A gestão de riscos em segurança da informação

Uma abordagem sistemática de gestão de riscos de segurança da informação é necessária para se identificar as necessidades da organização em relação aos requisitos de segurança da informação e para criar um sistema de gestão de segurança da informação (SGSI) que seja eficaz.

A NBR ISO/IEC 27005 de 10/2019 – Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação fornece as diretrizes para o processo de gestão de riscos de segurança da informação. Este documento estabelece os conceitos gerais especificados na NBR ISO/IEC 27001 e foi elaborado para facilitar uma implementação satisfatória da segurança da informação tendo como base uma abordagem de gestão de riscos. O conhecimento dos conceitos, modelos, processos e terminologias descritos na NBR ISO/IEC 27001 e na NBR ISO/IEC 27002 é importante para um entendimento completo deste documento. Este documento é aplicável a todos os tipos de organização (por exemplo: empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos), que pretendam gerenciar os riscos que podem comprometer a segurança da informação da organização.

Acesse algumas dúvidas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais são os critérios para a aceitação do risco?

Qual o propósito da identificação de riscos?

Como fazer a identificação das vulnerabilidades?

Como executar uma avaliação das consequências?

Como fazer a determinação do nível de risco?

Este documento fornece diretrizes para a gestão de riscos de segurança da informação em uma organização. Entretanto, este documento não fornece um método específico para a gestão de riscos de segurança da informação. Cabe à organização definir sua abordagem ao processo de gestão de riscos, considerando, por exemplo, o escopo de um sistema de gestão de segurança (SGSI), o contexto da gestão de riscos e o seu setor de atividade econômica. Há várias metodologias que podem ser utilizadas de acordo com a estrutura descrita neste documento para implementar os requisitos de um SGSI.

Este documento é baseado no método de identificação de riscos de ativos, ameaças e vulnerabilidades, que não é mais requerido pela NBR ISO/IEC 27001. Existem outras abordagens que podem ser usadas. Este documento não contém orientação direta sobre a implementação dos requisitos do SGSI fornecidos na NBR ISO/IEC 27001.

Este documento é aplicável a gestores e pessoal envolvidos com a gestão de riscos de segurança da informação em uma organização e, quando apropriado, em entidades externas que dão suporte a essas atividades. Uma abordagem sistemática de gestão de riscos de segurança da informação é necessária para se identificar as necessidades da organização em relação aos requisitos de segurança da informação e para criar um sistema de gestão de segurança da informação (SGSI) que seja eficaz. Convém que esta abordagem seja adequada ao ambiente da organização e em particular esteja alinhada com o processo maior de gestão de riscos corporativos.

Convém que os esforços de segurança lidem com riscos de maneira efetiva e no tempo apropriado, onde e quando forem necessários. Convém que a gestão de riscos de segurança da informação seja parte integrante das atividades de gestão da segurança da informação e seja aplicada tanto à implementação quanto à operação cotidiana de um SGSI.

Convém que a gestão de riscos de segurança da informação seja um processo contínuo. Convém que o processo defina o contexto interno e externo, avalie os riscos e os trate usando um plano de tratamento a fim de implementar as recomendações e decisões. Convém que a gestão de riscos analise os possíveis acontecimentos e suas consequências, antes de decidir o que será feito e quando será feito, a fim de reduzir os riscos a um nível aceitável.

Convém que a gestão de riscos de segurança da informação contribua para o seguinte: identificação de riscos; processo de avaliação de riscos em função das consequências ao negócio e da probabilidade de sua ocorrência; comunicação e entendimento da probabilidade e das consequências destes riscos; estabelecimento da ordem prioritária para tratamento do risco; priorização das ações para reduzir a ocorrência dos riscos; envolvimento das partes interessadas nas decisões de gestão de riscos tomadas e para informação sobre a situação da gestão de riscos; eficácia do monitoramento do tratamento do risco; monitoramento e análise crítica periódica dos riscos e do processo de gestão de riscos; coleta de informações de forma a melhorar a abordagem da gestão de riscos; treinamento de gestores e pessoal sobre os riscos e as ações para mitigá-los.

O processo de gestão de riscos de segurança da informação pode ser aplicado à organização como um todo, a uma área específica da organização (por exemplo: um departamento, um local físico, um serviço), a qualquer sistema de informações, a controles já existentes, planejados ou apenas a aspectos particulares de um controle (por exemplo: o plano de continuidade de negócios). Uma visão de alto nível do processo de gestão de riscos é especificada na NBR ISO 31000 e apresentado na figura abaixo.

A figura abaixo apresenta como este documento é aplicado ao processo de gestão de riscos. O processo de gestão de riscos de segurança da informação consiste na definição do contexto (Seção 7), processo de avaliação de riscos (Seção 8), tratamento do risco (Seção 9), aceitação do risco (Seção 10), comunicação e consulta do risco (Seção 11) e monitoramento e análise crítica de riscos (Seção 12).

Como mostra a figura acima, o processo de gestão de riscos de segurança da informação pode ser iterativo para o processo de avaliação de riscos e/ou para as atividades de tratamento do risco. Um enfoque iterativo na execução do processo de avaliação de riscos torna possível aprofundar e detalhar a avaliação em cada repetição. O enfoque iterativo permite minimizar o tempo e o esforço despendidos na identificação de controles e, ainda assim, assegura que riscos de alto impacto ou de alta probabilidade possam ser adequadamente avaliados.

Primeiramente, o contexto é estabelecido. Em seguida, executa-se um processo de avaliação de riscos. Se ele fornecer informações suficientes para que se determine de forma eficaz as ações necessárias para reduzir os riscos a um nível aceitável, então a tarefa está completa e o tratamento do risco pode ser realizado. Por outro lado, se as informações forem insuficientes, executa-se uma outra iteração do processo de avaliação de riscos, revisando-se o contexto (por exemplo: os critérios de avaliação de riscos, de aceitação do risco ou de impacto), possivelmente em partes limitadas do escopo.

A eficácia do tratamento do risco depende dos resultados do processo de avaliação de riscos. Notar que o tratamento do risco envolve um processo cíclico para: avaliar um tratamento do risco; decidir se os níveis de risco residual são aceitáveis; gerar um novo tratamento do risco se os níveis de risco não forem aceitáveis; e avaliar a eficácia do tratamento.

É possível que o tratamento do risco não resulte em um nível de risco residual que seja aceitável. Nessa situação, pode ser necessária uma outra iteração do processo de avaliação de riscos, com mudanças nas variáveis do contexto (por exemplo: os critérios para o processo de avaliação de riscos, de aceitação do risco e de impacto), seguida por uma fase adicional de tratamento do risco (ver figura acima, Ponto de Decisão 2).

A atividade de aceitação do risco tem de assegurar que os riscos residuais sejam explicitamente aceitos pelos gestores da organização. Isto é especialmente importante em uma situação em que a implementação de controles é omitida ou adiada, por exemplo, devido aos custos. Durante o processo de gestão de riscos de segurança da informação, é importante que os riscos e a forma com que são tratados sejam comunicados ao pessoal das áreas operacionais e gestores apropriados.

Mesmo antes do tratamento do risco, informações sobre riscos identificados podem ser muito úteis para gerenciar incidentes e ajudar a reduzir possíveis prejuízos. A conscientização dos gestores e pessoal em relação aos riscos, à natureza dos controles aplicados para mitigá-los e às áreas definidas como de interesse pela organização, auxiliam a lidar com os incidentes e eventos não previstos da maneira mais efetiva.

Convém que os resultados detalhados de cada atividade do processo de gestão de riscos de segurança da informação, assim como as decisões sobre o processo de avaliação de riscos e sobre o tratamento do risco (representadas pelos dois pontos de decisão na figura acima), sejam documentados. A NBR ISO/IEC 27001 especifica que os controles implementados no escopo, limites e contexto do SGSI devem ser baseados em risco. A aplicação de um processo de gestão de riscos de segurança da informação pode satisfazer a esse requisito. Há várias abordagens pelas quais os controles podem ser determinados para implementar as opções de tratamento do risco escolhidas.

Avaliando os riscos de fogo dos produtos eletrotécnicos

Saiba como é a relação entre o risco de incêndio e os efeitos potenciais dos incêndios, e fornece as orientações para os comitês de produtos da IEC sobre a aplicabilidade dos ensaios de fogo qualitativos e quantitativos para a avaliação dos perigos de incêndio de produtos eletrotécnicos.

A NBR IEC 60695-1-10 de 10/2019 – Ensaios relativos aos riscos de fogo – Parte 1-10: Orientações para a avaliação dos riscos de fogo dos produtos eletrotécnicos — Diretrizes gerais fornece as orientações gerais referente aos ensaios relativos aos perigos de incêndio, de maneira a reduzir a um nível aceitável o risco de incêndio e os efeitos potenciais de um incêndio envolvendo produtos eletrotécnicos. Também serve como norma de referência para a publicação de outros guias da série NBR IEC 60695. Essa norma não fornece as linhas de orientações relativas à utilização de paredes de compartimentos resistentes ao fogo ou de sistemas de detecção e de supressão para a redução do risco de incêndio.

Ela descreve a relação entre o risco de incêndio e os efeitos potenciais dos incêndios, e fornece as orientações para os comitês de produtos da IEC sobre a aplicabilidade dos ensaios de fogo qualitativos e quantitativos para a avaliação dos perigos de incêndio de produtos eletrotécnicos. Os detalhes de cálculo do risco de incêndio não estão incluídos no escopo desta norma. Ela enfatiza a importância da abordagem do cenário para a avaliação dos perigos de incêndio e dos riscos de incêndio e também discute os critérios destinados a assegurar o desenvolvimento de métodos de ensaios ao fogo baseados nos perigos que são tecnicamente reconhecidos.

Ela discute os diferentes tipos de ensaios ao fogo e, em particular, a sua natureza qualitativa ou quantitativa. Ela também descreve as circunstâncias para as quais ela é apropriada para os comitês de produtos da IEC manterem ou desenvolverem ensaios ao fogo qualitativos. Serve como diretriz para os Comitês da IEC, e é para ser utilizada em função de suas aplicações específicas.

Esta publicação fundamental de segurança é destinada às Comissões de Estudo na elaboração de normas conforme os princípios estabelecidos nos IEC Guia 104 e ISO/IEC Guia 51. Uma das responsabilidades de uma Comissão de Estudo consiste em, quando aplicável, utilizar as publicações fundamentais de segurança na elaboração das suas publicações. Os requisitos, os métodos de ensaio ou as condições de ensaio desta publicação fundamental de segurança não são aplicáveis, a menos que eles sejam especificamente referenciados ou incluídos nas publicações correspondentes.

A NBR IEC 60695-1-11 de 10/2019 – Ensaios relativos aos riscos de fogo – Parte 1-11: Orientações para a avaliação dos riscos de fogo dos produtos eletrotécnicos — Avaliação do perigo de fogo fornece as orientações para avaliar o perigo de fogo dos produtos eletrotécnicos e para desenvolver, consequentemente, os ensaios relativos ao perigo de fogo relacionado diretamente aos danos às pessoas, aos animais ou aos bens.

Ela descreve um processo baseado em perigo para identificar os métodos de ensaio de fogo apropriados e os critérios de desempenho para os produtos. Os princípios da metodologia são utilizados para identificar os tipos de eventos relacionados ao fogo (cenários de fogo) que serão associados ao produto, para determinar como as propriedades de fogo mensuráveis do produto estão relacionadas com o resultado destes eventos e para estabelecer os métodos de ensaio e os requisitos de desempenho para estas propriedades que darão lugar a um resultado de fogo tolerável ou eliminarão totalmente o evento.

Ela é destinada a fornecer orientações aos Comitês da IEC, para ser utilizada em função de suas aplicações individuais. A implementação efetiva deste documento é de responsabilidade de cada Comissão de produto, de acordo com a segurança contra o fogo mínima aceitável no seu campo de aplicação e levando em conta o retorno da experiência. Esta publicação fundamental de segurança é destinada a ser utilizada nas Comissões de Estudo para a elaboração de suas normas, conforme os princípios estabelecidos nos IEC Guia 104 e ISO/IEC Guia 51. Uma das responsabilidades de uma Comissão de Estudo consiste em, quando aplicável, utilizar as publicações fundamentais de segurança na elaboração das suas publicações. Os requisitos, os métodos de ensaio ou as condições de ensaio desta Publicação fundamental de segurança não são aplicáveis, a menos que eles sejam especificamente referenciados ou incluídos nas publicações correspondentes.

Acesse algumas dúvidas relacionadas a essas normas GRATUITAMENTE no Target Genius Respostas Diretas:

Como fazer a quantificação do risco de incêndio?

Qual a metodologia para a avaliação dos perigos de incêndio?

Como realizar a preparação dos requisitos e das especificações de ensaio?

Como elaborar a descrição qualitativa do cenário de fogo?

Como executar a seleção dos critérios para os resultados de cenários de fogo aceitáveis?

Quais são os requisitos e especificações do ensaio de fogo?

Quando do projeto de um produto eletrotécnico, é necessário levar em consideração o risco de incêndio e os perigos potenciais associados ao fogo. Neste aspecto, o objetivo no projeto dos componentes, dos circuitos e dos equipamentos, bem como a escolha dos materiais, é reduzir o risco de incêndio a um nível aceitável, mesmo no caso de uma (má) utilização razoavelmente previsível, de mau funcionamento ou de falha. Esta norma, juntamente com as suas normas associadas, a NBR IEC 60695-1-11 e a IEC 60695-1-12, fornece as orientações relativas à sua aplicação.

A utilização de compartimentos com paredes resistentes ao fogo e a utilização de sistemas de detecção e de supressão são métodos importantes para a redução do risco de incêndio, mas não são tratados nesta norma. Os fogos envolvendo os produtos eletrotécnicos podem ser iniciados a partir de fontes externas não elétricas. As considerações desta natureza são tratadas em uma avaliação geral de perigo de incêndio. O objetivo da série NBR IEC 60695 é salvar vidas e preservar os bens, reduzindo o número de fogo ou as consequências do fogo.

Isso pode ser realizado: tentando impedir a ignição provocada por um componente energizado eletricamente, e se uma ignição ocorrer, confinando o fogo resultante no interior do invólucro do produto eletrotécnico; tentando minimizar a propagação de chama além do limite do produto e a minimização dos efeitos nocivos dos efluentes do fogo, como o calor, a fumaça e os produtos resultantes da combustão tóxica ou corrosiva. Convém, na medida do possível, realizar os ensaios de fogo dos produtos eletrotécnicos por meio de ensaios de fogo quantitativos com as algumas características.

Convém que o ensaio leve em conta as condições de utilização do produto, ou seja, as condições de utilização final previstas, bem como as condições previsíveis de mau funcionamento. Isso porque as condições de incêndio que podem ser perigosas em um conjunto de circunstâncias não representam necessariamente a mesma ameaça em um conjunto diferente. Convém que seja possível correlacionar os resultados dos ensaios com os efeitos nocivos dos efluentes do fogo citados acima, ou seja, as ameaças térmicas e transmitidas no ar para as pessoas e/ou bens na situação de utilização final pertinente. Isto evita a criação de escalas de desempenho, artificiais e por vezes distorcidas, sem relação clara com a segurança de incêndio.

Embora existam geralmente múltiplas contribuições para os efeitos dos incêndios reais, convém que os resultados dos ensaios sejam expressos em termos bem definidos e utilizando unidades científicas reconhecidas, de modo a poder quantificar as contribuições do produto aos efeitos globais do fogo e compará-los com a contribuição dos outros produtos. Embora os ensaios quantitativos sejam preferidos, as características dos ensaios do fogo são qualitativas e fornecem os resultados de aceitação/rejeição e de classificação. Em determinadas circunstâncias, será conveniente manter estes métodos de ensaio qualitativo ou desenvolver novos métodos.

Esta parte estabelece as circunstâncias nas quais a manutenção ou o desenvolvimento são apropriados. A transmissão, a distribuição, o armazenamento e a utilização da energia elétrica pode ter o potencial de contribuir para o perigo de incêndio. No caso dos produtos eletrotécnicos, as causas mais frequentes de ignição são o aquecimento excessivo e os arco elétricos.

A probabilidade de ignição dependerá do projeto do produto e do sistema, da utilização de dispositivos e de sistemas de segurança, e o tipo dos materiais utilizados. O funcionamento dos produtos eletrotécnicos gera calor e, em alguns casos, arcos elétricos e faíscas, que são fenômenos normais. Não convém que estes riscos potenciais conduzam a situações perigosas quando eles são levados em consideração, inicialmente, na fase de projeto do produto e posteriormente durante a instalação, utilização e manutenção.

Apesar de ser uma opinião comum de que a maioria dos incêndios de origem elétrica é causada por um curto-circuito, existem várias outras causas possíveis de ignição. Estas causas podem incluir as condições da instalação, a utilização imprópria e a manutenção inadequada. Exemplos são: funcionamento em sobrecarga por períodos curtos ou longos; funcionamento em condições não previstas pelo fabricante ou instalador; uma dissipação de calor inadequada; e falta de ventilação.

A Tabela 1 (disponível na norma) indica os fenômenos de ignição comuns encontrados nos produtos elétricos. Salvo especificação contrária, considera-se que as fontes de ignição estejam no interior do produto eletrotécnico. A tabela lista os casos mais frequentemente encontrados. Os incêndios envolvendo os produtos eletrotécnicos podem também ser iniciados a partir de fontes externas não elétricas.

O produto eletrotécnico pode estar envolvido em situações perigosas que não são resultado da sua utilização própria. As considerações desta natureza são tratadas na avaliação global dos perigos, nas normas específicas de segurança dos produtos ou, por exemplo, pelas disposições da IEC TS 62441. O Anexo A fornece os exemplos de potência de saída das fontes de ignição potenciais.

Quando os produtos são projetados, a prevenção da ignição nas condições normais e anormais de funcionamento requer uma prioridade maior em comparação com a redução da eventual propagação de chamas. Após a ignição ter ocorrido, qualquer que seja a razão, os efeitos subsequentes do fogo devem ser avaliados. Os fatores a serem levados em consideração incluem: crescimento fogo e propagação da chama; liberação de calor; produção de fumaça (visibilidade); produção de efluentes tóxicos do fogo; produção de efluentes potencialmente corrosivos do fogo; potencial de explosão.

O Anexo B indica as referências das diretrizes da IEC. A segurança do equipamento eletrotécnico utilizado em atmosferas explosivas é tratada na NBR IEC 60079-0. Os objetivos dos ensaios relativos aos riscos de fogo de produtos eletrotécnicos são para determinar quais as propriedades referentes ao fogo do produto contribuem para os efeitos potenciais do fogo e/ou como o produto ou uma parte do produto contribui para a iniciação, o crescimento e o efeito do fogo, e, em seguida, utilizar este conhecimento para reduzir os riscos de incêndio nos produtos eletrotécnicos.

Um perigo de incêndio é um objeto ou estado físico com potencial para uma consequência indesejável do fogo. Os perigos de incêndio, entretanto, englobam potenciais combustíveis e fontes de ignição. A ignição de um produto eletrotécnico pode ser causada por um componente eletricamente energizado. A ignição ocorre como resultado de um aumento na temperatura (ver IEC 60695-1-20, que pode ter uma origem química, mecânica ou elétrica.

A Tabela 1 (disponível na norma) descreve em detalhes os fenômenos comuns de ignição encontrados em produtos eletrotécnicos, e são também listadas as suas consequências possíveis. Os fogos envolvendo produtos eletrotécnicos também podem ser iniciados a partir de fontes externas não elétricas, e convém incluir esta possibilidade em toda avaliação global dos riscos de incêndio.

Os ensaios qualitativos ao fogo são aqueles que expressam os resultados de forma não quantitativa. O grupo dos ensaios qualitativos ao fogo inclui ensaios de aprovação/reprovação e outros ensaios que classificam os produtos de acordo com sua posição em uma ordem de classificação de desempenho. Os ensaios qualitativos ao fogo não fornecem dados que são apropriados para a finalidade de quantificar o risco de incêndio. Os resultados destes ensaios podem não ser correlacionados com o desempenho ao fogo em escala real, bem como as condições de ensaio podem não ser relacionadas com o cenário de incêndio ou cenários pertinentes.

Entretanto, como os ensaios qualitativos ao fogo classificam os produtos em relação ao risco de incêndio ou fornecem um resultado claro de aprovação/reprovação, quando ensaiados de acordo com o procedimento de ensaio de fogo normalizado, este grupo de ensaios é útil no caso de pré-seleção de material ou para o ensaio de um produto final específico e, em algumas circunstâncias, os resultados de um ensaio qualitativo podem ser utilizados indiretamente na avaliação do risco de incêndio de produtos eletrotécnicos.

A ignição é o resultado de um aumento da temperatura (ver IEC 60695-1-20). Os fenômenos de ignição comuns encontrados em produtos eletrotécnicos são descritos em detalhes na NBR IEC 60695-1-10:2019, Tabela 1. Os incêndios envolvendo produtos eletrotécnicos podem também ser iniciados a partir de fontes externas não elétricas, e convém que uma avaliação global do perigo de fogo inclua esta possibilidade. Um perigo de fogo é um objeto ou condição física com possibilidade de consequência indesejável para um incêndio (ver 3.17). O perigo de fogo abrange os combustíveis e fontes de ignição potencial (ver 4.1).

O risco de incêndio é calculado a partir da probabilidade do fogo e de uma medida quantificada de suas consequências. As consequências podem se referir a uma lesão ou perda de vida, devido a ameaças como o calor, a fumaça, o esgotamento de oxigênio ou a concentração de gases de fogo incapacitantes. As consequências podem também se referir a uma perda material, como a extensão dos danos de um incêndio e os custos de reparação e de substituição.

Uma ampla gama de cenários de fogo possíveis pode ser analisada quantitativamente para determinar as medidas do risco global de incêndio. A avaliação do perigo de fogo implica a avaliação das possíveis causas de fogo, a possibilidade e a natureza de um desenvolvimento posterior do fogo, e as possíveis consequências do fogo. O perigo de fogo provocado por um produto, isto é, a possibilidade de ignição, o desenvolvimento posterior do fogo e as possíveis consequências de um incêndio envolvendo este produto, depende das características do produto, das condições de utilização e do ambiente em que é utilizado.

Este ambiente inclui a consideração do número e as capacidades das pessoas expostas a um incêndio envolvendo este produto e/ou o valor e a vulnerabilidade dos bens expostos a este perigo. A ameaça à vida e os danos materiais associados a um produto constituem geralmente o resultado principal do calor e dos efluentes do fogo produzido pelo fogo aos quais o produto dá origem. Por consequência, consideram-se a ignição e o desenvolvimento do fogo, seguindo-se a libertação do calor e da opacidade, toxicidade e corrosividade do efluente do fogo emitido de um produto em combustão ou de qualquer material que esteja envolvido com o fogo devido ao produto.

Os efeitos diretos destas propriedades do fogo, bem como os seus efeitos sobre as pessoas, afetando a sua capacidade de continuar a funcionar durante e após o incêndio, são considerados. Em alguns casos, fatores adicionais devem também ser avaliados, como os efeitos do calor excessivo, levando ao colapso da estrutura circundante ou acumulação de gases, vapores e/ou poeiras inflamáveis, levando à possibilidade de risco de explosão. Certos produtos podem cobrir partes consideráveis de superfícies expostas ou podem atravessar as paredes corta-fogo.

Como exemplo, podem ser citados os produtos que requerem grandes invólucros, bem como os cabos isolados e os eletrodutos. Convém que, no caso de exposição a um fogo externo, estes produtos sejam avaliados do ponto de vista da sua contribuição para o incêndio em comparação aos mesmos materiais de construção e às estruturas em que os produtos não estão instalados. Convém que as normas previstas para os produtos finais incluam, após uma análise detalhada das fontes de todos os perigos relacionados com um cenário de fogo definido, uma série de ensaios ou um único ensaio, para abordar as questões específicas a serem identificadas. O processo de avaliação do perigo de fogo é explicado com mais detalhes na Seção 6.

O controle e as comunicações de dados em tratores agrícolas ou florestais

Atualmente, está disponível um sistema de comunicações para equipamentos agrícolas com base no protocolo da ISO 11898-2.

A NBR ISO 11783-1 de 08/2019 – Tratores e máquinas agrícolas e florestais — Rede serial para comunicação de dados e controle – Parte 1: Padrão geral para comunicação de dados móveis especifica uma rede serial de dados para controle e comunicações em tratores agrícolas ou florestais e implementos montados, semimontados, rebocados ou autopropelidos. Sua finalidade é padronizar o método e o formato de transferência de dados entre sensores, atuadores, elementos de controle, unidades de armazenamento e exibição de informações, montados ou se forem parte do trator ou implemento. Ela é destinada a fornecer interligação de sistema aberto (Open System Interconnect – OSI) para sistemas eletrônicos utilizados por equipamentos agrícolas e florestais. Fornece uma visão geral da NBR ISO 11783.

Para desenvolvedores de aplicações segundo a NBR ISO 11783, o conteúdo desta base de dados eletrônicos fornece a listagem atual das designações de endereços, designações de identidade e definições de parâmetros da NBR ISO 11783-1 que foram designadas e que estão oficialmente registradas pela SAE J1939. Estas informações são encontradas na base de dados on-line no website da ISOBUS (http://www.isobus.net/).

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais os termos abreviados usados nessa norma?

Qual seria uma estrutura de conexão física típica da rede do trator/implemento?

Qual seria uma topologia típica da rede da NBR ISO 11783?

Como seria a interface do computador de gerenciamento da fazenda?

O que contém a base de dados eletrônicos da NBR ISO 11783-1?

A NBR ISO 11783 especifica um sistema de comunicações para equipamentos agrícolas com base no protocolo da ISO 11898-2. Os documentos SAE J19391, em que as partes da NBR ISO 11783 são baseadas, foram desenvolvidos em conjunto para uso em aplicações de caminhões e ônibus e para aplicações na construção e agricultura. Documentos conjuntos foram concluídos para permitir que as unidades eletrônicas que atendem às especificações SAE J1939 de caminhões e ônibus sejam utilizadas por equipamentos agrícolas e florestais com alterações mínimas.

Informações gerais sobre a NBR ISO 11783 podem ser encontradas nesta parte da NBR ISO 11783. O objetivo da NBR ISO 11783 é fornecer um sistema aberto e interligado para sistemas eletrônicos embarcados. Ela é destinada a permitir que unidades de controle eletrônico (ECU) se comuniquem entre si, fornecendo um sistema padronizado.

A interligação de sistemas abertos (OSI) especificada na ISO/IEC 7498-1 é um modelo de arquitetura de comunicações por computador que possui sete camadas, conforme mostrado na figura abaixo. Pretende-se que as redes de comunicações de dados, como a serie ABNT NBR ISO 11783, sejam desenvolvidas para realizar as funções de cada uma das camadas OSI, conforme requerido.

Camada 1 – Física – Esta camada refere-se à transmissão de um fluxo de bits não estruturado sobre mídia física; ela trata das características mecânicas, elétricas, funcionais e de processo para acessar a mídia física.

Camada 2 – Dados – Esta camada fornece a transferência confiável de informações pela da camada física; ela envia blocos de dados com o sincronismo, controle de erros, controle sequencial e controle de fluxo.

Camada 3 – Rede – Esta camada fornece camadas superiores com independência das tecnologias de transmissão e comutação de dados utilizados para conectar sistemas; ela é responsável por estabelecer, manter e encerrar conexões.

Camada 4 – Transporte – Esta camada fornece transferência confiável e transparente de dados entre pontos finais, recuperação de erros de ponta a ponta e controle de fluxo, e segmentação e remontagem de mensagens muito grandes.

Camada 5 – Sessão – Esta camada fornece a estrutura de controle para comunicação entre aplicações; ela estabelece, gerencia e encerra conexões (sessões) entre aplicações de cooperação.

Camada 6 – Apresentação – Esta camada fornece independência ao processo da aplicação das diferenças na representação de dados (sintaxe).

Camada 7 – Aplicação – Esta camada fornece acesso ao ambiente OSI para usuários e também fornece serviços de informações distribuídas.

Não é requerido que qualquer norma baseada no modelo OSI, incluindo a NBR ISO 11783, seja particionada explicitamente nas sete camadas OSI, desde que a funcionalidade fundamental seja suportada. Nem todas as camadas OSI são requeridas para a rede NBR ISO 11783, porque esta rede é um sistema de comunicações específico, suportando conjuntos específicos de aplicações para uma indústria específica.

Somente as camadas requeridas para o uso previsto são definidas na NBR ISO 11783, com uma parte separada da NBR ISO 11783 especificando cada uma das camadas e com outras partes fornecendo suporte de funcionalidade para as camadas. Em redes concordantes com a série NBR ISO 11783, muitas mensagens são transmitidas. Estas redes incluem a rede do trator (6.6.2) e a rede do implemento (6.6.3). Portanto, os dados são transmitidos na rede sem direcioná-los para um destino específico.

Esta configuração permite que qualquer função de controle utilize os dados sem utilizar mensagens de solicitação adicionais. A NBR ISO 11783 também especifica que um endereço de destino específico seja incluído no identificador rede de área de controle (CAN) da mensagem, quando uma mensagem for direcionada para uma função de controle específica. O formato da mensagem específica de destino é, portanto, diferente do formato da mensagem global de destino.

A comunicação de propriedade também é permitida na NBR ISO 11783, utilizando formatos de mensagens específicas de destino ou mensagem globais de destino. A NBR ISO 11783-2 especifica a subcamada de acesso à mídia para as ECU e a subcamada dependente do meio físico para as redes do trator e do implemento. A interface da ECU deve estar em conformidade com a subcamada de sinalização física, conforme normalizado na ISO 11898-1:2015, e a subcamada de acesso à mídia física, conforme normalizado na ISO 11898-2:2016. A rede é composta de um único cabo linear torcido quadruplamente conectado a cada ECU em um nó. Um cabo curto fornece uma conexão do nó ao cabo torcido quadruplamente para cada ECU.

Circuitos de polarização da terminação ativos são especificados para cada extremidade de um segmento de rede. A NBR ISO 11783-2 também especifica os conectores requeridos para conectar implementos a tratores, ECUs adicionais a uma rede existente instalada no equipamento e uma ferramenta de serviço na rede. A NBR ISO 11783-2 também especifica as fontes de energia requeridas para a operação da rede e suas conexões.

As ECU concordantes com a série NBR ISO 11783 devem utilizar o Formato de Estrutura Estendida CAN Clássica, definido na ISO 11898-1:2015. Os formatos de estruturas CAN FD não podem ser utilizados. A NBR ISO 11783-3 define a estrutura do identificador CAN para especificar os formatos de mensagens. Os formatos de mensagem ou unidades de dados de protocolo são utilizados para identificar o conteúdo de uma mensagem.

A NBR ISO 11783-3 especifica um campo (PF) de formato PDU de 8 bits, um campo (PS) específico PDU de 8 bits e um campo de página de dados de 2 bits que é utilizado para identificar uma PDU. Para reduzir a sobrecarga de mensagens, a NBR ISO 11783-3 especifica que um número de itens ou parâmetros de dados relativos deve ser agrupado dentro de uma PDU. A NBR ISO 11783 especifica mensagens adicionais para mensagens proprietárias do fabricante.

As mensagens que necessitam de mais 8 bytes de dados são enviadas como mensagens multipacote. A NBR ISO 11783-3 especifica um protocolo de transporte para transmitir mensagens multipacote de até 1 785 bytes de comprimento. A NBR ISO 11783-6 especifica um segundo protocolo de transporte para transmitir mensagens de 1 786 bytes até 117 megabytes.

As definições individuais do formato de mensagem da aplicação, incluindo a taxa de transmissão da mensagem, o comprimento da estrutura de dados, a página de dados, PF, PS ou DA e a prioridade padrão, são fornecidas na parte da NBR ISO 11783 que especifica a aplicação específica. Quando duas redes com diferentes arquiteturas de rede forem conectadas, o integrador do sistema conectado deve utilizar uma unidade de interligação de rede para isolar cada segmento de rede do outro.

As unidades de interligação de rede estão detalhadas na NBR ISO 11783-4. Também é possível que sistemas complexos possam requerer mais do que o limite elétrico de 30 nós, conforme especificado na NBR ISO 11783-2, em uma série NBR ISO 11783. Nestes casos, o fabricante do sistema do implemento deve utilizar unidades de interligação de rede para manter os limites de carga elétrica requeridos da rede.

Cada função de controle que se comunica na rede de dados da ABNT NBR ISO 11783 requer um endereço da fonte (SA). Se uma ECU realizar as mais de uma função de controle, um endereço é requerido para cada função de controle. Para identificar exclusivamente cada função de controle, a NBR ISO 11783-5 especifica um NAME de 64 bits. A NBR ISO 11783-5 define o processo específico para determinar os endereços de fonte e resolver quaisquer conflitos de endereço que possam ocorrer.

O SA é pré-ajustado ou dinamicamente reivindicado por cada controlador, à medida que são ativados. Um NAME deve ser designado para cada função de controle que se comunica em uma rede NBR ISO 11783. Existem exemplos, como um terminal virtual e porta de gerenciamento em uma ECU comum, onde vários NAME e endereços coexistem dentro de uma única ECU.

A base de dados da NBR ISO 11783 em http://www.isobus.net/ lista os seguintes códigos para campos de um NAME: as indústrias que utilizam especificações de gerenciamento de rede ABNT NBR ISO 11783; endereços pré-ajustados ou preferidos para funções de controle não específicas; endereços iniciais designados para equipamentos agrícolas e florestais; os NAME a serem utilizados pelas funções de controle em uma rede de dados da NBR ISO 11783; os fabricantes que fornecem ECU para operar em uma rede de dados ABNT NBR ISO 11783. Os endereços utilizados pelas funções de controle também são ilustrados.

A NBR ISO 11783 suporta dois ou mais segmentos de rede. Um segmento é identificado como a rede do trator. Este segmento é destinado a fornecer as comunicações de controle e dados para o trem de acionamentos e chassi do trator ou a unidade de energia principal em um sistema. O segundo segmento é identificado como a rede do implemento que fornece as comunicações de controle e dados entre implementos e entre implementos e o trator ou a unidade de energia principal no sistema. Uma ECU do trator é requerida para conectar à rede do trator e a rede do implemento.

ISO/IEC 27701: o gerenciamento de informações sobre privacidade em segurança da informação

A ISO/IEC 27701:2019 – Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and Guidelines especifica os requisitos e fornece a orientação para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Informações sobre Privacidade (Privacy Information Management System – PIMS) na forma de uma extensão da ISO/IEC 27001 e ISO/IEC 27002 para gerenciamento de privacidade dentro do contexto da organização. Este documento especifica os requisitos relacionados ao PIMS e fornece orientação para os controladores de Personally Identifiable Information (PII) e processadores de PII que detêm responsabilidade e responsabilidade pelo processamento de PII.

Este documento é aplicável a todos os tipos e tamanhos de organizações, incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos, que são controladores de PII e/ou processadores de PII dentro de um SGSI.

Conteúdo da norma

Prefácio……………………………… vi

Introdução…. …………………… vii

1 Escopo…. ………………………. 1

2 Referências normativas……… 1

3 Termos, definições e abreviaturas………………… 1

4 Geral………………………………. ………………….. 2

4.1 Estrutura deste documento…………. ……….. 2

4.2 Aplicação dos requisitos da ISO/IEC 27001: 2013… …….. 2

4.3 Aplicação das diretrizes ISO/IEC 27002: 2013 ……………. 3

4.4 Cliente………………………………………… .4

5 Requisitos específicos do PIMS relacionados à ISO/IEC 27001…….. 4

5.1 Geral…………………………………… …… 4

5.2 Contexto da organização………… ………. 4

5.2.1 Entendendo a organização e seu contexto…………. 4

5.2.2 Entendendo as necessidades e expectativas das partes interessadas……………5

5.2.3 Determinar o escopo do sistema de gerenciamento de segurança da informação…………………. 5

5.2.4 Sistema de gerenciamento de segurança da informação…………………………. … 5

5.3 Liderança…………………………… 5

5.3.1 Liderança e compromisso……………………….. 5

5.3.2 Política……. ………………………………….. 5

5.3.3 Funções organizacionais, responsabilidades e autoridades………………………. 5

5.4 Planejamento………………. 6

5.4.1 Ações para endereçar riscos e oportunidades…….. …. 6

5.4.2 Objetivos de segurança da informação e planejamento para alcançá-los………. …….. 7

5.5 Suporte………………………………… ….. 7

5.5.1 Recursos…… ………………………… 7

5.5.2 Competência……….. ……………………. 7

5.5.3 Conscientização………. ………………….7

5.5.4 Comunicação………………. ……………. 7

5.5.5 Informação documentada………………… 7

5.6 Operação………………………………………….. 7

5.6.1 Planejamento e controle operacional……………… 7

5.6.2 Avaliação de risco de segurança da informação…………… 7

5.6.3 Tratamento do risco de segurança da informação…………………………………………… 7

5.7 Avaliação de desempenho.. ……………. 8

5.7.1 Monitoramento, medição, análise e avaliação………………….. 8

5.7.2 Auditoria interna………. …………………. 8

5.7.3 Revisão da gestão……………………………. 8

5.8 Melhoria…………………………………………. 8

5.8.1 Não conformidade e ação corretiva…………… 8

5.8.2 Melhoria contínua…………………………………. 8

6 Orientações específicas do PIMS relacionadas à ISO/IEC 27002……………………… 8

6.1 Geral……………………………….. …… 8

6.2 Políticas de segurança da informação……………. …. 8

6.2.1 Direção da gerência para a segurança da informação…………………………… 8

6.3 Organização da segurança da informação…………….. 9

6.3.1 Organização interna…………………………………… 9

6.3.2 Dispositivos móveis e teletrabalho………………….. 10

6.4 Segurança dos recursos humanos…………………….. 10

6.4.1 Antes do emprego……………………………………………10

6.4.2 Durante o emprego……………………………………. 10

6.4.3 Rescisão e mudança de emprego…………… 11

6.5 Gestão de ativos…….. ……………………. 11

6.5.1 Responsabilidade pelos ativos……………….. 11

6.5.2 Classificação da informação………………….. 11

6.5.3 Manuseio de mídia…….. …………… 12

6.6 Controle de acesso…………………………. 13

6.6.1 Requisitos de negócios do controle de acesso….. 13

6.6.2 Gerenciamento de acesso do usuário………………. 13

6.6.3 Responsabilidades do usuário…………………………………………. ..14

6.6.4 Controle de acesso a sistemas e aplicativos……….. 14

6.7 Criptografia………. ……………………………….. 15

6.7.1 Controles criptográficos………………………….. 15

6.8 Segurança física e ambiental………………….. 15

6.8.1 Áreas seguras……………. …………………. 15

6.8.2 Equipamento………. ……………………. 16

6.9 Segurança operacional. …………………… 17

6.9.1 Procedimentos operacionais e responsabilidades……………. 17

6.9.2 Proteção contra malware…………………………… 18

6.9.3 Backup……………….. ……………………………. 18

6.9.4 Registro e monitoramento……………………….. 18

6.9.5 Controle do software operacional……………………. 19

6.9.6 Gerenciamento técnico de vulnerabilidades……………. 20

6.9.7 Considerações sobre auditoria de sistemas de informação………………………………. 20

6.10 Segurança de comunicações……………. ……… 20

6.10.1 Gerenciamento de segurança de rede……………………… 20

6.10.2 Transferência de informação……………………………. ..20

6.11 Aquisição, desenvolvimento e manutenção de sistemas…………………….. 21

6.11.1 Requisitos de segurança dos sistemas de informação…………………………………. 21

6.11.2 Segurança em processos de desenvolvimento e suporte……………………………….. 21

6.11.3 Dados de ensaio…………………….. 23

6.12 Relações com fornecedores …………….. 23

6.12.1 Segurança da informação nas relações com fornecedores…………………… 23

6.12.2 Gerenciamento de entrega de serviços de fornecedores…………………………. 24

6.13 Gerenciamento de incidentes de segurança da informação………………. …………….. 24

6.13.1 Gerenciamento de incidentes e melhorias de segurança da informação………………………. 24

6.14 Aspectos de segurança da informação na gestão de continuidade de negócios……………. ………….. 27

6.14.1 Continuidade da segurança da informação……………………. 27

6.14.2 Redundâncias………………… …………….. 27

6.15 Conformidade…………………………………. 27

6.15.1 Cumprimento dos requisitos legais e contratuais………… 27

6.15.2 Revisões de segurança da informação…………………………. 28

7 Orientação adicional ISO/IEC 27002 para controladores PII………………………… ..29

7.1 Geral…………………….. … 29

7.2 Condições para coleta e processamento…………………… 29

7.2.1 Identifique e documente a finalidade………………… 29

7.2.2 Identifique a base legal………………………………. 29

7.2.3 Determinar quando e como o consentimento deve ser obtido…………………………. 30

7.2.4 Obter e registrar o consentimento…………………. 30

7.2.5 Avaliação do impacto de privacidade…………… 31

7.2.6 Contratos com processadores PII………………….. 31

7.2.7 Controlador PII comum…………………….. …….. 32

7.2.8 Registros relacionados ao processamento de PII…………… 32

7.3 Obrigações com os princípios de PII………………….. ….. 33

7.3.1 Determinação e cumprimento de obrigações para com os princípios de PII…………………. 33

7.3.2 Determinando as informações para os principais objetos de informação pessoal…………………………….. 33

7.3.3 Fornecendo informações aos principais PII………. ……… 34

7.3.4 Fornecendo o mecanismo para modificar ou retirar o consentimento…………………… 34

7.3.5 Fornecendo o mecanismo para contestar o processamento de PII…………………………….. 35

7.3.6 Acesso, correção e/ou eliminação……………….. 35

7.3.7 Obrigações dos controladores de PII de informar terceiros…………………………….. 36

7.3.8 Fornecendo cópia das PII processadas……………………… 36

7.3.9 Processando solicitações……………………. …….. 37

7.3.10 Tomada de decisão automatizada………………………. 37

7.4 Privacidade por projeto e privacidade por norma………………………………………………………. 38

7.4.1 Cobrança limite………………………… 38

7.4.2 Processamento de limite…….. ………… 38

7.4.3 Precisão e qualidade…………………… ..38

7.4.4 Objetivos de minimização de PII……………….. 39

7.4.5 Desidentificação e eliminação de PII no final do processamento…………………………. 39

7.4.6 Arquivos temporários… ………….. 39

7.4.7 Retenção….. ………………………. 40

7.4.8 Descarte…. …………………………. 40

7.4.9 Controles de transmissão PII…………………. 40

7.5 Compartilhamento, transferência e divulgação de PII…………. 41

7.5.1 Identificar base para transferência de PII entre jurisdições………………………… 41

7.5.2 Países e organizações internacionais para os quais PII podem ser transferidos ………… 41

7.5.3 Registros de transferência de PII…………………… 41

7.5.4 Registros de divulgação de PII para terceiros……. 42

8 Orientação adicional ISO/IEC 27002 para processadores PII……………………………. … 42

8.1 Geral……………………………….. … 42

8.2 Condições para coleta e processamento……………………. 42

8.2.1 Contrato com o cliente……………………………….. .42

8.2.2 Finalidades da organização………………………………. 43

8.2.3 Marketing e publicidade…. ……………………….. 43

8.2.4 Instrução infratora……………………………. 43

8.2.5 Obrigações do cliente…………………………….. 43

8.2.6 Registros relacionados ao processamento de PII………………. 44

8.3 Obrigações aos principais PII…………………………. ….. 44

8.3.1 Obrigações para com os princípios de PII…………… 44

8.4 Privacidade por projeto e privacidade por norma…… 44

8.4.1 Arquivos temporários………… ……………. 44

8.4.2 Devolução, transferência ou descarte de PII………… 45

8.4.3 Controles de transmissão PII…………………. 45

8.5 Compartilhamento, transferência e divulgação de PII……… 46

8.5.1 Base para transferência de PII entre jurisdições….. 46

8.5.2 Países e organizações internacionais para as quais os PII podem ser transferidos…………. 46

8.5.3 Registros de divulgação de PII para terceiros… ……. 47

8.5.4 Notificação de solicitações de divulgação de PII………… 47

8.5.5 Divulgações de PII legalmente vinculativas………………………. 47

8.5.6 Divulgação de subcontratantes utilizados para processar PII……….. 47

8.5.7 Contratação de um subcontratado para processar PII…………………………………… 48

8.5.8 Mudança de subcontratado para processar PII………. 48

Anexo A (normativo) Objetivos e controles de referência específicos do PIMS (Controladores PII) …… 49

Anexo B (normativo) Objetivos e controles de referência específicos do PIMS (Processadores PII) ……. 53

Anexo C (informativo) Mapeamento para a ISO/IEC 29100……… 56

Anexo D (informativo) Mapeamento ao Regulamento Geral de Proteção de Dados………………… 58

Anexo E (informativo) Mapeamento para a ISO/IEC 27018 e ISO/IEC 29151……………. 61

Anexo F (informativo) Como aplicar a ISO/IEC 27701 à ISO/IEC 27001 e ISO/IEC 27002……………… 64

Bibliografia………………………66

Quase toda organização processa Informações Pessoais Identificáveis (Personally Identifiable Information – PII). Além disso, a quantidade e os tipos de PII processados estão aumentando, assim como o número de situações em que uma organização precisa cooperar com outras em relação ao processamento de PII. A proteção da privacidade no contexto do processamento de PII é uma necessidade social, bem como o tópico de legislação e/ou regulamentação dedicadas em todo o mundo.

O Sistema de Gerenciamento de Segurança da Informação (SGSI) definido na ISO/IEC 27001 foi projetado para permitir a adição de requisitos setoriais específicos, sem a necessidade de desenvolver um novo sistema de gestão. As normas do sistema de gestão ISO, incluindo as específicas do setor, são projetadas para serem implementadas separadamente ou como um sistema de Gestão combinado.

Os requisitos e as orientações para a proteção das PII variam de acordo com o contexto da organização, em particular quando existe legislação e/ou regulamentação nacional. A ISO/IEC 27001 exige que esse contexto seja compreendido e levado em consideração.

Este documento inclui mapeamento para: o quadro e os princípios de privacidade definidos na norma ISO/IEC 29100; ISO/IEC 27018; ISO/IEC 29151; e o Regulamento Geral de Proteção de Dados da UE. No entanto, estas proteções podem precisar ser interpretadas para levar em conta a legislação e/ou regulamentação local. Este documento pode ser usado por controladores PII (incluindo aqueles que são controladores PII de junção) e processadores PII (incluindo aqueles que usam processadores PII subcontratados e aqueles que processam PII como subcontratantes para processadores PII).

Uma organização que atenda aos requisitos deste documento gerará evidências documentadas de como ele lida com o processamento de PII. Tal evidência pode ser usada para facilitar acordos com parceiros de negócios onde o processamento de PII é mutuamente relevante. Isso também pode ajudar nas relações com outras partes interessadas.

O uso deste documento em conjunto com a ISO/IEC 27001 pode, se desejado, fornecer uma verificação independente dessa evidência. Este documento foi inicialmente desenvolvido como ISO/IEC 27552 e ele se aplica a estrutura desenvolvida pela ISO para melhorar o alinhamento entre os normas do sistema de gestão e permite que uma organização alinhe ou integre seu PIMS com os requisitos de outras normas de gestão.

Dá para medir a eficácia da segurança da informação em sua empresa?

Os criminosos digitais estão cada vez mais querendo acessar as empresas e a segurança da informação, nesse contexto, passa a ser um ponto de extrema importância ligada à estratégia corporativa. Para se ter uma ideia, estima-se que o número de ataques cibernéticos aumentou entre 30 e 40% na América Latina nos últimos anos.

Assim, para garantir um bom nível de segurança, é fundamental ter uma infraestrutura robusta. Portanto, deve-se investir em vários aspectos: arquitetura, design de um esquema de proteção, operações e práticas seguras, além de uma boa gestão de riscos.

Quanto à arquitetura, pode-se pensar na análise do projeto de uma prisão ou de uma base militar. Sempre se deve levar em consideração qual é a finalidade de um edifício. Ele abrigará réus de alta periculosidade? Que informações e objetos ficarão dentro de uma área militar?

O sistema precisa ser projetado como um todo, já que ele é formado por um conjunto de componentes que devem ser protegidos individualmente. Uma infraestrutura segura leva em conta um design geral da solução sem deixar de prestar atenção à proteção dos dados. Dessa forma, há uma segurança específica para cada um dos elementos: servidores, computadores, a rede, os componentes de comunicação, etc.

Ao configurar um serviço ou registrar um usuário, essas ações estão relacionadas a uma interação com um sistema e também devem ser feitas com segurança. Uma pessoa pode até ter um automóvel extremamente seguro e equipado com os melhores acessórios de segurança, mas acabará sofrendo um acidente se dirigir bêbado ou ultrapassar o limite de velocidade da via.

É preciso considerar as boas práticas que estabelecem qual é a melhor forma de atuar na maioria dos casos e das vezes. Precisa-se saber como são essas boas práticas e adotá-las para ter uma referência de aprimoramento.

Todas as empresas são diferentes. Cada setor tem suas próprias ameaças e exposições a riscos específicos. Por isso, é importante contar com uma referência. Quais seriam as circunstâncias de uma pequena e média empresa? Depende da área de atuação e da importância das informações com as quais essa empresa trabalha. Traçar um panorama de riscos gera certeza na hora de avaliar até que ponto deve-se otimizar o sistema e o que é preciso priorizar.

Quanto à computação na nuvem, possibilita a realização de operações seguras por causa de sua arquitetura e de seu design de soluções. A arquitetura da nuvem assemelha-se a uma fortaleza. Ela já fica armada e as operações e configurações são feitas pelo provedor, motivo pelo qual há menos exposição aos riscos.

E pode-se medir a eficácia de todo esse sistema?A NBR ISO/IEC 27004 de 04/2010 – Tecnologia da informação – Técnicas de segurança – Gestão da segurança da informação – Medição fornece as diretrizes para o desenvolvimento e uso de métricas e medições a fim de avaliar a eficácia de um Sistema de Gestão de Segurança da Informação (SGSI) implementado e dos controles ou grupos de controles, conforme especificado na NBR ISO/IEC 27001. Esta norma é aplicável a todos os tipos e tamanhos de organizações.

O usuário deste documento precisa interpretar corretamente cada uma das formas verbais das expressões fornecidas (por exemplo: “deve”, “não deve”, “convém que”, “não convém que”, “pode”, “não precisa” e “não pode”) como sendo um requisito a ser atendido e/ou recomendações em que existe certa liberdade de escolha. Convém que seja consultado o Anexo A da ISO/IEC 27000:2009 para esclarecimentos adicionais.

Esta norma fornece diretrizes para elaboração e uso de medidas e medições a fim de avaliar a eficácia de um Sistema de Gestão de Segurança da Informação (SGSI) implementado e de controles ou grupos de controles, conforme especificado na NBR ISO/IEC 27001. Isto inclui a política, gestão de riscos de segurança da informação, objetivos de controles, controles, processos e procedimentos, e apoio ao processo de sua revisão, ajudando a determinar se algum processo ou controle do SGSI precisa ser modificado ou melhorado.

É necessário lembrar que nenhuma medição de controles pode garantir segurança completa. A implementação desta metodologia constitui um Programa de Medição de Segurança da Informação. O Programa de Medição de Segurança da Informação vai apoiar a gestão na identificação e avaliação de processos e controles do SGSI ineficazes e não conformes e na priorização de ações associadas com a melhoria ou modificação desses processos e/ou controles.

Também pode auxiliar a organização na demonstração da conformidade com a NBR ISO/IEC 27001 e prover evidências adicionais para os processos de análise crítica pela direção e de gestão de riscos em segurança da informação. Esta norma assume que o ponto de partida para o desenvolvimento das medidas e medições é o entendimento claro dos riscos de segurança da informação que a organização enfrenta e que as atividades de análise de riscos da organização têm sido executadas corretamente (por exemplo, baseada na NBR ISO/IEC 27005), conforme requerido pela NBR ISO/IEC 27001.

O Programa de Medição de Segurança da Informação encorajará que uma organização forneça informações confiáveis às partes interessadas pertinentes relacionadas com os riscos de segurança da informação e com a situação do SGSI implementado para gerenciar esses riscos. Se for eficazmente implementado, o Programa de Medição de Segurança da Informação aumentará a confiança das partes interessadas nos resultados das medições e possibilitará às partes interessadas a usarem essas medidas para realizar a melhoria contínua da segurança da informação e do SGSI.

Os resultados acumulados de medição permitirão a comparação do progresso em atingir os objetivos de segurança da informação sobre um período de tempo como parte de um processo de melhoria contínua do SGSI da organização. A NBR ISO/IEC 27001 exige que a organização “realize análises críticas regulares da eficácia do SGSI levando em consideração os resultados da eficácia das medições” e que “meça a eficácia dos controles para verificar se os requisitos de segurança da informação foram alcançados”.

A NBR ISO/IEC 27001 também exige que a organização “defina como medir a eficácia dos controles ou grupo de controles selecionados e especifique como essas medidas devem ser usadas para avaliar a eficácia dos controles para produzir resultados comparáveis e reproduzíveis”. A abordagem adotada por uma organização para atender os requisitos de medição especificados na NBR ISO/IEC 27001 vai variar de acordo com o número de fatores significantes, incluindo os riscos de segurança da informação que a organização enfrenta, o tamanho da organização, recursos disponíveis, e requisitos legais, regulatórios e contratuais aplicáveis.

A seleção e a justificativa criteriosa do método usado para atender aos requisitos de medição são importantes para assegurar que recursos em excesso não sejam direcionados a estas atividades do SGSI em detrimento de outras. Em condições ideais, as atividades de medição em curso devem ser integradas nas operações normais da organização com um acréscimo mínimo de recursos.

Os objetivos da medição de Segurança da informação no contexto de um SGSI incluem: avaliar a eficácia dos controles ou grupos de controles implementados (ver “4.2.2 d)” na Figura 1); avaliar a eficácia do SGSI implementado (ver 4.2.3 b)” na Figura 1); verificar a extensão na qual os requisitos de segurança da informação identificados foram atendidos (ver “4.2.3 c)” na Figura 1); facilitar a melhoria do desempenho da segurança da informação em termos dos riscos de negócio globais da organização; fornecer entradas para a análise crítica pela direção para facilitar as tomadas de decisões relacionadas ao SGSI e justificar as melhorias necessárias do SGSI implementado.

A Figura 1 ilustra o relacionamento cíclico de entrada e saída das atividades de medição em relação ao ciclo Planejar-Fazer-Checar-Agir (PDCA), especificado na NBR ISO/IEC 27001. Os números em cada figura representam as subseções relevantes da NBR ISO/IEC 27001:2006.

Clique nas figuras para uma melhor visualização

figura-1_medicao

Convém que a organização estabeleça objetivos de medição baseados em certas considerações, incluindo: o papel da segurança da informação em apoiar as atividades globais da organização e os riscos que ela encara; requisitos legais, regulatórios e contratuais pertinentes; estrutura organizacional; custos e benefícios de implementar as medidas de segurança da informação; critério de aceitação de riscos para a organização; e a necessidade de comparar diversos SGSI dentro da própria organização. Convém que uma organização estabeleça e gerencie um Programa de Medição de Segurança da Informação, a fim de alcançar os objetivos de medição estabelecidos e adotar um modelo PDCA nas atividades de medição globais da organização.

Também convém que uma organização desenvolva e implemente modelos de medições, a fim de obter resultados repetitivos, objetivos e úteis da medição baseado no Modelo de Medição da Segurança da Informação (ver 5.4). Convém que o Programa de Medição de Segurança da Informação e o modelo de medição desenvolvidos assegurem que uma organização alcance efetivamente os objetivos e as medições de forma repetitiva e forneça os resultados das medições para as partes interessadas pertinentes de modo a identificar as necessidades de melhorias do SGSI implementado, incluindo seu escopo, políticas, objetivos, controles, processos e procedimentos.

Convém que um Programa de Medição de Segurança da Informação inclua os seguintes processos: desenvolvimento de medidas e medição (ver Seção 7); operação da medição (ver Seção 8); relato dos resultados da análise de dados e da medição (ver Seção 9); e avaliação e melhoria do Programa de Medição de Segurança da Informação (ver Seção 10). Convém que a estrutura organizacional e operacional de um Programa de Medição de Segurança da Informação seja determinada levando em consideração a escala e a complexidade do SGSI do qual ele é parte.

Em todos os casos, convém que os papéis e responsabilidades para o Programa de Medição de Segurança da Informação sejam explicitamente atribuídos ao pessoal competente ( ver 7.5.8). Convém que as medidas selecionadas e implementadas pelo Programa de Medição de Segurança da Informação, estejam diretamente relacionadas à operação de um SGSI, a outras medidas, assim como aos processos de negócio da organização.

As medições podem ser integradas às atividades operacionais normais ou executadas a intervalos regulares determinados pela direção do SGSI. Assim, o Modelo de Medição de Segurança da Informação é uma estrutura que relaciona uma necessidade de informação com os objetos relevantes da medição e seus atributos. Objetos de medição podem incluir processos planejados ou implementados, procedimentos, projetos e recursos.

O Modelo de Medição de Segurança da Informação descreve como os atributos relevantes são quantificados e convertidos em indicadores que fornecem uma base para a tomada de decisão. A Figura 2 mostra o modelo de medição de Segurança da Informação.

figura-2_medicao

Uma medida básica é a medida mais simples que pode ser obtida. A medida básica resulta da aplicação do método de medição aos atributos selecionados de um objeto de medição. Um objeto de medição pode ter muitos atributos, dos quais somente alguns podem fornecer valores úteis a serem atribuídos a uma medida básica. Um dado atributo pode ser usado para diversas medidas básicas.

Um método de medição é uma sequência lógica de operações usadas para quantificar um atributo de acordo com uma escala especificada. A operação pode envolver atividades, tais como a contagem de ocorrências ou observação da passagem do tempo. Um método de medição pode aplicar atributos a um objeto de medição.

Exemplos de um objeto de medição incluem mas não estão limitados a: desempenho dos controles implementados no SGSI; situação dos ativos de informação protegidos pelos controles; desempenho dos processos implementados no SGSI; comportamento do pessoal que é responsável pelo SGSI implementado; atividades de unidades organizacionais responsáveis pela segurança da informação; e grau da satisfação das partes interessadas.

Um método de medição pode usar objetos de medição e atributos de variadas fontes, tais como: análise de riscos e resultados de avaliações de riscos; questionários e entrevistas pessoais; relatórios de auditorias internas e/ou externas; registros de eventos, tais como logs, relatórios estatísticos, e trilhas de auditoria; relatórios de incidentes, particularmente aqueles que resultaram na ocorrência de um impacto; resultados de testes, por exemplo, testes de invasão, engenharia social, ferramentas de conformidade, e ferramentas de auditoria de segurança; ou registros de segurança da informação da organização relacionados a programa e procedimentos, por exemplo, resultados de treinamentos de conscientização em segurança da informação.

tabela-1_medicao

Uma medida derivada é um agregado de duas ou mais medidas básicas. Uma dada medida básica pode servir como entrada para diversas medidas derivadas. Uma função de medição é um cálculo usado para combinar medidas básicas para criar uma medida derivada. A escala e a unidade da medida derivada dependem das escalas e unidades das medidas básicas das quais ela é composta, assim como da forma como elas são combinadas pela função de medição.

A função de medição pode envolver uma variedade de técnicas, como média de medidas básicas, aplicação de pesos a medidas básicas, ou atribuição de valores qualitativos a medidas básicas. A função de medição pode combinar medidas básicas usando escalas diferentes, como porcentagens e resultados de avaliações qualitativas. Um exemplo do relacionamento de elementos adicionais na aplicação do modelo de medição de Segurança da informação, por exemplo, medidas básicas, função de medição e medidas derivadas são apresentadas na Tabela 2.

tabela-2_medicao

Um indicador é uma medida que fornece uma estimativa ou avaliação de atributos especificados derivados de um modelo analítico de acordo com a necessidade de informação definida. Indicadores são obtidos pela aplicação de um modelo analítico a uma medida básica e/ou derivada, combinando-as com critérios de decisão. A escala e o método de medição afetam a escolha das técnicas analíticas utilizadas para produzir os indicadores. Um exemplo de relacionamentos entre medidas derivadas, modelo analítico e indicadores para o modelo de medição de Segurança da informação é apresentado na Tabela 3.

tabela-3_medicao

Se um indicador for representado em forma gráfica, convém que possa ser usado por usuários visualmente debilitados e que cópias monocromáticas possam ser feitas. Para tornar a representação possível, convém que ela inclua cores, sombreamento, fontes ou outros métodos visuais.

Os resultados de medição são desenvolvidos pela interpretação de indicadores aplicáveis baseados em critérios de decisão definidos e convém que sejam considerados no contexto global dos objetivos de medição para avaliação da eficácia do SGSI. O critério de decisão é usado para determinar a necessidade de ação ou investigação futura, bem como para descrever o nível de confiança nos resultados de medição.

Os critérios de decisão podem ser aplicados a uma série de indicadores, por exemplo, para conduzir análise de tendências baseadas em indicadores recebidos a intervalos de tempo diferente. Alvos fornecem especificações detalhadas para desempenho, aplicáveis à organização ou partes dela, derivados dos objetivos de segurança da informação tais como os objetivos do SGSI e objetivos de controle, e que precisam ser definidos e atendidos para se alcançar esses objetivos.

Atual diretoria da Associação Brasileira de Normas Técnicas (ABNT) expõe seus clientes a riscos jurídicos por uso de software pirata

Ao copiar sem autorização a base de dados de uma empresa que lhe prestava serviço, a diretoria atual da ABNT, formada por Pedro Buzatto Costa (muito conhecido pelo poder judiciário), presidente do Conselho Deliberativo, seu genro, Ricardo Fragoso, e Carlos Santos Amorim, manteve até os erros gramaticais no seu produto pirata. O fato foi apontado pelo desembargador José Aparício Coelho Prado Neto, na decisão de segunda instância na qual condenou a ABNT a pagar indenização por danos materiais à Target por violação de direito autoral do programa.

pirated

Hayrton Rodrigues do Prado Filho, jornalista profissional registrado no Ministério do Trabalho e Previdência Social sob o nº 12.113 e no Sindicato dos Jornalistas Profissionais do Estado de São Paulo sob o nº 6.008

O mercado da pirataria de software oferece uma diversidade de produtos com preços mais baixos, o que aumenta o interesse das pessoas por este tipo de mercadoria. Apesar de tentador, o que poucos sabem é que ao adquirir ou vender um produto falsificado, se torna um ato criminoso provocando grandes prejuízos à economia do país.

Os produtos pirateados são considerados todos aqueles que possuem a reprodução, venda ou distribuição sem a devida autorização e o pagamento dos direitos autorais. Qualquer espécie de falsificação se enquadra em crime, seja de forma direta ou indireta.

Dessa forma, muitas empresas brasileiras estão comprando ou já compraram os produtos ABNT CATALOGO e ABNT COLEÇÃO, comercializados pela ABNT, e todos precisam saber que esse é um produto pirata. Deve ficar claro que todas as mercadorias produzidas ou comercializadas com violação de direitos serão necessariamente produtos de crime.

Em resumo, se o delito de receptação é caracterizado por crime contra o patrimônio, o ato de comprar uma mercadoria pirateada consiste em uma conduta criminosa, pois o produto adquirido infringe o patrimônio intelectual do seu titular, e assim, torna-se resultado de outro delito anterior. Sendo assim, é importante alertar que independente de quem compra ou vende produtos desta origem, esta pessoa irá responder pelo ato de receptação, conforme art. 180 do Código Penal, que prevê pena de reclusão de até quatro anos.

A ABNT perdeu o processo em segunda instância, já que no dia 15 de março de 2016, em acórdão de pirataria de software, a justiça negou provimento aos agravos retidos da ABNT e deu parcial provimento ao apelo apenas para reduzir a condenação referente quanto à indenização por danos materiais à multa imposta, de R$ 2.000.000,00 para R$ 1.000.000,00 (mais de R$ 5.000.000,00 atualizados na data de hoje).

Em sua defesa, a diretoria da ABNT alega que possui um laudo feito pelo Instituto de Criminalística da Polícia Civil e que foi ignorado na decisão tomada pelo TJ-SP. Isso é balela, pois esse documento não faz parte dos autos do processo. O laudo que faz parte do processo é extenso, possui quase 300 páginas e aponta, detalhadamente, diversas similitudes nas bases de dados que não poderiam existir ao não ser em caso de violação de direito autoral. Mostra, inclusive, que a autora propositalmente adicionou ao seu banco de dados pequenos erros gramaticais e de digitação para verificação de eventual cópia, e que tais erros foram encontrados no banco de dados utilizado pela ré.

O laudo do Instituto de Criminalística de São Paulo, que a diretorias da ABNT apresenta para tentar ludibriar os incautos, não foi aceito pelo Tribunal de Justiça do Estado de São Paulo, pois nunca fez parte do processo 0142175-04.2006.8.26.0100, não podendo ser considerado como prova de absolutamente nada. Trata-se de um papel sem valor, como qualquer outro que não esteja no processo judicial em questão.

Além disso, a sentença fixou a indenização, a ser liquidada, nos mesmos termos que as partes firmaram em contrato (Target e ABNT), só que para o programa da parceria, ou seja, as partes dividiam igualmente os lucros gerados com a comercialização do programa CIN (original da Target), e o farão também com os lucros gerados com a comercialização do programa ABNT NET (Pirata), da notificação da violação até a data em que a ré deixou de disponibilizar a terceiros o programa ABNT NET.

Esse total deverá ser ainda calculado na execução da sentença, mas como a ABNT comercializou esse programa de 2003 até 2011 e, supostamente, comercializa até hoje com outras denominações ABNT CATALOGO e ABNT COLEÇÃO, os valores tendem a ser multimilionários.

A pirataria de software é a cópia ou distribuição não autorizada de software protegido por direitos autorais. Isso pode ocorrer pela cópia, download, compartilhamento, venda ou instalação de várias cópias em computadores pessoais ou de trabalho.

De acordo com estatísticas oficiais reveladas, a Microsoft teve 3.265 casos de pirataria de software, comprometendo milhões de usuários, em 43 países no ano fiscal que terminou em 30 de junho. Apenas 35 deles foram nos EUA, os outros 3.230 casos foram internacionais, espalhados em 42 países.

Atualmente, a jurisprudência no julgamento de crimes relacionados tem se consolidado no sentido de condenar as empresas ao pagamento de indenizações que equivalem a dez vezes o valor do software pirateado por máquina na qual ele for instalado ou utilizado. Isso pode significar quantias vultosas, uma vez que grandes empresas, por exemplo, possuem um número expressivo de computadores e/ou usuários e caso instalem o software de maneira inadequada em suas máquinas, perceberão uma condenação se multiplicar pelo número de máquinas e usuários.

O uso não autorizado ou não licenciado de software pode representar uma violação do contrato ou dos termos de licenciamento impostos pelo titular dos direitos autorais e de propriedade intelectual nos termos da legislação vigente. Certos tipos de uso não autorizado podem também constituir uma ofensa criminal.

Muitas vezes, o descumprimento dos termos de licenciamento pode acontecer acidentalmente. As fusões e aquisições, mudança das práticas de implantação, a falta de gerenciamento de licenças e simples mal-entendidos sobre os requisitos de licença normalmente causam dúvidas ou preocupações sobre o correto licenciamento. É importante que o usuário tenha conhecimento da condição atual de licenciamento de software na sua empresa e siga as regras de governança corporativa que assegurem o licenciamento correto.

Deve ser ressaltado que a condenação da ABNT foi classificada no mérito como pirataria de software, conforme Acórdão na 9ª Câmara de Direito Privado do Tribunal de Justiça de São Paulo, em 15 de março de 2016, que confirmou, por unanimidade, decisão da 26ª vara cível da capital – SP. Essa decisão foi proferida pelo juiz Cesar Santos Peixoto em 31 de maio de 2010 e publicada no Diário Oficial de 02 de junho de 2010. Conforme ele, houve a utilização indevida, por parte da ABNT, do programa alvo de registro (software da Target para pesquisa, controle e atualização de normas técnicas), conferindo a exclusividade e prioridade.

Igualmente, ocorreu descumprimento, por parte da ABNT, da obrigação contratual convencionada (contrato Target/ABNT para uso do referido software pela ABNT). Aconteceu, também, a violação de senha de segurança de software da Target pela ABNT, apropriação indevida de dados pela ABNT e a utilização pela ABNT de programa de titularidade exclusiva da Target, mediante atualização e armazenamento dos dados.

Dessa forma, houve a condenação da ABNT no pagamento à Target da multa, com juros de mora de 12% ao ano e atualizados pelos índices da tabela judicial a partir de 14/11/2003, mais o preço da participação nos resultados decorrentes da comercialização da licença e do direito de uso (do software da Target ou de qualquer outro software que contenha qualquer parte do referido software), na base de 50% da receita mensal líquida, deduzidos os custos, nos termos da cláusula 8 do contrato (entre Target e ABNT), apuradas em liquidação por perícia contábil, entre 14/11/2003 até a restituição/desinstalação do equipamento, extinguindo o processo com resolução do mérito, art. 269, I, do Código de Processo Civil.

Com relação à possibilidade de a Target comercializar as normas técnicas, a atual diretoria da ABNT volta a trazer informações inverídicas à população, uma vez que a referida ABNT não detém nenhum direito autoral sobre as referidas normas técnicas, que foram declaradas de domínio público pela Justiça.

O acórdão proferido pelo Tribunal Regional Federal da 3ª Região, ao julgar a apelação da ABNT, na ação nº 2006.61.00.010071-0, oriunda da 21ª Vara Federal (1ª Instância), negou provimento e não só manteve intacta a sentença, como determinou, expressamente, que as normas brasileiras não são protegidas por direito autoral e que a ABNT não tem o direito de se apropriar das referidas normas brasileiras.

Inclusive, em relação ao acórdão, a ABNT apresentou dois embargos de declaração que foram rejeitados por unanimidade pela turma julgadora, fato que a ABNT omite do mercado e, ao contrário, induz o recebedor de suas justificações a interpretar que os referidos embargos lhes foram favoráveis. Mais uma mentira desse trio que comanda a ABNT há mais de 14 anos e que não faz outra coisa se não espalhar inverdades e nada faz pela normalização brasileira. Basta o leitor acompanhar isso nos artigos sobre os mandos e desmandos da atual diretoria da ABNT que eu escrevi.

Hayrton Rodrigues do Prado Filho é jornalista profissional, editor da revista digital Banas Qualidade, editor do blog https://qualidadeonline.wordpress.com/ e membro da Academia Brasileira da Qualidade (ABQ)hayrton@hayrtonprado.jor.br

Criptografia das informações: segurança x privacidade

LIVRO

Clique para mais informações

Resultado de imagem para criptografyOnda de ataques cibernéticos reacende discussão sobre a necessidade de acesso a informações criptografadas com o objetivo de investigar e coibir crimes.

A criptografia ou “escrita escondida” permitiu aos usuários de internet maior segurança e privacidade ao navegar pela internet ou trocar mensagens em aplicativos pelo celular. Trata-se de um conjunto de regras que visa codificar a informação de forma que só o emissor e o receptor consiga decifrá-la.

Mas, até que ponto a privacidade dessas mensagens podem afetar nossa segurança? Um exemplo clássico foi o caso Snowden, acusado de espionagem por vazar informações sigilosas de segurança dos Estados Unidos e revelar em detalhes alguns dos programas de vigilância que o país utiliza para analisar usuários da Internet e países da Europa e da América Latina, incluindo o Brasil.

Mais recentemente, após os ataques terroristas em Paris, aparentemente membros do Estado Islâmico utilizaram a internet para arquitetar parte dos atentados. Por outro lado, hackers invadiram milhares de contas de membros do EI no Twitter.

A utilização de ferramentas criptografadas facilitam esse tipo de atitude na internet e também dificultam as investigações para rastreamento da origem dessas mensagens. O especialista em direito digital e sócio do Opice Blum, Bruno, Abrusio e Vainzof, Rony Vainzof, explica que infelizmente criminosos também utilizam ferramentas criptografadas para se comunicar, podendo inviabilizar as investigações.

Por outro lado”, acrescenta ele, “a criptografia é importante para a privacidade daqueles que não querem ser espionados e não são criminosos. É preciso existir um equilíbrio entre a privacidade do usuário e também na segurança, viabilizando as investigações”.

Vainzof conclui dizendo que existem propostas para que tenha um bom senso entre a privacidade e a segurança das informações na internet. Uma delas, discutida nos EUA e em outros países, é a possibilidade de utilizar backdoor, sistema que permite recuperar informações codificadas, mas ainda gera dúvidas sobre a aplicabilidade e o alto custo de implementação. Por isso, é preciso avaliar a inconveniência da criptografia com os benefícios de segurança que ela traz para as comunicações e documentos confidenciais.