Introdução
Em 2020 entrará em vigor no Brasil a LGPD (Lei Geral de Proteção de Dados) que assim como a GDPR da União Europeia visa regulamentar e assegurar que as empresas cumpram com os requisitos de Proteção de Dados Pessoais, sendo assim as empresas são obrigadas a implementar meios de proteção de dados pessoais, e aí entra a ISO/IEC 27002:2013 que provê meios e requisitos que auxiliam na conformidade com a lei. Por este motivo é recomendável que as organizações entendam a importância e implementem esses meios de proteção, pensando nisso a empresa Metadados Assessoria e Sistemas, que tem por filosofia a qualidade dos produtos e serviços prestados, já está se preparando e avaliando seus produtos e serviços pensando na segurança de seus clientes e colaboradores.
No decorrer deste artigo será possível entender a importância da Lei e da Norma e como isso pode ser aplicado no desenvolvimento seguro de aplicações e avaliado em um teste de intrusão “Pentest”. Prezando pela transparência, a empresa Metadados Assessoria e Sistemas permitiu a publicação do relatório de Pentest de um de seus produtos, o sistema CURRICULOWEB. O relatório está representando a conformidade com a ISO 27001:2013 e escopo da OWASP.
A empresa Metadados Assessoria e Sistemas atua há mais de 30 anos no mercado de desenvolvimento de sistemas, com produtos que vão de sistema de Gestão de RH, Portal RH, Currículo WEB à sistema para clínicas de Saúde Ocupacional (Madu Saúde).
Sistema de Gestão de Segurança da Informação
Com base na Confidencialidade, Integridade e Disponibilidade (CID), ou ainda, representado pela tríade CIA (Confidentiality, Integrity, Availability), a ISO 27001:2013 fornece às organizações um modelo de melhores práticas para identificar, analisar e, então, implementar controles para gerenciar os riscos de segurança da informação.
Com o advento da LGPD (Lei Geral de Proteção de Dados) que entrará em vigor em 2020 no Brasil, passa a ser OBRIGATÓRIO garantir que a sua organização tenha os controles certos para reduzir o risco de ameaças sérias à segurança e evitar vazamento de dados.
Alguns tópicos da Segurança da Informação e LGPD
Confidencialidade – Garantia de que as informações são acessadas somente por pessoas/sistemas que possuem a devida autorização para tal.
Integridade – Garantia de que as informações sejam apresentadas de forma íntegra, corretas, sem sofrer qualquer tipo de alteração indesejada.
Disponibilidade – Garantia de que as informações estejam disponíveis sempre.
Privacidade: É necessário garantir a proteção das informações, bem como o uso devido da informação obtida e autorização do cliente.
Identificação: Há a necessidade de identificar o usuário dentro do sistema, portanto deve ser um usuário para uma pessoa, por meio de auditoria é possível identificar e responsabilizar o responsável por uma ação realizada dentro da aplicação.
Autenticação: É o processo que deverá garantir que o usuário é ele mesmo.
Autorização: Objetivo é garantir que o usuário tenha acesso somente às informações necessárias para desempenhar a atividade, conforme atribuído pelo proprietário.
Responsabilização: Este processo visa garantir que a ação executada pode ser atribuída a uma determinada pessoa/sistema;
Assurance/Garantia: Tem por objetivo garantir que os controles de segurança foram implementados e também foram devidamente avaliados e testados.
A ISO 27001 fornece os meios para garantir essa proteção. Há muitos pontos em que a norma ISO 27001 pode ajudar as empresas a alcançar a conformidade com este regulamento. Abaixo veremos alguns pontos relevantes:
· Avaliação dos riscos – Um dos requisitos do GDPR da EU e LGPD do Brasil é a implementação de Avaliações de Impacto de Proteção de Dados, onde as empresas terão primeiro de analisar os riscos à sua privacidade, o mesmo exigido pela ISO 27001. A altíssima multa e impacto financeiro faz com que as
empresas tratem de forma correta a avaliação de riscos, sendo assim, “As informações devem ser classificadas em termos de requisitos legais, valor, criticidade e sensibilidade à divulgação ou modificação não autorizada”.
· Conformidade – Segundo o controle A.18.1.1 (Identificação da legislação aplicável e requisitos contratuais), é obrigatório ter uma lista de requisitos
legislativos, estatutários, regulamentares e contratuais relevantes. O controle A.18.1.4 (Privacidade e proteção de informações pessoalmente identificáveis) da ISO 27001 orienta as organizações por meio da implementação de uma política de dados e proteção de Informações pessoalmente identificáveis.
· Notificação de violação – As empresas terão que notificar as autoridades de dados dentro de 72 horas após a descoberta de uma violação de dados pessoais. A
implementação do controle ISO 27001 A.16.1 (Gerenciamento de incidentes de segurança da informação e melhorias) assegurará “uma abordagem consistente e eficaz à gestão de incidentes de segurança da informação, incluindo comunicação sobre eventos de segurança.”. O Titular dos Dados é um indivíduo vivo a quem os dados pessoais se relacionam e também deverão ser notificados, mas somente se os dados representam um “alto risco para os direitos e liberdade dos titulares de dados.”.
· Gestão de ativos – controle ISO 27001 A.8 (Gestão de ativos) leva à inclusão de dados pessoais como ativos de segurança da informação e permite que as organizações entendam quais dados pessoais estão envolvidos e onde armazená-los, por quanto tempo, qual é a sua origem e quem tem acesso, que SÃO TODOS OS REQUISITOS DA LEI.
· Privacidade por design – A adoção do Privacy by Design, torna-se obrigatória no desenvolvimento de produtos e sistemas. O controle ISO 27001 A.14 (aquisições, desenvolvimento e manutenção do sistema) garante que “a segurança da informação é uma parte integrante dos sistemas de informação em todo o ciclo de vida”.
· Relacionamentos com fornecedores – controle ISO 27001 A.15.1 (Segurança da Informação na relação com fornecedores) requer a “proteção dos ativos
da organização que são acessíveis pelos fornecedores”. Segundo a lei, a organização delega o processamento e armazenamento de dados pessoais pelos fornecedores, desta forma é necessário exigir o cumprimento dos requisitos do regulamento através de acordos formais.
Privacy by Desing e o Desenvolvimento seguro, controles da ISO 27001:2013
E se a organização deseja seguir o requisito de Privacidade por design, os controles da seção 14 da ISO/IEC 27001:2013, auxiliam neste quesito. Abaixo podemos observar esses controles:
- 14.1 – Requisitos de Segurança de Sistemas de Informação – Tem por objetivo garantir que a segurança da informação é parte integrante dos sistemas de informação ao longo de todo ciclo de vida:
- 14.1.1 – Análise e Especificação dos Requisitos de Segurança da Informação – os requisitos relacionados com segurança da informação devem ser incluídos nas especificações e requisitos;
- 14.1.2 – Aplicando Segurança nos Serviços que Transitam Sobre Redes Públicas – Devem ser protegidas contra ações fraudulentas, disputas contratuais e divulgação e modificações não autorizadas;
- 14.1.3 – Protegendo as Aplicações nas Transações de Serviços – Informações envolvidas em transações devem ser protegidas para prevenir erros, alterações, divulgações não autorizadas.
- 14.2 – Segurança em Processos de Desenvolvimento e de Suporte – tem por objetivo garantir que a segurança está projetada e implementada no desenvolvimento do ciclo de vida dos sistemas:
- 14.2.1 – Política de Desenvolvimento Seguro – As regras para o desenvolvimento de software devem ser estabelecidas e seguidas para todas as aplicações que serão desenvolvidas;
- 14.2.2 – Procedimentos para Controle de Mudanças de Sistemas – Mudanças em sistemas devem ser controlados utilizando procedimentos devidamente formalizados;
- 14.2.3 – Análise Crítica Técnica das Aplicações Após Mudanças nas Plataformas Operacionais – Aplicações críticas para o negócio devem passar por análise crítica e testes quando plataformas operacionais sofrem alterações;
- 14.2.4 – Restrições sobre Mudanças em Pacotes de Software – deve-se mudar pacotes somente quando realmente for necessário e devem ser devidamente controlados;
- 14.2.5 – Princípios da Engenharia de Sistemas Seguros – Princípios para sistemas seguro de engenharia devem ser estabelecidos, documentados, mantidos e aplicados corretamente, deve-se considerar, desastres naturais e comportamento humano;
- 14.2.6 – Ambiente de Desenvolvimento Seguro – É necessário estabelecer ambientes adequados para ambientes de desenvolvimento seguros, contemplando todo o ciclo de vida;
- 14.2.7 – Desenvolvimento Terceirizado – A organização deve supervisionar e monitorar as atividades de desenvolvimento terceirizado;
- 14.2.8 – Teste de Segurança do Sistema – Testes que envolvem funcionalidade de segurança devem ser executados durante o desenvolvimento do sistema, este deve ser periódico;
- 14.2.9 – Teste de Aceitação de Sistemas – Programas e testes de aceitação devem ser estabelecidos para novos sistemas, atualizações e novas versões de aplicações;
- 14.3 – Dados para Teste – Garantir a proteção de dados usados para testes
- 14.3.1 – Proteção dos dados para teste – Os dados de testes devem ser selecionados com cautela, protegidos e devidamente controlados.
A ISO/IEC 27002:2013 ajuda a identificar os controles aplicáveis ao escopo, mas a implementação varia de empresa para empresa. Por meio do SDL a
organização mantém suas aplicações mais seguras, fornece confiança aos clientes e às partes interessadas, redução de retrabalho e custos. Você poderá ler mais
sobre S-SDLC no livro Dot Net Engenharia Reversa e o Software Seguro de 2018, o livro está disponível para venda na Amazon.
| Controles de segurança da ISO 27001 | Justificativa para aplicação no SDLC |
|
A.14.2.5 – Princípios para projetar sistemas seguros A.14.2.1 – Política de desenvolvimento A.14.2.4 – Restrições sobre mudanças em pacotes de software A.14.2.6 – Ambiente seguro para desenvolvimento A.14.2.8 – Teste de segurança do sistema A.14.3.1 – Proteção dos dados para teste |
Orientações que direcionam a necessidade por desenvolvimento seguro de acordo com os riscos percebidos pelo negócio. Aqui você pode definir objetivos e práticas gerais, e os níveis de imposição mais adequados para a sua estrutura de SDLC. |
|
A.14.1.1 – A.14.1.2 – Serviços de aplicação seguros em redes públicas A.14.1.3 – Protegendo as transações nos aplicativos de serviço |
Estes controles podem ser aplicados para assegurar que requisitos de segurança de sistemas são considerados durante a análise e concepção de sistemas ou softwares. Os Controles A.14.1.2 e A.14.1.3 proveem situações específicas do controle A.14.1.1. |
|
A.14.2.2 – Procedimentos para controle de mudanças de sistemas A.14.2.3 – Análise crítica técnica das aplicações após mudanças nas |
Estes controles podem ser aplicados para assegurar controle das mudanças formal e que os resultados desejados foram atingidos e nenhum impacto negativo resultou das mudanças. |
| A.14.2.7 – Desenvolvimento terceirizado | Este controle pode ser aplicado para impor práticas de desenvolvimento seguras até mesmo aos fornecedores da organização. |
Fonte: https://advisera.com/27001academy/pt-br/blog/2017/01/26/como-integrar-os-controles-a-14-da-iso-27001-no-ciclo-de-desenvolvimento-de-sistema-software-sdlc/, acesso em 06/03/2019.
A importância do teste de invasão (Pentest)
A nova lei exige que as organizações implementem medidas técnicas para garantir a segurança dos dados. A Lei destaca a necessidade de “um processo para testar, avaliar e avaliar regularmente a eficácia de medidas técnicas e organizacionais para garantir a segurança do processamento”. Na prática, isso significará realizar varredura de vulnerabilidades e testes de invasão (Pentest) pelo menos uma vez por ano, ou uma vez por trimestre, e dependendo do fator de risco, semanalmente ou até mesmo diariamente.
São diversos os problemas que podem permitir que invasores obtenham acesso a um ambiente, como vulnerabilidades em servidores da Web, navegadores, clientes de e-mail, softwares de gestão, sistemas operacionais, etc… No entanto, para corrigir essas vulnerabilidades você precisará identificá-las primeiro.
Os testes de invasão (Pentests) são indispensáveis, pois verificam se todos os controles de segurança necessários foram implementados corretamente, além de que quando usados nos estágios iniciais do desenvolvimento de novos sistemas, auxiliam na identificação de riscos para dados pessoais.
Relatórios de conformidade a partir do Pentest
Para tranquilizar seus clientes e manter a transparência e confiabilidade, a empresa Metadados Assessoria e Sistemas disponibilizou o relatório de conformidade com a norma ISO/IEC 27001:2013 e OWASP Top 10 2013. O sistema avaliado no momento foi o CURRICULOWEB, esse sistema permite que sejam cadastrados currículos de candidatos a vagas de emprego, ele é utilizado por diversas empresas.
O Currículo Web Metadados é um ambiente web para a captação de currículos, que visa alimentar o módulo Recrutamento e Seleção, tornando-o um
banco de currículos para o processo de seleção. Para uso desta funcionalidade faz-se necessária a contratação e a Instalação do Currículo Web.
Confira abaixo os relatórios apresentados:
ISO27001:2013 – ComplianceBaixar
OWASP – ComplianceBaixar
