Implementando restrições em instalações de software usando o controle A.12.6.2 da ISO 27001

Atualmente, em todas as organizações ao redor do mundo, é necessário instalar software (sistemas operacionais, aplicativos de escritório, aplicações financeiras, aplicações de desenvolvimento, etc.). Mas, em geral, a instalação de destes softwares não é suficientemente controlada, o que pode levar a certos riscos. A ISO 27001:2013 pode ajudar estas organizações com a implementação de um Sistema de Gestão de Segurança da Informação baseado na norma e o controle 12.6.2 do Anexo. Vejamos como.

O princípio básico

Como um princípio básico– a recomendação (como uma melhor prática) é que o software deva ser instalado apenas por pessoal autorizado (geralmente a equipe de TI). Isto pode ser aplicado com a ajuda da política de segurança da informação, ou quaisquer outras regras ou melhores práticas estabelecidas na organização (embora desta forma implique que cada empregado aplica estas regras). Para verificar isto, a organização poderia realizar verificações periódicas para analisar o software instalado no equipamento de um empregado selecionado de forma aleatória.

Outra forma de se aplicar esta regra é limitar os privilégios do usuário a um mínimo, embora isso nem sempre será possível, por que existem perfis que precisam ter privilégios de administrador nos sistemas para gerenciá-los. Estes privilégios também devem ser verificados periodicamente, uma vez que um empregado pode mudar de área, departamento, etc., que pode significar que você tem que habilitar novos privilégios, e/ou desabilitar outros.

Para aquelas organizações que são pequenas, as recomendações das melhores práticas são as mesmas. Ou, o software poderia ser instalado por cada empregado, mas antes da instalação, uma parte responsável deveria ser notificada e informação deveria ser registrada em um inventário.

A propósito, a prática geral é que as organizações estabeleçam uma regra de que o software instalado em equipamento corporativo seja apenas para uso profissional, porque o software sempre consome recursos. Adicionalmente, todos os tipos de software são afetados por ameaças, assim o uso de software não profissional em sua organização poderia aumentar desnecessariamente os riscos.

E novamente, se sua organização é pequena, outras situações poderiam ser possíveis (por exemplo, empregado com equipamento pessoal), mas neste caso também existem riscos e você precisa gerenciá-los.

Regras para a instalação de software

Para a instalação de novo software, a recomendação é que você sempre siga as mesmas regras, que poderiam estar definidas em uma política (embora a ISO 27001:2013 apenas requeira que você estabeleça um controle e você não precise ter um documento de política para isto, é recomendável) com o seguinte conteúdo como um exemplo:

  1. Empregados não podem baixar software da Internet, out trazer software de casa sem autorização. É proibido.
  2. Quando um empregado detecta a necessidade para o uso de um software em particular, uma solicitação precisa ser enviada para o departamento de TI. A solicitação pode ser armazenada como um registro ou como evidência.
  3. O departamento de TI deverá determinar se a organização possui licenças do software solicitado.
  4. Caso exista licença, o departamento de TI notifica o empregado é procederá com a instalação do software no computador do usuário que fez a solicitação.
  5. Caso não exista licença, uma parte responsável deve avaliar se o software solicitado é realmente necessário para o desempenho das atividades do empregado. Para a avaliação, a viabilidade financeira da aquisição do software também deve ser analisada, quando o software tem custo em dinheiro.
  6. Caso o software custe dinheiro, uma análise deveria ser feita para se verificar se existe outra ferramenta similar no Mercado que seja mais barata ou até mesmo gratuita (o custo Total de Propriedade – Total Cost of Ownership –  deve ser calculado).
  7. A alta administracão deveria participar na decisão de aquisição de novo software.
  8. Uma vez que a decisão tenha sido tomada, o departamento de TI procederá com a inclusão do software em seu inventário e instalará o software.

Repositório de aplicações e inventário de software

Caso você esteja usando uma metodologia de gestão de risco baseada em ativo (ela é uma recomendação de melhor prática), o software também pode ser considerado como um ativo em seu inventário durante a avaliação de risco, porque como você sabe existem muitas ameaças/vulnerabilidades relacionadas a software.

Para mais informação sobre o inventário de ativos, por favor leia mais no artigo Como lidar com o registro de ativos (inventário de ativos) de acordo com a ISO 27001.

É recomendado que o departamento de TI defina um repositório – apenas para uso interno – para armazenar todas as aplicações corporativas e versões definitivas de aplicações usadas pela organização. Este repositório deveria ser acessado apenas por pessoal autorizado. A ideia principal é que este repositório esteja acessível por pessoal autorizado apenas a partir da rede interna da organização, o que será mais fácil para a instalação de software no equipamento dos empregados quando necessário.

Também é importante identificar todo software que é instalado dentro da organização. Para este propósito podemos usar ferramentas de identificação (discovery tools) que analisam que software está instalado em cada computador conectado na rede interna. Estas ferramentas permitirão verificar se alguém instalou software de forma não controlada, i.e., sem abertura de solicitação de acordo com as regras estabelecidas em uma seção prévia.

Caso sua organização seja muito pequena e/ou este repositório não possa ser estabelecido, a recomendação poderia ser identificar uma lista simples de softwares instalados em cada equipamento.

Riscos sobre instalação de software sem o controle A.12.6.2 da ISO 27001:2013

Software tornou-se algo tão amplamente usado que ninguém mais considera suas implicações de segurança; contudo, software pode ser e é perigoso – se você não lida com ele de forma apropriada ele pode se tornar a principal fonte de códigos maliciosos em sua organização.

Para saber mais sobre a ISO 27001 e seus controles de segurança, tente nosso ISO 27001:2013 Foundations Course.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Antonio Jose Segovia
Autor
Antonio Jose Segovia
Antonio Jose Segovia is an IT Engineer, and he has many professional certifications in the IT sector. He is also ISO 27001 IRCA and Lead Auditor qualified by BUREAU VERITAS in ISO 27001, ISO 20000, ISO 22301, ISO 27018, GDPR, and TISAX, as well as being an expert in information security, an ethical hacker, and a university professor in an online Master of Information Security program. With more than 10 years of experience in the IT sector, he has visited companies of all kinds in Spain, Portugal, Italy, France, United Kingdom, USA, Chile, Peru, and Costa Rica.
Tag: #ISO 27001