21 de fevereiro de 2009

Resenha do livro "Praticando a Segurança da Informação"

"Praticando a Segurança da Informação - Orientações práticas alinhadas com Norma NBR ISO/IEC 27002, Norma ISO/IEC 27001, Norma NBR 15999-1, COBIT, ITIL", de Edison Fontes - Editora Brasport


Atualmente, a Segurança da Informação é um termo tão em voga, que muitas pessoas falam sobre o assunto, e no entanto não possuem arcabouço técnico e vivencial para aprofundar-se no mesmo e realizar uma digressão com segurança e maestria. Com mais de dez anos de prática na área de TIC, poucas vezes vi um livro tão profundo e pragmático no campo da Segurança da Informação como o "Praticando a Segurança da Informação", de Edison Fontes - Editora Brasport.

O que é mais interessante, é que o autor não se atém única e exclusivamente à teoria da Segurança em TI, mas procura propor formas de implementação de políticas de segurança, alinhadas às normas NBR ISO/IEC 27002 e 27001. NBR 15999-1, COBIT e ITIL, facilitando o processo através da utilização das ferramentas de boas práticas que tais normas oferecem ao ambiente de gestão organizacional.

Esses motivos apresentados acima darão a entender, resumidamente, os motivos que me levaram a escolher esse livro para escrever uma resenha. Além dos já citados, confesso que tenho dificuldades em encontrar no mercado editorial, bons livros em português acerca do assunto, ainda mais um que aborda a teoria e a prática da implementação de políticas de segurança concomitante as normas com maior reconhecimento no mercado de TI em todo o mundo.

A organização dos temas no livro segue uma lógica bem estruturada, que permite o leitor compreender os fundamentos da SI (Segurança da Informação), os parâmetros que definem suas aplicações, instrumentos de controle e aferição, além das normas citadas acima e os planos de continuidade do negócio. A estrutura dos temas nos oferece uma leitura tranquila, compreensível e sem jargões que dificultam a compreensão do iniciante na área ou uma abordagem superficial que frustraria o leitor mais experiente.

No início de cada capítulo, o autor faz referência às Normas ISO, COBIT e ITIL que possuem ligação com o conteúdo do referido capítulo. Como as normas dizem apenas o que fazer, mas não ensinam como, o autor nos dá em todos os capítulos do livro ferramentas que possibilitam a execução prática do que as normas se referem.

Tudo isso possibilita facilitar as atividades de quem é responsável pela implementação, gestão e manutenção dos processos da segurança da informação.

Nos três primeiros capítulos, o autor Edison Fontes, aborda a questão da Gestão da Segurança da Informação, parceiros e processos de apoio, onde os aspectos básicos e os que estão ao derredor dos processos de gestão da segurança da informação são delineados e suas correlações ficam mais claras, facilitando a compreensão do modo como um afeta o outro.

No quarto capítulo, a questão levantada é a continuidade do negócio. Frente às emergências, desastres e indisponibilidade do negócio e processos envolvidos, o profissional precisa ser capaz de lidar com as contingências de forma que o elo de disponibilidade da segurança da informação seja restabelecido. Nesse capítulo, o autor faz colocações acerca da necessidade de haver um plano de continuidade do negócio e sua constante reavaliação através de testes periódicos para descobrir se o mesmo permanece atual, de acordo com a política de segurança e as necessidades da organização.

Os capítulos de 5 ao 10 são dedicados às questões sobre a privacidade das pessoas, a pessoa como parte integrante do processo de implementação, manutenção e gestão da política de segurança da informação, classificação e o acesso à informação. O aspecto da privacidade de um membro da organização sujeita a uma política de segurança da informação, é um tema discutido em todo o mundo, pois as facetas legais envolvidas são variadas. Até que ponto deve existir a privacidade e onde a empresa pode e deve implantar controles que são essenciais para a política de segurança? Essa discussão leva-nos, também, às situações de empresas e organizações que utilizam os dados pessoais dos indivíduos que interagem com a mesma. Tudo isso é abordado no quesito privacidade. A continuidade do assunto é justamente a necessidade da conscientização das pessoas para os perigos, aspectos e necessidade dos processos de segurança, e até que ponto o indivíduo é responsável e precisa atuar em conjunto com a organização para mitigar os riscos e auxiliar na gestão da política.

E quando fala sobre conscientização, o autor também aborda a classificação das informações, a validação e autenticação. Quem pode acessar o quê, quem não pode, o que é confiável e o que não é, são assuntos importantes que toda organização deve controlar, para que os pilares de integridade e confidencialidade não sejam conspurcados, atrapalhando processos e gerando dúvidas quanto a capacidade organizacional de manter suas informações e de seus clientes à salvo de acesso e alterações não autorizadas.

Um auxílio encontrado no capítulo 9, por exemplo, é a orientação para aqueles profissionais que repentinamente encontram-se nomeados para um cargo que não pensavam ocupar ou que possuem pouca experiência no assunto: Information Security Officer. Nesse capítulo, estão delineadas as funções básicas do cargo, são elas:


  • Fazer acontecer a segurança;
  • Buscar soluções adequadas à realidade da organização;
  • Estruturar o processo de segurança;
  • Trabalhar em paralelo com a auditoria;
  • Saber por onde começar.

E aborda também as ações que devem ser seguidas na atuação profissional:


  • Conhecer teoria e conceitos fundamentais;
  • Não se frustrar por não conhecer tudo;
  • Saber que o objetivo é a organização;
  • Não ser o responsável pela segurança;
  • Estar em conexão com o mundo;
  • Unir ética com responsabilidade;
  • Buscar associações de profissionais.

É justamente nas mãos desse profissional que recaem as responsabilidades da gestão da segurança da informação, e algumas das ações que o autor coloca como importantes para serem tomadas visando o sucesso são:


  • Definição e implantação de um processo;
  • Existência do processo de segurança por causa do negócio;
  • Identificação do nível adequado de segurança;
  • Consideração dos ambientes de tecnologia e convencional;
  • Comprometimento do usuário;
  • Patrocínio explícito e verdadeiro da direção;
  • Responsabilidade pelo processo de segurança da informação.

No capítulo 11, encontramos informações sobre os riscos inerentes à existência de qualquer organização, e que nós, como gestores de segurança da informação, seremos confrontados cotidianamente. É justo nesse capítulo onde encontramos maior motivação para a implementação de processos de segurança, pois compreendemos a real necessidade dos mesmos e vemos as consequências possíveis em casos onde esses processos não existiam e não havia planejamento para lidar com contingências.

No capítulo seguinte, o autor nos traz uma explicação, com comentários e considerações sobre as normas ISO/IEC 27002 e NBR 15999-1, explicando seus escopos e deixando explícito que tais normas não são documentos completos em si, mas pontos de partida para discussões e criação de normas, processos e políticas de segurança da informação.

E nos dois últimos capítulos, 13 e 14, são apresentados o QBASI (Questionário Básico de Avaliação de Segurança da Informação) e exemplos de elaboração de políticas e regulamentos de segurança. Essas ferramentas são o corolário do livro, apresentando as possibilidades da implementação dos processos de segurança tão vitais hoje em dia para a proteção e gerenciamento correto das informações existentes em determinada organização.

O livro, como um todo, é um aliado indispensável para todo profissional que atue no segmento de gerenciamento, gestão, implantação e manutenção de normas, políticas, regulamentos e processos de segurança da informação. Nele encontramos os princípios teóricos básicos, que nos levam desde a análise inicial das necessidades da organização à implantação das políticas de segurança e posterior avaliação do funcionamento das mesmas. E o fato de todas as abordagens do livro estarem alinhadas às normas internacionais como COBIT, ITIL por exemplo, já é um grande ponto à favor para profissionais que trabalham com as mesmas em suas organizações e tinham dificuldade de encontrar meios para a implementação dos princípios técnico explanados por tais normas.

Finalizando, considero o livro "Praticando a Segurança da Informação" como uma ferramenta alinhada às necessidades atuais de toda e qualquer organização que precisa implantar controles e políticas de segurança, pois no mercado editorial vemos muitas publicações que abordam a teoria ou visam única e exclusivamente certificações.

No entanto, o livro citado nos apresenta aspectos práticos, aliados a teoria necessária para sua compreensão e posterior implementação dos princípios apresentados pelo autor, pessoa capacitada e experiente na área da segurança.

9 de fevereiro de 2009

Dicas úteis de contra Inteligência

A fim de ampliar o nível de segurança das informações que circulam dentro de um ambiente sensível, sugerimos a adoção das seguintes recomendações:

1. É importante que alguém de confiança acompanhe reformas físicas no prédio bem como as manutenções de redes, principalmente em se tratando de computadores, ou central de telefones.

2. Programas e arquivos sigilosos devem ter acesso controladas por senhas ou outros métodos.

3. Assuntos sigilosos devem ser tratadas pessoalmente. Evite o uso do correio eletrônico ou telefone para estas finalidades.

4. A tecnologia da contra inteligência é cara, mas indispensável, bem como uma equipe bem treinada e de confiança.

5. Acredite sempre na possibilidade de você se confrontar com um espião mais experiente que você ou sua equipe.

6. Ao conversar assuntos sigilosos pessoalmente, considere sempre as possíveis vulnerabilidades do ambiente ou as intenções do seu interlocutor. Cheque também se o seu telefone celular não foi ligado acidentalmente.

7. Peça identificação aos profissionais que trabalham nos postes próximos da sua residência ou local de serviço. Alguns espiões conseguem identificarem-se próprios a si e seus veículos como sendo, por exemplo, da companhia telefônica. Por isto, sempre confirme a identificação com a companhia que o suspeito diz trabalhar.

8. Desenvolva programas de conscientização de funcionários para não saírem falando para os amigos tudo o que sabem sobre a empresa. Alguns espiões podem aproximar-se de empregados descuidados.

9. Verifique constantemente janelas, portas, quadros de chaves, trancas, quadros de DGs (telefones) e etc.

10. Procure por possíveis sinais de invasão durante a sua ausência. Uma caneta fora de posição na mesa pode ser sinal de que alguém este revirando-a na sua ausência.

11. Simule vazamentos de informações de maneira controlada. De acordo com as notícias que vierem à tona, você saberá quem são as pessoas em que pode confiar.

12. Escuta em ramais de centrais telefônicas eletrônicas é de difícil interceptação a partir da central do usuário para fora, porém é conveniente lembrar que a linha do interlocutor externo pode ser escutada e/ou gravada.

13. Os telefones com linhas diretas (analógicas) possibilitam fácil identificação de seus pares de fios correspondentes, logo, podem ser "grampeados" no ambiente que estiverem instalados, nas caixas distribuidoras dentro do prédio do usuário, na central telefônica do edifício (central do usuário), armários externos ou na empresa telefônica local (concessionária). Portanto, o seu privilégio em usar linhas diretas facilita o trabalho de quem deseja interceptar suas ligações.

14. Nos telefones digitais, apesar das dificuldades técnicas de interceptação no percurso entre o usuário final (interlocutor ao telefone) e a central do usuário, ainda assim, é de relativa facilidade a implementação de aparelho de escuta dentro do próprio aparelho telefônico digital, se ele é de fácil acesso e manuseio por outros.

15. Apesar do usuário final possuir em sua sala somente aparelhos digitais em suas linhas diretas, é comum que o link entre a central do usuário e central da concessionária seja "não digital", o que o coloca praticamente na condição descrita no item anterior, evidenciando assim a vulnerabilidade das linhas diretas digitais ou não, já que muitas vezes a interceptação ocorre entre a central do usuário e a central da concessionária local.

16. O uso do telefone celular deve ser apenas para assuntos de domínio público. A telefonia celular opera via radiotransmissão entre o aparelho celular e a torre da concessionária sendo possível interceptar seus sinais por meio de receptores de varredura como os scanners (não se esqueça que mesmo um aparelho celular "digital" pode temporariamente funcionar no modo "analógico".

17. O mesmo fundamento utilizado no item anterior, vale para o caso dos telefones sem fio, variando-se aqui apenas o fato de que a radiotransmissão ocorre entre o monofone (a parte do aparelho que o usuário utiliza para falar) e a base do aparelho.

18. Existem grampos que se utilizam de sofisticações tecnológicas e são implementados de tal forma que a sua detecção por meios eletrônicos se torna quase impraticável.

19. Os meios reprográficos associados à negligência no manuseio de documentos são meios de vazamento de informações, freqüentemente confundidos com escuta telefônica.

20. Lembre-se que seu interlocutor pode estar gravando o diálogo, telefones com secretárias eletrônicas possuem geralmente esse recurso disponível.

21. Papel carbono utilizado e não destruído é fonte de informação, assim como minutas de documentos e sobras de testes mecanográficos.

22. Após o expediente, deve-se guardar documentos em locais que possam ser trancados com chaves ou cadeados. Isto também vale para os documentos em sua bolsa.

23. Máquinas fotográficas, em fração de segundos, registram documentos deixados de forma descuidada sobre as mesas, assim como câmeras de vídeo.

24. A escuta ambiental pode ser implementada através de fonocaptadores ligados a gravadores ou a transmissores que modulam o sinal para que o mesmo seja transmitido via radiofreqüência para posterior recepção/ demodulação em outro ponto, ou mesmo modulado em baixa freqüência e enviado via rede elétrica local para que em outro ponto desta rede seja recepcionado/demodulado.

25. Habitue-se a exigir credenciais das pessoas antes de terem acesso à sua empresa ou residência.

26. Almoços executivos, onde assuntos são tratados e discutidos, podem funcionar como pontos vulneráveis para vazamento de informações; são oportunidades que podem ser usadas por jornalistas ou outras pessoas interessadas na informação.

27. O uso de máquinas fragmentadoras (picotadoras de papéis) em escritórios/gabinetes é fator de segurança contra vazamento de informações.

28. Pessoas que apresentam vulnerabilidade no caráter - jogadores inveterados, tomadores de empréstimos compulsivos, alcoólicos, viciados em drogas, etc, podem ser compelidos a se tornarem "informantes".

29. Evite ser metódico com relação a pontos de encontros. A escuta ambiental geralmente é planejada em função de hábitos e preferência do alvo (pessoa sob vigilância), que são "mapeados" previamente.

30. Mesmo no recinto do lar podem haver informantes. Sempre que possível deixe para o ambiente de trabalho os assuntos a ele relacionados.

31. Ambientes utilizados para reuniões e tomadas de decisões devem ser vistoriados previamente e frequentemente.

32. Quando existirem fortes indicativos de que determinada linha telefônica esteja sob vigilância, é recomendável o uso de scrambler (misturadores de vozes) entre os dois pontos mais críticos relacionados ao tráfego de informações, ou ainda o uso de bloqueadores de grampos. Dê preferência aos equipamentos de contra inteligência de uma linha profissional.

33. Dentro das possibilidades, as cápsulas telefônicas e tomadas de paredes devem ser marcadas e, sempre que possível, submetidas a verificações inopinadamente.

34. Miolos de tomadas de energia, telefones, interruptores, etc, quando possível, devem ser vistoriados e marcados.

35. A varredura efetuada em determinada data garante a eficácia dos trabalhos apenas naquela data e considerando-se ainda os métodos e equipamentos utilizados.

36. Nada pode garantir que o espião, sabendo do agendamento da varredura, tenha retirado o grampo (ambiente ou telefônico) previamente, nem se pode garantir que após a execução do trabalho de varredura, "alguém" não vá colocar uma escuta no ambiente, por isso a valorização dos procedimentos básicos de segurança é essencial.