proposta de polÍtica de seguranÇa da...

Curso de Tecnologia em Segurança da Informação PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA

E LÓGICA PARA O CENTRO DINÂMICO DE APRENDIZAGEM - COLÉGIO CDA

Domingos Sávio de Arruda Bueno

Nei Evandro dos Santos

Brasília - DF 2016

Domingos Sávio de Arruda Bueno

Nei Evandro dos Santos

PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA O CENTRO DINÂMICO DE APRENDIZAGEM – COLÉGIO CDA

Trabalho de Conclusão de Curso apresentado às Faculdades Integradas Promove de Brasília como requisito parcial para obtenção do título de tecnólogo em Segurança da Informação. Orientadora: Prof.ª Dr.ª Maria José de Oliveira

Brasília - DF 2016

FICHA CATALOGRÁFICA

Bueno, Domingos Sávio de Arruda. Proposta de Política de Segurança da Informação Física

e Lógica para o Centro Dinâmico de Aprendizagem – Colégio CDA / Bueno, Domingos Sávio de Arruda; Santos, Nei Evandro.-- Brasília, 2016.

54f. Monografia (Curso de Tecnologia em Segurança da

Informação) – Faculdades Integradas Promove de Brasília 1. Segurança da Informação. 2. Política de Segurança.

I. Título.

Autor(es): Domingos Sávio de Arruda Bueno e Nei Evandro dos Santos Título do trabalho: Proposta de Segurança da Informação Física e Lógica do Centro Dinâmico de Aprendizagem – Colégio CDA.

Trabalho de Conclusão de Curso apresentado às Faculdades Integradas Promove de Brasília como requisito parcial para a obtenção do título de tecnólogo em Segurança da Informação.

Aprovado em _____/_____/______:

Orientadora: Prof.ª Dr.ª Maria José de Oliveira Faculdades Integradas Promove de Brasília Avaliador Prof.º MSc Cid Bendahan Coelho Cintra Faculdades Integradas Promove de Brasília Avaliador Prof.º Weldes Lima Oliveira Faculdades Integradas Promove de Brasília

CESSÃO DE DIREITOS

DEDICATÓRIA

Dedicamos este trabalho,

aos nossos pais, pela educação e exemplo recebidos

e às esposas e filhos pela paciência e compreensão

nos momentos de estudo.

AUTORES:

Domingos Sávio de Arruda Bueno Nei Evandro dos Santos

TÍTULO: PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA O CENTRO DINÂMICO DE APRENDIZAGEM - COLÉGIO CDA. GRAU/ANO: Tecnólogo/2016. É concedida à Faculdades Integradas Promove de Brasília a permissão parcial para reproduzir cópias da INTRODUÇÃO, RESUMO E CONCLUSÃO desta monografia e para emprestar tais cópias somente para propósitos acadêmicos e científicos. Os autores reservam outros direitos de publicação e nenhuma parte desta monografia pode ser reproduzida sem a autorização por escrito dos autores.

Domingos Sávio de Arruda Bueno [email protected]

Nei Evandro dos Santos [email protected]

AGRADECIMENTOS Primeiramente a Deus, que fez o céu, a terra e tudo que neles há. A ele toda a honra e toda a Glória. A minha mãe, Maria, pela vida, cuidado e dedicação.

A meu pai, Francisco, pelo suporte e exemplo. A esposa Mani, dona do meu coração. Nada disso seria possível sem o seu apoio. Aos filhos João Miguel e Vitor. Vocês deram um novo significado à minha existência. A orientadora, Maria José de Oliveira, que acreditou no nosso potencial e nos proporcionou essa oportunidade. Ao colega de projeto, Sávio, pelo desprendimento e excelência. As Faculdades Integradas Promove de Brasília. Nei Evandro dos Santos Agradeço ... A Deus, que me concedeu a oportunidade de estar aqui e poder, junto a meus familiares e amigos, estar sempre em constante crescimento espiritual e moral. Com base em seus ensinamentos e infinito amor. A meus pais, Neide e Marelson Bueno, por sempre acreditarem que tudo é possível com paciência, perseverança e amor. Aos meus irmãos, Chris e Rodrigo, pelos grandes momentos de união, principalmente em momentos difíceis. Ao amor da minha vida, Daniela Cortez, por estar sempre ao meu lado, apoiando em todos os momentos. Por estar sempre dentro do meu coração, mostrando que é possível ser feliz. Aos meus filhos, Letícia e Arthur, pela oportunidade de crescimento, de amadurecimento e da prática do amor. À querida Professora Doutora Maria José de Oliveira, por acreditar que a educação é o caminho necessário ao crescimento humano. Pela oportunidade dada e recebida com muito carinho e admiração. Ao colega de projeto Nei Evandro, pela força e tranquilidade, transmitida ao longo desta caminhada. Aos grandes amigos professores e amigos de classe, conquistados nestes anos de estudo e dedicação. Aos funcionários do Colégio CDA, pela oportunidade concedida. Muito obrigado, de coração.

Sávio Bueno

“Não confunda jamais conhecimento com sabedoria.

Um o ajuda a ganhar a vida. O outro a construir uma vida.”

Sandra Carey

RESUMO O presente estudo tem por objetivo propor uma Política de Segurança da Informação física e

lógica, de acordo com a Norma ABNT NBR ISO/IEC 27002 (2005), para a Escola Centro

Dinâmico de Aprendizagem, Colégio CDA. Para desenvolvimento da política adotou-se

como metodologia a análise da literatura pertinente ao tema, das normas de segurança da

informação, visitas à instituição e encontros com a direção da instituição para levantamento

de dados. Foram observadas vulnerabilidades no uso, tratamento e armazenamento da

informação pela instituição. Como resultado, foi elaborada a proposta de Política de

Segurança da Informação do Colégio CDA.

Palavras-chave: Segurança da Informação, Política de Segurança da Informação,

informação, ativos, risco e vulnerabilidade.

ABSTRACT This study aims to propose a Security Policy of physical and logical information, according

to Standard ISO/IEC 27002 (2005), for the School of Dynamic Learning Center, CDA

College. For development policy was adopted as a methodology to analyze the relevant

literature to the topic of information security standards, the institution visits and meetings

with the management of the institution for data collection. Vulnerabilities have been

observed in the use, treatment and storage of information by the institution. As a result, it was

elaborated the draft Security Policy of Information of the CDA College.

Keywords: Information security, Information Security Policy, information, assets, risk,

vulnerability.

LISTA DE ILUSTRAÇÕES, QUADROS E TABELAS Ilustrações

Ilustração 1 - Entrada principal do Colégio CDA 27

Ilustração 2 - Vista dos fundos da escola 28

Ilustração 3 - Vista do condomínio 28

Ilustração 4 - Área de circulação frontal 29

Ilustração 5 - Área de circulação nascente 30

Ilustração 6 - Área de circulação poente 30

Ilustração 7 - Corredor principal 31

Ilustração 8 - Acesso à sala da Secretaria 32

Ilustração 9 - Secretaria 32

Ilustração 10 - Diretoria 33

Ilustração 11 - Fiação elétrica e lógica da sala da Diretoria 33

Ilustração 12 - Armários da diretoria 34

Ilustração 13 - Câmera do corredor 35

Ilustração 14 - Cozinha 36

Ilustração 15 - Porta de saída da cozinha com sensor 36

Ilustração 16 - Coordenação 38

Ilustração 17 - Laboratório de informática 40

Quadros Quadro 1 - Níveis de impacto 22

Quadro 2 - Níveis de probabilidade 23

Quadro 3 - Matriz de risco do colégio 42

Tabelas Tabela 1 - Matriz de risco 24

Tabela 2 - Vulnerabilidades 40

Lista DE SIGLAS ABNT – Associação Brasileira de Normas Técnicas.

ISO - International Organization for Standardization.

SI - Segurança da Informação

PSI - Política de Segurança da Informação.

TI - Tecnologia da Informação.

CDA - Centro Dinâmico de Aprendizagem.

CPU - Central Única de Processamento.

DVR - Digital Video Recorder

SUMÁRIO Capítulo 1 Introdução 10

1.1 Problema 10

1.2 Objetivos 11

1.2.1 Geral 11

1.2.2 Específicos 11

1.3 Abrangência 12

1.4 Justificativas 12

1.5 Procedimentos Metodológicos 12

1.6 Organização da Monografia 13

Capítulo 2 Referencial Teórico 14

2.1 Informação 14

2.1.1 Dado 14

2.1.2 Informação 14

2.1.3 Ativo 15

2.1.4 Gestão da Informação 15

2.1.5 Classificação da Informação 16

2.2 Segurança 17

2.2.1 Segurança da Informação 18

2.2.2 Normas de Segurança 19

2.2.3 Segurança da Informação na Internet 19

2.2.4 Incidente de Segurança da Informação 20

2.2.5 Vulnerabilidades 20

2.2.6 Ameaças 20

2.2.7 Ameaças à Informação 20

2.3 Risco 21

2.3.1 Gestão de Risco 21

2.3.2 Análise de Risco 21

2.3.3 Determinação do Nível de Impacto 22

2.3.4 Determinação das Probabilidades 23

2.3.5 Matriz de Risco 23

2.3.6 Política de Segurança da Informação 24

Capítulo 3 Estudo de Caso 26

3.1 Sobre o Colégio CDA 26

3.1.1 Estrutura Física 26

3.1.2 Estrutura Lógica 37

3.1.2.1 Análise das Vulnerabilidades e dos Riscos Físicos e Lógicos 40

3.1.2.2 Identificação dos Riscos Verificados no Colégio 42

3.1.2.3 Análise dos Riscos Encontrados 43

Capítulo 4 Proposta de Política de Segurança da Informação – PSI 44

4.1 Contextualização da Política 44

4.2 Objetivos 45

4.3 Abrangência 45

4.4 Termos e Definições 45

4.5 Referências 46

4.6 Diretrizes de Segurança 46

4.6.1 Organizando a Segurança da Informação 47

4.6.2 Recursos Humanos 47

4.6.3 Acesso e Controle dos Ativos de Informação 48

4.6.4 Controle e Classificação da Informação 49

4.6.5 Cópias de Segurança 49

4.6.6 Controle de Acesso e Segurança de Documentos e Sistemas 49

4.6.7 Monitoramento 50

4.6.8 Política de Mesa Limpa e Tela Limpa 50

4.6.9 Acesso e Uso de Sistemas e Rede 51

4.6.10 Correio Eletrônico 51

4.6.11 Proteção de Equipamentos 52

4.7 Responsabilidades 52

4.8 Conformidade 53

4.9 Penalidades 53

4.10 Disposições Finais 53

Capítulo 5 Conclusões 54

Referências 55

10

Capítulo 1

INTRODUÇÃO

A informação é, em boa parte das empresas, o ativo mais valioso. Toda a história da

empresa, as especificações de seus produtos, serviços, seus clientes, fornecedores e

funcionários, tudo deve ser registrado e arquivado para a continuidade dos negócios. A perda

ou o vazamento das informações pode prejudicar ou até mesmo inviabilizar a continuidade

das atividades de uma empresa.

Segundo Xavier e Costa (2009, p.6), “a informação e o conhecimento são,

simultaneamente, causa e efeito um de si mesmos”. Portando, em uma instituição de ensino,

que tem na transmissão do conhecimento seu principal objetivo, a informação adquire um

valor ainda maior.

Mas se por um lado a informação pode ser um bem muito valioso, por outro, nos dias

de hoje, também é um algo abundante, em especial, na Internet, rede mundial de

computadores. Ao se conectar à Internet, tem-se acesso a uma quantidade enorme de

informação, mas a Internet também representa um desafio quanto ao sigilo, quanto esta

informação não deve ser divulgada. A Internet, de certa forma, aproxima um grande número

de agentes mal-intencionados prontos a roubar, ou danificar informação, ou apenas causar

danos aos sistemas.

Como toda empresa e instituição de ensino, o Centro Dinâmico de Aprendizagem -

Colégio CDA, também tem na informação um ativo muito valioso. O presente trabalho

propõe uma Política de Segurança da Informação com as diretrizes para uma gestão eficiente

dos ativos de informação. Na política foram estudadas as vulnerabilidades, analisados os

riscos e traçadas as estratégias para a mitigação destes riscos.

1.1 PROBLEMA

O Colégio CDA trabalha com a informação de várias maneiras. Seu principal produto

é o conhecimento que busca transmitir aos alunos. O conhecimento é informação

armazenada, e pode-se dizer, que a informação é o principal produto da instituição. A

informação se apresenta na forma de cadastros (de dados de alunos, de dados de

11

funcionários), de inventário de bens, de sistemas de Tecnologia da Informação (TI), enfim,

de diversas formas, a informação está presente no dia a dia do Colégio CDA.

Não obstante, até a presente data, o Colégio CDA não possui uma Política de

Segurança de Informação. Em momento algum foram definidas regras para a gestão desse

ativo tão importante para o Colégio.

Este estudo procura preencher esta lacuna.

1.2 OBJETIVOS 1.2.1 Geral

Propor uma Política de Segurança da Informação física e lógica, de acordo com a

Norma ABNT NBR ISO/IEC 27002 (2005), para a Escola Centro Dinâmico de

Aprendizagem, Colégio CDA.

1.2.2 Específicos

Foram desenvolvidos os seguintes objetivos específicos:

• Levantar os ativos da instituição e os sistemas que dão suporte às atividades;

• Identificar os riscos, por meio da identificação das ameaças aos ativos e das

vulnerabilidades que possam ser exploradas por essas ameaças.

• Analisar os riscos através da atribuição de valores aos ativos, estabelecendo os níveis

de aceitabilidade do risco e a aplicação do tratamento adequado;

• Estimar os impactos que as perdas de confidencialidade, integridade, disponibilidade

e autenticidade podem causar aos ativos;

• Elaborar diretrizes e normas de segurança da informação sobre os seguintes aspectos:

o Acessos externos, internos, físico e lógico;

o Uso da Intranet e Internet;

o Uso e instalação de softwares;

o Uso de correio eletrônico;

• Propor a aplicação da Política de Segurança da Informação desenvolvida.

12

1.3 ABRANGÊNCIA

As diretrizes estabelecidas deverão ser seguidas por todos os funcionários,

prestadores de serviço, clientes, fornecedores e visitantes, que tenham ou venham a ter

contato através de acesso local ou remoto a quaisquer bens ou serviços de tecnologia da

informação adquiridos, desenvolvidos, disponibilizados ou mantidos pelo Centro Dinâmico

de Aprendizagem, Colégio CDA.

A Proposta de Política de Segurança da Informação dará ciência a cada funcionário de

que os ambientes, documentos, sistemas, computadores e redes da empresa poderão ser

monitorados e gravados, com prévia informação, conforme previsto nas leis brasileiras.

1.4 JUSTIFICATIVAS

O presente estudo se justifica porque proporcionará ao Colégio CDA:

• Uma estratégia eficiente para a gestão de seus ativos de informação.

• O estabelecimento de diretrizes claras para a SI - Segurança da Informação.

• A definição de maneira clara e transparente, da responsabilidade de cada funcionário

da instituição dentro da SI.

• A base para o desenvolvimento de outros procedimentos que visem o crescimento da

instituição.

• A mitigação de riscos operacionais e legais.

1.5 PROCEDIMENTOS METODOLÓGICOS

O presente estudo valeu-se de dados colhidos em visitas ao Colégio CDA. Nestas

visitas foram realizadas observações e levantamentos de ativos e vulnerabilidades em todo o

ambiente que abriga o Colégio CDA, em sua estrutura física e lógica. Foram realizadas

entrevistas não estruturadas com os administradores e com funcionários da instituição.

Os dados coletados foram analisados tomando-se como parâmetro as normas ABNT

NBR ISO/IEC 27001:2013, ISO/IEC 13335 e em especial a ABNT NBR ISO/IEC

27002:2005.

Para análise de risco foi utilizada a norma ABNT NBR ISO/IEC 27005 (2008) e as

orientações propostas por Fernando Nicolau Freitas Ferreira e Márcio T. Araújo no livro

13

Política de Segurança da Informação (2006).

1.6 ORGANIZAÇÃO DA MONOGRAFIA Esta monografia está organizada em cinco capítulos, como se segue:

• Capítulo 1 – Introdução.

• Capítulo 2 – Referencial Teórico.

• Capítulo 3 – Estudo de caso.

• Capítulo 4 – Proposta de Política de Segurança da Informação (PSI).

• Capítulo 5 – Conclusões.

• Referências.

14

Capítulo 2

REFERENCIAL TEÓRICO

2.1 INFORMAÇÃO 2.1.1 Dado

Define-se dado como “uma sequência de símbolos quantificados ou quantificáveis”

(SETZER, 2015). Segundo Rezende (2005, p.5) “o dado é um elemento puro, quantificável

sobre um determinado evento”. Um dado é a representação de um evento e pode não ter um

significado individual Como exemplo: um caractere sozinho pode não ter nenhum significado

para a pessoa que o lê, mas um conjunto de caracteres formando palavras e frases passam a

ser um texto, ou seja, uma informação.

No sentido da Tecnologia da Informação, de acordo com Norton (1996, p.102),

“dados são os sinais brutos e sem significado individual que os computadores utilizam para

produzir informações”.

2.1.2 Informação Informação é “qualquer ideia ou fato que possa ser registrada ou transmitida de

alguma forma” (CARIBÉ; CARIBÉ, 1996, p.13). Um livro, uma música, uma imagem, são

informação.

Segundo Sêmola (2003, p.51), “informação é o conjunto de dados utilizados na

transferência de uma mensagem”. Enquanto o dado pode não ter um significado, um conjunto

de dados organizados forma a informação, que já possui um significado.

Para que possa assim ser considerada, a informação deve ser registrada. Por exemplo,

o vento, em si não é um dado ou informação. Quando passa-se a medir, em um determinado

local, a velocidade do vento, você tem um dado, a velocidade do vento naquele instante.

Agora quando se passa a organizar esses dados, registrando a velocidade do vento a cada

hora, tem-se então a informação do comportamento do vento a cada hora.

A informação pode ser armazenada e transmitida de diversas maneiras, como por

exemplo por meio de uma folha de papel, um arquivo de computador, a memória de uma

pessoa ou a voz humana.

As pessoas e organizações, em suas atividades, produzem informação, seja por meio

de registros de suas atividades, pela experiência ou pela busca do conhecimento. A

15

informação também é registrada de diversas maneiras. As cláusulas do contrato de trabalho

de um funcionário são arquivadas fisicamente no departamento de pessoal, as trocas de

mensagens eletrônicas entre os funcionários são arquivadas em meio lógico nos servidores de

e-mail; a experiência em lidar com situações inesperadas na produção industrial está

registrada na memória do funcionário. A informação acumulada, por meio da produção ou

aquisição, pela empresa ou indivíduo, é essencial para a execução de suas atividades. Para

uma escola, é vital que haja uma lista de alunos, uma tabela de cargos e funções, uma escala

de trabalho, um calendário acadêmico.

2.1.3 Ativo

Segundo Dantas (2011, p.21) “o ativo compreende o conjunto de bens e direitos de

uma entidade”.

Outro conceito é o de que ativo é “tudo aquilo que possui valor para a organização”

(ISO/IEC 13335-1:2004, p.1). Como exemplo, tem-se a informação.

Com a evolução dos meios de registros da informação, ao longo da história, muita

informação passou a ser acumulada. Com o advento da tecnologia e da informática, o volume

de informação registrada e acumulada deu um grande saldo e com a popularização da

Internet e das mídias, essa quantidade de informação passou a estar disponível a qualquer

pessoa conectada.

Neste cenário é crescente a necessidade de qualidade e segurança nas informações. A

informação segura e de qualidade tornou-se um diferencial competitivo e verdadeiro requisito

à operação e à continuidade dos negócios de empresas e pessoas (SILVA, 2008, p.3). Para

muitas pessoas e empresas, a informação passou a ser considerada o seu principal ativo e

como tal, deve ser protegida.

2.1.4 Gestão da Informação Ao reconhecer a importância da informação para a continuidade de seus negócios,

cabe à empresa gerir esse importante ativo. A gestão da informação é especialmente estudada

pela Ciência da Informação.

“A Gestão da Informação é um processo que consiste nas atividades de busca,

identificação, classificação, processamento, armazenamento e disseminação de informações,

independentemente do formato ou meio em que se encontra (seja em documentos físicos ou

digitais)” (GESTÃO DA INFORMAÇÃO, 2009, n.p.).

16

Pode-se ainda detalhar os passos da gestão da informação da seguinte maneira:

• Busca: pesquisa com a finalidade de encontrar fontes, e fontes confiáveis para se

obter as informações desejadas.

• Identificação: aferição da relevância das informações coletadas e determinação, entre

estas, de quais atendem as necessidades da organização.

• Classificação: classificar as informações de acordo com a características e relevância

identificadas.

• Processamento: tornar a informação mais adequada ao seu uso e mais compreensível

a quem se destina.

• Armazenamento: caso seja necessário, armazena-se a informação, de maneira a

facilitar a utilização futura.

• Disseminação: trata-se de fazer a informação chegar a quem se destina, no momento

em que deve chegar. (GESTÃO DA INFORMAÇÃO, 2009, n.p.).

2.1.5 Classificação da Informação

Proteger a informação pode acarretar em custos, e esses custos dependem do nível de

proteção que se dá a cada ativo. Dar um nível de proteção alto a todos os ativos resultará em

custos desnecessários, pois nem todos os ativos necessitam do mesmo nível de proteção.

Conclui-se que é necessário classificar a informação em função do nível de criticidade desta

na organização. Essa classificação aperfeiçoará o uso dos recursos de informação e auxiliará

a tomada de decisões.

Outro benefício da classificação é manter harmonia entre a confidencialidade e a

disponibilidade das informações, uma vez que um controle muito rígido no acesso às

informações atrapalha a disponibilidade para aquelas que deveriam estar mais acessíveis.

Alguns pontos, como os citados a seguir, são relevantes na classificação da

informação:

• O objeto de negócio da empresa ou indivíduo. O tipo de produto ou serviço oferecido

é determinante para indicar quais informações devem ser mais protegidas. Como

exemplo, para uma empresa de seguros, o cadastro de seus clientes é um ativo muito

importante e se em mãos da concorrência, permitiria que estes fossem abordados com

ofertas de negócio. Por outro lado, também e muito importante que os dados do

17

cliente estejam prontamente disponíveis quanto ele ligar para acionar alguma

assistência ou registrar um sinistro.

• A legislação que protege determinados ativos. Muitas vezes a falha na proteção da

informação pode resultar em riscos legais. Também como exemplo, o registro das

transações financeiras de um cliente de banco é protegido pela lei do Sigilo Bancário

(BRASIL, 2001). Para o banco, a confidencialidade desses registros é de suma

importância, por outro lado, a disponibilidade do registro deve ser assegurada a cada

momento em que o cliente quiser acessá-las nos veículos de comunicação autorizados

a recuperá-las.

Em geral, classifica-se a informação em função das consequências da perda,

divulgação, alteração indevida ou indisponibilidade da mesma para a organização. Neste

modelo, apresenta-se abaixo o exemplo de classificação dada por Ferreira (2003, p.23-24):

• Classe 1: Não classificada – Informação pública, que não trará impacto se divulgada

fora da empresa. Ex. folders publicitários.

• Classe 2: Interna – Informação que, embora preferencialmente deva permanecer de

conhecimento interno, caso chegue ao conhecimento externo, não trariam

consequências críticas. Ex. lista de cargos e funções.

• Classe 3: Confidencial – Informação que, caso comprometida, traria consequências

graves à instituição. Deve ter seu acesso externo impedido e controlado dentro da

empresa. Ex. dados pessoais de funcionários.

• Classe 4: Secreta – Informações críticas para a empresa. No caso de perda, causariam

danos críticos e irreparáveis, comprometendo até mesmo a continuidade dos

negócios. Além de não ser permitido o acesso externo, deve ter o seu acesso interno

restrito a um número muito pequeno de pessoas, com regras para a sua utilização. Ex.

ações disciplinares envolvendo funcionários.

2.2 SEGURANÇA

A segurança pode assumir variados conceitos, dependendo da área a que se aplica,

como por exemplo segurança pública ou segurança do trabalho.

Segundo o Dicionário Aurélio (2008), entre outros significados, compreende-se como

segurança: qualidade do que é ou está seguro; conjunto das ações e dos recursos utilizados

para proteger algo ou alguém; o que serve para diminuir os riscos ou os perigos.

18

De uma maneira geral, pode-se afirmar que segurança é o ato de deixar algo ou

alguém seguro.

2.2.1 Segurança da Informação A informação é um bem de grande valor para as pessoas e organizações e como todo

bem valioso, ela deve ser protegida. Segundo Ferreira (2003, p.1), a segurança da informação

é a área da Gestão de Segurança que trata da proteção da informação das diversas ameaças a

que está exposta, com por exemplo o roubo, a adulteração e a indisponibilidade, garantindo a

continuidade dos negócios.

Entre os aspectos da Segurança da Informação, podem-se destacar as seguintes:

1) Confidencialidade: capacidade de permitir o acesso à informação por parte de

alguns enquanto impede o acesso de outros. O sistema deve permitir o controle

deste acesso, autorizando-o a quem lhe for de direito e negando o acesso a quem

não for autorizado.

2) Integridade: capacidade de garantir que a informação esteja completa, ou seja,

mantenha todas as características originais, não tenha sido corrompida.

3) Disponibilidade: segundo Ferreira (2003, p.2) “garantia de que os usuários

autorizados obtenham acesso à informação e aos ativos sempre que necessário”.

4) Autenticação: garantia que o usuário que acessa o sistema é realmente quem alega

que seja.

5) Não repudio: capacidade de poder provar que determinada ação foi executada por

determinado usuário, sem margem para negativa.

6) Legalidade: aderência do sistema à legislação vigente.

7) Privacidade: capacidade de, quando necessário, manter um usuário anônimo, sem

que se possa atribuir a este as ações executadas. O sistema deve permitir um

controle e manter a transparência sobre quais ações e quais dados podem ser

atribuídos ao usuário e compartilhados com outros usuários.

8) Auditoria: capacidade de se poder auditar as ações do usuário, possibilitando a

detecção de fraudes, mau uso ou tentativas de ataque.

Pode-se, portanto, considerar que Segurança da Informação seja o conjunto de ações

voltadas a garantia das características supracitadas.

19

2.2.2 Normas de Segurança Entre as normas desenvolvidas por organizações internacionais de normatização,

muitas delas são voltadas para a segurança. Entre estas organizações, destacam-se a

International Organization for Standardisation (ISO) (Organização Internacional para

Padronização) fundada em 1947 e a International Electrotechnical Commission (IEC)

(Comissão Eletrotécnica Internacional), fundada em 1906, ambas em Genebra, na Suíça. A

IEC trata de temas relacionados ao setor elétrico e eletrônico. A ISO trata dos demais temas.

Cada país também possui o seu organismo normativo que representa os organismos

internacionais. No Brasil, a ISO e a IEC são representadas pela Associação Brasileira de

Normas Técnicas (ABNT).

Quando uma norma internacional é adotada pelo organismo nacional, a norma

nacional adota a mesma designação da norma ISO ou IEC. Como exemplo, a norma ABNT

NBR ISO/IEC 27005 é a adoção, na íntegra, da norma ISO/IEC 2705.

No presente estudo de Política de Segurança da Informação, foram utilizadas como

base as seguintes normas:

• ABNT NBR ISO/IEC 27001: Requisitos de sistemas de gestão da segurança da

informação.

• ISO/IEC 13335: Técnicas de gestão da segurança da informação.

• ABNT NBR ISO/IEC 27002: Código de prática para controles de segurança da

informação.

2.2.3 Segurança da Informação na Internet Muitas pessoas e empresas utilizam a Internet para comunicação, aquisição e oferta de

produtos e serviços. Empresas também utilizam a internet para prover soluções que são

acessadas por funcionários remotamente. O ambiente web se estende até mesmo ao interior

das organizações, através das intranets, redes internas que utilizam interface web

(GUIMARÃES, 2010). Quanto maiores os investimentos em soluções e serviços web, mais

valiosos se tornam os ativos envolvidos e mais importantes passa a ser a proteção desses

ativos.

A segurança, voltada para o ambiente web, se dá de várias maneiras, começando por

equipamentos e softwares voltados para a segurança, como firewalls, antivírus e detectores

de intrusão. Também se faz igualmente importante a configuração correta dos equipamentos

e softwares e, por fim, a conscientização e capacitação de todo o quadro de funcionários.

20

2.2.4 Incidente de Segurança da Informação Entende-se por incidente de segurança, “um evento que possa causar a interrupção do

processo de negócio, através da quebra de algum dos aspectos da segurança da informação,

como a confidencialidade, integridade e disponibilidade” (LYRA, 2008, p.4).

Segundo o CERT (2004), “um incidente de segurança em computadores pode ser

definido como uma atividade nas máquinas ou na rede que possa ameaçar a segurança dos

sistemas computacionais”. Como exemplos, pode-se citar invasões, infecção por vírus e

negação de serviço.

2.2.5 Vulnerabilidades Segundo Wadlow (2000, p.12), “vulnerabilidades são os pontos fracos existentes nos

ativos, que quando explorados por ameaças, afetam a confiabilidade, a disponibilidade e a

integridade das informações de uma pessoa ou organização”.

Em específico na área de TI, Lasdowsky (2013, p.8) conceitua vulnerabilidades como

as “brechas nos sistemas desatualizados ou mal desenvolvidos, que usuários mal-

intencionados utilizam para acessar os conteúdos”

Resumidamente, vulnerabilidades são as brechas que quando exploradas, permitem a

ocorrência de incidentes de segurança.

2.2.6 Ameaças

Segundo Alencar (2015, p.10) ameaça “é qualquer situação, com intenção maliciosa

ou não, que possa colocar em risco ou trazer algum prejuízo para os ativos de uma

empresa através da exploração de vulnerabilidades”. Não há como prever em que momento

se dará uma ameaça.

De acordo com Sêmola (2003, p.52-53), pode-se ser dividir as ameaças nos seguintes

grupos:

• Naturais: decorrentes de fenômenos da natureza, como enchentes e terremotos. • Involuntárias: causadas de maneira inconsciente ou por desconhecimento, como imperícia ou a perda de dados por queda de energia. • Voluntárias: causadas voluntariamente, como ataque de hackers ou infecção por vírus.

2.2.7 Ameaças à Informação As ameaças à informação estão diretamente ligadas à três das principais

características da informação: confidencialidade, integridade e disponibilidade. De acordo

21

com a característica atingida pode-se classificá-las como:

• Perda de Confidencialidade: ocorre ao serem disponibilizadas informações

restritas à pessoa não autorizada. Exemplo: o vazamento de dados de cartões de

crédito de clientes de uma loja virtual.

• Perda de Integridade: ocorre quando há alteração indevida, perda de parte ou do

todo da informação. Exemplo: a alteração das notas através de acesso indevido de

aluno ao sistema da escola.

• Perda da disponibilidade: ocorre quando a informação não está disponível a quem

deveria. Exemplo: a queda da comunicação de um computador da rede com o

servidor

Os conceitos acima descritos, reúnem ideias apresentadas em Ameaças (s.n.t.) e

Ferreira (2003, p.99-100).

2.3 RISCO Compreende-se risco, como a combinação entre a probabilidade de um evento acorrer

e o impacto de sua ocorrência. Em outras palavras, a combinação entre a classificação que foi

dada à informação e a probabilidade da ocorrência de alguma ameaça (FERREIRA, 2003,

p.101).

Por sua vez, Fontes (2010) define risco como “a possibilidade de uma determinada

ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira

prejudicando a organização”.

2.3.1 Gestão de Risco Tendo-se em vista o valor dos ativos da organização e os riscos a que estão expostos,

é necessário estabelecer estratégias para controla-los e leva-los a um nível aceitável. Chama-

se a isto Gestão de Riscos.

Segundo Vitoriano (2012, n.p.), “gestão de risco é a adoção de medidas e políticas

que busquem o equilíbrio entre riscos e custos. Comporta os processos de planejamento,

organização, direção e controle dos recursos da empresa”.

A principal ferramenta da Gestão de Risco é a Análise de Riscos.

2.3.2 Análise de Risco Apesar de já se ter a percepção dos riscos a que estão expostos os ativos de

informação da instituição, esta é um tanto qualitativa e abstrata. Para a tomada de decisão

22

quanto a proteção que será dada aos ativos, é necessária uma informação mais quantitativa e

objetiva e para esta finalidade, usa-se a análise de riscos.

As análises de risco devem “identificar, quantificar, e priorizar os riscos com base em

critérios para a aceitação dos riscos e dos objetivos relevantes para a organização” (ABNT

NBR ISO/IEC 27005, p.6).

Diante disso, a análise de riscos tem de ser encarada como um instrumento fundamental para diagnosticar a situação atual de segurança da empresa, através da sinergia entre o entendimento dos desafios do negócio, o mapeamento das funcionalidades dos processos de negócio e o relacionamento deles com a diversidade de ativos físicos, tecnológicos e humanos que hospedam falhas de segurança. (SÊMOLA, 2012, p.102)

Existem mais de uma técnica de análise de riscos. Gaivéo (2007) apresenta os

seguintes passos para a elaboração de uma análise de riscos:

1) Identificação dos ativos e classificação de acordo com a sua importância para o

negócio.

2) Identificação das vulnerabilidades e ameaças ligadas a cada ativo.

3) Determinação da probabilidade de ocorrência de cada uma das ameaças.

4) Através do cruzamento dos dados, identificar os riscos de acordo com a relação

probabilidade X impacto.

5) Traçar estratégias para o tratamento dos riscos, em especial os de maior resultado na

relação probabilidade X impacto.

2.3.3 Determinação do Nível de Impacto Neste ponto, relacionam-se os ativos de informação da organização, classificando-os

de acordo com a sua criticidade para o negócio. O quadro 1, seguinte, sugere uma

classificação, considerando o nível de impacto que o ativo pode causar quando for efetivada

uma ameaça:

Quadro 1: níveis de impacto.

Nível Definição

Alto Perda significante dos principais ativos e recursos

Perda de reputação, imagem e credibilidade

Impossibilidade de continuar com as atividades do negócio

23

Quadro 1: níveis de impacto. (continuação) Nível Definição

Médio Perda dos principais ativos e recursos


Baixo Perda dos alguns ativos e recursos


Fonte: Ferreira (2003, p.100) 2.3.4 Determinação das Probabilidades Deve-se determinar a probabilidade de ocorrência de cada um dos ativos, levando-se

em conta riscos da natureza, ameaças intencionais, falhas de sistema, etc.

O quadro 2 apresenta a sugestão para classificação das probabilidades. Quadro 2: níveis de probabilidade.

Nível Definição

Alto Fonte de ameaça está totalmente motivada e possui conhecimento

suficiente para a execução do ataque. Os controles de segurança para

prevenir que a vulnerabilidade seja explorada são ineficazes.

Médio Fonte de ameaça está totalmente motivada e possui conhecimento

suficiente para a execução do ataque. Os controles de segurança para

prevenir que a vulnerabilidade seja explorada são eficazes.

Baixo Fonte de ameaça não está totalmente motivada e possui

conhecimento suficiente para a execução do ataque. Os controles de

segurança para prevenir que a vulnerabilidade seja explorada são

eficazes.

Fonte: Ferreira (2003, p.98) 2.3.5 Matriz de Risco Uma das melhores ferramentas para se chegar a valores quantitativos do risco é a

Matriz de Risco. Segundo Ferreira (2003), a Matriz de Risco é a multiplicação entre a

classificação da probabilidade e o impacto da ocorrência.

A tabela 1 apresenta a fórmula para o cálculo do risco para os ativos.

24

Tabela 1: matriz de risco.

Impacto

Probabilidade Baixo (10) Médio (50) Alto (100)

Alto (1,0) Baixo 10 * 1,0 = 10 Médio 50 * 1,0 = 50 Alto 100 * 1,0 = 100

Médio (0,5) Baixo 10 * 0,5 = 5 Médio 50 * 0,5 = 25 Mé

dio 100 * 0,5 = 50

Baixo (0,1) Baixo 10 * 0,1 = 1 Baixo 50 * 0,1 = 5 Baixo 100 * 0,1 = 10

Fonte: Ferreira (2003, p.101) 2.3.6 Política de Segurança da Informação

A Política de Segurança da Informação é um dos resultados da Análise de Risco.

Segundo Sêmola (2003, p.53), “com o propósito de fornecer orientação e apoio às

ações de gestão de segurança, a política tem um papel fundamental e, guardadas as devidas

proporções, tem importância similar à constituição federal para um país”.

“Política de segurança é um conjunto de regras e padrões sobre o que deve ser feito

para assegurar que as informações recebam a proteção conveniente que possibilite garantir a

sua confidencialidade, integridade e disponibilidade” (BARMAN, 2002, p.4.) (tradução

nossa).

“A Política de Segurança da Informação – PSI é um documento que registra os

princípios e as diretrizes de segurança adotados pela organização, a serem observados por

todos os seus integrantes e colaboradores e aplicados a todos os sistemas de informação e

processos corporativos” (BASTO, 2015).

Uma Política de Segurança da Informação envolve políticas, padrões e procedimentos

que são assim definidas por Ferreira (2003, p.34):

• Políticas: Texto de alto nível, que dá direcionamento geral e significado aos objetivos e intenções da administração, quanto à segurança das informações;

• Padrões: Declaração mais específica. Representa o conjunto de medidas necessárias para estabelecer o controle;

• Procedimentos: Descrição passo-a-passo sobre como atingir os resultados esperados.

A política de segurança de informações deve estabelecer princípios institucionais de como a organização irá proteger, controlar e monitorar seus recursos computacionais e, consequentemente, as informações por eles manipuladas. É

25

importante que a política estabeleça ainda as responsabilidades das funções relacionadas com a segurança e discrimine as principais ameaças, riscos e impactos envolvidos. (DIAS, 2000 citado por LAUREANO, 2005, p.56)

Como aplicação real de uma Política de Segurança da Informação, o próximo capítulo

trará o estudo de caso do Colégio CDA.

26

Capítulo 3

ESTUDO DE CASO

3.1 SOBRE O COLÉGIO CDA

Inaugurado em fevereiro de 2004, o Centro Dinâmico de Aprendizagem - Colégio

CDA foi construído visando a prática educacional nas séries iniciais. Sua estrutura e

acabamento foram projetados para o acolhimento de crianças e pré-adolescentes, do ensino

integral ou parcial.

3.1.1 Estrutura Física

O Colégio CDA possui dois pavimentos. No térreo do prédio, encontram-se quatro

salas de aulas, maternal, jardim e a sala do período integral. Também encontram-se a

secretaria da escola, laboratório de informática com sala de leitura, sala de professores,

coordenação, diretoria, refeitório, banheiro comum e para deficiente físico, ambos equipados

com chuveiro e trocador.

Na parte externa, pode ser encontrado o parquinho em madeira, parquinho em

plástico, área coberta com gramado sintético, área descoberta com gramado orgânico para

prática esportiva, sala de serviços gerais, estrutura do gás de cozinha, horta e piscina

aquecida e gradeada.

No primeiro pavimento encontram-se mais quatro salas usadas para as séries do

primeiro ao quinto ano, almoxarifado, salão de eventos, laboratório de ciências e dois

banheiros específicos para meninos e meninas.

A escada que liga o térreo ao piso superior possui portão com trinco, que impede a

passagem das crianças menores. Também possui dois corrimãos e piso antiderrapante.

O Colégio CDA conta ainda com um elevador para portadores de necessidades

especiais. Toda estrutura encontra-se regulamentada e autorizada pela fiscalização do Corpo

de Bombeiros Militar do Distrito Federal.

O Colégio CDA possui duas entradas, uma voltada para a via principal do bairro e

outra para dentro do condomínio, Residencial IPÊ. A ilustração 1, mostra a fachada do

colégio.

27

Ilustração 1 - Entrada principal do Colégio CDA.

. Fonte: documentação do trabalho.

O muro do colégio possui dois metros e três centímetros de altura. O portão tem dois

acessos, de veículos e de pessoas, entretanto, o acesso é sempre feito pelo portão maior,

destrancando o cadeado regularmente para a passagem de pessoas e trancando o cadeado em

seguida. Este procedimento é realizado pelos funcionários da secretaria e também por

monitoras do colégio, que possuem acesso às chaves dos portões e dos cadeados.

Nenhuma criança sai sem a presença de algum responsável, entretanto, o sistema

SISEDUCA não é consultado, comprometendo a segurança na saída dos alunos. É levado em

consideração o conhecimento, por parte de quem entrega as crianças, aos responsáveis,

entretanto, caso algum novo funcionário venha a substituir algum funcionário que

habitualmente desempenha este papel, esta ação pode ocasionar na liberação de uma criança

para um desconhecido, apenas levando em consideração a palavra dessa pessoa.

A entrada do Colégio CDA pelo condomínio é para uso exclusivo de serviço, como

jardinagem, limpeza da piscina, retirada do lixo, entrada e saída de compras e mercadorias

em geral. A ilustração 2 mostra a parte posterior do colégio.

28

Ilustração 2 – Vista dos fundos da escola.

Fonte: documentação do trabalho.

O Colégio possui duas entradas para o condomínio: uma grande para o trânsito de

veículos de serviço e outra menor para o transito de pessoas. Normalmente o acesso é

facilitado através do portão maior, em virtude do cadeado estar sempre aberto, sendo

trancado no período da noite. Funcionários e crianças, tendo força para abrir o portão, podem

ter acesso ao condomínio Residencial Ipê, e apesar do condomínio não possuir saída e o

tráfego de veículos ser pouco durante o dia, existe a possibilidade de acidentes ao atravessar

a rua.

A ilustração 3 mostra a situação do colégio dentro do condomínio.

Ilustração 3 – Vista do condomínio


29

Embora o condomínio Residencial Ipê seja limitado, ele possui dois acessos

principais sendo um de veículos e outro de pessoas. Possui ainda guarita sem funcionário

para fazer a identificação de quem entra e saí do condomínio; o acesso pode ser com chave,

pelo portão para pessoas e com controle remoto no portão de veículos.

Até a presente data, nenhum incidente foi registrado.

Área de circulação frontal (Ilustração 4) da escola não possui câmeras de

monitoramento, entretanto, nenhuma criança fica circulando, nos corredores externos, fora do

horário de recreação.

Ilustração 4 – Área de circulação frontal


Na Área de circulação nascente (ilustração 5) está localizado o elevador e o gás de

cozinha. O elevador é somente para uso de pessoas com necessidades especiais e está

regulamentado pela fiscalização e bombeiros. O elevador tem acesso pelo corredor do térreo

e a saída no salão interno da escola, no primeiro pavimento.

30

Ilustração 5 – Área de circulação nascente


O acesso à área coberta, situado no fundo da escola, é feito pelo portão com trinco,

sem cadeado, normalmente utilizado para separar a brincadeira das crianças maiores das

menores, caso ambas estejam no mesmo horário de recreio.

A casinha do gás de cozinha também foi regulamentada e autorizada pela fiscalização

e bombeiros, estando em local arejado, entretanto não possui grade de proteção.

Área de circulação poente (Ilustração 6), é onde encontram-se dois grandes

brinquedos, um parque de plástico e outro de madeira, ambos fixados ao chão que é revestido

de material aderente e macio, de fácil lavagem e manutenção.

Ilustração 6 – Área de circulação poente


31

O corredor principal do colégio (Ilustração 7) possui porta de vidro, do tipo blindex

de 10 polegadas de espessura, conforme foi estabelecido pela fiscalização e bombeiros.

Ilustração 7 – Corredor principal


As tomadas são do novo padrão, que impossibilitam a criança inserir qualquer

material em seu interior, o que poderia causar choque elétrico.

O piso interno da escola é em granitina, sem emendas e não é escorregadio, de fácil

limpeza e conservação.

As salas do térreo são para as crianças menores e devido a este fator, a escada possui

portão com trinco, sem cadeado. A escada também possui dois tipos de corrimão, um para

adultos e outros para crianças, conforme determinação da fiscalização e bombeiros.

Três dispositivos de luz de emergência estão disponíveis neste ambiente, escada,

corredor do térreo e corredor do primeiro piso, caso falte energia.

O Acesso à sala da Diretoria (Ilustração 8) é através da Secretaria, onde a porta está

sempre aberta, permitindo a livre circulação.

32

Ilustração 8 – Acesso à sala da Secretaria


A Secretaria é a sala que antecede o acesso à sala da Diretoria, que fica sempre aberta

e onde possui um móvel de arquivo com as informações dos alunos. O arquivo possui chave,

mas está sempre destrancado possibilitando o acesso às informações (Ilustração 9).

Ilustração 9 – Secretaria


Como podem ser observados na ilustração 10, os documentos e materiais pessoais,

como bolsas, celulares, pen drivers e o computador portátil com informações do financeiro da

escola podem ser extraviados facilmente, devido ao fácil acesso a estas informações.

Acesso à sala da Secretaria e Diretoria.

33

Ilustração 10 – Diretoria


Computador, impressora, fax, dois estabilizadores, roteador com access point e

modem, estão ligados em uma mesma régua com fusível e está, a uma tomada com

aterramento. Este aterramento é composto por 5 barras de cobre com 2 metros de altura cada.

Todas as tomadas da escola possuem aterramento (Ilustração 11).

Ilustração 11 – Fiação elétrica e lógica da sala da Diretoria


34

A sala da Diretoria possui dois armários e um arquivo, todos chaveados que guardam

documentos de alunos, funcionários e das empresas que prestam serviços para a escola

(Ilustração 12).

Uma geladeira, que serve para guardar material de uso diário da escola, como polpas,

sucos industrializados, hambúrgueres, entre outros, fica disponível nesta sala em virtude da

segurança e controle deste tipo de material. Entretanto, a sala tem o acesso facilitado por

estar sempre aberto, o que não garante a integridade dos produtos ali armazenados.

Ilustração 12 – Armários da diretoria


A ilustração 13 mostra os dispositivos de segurança instalados no corredor do Colégio

CDA.

35

Ilustração 13 – Câmera do corredor


Localizado ao centro do corredor principal, tem-se a presença de um repetidor de

sinal WiFi e uma câmera de monitoramento com pan tilt, ou seja, a câmera se movimenta em

dois eixos podendo ter uma visualização completa do ambiente.

Por padrão, a câmera está sempre voltada para a entrada da escola, permitindo o

registro do acesso à escola pelo portão principal bem como de quem entra e é atendido na

sala da Secretaria. A câmera ainda grava o áudio ambiente e imagens noturnas ou com pouca

luminosidade.

Esta câmera possui dois tipos de acessos: um através de aplicativo para dispositivos

móveis e outro por um programa instalado no computador. O acesso remoto é realizado por

dois perfis: administrador e usuário. O administrador pode mudar a visualização da câmera e

alterar sua configuração, enquanto o perfil usuário só pode assistir o que está sendo

transmitido.

A cozinha do Centro Dinâmico de Aprendizagem, Colégio CDA, (Ilustração 14) teve

a aprovação da fiscalização e do Corpo de Bombeiros Militar do Distrito Federal, no que se

refere à segurança do ambiente, item fundamental para a aprovação do alvará de. Blindex na

bancada, retirada do botijão de gás e portão de acesso à cozinha foram as mudanças

36

necessárias para garantir uma maior segurança neste ambiente.

Ilustração 14 – Cozinha


O Colégio CDA possui contrato de prestação de serviço de monitoramento e

segurança patrimonial junto à empresa Contato Imediato Ltda.

Neste contrato, seis sensores de movimento foram instalados na entrada da escola, no

refeitório (Ilustração 15), no laboratório de informática, na porta do refeitório que dá acesso à

área externa, no fundo da escola, e nas janelas do banheiro e da sala da diretoria.

Ilustração 15 – Porta de saída da cozinha com sensor


Sensor

37

3.1.2 Estrutura Lógica A parte lógica, de voz e de dados da instituição encontra-se da seguinte forma:

• Telefone sem fio e com base que permite a localização do aparelho. É de fácil acesso

e sem restrições, ou seja, pode receber ligações a cobrar de números não identificados

e pode efetuar ligações para celulares e interurbanos;

• Fax - é de uso exclusivo da escola e fica disponível na sala da diretoria;

• A escola possui 12 equipamentos computacionais, sendo eles oito do laboratório de

informática, um na coordenação, um na secretaria, dois na diretoria, sendo um deles

notebook, aparelho de fax, duas impressoras lasers, duas estações e telefones sem fio,

HD de 1TB interno para backup, 13 estabilizadores e um no-break. Estes

computadores contam com os seguintes recursos:

o Anti-Virus – apenas o computador da diretoria possui um sistema pago, os

demais usam uma versão gratuita.

o Rede – a escola possui internet ADSL. A rede é composta por:

� AccessPoint TPLink com quatro saídas de roteamento, senha padrão

WEP2;

� Repetidor TPLink, situado no centro do corredor principal da escola;

� RUB de 6 portas, ligando apenas cinco computadores via cabo, os

demais utilizam a rede via placa de rede sem fio ou adaptador USB

para redes sem fio;

� A rede é via DHCP, sem IPs ou sub máscaras específicas para cada

setor da escola;

o Acesso - Os computadores possuem níveis de acesso do Windows, específicos

para cada máquina, sendo um de administrador e outro para usuários

específicos de cada setor, ou seja, no laboratório de informática, administrador

e aluno, na diretoria, administrador e diretor, assim por diante. Entretanto não

possuem protetor de tela com bloqueio, o que permite o acesso de qualquer

pessoa, caso o computador esteja sem usuários operando.

o Normalmente o computador fica ligado, sem bloqueio de tela, o que possibilita

o acesso ao seu conteúdo e navegação na Internet, que também não possui

restrições de acesso.

o Para acesso aos sistemas, é necessário informar usuário e senha, entretanto a

falta de um bloqueio de tela e a incapacidade dos sistemas de solicitarem novo

38

login, caso a sessão seja perdida, o acesso às informações destes sistemas está

vulnerável a acessos não autorizados e à perda destas informações, como a

exclusão de seus registros. Apenas um usuário está cadastrado para acesso

autenticado a estes sistemas. Este usuário é compartilhado com outros

funcionários, impedindo uma auditoria caso ocorra perda de informações ou

alterações não autorizadas nos registros.

o A sala da Coordenação do Colégio CDA, possui um computador que acessa a

rede via sinal wireless. Esta estação de trabalho possui sistema operacional

Ubuntu versão 15, sem acesso aos sistemas internos da escola (Ilustração 16).

Ilustração 16 – Coordenação


o Backup - No computador da secretaria é onde existem os sistemas mais

importantes: um pedagógico e outro de envio de informações para o fisco.

Existe um HD de 1TB no computador da diretoria, que está em rede,

entretanto, nenhuma rotina de backup automática está ativa, nem mesmo

interno das aplicações, onde poderia ter os dados em duas estações de

trabalho. Para fazer o backup, o usuário deve copiar e colar as pastas

referentes aos dados e colar no HD da máquina compartilhada. Uma cópia

39

destes dados também é guardada em pen drive. Esta rotina de backup é

esporádica e realizada somente por um único funcionário que opera o sistema.

O computador da Secretaria possui os programas mais importantes da escola,

SIACOW, sistema para a emissão de notas fiscais, desenvolvido pela empresa GALOGO e o

SISEDUCA, sistema pedagógico e financeiro desenvolvido pela empresa EDUTi. Como

medida de segurança da empresa GALOGO, um nobreak é utilizado para as máquinas de

emissão do cupom fiscal e cartão de crédito.

Na sala da Diretoria onde decisões importantes são tomadas, encontra-se um

computador sem acesso aos sistemas importantes da escola. Este computador possui dois

HDs, de 500GB e 1TB, sendo o segundo disco para backup de arquivos como planilhas,

documentos, fotos, músicas e vídeos. Este disco tem o diretório compartilhado na rede,

possibilitando o fácil acesso aos seus documentos, dentre eles o backup dos sistemas

constantes no computador da Secretaria.

Na área destinada a backup, no computador da Diretoria, não foi encontrado nenhum

arquivo até a data de elaboração desta Proposta de Segurança da Informação.

O acesso ao computador da coordenação é através de duas contas: uma de

administrador com senha e outra conta de visitante, sem senha. Estes acessos são apenas do

sistema operacional, pois a escola não possui um servidor que valide estes acessos.

A sala da coordenação não possui armários com documentos de alunos.

Um cartão de memória da câmera de segurança do corredor principal está instalado e

pode ser acessado por um programa específico instalado nos computadores da Secretaria,

Diretoria e Coordenação. Este recurso permite o monitoramento constante de quem entra e

sai da escola e da sala da Secretaria. Esta câmera está ligada à rede elétrica e na falta de

energia, tem seu funcionamento inoperante.

O laboratório de informática (Ilustração 17) possui oito computadores ligados em

rede por meio de um HUB. O controle de acesso a estes computadores é realizado apenas

pelo Sistema Operacional Windows vista, sendo um usuário do tipo administrador e outro do

tipo aluno. Programas básicos e jogos que estimulam o aprendizado das crianças estão

instalados.

40

Ilustração 17 – Laboratório de Informática


O acesso à internet não é monitorado por um servidor com firewall e proxy. O

antivírus é grátis, ou seja, não pago e com atualização automática via internet.

Os CPUs ficam localizados próximos ao chão, onde a criança que estiver utilizando

fica com as pernas próximas ou coladas ao aparelho.

A informação no Colégio CDA não obedece a qualquer tipo de classificação quanto à

criticidade e a atribuição de rótulos para armazenamento e descarte.

3.1.2.1 Análise das Vulnerabilidades e dos Riscos Físicos e Lógicos

Na tabela 2 tem-se a apresentação das vulnerabilidades encontradas e o cálculo da

probabilidade em relação ao impacto, apresentando o grau do risco apresentado.

Tabela 2: vulnerabilidades

Item Ameaça Probabilidade Impacto Risco

1 O Centro Dinâmico de Aprendizagem, Colégio CDA, não possui um documento da Política de Segurança da Informação.

0,5 100 MÉDIO 0,5 x 100 = 50

2 Telefone de fácil acesso e sem restrições de chamadas para celular, interurbano ou internacional.

0,1 10 BAIXO 0,1 x 10 = 1

41

Tabela 2: vulnerabilidades (continuação)


3 A identificação de pais ou responsáveis, não é realizada através de consulta ao sistema SISEDUCA.

0,1 10 BAIXO

0,1 x 10 = 1

4

Funcionários, visitantes e crianças podem ter acesso ao condomínio através do portão dos fundos da escola que fica destrancado, podendo ocasionar um acidente de trânsito.

0,5 100 MÉDIO

0,5 x 100 = 50

5 O acesso à sala da Diretoria é através da Secretaria, onde a porta está sempre aberta, permitindo livre circulação.

0,1 10 BAIXO

0,1 x 10 = 1

6

A sala da Secretaria, possui um móvel de arquivo, com as informações dos alunos. O arquivo possui chave, mas está sempre destrancado, possibilitando o acesso às informações.

0,5 100 MÉDIO

0,5 x 100 = 50

7

Na sala da Secretaria, que está sempre aberta, a informação está disponível no computador sem proteção de tela e sem bloqueio do Sistema Operacional, facilitando o manuseio do equipamento, como navegação na internet e acesso a documentos diversos, tanto da rede, quanto dos sistemas internos.

1,0 100 ALTO

1,0x100=100

8

Documentos diversos, podem ser percebidos fora de seus locais de segurança, possibilitando o fácil acesso às suas informações.

1,0 100 ALTO

1,0x100=100

9

Uma rotina de backup não foi estabelecida, sendo realizada de maneira esporádica por um funcionário e guardado em um pen drive pessoal apenas. A área destinada a backup, no computador da Diretoria, não foi encontrado, até a data de elaboração deste documento, nenhum arquivo.

0,5 100 MÉDIO

0,5 x 100 = 50

10

Documentos e materiais pessoais, como bolsas, celulares, pen drivers e o computador portátil com informações do financeiro da escola, pode ser extraviados facilmente, devido ao fácil acesso a estas informações.

1,0 100 ALTO

1,0x100=100

11

A câmera, localizada no centro do corredor do piso térreo, está ligada à rede elétrica. Na falta de energia, fica inoperante seu funcionamento.

0,5 100 MÉDIO

0,5 x 100 = 50

42

Tabela 2: vulnerabilidades (continuação)


12 A escola não possui câmera de monitoramento na entrada.

0,1 10 BAIXO

0,1 x 10 = 1

13

O acesso à internet não é monitorado por um servidor com firewall e proxy. O antivírus é gratuito, com atualização automática via internet.

0,1 10 BAIXO

0,1 x 10 = 1

14

Os CPUs do laboratório, ficam localizados próximos ao chão, onde a criança que estiver utilizando fica com as pernas próximas ou coladas ao aparelho.

0,1 10 BAIXO

0,1 x 10 = 1

15 Casinha do gás de cozinha sem grade de proteção.

0,5 100 MÉDIO

0,5 x 100 = 50 Fonte: Adaptado de Ferreira (2003, p.101) 3.1.2.2 Identificação dos Riscos Verificados no Colégio

O resultado da probabilidade de ocorrência da ameaça versus o impacto no colégio, é

a matriz de risco que está sendo apresentada no quadro 3. Nesta matriz, foram sintetizadas

em oito itens, as vulnerabilidades descritas na tabela 2. O estudo apresenta a distribuição dos

níveis de riscos, conforme identificação relacionada junto às informações obtidas ao longo da

análise.

Quadro 3: matriz de risco do colégio.

Ativo Probabilidade Impacto

Valores Baixo Médio Alto Baixo Médio Alto

Roubo

Segurança das Instalações

Acesso as informações por pessoas não autorizadas.

Controle de acesso

Acessibilidade do Local

Segurança das Informações

Não possui uma Política de Segurança da Informação

Incêndio

Fonte: Adaptado de Ferreira (2003, p.101)

43

3.1.2.3 Análise dos Riscos Encontrados Roubo de equipamento apresentou uma probabilidade alta devido ao risco ser tanto

externo ou interno.

A probabilidade média da segurança da instalação tem alto impacto, pois interfere

diretamente na execução dos trabalhos da escola.

O acesso às informações por pessoas não autorizadas é de extrema importância, tendo

alta classificação de impacto, podendo implicar diretamente na credibilidade da instituição

devido à alta probabilidade de extravio, exclusão ou perda destes ativos de informação.

O controle de acesso tem média classificação de probabilidade e impacto devido à

escola estar, noventa por cento do expediente de trabalho, somente com crianças e

funcionários. Os acessos externos normalmente estão controlados por funcionários ou

servidores, entretanto carece de melhorias visando a continuidade do negócio.

Acessibilidade do local tem baixa classificação de probabilidade por ter seus

equipamentos normalmente sendo utilizados por funcionários da escola, entretanto seu

impacto é médio, pois a perda de algum material particular pode impedir o bom

funcionamento da escola.

A classificação alta para a segurança das informações merece destaque por se tratar de

equipamentos necessários para a manutenção dos trabalhos da escola.

O Colégio CDA não possui uma PSI, a probabilidade sendo média, não interrompe os

trabalhos da escola, entretanto a utilização de uma proposta de segurança da informação pode

evitar sérios problemas detectados ao longo das análises dos riscos e impactos.

A probabilidade de incêndio é baixa, devido a implantação de todas as normas de

segurança recomendadas, entretanto o impacto pode ser alto, caso venha a acontecer.

Para a elaboração das diretrizes, tomaram-se por base as sugestões contidas na ABNT

NBR ISO/IEC 27002 (2005).

44

Capítulo 4

PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO - P SI

- PARA O CENTRO DINÂMICO DE APRENDIZAGEM - COLÉGIO

CDA

4.1 CONTEXTUALIZAÇÃO DA POLÍTICA

O Centro Dinâmico de Aprendizagem – Colégio CDA, integrando o Sistema de

Ensino do Distrito Federal, fundamentando-se nos princípios da Educação Nacional, nas

Diretrizes Curriculares Nacionais da Educação Básica (princípios, fundamentos e

procedimentos), nas teorias do construtivismo, dos fundamentos legais dos Direitos da

Criança e do Adolescente, norteará suas ações nos seguintes objetivos institucionais:

1) Contribuir para formação harmônica e global do Educando, em seus aspectos

social, cultural e emocional, proporcionando experiências concretas

selecionadas a partir do conhecimento de suas características, suas necessidades

e seus interesses;

2) Oportunizar ao Educando partilhar experiências, pensar por si mesmo, avaliar-

se, aceitar críticas e responsabilidades contribuindo para o exercício consciente

da cidadania;

3) Estimular a integração do Educando com o meio sociocultural, oferecendo-lhe

as condições necessárias para o desenvolvimento de sua capacidade de

expressão e interação social, despertando-a para a criatividade e sensibilidade e

para as manifestações artísticas e culturais;

4) Proporcionar a descoberta do meio ambiente, garantindo ao Educando, liberdade

de ação para realizar experiências e enfrentar obstáculos, valorizando atitudes e

hábitos para sua preservação.

45

4.2 OBJETIVOS

O objetivo geral da Política de Segurança da Informação (PSI) do Colégio CDA, é

proteger os dados, informações e conhecimentos adquiridos nestes 12 anos de atuação no

ramo da educação infantil, através da preservação da confidencialidade, integridade e

disponibilidade dos ativos, visando garantir a continuidade e melhoria do serviço, bem como

a sustentabilidade da instituição.

4.3 ABRANGÊNCIA

A Política de Segurança da Informação abrange todo o recurso de informação de

propriedade e utilização pelo Centro Dinâmico de Aprendizagem. Isto inclui informações

geradas, adquiridas e trabalhadas pelo Colégio CDA, sendo aplicada a todas as atividades que

sejam desenvolvidas por funcionários, professores, monitores, clientes e prestadores de

serviço.

4.4 TERMOS E DEFINIÇÕES

Ativos – Qualquer coisa que tenha valor para a organização, como informação,

software, recursos físicos (máquinas, equipamentos, material de laboratório), tecnológicos,

serviços, pessoas (qualificações, habilidades e experiências) e recursos intangíveis (reputação

e imagem).

Classificação – processo que identifica informações de acordo com o seu valor,

permitindo estabelecer nível de segurança adequando para cada tipo de informação

estabelecendo controles e procedimentos necessários para a seleção, tratamento, transmissão,

armazenamento e descarte dessas informações.

Confidencialidade – garantia de que a informação está acessível somente à pessoas

autorizadas.

Conformidade – é o cumprimento de leis, regulamentos e cláusulas contratuais.

Criticidade – grau de importância da informação para a continuidade dos negócios

do Colégio CDA.

Custódia – consiste na responsabilidade de guardar um ativo para terceiros.

Disponibilidade – garantia de que os usuários autorizados tenham acesso à

informação e aos ativos necessários.

46

Gestor – pessoa encarregada pela administração de um ativo de informação incluindo

a própria informação.

Incidente de segurança – é qualquer evento ou ocorrência que promova uma ou mais

ações que prometam ou que seja uma ameaça à integridade, autenticidade ou disponibilidade

de qualquer ativo do Colégio CDA.

Informação – conjunto de dados organizados de acordo com procedimentos

executados por meios eletrônicos ou não, que possibilitam a realização de atividades

especifica e/ou tomada de decisão.

Integridade – garantia de criação legítima e da consistência da informação ao longo

do seu ciclo de vida, em especial, prevenção contra a alteração ou destruição não autorizada

de dados e de informações.

Política de Segurança da Informação – documento ou conjunto de diretrizes que

provê à direção, orientação e o apoio para a segurança da informação.

Segurança da Informação – conjunto de normas, procedimentos e atividades

voltadas para a preservação da confidencialidade, integridade e disponibilidade do ativo

informação.

Terceiros – todo individuo, grupo ou entidade pública ou privada que assumir e

mantiver, de forma temporária ou permanente, relação com o Colégio CDA.

4.5 REFERÊNCIAS

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC

27002:2005 – Tecnologia da Informação – Técnicas de Segurança – Código de prática para a

gestão da segurança da informação. Rio de Janeiro, 2005.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC

27001:2006 – Tecnologia da Informação – Técnicas de Segurança - Código de prática para a

gestão da segurança da informação. Rio de Janeiro, 2006.

BEAL. Adriana. Manual de Segurança de Sistemas da Informação. São Paulo:

Atlas, 2003.

4.6 DIRETRIZES DE SEGURANÇA

A Política de Segurança da Informação é direcionada para a proteção da informação

47

nos seus requisitos de confidencialidade, integridade, disponibilidade e conformidade.

4.6.1 Organizando a Segurança da Informação

a) A Política de Segurança da Informação deve ser aprovada pela Diretoria do

Colégio CDA, publicada e comunicada a todos os colaboradores do colégio.

b) Essa Política é aplicável às informações sob gestão do Colégio CDA, que

podem existir de muitas maneiras: escrita em papel, armazenada e transmitida por meios

eletrônicos, exibidas em filmes ou falada em conversas formais e informais. Seja qual for a

forma apresentada ou o meio através do qual a informação seja apresentada ou compartilhada

ela deverá estar sempre protegida adequadamente, de acordo com os controles definidos

nesta política.

c) Todos os mecanismos de proteção utilizados para a segurança das informações

devem ser mantidos para preservar a continuidade de seus negócios.

d) É obrigação do Colégio CDA criar mecanismos de divulgação da Política de

Segurança da Informação para todos os funcionário, clientes e prestadores de serviço.

e) A consultoria de um especialista interno ou externo em segurança da

informação, analise criticamente e coordene os resultados desta consultoria por toda a escola.

f) A criação de um fórum exclusivo de gestão da PSI com as responsabilidades

de implantar, acompanhar, fiscalizar e sugerir melhorias.

4.6.2 Recursos Humanos

a) Todos os funcionários, professores e colaboradores do Colégio CDA e,

quando pertinente, parceiros, fornecedores e terceiros devem ser conscientizados, educados e

treinados nos procedimentos de segurança da informação e no uso correto dos ativos de

informação.

b) Todos os empregados, professores, parceiros, fornecedores, terceiros,

colaboradores eventuais e usuários dos ativos de informação devem assinar Termo de

Compromisso sobre os seus papéis e responsabilidades pela segurança da informação.

c) As responsabilidades pela segurança da informação devem constar nos

contratos de admissão de forma adequada, nas descrições de cargos e nos termos de

desligamento e condições de efetivação do processo de extinção contratual entre o

empregado e o Colégio CDA.

48

d) Quando da mudança de responsabilidades e ou atribuições dentro da escola,

faz-se necessária a revisão imediata dos direitos de acesso e uso da informação.

e) É de responsabilidade da direção do Colégio CDA garantir que a segurança da

informação seja aplicada a todo trabalho dentro da organização.

f) As alterações da Política de Segurança da Informação devem ser comunicadas

aos funcionários, parceiros e terceiros um período antes da mesma ser implementada, para

que esses possam adaptar-se a mesma.

g) Todos os funcionários, fornecedores e terceirizados devem devolver os ativos

do Colégio que estejam em sua posse, após o encerramento de suas atividades, contrato ou

acordo.

4.6.3 Acesso e Controle dos Ativos de Informação

a) A instalação e manutenção de aplicativos informatizados e periféricos de

informática devem ser analisados antes de seu emprego para garantir que sejam compatíveis

com outros componentes do sistema.

b) O uso de recursos e informações serão controlados e monitorados pelo

Colégio CDA, para garantir o uso restrito, controlado e correto dos mesmos.

c) O uso de equipamentos pessoais ou privados, de processamento da informação

como computadores da escola, notebooks, smartphones, tablets, telefones e fax, devem ser

comunicados à direção do Colégio CDA.

d) Todo o conteúdo de informação para divulgação deve ser criticado e

autorizado pelo gestor da informação do Colégio CDA, antes de sua veiculação em agendas,

internet, e-mails, mural, banners, panfletos e eventos internos e externos à escola.

e) O acesso às salas e setores sensíveis do Colégio CDA, como sala dos

professores, secretaria, diretoria, laboratórios e almoxarifado, deve ser autorizado e

acompanhado pelo funcionário responsável pelo setor.

f) Recursos de software ou documentos de identificação de pais, responsáveis e

alunos, devem ser de fácil acesso de pessoal autorizado, para consulta antes da liberação de

qualquer criança, evitando erros na entrega destes alunos a pessoal não autorizado. Estas

autorizações devem ser informadas mediante apresentação de documento e assinadas na

secretaria da escola, visando um melhor controle e segurança dos ativos da escola.

49

g) Todo acesso externo deverá ser avaliado, identificado e devidamente

autorizado, cabendo aos responsáveis pelo Colégio CDA a análise das reais necessidades

desse acesso a documentos ou outros recursos de processamento da informação.

h) As violações à segurança da informação devem ser registradas e esses

registros devem ser analisados para os propósitos de caráter corretivo, legal e de auditoria. Os

registros devem ser protegidos e armazenados de acordo com a classificação da informação.

4.6.4 Controle e Classificação da Informação

a) Toda a informação deve ser classificada em termos de seu valor, requisitos

legais, sensibilidade e criticidade para o Colégio CDA. O cliente deve ter acesso apenas aos

ativos necessários e indispensáveis à sua necessidade.

b) A informação classificada receberá tratamento seguro que assegure

armazenamento, transmissão e descarte compatíveis com seu nível de criticidade.

4.6.5 Cópias de Segurança

a) Procedimentos de rotina de cópias de segurança deverão ser realizados,

mantidos e testados em tempo aceitável, considerando a utilização de software de gestão dos

ativos pedagógicos e financeiros, armazenamento de imagens e vídeos provenientes de

câmeras de monitoramento e vigilância, arquivos e documentos digitalizados.

b) Fontes de informação sensíveis ao desempenho das atividades do Colégio

CDA, como banco de dados e arquivos de segurança da informação, devem ser submetidos a

recursos adequados para a geração de cópias de segurança, visando garantir que toda

informação e softwares essenciais, possam ser recuperados após um desastre, roubo, falha

com dados corrompidos.

c) As cópias de segurança deverão ser armazenadas em uma localidade remota, a

uma distância suficiente para escapar dos danos de um desastre que possa acontecer no local

de origem da informação ou software.

d) Testes regulares deverão ser realizados para garantir a integridade das

informações armazenadas nos mecanismos de backup.

4.6.6 Controle de Acesso e Segurança de Documentos e Sistemas

a) Sistemas informatizados devem ser protegidos contra acessos não autorizados.

b) Fontes de informações físicas, arquivos de ficheiro com acesso a documentos

50

importantes devem estar sempre chaveados ou mantidos em segurança. A quantidade de

funcionários com acesso a estas informações deve ser reduzida, visando maior controle e

segurança destas informações.

c) Documentos encontrados fora de seus locais de segurança, sem a presença de

um responsável autorizado, deve ser reportado à direção do Colégio CDA para as devidas

providências.

4.6.7 Monitoramento

a) A utilização de monitoramento interno e externo deve ser informado a todos

os funcionários, clientes e parceiros do Colégio CDA, com a utilização de placas ou informes

que estejam de acordo com os requisitos legais relevantes aplicáveis para atividades de

registro e monitoramento.

b) Imagens, vídeos e áudios poderão ser utilizados para auditoria em decorrência

de mal utilização dos ativos da escola e violação do estabelecimento, sem a necessidade de

autorização escrita dos envolvidos.

c) O monitoramento e análise crítica dos serviços terceirizados deverão garantir a

aderência entre a segurança da informação e as condições estabelecidas em acordo pelas

partes.

4.6.8 Política de Mesa Limpa e Tela Limpa

a) Informações críticas ou sensíveis ao Colégio CDA, como documentos,

processos, atas, todos em papel e dispositivos de armazenamento eletrônicos, devem ser

guardados quando não utilizados, em armários, cofres ou outros locais de armazenamento

seguro e chaveado.

b) Computadores, tanto pessoais quanto da escola, incluindo os computadores do

laboratório, devem possuir a tela principal e área de trabalho limpas, dificultando o acesso a

sistemas e documentos eletrônicos sensíveis ao Colégio CDA, quando não utilizados por

longo prazo, devem ser desligados.

c) Uma tela de proteção com senha deve ser utilizada em caso de inatividade

pelo prazo de um minuto. O aplicativo de proteção de tela deve ser limpo ou condizente com

o tipo de trabalho utilizado no ambiente ou na escola como um todo.

d) Aparelhos fax, telefones pessoais ou da instituição e impressoras devem estar

em local protegido, impedindo seu fácil acesso.

51

e) Documentos impressos devem ser retirados da impressora assim que prontos.

f) Deve ser evitado o uso não autorizado de fotocopias, scanners, máquinas

digitais e celulares do tipo smartphones. Esta autorização deve ser adquirida junto à direção

do Colégio CDA.

4.6.9 Acesso e Uso de Sistemas e Rede

a) A utilização e instalação de utilitários e sistemas deve ser devidamente

analisado e autorizado. Aplicativos que sobreponham os mecanismos de segurança da

informação devem ser analisados antes de sua utilização, para que não ocorra falha de

segurança, podendo incidir na paralização do negócio.

b) Nenhum programa ou sistema deverá ser instalado ou acessado sem licença de

utilização.

c) Fontes de informações lógicas, como sistemas informatizados, devem ter o

acesso restrito com controle de acesso, senhas, telas com controle de sessão por tempo de

inatividade e criação de arquivos de logs de acesso para auditoria.

d) Toda utilização de equipamento pessoal, não monitorado, antes do acesso à

rede de dados do Colégio CDA, deverá ser devidamente autorizado e o equipamento deve ter

proteção adequada.

e) Sistemas autorizados sensíveis à escola deverão ter limitação do uso a um

número mínimo de usuários confiáveis.

f) Softwares utilitários e de sistemas desnecessários deverão ser desabilitados ou

removidos.

g) Os sistemas de informação existentes ou novos deverão ser dotados de

requisitos de controles de segurança que assegurem a continuidade do negócio institucional.

4.6.10 Correio Eletrônico

a) O uso do correio eletrônico do Colégio CDA é para fins corporativos e

relacionados às atividades do funcionário dentro da escola. A utilização desse serviço para

fins pessoais é permitida desde que feita com bom senso, não prejudique a escola e também

não cause impacto no tráfego da rede.

b) Funcionários, clientes e prestadores de serviço, devem autorizar o envio de

mensagens pelo colégio. É vetado o envio de mensagens não solicitadas para múltiplos

52

destinatários, exceto se relacionadas a uso legítimo da instituição.

4.6.11 Proteção de Equipamentos

c) Todo equipamento de uso sensível ao Colégio CDA deve estar devidamente

acondicionado, instalado e armazenado, impedindo o mau uso ou eventuais problemas

provenientes de desgaste, intervenção da natureza ou humana.

d) Computadores e periféricos devem estar instalados sob mesas ou racks

específicos para cada tipo de equipamento, ligados a uma rede estabilizada, com aterramento,

filtro de linha e dispositivos de carga independente como no-breaks.

e) Os dispositivos como câmeras, telefones, modens, roteadores, servidores,

DVRs – Digital Video Recorders e computadores selecionados para a manutenção do

trabalho, devem ser protegidos contra a falta de energia elétrica e outras intervenções de

funcionamento.

f) Botijões de gás e canalização devem ser protegidas por grades de proteção.

4.7 RESPONSABILIDADES

a) As diretrizes, normas e procedimentos de segurança da informação deverão

estar em acordo com a Política de Segurança da Informação e serem cumpridas por todos os

funcionários e colaboradores do Colégio CDA.

b) Pessoas com responsabilidades definidas pela segurança da informação podem

delegar as tarefas de segurança da informação para outros funcionários. Todavia eles

continuam responsáveis, devendo acompanhar a execução das tarefas delegadas, verificando

se estão sendo obedecidas tais tarefas.

c) Com relação à implantação e monitoramento da PSI, compete à diretoria:

a. Criar um organismo interno responsável pela coordenação da prática

da Segurança da Informação de acordo com o estabelecido nesta

política.

b. Assegurar os recursos necessários para as ações referentes à Política de

Segurança da Informação.

c. Excluir e autorizar o acesso aos ativos da escola.

d. Disponibilizar mecanismos que descaracterizem documentos que não

53

podem ser descartados inteiros.

e. Criar um fórum de Segurança da Informação.

f. Identificar a necessidade de auditoria ou consultoria especializada de

uso interno ou externo dos ativos da escola.

4.8 CONFORMIDADE

a) As diretrizes propostas nesta Política de Segurança da Informação estão em

conformidade com estatutos, legislação vigente, contratos, convênios, acordos de cooperação

e outros instrumentos do mesmo gênero celebrados com a escola.

b) Os resultados de cada ação de verificação de conformidade serão

documentados em relatório de avaliação de conformidade, o qual será encaminhado pelo

gestor de Segurança da Informação ao responsável pela área ou setor verificado, para ciência

e tomada das ações cabíveis.

c) Os gestores devem assegurar, em suas áreas de responsabilidade, o

atendimento à conformidade da Política de Segurança da Informação.

4.9 PENALIDADES

O descumprimento ou violação pelo funcionário, cliente ou parceiro do Colégio CDA

às regras previstas na Política de Segurança da Informação, resultará na aplicação das

sanções previstas em regulamentações internas e legislação em vigor.

4.10 DISPOSIÇÕES FINAIS

a) Todos os funcionários, fornecedores, clientes e terceirizados deverão ser

conscientizados quanto aos procedimentos para notificação dos eventos e fragilidades que

possam impactar a segurança dos ativos de informação institucionais.

b) A Proposta de Segurança da Informação deverá ser revisada a cada dois anos

ou quando ocorrerem mudanças significativas.

c) Esta PSI será implantada após aprovação pela diretoria do Colégio CDA.

54

Capítulo 5

CONCLUSÕES

A Política de Segurança de Informação apresentada, se implementada, irá garantir,

entre outros benefícios:

• Uma correta gestão dos ativos de informação do Colégio CDA.

• Uma alocação de recursos mais inteligente em SI.

• A correta definição das responsabilidades dos funcionários e direção do Colégio

CDA.

• A garantia da confidencialidade, integridade e disponibilidade dos ativos de SI.

55

REFERÊNCIAS ALENCAR, E. S. Política de segurança da informação para empresa OrionS/A. 2015. 48 f. Trabalho de Conclusão de Curso (Graduação)–Faculdades Icesp Promove de Brasília, Brasília, 2015. AMEAÇAS à segurança da informação de uma corporação. s.n.t. Disponível em <http://www.cnasi.com.br/ameacas-a-seguranca-da-informacao-de-uma-corporacao/>. Acesso em 01 jun de 2016. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Autodiagnóstico: casos de Sucesso - Importância das normas internacionais para as Micro e Pequenas Empresas. Brasília, 2012. Disponível em <http://www.abntonline.com.br/ad/ex/rec_dicas2.html>. Acesso em 26 nov de 2015. BARMAN, Scott. Writing Information Security Policies . New Riders Publishing, 2002. BASTO, Fabrício. Política de Segurança da Informação: como fazer? 2015. Disponível em < http://analistati.com/politica-de-seguranca-da-informacao-como-fazer/>. Acesso em 01 jun de 2016. BRASIL. Lei Complementar nº 105, de 10 de janeiro de 2001. Dispõe sobre o sigilo das operações de instituições financeiras e dá outras providências. Diário Oficial da União, Brasília, DF, 11 jan. 2001. Seção 1, p. 1. CAMPINA JUNIOR, P. Os Desafios e a Importância da Gestão de Riscos de Segurança. São Paulo, 2015. Disponível em < http://safewayconsultoria.com/gestao-de-riscos-de-seguranca/>. Acesso em 16 nov de 2015. CARIBÉ, R.; CARIBÉ, C. Introdução à Computação. São Paulo: FTP, 1996. CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL. FAQ. Disponível em <http://www.cert.br/certcc/csirts/csirt_faq-br.html#2>. Acesso em 23 nov de 2015. COOPERATI, Zentyal. Disponível em < http://www.cooperati.com.br/2012/03/13/zentyal-gerenciamento-de-servidores-linux-parte1/>. Acesso em 01 dez de 2015. DANTAS, Marcus Leal. Segurança da Informação: uma abordagem focada em gestão de riscos. Olinda: Livro Rápido, 2011. Disponível em < http://www.marcusdantas.com.br/files/seguranca_informacao.pdf>. Acesso em 08 jun de 2016. DICIONÁRIO DO AURÉLIO. Significado de Segurança. 2008. Disponível em <http://dicionariodoaurelio.com/seguranca>. Acesso em 15 nov de 2015. EMPRESA BRASILEIRA DE PESQUISA AGROPECUÁRIA. Política de Segurança da Informação. Disponível em <http://cloud.cnpgc.embrapa.br/nti/politica-de-seguranca-da-informacao/>. Acesso em 22 nov de 2015.

56

FERREIRA, F. N. F.; ARAÚJO, M. T. Política de Segurança da Informação: guia prático para elaboração e implementação. Rio de Janeiro: Ciência Moderna, 2006. FERREIRA, F. N. F. Segurança da Informação. Rio de Janeiro: Ciência Moderna, 2003. FONTES, Edison. Gestão de riscos em Segurança da Informação. 2010. Disponível em <http://imasters.com.br/artigo/16323/seguranca/gestao-de-riscos-em-seguranca-da-informacao?trace=1519021197&source=single>. Acesso em 01 jun de 2016. GAIVÉO, Manuela. Análise e Gestão do Risco em Segurança da Informação. 2007. Disponível em: < http://www.sinfic.pt/SinficWeb/displayconteudo.do2?numero=24868>. Acesso em 01 jun de 1016. GESTÃO DA INFORMAÇÃO. O que é Gestão da Informação. Disponível em < http://informacaoparasuagestao.blogspot.com.br/2009/10/o-que-e-gestao-da-informacao.html>. Acesso em 16 nov de 2015. GUMARÃES, F. E. Segurança na Web. Porto Velho: SENAC, 2010. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 13335-1:2004. Genebra, 2004. LAUREANO, M. A.P. Gestão de Segurança da Informação. São Paulo: LT, 2005. p.56. Disponível em < http://docplayer.com.br/679416-Gestao-de-seguranca-da-informacao-marcos-aurelio-pchek-laureano-marcos-laureano-eti-br-01-06-2005.html>. Acesso em 01 jun de 2016. LASDOWSKY, Daniela. Segurança da Informação Segurança de Pessoas. São Caetano do Sul, 2013. Disponível em <http://www.academia.edu/3794112/USCS_UNIVERSIDADE_MUNICIPAL_DE_S%C3%83O_CAETANO_DO_SUL_MBA_em_Governan%C3%A7a_em_TI>. Acesso em 12/04/2016. LYRA, M. R. Segurança e Auditoria em Sistemas de Informação. Rio de Janeiro: Ciência Moderna, 2008. NORTON, P. Introdução à Informática. São Paulo: Makron Books, 1996. REZENDE, S. O. Sistemas Inteligentes. Barueri: Manole, 2005. SÊMOLA, M. Gestão da Segurança da Informação. Rio de Janeiro: Elsevier, 2003. SETZER, V. W. (2015). Dado, Informação, Conhecimento e Competência. São Paulo, 2015. Disponível em <https://www.ime.usp.br/~vwsetzer/dado-info.html>. Acesso em 23 nov de 2015. SILVA, G. M. Segurança em Sistemas Linux. Rio de Janeiro: Ciência Moderna, 2008. SOUZA, J. Segurança: a importância da gestão de riscos orientada a ativos de informação. 2011. Disponível em < http://www.tiespecialistas.com.br/2011/12/seguranca-a-importancia-

57

da-gestao-de-riscos-orientada-a-ativos-de-informacao/>. Acesso em 16 nov de 2015. VITORIANO, B. C. Gestão de Risco: você sabe o que é? 2012. Disponível em <http://www.portaleducacao.com.br/administracao/artigos/12107/gestao-de-risco-voce-sabe-o-que-e>. Acesso em 12 jun de 2016. WADLOW, Thomas. Segurança de Redes. Rio de Janeiro: Campus, 2000. XAVIER, R. C. M.; COSTA, R. O. Relações mútuas entre informação e conhecimento: o mesmo conceito? Disponível em < http://www.scielo.br/pdf/ci/v39n2/06.pdf/>. Acesso em 04 abr de 2016.

proposta de polÍtica de seguranÇa da...

Documents