FACULDADES INTEGRADAS ICESPCURSO DE TECNOLOGIA EM SEGURANA DA INFORMAO

IVAN JORGE CHUERI SALGADO RONALDO BANDEIRA RIVANILDO SANCHES DA SILVA

Anlise de Segurana Fsica em Conformidade com a Norma ABNT NBR ISO/IEC 17799

BRASLIA 2004

IVAN JORGE CHUERI SALGADO RONALDO BANDEIRA RIVANILDO SANCHES DA SILVA

Anlise de Segurana Fsica em Conformidade com a Norma ABNT NBR ISO/IEC 17799

Monografia apresentada como requisito parcial, para a concluso do curso de Tecnologia em Segurana da Informao.

Orientador: Prof. Reinaldo Mangialardo

BRASLIA 2004

FACULDADES INTEGRADAS ICESP CURSO DE TECNOLOGIA EM SEGURANA DA INFORMAO

IVAN JORGE CHUERI SALGADO RONALDO BANDEIRA RIVANILDO SANCHES DA SILVA

Anlise de Segurana Fsica em Conformidade com a Norma ABNT NBR ISO/IEC 17799Monografia apresentada como requisito parcial, para a concluso do curso de Tecnologia em Segurana da Informao.

Aprovada por:_________________________________________ Prof. Reinaldo Mangialardo

_________________________________________ Prof.

_________________________________________ Prof.

BRASLIA 2004

DEDICATRIA

Ivan Jorge Chueri Salgado: Ao meu filho Rodrigo, que, com apenas 10 anos de idade, teve maturidade, sabedoria e respeito aos limites impostos pelas necessidades acadmicas e desenvolvimento humano.

Ronaldo Bandeira: A meus pais e minha namorada, pela pacincia, dando-me todo o apoio necessrio concluso desta obra.

Rivanildo Sanches da Silva: Dedico este trabalho aos meus pais e minha famlia, que sempre me apoiaram e estiveram ao meu lado em todos os momentos e principalmente a Deus que me deu a oportunidade de viver todos estes instantes de minha vida.

AGRADECIMENTOS

Ivan Jorge Chueri Salgado: Ana Maria Azevedo, pelo incentivo na minha retomada aos estudos e pela pacincia diante das dificuldades impostas pela falta de ateno e dedicao famlia, e tambm, ao meu amigo Ronaldo que dividiu grande parte das incertezas e dos momentos mais brilhantes desta obra.

Ronaldo Bandeira: Ao meu amigo Ivan, pela grande contribuio do seu conhecimento a esta obra, e pelo seu empenho.

Rivanildo Sanches da Silva: A Deus, aos nossos amigos que contriburam para realizao deste trabalho, aos professores Reinaldo Mangialardo e professora Paula pelo apoio e dedicao.

LISTA DE ABREVIATURAS

ABNT Associao Brasileira de Normas Tcnicas BS British Standard (Padro Britnico) CFTV Circuito Fechado de TV CPD Centro de Processamento de Dados CPU - Unidade Central de Processamento IEC - International Electrotechnical Commission (Comisso Eletrotcnica Internacional) ISO International Organization for Standardization (Organizao Internacional de Padronizao) NFPA National Fire Protection Association (Associao Nacional de Proteo Contra Fogo) PCN Plano de Continuidade de Negcio PIN - Personal identification number (Nmero de identificao individual) UPS Uninterruptable Power Supply (Suprimento Ininterrupto de Energia)

SUMRIO

1 INTRODUO ........................................................................................................... 11 1.1 Justificativa .............................................................................................................. 17 1.2 Objetivos.................................................................................................................. 20 1.3 Escopo do Projeto..................................................................................................... 22 1.3.1 Descrio das reas envolvidas ............................................................................. 22 1.4 ESTRUTURA ORGANIZACIONAL ...................................................................... 24 1.5 RECURSOS DO PROJETO ..................................................................................... 26 1.6 REFERENCIAL TERICO ..................................................................................... 26 1.7 METODOLOGIA .................................................................................................... 27 2 SEGURANA E SEUS COMPONENTES .................................................................. 31 2.1 Poltica de segurana ................................................................................................ 43 2.2 Segurana organizacional ......................................................................................... 45 2.2.1 Infra-estrutura da segurana da informao........................................................... 45 2.2.2 Segurana no acesso de prestadores de servios.................................................... 49 2.3 Classificao e controle dos ativos de informao .................................................... 51 2.4 Segurana em pessoas .............................................................................................. 53 2.5 Segurana fsica e do ambiente................................................................................. 58 2.5.1 reas de segurana ............................................................................................... 60 2.5.2 Segurana dos equipamentos ................................................................................ 67 2.5.3 Controles gerais.................................................................................................... 74 2.6 Conformidade .......................................................................................................... 76 2.6.1 Conformidade com requisitos legais ..................................................................... 76 2.7 Anlise da poltica de segurana e da conformidade tcnica ..................................... 80 2.8 Mecanismos e dispositivos de segurana .................................................................. 82 2.8.1 Infra-Estrutura do Data Center ............................................................................. 82 2.8.2 Acesso ao CPD..................................................................................................... 86 3 ESTUDO DE CASO .................................................................................................... 92 3.1 Poltica de segurana ................................................................................................ 92 3.1.1 Situao Atual em Relao Poltica de Segurana .............................................. 92 3.1.1.1 Comit Gestor ...................................................................................................... 92 3.1.2 Recomendaes quanto Poltica de Segurana.................................................... 93 3.1.3 Plano de Ao ...................................................................................................... 95 3.2 Segurana organizacional ......................................................................................... 98 3.2.1 Responsabilidades do Comit de Segurana.......................................................... 99 3.2.2 Coordenao do Comit de Segurana na ELECTRA ......................................... 100 3.2.3 Situao Atual em relao Segurana Organizacional ...................................... 102 3.2.4 Recomendaes quanto Segurana Organizacional da ELECTRA ................... 104 3.2.5 Plano de Ao .................................................................................................... 106 3.3 Classificao e controle dos ativos de informao .................................................. 112 3.3.1 Classificao das informaes ............................................................................ 115 3.3.2 Recomendaes sobre os Ativos e Classificao das informaes....................... 119 3.3.3 Plano de Ao .................................................................................................... 119 3.4 Segurana em pessoas ............................................................................................ 124 3.4.1 Terceirizao...................................................................................................... 127 3.4.2 Fatores humanos................................................................................................. 129

3.4.3 Situao atual em relao Segurana em Pessoas/Fatores Humanos ................. 135 3.4.4 Recomendaes em relao Segurana em Pessoas .......................................... 136 3.4.5 Plano de Ao .................................................................................................... 139 3.5 Segurana fsica e do ambiente............................................................................... 148 3.5.1 Segurana em equipamentos............................................................................... 155 3.5.2 Suprimento de energia eltrica............................................................................ 158 3.5.3 Manuteno dos equipamentos ........................................................................... 161 3.5.4 Diretrizes de proteo......................................................................................... 164 3.5.5 Situao atual do Data Center em relao Segurana Fsica............................. 165 3.5.6 Recomendaes de Segurana Fsica do Data Center ......................................... 177 3.5.6.1 Recomendaes especficas da ELECTRA .......................................................... 177 3.5.6.2 Recomendaes especficas do Data Center ....................................................... 179 3.5.7 Plano de Ao .................................................................................................... 191 3.6 Conformidade ........................................................................................................ 214 3.6.1 Preservao dos registros da ELECTRA ............................................................. 216 3.6.2 Situao atual em relao Conformidade.......................................................... 220 3.6.3 Recomendaes sobre a conformidade................................................................ 223 3.6.4 Plano de Ao .................................................................................................... 224 3.7 Plano de Ao Geral (Todos os Mdulos Analisados)............................................. 226 4 ANLISE DE RESULTADOS .................................................................................. 229 5 CONCLUSO ........................................................................................................... 230 6 REFERNCIAS BIBLIOGRFICAS ........................................................................ 232 APNDICE A ................................................................................................................... 234 APNDICE B.................................................................................................................... 239 APNDICE C.................................................................................................................... 251 APNDICE D ................................................................................................................... 307 ANEXO A ......................................................................................................................... 312 ANEXO B ......................................................................................................................... 322 GLOSSRIO..................................................................................................................... 323

LISTA DE FIGURAS

Figura 1 - Evoluo da Norma BS 17799 ............................................................................. 12 Figura 2 - Principais ameaas segurana da informao..................................................... 14 Figura 3 - Principais pontos de invaso ................................................................................ 15 Figura 4 - Principais medidas de segurana j implementadas .............................................. 15 Figura 5 - Organograma Geral da ELECTRA....................................................................... 22 Figura 6 - Ciclo da Segurana da Informao ....................................................................... 39 Figura 7 - Layout atual do piso da garagem ........................................................................ 235 Figura 8 - Layout atual do piso do Data Center.................................................................. 235 Figura 9 - Layout atual do pavimento trreo ....................................................................... 236 Figura 10 - Layout atual do pavimento tipo ........................................................................ 236 Figura 11`- Sugesto de layout para o 2o. Sub-solo - Garagem........................................... 237 Figura 12 - Sugesto de layout para o 1o. Sub-solo ............................................................ 237 Figura 13 - Sugesto de layout para o pavimento Trreo .................................................... 238 Figura 14 - Sugesto de layout para o pavimento Tipo ....................................................... 238

LISTA DE TABELAS

Tabela 1 - Resultado estimado decorrentes da implementao do plano de ao................. 229

RESUMO

Segurana um termo que transmite conforto e tranqilidade a quem desfruta de seu estado. O produto segurana difcil de ser obtido quando se fala em segurana de informaes, dispostas na forma fsica (em papel), eletrnica (nos meios de transmisso ou de armazenamento) e nas pessoas. Buscar uma segurana absoluta o objetivo maior. Entretanto, implica em controlar todas as variveis que integram esse universo, tornando isto praticamente impossvel. Os caminhos que possibilitam alcanar o objetivo de tornar algo seguro resultam de esforos da comunidade, composta por entidades pblicas e privadas em todo o mundo, que estabeleceram um documento que padroniza, atravs de recomendaes, uma boa gesto da segurana. Este documento deu origem BS 7799-1995, que foi instituda no Brasil pela ABNT Associao Brasileira de Normas Tcnicas atravs da ISO/IEC 17799-2000. A segurana da informao estruturada por diversos componentes, entre eles a segurana fsica. A segurana fsica auxilia e contribui essencialmente para a segurana de informaes, e sem ela os esforos para o estabelecimento de um ambiente lgico seguro seriam perdidos.

Palavras-chave: Segurana Fsica, ISO/IEC 17799, Poltica de segurana, Segurana Organizacional, Classificao e Controle dos Ativos, Segurana em Pessoas, Segurana Fsica e do Ambiente, Conformidade, Controle de Acesso, Riscos, Data Center, Sala-cofre, Integridade, Confidencialidade, Disponibilidade e Legalidade.

ABSTRACT

Security is a word which transmits a sense of comfort and peace to everyone. The product Security is much harder to obtain when it comes to Information. In this case, there is a huge variety of products which comes in a diversity of forms: Physical security (paper), electronic security (data transmissions and storage) and even people security. To seek absolute security is a major goal, but it implies in controlling each and every variable that integrate this universe; something practically impossible to accomplish. The paths that make this major goal possible to achieve are a result of joint efforts, both public and private throughout the world, which established a document whose purpose is to standardize good security procedures. This document origined the BS 7799-1995, established in Brazil by ABNT Associao Brasileira de Normas Tcnicas through the ISO/IES 17799-2000. The safety of the information is structured by several components. One of them, physical security, aids specifically the information security aspect. Without it, efforts to stabelish a safe data environment would be worthless.

Keywords: Physical Security, ISO/IEC 17799, Security Policy, Security Organization, Asset Classification and Control, Personnel Security, Physical and Environmental Security, Compliance, Access Control, Risks, Data Center, IT Security Room, Integrity, Confidentiality and legality.

11

1

INTRODUO

A segurana da informao um bem diretamente relacionado aos negcios de uma organizao. Seu principal objetivo garantir o funcionamento da organizao frente s possibilidades de incidentes, evitando prejuzos, aumentando a produtividade, provendo maior qualidade aos clientes e vantagens em relao aos seus competidores evidenciando a reputao da organizao. A informao pode ser encontrada sob diversas formas: escrita, eletrnica e impressa. Podem ser transmitidas por diferentes canais como e-mail, correio, filmes, falada, rdio, TV etc. Seja qual for sua forma de existncia ou modo pelo qual transmitida a informao deve ser protegida. Segundo Moreira (2001, p.2):[...] tecnologias e avanos tm colocado muitas empresas em uma posio delicada em alguns casos. Problemas de origem interna e externa tm marcado presena no dia-a-dia, principalmente nas Organizaes que no possuem Polticas de Segurana implementadas.

A comunidade internacional composta por entidades governamentais, e at mesmo privadas, preocupadas com esta questo da segurana, iniciou, ainda de forma isolada, propostas para tratar o assunto, principalmente nos 12 ltimos anos com a criao, em 1995, da norma como a BS 17799-1 e evoluda para a verso BS 17799 12 em 1999, que passou a ser padro mundial seguido pelas empresas e governos. Surgiu ento a norma NBR ISO/IEC 17799 em 2000, vigorando a partir de setembro deste mesmo ano. A figura abaixo mostra a evoluo.

12

Fonte: www.febraban.org.br/Palestras em 02/11/2004 Figura 1 - Evoluo da Norma BS 17799

Quando se fala em proteger um bem ou ativo de informao significa que este possui um valor para o seu proprietrio. Os ativos de informao podem ser: Servios: processamento de dados, comunicao e fornecimento de energia; Sistemas computadorizados: aplicativos, sistemas bsicos, ferramentas de desenvolvimento; Equipamentos: computadores, equipamentos de comunicao de dados, mdias (fitas e discos), equipamentos de fornecimento de energia alternativa, cofres; Documentos: contratos, demonstraes financeiras;

13

Pessoas: funcionrios, terceiros e clientes; Imagem e reputao da organizao; Informaes: arquivos, bancos de dados, documentao de sistemas, material de treinamento, procedimentos, Plano de Continuidade dos Negcios, relatrios, telas, mdias, mensagens eletrnicas, registros de dados, arquivos de dados.

Edificaes: edifcios, lojas, indstrias, depsitos, containeres, silos, centrais geradoras, linhas de distribuio, torres, etc.

Para alcanar os objetivos propostos, a norma prev a preservao de trs componentes bsicos que so: Confidencialidade; Integridade; Disponibilidade.

A segurana fsica um dos principais componentes da segurana da informao, sem a qual todo o esforo despendido na proteo lgica torna-se ineficaz, pois haveria grande possibilidade de que um incidente, incndio, roubo, sabotagem, interrupo do fornecimento de energia, problemas com climatizao, inundao, interrupo no abastecimento de gua etc, pudessem ocorrer comprometendo a continuidade do negcio a partir da no preservao dos trs componentes bsicos citados acima.

14

Alm desses pode-se citar a Legalidade como outro componente que visa o enquadramento da organizao no mbito legal, sendo abrangido por leis federais, estaduais, municipais e a poltica de segurana da organizao. Segundo Dias (2000, p.107):A falta de controles ambientais adequados pode provocar danos aos equipamentos, causados por desastre natural, picos de energia, descarga eltrica de um raio, temperaturas extremas ou eletricidade esttica. Pode ainda ocorrer perda de dados devido s falhas ou falta de fornecimento de energia. A indisponibilidade dos sistemas computacionais pode acarretar problemas econmicos e perda de competitividade da empresa no mercado.

EstatsticasAlgumas estatsticas sero apresentadas para um melhor entendimento sobre a importncia da segurana fsica no contexto da segurana da informao e esto baseados na 9a Pesquisa de Segurana da Informao Mdulo (2003) conforme abaixo:

Figura 2 - Principais ameaas segurana da informao

15

As Falhas na Segurana Fsica foram apontadas por 37% dos entrevistados como uma das principais ameaas, mostrando que atualmente a Segurana Fsica faz parte da preocupao do Security Officer.

Figura 3 - Principais pontos de invaso

A invaso Fsica corresponde a 6% dos principais pontos de invaso, mostrando que a Segurana Fsica to importante quanto a lgica, pois quando indevidamente implementada, ocasiona vulnerabilidades a empresas.

Figura 4 - Principais medidas de segurana j implementadas

16

A Segurana Fsica na Sala de Servidores corresponde a 63% das medidas de segurana j implementadas. A tendncia que a implementao da Segurana Fsica na Sala de Servidores ganhe mais posies neste ranking nos prximos anos.

DefinioO assunto abordado sobre a Segurana Fsica, pois esta relegada ao segundo escalo da Segurana da Informao.

DelimitaoEste projeto tem como objetivo abordar um estudo e uma anlise de Segurana Fsica em conformidade com a Norma ISO/IEC 17799. Sero esclarecidos, em mbito geral, conceitos necessrios para que uma empresa consiga alcanar o mais alto nvel de Segurana Fsica, atendendo a situaes dos mais diversos gneros com polticas especificas de atualizao tecnolgica, Poltica de Segurana da Informao e acompanhando as tendncias do mercado.

EsclarecimentosA organizao analisada receber o nome fictcio de ELECTRA a pedido de sua direo para preservar sua integridade e imagem junto a seus clientes e fornecedores. Este trabalho no visa certificar a empresa analisada com a Certificao BS 7799. O objetivo apenas fazer uma avaliao de Segurana Fsica, diminuindo, ao mximo, a possibilidade de ocorrncia de um incidente de Segurana Fsica.

17

Relacionamento com outros trabalhosEspera-se que este trabalho possa contribuir como fonte de consulta e discusses futuras sobre o assunto, tendo em vista a escassez de pesquisa abordando de uma forma geral e ampla este tema em um nico documento. So encontrados apenas estudos isolados, com o foco em um ou outro tpico, no mantendo uma relao direta com o contexto de Segurana Fsica em sua concepo total.

Objetivos e finalidades da pesquisaO objetivo identificar e classificar a situao atual de uma organizao levando-se em conta a Norma ISO/IEC 17799, em seus mdulos que tratam especificamente de Segurana Fsica, e propor aes que minimizem os problemas encontrados.

1.1 Justificativa

A proteo das informaes no pode se restringir apenas aos meios lgicos, mas deve contar com um ambiente fsico seguro. Conseguir um ambiente fsico seguro exige um estudo rigoroso e que considera os aspectos comportamentais e culturais das pessoas, as caractersticas fsicas do local, a poltica, as normas e procedimentos internos. Alm disso, devem ser considerados os agentes externos ao permetro da ELECTRA, considerando as suas vizinhanas mais prximas, compondo um sistema complexo. A inexistncia de uma poltica de

18

segurana no permite que se determinem as diretrizes, normas e os procedimentos que apiam as decises da alta gerncia. O principal motivo deste trabalho sugerir solues de segurana fsica para que os riscos existentes sejam fortemente diminudos, j que a situao atual da segurana delicada. Segundo a Mdulo Security (2004, www.modulo.com.br):O Computer Emergency Response Team (CERT/CC), centro de pesquisas em segurana na Internet da Universidade de Carnegie Mellon, divulgou nesta semana as estatsticas dos incidentes de segurana registrados em 2003. O levantamento revela um aumento de cerca de 55 mil incidentes em relao aos nmeros obtidos em 2002. De acordo com o estudo, em 2003 foram registrados 137.529 ataques contra 82.094 em 2002. O CERT define "ataques" como tentativas (frustradas ou no) de entrar em locais no autorizados. Em relao s vulnerabilidades reportadas para o centro, o ano de 2003 apresentou uma queda no nmero de falhas de segurana se compararmos com os ndices de 2002 (o total caiu de 4.129 para 3.784). De 1988 at 2003, o centro de pesquisas j registrou um total de 319.992 incidentes de segurana.

RelevnciaEste projeto tem relevncia uma vez identificada a ausncia de manuteno evolutiva da poltica de segurana e tambm da segurana fsica, o que torna oportuno o estudo de alternativas para proteo fsica dos principais ativos como informaes, equipamentos e pessoas, em razo da sua respectiva importncia. Ainda pode-se salientar o baixo nvel de tolerncia a falhas, que no permite interrupes no planejadas no fornecimento do servio, j que seu SLA (Service Level Agreement acordo de nvel de servio) exige 99,999% de disponibilidade anual

(aproximadamente 5 minutos), controle ostensivo s salas de monitorao e controle dos servios vitais da ELECTRA.

19

Relao Custo x BenefcioOs fatores de destaque deste trabalho em relao aos benefcios e seus respectivos custos so: Tornar a monitorao e o controle sobre os acessos fsicos mais efetivos, investindo em equipamentos de vdeo, catracas e portas com sensores de identificao individual, sensores de presena, com isso diminuindo a equipe de vigilantes existente e conseqentemente baixando os custos com pessoal, possibilitando executar o controle 24 horas por dia e 365 dias por ano, sem perda de qualidade e contando com equipamentos de baixo ndice de manuteno; Proporcionar um ambiente mais seguro para o armazenamento, processamento e monitorao das reas crticas atravs da utilizao de dispositivos de identificao biomtrica em operao conjunta aos sistemas de identificao por senhas, diminuindo sensivelmente os riscos e ameaas de acessos indevidos; Atualmente, estimam-se os custos com segurana na ordem de R$ 700.000,00 e um risco calculado por indisponibilidade do servio na ordem de R$ 20.000.000,00 que deixariam de ser faturados por dia de interrupo, considerando um total de 7 milhes de clientes mensalmente a um consumo mdio de R$ 85,00 por ms, conseqente queda do faturamento, sem se considerar as multas decorrentes do no cumprimento da legislao vigente, de possveis prejuzos financeiros aos seus clientes pela ausncia do servio e danos sua imagem;

20

Quando implementadas as medidas recomendadas espera-se uma reduo dos custos mensais com pessoal na ordem de R$ 30.000,00 por ms, correspondendo a 20 funcionrios, e uma reduo de 90% dos riscos de interrupo decorrentes de falhas da segurana fsica.

Segundo Moreira, (2001, p.120), No existem ambientes 100% seguros. Um nvel alto de proteo pode consumir grandes somas financeiras. Dessa forma, necessrio encontrar o equilbrio entre o nvel desejvel de segurana e o oramento disponvel..

1.2 Objetivos

Objetivo GeralExecutar uma anlise de conformidade com a norma ABNT NBR ISO/IEC 17799 voltada a Segurana Fsica, propondo solues para minimizar os riscos identificados1.

Objetivos Especficos Identificar os mecanismos de controle dos acessos das pessoas s dependncias da ELECTRA; Identificar os fatores de layout que influenciam a segurana fsica das reas restritas;

1

Esta anlise no tem como objetivo certificar a ELECTRA em relao norma BS 7799.

21

Identificar os fatores na infra-estrutura de suporte e monitorao que influenciam na segurana fsica;

Identificar os fatores que, decorrentes da ausncia ou da inadequada aplicao da poltica, normas e procedimentos que influenciam na segurana fsica;

Identificar os fatores ligados localizao geogrfica que interferem na segurana fsica da ELECTRA;

Identificar os fatores relacionados s ms instalaes hidrulicas, eltricas, gs, climatizao, preveno e combate a incndio, etc, que influenciam na segurana fsica da ELECTRA;

Identificar os fatores relacionados gerao, transporte e armazenamento fsico de informaes na ELECTRA, que interferem na segurana fsica;

Propor correes e melhorias aos controles, processos, poltica, comunicao interna, sinalizao de segurana, identificao dos funcionrios, terceirizados, equipamentos proprietrios e terceirizados, etc.

22

1.3

Escopo do Projeto

1.3.1 Descrio das reas envolvidas

Estrutura organizacionalPresidente

Diretoria RH

Diretoria Tecnologia

Diretoria Comercial

Diretoria Financeira

Gerncia 1

Gerncia 2

Gerncia 3

Gerncia 4

Gerncia 5

Figura 5 - Organograma Geral da ELECTRA

O desenvolvimento deste projeto depende essencialmente do apoio de toda a ELECTRA, nos seus diferentes nveis hierrquicos, partindo-se da presidncia e se dirigindo a todas as camadas inferiores.

reas que sero objetos de estudoSo escopo deste trabalho todas as reas que de alguma forma contribuem para o acesso aos ambientes crticos, que esto descritas abaixo: Hall de entrada do piso Trreo;

23

Hall de entrada dos elevadores social e de servio no piso da garagem situado no subsolo;

Acesso ao estacionamento interno de uso comum e carga/descarga; Hall de entrada dos elevadores social e de servio dos pavimentos; Entradas principais dos pavimentos; Pavimento da cobertura; Outros pavimentos estratgicos que contem equipamentos de controle e infra-estrutura;

Salas

estratgicas

por conter documentos, equipamentos

como

servidores, ativos de rede e gerncia alm e das salas da alta administrao; Armrios, eletrocalhas, pisos elevados e quadros de luz, cabos de transmisso de energia e dados, telefonia etc; Condies gerais de iluminao, conservao e limpeza dos diversos pavimentos; Condies gerais dos equipamentos de combate a incndio como extintores, hidrantes, sprinklers (jatos de gua acionados

automaticamente em caso de incndio), detectores de fumaa, suas respectivas distribuies considerando os diversos tipos de materiais inflamveis; reas de acesso comuns aos andares;

24

Condies de acesso s sadas de emergncia, sinalizao e proteo contra entrada no permitida;

Verificao de documentao exposta e sem controle; Inspeo da sala de controle, das cmeras existentes, catracas/portas, com controle de acesso por mecanismo de identificao pessoal e individual;

1.4

ESTRUTURA ORGANIZACIONAL

Modelo de NegcioA organizao analisada receber o nome fictcio de ELECTRA a pedido de sua direo para preservar sua integridade e imagem junto a seus clientes e fornecedores. Seu modelo de negcio se baseia no provimento dos servios de abastecimento de energia eltrica. A ELECTRA a responsvel pela gesto do negcio em nvel nacional. A estrutura organizacional existende na ELECTRA robusta e hierarquizada, permitindo uma administrao mais eficiente e atendendo as melhores prticas na administrao empresarial. Faz parte desta estrutura hierrquica o presidente, diretores executivos, diretores adjuntos, gerncia e coordenaes.

25

Estrutura de Segurana ExistenteA ELECTRA conta com uma poltica de segurana desatualizada, criada h cerca de 20 anos e por isso no plenamente seguida, pois no retrata mais a situao atual. Isto se deve evoluo tecnolgica ocorrida neste perodo. Hoje, esto a disposio equipamentos e dispositivos de controles para segurana fsica de alta tecnologia e confiabilidade. Outro fator que contribuiu fortemente para esta situao originou-se das mudanas arquitetnicas decorrentes das necessidades crescentes do negcio. A ELECTRA no dispe de planos de segurana e o plano de contingncia encontra-se desatualizado pelos mesmos motivos apresentados acima, isto , caso acontea algum incidente grave poder ocorrer a paralisao total da ELECTRA.

Estrutura de TecnologiaA ELECTRA possui uma estrutura robusta de processamento de dados em um Data Center central, acessados por redes locais Ethernet 100Mb e o backbone de 1Gb. Dentro desta estrutura existem 100 servidores plataforma Windows, 40 servidores plataforma Linux/Unix e um Mainframe. Na matriz, as estaes de trabalho esto distribudas em dois blocos de edifcios de 12 andares cada, As estaes encontram-se distribudas nesses blocos e totalizam cerca de 800 equipamentos. Existem sete filiais, cada uma com sua estrutura prpria de rede, mas convergindo suas conexes para a matriz, acessando o CPD central. Existe um backup site fora de uso, conectado ao CPD central. O nmero de estaes existentes nas filiais da ordem de 550 equipamentos sem considerar as impressoras e outros dispositivos inteligentes de controles de acesso fsico e alarme contra incndio.

26

1.5

RECURSOS DO PROJETO

InstalaesUma sala com dois computadores e uma impressora em rede com comunicao externa para Internet e servio de e-mail.

Softwares necessriosEditor de textos, planilha de clculo, browser de apresentao.

Recursos humanos Um engenheiro civil; Um engenheiro de segurana do trabalho;

1.6

REFERENCIAL TERICO

Para o desenvolvimento deste trabalho sero utilizadas: ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Cdigo de Prtica para a Gesto da Segurana da Informao. NBR ISO/IEC 17799:So Paulo,2001. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Critrios de Segurana Fsica Relativos ao Armazenamento de dados. NB 1334:1990.

27

DECRETO FEDERAL 3.505, de 13 DE JUNHO DE 2000. LEI 2.572, DE 20 DE JULHO DE 2000. PLANILHA DE LEVANTAMENTO DOS PONTOS RELAVANTES DE SEGURANA FSICA.

1.7

METODOLOGIA

Questionrio (APNDICE C)Existe um questionrio para cada um dos mdulos da norma utilizados na anlise: Poltica de segurana Segurana organizacional Classificao e controle dos ativos de informao Segurana em pessoas Segurana fsica e do ambiente Cada mdulo dividido em itens em subitens.

As perguntas so baseadas da norma ISO/IEC 17799. Definio dos parmetros da avaliao:

28

Cada item avaliado recebe uma ponderao que foi acordada juntamente com a ELECTRA, sendo: 0 (zero) sem importncia; 2 (dois) mdia importncia; 5 (cinco) muito importante.

A situao atual de cada item classificada conforme o critrio abaixo, que foi acordado com a ELECTRA: No atende 0 (zero) Ausncia total 1 (um) Presena inexpressiva

Sim atende 2 (dois) Presena parcial 3 (trs) Presena total

O clculo feito item a item atravs do produto do peso do item por sua pontuao de presena. Os totais dos itens so somados para compor subtotal do ponto analisado. Estes subtotais so somados e faro a composio da aderncia geral do mdulo analisado. Os percentuais so calculados levando-se em conta os mximos pontos de cada item, que so totalizados conforme descrito acima.

29

Descrio dos campos da planilha: Valores de Referncia: Maior pontuao possvel, resultado da operao do produto dos mximos valores da situao e peso; Valores Apurados: o resultado do produto dos valores da situao e o peso onde estiver demarcado; Aderncia: Percentual de aderncia do mdulo, item e subitem. Legenda: Objetivo do item.

Metodologia da anliseAnlise on-site: Fotos (APNDICE B): so tiradas fotos de pontos relevantes como vulnerabilidades, reas crticas, ambientes, todas as dependncias do Data Center e todos os andares do prdio, naquilo que poderia ser de interesse da anlise. Vistorias e levantamentos: So feitas vistorias nos ambientes para colher informaes relevantes. Entrevistas: So feitas entrevistas com diretores, gerentes e funcionrios (inclusive terceirizados). utilizado um questionrio (baseado na norma ISO/IEC 17799).

30

Situao Atual: apresentada a situao encontrada na empresa em relao a Segurana da Informao, levando-se em considerao o que pode ser mantido, o que pode ser aperfeioado e o que deve ser mudado. Recomendaes: So feitas recomendaes de melhorias na Segurana da Informao, de acordo com o verificado na situao atual. Plano de Ao: So recomendaes mais profundas visando melhorias na Segurana da Informao da empresa, que ajudam a orientar e determinar a atuao gerencial apropriada s prioridades para o gerenciamento dos riscos Segurana da Informao. Serve como auxlio na implementao de controles que oferecem proteo contra os riscos identificados. Observaes: A anlise baseada na Norma ISO/IEC 17799. A anlise atende ao Decreto Federal 3.505 e Lei 2.572 do GDF. O objetivo da metodologia identificar as necessidades de Segurana da Informao apropriadas para a empresa analisada.

31

2

SEGURANA E SEUS COMPONENTES

Segurana da informaoO termo Segurana da Informao muito abrangente e requer uma definio para o seu correto entendimento, permitindo estabelecer o escopo do desenvolvimento desta obra. Segundo a NBR ISO/IEC 17799 (2000, p.1):A informao um ativo que, como qualquer outro ativo importante para os negcios, tem um valor para a organizao e conseqentemente necessita ser adequadamente protegida. A segurana da informao protege a informao de diversos tipos de ameaas para garantir a continuidade dos negcios, minimizar os danos aos negcios e maximizar o retorno dos investimentos e as oportunidades de negcio. A informao pode existir em muitas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou atravs de meios eletrnicos, mostrada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio atravs do qual a informao compartilhada ou armazenada, recomendado que ela seja sempre protegida adequadamente. A segurana da informao aqui caracterizada pela preservao de: a) confidencialidade: garantia de que a informao acessvel somente por pessoas autorizadas a terem acesso; b) integridade: salvaguarda da exatido e completeza da informao e dos mtodos de processamento; c) disponibilidade: garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio. Segurana da informao obtida a partir da implementao de uma srie de controles, que podem ser polticas, prticas, procedimentos, estruturas organizacionais e funes de software. Estes controles precisam ser estabelecidos para garantir que os objetivos de segurana especficos da organizao sejam atendidos.

Segundo Moreira (2001, p.9):Todo projeto de Segurana de Informaes procura abranger pelo menos os processos mais crticos do negcio em questo.

32

O resultado esperado de um trabalho como este , sem dvida, que no mnimo todos os investimentos efetuados devam conduzir para: Reduo da probabilidade de ocorrncia de incidentes de segurana; Reduo dos danos/perdas causados por incidentes de segurana; Recuperao dos danos em caso de desastre/incidente. O objetivo da segurana, no que tange informao, a busca da disponibilidade, confidencialidade e integridade dos seus recursos e da prpria informao.

Portanto, a segurana da informao tem como objetivo principal proteger a informao frente aos diversos tipos de ameaas. Para tanto, necessrio que sejam definidos os ativos mais crticos a serem protegidos possibilitando a continuidade dos negcios com o menor nmero de interferncias e interrupes possvel garantindo a qualidade do produto ou servio ofertado dentro dos prazos acordados com seus clientes, refletindo positiva e diretamente na boa imagem da ELECTRA frente a seus clientes. A segurana da informao, segundo a NBR ISO/IEC 17799 (2000, p.1), em seus captulos, presume a implementao de segurana de forma distinta conforme os captulos abaixo: 3. Poltica de Segurana; 4. Segurana Organizacional; 5. Classificao e controle dos ativos de informao; 6. Segurana em pessoas; 7. Segurana Fsica e do ambiente; 8. Gerenciamento das operaes e comunicaes;

33

9. Controle de acesso; 10. Desenvolvimento e manuteno de sistemas; 11. Gesto da continuidade do negcio; 12. Conformidade.

Destes captulos sero utilizados para compor esta obra os seguintes: 3. Poltica de Segurana; 4. Segurana Organizacional 5. Classificao e controle de ativos de informao; 6. Segurana em pessoas; 7. Segurana Fsica e do Ambiente; 12. Conformidade

Estes captulos sero desenvolvidos mais frente nesta obra.

Como proteger a informaoInicialmente necessrio que se saibam quais so os problemas de segurana e o que deve ser feito, se vivel, para solucionar esses problemas. Desta forma deve ser realizada uma anlise de riscos na ELECTRA. Detectados os riscos e as vulnerabilidades, deve avali-los para mensurar a probabilidade de ocorrncia e o impacto que eles possam vir a causar ELECTRA.

34

a partir das anlises de riscos que a ELECTRA vai orientar as medidas a serem tomadas e os controles a serem estabelecidos a fim de proteger sua informao e manter o pleno funcionamento dos negcios. De acordo com o a probabilidade de acontecimento de um incidente, medidas preventivas sero tomadas ou no, levando em conta o custo de implementao de tais medidas. A escolha dos controles a serem estabelecidos para diminuir os riscos em nvel aceitvel baseada, inicialmente, na anlise de riscos, mas tem um como um grande obstculo o custo de sua implementao e uma dificuldade adicional de ser implementada em empresas pequenas por terem uma estrutura muito centralizada. importante lembrar que cada empresa tem suas especificidades e por isso as medidas de segurana a serem tomadas diferem de caso em caso.

Pilares da seguranaA segurana da informao, conforme descrito acima, baseia-se em caractersticas que estabelecem condies mnimas de uso da informao que so a disponibilidade, confidencialidade e integridade. Podemos ainda citar mais uma caracterstica que a legalidade. Para que uma informao esteja segura devem ser observados os fatores que influenciam cada uma dessas caractersticas. As caractersticas citadas acima sero detalhadas para tornar claro o seu entendimento e importncia na segurana da informao. Disponibilidade: para que seja utilizada a informao ou o ativo precisa estar disponvel e acessvel a quem tenha o privilgio de uso.

35

Confidencialidade: uma informao ou um ativo s pode ser acessado por quem est autorizado a obter ou manter suas informaes. Integridade: uma informao tem que ser oferecida ao seu usurio de forma ntegra, ou seja, que no tenha sido modificada por qualquer pessoa ou processo no autorizado. Legalidade: Conformidade com a legislao vigente. Segundo a NBR ISO/IEC 17799 (2000, p.1):Disponibilidade: garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio. Confidencialidade: garantia de que a informao acessvel somente por pessoas autorizadas a terem acesso; Integridade: salvaguarda da exatido e completeza da informao e dos mtodos de processamento;

Segundo Moreira (2001, p.9):Disponibilidade: ([...] a informao deve estar disponvel para a pessoa certa e no momento em que ela precisar.); Integridade: (Consiste em proteger a informao contra qualquer tipo de alterao sem a autorizao explcita do autor da mesma.); Confidencialidade: ([...] a propriedade que visa manter o sigilo, o segredo ou a privacidade das informaes evitando que pessoas, entidades ou programas no autorizados tenham acesso s mesmas.)

Normas, leis e decretosA Constituio a lei maior de uma nao que dita as principais regras que devero ser seguidas pelos cidados. Apenas a Constituio no capaz de abranger todas as situaes. preciso que seja complementada com leis ordinrias e especficas que tratam as situaes particulares considerando a diversidade dos assuntos.Constituio: Lei fundamental e suprema dum Estado, que contm normas e respeitantes formao dos poderes polticos, forma de governo,

36

distribuio de competncias, direitos e deveres dos cidados, etc. (Dicionrio Aurlio da Lngua Portuguesa, 2a Edio, p.460).

Portanto, h um regimento supremo que confere responsabilidades aos cidados e suas competncias. Dessa forma, cada competncia pode ser tangida por leis especficas. Na tecnologia da informao, mais especificamente na segurana da informao no diferente. necessria a existncia de leis que regulem e padronizem a forma com a qual os usurios relacionaro com as organizaes e seus ativos de informao. As leis atuam nos mbitos federal, estadual, municipal ou mesmo organizacional. Esta ltima a que estabelece uma poltica dentro de uma instituio. A utilizao da informao pelo usurio ocorre de diversas maneiras, atravs de um computador conectado em rede (Internet), utilizando o sistema de sua organizao, manipulando papis, transportando informaes em mdias, armazenando mdias etc. Para que as informaes sejam mantidas asseguradas preciso que alguns cuidados sejam tomados. A implementao de uma poltica de segurana institucional, suas normas e procedimentos so essenciais para diminuir a possibilidade de algum incidente que comprometa a ELECTRA. As normas, leis e decretos federais, estaduais e municipais vm servir de suporte para a correta implantao da poltica de segurana. Dessa forma podemos destacar algumas normas, leis e decretos que esto presentes e atuantes na legislao brasileira que so: NBR ISO/IEC 17799: Esta Norma equivalente ISO/IEC 17799:2000. Esta Norma contm o anexo A, de carter informativo. O anexo A foi incorporado a esta traduo da ISO/IEC 17799:2000, a fim de prestar

37

informaes na descrio de termos na lngua inglesa mantidos nesta Norma, por no possurem traduo equivalente para a lngua portuguesa. Esta Norma fornece recomendaes para gesto da segurana da informao para uso por aqueles que so responsveis pela introduo, implementao ou manuteno da segurana em suas organizaes. Tem como propsito prover uma base comum para o desenvolvimento de normas de segurana organizacional e das prticas efetivas de gesto da segurana e prover confiana nos relacionamentos entre as organizaes. Convm que as recomendaes descritas nesta Norma sejam selecionadas e usadas de acordo com a legislao e as regulamentaes vigentes; Decreto No 3.505, de 13 de junho de 2000: Institui a Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal, ANEXO A; Lei No 2.572, de 20 de julho de 2000: Dispe sobre a preveno das entidades pblicas do Distrito Federal com relao aos procedimentos praticados na rea de informtica, ANEXO A; Lei No 234 de 1996: Dispe sobre crime contra a inviolabilidade de comunicao de dados de computador. (Segurana e Auditoria da Tecnologia da Informao, Claudia Dias, Axcel Books, p.46). Portanto, as normas, leis e decretos servem de base para o desenvolvimento e concluso desta obra permitindo doutrinar o uso e estabelecer padres de segurana da informao. Observa-se que as leis e decretos esto focados s empresas pblicas,

38

ficando desamparadas as empresas privadas, que se referenciam aos recursos existentes.

RiscosAlguns conceitos necessitam ser expostos para o correto entendimento do que risco e suas implicaes. Segundo Galvo e Poggi (2002, p.5):Um ativo algo que tem valor para a empresa, e portanto precisa ser protegido. Os ativos podem ser fsicos (computadores, equipamentos, infraestruturas de transmisso de dados, prdios, etc), softwares, informaes (documentos, bancos de dados, etc), processos, pessoas, e at mesmo intangveis (por exemplo, a imagem da empresa). muito importante avaliar periodicamente o grau de risco dos ativos, porque eles so o suporte de negcios da empresa. Quando se fala em segurana, seja patrimonial, de informaes ou qualquer outro ativo a ser preservado, logo se pensa, do qu se deve proteger este ativo? A resposta mais bvia que se deve proteger de tudo aquilo que venha ameaar o ativo em questo. A possibilidade de que uma ameaa venha a causar danos ao ativo recebe o nome de risco. J que os ativos possuem valor para a empresa, este valor precisa ser avaliado de alguma forma. Esta avaliao pode ser quantitativa, quando existem dados disponveis, ou qualitativa, onde feita uma estimativa da relevncia do ativo para os componentes ou processos do negcio que ele suporta. Uma ameaa um agente ou causa potencial de incidentes que pode ocasionar danos aos ativos, atravs da explorao de vulnerabilidades. Com relao s fontes, as ameaas podem ser humanas (acidentais ou deliberadas) ou ambientais. O acesso no autorizado a dados confidenciais uma ameaa humana deliberada, um erro de parametrizao em um sistema E.R.P. por parte do operador pode ser acidental, e um terremoto uma ameaa ambiental. Uma vulnerabilidade pode ser entendida como sendo uma fragilidade qualquer do ativo que pode ser explorada por uma ameaa.

39

NEGCIO protegem

baseado

INFORMAO sujeita

contm MEDIDAS DE SEGURANA reduzem IMPACTOS NO NEGCIO aumentam

contm VULNERABILIDADE

diminuem RISCOS

aumentam permitem

aumentam

AMEAAS

aumentam comprometem causam INTEGRIDADE CONFIDENCIALIDADE DISPONIBILIDADEFonte: Dias (2000, p.21) Figura 6 - Ciclo da Segurana da Informao

Segundo o dicionrio Priberam (02/11/2004, www.priberam.pt), o termo risco definido como: perigo; possibilidade de correr perigo. Segundo Galvo e Poggi (2002, p.6), Denominamos risco ao potencial que uma ameaa tem de explorar vulnerabilidades em um ativo. Este potencial resulta da probabilidade de que esta explorao venha a efetivamente a ocorrer, e do impacto resultante..

40

Galvo e Poggi, White Paper, 2002 Figura 5 - Risco como Probabilidade x Impacto

Caso uma ameaa venha a se confirmar como um evento concreto e possibilitar um dano ao bem, preciso se estimar qual a extenso do mesmo. Estes aspectos so tangidos por um processo de anlise de risco que considera algumas variveis como componentes que atuam diretamente ao risco que so: valor do bem e seus componentes, possveis causas, possibilidade de ocorrncia e extenso do dano. Segundo a NBR ISO/IEC 17799 (2000, p.2):A anlise de risco uma considerao sistemtica de: a) do impacto nos negcios como resultado de uma falha de segurana, levando-se em conta as potenciais conseqncias da perda de confidencialidade, integridade ou disponibilidade da informao ou de outros ativos; b) da probabilidade de tal falha realmente ocorrer luz das ameaas e vulnerabilidades mais freqentes e nos controles atualmente implementados.

Segundo Moreira (2001, p.11):A anlise de risco consiste em um processo de identificao e avaliao dos fatores de risco presentes e de forma antecipada no Ambiente

41

Organizacional, possibilitando uma viso do impacto negativo causado aos negcios. As medidas de segurana no podem assegurar 100% de proteo, e a organizao deve analisar a relao custo/beneficio de todas. A organizao precisa achar o nvel de risco ao qual estar disposta a correr. Este processo deve proporcionar as seguintes informaes: Pontos vulnerveis do ambiente; Ameaas potenciais ao ambiente; Incidentes de segurana causados pela ao de cada ameaa; Impacto negativo para o negcio a partir da ocorrncia dos incidentes provveis de segurana; Riscos para o negcio a partir de cada incidente de segurana; Medidas de proteo adequadas para permitir ou diminuir o impacto de cada incidente.

Os maiores riscos so aqueles que no vemos ou no conhecemos; assim o conhecimento do ambiente, e das reais necessidades, tem um papel to ou mais importante do que as ferramentas que eventualmente venhamos a utilizar.

Segundo Dias (2000, p.69), Normalmente os impactos so analisados sob dois aspectos: curto prazo e longo prazo, em funo do tempo em que o impacto, causado por uma ameaa, permanece afetando os negcios da instituio.. Segundo o Galvo e Poggi, (2002, p.5), Se o hacker conseguir acesso indevido a dados confidenciais, ter ocorrido um incidente de segurana, que certamente ter conseqncias. Damos o nome de impacto ao resultado deste incidente..

Analisando impactos e calculando riscosExistem diversas formas de se analisar os impactos, uma delas classificandoos. Apenas para ilustrar, abaixo est uma classificao que pode ser utilizada em diversas situaes.

42

Os impactos devem ser classificados para que sejam adequadamente entendidos pelos gestores de uma organizao, ento ser considerada a seguinte classificao: 0 Impacto irrelevante; 1 Efeito pouco significativo, sem afetar a maioria dos processos de negcios da ELECTRA; 2 Sistemas no disponveis por um determinado perodo de tempo, podendo causar perda de credibilidade junto aos clientes e pequenas perdas financeiras; 3 Perdas financeiras de maior vulto e perda de clientes para a concorrncia; 4 Efeitos desastrosos, porm sem comprometer a sobrevivncia da ELECTRA; 5 Efeitos desastrosos, comprometendo a sobrevivncia da ELECTRA. Alm do nvel do impacto, podem ser definidos vrios tipos de impactos intrinsecamente relacionados aos negcios, que devem ser definidos pelas pessoas que mais o conhecem. Os tipos de impactos considerados so: 0 Ameaa completamente improvvel de ocorrer; 1 Probabilidade de a ameaa ocorrer menos de uma vez por ano; 2 Probabilidade de a ameaa ocorrer pelo menos uma vez por ano; 3 Probabilidade de a ameaa ocorrer pelo menos uma vez por ms; 4 Probabilidade de a ameaa ocorrer pelo menos uma vez por semana; 5 Probabilidade de a ameaa ocorrer diariamente.

43

2.1

Poltica de segurana

A poltica de segurana tem como objetivo fornecer direo da ELECTRA subsdios para o estabelecimento e manuteno da segurana da informao. A direo da ELECTRA deve participar desde a elaborao da poltica at a sua divulgao contando com o seu apoio irrestrito. Sua escrita deve ser simples apresentando os assuntos de forma clara para que seja compreendida por todos na ELECTRA. A poltica deve ser constantemente atualizada acompanhando a modernizao tecnolgica, as mudanas organizacionais de infra-estrutura e de recursos humanos estando completamente alinhada aos objetivos do negcio e porte da ELECTRA. Segundo a NBR ISO/IEC 17799 (2000, p.4), no seu captulo 3 Poltica de Segurana, diz: Objetivo: Prover direo uma orientao e apoio para a segurana da informao.

Ainda segundo a norma NRB ISO/IEC 17799 (2000, p.4), recomenda-se que algumas orientaes seja includas em seu documento:a) definio de segurana da informao, resumo das metas e escopo e a importncia da segurana como um mecanismo que habilita o compartilhamento da informao (ver introduo); b) declarao do comprometimento da alta direo, apoiando as metas e princpios da segurana da informao; c) breve explanao das polticas, princpios, padres e requisitos de conformidade de importncia especfica para a organizao, por exemplo: 1) conformidade com a legislao e clusulas contratuais; 2) requisitos na educao de segurana;

44

3) preveno e deteco de vrus e software maliciosos; 4) gesto da continuidade do negcio; 5) conseqncias das violaes na poltica de segurana da informao; d) definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo o registro dos incidentes de segurana; e) referncias documentao que possam apoiar a poltica, por exemplo, polticas e procedimentos de segurana mais detalhados de sistemas de informao especficos ou regras de segurana que convm que os usurios sigam.

Portanto, a poltica de segurana um conjunto de princpios que do suporte gesto da segurana de informaes perante a alta gerncia e o corpo tcnico da ELECTRA, dividindo-se em normas que ditam as diretrizes gerais da poltica, as normas.

Documento da poltica de seguranaO documento requer a sua aprovao por parte da direo da ELECTRA, devendo ser publicado e comunicado de forma adequada para todos os funcionrios. Segundo a norma NBR ISO/IEC 17799 (2000, p.4), a norma deve conter:a) definio de segurana da informao, resumo das metas e escopo e a importncia da segurana como um mecanismo que habilita o compartilhamento da informao (ver introduo); b) declarao do comprometimento da alta direo, apoiando as metas e princpios da segurana da informao; c) breve explanao das polticas, princpios, padres e requisitos de conformidade de importncia especfica para a organizao, por exemplo: 1) conformidade com a legislao e clusulas contratuais; 2) requisitos na educao de segurana; 3) preveno e deteco de vrus e software maliciosos; 4) gesto da continuidade do negcio;

45

5) conseqncias das violaes na poltica de segurana da informao; d) definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo o registro dos incidentes de segurana; e) referncias documentao que possam apoiar a poltica, por exemplo, polticas e procedimentos de segurana mais detalhados de sistemas de informao especficos ou regras de segurana que convm que os usurios sigam.

A constante preocupao na divulgao da poltica, como meio para conscientizao dos funcionrios sobre seu contedo e suas obrigaes, deve ser preservada, reciclando o conhecimento aos que permanecerem na ELECTRA e fidelizando aqueles que acabaram de ser contratados. Deve ser eleito um responsvel pela manuteno do documento e anlise crtica atravs de um processo definido.

2.2

Segurana organizacional

Seu objetivo gerenciar a segurana da organizao. A norma NBR ISO/IEC 17799 recomenda a implementao de uma gerncia e que promova a implantao e o controle da segurana da informao na organizao.

2.2.1 Infra-estrutura da segurana da informao

Uma poltica de segurana fundamental para apoiar e estabelecer os nveis de conhecimento atravs de treinamentos constantes para novos funcionrios ou terceiros que venham a desempenhar alguma atividade na organizao.

46

Gesto do frum de segurana da informaoCompete organizao eleger um frum representativo que estabelea as diretrizes de segurana, responsveis e suas competncias. Segundo Dias (2000, p.79):O gerente de segurana deve ter em mente trs princpios bsicos: prevenir o acesso de pessoas no autorizadas aos sistemas e informaes; impedir que aqueles que conseguirem acesso, autorizado ou no, danifiquem ou adulterem qualquer coisa; e, uma vez ocorrida a contingncia, estar preparado para identificar suas causas, recuperar os sistemas e dados e modificar os controles para que o problema no torne a acontecer.

Coordenao da segurana da informaoComposta por uma equipe multidisciplinar, a coordenao da implantao estabelece os controles da segurana da informao, nos quais: Busca das regras e responsabilidades especficas para a segurana da informao; Busca as metodologias e processos especficos para a segurana da informao, tais como avaliao de risco e sistema de classificao de segurana; Busca e apia iniciativas de segurana da informao aplicveis por toda a organizao, como por exemplo programa da conscientizao em segurana; Garante que a segurana seja parte do processo de planejamento da informao;

47

Avalia a adequao e coordena a implementao de controles especficos de segurana da informao para novos sistemas ou servios;

Analisa criticamente incidentes de segurana da informao; Promove a visibilidade do suporte aos negcios para segurana da informao atravs da organizao.

Atribuio das responsabilidades em segurana da informao recomendado que a responsabilidade pela atribuio de segurana aos ativos sejam definidas de forma clara e que cada ativo, fsico e de informao, tenha um gestor responsvel. Compete ao gestor eleger ou no um proprietrio para um ativo, e este pode delegar a outro, entretanto sem se eximir de suas responsabilidades.

Processo de autorizao para as instalaes de processamento da informaoConvm que qualquer instalao, seja hardware ou software, seja

convenientemente aprovada pelo gestor do recurso/ambiente, preservando a integridade do recurso/ambiente.

Consultoria especializada em segurana da informaoRecomenda-se a utilizao de um consultor especialista. Nem todas as organizaes dispem de um, podendo buscar externamente tal profissional atravs da

48

recomendao de um colaborador que coordenar todo o conhecimento e as experincias, garantindo a consistncia e auxiliando nas tomadas de deciso. Em caso de incidentes o consultor poder compor a equipe de investigao auxiliando na identificao das ameaas e das vulnerabilidades, at mesmo propondo mudanas direo.

Cooperao entre organizaesConvm que sejam mantidos contatos apropriados com autoridades legais, organismos reguladores, provedores de servio de informao e operadores de telecomunicaes, de forma a garantir que aes adequadas e apoio especializado possam ser rapidamente acionados na ocorrncia de incidentes de segurana. De forma similar, convm que a filiao a grupos de segurana e a fruns setoriais seja considerada. Convm que trocas de informaes de segurana sejam restritas para garantir que informaes confidenciais da organizao no sejam passadas para pessoas no autorizadas.

Anlise critica independente da segurana da informaoO documento da poltica de segurana da informao estabelece a poltica e as responsabilidades pela segurana da informao. Convm que a sua implementao seja analisada criticamente, de forma independente, para fornecer garantia de que as prticas da organizao reflitam apropriadamente a poltica, e que esta seja adequada e eficiente.

49

Tal anlise crtica pode ser executada pela auditoria interna, por um gestor independente ou por uma organizao prestadora de servios especializada em tais anlises crticas, onde estes possurem habilidade e experincia apropriadas.

2.2.2 Segurana no acesso de prestadores de servios

Identificao dos riscos no acesso de prestadores de servio; Tipos de acesso; o Acesso fsico: qualquer acesso aos ambientes crticos, Data Center, almoxarifado, armrios de equipamentos e cabeamentos, sala dos diretores, sala de gerncia e controle de alarmes etc, deve ser controlado e autorizado atravs de mecanismos e dispositivos biomtricos, caso a situao exija. Razes para o acesso; o Necessidade de manuteno e suporte mediante contrato estabelecido entre as partes; o Parcerias no desenvolvimento de produtos ou negcios onde h necessidade de estudos em conjunto; o A cada tipo de acesso devem ser estudados os ativos de informao envolvidos, sua criticidade e valores para a

50

organizao, assim dimensionando o correto controle para o acesso dos terceiros. Contrato para servios internos; o Existem diversos prestadores de servios, equipes de suporte e manuteno, pessoal de limpeza, estagirios, sub-locao de servios; o recomendvel que o contrato possua clusulas de confidencialidade e penalidade caso seja descumprido no todo ou em parte; o recomendvel responsabilizar o contratado por toda e qualquer mudana no quadro de seus colaboradores que possuem acessos ELECTRA; o recomendvel que os acessos expirem nas datas em que os contratos deixam de ser vlidos. Requisitos de segurana nos contratos com prestadores de servios; Convm que todo e qualquer acesso de terceiros ELECTRA seja baseado em contrato formal que fornea as informaes necessrias ao cumprimento da poltica de segurana da ELECTRA; Recomenda-se que todos os ativos envolvidos estejam declarados em contrato, sendo os contratados responsabilizados por danos causados aos mesmos;

51

2.3

Classificao e controle dos ativos de informao

Os objetivos desta seo so definir a classificao, o registro e o controle das informaes da organizao.

Contabilizao dos ativos de informaoA contabilizao tem como objetivo manter a proteo adequada dos ativos de informao da organizao. Por isso, faz-se necessrio inventariar todos os ativos de informao para garantir que a proteo seja mantida de forma correta. A informao deve possuir um proprietrio responsvel e identificado. A ele atribuda a responsabilidade pelo controle da implementao e manuteno.

Inventrio dos ativos de informaoO objetivo do inventrio dos ativos da informao garantir a implementao efetiva e correta das protees. Assim, necessrio que a organizao seja capaz de identificar seus ativos de informao, com seus respectivos valores e importncia, e cujos nveis de proteo implementados estejam relacionados diretamente com eles. Para tanto, se faz necessrio estruturar e manter um inventrio dos principais ativos associados com seus respectivos sistemas de informao. Cada ativo de informao e seu respectivo proprietrio devem estar claramente identificado, assim como a classificao de segurana desse ativo deve estar acordada e documentada, juntamente com sua localizao atual (dado importante para o plano de contingncia).

52

Classificao da informaoO objetivo da classificao da informao garantir que os ativos de informao recebam um nvel adequado de proteo, pois a informao possui vrios nveis de sensibilidade e criticidade. A informao deve ser classificada para indicar a importncia, a prioridade e o nvel de proteo. Pode ser que informaes mais sensveis recebam um nvel adicional de proteo ou um tratamento especial. Um sistema de classificao da informao deve ser usado com intuito de definir nveis mais adequados de proteo.

Recomendaes para classificao recomendado que a classificao da informao e seus respectivos controles de proteo levem em considerao as necessidades de compartilhamento ou restrio da informao com seus respectivos impactos nos negcios. A informao deve ser classificada e rotulada de acordo com seu valor, sensibilidade e criticidade, e esta rotulao deve ser feita de forma bem criteriosa, para evitar classificaes que no condizem com a realidade da informao. As regras de classificao devem, ainda, levar em considerao que algumas informaes no devem possuir uma classificao fixa, pois sua sensibilidade varia com o tempo, e que sua rotulao pode ser modificada de acordo com uma poltica predeterminada. Ateno especial deve ser dada interpretao dos rtulos nas informaes de terceiros, para averiguar se as definies destes so as mesmas utilizadas pela organizao.

53

A responsabilidade pela classificao da informao e sua reviso peridica devem ficar a cargo de seu autor ou do proprietrio responsvel por ela.

Rtulos e tratamento da informao importante definir os procedimentos para rotular a informao em conformidade com a poltica de classificao da informao adotada pela organizao. Cada classificao deve abranger as atividades de cpia, armazenamento e tipos de transmisso a que a informao est sujeita, e ainda, como e quando dever ser executada a destruio de sua mdia.

2.4

Segurana em pessoas

Os objetivos desta seo so: reduzir os riscos de falha humana, roubo, fraude ou uso imprprio das instalaes; assegurar que os usurios, de acordo com seus cargos, estejam cientes das ameaas segurana da informao; assegurar que os usurios estaro preocupados e treinados em apoiar a poltica de segurana da informao no desenvolvimento rotineiro de suas tarefas, ajudando a minimizar os danos de incidentes e o mau funcionamento da segurana, sabendo como agir em caso de incidentes.

Segurana nos recursos e na definio de trabalhoO objetivo da segurana nos recursos e na definio de trabalho reduzir os riscos de falha humana, roubo, fraude ou uso indevido das instalaes. Isso exige que

54

todos os funcionrios, terceiros e usurios das instalaes de processamento da informao assinem um acordo de sigilo. Na sua fase de manuteno, as responsabilidades de segurana devem ser atribudas aos funcionrios e terceiros ainda durante o processo de recrutamento e contratao, includas em contrato e monitoradas ininterruptamente.

Incluso da segurana nas responsabilidades de trabalhoRegras de responsabilidades de segurana devem ser documentadas de acordo com a poltica de segurana da informao da organizao. A poltica de segurana deve tambm incluir as responsabilidades gerais pela sua implementao e manuteno, bem como qualquer responsabilidade especfica para a proteo de determinados ativos de informao ou pela execuo de determinados processos e atividades de segurana.

Poltica de pessoal necessrio verificar, no momento de sua contratao ou promoo, a idoneidade de funcionrios que de alguma maneira tero acesso s informaes consideradas sensveis ou sigilosas. Para aqueles funcionrios que ocupam cargos revestidos de autoridade, e que tm tambm acessos a essas informaes, necessrio que a checagem seja refeita periodicamente. Os funcionrios novos e sem experincia, que tm autorizao para acesso a sistemas sensveis devem passar por um perodo de avaliao e superviso. Um processo similar de seleo deve ser feito para funcionrios temporrios e fornecedores. No caso em que os recursos humanos so fornecidos por agncias de RH, o contrato entre a agncia e a organizao deve

55

especificar claramente a responsabilidade da agncia pela seleo e verificao da idoneidade dos funcionrios.

Acordos de confidencialidadeOs acordos de confidencialidade so importantes para ressaltar o sigilo da informao. Eles devem fazer parte dos termos e condies iniciais de contratao e, alm disso, devem continuar a ter validade, mesmo aps o encerramento do contrato de trabalho. Funcionrios temporrios e fornecedores devem possuir acordos semelhantes.

Termos e condies de trabalhoOs termos e condies de trabalho devem determinar as responsabilidades dos funcionrios pela segurana da informao e devem incluir as aes a serem tomadas em caso de desrespeito ao acordo. Devem determinar, tambm, como sero tratados os direitos legais do funcionrio com relao s informaes por ele criadas na execuo de suas tarefas.

Treinamento dos usuriosO treinamento visa garantir que os usurios estaro cientes das ameaas e das preocupaes de segurana da informao e estaro aptos a apoiar a poltica de segurana da organizao durante a execuo normal de suas tarefas. Para tanto, eles devem ser treinados nos procedimentos de segurana e no uso correto das instalaes de processamento da informao.

56

Educao e treinamento em segurana da informaoTodos os funcionrios e terceiros devem receber internamente treinamento e atualizaes adequados sobre as polticas e procedimentos organizacionais antes que a eles seja disponibilizado qualquer servio ou acesso. O treinamento ministrado pelos multiplicadores da ELECTRA.

Respondendo aos incidentes de segurana e ao mau funcionamentoA resposta aos incidentes de segurana e ao mau funcionamento tem como funo monitorar tais incidentes com o intuito de minimizar os danos causados, alm e aprender com eles. Assim, esses incidentes devem ser notificados o mais rpido possvel, atravs dos canais apropriados. Todos os funcionrios e prestadores de servios devem conhecer os procedimentos a serem tomados no caso da ocorrncia ou suspeita de algum tipo de incidente e devem ser conscientizados a comunic-lo o mais rpido possvel aos canais apropriados. A organizao deve tambm estabelecer um processo disciplinar formal para tratar os funcionrios que cometam violaes de segurana.

Notificao dos incidentes de seguranaUm procedimento de notificao formal deve ser estabelecido, junto com o procedimento de resposta ao incidente, estabelecendo as aes a serem tomadas. Todos os funcionrios devem estar conscientes dos procedimentos e de report-los o mais rpido possvel. Processos de realimentao (feedback) devem ser

implementados para assegurar que os relatrios de incidentes sejam notificados

57

juntamente com os resultados obtidos aps o incidente ser tratado. Tais incidentes podem ser usados nos treinamentos de usurios.

Notificando falhas na seguranaOs usurios devem ser instrudos a comunicar qualquer falha ou ameaa de segurana ocorrida, ou mesmo uma suspeita, a seus superiores, ou diretamente aos provedores de servio. Deve ser informado aos usurios, que, em nenhuma circunstncia, eles devem tentar verificar uma falha suspeita, sob pena de que isso possa ser interpretado como potencial uso imprprio do sistema.

Notificando o mau funcionamento de softwareDevem ser estabelecidos procedimentos para notificao de mau funcionamento de software. Os usurios no devem tentar remover o software suspeito, a menos que sejam autorizados, pois a organizao dever possuir pessoal capacitado para tratar de sua recuperao.

Aprendizagem com os incidentesDevem existir mecanismos que permitam monitorar, qualificar, quantificar os incidentes e maus funcionamentos. Isso servir para ajudar a identificar as necessidades de melhorias nos controles de segurana existentes ou para serem levados em considerao, quando for realizado o processo de reviso da poltica de segurana.

Processo disciplinar

58

Deve ser previsto processo disciplinar formal para os funcionrios que tenham violado as polticas e os procedimentos de segurana. Muitas vezes, a existncia desse processo pode dissuadir funcionrios que estejam inclinados a desrespeitar os procedimentos de segurana. necessrio que qualquer punio esteja enquadrada nas leis vigentes.

2.5

Segurana fsica e do ambiente

Segundo a norma NBR ISO/IEC 17799 (2000,p.14):O objetivo da segurana fsica : Prevenir acesso no autorizado, dano e interferncia s informaes e instalaes fsicas da organizao. Convm que os recursos e instalaes de processamento de informaes crticas ou sensveis do negcio sejam mantidos em reas seguras, protegidas por um permetro de segurana definido, com barreiras de segurana apropriadas e controle de acesso. Convm que estas reas sejam fisicamente protegidas de acesso no autorizado, dano ou interferncia. Convm que a proteo fornecida seja proporcional aos riscos identificados. Polticas de mesa limpa e tela limpa so recomendadas para reduzir o risco de acesso no autorizado ou danos a papis, mdias, recursos e instalaes de processamento de informaes.

Segundo Maia (2002, www.modulo.com.br ):As ameaas internas podem ser consideradas como o risco nmero um segurana dos recursos computacionais. Um bom programa de segurana fsica o passo inicial para a defesa da corporao no sentido de proteger as suas informaes contra acessos indevidos. Este programa deve iniciar atravs da realizao de uma anlise de risco. Uma visita s dependncias da empresa pode fornecer resultados interessantes. Os seguintes elementos devem ser checados durante esta anlise: portas das salas trancadas, mesas e armrios trancados, estaes de trabalho protegidas contra acessos indevidos, disposio e proteo das mdias magnticas de armazenamento, cabeamento de rede padronizado e seguro, informaes protegidas (em meio magntico e papel), documentos sobre as mesas, descarte de informaes (se existem trituradoras de papis), reas de circulao de visitantes, reas restritas etc. Uma lista das ameaas de segurana fsica poderia conter os seguintes itens:

59

Incndio (fogo e fumaa); gua (vazamentos, corroso, enchentes); Tremores e abalos ssmicos; Tempestades, furaces; Terrorismo; Sabotagem e vandalismo; Exploses; Roubos, furtos; Desmoronamento de construes; Materiais txicos; Interrupo de energia (bombas de presso, ar-condicionado, elevadores); Interrupo de comunicao (links, voz, dados); Falhas em equipamentos; Outros.

Aps este levantamento, o resultado da anlise deve apontar o grau do risco a que a empresa est exposta em decorrncia das ameaas referentes segurana fsica. De acordo com as reas de maior risco (aquelas que podem causar prejuzos ao negcio se um evento motivado por falha na segurana fsica acontecer), os investimentos devem ser direcionados para que o risco seja minimizado. Por exemplo, pode ser que haja a necessidade de se adquirir equipamentos de controle de acesso baseado em autenticao biomtrica para reas crticas e de circulao restrita, como sala de servidores, alta direo da empresa etc. As medidas de correo e equipamentos necessrios devem ser adquiridos com base no custo-benefcio que proporcionam. Para alguns casos, o prejuzo decorrente de um evento inferior ao valor do investimento a ser feito nas medidas de correo, o que nos faz enxergar com clareza que neste caso, o melhor seria ignorar o risco. Para estas e outras decises que envolvam investimento em segurana, a participao do Security Officer da empresa fundamental. Com sua viso estratgica a respeito dos processos de negcio da empresa, o responsvel pela segurana saber determinar onde e de que forma a empresa dever investir para minimizar os riscos. O direcionamento da origem destes investimentos tambm de suma importncia, uma vez que a rea de TI no deve ser a responsvel pela verba destinada compra de dispositivos de controle de acesso fsico do Departamento Financeiro de uma empresa, por exemplo.

60

A grande mensagem que deixamos aqui que a segurana fsica da empresa to importante quanto a segurana no ambiente de tecnologia, e no deve, de forma alguma, ser deixada de lado. Em relao segurana da informao, no devemos contar com o fator sorte.

Portanto, para se obter um ambiente fsico seguro alguns pontos devem ser observados. Segundo a norma NBR ISO/IEC 17799 (2000, p14), seguem os pontos a serem analisados:

2.5.1 reas de segurana

Prevenir acesso no autorizado, dano e interferncia s informaes e instalaes fsicas da organizao. Convm que os recursos e instalaes de processamento de informaes crticas ou sensveis do negcio sejam mantidos em reas seguras, protegidas por um permetro de segurana definido, com barreiras de segurana apropriadas e controle de acesso. Convm que estas reas sejam fisicamente protegidas de acesso no autorizado, dano ou interferncia. Convm que a proteo fornecida seja proporcional aos riscos identificados. Polticas de mesa limpa e tela limpa so recomendadas para reduzir o risco de acesso no autorizado ou danos a papis, mdias, recursos e instalaes de processamento de informaes.

Permetro de segurana fsicaA proteo fsica pode ser alcanada atravs da criao de diversas barreiras fsicas em torno da propriedade fsica do negcio e de suas instalaes de processamento da informao. Cada barreira estabelece um permetro de segurana, contribuindo para o aumento da proteo total fornecida. Convm que as organizaes

61

usem os permetros de segurana para proteger as reas que contm os recursos e instalaes de processamento de dados. Um permetro de segurana qualquer coisa que estabelea uma barreira. Por exemplo, uma parede, uma porta com controle de entrada baseado em carto ou mesmo um balco de controle de acesso com registro manual. A localizao e a resistncia de cada barreira dependem dos resultados da avaliao de risco. Recomenda-se que as seguintes diretrizes e controles sejam considerados e implementados nos locais apropriados. a) Convm que o permetro de segurana esteja claramente definido. b) Convm que o permetro de um prdio ou local que contenha recursos de processamento de dados seja fisicamente consistente (isto , no podem existir brechas onde uma invaso possa ocorrer facilmente). Convm que as paredes externas do local possuam construo slida e todas as portas externas sejam protegidas de forma apropriada contra acessos no autorizados, como, por exemplo, mecanismos de controle, travas, alarmes, grades etc. c) Convm que uma rea de recepo ou outro meio de controle de acesso fsico ao local ou prdio seja usado. Convm que o acesso aos locais ou prdios seja restrito apenas ao pessoal autorizado. d) Convm que barreiras fsicas sejam, se necessrio, estendidas da laje do piso at a laje superior, para prevenir acessos no autorizados ou contaminao ambiental, como as causadas por fogo e inundaes. e) Convm que todas as portas de incndio no permetro de segurana possuam sensores de alarme e mola para fechamento automtico.

62

Controles de Entrada FsicaConvm que as reas de segurana sejam protegidas por controles de entrada apropriados para assegurar que apenas pessoas autorizadas tenham acesso liberado. Recomenda-se que os seguintes controles sejam considerados: a) Convm que visitantes das reas de segurana sejam checados quanto permisso para ter acesso e tenham registradas data e hora de sua entrada e sada. Convm que essas pessoas obtenham acesso apenas s reas especficas, com propsitos autorizados e que esses acessos sigam instrues baseadas nos requisitos de segurana e procedimentos de emergncia prprios da rea considerada. b) Convm que o acesso s informaes sensveis, instalaes e recursos de processamento de informaes seja controlado e restrito apenas ao pessoal autorizado. Convm que os controles de autenticao, como por exemplo, cartes com PIN sejam usados para autorizar e validar qualquer acesso. Convm ainda que seja mantida em segurana uma trilha de auditoria contendo todos os acessos ocorridos. c) Convm que todos os funcionrios utilizem alguma forma visvel de identificao e sejam incentivados a informar segurana sobre a presena de qualquer pessoa no identificada ou de qualquer estranho no acompanhado. d) Convm que os direitos de acesso s reas de segurana sejam regularmente revistos e atualizados.

63

Segurana em escritrios, salas e instalaes de processamentoUma rea de segurana pode ser um escritrio fechado ou diversas salas dentro de um permetro de segurana fsica, que podem estar fechadas ou podem conter armrios fechados ou cofres. Convm que a seleo e o projeto de uma rea de segurana levem em considerao as possibilidades de dano causado por fogo, inundaes, exploses, manifestaes civis e outras formas de desastres naturais ou causados pelo homem. Convm que tambm sejam levados em considerao as regulamentaes e padres de segurana e sade. Tambm devem tratar qualquer ameaa originada em propriedades vizinhas, como por exemplo vazamento de gua de outras reas. Recomenda-se que os seguintes controles sejam considerados: a) Convm que as instalaes crticas sejam localizadas de forma a evitar o acesso pblico. b) Convm que os prdios sejam sem obstrues em seu acesso, com indicaes mnimas do seu propsito, sem sinais bvios, tanto fora quanto dentro do prdio, da presena de atividades de processamento de informao. c) Convm que os servios de suporte e equipamentos, como por exemplo fotocopiadoras e mquinas de fax sejam instalados de forma apropriada dentro de reas de segurana para evitar acesso que possa comprometer a informao. d) Convm que as portas e janelas sejam mantidas fechadas quando no utilizadas e que sejam instaladas protees externas, principalmente quando essas portas e janelas se localizarem em andar trreo.

64

e) Convm que os sistemas de deteco de intrusos sejam instalados por profissionais especializados e testados regularmente, de forma a cobrir todas as portas externas e janelas acessveis. Convm que as reas no ocupadas possuam um sistema de alarme que permanea sempre ativado. Convm que esses cuidados tambm cubram outras reas, como por exemplo a sala de computadores ou salas de comunicao. f) Convm que as instalaes de processamento da informao gerenciadas pela organizao fiquem fisicamente separadas daquelas gerenciadas por prestadores de servio. g) Convm que os arquivos e as listas de telefones internos que identificam os locais de processamento das informaes sensveis no sejam de acesso pblico. h) Convm que os materiais combustveis ou perigosos sejam guardados de forma segura a uma distncia apropriada de uma rea de segurana. Convm que os suprimentos volumosos, como material de escritrio, no sejam guardados em uma rea de segurana, a menos que requeridos. i) Convm que os equipamentos de contingncia e meios magnticos de reserva (backup) sejam guardados a uma distncia segura da instalao principal para evitar que desastres neste local os afetem.

Trabalhando em reas de seguranaManuais e controles adicionais podem ser necessrios para melhorar as condies de uma rea de segurana. Isso inclui controles tanto para o pessoal da

65

organizao como para prestadores de servios que trabalham em reas de segurana, assim como para atividades terceirizadas que possam ocorrer nessa rea. Recomendase que os seguintes itens sejam considerados. a) Convm que os funcionrios s tenham conhecimento da existncia de rea de segurana ou de atividades dentro dela quando necessrio. b) Convm que se evite trabalho sem superviso nas reas de segurana, tanto por razes de segurana como para prevenir oportunidades para atividades maliciosas. c) Convm que as reas de segurana desocupadas sejam mantidas fisicamente fechadas e verificadas periodicamente. d) Convm que pessoal de servio de suporte terceirizado tenha acesso restrito s reas de segurana ou s instalaes de processamento de informaes sensveis somente quando suas atividades o exigirem. Convm que este acesso seja autorizado e monitorado. Barreiras e permetros adicionais para controlar o acesso fsico podem ser necessrios em reas com diferentes requisitos de segurana dentro de um mesmo permetro de segurana. e) Convm que no se permitam o uso de equipamentos fotogrficos, de vdeo, de udio ou de outro equipamento de gravao, a menos que seja autorizado.

66

Isolamento das reas de expedio e cargasConvm que as reas de expedio e de carregamento sejam controladas e se possvel isoladas das instalaes de processamento da informao, com o objetivo de evitar acessos no autorizados. Convm que os requisitos de segurana sejam determinados a partir de uma avaliao de risco. Recomenda-se que os seguintes itens sejam considerados: a) Convm que o acesso rea de movimentao e suporte (carga e descarga) externa ao prdio seja restrito somente ao pessoal identificado e autorizado. b) Convm que esta rea seja projetada de forma que os suprimentos possam ser descarregados sem que o pessoal responsvel pela entrega tenha acesso s outras partes do prdio. c) Convm que a(s) porta(s) externa(s) destas reas seja(m) mantida(s) protegida(s) quando as portas internas estiverem abertas. d) Convm que o material de entrada seja inspecionado contra potenciais perigos [ver 7.2.1 d)], antes de ser transportado dessa rea para a rea na qual ser utilizado. e) Convm que o material recebido seja registrado, se apropriado (ver 5.1), quando da sua recepo.

67

2.5.2 Segurana dos equipamentos

Objetivo: Prevenir perda, dano ou comprometimento dos ativos e a interrupo das atividades do negcio. Convm que os equipamentos sejam fisicamente protegidos contra ameaas sua segurana e perigos ambientais. A proteo dos equipamentos (incluindo aqueles utilizados fora das instalaes fsicas da organizao) necessria para reduzir o risco de acessos no autorizados a dados e para proteo contra perda ou dano. Convm que esta proteo considere os equipamentos instalados e os em alienao. Controles especiais podem ser exigidos para proteo contra perigos ou acessos no autorizados e para salvaguardar as instalaes de suporte, como o fornecimento de energia eltrica e cabeamento.

Instalao e proteo dos equipamentosConvm que os equipamentos sejam instalados ou protegidos para reduzir o risco de ameaas ambientais, perigos e oportunidades de acesso no autorizado. Recomenda-se que os seguintes itens sejam considerados: a) Convm que os equipamentos sejam instalados de forma a reduzir acessos desnecessrios rea de trabalho. b) Convm que as instalaes de processamento e armazenamento de informao que tratam de informaes sensveis sejam posicionadas de maneira a reduzir riscos de espionagem de informaes durante o seu uso.

68

c) Convm que os itens que necessitem de proteo especial sejam isolados para reduzir o nvel geral de proteo exigida. d) Convm que sejam adotados controles, de forma a minimizar ameaas potenciais, incluindo: Roubo; Fogo; Explosivos; Fumaa; gua (ou falha de abastecimento); Poeira; Vibrao; Efeitos qumicos; Interferncia no fornecimento eltrico; Radiao eletromagntica.

e) Convm que uma organizao considere polticas especficas para alimentao, bebida e fumo nas proximidades das instalaes de processamento da informao.

69

f) Convm que aspectos ambientais sejam monitorados para evitar condies que possam afetar de maneira adversa operao das instalaes de processamento da informao. g) Convm que uso de mtodos de proteo especial, como capas para teclados, seja considerado para equipamentos em ambiente industrial. h) Convm que o impacto de um desastre que possa ocorrer nas proximidades da instalao, como por exemplo um incndio em um prdio vizinho, vazamentos de gua no telhado ou em andares abaixo do nvel do cho ou exploses na rua tambm seja considerado.

Fornecimento de energiaConvm que os equipamentos sejam protegidos contra falhas de energia e outras anomalias na alimentao eltrica. Convm que um fornecimento de energia apropriado ocorra em conformidade com as especificaes do fabricante do equipamento. Algumas opes para alcanar a continuidade do fornecimento eltrico incluem: a) Alimentao mltipla para evitar um nico ponto de falha no fornecimento eltrico; b) No-break (Uninterruptable Power Supply - UPS); c) Gerador de reserva. recomendado o uso de no-break em equipamentos que suportem atividades crticas para permitir o encerramento ordenado ou a continuidade do processamento. Convm que os planos de contingncia contenham aes a serem tomadas em casos de falha no no-break. Convm

70

que esse tipo de equipamento seja periodicamente verificado, de forma a garantir que ele esteja com a capacidade adequada, e testado de acordo com as recomendaes do fabricante. Convm que um gerador de reserva seja considerado se o processamento requer continuidade, em caso de uma falha eltrica prolongada. Se instalados, convm que os geradores sejam testados regularmente de acordo com as instrues do fabricante. Convm que um fornecimento adequado de leo esteja disponvel para assegurar que o gerador possa ser utilizado por um perodo prolongado. Adicionalmente, convm que se tenham interruptores eltricos de emergncia localizados prximo s sadas de emergncia das salas de equipamentos para facilitar o desligamento em caso de emergncia. Convm que iluminao de emergncia esteja disponvel em casos de falha da fonte eltrica primria. Convm que proteo contra relmpagos seja usada em todos os prdios e que filtros de proteo contra raios sejam instalados para todas as linhas de comunicao externas.

Segurana do cabeamentoConvm que o cabeamento eltrico e de telecomunicao que transmite dados ou suporta os servios de informao seja protegido contra interceptao ou dano. Recomenda-se que os seguintes con