Catálogos de medidas de segurança
O que são catálogos de Segurança?
Quais as medidas recomendáveis para protecção de um recurso? Com base nesta interrogação proliferaram listagem de medidas de protecção de sistemas recomendadas por várias fontes.
Posteriormente, estas colecções de controlos de segurança passaram a ter um âmbito mais geral, procurando proteger outros recursos que não apenas os de TI/SI, tais como documentos, informação intelectual em posse dos colaboradores, etc.
Todos estes códigos de recomendações têm em comum entre si o facto de supostamente:
- (1) serem derivados de experiências de sucesso em organizações (e por isso estas medidas podem ser cunhados de boas práticas);
- (2) abordarem as principais preocupações de segurança (cada catálogo pressupõe que é completo em si mesmo, ou seja supõe que não há área de segurança que não tenha abordado)
- (3) fornecerem medidas especificas que possam ser aplicadas pelas organizações, mantendo porém a flexibilidade de poderem serem adaptadas à realidade da organização (nenhum standard recomenda uma ferramenta ou mesmo tecnologia, limita-se a expor o requisito geral, por exemplo, que é conveniente haver um software para controlo de código malicioso).
Em suma, estes códigos de boas práticas não são Bíblias, mas propostas de medidas que a organização deve usar para seleccionar aquelas que sejam mais pertinentes para os riscos específicos que o seu negócio possa enfrentar.
Exemplos de catálogos
Estes são alguns catálogos de segurança mais importantes.
ISO 17799 - Código de Boas Práticas de Gestão de Segurança da Informação
Este código tem sido renovado desde a sua primeira publicação há 10 anos. Constitui a referência em catálogos de segurança. Concebido por uma equipa de profissionais orientados pelo British Standard Instition (BSI), foi adoptado em vários países (Brasil, Austrália, Nova Zelândia, Japão, etc) como standard nacional. Em 2000 foi homologado pela ISO como standard internacional intitulado de ISO 17799. Finalmente em 2005, a ISO decidiu integrar este standard numa nova série, a ISO 27000 (como explicado neste site).
Control Objectives for Information and related Technology
Standard de auditoria da gestão dos sistemas de informação, inclui objectivos e métricas sobre segurança da informação. Mantido pela ISACA. Em termos rigorosos, o CobiT não é um catálogo de segurança, mas um modelo de gestão de sistemas de informação, onde a segurança surge a par de outros objectivos mais do âmbito da gestão.
ISO 17799 - Código de Boas Práticas de Gestão de Segurança da Informação
Este código tem sido renovado desde a sua primeira publicação há 10 anos. Constitui a referência em catálogos de segurança. Concebido por uma equipa de profissionais orientados pelo British Standard Instition (BSI), foi adoptado em vários países (Brasil, Austrália, Nova Zelândia, Japão, etc) como standard nacional. Em 2000 foi homologado pela ISO como standard internacional intitulado de ISO 17799. Finalmente em 2005, a ISO decidiu integrar este standard numa nova série, a ISO 27000 (como explicado neste site).
Control Objectives for Information and related Technology
Standard de auditoria da gestão dos sistemas de informação, inclui objectivos e métricas sobre segurança da informação. Mantido pela ISACA. Em termos rigorosos, o CobiT não é um catálogo de segurança, mas um modelo de gestão de sistemas de informação, onde a segurança surge a par de outros objectivos mais do âmbito da gestão.
IT Baseline Protection Manual (Catalogues of Safeguards)
Publicado pelo organismo alemão de Segurança de Informação (em alemão Bundesamt für Sicherheit in der Informationstechnik ou BSI), este catálogo é frequentemente usado como complemento do ISO 17799. Este manual possui 2 grandes particularidades: (1) grande detalhe (sendo revisto anualmente, chega a incluir recomendações técnicas para protecção de sistemas, como Apache ou Windows 2000 Server) e por outro lado (2) inclui um mapeamento entre riscos e controlos (esta listagem permite associar o cenário de riscos às vários medidas de protecção aconselhados- encontra-se no primeiro documento "Introduction and Modules 2004").
Publicado em 1996, este catálogo de medidas de segurança teve uma grande influência, sobretudo na Administração Pública dos EUA. Este documento expõe os controlos abordados pelo NIST SP 800-12, An Introduction to Computer Security: The NIST Handbook, o qual enuncia os princípios relativos à decisão dos controlos (requisitos técnicos, avaliação de custos, benéficos, etc.).
The Standard of Good Practice for Information Security
Este guia é construído com base em contributos de corporações (através de um questionário que abrange mais de 277 organizações em todo o mundo) bem como de cerca de 200 projectos de investigação. Mantido pelo Information Security Forum, "clube" internacional de instituições privadas interessadas em segurança da informação.
Este standard foi iniciado em 1992 por um consócio de organismos governamentais de 25 países. O seu título original era Generally Accepted System Security Principles (GASSP), pois o seu enfoque era a segurança de sistemas. Após ter sido mantido pela (ISC)², em 2003 passou para o ISSA. De acordo com o plano inicial, ainda não concluído, serão elaborados Princípios detalhados (medidas concretas de segurança). Mas neste momento o GAISP é apenas um conjunto de princípios básicos de segurança da informação.
Texto de Paulo Coelho. Consultor de Segurança da Informação
Sinfic.
Labels: Segurança da Informação
Data 19.11.05
