um estudo de caso sobre a gestÃo da seguranÇa … · a segurança da informação é a proteção...
TRANSCRIPT
RENATA MICHELE CORRÊA
UM ESTUDO DE CASO SOBRE A
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
EM UMA EMPRESA PRIVADA
LAVRAS – MG
2014
RENATA MICHELE CORRÊA
UM ESTUDO DE CASO SOBRE A GESTÃO DA SEGURANÇA DA
INFORMAÇÃO EM UMA EMPRESA PRIVADA
Monografia apresentada ao Colegiado do Curso
de Sistemas de Informação, para a obtenção do
título de Bacharel em Sistemas de Informação.
Área de Concentração:
Segurança da Informação
Orientador:
Prof. Rêmulo Maia Alves
LAVRAS - MG
2014
RENATA MICHELE CORRÊA
UM ESTUDO DE CASO SOBRE A GESTÃO DA SEGURANÇA DA
INFORMAÇÃO EM UMA EMPRESA PRIVADA
Monografia apresentada ao Colegiado do Curso
de Sistemas de Informação, para a obtenção do
título de Bacharel em Sistemas de Informação.
LAVRAS - MG
2014
AGRADECIMENTOS
À Deus primeiramente, por ter sempre me mostrado claramente os
caminhos e me ajudado em todos os aspectos da minha vida, me abençoando
sempre.
Ao meu orientador Rêmulo Maia Alves, que com seu conhecimento e
sabedoria colaborou enormemente durante a elaboração deste trabalho, obrigada
por tudo.
Ao pessoal do DGTI, que durante toda a minha graduação dividiram
comigo suas experiências e me ensinaram muito, o que contribuiu para minha
formação pessoal e profissional. Em especial, Clayton Ferreira Santos que
colaborou imensamente para este trabalho.
À minha irmã Sheila e seu esposo Edgar por acreditarem na minha
capacidade me dando a possibilidade da concretização de um sonho, e pela
gentileza de ajudar-me em minha pesquisa.
À minha família por participar de toda essa caminhada, me apoiando
sempre, e me dando força para continuar e não desistir. Em especial a minha
mãe, que sempre cuidou e me amou incondicionalmente, estando sempre
presente em todos os momentos de minha vida.
Ao meu namorado Diego, que esteve cada segundo ao meu lado não me
deixando desanimar e me dando todo seu amor. Pela sua paciência e
compreensão nos meus momentos difíceis e por partilhar comigo a sua vida.
Obrigada meu amor, por tudo.
Aos amigos que me acompanharam durante essa caminhada longa e
cheia de desafios.
Por fim, agradeço a todos que não citei aqui, mas que colaboraram direta
ou indiretamente.
RESUMO
A Segurança da Informação se tornou um ponto crucial para a sobrevivência das
empresas no mercado, dado ao aumento no uso da internet e no crescimento
desenfreado de novas tecnologias. Este trabalho monográfico apresenta um
estudo de caso sobre a Gestão de Segurança da informação em uma empresa
privada, onde foram analisados os objetivos de controle e controles relacionados
à segurança da informação. Foram coletadas as informações por meio de visitas
ao local, e tiradas fotos de falhas de segurança. São apresentados os principais
problemas, e sugerem-se soluções para os principais pontos problemáticos
encontrados. São feitas análises quanto à conformidade da gestão da segurança
da informação da empresa em relação às normas da família ISO 27000,
sobretudo as normas ABNT NBR ISO/IEC 27001 – Sistemas de Gestão de
Segurança da Informação – Requisitos, ABNT NBR ISO/IEC 27002 – Código
de Prática para a Gestão de Segurança da informação, ABNT NBR ISO/IEC
27005 – Gestão de risco de segurança da informação e demais modelos e
métodos de gestão de risco e segurança da informação. Por fim, foi elaborado
um relatório com base na gestão de riscos.
Palavras-chave: Segurança da Informação, Gestão da Segurança da Informação,
ISO/IEC 27001:2006, ISO/IEC 27002:2005, ISO/IEC 27005:2008.
ABSTRACT
Information security has become a crucial point for the survival of companies in
the market, given the increasing use of the Internet and the rampant growth of
new technologies. This monograph presents a case study about the information
security management in a private company, the control objectives and controls
related to information security were analyzed. Information through site visits
was collected and photos were taken from security flaws. The main problems are
presented, and it is suggested solutions to the major problematic points found.
Analyses are made about the conformity of the company information security
management in relation to ISO 27000 family standards, particularly ABNT NBR
ISO/IEC 27001 – Information Security Management Systems – Requirements,
ABNT NBR ISO/IEC 27002 - Code of Practice for Information Security
Management, ABNT NBR ISO/IEC 27005 – Risk management and information
security models, and other risk management and information security methods.
Finally, a report was produced based on the risk management.
Keywords: Information Security, Information Security Management, ISO/IEC
27001:2006, ISO/IEC 27002:2005, ISO/IEC 27005:2008.
LISTA DE FIGURAS
Figura 1: Quadro de Ameaças............................................................................... 8
Figura 2: Composição dos Riscos ....................................................................... 10
Figura 3: PDCA .................................................................................................. 20
Figura 4: Processo de Gestão de Riscos de Segurança da Informação ............... 23
Figura 5: Organograma Geral ............................................................................ 29
Figura 6: Organograma TI .................................................................................. 30
LISTA DE QUADROS
Quadro 1: Análise SWOT ................................................................................... 31
Quadro 2: Controles selecionados do COBIT .................................................... 72
Quadro 3: Controles da Norma ABNT NBR 27001 ........................................... 90
LISTA DE GRÁFICOS
Gráfico 1: Distribuição dos Ativos ..................................................................... 44
Gráfico 2: Impactos ............................................................................................ 45
Gráfico 3: Quantidade de Riscos ........................................................................ 46
Gráfico 4: Riscos Residuais ................................................................................ 47
LISTA DE ABREVIATURAS E SIGLAS
ABNT Associação Brasileira de Normas Técnicas
COBIT Control Objectives for Information and Related Technology
ERP Enterprise Resource Planning
IEC International Electrotechnical Comission
ISACF Information Systems Audit and Control Foundation
ISO International Organization for Standardization
ITGI The IT Governance Institute
ITIL Information Technology Infrastructure Library
NBR Norma Brasileira
PDCA Planejamento, Execução, Controle e Ação
SGSI Sistema de Gestão de Segurança da Informação
TI Tecnologia da Informação
SUMÁRIO
1 INTRODUÇÃO ................................................................................................. 1
1.1 Motivação .......................................................................................... 3
1.2 Objetivos ............................................................................................ 3
1.3 Estrutura do Trabalho......................................................................... 4
2 SEGURANÇA DA INFORMAÇÃO ................................................................ 5
2.1 Considerações iniciais ........................................................................ 5
2.2 Visão Geral ........................................................................................ 5
2.3 Princípios da Segurança da Informação ............................................. 7
2.4 Vulnerabilidades ............................................................................... 7
2.5 Ameaças à Segurança da Informação ................................................ 8
2.5.1 Tipos de Ameaças .............................................................. 8
2.6 Mecanismos de proteção .................................................................... 9
2.6.1 Política de Segurança da Informação ................................. 9
2.6.2 Avaliação de Riscos ........................................................... 9
2.6.3 A Segurança física ............................................................ 10
2.7 Gestão de Riscos .............................................................................. 11
2.8 Segurança da Informação e sua importância dentro do ambiente
empresarial ............................................................................................. 12
2.9 COBIT (Control Objectives for Information and Related
Technology) ........................................................................................... 13
2.9.1 Os critérios de informação do COBIT ............................. 14
2.9.2 Características do COBIT ................................................ 15
2.9.3 Tipos de Controle ............................................................. 15
2.9.4 Medições ......................................................................... 16
2.9.5 Modelo de maturidade do COBIT .................................... 16
2.10 Normas ABNT NBR ISO/IEC da série 27000 ............................... 17
2.10.1 Considerações Iniciais .................................................... 17
2.10.2 ABNT NBR ISO/IEC 27001 .......................................... 18
2.10.3 ABNT NBR ISO/IEC 27002 .......................................... 19
2.10.4 ABNT NBR ISO/IEC 27005 .......................................... 21
2.11 Política de Segurança da Informação ............................................. 24
2.11.1 Características e benefícios da política .......................... 25
3 METODOLOGIA ............................................................................................ 27
3.1 Tipos de Pesquisa ............................................................................. 27
3.2 Procedimentos Metodológicos ......................................................... 27
3.3 Missão .............................................................................................. 28
3.4 Caracterização da empresa ............................................................... 28
3.5 Definição do Escopo do projeto ....................................................... 30
3.6 Análise SWOT ................................................................................. 31
3.6.1 Pontos positivos da empresa ............................................ 32
3.6.2 Pontos negativos da empresa............................................ 32
3.6.3 Fatores críticos ................................................................. 33
3.7 Gestão de Riscos .............................................................................. 34
4 RESULTADOS OBTIDOS ............................................................................. 44
5 CONSIDERAÇÕES FINAIS .......................................................................... 52
REFERÊNCIAS BIBLIOGRÁFICAS................................................................ 54
APÊNDICE A: Política de Segurança ................................................................ 60
APÊNDICE B: Relatório Final para a empresa .................................................. 71
APÊNDICE C: Sugestão de Controles do COBIT ............................................. 72
APÊNDICE D: Sugestão de Controles da Norma 27001 ................................... 90
APÊNDICE E: Termo de Aceitação dos Riscos ................................................. 94
ANEXO A: Fotos................................................................................................ 95
ANEXO B: Termo de Confidencialidade ......................................................... 104
1
1. INTRODUÇÃO
A Segurança da informação é a proteção da informação de vários tipos
de ameaças para garantir a continuidade do negócio, minimizar o risco ao
negócio, maximizar o retorno sobre os investimentos e as oportunidades de
negócio. Definir, alcançar, manter e melhorar a segurança da informação pode
ser atividade essencial para assegurar a competitividade da empresa no mercado
(ABNT NBR ISO/IEC 27002, 2005).
A Segurança da informação se tornou alvo de discussões em todo o
mundo. Nas pequenas e médias empresas a Segurança é ainda menor por falta de
pessoal qualificado, e falta de adoção de medidas preventivas. A tecnologia está
presente em todas as atividades de hoje em dia, e o diferencial das empresas é
poder dar ao cliente e fornecedores um nível adequado de Segurança.
Segundo CARVALHO (2013), o problema da Segurança está
relacionado com as vulnerabilidades não tratadas, ou seja, produtos mal
configurados, software desatualizados, profissionais sem treinamento ou com
treinamento falho, funcionários sem comprometimento e à falta de uma política
de Segurança.
É preciso que as empresas se conscientizem que a tecnologia sozinha
não vai resolver o problema da segurança, e é preciso qualificar os profissionais
e estruturar os processos. As normas mais utilizadas para buscar a eficiência na
segurança são as internacionais da ISO (International Organization for
Standardization) ou ISO/IEC (International Organization for Standardization/
International Electrotechnical Comission).
A empresa na qual se realizou o estudo de caso preferiu não ser
identificada, ela restringiu e manteve sigilo a algumas informações. Assim
adotou-se como pseudônimo Anonimous Corporation para preservar o objeto de
estudo. A justificativa para este trabalho manifesta-se na importância de se
2
avaliar como está estabelecida a Gestão de Segurança da informação na empresa
Anonimous Corporation.
Há 50 anos no mercado, a empresa hoje, encontra-se defasada em
relação às outras empresas que estão atentas as novas tecnologias e a
importância da segurança de suas informações. Este trabalho tem como principal
objetivo auxiliar a empresa nos seus pontos negativos e, colaborar com
sugestões de melhoria cabíveis dentro das normas da família NBR ISO/IEC
27000.
A proposta é tentar entender bem o negócio da organização e suas
relações internas e externas, e a partir daí fazer uma Gestão de Riscos. No
contexto empresarial, é necessário estar atento à segurança dos dados para evitar
o retrabalho e possíveis prejuízos à empresa.
Portanto, as organizações devem satisfazer os requisitos de qualidade,
guarda e segurança de suas informações, bem como de todos seus bens. Os
executivos devem também otimizar o uso dos recursos de TI disponíveis,
incluindo os aplicativos, informações, infraestrutura e pessoas. Para cumprir
essas responsabilidades, bem como atingir seus objetivos, os executivos devem
entender o estágio atual de sua arquitetura de TI e decidir que governança e
controle ela deve prover (ITGI, 2007 p. 7).
3
1.1 Motivação
Pode-se considerar como motivação para a concretização deste trabalho:
Entendimento mais aprofundado das normas.
Avaliar como está estabelecida a Gestão de Segurança da Informação no
setor de TI da empresa Anonimous Corporation.
Conscientização dos responsáveis da empresa quanto à importância da
Gestão da Informação.
Maior conhecimento do ambiente empresarial, principalmente do setor
TI.
1.2 Objetivos
O objetivo principal deste estudo é apresentar um estudo de caso sobre a
Gestão de Segurança da informação no setor de TI em uma empresa privada.
Este estudo será realizado com o auxílio das normas ABNT ISO/IEC da série
27000 e o COBIT. Como resultado, pretende-se propor um relatório a empresa
objeto deste estudo com melhoria nas boas práticas de segurança da informação.
Para que isso ocorra, como objetivos específicos, são definidos os seguintes
passos:
Fazer a análise de Gestão de Risco da empresa;
Apresentar a Segurança da Informação e sua importância dentro do
ambiente empresarial;
Apresentar as características das normas da série 27000;
Apresentar as características do COBIT;
Observar e analisar os controles de segurança da informação
encontrados na organização relativos à política de segurança da
informação, tendo como base o disposto nas normas da série 27000;
4
Analisar fatores críticos de sucesso à Gestão de Segurança da
Informação na empresa, como por exemplo, o apoio da alta
administração, a participação de todas as áreas e a conscientização e
capacitação em Segurança da Informação;
Propor um relatório de melhoria das boas práticas de Gestão de
Segurança da informação;
1.3 Estrutura do Trabalho
Este trabalho encontra-se organizado em seis capítulos, sendo os
próximos descritos a seguir. No Capítulo 1 deste trabalho são apresentados a
motivação e os objetivos. No Capítulo 2 é apresentada uma revisão bibliográfica
do assunto que será abordado, os Princípios da Segurança da Informação na
Seção 2.3, Vulnerabilidades na Seção 2.4, Ameaças a Segurança da Informação
na Seção 2.5, mecanismos de proteção na Seção 2.6 e uma breve introdução da
Gestão de Riscos e Importância da Segurança no ambiente empresarial na Seção
2.7 e 2.8. Na Seção 2.10 são apresentadas as normas da série 27000, e no
Capítulo 3 é feita uma análise da organização.
Os resultados obtidos, as considerações finais e sugestões de trabalhos
futuros se encontram respectivamente nos Capítulos 4, 5 e 6.
5
2. SEGURANÇA DA INFORMAÇÃO
2.1 Considerações Iniciais
Neste capítulo, será apresentado o referencial teórico que serviu como
base para este estudo. Foram reunidos os conceitos e definições de Segurança da
Informação, classificação da informação, a importância da Segurança da
Informação no contexto empresarial e os tipos de Segurança. Em seguida, são
descritos os princípios, vulnerabilidades, ameaças, tipos de ameaças, os
mecanismos de proteção, a segurança física e o controle de acesso.
2.2 Visão Geral
Boran (1996) e Abreu (2001) classificam a informação em níveis de
prioridade, respeitando a necessidade de cada empresa assim como a
importância da classe de informação para a manutenção das atividades da
empresa:
Pública: Informação que pode vir a público sem maiores consequências
ao funcionamento normal da empresa, e cuja integridade não é vital.
Interna: O acesso livre a este tipo de informação deve ser evitado,
embora as consequências do uso não autorizado não sejam por demais
sérias. Sua integridade é importante, mesmo que não seja vital.
Confidencial: Informação restrita aos limites da empresa, cuja
divulgação ou perda pode levar a desequilíbrio operacional, e
eventualmente, a perdas financeiras ou de confiabilidade perante o
cliente externo.
Secreta: Informação crítica para as atividades da empresa, cuja
integridade deve ser preservada a qualquer custo e cujo acesso deve ser
6
restrito a um número reduzido de pessoas. A segurança desse tipo de
informação é vital para a companhia.
A Segurança da Informação é a área do conhecimento dedicada à
proteção de ativos da informação contra acessos não autorizados, alterações
indevidas ou sua indisponibilidade. Os ativos são recursos, pessoas, bens e
serviços, que a empresa possui e que geram receita (SÊMOLA, 2003).
A Segurança da Informação é um ponto importante, pois ela defende um
dos principais ativos das organizações, suas informações. Há uma enorme
necessidade de garantir a segurança deste ativo. Entretanto, ainda hoje a
segurança é tratada de maneira superficial por grande parte das organizações.
Não recebendo a devida importância e sem a definição de uma boa estratégia de
segurança, são utilizadas técnicas parciais ou incompletas que podem aumentar a
vulnerabilidade da organização (NAKAMURA; GEUS, 2007).
A mudança e o crescimento da tecnologia dos computadores tomam
conta dos ambientes de escritório, quebram o paradigma e chegam a qualquer
lugar do mundo, através dos computadores portáteis e da rede mundial de
computadores: a Internet (SÊMOLA, 2003).
Como a Internet, a segurança da informação também evoluiu. Saiu da
área da TI, onde se preocupava em ter um sistema de antivírus, um firewall
configurado, para um nível de gestão que precisa investir e desenvolver pessoas
e processos. A segurança é um tema amplo e vem sendo discutida por muitos
especialistas, e é possível afirmar que nada está totalmente seguro (GABBAY,
2003, p. 14).
7
2.3 Princípios da Segurança da Informação
Segundo Albuquerque (2002) e Krause (1999) há três princípios básicos
para garantir a segurança da informação:
Confidencialidade: A informação somente pode ser acessada por
pessoas explicitamente autorizadas. É a proteção de sistemas de
informação para impedir que pessoas não autorizadas tenham acesso.
Disponibilidade: A informação deve estar disponível no momento em
que a mesma for necessária.
Integridade: A informação deve ser recuperada em sua forma original
(no momento em que foi armazenada). É a proteção dos dados ou
informações contra modificações intencionais ou acidentais não
autorizadas.
2.4 Vulnerabilidades
Uma vulnerabilidade é um defeito ou fraqueza no design ou na
implementação de um sistema de informações (incluindo procedimentos de
segurança e controles de segurança associados ao sistema), que pode ser
intencionalmente ou acidentalmente explorada, afetando a confidencialidade,
integridade ou disponibilidade (ROSS, 2005).
A vulnerabilidade precisa de investigação e ser tratada de forma
prioritária, pois pode acarretar prejuízos se explorada por terceiros mal
intencionados.
8
2.5 Ameaças à Segurança da Informação
Ameaça são agentes ou condições que causam incidentes que
comprometem as informações e seus ativos por meio de exploração de
vulnerabilidades, provocando perdas de confidencialidade, integridade e
disponibilidade, consequentemente, causando impactos aos negócios de uma
organização (SÊMOLA, 2003).
2.5.1 Tipos de Ameaças
As ameaças de segurança podem ser divididas em ameaças humanas e
ameaças naturais causadas por desastres da natureza conforme ilustrado na
Figura 1. As Ameaças humanas podem ser intencionais, ou seja, provocadas de
propósito, e ameaças não intencionais provocados por treinamento falho, por
exemplo.
Figura 1: Quadro de Ameaças. Fonte: SÊMOLA, 2003.
9
2.6 Mecanismos de proteção
2.6.1 Política de Segurança da Informação
O objetivo da Política de Segurança da informação é fornecer orientação
e apoio às ações da Gestão de Segurança da informação sobre os requisitos de
negócios e as leis e regulamentos pertinentes. A gerência deve estabelecer uma
política clara e de acordo com os objetivos do negócio, e demonstrar seu apoio e
comprometimento com a segurança da informação através da publicação e
manutenção de uma Política de Segurança da informação para toda a
organização (ISO/IEC 27002, 2005, p.12).
A Política de Segurança atribui direito e responsabilidades às pessoas
que lidam com os recursos computacionais de uma instituição e com as
informações nelas armazenadas. Ela também define as atribuições de cada um
em relação à segurança dos recursos com os quais trabalham. Uma Política de
Segurança também deve prever o que pode ser feito na rede da instituição e o
que será considerado inaceitável. Tudo o que descumprir a Política de Segurança
pode ser considerado um incidente de segurança. Na Política de Segurança
também são definidas as penalidades as quais estão sujeitos àqueles que não
cumprirem a política (CERT.BR, 2005).
2.6.2 Avaliação de riscos
Riscos é probabilidade de ameaças explorarem vulnerabilidades,
provocando perdas de confidencialidade, integridade e disponibilidade,
causando, possivelmente, impacto nos negócios (SÊMOLA, 2003). As medidas
de segurança reduzem esses impactos, protegem o negócio que é baseado em
10
informações que estão sujeitas as vulnerabilidades, conforme a Figura 2, que
mostra a composição dos riscos.
Figura 2: Composição do Risco. Fonte: SÊMOLA, 2003.
2.6.3 A segurança física
A segurança física e do ambiente é manter a área de trabalho segura de
interferências, a norma ISO/IEC 27002 traz algumas boas práticas que auxiliam
nessa segurança. Segundo a norma ISO/IEC 27002, 2005, p.47:
11
“Para a segurança física e de ambiente, o objetivo é impedir
o acesso físico não autorizado, dano ou interferência nas
instalações e informações da organização. Os serviços de
processamento de informações sensíveis devem ser realizados
em áreas seguras e protegidas, em um perímetro de
segurança definido por barreiras e controles de entrada
adequada. Estas áreas devem ser fisicamente protegidas
contra acesso não autorizado, danos e interferências. A
proteção fornecida deve ser proporcional aos riscos
identificados. Para evitar a perda, dano, roubo ou
comprometimento de ativos e interrupção das atividades da
organização, os equipamentos devem ser protegidos contra
ameaças físicas e ambientais. A proteção dos equipamentos é
necessária para reduzir o risco de acesso não autorizado à
informação e à proteção contra perda ou roubo. Da mesma
forma, deve-se a considerar controles especiais para proteção
contra ameaças contra estruturas físicas e a garantia de
serviços como eletricidade e infraestrutura local.”
2.7 Gestão de Riscos
Para identificar o risco é necessário especificar todas as ameaças e
vulnerabilidades que podem afetar a segurança dos sistemas de informação em
todo o seu ciclo de vida (HAMPSHIRE; TOMIMURA, 2004).
A implementação da metodologia de avaliação dos riscos envolve a
identificação dos ativos, das ameaças, das vulnerabilidades e dos riscos,
avaliando e selecionando medidas de segurança para reduzir os riscos e para
implementar medidas que assegurem a segurança (VELLANI, 2006).
Com a implementação da metodologia de avaliação de riscos, é possível
aumentar a eficiência operacional reduzindo assim as perdas, fraudes, falhas,
acidentes, conduzindo a organização à melhoria dos seus processos (MAYER;
FAGUNDES, 2008). A avaliação de riscos procura identificar os riscos de
segurança envolvidos com a confiança em um sistema definido. Com base no
entendimento de alguns fatores como os ativos, as ameaças e as vulnerabilidades
são possíveis identificar a exposição a um risco (VELLANI, 2006).
12
2.8 Segurança da Informação e sua importância dentro do ambiente
empresarial
Os incidentes de segurança têm aumentado em todo o mundo, sendo os
ataques de hackers não limitados mais as empresas. De acordo com a Pesquisa
Global de Segurança de Informação (PWC do Brasil, 2013), a maioria dos
executivos de vários setores empresariais no mundo, inclusive no Brasil, se
sentem confiantes com relação à segurança. E dizem que, para competir no
mercado é preciso alinhamento, liderança e profissionais treinados, além disso,
estratégia inteligente, tecnologia apropriada e atenção aos concorrentes.
Segundo Netto e Vidal. (2004), à medida que as empresas foram
tornando-se dependentes da tecnologia, mais vulneráveis ficaram a crimes e
fraudes. Toda organização tem processo produtivo ou serviço, clientes,
funcionários, acesso à internet, dados confidenciais e pontos críticos que
interessam a agentes mal intencionados ou a terceiros. Algumas questões podem
ajudar a esclarecer a importância da segurança da informação: Quanto custa para
a empresa um dia de parada? Uma entrega atrasada? Qual o impacto financeiro
em perder um cliente responsável por uma linha de produção? Em enviar
produção sem laudo da Qualidade? Do fechamento do mês sem apuração do
custo de produção? Como produzir sem ordem/controle de produção?
Alguns funcionários ainda preocupam-se apenas com aspectos
relacionados à segurança dos ativos tecnológicos, quando na verdade a
segurança da informação depende também de fatores humanos, de processos.
Mesmo sob as constatações acima explicitadas, os funcionários consideram que,
ainda que de forma reativa, a segurança da informação na empresa consegue na
maioria do tempo manter a integridade, disponibilidade e a confidencialidade
das informações organizacionais (GUALBERTO, 2010).
13
2.9 COBIT (Control Objectives for Information and Related Technology)
A governança de TI pode ser entendida como a autoridade e
responsabilidade pelas decisões referentes ao uso de TI. A administração de TI,
com seus processos de planejamento, organização, direção e controle, tem como
objetivo garantir a realização bem-sucedida dos esforços para o uso de TI, desde
a sua definição com o alinhamento estratégico, influenciado pelo contexto, até a
mensuração dos seus impactos no desempenho empresarial. Ela não deve ser
realizada apenas pelos executivos dessa área, mas como uma responsabilidade
organizacional pelos executivos de negócio, que têm participação decisiva no
seu sucesso (SCHEIN, 1989).
Segundo Fagundes (2004) o COBIT é um guia para a gestão de TI
recomendado pelo ISACF (Information Systems Audit and Control Foundation).
Inclui recursos tais como, sumário executivo, framework, controle de objetivos,
mapas de auditoria, conjunto de ferramentas de implementação e guia com
técnicas de gerenciamento. As práticas de gestão do COBIT são recomendadas
pelos peritos em gestão de TI que ajudam a otimizar os investimentos de TI e
fornecem métricas para avaliação dos resultados.
O COBIT (2007) tem um conjunto de ferramentas eficazes focadas no
controle dos processos, dando o diagnóstico do que fazer, mas não como fazer,
questão que terá de ser resolvida com a ajuda das melhores práticas de outras
metodologias. É um modelo abrangente, sua utilização independe da plataforma
de TI utilizada, ou ramo da empresa. O COBIT é um instrumento de apoio para
desenhar, melhorar ou auditar processos, dizendo o que o processo deve ter.
O COBIT é composto por quatro áreas distintas (Planejamento e
Organização, Aquisição e Implementação, Entrega e Suporte, Monitoração e
Suporte). Em cada uma destas áreas é definida uma série de processos que visam
garantir o controle de todas as etapas. O COBIT possui 34 objetivos de controle
14
de alto nível e 215 objetivos de controle detalhados (processos), sendo
atualmente o framework mais completo para Governança de TI. O COBIT
também orienta sobre as melhores práticas de gestão para cada área da
organização de TI. Entretanto, o COBIT não descreve detalhadamente os
procedimentos, mesmo porque cada organização tem suas próprias
características. (ITGI, 2007).
2.9.1 Os critérios de informação do COBIT:
Para atender aos objetivos de negócios, as informações precisam se
adequar a certos critérios de controles, aos quais o COBIT denomina
necessidades de informação da empresa. Baseado em abrangentes requisitos de
qualidade, guarda e segurança, sete critérios de informação distintos e
sobrepostos são definidos. Os critérios de informação são efetividade, eficiência,
confidencialidade, integridade, disponibilidade, conformidade, confiabilidade
(COBIT, 2007).
Efetividade: a informação deve ser entregue de forma correta,
consistente e em formato útil.
Eficiência: a informação deve ser provida por meio do uso otimizado
dos recursos.
Confidencialidade: informação deve ser protegida contra acesso não
autorizado.
Integridade: precisão e completude de informações.
Disponibilidade: informações disponíveis sempre que necessário.
Conformidade: informação deve obedecer a leis, regulamentos e
cláusulas contratuais aos quais os processos de negócio estão sujeitos.
Confiabilidade: informações adequadas para que a organização exercite
suas atividades de negócio.
15
2.9.2 Características do COBIT:
De acordo com o ITGI (2007), as características do COBIT são:
Foco no negócio: alinhamento entre objetivos de negócio e objetivos de
TI.
Orientação a processos: organização das atividades de TI em um
modelo de processos.
Baseado em controles: definição de objetivos de controle a serem
considerados ao gerenciar os processos.
Direcionado a medições: uso de indicadores e modelos de maturidade.
2.9.3 Tipos de Controle
Controles gerais devem ser considerados juntamente com os objetivos
de controle, para ter uma visão completa dos requisitos de controle para os
processos de TI:
Controles gerais de processos (Process Controls – PCs)
Controles gerais de aplicação (Application Controls – ACs)
Objetivos de controle: Específicos para cada processo (incluindo os
detalhados do COBIT). Práticas de controle (implantação de objetivos de
controle): mecanismos de controle que suportam o alcance dos objetivos de
controle, por meio do uso responsável de recursos, gerenciamento adequado dos
riscos e alinhamento da TI aos objetivos de negócio (ITGI, 2007).
16
2.9.4 Medições
De acordo com o ITGI (2007), os níveis de maturidade descrevem perfis
de processos de TI que possam ser reconhecidos pelas organizações, esses níveis
não estabelece patamares evolutivos, onde não se pode alcançar um nível
superior sem antes passar pelos inferiores. A partir dos níveis de maturidade
descritos para cada um dos 34 processos, é possível identificar:
O desempenho real da organização (onde se encontra a organização
atualmente)
A situação atual de organizações similares
Os avanços possibilitados pelos padrões e modelos disponíveis no
mercado
A meta para melhoria do processo da organização (onde gostaria de
chegar)
2.9.5 Modelo de maturidade do COBIT
De acordo com o ITGI (2007), no COBIT, existe uma forma que auxilia
os gestores saber como sua organização se situa no mercado, em relação aos
concorrentes, as melhores práticas existentes e identificar o que é necessário
para alcançar um nível de gestão adequado para os processos de TI.
Para cada processo de TI é relacionado um dos níveis do modelo de maturidade:
Não existente: Carência completa de qualquer processo reconhecido.
Inicial: À organização reconhece que tem problemas, porém os
mesmos são resolvidos pontualmente, sem padronização.
Repetido: Os problemas são resolvidos com envolvimento da TI,
inclusive o nível de gerência. Porém não existe um processo
17
definido, tendo práticas Governança como meta. As informações
concentram-se nos indivíduos.
Definido: Definido e documentado uma estrutura de processo para
supervisão da gerência, baseado nos princípios das boas práticas.
Administrado: Nesta etapa são tomadas ações corretivas quando
existem desvios dos objetivos. Os processos estão seguindo seu fluxo
normal, e podem ocorrer melhorias nestes, quando necessário.
Otimizado: Boas práticas de governança são seguidas. Há uma
harmonia entre a TI e objetivos da empresa existindo um controle
efetivo das estratégias de TI.
2.10 Normas ABNT NBR ISO/IEC da série 27000
2.10.1 Considerações Iniciais
Este capítulo apresenta características das normas ISO/IEC da série
27000, o que cada norma enfatiza. A ISO/IEC 27001:2006 - Sistema de Gestão
de Segurança da Informação especifica requerimentos para estabelecer,
implementar, monitorar e rever, além de manter e provisionar um sistema de
gerenciamento completo. A norma 27001 utiliza o PDCA como princípio da
norma e é certificável para empresas, o PDCA (Planejar-Executar-Verificar-
Agir, do inglês: PLAN - DO - CHECK - ACT) é um método iterativo de gestão
de quatro passos, utilizado para o controle e melhoria contínua de processos e
produtos. A ISO/IEC 27002:2005 - Código de Melhores Práticas para a
Gestão de Segurança da Informação - mostra o caminho de como alcançar os
controles certificáveis na ISO 27001. Essa ISO é certificável para profissionais e
não para empresas. A ISO/IEC 27005:2008 - Gestão de Riscos de Segurança da
Informação - é responsável por todo ciclo de controle de riscos na organização,
18
atuando junto à ISO 27001 em casos de certificação ou através da ISO 27002 em
casos de somente implantação.
2.10.2 ABNT NBR ISO/IEC 27001
A norma ISO/IEC 27001 foi publicada em março de 2006 e substituiu a
norma BS 7799-2 para certificação de sistema de gestão de segurança da
informação.
A norma ISO/IEC 27001 foi preparada para prover um modelo para
estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um
Sistema de Gestão de Segurança da Informação (SGSI). A adoção de um SGSI
deve ser uma decisão estratégica para uma organização. A especificação e
implementação do SGSI de uma organização, são influenciadas pelas suas
necessidades e objetivos, exigências de segurança, os processos empregados e o
tamanho e estrutura da organização (ISO/IEC 27001, 2006, p.1).
Segundo a norma ISO/IEC 27001, a aplicação de um sistema de
processos dentro de uma organização, junto com a identificação e interações
destes processos, e sua gestão, pode ser chamada de “abordagem de processo”.
A abordagem de processo para a gestão da segurança da informação apresentada
nesta norma encoraja que seus usuários enfatizem a importância de:
Entendimento dos requisitos de segurança da informação de uma
organização e da necessidade de estabelecer uma política e objetivos
para a segurança de informação;
Implementação e operação de controles para gerenciar os riscos de
segurança da informação de uma organização no contexto dos riscos
de negócio globais da organização;
Monitoração e revisão do desempenho e efetividade do SGSI; e
Melhoria contínua baseada em medidas objetivas.
19
A norma ISO/IEC 27001 adota o modelo de processo "Plan-Do-Check-
Act” (PDCA), que é aplicado para estruturar todos os processos do SGSI. Um
SGSI considera as entradas de requisitos de segurança de informação e as
expectativas das partes interessadas, e como as ações necessárias e processos de
segurança da informação produzidos resultam no atendimento a estes requisitos
e expectativas (ISO/IEC 27001, 2006, p.2).
O SGSI é projetado para assegurar a seleção de controles de segurança
adequados para proteger os ativos de informação e proporcionar confiança às
partes interessadas (ISO/IEC 27001, 2006, p.3).
A norma ISO/IEC 27001 será utilizada como auxílio na avaliação de
conformidade e na sugestão de melhorias, pois ela enfoca objetivos de controles
importantes no contexto empresarial.
2.10.3 ABNT NBR ISO/IEC 27002
Com origem no Governo Britânico, a norma BS7799 é a base para a
norma ISO/IEC 17799 que hoje se tornou a ISO/IEC 27002. O Código de Boas
Práticas ISO/IEC 27002 fornece uma estrutura para avaliar os sistemas de gestão
de segurança da informação, baseada em um conjunto de diretrizes e princípios
que têm sido adotadas por empresas, governos e organizações empresariais em
todo o mundo (ISO/IEC 27002, 2005).
A ISO/IEC 27002 utiliza fortemente o ciclo de Planejamento, Execução,
Controle e Ação (PDCA). O ciclo é composto por um conjunto de ações em
sequência, dada pela ordem estabelecida pelas letras que compõem a sigla: P
(plan: planejar), D (do: fazer, executar), C (check: verificar, controlar), e
finalmente o A (act: agir, atuar corretivamente). Na Figura 4, é apresentado o
ciclo PDCA como proposto pela ISO/IEC 27002 para sistemas de gerenciamento
de segurança da informação.
20
Figura 3: PDCA. Fonte: ISO/IEC 27002 (2007)
A norma ISO/IEC 27002 está estruturada em 11 seções, cada uma destas
é constituída por categorias de segurança da informação, sendo que cada
categoria tem um objetivo de controle definido, um ou mais controles que
podem ser aplicados para atender ao objetivo de controle, as descrições dos
controles, as diretrizes de implementação e informações adicionais.
Ao todo, são 133 controles divididos em (1) política de segurança da
informação, (2) organização da segurança da informação, (3) gestão de ativos,
(4) segurança em recursos humanos, (5) segurança física e de ambiente, (6)
gerenciamento das operações e comunicações, (7) controle de acesso, (8)
aquisição, desenvolvimento e manutenção de sistemas de informação, (9)
gerenciamento de incidentes de segurança da informação, (10) gerenciamento da
continuidade do negócio e (11) conformidade legal.
A norma ISO/IEC 27002 será utilizada como auxílio na elaboração da
Política de Segurança.
21
2.10.4 ABNT NBR ISO/IEC 27005
A norma ISO/IEC 27005 fornece diretrizes para o processo de Gestão de
Riscos de Segurança da Informação de uma organização, atendendo
particularmente aos requisitos de um SGSI de acordo com a ABNT NBR
ISO/IEC 27001. Entretanto, esta norma internacional não inclui uma
metodologia específica para a gestão de riscos de segurança da informação.
Cabe à organização definir sua abordagem ao processo de gestão de riscos,
levando em conta, por exemplo, o escopo do seu SGSI, o contexto da gestão de
riscos e o seu setor de atividade econômica. Há várias metodologias que podem
ser utilizadas de acordo com a estrutura descrita nesta norma internacional para
implementar os requisitos de um SGSI (ISO/IEC 27005, 2008, p.4).
Uma abordagem sistemática de Gestão de Riscos de Segurança da
informação é necessária para se identificar as necessidades da organização em
relação aos requisitos de segurança da informação, e para criar um sistema de
gestão de segurança da informação (SGSI) que seja eficaz (ISO/IEC 27005,
2008, p.6). Ainda, de acordo com a ISO/IEC 27005 convém que a Gestão de
Riscos de Segurança da informação contribua para:
Identificação de riscos;
Análise/avaliação de riscos em função das consequências ao negócio
e da probabilidade de sua ocorrência;
Comunicação e entendimento da probabilidade e das consequências
destes riscos;
Estabelecimento da ordem prioritária para tratamento do risco;
Priorização das ações para reduzir a ocorrência dos riscos;
22
Envolvimento das partes interessadas quando as decisões de gestão
de riscos são tomadas e mantidas informadas sobre a situação da
gestão de riscos;
Eficácia do monitoramento do tratamento do risco;
Monitoramento e a análise crítica regular de riscos e do processo de
gestão dos mesmos;
Coleta de informações de forma a melhorar a abordagem da gestão
de riscos;
Treinamento de gestores e pessoal a respeito dos riscos e das ações
para mitigá-los.
O processo de gestão de riscos de segurança da informação pode ser
aplicado à organização como um todo a uma área específica da organização, por
exemplo: um departamento, uma localidade, um serviço, a um sistema de
informações, a controles já existentes, planejados ou apenas a aspectos
particulares de um controle, por exemplo: plano de continuidade de negócios
(ISO/IEC 27005, 2008, p.5).
O processo de gestão de riscos de segurança da informação consiste na
definição do contexto, análise/avaliação de riscos, tratamento do risco, aceitação
do risco, comunicação do risco e monitoramento e análise crítica de riscos
(ISO/IEC 27005, 2008, p.7).
23
.
Figura 4: Processo de gestão de riscos de segurança da informação.
Fonte: ABNT ISO/IEC 27005 (2008, pág 8)
Como mostra a Figura 4, o processo de gestão de riscos de segurança da
informação pode ter as atividades de análise/avaliação de riscos e/ou de
tratamento do risco sendo realizadas mais de uma vez. Um enfoque iterativo na
execução da análise/avaliação de riscos torna possível aprofundar e detalhar a
avaliação em cada repetição. O enfoque iterativo permite minimizar o tempo e o
esforço despendidos na identificação de controles e, ainda assim, assegura que
riscos de alto impacto ou de alta probabilidade possam ser adequadamente
avaliados. Primeiramente, o contexto é estabelecido. Em seguida, executa-se
uma análise/avaliação de riscos. Se ela fornecer informações suficientes para
24
que se determine de forma eficaz as ações necessárias para reduzir os riscos a
um nível aceitável, então a tarefa está completa e o tratamento do risco pode
suceder-se. Por outro lado, se as informações forem insuficientes, executa-se
outra iteração da análise/avaliação de riscos, revisando-se o contexto (ISO/IEC
27005, 2008, p.9).
2.11 Política de Segurança da Informação
Segundo a norma ISO/IEC 27002:2005, o objetivo da Política de
Segurança da informação é prover uma orientação e apoio da alta direção para a
Segurança da Informação de acordo com os requisitos do negócio e com as leis e
regulamentações pertinentes.
Os itens mais importantes para manter a Segurança da informação da
empresa são: elaborar a Política de Segurança e o gerenciamento de suporte
adequados, seguido do nível de conscientização dos funcionários (ASCIUTTI,
2012).
Segundo a CERT.BR (2006), a Política de Segurança atribuirá os
direitos e responsabilidades às pessoas que lidam com os recursos
computacionais da empresa e com as informações nelas armazenados. Para
Ferreira e Araújo (2008, p. 36), a Política de Segurança define o conjunto de
normas, métodos e procedimentos utilizados para a manutenção da segurança da
informação, devendo ser formalizada e divulgada a todos os usuários que fazem
uso dos ativos de informação.
A elaboração da Política de Segurança deve ser feita em fases:
Levantamento de informações: que aborda o entendimento das
necessidades, obtenção de informações sobre o ambiente de negócio e
sobre o ambiente tecnológico;
Desenvolvimento de conteúdo da Política e Normas de Segurança;
25
Elaboração dos Procedimentos de Segurança da Informação:
entendimento das melhores práticas em segurança da informação
utilizadas no mercado.
2.11.1 Características e benefícios da política:
Verdadeira: Coerente com as ações da organização, e possível de ser
cumprida;
Complementada com a disponibilidade de recursos: disponibilização
de recursos financeiros e de pessoal para que as diretrizes descritas
possam ser implementadas ao longo do tempo;
Válida para todos: deve ser cumprida por todos os usuários que
utilizam a informação da empresa.
Simples: de fácil leitura e compreensão;
Comprometimento da alta administração da organização: será
assinada pelo mais alto executivo da empresa, e integrada à
documentação.
Os principais benefícios que podem ser alcançados pelo investimento e
apoio à Política de Segurança da Informação são: maior segurança nos processos
de negócio e redução dos problemas e incidentes de segurança da informação.
De acordo com a Norma NBR ISO/IEC 27002, deve-se garantir que os
usuários estejam cientes das ameaças e das preocupações de segurança da
informação e estejam equipados para apoiar a política de segurança da
organização durante a execução normal de seu trabalho.
Em outras palavras, todos os funcionários da empresa devem ter
conhecimento da existência da Política de Segurança, pois mesmo existindo
diversas tecnologias destinadas a proteção dos ativos de informação, o elemento
27
3. METODOLOGIA
Este capítulo abordará a caracterização da empresa, bem como a
definição de escopo do projeto, análise SWOT e outros pontos acerca da
organização.
3.1 Tipo de Pesquisa
Quanto à natureza, este trabalho classifica-se como pesquisa aplicada,
pois tem como objetivo gerar solução de problemas específicos da empresa para
posterior aplicação prática, com base no relatório que será gerado como
resultado. Quanto aos objetivos, este trabalho pode ser caracterizado como uma
pesquisa exploratória, pois visa familiaridade com os problemas com vistas a
torná-lo explícito. Envolverá levantamento bibliográfico, observação do
ambiente de estudo, e contato com pessoas, assumindo forma de estudo de caso.
Quanto à abordagem, este trabalho é uma pesquisa qualitativa, visto que não faz
uso de métodos e técnicas estatísticas, o ambiente natural é a fonte direta para
coleta de dados. Quanto aos procedimentos, este trabalho pode ser caracterizado
como um estudo de caso único, pois envolve um estudo profundo e exaustivo
que permitirá um amplo e detalhado conhecimento. Quanto ao método para
coleta de dados será a observação.
3.2 Procedimentos Metodológicos
Este trabalho iniciou-se em cinco de dezembro de 2012 com
levantamento bibliográfico. Foram feitas visitas na empresa para
acompanhamento da rotina por duas semanas no mês de maio de 2013, e tiradas
fotografias de pontos críticos da empresa (Anexo A). Houve acesso a alguns
documentos cedidos pela empresa, que foram utilizados como fonte de pesquisa.
28
Foi utilizada como instrumento para elaboração da Gestão de Riscos,
uma planilha no Excel baseada na norma ISO/IEC 27005, criada por Edson
Kowask Bezerra para o curso de Gestão de Riscos na Escola Superior de Redes
(RNP) e cedida para a realização deste estudo.
3.3 Missão
A empresa tem a seguinte missão dentro da Política Ambiental:
“Fornecer cabos flexíveis e componentes para aplicação veicular,
destinados aos mercados interno e externo de equipamento original e de
reposição, minimizando seu impacto ambiental, através de um processo de
melhoria contínua para gerenciamento de resíduos, com ações para sua
redução e prevenção da poluição.”
A missão da empresa dentro da Política de Qualidade:
“Fornecer produtos e serviços que satisfaçam plenamente as
necessidades dos nossos clientes.”
3.4 Caracterização da empresa
A empresa Anonimous Corporation foi fundada em 1961 e atua no
mercado de autopeças e moto peças. Ocupa aproximadamente 11.500 mts² de
área construída e emprega mais de 450 funcionários.
É dividida em departamentos conforme figura abaixo, sendo eles:
Departamento Comercial, Compras, Administração (inclui Recursos Humanos,
Financeiro), Engenharia ou Desenvolvimento, Tecnologia da Informação,
Qualidade, Expedição, Planejamento e Controle da Produção e Produção, os
quais estão distribuídos da seguinte maneira:
29
Figura 5: Organograma Geral. Fonte: Manual da Qualidade da empresa
Os principais produtos produzidos pela empresa são:
Cabos de Velocímetro
Cabos de Freio
Cabos de Acelerador
Cabos de Embreagem
Cabos de Comando de Ar
Cabos de Abertura de Capô
Cabos de Comando de Retrovisor
30
3.5 Definição do Escopo do projeto
O motivo pelo qual ficou centralizado o estudo no setor de TI foi que a
empresa já possui certificado de Qualidade ISO 9001:2008, ABNT ISO/TS-
16949, e por isso os processos estão definidos em documentos, bem como
melhores práticas de trabalho, tanto no setor administrativo quanto no setor de
produção. Porém, o setor de TI ainda se encontra defasado com relação ao
restante da empresa, sem processos definidos, com um espaço de trabalho
limitado, problemas estruturais como goteiras e pouco investimento por parte da
Alta Administração.
O Departamento da Tecnologia da Informação têm as seguintes funções:
suporte aos usuários da rede; Infraestrutura e administração de rede; Serviço de
e-mail; Suporte técnico, ou seja, manter o bom funcionamento dos computadores
de toda a empresa, incluindo o funcionamento da rede de Internet, e programas
terceirizados; Instalação de novos computadores; Instalação de cabos de redes e
softwares; Reparos e consertos em hardwares.
É composto por cinco funcionários, os quais estão distribuídos conforme
a Figura 6:
Figura 6: Organograma TI
Hoje o departamento de TI é um setor de suporte, e não faz parte da
gestão estratégica da empresa. O processo de tomada de decisão é baseado nas
expectativas e nos conhecimentos que os funcionários possuem e na atual
Encarregado de TI
Analista de Suporte
Analista de Suporte
Técnico de Informática
Terceirizado
31
disponibilidade de recursos da organização. A Alta Administração centraliza as
decisões da empresa.
Segundo pesquisa da Gartner (2005), ideal seria que a cada 100
funcionários, houvesse de 5 a 7 funcionários de TI. O que ocorre de fato é
sobrecarga de trabalho dada a demanda de serviço, e com isso as dificuldades
em se definir o papel de cada funcionário nesse setor.
3.6 Análise SWOT
De acordo com a Wikipédia, SWOT é a sigla dos termos ingleses
Strengths (Forças), Weaknesses (Fraquezas), Opportunities (Oportunidades) e
Threats (Ameaças). Em Administração de Empresas, a Análise SWOT é um
importante instrumento utilizado para planejamento estratégico que consiste em
recolher dados importantes que caracterizam o ambiente interno (forças e
fraquezas) e externo (oportunidades e ameaças) da empresa.
Empresa Fortes Fracos
An
on
imo
us
Co
rpo
rati
on
Referência em qualidade no mercado; Possui
equipe de vendas em todo o país
acompanhando os resultados parciais e
apoiando as finalizações para cumprimento
das metas; Campanhas de vendas mensais são
realizadas nas matrizes e filiais de todos os
distribuidores; Ministram o maior número de
palestras Técnicas e Motivacionais para os
seus distribuidores, autopeças e oficina
mecânicas, fortalecendo a parceria.
Falta de novos
lançamentos devido à
empresa concorrente 1
ter patenteado a maioria
deles
Co
nco
r-
ren
te 1
Atua fortemente em montadoras da linha
pesada e possui maiores variedades em
lançamentos nesta linha.
Não possui equipe de
vendas que atuam nos
distribuidores nacionais,
regionais.
32
Co
nco
rren
te 2
Possuem maiores variedades em produtos da
linha leve e menores preços no mercado.
Não oferece nenhum tipo
de ação ou incentivo às
vendas;
Não respeita o ciclo.
Além de atender
distribuidores, vende
também diretamente nas
maiores autopeças e
oficinas mecânicas.
Quadro 1: Análise SWOT
3.6.1 Pontos positivos da empresa
Os principais pontos positivos encontrados são:
A empresa possui 50 anos de mercado e é conhecida pela qualidade de
seus produtos. Comercializa seus produtos nacionalmente, e possui boa
localização e infraestrutura física;
A Anonimous Corporation tem seu Sistema de Gestão da Qualidade
estabelecido, documentado, implementado, baseado nas normas
ISO/TS-16949 e ISO 9001:2008;
Existe controle de acesso à empresa, com entrega de crachá para
visitante, câmeras de segurança na portaria para controle, bem como a
implantação de novas câmeras para controle efetivo;
Os funcionários do setor de TI trabalham em equipe e tem muita
facilidade de comunicação, também são formados e capacitados para
atuarem na área.
3.6.2 Pontos negativos da empresa
Os principais pontos negativos encontrados são:
33
A inexistência de uma política de segurança, e a alta administração vista
como parte do problema não considerando a tecnologia da informação
como estratégia, e a resistência na cultura organizacional;
As falhas nas instalações de cabeamento, expostos ao tempo e de fácil
manuseio por qualquer pessoa. Esse problema poderia ser maior se
houvesse a interferência de agentes mal intencionados suspendendo os
serviços, causando a parada de algum setor e consequentemente
prejuízos financeiros e atrasos nos trabalhos;
O pequeno número de funcionários no setor de TI dado à demanda de
serviço;
A inexistência de um documento definindo as tarefas dos funcionários,
bem como à falta do mapeamento dos processos;
Os usuários têm deficiência no uso dos recursos computacionais básicos,
como cópias de arquivos de pasta, renomear arquivos, conhecimentos
nas ferramentas RM/Sistec;
O espaço físico é limitado e, existem outros problemas como,
delimitação da sala por divisórias onde os ativos ficam expostos,
goteiras no teto e não há extintor. Os funcionários trabalham em espaço
mínimo, e se posicionam de maneira incorreta;
Servidores da empresa estão vulneráveis, posicionados em locais
inadequados e acessíveis a qualquer pessoa não autorizada.
3.6.3 Fatores críticos
Como foi visto no tópico anterior sobre controles essenciais para toda
organização, deve-se considerar também a dificuldade em estabelecer esses
controles dentro da empresa. Os seguintes fatores são geralmente críticos para o
34
sucesso da implementação da segurança da informação dentro de uma
organização (ISO/IEC 27002:2005):
Política de segurança da informação, objetivos e atividades, que reflitam
os objetivos do negócio;
Uma abordagem e uma estrutura para a implementação, manutenção,
monitoramento e melhoria da segurança da informação que seja
consistente com a cultura organizacional;
Comprometimento e apoio visível de todos os níveis gerenciais;
Um bom entendimento dos requisitos de segurança da informação, da
análise/avaliação de risco e de gestão de risco;
Divulgação eficiente da segurança da informação para todos os gerentes,
funcionários e outras partes envolvidas para alcançar a conscientização;
Distribuição de diretrizes e normas sobre a política de segurança da
informação para todos os gerentes, funcionários e outras partes
envolvidas;
Provisão de recursos financeiros para as atividades de gestão da
segurança da informação;
Provisão da conscientização, treinamento e educação adequados;
Estabelecimento de um eficiente processo de gestão de incidentes de
segurança da informação.
Os fatores acima mencionados são aplicáveis a este estudo de caso,
principalmente pela cultura organizacional e pela escassez de recursos
financeiros.
3.7 Gestão de Riscos
Nesta fase foi utilizada como instrumento para elaboração da Gestão de
Riscos, uma planilha no Excel baseada na norma ISO/IEC 27005, criada por
35
Edson Kowask Bezerra1 para o curso de Gestão de Riscos na Escola Superior de
Redes (RNP), cedida para a realização deste estudo e disponibilizada em
formato digital, gravado em um CD.
Com base nas informações recolhidas na empresa e as informações
encontradas na norma NBR ISO/IEC 27005:2008 – Tecnologia da informação –
Técnicas de segurança – Gestão de riscos de segurança da informação foi
possível o preenchimento da tabela. A tabela possui oito seções, baseadas na
NBR ISO/IEC 27005:2008, sendo as atividades divididas conforme a seguir:
Seção 2 – Definir o contexto, Identificar as restrições, Definir o Escopo e
Definir os critérios.
Definição do contexto: É onde se define o contexto que será estudado e
onde será aplicada a gestão de risco. Tem como entrada todas as
informações da organização como, por exemplo, principais produtos,
fornecedores, missão e como saída o escopo e a organização responsável
pelo processo.
Identificar as restrições: São as restrições que afetam a organização.
Alguns exemplos de restrições, segundo a norma NBR ISO/IEC
27005:2008.
o Restrições de natureza política: Relativas à orientação
estratégica ou operacional determinadas por uma área do
governo.
o Restrições advindas do ambiente econômico e político:
Greves ou crises nacionais e internacionais que interfiram na
operação da organização.
1 Edson Kowaski Bezerra é um profissional da área de segurança da informação e
36
o Restrições de natureza cultural: Hábitos de trabalho,
educação, instrução, experiência profissional, opiniões,
filosofia.
o Restrições de natureza estratégica: São as mudanças na
estrutura ou na orientação da organização.
o Restrições estruturais: Tem a ver com a natureza da estrutura
de uma organização (departamental, funcional, ou outra
qualquer).
o Restrições funcionais: São aquelas derivadas diretamente da
missão da organização.
o Restrições relativas aos recursos humanos: Estão associadas
ao nível de responsabilidade, tipo de recrutamento, qualificação,
treinamento, conscientização em segurança, motivação,
disponibilidade.
o Restrições advindas da agenda da organização: Vem da
reestruturação ou da definição de novas políticas.
o Restrições orçamentárias: Custo, dinheiro.
o Restrições territoriais: Relacionado à localização e
distribuição geográfica.
Restrições que afetam o escopo: Complementam as restrições que
afetam a organização.
o Restrições derivadas de processos preexistentes: Relativas a
processos que já existem.
o Restrições técnicas: Relativas à infraestrutura, normalmente
surgem em funções do software e hardware instalados.
o Restrições financeiras: Orçamento, alocação orçamentária.
o Restrições ambientais: Surgem do ambiente geográfico ou
econômico, país, clima, riscos naturais, situação geográfica.
37
o Restrições temporais: Tempo.
o Restrições organizacionais: Operação, manutenção,
gerenciamento administrativo.
Definição de escopo e limite: Definem a abrangência.
Critérios para avaliação dos riscos: Posicionar um ativo em uma
escala em função do seu valor.
o Critérios de probabilidade:
Frequente: Tem ocorrido pelo menos uma vez a cada
mês. Seu peso fica definido como cinco.
Provável: É possível de ocorrer a cada seis meses ou
menos. Nos últimos seis meses ocorreu. Seu peso fica
definido como quatro.
Ocasional: No último ano já ocorreu pelo menos uma
vez. Seu peso fica definido como três.
Remoto: Nos últimos cinco anos, ocorreu pelo menos
uma vez. Seu peso fica definido como dois.
Improvável: Nunca ocorreu. Seu peso fica definido
como um.
o Relevância do ativo:
Insignificante: Não afeta o bom andamento da rotina se
o ativo não estiver disponível. Seu peso fica definido
como um.
Baixo: Pouco afeta o andamento da rotina se o ativo não
estiver disponível. Seu peso fica definido como dois.
38
Significante: Importante para o negócio, pois todos os
processos passam por ele. Seu peso fica definido como
três.
Importante: Além de todos os processos passarem por
ele, é imprescindível, pois afeta nos custos. Seu peso
fica definido como quatro.
Crítico: Sem esse ativo, a empresa tem prejuízos
financeiros e não executa suas atividades. Seu peso fica
definido como cinco.
o Severidade das consequências:
Insignificante: As ocorrências não afetam os negócios
ou não causam paradas por mais que cinco minutos. Seu
peso fica definido como um.
Baixa: As ocorrências afetam o negócio, mas não
causam consequências graves. Seu peso fica definido
como dois.
Média: As ocorrências afetam parcialmente o negócio,
porém os prejuízos podem ser contornados. Seu peso
fica definido como três.
Alta: As ocorrências afetam o negócio, e os prejuízos
são altos. Seu peso fica definido como quatro.
Elevada: As ocorrências afetam todo o negócio,
causando prejuízos altíssimos. Seu peso fica definido
como cinco.
o Impacto:
Desprezível: Não afeta a organização, mas deve ser
tratado. Seu peso fica definido como um.
39
Baixo: Pouco afeta a organização, e pode ser
contornado rapidamente. Seu peso fica definido como
dois.
Significativo: Afeta a organização e causa interrupções
de uma hora. Seu peso fica definido como três.
Importante: Afetam a imagem da organização e causam
interrupção de doze horas nos negócios. A empresa
deixa de funcionar/produzir por doze horas. Seu peso
fica definido como quatro.
Desastre: A empresa deixa de funcionar por mais de
doze horas, e tem altíssimos prejuízos. Seu peso fica
definido como cinco.
o Critérios de Risco: O critério de risco é calculado através da
multiplicação do critério de probabilidade, relevância do ativo e
severidade da consequência.
Extremo: A organização interrompe totalmente seus
serviços por mais de 48 horas, impedindo de executar
serviços e produzir, afetando sua imagem pública de
forma significativa. Prejuízos financeiros elevados,
ações na justiça. Seu valor varia de 101 a 125.
Alto: A organização interrompe seus serviços por doze
horas, impedindo a produção, afetando sua imagem e
dando prejuízos financeiros. Seu valor varia de 65 a
100.
Médio: A organização interrompe seus serviços por
uma hora, tendo prejuízos financeiros. Seu valor varia
de 28 a 64.
40
Baixo: A organização tem paradas de dez a trinta
minutos pelo menos uma vez a cada seis meses
causando prejuízo financeiro, pois deixa de produzir
nesse período, porém não afeta a imagem da
organização. Seu valor varia de 9 a 27.
Irrelevante: A organização para por 30 min durante o
ano, mas não há consequências sérias. Seu valor varia
de 1 a 8.
Seção 3 – Identificar os ativos, Identificar as Ameaças e Identificar os
controles existentes ou planejados.
Identificar os ativos: Listar os ativos primários e secundários da
empresa. Neste estudo de caso os ativos primários não serão listados por
não haver processo definido no escopo. Os ativos secundários são os
ativos de suporte e infraestrutura como software, hardware, recursos
humanos, instalações físicas, etc.
Identificar as ameaças: Ameaças podem ser intencionais, acidentais ou
de origem natural. Para cada ativo foram identificados até duas ameaças.
Identificar os controles existentes ou planejados: Se a empresa já
possui um controle ou se planejou algum.
Seção 4 – Identificar as vulnerabilidades e Identificar as Consequências.
Identificar as vulnerabilidades: É a fragilidade de um ativo ou grupo
de ativos que pode ser explorada por uma ou mais ameaças.
41
Identificar as consequências: Está relacionada a perdas operacionais
relativas à proteção de ativos. As consequências são avaliadas em
função da perda da confidencialidade, integridade, disponibilidade,
autenticidade, prejuízos financeiros por retrabalho e se afeta a imagem e
a reputação.
Seção 5 – Avaliação Qualitativa dos ativos e Avaliação Qualitativa
severidade das consequências.
Avaliação Qualitativa dos ativos: Verifica a relevância do ativo para o
negócio, conforme critérios de avaliação de risco.
Avaliação Qualitativa severidade das consequências: Avalia a
severidade das consequências, conforme critérios de avaliação de risco.
Seção 6 – Avaliação da probabilidade, Definição da Estimativa e Resultado
Estimativa Qualitativa.
Avaliação da probabilidade: Verifica os critérios de probabilidades,
conforme critérios de avaliação de risco.
Definição da Estimativa: Os pesos para cada critério de risco são
atribuídos
Resultado Estimativa Qualitativa: Onde serão conferidos valores para
a probabilidade e consequência do risco. Resultado é o impacto. Impacto
é a Relevância do ativo versus a Severidade.
Seção 7 – Calcular o Risco e Avaliar o Risco
42
Calcular o Risco: O Risco é dado resultado da multiplicação da
probabilidade pelo impacto.
Avaliar o Risco: A aceitação do risco varia em grau de prioridade
Seção 8 – Definir tratamento, Definir controles do plano, Levantar e definir
riscos residuais, Aceitação dos Riscos.
Definir tratamento:
o Redução do risco: Ações tomadas para reduzir a probabilidade,
as consequências negativas, ou ambas, associadas a um risco.
Reduzir o risco através da seleção de controles, para que o risco
residual possa ser reavaliado e então considerado aceitável.
o Retenção do risco: Aceitação do ônus da perda ou do benefício
ganho associado a um determinado risco.
o Ação de evitar o risco: Decisão de não se envolver ou agir de
forma a se retirar de uma situação de risco. A atividade ou
condição que dá origem ao risco seja evitada, podendo ser
eliminado a atividade planejada ou existente.
o Transferência do risco: Transferir o risco para outra entidade
que possa gerenciá-lo de forma mais eficaz, ou seja,
compartilhar certos riscos com entidades externas podendo ser
criados novos riscos ou modificar os riscos existentes.
Definir controles do plano: Definir controles para tratamento do risco
Levantar e definir riscos residuais: Definir se existem os riscos
residuais, ou seja, aquele o risco remanescente após o tratamento de
riscos e quais são eles. O Risco Residual é dado pela multiplicação da
nova probabilidade pela multiplicação nova severidade e relevância do
ativo.
43
Aceitação dos Riscos: É formalizar a decisão de aceitar o risco pelo
responsável. Seu valor varia em grau de prioridade, de 1 a 5, sendo o de
valor 1 de maior prioridade, e 5 de menor prioridade. Outro grau de
prioridade seria nenhum ou estudo futuro.
Seção 9 – Comunicação dos Riscos.
Comunicação dos Riscos: Compartilhamento contínuo das informações
referentes aos riscos entre as partes interessadas durante o processo de
gestão de risco. A comunicação do risco é uma atividade contínua. A
empresa deve definir um comitê, que faça essa comunicação.
44
4. RESULTADOS OBTIDOS
Os gráficos gerados pela Gestão de Riscos como resultados podem ser
vistos a seguir:
Gráfico 1: Distribuição dos ativos
O gráfico, Distribuição dos Ativos, é feito com base nas informações
sobre relevância do ativo conforme critérios de riscos:
Insignificante: Não afeta o bom andamento da rotina se o ativo não
estiver disponível
Baixo: Pouco afeta o andamento da rotina de o ativo não estiver
disponível
Significante: Importante para o negócio, pois todos os processos passam
por ele.
Importante: Além de todos os processos passarem por ele, é
imprescindível, pois, afeta nos custos.
Crítico: Sem esse ativo a empresa tem prejuízos financeiros e não
executa suas atividades
Com o gráfico Distribuição dos ativos é possível verificar que existem
sete ativos considerados de nível Crítico (Sistema Operacional, Os meios físicos
e a infraestrutura, Switches, Roteadores e Hubs, Recursos Humanos – Pessoal da
46%
27%
0% 20%
7%
DISTRIBUIÇÃO ATIVOS
CRÍTICO IMPORTANTE SIGNIFICANTE
BAIXO INSIGNIFICANTE
Quant
CRÍTICO 7
IMPORTANTE 4
SIGNIFICANTE 0
BAIXO 3
INSIGNIFICANTE 1
45
TI, Comunicação – linha telefônica e internet, instalações físicas, Organização –
Subcontratados, fornecedores, fabricantes). Três ativos de nível Baixo
(Equipamento Móvel, Periféricos de Processamento, Outros tipos de mídias).
Quatro ativos de nível Importante (Equipamento Fixo, Software de prateleira,
Recursos Humanos – Alta Administração, Usuários) e um ativo de nível
Insignificante (Mídia eletrônica).
O segundo gráfico gerado é relativo aos Impactos das vulnerabilidades
dos ativos para a empresa:
Gráfico 2: Impactos
O Impacto é o resultado da multiplicação da Relevância do ativo versus
a Severidade, e é feito o cálculo para cada uma das vulnerabilidades
encontradas, podendo estar entre os seguintes valores:
Desprezível: Não afeta a organização, mas deve ser tratado.
Baixo: Pouco afeta a organização, e pode ser contornado rapidamente.
Significativo: Afeta a organização e causa interrupções de 1 hora
0
5
10
15
20
25
30
35
40
45
IMPACTO
Desastre Importante Significativo Baixo Desprezível
Desastre 11
Importante 41
Significativo 21
Baixo 19
Desprezível 22
46
Importante: Afetam a imagem da organização e causam interrupção de
12 horas nos negócios. A empresa deixar de funcionar/produzir por 12
horas.
Desastre: A empresa deixa de funcionar por mais de 12 horas, e tem
altíssimos prejuízos.
Das 114 vulnerabilidades encontradas, 11 foram consideradas como
Desastre, 41 como Importantes, 21 como Significativos, 19 como Baixos e 22
como Desprezíveis.
O terceiro gráfico gerado é relativo à quantidade de riscos:
Gráfico 3: Quantidade de Riscos
O gráfico, Quantidade de Riscos, é feito com base na Aceitação do
Risco. O risco é resultado da multiplicação da probabilidade versus o impacto, e
é feito o cálculo para cada uma das vulnerabilidades encontradas, podendo estar
entre os seguintes valores:
Extremo: A organização interrompe totalmente seus serviços por mais
de 48 horas, impedindo de executar serviços e produzir, afetando sua
0
10
20
30
40
50
60
Quantidade
Categoria de Risco
QUANTIDADE de RISCOS
Extremo Alto Médio Baixo Irrelevante
Extremo 0
Alto 8
Médio 52
Baixo 36
Irrelevante 18
47
imagem pública de forma significativa. Prejuízos financeiros elevados,
ações na justiça.
Alto: A organização interrompe seus serviços por 12 horas, impedindo a
produção, afetando sua imagem e dano prejuízos financeiros.
Médio: A organização interrompe seus serviços por 1 hora, tendo
prejuízos financeiros.
Baixo: A organização tem paradas de 10 a 30 min pelo menos uma vez a
cada 6 meses causando prejuízo financeiro pois deixa de produzir nesse
período, porém não afeta a imagem da organização.
Irrelevante: A organização para por 30min durante o ano, mas não há
consequências sérias.
Das 114 vulnerabilidades encontradas: 18 são consideradas riscos
Irrelevantes, 36 Baixo, 52 Médio, 8 Alto e nenhum extremo.
Gráfico 4: Riscos Residuais
No Gráfico de Risco Residual nota-se a diminuição de riscos na empresa
se feita à implantação dos controles sugeridos.
37
35
1
41
Baixo
Irrelevante
Médio
Nenhum Risco …
Riscos Residuais
Riscos Residuais
Baixo 37
Irrelevante 35
Médio 1
Nenhum Risco Residual 41
48
Comparando os gráficos de Risco Residual e Quantidade de Riscos, os
riscos de nível Alto deixarão de existir. Os de nível médio serão reduzidos
significativamente a 1. Os riscos de nível Baixo terão pouca variação de 36
ativos anteriormente, para 37. O risco de nível Irrelevante irá ser modificado de
18 ativos para 35. E, 41 ativos não terão mais riscos. Ou seja, se implantados
alguns controles básicos, por exemplo, instalação de sensores de incêndio, o
risco em relação a essa vulnerabilidade deixa de existir.
Esses gráficos comprovam a necessidade de mudança na empresa,
principalmente do departamento de tecnologia. Mostram também, que se forem
seguidas as orientações demonstradas nesse projeto, através do uso de normas e
procedimentos, os riscos podem ser diminuídos consideravelmente.
De forma geral, este projeto contribuiu para que houvesse na empresa
uma conscientização da importância do setor de TI, que antes era considerado
um setor técnico, e não como uma estratégia de negócios. Foi possível
identificar os pontos fortes e fracos na Gestão da Segurança da Informação e nos
processos da empresa coletando dados através da observação e pesquisa.
Foi elaborada uma versão inicial da Política de Segurança (APÊNDICE
A), para um escopo definido previamente, o setor de Tecnologia da Informação.
A Política de Segurança foi baseada na Norma ISO/IEC 27002. O entendimento
do que deve ser protegido abrangeu além de hardware e software, mas as
pessoas e os processos de negócio. Buscou-se ser simples, clara e concisa na
escrita da política, sendo que posteriormente a mesma deve ser atualizada e
homologada pela Alta Administração, e inserida na documentação da empresa.
Embora a organização Anonimous Corporation tenha dado um grande
passo abrindo espaço para este estudo e, colaborar para a elaboração da política
de segurança da informação, a mudança de cultura para que a segurança da
informação seja vista como organizacional e não apenas como algo imposto pela
TI é um fator importante que deve ser observado.
49
A empresa ainda não gerencia os riscos de segurança da informação aos
quais está exposto, o que pode ser decorrente da ausência da política de
segurança da informação e também pelo fato da segurança da informação ainda
não ser tratada como estratégica. Existem apenas medidas emergenciais que
tentam tratar estes riscos e na maioria das vezes acontecem de forma intuitiva,
não chegando a ser um processo formal definido.
A tecnologia está diretamente ligada ao andamento da empresa, como
vendas, comunicação interna e externa, e balanços financeiros. Em todos os
departamentos ela está presente. Por isso, os objetivos de se ter um plano de
melhorias, são:
Financeiros: Redução dos custos de TI; Melhoria da tomada de decisão
em investimento; Melhor direcionamento dos recursos da organização;
Otimização de aproveitamento dos recursos de TI.
Cliente: Garantia da satisfação dos clientes.
Estratégicos: Obtenção de vantagem competitiva e tecnológica sobre os
concorrentes; ampliação do fornecimento de serviços.
Foi gerado um relatório (APÊNDICE B) sugerindo melhorias na Gestão
da Segurança da empresa. Infelizmente o processo de adaptação e
conscientização da empresa é um processo lento, sendo necessário um tempo
maior do que este do projeto para que a empresa faça as alterações devidas e se
organize financeiramente para investir mais no setor de TI.
Conseguiu-se com este projeto, mostrar a alta administração e aos outros
setores da empresa a importância do setor de TI e, como ele pode auxiliar no
ganho financeiro da empresa se tratado com uma visão diferente de um setor de
suporte.
O projeto será utilizado pela empresa para projetos internos, buscando a
melhoria não só no setor de TI, mas na empresa como um todo.
50
Sugere-se que o Termo de Confidencialidade seja atualizado para conter
tópicos importantes que, analisado o documento (ANEXO B) foi constatada a
falta de informações poderiam prejudicar a empresa em caso de roubo ou furto
de informações, mesmo depois do desligamento de funcionários. É necessário
detalhar as cláusulas para que o funcionário tenha conhecimento claro do termo.
Os tópicos abaixo são as sugestões de melhoria:
Não utilizar as informações confidenciais a que tiver acesso para gerar
benefício próprio exclusivo e/ou unilateral, presente ou futuro, ou para
uso de terceiros;
Não efetuar nenhuma gravação ou cópia de documentação, base de
dados, sistemas computacionais, informações ou outras tecnologias a
que tiver acesso com funcionário sem autorização de um responsável;
É proibido produzir cópias, por qualquer meio ou forma, de qualquer
informação confidencial sem expressa autorização;
O termo de confidencialidade é obrigatória mesmo após o término das
atividades da PARTE COMPROMETIDA como funcionário/estagiário;
Deve ser colocadas assinaturas de pelo menos duas testemunhas no
documento.
No Apêndice C estão os controles do COBIT que foram selecionados
segundo a deficiência da empresa. O propósito da utilização do COBIT é utilizá-
lo como instrumento de apoio, pois essa ferramenta permite boas práticas para
controles de TI em toda a empresa. Embora as empresas tenham os processos-
chave de TI, elas dificilmente aplicarão todos os processos do COBIT. Esses
objetivos de controle serão um auxilio para mapear os processos de forma mais
detalhadas.
Os controles do COBIT foram selecionados através das deficiências
mais urgentes percebidas na empresa.
51
No Apêndice D estão os controles da norma 27001 que foram sugeridos
para auxílio nas boas práticas de gestão da empresa. A norma 27001, aborda
pontos importantes como Gerenciamento de acesso ao usuário, e mostra a
melhor forma que pode ser feita uma atividade.
Os controles da norma 27001 foram selecionados após ter sido feita uma
visita na empresa e percebido as deficiências nas atividades diárias da empresa.
A norma 27001 vai ajudar a empresa a melhorar a gestão de segurança da
informação.
No Apêndice E encontra-se o Termo de Aceite dos Riscos, elaborada
para que a empresa tenha ciência dos Riscos a que está submetida mesmo após o
tratamento através de controles sugeridos.
52
5. CONSIDERAÇÕES FINAIS
Foi apresentada uma visão geral sobre a Segurança da Informação e os
modelos que auxiliam na Gestão da Segurança da Informação com o intuito de
apresentar as definições feitas por alguns autores. Nos últimos anos, as
organizações não medem esforços para proteger seus ativos dado ao grande
crescimento no uso da Internet. Com essa proteção, as empresas de todos os
ramos de atuação, evitam perda de tempo e dinheiro.
É visível a grande dificuldade em modificar a cultura organizacional de
uma empresa. Para desenvolver este trabalho foram inúmeras as dificuldades,
como falta de procedimentos documentados no setor, a falta de descrição de
função do funcionário, que nos termos mais populares são os “fazem tudo”, ou
seja, atendem ordens de serviços de todos os setores da empresa, sem nenhum
controle. Os funcionários mais antigos são resistentes às mudanças, sendo então,
um potencial problema para a empresa.
Todos os problemas foram considerados durante a elaboração deste
projeto, por isso, as sugestões de que as mudanças sejam feitas de forma gradual,
para que se tenha um bom resultado.
Para a empresa, foi possível constatar que o setor de TI é o centro de
tudo, e, sem o perfeito funcionamento desse setor, toda a empresa se torna um
caos, e consequentemente com menos clientes e menos lucro. Com a versão
inicial da Política de Segurança elaborada vai ser possível definir mais
responsabilidades e limites, devendo este documento estar sempre atualizado.
Os funcionários do setor de tecnologia da informação se
comprometeram a reunir com a alta direção para discutir as mudanças que
precisam ser feitas, e os procedimentos que devem ser adotados com máxima
urgência para não expor mais a organização a tantos riscos desnecessários.
53
Enfim, todos os funcionários, inclusive a alta administração da empresa,
estão conscientes que é preciso mudar para competir no mercado, e que este
projeto é apenas um passo inicial.
Como trabalhos futuros ficam as propostas de estudo, analisando o
trabalho desenvolvido, a implantação e acompanhamento da Política de
Segurança na empresa. Mapear e modelar os processos do setor de TI, bem
como sua defini-los. A atualização deste estudo para as novas normas 27001 e
27002 na versão 2013.
54
REFERÊNCIAS BIBLIOGRÁFICAS
ASCIUTTI, C. A. Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a
administração pública -USP , 2012. Acesso em 16 de Nov de 2013.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 27002.
Tecnologia da informação – Técnicas de Segurança – Código de prática
para a gestão da segurança da informação. Rio de Janeiro, 2005.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 27001.
Tecnologia da informação – Técnicas de Segurança – Requisitos. Rio de
Janeiro, 2006.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 27005.
Tecnologia da informação - Técnicas de segurança - Gestão de riscos de
segurança da informação. Rio de Janeiro, 2008.
ABREU, Dimitri. 2001. Melhores Práticas para Classificar as Informações.
Módulo e-Security Magazine. São Paulo, agosto. Disponível em
www.modulo.com.br. Acesso em: 05 fev. 2013.
ALBUQUERQUE, Ricardo e RIBEIRO, Bruno. 2002. Segurança no
Desenvolvimento de Software – Como desenvolver sistemas seguros e
avaliar a segurança de aplicações desenvolvidas com base na ISO 15.408.
Disponível em
55
http://www.ppgia.pucpr.br/~euclidesfjr/SEGURANCA_DA_INFORMACAO/ec
onomia_tecnologia_seguranca_2005.pdf. Acesso em: 30 mar. 2013.
BEZERRA, E. K. Tabela de Gestão de Riscos. 2009
BORAN, Sean. IT Security Cookbook, 1996. Disponível em
http://www.boran.com/security/. Acesso em: 01 fev. 2013.
CARVALHO, Flávio. Empresas Brasileiras pretendem investir até R$ 110
mil em Segurança da informação neste ano. Disponível em:
http://convergecom.com.br/tiinside/04/10/2013/empresas-brasileiras-pretendem-
investir-ate-r-110-mil-seguranca-informacao-neste-ano/#.Ulm2JtKsiSo. Acesso
em 07 Out 2013.
CERT.br -- Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurança no Brasil, Práticas de Segurança para Administradores de Redes
Internet, 05 de JUN de 2005. Disponível em:< http://www.cert.br/docs/seg-
adm-redes/seg-admredes.html#subsec2.1 >. Acesso em: 15 jan. 2013.
Escola Superior de Redes da RNP - http://www.esr.rnp.br/. Acesso em 10 Dez.
2013.
FAGUNDES, E. M. COBIT um kit de ferramentas para a excelência na
gestão de TI. 2004. Disponível em <www.efagundes.com/Artigos/Arquivos
_pdf/cobit.pdf>. Acesso em: 17 set. 2013.
56
FERREIRA, F. N. F.; ARAÚJO, M. T. de. Política de Segurança da
Informação: Guia prático para elaboração e implementação. 2. ed. Rio de
Janeiro: Ciência Moderna, 2008.
GABBAY, M. S. Fatores influenciadores na implementação de ações de
gestão de segurança da informação: um estudo com executivos e gerentes de
tecnologia da informação em empresas do Rio Grande do Norte. Tese
(mestrado) – Universidade Federal do Rio Grande do Norte, 2003.
GUALBERTO, E. S. Um estudo de caso sobre gestão da Segurança da
Informação em uma organização pública. Universidade de Brasília, 2010.
HAMPSHIRE, M. C. S.; TOMIMURA, C. T. Proposta de implementação da
Análise de Risco em um Projeto de implantação da Segurança da
Informação. Centro Tecnológico da Marinha em São Paulo (CTMSP), São
Paulo – SP, Disponível em http://www.mar.mil.br/sdms/artigos/6956.pdf.
Acesso em 15 mar. 2013.
ISACA. CobiT 4.1: modelo, objetivos de controle, diretrizes de gerenciamento e
mode-los de maturidade. EUA, abr. 2010. Disponí-vel em:
<http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders1/COBI
T6/Obtain_COBIT/Obtain_COBIT.htm>. Acesso em: 02 fev. 2013.
ITGI (Steering Committee and IT Governance Institute). Cobit Framework,
Technical Report, 2007.
57
ITGI (2008). IT Governance Institute. COBIT 4.1: Control Objectives
/Management Guidelines / Maturity Models. ITGI, USA.
KRAUSE, Micki e TIPTON, Harold F. 1999. Handbook of Information
Security Management. Auerbach Publications. Disponível em
https://www.cccure.org/Documents/HISM/ewtoc.html. Acesso em 17 mar.
2013.
MAYER, J.; Fagundes, L. L. Proposta de um Modelo para Avaliar o Nível de
Maturidade do Processo de Gestão de Riscos em Segurança da Informação.
VIII Simpósio Brasileiro em Segurança da Informação e de Sistemas
Computacionais, São Leopoldo-RS, 2008. Disponível em
http://sbseg2008.inf.ufrgs.br/proceedings/data/pdf/st02_03_wticg.pdf. Acesso
em 03 fev. 2013.
NAKAMURA, Emilio Tissato; GEUS, Paulo Lício de. Segurança de redes em
ambientes cooperativos. São Paulo: Novatec, 2007. 482 p.
PwC Brasil. Pesquisa Global de Segurança da Informação 2013. Disponível
em: http://www.pwc.com.br/pt/estudos-pesquisas/index.jhtml. Acesso em 15 de
Out de 2013.
Pesquisa Gartner. Qual é o tamanho ideal de uma equipe de TI?. Disponível
em: http://pt.scribd.com/doc/22719689/Qual-e-o-tamanho-ideal-de-uma-equipe-
de-TI. Acesso em 16 de Out de 2013.
58
SCHEIN, Edgar. Organizational Culture and Leadership. San Francisco,
Jossey Bass Publications. 2ª Ed. 1989
SÊMOLA, M. 2003. Gestão da Segurança da Informação: visão executiva da
segurança da informação. Elsevier 1.Ed. Rio de Janeiro.
UNIVERSIDADE FEDERAL DE LAVRAS, Biblioteca da UFLA, Manual de
normalização e estrutura de trabalhos acadêmicos: TCC, monografias,
dissertações e teses. Lavras, 2010. Disponível em:
<http://www.biblioteca.ufla.br/site/index.php>. Acesso em 18 de Nov de 2013.
VELLANI, K. H. Strategic Security Management: A Risk Assessment Guide
for Decision Makers. [S.I.] USA: Elsevier, 2006. 416 p. Disponível em
http://books.google.com.br/books?hl=ptBR&lr=&id=qkkHX9KHpysC&oi=fnd
&pg=PP2&dq=Strategic+Security+Management:+A+Risk+Assessment+Guide+
for+Decision+Makers&ots=OmCChihEbs&sig=Lj5ZHgHc_ykL7vmuecv6yoZP
6hg. Acesso em 25 mar. 2013.
VIDAL, A. G. da R; NETTO, A. da S. Viabilizando o acesso a internet para
pequenas empresas. Disponível em http://www.convibra.com.br/2004/pdf/143
.pdf . Acesso em 16 de Nov de 2013.
WEILL, Peter; ROSS, Jeanne W. Governança de TI, tecnologia da
informação. São Paulo: M.Books, 2006.
59
Wikipédia. A enciclopédia livre. <http://pt.wikipedia.org/wiki/Wikip%C3%A
9d ia:P%C3%A1gina_principal> . Acesso em 10 Dez 2013.
60
APÊNDICE A – POLÍTICA DE SEGURANÇA
Contém a Política de Segurança elaborada de forma generalizada para
que a empresa possa estar sempre atualizando.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
CAPÍTULO I
DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Para fins de execução aplicam-se os seguintes conceitos:
I. Ativo de Informação – qualquer recurso que faça parte dos sistemas
de informação e meios para geração de documentos que tenham
valor para a empresa;
II. Ativo de Sistema – patrimônio composto por todos os dados e
informações geradas e manipuladas durante a execução de sistemas
e processos da empresa;
III. Ativo de processamento - patrimônio composto por todos os
elementos de hardware, software, serviço, infraestrutura ou
instalações físicas necessários para a execução de sistemas e
processos da empresa, tanto aqueles produzidos internamente
quanto aos adquiridos pela empresa;
IV. Controle de Acesso - restrições ao acesso às informações de um
sistema exercido pelo Setor de Ti da empresa;
V. Custódia – consiste na responsabilidade de se guardar um ativo para
terceiros sem, contudo, permitir automaticamente o acesso ao ativo
ou o direito de conceder acesso aos outros;
61
VI. Direito de Acesso – privilégio associado a um cargo, pessoa ou
processo para ter acesso a um ativo;
VII. Ferramentas – conjunto de equipamentos, programas,
procedimentos, normas e demais recursos por meio dos quais se
aplica a Política de Segurança da Informação da empresa;
VIII. Incidente de Segurança – qualquer evento ou ocorrência que
promova uma ou mais ações que comprometa, ou que seja uma
ameaça à integridade, autenticidade ou disponibilidade de qualquer
ativo da empresa;
IX. Proteção dos ativos – processo pelo qual os ativos devem receber
classificação quanto ao grau de sensibilidade, sendo que o meio de
registro de um ativo de informação deve receber a mesma
classificação de proteção dada ao ativo que o contém;
X. Responsabilidade – obrigações e deveres da pessoa que ocupa
determinada função em relação ao acervo de informações.
CAPÍTULO II
DOS OBJETIVOS E DA ABRANGÊNCIA
O setor de TI tem os seguintes objetivos:
I. Definir o escopo da segurança da Informação da empresa;
II. Orientar as ações de segurança, para reduzir riscos e garantir a
integridade, autenticidade, confidencialidade e disponibilidade dos
ativos de tecnologia da informação da empresa;
III. Permitir a adoção de soluções de segurança integrada;
IV. Servir de referência para auditoria, apuração e avaliação de
responsabilidade.
62
§1º Para efeitos desta Resolução, entende-se como ativo de
tecnologia da informação qualquer informação que tenha valor para
a empresa, tais como sistemas de informação, banco de dados,
imagens do sistema de segurança eletrônica, correspondências
eletrônicas, conteúdo de páginas Web, telefonia VoIP, ou qualquer
outra informação armazenada e transmitida por meio digital, entre
outros.
§ 2º As responsabilidades sobre os ativos serão definidos em normas
e procedimentos específicos elaborados pelo setor de TI e
submetidos à aprovação da Alta Administração da empresa.
A Política de Segurança abrange os seguintes aspectos:
I. Requisitos de Segurança em Recursos Humanos
II. Requisitos de Segurança ao Patrimônio Físico e Ambiental;
III. Requisitos de Segurança Lógica;
IV. Requisitos de Segurança dos Recursos Criptográficos.
CAPÍTULO III
DO GERENCIAMENTO DE RISCOS E INCIDENTES DE SEGURANÇA
DA INFORMAÇÃO
Entende-se como gerenciamento de risco o processo que visa à proteção
dos serviços da empresa, por meio da eliminação, redução ou transferência dos
riscos, conforme seja economicamente (e estrategicamente) mais viável. Os
seguintes pontos devem ser identificados:
I. O que se deve ser protegido;
II. Análise dos riscos (contra quem ou contra o quê deve ser protegido);
63
III. Avaliação de riscos (análise da relação custo/benefício);
O processo de gerenciamento de riscos será instituído e revisto
periodicamente pelo setor de TI, para prevenção contra riscos advindos de novas
tecnologias e ameaças externas, visando à elaboração de planos de ação
apropriados para proteção aos ativos ameaçados.
Parágrafo único: Todos os ativos da empresa deverão ser inventariados,
classificados e reavaliados periodicamente pelo setor de TI da empresa.
Os incidentes de segurança da informação deverão ser prontamente reportados,
de forma sigilosa, às autoridades responsáveis e apurados pelo Setor de TI.
CAPÍTULO IV
DOS DEVERES E RESPONSABILIDADES
É dever de todo usuário dos ativos de informação:
I. Preservar a integridade e guardar sigilo das informações de que
fazem uso, bem como zelar e proteger os respectivos recursos de
tecnologia da informação (TI);
II. Utilizar os sistemas de informações da empresa e os recursos a ela
relacionados somente para os fins previstos pelo setor de TI;
III. Cumprir as regras, normas e procedimentos de proteção
estabelecidos aos ativos de informações pelo setor de TI;
IV. Responder por todo e qualquer acesso aos recursos de TI da
empresa, bem como pelos efeitos de acessos efetivados através de
seu código de identificação ou outro atributo empregado para esse
fim;
V. Abster-se de utilizar, utilizar, inspecionar, copiar ou armazenar
programas de computador ou qualquer outro material, em violação à
legislação de propriedade intelectual pertinente;
64
VI. Comunicar-se ao seu superior imediato qualquer irregularidade ou
desvio.
Entendem-se como responsabilidades das chefias as seguintes atividades:
I. Gerenciar o cumprimento da política de segurança por parte de seus
funcionários;
II. Identificar os desvios praticados e adotar medidas corretivas
apropriadas;
III. Proteger, em nível físico e lógico, os ativos de informação e de
processamento da empresa relacionados com sua área de atuação;
IV. Garantir que o pessoal sob sua supervisão compreenda e colabore
para com sua proteção dos ativos de informação da empresa;
V. Solicitar ao setor de TI a concessão de acesso privilegiado a
usuários sob sua supervisão que podem acessar as informações da
unidade administrativa sob sua responsabilidade.
Entendem-se como responsabilidade do setor de TI:
I. Estabelecer regras de proteção aos ativos de informação da empresa;
II. Decidir quanto às medidas a serem adotadas em caso de violação
das regras estabelecidas;
III. Revisar periodicamente as políticas, normas e procedimentos de
segurança da informação da empresa;
IV. Executar as regras de proteção estabelecidas por esta Política de
Segurança;
V. Detectar, identificar, registrar as violações ou tentativas de acesso
não autorizados;
VI. Fornecer acesso ao recurso de TI, mantendo-se o devido registro e
controle.
65
CAPITULO V
DISPONIBILIDADE DOS RECURSOS DE TECNOLOGIA DA
INFORMAÇÃO
1. Os colaboradores devem ser responsáveis pela guarda, zelo e bom uso
dos recursos tecnológicos disponibilizados, conforme instruções do
fabricante e da Política de Segurança.
2. Ao desrespeitar a política da organização, no que diz respeito ao uso de
seus recursos tecnológicos, o colaborador deve estar sujeito a medidas
disciplinares.
CAPÍTULO VI
TITULARIDADE DAS INFORMAÇÕES
1. A empresa detém todos os direitos, independentemente de seu conteúdo,
sobre todos os dados e informações armazenados nos componentes do
sistema de computação, bem como sobre as mensagens, dados e
informações enviadas e recebidas no sistema de correio eletrônico e
correio de voz.
2. A empresa se reserva no direito de acessar a seu critério, aleatoriamente
e a qualquer momento, todos os seus meios tecnológicos, incluindo
computadores, sistema de correio eletrônico, Internet e correio de voz.
CAPITULO VII
SEGURANÇA DA INFORMAÇÃO
1. Conforme atribuída as responsabilidades, o usuário dos recursos
tecnológicos é responsável pela segurança das informações da empresa
que estão sob sua responsabilidade.
66
2. Determinados recursos tecnológicos da empresa podem ser acessados
apenas mediante ao fornecimento de uma senha válida, ou seja, as
senhas são utilizadas para prevenir acessos não autorizados à
informação e não conferem ao colaborador nenhum direito de
privacidade.
3. Os colaboradores devem manter suas senhas como informação
confidencial. Não é permitido compartilhá-la, nem acessar sistemas de
outros colaboradores sem expressa autorização, conforme a hierarquia
interna de responsabilidade para autorizações e aprovações. Nestes
casos, somente o diretor ou o gerente (responsável pelo funcionário),
que tenha autorizado formalmente a quebra de sigilo de um colaborador,
pode acessar essas informações, de modo a garantir o sigilo das demais
informações.
4. Os colaboradores que tentarem burlar ou desabilitar os dispositivos de
segurança, que asseguram a integridade dos recursos tecnológicos da
organização, devem estar sujeitos a ações disciplinares.
CAPITULO VIII
SIGILO DAS INFORMAÇÕES
1. Não é autorizada a transmissão de informação confidencial por meios
eletrônicos para destinatários fora dos domínios da organização.
2. A transmissão de informação classificada como “confidencial” dentro da
rede da organização requer aprovação do diretor ou do gerente
responsável.
§ Sempre que possível, o setor de TI irá providenciar para seus usuários
meios eletronicamente seguros para a transmissão e o arquivamento das
informações e dados classificados como “confidenciais”. Considere
“meio eletronicamente seguro” como a transmissão de dados
67
criptografados através de uma rede privada de dados, neste caso, em
nenhuma hipótese o código de acesso (ou chave do código) será
transmitido junto com os dados confidenciais.
CAPITULO IX
AUTORIZAÇÃO PARA USO DOS RECURSOS DE TECNOLOGIA DA
INFORMAÇÃO
1. O acesso será concedido levando em conta a função desempenhada pelo
colaborador. As autorizações e aprovações necessárias para o
cumprimento dos procedimentos e instruções de trabalho devem ser
fornecidas conforme a hierarquia de responsabilidades abaixo:
Diretor: poderá efetuar autorizações e aprovações necessárias
para os diretores e gerentes sob sua subordinação direta;
Gerente: poderá efetuar autorizações e aprovações necessárias
para os gerentes, chefes, encarregados e demais colaboradores
sob sua subordinação direta.
ESTAÇÕES DE TRABALHO E SERVIDORES
1. Equipamentos e recursos tecnológicos são de propriedade e uso restrito
da organização. Devem estar em local seguro, ter acesso restrito e
protegido contra desastres com um nível de segurança proporcional à
importância do bem e das informações neles contidas.
§ Nos casos em que o usuário se ausentar de seu local de trabalho,
recomenda-se que ele ative a proteção de tela/ bloqueio do teclado.
68
Ressalvo que as estações são configuradas para bloqueio automático,
como forma de proteção adicional, após um período de inatividade.
2. Como forma de proteger a entrada e, principalmente, a saída de
informação da organização, dispositivos USB e CD tem uso controlado
e autorizado formalmente.
ESTAÇÕES MÓVEIS DE TRABALHO
1. Além das recomendações de segurança citadas para as estações de
trabalho, as estações móveis de trabalho (notebooks/laptops/PDA’s)
devem possuir recursos de segurança que impeçam o acesso não
autorizado às informações.
CAPITULO X
PROTEÇÃO CONTRA SOFTWARES MALICIOSOS
1. Uso obrigatório de software antivírus em todos os equipamentos, sendo
este instalado pelo setor de Tecnologia de Informação conforme adotado
pela empresa.
2. Atualização periódica da lista de vírus e da versão do produto.
3. Verificação de todo o arquivo recebido anexado em e-mail, ou
download, pelo software de antivírus.
4. Disponibilização de treinamento adequado que oriente a utilização do
software antivírus para os usuários.
SOFTWARES NÃO AUTORIZADOS
1. Todos os programas de computador (software) em uso na empresa
possuem licenças de uso oficial e são homologados, sendo proibida a
69
instalação de software de propriedade da empresa além da quantidade de
licenças adquiridas ou em equipamentos de terceiros.
2. Todos os programas de computador (software) em uso na empresa
possuem licenças de uso oficial e são homologados, sendo proibida a
instalação de qualquer software nas estações de trabalho pelo próprio
usuário, sem conhecimento e autorização do setor de TI.
REUTILIZAÇÃO E ALIENAÇÃO SEGURA DE EQUIPAMENTOS
1. Todos os equipamentos que contenham mídias de armazenamento de
dados devem ser examinados antes do descarte, para assegurar que todos
os dados sensíveis e softwares licenciados tenham sido removidos ou
sobregravados com segurança.
CAPITULO XI
PROCEDIMENTOS PARA ACESSO À INTERNET
1. A empresa possui os direitos de autoria sobre quaisquer materiais
criados internamente por qualquer colaborador.
2. Qualquer usuário interno da Internet é responsável e pode ser
responsabilizado por brechas que intencionalmente afetem a segurança
ou a confidencialidade dos dados internos.
3. Todas as tentativas de conexões são registradas para fins de auditoria:
Identidade do usuário;
Data, hora e tempo de permanência das conexões;
Endereço IP e URL’s acessadas (bloqueadas ou liberadas);
Protocolos utilizados;
Quantidade de dados sendo transmitidos ou recebidos.
70
CAPITULO XII
PROCEDIMENTOS EM CASOS DE VIOLAÇÃO
1. Infrações puníveis pelos termos da Lei
Encaminhar para várias
pessoas mensagem contendo
um boato eletrônico
Difamação Artigo 139 do
Código Penal
Enviar uma mensagem para
terceiros com informação
considerada confidencial
Divulgação de segredo Artigo 153 do
Código Penal
Enviar um vírus que
comprometa equipamento ou
conteúdo de terceiros
Dano Artigo 163 do
Código Penal
Copiar um conteúdo e não
mencionar a fonte, baixar
arquivos de mídia (MP3,
MPEG, entre outros) que não
possua controle de direitos
autorais
Violação do direito
autoral
Artigo 184 do
Código Penal
Enviar mensagem de correio
eletrônico com remetente falso
(spam)
Falsa identidade Artigo 307 do
Código Penal
Fazer cadastro com nome ou
informações falsas em páginas
diversas na internet
Inserção de dados falsos
em sistema de
informações
Artigo 313-A do
Código Penal
Entrar em rede corporativa e
alterar informações (mesmo
que com uso de software) sem
autorização prévia
Adulterar Dados em
Sistema de informações
Artigo 313-B do
Código Penal
Usar logomarca de empresa
em mensagem de correio
eletrônico, documentos,
propostas ou contratos sem
autorização do titular, no todo
ou em parte, ou imitá-la de
modo que possa induzir a
confusão
Crime contra a
propriedade industrial
Artigo 195 da
Lei 9.279/96
Uso de mecanismos (softwares
ou ferramentas diversas) para
coleta de informações sem
autorização prévia
Interceptação de
comunicações da
informática
Artigo 10 da Lei
9.296/96
Usar cópia de software sem ter
a licença para tanto
Crimes contra Software
“Pirataria”
Artigo 12 da Lei
9.609/98
71
APENDICE B – RELATÓRIO FINAL PARA A EMPRESA
A análise feita na empresa foi para colaborar no entendimento da
importância da Gestão da Segurança da Informação no âmbito empresarial.
Como resultado foi proposta uma Política de Segurança que deve ser
implantada na empresa e utilizada por todos os funcionários, atualizando
constantemente o documento conforme as necessidades da empresa e
comunicando essas mudanças a empresa toda. A versão inicial da Política pode
ser encontrada no Apêndice A do projeto. Também é indicada a atualização do
Termo de Confidencialidade conforme sugerida na monografia no capítulo 4 -
Resultados obtidos.
É indicado que a empresa utilize a referência Boas Práticas em
Segurança da Informação, elaborado pelo Tribunal de Contas da União, pois é
um manual completo e embasado em normas, e pode ser encontrado no site
http://portal2.tcu.gov.br/portal/pls/portal/docs/2511466.PDF. Bem como se
sugere a utilização das normas 27001 e 27002 como auxílio nas tarefas diárias.
A planilha utilizada para elaborar a Gestão de Risco será repassada a
empresa, para tenha informações detalhadas sobre os riscos que está sujeita e
como trata-las utilizando controles presentes nas normas da série 27000.
Controles do COBIT também foram sugeridos no Capítulo 3.6 e podem
ser consultados pela empresa.
De maneira geral, o primeiro passo é definir pessoas responsáveis que
farão parte de um comitê para discutir junto a Alta Administração as
necessidades do setor de TI e mostrar como isso afetaria no bom andamento da
empresa. O segundo passo, é utilizar a Política de Segurança elaborada como
base e adicionar itens de interesse da empresa. Comunicar a Política é o passo
seguinte. O projeto pode ser utilizado como uma base para que as mudanças
ocorram.
72
APÊNDICE C – CONTROLES DO COBIT
Foram selecionados Objetivos de Controle que podem colaborar com a
empresa, seguidos de justificativas e o nível de maturidade, são eles:
Controles Objetivos de controle Justificativas Modelo de
Maturidade
PO
1
Def
inir
um
Pla
no E
stra
tég
ico
de
TI
PO1.1 Gerenciamento
de Valor da TI
É preciso gerenciar todos
os recursos de TI da
melhor maneira
1 In
icia
l: A
n
eces
sid
ade
é co
nh
ecid
a, m
as o p
lan
ejam
ento
é
feit
o c
aso
a c
aso
PO1.2 Alinhamento
entre TI e Negócio
É importante que a
empresa reconheça o
envolvimento da TI nos
negócios
PO1.3 Avaliação da
Capacidade e
Desempenho
Correntes
É preciso avaliar quanto
custa a TI para a empresa,
pontos fortes e
fragilidades
PO1.4 Plano
Estratégico de TI
Como a TI vai colaborar
com a empresa? Deve ser
definido nesse plano
PO1.5 Planos Táticos
de TI
A empresa precisa definir
como a TI vai ajudar, o
que vai ser preciso e como
será feito
PO1.6 Gerenciamento
do Portfólio de TI
Gerenciar os
investimentos de TI para
atingir os objetivos
estratégicos específicos de
negócios
PO
2
Def
inir
a A
rqu
itet
ura
da
Info
rmaç
ão
PO2.1 Modelo de
Arquitetura da
informação da
organização
Falta estabelecer e manter
um modelo de informação
da organização
2
Rep
etív
el,
poré
m
intu
itiv
o:
Pro
ced
imen
tos
ain
da
que
info
rmai
s e
intu
itiv
os
são
seg
uid
os
po
r d
ifer
ente
s
pes
soas
den
tro
da
org
aniz
ação
.
PO2.3 Esquema de
Classificação de
Dados
Classificar os dados para
definir tipos de acesso
PO2.4 Gerenciamento
de Integridade
Assegurar a integridade
do banco de dados e todos
os arquivos e dados da
empresa
73
PO
3
Det
erm
inar
o D
irec
ion
amen
to T
ecn
oló
gic
o
PO3.2 Plano de
Infraestrutura
Tecnológica
Falta um plano de
investimento em pessoal e
sistemas de informação
0 I
nex
iste
nte
: n
ão h
á co
nsc
ien
tiza
ção
da
imp
ort
ânci
a
de
um
pla
nej
amen
to d
e in
frae
stru
tura
.
PO3.3 Monitoramento
de Regulamentos e
Tendências Futuras
Monitorar as tendências
de tecnologia,
infraestrutura.
PO
4
Def
inir
os
Pro
cess
os,
Org
aniz
ação
e o
s R
elac
ion
amen
tos
de
TI
PO4.1 Estrutura de
Processos de TI
Falta mapear e estruturar
os processos de TI
1 I
nic
ial:
As
área
s e
ativ
idad
es d
e T
I sã
o r
eati
vas
e i
mp
lem
enta
das
de
man
eira
in
con
sist
ente
. A
TI
é e
nv
olv
ida
apen
as n
os
está
gio
s fi
nai
s d
os
pro
jeto
s d
e n
egó
cio
. A
áre
a de
TI
é co
nsi
der
ada
um
a ár
ea d
e ap
oio
, se
m
um
a p
ersp
ecti
va
ger
al d
a org
aniz
ação
. H
á u
m e
nte
nd
imen
to i
mp
líci
to d
a
nec
essi
dad
e d
e u
ma
org
aniz
ação
d
e T
I,
entr
etan
to
os
pap
éis
e
resp
on
sab
ilid
ades
não
são
fo
rmal
izad
os
nem
im
po
sto
s.
PO4.2 Comitê
Estratégico de TI
Falta definir um comitê
estratégico de TI
PO4.3 Comitê
Executivo de TI
Falta definir um comitê
executivo
PO4.4 Posicionamento
Organizacional da
área de TI
Falta posicionar a área de
TI na estrutura geral
organizacional
PO4.5 Estrutura
Organizacional de TI
Falta estabelecer um
processo para revisar
periodicamente a estrutura
organizacional e ajustar os
requisitos de pessoal
PO4.6 Definição de
Papéis e
Responsabilidades
Falta definir papéis e
responsabilidades e
comunicar para todo o
pessoal
PO4.8
Responsabilidades por
Riscos, Segurança,
Conformidade
Falta definir um
responsável pela
Segurança da informação
PO 4.9 Proprietários
de Dados e sistemas
Falta definir um
responsável para tomar
74
decisões sobre a
classificação da
informação
PO 4.10 Supervisão Falta controle para
assegurar que os papéis e
responsabilidades sejam
exercidos adequadamente.
PO4.11 Segregação de
Funções
separar papéis e
responsabilidades que
reduza a possibilidade de
um único indivíduo
subverter um processo
crítico. A gerência
também deve se certificar
de que o pessoal esteja
executando apenas tarefas
autorizadas relevantes aos
seus respectivos cargos e
posições.
PO4.12 Recrutamento
de pessoal de TI
Avaliar os requisitos de
contratação e garantir que
a área de TI tenha
quantidade suficiente de
pessoal para suportar de
forma adequada os
objetivos e metas de
negócios.
PO4.13 Pessoal Chave
de TI
Falta definir pessoal-
chave e minimizar o
excesso de confiança em
um único individuo
PO4.14 Políticas e
Procedimentos para
Pessoal Contratado
Definir e implementar
políticas e procedimentos
para controlar as
atividades de consultores
e outros contratados da
área de TI visando
assegurar a proteção dos
ativos de informação da
organização e o
cumprimento das
exigências contratuais
firmadas
PO4.15
Relacionamentos
Estabelecer e manter uma
estrutura otimizada de
coordenação,
75
comunicação e conexão
entre a função de TI e
diversos outros interesses
dentro ou fora da área de
TI;
PO
5
Ger
enci
ar o
s in
ves
tim
ento
s d
e
TI
PO5.1 Estrutura da
Administração
Financeira
Falta estabelecer uma
estrutura financeira
1 Inicial: A
organização
reconhece a
necessidade de
gerenciar o
investimento em
TI, mas é
comunicada
inconsistentement
e. As decisões são
focadas
operacionalmente.
PO5.2 Priorização
dentro do Orçamento
de TI
Falta um processo para
alocar os recursos de TI
de maneira adequada
PO5.3 Processo de
Orçamento de TI
Definir prioridades no
orçamento
PO5.4 Gerenciamento
de Custo
Comparar custo com
benefícios reais
PO
6
Co
mu
nic
ar a
s D
iret
rize
s e
Ex
pec
tati
vas
da
Dir
eto
ria
PO6.1 Política de TI e
Ambiente de Controle
Falta política de
segurança
0
Inex
iste
nte
: D
ireç
ão
não
es
tab
elec
eu
um
amb
ien
te
de
con
tro
le
da
info
rmaç
ão.
Não
h
á
reco
nh
ecim
ento
da
nec
essi
dad
e d
e es
tab
elec
er u
m
con
jun
to
de
po
líti
cas,
p
adrõ
es,
pro
ced
imen
tos
e
pro
cess
os
de
confo
rmid
ade.
PO6.2 Risco de TI
Corporativo e
Estrutura Interna de
Controle
Falta controle de Riscos
PO6.3 Gerenciamento
de Políticas de TI
Falta gerenciamento de
políticas de TI
PO6.4 Distribuição da
Política
Falta assegurar que as
políticas de TI sejam
impostas e distribuídas
para todo o pessoal
PO6.5 Comunicação
dos objetivos e
Diretrizes de TI
Falta comunicação para
conscientização e
entendimento dos
objetivos
PO
7
Ger
enci
ar o
s R
ecu
rso
s
Hu
man
os
de
TI
PO 7.1 Recrutamento
e Retenção de Pessoal
Falta padrão na
contratação do pessoal de
TI
1
Inic
ial:
a
adm
inis
traç
ão
reco
nh
ece
a
nec
essi
dad
e d
e
ger
enci
amen
to
do
s
recu
rso
s h
um
ano
s d
e
TI
PO 7.2 Competências
Pessoais
Falta avaliação de
competência pessoal
PO7.3 Preenchimento
de Vagas
Falta definir, monitorar e
supervisionar funções
PO 7.4 Treinamento
de Pessoal
Falta treinamento eficaz
76
PO 7.5 Dependência
de Indivíduos
Falta definir funções
PO 7.6 Procedimentos
de Liberação de
Pessoal
Falta incluir análise de
antecedentes no processo
de recrutamento de TI.
PO 7.7 Avaliação de
Desempenho
Profissional
Falta avaliar o
desempenho
periodicamente
PO 7.8 Mudança e
Desligamento de
Cargo
Falta política de
desligamento
PO
9
Av
alia
r e
Ger
enci
ar o
s R
isco
s d
e T
I
PO 9.1 Alinhamento
da gestão de riscos de
TI e de negócios
Falta estabelecer uma
estrutura de gestão de
riscos de TI alinhada com
a da organização
0 Inexistente:
Gerenciar riscos
não é considerado
relevante para
adquirir soluções
ou entregar
serviços de TI
PO 9.2
Estabelecimento do
Contexto de risco
Falta estabelecer o
contexto ao qual a
estrutura de avaliação de
riscos é aplicada
PO 9.3 Identificação
de Eventos
Falta manter histórico dos
riscos relevantes
PO 9.4 Avaliação de
Risco
Falta avaliar regularmente
a probabilidade e o
impacto de todos os riscos
identificados
PO 9.5 Resposta ao
risco
Falta desenvolver e
manter um processo de
respostas aos riscos.
PO 9.6 Manutenção e
monitoramento do
plano de ação de risco
Falta planejar as
atividades de controle
para implementar as
respostas aos riscos
AI1
Id
enti
fica
r
So
luçõ
es
Au
tom
atiz
adas
AI1 Definição e
Manutenção de
Requisitos Técnicos e
funcionais de negócio
Falta identificar os
requisitos técnicos e
funcionais do negócio
cobrindo todo escopo de
todas as iniciativas
1 Inicial: Os
requisitos não são
documentados.
Há uma
consciência da
77
necessárias para obter os
resultados esperados de
investimentos em TI
necessidade de
definir os
requisitos e
identificar as
soluções. AI1.2 Relatório de
Análise de Risco
Falta documentar os
riscos associados ao
negócio
AI3
Ad
qu
irir
e M
ante
r In
frae
stru
tura
de
Tec
no
log
ia
AI3.1 Plano de
Aquisição de
Infraestrutura
tecnológica
Falta um plano para
aquisição,
implementação e
manutenção da
infraestrutura tecnológica
que satisfaça aos
requisitos técnicos e
funcionais estabelecidos
do negócio e esteja de
acordo com a direção
tecnológica da
organização.
1 Inicial: Existe
consciência de
que a
infraestrutura de
TI é importante,
não há nenhuma
abordagem
consistente.
AI3.2 Infraestrutura de
recursos, proteção e
disponibilidade
Falta Implementar
controles internos,
medidas de segurança e
auditabilidade durante a
configuração, integração
e manutenção de
hardware e software da
infraestrutura para
proteger os recursos e
assegurar disponibilidade
e integridade.
AI 3.3 Manutenção da
infraestrutura
Falta um plano de
manutenção da
infraestrutura
AI4
Hab
ilit
ar O
per
ação
e U
so AI 4.1 Planejamento
para soluções
operacionais
Falta desenvolver um
plano para identificar e
documentar todos os
aspectos técnicos, a
capacidade operacional e
os níveis de serviços
necessários para que
todos que irão operar,
utilizar e manter as
soluções automatizadas
1 Inicial: Há
consciência de
que a
documentação de
processos é
necessária. A
documentação é
ocasionalmente
produzida e é
inconsistentement
AI 4.2 Transferência de
Conhecimento ao
gerenciamento do
negócio
AI4.3 Transferência de
conhecimentos dos
usuários finais
78
AI 4.4 Transferência de
conhecimento às
equipes de operações e
suporte
possam exercer suas
responsabilidades. e distribuída a
grupos limitados. A
I5
Ad
qu
irir
rec
urs
os
de
TI
AI5.1 Controle de
Aquisições
Falta acompanhamento
para assegurar que a
aquisição de
infraestrutura, hardware,
software satisfaça os
requisitos de negócios.
0 Inexistente: Não
há nenhum
processo definido
de aquisição de
recursos de TI.
AI 5.3 Seleção de
Fornecedores
Falta uma seletiva de
fornecedores com opções
viáveis.
AI 5.4 Aquisição de
Recursos de TI
Falta uma documentação
para aquisição de
recursos de TI.
AI6
Ger
enci
ar M
ud
ança
s
AI 6.1 Padrões e
Procedimentos de
Mudança
Falta acompanhamento e
documentação.
0 Inexistente: Não
há um processo
de gerenciamento
de mudanças
formalmente
estabelecido, e as
mudanças podem
ser feitas
praticamente sem
nenhum controle.
AI 6.2 Avaliação de
Impacto, priorização e
autorização.
AI 6.3 Mudanças de
Emergência
AI 6.4
Acompanhamento de
Status e Relatórios de
Mudanças
AI 6.5 Finalização da
Mudança e
Documentação
AI7
Inst
alar
e H
om
olo
gar
So
luçõ
es e
Mu
dan
ças AI 7.1 Treinamento Falta treinamento
consistente.
1 Inicial: Existe a
consciência da
necessidade. As
abordagens de
testes variam.
AI 7.2 Plano de teste Falta definir papéis e
responsabilidade na TI
AI 7.5 Conversão de
dados e sistemas
Falta planejamento na
migração de dados e
procedimentos de retorno
à situação anterior e de
recuperação de falhas.
79
DS
1
Def
inir
e G
eren
ciar
Nív
eis
de
Ser
viç
os
DS1.1 Estrutura de
gestão de níveis de
serviços
Falta definir um modelo
de acordo de níveis de
serviços(SLAs) entre
empresa e provedor.
0 I
nex
iste
nte
: A
dir
eção
não
rec
on
hec
e a
nec
essi
dad
e d
e u
m p
roce
sso
par
a d
efin
ir
os
nív
eis
de
serv
iço
. N
ão s
ão a
trib
uíd
as
resp
on
sab
ilid
ades
par
a m
on
itorá
-lo
s.
DS 1.2 definição de
serviços
Falta portfólio de
serviços executados
pela TI
DS 1.4 Acordos de nível
operacional
Falta definir como
serão feitos os serviços.
DS 1.5 monitoramento e
relatório de realizações
de nível de serviço
Falta um controle de
desempenho e
andamento de serviço
DS
2
Ger
enci
ar S
erv
iço
s d
e T
erce
iro
s
DS 2.1 Identificação do
relacionamento com
todos os fornecedores
Falta Identificar todos
os serviços
terceirizados e
categorizá-los de
acordo com o tipo, a
importância e a
criticidade. Manter
documentação formal
dos relacionamentos
técnicos e
organizacionais
contemplando papéis e
responsabilidades,
metas, produtos
esperados e as
credenciais dos
representantes desses
fornecedores
2 R
epet
ível
, p
oré
m i
ntu
itiv
o:
O
pro
cess
o p
ara
sup
erv
isio
nar
os
forn
eced
ore
s d
e se
rviç
os
terc
eiri
zad
os,
ris
cos
asso
ciad
os
e en
treg
a d
os
serv
iço
s é
info
rmal
. É
uti
liza
do
um
co
ntr
ato
pro
form
a a
ssin
ado,
con
tend
o t
erm
os
e co
nd
içõ
es p
adro
niz
ado
s p
elo
s d
istr
ibu
ido
res/
ven
ded
ore
s
(po
r ex
emp
lo,
a d
escr
ição
do
s se
rviç
os
a se
rem
pre
stad
os)
. R
elat
óri
os
do
s se
rviç
os
pre
stad
os
são
dis
po
nib
iliz
ado
s, m
as n
ão s
atis
faze
m a
os
ob
jeti
vo
s d
o n
egó
cio
.
DS 2.3 Gerenciamento
dos riscos do fornecedor
Garantir que os
contratos estejam em
conformidade com os
padrões universais de
negócios de acordo com
as exigências legais e
regulamentares.
DS 2.4 Monitoramento
de desempenho do
fornecedor
Estabelecer um processo
para monitorar a prestação
do serviço de modo a
assegurar que o
fornecedor atenda aos
requisitos atuais do
80
negócio. D
S3
Ger
enci
ar c
apac
idad
e d
e d
esem
pen
ho
DS 3.1 desempenho e
planejamento de
capacidade
Falta Estabelecer um
processo de
planejamento para a
realização de análise
crítica do desempenho e
da capacidade dos
recursos de TI,
1
Inic
ial:
A
m
edid
a to
mad
a n
o
sen
tid
o
do
g
eren
ciam
ento
d
e d
esem
pen
ho
e
de
cap
acid
ade
é ti
pic
amen
te
reat
iva.
O
p
roce
sso
d
e p
lan
ejam
ento
d
e ca
pac
idad
e e
des
emp
enh
o é
in
form
al
DS 3.2 capacidade e
desempenho atuais
Realizar a análise
crítica do desempenho e
a capacidade atual dos
recursos de TI
DS 3.3 capacidade e
desempenho futuros
Identificar as
tendências de carga de
trabalho e realizar
previsões para orientar
o plano de capacidade e
desempenho.
DS 3.4 Disponibilidade
de recursos de TI
A Direção deve
assegurar que os planos
de contingência
viabilizem
apropriadamente a
disponibilidade, a
capacidade e o
desempenho de cada
recurso de TI.
DS 3.5 monitoramento e
relatório
Monitorar
constantemente o
desempenho e a
capacidade dos recursos
de TI
81
DS
4
Ass
egu
rar
a co
nti
nu
idad
e d
e se
rviç
os
DS 4.1 estrutura de
continuidade
O modelo deve orientar
a estrutura
organizacional quanto
ao gerenciamento da
continuidade,
contemplando papéis,
tarefas e
responsabilidades dos
provedores de serviço
internos e externos,
seus gerenciamentos,
clientes e as regras e
estruturas para
documentar, testar e
executar planos de
recuperação de
desastres e
continuidade de TI.
1 I
nic
ial:
as
resp
on
sab
ilid
ades
pel
a co
nti
nu
idad
e d
os
serv
iço
s sã
o i
nfo
rmai
s e
a au
tori
dad
e ra
ex
erce
r es
sas
resp
on
sab
ilid
ade
s é
lim
itad
a.
DS 4.2 Planos de
continuidade de TI
Desenvolver planos de
continuidade de TI com
base na estrutura e
projetados para reduzir o
impacto de uma grande
interrupção de funções e
processos de negócio
fundamentais.
DS 4.3 recursos críticos
de TI
Dar atenção especial
aos itens mais críticos
no plano de
continuidade de TI para
assegurar a capacidade
de restabelecimento e
definir prioridades em
situações de
recuperação
DS 4.4 Manutenção do
plano de continuidade de
TI
É essencial que as
mudanças nos
procedimentos e
responsabilidades sejam
comunicadas
claramente e de forma
oportuna.
DS 4.5 Teste do plano de
continuidade de TI
Testar o plano de
continuidade de TI
regularmente para
assegurar que os
sistemas de TI possam
82
ser efetivamente
recuperados
DS 4.6 treinamento do
plano de continuidade de
TI
Assegurar que todas as
partes envolvidas
recebam treinamento
regular sobre os
procedimentos, papéis e
respectivas
responsabilidades no
caso de um incidente ou
desastre.
DS 4.7 Distribuição do
plano de continuidade
Falta gerenciar para que
os planos estejam
apropriadamente
disponíveis às partes
interessadas e
autorizados quando e
onde necessário.
DS 4.8 Recuperação e
retomada dos serviços de
TI
Planejar as ações a
serem executadas nos
momentos de
recuperação e
retomadas dos serviços
de TI. Isto pode incluir
ativação de backup
sites,
DS 4.9 Armazenamento
de cópias de segurança
em locais remotos
Armazenar remotamente
todas as mídias de cópias
de segurança críticas,
documentação e outros
recursos de TI necessários
para a recuperação da TI e
os planos de continuidade
de negócio.
DS
5
Ass
egu
rar
a se
gu
ran
ça d
os
serv
iço
s
DS 5.1 gestão da
segurança de TI
Falta documentação
1
Inic
ial:
A
o
rgan
izaç
ão
reco
nh
ece
a n
eces
sid
ade
de
seg
ura
nça
de
TI.
A c
on
sciê
nci
a
da
nec
essi
dad
e d
e se
gu
ran
ça
dep
end
e p
rin
cip
alm
ente
d
as
pes
soas
. A
se
gu
ran
ça
de
TI
é
trat
ada
de
form
a re
ativ
a e
não
é
men
sura
da.
A
s fa
lhas
d
e
seg
ura
nça
d
e T
I d
etec
tad
as
ger
am a
cusa
ções
in
tern
as,
po
is a
atri
bu
ição
de
resp
on
sab
ilid
ades
é
ob
scu
ra.
As
resp
ost
as às
fa
lhas
de
seg
ura
nça
d
e T
I sã
o
imp
rev
isív
eis.
DS 5.2 plano de
segurança de TI
DS 5.3 Gestão de
identidade
DS 5.4 gestão de contas
de usuário
DS 5.5 teste de
segurança, vigilância e
monitoramento
83
DS 5.6 Definição de
Incidente de segurança
DS 5.7 Proteção da
tecnologia de segurança
DS 5.8 gestão de chave
criptográfica
DS 5.9 prevenção,
detecção e correção de
software malicioso
DS 5.10 Segurança de
rede
DS 5.11 comunicação de
dados confidenciais
DS
6
Iden
tifi
car
e a
loca
r cu
sto
s
DS 6.1 definição de
serviços
Identificar todos os
custos de TI e associá-
los aos serviços de TI,
sustentando um modelo
transparente de custeio.
1 I
nic
ial:
Os
cust
os
de T
I sã
o
alo
cad
os
com
o
cust
o
op
erac
ion
al g
eral
.
DS 6.2 Contabilidade de
TI
Coletar e alocar os
custos vigentes de
acordo com o modelo
de custo definido.
DS
7
Ed
uca
r e
trei
nar
os
usu
ário
s
DS 7.1 identificação das
necessidades de ensino e
treinamento
Estabelecer e atualizar
regularmente um
currículo para cada
grupo-alvo de
empregados,
2 R
epet
ível
, p
oré
m I
ntu
itiv
o:
Há
con
sciê
nci
a n
a
org
aniz
ação
da
nec
essi
dad
e d
e u
m p
rog
ram
a d
e en
sin
o e
trei
nam
ento
e d
e p
roce
sso
s as
soci
ado
s.
DS 7.2 Entrega de
treinamento e ensino
Registrar inscrições
(incluindo pré-
requisitos), frequência
de participação e
avaliações de
desempenho.
DS 7.3 Avaliação do
treinamento recebido
Avaliar o conteúdo do
ensino e do treinamento
recebidos no que diz
respeito a relevância,
qualidade, efetividade,
absorção e retenção do
conhecimento, custo e
valor.
84
DS
8
Ger
enci
ar a
cen
tral
de
serv
iço
e o
s in
cid
ente
s
DS 8 Central de serviço Falta Estabelecer uma
central de serviço, que é
a interface entre o
usuário e a TI, para
registrar, comunicar,
despachar e analisar
todos os chamados,
incidentes reportados,
solicitações de serviços
e demanda de
informações
0 I
nex
iste
nte
: H
á u
ma
com
ple
ta f
alta
de
pro
cess
o d
e g
eren
ciam
ento
de
inci
den
te.
A o
rgan
izaç
ão n
ão r
eco
nh
ece
qu
e h
á um
a
qu
estã
o a
ser
tra
tad
a.
DS 8.2 Registro dos
chamados dos clientes
Falta um sistema que
permitam o registro e o
rastreamento de
ligações, incidentes,
solicitações de serviços
e necessidade de
informações
DS 8.3 Escalonamento
de incidentes
Estabelecer os
procedimentos da
central de serviço para
que os incidentes que
não podem ser
resolvidos
imediatamente sejam
adequadamente
encaminhados, e
soluções temporárias
sejam implementadas,
se aplicável.
DS 8.4 Encerramento de
incidentes
Estabelecer
procedimentos para o
monitoramento
periódico do
encerramento de
chamados de clientes.
Também registrar e
relatar incidentes não
solucionados (erros já
conhecidos e
alternativas existentes)
para prover
informações visando o
adequado
gerenciamento de
problemas.
85
DS 8.5 Relatórios e
análises de tendências
Gerar relatórios de
atividades da central de
serviço,
DS
9
Ger
enci
ar a
con
fig
ura
ção
DS 9.1 repositório de
configuração e perfis
básicos
Estabelecer uma
ferramenta de suporte e
um repositório central
para conter todas as
informações relevantes
sobre os itens de
configuração.
0 I
nex
iste
nte
: A
Dir
eto
ria
não
tem
um
a v
isão
do
s b
enef
ício
s
de
con
tar
com
um
pro
cess
o i
mp
lem
enta
do
cap
az d
e re
port
ar
e g
eren
ciar
a
infr
aest
rutu
ra
de
TI,
n
o
qu
e se
re
fere
a
con
fig
ura
ções
de
ha
rdw
are
e d
e so
ftw
are
.
DS 9.2 identificação e
manutenção dos itens de
configuração
Implantar
procedimentos de
configuração para
suportar a Direção e
registrar todas as
alterações no
repositório de
configurações.
DS 9.3 revisão da
integridade de
configuração
Periodicamente revisar
os dados de
configuração para
verificar e confirmar a
integridade da
configuração atual e
histórica.
DS
10
Ger
enci
ar o
s p
rob
lem
as
DS 10.1 Identificar e
classificar os problemas
Implementar processos
para reportar e
classificar os problemas
identificados como
parte do gerenciamento
de incidentes
0
Inex
iste
nte
: N
ão
há
consc
ien
tiza
ção
d
a
nec
essi
dad
e d
e g
eren
ciam
ento
d
e p
rob
lem
as
tam
po
uco
há
dif
eren
ciaç
ão e
ntr
e p
rob
lem
as e
inci
den
tes.
P
ort
anto
, n
ão
há
ten
tati
va
de
iden
tifi
car
a o
rig
em d
os
inci
den
tes.
DS 10.2 Rastreamento e
resolução de problemas
O sistema de
gerenciamento de
problemas deve
fornecer recursos de
trilha de auditoria
adequados que
permitam o
rastreamento, a análise
e a identificação da
causa-raiz de todos os
problemas reportados,
DS
11
Ger
enci
a
r o
s
dad
os
DS 11.1 Requisitos de
negócio para o
gerenciamento de dados
Estabelecer arranjos
para assegurar que
todos os dados
esperados sejam 1 I
nic
ial:
resp
on
sa
bil
idad
e
fin
al
pel
o
ger
enci
a
men
to
do
s
dad
os
não
é
clar
a.
Ex
iste
m
pro
ced
i
men
tos
de
cóp
ia
de
seg
ura
nç
a (ba
ckup
)
, rest
aura
ç
ão
e
des
cart
e
de
dad
os.
86
recebidos, processados
de maneira completa,
precisa e no tempo
apropriado e que toda
saída seja entregue de
acordo com os
requisitos de negócio.
DS 11.2 Arranjos de
armazenamento e
retenção
Definir e implementar
procedimentos para um
efetivo e eficiente
armazenamento de
dados, retenção e
arquivamento para
atender aos objetivos de
negócio, à política de
segurança da
organização e às
exigências regulatórias.
DS 11.3 Sistemas de
gerenciamento de
biblioteca de mídia
Definir e implementar
procedimentos para
manter um inventário
de mídia local,
assegurando sua
usabilidade e
integridade.
DS 11.5 Backup e
restauração
Falta documentação
mais detalhada.
DS 11.6 Requisitos de
segurança para o
gerenciamento de dados
Definir e estabelecer
políticas e
procedimentos para
identificar e aplicar
requisitos de segurança
aplicáveis ao
recebimento,
processamento,
armazenamento físico e
saída de dados para
atender aos objetivos de
negócio, à política de
segurança da
organização e a
exigências regulatórias
87
DS
12
Ger
enci
ar o
am
bie
nte
fís
ico
DS 12.1 seleção do local
e layout
Definir e selecionar o
local para os
equipamentos de TI.
2 R
epet
ível
: A
seg
ura
nça
fís
ica
é u
m p
roce
sso
in
form
al c
on
du
zid
o
po
r u
m p
equ
eno
gru
po
de
funci
on
ário
s co
m a
lto
nív
el d
e pre
ocu
paç
ão
com
a
pro
teçã
o
das
in
stal
açõ
es
físi
cas.
O
s p
roce
dim
ento
s d
e
man
ute
nçã
o
das
in
stal
açõ
es
não
es
tão
b
em
do
cum
enta
do
s e
se
bas
eiam
em
bo
as p
ráti
cas
de
po
uco
s in
div
ídu
os.
DS 12.2 Medidas de
segurança física
Definir e implementar
medidas de segurança
física alinhadas com os
requisitos de negócio
para proteger o local e
os ativos físicos
DS 12.3 Acesso físico Os acessos a
instalações, prédios e
áreas devem ser
justificados,
autorizados, registrados
e monitorados.
DS 12.4 Proteção contra
fatores ambientais
Projetar e implementar
medidas de proteção
contra fatores
ambientais
DS 12.5 gerenciamento
de instalações físicas
Gerenciar as instalações
físicas, incluindo
equipamentos de
energia e comunicação,
DS
13
Ger
enci
ar a
s o
per
açõ
es
DS 13.1 procedimentos e
instruções de operações
Definir, implementar e
manter procedimentos
padronizados para as
operações de TI e
assegurar que a equipe
de operações esteja
familiarizada com todas
as atividades
operacionais relevantes
1 I
nic
ial:
A o
rgan
izaç
ão r
eco
nh
ece
a n
eces
sid
ade
de
estr
utu
raçã
o
das
fu
nçõ
es
de
sup
ort
e d
e T
I.
Pou
cos
pro
ced
imen
tos
pad
rões
es
tão
es
tab
elec
ido
s,
e as
ativ
idad
es d
e o
per
ação
sã
o re
ativ
as p
or
nat
ure
za.
A
mai
ori
a d
os
pro
cess
os
op
erac
ion
ais
é p
rogra
mad
a
info
rmal
men
te,
e so
lici
taçõ
es
do
pro
cess
amen
to
são
acei
tas
sem
pré
via
val
idaç
ão. DS 13.3 monitoramento
da infraestrutura de TI
Definir e implementar
procedimentos para
monitorar a
infraestrutura de TI e
eventos relacionados.
DS 13.4 documentos
confidenciais e
dispositivos de saída
Estabelecer proteção
física apropriada,
práticas de controle e
gerenciamento de
inventário sobre ativos
críticos de TI
88
DS 13.5 Manutenção
preventiva de hardware
Definir e implementar
procedimentos para
assegurar a manutenção
da infraestrutura em
tempo hábil para
reduzir a frequência e o
impacto de falhas ou
degradação de
desempenho.
ME
1
Mo
nit
ora
r e
Av
alia
r o
Des
emp
enh
o
ME 1.4 avaliação de
desempenho
Analisar periodicamente o
desempenho com base nas
metas, executar análise de
causa-raiz dos problemas e
iniciar ação corretiva para
tratar as causas ocultas.
1
Inic
ial:
N
orm
alm
ente
o
mo
nit
ora
men
to
é im
ple
men
tad
o
com
o r
esp
ost
a a
um
in
cid
ente
qu
e
ten
ha
cau
sad
o a
lgu
m t
ipo d
e p
erd
a
ou
em
bar
aço
à o
rgan
izaç
ão.
ME 1.6 ações corretivas Identificar e iniciar ações
corretivas com base no
monitoramento, na
avaliação e nos relatórios
de desempenho.
ME
2
Mo
nit
ora
r e
Av
alia
r o
s C
on
trole
s In
tern
os ME 2.1 monitoramento
da estrutura de controles
internos
Falta monitoramento
A
Dir
eção
d
e T
I n
ão
atri
bu
iu
form
alm
ente
a
resp
on
sab
ilid
ade
pel
a
efic
ácia
do
mo
nit
ora
men
to d
os
con
tro
les
inte
rno
s.
ME 2.2 Revisão
Gerencial
Falta avaliação dos
controles internos de TI
ME 2.5 garantia dos
controles internos
Garantir a abrangência dos
controles internos
ME 2.7 ações corretivas Identificar, iniciar,
monitorar e implementar
ações corretivas com base
nas avaliações e nos
relatórios de controle
ME
4
Pro
ver
a
Go
ver
nan
ç
a d
e T
I
ME 4.1 estabelecimento
de uma estrutura de
governança de TI
Definir, estabelecer e
alinhar a estrutura de
governança de TI com a
governança organizacional
e o ambiente de controle. 1 I
nic
ial:
Há
reco
nh
eci
men
to d
e
qu
e
exis
tem
qu
estõ
es
sob
re a
go
ver
nan
ça
de
TI
qu
e
pre
cisa
m
ser
trat
adas
.
89
Quadro 2: Controles selecionados do COBIT
ME 4.2 alinhamento
estratégico
Trabalhar com o conselho
diretor para definir e
implementar as estruturas
de governança, como um
comitê de estratégia de TI,
para dar direção estratégica
ao gerenciamento relativo a
TI,
ME 4.4 gerenciamento
de recursos
Supervisionar o
investimento, o uso e a
alocação dos recursos de TI
por meio de avaliações
periódicas
ME 4.5 gestão de riscos Falta uma gestão de Riscos
ME 4.6 medição de
desempenho
Confirmar se os objetivos
acordados de TI foram
atingidos ou excedidos ou
se o progresso na direção
dos objetivos de TI atende
as expectativas
90
APÊNDICE D – SUGESTÕES DECONTROLES DA NORMA 27001
A tabela abaixo relaciona os controles da Norma ABNT NBR 27001 que
cabem ao contexto da empresa:
Falta na empresa Controles Relacionado na Norma 27001
Política de Segurança
A.5.1.1 Documento da política de Segurança da
Informação
A.5.1.2 Análise Crítica da política de segurança
da informação
Apoio da Alta
Administração
A.6.1.1 Comprometimento da direção com a
segurança da informação
A.6.1.2 Coordenação da segurança da
informação
Faltam responsáveis A.6.1.3 Atribuição de responsabilidades para a
segurança da informação
Atualização de
Confidencialidade A.6.1.5 Acordos de Confidencialidade
Identificar requisitos antes
de conceder acesso aos
ativos ou às informações
A.6.2.2 Identificando a segurança da
informação quando tratando com os clientes
Responsáveis pelos ativos
A.7.1.1 Inventário dos ativos
A.7.1.2 Proprietário dos ativos
A.7.1.3 Uso Aceitável dos ativos
Classificação das
informações A.7.2.1 Rótulos e tratamento da informação
RH antes da contratação A.8.1.1 Papéis e responsabilidades
RH Durante a contratação
A.8.2.1 Responsabilidades da direção
A.8.2.2 Conscientização, educação e
treinamento em segurança da informação.
Desligamento de
funcionários
A.8.3.2 Devolução dos ativos
A.8.3.3 Retirada de direitos de acesso
Segurança física e do
ambiente
A.9.1.2 Controles de entrada física
A.9.1.3 Segurança em escritórios salas e
instalações
A.9.1.4 Proteção contra ameaças externas e do
meio ambiente
91
Segurança de
equipamentos
A.9.2.1 Instalação e proteção do equipamento
A.9.2.2 Utilidades (equipamentos protegidos
contra a falta de energia e outras interrupções)
A.9.2.3 Segurança do cabeamento
A.9.2.4 Manutenção dos equipamentos
A.9.2.5 Segurança de equipamentos fora das
dependências das organizações
A.9.2.6 Reutilização e alienação segura de
equipamentos
A.9.2.7 Remoção de propriedade (não devem
ser retirados do local sem autorização prévia)
Gerenciamento das
operações
A.10.1.1 Documentação dos procedimentos de
operação
A.10.1.2 Gestão de Mudanças
Planejamento e aceitação
dos sistemas A.10.3.1 Gestão da capacidade (monitoramento
da utilização dos recursos, fazer projeções).
Proteção contra códigos
maliciosos A.10.4.1 Controle contra códigos maliciosos
Cópias de segurança A.10.5.1 Cópias de segurança das informações
Gerenciamento da
segurança em redes
A.10.6.1 Controle de redes
A.10.6.2 Segurança dos serviços de rede
Manuseio de mídias
A.10.7.1 Gerenciamento de mídias removíveis
A.10.7.2 Descarte de Mídias (procedimentos
formais para descarte)
A.10.7.3 Procedimentos para tratamento de
informação (proteção contra a divulgação não
autorizada ou uso indevido)
A.10.7.4 Segurança da documentação dos
sistemas (proteção contra acessos não
autorizados)
Troca de informações
A.10.8.1 Políticas e procedimentos para troca de
informações
A.10.8.3 Mídias em trânsito (Mídias contendo
informações devem ser protegidas contra acesso
não autorizado, uso impróprio ou alteração
indevida durante o transporte externo aos
limites físicos da organização)
A.10.8.4 Mensagens eletrônicas
92
Monitoramento
A.10.10.1 Registros de auditoria (Registros
(log) de auditoria contendo atividades dos
usuários, exceções e outros eventos de
segurança da informação).
A.10.10.2 Monitoramento do uso do sistema
A.10.10.3 Proteção das informações dos
registros (logs) – (protegidos contra falsificação
e acesso não autorizado)
A.10.10.4 Registros (log) de administrador e
operador (As atividades dos administradores e
operadores do sistema devem ser registradas)
A.10.10.5 Registros (logs) de falhas
A.10.10.6 Sincronização dos relógios
Controle de acessos A.11.1.1 Política de controle de acesso
Gerenciamento de acesso
do usuário
A.11.2.1 Registro de usuário
A.11.2.2 Gerenciamento de privilégios
A.11.2.3 Gerenciamento de senha do usuário
A.11.2.4 Análise crítica dos direitos de acesso
de usuário (O gestor deve conduzir a intervalos
regulares a análise crítica dos direitos de acesso
dos usuários, por meio de um processo formal)
Responsabilidades dos
usuários
A.11.3.1 Uso de senhas
A.11.3.2 Equipamento de usuário sem
monitoração
A.11.3.3 Política de mesa limpa e tela limpa
Controle de acesso à rede
A.11.4.1 Política de uso dos serviços de rede
A.11.4.2 Autenticação para conexão externa do
usuário
A.11.4.3 Identificação de equipamento em redes
A.11.4.4 Proteção de portas de configuração e
diagnóstico remotos
A.11.4.6 Controle de conexão de rede (Para
redes compartilhadas, especialmente as que se
estendem pelos limites da organização, a
capacidade de usuários para conectar-se à rede
deve ser restrita, de acordo com a política de
controle de acesso e os requisitos das aplicações
do negócio)
93
Controle de acesso ao
sistema operacional
A.11.5.1 Procedimentos seguros de entrada no
sistema (log-on)
A.11.5.2 Identificação e autenticação de usuário
A.11.5.3 Sistema de gerenciamento de senha
A.11.5.4 Uso de utilitários de sistema
(programas utilitários que podem ser capazes de
sobrepor os controles dos sistemas e aplicações
deve ser restrito e estritamente controlado.)
A.11.5.5 Limite de tempo de sessão
A.11.5.6 Limitação de horário de conexão
Computação móvel e
trabalho remoto A.11.7.2 Trabalho remoto
Segurança dos arquivos do
sistema
A.12.4.1 Controle de software Operacional
(Procedimentos para controlar a instalação de
software em sistemas operacionais devem ser
implementados).
Segurança em processos de
desenvolvimento e de
suporte
A.12.5.4 Vazamento de informações
Gestão de incidentes de
segurança da informação
A.13.1.1 notificação de eventos de segurança da
informação
A.13.1.2 Notificando fragilidades de segurança
da informação
Gestão de incidentes de
segurança da informação e
melhorias
A.13.2.1 Responsabilidades e Procedimentos
A.13.2.2 Aprendendo com os incidentes de
segurança da informação
A.13.2.3 Coleta de evidências
Gestão da continuidade do
negócio
A.14.1.2 Continuidade de negócios e
análise/avaliação de risco (Devem ser
identificados os eventos que podem causar
interrupções aos processos de negócio, junto à
probabilidade e impacto de tais interrupções e as
consequências para a segurança de informação)
Conformidade com
requisitos legais
A.15.1.4 Proteção de dados e privacidade da
informação pessoal
A.15.1.5 Prevenção de mau uso de recursos de
processamento da informação
Conformidade com normas
e políticas de segurança da
informação e conformidade
técnica
A.15.2.1 Conformidade com as políticas e
normas de segurança da informação
Quadro 3: Controles da Norma ABNT NBR 27001
94
APÊNDICE E – MODELO TERMO DE ACEITAÇÃO DO RISCO
Declaro estar ciente de que sou responsável pelo Monitoramento e
Comunicação dos Riscos na EMPRESA. Tenho conhecimento que os riscos
existem e que necessitam ser discutidos.
A EMPRESA compromete-se a se reunir com os gestores e o
responsável pelo setor de TI para que sejam discutidas as formas de se eliminar
os riscos e assim tomar as medidas cabíveis.
OBS: Os riscos se encontram detalhados no CD de Gestão de Riscos entregue ao
Encarregado de TI.
______________________________
Responsável pelo setor de TI
______________________________
Diretor Geral
Data (XX/XX/XXXX).
95
ANEXO A – FOTOS DE PONTOS CRÍTICOS DA EMPRESA
Este anexo contém fotos tiradas na empresa, em pontos diferentes, dos
pontos vulneráveis na empresa, que justificam a importância deste projeto.
Foto 1: Desfazimento da empresa
96
Foto 2: Rack das câmeras na sala do Gerente Geral
Foto 3: Rack das câmeras na sala do Gerente Geral_foto_2
97
Foto 4: Cabos espalhados na Sala de Qualidade
Foto 5: Switch na mesa de funcionários na Sala de Qualidade
98
Foto 6: Rack do Setor de PCP, cabos soltos e expostos.
Foto 7: Rack no setor de Produção, destrancado e aberto.
104
ANEXO B – TERMO DE CONFIDENCIALIDADE
ADITAMENTO AO CONTRATO DE TRABALHO E TERMO DE
CONFIDENCIALIDADE
Pelo presente instrumento particular de aditamento ao meu Contrato de
Trabalho, eu:
(Nome do Funcionário)
Declaro estar ciente de que sou responsável por preservar, perante terceiros,
quaisquer fatos ou informação confidenciais que venha a ter conhecimento em
razão do meu trabalho ou por outras fontes que digam à EMPRESA.
Considerando que Confidencialidade além de ser um meio capaz de impedir que
terceiros se apoderem de forma ilegítima de informações geradas nesta
organização.
Deverá ser considerado como informação confidencial toda e qualquer
informação escrita ou oral revelada, contendo ela ou não a expressão
CONFIDENCIAL, espera contar com a receptividade e apoio dos colaboradores
e demais interessados para efetivar a implantação do termo de confidencialidade
e impedir que terceiros façam uso indevido de possíveis informações adquiridas.
Tenho conhecimento de que, dentro de qualquer dos departamentos da
EMPRESA, bem como em outras áreas externas que lhe servem de
complemento operacional, assim como na sede de terceiros. É terminantemente
proibido filmar ou fotografar, a não ser em caso especialmente autorizado e
controlado.
Concorda e se compromete:
Manter sigilo, escrito e verbal, de todos os dados de complemento operacional,
assim como na sede de terceiros e de desenvolvimento de fornecedores,
informações trabalhistas, tributárias, fiscais, comerciais, documentais, caderno
de protocolo, anotações e arquivos eletrônicos contendo dados e informações
relativos à EMPRESA. Sendo terminantemente proibido filmar e fotografar, a
não ser em caso especialmente autorizado e controlado;
105
Que o não cumprimento desse termo de sigilo acarretará todos os efeitos de
ordem penal, civil e administrativa contra seus transgressores, assumindo as
respectivas responsabilidades.
Por meio de minha assinatura declaro ter lido e compreendido este termo, bem
como me comprometo a cumprir todas as responsabilidades nelas contidas, sob
pena de ter o meu contrato de trabalho rescindido por justa causa, a teor do art.
482 letra “g” da CLT, como também estou ciente de que posso ser acionado
judicialmente a indenizar a EMPRESA por danos ocasionados, na Forma da
Legislação Vigente.
Local, Data.
___________________________________
Chapa: CPF:
Carimbo CNPJ:
__________________________________
REPRESENTANTE DO EMPREGADOR