Introdução

Em 2020 entrará em vigor no Brasil a LGPD (Lei Geral de Proteção de Dados) que assim como a GDPR da União Europeia visa regulamentar e assegurar que as  empresas cumpram com os requisitos de Proteção de Dados Pessoais, sendo assim as empresas são obrigadas a implementar meios de proteção de dados pessoais, e aí entra a ISO/IEC 27002:2013 que provê meios e requisitos que auxiliam na conformidade com a lei. Por este motivo é recomendável que as organizações entendam a importância e implementem esses meios de proteção, pensando nisso a empresa Metadados Assessoria e Sistemas, que tem por filosofia a qualidade dos produtos e serviços prestados, já está se preparando e avaliando seus produtos e serviços pensando na segurança de seus clientes e colaboradores.

 

No decorrer deste artigo será possível entender a importância da Lei e da Norma e como isso pode ser aplicado no desenvolvimento seguro de aplicações e avaliado em um teste de intrusão “Pentest”. Prezando pela transparência, a empresa Metadados Assessoria e Sistemas permitiu a publicação do relatório de Pentest de um de seus produtos, o sistema CURRICULOWEB. O relatório está representando a conformidade com a ISO 27001:2013 e escopo da OWASP.

A empresa Metadados Assessoria e Sistemas atua há mais de 30 anos no mercado de desenvolvimento de sistemas, com produtos que vão de sistema de Gestão de RH, Portal RH, Currículo WEB à sistema para clínicas de Saúde Ocupacional (Madu Saúde).

 

Sistema de Gestão de Segurança da Informação 

Com base na Confidencialidade, Integridade e Disponibilidade (CID), ou ainda, representado pela tríade CIA (Confidentiality, Integrity, Availability), a ISO 27001:2013 fornece às organizações um modelo de melhores práticas para identificar, analisar e, então, implementar controles para gerenciar os riscos de segurança da informação.

Com o advento da LGPD (Lei Geral de Proteção de Dados) que entrará em vigor em 2020 no Brasil, passa a ser OBRIGATÓRIO garantir que a sua organização tenha os controles certos para reduzir o risco de ameaças sérias à segurança e evitar vazamento de dados.

Alguns tópicos da Segurança da Informação e LGPD

Confidencialidade – Garantia de que as informações são acessadas somente por pessoas/sistemas que possuem a devida autorização para tal.

Integridade – Garantia de que as informações sejam apresentadas de forma íntegra, corretas, sem sofrer qualquer tipo de alteração indesejada.

Disponibilidade – Garantia de que as informações estejam disponíveis sempre.

Privacidade: É necessário garantir a proteção das informações, bem como o uso devido da informação obtida e autorização do cliente.

Identificação: Há a necessidade de identificar o usuário dentro do sistema, portanto deve ser um usuário para uma pessoa, por meio de auditoria é possível identificar e responsabilizar o responsável por uma ação realizada dentro da aplicação. 

Autenticação: É o processo que deverá garantir que o usuário é ele mesmo.

Autorização: Objetivo é garantir que o usuário tenha acesso somente às informações necessárias para desempenhar a atividade, conforme atribuído pelo proprietário.

Responsabilização: Este processo visa garantir que a ação executada pode ser atribuída a uma determinada pessoa/sistema;

Assurance/Garantia: Tem por objetivo garantir que os controles de segurança foram implementados e também foram devidamente avaliados e testados.

A ISO 27001 fornece os meios para garantir essa proteção. Há muitos pontos em que a norma ISO 27001 pode ajudar as empresas a alcançar a conformidade com este regulamento. Abaixo veremos alguns pontos relevantes:

·       Avaliação dos riscos – Um dos requisitos do GDPR da EU e LGPD do Brasil é a implementação de Avaliações de Impacto de Proteção de Dados, onde as empresas terão primeiro de analisar os riscos à sua privacidade, o mesmo exigido pela ISO 27001. A altíssima multa e impacto financeiro faz com que as
empresas tratem de forma correta a avaliação de riscos, sendo assim, “As informações devem ser classificadas em termos de requisitos legais, valor, criticidade e sensibilidade à divulgação ou modificação não autorizada”.

·       Conformidade – Segundo o controle A.18.1.1 (Identificação da legislação aplicável e requisitos contratuais), é obrigatório ter uma lista de requisitos
legislativos, estatutários, regulamentares e contratuais relevantes. O controle A.18.1.4 (Privacidade e proteção de informações pessoalmente identificáveis) da ISO 27001 orienta as organizações por meio da implementação de uma política de dados e proteção de Informações pessoalmente identificáveis.

·       Notificação de violação – As empresas terão que notificar as autoridades de dados dentro de 72 horas após a descoberta de uma violação de dados pessoais. A
implementação do controle ISO 27001 A.16.1 (Gerenciamento de incidentes de segurança da informação e melhorias) assegurará “uma abordagem consistente e eficaz à gestão de incidentes de segurança da informação, incluindo comunicação sobre eventos de segurança.”. O Titular dos Dados é um indivíduo vivo a quem os dados pessoais se relacionam e também deverão ser notificados, mas somente se os dados representam um “alto risco para os direitos e liberdade dos titulares de dados.”.

·       Gestão de ativos – controle ISO 27001 A.8 (Gestão de ativos) leva à inclusão de dados pessoais como ativos de segurança da informação e permite que as organizações entendam quais dados pessoais estão envolvidos e onde armazená-los, por quanto tempo, qual é a sua origem e quem tem acesso, que SÃO TODOS OS REQUISITOS DA LEI.

·       Privacidade por design – A adoção do Privacy by Design, torna-se obrigatória no desenvolvimento de produtos e sistemas. O controle ISO 27001 A.14 (aquisições, desenvolvimento e manutenção do sistema) garante que “a segurança da informação é uma parte integrante dos sistemas de informação em todo o ciclo de vida”.

·       Relacionamentos com fornecedores – controle ISO 27001 A.15.1 (Segurança da Informação na relação com fornecedores) requer a “proteção dos ativos
da organização que são acessíveis pelos fornecedores”. Segundo a lei, a organização delega o processamento e armazenamento de dados pessoais pelos fornecedores, desta forma é necessário exigir o cumprimento dos requisitos do regulamento através de acordos formais.

 

 

Privacy by Desing e o Desenvolvimento seguro, controles da ISO 27001:2013

E se a organização deseja seguir o requisito de Privacidade por design, os controles da seção 14 da ISO/IEC 27001:2013, auxiliam neste quesito. Abaixo podemos observar esses controles:

  • 14.1 – Requisitos de Segurança de Sistemas de Informação – Tem por objetivo garantir que a segurança da informação é parte integrante dos sistemas de informação ao longo de todo ciclo de vida:
  • 14.1.1 – Análise e Especificação dos Requisitos de Segurança da Informação – os requisitos relacionados com segurança da informação devem ser incluídos nas especificações e requisitos;
  • 14.1.2 – Aplicando Segurança nos Serviços que Transitam Sobre Redes Públicas – Devem ser protegidas contra ações fraudulentas, disputas contratuais e divulgação e modificações não autorizadas;
  • 14.1.3 – Protegendo as Aplicações nas Transações de Serviços – Informações envolvidas em transações devem ser protegidas para prevenir erros, alterações, divulgações não autorizadas.
  • 14.2 – Segurança em Processos de Desenvolvimento e de Suporte – tem por objetivo garantir que a segurança está projetada e implementada no desenvolvimento do ciclo de vida dos sistemas:
  • 14.2.1 – Política de Desenvolvimento Seguro – As regras para o desenvolvimento de software devem ser estabelecidas e seguidas para todas as aplicações que serão desenvolvidas;
  • 14.2.2 – Procedimentos para Controle de Mudanças de Sistemas – Mudanças em sistemas devem ser controlados utilizando procedimentos devidamente formalizados;
  • 14.2.3 – Análise Crítica Técnica das Aplicações Após Mudanças nas Plataformas Operacionais – Aplicações críticas para o negócio devem passar por análise crítica e testes quando plataformas operacionais sofrem alterações;
  • 14.2.4 – Restrições sobre Mudanças em Pacotes de Software – deve-se mudar pacotes somente quando realmente for necessário e devem ser devidamente controlados;
  • 14.2.5 – Princípios da Engenharia de Sistemas Seguros – Princípios para sistemas seguro de engenharia devem ser estabelecidos, documentados, mantidos e aplicados corretamente, deve-se considerar, desastres naturais e comportamento humano;
  • 14.2.6 – Ambiente de Desenvolvimento Seguro – É necessário estabelecer ambientes adequados para ambientes de desenvolvimento seguros, contemplando todo o ciclo de vida;
  • 14.2.7 – Desenvolvimento Terceirizado – A organização deve supervisionar e monitorar as atividades de desenvolvimento terceirizado;
  • 14.2.8 – Teste de Segurança do Sistema – Testes que envolvem funcionalidade de segurança devem ser executados durante o desenvolvimento do sistema, este deve ser periódico;
  • 14.2.9 – Teste de Aceitação de Sistemas – Programas e testes de aceitação devem ser estabelecidos para novos sistemas, atualizações e novas versões de aplicações;
  • 14.3 – Dados para Teste – Garantir a proteção de dados usados para testes
  • 14.3.1 – Proteção dos dados para teste – Os dados de testes devem ser selecionados com cautela, protegidos e devidamente controlados.

A ISO/IEC 27002:2013 ajuda a identificar os controles aplicáveis ao escopo, mas a implementação varia de empresa para empresa. Por meio do SDL a
organização mantém suas aplicações mais seguras, fornece confiança aos clientes e às partes interessadas, redução de retrabalho e custos. Você poderá ler mais
sobre S-SDLC no livro Dot Net Engenharia Reversa e o Software Seguro de 2018, o livro está disponível para venda na Amazon.

 

Controles de segurança da ISO 27001 Justificativa para aplicação no SDLC

A.14.2.5 – Princípios para projetar sistemas seguros

A.14.2.1 – Política de desenvolvimento
seguro

A.14.2.4 – Restrições sobre mudanças em pacotes de software

A.14.2.6 – Ambiente seguro para desenvolvimento

A.14.2.8 – Teste de segurança do sistema

A.14.3.1 – Proteção dos dados para teste

 Orientações que direcionam a necessidade por desenvolvimento seguro de acordo com os riscos percebidos pelo negócio. Aqui você pode definir objetivos e práticas gerais, e os níveis de imposição
mais adequados para a sua estrutura de SDLC.

A.14.1.1 –
Análise e especificação os requisitos de segurança da informação

A.14.1.2 – Serviços de aplicação seguros em redes públicas

A.14.1.3 – Protegendo as transações nos aplicativos de serviço

 Estes controles podem ser aplicados para assegurar que requisitos de segurança de sistemas são considerados
durante a análise e concepção de sistemas ou softwares. Os Controles A.14.1.2 e A.14.1.3 proveem situações específicas do controle A.14.1.1.

A.14.2.2 – Procedimentos para controle de mudanças de sistemas

A.14.2.3 – Análise crítica técnica das aplicações após mudanças nas
plataformas operacionais
A.14.2.9 – Teste de aceitação de sistemas

 Estes controles podem ser aplicados para assegurar controle das mudanças formal e que os resultados desejados foram atingidos e nenhum impacto negativo resultou das mudanças.
A.14.2.7 – Desenvolvimento terceirizado Este controle pode ser aplicado para impor práticas de desenvolvimento seguras até mesmo aos fornecedores da organização.

 Fonte: https://advisera.com/27001academy/pt-br/blog/2017/01/26/como-integrar-os-controles-a-14-da-iso-27001-no-ciclo-de-desenvolvimento-de-sistema-software-sdlc/, acesso em 06/03/2019.

 

A importância do teste de invasão (Pentest)

A nova lei exige que as organizações implementem medidas técnicas para garantir a segurança dos dados. A Lei destaca a necessidade de “um processo para testar, avaliar e avaliar regularmente a eficácia de medidas técnicas e organizacionais para garantir a segurança do processamento”. Na prática, isso significará realizar varredura de vulnerabilidades e testes de invasão (Pentest) pelo menos uma vez por ano, ou uma vez por trimestre, e dependendo do fator de risco, semanalmente ou até mesmo diariamente.

São diversos os problemas que podem permitir que invasores obtenham acesso a um ambiente, como vulnerabilidades em servidores da Web, navegadores, clientes de e-mail, softwares de gestão, sistemas operacionais, etc… No entanto, para corrigir essas vulnerabilidades você precisará identificá-las primeiro. 

Os testes de invasão (Pentests) são indispensáveis, pois verificam se todos os controles de segurança necessários foram implementados corretamente, além de que quando usados ​​nos estágios iniciais do desenvolvimento de novos sistemas, auxiliam na identificação de riscos para dados pessoais

 

Relatórios de conformidade a partir do Pentest

            Para tranquilizar seus clientes e manter a transparência e confiabilidade, a empresa Metadados Assessoria e Sistemas disponibilizou o relatório de conformidade com a norma ISO/IEC 27001:2013 e OWASP Top 10 2013. O sistema avaliado no momento foi o CURRICULOWEB, esse sistema permite que sejam cadastrados currículos de candidatos a vagas de emprego, ele é utilizado por diversas empresas.

O Currículo Web Metadados é um ambiente web para a captação de currículos, que visa alimentar o módulo Recrutamento e Seleção, tornando-o um
banco de currículos para o processo de seleção. Para uso desta funcionalidade faz-se necessária a contratação e a Instalação do Currículo Web.          

Confira abaixo os relatórios apresentados: 

           ISO27001:2013 – ComplianceBaixar

           OWASP – ComplianceBaixar