{"id":8495,"date":"2016-02-09T21:00:01","date_gmt":"2016-02-09T21:00:01","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/?p=8495"},"modified":"2022-07-17T15:43:25","modified_gmt":"2022-07-17T15:43:25","slug":"implementando-restricoes-em-instalacoes-de-software-usando-o-controle-a-12-6-2-da-iso-27001","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2016\/02\/09\/implementando-restricoes-em-instalacoes-de-software-usando-o-controle-a-12-6-2-da-iso-27001\/","title":{"rendered":"Implementando restri\u00e7\u00f5es em instala\u00e7\u00f5es de software usando o controle A.12.6.2 da ISO 27001"},"content":{"rendered":"

Atualmente, em todas as organiza\u00e7\u00f5es ao redor do mundo, \u00e9 necess\u00e1rio instalar software (sistemas operacionais, aplicativos de escrit\u00f3rio, aplica\u00e7\u00f5es financeiras, aplica\u00e7\u00f5es de desenvolvimento, etc.). Mas, em geral, a instala\u00e7\u00e3o de destes<\/u> softwares n\u00e3o \u00e9 suficientemente controlada, o que pode levar a certos riscos. A\u00a0ISO 27001:2013<\/a>\u00a0pode ajudar estas organiza\u00e7\u00f5es com a implementa\u00e7\u00e3o de um Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o baseado na norma e o controle 12.6.2<\/a>\u00a0do Anexo. Vejamos como.<\/p>\n

O princ\u00edpio b\u00e1sico<\/h2>\n

Como um princ\u00edpio b\u00e1sico\u2013 a recomenda\u00e7\u00e3o (como uma melhor pr\u00e1tica) \u00e9 que o software deva ser instalado apenas por pessoal autorizado (geralmente a equipe de TI). Isto pode ser aplicado com a ajuda da pol\u00edtica de seguran\u00e7a da informa\u00e7\u00e3o, ou quaisquer outras regras ou melhores pr\u00e1ticas estabelecidas na organiza\u00e7\u00e3o (embora desta forma implique que cada empregado aplica estas regras). Para verificar isto, a organiza\u00e7\u00e3o poderia realizar verifica\u00e7\u00f5es peri\u00f3dicas para analisar o software instalado no equipamento de um empregado selecionado de forma aleat\u00f3ria.<\/p>\n

Outra forma de se aplicar esta regra \u00e9 limitar os privil\u00e9gios do usu\u00e1rio a um m\u00ednimo, embora isso nem sempre ser\u00e1 poss\u00edvel, por que existem perfis que precisam ter privil\u00e9gios de administrador nos sistemas para gerenci\u00e1-los. Estes privil\u00e9gios tamb\u00e9m devem ser verificados periodicamente, uma vez que um empregado pode mudar de \u00e1rea, departamento, etc., que pode significar que voc\u00ea tem que habilitar novos privil\u00e9gios, e\/ou desabilitar outros.<\/p>\n

Para aquelas organiza\u00e7\u00f5es que s\u00e3o pequenas, as recomenda\u00e7\u00f5es das melhores pr\u00e1ticas s\u00e3o as mesmas. Ou, o software poderia ser instalado por cada empregado, mas antes da instala\u00e7\u00e3o, uma parte respons\u00e1vel deveria ser notificada e informa\u00e7\u00e3o deveria ser registrada em um invent\u00e1rio.<\/p>\n

A prop\u00f3sito, a pr\u00e1tica geral \u00e9 que as organiza\u00e7\u00f5es estabele\u00e7am uma regra de que o software instalado em equipamento corporativo seja apenas para uso profissional, porque o software sempre consome recursos. Adicionalmente, todos os tipos de software s\u00e3o afetados por amea\u00e7as, assim o uso de software n\u00e3o profissional em sua organiza\u00e7\u00e3o poderia aumentar desnecessariamente os riscos.<\/p>\n

E novamente, se sua organiza\u00e7\u00e3o \u00e9 pequena, outras situa\u00e7\u00f5es poderiam ser poss\u00edveis (por exemplo, empregado com equipamento pessoal<\/a>), mas neste caso tamb\u00e9m existem riscos<\/a>\u00a0e voc\u00ea precisa gerenci\u00e1-los.<\/p>\n

Regras para a instala\u00e7\u00e3o de software<\/h2>\n

Para a instala\u00e7\u00e3o de novo software, a recomenda\u00e7\u00e3o \u00e9 que voc\u00ea sempre siga as mesmas regras, que poderiam estar definidas em uma pol\u00edtica (embora a ISO 27001:2013 apenas requeira que voc\u00ea estabele\u00e7a um controle e voc\u00ea n\u00e3o precise ter um documento de pol\u00edtica para isto, \u00e9 recomend\u00e1vel) com o seguinte conte\u00fado como um exemplo:<\/p>\n

    \n
  1. Empregados n\u00e3o podem baixar software da Internet, out trazer software de casa sem autoriza\u00e7\u00e3o. \u00c9 proibido.<\/li>\n
  2. Quando um empregado detecta a necessidade para o uso de um software em particular, uma solicita\u00e7\u00e3o precisa ser enviada para o departamento de TI. A solicita\u00e7\u00e3o pode ser armazenada como um registro ou como evid\u00eancia.<\/li>\n
  3. O departamento de TI dever\u00e1 determinar se a organiza\u00e7\u00e3o possui licen\u00e7as do software solicitado.<\/li>\n
  4. Caso exista licen\u00e7a, o departamento de TI notifica o empregado \u00e9 proceder\u00e1 com a instala\u00e7\u00e3o do software no computador do usu\u00e1rio que fez a solicita\u00e7\u00e3o.<\/li>\n
  5. Caso n\u00e3o exista licen\u00e7a, uma parte respons\u00e1vel deve avaliar se o software solicitado \u00e9 realmente necess\u00e1rio para o desempenho das atividades do empregado. Para a avalia\u00e7\u00e3o, a viabilidade financeira da aquisi\u00e7\u00e3o do software tamb\u00e9m deve ser analisada, quando o software tem custo em dinheiro.<\/li>\n
  6. Caso o software custe dinheiro, uma an\u00e1lise deveria ser feita para se verificar se existe outra ferramenta similar no Mercado que seja mais barata ou at\u00e9 mesmo gratuita (o custo Total de Propriedade – Total Cost of Ownership –\u00a0 deve ser calculado).<\/li>\n
  7. A alta administrac\u00e3o deveria participar na decis\u00e3o de aquisi\u00e7\u00e3o de novo software.<\/li>\n
  8. Uma vez que a decis\u00e3o tenha sido tomada, o departamento de TI proceder\u00e1 com a inclus\u00e3o do software em seu invent\u00e1rio e instalar\u00e1 o software.<\/li>\n<\/ol>\n

    Reposit\u00f3rio de aplica\u00e7\u00f5es e invent\u00e1rio de software<\/h2>\n

    Caso voc\u00ea esteja usando uma metodologia de gest\u00e3o de risco<\/a>\u00a0baseada em ativo (ela \u00e9 uma recomenda\u00e7\u00e3o de melhor pr\u00e1tica), o software tamb\u00e9m pode ser considerado como um ativo em seu invent\u00e1rio durante a avalia\u00e7\u00e3o de risco, porque como voc\u00ea sabe existem muitas amea\u00e7as\/vulnerabilidades relacionadas a software.<\/p>\n

    Para mais informa\u00e7\u00e3o sobre o invent\u00e1rio de ativos<\/a>, por favor leia mais no artigo Como lidar com o registro de ativos (invent\u00e1rio de ativos) de acordo com a ISO 27001<\/a>.<\/p>\n

    \u00c9 recomendado que o departamento de TI defina um reposit\u00f3rio \u2013 apenas para uso interno \u2013 para armazenar todas as aplica\u00e7\u00f5es corporativas e vers\u00f5es definitivas de aplica\u00e7\u00f5es usadas pela organiza\u00e7\u00e3o. Este reposit\u00f3rio deveria ser acessado apenas por pessoal autorizado. A ideia principal \u00e9 que este reposit\u00f3rio esteja acess\u00edvel por pessoal autorizado apenas a partir da rede interna da organiza\u00e7\u00e3o, o que ser\u00e1 mais f\u00e1cil para a instala\u00e7\u00e3o de software no equipamento dos empregados quando necess\u00e1rio.<\/p>\n

    Tamb\u00e9m \u00e9 importante identificar todo software que \u00e9 instalado dentro da organiza\u00e7\u00e3o. Para este prop\u00f3sito podemos usar ferramentas de identifica\u00e7\u00e3o (discovery tools) que analisam que software est\u00e1 instalado em cada computador conectado na rede interna. Estas ferramentas permitir\u00e3o verificar se algu\u00e9m instalou software de forma n\u00e3o controlada, i.e., sem abertura de solicita\u00e7\u00e3o de acordo com as regras estabelecidas em uma se\u00e7\u00e3o pr\u00e9via.<\/p>\n

    Caso sua organiza\u00e7\u00e3o seja muito pequena e\/ou este reposit\u00f3rio n\u00e3o possa ser estabelecido, a recomenda\u00e7\u00e3o poderia ser identificar uma lista simples de softwares instalados em cada equipamento.<\/p>\n

    Riscos sobre instala\u00e7\u00e3o de software sem o controle A.12.6.2 da ISO 27001:2013<\/h2>\n

    Software tornou-se algo t\u00e3o amplamente usado que ningu\u00e9m mais considera suas implica\u00e7\u00f5es de seguran\u00e7a; contudo, software pode ser e \u00e9 perigoso \u2013 se voc\u00ea n\u00e3o lida com ele de forma apropriada ele pode se tornar a principal fonte de c\u00f3digos maliciosos em sua organiza\u00e7\u00e3o.<\/p>\n

    Para saber mais sobre a ISO 27001 e seus controles de seguran\u00e7a, tente nosso\u00a0<\/em>ISO 27001:2013 Foundations Course<\/a>.<\/em><\/p>\n

    N\u00f3s agradecemos a Rhand Leal<\/a> pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Atualmente, em todas as organiza\u00e7\u00f5es ao redor do mundo, \u00e9 necess\u00e1rio instalar software (sistemas operacionais, aplicativos de escrit\u00f3rio, aplica\u00e7\u00f5es financeiras, aplica\u00e7\u00f5es de desenvolvimento, etc.). Mas, em geral, a instala\u00e7\u00e3o de destes softwares n\u00e3o \u00e9 suficientemente controlada, o que pode levar a certos riscos. A\u00a0ISO 27001:2013\u00a0pode ajudar estas organiza\u00e7\u00f5es com a implementa\u00e7\u00e3o de um Sistema de …<\/p>\n","protected":false},"author":35,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-8495","post","type-post","status-publish","format-standard","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/8495","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/35"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=8495"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/8495\/revisions"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=8495"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=8495"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=8495"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}