polÍtica de seguranÇa da informaÇÃo para...

ASSOCIAÇÃO EDUACATIVA DO BRASIL SOEBRAS FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA EMPRESA ENERGIA

Douglas Santana Martins Lorena Carmona Santos

BRASÍLIA

2013

Douglas Santana Martins Lorena Carmona Santos


Trabalho de Conclusão de Curso apresentado às Faculdades integradas Promove de Brasília, como requisito parcial para obtenção do titulo de Tecnólogo em Segurança da Informação.

Orientador: Prof. MsC. Cid Bendahan Coelho Cintra

BRASÍLIA

2013

ASSOCIAÇÃO EDUACATIVA DO BRASIL SOEBRAS FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA

TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO

Lorena Carmona Santos Douglas Santana Martins


__________________________________ Prof. MsC. Cid Bendahan Coelho Cintra

__________________________________

Prof. Alexandre Fermino

__________________________________ Profª. Dr. Maria José de Oliveira

BRASÍLIA – DF 2013

RESUMO

Este trabalho tem a finalidade de criar uma politica de segurança da informação para área de tecnologia da empresa ENERGIA, levando em consideração a importância de prover a proteção e segurança da estrutura de dados, mantendo a disponibilidade de seus serviços. O objetivo do trabalho é na elaboração da politica de segurança destacar os fatores que influenciam a empresa, como o levantamento de vulnerabilidades, os riscos e a divulgação de forma vasta e consistente para todos os colaboradores. Implantação da documentação de processos organizacionais, mantendo a integridade, disponibilidade, confiabilidade, elaborada de uma forma ampla, havendo a correção dos itens apontados neste trabalho podendo acobertar e solucionar os problemas atuais. Os dados foram coletados junto a empresa, através de visitas semanais. Depois de aplicada a politica de segurança da informação trará segurança e respaldo em relação ao acesso lógico e físico da empresa tanto para funcionários quanto para visitantes. Palavras-chave: Segurança da informação. Integridade. Confiabilidade. Disponibilidade.

ABSTRACT

The Policy Information Security today is essential for the security of any organization. Must be prepared and carefully studied and evaluated, aiming all the details involved, plan and define the most important, its implementation should be approached cautiously, by requiring the efforts of all company employees. This work aims to create a security policy for information technology officer ENERGY Company, taking into account the importance of providing protection and safety of the data structure, maintaining the availability of their services. In the preparation of safety policy some points should be considered, such as vulnerability assessment and risk disclosure and so vast and consistent for all employees. Deployment of organizational process documentation while maintaining the integrity, availability, reliability, elaborated in a comprehensive way, and that does not undergo many changes, with the correction of the items listed in this work may cover up and solve the current problems. After applying the information security policy will bring safety and support for the information, because you will be safeguarded and protected in accordance with standard ISO / IEC 27002:2005 ABNT. Keywords: Security. Integrity. Reliability. Availability.

LISTA DE QUADROS Quadro 1 - Matriz de Nível de Risco ......................................................................... 28

Quadro 2 - Definição e Nível dos Riscos ................................................................... 28

Quadro 3 - Levantamento dos ativos Lógicos ........................................................... 44

Quadro 4 - Levantamento dos ativos Físicos ............................................................ 45

Quadro 5 - Matriz de Nível de Risco ......................................................................... 46

Quadro 6 - Acesso Físico e a Disponibilidade dos Serviços das Salas ..................... 46

Quadro 7 - Responsabilidade do Usuário ................................................................ 47

Quadro 8 - Controle de Acesso Lógico a Rede ........................................................ 47

Quadro 9 - Proteção Lógica Contra Ameaças ........................................................... 47

Quadro 10 - Backup de Dados .................................................................................. 48

LISTA DE FIGURAS Figura 1 - Metodologia de avaliação de Risco........................................................... 30

Figura 2 - Avaliação de Riscos ................................................................................. 32

Figura 3 - Organograma da empresa Energia ........................................................... 36

Figura 4 - Organograma da CSC ............................................................................. 37

Figura 5 - Entrada Principal ....................................................................................... 38

Figura 6 - Recepção .................................................................................................. 38

Figura 7 - Cameras de Segurança ............................................................................ 39

Figura 8 - Sala Cofre 1 .............................................................................................. 40

Figura 9 - Servidores ................................................................................................. 40

Figura 10 - Racks e Switchs ..................................................................................... 41

Figura 11 - Sala Cofre 2 ............................................................................................ 42

Figura 12 - Nobreaks ................................................................................................. 42

Figura 13 - Quadro de Energia 1 ............................................................................... 43

Figura 14 - Quadro de Energia 2 ............................................................................... 43

LISTA DE ABREVIATURAS GPO - Grau de Probabilidade de Ocorrência da empresa.

GIN - Grau do Impacto Negativo do Incidente causado pela ameaça aos negócios.

GEP - Grau da Eficiência da Proteção Implementada.

CSC - Coordenação Geral de Sistema de Comunicação

SERTEL - Serviço de Telecomunicação

SECOM - Seção de comutação de mensagens

SEAM - Setor de Apoio e Manutenção

SEGER - Serviço de Gerencia de Rede

LAIME - Seção de laboratórios de Instrumentos

SESUC - Seção de supervisão e Controle.

DDoS - Distributed Denial of Service DoS - Denial of Service TCP – Transmission Control Protocol

SUMÁRIO Capítulo I - APRESENTAÇÃO .................................................................................. 10

1.1 Introdução ....................................................................................................... 10

1.2 Justificativa..... ................................................................................................. 11

1.3 Objetivos ......................................................................................................... 12

1.3.1 Objetivo Geral ............................................................................................ 12

1.3.2 Objetivos Especificos ................................................................................. 12

1.4 Procedimentos Metodologicos ........................................................................ 12

Capítulo II - REFERENCIAL TÉORICO .................................................................... 14

2.1 Informação ....................................................................................................... 14

2.2 Segurança da Informação ................................................................................ 14

2.2.1 Integridade ................................................................................................. 15

2.2.2 Disponibilidade .......................................................................................... 15

2.2.3 Confidencialidade ...................................................................................... 15

2.2.4 Autenticidade ............................................................................................. 16

2.2.5 Legalidade ................................................................................................. 16

2.2.6 Conformidade ............................................................................................ 17

2.2.7 Vulnerabilidade .......................................................................................... 17

2.3 Politicas de Segurança da Informação ............................................................. 17

2.3.1 Controle de Acesso.................................................................................... 17

2.3.2 Segurança Fisica ....................................................................................... 18

2.3.3 Segurança Logica ...................................................................................... 19

2.4 Risco ................................................................................................................ 19

2.5 Ameaça ............................................................................................................ 20

2.6 Impactos .......................................................................................................... 20

2.7 Ativos ............................................................................................................... 21

2.8 Incidentes ......................................................................................................... 21

2.9 Softwares Maliciosos ....................................................................................... 22

2.9.1 Negação de Serviço................................................................................... 22

2.9.2 Varredura de Portas ou Port Scanner ........................................................ 22

2.9.3 Malware ..................................................................................................... 23

2.9.4 Worm ......................................................................................................... 23

2.9.5 Keyloger ..................................................................................................... 23

2.10 Ataque ............................................................................................................ 23

2.11 Classificação das Informações....................................................................... 24

2.12 Criptografia..................................................................................................... 25

2.13 Punições e Penalidades ................................................................................. 25

2.14 Falhas de Segurança ..................................................................................... 25

2.15 Estratégias de Segurança .............................................................................. 26

2.15.1 Antivirus ................................................................................................... 27

2.15.2 Firewall .................................................................................................... 27

2.15.3 DMZ ......................................................................................................... 27

2.16 Definições de risco ......................................................................................... 28

2.17 Analise de risco ou diagnostico de risco ........................................................ 29

Capítulo III - ESTUDO DE CASO ............................................................................. 33

3.1 Empresa ENERGIA .......................................................................................... 33

3.2 Controle de Acesso Fisico ............................................................................... 37

3.3 Controle de Acesso Lógico .............................................................................. 43

3.4 Levantamento dos ativos ................................................................................. 44

3.4.1 Levantamento dos ativos lógicos ............................................................... 44

3.4.2 Levantamento dos Ativos Fisicos .............................................................. 45

3.5 Matriz de Risco ................................................................................................ 46

3.5.1 Acesso Fisico e a Siponibilidade dos serviços das salas ........................... 46

3.5.2 Responsabilidade do usuario ..................................................................... 47

3.5.3 Controle de accesso Lógico a Rede .......................................................... 47

3.5.4 Proteção Lógica Contra Ameaças ............................................................. 47

3.5.5 Backup de Dados ...................................................................................... 48

3.6 Analise de Risco .............................................................................................. 48





3.6.5 Backup de Dados ...................................................................................... 59

Capítulo IV - PROPOSTA DE SEGURANÇA DA INFORMAÇÃO ............................. 61

4.1 Objetivo ............................................................................................................ 61

4.2 Aplicação ......................................................................................................... 61

4.3 Diretrizes da Política de Segurança ................................................................. 61





4.6.5 Backup de Dados ...................................................................................... 63

Capítulo V - CONCLUSÃO ....................................................................................... 64

REFERÊNCIAS ......................................................................................................... 65

10

CAPÍTULO I - APRESENTAÇÃO

1.1 Introdução

O mundo atualmente vem se mostrando muito competitivo, com mudanças

inesperadas e constantes. As organizações necessitam ter grande agilidade e

flexibilidade para estarem preparadas para as falhas que possam vir a ocorrer com

as mudanças constantes no ambiente computacional. Surge ai a necessidade das

organizações buscarem profissionais da área de Tecnologia da Informação, mais

especificamente aqueles que já possuem uma formação toda voltada para área de

segurança da informação, pois com um profissional bem instruído a empresa terá

bons mecanismos para combater ameaças internas e externas em sua rede que

ameacem a suas informações.

Quando se fala de segurança da informação, é necessário analisar toda e

qualquer variável que possa influenciar a segurança. Nesta proposta são avaliados

aspectos físicos, lógicos, humanos e suas relações. O aspecto mais importante em

relação à segurança da informação, é que toda e qualquer ação deve ser tomada

em função do negócio, deve agregar valor ao negócio de alguma forma, caso

contrário, a segurança da informação poderá ser vista pela organização como um

desperdício de recursos.

Este trabalho tem por finalidade elaborar uma proposta de politica de

segurança da informação que possa ser apresentada a empresa ENERGIA¹ por

meio de uma documentação que mostre a importância quanto à segurança e a

disponibilidade das informações, para que possam ser entregues de forma segura e

eficiente. A politica de segurança dará uma garantia à empresa que qualquer ativo

terá sua importância já documentada e com planos já elaborados com soluções a

problemas que possam vir a ocorrer e ter mais controle e segurança sobre os seus

ativos.

_________________________________________________________________________________ (1) A empresa não autorizou a divulgação do nome real. O nome Energia é fictício.

11

1.2 Justificativa

A empresa ENERGIA é um órgão que trabalha com uma grande quantidade

de dados por esse motivo é importante identificar quais os problemas para elaborar

uma proposta de política de segurança da informação. A empresa já possui algumas

regras físicas e lógicas implementadas para garantir integridade, confidencialidade e

segurança dos dados.

A proposta de uma politica de segurança da informação se justifica porque

possibilitará, a empresa ENERGIA, ter seus ativos de informação seguros conforme

as diretrizes estabelecidas pela norma da ABNT NBR ISO/IEC 27002:2005.

A adoção de uma política de segurança da informação proporcionará a

empresa ENERGIA o manuseio, disseminação do armazenamento e descarte

seguro de suas informações críticas obedecendo aos princípios de

confidencialidade, integridade e disponibilidade.

Uma organização que trata de muitas informações confidenciais e tem elas

perdidas ou manipuladas de forma inapropriada pode ter prejuízos, tais como:

• Credibilidade: quando informações pessoais são espalhadas sem

autorização.

• Competitividade: concorrentes podem usufruir de suas informações para

copiar idéias ou tecnologias para obtenção de lucro.

• Financeiros: informações agregam valores financeiros, desta forma, quando

há perda, as organizações têm um prejuízo financeiro tanto para restaurar essas

informações (muitas vezes sem sucesso) como para protegê-las novamente.

12

1.3 Objetivos

1.3.1 Objetivo Geral

Este trabalho tem como objetivo elaborar uma politica de segurança da

informação para empresa ENERGIA, Física e lógica baseada na norma ABNT NBR

ISO/IEC 27002:2005.

1.3.2 Objetivos Específicos

● Realizar um acompanhamento da rotina da empresa para identificar os

procedimentos referentes à segurança nas informações.

● Efetuar um levantamento de pré-requisitos, onde será escolhida uma

metodologia mais adequada a ser aplicada na empresa.

● Levantar as condições de segurança da informação na empresa ENERGIA.

● Identificar os ativos de informação na empresa ENERGIA.

● Elaborar uma matriz de risco para ativos de informação.

● Elaborar uma proposta de política de segurança da informação para empresa

ENERGIA.

1.4 Procedimentos Metodológicos

Para criar a proposta de politica de segurança da informação foram realizadas

pesquisas, abrangendo livros e a norma ABNT ISO/ IEC 27002:2005 buscando

detalhar cada ponto para melhor amparo teórico que fosse possível.

13

Em seguida foi realizado um estudo de caso na empresa Energia, detalhando

falhas, tirando fotos, especificando riscos. Com o acompanhamento do cotidiano

desse órgão, foi possível identificar vulnerabilidades, que podem ser minimizados

através de um tratamento adequado.

Para se elaborar a proposta de politica de Segurança da informação para a

empresa Energia, foram escolhidas algumas áreas fundamentais para o

funcionamento da empresa, essas áreas são: Coordenação Geral de Sistema de

Comunicação – CSC, Serviço de Telecomunicação – SERTEL, Seção de comutação

de mensagens – SECOM, Setor de Apoio e Manutenção – SEAM; Serviço de

Gerencia de Rede – SEGER; Seção de laboratórios de Instrumentos – LAIME;

Seção de supervisão e Controle – SESUC. As informações fornecidas pelo gerente

de rede da empresa ENERGIA.

Após concluir essa análise foi sugerida à implantação de uma politica de

segurança para garantir que as informações da empresa estejam devidamente

segura de acordo com as normas e legislações vigentes.

14

CAPITULO II - REFERENCIAL TÉORICO

2.1 INFORMAÇÃO

A informação é todo e qualquer dado de uma organização e seu principal patrimônio. Entende-se também que a informação é o principal ativo de uma organização. A informação deve ser protegida de maneira que garanta a continuidade dos negócios e o retorno dos investimentos. É necessário lembrar-se que a informação de uma organização está sob constante risco. (FERREIRA, 2003, p.1).

A informação é considerada como o principal patrimônio de uma organização, e

está também sob constante risco.

2.2 Segurança da Informação

De acordo com a norma ABNT ISO/ IEC 27002(2005) "segurança da informação

é a proteção da informação de vários tipos de ameaças para garantir a continuidade

do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os

investimentos e as oportunidades de negócio”.

A segurança da informação está relacionada com a proteção de um conjunto de

informações, no sentido de preservar o valor que possuem para um indivíduo ou

uma organização. São características básicas da segurança da informação os

atributos de confidencialidade, integridade, disponibilidade e autenticidade, não

estando esta segurança restrita somente a sistemas computacionais, informações

eletrônicas ou sistemas de armazenamento. O conceito se aplica a todos os

aspectos de proteção de informações e dados. O conceito de Segurança Informática

ou Segurança de Computadores está intimamente relacionado com o de Segurança

da Informação, incluindo não apenas a segurança dos dados/informação, mas

também a dos sistemas em si. Atualmente o conceito de Segurança da Informação

está padronizado pela norma ABNT ISO/IEC 27002:2005, influenciada pelo padrão

15

inglês (British Standard) BS 7799. A série de normas ABNT ISO/IEC 27000 foram

reservadas para tratar de padrões de Segurança da Informação, incluindo a

complementação ao trabalho original do padrão inglês. ABNT ISO/IEC 27002:2005

(FERREIRA, s.d.).

2.2.1 Integridade

Propriedade da informação em se manter acurada, completa e atualizada. Ela é a garantia de que a informação se manteve fiel à sua origem ou ainda, que qualquer alteração durante o processo tenha sido realizada com autorização e controle. (SÊMOLA, s.d.).

Garante que a informação gerada não seja modificada sem a devida autorização

dos responsáveis por ela. Onde não deve ser permitido que a informação original

sofra nenhum tipo de violação.

2.2.2 Disponibilidade

Propriedade da informação de se manter disponível para os agentes autorizados, quando estes dela necessitarem. Sua preservação é a garantia de que a informação se manteve acessível aos agentes autorizados a todo tempo que precisou ser resgatada. (SÊMOLA, s.d.).

É a disponibilidade da informação a qualquer momento a pessoas

autorizadas, sem sofrer nenhum tipo de modificação, garantindo a continuidade do

serviço.

2.2.3 Confidencialidade

Propriedade da informação em estar a salvo de acesso e divulgação não autorizados. Garantindo o resguardo das informações dadas pessoalmente em confiança e proteção contra a sua revelação não autorizada. (SÊMOLA,

16

s.d.).

Proteção da informação contra sua divulgação para pessoas não autorizada.

Protegendo a informação contra cópias e distribuição não autorizada.

2.2.4 Autenticidade

O controle de autenticidade está associado com identificação correta de um usuário ou computador. O serviço de autenticação em um sistema deve assegurar ao receptor que a mensagem é realmente procedente da origem informada em seu conteúdo. A verificação de autenticidade é necessária após todo processo de identificação, seja de um usuário para um sistema, de um sistema para o usuário ou de um sistema para outro sistema. Ela é a medida de proteção de um serviço/informação contra a personificação por intrusos. (GONÇALVES, s.d.)

Autenticidade é a identificação do usuário para que o sistema libere o acesso

dentro dos parâmetros e direitos a este concedido.

2.2.5 Legalidade

É a condição legal da informação que esta de acordo com as regras da legislação

vigente. Quando se fala em políticas, padrões e procedimentos de segurança da

informação.

2.2.6 Conformidade

Normas de segurança da informação que devem atender às leis vigentes, de

acordo com a legislação.

17

2.2.7 Vulnerabilidade

As vulnerabilidades podem ser de diversos tipos físicos, naturais, hardware, software, mídias, de comunicação, humana ou a informação pode ser explorada por ameaças. Algumas das vulnerabilidades podem ser entendidas como falta de segurança lógica. (SÊMOLA, 2003, p.48).

Pode se considerar que as vulnerabilidades comuns são senhas ruins

(quando não tem padrão e regra a seguir), engenharia social, transmissão de dados

sem criptografia.

2.3 Politicas de Segurança da Informação

A política de segurança da informação é composta por um conjunto de regras e padrões sobre o que deve ser feiro para assegurar que as informações e serviços importantes para a empresa recebam a proteção conveniente, de modo a garantir a sua confidencialidade, integridade e disponibilidade. (ARAUJO; FERREIRA, 2008, p.36).

A Política de segurança da informação trata aspectos tecnológicos, culturais

e humanos. A documentação gerada a partir da politica de segurança deve explicar

a importância da adoção das regras citadas.

2.3.1 Controle de Acesso

Deve-se manter o controle de acesso, tantos físico quanto lógico em qualquer

organização. Quando se fala em implementar segurança para controle de acessos

deve-se atender às necessidades da organização. A proteção deve ser de acordo

com os riscos levantados. Esses controles devem ser sempre revisados e

atualizados.

Recomenda-se que as informações gerenciadas pela organização e por

prestadores deva estar separadas, a fim de garantir maior segurança. Não podem

18

ser permitidos equipamentos de vídeos, fotográficos, entre outros nas áreas de

segurança além dos equipamentos autorizados como circuito interno.

Ou seja, é uma referência à prática de permitir o acesso a uma propriedade,

prédio, ou sala, apenas para pessoas autorizadas. Seja ele de forma física ou

através de meios lógicos.

2.3.2 Segurança Física

É o controle de segurança feito através de dispositivos para garantir que

equipamentos sejam prevenidos de acessos não autorizados, danos ou interferência

nas instalações.

O controle de acesso físico é toda e qualquer aplicação de procedimento ou uso de equipamentos com o objetivo de proteger ambientes, equipamentos ou informações cujo acesso deve ser restrito. Esse tipo de controle envolve o uso de chaves, trancas, guardas, crachás, cercas, vídeos, smartcards, biometria e etc., além da aplicação de normas e procedimentos utilizados pela organização para esse fim. A política e o investimento, no controle de acesso físico adotado pela organização, estarão diretamente ligados à importância de seus ativos, observando sempre a relação custo/beneficio. Uma política de controle de acesso físico eficaz dependerá muito mais da gestão dos modelos de segurança do que apenas do uso de tecnologia. Nesse sentido, é fundamental a análise do perfil de cada organização, para a definição de uma política de controle físico que atenda suas necessidades. Quanto maior o investimento em prevenção menor será o prejuízo em caso de eventos. O investimento em questão não se refere apenas ao uso de tecnologia de ponta, mas a forma como a empresa conscientiza seu quadro de funcionários. (FERREIRA, 2003, p.127)

Exemplos de controle de segurança física conforme Ferreira (2003) e Silva

(2007): controles ambientais, grades, muros, portas, crachás, guardas, sistemas com

portas duplas, controle de mesa limpa, segurança de pessoas, treinamentos de

usuários.

19

2.3.3 Segurança Lógica

Aplicação que faz o controle de programas para garantir a segurança,

asseguras privilégios a esses .

Ferreira (2003) aponta alguns exemplos de segurança lógica:

- Softwares e Programas: que tiverem licenças de uso devem ser aderidos da

maneira correta, evitando-se o uso inadequado, popularmente chamado de pirataria.

- Senhas: sugere-se que as senhas devem possuir regras como: devem ser

utilizadas letras maiúsculas e minúsculas, Quantidade mínima de caracteres, trocas

da senha em período determinado, combinação de tipos de caracteres, números e

caracteres especiais, não podem ser longas, conter números seguidos do teclado,

data de nascimento, placa de carro, não deve ser permitido empréstimos de senhas

e deve seguir as regras estabelecidas para a utilização.

- Ferramentas de Segurança: utilização de ferramentas tais como antivírus,

AntiSpam, firewall, entre outras.

- User id: devem ser estabelecidas regras para a utilização e em hipótese

alguma deve permitir que outra pessoa utilize seu User id. Cada usuário deve ter seu

privilegio de acordo com as funções a serem executadas.

Auditoria: toda tarefa executada no sistema deve ser armazenada por tempo

indeterminado para fins de consulta caso seja necessário, chamado de trilhos de

auditoria.

2.4 Risco

“risco é um perigo que gera impacto nas organizações que incluem

vulnerabilidade." (ARAUJO; FERREIRA, 2008, p.163).

O risco pode ser de maior ou menor grau de perda, afeta organizações

e causa danos. Quanto mais baixo o nível de proteção maior a possibilidade de riscos, os riscos podem surgir de diversos motivos: erros diversos, várias

20

falhas, dentre outros. (MOREIRA, 2001, p.20-21).

Quando se trata de risco, vários aspectos são levados em consideração, por

este motivo se faz uma análise de risco.

2.5 Ameaça

São fatos ou ocorrências de tentativa de burlar os procedimentos, das

atividades da empresa, podem gerar incidentes de segurança e causar danos aos

negócios.

"Uma ameaça afeta a confidencialidade, a integridade e a disponibilidade de

um bem, fazendo uso de uma ou mais vulnerabilidades propositalmente" (HORTON;

MUGGE, 2003, p.31).

Os tipos de ameaças podem ser intencional, acidental e natural. Podem ter a

origem interna ou externa e real, ou seja, que aconteceu de fato e causou um

acidente, ou por detectado e barrado antes de acontecer.

Para se investir em segurança da informação é importante que se conheça as

possíveis ameaças que circundam a empresa. Através desse conhecimento é que a

empresa poderá implementar soluções adequadas que se encaixe aos objetivos da

empresa

2.6 Impactos

"são estragos causados por incidentes gerando prejuízos a organização"

(FERREIRA, 2003, p.50).

"impactos assim como os riscos podem ser de grau alto ou baixo."

(FERREIRA, 2003, p.50).

21

2.7 Ativos

Ativo é todo tipo de bem que a empresa detém inclusive a informação, por isso deve ser bem protegida para que o negócio da empresa continue funcionando. Qualquer tipo de alteração sofrida pelo ativo, ou até mesmo a sua indisponibilidade pode afetar o funcionamento das atividades da empresa, causando perdas por parte da empresa. “Ativo é tudo que manipula direta e indiretamente uma informação, inclusive a própria

informação, dentro de uma organização [...] (MOREIRA, 2001, p.20).

Entende se que a informação é um ativo, e que deve ser protegido de maneira

correta e adequada de acordo com seu grau de impacto para a empresa.

2.8 Incidentes

São eventos ocorridos após a ação de uma ameaça levando algumas vezes a

perda de ativo da informação.

"A gravidade de um incidente é medida pelo seu impacto" (SÊMOLA, 2003,

p.50).

2.9 Softwares Maliciosos

É um dos principais fatores de problemas de segurança. O software malicioso

são códigos, vírus, worms, spams que afetam o sistema. O ideal para combatê-los é

a utilização de programas de segurança, como antivírus, AntiSpam, entre outros,

alguns softwares maliciosos exploram varreduras de porta, negação de serviço,

quebra de senhas, cavalo de troia, dentre outros.

22

2.9.1 Negação de Serviço

O ataque à negação de serviço pode ser do tipo Denial of Service – DoS –

Negação de Serviço ou do tipo Distributed Denial of Service – DDoS – Negação de

Serviço Distribuída, ambos tiram do ar sites, deixando seus serviços indisponíveis

por tempo indeterminado.

DoS é quando um site ou sistema on-line recebe vários pacotes ou sobrecarga de capacidade, mas também pode ser quando recebem falhas ou pacotes com erro, e para estes o site não está preparado, seus serviços acabam ficando indisponíveis, ou seja, ocorre a sobrecarga. Por este motivo é importante executar diversos teste, quando isto não é feito o invasor faz diversos tipos de testes de falhas até atingir seu objetivo. DDoS, é bem parecido com ataque DOS, possui apenas algumas diferenças. São escolhidas vítimas que com certeza possuem vulnerabilidades e diante disso são feitos ataques disparando de vários pontos para determinado site. Pode-se dizer então que o ataque DDoS é um ataque DOS de grande medida. (FERREIRA, 2003, p.83-84).

2.9.2 Varredura de Portas ou Port Scanner

"varredura de portas ou Port Scanners – são programas ou softwares que

fazem varredura para encontrar portas - TCP abertas, estes programas geralmente

fazem a varredura por diversos dias e em horas alternadas." (FERREIRA, 2003,

p.83).

2.9.3 Malware

Malware é um software destinado a se infiltrar em um sistema alheio, de forma ilícita, com intuito de causar algum dano ou roubo de informações (confidenciais ou não) Também pode ser considerado malware uma programação legal que por uma falha de programação (internacional ou não) execute funções que se enquadrem na definição supracitada.” (FIGUEIREDO, s.d.).

23

2.9.4 Worm

Worm é um programa que se propaga de um computador para outro, geralmente produzindo cópias idênticas de seu código na memória de cada equipamento. O worm pode se modificar com tanta rapidez dentro de um microcomputador a ponto de o computador fica travado. Ele pode ser inserido por brincadeira ou com a intenção de causar perda de dados ou destruição das informações. (SAWAYA, 1999, p.516)

2.9.5 Keyloger

São programas que capturam e registram tudo que é digitado no computador,

e com as informações capturadas tem acesso aos dados que a maioria das vezes

deveria ser sigilosa.

2.10 Ataque

Pode se conceituar ataque como uma tentativa de agressão ao sistema, o

ataque pode ser também interno ou externo, de diversos tipos, pode ter diversas

finalidades, objetivos ou alvos. Nos ataques geralmente são utilizados técnicas ou

ferramentas para atingir a finalidade. Algumas vezes são notificados como falhas de

softwares ou hardwares. A seguir tem se algumas motivações para o ataque

conforme Silva (2007).

- Esporte: o ativo Invasor realiza ataques maliciosos como um hobby; - Desafio Pessoal: o ativo Invade o sistema para provar a sua capacidade de conhecimento. - Teste: o ativo faz uma tentativa de invasão para ver se consegue realmente invadir o Sistema. - Curiosidade: pela simples curiosidade se realmente consegue ou não um sistema. - Vingança: na tentativa de denegrir, ou acusar alguém. - Espionagem: o ativo tenta se infiltrar no sistema da empresa para

24

observar arquivos de valor para a empresa. - Sabotagem: realizado pelo simples fato de prejudicar a empresa e o andamento das atividades.

2.11 Classificação das Informações

Deve se saber que nem toda informação possui o mesmo valor então se

entende que as formas de proteção devem ser adequadas para cada tipo de

informação. Quando se fala em classificação entende-se que cada informação

possui grau diferente. O critério de classificação possui diferentes níveis e a cada

classificação é escolhido um critério de armazenamento. Na classificação devem-se

estabelecer as seguintes definições, conforme Ferreira e Araújo (2008 p79-80).

- Grau de Sigilo; - Proprietário: Responsável pela informação; - Custodiante: Responsável por garantir a segurança da informação; - Criptografia: meio de esconder o conteúdo das mensagens usando códigos; - Perfil de acesso: define direito ao acesso conforme a necessidade de cada um.

Os Níveis de classificação são divididos, de acordo com Ferreira e Araújo

(2008, p.80-81) em:

- Informação Pública: Não necessitam de nenhum sigilo; - Informação Corporativa: apenas o pessoal da organização tem o direito de saber caso o pessoal externo saiba não causa nenhuma consequência tão critica quanto às informações confidenciais; - Informação Confidencial: é extremamente restrita a funcionários da organização caso seja divulgada pode causar consequências bastantes criticas.

É adequar e classificar as informações de acordo com seu grau de impacto a

empresa, criando barreiras de segurança a devidas informações, sejam elas de

baixo impacto ou de alto impacto.

25

2.12 Criptografia

É o meio de esconder mensagens através de escrita em códigos, de forma que

permita a leitura somente a quem é de direito ou realmente interessa. A criptografia

é utilizada para garantir a integridade confidencialidade e autenticidade das

informações.

Para cada informação há uma maneira de proteção, portanto é o processo de classificação das informações que vai definir onde será implementado o uso da criptografia. Existem dois tipos de criptografia, a criptografia simétrica ou algoritmo simétrico e a criptografia assimétrica ou algoritmo assimétrico. (ARAUJO; FERREIRA, 2008, p.105)

"a criptografia do tipo simétrico é o mais simples, é utilizado para encriptar e

desencriptar, e possui apenas uma chave." (ARAUJO; FERREIRA, 2008, p.106).

"a criptografia do tipo assimétrico possui duas chaves, uma pública e outra

privada, ou seja, uma para encriptar e outra pra desencriptar" (ARAUJO;

FERREIRA, 2008, p.106).

2.13 Punições e Penalidades

Procedimentos utilizados quando alguém deixa de respeitar as normas

internas de politica de segurança, então é aplicada as penalidade e punições de

acordo com o estatuto e regulamento da empresa.

2.14 Falhas de Segurança

Pode ser ocasionada tanto do trabalho humano quanto do trabalho de

26

máquinas. O trabalho humano está mais suscetível às falhas do que as máquinas.

Muitas vezes essas falhas são as que geram os maiores impactos às empresas.

2.15 Estratégias de Segurança

De acordo com Silva (2007) as estratégias abaixo são utilizadas para

melhorar a segurança.

Menor privilégio: os privilégios permitidos devem ser somente os que

realmente serão utilizados;

Defesa de profundidade: cada ameaça deverá ter um mecanismo

específico de defesa;

Ponto de estrangulamento: que é uma limitação de diversos fatores

tecnológicos feito como o uso de gargalos na rede, é visto por alguns

profissionais como algo desnecessario, mas já outros profissionais de

segurança acham que deves ser utilizados pois é uma maneira para o

administrador monitorar e controlar as informações;

O elo mais fraco: é o ser humano, por este motivo todos os

funcionários devem ser informados e treinados a respeito das políticas

de segurança;

Posição a prova de falhas: os sistemas devem ser a prova de falhas de

maneira que caso haja falhas devem negar o acesso e não permitir o

acesso.

Participação universal: as regras devem ser iguais a todos, ou seja,

não permitindo mais privilégios a diretores ou presidentes pelo simples

fato de consideração do cargo.

Diversidade de defesa: devem ser utilizadas diversas defesas de

diferentes tipos a fim de dificultar o trabalho do atacante.

Simplicidade: mostrar as regras a todos com clareza para melhor

atendimento a fim de serem compreendidas e cumpridas.

27

2.15.1 Antivírus

"o antivírus é um programa que permite identificar e eliminar programas com

vírus que tentem infiltrar-se no sistema. Esse programa tem de ser atualizados

constantemente à medida que novos vírus se tornam conhecidos." (SAWAYA, 1999,

p.26).

Se um antivírus não possuir uma lista de assinatura completa, pode ser que ele vasculhe um arquivo contaminado, mas, por não “conhecer” o vírus deixe-o ileso. Devido ao poder muito grande de disseminação, uma atualização a cada três dias é considerada segura pra um usuário. (FERREIRA, 2003, p.79)

2.15.2 Firewall

"firewalls são projetados para bloquear o tráfego malicioso que poderiam

colocar em risco computadores na sua rede, Alguns firewalls mantém em log

contínuo do que eles detectam." (ENGST; FLEISHMAN, 2005, p.173).

Firewall é uma barreira de proteção eletrônica, ou um computador que impede que usuários não autorizados tenham acesso a certos arquivos em uma rede, O firewall permanece entre a rede privada e a internet, é como uma parede que pode evitar a passagem indesejada de um tráfego. (SAWAYA, 1999, p.183)

2.15.3 DMZ

"De-Militarized Zone – DMZ – Zona Desmilitarizada, permite a uma única

máquina aparecer como se ela, em vez do gateway, estivesse diretamente acessível

na Internet." (ENGST; FLEISHMAN, 2005, p.202).

28

DMZ é o encaminhamento de todo o tráfego para uma máquina específica ou um servidor virtual. O DMZ permite expor uma única máquina para o mundo exterior, ele é acessível como se estivesse na internet, mesmo que a Network Address Translatios – NAT – Tradução de Endereços de Rede, esteja convertendo todo o tráfego para e a partir dela. (ENGST; FLEISHMAN, 2005, p.174)

2.16 Definições de risco

“Para Moreira (2001, p.20-21), o risco pode ser de maior ou menor grau, de

perda, afeta organizações e causa danos. Quanto mais baixo o nível de proteção

maior a possibilidade de risco, os riscos podem surgir de diversos motivos: Erros

Diversos, falhas entre outros.”

"a determinação do nível do risco é obtida pela multiplicação da classificação

da probabilidade de ocorrência versus o impacto na organização. Segue abaixo no

Quadro 1 – exemplo da matriz de nível de risco" (FERREIRA, 2003, p.101).

Quadro 1 - Matriz de Nível de Risco

PROBABILIDADE IMPACTO

Baixo (10) Médio (50) Alto (100)

Alto (1,0) Baixo 10 x 1,0 = 10 Médio 50 x 1,0 = 50 Alto 100 x 1,0 = 100

Médio (0,5) Baixo 10 x 0,5 = 5 Médio 50 x 0,5 = 25 Alto 100 x 0,5 = 50

Baixo (0,1) Baixo 10 x 0,1 = 1 Médio 50 x 0,1 = 5 Alto 100 x 0,1 = 10

Fonte: Ferreira (2003, p.100).

Após a determinação da matriz de riscos, deve ser especificada a descrição

do nível do risco (alto, médio e baixo), bem como as ações necessárias para

diminuí-lo. Como a seguir no Quadro 2.

Quadro 2 - Definição e Nível dos Riscos

Nível do Risco Descrição do Risco e Ações Necessárias

Se uma possibilidade de melhoria for avaliada como sendo de alto

29

Alto

risco existe necessidade imediata para contramedidas serem adotadas, os sistemas podem continuar operando, entretanto, ações corretivas devem ser iniciadas o mais breve possível.

Médio

Se uma possibilidade de melhoria for classificada como sendo de médio risco, ações corretivas estabelecidas em um plano.

de ação, devem ser realizadas em um curto período de tempo.

Baixo

Se uma observação for classificada como sendo de baixo risco, os administradores e proprietários das informações devem

avaliar a necessidade de efetuar manutenção corretiva ou assumir o risco.

Fonte: Ferreira (2003, p.100).

2.17 Análise de risco ou diagnóstico de risco

É a avaliação do perigo, tais como os riscos ou formas de vulnerabilidade da

ocorrência de acontecimento para uma organização. A análise de risco é feita por

meio de estimativa de probabilidade de ocorrência de determinados acontecimentos.

"análise de risco é uma das etapas utilizadas para a gestão de riscos"

(FERREIRA, 2003, p.87).

"defendem que quanto à realização da análise de riscos primeiro deve ser

feita a classificação quanto à qualidade e quantidade das informações." (ARAUJO;

FERREIRA, 2008, p.165).

"a análise quantitativa é representada por quantidade ou valores financeiros,

ou seja, a análise é feita de maneira que utiliza o valor financeiro da informação"

(ARAUJO; FERREIRA, 2008, p.166).

"O impacto é o resultado de um dano causado por uma ameaça, que explorou

uma vulnerabilidade. A metodologia de avaliação de riscos contempla nove passos

que, obrigatoriamente, devem ser seguidos" (FERREIRA, 2003, p.89).

Ferreira (2003, p.89) defende que deve haver nove passos de avaliação de

30

riscos. A figura 01 apresenta a metodologia de avaliação de riscos e seus nove

passos:

Figura 1 - Metodologia de Avaliação de Risco Fonte: FERREIRA (2003, p.89).

Em relação a avaliar o nível do risco, Moreira (2001, p.110) utiliza uma

fórmula para determinar o nível que é: GPO * GIN

GEP

Onde:

GPO = Grau de Probabilidade de Ocorrência da empresa.

GIN = Grau do Impacto Negativo do Incidente causado pela ameaça aos

negócios.

GEP = Grau da Eficiência da Proteção Implementada.

31

De acordo com Moreira (2001, p.110-11), o nível de risco será determinado

através da probabilidade de ocorrência das ameaças. Note que as ameaças existem

independentes de sua rede esta ou não protegida, quer dizer, a probabilidade de

uma contaminação por um vírus é muito maior que um incêndio. Logo são duas

probabilidades diferentes. Estaremos traduzindo estas probabilidades para cada

ameaça atribuindo os seguintes pesos:

• 10 – alto;

• 5 – médio;

• 1 - baixo.

Para classificar o grau de intensidade do impacto negativo causado aos

negócios serão utilizados os seguintes valores:

• 10 – alto;

• 5 – médio;

• 1 - baixo.

Mesmo existindo um alto grau de probabilidade de ocorrência de uma

ameaça, e mesmo causando um impacto negativo aos negócios de uma empresa

esta em risco. Para tal, precisa entender o nível de eficiência da proteção para cada

caso, pois eles irão contrabalancear e até mesmo mudar o rumo dos investimentos.

O grau de eficiência da proteção implementado será classificado quanto aos

seguintes níveis de eficiência:

• 100 – eficiente;

• 50 – deficiente;

• 1 - ineficiente.

Assim ao aplicarmos a fórmula, teremos os seguintes níveis de risco:

• 0 a 20 – baixo – aceitável;

• 21 a 40 – médio – atenção;

• Acima de 40 – alto – crítico.

Ferreira (2003, p.101) defende que:

Para diminuir a exposição aos riscos mais relevantes, deve-se adotar a

estratégica de identificação do impacto que os riscos podem oferecer às atividades

da organização, assim sua probabilidade de ocorrência, segue a seguinte análise:

32

Riscos (Objetivos) – Controles = Exposição

Compreender Compreender Administrar Exposição

os objetivos os Riscos os Riscos aceitável

A análise de risco é tão importante, que se tem uma norma específica para

cuidar da gestão de riscos, é a ABNT NBR ISO/IEC 27005.2008. A seguir, na figura

02, tem-se um exemplo de Avaliação de Risco, de acordo cm Ferreira (2003, p.102).

Figura 2 - Avaliação de Risco Fonte: FERREIRA (2003, p.102).

33

CAPÍTULO III - ESTUDO DE CASO

3.1 Empresa ENERGIA

A empresa ENERGIA, foi criado em 1909, é um órgão do Ministério da

Agricultura, Pecuária e Abastecimento – MAPA. Possui uma estrutura organizacional

composta da sede em Brasília e de dez Distritos de Meteorologia – DISME,

distribuídos de modo estratégico em algumas capitais e com cooperação

internacional. Conforme dados fornecidos pela empresa ENERGIA, hoje se tem uma

grande rede de estações meteorológicas que cobre todo o território brasileiro.

Segundo Oliveira (2009, p.88-9) em 1999 a empresa ENERGIA conquistou a

certificação ABNT NBR ISO 9001 – garantia da qualidade dos serviços de previsão

do tempo e estudos do clima.

Conforme informações fornecidas pela empresa ENERGIA, atualmente o

instituto conta com mais ou menos 1.100 estações meteorológicas, o único órgão

sem ser a empresa ENERGIA que possui estações meteorológicas é o Centro de

Previsão do Tempo e Clima – CPTEC, com mais ou menos 80 estações

meteorológicas. A empresa ENERGIA conta com alguns parceiros externos que são:

Marinha, Exército e Aeronáutica e parceiros internos que são: Organização

Meteorológica Mundial – OMM e Food and Agriculture Organization of the United

Stations – FAO – Alimentação e agricultura das Nações Unidas.

De acordo com informações fornecidas pelo Sistema de Controle Qualidade –

SCQ, a empresa ENERGIA tem como missão:

Prover informações meteorológicas confiáveis à sociedade brasileira e influir

construtivamente no processo de tomada de decisão, contribuindo para o

desenvolvimento sustentável do País. Essa missão é atingida por meio do

monitoramento, análise e previsão do tempo e clima, fundamentados em pesquisa

aplicada, no trabalho em parceria e no compartilhamento do conhecimento, com

ênfase em resultados práticos e confiáveis. A máxima do Instituto é a satisfação da

sociedade, vendo atendidas suas necessidades de informação em situações

diversas, como no caso de desastres naturais relacionados com inundações e secas

extremas que afetam as atividades rotineiras e limitam a sobrevivência.

34

Ainda seguindo Sistema de Controle de Qualidade, a empresa ENERGIA tem

como visão do futuro.

• Estabelecer-se como elo a informação e o conhecimento científico, de

forma a interagir com os setores atuantes da sociedade, por meio da parceria

regional, estadual e municipal;

• Ampliar o conhecimento nacional e internacional, por meio de uma

postura inovadora e proativa, influenciando o processo de tomada de decisão e a

minimização de riscos através do uso da informação meteorológica;

• Atuar como ponto local na América do Sul no emprego diurno do

conhecimento científico e tecnológico para o processo da meteorologia e

climatologia da região.

De acordo com dados obtidos pela empresa ENERGIA a seguir tem-se a

responsabilidade de cada setor:

1) Ministério da Agricultura Pecuária e Abastecimento – MAPA: é o órgão

responsável por diferentes setores do agronegócio.

2) Diretor do Órgão: autoridade máxima da instituição, planeja, coordena,

supervisiona, aprova e autoriza a execução de atividade da empresa ENERGIA.

3) Assistente Técnico: atribuições específicas de assessoramento.

4) Assistente: atribuições específicas de assessoramento.

5) Coordenação Geral de Sistemas de Comunicação – CSC: Planeja,

coordena e supervisiona as atividades relacionadas à transmissão de dados,

informações meteorológicas e produtos numéricos, em níveis nacional e

internacional, em atendimento aos compromissos do Brasil com a Organização

Meteorológica Mundial – OMM. Responsável pelas atividades relacionadas à

infraestrutura física e lógica da rede de comunicação estimula a modernização e o

aparelho dos recursos computacionais, coordena atividades relacionadas à

segurança física e lógica de dados e elabora normas e procedimentos técnicos e

operacionais referente à rede de comunicação.

6) Serviço de Telecomunicações – SERTEL: responsável pelos serviços

de telecomunicações, tais como coordenar, elaborar, executar e acompanhar

atividades relacionadas à transmissão de dados, modernizar os aparelhos das redes

de comunicação e elétrica, e projetos de aquisição e manutenção de equipamentos.

35

7) Seção de Comutação de Mensagens – SECOM: Opera e mantém o

centro regional de telecomunicações meteorológicas da OMM, controla e coleta a

disseminação de informações meteorológicas, coordena e gerencia o envio de

dados meteorológicos das unidades vinculadas.

8) Setor de Apoio e Manutenção – SEAM: controla a operação da rede de

telecomunicações, atualiza e mantêm os recursos computacionais, implementa,

mantêm e moderniza as atividades de segurança física e lógica de dados.

9) Serviço de Gerência de Rede – SEGER: responsável por supervisionar

e contribuir para o planejamento a modernização e atualização das redes de

observação, planeja, controla e executa o Plano Anual de Manutenção Preventiva-

PAMP, implanta e acompanha sistemas de controle operacional da rede e dos

equipamentos.

10) Seção de Laboratório de Instrumentos – LAME: mantém os padrões

de instrumentos meteorológicos como precisão e controle, e realiza a reposição e

manutenção de peças.

11) Seção de Supervisão e Controle – SESUC: executa o PAMP e

inspeção técnica da rede de estações meteorológicas, programa e orienta a

aquisição e a distribuição do material técnico de consumo, necessário a operação

das redes meteorológicas.

12) Coordenação Geral de Agrometeorologia – CGA: supervisiona, orienta

e coordena a execução das atividades de previsão do tempo, estabelece normas e

procedimentos para orientar a coleta de dados meteorológicos e a previsão do

tempo, e coordena o estabelecimento e a realização de compromissos internos.

13) Coordenação Geral de Desenvolvimento e Pesquisa – CDP: coordena

o desenvolvimento de produtos e a realização de pesquisas entre a meteorologia e

as atividades humanas, assessora o diretor das decisões pertinentes ao

desenvolvimento de pesquisa, realiza estudos e interage com organizações,

universidades e instituições de pesquisa nacional e internacional.

14) Coordenação Geral de Modelagem Numérica – CMN: planeja,

coordena e orienta a execução das atividades relativas a processamento,

armazenamento e disseminação de dados e produtos numéricos, a nível nacional e

internacional. Promove e incentiva o desenvolvimento e atualização de sistemas de

processamento e armazenamento para suporte de modelagem numérica do tempo e

clima. Coordena as atividades de gerenciamento do processamento computacional

36

que integra o sistema de informações hidro meteorológicas (SIM) e a modelagem

numérica do tempo e clima, acompanha e controla operação dos sistemas de

modelagem numérica.

15) Coordenação Geral de Apoio Operacional – CAO: coordena a

elaboração e o acompanhamento do plano plurianual e a programação anual de

investimento e orçamentária, de acordo com as diretrizes estabelecidas, gerencia as

atividades de administração geral, planeja e coordena o levantamento das

necessidades de recursos humanos e supervisionam as atividades de recursos

humanos, orçamento, patrimônio, financeiro, compras e serviços gerais e qualidade.

Figura 3 – Organograma da empresa ENERGIA

O trabalho foi desenvolvido sobre a empresa ENERGIA especialmente no

setor de Coordenação de Sistema de Comunicação - CSC conforme na figura 4, a

37

seguir.

Figura 4 – Organograma da CSC

A rede da empresa ENERGIA hoje disponibiliza acesso à Internet também

para os DIME’s e parceiros internos. O instituto utiliza uma internet de 25

megabytes.

3.2 Controle de Acesso Físico

O controle de acesso físico começa na entrada principal, possui cancela para

entrada e dois vigilantes que permanecem 24x7 para identificação e controle de

entrada e saída, conforme a figura 05, a seguir da entrada principal:

38

Figura 5 - Entrada Principal

A recepção possui um vigilante, uma recepcionista e um computador para

fazer o controle de entrada e saída efetuando o cadastro, nesse cadastro é

preenchido nome, RG, e telefone, é tirado uma foto para armazenar no cadastro,

então é disponibilizado um crachá de visitante, a figura 06 a seguir mostra a

recepção:

Figura 6 - Recepção

39

Nos corredores existem câmeras direcionadas de maneira que mostra quem

entra e quem sai, conforme na figura 07, a seguir.

Figura 7 - Câmeras de Segurança

Atualmente a empresa ENERGIA utiliza duas salas cofres com a finalidade de

garantir a segurança dos dados, a sala cofre 1, possui controle de entrada por meio

de chave eletrônica e porta corta-fogo, conforme figura 08.

40

Figura 8 - Sala Cofre 1

As salas confre são utilizada para armazenamento de servidores, conforme

figura 09.

Figura 9 - Servidores

41

É também utilizada para armazenar racks e switches, o padrão cabeamento

utilizado é o de categoria 6, os switches possuem fonte redundante, na figura 10 a

seguir mostra racks e switches.

Figura 10 - Racks e Switch.

A sala cofre 2 também controla o acesso por meio da chave eletrônica, e

possui porta corta-fogo, conforme segue a figura 11.

42

Figura 11 - Sala Cofre 2

A sala cofre 2 é de uso exclusivo de armazenamento de computadores de

altíssima potência, utilizados para rodar modelos matemáticos, conforme a figura 12:

Figura 12 - Nobreaks.

43

Possui também 2 quadros de energia em cada sala cofre. A seguir têm-se as

figuras 13 e 14 dos quadros de energia.

3.3 Controle de Acesso Lógico

De acordo com informações fornecidas pela empresa ENERGIA, o instituto

utiliza firewall da Juniper, uma DMZ interna, antivírus da McAfree e AntiSpam da

Aaker. Possui servidores com os sistemas operacionais Windows e Linux, servidores

que possuem o sistema operacional Linux, tem IP Tables ativo e trabalha com SE

Linux ativo em modo forçado e para o backup é utilizado o Bácula. A rede é

segmentada em cada uma das coordenações internas para facilitar na administração

e principalmente na segurança.

De acordo com o gerente de rede do INMET, o método adotado das

ferramentas de fabricantes diferentes é para garantir segurança. Todos os usuários

possuem login com usuário e senha para acessar ao seu computador.

A empresa ENERGIA possui sistemas para fins de controle de rede, tais

como CACTI, NTOP e WEATHERMAP. Todos os servidores e sistemas para fins de

controle de rede possuem controle de acesso lógico que são usuário e senha.

Figura 13 - Quadro de Energia

Figura 14 - Quadro de Energia 2

44

3.4 Levantamento dos ativos

Os setores SERTEL, SECOM, SEAM, SEGE, LAIME e SESUC que são

ligados à coordenação geral de sistemas de comunicação, apenas apoiam em seu

funcionamento, mas não estão ligados a manutenção, segurança e continuidade dos

serviços. Dessa forma, a CSC concentra e matém todos os recursos tecnológicos.

A empresa conta com o uso de aplicativos e softwares que recebem

informações de satélites, utiliza web mail interno, Possui uma pagina na rede, são

utilizados firewalls em redundância, switchs, servidores de auto track

antivírus,virtualização, banco de dados, backup, e-mail, AntiSpam, entrada e saída,

de câmeras, central telefônica, storage, sistema de refrigeração interna, salas cofre,

supercomputadores, nobreaks.

3.4.1 Levantamento dos ativos lógicos

Quadro 3 – Levantamento dos ativos lógicos

Tipo Nome Descrição

Aplicativos Autotrac Recebe imagens do satélite

Página de Intranet Hospedam os serviços internos de

contratos telefônicos, protocolo,

modelos de documentos e

formulários.

Web mail interno Armazena caixa de e-mail dos

usuários

Moving Weather Trabalha com as imagens do

satélite

Site empresa ENERGIA Página web do INMET

45

A empresa conta com o uso de aplicativos e softwares que recebem

informações de satélites, utiliza web mail interno, Possui uma pagina na rede, são

utilizados firewalls em redundância, switchs, servidores de auto track

antivírus,virtualização, banco de dados, backup, e-mail, AntiSpam, entrada e saída,

de câmeras, central telefônica, storage, sistema de refrigeração interna, salas cofre,

supercomputadores, nobreaks.

3.4.2 Levantamento dos Ativos Físicos

Quadro 4 – Levantamento dos ativos físicos

Tipo Nome Quantidade Descrição

Sala cofre 01 Firewalls 02 Firewall Juniper em redundância

Switchs 19 Extreme 450P

Servidor Auto-Track 01 Instalando Windows Server

2003

Servidor de Antivírus 01 McAfree e PO viruscam

Central telefônica 01 VOIP

Servidor de virtualização 03 DELL R710 com VMWare

ESXi 5.0

Storage 02 HP e NETUP

Servidor de Banco de Dados 02 Post-gree e mysql

Servidor Backup 01 Software Bácula servidor

de backup para o Windows.

Servidor de e-mail 01 Instalado no Windows SP3

Servidor de AntiSpam 01 AKER ASGM

Sistema de Refrigeração das salas

cofres

06 Aceco TI

Sala cofre 02 Supercomputadores de Modelagem numérica

03 Computadores de altíssima potência

Super servidor de banco de dados 01 Servidor utiliza o SGBD

da Oracle

No-break No-breal 80kva 04 Eston/PowerWare Modelo: 9390

Protocolo Serviço de entrada e saída de documentos

01 Localizado na Intranet

Central de Segurança

Servidor de Câmeras 01 Instalado em Linux

46

3.5 Matriz de Risco

Conforme exemplo no referencial teórico, na página 28, quadro 01 cada

matriz de risco seguirá o padrão do quadro 06, a seguir.

Quadro 5 – Matriz de Risco

PROBABILIDADE IMPACTO

Baixo (10) Médio (50) Alto (100)

Alto (1,0) Baixo 10 X 0,1 = 10 Médio 50 X 1,0 = 50 Alto 100 X 1,0 = 100

Médio (0,5) Baixo 10 X 0,5 = 5 Médio 50 X 0,5 = 25 Alto 100 X 0,5 = 50

Baixo (0,1) Baixo 10 X 0,1 = 1 Médio 50 X 0,1 = 5 Alto 100 X 0,1 = 10

Fonte: FERREIRA (2003, p.100).

Onde a cada pontuação significa:

Alto Risco – pontuação de 50 e 100

Médio Risco – pontuação 10 e 50

Baixo Risco – pontuação de 1 a 10

3.5.1 Acesso Físico e a disponibilidade dos serviços das salas

Quadro 6 – Acesso Físico e a disponibilidade dos serviços das salas

Item Descrição Probabilidade Impacto Risco

1 Há barreiras para evitar acesso não autorizado como catracas, sensores nas portas?

0,1 10 1 (baixo)

2 É registrado os dados das pessoas que obtiverem acesso à sala?

1,0 50 50 (médio)

3 Os visitantes são acompanhados durante o acesso as salas ?

1,0 100 100 (alto)

4 O circuito interno de câmeras cobre com eficiências as dependências do Órgão?

0,1 100 10 (baixo)

47

3.5.2 Responsabilidade do usuário

Quadro 7 – Responsabilidade do usuário


1 Os usuários são orientados quanto ao trabalho ao tratamento de informações relativas ao órgão?

0,5 100 50 (médio)

2 Os usuários armazenam os documentos e arquivos de trabalho em compartilhamentos na rede?

1,0 100 100 (alto)

3 Por definição, os usuários só podem utilizar senhas seguras para acesso às estações?

0,5 100 50 (médio)

4 Os usuários utilizam os recursos tecnológicos do órgão para trabalho?

0,5 50 25 (médio)

3.5.3 Controle de acesso Lógico a Rede

Quadro 8 – Controle de acesso Lógico a Rede


1 É feito autenticação do usuário por login e senha para acesso a estação de trabalho e rede?

0,5 100 50 (médio)

2 É feito controle do acesso à internet com registro os acessos dos acessos dos usuários e bloqueio de vírus da web?

1,0 100 100 (Alto)

3 É feito controle ao recebimento e envio de e-mails e bloqueio de spans e vírus?

1,0 100 100 (Alto)

4 É realizado acesso externo por meio da rede?

1,0 100 100 (alto)

3.5.4 Proteção Lógica Contra Ameaças

Quadro 9 – Proteção Lógica Contra Ameaças


1 Com qual frequência é verificado o funcionamento de Antivírus, configurações e atualizações do produto?

0,5 100 50 (médio)

2 Frequência com que é verificado os computadores em busca de vírus.

0,5 100 50 (médio)

48

3.5.5 Backup de Dados

Quadro 10 – Backup de Dados

Item Ameaça Probabilidade Impacto Risco

1 É feito o backup de forma periódica dos dados críticos da instituição?

1 100 100 (Alto)

2 Estes backups são armazenados em local separados dos dados originais?

1 100 100 (Alto)

3 Existe homologação dos backups feitos? 1 100 100 (Alto)

Foi Verificado que é realizado backup do que é armazenado em redes dos sistemas críticos para a empresa Energia

3.6 - Análise de Risco

Após definição das matrizes de risco e da quantificação do risco, foi feita

análise dos itens de acordo com sua pontuação.

3.6.1 Acesso físico e disponibilidade dos serviços das salas:

Item 1 - Há barreiras para evitar acesso não autorizado como catracas,

sensores nas portas?

Foi verificado que a empresa ENERGIA não possui sistema de controle de

acesso as suas dependências internas como catracas e sensores nas portas.

Apenas é feito registro daqueles que chegam até a recepção, enquanto os

funcionários entram sem precisar identificar-se. Nesse caso, seria possível o acesso

às dependências da empresa ENERGIA passando-se por um funcionário.

49

Norma ABNT aplicável ao problema:

9.1.1 Perímetro de segurança física

f) sistemas adequados de detecção de intrusos, de acordo com normas

regionais, nacionais e internacionais, sejam instalados e testados em

intervalos regulares, e cubram todas as portas externas e janelas acessíveis;

as áreas não ocupadas devem ser protegidas por alarmes o tempo todo;

também deve ser dada proteção a outras áreas, por exemplo, salas de

computadores ou salas de comunicações;

Item 2 - É registrado os dados das pessoas que obtiverem acesso à sala?

Foi verificado que não é realizado registro de pessoas que acessam a sala

cofre. É realizado apenas um registro de acesso à empresa ENERGIA na recepção.

Em um caso de incidente seria mais difícil determinar os responsáveis por uma ação

danosa.



b)Controle :Convém que sejam utilizados perímetros de segurança (barreiras

tais como paredes, portões de entrada controlados por cartão ou balcões de

recepção com recepcionistas) para proteger as áreas que contenham

informações e instalações de processamento da informação.

c) Seja implantada uma área de recepção, ou outro meio para controlar o

acesso físico ao local ou ao edifício; o acesso aos locais ou edifícios deve

ficar restrito somente ao pessoal autorizado;

Item 3 - Os visitantes são acompanhados durante o acesso as salas ?

Foi verificado que ao chegar um visitante na recepção, o segurança confirma

se o visitante está autorizado a entrar, faz anotações dos dados do visitante e

50

permite acesso do mesmo. A partir desse ponto, o visitante poderá ir sozinho até o

seu destino, ou se preferir, acessar outros pontos onde não estava autorizado.



c) Seja implantada uma área de recepção, ou outro meio para controlar o

acesso físico ao local ou ao edifício; o acesso aos locais ou edifícios deve

ficar restrito somente ao pessoal autorizado;

Item 4 - O circuito interno de câmeras cobre com eficiências as dependências

do Órgão?

Foi verificado que o instituto possui um amplo sistema de câmeras

espalhadas por pontos estratégicos e possui uma sala onde uma equipe de

segurança faz monitoração do circuito interno de câmeras.



f) sistemas adequados de detecção de intrusos, de acordo com normas

regionais, nacionais e internacionais, sejam instalados e testados em

intervalos regulares, e cubram todas as portas externas e janelas acessíveis;

as áreas não ocupadas devem ser protegidas por alarmes o tempo todo;

também deve ser dada proteção a outras áreas, por exemplo, salas de

computadores ou salas de comunicações;

.

51


Item 1 - Os usuários são orientados quanto ao tratamento de informações

relativas ao órgão?

Foi verificado que os usuários não são orientados quanto ao tratamento dos

dados gerados no órgão. Isso significa que não há tratamento quanto ao sigilo e

segurança por exemplo.


11.2 Gerenciamento de acesso do usuário

Objetivo: Assegurar acesso de usuário autorizado e prevenir acesso não

autorizado a sistemas de informação.

Convém que procedimentos formais sejam implementados para controlar a

distribuição de direitos de acesso a sistemas de informação e serviços.

Convém que os procedimentos cubram todas as fases do ciclo de vida de

acesso do usuário, da inscrição inicial como novos usuários até o

cancelamento final do registro de usuários que já não requerem acesso a

sistemas de informação e serviços. Convém que atenção especial seja dada,

onde apropriado, para a necessidade de controlar a distribuição de direitos de

acesso privilegiado que permitem os usuários mudar controles de sistemas.

Item 2 - Os usuários armazenam os documentos e arquivos de trabalho em

compartilhamentos na rede?

52

Foi verificado que os usuários utilizam pouco os recursos de rede para

armazenamento de informações, o que significa que os usuários armazenam suas

informações na própria estação de trabalho. Nesse caso, o risco de perder arquivos

e documentos é muito alto, uma vez que os arquivos não são armazenados em rede,

eles não entrarão na rotina de backup.


11.2.1 Registro de usuário

Controle

Convém que exista um procedimento formal de registro e cancelamento de

usuário para garantir e revogar acessos em todos os sistemas de informação

e serviços.

a) verificar se o usuário tem autorização do proprietário do sistema para o

uso do sistema de informação ou serviço; aprovação separada para direitos

de acesso do gestor também pode ser apropriada;

Item 3 - Por definição, os usuários só podem utilizar senhas seguras para

acesso às estações?

Foi verificado que não existe política quanto à criação de uso de senhas nas

estações de trabalho. Devido a isso, muitos usuários anotam suas senhas em locais

fáceis e usam senha simples como “123”, por exemplo.


11.2.3 Gerenciamento de senha do usuário

Controle

53

Convém que a concessão de senhas seja controlada através de um processo

de gerenciamento formal.

Solicitar aos usuários a assinatura de uma declaração, para manter a

confidencialidade de sua senha pessoal e das senhas de grupos de trabalho,

exclusivamente com os membros do grupo; esta declaração assinada pode

ser incluída nos termos e condições da contratação;

Item 4 - Os usuários utilizam os recursos tecnológicos do órgão para

trabalho?

Foi verificado que muito usuários utilizam programas que permitem acesso a

material proibido na web. Dessa forma, para acessar material web que não condiz

com o serviço de alguns funcionários, é aberta uma brecha para internet e o risco de

contaminação da rede passa a ser muito grande.



Controle



e serviços.

b) verificar se o usuário tem autorização do proprietário do sistema para o

uso do sistema de informação ou serviço; aprovação separada para direitos

de acesso do gestor também pode ser apropriada;

54

3.6.3 Controle de acesso lógico a rede

Item 1 - É feito autenticação do usuário por login e senha para acesso a

estação de trabalho e rede?

Foi verificado que é feito autenticação do usuário por login e senha para

acesso a estação de trabalho a rede.


11.2 Gerenciamento de acesso do usuário

Objetivo: Assegurar acesso de usuário autorizado e prevenir acesso não

autorizado a sistemas de informação.

Convém que procedimentos formais sejam implementados para controlar a

distribuição de direitos de acesso a sistemas de informação e serviços.

Convém que os procedimentos cubram todas as fases do ciclo de vida de

acesso do usuário, da inscrição inicial como novos usuários até o

cancelamento final do registro de usuários que já não requerem acesso a

sistemas de informação e serviços. Convém que atenção especial seja dada,

onde apropriado, para a necessidade de controlar a distribuição de direitos de

acesso privilegiado que permitem os usuários mudar controles de sistemas.

Item 2 - É feito controle do acesso à internet com registro os acessos dos

acessos dos usuários e bloqueio de vírus da web?

Foi verificado que a solução atual de filtro web não é eficaz quanto ao

bloqueio de material web proibido, o mesmo não consegue tratar as páginas HTTPS.

55



Controle



e serviços.

verificar se o usuário tem autorização do proprietário do sistema para o uso

do sistema de informação ou serviço; aprovação separada para direitos de

acesso do gestor também pode ser apropriada;

Item 3 - É feito controle ao recebimento e envio de e-mails e bloqueio de

spans e vírus?

Foi verificado que a empresa ENERGIA possui uma ferramenta de controle de

recebimento de e-mails e que permite bloqueio de SPAMS, envio de e-mails

suspeitos para a quarentena e bloqueio de vírus.


10.4.1 Controles contra códigos maliciosos

Controle

Convém que sejam implantados controles de detecção, prevenção e

recuperação para proteger contra códigos maliciosos, assim como

procedimentos para a devida conscientização dos usuários.

Diretrizes para implementação

Convém que a proteção contra códigos maliciosos seja baseada em

softwares de detecção de códigos maliciosos e reparo, na conscientização da

segurança da informação, no controle de acesso adequado e nos controles de

56

gerenciamento de mudanças. Convém que as seguintes diretrizes sejam

consideradas:

c) instalar e atualizar regularmente softwares de detecção e remoção de

códigos maliciosos para o exame de computadores e mídias magnéticas,

de forma preventiva ou de forma rotineira; convém que as verificações

realizadas incluam:

Item 4 - É realizado acesso externo via VPN ou outros meios à rede?

Foi verificado que não é frequente o uso de VPN e também só está disponível

para o Coordenador Geral da CSC.


11.4.1 Política de uso dos serviços de rede

Controle

Convém que usuários somente recebam acesso para os serviços que tenham

sido especificamente autorizados a usar.


Convém que uma política seja formulada relativamente ao uso de redes e

serviços de rede. Convém que esta política cubra:

d) procedimentos e controles de gerenciamento para proteger acesso a

conexões e serviços de redes;

57

3.6.4 Proteção lógica contra ameaças

Item 1 - Com qual frequência é verificado o funcionamento de

Antivírus, configurações e atualizações do produto?

Verificamos que a utilização do sistema de antivírus está no momento mais

reativo quanta resolução de problemas, do que preventivo, que são medidas que

buscam eliminar ou diminuir o impacto de possíveis ameaças.



Controle









consideradas:

d) instalar e atualizar regularmente softwares de detecção e

remoção de códigos maliciosos para o exame de computadores e mídias

magnéticas, de forma preventiva ou de forma rotineira; convém que as

verificações realizadas incluam:

1) verificação, antes do uso, da existência de códigos maliciosos nos

arquivos em mídias óticas ou eletrônicas, bem como nos arquivos

58

transmitidos através de redes;

Item 2 - Frequência com que é verificado os computadores em busca

de vírus.

Verificamos que o sistema de antivírus está configurado para que seja

atualizado automaticamente.




Controle









consideradas:

e) instalar e atualizar regularmente softwares de detecção e

remoção de códigos maliciosos para o exame de computadores e mídias

magnéticas, de forma preventiva ou de forma rotineira; convém que as

verificações realizadas incluam:

59

3.6.5 Backup de dados

Item 1 - É feito o backup de forma periódica dos dados críticos da

instituição?

FOI VERIFICADO QUE É REALIZADO BACKUP DE QUE É ARMAZENADO

EM REDE DOS SISTEMAS críticos para a empresa ENERGIA.


10.1.1 Documentação dos procedimentos de operação

Controle

Convém que os procedimentos de operação sejam documentados,

mantidos atualizados e disponíveis a todos os usuários que deles necessitem.


Convém que procedimentos documentados sejam preparados para as

atividades de sistemas associadas a recursos de processamento e

comunicação de informações, tais como procedimentos de inicialização e

desligamento de computadores, geração de cópias de segurança

(backup), manutenção de equipamentos, tratamento de mídias, segurança e

gestão do tratamento das correspondências e das salas de computadores.

Item 2 - Estes backups são armazenados em local separados dos

dados originais?

Foi verificado que os backups são realizados diariamente.

Não há armazenamento de backups pois não são efetuados backups das

informações crítica.

60


9.2.1 Instalação e proteção do equipamento

Controle

Convém que os equipamentos sejam colocados no local ou protegidos

para reduzir os riscos de ameaças e perigos do meio ambiente, bem como as

oportunidades de acesso não autorizado.


Convém que sejam levadas em consideração as seguintes diretrizes

para proteger os equipamentos:

Item 3 - Existe homologação dos backups feitos?

Foi verificado que os backups são realizado em fita de LTO através do

software Bácula e armazenado no próprio órgão.


9.2.1 Instalação e proteção do equipamento

c) os itens que exigem proteção especial devem ser isolados para

reduzir o nível geral de proteção

necessário;

61

CAPÍTULO IV - PROPOSTA DE POLITICA DE SEGURANÇA DA INFORMAÇÃO

4.1 Objetivo

A Adoção da politica de segurança da Informação para a empresa Energia

tem por objetivo Conscientizar a empresa e os funcionários sobre a necessidade de

proteger as informações sejam elas sigilosas ou as manuseadas no dia a dia,

levando sempre em consideração os princípios básicos de segurança,

Confidencialidade, Integridade e disponibilidade. Sempre pensando no crescimento

da empresa.

4.2 Aplicação

Essa Politica de Segurança da informação deve ser seguida e utilizada por todos

os funcionários, e em todos os ambientes da empresa ENERGIA.

4.3 Diretrizes da Política de Segurança

4.3.1 Acesso físico e disponibilidade dos serviços das salas:

a) Toda informação manuseada deve ter seu acesso controlado de acordo com

a sua classificação, visando garantir, assim, o direito individual e coletivo

das informações, a inviolabilidade de sua intimidade e seu sigilo, nos

termos previstos em Lei.

62


a) Os usuários devem ser instruídos para a correta utilização das informações

e

dos recursos computacionais disponibilizados pelo órgão;

b) O usuário é responsável pelo uso adequado das informações a que tenha

acesso.

c) O usuário deve adotar um comportamento seguro e consistente com o

objetivo de proteção das informações a que tem acesso.

4.3.3 Controle de acesso lógico a rede

a) Todo sistema de informação da empresa, bem como seus ativos são de

sua propriedade, devendo ser utilizados exclusivamente para os interesses desta.

b) Todos os prestadores de serviço devem ter ciência de que suas ações no

uso de suas atribuições podem ser monitoradas, e que os registros assim obtidos

poderão ser utilizados para detecção de violações da Política e das Normas de

Segurança da Informação e, conforme o caso, servir como evidência em processos

administrativos e/ou legais.

4.3.4 Proteção lógica contra ameaças

a) As informações geradas, adquiridas, armazenadas, processadas,

transmitidas e descartadas pelas unidades administrativas devem ter mecanismos

de proteção adequados, de forma a proteger sua confidencialidade, integridade,

disponibilidade, autenticidade e legalidade.

63

b) A área de Gestão de Segurança da Informação deve realizar, de forma

sistemática, a avaliação dos riscos relacionados à segurança de suas informações;

4.3.5 Backup de dados

a)Todos os computadores devem possuir um sistema de back-up automático

de todos os arquivos no nosso servidor.

b) Além do backup normal no servidor pelo bácula, é necessário uma copia

desses arquivos em outro local.

64

CAPÍTULO V – CONCLUSÃO

O trabalho foi elaborado com o intuito de mostrar as falhas encontradas e

elaborar uma proposta de Política de Segurança da Informação com base nas

orientações da ABNT NBR ISO/IEC 27002 (2005) para a empresa ENERGIA.

Atualmente a Instituição não possui uma Política de Segurança da Informação.

O trabalho desenvolvido mostra o quão é importante o levantamento dos

ativos e a análise de risco e para apresentar a empresa ENERGIA, os ônus por não

possuir o documento formal de uma Política de Segurança da Informação. Como por

exemplo a não punição aos usuários que cometem falhas que vão contra as regras

do instituto. Esse foi o maior problema encontrado. Ainda assim, a empresa

ENERGIA sem um documento formal de uma Política de Segurança da Informação,

mostrou-se cuidadosa com os dados, pois foram encontradas poucas falhas de

segurança física e lógica.

Para a melhoria das falhas encontradas conclui-se que a melhor opção a ser

adotada, a empresa é a elaboração do documento formal de uma Política de

Segurança da Informação, para que possa ser efetiva, é necessário que seja

permanentemente revista e baseada em processos (técnicos e organizacionais).

São estas políticas que vão delinear o papel da segurança da informação

dentro da organização, identificando os ativos principais, definindo políticas de

confidencialidade e acessibilidade, e também como esses ativos lsão protegidos.

Apresentando ainda procedimentos e métodos de organização da informação, com o

intuito de cumprir as exigências regulatórias.

Ressalta-se que os conhecimentos adquiridos ao longo do curso foram

essenciais para o estudo e elaboração do trabalho.

65

REFERÊNCIAS

ABNT NBR ISO/IEC27002:2005. Disponível em: <http://www.concursopedia.com/ABNT_NBR_ISO/IEC_27002-2005#An.C3.A1lise_cr.C3.ADtica_t.C3.A9cnica_das_aplica.C3.A7.C3.B5es_ap.C3.B3s_mudan.C3.A7as_no_sistema_operacional> Acesso em: 1 mai. 2013. Silva, Eliane Jorcelina da. Segurança de Dados: Notas de Aula. Faculdades Integradas Promove de Brasília, 2007 ARAUJO, M. T.; FERREIRA, F. N. F. Politica de Segurança da Informação Guia Pratico para elaboração e implementação. Rio de Janeiro: Ciência Moderna, 2008. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS ABNT NBR ISO/IEC27002. Brasil: ABNT - Associação Brasileira de Normas Técnicas, 2005. ENGST, A.; FLEISHMAN, G. Kit do iniciante em redes sem Fio: Guia pratico sobre redessem Wi-Fi para Windows. São Paulo: Pearson Makron Books, 2005. FERREIRA, F. N. F. Politica de Segurança da Informação. Rio de Janeiro: Ciência Moderna, 2003. Gonçalves, Juliano Lucas. Segurança da Informação. Disponivel em: <http://docente.lages.ifsc.edu.br/juliano.goncalves/MaterialDidatico/Seguran%C3%A7a%20da%20Informa%C3%A7%C3%A3o/Aula%2001%20-%20Conceitos%20b%C3%A1sicos.pdf> Acesso em: 4 mai. 2013 HORTON, M.; MUGGE, C. Hack notes: segurança de redes. Rio de Janeiro: Elsevie, 2003. MOREIRA, N. Segurança Minima. Rio de Janeiro: Axcel Books, 2001. 200p. O que vem ser Segurança da Informação. Milton Ferreira - Certificate IT Infrastructure Library® - ITIL Analista de Segurança da Informação e Sistemas Disponível em: <http://www.apinfo.com/artigo81.htm> Acesso em: 14 mai. 2013 SAWAYA, M. R. Dicionário de Informática e Internet: Inglês e Português. São Paulo: Nobel, 1999. Segurança da informação. Disponível em: <http://www.proflucianofigueiredo.kit.net/CEF/aula7_7.pdf> Acesso em: 14 mai. 2013

http://www.concursopedia.com/ABNT_NBR_ISO/IEC_27002-2005#An.C3.A1lise_cr.C3.ADtica_t.C3.A9cnica_das_aplica.C3.A7.C3.B5es_ap.C3.B3s_mudan.C3.A7as_no_sistema_operacional



http://docente.lages.ifsc.edu.br/juliano.goncalves/MaterialDidatico/Seguran%C3%A7a%20da%20Informa%C3%A7%C3%A3o/Aula%2001%20-%20Conceitos%20b%C3%A1sicos.pdf



66

SÊMOLA, M. Gestão de Segurança da informação: Uma visão Executiva. Rio de Janeiro: Elsevier, 2003. Sêmola, M. Disponível em: <http://www.semola.com.br/Conceitos.html> Acesso em: 10 mai. 2013

polÍtica de seguranÇa da informaÇÃo para...

Documents