Segurança de Sistemas: A Spot Light - Parte II
Por Denis Augusto
Introdução
Na primeira parte deste artigo entendemos quais características devem ser vistas para garantir o quanto uma informação está segura, vimos as opções de carreia que um profissional de segurança da informação pode seguir, verificamos o que a Microsoft fez para tornar seus produtos mais seguros e vimos também alguns mitos e lendas que envolvem o universo da segurança da informação.
Nesta segunda parte veremos as normas e estudaremos uma certificação com um destaque especial. Esta certificação dá uma visão importante do fluxo e da gestão de processos dentro de uma organização e é importante para quem visa cargos de níveis gerenciais.
Certificação em Destaque
Decidi separar a certificação ITIL devido a sua importância para um profissional de Tecnologia da Informação (TI) que deseja gerir com eficiência os processos que envolvem cada tarefa em uma organização. Vejamos maiores detalhes:
ITIL- Information Technology Infrastructure Library. A ITIL foi criada inicialmente em 1980 pelo OGC (Office of Government Commerce) para elevar a qualidade dos serviços fornecidos pelas áreas que representavam a Tecnologia da Informação (TI) do governo Britânico. Posteriormente adaptou-se a todas as organizações dos setores público, privado e empresas de diversos tamanhos. Podemos ver a ITIL como a reunião de boas práticas adotadas por diversos profissionais de TI para auxiliar os projetos e guiar atividades, servindo de referencia mundial para a Gestão de Serviços de TI. A representação destas práticas é feita por um conjunto de vários livros, mas hoje a ITIL é bem mais do que isto, sendo vista também como um método para certificação, consultoria e treinamento.
Encontraremos a ITIL dividida basicamente em 8 grupos de livros, 5 deles concentram-se na área de fornecimento de serviços e gerenciamento de infra-estrutura de TI e 3 deles concentram-se em gerenciamento e suporte de infra-estrutura. Cada grupo possui um conjunto de livros que trata especificamente de um tema.
Avaliando com cuidado, poderemos verificar que o uso dos conceitos contidos na ITIL são mais indicados nos casos:
Elevar a qualidade dos serviços prestados pela equipe de TI e em conseqüência a satisfação do cliente;
Reduzir os riscos dos serviços de TI;
Redução de custos na aplicação de procedimentos e praticas na organização;
Melhorar o fluxo de comunicação existente entre fornecedores e equipe de TI;
Medir a qualidade dos serviços de TI;
Garantir que os serviços de TI sejam feitos de acordo com procedimentos documentados que podem ser auditados;
Elevar a produtividade e melhorar o uso das habilidades e experiências de cada funcionário.
A Segurança da Informação pode ser encontrada na ITIL no livro Security Management. Este livro aborda a Segurança do ponto de vista do fornecedor de serviços, identificando como o Gerenciamento de Segurança está vinculado ao IT Security Officer e indicando o nível de segurança necessário para o fornecimento do serviço à organização.
A ITIL hoje é adotada em mais de 10.000 grandes empresas no mundo todo. Neste contexto podemos citar: CA-Computer Associates, HP, EDS, IBM, Microsoft, BMC, ABN-AMRO, General Motors, Siemens, Petrobrás, Banco Central e muitas outras.
Além dos conhecimentos acumulados com as certificações existem várias normas que guiam os passos dos profissionais de Segurança da Informação. Estas normas são baseadas em boas práticas ou padronizações amplamente discutidas no mundo. Vejamos como poderemos obter auxilio usando estas normas:
ISACA/COBIT(Control Objectives for Information and Related Technologies). A primeira versão do COBIT data de 1996 e foi concebido para fornecer um conjunto de recomendações que fossem comuns aos usuários, gestores, pessoal de TI e auditores. A área que mais define a aplicação do COBIT é Governança de TI.
O COBIT é constituído pela união de três modelos: Modelo de Processos de TI, Modelo para Governança de TI e Modelo de Maturidade de TI.
Basiléia 2. A Basiléia 2 traz mudanças profundas ligadas diretamente ao mercado financeiro, pois regulamenta as necessidades de capital retido das instituições financeiras para suportar futuras perdas. Isto afetará diretamente a redução de recursos para utilização no mercado. Além disto, exige a criação de políticas de gerenciamento de riscos para garantir segurança e confidencialidade dos dados de clientes.
Fica clara a necessidade de Gestão de Riscos Operacionais e um maior controle de todos os processos que envolvem esta gestão. O objetivo de tantas exigências é mitigar os riscos de fraudes e falhas no sistema financeiro. Até o ano de 2005 o Banco Central do Brasil ainda não demonstrava sinais de seguir a Basiléia 2. Entretanto todas as instituições financeiras internacionais deverão adotar e seguir o rege esta norma.
Sarbanes-Oxley. Sarbanes-Oxley, ou SOX, é uma lei Norte-Americana datada de 2002 que visa restaurar a confiança dos investidores nas empresas possuidoras de ações em bolsa de valores Norte-Americana. Uma das questões pregadas pela norma é a documentação: todo o processo interno ou externo que pode impactar na saúde financeira da organização deve ser documentado por não menos que 7 anos. Outra questão importante é quanto a penas criminais: se o resultado de auditorias provar o desrespeito ao que especifica a lei, o Diretor Financeiro ou o CEO (Chief Executive Officer) da empresa pode ser penalizado com a prisão. Mais detalhes estão contidos nos links no final deste artigo.
Microsoft/MSF-Microsoft Solutions Framework. MSF representa um conjunto de boas práticas feito pela Microsoft para guiar o gerenciamento de processos e pessoas. Encontraremos no MSF princípios, modelos, disciplinas, conceitos e guias para identificar as causas mais comuns de falhas em projetos de tecnologia.
O MSF é um dos três itens que compõem o ESF (Enterprise Services Frameworks). Cada um deles oferece informações úteis e detalhadas sobre as pessoas, os processos e as tecnologias necessários para o bom funcionamento de um processo em TI. Além do MSF o ESF é composto pelo MRF (Microsoft Readiness Framework) e o MOF (Microsoft Solutions Framework).
Os tipos de projetos abordados pelo MSF são:
Projeto de desenvolvimento de software, incluindo móbile, Web, aplicações e-commerce, mainframe e n-tier;
Projetos de infra-estrutura, envolvendo instalação em massa de desktops, upgrades e configuração de sistemas;
Ou qualquer combinação entre os modelos citados e semelhantes.
MSF introduz disciplinas como Gerenciamento de Projetos, Gerenciamento de Riscos, grupos de discussão, artigos, treinamento (1846A: MSF Essentials) e modelos para uso. Encontramos no MSF uma perfeita integração com a metodologia MOF (Microsoft Operations Framework) e uma melhor adaptação aos padrões de gerenciamento de projeto existentes no mercado.
Microsoft/MOF-Microsoft Operations Framework. O MOF possui suas bases conceituais fundamentadas nas práticas definidas pela ITIL. Podemos dizer que é um conjunto de recomendações, princípios e modelos com um guia técnico completo para obtenção de confiabilidade, disponibilidade e capacidade de suporte técnico e de gerenciamento do sistema de produção crítico com produtos e tecnologias Microsoft.
O MOF se integra com o MSF e pode interagir com ITIL, COBIT e vários outros tipos de metodologias. A Microsoft tem uma visão que define bem o que vem a ser o MOF e seu relacionamento com o MSF: MSF é a maneira certa de se construir algo e o MOF é a maneira certa de se executá-lo:
MSF = "Build IT Right"
MOF = "Run IT Right"O MOF é baseado em quatro fases ou quadrantes que se relacionam de forma cíclica: Alteração, Funcionamento, Suporte Técnico e Otimização. Na fase de Alteração veremos uma descrição dos processos, responsabilidades e melhores práticas que auxiliam as organizações a gerenciar as mudanças em seus ambientes de TI. A fase Funcionamento é dedicada a uma coleção de processos e funções de TI destinados a manutenção, monitoramento, controle e proteção da infra-estrutura de TI. A fase de Suporte Técnico soluciona os problemas gerados pelos usuários e pelos sistemas desenvolvidos usando processos e práticas eficientes para auxílio à infra-estrutura de TI. Já a fase de Otimização é dedicada ao planejamento e implementação de melhorias no ambiente de TI.
BS 7799. Se desejarmos falar de Gestão da Segurança da Informação devemos abordar os conhecimentos contidos na norma BRITISH STANDARD 7799 (BS 7799). Esta norma britânica trata desde segurança física até os cuidados para a codificação de sistemas computacionais.
Podemos dividir a BS 7799 em duas partes. A primeira parte (BS 7799-1) data do ano de 2000 e destina-se a especificar o padrão a ser seguido dentro de disciplinas como: Segurança Pessoal, Segurança Física, Gerenciamento de Operações e Comunicações, Controle de Acesso, Gerenciamento e Desenvolvimento de Sistemas, Gerenciamento de Continuidade de Negócio e finalmente Conformidade.
A segunda parte (BS 7799-2) data do ano de 2002 e está ligada ao processo de certificação de empresas usando os conceitos contidos em um Sistema de Gerenciamento da Segurança da Informação (SGSI). Assim, esta certificação é destinada a corporações e não a indivíduos. O objetivo definido pela BS 7799 é a adoção de padrões de segurança para a implantação de um ambiente de gestão de segurança e gestão dos riscos associados.
NBR ISO/IEC 17799. A principal norma internacional de avaliação, implementação e certificação de medidas de segurança em tecnologias da informação é a norma ISSO/IEC 17799 e tem como base a norma BS 7799-1. A NBR ISSO/IEC 17799 é a versão brasileira da norma ISO/IEC 17799 adaptada a realidade vivenciada por nós aqui no Brasil.
Inicialmente as empresas que usavam esta norma tinham que obter a certificação seguindo a norma BS 7799, pois a norma ISO não pregava a certificação. Isto foi solucionado com a norma internacional ISO/IEC 27001 que foi lançada no final do ano de 2005.
Muitas vezes o que definirá qual norma será usada é a área de atuação da empresa perante seus investidores ou perante o seu mercado de atuação. Lembre-se que aplicar muitas normas é um processo trabalhoso, pois as tarefas definidas em uma Norma A não podem conflitar com as definições usadas pela Norma B. Procure usar as normas sempre para solucionar os problemas e não gerar complicações. Além disto, as normas adotadas devem sempre ser complementares e não conflitantes.
Concluo este conjunto de dois artigos esperando ter ajudado no direcionamento profissional e na avaliação de alguns conceitos antigos sobre o mundo computacional. A mensagem que deixo a todos é:
"Comece pequeno, pense grande e cresça rápido"
Abraços a todos,
Denis Augusto A. de Souza
MCSE, MCSA Messaging