grupos formais ou informais externos que tratem de assuntos diretamente ligados à SI ou à CN com participação ou interação com a organização. Por exemplo: Grupos e Subgrupos de Trabalho da ePing, etc.
A figura 3 apresenta o modelo de relacionamento entre os principais papéis.
Figura 3 - Modelo de Relacionamento entre principais papéis
Os seguintes documentos devem ser observados no suporte às estratégias, políticas e práticas de design, implantação e operação de segurança e continuidade do negócio:
- Normas Complementares do Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da PR – DSIC (http://dsic.planalto.gov.br/legislacaodsic/53);
- Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal – 2015-2018 – Versão 1.0 (http://dsic.planalto.gov.br/documentos/publicacoes/4_Estrategia_de_SIC.pdf);
- Arcabouço normativo de Segurança a informação e Comunicações (SIC) – PR/DSIC (dsic.planalto.gov.br/legislacaodsic );
- Governo Eletrônico – Segurança da Informação (http://www.governoeletronico.gov.br/eixos-de-atuacao/governo/sistema-de-administracao-dos-recursos-de-tecnologia-da-informacao-sisp/seguranca-da-informacao);
- Documentos relacionados ao Núcleo de Segurança da Informação e Comunicações – NSIC (http://www.governoeletronico.gov.br/eixos-de-atuacao/governo/sistema-de-administracao-dos-recursos-de-tecnologia-da-informacao-sisp/seguranca-da-informacao/nucleo-de-seguranca-da-informacao-e-comunicacoes-nsic );
- Guia de PDTIC do SISP (www.sisp.gov.br/guiapctid/wiki/Documento );
- ABNT NBR ISO/IEC 27001:2013 Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos (http://www.abntcatalogo.com.br/norma.aspx?ID=306580);
- ABNT NBR ISO/IEC 27014:2013 Governança de segurança da informação (http://www.abntcatalogo.com.br/norma.aspx?ID=258704) ;
- ABNT NBR ISO/IEC 22301:2013 Sistema de gestão de continuidade de negócios – Requisitos (http://www.abntcatalogo.com.br/norma.aspx?ID=257946);
- ABNT NBR ISO 31000:2009 Gestão de riscos - Princípios e diretrizes (http://www.abntcatalogo.com.br/norma.aspx?ID=57311) ;
- ABNT NBR ISO/IEC 27002:2013 Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação (http://www.abntcatalogo.com.br/norma.aspx?ID=306582);
- ABNT NBR ISO/IEC 27005:2011 Gestão de Riscos em Segurança da Informação ;
- ISO/IEC 27009:2016 Information technology -- Security techniques -- Sector-specific application of ISO/IEC 27001 – Requirements (http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=42508);
- OASIS Transformational Government Framework (https://www.oasis-open.org/committees/tc_home.php?wg_abbrev=tgf) ;
- ISO/IEC 38500 Information Technology - Governance of IT - for the Organization (http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=62816).
É importante ainda atentar para os seguintes aspectos legais, relacionados à segurança na administração pública:
- Decreto 3.505/2000 – Política de Segurança da Informação nos órgãos e entidades da APF;
- Decreto 8.135/2013 – Comunicações de dados da APF direta, autárquica e fundacional.
Neste artigo apresentamos, de forma resumida, aspectos relacionados à Visão de Segurança do FACIN. Você encontrará descrições mais detalhadas nos documentos que compõem o Framework, publicados neste link. No próximo artigo vamos apresentar a Visão de Programas e Projetos do FACIN.
Ajude-nos a manter o FACIN atualizado. Deixe aqui as suas observações!
Até a próxima!
Comentários
Postar um comentário