Simp.TCC/Sem.IC.2017(12); 2864 -2882 2864

TSI

PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA EMPRESA EMPÓRIO FRIOS

VICTOR HUGO CORDEIRO MOREIRA GETULIO AMORIM DOS SANTOS JUNIOR

CID BENDAHAN COELHO CINTRA

RESUMO O objetivo deste estudo foi propor uma Política de Segurança da Informação para Empresa Empório Frios, com base na norma ABNT NBR ISO/IEC 27002 (2013). Os métodos utilizados para alcançar os objetivos de localizar e solucionar as principais falhas de segurança física e lógica. A metodologia tem como base pesquisas e estudos feitos a partir de normas, livros e etc, utilizados como ferramentas para a detecção das vulnerabilidades e implementação das matrizes de riscos. Como resultado final foi aplicado uma proposta de Política de Segurança da Informação para ajudar com alguns problemas de segurança da Empresa Empório Frios. Com isso chegamos á conclusão que e muito importante á aplicação da Política de Segurança da Informação na Empresa Empório Frio e em qualquer outra empresa, para manter a segurança dos ativos e diminuir os risco de alguma vulnerabilidade ser explorada. Palavras chaves: Política de Segurança; Informação, vulnerabilidade. ABSTRACT The objective of this study was to propose an Information Security Policy for Empirical Cold Companies, based on the ISO / IEC 27002 (2013) ABNT NBR standard. The methods used to achieve the goals of finding and solving major physical and logical security flaws. The methodology is based on researches and studies made from norms, books and etc, used as tools for the detection of vulnerabilities and implementation of risk matrices. As a final result was applied a proposal of Information Security Policy to help with some security problems of the Company Empório Frios. With this we come to the conclusion that it is very important to apply the Information Security Policy in the Company and in any other company to keep the security of the assets and reduce the risk of any vulnerability being exploited. Key words: Security Policy, Information, vulnerability. INTRODUÇÃO

Com a vasta tecnologia presente atualmente, e com a atenção de todos para á modernidade de hoje em dia, as Empresas estão o tempo todo conectadas por isso a muitas pessoas que não tinham conhecimento da tecnologia agora estão adquirindo essa sabedoria.

E com esse propósito de avanço da tecnologia que as empresas cada vez mais estão aplicando a Política de Segurança da Informação, para garantir a segurança das suas informações.

Com base nesse propósito que nos dias de hoje, não pode deixar de ser aplicado, uma Política de Segurança da Informação, pois, se alguma pessoa não autorizada tiver acesso aos dados da Empresa, o prejuízo pode ser ate mesmo a falência da Empresa.

Este trabalho tem como objetivo desenvolver uma proposta de Política de Segurança da Informação para a Empresa Empório Frios, foram feitos levantamentos de vulnerabilidades do ambiente físicas e lógicas, elaborando uma proposta de Política de Segurança da Informação para solucionar as vulnerabilidades presentes na qual foi utilizado como base a norma ABNT NBR ISO/IEC 27002 (2013). JUSTIFICATIVA A Empresa Empório Frios é uma empresa especializada na venda de frios (queijos e embutidos), embalagens e variados tipos de bebidas alcoólicas, prezando sempre o bom atendimento. A Empresa que escolhemos por conta da sua estrutura tanto física quanto lógica, serem

inadequadas para uma Empresa que seja especializada em tantos produtos e muitos clientes. A proposta de política de segurança da informação para á Empresa Empório Frios tem como objetivo, alcançar as necessidades da Empresa levando em consideração suas atividades para o alvo principal, de propor melhorias e soluções para as ameaças localizadas na Empresa. OBJETIVOS OBJETIVOS GERAIS

Propor uma Política de Segurança de Informação para a empresa Empório frios, tendo como referência a Norma ABNT NBR ISO/IEC 27002:2013. OBJETIVOS ESPECÍFICOS Estudar documentos, pesquisar na Internet, em cartilhas e livros onde encontrar sobre assunto de Segurança da Informação. Identificar todas as vulnerabilidades da empresa. Propor melhorias e soluções tendo como base a Norma ABNT ISO/IEC 27002:2013. Elaborar uma proposta de Política de Segurança de Informação detalhada para Empresa Empório frios. METODOLOGIA

Para elaborar este estudo foram pesquisados e levantados vulnerabilidades tendo como base a norma ABNT NBR ISO/IEC 27002 (2013). • Estudos e pesquisas diversas no ambiente de internet; • Referencias em livros para referencial teórico;

Simp.TCC/Sem.IC.2017(12); 2864 -2882 2865

• Analise da empresa verificando os aspectos físicos e lógicos e os recursos em tecnologia a empresa oferece; • Elaborar uma matriz para analisar os riscos físicos e lógicos e obter uma melhor solução; • Elaborar uma proposta de política de segurança da informação em conformidade com a norma ABNT NBR ISO/IEC 27002 (2013).

Também foram elaborados estudos e pesquisas em livros literários conhecidos na Política de Segurança da Informação para empresas como; • Dantas (2011), Ferreira e Araújo (2008), Lyra (2008), Sêmola (2003). REFERENCIAL TEÓRICO INFORMAÇÃO

Compreende-se que a informação é um dado ativo essencial para a empresa e necessita constantemente ser guardada com segurança em um ambiente adequado, Sêmola (2003) define que o objetivo é manter suas propriedades essenciais intactas, garantindo sua integridade, assim também como sua disponibilização para usuários autorizados, com isso relaciona-se os três critérios

básicos para a informação, integridade, disponibilidade e confidencialidade.

De acordo com Sêmola (2003, p. 01); é inegável que todas as empresas, independentemente de seu segmento de mercado, de seu core business e porte, em todas essas fases de existência, sempre usufruíram da informação, objetivando melhor produtividade, redução de custos, ganho de marketshare, aumento de agilidade, competitividade e apoio à tomada de decisão.

De acordo com a norma ABNT NBR ISO/IEC 27002 (2013), tanto os dados quanto os processos, os sistemas e os usuários que os manuseiam, são valores essenciais para as empresas, com isso devem ser mantidos com proteção, necessitando de análises para detecção de possíveis riscos.

De acordo com Sêmola (2003), como na figura 1 a seguir, onde, no âmbito dos negócios, é possível perceber que a informação é de suma importância em todos os negócios da empresa, em todos os setores encontra-se a necessidade da informação para o bom desempenho negócios da empresa

Figura 1.- Visão Sistêmica - Processos de negócio.

Fonte: SÊMOLA, (2003, p.02)

CLASSIFICAÇÃO DA INFORMAÇÃO

Conforme ABNT NBR ISO/IEC 27002 (2013, p.25) “Objetivo: Assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância para a organização”.

Ainda sobre a ABNT NBR ISO/IEC 27002 (2013, p.25): “Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação

não autorizada. Convém que outros ativos além dos ativos de informação também sejam classificados de acordo com a classificação da informação armazenada, processada, manuseada ou protegida pelo ativo”.

De acordo com a norma ABNT NBR ISO/IEC 27002 (2013, p. 26):

Convém que a classificação seja incluída nos processos da organização e seja consistente e coerente em toda a organização. Convém que os

Simp.TCC/Sem.IC.2017(12); 2864 -2882 2866

resultados da classificação indiquem o valor dos ativos em função da sua sensibilidade e criticidade para a organização, em termos da confidencialidade, integridade e disponibilidade. Convém que os resultados da classificação sejam atualizados de acordo com as mudanças do seu valor, sensibilidade e criticidade ao longo do seu ciclo de vida.

De acordo com a ABNT NBR ISO/IEC 27002 (2013) a classificação deve seguir critérios determinados pela empresa, de maneira a separar informações com maior relevância das demais, definindo assim seus valores de acordo com que sua importância aumente dentro da organização, podendo sofrer alterações de criticidades, assim como a maneira de seu tratamento e cuidados na organização. SEGURANÇA DA INFORMAÇÃO

De acordo com Sêmola (2003, p.43) “definir segurança da informação como uma área do conhecimento dedicado à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade”.

De acordo com Lyra (2008) a informação tem os seguintes aspectos :

� Confidencialidade: o sistema deve permitir que apenas um grupo seleto de usuários devam ter acesso a informações especificadamente restritas; � Integridade: a informação deve permanecer intacta, mantendo sua originalidade e veracidade; � Disponibilidade: a informação deve estar disponível sempre que usuários autorizados desejarem utilizá-la; � Autenticação: garantir que um usuário seja realmente quem ele esteja informando; � Não-Repúdio: o sistema deve provar que um usuário efetuou uma ação específica; � Legalidade: garantir que o sistema seja licenciado adequadamente; e � Auditoria: o sistema deve examinar tudo o que foi percorrido pelo usuário para detecções de possíveis infrações. GESTÃO DA SEGURANÇA DA INFORMAÇÃO

De acordo com Dantas (2011, p.117): “o processo de gestão de riscos envolve um conjunto de atividades baseadas em critérios que focam os principais riscos que afetam uma organização. Um sistema de segurança normalmente se sustenta em 3 pilares: normas e procedimentos, recursos humanos e tecnologia. São pilares fundamentais para quaisquer sistemas de proteção”.

Ainda de acordo Dantas (2011, p.117) “Em relação à segurança da informação, o objetivo principal de um sistema é manter a informação

segura dentro dos requisitos de segurança definidos por ela, ou pelo padrão adotado”.

ASPECTOS DA SEGURANÇA DA INFORMAÇÃO ATIVOS

De acordo com Dantas (2011, p.21) “A definição clássica é que o ativo compreende o conjunto de bens e direitos de uma entidade. Entretanto, atualmente, um conceito mais amplo tem sido adotado para se referir ao ativo tudo aquilo que possui valor para empresa.” Pode-se classificar os ativos da informação, de acordo com a ABNT NBR ISO/IEC 27002 (2005), como o conjunto de materiais que dá apoio e suporte a informação. De acordo com Dantas (2011, p.84 e 85). - Ativos de software: ferramentas de aplicação e utilitários digitais; ativos físicos: equipamentos hardware, de comunicação e mídias; - Serviços: estrutura que compõem o ambiente, utensílios; - Pessoas: funcionários da organização qualificados para exercerem as funções indicadas; - Intangíveis: marketing da organização, bem como sua imagem.

VULNERABILIDADES

De acordo com Dantas (2011, p.91):

“As vulnerabilidades são fragilidades que podem provocar danos ao serem exploradas pelas ameaças. Como se sabe, tanto uma vulnerabilidade quanto uma ameaça por si só não provocam danos, pois a concretização do risco envolve um conjunto de fatores que deságuam na sua materialização. Esses fatores geralmente estão relacionados com os processos, políticas, controles, equipamentos, softwares, comunicações, hardware, comunicações e recursos humanos, dentre outros”.

Ainda sobre o conceito de vulnerabilidade, de acordo com Dantas ( 2011, p.24)

Como pode ser verificado, as vulnerabilidades estão relacionadas diretamente com as fragilidades. Essas fragilidades podem estar nos processos, políticas, equipamentos e nos recursos humanos. Por si só, elas não provocam incidentes, pois são elementos passivos, necessitando para tanto de um agente causador ou de condição favorável, já que se trata de ameaças. Alguns exemplos de vulnerabilidade, de acordo com Sêmola(2003): � Físicas: são vulnerabilidades encontradas em estruturas de ambientes físicos, falta de recursos e materiais para prevenção e controle de possíveis desastres; � Hardware: possibilidade de desgaste, utilização de maneira errada de equipamentos e falta de cuidado dos usuários;

Simp.TCC/Sem.IC.2017(12); 2864 -2882 2867

� Software: instalações de programas não confiáveis, falta de controle de acesso e backups para não evitar a perda de dados; e � Humanas: falta de uma política dentro da empresa em que indique os direitos e deveres de cada usuário, falta de treinamento e restrição de informações confidenciais. RISCO

Segundo Dantas (2011) pode-se definir o risco como o impacto de uma vulnerabilidade explorada pela ameaça trazendo ações negativas e incidentes para a organização, pode-se afirmar ainda que risco é a junção de probabilidade de uma ameaça utilizar uma vulnerabilidade e as consequências das possíveis perdas.

Ainda com base em Dantas (2011), pode-se classificar o risco em várias categorias, sendo abordados, aqui, apenas três tipos que são considerados essenciais: � Naturais: são fenômenos gerados pela natureza e onde deve-se considerar a área onde a empresa está instalada para eventos não esperados;

� Involuntários: ações realizadas sem intenção, falhas que podem ocorrer em equipamentos sem a necessidade da ação de um agente mal-intencionado; e � Intencionais: são exatamente as ações praticadas por um agente com o objetivo de gerar danos, seja para obter lucros ou apenas para prejudicar a empresa, onde tal situação é geralmente causado por funcionários insatisfeitos com a organização. AMEAÇA

De acordo com Lyra (2008, p. 06) “É um ataque potencial a um ativo da informação. É um agente externo que, aproveitando-se da vulnerabilidade, poderá quebrar um ou mais dos três princípios de segurança da informação”. PROBABILIDADE

De acordo com Lyra (2008, p.06) ”É a chance de uma falha de segurança ocorrer levando-se em conta as vulnerabilidades do ativo e as ameaça que venham a explorar esta vulnerabilidade.

IMPACTO

De acordo com Lyra (2008, p.07) “O impacto de um incidente de segurança é medido pelas consequências que possa causar aos processos de negocio suportados pelo ativo em questão”.

Ainda conforme Lyra (2008, p. 07):

“Os ativos possuem valores diferentes, pois suportam informações em relevâncias diferentes para o negocio da organização. Quanto maior for o

valor do ativo, maior será o impacto de um eventual incidente que possa ocorrer”. SEGURANÇA DO AMBIENTE FÍSICO

Segundo Lyra (2008, p. 27):

”Para garantir a adequada segurança física dos ativos da informação é preciso combinar medidas de prevenção, detecção e reação aos possíveis incidentes de segurança. A ISO 17.799 chama de barreiras de segurança quaisquer medidas preventivas que impeçam aos ativos da informação, físicas(muros, cercas, trancas), lógicas(senha do logon) ou uma combinação de ambas(token)”.

Ainda Conforme Lyra (2008, p.27) “Para garantir a adequada segurança física dos ativos da informação é preciso combinar medidas de prevenção, detecção e reação aos possíveis incidentes de segurança”.

SEGURANÇA DE EQUIPAMENTOS

Conforme Lyra (2008, p. 29) “Os equipamentos também precisam ser protegidos contra falha de energia e outras anomalias na alimentação elétrica.

Ainda de acordo com Lyra (2008) é de

suma importância garantir a continuidade do negócio caso venha a acontecer algum problema no fornecimento elétrico, algumas das opções é o uso de alimentação com múltiplas fontes, uso de nobreaks e geradores de reservas.

Ainda conforme Lyra (2008, p. 29):

“Outra fonte de problemas que precisa ser considerada são os defeitos inerentes aos próprios produtos de hardware. Medidas devem ser tomadas, de forma preventiva, para garantir o perfeito funcionamento dos equipamentos, com o planejamento de manutenções periódicas para minimizar possíveis cenários de mau funcionamento” SEGURANÇA DE MÍDIAS DE COMPUTADOR

“A ISO 17.799 recomenda que as mídias de computador sejam controladas e fisicamente protegidas. A segurança dos backups é uma das grandes preocupações deste tópico” (Lyra, 2008, p. 31).

Ainda conforme Lyra (2008) é importante controlar o acesso às mídias, cópias, descartes e armazenamento e criar uma política específica, a fim de proteger estes ativos”.

ATAQUES

De acordo com Ferreira (2008) um ataque é uma tentativa maliciosa de acessar sem autorização os ativos da organização comprometendo assim a confidencialidade, integridade e disponibilidade das informações ou também podendo ser um acesso sem maldade mas

Simp.TCC/Sem.IC.2017(12); 2864 -2882 2868

burlando os princípios de segurança da organização.

Conforme Ferreira (2003, p. 70): “No inicio da internet, os especialistas em segurança estavam quase totalmente focados nas ameaças vindas de fora. Eles estavam preocupados com hackers e espiões industriais, ou mesmo ameaças de governos estrangeiros. Eles não deram muita atenção as pessoal interno das organizações.”

De acordo com Cert.br (2015, citado por LEMOS; OLIVEIRA, 2016, p. 19) ”os principais motivos que levam o indivíduo a desferir ataques na Internet são: Demonstração de poder: mostrar a uma empresa que ela pode ser invadida ou ter os serviços suspensos e, assim, tentar vender serviços ou chantageá-la para que o ataque não ocorra novamente. Prestígio: vangloriar-se, perante outros atacantes, por ter conseguido invadir computadores, tornar serviços inacessíveis ou desfigurar sites considerados visados ou difíceis de serem atacados; disputar com outros atacantes ou grupos de atacantes para revelar quem consegue realizar o maior número de ataques ou ser o primeiro a conseguir atingir um determinado alvo. Motivações financeiras: coletar e utilizar informações confidencias de usuários para aplicar golpes (mais detalhes no Capítulo Golpes na Internet). Motivações Ideológicas: tornar inacessível ou invadir sites que divulguem conteúdo contrário à opinião do atacante; divulgar mensagens de apoio ou contrárias a uma determinada ideologia. Motivações comerciais: tornar inacessível ou invadir sites e computadores de empresas concorrentes, para tentar impedir o acesso dos clientes ou comprometer a reputação destas empresas.

Existem diversas formas de ataques que continuam aumentando a cada dia tendo em vista o avanço tecnológico. Não existe proteção completa, pois a criatividade e experiência de atacantes vêm, diariamente, surpreendendo os profissionais das áreas de segurança da informação. Conforme Cert.br (2015) eis os mais importantes e mais conhecidos tipos de ataques; Malwares são códigos maliciosos () são programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador. Vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos. Para que possa se tornar ativo e dar continuidade ao processo de infecção, o vírus depende da execução do programa ou arquivo hospedeiro, ou seja, para que o seu computador seja infectado é preciso que um programa infectado seja executado. Alguns dos tipos de vírus mais comuns são vírus propagados por e-mail, vírus de script, vírus de macro e vírus de telefone celular.

Worm: é um programa capaz de se propagar automaticamente pelas redes, enviado cópias de si mesmo de computador para computador. Diferente do vírus, o worm não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, mas sim pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores. Worms são notadamente responsáveis por consumir muitos recursos, devido à grande quantidade de cópias de si mesmo que costumam propagar e, como consequência, podem afetar o desempenho de redes e a utilização de computadores. Bot e botnet: é um programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente. Possui processo de infecção e propagação similar ao do worm, ou seja, é capaz de se propagar automaticamente, explorando vulnerabilidades existentes em programas instaldos em computadores. A comunicação entre o invasor e o computador infectado pelo bot pode ocorrer via canais de IRC, servidores Web e redes do tipo P2P, entre outros meios. Enviar instruções para que ações maliciosas sejam executadas, como desferir ataques, furtar dados do computador infectado e enviar spam. Um computador infectado por um bot costuma ser chamado de zumbi (zombie computer), pois pode ser controlado remotamente, sem o conhecimento do seu dono. Spyware: é um programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas para terceiros. Pode ser usado tanto de forma legítima quanto maliciosa, dependendo de como é instalado, das ações realizadas, do tipo de informação monitorada e do uso que é feito por quem recebe as informações coletadas. Pode ser considerado de uso legítimo ou malicioso.

Alguns tipos específicos de programas spyware são:

Keylogger: capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. Screenlogger: similar ao keylogger, capaz de armazenar a posição do cursor e a tela apresentada no monitor. Adware: projetado especificamente para apresentar propagandas. Backdoor: é um programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços criados ou modificados para este fim. Pode ser incluído pela ação de outros códigos maliciosos, que tenham previamente infectado o computador, ou por atacantes, que exploram vulnerabilidades existentes nos programas instalados no computador para invadi-lo. Cavalo de troia (Trojan): é um programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras

Simp.TCC/Sem.IC.2017(12); 2864 -2882 2869

funções, normalmente maliciosas, e sem o conhecimento do usuário. Rootkit: é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido.” MATRIZ DE RISCO

“A melhor forma para determinar o grau de risco é relacionar em detalhes quais seriam os impactos para a organização, se uma ameaça

conseguir explorar uma vulnerabilidade” (FERREIRA, 2008, p. 177).

Segundo Sêmola (2003, p. 113) Segurança é administrar riscos. Toda empresa possui características próprias, objetivos e planos específicos; por isso, precisa encontrar o nível de risco mais adequado para operar. Dentro desse panorama a analise de riscos é o instrumento perfeito para dimensionar a situação de segurança atual, tornando-a consciente dos riscos e orientando-a a buscar soluções que a conduzam para o patamar de risco aceitável.

O quadro 01 mostra o nível da probabilidade e como pode ser expressada: Quadro 01: Definição do nível de Probabilidade

NÍVEL DEFINIÇÃO Alto A fonte de ameaça está altamente motivada e possui conhecimento

suficiente para execução do ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada são ineficazes.

Médio A fonte de ameaça está motivada e possui conhecimento suficiente para execução do ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada são eficazes.

Baixo A fonte de ameaça não está altamente motivada e não possui conhecimento suficiente para execução do ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada são eficazes.

Fonte: Ferreira (2008, p. 177) “Alguns impactos podem ser medidos quantitativamente por meio da determinação da perda

financeira e custo para realização de manutenção corretiva” (Ferreira, 2008, p. 178). O quadro abaixo mostra as categorias de impacto que poderão ser utilizadas.

Quadro 02: Definição do nível de impacto

NÍVEL DEFINIÇÃO Alto - Perda significante dos principais ativos e recursos

- Perda da reputação, imagem e credibilidade - Impossibilidade de continuar com as atividades de negócio

Médio - Perda dos principais ativos e recursos - Perda da reputação, imagem e credibilidade

Baixo - Perda de alguns dos principais ativos e recursos - Perda da reputação, imagem e credibilidade

Fonte: Ferreira (2008, p. 178) Conforme Ferreira (2008, p. 179) ” A determinação do risco é obtida pela multiplicação da

classificação da probabilidade de ocorrência versus o impacto na organização”. No quadro abaixo vemos como são classificadas as avaliações de riscos.

Quadro 03: Definição da matriz do nível de risco PROBABILIDADE IMPACTO

Baixo (10) Médio (50) Alto (100)

Alto (1,0) Baixo 10 x 1,0 = 10 Médio 50 x 0,1 = 50 Alto 100 x 0,1 = 100 Médio (0,5) Baixo 10 x 0,5 = 5 Médio 50 x 0,5 = 25 Médio 100 x 0,5 = 50 Baixo (0,1) Baixo 10 x 0,1 = 1 Baixo 50 x 0,1 = 5 Baixo 100 x 0,1 = 10

Escala de risco:

Alto - pontuação entre 51 e 100

Médio - pontuação entre 11 e 50

Baixo - pontuação entre 1 e 10

Fonte: Ferreira (2008, p. 179) Ainda conforme Ferreira (2008) ”Para

diminuir a exposição aos riscos mais relevantes, deve-se adotar a estratégia de identificação do impacto que os riscos podem oferecer às atividades

da organização, assim como sua probabilidade de ocorrência, para assim poder diminuir os riscos e as exposições e manter o controle”.

Simp.TCC/Sem.IC.2017(12); 2864 -2882 2870

“Após a determinação da matriz do nível de riscos, deve ser especificada a descrição do nível de do risco (Alto, Médio e Baixo), bem como as

ações necessárias para diminuí-lo” (Ferreira, 2008, p. 180). Como exemplo tem-se o quadro 4, abaixo:

Quadro 04: Definição do nível de risco

NÍVEL DO RISCO DESCRIÇÃO DO RISCO E AÇÕES NECESSÁRIAS Alto Se uma possibilidade de melhoria for avaliada como sendo de alto risco,

existe necessidade imediata para contramedidas serem adotadas. Os sistemas podem continuar operando, entretanto, ações corretivas devem ser iniciadas o mais breve possível.

Médio Se uma possibilidade de melhoria for classificada como sendo de médio risco, ações corretivas estabelecidas em um plano de ação, devem ser realizadas em um curto período de tempo.

Baixo Se uma observação for classificada como sendo de baixo risco, os administradores e proprietários das informações devem avaliar a necessidade de efetuar manutenção corretiva ou assumir o risco

Fonte: Ferreira (2008, p. 180) Conforme Ferreira (2008) a matriz de risco

visa diminuir e/ou eliminar as probabilidades de incidentes de segurança e qualquer tipo de ataque, visando sempre o bom funcionamento do negócio e a proteção dos ativos. NORMA ABNT NBR ISO/IEC 27002:2013

De acordo com a norma (ABNT NBR ISO/IEC 27002:2013, p. 4): Esta Norma é projetada para as organizações usarem como uma referência na seleção de controles dentro do processo de implementação de um sistema de gestão da segurança da informação (SGSI), baseado na ABNT NBR ISO/IEC 27001 ou como um documento de orientação para as organizações implementarem controles de segurança da informação comumente aceitos.

Ainda conforme a norma (ABNT NBR ISO/IEC 27002:2013, p. 4) ” A Norma é também usada no desenvolvimento de organizações e indústrias especificas de gerenciamento de segurança da informação, levando em consideração os seus ambientes de risco de segurança da informação específicos”.

A Norma (ABNT NBR ISO/IEC 27002:2013) diz que de um modo geral, uma segurança da informação bem planejada garante à organização que os ativos estão seguros e protegidos contra danos, agindo como um facilitador dos negócios, fazendo com que assim os ativos não fiquem vulneráveis e consequentemente mantendo o bom desempenho da organização.

ESTRUTURA DA NORMA

A norma acima citada que é Projeto de Revisão/Emenda que é prevista para cancelar e substituir a edição anterior (ABNT NBR ISO IEC 27002:2005), tem como principal objetivo estabelecer diretrizes para implementação de uma gestão de risco eficaz, para assim manter o controle dos ativos e do ambiente da organização. A norma e dividida em 19 sessões: 0. Introdução 1. Escopo 2. Referencias normativas

3. Termos e definições 4. Estrutura desta norma 5. Políticas de segurança da informação 6. Organização da segurança da informação 7. Segurança em recursos humanos 8. Gestão de ativos 9. Controle de acesso 10. Criptografia 11. Segurança física e do ambiente 12. Segurança nas operações 13. Segurança nas comunicações 14. Aquisição, desenvolvimento e manutenção de sistemas 15. Relacionamento na cadeia de suprimento 16. Gestão de incidentes de segurança da informação 17. Aspectos da segurança da informação na gestão da continuidade do negocio 18. Conformidade

SEGURANÇA DO AMBIENTE LÓGICO SEGURANÇA EM REDES

Seguindo o conceito de Lyra (2008, p. 33):

“As preocupações com segurança das redes devem abranger os problemas de autenticação de usuários e equipamentos e de restrição do acesso dos usuários aos serviços autorizados, contemplando o estabelecimento de interfaces seguras entre e rede interna e a rede pública ou de outra organização. A norma ISO 17.799 menciona diversos mecanismos de proteção das redes, entre os quais destacamos os gateways e firewalls, que podem ser utilizados para controlar o tráfego que entre e sai, estabelecer rotas de redes obrigatórias e dividir grandes redes em domínios lógicos separados, a serem protegidos por perímetros de segurança específicos. Outros exemplos de controles citados na norma são o uso de técnicas de criptografia, tokens, VPNs, antivírus, etc”. FIREWALL

Conforme Lyra (2008, p. 34):

Simp.TCC/Sem.IC.2017(12); 2864 -2882 2871

“São recursos de segurança que têm o objetivo de controlar o acesso às redes de computadores. Consistem basicamente numa barreira de proteção entre um computador e seu ambiente externo. O tráfego de informações é examinado e bloqueado quando não atende a critérios predefinidos pela política de segurança”.

Ainda segundo Lyra (2008, p. 34) “Para o firewall fazer corretamente seu trabalho, todo o tráfego deve passar por ele. Isso o torna, inevitavelmente, um potencial gargalo na rede, pois se o firewall não for dimensionado corretamente, causará lentidão na rede”. PERÍMETROS LÓGICOS

Conforme Lyra (2008, p. 35): “As chamadas redes de perímetro ou zonas desmilitarizadas (DMZ, do termo de-militarized zone) permitem proteger um computador ou segmento de rede que ficando entre uma rede interna e a internet. A DMZ atua como intermediária tanto para o tráfego de entrada quanto de saída. O termo do uso militar, significando uma área neutra que separa dois inimigos”.

ANTIVÍRUS

“A maioria dos problemas relacionados a incidentes de segurança em computadores pessoais é causada por programas maliciosos, dentre os quais estão os vírus, os worms, os cavalos de tróia e outros”.

Segundo Lyra (2008, p. 36): “Um bom sistema antivírus é um elemento essencial para a proteção de redes conectadas à internet. O software antivírus ajuda a impedir ataques vasculhando arquivos periodicamente em busca de mudanças inesperadas em tamanho de arquivos, sequência de códigos similares às armazenadas em uma base de dados de vírus conhecidos, anexos de e-mails e outros sinais de alerta”. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Para um regimento correto de um documento de política de segurança, a norma ABNT NBR ISO/IEC 27002 (2013) determina que ele deve possuir declarações com o objetivo de:

a) Estabelecer aspectos sobre segurança da informação, seus objetivos e a importância sobre essa necessidade de se estabelecer as diretrizes para a segurança. b) Estabelecer comprometimento correlação aos objetivos, os princípios de segurança e negócio em si da organização. c) Determinar uma estrutura com base nos objetivos e metas para o controle e gerenciamento sobre essas informações.

d) Definir os princípios, normas e as exigências específicas sobre a segurança dessas informações, levando em conta a conciliação com a legislação; a determinação de treinamento para manter a segurança; a continuidade do negócio; e as punições em caso de violação sobre essa política. e) Distribuição e especificação das responsabilidades no controle da segurança dessas informações. f) Estabelecer referências que podem ser utilizadas como base para espelhamento por parte dos usuários.

Conforme Dantas (2011), essa norma alerta ainda que a política deve ser comunicada a toda a organização para os usuários, de forma que seja relevante, acessível e compreensível para todos os leitores da organização. OBJETIVO DA POLÍTICA DE SEGURANÇA

De acordo com Dantas (2011) nossa política de segurança da informação tem como objetivo geral prover uma orientação e apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentos.

Possui também os seguintes objetivos específicos:

1. Proporcionar a segurança da informação na organização; 2. Fomentar a cultura pela segurança da informação nos funcionários, acionistas, clientes, fornecedores e colaboradores; 3. Estabelecer ações necessárias à implementação e à manutenção da segurança da informação baseadas nos principais riscos aos negócios corporativos; 4. Obter a certificação da norma ISO 27001:2005.

ESTUDO DE CASO EMPRESA

A Empório Frios localizada na Samambaia Sul, é uma empresa especializada na venda de frios (queijo e embutidos), embalagens e alguns tipos de bebidas alcoólicas, para conseguir atender melhor seus clientes. A empresa conta com três funcionários, uma para o corte dos frios, atendimento no caixa e o gerente.

A empresa está no mercado a pouco tempo, no ramo desde 2017, situada na QN 513 CONJUNTO D LOTE 02 da Samambaia Sul (figura 02) e visa o bom atendimento e qualidade nos produtos dando garantia para que o cliente fique satisfeito e volte sempre que precisar.

A figura 2, mostra a fachada da empresa, com o banner e a parte da entrada da loja.

Simp.TCC/Sem.IC.2017(12); 2864 -2882 2872

Figura 2 - fachada da empresa

Fonte: Os autores

ESTRUTURA DA EMPRESA

A empresa está situada em um lote comercial da samambaia, local com empresas de vários ramos, unificando assim um varejo vasto. A empresa conta com uma estrutura organizacional não muito grande, porém, suficiente para um atendimento de qualidade. O espaço organizacional e dividido em três partes, sendo: sala de cortes, sala da contabilidade (com

banheiro) e o local da exposição das mercadorias e caixa.

A empresa conta com um gerente, responsável pelo controle dos funcionários, estoque, pagamentos e pedidos de produtos junto aos fornecedores. A empresa conta ainda com mais dois funcionários, um operador de caixa e um fatiador responsável pelo cortes e organização dos produtos.

A sala da contabilidade, onde trabalha o gerente, fica situada ao fundo da loja, como mostra figura 3. Figura 3 – Sala contabilidade

Fonte: Os autores

Simp.TCC/Sem.IC.2017(12); 2864 -2882 2873

O único caixa da empresa fica logo na entrada dando assim, maior espaço nos corredores para que os clientes possam ficar mais à vontade para escolhes os produtos, como a loja não é muito grande, essa arquitetura foi a mais adequada para maximizar os espaços da loja como mostra a figura 4. Figura 4 – Caixa da empresa

Fonte: Os autores

A figura 5 mostra a organização das prateleiras facilitando assim a escolha dos produtos, evitando confusão na organização, facilitando para os clientes.

Figura 5 – Organização das prateleiras

Fonte: Os autores ASPECTOS DA SEGURANÇA FÍSICA

O acesso a empresa é feita somente pela porta principal sem controle de acesso, pois o que mantém a empresa ativa são os clientes. Não existe controle de acesso dos funcionários e

colaboradores da empresa. A sala da contabilidade tem porta com fecho, porém, a chave fica na porta durante o funcionamento da empresa, o que pode ser considerado grave, pois, todos podem ter

Simp.TCC/Sem.IC.2017(12); 2864 -2882 2874

acesso aos documentos que ali estão e comprometer o funcionamento da empresa. Na empresa há um sistema de monitoramento interno e externo com 4 câmeras com o foco principal no caixa e na entrada da empresa. Porém o sistema de gravação DVR não

está posicionado em um local de acesso restrito possibilitando assim com que alguma pessoa mal intencionada possa ter acesso ao gravador de imagens.(figura 6)

Figura 6 – Câmeras da empresa

Fonte: Os autores Para proteção contra incêndios tem instalados extintores, porém não há para-raios ou algum outro meio de proteção contra incêndios, sendo assim os extintores a única opção para o combate a incêndios.

O modem de Internet (figura 7) está em um local inadequado, está localizado próximo ao caixa, ficando bem visível a todos que por ali passam, podendo assim ser facilmente desligado prejudicando a continuidade dos negócios. Os cabos estão expostos sem a proteção devida.

Figura 7 – Modem de internet

Fonte: Os autores

Simp.TCC/Sem.IC.2017(12); 2864 -2882 2875

A empresa não possui lâmpadas de emergência que acedem automaticamente caso venha a faltar energia elétrica, sendo muito útil para a continuidade das atividades da empresa, e mantendo uma maior segurança para as pessoas que ali estiverem.

Para a segurança da empresa, quando encontra-se fechada, as portas possuem trancas e travas resistentes para o modelo de porta, com cadeados para reforçar a segurança. A empresa possui um sistema de alarme, usando quando a mesma está fechada, que aciona em caso de alguma tentativa de furto. ASPECTOS DA SEGURANÇA LÓGICA

As informações da empresa contida no sistema são guardadas na memória da máquina,

fazendo backup apenas uma vez no mês. A empresa não tem uma política estabelecida sobre o uso dos recursos tecnológicos e sobre o uso da internet na mesma.

As mídias externas (CD, DVD, disquete, Pen Drives, Discos Rígidos Externos e celulares) são bloqueadas para que os ativos da empresa não possam ser capturados por terceiros, e para que não sejam instalados softwares que possam vim a prejudicar a continuidade dos negócios.

O caixa normalmente não é bloqueado, nem quando o operador não está na sua estação de trabalho, e o sistema não tem uma configuração para que isso aconteça, para que o funcionário faça o bloqueio do caixa caso precise sair, não existe o bloqueio automático caso o caixa fique muito tempo sem operar.

A figura 8 mostra o sistema de vendas da loja, querendo mostrar que não há um método de bloqueio.

Figura 8 – Funções do sistema

Fonte: Os autores

O computador que funciona o caixa tem como sistema operacional o Linux e não tem manutenção periodicamente, apenas quando algum problema que pare com o funcionamento do caixa acontece, não existe perfil para cada usuário, um único perfil e liberado para todo o expediente. O perfil único que está na maquina não possui uma senha secreta, todos da loja sabem.

A figura 9 mostra a venda propriamente dita e como funciona a parte de fechamento da venda.

Figura 9 – Sistema da empresa

Simp.TCC/Sem.IC.2017(12); 2864 -2882 2876

Fontes: Os autores

A empresa tem um modem, figura 10, a seguir, de Internet com acesso a rede sem fio, esse acesso

e limitado aos funcionários, porém, consequentemente alguns conhecidos e clientes tem acesso a rede.

Figura 10 – Acesso ao modem

Fonte: Os autores

A empresa faz uso de um leitor de código de barras, figura 11, a seguir, para facilitar na identificação do produto e do processo de leitura, para melhor atender os clientes, e existe também uma impressora para emissão de cupom fiscal.

Figura 11 – Equipamentos do caixa

Simp.TCC/Sem.IC.2017(12); 2864 -2882 2877

Fonte: Os autores

MATRIZ DE RISCO

A matriz de risco que será usada para o estudo é a proposta por FERREIRA; ARAÚJO (2008, p. 179) que vai ser o modelo para a análise e identificação de ameaças e vulnerabilidades, minimizando o risco de acontecer qualquer tipo de ameaças.

As informações acima citadas serão analisadas de acordo com as definições da Norma ABNT NBR ISO/IEC 27002 (2013).

Quadro 03: Definição da matriz do nível de risco

PROBABILIDADE IMPACTO

Baixo (10) Médio (50) Alto (100)

Alto (1,0) Baixo 10 x 1,0 = 10 Médio 50 x 0,1 = 50 Alto 100 x 0,1 = 100 Médio (0,5) Baixo 10 x 0,5 = 5 Médio 50 x 0,5 = 25 Médio 100 x 0,5 = 50 Baixo (0,1) Baixo 10 x 0,1 = 1 Baixo 50 x 0,1 = 5 Baixo 100 x 0,1 = 10

Escala de risco:

Alto - pontuação entre 51 e 100

Médio - pontuação entre 11 e 50

Baixo - pontuação entre 1 e 10

Fonte: Ferreira (2008, p. 179) MATRIZ DE RISCO: SEGURANÇA PARTE FÍSICA

Quadro 05 – Matriz de risco parte física Item Ameaça Probabilidade Impacto Risco

1 Existe algum tipo de sistema de câmeras do tipo CFTV (Circuito Fechado de Televisão) ou DVR

(Digital Vídeo Recorder)?

0,5

100

50

(Médio)

2 A empresa possui um sistema para controle de incêndio?

0,5 100 50 (Médio)

3 Documentos importantes ficam largados em cima da mesa ?

0,1 100 10 (Baixo)

4

Existe algum sistema de alarme na empresa ?

0,1 100 10 (Baixo)

5 Os cabos de dados e os fios de

energia elétrica estão protegidos, sem exposição?

1,0 100 100 (Alto)

Simp.TCC/Sem.IC.2017(12); 2864 -2882 2878

6 Existe um cronograma de manutenção dos equipamentos a

ser seguido?

1,0

100 100 (Alto)

MATRIZ DE RISCO: SEGURANÇA PARTE LÓGICA

Quadro 06 – Matriz de risco de segurança parte lógica

Item Ameaça Probabilidade Impacto Risco 1 Existe proteção das mídias

externas na empresa ? 1,0 100 100

(Alto) 2 É usado algum sistema de

antivírus ou outro tipo de proteção contra softwares maliciosos?

1,0

100

100

(Alto) 3 É feito backup periodicamente para

proteção dos documentos ?

1,0

100 100

(Alto)

4 Os funcionários costumam bloquear as máquinas nas ausências ?

1,0

100

100 (Alto)

5 Existe alguma autenticação no sistema de vendas da empresa ?

1,0

100

100 (Alto)

6 Existe o controle de usuários para conseguir acesso aos equipamentos da rede da empresa ?

1,0

100

100 (Alto)

Após elaboração das matrizes de riscos e dos problemas da empresa, será analisado cada item de acordo com a norma. MATRIZ DE RISCO: SEGURANÇA PARTE FÍSICA (QUADRO 06) Item 1: Existe algum tipo de sistema de câmeras do tipo CFTV (Circuito Fechado de Televisão) ou DVR (Digital Vídeo Recorder)? Na empresa existe um sistema de monitoramento com o total de 4 câmeras, principalmente na parte dos caixa, local mais visado e com maior fluxo de pessoas, e para aumentar a segurança da empresa e dos clientes que estão comprando.

De acordo com a norma (ABNT NBR ISO/IEC 27002:2013, p. 46):

Perímetro de segurança física f) convém que sistemas adequados de detecção de intrusos, de acordo com normas regionais, nacionais e internacionais sejam instalados e testados em intervalos regulares, e cubram todas as portas externas e janelas acessíveis; as áreas não ocupadas sejam protegidas por alarmes o tempo todo; também seja dada proteção a outras áreas, por exemplo, salas de computadores ou salas de comunicações;

Item 2: A empresa possui um sistema para controle de incêndio? Na empresa não existe um sistema robusto para controle de incêndios, a empresa possui apenas

extintores, não existe um sistema mais robusto e equipado para um controle mais eficiente.

De acordo com a norma (ABNT NBR ISO/IEC 27002:2013, p. 49):

Proteção contra ameaças externas e do meio-ambiente Convém que orientações de especialistas sejam obtidas sobre como evitar danos oriundos de fogo, inundação, terremoto, explosão, manifestações civis e outras formas de desastre natural ou provocado pela natureza. Item 3: Documentos importantes ficam largados em cima da mesa ? Não é de costume dos funcionários da empresa deixar documentos largados por cima das mesas ou balcões, pois, é de responsabilidade do gerente organizar e deixar com que esse fato não aconteça.

De acordo com a norma (ABNT NBR ISO/IEC 27002:2013, p. 35):

Gerenciamento da informação de autenticação secreta de usuários Convém que a concessão de informação de autenticação secreta seja controlada por meio de um processo de gerenciamento formal. e) Informação de autenticação secreta temporária seja única para uma pessoa e que não seja fácil de ser advinhada;

Simp.TCC/Sem.IC.2017(12); 2864 -2882 2879

Item 4: Existe algum sistema de alarme na empresa ? Na empresa existe um sistema de alarme, que ajuda na segurança durante a noite, período em que a empresa está fechada, porém, localizado em local bem visível e fácil de ser desconectado.

De acordo com a norma (ABNT NBR ISO/IEC 27002:2013, p. 46):

Perímetro de segurança física b) convém que os perímetros de um edifício ou de um local que contenha as instalações de processamento da informação sejam fisicamente sólidos (ou seja, o perímetro não deve ter brechas nem pontos onde poderia ocorrer facilmente uma invasão); as paredes externas do local devem ser de construção robusta e todas as portas externas sejam adequadamente protegidas contra acesso não autorizado por meio de mecanismos de controle, por exemplo, barras, alarmes, fechaduras etc.; as portas e janelas sejam trancadas quando estiverem sem monitoração, e que uma proteção externa para as janelas seja considerada, principalmente para as que estiverem situadas no andar térreo; Item 5: Os cabos de dados e os fios de energia elétrica estão protegidos, sem exposição? Os cabos da empresa não ficam bem protegidos, ficando visível a muita a todos e podendo causar um acidente. As tomadas e extensões não tem a devida proteção para uma boa segurança.

De acordo com a norma (ABNT NBR ISO/IEC 27002:2013, p. 51):

Segurança do cabeamento Convém que o cabeamento de energia e de telecomunicações que transporta dado ou dá suporte aos serviços de informações seja protegido contra interceptação, interferência ou danos. a) convém que as linhas de energia e de telecomunicações que entram nas instalações de processamento da informação sejam subterrâneas (ou fiquem abaixo do piso) sempre que possível, ou recebam uma proteção alternativa adequada;

Item 6: Existe um cronograma de manutenção dos equipamentos a ser seguido? Na empresa não existe um cronograma organizado do tem que ser feito nos equipamentos, a manutenção dos equipamentos não são feitas periodicamente. A manutenção acontece apenas quando algum equipamento fica com defeito, consequentemente parando com andamento dos negócios.

De acordo com a norma (ABNT NBR ISO/IEC 27002:2013, p. 52):

Manutenção dos equipamentos Convém que os equipamentos tenham uma manutenção correta para assegurar sua disponibilidade e integridade permanente. d) convém que sejam implementados controles apropriados, na época programada para a manutenção do equipamento, dependendo da manutenção ser realizada pelo pessoal local ou por pessoal externo à organização; onde necessário, informações sensíveis sejam eliminadas do equipamento, ou o pessoal de manutenção seja de absoluta confiança;

MATRIZ DE RISCO: SEGURANÇA PARTE LÓGICA (QUADRO 07) Item 1: Existe proteção das mídias externas na empresa ? Na empresa as entradas de leitura das mídias externas estão desconectadas, para que não seja conectado qualquer tipo de mídia (CD, DVD, pen drive e etc) que possa trazer prejuízo as informações confidenciais da empresa, mantendo a continuidade dos negócios.

De acordo com a norma (ABNT NBR ISO/IEC 27002:2013, p. 69):

Restrições quanto à instalação de software A instalação de software não controlada em dispositivos computadorizados pode introduzir vulnerabilidades e em seguida gerar o vazamento de informações, perda de integridade ou outros incidentes de Segurança da Informação além da violação de direitos de propriedade intelectual. Item 2: É usado algum sistema de antivírus ou outro tipo de proteção contra softwares maliciosos? Existe na empresa o uso de um sistema de antivírus instalada na maquina, que ajuda na proteção contra softwares maliciosos, com licença anual ativa e renovando- se que está a vencer.

De acordo com a norma (ABNT NBR ISO/IEC 27002:2013, p. 60):

Controles contra códigos maliciosos Convém que a proteção contra códigos maliciosos seja baseada em softwares de detecção e resposta a códigos maliciosos, na conscientização da segurança da informação, no controle de acesso adequado e nos controles de gerenciamento de mudanças. Recomenda-se que os seguintes controles sejam considerados: g) instalar e atualizar regularmente softwares de detecção e remoção de códigos maliciosos para o

Simp.TCC/Sem.IC.2017(12); 2864 -2882 2880

exame de computadores e mídias magnéticas, de forma preventiva ou de forma rotineira; h) definir procedimentos e responsabilidades para tratar da proteção de código malicioso nos sistemas, treinamento nesses procedimentos, reporte e recuperação de ataques de códigos maliciosos (códigos maliciosos); Item 3: É feito backup periodicamente para proteção dos documentos ? Na empresa não existe um cronograma de backup a ser seguida, o backup na empresa é feito uma vez no mês, para guardar as vendas. Não existe também uma sistema que recupere as informações perdidas ou roubadas, caso venha a acontecer.

De acordo com a norma (ABNT NBR ISO/IEC 27002:2013, p. 62):

Cópias de segurança das informações Convém que cópias de segurança das informações, softwares e das imagens do sistema, sejam efetuadas e testadas regularmente conforme a política de geração de cópias de segurança definida. Convém que a política de backup seja estabelecida para definir os requisitos da organização relativos às cópias de segurança das informações, dos softwares e dos sistemas.

Item 4: Os funcionários costumam bloquear as máquinas nas ausências ? O sistema da empresa não tem como função o bloqueio do caixa, para quando o funcionário tiver sair bloquear o caixa e deixar a estação seguro contra algum atentado e pessoas não autorizadas.

De acordo com a norma (ABNT NBR

ISO/IEC 27002:2013, p. 62): Responsabilidades dos usuários Objetivo: Tornar os usuários responsáveis pela proteção das suas informações de autenticação. Item 5: Existe alguma autenticação no sistema de vendas da empresa ? Existe na empresa a autenticação para entrar no sistema de vendas, porém, somente um login e uma senha para todos os funcionários, tornando assim a senha, que é secreta, um meio não secreto e trazendo risco aos negócios.

De acordo com a norma (ABNT NBR ISO/IEC 27002:2013, p. 37): Uso da informação de autenticação secreta Convém que os usuários sejam orientados a seguir as práticas da organização quanto ao uso da informação de autenticação secreta.

Convém que todos os usuários sejam informados para: a) manter a confidencialidade da informação de autenticação secreta, garantindo que ela não é divulgada para quaisquer outras partes, incluindo autoridades e lideranças;

Item 6: Existe o controle de usuários para conseguir acesso aos equipamentos da rede da empresa ?

Na empresa, como citada anteriormente, não existe o controle de cada usuário para o acesso, pois, existe apenas um login e senha para todos os funcionários, então não existe privilégio em relação ao acesso.

De acordo com a norma (ABNT NBR

ISO/IEC 27002:2013, p. 30):

Política de controle de acesso Convém que os proprietários dos ativos determinem regras apropriadas do controle de acesso, direitos de acesso e restrições para papéis específicos dos usuários acessarem seus ativos, com o nível de detalhe e o rigor dos controles que reflitam os riscos de segurança da informação associados. Gerenciamento de direitos de acesso privilegiados Convém que a concessão e uso de direitos de acesso privilegiado sejam restritos e controlados. Análise crítica dos direitos de acesso de usuário Convém que os proprietários de ativos analisem criticamente os direitos de acesso dos usuários, a intervalos regulares. PROPOSTA DE POLÍTICA DE SEGURANÇA TÍTULO DA POLÍTICA POLÍTICA DE SEGURANÇA DA EMPRESA EMPÓRIO FRIOS. INSTITUIÇÃO A QUAL SE DESTINA Essa proposta de política de segurança é para a melhoria da segurança na empresa Empório Frios. OBJETIVO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Esta proposta tem como principal objetivo a continuidade dos negócios com uma melhor segurança da informação, tendo como diretrizes a norma ABNT NBR ISO/IEC 27002 (2013) juntamente com os dados coletados com a gerência da empresa, para que, os riscos de algum incidente de segurança sejam minimizados. ABRANGÊNCIA DA POLÍTICA Esta proposta de política de segurança da informação deverá abranger todos os setores da

Simp.TCC/Sem.IC.2017(12); 2864 -2882 2881

empresa Empório Frios, devendo ser seguida como uma regra de suma importância para os negócios, e contando também com a conscientização dos usuários para que os riscos sejam minimizados. REFERÊNCIAS

ASSOCIAÇÃO BRASILEIRA DE NORMAS TECNICAS. NBR ISO/IEC 27002. Tecnologia da Informação -Técnicas de Segurança – Código de Prática para controles de segurança da informação. 2013. 112p. DIRETRIZES E SOLUÇÕES DA POLÍTICA SEGURANÇA FÍSICA Deverá que ter uma identificação, como crachá para que a identificação dos funcionários fique clara e organizada. A empresa deverá monitorar e guardar as chaves da sala da contabilidade, pois, do jeito que está atualmente há um grande risco de que qualquer pessoa não autorizada entre, podendo trazer prejuízos aos negócios. A empresa deverá providenciar um local mais reservado para guardar o equipamento de monitoramento (DVR), preferencialmente em uma sala com tranca e com acesso restrito apenas ao gerente. A empresa deverá instalar um bom sistema de detecção de incêndios, com alarme caso aconteça durante à noite, pois os equipamentos de refrigeração permanece ligados por 24 horas.

O modem deverá ser colocado em um local mais reservado, preferencialmente em sala com tranca e com acesso somente a pessoas autorizadas, para manter a continuidade dos negócios.

Os fios de energia elétrica e os cabos de rede expostos, deverão ser isolados e organizados para que não fiquem a vista, e para que não possam causar acidentes graves, ou parar as atividades dos negócios.

SEGURANÇA LÓGICA

A empresa deverá que implementar no sistema um método para o bloqueio do caixa, para que seja feito o bloqueio quando funcionário precisar sair da sua estação de trabalho, o que é de suma importância para a segurança do caixa.

A empresa deverá criar perfis de usuário para cada funcionário da empresa, para melhorar a segurança e identificação de alguma ação ou fraude que possa vim a acontecer.

A empresa deverá fazer o controle de acesso a rede na estação de trabalho, deixando acessível apenas o necessário, para diminuir o tráfego da rede e deixa-la mais segura, deixando confidencial o acesso a rede sem fio.

O perfil de administrador deverá ser de suma responsabilidade do gerente, deixando somente a ele o acesso ao perfil para deixar as

informações confidenciais da empresa mais seguras.

CONFORMIDADE

Foi usada como base para esta proposta de política de segurança a norma ABNT NBR ISO/IEC 27002:2013 seguindo as diretrizes propostas. PENALIDADES A política de segurança da informação deverá ser seguida por todos os funcionários da empresa, sem exceção, deixando claro que o descumprimento da mesma acarretará em penalidades sendo estas: advertência oral e escrita, dependendo da gravidade levando até a demissão do funcionário. DISPOSIÇÕES GERAIS

O gerente é o responsável por analisar as

penalidades, tomando as devidas providencias, e pelo o zelo dos funcionários e do bom funcionamento da empresa.

Esta proposta de política de segurança da informação tem que ser revisada ou refeita sempre a houver a expansão da empresa ou no máximo a cada dois anos, para que a política não fique obsoleta, deixa as informações da empresa sem a segurança devida.

A proposta, se aprovada, deverá ser assinada pelo dono da empresa para garantir a validade da mesma, e apresentar a todos da empresa. CONCLUSÃO A política de segurança tem uma grande importância em todas as empresas, independente do local, se visa o lucro ou não, a política é essencial para manter o controle dos funcionários e manter a ordem. Em relação a proposta para a empresa Empório Frios, foi feito o estudo junto ao gerente, e com base na norma 27002 (2013) foi feito a avaliação das matrizes de risco física e lógica, com isso foi possível levantar as vulnerabilidades ali presentes, levando em conta o impacto de cada uma delas, buscando primeiramente a solução de todas, para manter sempre a empresa em funcionamento, visando o bom atendimento, que é o foco da empresa, e com os melhores preço e produtos. As diretrizes propostas pela norma, serão eficientes para o funcionamento com segurança e ajudará na proteção contra perdas financeiras que a falta de uma gerência de riscos pode causar. As diretrizes propostas serão apresentadas a todos os funcionários, para servir como orientação para um bom desempenho das atividades realizadas para minimizar os riscos.

Simp.TCC/Sem.IC.2017(12); 2864 -2882 2882

AGRADECIMENTOS Queremos agradecer primeiramente a Deus que é o primordio de tudo, e a todos aqueles que nos ajudaram nessa trajetória, aos nossos professores(a) que foram importantes ao decorrer do curso e os incentivadores dessa missão, agradecer a nossa família e amigos pela ajuda e incentivo. Agradecemos também ao nosso orientador, MsC. Cid Bendahan Coelho Cintra, pelo os “puxões de orelha” e a toda atenção que nos deu, pela orientação e paciência, e a todos que fizeram parte da turma REFERÊNCIAS

ASSOCIAÇÃO BRASILEIRA DE NORMAS TECNICAS. NBR ISO/IEC 27002. Tecnologia da Informação -Técnicas de Segurança – Código de Prática para controles de segurança da informação. Rio de Janeiro: ABNT, 2013. 112p. ASSOCIAÇÃO BRASILEIRA DE NORMAS TECNICAS. NBR ISO/IEC 27002. Tecnologia da informação -Técnicas de Segurança – Código de Prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2005. 120p. DANTAS, Marcus Leal. Segurança da informação: uma abordagem focada em gestão de risco. Olinda: Livro Rápido, 2011. 152p. FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de segurança da informação – Guia prático para elaboração e implementação. 2. ed. Rio de Janeiro: Ciência Moderna, 2008. 259p. FERREIRA, Fernando Nicolau Freitas. Segurança da informação. Rio de Janeiro: Ciência Moderna, 2003. 161p. LEMOS, André de Sousa Cunha; OLIVEIRA, Eduardo José Tomé Sampaio. Proposta de política de segurança da informação física e lógica para o mercado Shis Sul. Distrito Federal, 2016. 60p. LYRA, Maurício rocha. Segurança e auditoria em sistemas de informação. Rio de Janeiro: Ciência Moderna, 2008. 253p. SÊMOLA, Marcos. Gestão da segurança da informação – uma visão executiva. Rio de Janeiro: Campus, 2003. 156p.