polÍtica de seguranÇa da informaÇÃo para...
TRANSCRIPT
ASSOCIAÇÃO EDUACATIVA DO BRASIL SOEBRAS FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA EMPRESA ENERGIA
Douglas Santana Martins Lorena Carmona Santos
BRASÍLIA
2013
Douglas Santana Martins Lorena Carmona Santos
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA EMPRESA ENERGIA
Trabalho de Conclusão de Curso apresentado às Faculdades integradas Promove de Brasília, como requisito parcial para obtenção do titulo de Tecnólogo em Segurança da Informação.
Orientador: Prof. MsC. Cid Bendahan Coelho Cintra
BRASÍLIA
2013
ASSOCIAÇÃO EDUACATIVA DO BRASIL SOEBRAS FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA
TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO
Lorena Carmona Santos Douglas Santana Martins
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA EMPRESA ENERGIA
__________________________________ Prof. MsC. Cid Bendahan Coelho Cintra
__________________________________
Prof. Alexandre Fermino
__________________________________ Profª. Dr. Maria José de Oliveira
BRASÍLIA – DF 2013
RESUMO
Este trabalho tem a finalidade de criar uma politica de segurança da informação para área de tecnologia da empresa ENERGIA, levando em consideração a importância de prover a proteção e segurança da estrutura de dados, mantendo a disponibilidade de seus serviços. O objetivo do trabalho é na elaboração da politica de segurança destacar os fatores que influenciam a empresa, como o levantamento de vulnerabilidades, os riscos e a divulgação de forma vasta e consistente para todos os colaboradores. Implantação da documentação de processos organizacionais, mantendo a integridade, disponibilidade, confiabilidade, elaborada de uma forma ampla, havendo a correção dos itens apontados neste trabalho podendo acobertar e solucionar os problemas atuais. Os dados foram coletados junto a empresa, através de visitas semanais. Depois de aplicada a politica de segurança da informação trará segurança e respaldo em relação ao acesso lógico e físico da empresa tanto para funcionários quanto para visitantes. Palavras-chave: Segurança da informação. Integridade. Confiabilidade. Disponibilidade.
ABSTRACT
The Policy Information Security today is essential for the security of any organization. Must be prepared and carefully studied and evaluated, aiming all the details involved, plan and define the most important, its implementation should be approached cautiously, by requiring the efforts of all company employees. This work aims to create a security policy for information technology officer ENERGY Company, taking into account the importance of providing protection and safety of the data structure, maintaining the availability of their services. In the preparation of safety policy some points should be considered, such as vulnerability assessment and risk disclosure and so vast and consistent for all employees. Deployment of organizational process documentation while maintaining the integrity, availability, reliability, elaborated in a comprehensive way, and that does not undergo many changes, with the correction of the items listed in this work may cover up and solve the current problems. After applying the information security policy will bring safety and support for the information, because you will be safeguarded and protected in accordance with standard ISO / IEC 27002:2005 ABNT. Keywords: Security. Integrity. Reliability. Availability.
LISTA DE QUADROS Quadro 1 - Matriz de Nível de Risco ......................................................................... 28
Quadro 2 - Definição e Nível dos Riscos ................................................................... 28
Quadro 3 - Levantamento dos ativos Lógicos ........................................................... 44
Quadro 4 - Levantamento dos ativos Físicos ............................................................ 45
Quadro 5 - Matriz de Nível de Risco ......................................................................... 46
Quadro 6 - Acesso Físico e a Disponibilidade dos Serviços das Salas ..................... 46
Quadro 7 - Responsabilidade do Usuário ................................................................ 47
Quadro 8 - Controle de Acesso Lógico a Rede ........................................................ 47
Quadro 9 - Proteção Lógica Contra Ameaças ........................................................... 47
Quadro 10 - Backup de Dados .................................................................................. 48
LISTA DE FIGURAS Figura 1 - Metodologia de avaliação de Risco........................................................... 30
Figura 2 - Avaliação de Riscos ................................................................................. 32
Figura 3 - Organograma da empresa Energia ........................................................... 36
Figura 4 - Organograma da CSC ............................................................................. 37
Figura 5 - Entrada Principal ....................................................................................... 38
Figura 6 - Recepção .................................................................................................. 38
Figura 7 - Cameras de Segurança ............................................................................ 39
Figura 8 - Sala Cofre 1 .............................................................................................. 40
Figura 9 - Servidores ................................................................................................. 40
Figura 10 - Racks e Switchs ..................................................................................... 41
Figura 11 - Sala Cofre 2 ............................................................................................ 42
Figura 12 - Nobreaks ................................................................................................. 42
Figura 13 - Quadro de Energia 1 ............................................................................... 43
Figura 14 - Quadro de Energia 2 ............................................................................... 43
LISTA DE ABREVIATURAS GPO - Grau de Probabilidade de Ocorrência da empresa.
GIN - Grau do Impacto Negativo do Incidente causado pela ameaça aos negócios.
GEP - Grau da Eficiência da Proteção Implementada.
CSC - Coordenação Geral de Sistema de Comunicação
SERTEL - Serviço de Telecomunicação
SECOM - Seção de comutação de mensagens
SEAM - Setor de Apoio e Manutenção
SEGER - Serviço de Gerencia de Rede
LAIME - Seção de laboratórios de Instrumentos
SESUC - Seção de supervisão e Controle.
DDoS - Distributed Denial of Service DoS - Denial of Service TCP – Transmission Control Protocol
SUMÁRIO Capítulo I - APRESENTAÇÃO .................................................................................. 10
1.1 Introdução ....................................................................................................... 10
1.2 Justificativa..... ................................................................................................. 11
1.3 Objetivos ......................................................................................................... 12
1.3.1 Objetivo Geral ............................................................................................ 12
1.3.2 Objetivos Especificos ................................................................................. 12
1.4 Procedimentos Metodologicos ........................................................................ 12
Capítulo II - REFERENCIAL TÉORICO .................................................................... 14
2.1 Informação ....................................................................................................... 14
2.2 Segurança da Informação ................................................................................ 14
2.2.1 Integridade ................................................................................................. 15
2.2.2 Disponibilidade .......................................................................................... 15
2.2.3 Confidencialidade ...................................................................................... 15
2.2.4 Autenticidade ............................................................................................. 16
2.2.5 Legalidade ................................................................................................. 16
2.2.6 Conformidade ............................................................................................ 17
2.2.7 Vulnerabilidade .......................................................................................... 17
2.3 Politicas de Segurança da Informação ............................................................. 17
2.3.1 Controle de Acesso.................................................................................... 17
2.3.2 Segurança Fisica ....................................................................................... 18
2.3.3 Segurança Logica ...................................................................................... 19
2.4 Risco ................................................................................................................ 19
2.5 Ameaça ............................................................................................................ 20
2.6 Impactos .......................................................................................................... 20
2.7 Ativos ............................................................................................................... 21
2.8 Incidentes ......................................................................................................... 21
2.9 Softwares Maliciosos ....................................................................................... 22
2.9.1 Negação de Serviço................................................................................... 22
2.9.2 Varredura de Portas ou Port Scanner ........................................................ 22
2.9.3 Malware ..................................................................................................... 23
2.9.4 Worm ......................................................................................................... 23
2.9.5 Keyloger ..................................................................................................... 23
2.10 Ataque ............................................................................................................ 23
2.11 Classificação das Informações....................................................................... 24
2.12 Criptografia..................................................................................................... 25
2.13 Punições e Penalidades ................................................................................. 25
2.14 Falhas de Segurança ..................................................................................... 25
2.15 Estratégias de Segurança .............................................................................. 26
2.15.1 Antivirus ................................................................................................... 27
2.15.2 Firewall .................................................................................................... 27
2.15.3 DMZ ......................................................................................................... 27
2.16 Definições de risco ......................................................................................... 28
2.17 Analise de risco ou diagnostico de risco ........................................................ 29
Capítulo III - ESTUDO DE CASO ............................................................................. 33
3.1 Empresa ENERGIA .......................................................................................... 33
3.2 Controle de Acesso Fisico ............................................................................... 37
3.3 Controle de Acesso Lógico .............................................................................. 43
3.4 Levantamento dos ativos ................................................................................. 44
3.4.1 Levantamento dos ativos lógicos ............................................................... 44
3.4.2 Levantamento dos Ativos Fisicos .............................................................. 45
3.5 Matriz de Risco ................................................................................................ 46
3.5.1 Acesso Fisico e a Siponibilidade dos serviços das salas ........................... 46
3.5.2 Responsabilidade do usuario ..................................................................... 47
3.5.3 Controle de accesso Lógico a Rede .......................................................... 47
3.5.4 Proteção Lógica Contra Ameaças ............................................................. 47
3.5.5 Backup de Dados ...................................................................................... 48
3.6 Analise de Risco .............................................................................................. 48
3.6.1 Acesso Fisico e a Siponibilidade dos serviços das salas ........................... 48
3.6.2 Responsabilidade do usuario ..................................................................... 51
3.6.3 Controle de accesso Lógico a Rede .......................................................... 54
3.6.4 Proteção Lógica Contra Ameaças ............................................................. 57
3.6.5 Backup de Dados ...................................................................................... 59
Capítulo IV - PROPOSTA DE SEGURANÇA DA INFORMAÇÃO ............................. 61
4.1 Objetivo ............................................................................................................ 61
4.2 Aplicação ......................................................................................................... 61
4.3 Diretrizes da Política de Segurança ................................................................. 61
4.6.1 Acesso Fisico e a Siponibilidade dos serviços das salas ........................... 61
4.6.2 Responsabilidade do usuario ..................................................................... 62
4.6.3 Controle de accesso Lógico a Rede .......................................................... 62
4.6.4 Proteção Lógica Contra Ameaças ............................................................. 62
4.6.5 Backup de Dados ...................................................................................... 63
Capítulo V - CONCLUSÃO ....................................................................................... 64
REFERÊNCIAS ......................................................................................................... 65
10
CAPÍTULO I - APRESENTAÇÃO
1.1 Introdução
O mundo atualmente vem se mostrando muito competitivo, com mudanças
inesperadas e constantes. As organizações necessitam ter grande agilidade e
flexibilidade para estarem preparadas para as falhas que possam vir a ocorrer com
as mudanças constantes no ambiente computacional. Surge ai a necessidade das
organizações buscarem profissionais da área de Tecnologia da Informação, mais
especificamente aqueles que já possuem uma formação toda voltada para área de
segurança da informação, pois com um profissional bem instruído a empresa terá
bons mecanismos para combater ameaças internas e externas em sua rede que
ameacem a suas informações.
Quando se fala de segurança da informação, é necessário analisar toda e
qualquer variável que possa influenciar a segurança. Nesta proposta são avaliados
aspectos físicos, lógicos, humanos e suas relações. O aspecto mais importante em
relação à segurança da informação, é que toda e qualquer ação deve ser tomada
em função do negócio, deve agregar valor ao negócio de alguma forma, caso
contrário, a segurança da informação poderá ser vista pela organização como um
desperdício de recursos.
Este trabalho tem por finalidade elaborar uma proposta de politica de
segurança da informação que possa ser apresentada a empresa ENERGIA¹ por
meio de uma documentação que mostre a importância quanto à segurança e a
disponibilidade das informações, para que possam ser entregues de forma segura e
eficiente. A politica de segurança dará uma garantia à empresa que qualquer ativo
terá sua importância já documentada e com planos já elaborados com soluções a
problemas que possam vir a ocorrer e ter mais controle e segurança sobre os seus
ativos.
_________________________________________________________________________________ (1) A empresa não autorizou a divulgação do nome real. O nome Energia é fictício.
11
1.2 Justificativa
A empresa ENERGIA é um órgão que trabalha com uma grande quantidade
de dados por esse motivo é importante identificar quais os problemas para elaborar
uma proposta de política de segurança da informação. A empresa já possui algumas
regras físicas e lógicas implementadas para garantir integridade, confidencialidade e
segurança dos dados.
A proposta de uma politica de segurança da informação se justifica porque
possibilitará, a empresa ENERGIA, ter seus ativos de informação seguros conforme
as diretrizes estabelecidas pela norma da ABNT NBR ISO/IEC 27002:2005.
A adoção de uma política de segurança da informação proporcionará a
empresa ENERGIA o manuseio, disseminação do armazenamento e descarte
seguro de suas informações críticas obedecendo aos princípios de
confidencialidade, integridade e disponibilidade.
Uma organização que trata de muitas informações confidenciais e tem elas
perdidas ou manipuladas de forma inapropriada pode ter prejuízos, tais como:
• Credibilidade: quando informações pessoais são espalhadas sem
autorização.
• Competitividade: concorrentes podem usufruir de suas informações para
copiar idéias ou tecnologias para obtenção de lucro.
• Financeiros: informações agregam valores financeiros, desta forma, quando
há perda, as organizações têm um prejuízo financeiro tanto para restaurar essas
informações (muitas vezes sem sucesso) como para protegê-las novamente.
12
1.3 Objetivos
1.3.1 Objetivo Geral
Este trabalho tem como objetivo elaborar uma politica de segurança da
informação para empresa ENERGIA, Física e lógica baseada na norma ABNT NBR
ISO/IEC 27002:2005.
1.3.2 Objetivos Específicos
● Realizar um acompanhamento da rotina da empresa para identificar os
procedimentos referentes à segurança nas informações.
● Efetuar um levantamento de pré-requisitos, onde será escolhida uma
metodologia mais adequada a ser aplicada na empresa.
● Levantar as condições de segurança da informação na empresa ENERGIA.
● Identificar os ativos de informação na empresa ENERGIA.
● Elaborar uma matriz de risco para ativos de informação.
● Elaborar uma proposta de política de segurança da informação para empresa
ENERGIA.
1.4 Procedimentos Metodológicos
Para criar a proposta de politica de segurança da informação foram realizadas
pesquisas, abrangendo livros e a norma ABNT ISO/ IEC 27002:2005 buscando
detalhar cada ponto para melhor amparo teórico que fosse possível.
13
Em seguida foi realizado um estudo de caso na empresa Energia, detalhando
falhas, tirando fotos, especificando riscos. Com o acompanhamento do cotidiano
desse órgão, foi possível identificar vulnerabilidades, que podem ser minimizados
através de um tratamento adequado.
Para se elaborar a proposta de politica de Segurança da informação para a
empresa Energia, foram escolhidas algumas áreas fundamentais para o
funcionamento da empresa, essas áreas são: Coordenação Geral de Sistema de
Comunicação – CSC, Serviço de Telecomunicação – SERTEL, Seção de comutação
de mensagens – SECOM, Setor de Apoio e Manutenção – SEAM; Serviço de
Gerencia de Rede – SEGER; Seção de laboratórios de Instrumentos – LAIME;
Seção de supervisão e Controle – SESUC. As informações fornecidas pelo gerente
de rede da empresa ENERGIA.
Após concluir essa análise foi sugerida à implantação de uma politica de
segurança para garantir que as informações da empresa estejam devidamente
segura de acordo com as normas e legislações vigentes.
14
CAPITULO II - REFERENCIAL TÉORICO
2.1 INFORMAÇÃO
A informação é todo e qualquer dado de uma organização e seu principal patrimônio. Entende-se também que a informação é o principal ativo de uma organização. A informação deve ser protegida de maneira que garanta a continuidade dos negócios e o retorno dos investimentos. É necessário lembrar-se que a informação de uma organização está sob constante risco. (FERREIRA, 2003, p.1).
A informação é considerada como o principal patrimônio de uma organização, e
está também sob constante risco.
2.2 Segurança da Informação
De acordo com a norma ABNT ISO/ IEC 27002(2005) "segurança da informação
é a proteção da informação de vários tipos de ameaças para garantir a continuidade
do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os
investimentos e as oportunidades de negócio”.
A segurança da informação está relacionada com a proteção de um conjunto de
informações, no sentido de preservar o valor que possuem para um indivíduo ou
uma organização. São características básicas da segurança da informação os
atributos de confidencialidade, integridade, disponibilidade e autenticidade, não
estando esta segurança restrita somente a sistemas computacionais, informações
eletrônicas ou sistemas de armazenamento. O conceito se aplica a todos os
aspectos de proteção de informações e dados. O conceito de Segurança Informática
ou Segurança de Computadores está intimamente relacionado com o de Segurança
da Informação, incluindo não apenas a segurança dos dados/informação, mas
também a dos sistemas em si. Atualmente o conceito de Segurança da Informação
está padronizado pela norma ABNT ISO/IEC 27002:2005, influenciada pelo padrão
15
inglês (British Standard) BS 7799. A série de normas ABNT ISO/IEC 27000 foram
reservadas para tratar de padrões de Segurança da Informação, incluindo a
complementação ao trabalho original do padrão inglês. ABNT ISO/IEC 27002:2005
(FERREIRA, s.d.).
2.2.1 Integridade
Propriedade da informação em se manter acurada, completa e atualizada. Ela é a garantia de que a informação se manteve fiel à sua origem ou ainda, que qualquer alteração durante o processo tenha sido realizada com autorização e controle. (SÊMOLA, s.d.).
Garante que a informação gerada não seja modificada sem a devida autorização
dos responsáveis por ela. Onde não deve ser permitido que a informação original
sofra nenhum tipo de violação.
2.2.2 Disponibilidade
Propriedade da informação de se manter disponível para os agentes autorizados, quando estes dela necessitarem. Sua preservação é a garantia de que a informação se manteve acessível aos agentes autorizados a todo tempo que precisou ser resgatada. (SÊMOLA, s.d.).
É a disponibilidade da informação a qualquer momento a pessoas
autorizadas, sem sofrer nenhum tipo de modificação, garantindo a continuidade do
serviço.
2.2.3 Confidencialidade
Propriedade da informação em estar a salvo de acesso e divulgação não autorizados. Garantindo o resguardo das informações dadas pessoalmente em confiança e proteção contra a sua revelação não autorizada. (SÊMOLA,
16
s.d.).
Proteção da informação contra sua divulgação para pessoas não autorizada.
Protegendo a informação contra cópias e distribuição não autorizada.
2.2.4 Autenticidade
O controle de autenticidade está associado com identificação correta de um usuário ou computador. O serviço de autenticação em um sistema deve assegurar ao receptor que a mensagem é realmente procedente da origem informada em seu conteúdo. A verificação de autenticidade é necessária após todo processo de identificação, seja de um usuário para um sistema, de um sistema para o usuário ou de um sistema para outro sistema. Ela é a medida de proteção de um serviço/informação contra a personificação por intrusos. (GONÇALVES, s.d.)
Autenticidade é a identificação do usuário para que o sistema libere o acesso
dentro dos parâmetros e direitos a este concedido.
2.2.5 Legalidade
É a condição legal da informação que esta de acordo com as regras da legislação
vigente. Quando se fala em políticas, padrões e procedimentos de segurança da
informação.
2.2.6 Conformidade
Normas de segurança da informação que devem atender às leis vigentes, de
acordo com a legislação.
17
2.2.7 Vulnerabilidade
As vulnerabilidades podem ser de diversos tipos físicos, naturais, hardware, software, mídias, de comunicação, humana ou a informação pode ser explorada por ameaças. Algumas das vulnerabilidades podem ser entendidas como falta de segurança lógica. (SÊMOLA, 2003, p.48).
Pode se considerar que as vulnerabilidades comuns são senhas ruins
(quando não tem padrão e regra a seguir), engenharia social, transmissão de dados
sem criptografia.
2.3 Politicas de Segurança da Informação
A política de segurança da informação é composta por um conjunto de regras e padrões sobre o que deve ser feiro para assegurar que as informações e serviços importantes para a empresa recebam a proteção conveniente, de modo a garantir a sua confidencialidade, integridade e disponibilidade. (ARAUJO; FERREIRA, 2008, p.36).
A Política de segurança da informação trata aspectos tecnológicos, culturais
e humanos. A documentação gerada a partir da politica de segurança deve explicar
a importância da adoção das regras citadas.
2.3.1 Controle de Acesso
Deve-se manter o controle de acesso, tantos físico quanto lógico em qualquer
organização. Quando se fala em implementar segurança para controle de acessos
deve-se atender às necessidades da organização. A proteção deve ser de acordo
com os riscos levantados. Esses controles devem ser sempre revisados e
atualizados.
Recomenda-se que as informações gerenciadas pela organização e por
prestadores deva estar separadas, a fim de garantir maior segurança. Não podem
18
ser permitidos equipamentos de vídeos, fotográficos, entre outros nas áreas de
segurança além dos equipamentos autorizados como circuito interno.
Ou seja, é uma referência à prática de permitir o acesso a uma propriedade,
prédio, ou sala, apenas para pessoas autorizadas. Seja ele de forma física ou
através de meios lógicos.
2.3.2 Segurança Física
É o controle de segurança feito através de dispositivos para garantir que
equipamentos sejam prevenidos de acessos não autorizados, danos ou interferência
nas instalações.
O controle de acesso físico é toda e qualquer aplicação de procedimento ou uso de equipamentos com o objetivo de proteger ambientes, equipamentos ou informações cujo acesso deve ser restrito. Esse tipo de controle envolve o uso de chaves, trancas, guardas, crachás, cercas, vídeos, smartcards, biometria e etc., além da aplicação de normas e procedimentos utilizados pela organização para esse fim. A política e o investimento, no controle de acesso físico adotado pela organização, estarão diretamente ligados à importância de seus ativos, observando sempre a relação custo/beneficio. Uma política de controle de acesso físico eficaz dependerá muito mais da gestão dos modelos de segurança do que apenas do uso de tecnologia. Nesse sentido, é fundamental a análise do perfil de cada organização, para a definição de uma política de controle físico que atenda suas necessidades. Quanto maior o investimento em prevenção menor será o prejuízo em caso de eventos. O investimento em questão não se refere apenas ao uso de tecnologia de ponta, mas a forma como a empresa conscientiza seu quadro de funcionários. (FERREIRA, 2003, p.127)
Exemplos de controle de segurança física conforme Ferreira (2003) e Silva
(2007): controles ambientais, grades, muros, portas, crachás, guardas, sistemas com
portas duplas, controle de mesa limpa, segurança de pessoas, treinamentos de
usuários.
19
2.3.3 Segurança Lógica
Aplicação que faz o controle de programas para garantir a segurança,
asseguras privilégios a esses .
Ferreira (2003) aponta alguns exemplos de segurança lógica:
- Softwares e Programas: que tiverem licenças de uso devem ser aderidos da
maneira correta, evitando-se o uso inadequado, popularmente chamado de pirataria.
- Senhas: sugere-se que as senhas devem possuir regras como: devem ser
utilizadas letras maiúsculas e minúsculas, Quantidade mínima de caracteres, trocas
da senha em período determinado, combinação de tipos de caracteres, números e
caracteres especiais, não podem ser longas, conter números seguidos do teclado,
data de nascimento, placa de carro, não deve ser permitido empréstimos de senhas
e deve seguir as regras estabelecidas para a utilização.
- Ferramentas de Segurança: utilização de ferramentas tais como antivírus,
AntiSpam, firewall, entre outras.
- User id: devem ser estabelecidas regras para a utilização e em hipótese
alguma deve permitir que outra pessoa utilize seu User id. Cada usuário deve ter seu
privilegio de acordo com as funções a serem executadas.
Auditoria: toda tarefa executada no sistema deve ser armazenada por tempo
indeterminado para fins de consulta caso seja necessário, chamado de trilhos de
auditoria.
2.4 Risco
“risco é um perigo que gera impacto nas organizações que incluem
vulnerabilidade." (ARAUJO; FERREIRA, 2008, p.163).
O risco pode ser de maior ou menor grau de perda, afeta organizações
e causa danos. Quanto mais baixo o nível de proteção maior a possibilidade de riscos, os riscos podem surgir de diversos motivos: erros diversos, várias
20
falhas, dentre outros. (MOREIRA, 2001, p.20-21).
Quando se trata de risco, vários aspectos são levados em consideração, por
este motivo se faz uma análise de risco.
2.5 Ameaça
São fatos ou ocorrências de tentativa de burlar os procedimentos, das
atividades da empresa, podem gerar incidentes de segurança e causar danos aos
negócios.
"Uma ameaça afeta a confidencialidade, a integridade e a disponibilidade de
um bem, fazendo uso de uma ou mais vulnerabilidades propositalmente" (HORTON;
MUGGE, 2003, p.31).
Os tipos de ameaças podem ser intencional, acidental e natural. Podem ter a
origem interna ou externa e real, ou seja, que aconteceu de fato e causou um
acidente, ou por detectado e barrado antes de acontecer.
Para se investir em segurança da informação é importante que se conheça as
possíveis ameaças que circundam a empresa. Através desse conhecimento é que a
empresa poderá implementar soluções adequadas que se encaixe aos objetivos da
empresa
2.6 Impactos
"são estragos causados por incidentes gerando prejuízos a organização"
(FERREIRA, 2003, p.50).
"impactos assim como os riscos podem ser de grau alto ou baixo."
(FERREIRA, 2003, p.50).
21
2.7 Ativos
Ativo é todo tipo de bem que a empresa detém inclusive a informação, por isso deve ser bem protegida para que o negócio da empresa continue funcionando. Qualquer tipo de alteração sofrida pelo ativo, ou até mesmo a sua indisponibilidade pode afetar o funcionamento das atividades da empresa, causando perdas por parte da empresa. “Ativo é tudo que manipula direta e indiretamente uma informação, inclusive a própria
informação, dentro de uma organização [...] (MOREIRA, 2001, p.20).
Entende se que a informação é um ativo, e que deve ser protegido de maneira
correta e adequada de acordo com seu grau de impacto para a empresa.
2.8 Incidentes
São eventos ocorridos após a ação de uma ameaça levando algumas vezes a
perda de ativo da informação.
"A gravidade de um incidente é medida pelo seu impacto" (SÊMOLA, 2003,
p.50).
2.9 Softwares Maliciosos
É um dos principais fatores de problemas de segurança. O software malicioso
são códigos, vírus, worms, spams que afetam o sistema. O ideal para combatê-los é
a utilização de programas de segurança, como antivírus, AntiSpam, entre outros,
alguns softwares maliciosos exploram varreduras de porta, negação de serviço,
quebra de senhas, cavalo de troia, dentre outros.
22
2.9.1 Negação de Serviço
O ataque à negação de serviço pode ser do tipo Denial of Service – DoS –
Negação de Serviço ou do tipo Distributed Denial of Service – DDoS – Negação de
Serviço Distribuída, ambos tiram do ar sites, deixando seus serviços indisponíveis
por tempo indeterminado.
DoS é quando um site ou sistema on-line recebe vários pacotes ou sobrecarga de capacidade, mas também pode ser quando recebem falhas ou pacotes com erro, e para estes o site não está preparado, seus serviços acabam ficando indisponíveis, ou seja, ocorre a sobrecarga. Por este motivo é importante executar diversos teste, quando isto não é feito o invasor faz diversos tipos de testes de falhas até atingir seu objetivo. DDoS, é bem parecido com ataque DOS, possui apenas algumas diferenças. São escolhidas vítimas que com certeza possuem vulnerabilidades e diante disso são feitos ataques disparando de vários pontos para determinado site. Pode-se dizer então que o ataque DDoS é um ataque DOS de grande medida. (FERREIRA, 2003, p.83-84).
2.9.2 Varredura de Portas ou Port Scanner
"varredura de portas ou Port Scanners – são programas ou softwares que
fazem varredura para encontrar portas - TCP abertas, estes programas geralmente
fazem a varredura por diversos dias e em horas alternadas." (FERREIRA, 2003,
p.83).
2.9.3 Malware
Malware é um software destinado a se infiltrar em um sistema alheio, de forma ilícita, com intuito de causar algum dano ou roubo de informações (confidenciais ou não) Também pode ser considerado malware uma programação legal que por uma falha de programação (internacional ou não) execute funções que se enquadrem na definição supracitada.” (FIGUEIREDO, s.d.).
23
2.9.4 Worm
Worm é um programa que se propaga de um computador para outro, geralmente produzindo cópias idênticas de seu código na memória de cada equipamento. O worm pode se modificar com tanta rapidez dentro de um microcomputador a ponto de o computador fica travado. Ele pode ser inserido por brincadeira ou com a intenção de causar perda de dados ou destruição das informações. (SAWAYA, 1999, p.516)
2.9.5 Keyloger
São programas que capturam e registram tudo que é digitado no computador,
e com as informações capturadas tem acesso aos dados que a maioria das vezes
deveria ser sigilosa.
2.10 Ataque
Pode se conceituar ataque como uma tentativa de agressão ao sistema, o
ataque pode ser também interno ou externo, de diversos tipos, pode ter diversas
finalidades, objetivos ou alvos. Nos ataques geralmente são utilizados técnicas ou
ferramentas para atingir a finalidade. Algumas vezes são notificados como falhas de
softwares ou hardwares. A seguir tem se algumas motivações para o ataque
conforme Silva (2007).
- Esporte: o ativo Invasor realiza ataques maliciosos como um hobby; - Desafio Pessoal: o ativo Invade o sistema para provar a sua capacidade de conhecimento. - Teste: o ativo faz uma tentativa de invasão para ver se consegue realmente invadir o Sistema. - Curiosidade: pela simples curiosidade se realmente consegue ou não um sistema. - Vingança: na tentativa de denegrir, ou acusar alguém. - Espionagem: o ativo tenta se infiltrar no sistema da empresa para
24
observar arquivos de valor para a empresa. - Sabotagem: realizado pelo simples fato de prejudicar a empresa e o andamento das atividades.
2.11 Classificação das Informações
Deve se saber que nem toda informação possui o mesmo valor então se
entende que as formas de proteção devem ser adequadas para cada tipo de
informação. Quando se fala em classificação entende-se que cada informação
possui grau diferente. O critério de classificação possui diferentes níveis e a cada
classificação é escolhido um critério de armazenamento. Na classificação devem-se
estabelecer as seguintes definições, conforme Ferreira e Araújo (2008 p79-80).
- Grau de Sigilo; - Proprietário: Responsável pela informação; - Custodiante: Responsável por garantir a segurança da informação; - Criptografia: meio de esconder o conteúdo das mensagens usando códigos; - Perfil de acesso: define direito ao acesso conforme a necessidade de cada um.
Os Níveis de classificação são divididos, de acordo com Ferreira e Araújo
(2008, p.80-81) em:
- Informação Pública: Não necessitam de nenhum sigilo; - Informação Corporativa: apenas o pessoal da organização tem o direito de saber caso o pessoal externo saiba não causa nenhuma consequência tão critica quanto às informações confidenciais; - Informação Confidencial: é extremamente restrita a funcionários da organização caso seja divulgada pode causar consequências bastantes criticas.
É adequar e classificar as informações de acordo com seu grau de impacto a
empresa, criando barreiras de segurança a devidas informações, sejam elas de
baixo impacto ou de alto impacto.
25
2.12 Criptografia
É o meio de esconder mensagens através de escrita em códigos, de forma que
permita a leitura somente a quem é de direito ou realmente interessa. A criptografia
é utilizada para garantir a integridade confidencialidade e autenticidade das
informações.
Para cada informação há uma maneira de proteção, portanto é o processo de classificação das informações que vai definir onde será implementado o uso da criptografia. Existem dois tipos de criptografia, a criptografia simétrica ou algoritmo simétrico e a criptografia assimétrica ou algoritmo assimétrico. (ARAUJO; FERREIRA, 2008, p.105)
"a criptografia do tipo simétrico é o mais simples, é utilizado para encriptar e
desencriptar, e possui apenas uma chave." (ARAUJO; FERREIRA, 2008, p.106).
"a criptografia do tipo assimétrico possui duas chaves, uma pública e outra
privada, ou seja, uma para encriptar e outra pra desencriptar" (ARAUJO;
FERREIRA, 2008, p.106).
2.13 Punições e Penalidades
Procedimentos utilizados quando alguém deixa de respeitar as normas
internas de politica de segurança, então é aplicada as penalidade e punições de
acordo com o estatuto e regulamento da empresa.
2.14 Falhas de Segurança
Pode ser ocasionada tanto do trabalho humano quanto do trabalho de
26
máquinas. O trabalho humano está mais suscetível às falhas do que as máquinas.
Muitas vezes essas falhas são as que geram os maiores impactos às empresas.
2.15 Estratégias de Segurança
De acordo com Silva (2007) as estratégias abaixo são utilizadas para
melhorar a segurança.
Menor privilégio: os privilégios permitidos devem ser somente os que
realmente serão utilizados;
Defesa de profundidade: cada ameaça deverá ter um mecanismo
específico de defesa;
Ponto de estrangulamento: que é uma limitação de diversos fatores
tecnológicos feito como o uso de gargalos na rede, é visto por alguns
profissionais como algo desnecessario, mas já outros profissionais de
segurança acham que deves ser utilizados pois é uma maneira para o
administrador monitorar e controlar as informações;
O elo mais fraco: é o ser humano, por este motivo todos os
funcionários devem ser informados e treinados a respeito das políticas
de segurança;
Posição a prova de falhas: os sistemas devem ser a prova de falhas de
maneira que caso haja falhas devem negar o acesso e não permitir o
acesso.
Participação universal: as regras devem ser iguais a todos, ou seja,
não permitindo mais privilégios a diretores ou presidentes pelo simples
fato de consideração do cargo.
Diversidade de defesa: devem ser utilizadas diversas defesas de
diferentes tipos a fim de dificultar o trabalho do atacante.
Simplicidade: mostrar as regras a todos com clareza para melhor
atendimento a fim de serem compreendidas e cumpridas.
27
2.15.1 Antivírus
"o antivírus é um programa que permite identificar e eliminar programas com
vírus que tentem infiltrar-se no sistema. Esse programa tem de ser atualizados
constantemente à medida que novos vírus se tornam conhecidos." (SAWAYA, 1999,
p.26).
Se um antivírus não possuir uma lista de assinatura completa, pode ser que ele vasculhe um arquivo contaminado, mas, por não “conhecer” o vírus deixe-o ileso. Devido ao poder muito grande de disseminação, uma atualização a cada três dias é considerada segura pra um usuário. (FERREIRA, 2003, p.79)
2.15.2 Firewall
"firewalls são projetados para bloquear o tráfego malicioso que poderiam
colocar em risco computadores na sua rede, Alguns firewalls mantém em log
contínuo do que eles detectam." (ENGST; FLEISHMAN, 2005, p.173).
Firewall é uma barreira de proteção eletrônica, ou um computador que impede que usuários não autorizados tenham acesso a certos arquivos em uma rede, O firewall permanece entre a rede privada e a internet, é como uma parede que pode evitar a passagem indesejada de um tráfego. (SAWAYA, 1999, p.183)
2.15.3 DMZ
"De-Militarized Zone – DMZ – Zona Desmilitarizada, permite a uma única
máquina aparecer como se ela, em vez do gateway, estivesse diretamente acessível
na Internet." (ENGST; FLEISHMAN, 2005, p.202).
28
DMZ é o encaminhamento de todo o tráfego para uma máquina específica ou um servidor virtual. O DMZ permite expor uma única máquina para o mundo exterior, ele é acessível como se estivesse na internet, mesmo que a Network Address Translatios – NAT – Tradução de Endereços de Rede, esteja convertendo todo o tráfego para e a partir dela. (ENGST; FLEISHMAN, 2005, p.174)
2.16 Definições de risco
“Para Moreira (2001, p.20-21), o risco pode ser de maior ou menor grau, de
perda, afeta organizações e causa danos. Quanto mais baixo o nível de proteção
maior a possibilidade de risco, os riscos podem surgir de diversos motivos: Erros
Diversos, falhas entre outros.”
"a determinação do nível do risco é obtida pela multiplicação da classificação
da probabilidade de ocorrência versus o impacto na organização. Segue abaixo no
Quadro 1 – exemplo da matriz de nível de risco" (FERREIRA, 2003, p.101).
Quadro 1 - Matriz de Nível de Risco
PROBABILIDADE IMPACTO
Baixo (10) Médio (50) Alto (100)
Alto (1,0) Baixo 10 x 1,0 = 10 Médio 50 x 1,0 = 50 Alto 100 x 1,0 = 100
Médio (0,5) Baixo 10 x 0,5 = 5 Médio 50 x 0,5 = 25 Alto 100 x 0,5 = 50
Baixo (0,1) Baixo 10 x 0,1 = 1 Médio 50 x 0,1 = 5 Alto 100 x 0,1 = 10
Fonte: Ferreira (2003, p.100).
Após a determinação da matriz de riscos, deve ser especificada a descrição
do nível do risco (alto, médio e baixo), bem como as ações necessárias para
diminuí-lo. Como a seguir no Quadro 2.
Quadro 2 - Definição e Nível dos Riscos
Nível do Risco Descrição do Risco e Ações Necessárias
Se uma possibilidade de melhoria for avaliada como sendo de alto
29
Alto
risco existe necessidade imediata para contramedidas serem adotadas, os sistemas podem continuar operando, entretanto, ações corretivas devem ser iniciadas o mais breve possível.
Médio
Se uma possibilidade de melhoria for classificada como sendo de médio risco, ações corretivas estabelecidas em um plano.
de ação, devem ser realizadas em um curto período de tempo.
Baixo
Se uma observação for classificada como sendo de baixo risco, os administradores e proprietários das informações devem
avaliar a necessidade de efetuar manutenção corretiva ou assumir o risco.
Fonte: Ferreira (2003, p.100).
2.17 Análise de risco ou diagnóstico de risco
É a avaliação do perigo, tais como os riscos ou formas de vulnerabilidade da
ocorrência de acontecimento para uma organização. A análise de risco é feita por
meio de estimativa de probabilidade de ocorrência de determinados acontecimentos.
"análise de risco é uma das etapas utilizadas para a gestão de riscos"
(FERREIRA, 2003, p.87).
"defendem que quanto à realização da análise de riscos primeiro deve ser
feita a classificação quanto à qualidade e quantidade das informações." (ARAUJO;
FERREIRA, 2008, p.165).
"a análise quantitativa é representada por quantidade ou valores financeiros,
ou seja, a análise é feita de maneira que utiliza o valor financeiro da informação"
(ARAUJO; FERREIRA, 2008, p.166).
"O impacto é o resultado de um dano causado por uma ameaça, que explorou
uma vulnerabilidade. A metodologia de avaliação de riscos contempla nove passos
que, obrigatoriamente, devem ser seguidos" (FERREIRA, 2003, p.89).
Ferreira (2003, p.89) defende que deve haver nove passos de avaliação de
30
riscos. A figura 01 apresenta a metodologia de avaliação de riscos e seus nove
passos:
Figura 1 - Metodologia de Avaliação de Risco Fonte: FERREIRA (2003, p.89).
Em relação a avaliar o nível do risco, Moreira (2001, p.110) utiliza uma
fórmula para determinar o nível que é: GPO * GIN
GEP
Onde:
GPO = Grau de Probabilidade de Ocorrência da empresa.
GIN = Grau do Impacto Negativo do Incidente causado pela ameaça aos
negócios.
GEP = Grau da Eficiência da Proteção Implementada.
31
De acordo com Moreira (2001, p.110-11), o nível de risco será determinado
através da probabilidade de ocorrência das ameaças. Note que as ameaças existem
independentes de sua rede esta ou não protegida, quer dizer, a probabilidade de
uma contaminação por um vírus é muito maior que um incêndio. Logo são duas
probabilidades diferentes. Estaremos traduzindo estas probabilidades para cada
ameaça atribuindo os seguintes pesos:
• 10 – alto;
• 5 – médio;
• 1 - baixo.
Para classificar o grau de intensidade do impacto negativo causado aos
negócios serão utilizados os seguintes valores:
• 10 – alto;
• 5 – médio;
• 1 - baixo.
Mesmo existindo um alto grau de probabilidade de ocorrência de uma
ameaça, e mesmo causando um impacto negativo aos negócios de uma empresa
esta em risco. Para tal, precisa entender o nível de eficiência da proteção para cada
caso, pois eles irão contrabalancear e até mesmo mudar o rumo dos investimentos.
O grau de eficiência da proteção implementado será classificado quanto aos
seguintes níveis de eficiência:
• 100 – eficiente;
• 50 – deficiente;
• 1 - ineficiente.
Assim ao aplicarmos a fórmula, teremos os seguintes níveis de risco:
• 0 a 20 – baixo – aceitável;
• 21 a 40 – médio – atenção;
• Acima de 40 – alto – crítico.
Ferreira (2003, p.101) defende que:
Para diminuir a exposição aos riscos mais relevantes, deve-se adotar a
estratégica de identificação do impacto que os riscos podem oferecer às atividades
da organização, assim sua probabilidade de ocorrência, segue a seguinte análise:
32
Riscos (Objetivos) – Controles = Exposição
Compreender Compreender Administrar Exposição
os objetivos os Riscos os Riscos aceitável
A análise de risco é tão importante, que se tem uma norma específica para
cuidar da gestão de riscos, é a ABNT NBR ISO/IEC 27005.2008. A seguir, na figura
02, tem-se um exemplo de Avaliação de Risco, de acordo cm Ferreira (2003, p.102).
Figura 2 - Avaliação de Risco Fonte: FERREIRA (2003, p.102).
33
CAPÍTULO III - ESTUDO DE CASO
3.1 Empresa ENERGIA
A empresa ENERGIA, foi criado em 1909, é um órgão do Ministério da
Agricultura, Pecuária e Abastecimento – MAPA. Possui uma estrutura organizacional
composta da sede em Brasília e de dez Distritos de Meteorologia – DISME,
distribuídos de modo estratégico em algumas capitais e com cooperação
internacional. Conforme dados fornecidos pela empresa ENERGIA, hoje se tem uma
grande rede de estações meteorológicas que cobre todo o território brasileiro.
Segundo Oliveira (2009, p.88-9) em 1999 a empresa ENERGIA conquistou a
certificação ABNT NBR ISO 9001 – garantia da qualidade dos serviços de previsão
do tempo e estudos do clima.
Conforme informações fornecidas pela empresa ENERGIA, atualmente o
instituto conta com mais ou menos 1.100 estações meteorológicas, o único órgão
sem ser a empresa ENERGIA que possui estações meteorológicas é o Centro de
Previsão do Tempo e Clima – CPTEC, com mais ou menos 80 estações
meteorológicas. A empresa ENERGIA conta com alguns parceiros externos que são:
Marinha, Exército e Aeronáutica e parceiros internos que são: Organização
Meteorológica Mundial – OMM e Food and Agriculture Organization of the United
Stations – FAO – Alimentação e agricultura das Nações Unidas.
De acordo com informações fornecidas pelo Sistema de Controle Qualidade –
SCQ, a empresa ENERGIA tem como missão:
Prover informações meteorológicas confiáveis à sociedade brasileira e influir
construtivamente no processo de tomada de decisão, contribuindo para o
desenvolvimento sustentável do País. Essa missão é atingida por meio do
monitoramento, análise e previsão do tempo e clima, fundamentados em pesquisa
aplicada, no trabalho em parceria e no compartilhamento do conhecimento, com
ênfase em resultados práticos e confiáveis. A máxima do Instituto é a satisfação da
sociedade, vendo atendidas suas necessidades de informação em situações
diversas, como no caso de desastres naturais relacionados com inundações e secas
extremas que afetam as atividades rotineiras e limitam a sobrevivência.
34
Ainda seguindo Sistema de Controle de Qualidade, a empresa ENERGIA tem
como visão do futuro.
• Estabelecer-se como elo a informação e o conhecimento científico, de
forma a interagir com os setores atuantes da sociedade, por meio da parceria
regional, estadual e municipal;
• Ampliar o conhecimento nacional e internacional, por meio de uma
postura inovadora e proativa, influenciando o processo de tomada de decisão e a
minimização de riscos através do uso da informação meteorológica;
• Atuar como ponto local na América do Sul no emprego diurno do
conhecimento científico e tecnológico para o processo da meteorologia e
climatologia da região.
De acordo com dados obtidos pela empresa ENERGIA a seguir tem-se a
responsabilidade de cada setor:
1) Ministério da Agricultura Pecuária e Abastecimento – MAPA: é o órgão
responsável por diferentes setores do agronegócio.
2) Diretor do Órgão: autoridade máxima da instituição, planeja, coordena,
supervisiona, aprova e autoriza a execução de atividade da empresa ENERGIA.
3) Assistente Técnico: atribuições específicas de assessoramento.
4) Assistente: atribuições específicas de assessoramento.
5) Coordenação Geral de Sistemas de Comunicação – CSC: Planeja,
coordena e supervisiona as atividades relacionadas à transmissão de dados,
informações meteorológicas e produtos numéricos, em níveis nacional e
internacional, em atendimento aos compromissos do Brasil com a Organização
Meteorológica Mundial – OMM. Responsável pelas atividades relacionadas à
infraestrutura física e lógica da rede de comunicação estimula a modernização e o
aparelho dos recursos computacionais, coordena atividades relacionadas à
segurança física e lógica de dados e elabora normas e procedimentos técnicos e
operacionais referente à rede de comunicação.
6) Serviço de Telecomunicações – SERTEL: responsável pelos serviços
de telecomunicações, tais como coordenar, elaborar, executar e acompanhar
atividades relacionadas à transmissão de dados, modernizar os aparelhos das redes
de comunicação e elétrica, e projetos de aquisição e manutenção de equipamentos.
35
7) Seção de Comutação de Mensagens – SECOM: Opera e mantém o
centro regional de telecomunicações meteorológicas da OMM, controla e coleta a
disseminação de informações meteorológicas, coordena e gerencia o envio de
dados meteorológicos das unidades vinculadas.
8) Setor de Apoio e Manutenção – SEAM: controla a operação da rede de
telecomunicações, atualiza e mantêm os recursos computacionais, implementa,
mantêm e moderniza as atividades de segurança física e lógica de dados.
9) Serviço de Gerência de Rede – SEGER: responsável por supervisionar
e contribuir para o planejamento a modernização e atualização das redes de
observação, planeja, controla e executa o Plano Anual de Manutenção Preventiva-
PAMP, implanta e acompanha sistemas de controle operacional da rede e dos
equipamentos.
10) Seção de Laboratório de Instrumentos – LAME: mantém os padrões
de instrumentos meteorológicos como precisão e controle, e realiza a reposição e
manutenção de peças.
11) Seção de Supervisão e Controle – SESUC: executa o PAMP e
inspeção técnica da rede de estações meteorológicas, programa e orienta a
aquisição e a distribuição do material técnico de consumo, necessário a operação
das redes meteorológicas.
12) Coordenação Geral de Agrometeorologia – CGA: supervisiona, orienta
e coordena a execução das atividades de previsão do tempo, estabelece normas e
procedimentos para orientar a coleta de dados meteorológicos e a previsão do
tempo, e coordena o estabelecimento e a realização de compromissos internos.
13) Coordenação Geral de Desenvolvimento e Pesquisa – CDP: coordena
o desenvolvimento de produtos e a realização de pesquisas entre a meteorologia e
as atividades humanas, assessora o diretor das decisões pertinentes ao
desenvolvimento de pesquisa, realiza estudos e interage com organizações,
universidades e instituições de pesquisa nacional e internacional.
14) Coordenação Geral de Modelagem Numérica – CMN: planeja,
coordena e orienta a execução das atividades relativas a processamento,
armazenamento e disseminação de dados e produtos numéricos, a nível nacional e
internacional. Promove e incentiva o desenvolvimento e atualização de sistemas de
processamento e armazenamento para suporte de modelagem numérica do tempo e
clima. Coordena as atividades de gerenciamento do processamento computacional
36
que integra o sistema de informações hidro meteorológicas (SIM) e a modelagem
numérica do tempo e clima, acompanha e controla operação dos sistemas de
modelagem numérica.
15) Coordenação Geral de Apoio Operacional – CAO: coordena a
elaboração e o acompanhamento do plano plurianual e a programação anual de
investimento e orçamentária, de acordo com as diretrizes estabelecidas, gerencia as
atividades de administração geral, planeja e coordena o levantamento das
necessidades de recursos humanos e supervisionam as atividades de recursos
humanos, orçamento, patrimônio, financeiro, compras e serviços gerais e qualidade.
Figura 3 – Organograma da empresa ENERGIA
O trabalho foi desenvolvido sobre a empresa ENERGIA especialmente no
setor de Coordenação de Sistema de Comunicação - CSC conforme na figura 4, a
37
seguir.
Figura 4 – Organograma da CSC
A rede da empresa ENERGIA hoje disponibiliza acesso à Internet também
para os DIME’s e parceiros internos. O instituto utiliza uma internet de 25
megabytes.
3.2 Controle de Acesso Físico
O controle de acesso físico começa na entrada principal, possui cancela para
entrada e dois vigilantes que permanecem 24x7 para identificação e controle de
entrada e saída, conforme a figura 05, a seguir da entrada principal:
38
Figura 5 - Entrada Principal
A recepção possui um vigilante, uma recepcionista e um computador para
fazer o controle de entrada e saída efetuando o cadastro, nesse cadastro é
preenchido nome, RG, e telefone, é tirado uma foto para armazenar no cadastro,
então é disponibilizado um crachá de visitante, a figura 06 a seguir mostra a
recepção:
Figura 6 - Recepção
39
Nos corredores existem câmeras direcionadas de maneira que mostra quem
entra e quem sai, conforme na figura 07, a seguir.
Figura 7 - Câmeras de Segurança
Atualmente a empresa ENERGIA utiliza duas salas cofres com a finalidade de
garantir a segurança dos dados, a sala cofre 1, possui controle de entrada por meio
de chave eletrônica e porta corta-fogo, conforme figura 08.
40
Figura 8 - Sala Cofre 1
As salas confre são utilizada para armazenamento de servidores, conforme
figura 09.
Figura 9 - Servidores
41
É também utilizada para armazenar racks e switches, o padrão cabeamento
utilizado é o de categoria 6, os switches possuem fonte redundante, na figura 10 a
seguir mostra racks e switches.
Figura 10 - Racks e Switch.
A sala cofre 2 também controla o acesso por meio da chave eletrônica, e
possui porta corta-fogo, conforme segue a figura 11.
42
Figura 11 - Sala Cofre 2
A sala cofre 2 é de uso exclusivo de armazenamento de computadores de
altíssima potência, utilizados para rodar modelos matemáticos, conforme a figura 12:
Figura 12 - Nobreaks.
43
Possui também 2 quadros de energia em cada sala cofre. A seguir têm-se as
figuras 13 e 14 dos quadros de energia.
3.3 Controle de Acesso Lógico
De acordo com informações fornecidas pela empresa ENERGIA, o instituto
utiliza firewall da Juniper, uma DMZ interna, antivírus da McAfree e AntiSpam da
Aaker. Possui servidores com os sistemas operacionais Windows e Linux, servidores
que possuem o sistema operacional Linux, tem IP Tables ativo e trabalha com SE
Linux ativo em modo forçado e para o backup é utilizado o Bácula. A rede é
segmentada em cada uma das coordenações internas para facilitar na administração
e principalmente na segurança.
De acordo com o gerente de rede do INMET, o método adotado das
ferramentas de fabricantes diferentes é para garantir segurança. Todos os usuários
possuem login com usuário e senha para acessar ao seu computador.
A empresa ENERGIA possui sistemas para fins de controle de rede, tais
como CACTI, NTOP e WEATHERMAP. Todos os servidores e sistemas para fins de
controle de rede possuem controle de acesso lógico que são usuário e senha.
Figura 13 - Quadro de Energia
Figura 14 - Quadro de Energia 2
44
3.4 Levantamento dos ativos
Os setores SERTEL, SECOM, SEAM, SEGE, LAIME e SESUC que são
ligados à coordenação geral de sistemas de comunicação, apenas apoiam em seu
funcionamento, mas não estão ligados a manutenção, segurança e continuidade dos
serviços. Dessa forma, a CSC concentra e matém todos os recursos tecnológicos.
A empresa conta com o uso de aplicativos e softwares que recebem
informações de satélites, utiliza web mail interno, Possui uma pagina na rede, são
utilizados firewalls em redundância, switchs, servidores de auto track
antivírus,virtualização, banco de dados, backup, e-mail, AntiSpam, entrada e saída,
de câmeras, central telefônica, storage, sistema de refrigeração interna, salas cofre,
supercomputadores, nobreaks.
3.4.1 Levantamento dos ativos lógicos
Quadro 3 – Levantamento dos ativos lógicos
Tipo Nome Descrição
Aplicativos Autotrac Recebe imagens do satélite
Página de Intranet Hospedam os serviços internos de
contratos telefônicos, protocolo,
modelos de documentos e
formulários.
Web mail interno Armazena caixa de e-mail dos
usuários
Moving Weather Trabalha com as imagens do
satélite
Site empresa ENERGIA Página web do INMET
45
A empresa conta com o uso de aplicativos e softwares que recebem
informações de satélites, utiliza web mail interno, Possui uma pagina na rede, são
utilizados firewalls em redundância, switchs, servidores de auto track
antivírus,virtualização, banco de dados, backup, e-mail, AntiSpam, entrada e saída,
de câmeras, central telefônica, storage, sistema de refrigeração interna, salas cofre,
supercomputadores, nobreaks.
3.4.2 Levantamento dos Ativos Físicos
Quadro 4 – Levantamento dos ativos físicos
Tipo Nome Quantidade Descrição
Sala cofre 01 Firewalls 02 Firewall Juniper em redundância
Switchs 19 Extreme 450P
Servidor Auto-Track 01 Instalando Windows Server
2003
Servidor de Antivírus 01 McAfree e PO viruscam
Central telefônica 01 VOIP
Servidor de virtualização 03 DELL R710 com VMWare
ESXi 5.0
Storage 02 HP e NETUP
Servidor de Banco de Dados 02 Post-gree e mysql
Servidor Backup 01 Software Bácula servidor
de backup para o Windows.
Servidor de e-mail 01 Instalado no Windows SP3
Servidor de AntiSpam 01 AKER ASGM
Sistema de Refrigeração das salas
cofres
06 Aceco TI
Sala cofre 02 Supercomputadores de Modelagem numérica
03 Computadores de altíssima potência
Super servidor de banco de dados 01 Servidor utiliza o SGBD
da Oracle
No-break No-breal 80kva 04 Eston/PowerWare Modelo: 9390
Protocolo Serviço de entrada e saída de documentos
01 Localizado na Intranet
Central de Segurança
Servidor de Câmeras 01 Instalado em Linux
46
3.5 Matriz de Risco
Conforme exemplo no referencial teórico, na página 28, quadro 01 cada
matriz de risco seguirá o padrão do quadro 06, a seguir.
Quadro 5 – Matriz de Risco
PROBABILIDADE IMPACTO
Baixo (10) Médio (50) Alto (100)
Alto (1,0) Baixo 10 X 0,1 = 10 Médio 50 X 1,0 = 50 Alto 100 X 1,0 = 100
Médio (0,5) Baixo 10 X 0,5 = 5 Médio 50 X 0,5 = 25 Alto 100 X 0,5 = 50
Baixo (0,1) Baixo 10 X 0,1 = 1 Médio 50 X 0,1 = 5 Alto 100 X 0,1 = 10
Fonte: FERREIRA (2003, p.100).
Onde a cada pontuação significa:
Alto Risco – pontuação de 50 e 100
Médio Risco – pontuação 10 e 50
Baixo Risco – pontuação de 1 a 10
3.5.1 Acesso Físico e a disponibilidade dos serviços das salas
Quadro 6 – Acesso Físico e a disponibilidade dos serviços das salas
Item Descrição Probabilidade Impacto Risco
1 Há barreiras para evitar acesso não autorizado como catracas, sensores nas portas?
0,1 10 1 (baixo)
2 É registrado os dados das pessoas que obtiverem acesso à sala?
1,0 50 50 (médio)
3 Os visitantes são acompanhados durante o acesso as salas ?
1,0 100 100 (alto)
4 O circuito interno de câmeras cobre com eficiências as dependências do Órgão?
0,1 100 10 (baixo)
47
3.5.2 Responsabilidade do usuário
Quadro 7 – Responsabilidade do usuário
Item Descrição Probabilidade Impacto Risco
1 Os usuários são orientados quanto ao trabalho ao tratamento de informações relativas ao órgão?
0,5 100 50 (médio)
2 Os usuários armazenam os documentos e arquivos de trabalho em compartilhamentos na rede?
1,0 100 100 (alto)
3 Por definição, os usuários só podem utilizar senhas seguras para acesso às estações?
0,5 100 50 (médio)
4 Os usuários utilizam os recursos tecnológicos do órgão para trabalho?
0,5 50 25 (médio)
3.5.3 Controle de acesso Lógico a Rede
Quadro 8 – Controle de acesso Lógico a Rede
Item Descrição Probabilidade Impacto Risco
1 É feito autenticação do usuário por login e senha para acesso a estação de trabalho e rede?
0,5 100 50 (médio)
2 É feito controle do acesso à internet com registro os acessos dos acessos dos usuários e bloqueio de vírus da web?
1,0 100 100 (Alto)
3 É feito controle ao recebimento e envio de e-mails e bloqueio de spans e vírus?
1,0 100 100 (Alto)
4 É realizado acesso externo por meio da rede?
1,0 100 100 (alto)
3.5.4 Proteção Lógica Contra Ameaças
Quadro 9 – Proteção Lógica Contra Ameaças
Item Descrição Probabilidade Impacto Risco
1 Com qual frequência é verificado o funcionamento de Antivírus, configurações e atualizações do produto?
0,5 100 50 (médio)
2 Frequência com que é verificado os computadores em busca de vírus.
0,5 100 50 (médio)
48
3.5.5 Backup de Dados
Quadro 10 – Backup de Dados
Item Ameaça Probabilidade Impacto Risco
1 É feito o backup de forma periódica dos dados críticos da instituição?
1 100 100 (Alto)
2 Estes backups são armazenados em local separados dos dados originais?
1 100 100 (Alto)
3 Existe homologação dos backups feitos? 1 100 100 (Alto)
Foi Verificado que é realizado backup do que é armazenado em redes dos sistemas críticos para a empresa Energia
3.6 - Análise de Risco
Após definição das matrizes de risco e da quantificação do risco, foi feita
análise dos itens de acordo com sua pontuação.
3.6.1 Acesso físico e disponibilidade dos serviços das salas:
Item 1 - Há barreiras para evitar acesso não autorizado como catracas,
sensores nas portas?
Foi verificado que a empresa ENERGIA não possui sistema de controle de
acesso as suas dependências internas como catracas e sensores nas portas.
Apenas é feito registro daqueles que chegam até a recepção, enquanto os
funcionários entram sem precisar identificar-se. Nesse caso, seria possível o acesso
às dependências da empresa ENERGIA passando-se por um funcionário.
49
Norma ABNT aplicável ao problema:
9.1.1 Perímetro de segurança física
f) sistemas adequados de detecção de intrusos, de acordo com normas
regionais, nacionais e internacionais, sejam instalados e testados em
intervalos regulares, e cubram todas as portas externas e janelas acessíveis;
as áreas não ocupadas devem ser protegidas por alarmes o tempo todo;
também deve ser dada proteção a outras áreas, por exemplo, salas de
computadores ou salas de comunicações;
Item 2 - É registrado os dados das pessoas que obtiverem acesso à sala?
Foi verificado que não é realizado registro de pessoas que acessam a sala
cofre. É realizado apenas um registro de acesso à empresa ENERGIA na recepção.
Em um caso de incidente seria mais difícil determinar os responsáveis por uma ação
danosa.
Norma ABNT aplicável ao problema:
9.1.1 Perímetro de segurança física
b)Controle :Convém que sejam utilizados perímetros de segurança (barreiras
tais como paredes, portões de entrada controlados por cartão ou balcões de
recepção com recepcionistas) para proteger as áreas que contenham
informações e instalações de processamento da informação.
c) Seja implantada uma área de recepção, ou outro meio para controlar o
acesso físico ao local ou ao edifício; o acesso aos locais ou edifícios deve
ficar restrito somente ao pessoal autorizado;
Item 3 - Os visitantes são acompanhados durante o acesso as salas ?
Foi verificado que ao chegar um visitante na recepção, o segurança confirma
se o visitante está autorizado a entrar, faz anotações dos dados do visitante e
50
permite acesso do mesmo. A partir desse ponto, o visitante poderá ir sozinho até o
seu destino, ou se preferir, acessar outros pontos onde não estava autorizado.
Norma ABNT aplicável ao problema:
9.1.1 Perímetro de segurança física
c) Seja implantada uma área de recepção, ou outro meio para controlar o
acesso físico ao local ou ao edifício; o acesso aos locais ou edifícios deve
ficar restrito somente ao pessoal autorizado;
Item 4 - O circuito interno de câmeras cobre com eficiências as dependências
do Órgão?
Foi verificado que o instituto possui um amplo sistema de câmeras
espalhadas por pontos estratégicos e possui uma sala onde uma equipe de
segurança faz monitoração do circuito interno de câmeras.
Norma ABNT aplicável ao problema:
9.1.1 Perímetro de segurança física
f) sistemas adequados de detecção de intrusos, de acordo com normas
regionais, nacionais e internacionais, sejam instalados e testados em
intervalos regulares, e cubram todas as portas externas e janelas acessíveis;
as áreas não ocupadas devem ser protegidas por alarmes o tempo todo;
também deve ser dada proteção a outras áreas, por exemplo, salas de
computadores ou salas de comunicações;
.
51
3.6.2 Responsabilidade do usuário
Item 1 - Os usuários são orientados quanto ao tratamento de informações
relativas ao órgão?
Foi verificado que os usuários não são orientados quanto ao tratamento dos
dados gerados no órgão. Isso significa que não há tratamento quanto ao sigilo e
segurança por exemplo.
Norma ABNT aplicável ao problema:
11.2 Gerenciamento de acesso do usuário
Objetivo: Assegurar acesso de usuário autorizado e prevenir acesso não
autorizado a sistemas de informação.
Convém que procedimentos formais sejam implementados para controlar a
distribuição de direitos de acesso a sistemas de informação e serviços.
Convém que os procedimentos cubram todas as fases do ciclo de vida de
acesso do usuário, da inscrição inicial como novos usuários até o
cancelamento final do registro de usuários que já não requerem acesso a
sistemas de informação e serviços. Convém que atenção especial seja dada,
onde apropriado, para a necessidade de controlar a distribuição de direitos de
acesso privilegiado que permitem os usuários mudar controles de sistemas.
Item 2 - Os usuários armazenam os documentos e arquivos de trabalho em
compartilhamentos na rede?
52
Foi verificado que os usuários utilizam pouco os recursos de rede para
armazenamento de informações, o que significa que os usuários armazenam suas
informações na própria estação de trabalho. Nesse caso, o risco de perder arquivos
e documentos é muito alto, uma vez que os arquivos não são armazenados em rede,
eles não entrarão na rotina de backup.
Norma ABNT aplicável ao problema:
11.2.1 Registro de usuário
Controle
Convém que exista um procedimento formal de registro e cancelamento de
usuário para garantir e revogar acessos em todos os sistemas de informação
e serviços.
a) verificar se o usuário tem autorização do proprietário do sistema para o
uso do sistema de informação ou serviço; aprovação separada para direitos
de acesso do gestor também pode ser apropriada;
Item 3 - Por definição, os usuários só podem utilizar senhas seguras para
acesso às estações?
Foi verificado que não existe política quanto à criação de uso de senhas nas
estações de trabalho. Devido a isso, muitos usuários anotam suas senhas em locais
fáceis e usam senha simples como “123”, por exemplo.
Norma ABNT aplicável ao problema:
11.2.3 Gerenciamento de senha do usuário
Controle
53
Convém que a concessão de senhas seja controlada através de um processo
de gerenciamento formal.
Solicitar aos usuários a assinatura de uma declaração, para manter a
confidencialidade de sua senha pessoal e das senhas de grupos de trabalho,
exclusivamente com os membros do grupo; esta declaração assinada pode
ser incluída nos termos e condições da contratação;
Item 4 - Os usuários utilizam os recursos tecnológicos do órgão para
trabalho?
Foi verificado que muito usuários utilizam programas que permitem acesso a
material proibido na web. Dessa forma, para acessar material web que não condiz
com o serviço de alguns funcionários, é aberta uma brecha para internet e o risco de
contaminação da rede passa a ser muito grande.
Norma ABNT aplicável ao problema:
11.2.1 Registro de usuário
Controle
Convém que exista um procedimento formal de registro e cancelamento de
usuário para garantir e revogar acessos em todos os sistemas de informação
e serviços.
b) verificar se o usuário tem autorização do proprietário do sistema para o
uso do sistema de informação ou serviço; aprovação separada para direitos
de acesso do gestor também pode ser apropriada;
54
3.6.3 Controle de acesso lógico a rede
Item 1 - É feito autenticação do usuário por login e senha para acesso a
estação de trabalho e rede?
Foi verificado que é feito autenticação do usuário por login e senha para
acesso a estação de trabalho a rede.
Norma ABNT aplicável ao problema:
11.2 Gerenciamento de acesso do usuário
Objetivo: Assegurar acesso de usuário autorizado e prevenir acesso não
autorizado a sistemas de informação.
Convém que procedimentos formais sejam implementados para controlar a
distribuição de direitos de acesso a sistemas de informação e serviços.
Convém que os procedimentos cubram todas as fases do ciclo de vida de
acesso do usuário, da inscrição inicial como novos usuários até o
cancelamento final do registro de usuários que já não requerem acesso a
sistemas de informação e serviços. Convém que atenção especial seja dada,
onde apropriado, para a necessidade de controlar a distribuição de direitos de
acesso privilegiado que permitem os usuários mudar controles de sistemas.
Item 2 - É feito controle do acesso à internet com registro os acessos dos
acessos dos usuários e bloqueio de vírus da web?
Foi verificado que a solução atual de filtro web não é eficaz quanto ao
bloqueio de material web proibido, o mesmo não consegue tratar as páginas HTTPS.
55
Norma ABNT aplicável ao problema:
11.2.1 Registro de usuário
Controle
Convém que exista um procedimento formal de registro e cancelamento de
usuário para garantir e revogar acessos em todos os sistemas de informação
e serviços.
verificar se o usuário tem autorização do proprietário do sistema para o uso
do sistema de informação ou serviço; aprovação separada para direitos de
acesso do gestor também pode ser apropriada;
Item 3 - É feito controle ao recebimento e envio de e-mails e bloqueio de
spans e vírus?
Foi verificado que a empresa ENERGIA possui uma ferramenta de controle de
recebimento de e-mails e que permite bloqueio de SPAMS, envio de e-mails
suspeitos para a quarentena e bloqueio de vírus.
Norma ABNT aplicável ao problema:
10.4.1 Controles contra códigos maliciosos
Controle
Convém que sejam implantados controles de detecção, prevenção e
recuperação para proteger contra códigos maliciosos, assim como
procedimentos para a devida conscientização dos usuários.
Diretrizes para implementação
Convém que a proteção contra códigos maliciosos seja baseada em
softwares de detecção de códigos maliciosos e reparo, na conscientização da
segurança da informação, no controle de acesso adequado e nos controles de
56
gerenciamento de mudanças. Convém que as seguintes diretrizes sejam
consideradas:
c) instalar e atualizar regularmente softwares de detecção e remoção de
códigos maliciosos para o exame de computadores e mídias magnéticas,
de forma preventiva ou de forma rotineira; convém que as verificações
realizadas incluam:
Item 4 - É realizado acesso externo via VPN ou outros meios à rede?
Foi verificado que não é frequente o uso de VPN e também só está disponível
para o Coordenador Geral da CSC.
Norma ABNT aplicável ao problema:
11.4.1 Política de uso dos serviços de rede
Controle
Convém que usuários somente recebam acesso para os serviços que tenham
sido especificamente autorizados a usar.
Diretrizes para implementação
Convém que uma política seja formulada relativamente ao uso de redes e
serviços de rede. Convém que esta política cubra:
d) procedimentos e controles de gerenciamento para proteger acesso a
conexões e serviços de redes;
57
3.6.4 Proteção lógica contra ameaças
Item 1 - Com qual frequência é verificado o funcionamento de
Antivírus, configurações e atualizações do produto?
Verificamos que a utilização do sistema de antivírus está no momento mais
reativo quanta resolução de problemas, do que preventivo, que são medidas que
buscam eliminar ou diminuir o impacto de possíveis ameaças.
Norma ABNT aplicável ao problema:
10.4.1 Controles contra códigos maliciosos
Controle
Convém que sejam implantados controles de detecção, prevenção e
recuperação para proteger contra códigos maliciosos, assim como
procedimentos para a devida conscientização dos usuários.
Diretrizes para implementação
Convém que a proteção contra códigos maliciosos seja baseada em
softwares de detecção de códigos maliciosos e reparo, na conscientização da
segurança da informação, no controle de acesso adequado e nos controles de
gerenciamento de mudanças. Convém que as seguintes diretrizes sejam
consideradas:
d) instalar e atualizar regularmente softwares de detecção e
remoção de códigos maliciosos para o exame de computadores e mídias
magnéticas, de forma preventiva ou de forma rotineira; convém que as
verificações realizadas incluam:
1) verificação, antes do uso, da existência de códigos maliciosos nos
arquivos em mídias óticas ou eletrônicas, bem como nos arquivos
58
transmitidos através de redes;
Item 2 - Frequência com que é verificado os computadores em busca
de vírus.
Verificamos que o sistema de antivírus está configurado para que seja
atualizado automaticamente.
10.4.1 Controles contra códigos maliciosos
Norma ABNT aplicável ao problema:
10.4.1 Controles contra códigos maliciosos
Controle
Convém que sejam implantados controles de detecção, prevenção e
recuperação para proteger contra códigos maliciosos, assim como
procedimentos para a devida conscientização dos usuários.
Diretrizes para implementação
Convém que a proteção contra códigos maliciosos seja baseada em
softwares de detecção de códigos maliciosos e reparo, na conscientização da
segurança da informação, no controle de acesso adequado e nos controles de
gerenciamento de mudanças. Convém que as seguintes diretrizes sejam
consideradas:
e) instalar e atualizar regularmente softwares de detecção e
remoção de códigos maliciosos para o exame de computadores e mídias
magnéticas, de forma preventiva ou de forma rotineira; convém que as
verificações realizadas incluam:
59
3.6.5 Backup de dados
Item 1 - É feito o backup de forma periódica dos dados críticos da
instituição?
FOI VERIFICADO QUE É REALIZADO BACKUP DE QUE É ARMAZENADO
EM REDE DOS SISTEMAS críticos para a empresa ENERGIA.
Norma ABNT aplicável ao problema:
10.1.1 Documentação dos procedimentos de operação
Controle
Convém que os procedimentos de operação sejam documentados,
mantidos atualizados e disponíveis a todos os usuários que deles necessitem.
Diretrizes para implementação
Convém que procedimentos documentados sejam preparados para as
atividades de sistemas associadas a recursos de processamento e
comunicação de informações, tais como procedimentos de inicialização e
desligamento de computadores, geração de cópias de segurança
(backup), manutenção de equipamentos, tratamento de mídias, segurança e
gestão do tratamento das correspondências e das salas de computadores.
Item 2 - Estes backups são armazenados em local separados dos
dados originais?
Foi verificado que os backups são realizados diariamente.
Não há armazenamento de backups pois não são efetuados backups das
informações crítica.
60
Norma ABNT aplicável ao problema:
9.2.1 Instalação e proteção do equipamento
Controle
Convém que os equipamentos sejam colocados no local ou protegidos
para reduzir os riscos de ameaças e perigos do meio ambiente, bem como as
oportunidades de acesso não autorizado.
Diretrizes para implementação
Convém que sejam levadas em consideração as seguintes diretrizes
para proteger os equipamentos:
Item 3 - Existe homologação dos backups feitos?
Foi verificado que os backups são realizado em fita de LTO através do
software Bácula e armazenado no próprio órgão.
Norma ABNT aplicável ao problema:
9.2.1 Instalação e proteção do equipamento
c) os itens que exigem proteção especial devem ser isolados para
reduzir o nível geral de proteção
necessário;
61
CAPÍTULO IV - PROPOSTA DE POLITICA DE SEGURANÇA DA INFORMAÇÃO
4.1 Objetivo
A Adoção da politica de segurança da Informação para a empresa Energia
tem por objetivo Conscientizar a empresa e os funcionários sobre a necessidade de
proteger as informações sejam elas sigilosas ou as manuseadas no dia a dia,
levando sempre em consideração os princípios básicos de segurança,
Confidencialidade, Integridade e disponibilidade. Sempre pensando no crescimento
da empresa.
4.2 Aplicação
Essa Politica de Segurança da informação deve ser seguida e utilizada por todos
os funcionários, e em todos os ambientes da empresa ENERGIA.
4.3 Diretrizes da Política de Segurança
4.3.1 Acesso físico e disponibilidade dos serviços das salas:
a) Toda informação manuseada deve ter seu acesso controlado de acordo com
a sua classificação, visando garantir, assim, o direito individual e coletivo
das informações, a inviolabilidade de sua intimidade e seu sigilo, nos
termos previstos em Lei.
62
4.3.2 Responsabilidade do usuário
a) Os usuários devem ser instruídos para a correta utilização das informações
e
dos recursos computacionais disponibilizados pelo órgão;
b) O usuário é responsável pelo uso adequado das informações a que tenha
acesso.
c) O usuário deve adotar um comportamento seguro e consistente com o
objetivo de proteção das informações a que tem acesso.
4.3.3 Controle de acesso lógico a rede
a) Todo sistema de informação da empresa, bem como seus ativos são de
sua propriedade, devendo ser utilizados exclusivamente para os interesses desta.
b) Todos os prestadores de serviço devem ter ciência de que suas ações no
uso de suas atribuições podem ser monitoradas, e que os registros assim obtidos
poderão ser utilizados para detecção de violações da Política e das Normas de
Segurança da Informação e, conforme o caso, servir como evidência em processos
administrativos e/ou legais.
4.3.4 Proteção lógica contra ameaças
a) As informações geradas, adquiridas, armazenadas, processadas,
transmitidas e descartadas pelas unidades administrativas devem ter mecanismos
de proteção adequados, de forma a proteger sua confidencialidade, integridade,
disponibilidade, autenticidade e legalidade.
63
b) A área de Gestão de Segurança da Informação deve realizar, de forma
sistemática, a avaliação dos riscos relacionados à segurança de suas informações;
4.3.5 Backup de dados
a)Todos os computadores devem possuir um sistema de back-up automático
de todos os arquivos no nosso servidor.
b) Além do backup normal no servidor pelo bácula, é necessário uma copia
desses arquivos em outro local.
64
CAPÍTULO V – CONCLUSÃO
O trabalho foi elaborado com o intuito de mostrar as falhas encontradas e
elaborar uma proposta de Política de Segurança da Informação com base nas
orientações da ABNT NBR ISO/IEC 27002 (2005) para a empresa ENERGIA.
Atualmente a Instituição não possui uma Política de Segurança da Informação.
O trabalho desenvolvido mostra o quão é importante o levantamento dos
ativos e a análise de risco e para apresentar a empresa ENERGIA, os ônus por não
possuir o documento formal de uma Política de Segurança da Informação. Como por
exemplo a não punição aos usuários que cometem falhas que vão contra as regras
do instituto. Esse foi o maior problema encontrado. Ainda assim, a empresa
ENERGIA sem um documento formal de uma Política de Segurança da Informação,
mostrou-se cuidadosa com os dados, pois foram encontradas poucas falhas de
segurança física e lógica.
Para a melhoria das falhas encontradas conclui-se que a melhor opção a ser
adotada, a empresa é a elaboração do documento formal de uma Política de
Segurança da Informação, para que possa ser efetiva, é necessário que seja
permanentemente revista e baseada em processos (técnicos e organizacionais).
São estas políticas que vão delinear o papel da segurança da informação
dentro da organização, identificando os ativos principais, definindo políticas de
confidencialidade e acessibilidade, e também como esses ativos lsão protegidos.
Apresentando ainda procedimentos e métodos de organização da informação, com o
intuito de cumprir as exigências regulatórias.
Ressalta-se que os conhecimentos adquiridos ao longo do curso foram
essenciais para o estudo e elaboração do trabalho.
65
REFERÊNCIAS
ABNT NBR ISO/IEC27002:2005. Disponível em: <http://www.concursopedia.com/ABNT_NBR_ISO/IEC_27002-2005#An.C3.A1lise_cr.C3.ADtica_t.C3.A9cnica_das_aplica.C3.A7.C3.B5es_ap.C3.B3s_mudan.C3.A7as_no_sistema_operacional> Acesso em: 1 mai. 2013. Silva, Eliane Jorcelina da. Segurança de Dados: Notas de Aula. Faculdades Integradas Promove de Brasília, 2007 ARAUJO, M. T.; FERREIRA, F. N. F. Politica de Segurança da Informação Guia Pratico para elaboração e implementação. Rio de Janeiro: Ciência Moderna, 2008. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS ABNT NBR ISO/IEC27002. Brasil: ABNT - Associação Brasileira de Normas Técnicas, 2005. ENGST, A.; FLEISHMAN, G. Kit do iniciante em redes sem Fio: Guia pratico sobre redessem Wi-Fi para Windows. São Paulo: Pearson Makron Books, 2005. FERREIRA, F. N. F. Politica de Segurança da Informação. Rio de Janeiro: Ciência Moderna, 2003. Gonçalves, Juliano Lucas. Segurança da Informação. Disponivel em: <http://docente.lages.ifsc.edu.br/juliano.goncalves/MaterialDidatico/Seguran%C3%A7a%20da%20Informa%C3%A7%C3%A3o/Aula%2001%20-%20Conceitos%20b%C3%A1sicos.pdf> Acesso em: 4 mai. 2013 HORTON, M.; MUGGE, C. Hack notes: segurança de redes. Rio de Janeiro: Elsevie, 2003. MOREIRA, N. Segurança Minima. Rio de Janeiro: Axcel Books, 2001. 200p. O que vem ser Segurança da Informação. Milton Ferreira - Certificate IT Infrastructure Library® - ITIL Analista de Segurança da Informação e Sistemas Disponível em: <http://www.apinfo.com/artigo81.htm> Acesso em: 14 mai. 2013 SAWAYA, M. R. Dicionário de Informática e Internet: Inglês e Português. São Paulo: Nobel, 1999. Segurança da informação. Disponível em: <http://www.proflucianofigueiredo.kit.net/CEF/aula7_7.pdf> Acesso em: 14 mai. 2013