Segurança da Informação

Resumo da NBR17799

Introdução

O que é segurança da informação?

A informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e conseqüentemente necessita ser adequadamente protegida. A segurança da informação protege a informação de diversos

tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócio.

A informação pode existir em muitas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou através de meios eletrônicos, mostrada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.

A segurança da informação é aqui caracterizada pela preservação de:

a) confidencialidade: garantia de que a informação é acessível somente por pessoas autorizadas a terem acesso;

b) integridade: salvaguarda da exatidão e completeza da informação e dos métodos de processamento;

c) disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes

sempre que necessário.

Segurança da informação é obtida a partir da implementação de uma série de controles, que podem ser políticas, práticas, procedimentos, estruturas organizacionais e funções de software. Estes controles precisam ser estabelecidos para garantir que os objetivos de segurança específicos da organização sejam atendidos.

Por que a segurança da informação é necessária

A informação e os processos de apoio, sistemas e redes são importantes ativos para os negócios. Confidencialidade, integridade e disponibilidade da informação podem ser essenciais para preservar a competitividade, o faturamento, a lucratividade, o atendimento aos requisitos legais e a imagem da organização no mercado.

Cada vez mais as organizações, seus sistemas de informação e redes de computadores são colocados à prova por diversos tipos de ameaças à segurança da informação de uma variedade de fontes, incluindo fraudes eletrônicas, espionagem, sabotagem, vandalismo, fogo ou inundação. Problemas causados por vírus, hackers e ataques de denial of service estão se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados.

A dependência nos sistemas de informação e serviços significa que as organizações estão mais vulneráveis às ameaças de segurança. A interconexão de redes públicas e privadas e o compartilhamento de recursos de informação aumentam a dificuldade de se controlar o acesso. A tendência da computação distribuída dificulta a implementação de um controle de acesso centralizado realmente eficiente.

Como estabelecer requisitos de segurança

É essencial que uma organização identifique os seus requisitos de segurança. Existem três fontes principais.A primeira fonte é derivada da avaliação de risco dos ativos da organização. Através da avaliação de risco são identificadas as ameaças aos ativos, as vulnerabilidades e sua probabilidade de ocorrência é avaliada, bem como o impacto potencial é estimado.

A segunda fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros, contratados e prestadores de serviço têm que atender.

A terceira fonte é o conjunto particular de princípios, objetivos e requisitos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.

Avaliando os riscos de segurança

Os requisitos de segurança são identificados através de uma avaliação sistemática dos riscos de segurança. Os gastos com os controles necessitam ser balanceados de acordo com os danos causados aos negócios gerados pelas potenciais falhas na segurança. As técnicas de avaliação de risco podem ser aplicadas em toda a organização ou apenas em parte dela, assim como em um sistema de informação individual, componentes de um sistema específico ou serviços, quando for viável, prático e útil.

gerenciamento dos riscos da segurança da informação e a selecionar os controles a serem implementados para a proteção contra estes riscos.

Uma vez tendo sido identificados os requisitos de segurança, convém que os controles sejam selecionados e implementados para assegurar que os riscos são reduzidos a um nível aceitável. Os controles podem ser selecionados a partir desta Norma ou de outro conjunto de controles, ou novos controles podem ser desenvolvidos para atender às necessidadesespecíficas, quando apropriado. Existem diversas maneiras de gerenciar os riscos e esta Norma fornece exemplos para as

situações mais comuns.

Ponto de partida para a segurança da informação

Um número de controles pode ser considerado como princípios básicos, fornecendo um bom ponto de partida para a implementação da segurança da informação. São baseados tanto em requisitos legais como nas melhores práticas de segurança da informação normalmente usadas.

Os controles considerados essenciais para uma organização, sob o ponto de vista legal, incluem:

a) proteção de dados e privacidade de informações pessoais.

b) salvaguarda de registros organizacionais.

c) direitos de propriedade intelectual.

Os controles considerados como melhores práticas para a segurança da informação incluem:

a) documento da política de segurança da informação.

b) definição das responsabilidades na segurança da informação.

c) educação e treinamento em segurança da informação.

d) relatório dos incidentes de segurança.

e) gestão da continuidade do negócio.

Política de segurança

Política de segurança da informação

Convém que a direção estabeleça uma política clara e demonstre apoio e comprometimento com a segurança da informação através da emissão e manutenção de uma política de segurança da informação para toda a organização.

Documento da política de segurança da informação

Convém que um documento da política seja aprovado pela direção, publicado e comunicado, de forma adequada, para todos os funcionários. Convém que este expresse as preocupações da direção estabeleça as linhas-mestras para a gestão da segurança da informação. No mínimo, convém que as seguintes orientações sejam incluídas:

a) definição de segurança da informação, resumo das metas e escopo e a importância da segurança como um mecanismo que habilita o compartilhamento da informação;

b) declaração do comprometimento da alta direção, apoiando as metas e princípios da segurança da informação;

c) breve explanação das políticas, princípios, padrões e requisitos de conformidade de importância específica para a organização, por exemplo:

1) conformidade com a legislação e cláusulas contratuais;

2) requisitos na educação de segurança;

3) prevenção e detecção de vírus e software maliciosos;

4) gestão da continuidade do negócio;

5) conseqüências das violações na política de segurança da informação;

d) definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança;

e) referências à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que convém que os usuários sigam.

Convém que esta política seja comunicada através de toda a organização para os usuários na forma que seja relevante, acessível e compreensível para o leitor em foco.

Coordenação da segurança da informação

Em grandes organizações existem profissionais que são responsáveis por implantar os controles de segurança da Informação.São eles os responsáveis pela busca de regras de segurança, metodologia e processos, tais como a avaliação de risco no sistema de segurança da informação.

Atribuição das responsabilidades em segurança da informação

Convém que as responsabilidades pela proteção de cada ativo e pelo cumprimento de processos de segurança específicos sejam claramente definidas.

Convém que a política de segurança da informação forneça um guia geral sobre a atribuição de regras e

responsabilidades de segurança na organização. Todavia o proprietário continua como responsável final pela segurança do ativo e convém que seja capaz de determinar se estão sendo corretamente delegadas as responsabilidades. É essencial que as áreas pelas quais cada gestor é responsável estejam claramente estabelecidas; em particular recomenda-se que os itens seguintes sejam cumpridos.

a) Convém que os vários ativos e processos de segurança associados com cada sistema sejam identificados eclaramente definidos.

b) Convém que o gestor responsável por cada ativo ou processo de segurança esteja de acordo e os detalhes dessa responsabilidade sejam documentados.

c) Convém que os níveis de autorização sejam claramente definidos e documentados.

Segurança Física

Por segurança física entende-se aqui os aspectos de segurança relacionados com eventos em que existe contacto físico anormal com os equipamentos. Por vezes alguma proximidade física é suficiente, tal como acontece com falhas de confidencialidade por detecção à distância de sinais electromagnéticos emitidos pelas linhas de comunicação ou monitores de video.

Eventos não premeditados

Falhas na alimentação eléctrica

As falhas na alimentação eléctrica ou sua má qualidade são um importante factor para a instabilidade dos sistemas, normalmente levam à indisponibilidade do sistema, podendo provocar ainda perdas de dados, inutilização de aplicações ou mesmo avarias de "hardware".

Apesar de ser possível utilizar dispositivos de filtragem e regulação que garantem a qualidade da alimentação electrica, estes dispositivos não permitem resolver falhas no abastecimento de energia.

As unidades de alimentação ininterrupta (UPS) são sistemas munidos de baterias capazes de produzir energia electrica durante algum tempo. Para manutenção do equipamento operacional durante falhas de alimentação prolongadas é necessário prever ainda a instalação de geradores electricos com combustivel liquido, controlados pela UPS.

Uma UPS sem gerador electrico tem sempre uma capacidade muito limitada e mais tarde ou mais cedo as baterias esgotam-se. Se não existir "software" de controlo que efectue o encerramento dos sistemas ("shutdown"), o único efeito é um adiar do problema.

As falhas de alimentação eléctrica afectam também todos os dispositivos de rede que asseguram as comunicações ("gateways"; "routers"; "bridges"; comutadores e repetidores), também estes dispositivos devem estar munidos de UPS, na maioria dos casos não é necessário proceder a qualquer encerramento, no entanto é adequada a existencia de "software" de controlo capaz de notificar os administradores para que sejam tomadas medidas antes das baterias se esgotarem.

É habitual a instalação de UPS para assegurar a estabilidade dos servidores, enquanto os postos de trabalho são esquecidos. Este tipo de situação é aceitável quando as aplicações são executadas nos servidores, se não for esse o caso os dados que estão armazenados na memória central do posto de trabalho perdem-se irremediavelmente.

Catástrofes Naturais de diversos tipos

Ajustam-se a esta classe fenomenos tais como: incendios; inundações; tempestades; sismos; etc.

Podemos minimizar as consequências deste tipo de eventos mantendo cópias de segurança ("backup's") o mais actualizados possível, armazenados num local físicamente distante do original.

Além da importância de existir um afastamento físico entre cópia e original, destaca-se ainda que as cópias de segurança contêm muitas vezes informação confidencial pelo que o seu manuseamento tem de ser cuidadoso.

A utilização de sistemas redundantes que implementem tolerância a falhas é uma solução que poderá garantir a disponibilidade permanente do sistema nestas situações extremas, para isso é necessário garantir um afastamento máximo entre as várias unidades redundantes. Esta distância entre as unidades pode colocar alguns problemas aos mecanismos de sincronização.

Dada a extensão das linhas de comunicação, estas estão especialmente sujeitas a catastrofes naturais, por um lado pode-se tentar salvaguardar as linhas tornado-as submergiveis e imunes ao fogo, outra abordagem, no sentido da tolerância falhas consiste na duplicação das linhas, obviamente seguindo caminhos físicos distintos.

Eventos premeditados

Cabem nesta classe todas as acções físicas mais ou menos premeditadas que pôem em causa a segurança dos sistemas informáticos. Obviamente que muitas destas acções estão relacionadas com acesso físico de individuos e afastam-se dos objectivos deste documento.

Para além dos aspectos relacionados com a destruíção física dos equipamentos ou sua desactivação temporária, interessa abordar as possibilidades adicionais de violação de outros aspectos da segurança que o contacto físico proporciona, por exemplo: alterar a "password" do adminstrador, tomar conhecimento da mesma, apagar ficheiros ou alterar a configuração do sistemas ou ter acesso a informação confidencial.

Segurança Física de Máquinas

As máquinas sensiveis, tais como sistemas servidores devem estar instaladas em compartimentos de acesso restrito, geralmente estes sistemas possuem um posto de trabalho especial, normalmente designado por "consola", que aufere ao respectivo utilizador alguns direitos adicionais, dependendo do sistema, estes podem ser:

  • visualização de mensagens do sistema
  • intervenção durante o "boot" (fácil de provocar por quem tem acesso físico)
  • único posto onde se permite a "entrada" do administrador
  • acesso livre a todo o sistema

Requisitos de segurança nos contratos com prestadores de serviços

Convém que acordos envolvendo o acesso de prestadores de serviços aos recursos de processamento da informação da organização sejam baseados em contratos formais que contenham, ou façam referência a, todos os requisitos de segurança, de forma a garantir a conformidade com as normas e políticas de segurança da organização. Convém que o contrato garanta que não existam mal-entendidos entre a organização e prestadores de serviços. Convém que as organizações considerem a indenização a ser paga por seus fornecedores em situações de violações de contrato. Convém que os seguintes termos sejam considerados e incluídos nos contratos:

a) a política geral sobre segurança da informação;

b) proteção de ativos, incluindo:

1) procedimentos para proteção dos ativos da organização, incluindo informação e software;

2) procedimentos para determinar se houve algum comprometimento destes ativos, por exemplo se houve perda ou modificação de dados;

3) controles para garantir a devolução ou destruição das informações e ativos em um determinado momento durante ou no final do contrato;

4) integridade e disponibilidade;

5) restrições relacionadas com a cópia e divulgação da informação;

c) descrição de cada serviço que deve estar disponível;

d) níveis de serviço desejados e não aceitáveis;

e) condições para transferência da equipe de trabalho, onde for apropriado;

f) as respectivas obrigações dos envolvidos no acordo;

g) responsabilidades com aspectos legais, por exemplo leis de proteção de dados, especialmente levando em consideração diferenças nas legislações vigentes se o contrato envolver a cooperação com organizações de outros países .

h) direitos de propriedade intelectual e direitos autorais e proteção de qualquer trabalho colaborativo.

i) acordos de controle de acesso, abrangendo:

1) métodos de acesso permitidos e controle e uso de identificadores únicos como ID e senhas de acesso;

2) processo de autorização para acesso e privilégios para os usuários;

3) requisitos para manter uma lista de usuários autorizados a usar os serviços disponibilizados e quais são seus direitos e privilégios;

j) definição de critérios de verificação do desempenho, sua monitoração e registro;

k) direito de monitorar e revogar as atividades de usuários;

l) direito de auditar as responsabilidades contratuais ou ter a auditoria executada por prestadores de serviço;

m) estabelecimento de um processo escalonável para a resolução de problemas; convém que também sejam considerados procedimentos de contingência, onde apropriados;

n) responsabilidades envolvendo a instalação e manutenção de hardware e software;

o) registros com estrutura clara e formato preestabelecido;

p) procedimentos claros e específicos para gerenciamento de mudanças;

q) quaisquer controles de proteção física e mecanismos necessários para garantir que tais controles estão sendo seguidos;

r) treinamento de administradores e usuários em métodos, procedimentos e segurança;

s) controles que garantam proteção contra software malicioso;

t) requisitos para registro, notificação e investigação de incidentes e violações da segurança;

u) envolvimento de prestadores de serviços com subcontratados.

Contabilização dos ativos

Convém que todos os principais ativos de informação sejam inventariados e tenham um proprietário responsável. O inventário dos ativos ajuda a assegurar que a proteção está sendo mantida de forma adequada. Convém que os proprietários dos principais ativos sejam identificados e a eles seja atribuída a responsabilidade pela manutenção apropriada dos controles. A responsabilidade pela implementação dos controles pode ser delegada. Convém que a responsabilidade pela prestação de contas fique com o proprietário nomeado do ativo.

Classificação da informação

Objetivo: Assegurar que os ativos de informação recebam um nível adequado de proteção.

Convém que a informação seja classificada para indicar a importância, a prioridade e o nível de proteção.

A informação possui vários níveis de sensibilidade e criticidade. Alguns itens podem necessitar um nível adicional de proteção ou tratamento especial. Convém que um sistema de classificação da informação seja usado para definir um conjunto apropriado de níveis de proteção e determinar a necessidade de medidas especiais de tratamento.

Segurança em pessoas

Segurança na definição e nos recursos de trabalho

Tem por objetivo Reduzir os riscos de erro humano, roubo, fraude ou uso indevido das instalações.

Incluindo segurança nas responsabilidades do trabalho

Convém que regras e responsabilidades de segurança sejam documentadas onde for apropriado, de acordo com a política de segurança da informação da organização. Convém que elas incluam quaisquer responsabilidades gerais pela implementação ou manutenção da política de segurança, assim como quaisquer responsabilidades específicas para a proteção de determinados ativos ou pela execução de determinados processos ou atividades de segurança.

Seleção e política de pessoal

Convém que verificações de controle sobre a equipe permanente sejam conduzidas no momento da seleção de candidatos.

Recomenda-se que isso inclua o seguinte:

a) disponibilidade de referências de caráter satisfatório, por exemplo uma profissional e uma pessoal;

b) verificação da exatidão e inteireza das informações do curriculum vitae do candidato;

c) confirmação das qualificações acadêmicas e profissionais;

d) verificação da identidade (passaporte ou documento similar).

Onde um trabalho envolver pessoas, tanto por contratação como por promoção, que tenham acesso às instalações de processamento da informação, em particular aquelas que tratam de informações sensíveis, tais como informações financeiras ou informações altamente confidenciais, convém que a organização também faça uma verificação da idoneidade de crédito. Para funcionários que estão em posições com níveis consideráveis de autoridade, convém que este procedimento seja refeito periodicamente.

Convém que um processo similar de seleção seja feito para temporários e fornecedores. Onde esses recursos humanos são fornecidos por uma agência, convém que o contrato especifique claramente as responsabilidades da agência pela seleção e os procedimentos de notificação que devem ser seguidos se a seleção não for devidamente concluída ou quando os resultados obtidos forem motivos de dúvidas ou preocupações.

Acordos de confidencialidade

Acordos de confidencialidade ou de não divulgação são usados para alertar que a informação é confidencial ou secreta. Normalmente convém que os funcionários assinem tais acordos como parte dos termos e condições iniciais de contratação.

Para colaboradores casuais e prestadores de serviços que não estejam cobertos por um contrato existente (que contenha o acordo de confidencialidade), convém que seja exigida a assinatura do acordo de confidencialidade, antes de ter acesso às instalações de processamento da informação.

Convém que acordos de confidencialidade sejam revisados quando existirem modificações nos termos de contratação, particularmente devido à saída de funcionários da organização ou ao término de contratos.

Educação e treinamento em segurança da informação

Convém que todos os funcionários da organização e, onde for relevante, prestadores de serviços recebam treinamento apropriado e atualizações regulares sobre as políticas e procedimentos organizacionais. Isto inclui requisitos de segurança, responsabilidades legais e controles do negócio, assim como treinamento sobre o uso correto das instalações de processamento da informação como, por exemplo, procedimentos de acesso ou uso de pacotes de software, antes que seja fornecido qualquer acesso aos serviços ou informações.

Respondendo aos incidentes de segurança e ao mau funcionamento

Convém que os incidentes que afetam a segurança sejam reportados através dos canais apropriados o mais rapidamente possível.

Convém que todos os funcionários e prestadores de serviço estejam conscientes dos procedimentos para notificação dos diversos tipos de incidentes (violação da segurança, ameaças, fragilidades ou mau funcionamento) que possam ter impactos na segurança dos ativos organizacionais. Convém que eles sejam solicitados a notificar quaisquer incidentes ocorridos ou suspeitos, tão logo quanto possível, ao ponto de contato designado. Convém que a organização estabeleça um processo disciplinar formal para tratar com os funcionários que cometam violações na segurança. Para ser capaz de lidar com os incidentes de forma apropriada, pode ser necessário coletar evidências o mais rapidamente possível após a sua ocorrência.

Notificando mau funcionamento de software

Convém que sejam estabelecidos procedimentos para notificar mau funcionamento de software. Recomenda-se que as seguintes ações sejam consideradas.

a) Convém que os sintomas do problema e quaisquer mensagens apresentadas na tela sejam anotados.

b) Convém que o computador seja isolado e, se possível, seu uso deve ser paralisado. Convém que o contato apropriado seja alertado imediatamente. Se o equipamento for examinado, convém que seja desconectado de qualquer rede de computadores antes de ser ligado novamente. Convém que os disquetes não sejam transferidos para outros computadores.

c) Convém que o assunto seja notificado imediatamente ao gestor da segurança da informação.

Convém que os usuários não tentem remover o software suspeito, a menos que sejam autorizados. Convém que uma equipe adequadamente treinada e experiente trate da recuperação.

Processo disciplinar

Convém que exista processo disciplinar formal para os funcionários que tenham violado as políticas e procedimentos de segurança organizacional.Tal processo pode dissuadir funcionários que, de outra forma, seriam inclinados a desrespeitar os procedimentos de segurança. Adicionalmente, convém que se

assegure um tratamento justo e correto aos funcionários que são suspeitos de cometer violações de segurança, sérias ou persistentes.

Aceitação de sistemas

Convém que os gestores garantam que os requisitos e critérios para aceitação de novos sistemas estejam claramente definidos, acordados, documentados e testados.

Recomenda-se que os seguintes controles sejam considerados:

a) requisitos de desempenho e de demanda de capacidade computacional;

b) recuperação de erros, procedimentos de reinicialização e planos de contingência;

c) elaboração e teste de procedimentos operacionais para o estabelecimento de padrões;

d) concordância sobre o conjunto de controles de segurança utilizados;

e) procedimentos manuais eficazes;

f) plano de continuidade de negócios;

g) evidência de que a instalação do novo sistema não afetará de forma adversa os sistemas já existentes, particularmente nos períodos de pico de demanda de processamento, como, por exemplo, em final de mês;

h) evidência de que tenha sido considerado o impacto do novo sistema na segurança da organização como um todo;

i) treinamento na operação ou uso de novos sistemas.

Para os novos desenvolvimentos principais, convém que os usuários e as funções de operação sejam consultados em todos os estágios do processo de desenvolvimento, de forma a garantir a eficiência operacional do projeto proposto e sua adequação às necessidades organizacionais. Convém que os devidos testes sejam executados para garantir que todos os critérios de aceitação sejam plenamente satisfeitos.

Proteção contra software malicioso

É necessário que se adotem precauções para prevenir e detectar a introdução de software malicioso.

Os ambientes de processamento da informação e os softwares são vulneráveis à introdução de software malicioso, tais como vírus de computador, cavalos de Tróia e outros. Convém que os usuários estejam conscientes sobre os perigos do uso de software sem licença ou malicioso, e os gestores devem, onde cabível, implantar controles especiais para detectar ou prevenir contra sua introdução. Em particular, é essencial que sejam tomadas precauções para detecção e prevenção de vírus em computadores pessoais.

Controles contra software malicioso

Convém que sejam implantados controles para a detecção e prevenção de software malicioso, assim como procedimentos para a devida conscientização dos usuários. Convém que a proteção contra software malicioso seja baseada na conscientização da segurança, no controle de acesso adequado e nos mecanismos de gerenciamento de mudanças.

Recomenda-se que os seguintes controles sejam considerados:

a) uma política formal exigindo conformidade com as licenças de uso do software e proibindo o uso de software não

autorizado;

b) uma política formal para proteção contra os riscos associados com a importação de arquivos e software, seja de

redes externas ou por qualquer outro meio, indicando quais as medidas preventivas que devem ser adotadas;

c) instalação e atualização regular de software de detecção e remoção de vírus para o exame de computadores e meios magnéticos, tanto de forma preventiva como de forma rotineira;

d) análises críticas regulares de software e dos dados dos sistemas que suportam processos críticos do negócio.

e) verificação, antes do uso, da existência de vírus em qualquer arquivo em meio magnético de origem desconhecida ou não autorizada, e em qualquer arquivo recebido a partir de redes não confiáveis;

f) verificação, antes do uso, da existência de software malicioso em qualquer arquivo recebido através de correio eletrônico ou importado (download). Essa avaliação pode ser feita em diversos locais, como, por exemplo, nos servidores de correio eletrônico, nos computadores pessoais ou quando da sua entrada na rede da organização;

Housekeeping

Convém que sejam estabelecidos procedimentos de rotina para a execução das cópias de segurança e para a disponibilização dos recursos de reserva, conforme definido na estratégia de contingência, de forma a viabilizar a restauração em tempo hábil, controlando e registrando eventos e falhas e, quando necessário, monitorando o ambiente operacional.

Cópias de segurança

Convém que cópias de segurança dos dados e de software essenciais ao negócio sejam feitas regularmente. Convém que recursos e instalações alternativos sejam disponibilizados de forma a garantir que todos os dados e sistemas aplicativos essenciais ao negócio possam ser recuperados após um desastre ou problemas em mídias. Convém que sejam testados regularmente os backups de sistemas individuais, de maneira a garantir que satisfaçam os requisitos dos planos de continuidade de negócios .

Registros de operação

Convém que seja mantido registro das atividades do pessoal de operação. Convém que esses registros incluam, conforme apropriado:

a) horário de início e fim dos processamentos;

b) erros e ações corretivas adotadas nos processamentos;

c) confirmação do correto tratamento dos arquivos de dados e dos resultados gerados nos processamentos;

d) identificação de quem está efetuando a operação.

Convém que os registros de atividades dos operadores sejam submetidos a checagem regular e independente, em conformidade com os procedimentos operacionais.

Registro de falhas

Convém que qualquer tipo de falha seja relatada e que sejam tomadas ações corretivas. Convém que falhas informadas por usuários relativas a problemas com processamento de informação ou sistemas de comunicação sejam registradas.

Gerenciamento da rede

Garantir a salvaguarda das informações na rede e a proteção da infra-estrutura de suporte.

O gerenciamento da segurança de redes que se estendam além dos limites físicos da organização requer particular atenção.

Também pode ser necessária a utilização de controles adicionais para proteção de dados sensíveis que transitam por redes públicas.

Segurança do correio eletrônico

Riscos de segurança

O correio eletrônico está sendo utilizado para as comunicações comerciais, substituindo meios tradicionais, tais como telex e cartas. O correio eletrônico difere das formas convencionais de comunicação comercial em, por exemplo, velocidade, estrutura da mensagem, grau de informalidade e vulnerabilidade a ações não autorizadas. Convém que se leve em conta a necessidade de controles para se reduzirem os riscos gerados pelo uso do correio eletrônico.

Política de uso do correio eletrônico

Convém que as organizações definam uma política clara para a utilização do correio eletrônico, incluindo:

a) ataques ao correio eletrônico, como, por exemplo, por vírus e interceptação;

b) proteção de anexos de correio eletrônico;

c) orientações de quando não se deve utilizar o correio eletrônico;

d) responsabilidades dos funcionários de forma a não comprometer a organização, como, por exemplo, o envio de mensagens difamatórias, uso do correio eletrônico para atormentar pessoas ou fazer compras não autorizadas;

e) uso de técnicas de criptografia para proteger a confidencialidade e integridade das mensagens eletrônicas;

f) retenção de mensagens que, se guardadas, podem ser descobertas e utilizadas em casos de litígio;

g) controles adicionais para a investigação de mensagens que não puderem ser autenticadas.

Sistemas disponíveis publicamente

Convém que se tome cuidado para proteger a integridade da informação divulgada eletronicamente, de forma a prevenir modificações não autorizadas que possam prejudicar a reputação pública da organização. A informação em sistemas disponíveis para o público, como, por exemplo, informações em um servidor acessível através da Internet, pode necessitar estar em conformidade com as leis, normas e regulamentações na jurisdição na qual o sistema esteja localizado ou onde a transação estiver sendo realizada. Convém que exista um processo de autorização formal antes da publicação de uma informação.

Convém que software, dados e outras informações que requeiram um alto nível de integridade, expostos em um sistema público, sejam protegidos por mecanismos apropriados, como, por exemplo, assinaturas digitais. Convém que sistemas de publicação eletrônica, especialmente aqueles que permitam retorno (feedback) e entrada direta de informações, sejam cuidadosamente controlados, de forma que:

a) a informação seja obtida em conformidade com a legislação relacionada à proteção de dados;

b) a entrada e o processamento de dados sejam feitos de forma completa e no devido tempo;

c) as informações sensíveis sejam protegidas durante o processo de coleta e quando armazenadas;

d) a forma de acesso a sistemas que divulguem informações não permita o acesso casual às redes nas quais esses sistemas estejam conectados.