Embed Size (px)
Citation preview
Universidade Federal de Lavras DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO
Pós Graduação Lato Sensu
MBA-EXECUTIVO EM GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO
Edson de Albuquerque Matos Neto
Análise de Risco da Segurança da
Informação no Ambiente da Empresa
ACE-PE
LAVRAS – MG 2010
EDSON DE ALBUQUERQUE MATOS NETO
Análise de Risco da Segurança da Informação no Ambiente da
Empresa ACE-PE
Monografia apresentada ao Departamento de Ciência da Computação da Universidade Federal de Lavras, como parte das exigências do Curso de Pós-Graduação Latu Sensu “ MBA Executivo em Governança de Tecnologia da Informação”, para a obtenção do título de especialização. Orientador Prof. André Luiz Zambalde LAVRAS
MINAS GERAIS-BRASIL 2010
EDSON DE ALBUQUERQUE MATOS NETO
Análise de Risco da Segurança da Informação no Ambiente da
Empresa ACE-PE
Monografia apresentada ao Departamento de Ciência da Computação da Universidade Federal de Lavras, como parte das exigências do Curso de Pós-Graduação Latu Sensu “ MBA Executivo em Governança de Tecnologia da Informação”, para a obtenção do título de especialização.
APROVADA em ______de _____________de________ Prof.__________________________________________
Prof. __________________________________________
___________________________________________________
Prof. André Luiz Zambalde
LAVRAS
MINAS GERAIS-BRASIL 2010
Aos meus pais, Jurilo ("in memoriam") e Sizenaide
Aos meus filhos, Lucas e Alexandre
À minha mulher, Ana Paula
Ao meu estimado sobrinho Pedro Henrique
AGRADECIMENTOS
O êxito de uma conquista é o resultado de um conjunto de fatores, o qual dificilmente é alcançado sem o apoio, a solidariedade e os conselhos das pessoas que acreditam no nosso
trabalho.
Agradeço a Deus, autor da minha vida.
A minha mãe por estar sempre ao meu lado e por ter me acompanhado nessa caminhada de altos e baixos, proporcionando-me apoio incondicional e oportunidades para eu chegar aonde
cheguei.
Aos professores por terem compartilhado com todos nós seus conhecimentos, e em especial ao Professor André Zambalde por suas preciosas orientações, contribuindo assim para minha
formação profissional.
E, a ACE-PE, que me incentivou financeiramente para a realização deste trabalho.
SUMÁRIO
LISTA DE FIGURAS ................................................................................................................ i LISTA DE QUADROS ............................................................................................................. ii LISTA DE ABREVIATURAS................................................................................................. iii RESUMO/ABSTRACT ........................................................................................................... iv 1 INTRODUÇÃO...................................................................................................................... 1 1.1 Contextualização e motivação............................................................................................. 1 1.2 Objetivos e estrutura do trabalho......................................................................................... 3 1.2.1 Objetivo Geral .................................................................................................................. 3 1.2.2 Objetivos Específicos ....................................................................................................... 3 1.2.3 Estrutura do trabalho ........................................................................................................ 3 2 REVISÃO DE LITERATURA .............................................................................................. 4 2.1 Princípios básicos da Segurança da Informação.................................................................. 4 2.2 O Processo da Segurança da Informação ............................................................................ 7 2.3 O Risco no contexto da Segurança da Informação.............................................................. 9 2.4 Normas Técnicas de Segurança da Informação................................................................. 15 2.4.1 CobIT.............................................................................................................................. 16 2.4.2 ITIL................................................................................................................................. 17 2.4.3 ABNT NBR ISO/IEC 27002 .......................................................................................... 19 2.4.4 ABNT NBR ISO/IEC 27005 .......................................................................................... 20 2.5 Mecanismos de Segurança................................................................................................. 21 2.6 Estado da Arte ................................................................................................................... 24 3 METODOLOGIA................................................................................................................. 27 3.1 Tipo de pesquisa ................................................................................................................ 27 3.2 Procedimentos metodológicos........................................................................................... 27 4 RESULTADOS E DISCUSSÃO ......................................................................................... 28 4.1 Descrição da organização .................................................................................................. 28 4.2 Diagnóstico da Segurança da Informação ......................................................................... 30 4.3 Estratégia e intervenção..................................................................................................... 38 5 CONCLUSÕES.................................................................................................................... 42 6 REFERÊNCIAS BIBLIOGRÁFICAS ................................................................................. 44 7 APÊNDICE .......................................................................................................................... 47 7.1 Apêndice 1 - Painéis da apresentação ............................................................................... 47
i
LISTA DE FIGURAS
FIGURA 1.1 - Potencial de proliferação das ameaças .................................................. 2 FIGURA 2.1 - Relação entre os princípios da Segurança da Informção....................... 6 FIGURA 2.2 - Tríplice da Segurança da Informação.................................................... 8 FIGURA 2.3 - Processo do Gerenciamento da Segurança da Informação.................... 9 FIGURA 2.4 - Relação do risco ao ambiente corporativo ............................................ 10 FIGURA 2.5 - Componentes da declaração de riscos................................................... 11 FIGURA 2.6 - Índices de Segurança da informaçã no Brasil ....................................... 13 FIGURA 2.7 - Fluxo de impacto da vulnerabilidade ao negócio.................................. 14 FIGURA 2.8 - Mudança de abordagem da TI............................................................... 15 FIGURA 2.9 - Ciclo do CobIT nos seus 4 domínios .................................................... 16 FIGURA 2.10 - Ciclo do ITIL nos seus 5 domínios ....................................................... 18 FIGURA 2.11 - Ciclo PDCA........................................................................................... 25 FIGURA 3.1 - Organograma da empresa ACE-PE....................................................... 28
ii
LISTA DE QUADROS
QUADRO 2.1 - Exemplo de classificação de ameaças................................................... 12 QUADRO 2.2 - Etapas PDCA para a solução de problemas .......................................... 24 QUADRO 4.1 - Quadrante risco vs impacto................................................................... 31 QUADRO 4.2 - Matriz de risco....................................................................................... 32
iii
LISTA DE ABREVIATURAS
ABNT - Associação Brasileira de Normas Técnicas
ACE - Empresa de Serviços Avançados de TI no Estado de Pernambuco
BI - Business Intelligence
BPM - Business Process Management
BS - British Standard
CRM - Customer Relationship Management
COBIT - Control Objectives for Information and Related Technology
GRC - Governance, Risk Management and Compliance
ISACA - Information Systems Audit and Control Association
ISMTB - Information Security Management Toolbox
ISO/IEC - International Organization for Standardization/ International
Electrotechnical Commission
ITIL - Information Technology Infrastructure Library
ITSMF - Foundation of IT Service Management
MSF - Microsoft Solution Framework
NBR - Norma Brasileira de Referência
PDCA - Plan, Do, Check and Action
ROI - Return on Investment
SLA - Service Level Agreement
ISMTB - Information Security Management Toolbox
TI - Tecnologia da Informação
iv
ANÁLISE DE RISCO DA SEGURANÇA DA INFORMAÇÃO NO AMBI ENTE DA EMPRESA ACE-PE
Edson de Albuquerque Matos Neto
RESUMO Este trabalho foi desenvolvido com base em um estudo um de caso da empresa ACE-PE que trata de problemas relacionados ao ambiente computacional relacionados à segurança da informação com ênfase na análise de risco. Nele, o leitor encontrará importantes temas que abordam o assunto, tais como: os fundamentos da segurança informação, os conceitos de vulnerabilidade, ameaças, integridade e confidencialidade e suas interdependências, o processo da segurança da informação, normas técnicas e melhores práticas do mercado e um diagnóstico da maturidade da segurança, por meio de uma análise de risco, além de uma série de ações que minimizarão os impactos ao negócio, todas fundamentadas nos principais controles ITIL e COBIT e das normas ISO 27002 e ISO 27005. O principal objetivo do estudo de caso foi o mapeamento das fragilidades computacionais e tecnológicas, que foram realizadas com base no framework 4As. O resultado final apontou 64 falhas, e para cada item foi apresentado uma solução. O desfecho deste trabalho se deu por meio da mobilização total da empresa, onde processos e procedimentos de segurança foram implantados, tornando a ACE-PE mais segura em seus negócios. Palavras-chave: Segurança da Informação, Normas Técnicas e Análise de Riscos. INFORMATION SECURITY RISK ANALYSIS WITHIN THE COMPA NY ACE-PE
Edson de Albuquerque Matos Neto
ABSTRACT This work was developed based on a study of one case of PE-ACE company that deals with problems related to the computing environment related to information security with emphasis on risk analysis. In it, the reader will find important topics about the subject, such as: the fundamentals of information security, the concepts of vulnerability, threat, integrity and confidentiality, and their interdependencies, the process of information security, technical standards and industry best practices and a diagnosis of the maturity of security through risk analysis, plus a series of actions that will minimize impacts to the business, all based in the main controls ITIL and COBIT and ISO 27002 and ISO 27005. The main objective of the case study was the mapping of the computational and technological weaknesses, which were based on the 4As framework. The final result showed 64 failures, and each item was presented a solution. The outcome of this work was achieved through the mobilization of the entire business, which processes and safety procedures were implemented, making ACE-PE safer in their businesses. Key words: Information Security, Technical Standards and Risk Analysis.
1 INTRODUÇÃO
1.1 Contextualização e motivação
Por um período longo a segurança da informação foi amplamente ignorada no
ambiente corporativo, tema que não reflete o cenário atual, ao contrário, encontra-se em fase
evolutiva, sendo um dos principais desafios da administração moderna nos próximos anos. O
interesse por esse assunto tem aumentando fortemente não só nas organizações como também
em ambientes não corporativos, visto o crescimento do uso da Internet e principalmente do
comércio eletrônico. Um número cada vez maior de empresas está publicando portais
eletrônicos de seus negócios, e isso insere um risco ainda maior, o qual propõe algumas
questões importantes para o negócio. Quais riscos correr e que atitudes adotar agora e no
próximo orçamento? Por esse motivo é maior a exposição das organizações, tornando
necessários investimentos em soluções que aumentem a segurança dos negócios. A tecnologia
da informação é capaz de apresentar parte da solução a este problema, não sendo, contudo,
capaz de resolvê-lo integralmente, e se mal aplicada, até mesmo contribuir, para agravá-lo.
A gestão da TI (Tecnologia da Informação) precisa tomar decisões, e isso só será
possível através de uma criteriosa análise do ambiente, a qual subsidiará o gerenciamento da
segurança da informação para determinar suas ações estratégicas, táticas e operacionais de
modo que o provedor de serviços de TI esteja em conformidade aos acordos pré-estabelecidos
e que os aspectos de segurança sejam atendidos em conformidade. Visando suprir essa
necessidade, este trabalho apresenta uma análise de risco que define um conjunto de ações
consistentes que irão auxiliar na condução do conhecimento e na redução dos riscos
relacionados à segurança da informação.
A metodologia adotada é baseada nas melhores práticas de execução do Microsoft
Solution Framework1 - MSF. Essa metodologia consiste em um conjunto de modelos,
princípios e guias em análise de segurança. E uma adaptação do Framework 4A desenvolvido
por George Westerman. Ela auxilia no direcionamento dos objetivos de negócios e
tecnologias da organização, reduzindo os custos de implantação de novas tecnologias. O
principal benefício é expor e controlar riscos críticos e destacar pontos importantes para o
1 Framework é um conjunto de conceitos ou modelos usado para resolver um problema de um domínio específico, (Wikipedia).
2
planejamento do negócio. O arcabouço final da análise de risco consiste em um levantamento
de informações para identificação de riscos e impacto na organização. A análise é realizada
em três esferas: tecnologia, processos e pessoas. No resultado final, descrito nos resultados e
discussão, apresenta a situação de segurança da informação na empresa, o qual ajudará na
tomada de decisão, por onde começar a investir em segurança da informação e como
minimizar os riscos e impactos dentro da organização a um nível aceitável.
O gerenciamento da segurança da informação é composto por um conjunto de
processos e procedimentos, baseado em normas e na legislação, que uma organização utiliza
para prover segurança no uso de seus ativos tecnológicos. Tal sistema deve ser seguido por
todos aqueles que se relacionam direta ou indiretamente com a infra-estrutura de TI da
organização, tais como: funcionários, prestadores de serviço, parceiros e terceirizados. Além
de possuir obrigatoriamente o aval da direção e do departamento jurídico da organização para
conferir sua legitimidade.
A preocupação em adquirir e inovar tecnologias em segurança advém das inúmeras
falhas no ambiente corporativo, onde o aumento das ameaças apresenta velocidade cada vez
maior, a Figura 1.1 demonstra esse crescimento. Considerar às falhas humanas como um
mecanismo presente no ambiente das empresas é uma premissa.
A implantação da segurança da informação envolve primeiramente a análise de
riscos na infra-estrutura de TI. Esta análise permite identificar os pontos vulneráveis e as
falhas nos sistemas que deverão ser corrigidos. Além disso, na gestão da segurança da
informação, são definidos processos para detectar e responder a incidentes de segurança e
procedimentos para auditorias.
Figura 1.1 – Potencial de proliferação das ameaças Fonte: Zapater e Suzuki (2008).
3
A motivação para este trabalho é a inclusão das boas práticas em segurança da
informação junto ao controle da informação que é um fator crítico e determinante para
sucesso dos negócios a qual é fundamental para as corporações do ponto de vista estratégico e
empresarial. A implantação dessas diretrizes irá minimizar consideravelmente os impactos
dos riscos da TI na vida da empresa.
1.2 Objetivos e estrutura do trabalho
1.2.1 Objetivo Geral
O objetivo geral desta pesquisa é um estudo do ambiente tecnológico e a análise das
falhas na segurança da informação na empresa ACE-PE, que medirá o risco da TI na
corporação, com propósito de identificar as condições ideais para reduzir os riscos que a
informação esta exposta.
1.2.2 Objetivos Específicos
a) Diagnosticar as ameaças e vulnerabilidades ao sistema coorporativo;
b) Apresentar o mapa das ameaças e vulnerabilidades através da análise de risco;
c) Classificar as informações de acordo com o risco apresentado;
d) Associar os riscos relatados ao potencial impacto à empresa;
e) Apresentar soluções de melhorias e segurança ao ambiente.
1.2.3 Estrutura do trabalho
Este trabalho está estruturado da seguinte maneira: no Capítulo 1, é apresentada a
contextualização e objetivos para realização deste estudo de caso. O resultado do
levantamento referencial teórico com toda a fundamentação dos conceitos básicos de
segurança da informação é relatado no Capítulo 2, buscando justificar o porquê da
preocupação e o que pode ser feito para melhorar, baseado em normas técnicas que contêm
requisitos para segurança da informação. O capítulo 3 trata dos estudos relevantes para a
metodologia deste trabalho. No Capítulo 4, é tratada toda descrição dos problemas e
resultados do ambiente computacional, realçando a importância da segurança da informação
ao negócio. Finalizando, no Capítulo 5, são apresentadas as considerações finais.
2 REVISÃO DA LITERATURA
Por se tratar de uma disciplina de abrangência global nas empresas, onde a
informação permeia pelos diversos departamentos, setores e repartições, a segurança da
informação tem o papel presente nos processos, pessoas, fluxos de trabalho por meio de
aplicativos integrados e suportados por uma estrutura composta por rede, base de dados,
mensagens, colaboração e servidores de aplicativos para atender aos objetivos de negócios.
Para muitas empresas, a análise dos problemas relacionados à segurança da informação ainda
é feita de modo desestruturado ou fragmentado, através de métodos que muitas vezes falham
por não estar integrada a Governança da TI. A fim de alinhar o campo do conhecimento com
o qual lida a segurança da informação são apresentados a seguir algumas das abordagens
apontadas na literatura.
2.1 Princípios básicos da Segurança da Informação
Segundo Rezende e Abreu (2000), os processos de negócio de uma corporação
dependem plenamente do fornecimento de informações. Na verdade esses processos
compõem-se de um ou mais sistemas de informação. A informação é um patrimônio da
empresa, tido como qualquer outro ativo importante para os negócios, de valor para a
organização e que por sua vez necessita ser protegida de maneira. O gerenciamento da
segurança da informação é um processo fundamental que visa controlar a oferta das
informações e impedir o uso não autorizado.
A informação tem forte influencia tanto na concepção quanto na execução de uma
estratégia. Desta forma apóia os executivos a identificar as ameaças e as oportunidades para a
empresa e cria um ambiente apropriado para respostas mais competitiva e eficaz. A
informação funciona também como um recurso primordial para a definição de estratégias
alternativas, e é essencial para uma organização flexível na qual o processo de mudança esta
sempre em evidência (REZENDE e ABREU 2000).
Segurança é à base da credibilidade das empresas, a liberdade necessária para a
criação de novas oportunidades de negócio. Os negócios estão cada vez mais dependentes das
tecnologias e estas precisam estar de tal forma a proporcionar confidencialidade, integridade e
disponibilidade – que conforme (NBR 17999, 2003; Sêmola, 2003; Albuquerque e Ribeiro,
2002; Fontes, 2000), são os princípios básicos para garantir a segurança das informações:
5
• Confidencialidade – a informação apenas pode ser acessada e utilizada por
pessoas explicitamente autorizadas. É a proteção de sistemas de informação para
impedir que pessoas não autorizadas tenham acesso ao mesmo;
• Disponibilidade – a informação ou sistema de computacional deve estar
disponível no momento em que a mesma for necessária para a empresa ou para
realização do negócio;
• Autenticidade – garante que a informação ou o usuário da mesma é autêntico,
atesta com exatidão, a origem do dado ou informação;
• Não repúdio – garante que ao usar ou enviar uma informação o usuário não possa
negar (no sentido de dizer que não foi feito) uma operação ou serviço que criou,
modificou, envio ou recebeu uma informação;
• Legalidade – garante que a informação está de acordo com as leis aplicáveis,
regulamento, licenças e contratos, é a aderência de um sistema à legislação,
alinhados aos princípios éticos;
• Privacidade – diferente do aspecto de confidencialidade, pois uma informação
pode ser considerada confidencial, mas não privada. Uma informação privada deve
ser vista / lida / alterada somente pelo seu dono. Garante ainda, que a informação
não será disponibilizada para outras pessoas (neste é caso é atribuído o caráter de
confidencialidade a informação);
• Auditoria – consiste no exame do histórico, de forma a rastrear os eventos dentro
de um sistema para determinar quando e onde ocorreu uma violação de segurança,
ou que informação foi submetida, identificando os participantes os locais e
horários de cada etapa;
• Integridade – a informação deve ser correta, ser verdadeira em sua forma original
no momento em que foi armazenada. É a proteção dos dados ou informações
contra modificações intencionais ou acidentais não-autorizadas.
6
Segundo Albuquerque e Ribeiro (2002), e Sêmola (2003), é sugerido que a segurança
somente é alcançada por meio da relação e correta implementação de quatro princípios da
segurança: confidencialidade, integridade, disponibilidade e auditoria. A Figura 2.1 ilustra a
relação desses princípios.
Os itens integridade e confiabilidade são distintos e não podem ser confundidos.
Uma informação pode ser imprecisa, mas deve permanecer integra, ou seja, não deve sofrer
alterações por pessoas não autorizadas. A segurança visa também aumentar a produtividade
dos usuários através de um ambiente mais organizado, proporcionando maior controle sobre
os recursos de informática, viabilizando até o uso de aplicações de missão crítica. A
combinação em proporções apropriadas dos itens confidencialidade, disponibilidade e
integridade facilitam o suporte para que as empresas alcancem os seus objetivos, pois seus
sistemas de informação serão mais confiáveis, (ALBUQUERQUE e RIBEIRO 2002).
De acordo com Sêmola (2003), a confidencialidade é dependente da integridade, pois
se a integridade de um sistema for perdida, os mecanismos que controlam a confidencialidade
não são mais confiáveis.
Ainda na análise de Sêmola (2003), a integridade é dependente da confidencialidade,
pois se alguma informação confidencial for perdida (senha de administrador do sistema, por
exemplo) os mecanismos de integridade podem ser desativados.
Figura 2.1 – Relação entre os princípios da Segurança da Informação Fonte: Sêmola (2003).
7
Sêmola (2003) completa que a auditoria e disponibilidade são dependentes da
integridade e confidencialidade, pois estes mecanismos garantem a auditoria do sistema
(registros históricos) e a disponibilidade do sistema (nenhum serviço ou informação vital é
alterado).
2.2 O Processo da Segurança da Informação
Com base em Baldam et al. (2008), até pouco tempo atrás a maioria absoluta dos
assuntos relacionados à implantação dos processos de TI era de completa de responsabilidade
de uma função específica, do diretor de TI, do superintendente de TI, ou mesmo do próprio
departamento de TI, inclusive a transcrição do negócio para a ferramenta escolhida. Em
pouquíssimas oportunidades o “dono do processo” tinha a participação na escolha. Somente
no início do século XX foi que esse cenário mudou, em função dos altos investimentos com
TI e dos baixos resultados. Desta forma os usuários passaram a entender melhor seus
processos e participarem das tomadas de decisão.
Os modelos de referencia apresentam forma própria de caracterizar seus processos
para determinado propósito. Uma maneira fácil de entender os variados processos de uma
organização é agrupando-os em basicamente três grupos:
• Processos de negócio – incluem os processos como gerenciamento de
conformidades, riscos, BI2, BPM3, desenvolvimento de estratégia, de negócios e
arquitetura empresarial;
• Processos de gerenciamento – envolvem as atividades rotineiras e mais comuns
ao dia a dia do gerenciamento da organização: Gerenciamento Financeiro,
controladoria, gerenciamento da informação, qualidade e ativos, entre outros;
2 Business Intelligence (BI ), pode ser traduzido como Inteligência de Negócios, refere-se ao processo de coleta, organização,
análise, compartilhamento e monitoramento de informações que oferecem suporte a gestão de negócios (Wikipedia, 2009).
3 Business Process Modeling (BPM), ou Modelagem de Processos de Negócio, é o conjunto de conceitos e técnicas que visam a
criação de um modelo com os processos de negócio existentes em uma organização. Esta "modelagem" é utilizada no contexto da gestão de
processos de negócio (Wikipedia, 2009).
8
• Processos operacionais – direcionados para atividades fim da corporação: CRM4,
logística, desenvolvimento de produtos, gestão de material.
Oliveira (2005) defende o que intitula de “tríplice PPT” – Pessoas, Processos e
Tecnologias. Para o autor, a segurança da informação só será alcançada plenamente se esses
três aspectos estiverem envolvidos na estratégia de segurança, a Figura 2.2, ilustra a proposta
do autor.
Para Baldam et al. (2008), o atual interesse por gerenciamento de processos nas
organizações se dá em função da crescente transparência na execução de suas transações. É
notório o valor agregado pelo mercado financeiro as ações de corporativas que se submetem a
iniciativas para gerencia de risco de tal forma que já existe um número substancial de projetos
em BPM. Esta tendência já é acompanhada por vários organismos da iniciativa pública e
privada, onde criam normas, regulamentações e leis para os diversos setores.
De acordo com OGC (2007), a segurança da informação é um processo, e deve ser
gerenciado por meio do ciclo de melhoria continua, podendo-se aplicar o processo na empresa
de forma horizontal, ou seja, um único processo permeia pelos diversos departamentos e dessa
maneira, melhora a segurança dos sistemas de forma abrangente, o processo de segurança da
informação se dá conforme a representação da Figura 2.3.
4 O Customer Relationship Management (CRM), ou Gestão de Relacionamento com o Cliente é uma abordagem que coloca o
cliente no centro do desenho dos processos do negócio (Wikipedia, 2009).
Figura 2.2 – Tríplice da Segurança da Informação Fonte: Oliveira (2005).
9
2.3 O Risco no contexto da Segurança da Informação
Para Fontes (2000), toda tomada de decisão, simples ou complexa, envolve riscos, de
maior ou menor proporção e que se feita sem critério ou de forma inapropriada influenciará
diretamente nos resultados esperados pela empresas. Quando a frente de situações mais
racionais é apropriado planos de médio e longo prazo, pois naturalmente há tempo para
refletir sobre as questões.
Risco é algo que deve ser tratado de forma individual para cada objetivo de negócio,
de modo que não aja empecilho para sua realização, a Figura 2.4 apresenta uma visão mais
ampla da relação do risco ao ambiente como um todo. As disciplinas essenciais para redução
do risco são: Alicerce de TI bem estruturado, o processo de governança do risco bem
projetado e executado, e uma Cultura de consciência do risco transparente na corporação. A
análise preliminar e a abrangência dos riscos de uma corporação podem ser extremamente
significativas para gerenciar e programar prioridades, observando a relação custo versos
benefício (FONTES, 2000).
Figura 2.3 – Processo do gerenciamento da Segurança da Informação Fonte: OGC (2007).
10
Westerman e Hunter (2008) defendem três disciplinas centrais para a gestão do risco
que de maneira harmônica reduzem o risco para empresa:
• Alicerce – conjunto de ativos, procedimentos e funcionários que sustentam e
possibilitam os processos de negócio;
• Processo de governança do risco – estrutura e processos necessários para
identificar e administrar riscos sistematicamente;
• Cultura de consciência – responsabilidade pessoal e comportamental.
Essas disciplinas complementam o Framework 4As para administrar o risco de TI:
• Avaliabilit (Disponibilidade) – manter os sistemas em operação e recuperá-los em
caso de interrupção;
• Access (Acesso) – assegurar o acesso apropriado aos dados e sistemas de modo
que as pessoas certas tenham e as pessoas erradas não;
• Accuray (Precisão) – proporcionar informações corretas, oportunas e completas;
• Agitility (Agilidade) – capacidade de mudar com rapidez e custo administrado.
Figura 2.4 – Relação do risco ao ambiente corporativo Fonte: Moreira (2001).
11
De acordo com Westerman e Hunter (2008), risco é a probabilidade de acontecer
algum dano potencial à empresa, e o principal objetivo da gestão de riscos é prevenir e evitar
impactos negativos aos negócios. Os elementos chaves composto ao risco são observados na
Figura 2.5, e devem ser avaliados, neutralizados ou minimizados.
• Ativo – os bens e direitos das empresas incluem a segurança da informação, pois a
informação é um ativo, possui um valor e precisa de proteção;
• Ameaça – expectativa de acontecimento acidental ou proposital, causada por um
agente, que pode afetar um ambiente, sistema ou ativo de informação;
• Impacto – efeito ou conseqüência de um ataque ou incidente para a organização;
• Vulnerabilidade – fragilidade que poderia ser explorada por uma ameaça para
concretizar um ataque;
• Atenuação – ação a ser executada para reduzir a probabilidade ou o impacto de
um risco;
• Probabilidade – o processo de analisar os riscos, relacionado aos controles de
segurança, avaliando a possibilidade da uma perda da informação, da
disponibilidade, integridade ou confidencialidade.
Figura 2.5 – Componentes da declaração de riscos Fonte: Microsoft (2009).
12
Conforme descrito em Sêmola (2003), as ameaças à segurança da informação
ocorrem tanto de fora como de dentro de uma organização ao ativo que se quer proteger. O
ativo é qualquer coisa que manipule direta ou indiretamente uma informação. As ameaças
podem ser classificadas quanto a sua intencionalidade e ser divididas em grupos:
• Naturais – ameaças decorrentes de fenômenos da natureza, como incêndios
naturais, enchentes, terremotos, tempestades, poluição, entre outros;
• Involuntárias – ameaças inconscientes, quase sempre causadas pelo
desconhecimento. Podem ser causados por acidentes, erros, falta de energia;
• Voluntárias – ameaças propositais causadas por agentes humanos como
invasores, espiões, ladrões, disseminadores de vírus de computador.
O Quadro 1.1 apresenta alguns exemplos de ameaças aos sistemas de informação:
Quadro 2.1 – Exemplo de classificação de ameaças
Tipo de Ameaça Classificação
Falha de hardware ou software Involuntárias
Ações pessoais Voluntárias
Invasão pelo terminal de acesso Voluntárias
Incêndio Voluntárias/Involuntárias
Problemas elétricos Involuntárias
Mudanças no programa Voluntárias/Involuntárias
Problemas de telecomunicação Voluntárias/Involuntárias
Raio Naturais
Fonte: Adaptado de Sêmola (2003).
Esses problemas podem originar-se de fatores técnicos, organizacionais e ambientais,
agravados por más decisões administrativas e ingerência na TI (LOPES, SAUVÉ e
NICOLLETI, 2003). Na Figura 2.6, é apresentado os índices de incidentes acorridos no Brasil
nos últimos 8 anos, onde é observado que nos últimos 3 anos houve redução bastante
consistente em função das medidas preventivas da corporações, (TIINSIDE, 2009, p. 57).
13
O principio em que não existe ambiente 100% seguro, reflete a presença de
vulnerabilidades de acordo com o grau de maturidade de cada empresa. As vulnerabilidades
estão presentes e se apresentam em todas as áreas de uma organização, sobretudo na TI
(FONTES, 2008).
Na concepção de Westerman e Hunter (2008), um ponto de partida interessante para
evitar incidentes de segurança é identificar as vulnerabilidades, através de uma análise de
risco, e mapear e apresentar soluções de medidas adequadas de segurança em curto, médio e
logo prazo de acordo com a estratégia corporativa.
Ainda para Westerman e Hunter (2008), as vulnerabilidades podem ter uma ou várias
causas. A negligência por parte da alta direção, a falta de foco por parte dos administradores
de rede, e o baixo conhecimento técnico são exemplos típicos presentes na maioria da
empresas. Este relacionamento é entendido na razão de n para n, ou seja, cada vulnerabilidade
pode estar relacionada com um ou mais ambientes computacionais.
O nível de vulnerabilidade reduz à proporção em que são inseridos controles e
medidas de proteção adequadas, minimizando também os riscos ao negócio. Assim, é certo
afirmar que os riscos estão relacionados ao nível de vulnerabilidades ao qual o ambiente
possui, logo para se determinar os riscos e as ações a serem implantas, é mandatório que as
vulnerabilidades precisam ser identificadas, classificadas e priorizadas (FONTES, 2008).
Figura 2.6 – Índices de Segurança da Informação no Brasil Fonte: TIINSIDE (2009, p. 57).
14
Para Ramos (2008), a vulnerabilidade é uma condição falha encontrada em recursos,
processos ou configurações de modo que esses sistemas estão sujeitos a ataques. Este fluxo é
representado na Figura 2.7.
Na concepção de Zapater e Suzuki (2008), é cada vez mais comum a adoção de
métricas de avaliação de investimento, que considerem os custos e benefícios atrelados a uma
iniciativa de segurança, suportando a tomada de decisão e a priorização das ações. Uma das
métricas mais comuns é o retorno sobre investimento, ROI (Return on Investment), em que os
benefícios são mensurados por meio de processos de avaliação de riscos e consistem,
fundamentalmente, em custos que podem ser minimizados, provindos de possíveis incidentes.
A área de TI não é mais vista como suporte ao negócio, mas sim como parte
fundamental para que o negócio funcione, a Figura 2.8 apresenta a visão dessa nova
abordagem. Desta forma, minimizar riscos de paradas ou incidentes nos sistemas de TI
incorporou na rotina dos gestores desta área. O principio básico é alinhar a TI ao negócio,
traduzindo a tecnologia das operações coorporativas em uma linguagem de negócio. São
várias as soluções de mercado, todas direcionadas ao mesmo foco, com pequenas variações.
Além do desdobramento da estratégia, do mapeamento dos negócios da organização, da
análise de eficiência dos serviços críticos e do entendimento dos impactos de um determinado
defeito a análise de risco é o ponto principal para as tomadas de decisão, seja para reforço do
alicerce, seja para os processos de governança, (TIINSIDE, 2009, p. 8).
Figura 2.7 – Fluxo de impacto da vulnerabilidade ao negócio Fonte: Moreira (2001).
15
2.4 Normas Técnicas de Segurança da Informação
Os departamentos de tecnologia da Informação, a cada dia, precisam de maior
alinhamento aos negócios da empresa, para tanto é preciso manter-se forte e atualizado para
prover informações à direção da organização de uma forma dinâmica, rápida e com os
menores custos possíveis. Nesse intuito, a melhoria dos processos de negócio suporta e
garante o retorno dos investimentos através do movimento chamado Governança de TI
(MANSUR, 2007).
Governança de TI é estabelecida como um conjunto de relações e processos que
controla e dirige uma organização focada em alcançar seu objetivo, que é de agregar valor ao
negócio por meio do gerenciamento balanceado do risco com o retorno do investimento de TI
(FAGUNDES, 2004). Como forma de entender e controlar os riscos pertencentes ao uso das
tecnologias foi criado guias e normas para auxiliar no processo de gerenciamento dos
processos de TI. A seguir são apresentadas as principais normas e guias utilizadas atualmente
para gerenciamento de risco, da segurança da informação e processos de TI (FERNANDES,
2008).
Figura 2.8 – Mudança de abordagem da TI Fonte: Zapater e Suzuki (2008).
16
2.4.1 CobIT
O Control Objectives for Information and Related Technology (CobiT) é um guia de
melhores práticas criado pela Information Systems Audit and Control Association
(ISACA5) para prover um modelo para o gerenciamento da Governança de TI. O CobiT
possui 210 objetivos de controle divididos em 34 processos agrupados em 4 domínios
(LAHTI, 2006). São eles:
• Planejamento e organização (PO);
• Aquisição e implementação (AI);
• Entrega e suporte (DS);
• Monitoração e avaliação (ME).
Segundo Mansur (2007), a escala de importância de cada um dos domínios do CobIT
é uma função do negócio e do ambiente em que a organização trabalha. Na Figura 2.9 é
possível visualizar esses domínios.
5 Information Systems Audit and Control Association (ISACA) , ou Associação de Auditoria e Controle de Sistemas de
Informação, uma associação internacional que suporta e patrocina o desenvolvimento de metodologias e certificações para o desempenho das
atividades de auditoria e controle em sistemas de informação (Wikipedia, 2009).
Figura 2.9 – Ciclo do CobIT nos seus 4 domínios Fonte: Adaptado de Fernandes (2008).
17
O domínio de Planejamento e Organização (PO) é composto de 10 processos e trata
do desenvolvimento dos planos estratégicos de TI e fornece suporte aos objetivos e metas
empresariais. Os planos devem visar o futuro, alinhados com o planejamento corporativo.
O domínio de Aquisição e Implementação (AI) é composto de 7 processos e trata da
aquisição de novas tecnologias, contratação e desenvolvimento de uma equipe qualificada
para executar os planos estratégicos de TI. Esta fase tem por objetivo a manutenção, teste,
certificação e identificação das alterações que possam atingir a disponibilidade das
informações.
O domínio de Entrega e Suporte (DS) é composto de 13 processos e diz respeito à
entrega dos serviços de TI, de modo a assegurar que os serviços sejam executados conforme
definido em sua concepção por meio de acordos de nível de serviço (SLA - Service Level
Agreement). Os processos devem ser executados de forma eficiente e efetiva.
O domínio de Monitoração e Avaliação (ME) é composto de 4 processos e tem como
papel principal o monitoramento, através dos SLAs, verificando se o que foi proposto
está sendo realizado. Auditorias internas e externas são realizadas através de análises dos
processos de negócio e o resultado da auditoria permite ajustes nos processos a fim de atender
as expectativas da direção da organização.
2.4.2 ITIL
O Information Technology Infrastructure Library (ITIL) teve sua origem no final da
década de 80 pela Câmara de Comércio Britânico (OGC - Office of Government Commerce)
com o objetivo de padronizar e permitir a comparação entre as propostas dos diversos
candidatos a prestadores de serviços de TI para o governo britânico. Tinha na sua composição
uma biblioteca com 31 volumes com as melhores práticas para o Gerenciamento dos Serviços
de TI.
Em 2002 a biblioteca sofreu uma grande revisão e foi reestruturada e consolidada em 8
volumes, sendo eles:
18
• Suporte aos serviços (Service support);
• Entrega de serviços (Service delivery);
• Planejamento e implementação (Planning and implemention);
• Gerenciamento de aplicações (Applications management);
• Gerenciamento da segurança (Security management);
• Gerenciamento da infra-estrutura de TI e de comunicações (Information and
communication technology infrastructure management);
• Perspectiva do negócio (Business perspective);
• Gerenciamento dos ativos de software (Software asset management).
Em maio de 2007 foi lança a terceira versão do framework ITIL composta agora por
apenas por 5 livros, sua principal mudança foi a inclusão do ciclo de vida para o
Gerenciamento de Serviços de TI. O ITIL era baseado em processos com uma visão
vertical do serviço, e agora está direcionado para o alinhamento estratégico da TI com o
negócio, conforme exibe a Figura 2.10 (MAGALHÃES, 2007).
Figura 2.10 – Ciclo do ITIL nos seus 5 domínios Fonte: Adaptado de Magalhães (2007).
19
Os cinco livros do ITIL na versão 3 são:
• Estratégia de serviços - definição de objetivos, conceitos e regras sobre a
estratégia de serviços, análise do impacto dos serviços necessários para as funções
vitais do negócio, definição e métodos de gestão do risco. Orientações para os
processos de gerenciamento financeiro, gerenciamento de demanda e
gerenciamento de portfólio de serviços;
• Desenho de serviços - descreve os objetivos, planos e cria um desenho de
serviços, detalhando cada um dos processos relativos ao gerenciamento: de nível
de serviço, catálogo de serviços disponibilidade, capacidade, segurança da
informação, continuidade dos serviços e o dos fornecedores;
• Transição de serviços - descreve as formas para garantir o desenho de serviços na
forma pretendida. Inclui os processos de gerenciamento: de mudanças, da
configuração e ativos dos serviços, e o de liberação e distribuição;
• Operação de serviços - descreve a gerência do serviço através do ciclo de vida de
produção, é discutida a classificação e priorização de chamados, o modelo de
comunicação e o gerenciamento de conflitos. Inclui os gerenciamentos de: evento,
de incidentes, de problemas de acesso e as requisições de serviços;
• Melhoria continua de serviços - descreve formas para garantir a entrega dos
serviços de forma eficaz e eficiente, são realizadas análises para identificar,
compreender e medir os pontos fracos e fortes e orientar na implantação de
melhoria dos serviços através, por exemplo, de indicadores chaves de desempenho.
2.4.3 ABNT NBR ISO/IEC 27002
Criada pela Brisith Standard (BS) em 1999, a norma foi definida como BS 7799
Code of Practice for Information Security Management – (Código de Práticas para
gerenciamento da segurança da Informação) e era composta por um guia contendo 36
objetivos de controle e decomposta em 127 medidas de controle. No ano 2000 foi
homologada pela International Organization for Standardization/International
20
Electrotechnical Commision (ISO/IEC) tornando-se um padrão internacional denominada
ISO/IEC 17799. No Brasil a norma foi traduzida e definida como ABNT NBR ISO/IEC
17799 no ano 2000 e passou por uma revisão e atualização no ano de 2005. Em 2007 a norma
é novamente submetida a revisão e atualização e passa a chamar-se ABNT NBR ISO/IEC
27002.
A norma ABNT NBR ISO/IEC 27002 foi criada com a intenção de estabelecer
diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de
segurança da informação em uma organização (ABNT NBR ISO/IEC 27002, 2007). A norma
deve ser utilizada como um guia para elaboração de uma política de segurança e não tem o
propósito de ser o único material na sua elaboração, a definição dos controles que serão
avaliados e monitorados depende da necessidade e dos processos de negócios utilizados em
cada organização (MÓDULO, 2008).
2.4.4 ABNT NBR ISO/IEC 27005
Criada em julho de 2008, a norma ABNT NBR ISO/IEC 27005, fornece as diretrizes
para o processo de gestão de riscos em segurança da informação, a mesma foi criada para dar
suporte às especificações e conceitos estabelecidos na norma ABNT NBR ISO/IEC
27001:2006. Define os requisitos para a criação de um sistema de gestão da segurança da
informação (SGSI) (ABNT NBR ISO/IEC 27001, 2006).
A norma ABNT NBR ISO/IEC 27005 define de forma objetiva e estruturada as
atividades de gestão de riscos, identificando as entradas no SGSI bem como as informações
necessárias para o desempenho da atividade. Também orienta na elaboração de ações que
descrevem a atividade, as diretrizes para implementação fornecendo as diretrizes para a
execução da ação e as saídas que são as informações resultantes da execução da atividade
(MÓDULO, 2008).
21
2.5 Mecanismos de Segurança
Segundo Ramos (2008), de acordo com a estratégia de cada empresa, existem
diversas medidas que podem ser aplicada em um ambiente computacional. As mais presentes
nos ambientes corporativos são:
• Medida preventiva – foco na prevenção de ocorrência de incidentes de segurança.
Todas as diretrizes são baseadas na precaução;
• Medida detectiva – é utilizada quando se pretende obter auditabilidade,
monitoramento e detecção em tempo real dos sistemas;
• Medida corretiva – o enfoque é oferecer mecanismos para a continuidade das
operações, ela propõe ferramentas e procedimentos necessários para a recuperação
e a continuidade dos negócios.
Ainda na análise de Ramos (2008), freqüentemente surgem novas tecnologias
voltadas para “soluções” os problemas da Segurança da Informação, as principais estratégias
utilizadas no mercado são recomendações de segurança direcionadas para controles:
• Controles físicos – são barreiras que impedem o contato ou acesso direto a
informação ou a infra-estrutura. Os mecanismos de segurança que apóiam os
controles físicos são: Portas / trancas / paredes / blindagem / guardas / entre outros;
• Controles lógicos – são barreiras que bloqueiam ou limitam o acesso a
informação, que está em ambiente controlado, geralmente eletrônico. Os principais
mecanismos de segurança que apóiam os controles lógicos são:
o Mecanismos de criptografia – permitem, através de chaves secretas, a
transformação da informação de forma a torná-la ininteligível a
terceiros, mas reversível para quem possui a chave;
22
o Assinatura digital – um conjunto de dados associados a um documento
de forma criptografada que garante a integridade do documento
associado;
o Função de checagem ou “Hashing” – mecanismo de garantia da
integridade da informação consistindo na entrada da informação e em
sua saída;
o Controle de acesso – palavras-chave, sistemas biométricos, firewalls,
cartões inteligentes;
o Mecanismos de certificação – uma espécie de “reconhecimento de
firma digital” que atesta a validade de um documento;
o Honeypot – o objetivo é detectar ou de impedir a ação de agente
externo estranho ao sistema, enganando-o, fazendo-o pensar que esteja
de fato explorando uma vulnerabilidade daquele sistema.
Segundo Rasmussen (2009), o desafio do GRC6 (Governance Risk Management, and
Compliance), ou Governança da Gerencia de Riscos e Conformidades, é que a óptica que o
compõem GRC seja a mesma dentro da mesma organização, pois a governança corporativa
permeia toda organização, seja ela a governança de TI, o risco financeiro, o risco estratégico,
o risco operacional ou o risco de TI.
O GRC é de fato uma filosofia de negócios. Trata-se de funções individuais de GRC
trabalhando em harmonia ao longo de toda a organização de modo a gerar uma visão
completa de governança, risco e conformidades. Tem a ver com a colaboração e o
compartilhamento de informações, com avaliações, medidas, riscos, investigações e perdas
em todos estes papéis profissionais. O objetivo do GRC é demonstrar uma visão integral da
situação de risco e conformidades na organização e identificar inter-relações no complexo e
6 Governance, Risk and Compliance, (GRC). Iintegração das áreas de conhecimento de Gestão de Riscos, Governança Corporativa
e práticas de auditoria e controle que visa garantir a conformidade com leis, regulamentos, imposições de padrões (Wikipedia, 2009).
23
distribuído ambiente de negócios atual. Individualmente, a integridade corporativa utiliza as
seguintes definições gerais para os componentes do GRC:
• Governança – é o conjunto formado pela cultura, as políticas, os processos, as leis
e as instituições que definem a estrutura segundo a qual as empresas são
comandadas e administradas;
• Risco – constitui o efeito de incertezas sobre os objetivos do negócio;
• Gerenciamento do Risco – é o grupo de atividades coordenadas no sentido de
conduzir e controlar a organização visando à realização das oportunidades e o
gerenciamento dos eventos negativos;
• Conformidade – consiste em aderir às leis e outras formas de regulamentação,
assim como em tornar explícita esta adesão, tanto com relação a leis e
regulamentações externas quanto a políticas e procedimentos corporativos.
O GRC constitui um tripé formado por governança, risco e conformidade, sendo
todos os três ingredientes necessários ao gerenciamento e condução eficaz da organização.
Em suma – a boa governança somente poderá ser alcançada através do gerenciamento
cuidadoso do risco e da conformidade. No ambiente de negócios atual, o resultado da
ausência de uma visão integrada do GRC são processos de negócios, parceiros, funcionários.
O GRC alinha estes elementos de forma a torná-los mais eficientes e fáceis de manejar.
Ineficácia, erros e riscos em potencial podem ser identificados, revertidos ou contidos,
reduzindo a exposição da organização ao risco, o que acaba resultando em um aumento do
desempenho nos negócios (RASMUSSEN, 2009).
24
2.6 Estado da Arte
Com o crescimento das publicações de normas relacionadas à segurança da
informação e as exigências cada vez maior do mercado corporativo em proteger um dos seus
maiores ativos, a informação, é cada vez mais comum estudos sobre esse tema, e por meio
deles são apresentados novas metodologias para incorporar o sistema de gestão de segurança
da informação. A seguir serão abordados dois desses estudos os quais apresentam total
relevância para este trabalho.
Segundo Martins e Santos (2005), o resultado da implantação de um sistema de gestão
da segurança da informação é a composição da documentação dos procedimentos e sua
padronização, ferramentas e técnicas utilizadas, a criação de indicadores e evidencias como
também a definição de um processo cultural dentro da organização e seus parceiros. Este
autor apresenta uma metodologia teórico-conceitual baseado no ciclo de melhoria continua
PDCA como apoio na gestão da segurança da informação, conforme Quadro 2.2.
Quadro 2.2 – Etapas PDCA para a solução de problemas
PDCA FLUXO ETAPA OBJETIVO
1 Identificação
do Problema
Definir claramente o problema/processo e reconhecer sua
importância.
2 Observação Investigar as características específicas do problema/processo com
uma visão ampla e sob vários pontos de vista.
3 Análise Descobrir a causa fundamental.
P
4 Plano de ação Conceber um plano para bloquear a causa fundamental.
D 5 Execução Bloquear a causa fundamental.
C 6 Verificação Verificar se o bloqueio foi efetivo.
7 Padronização Prevenir contra o reaparecimento do problema. A
8 Conclusão Recapitular todo o método de solução do problema para trabalhos
futuros.
Fonte: Campos, 1992, p. 62
25
De acordo com a Wikipédia (2009):
“O PDCA, ilustrado na Figura 2.11, é aplicado para se atingir resultados dentro
de um sistema de gestão e pode ser utilizado em qualquer empresa de forma a
garantir o sucesso nos negócios, independente da área de atuação da empresa.
O ciclo começa pelo planejamento, em seguida a ação ou conjunto de ações
planejadas são executadas, checa-se se o que foi feito estava de acordo com o
planejado, constantemente e repetidamente (ciclicamente), e toma-se uma ação
para eliminar ou ao menos mitigar defeitos no produto ou na execução.
Os passos são os seguintes:
• Planejar (Plan) – estabelecer uma meta ou identificar o problema;
analisar o fenômeno (analisar os dados relacionados ao problema);
analisar o processo (descobrir as causas fundamentais dos
problemas) e elaborar um plano de ação;
• Executar (Do) – realizar, executar as atividades conforme o plano
de ação;
• Controlar (Check) – monitorar e avaliar periodicamente os
resultados, avaliar processos e resultados, confrontando-os com o
planejado, objetivos, especificações e estado desejado,
consolidando as informações, eventualmente confeccionando
relatórios;
Figura 2.11 – Ciclo PDCA Fonte: Adaptado Wikipédia (2009).
26
• Agir (Act) – de acordo com o avaliado e de acordo com os
relatórios, eventualmente determinar e confeccionar novos planos
de ação, de forma a melhorar a qualidade, eficiência e eficácia,
aprimorando a execução e corrigindo eventuais falhas.”
Vermeulen e Solms (2002) apresentam um guia para o processo de implantação de
uma metodologia de gestão de segurança da informação por meio de um framework. A
ferramenta denominada de ISMTB (Information Security Management Toolbox), que consiste
em um conjunto de questionários com base nos controles da norma BS 7799 (1999), o qual
auxilia no entendimento e caracterização da organização mapeando o nível de segurança atual
e servindo como orientador para quais medidas de segurança que serão tomadas a partir desta
análise.
As metodologias apresentadas por Vermeulen e Solms (2002) e Martins e Santos
(2005), balizam a importância da gestão de riscos como essencial no contexto da execução do
processo de gestão da segurança, porem, a análise de riscos acontece após a etapa de criação e
da política de segurança da informação, o que, em muitos casos projetos da área de TI falham
pela ineficácia por não priorizarem a etapa de gestão de riscos.
O entendimento destas metodologias conduz ao conhecimento atualizado do estado
da arte na área de segurança de informação. Assim, alguns pontos mais relevantes mostrados
nestes estudos como a criação de indicadores e a cultura para o processo de conscientização
da organização sugerido por Martins e Santos (2005) e que também é levantado por
Vermeulen e Solms (2002) através de questionários baseados nos controles da norma BS 7799
(1999).
3 METODOLOGIA
3.1 Tipo de pesquisa
A estratégia usada para o desenvolvimento deste trabalho foi um estudo de caso
realizado na empresa ACE-PE (Empresa de Serviços Avançados de TI no Estado de
Pernambuco), foi utilizado o ambiente de contingência da matriz em Recife para todo estudo e
testes, já que a mesma dispõe dualidade operacional.
3.2 Procedimentos metodológicos
Os dados foram coletados a partir de instrumentos (questionários e entrevistas) e
ferramentas (softwares) de detecção de falhas, junto aos usuários e gestores de sistemas de
informação, já que a grande maioria dos funcionários tem acesso aos sistemas corporativos ou
ferramentas computacionais. Os testes técnicos foram realizados no ambiente de contingência
da matriz em Recife-PE, sendo que toda pesquisa foi realizada no período de quatro semanas.
Na parte inicial do trabalho foi realizado um levantamento da literatura e dos
fundamentos básico da segurança da informação.
Na fase seguinte, foram utilizadas ferramentas para detecção de falhas e
vulnerabilidades de hardware e software.
Na fase das entrevistas foi construído um instrumento para avaliar o nível de
segurança denominado de análise de risco, apresentado no Apêndice A.
Por fim, uma análise das melhores práticas baseado em normas de segurança para
alinhamento dos processos e análise de risco.
28
4 RESULTADOS E DISCUSSÃO
4.1 Descrição da organização
O desdobramento deste estudo se deu em uma organização que presta serviços de
BPO (Business Process Outsourcing) na gestão de pessoas e terceirização, Soluções em TI e
Contact Center, a ACE-PE (Empresa de Serviços Avançados de TI no Estado de
Pernambuco) que atualmente consta em seu quadro de funcionários 10.500 colaboradores.
A empresa é formada por quatro sócios, que fazem parte de um conselho diretor.
Existe a Presidência da Empresa, que é exercida por um dos sócios eleito pelos demais e com
mandato de 2 anos, renováveis. Cada sócio ocupa uma diretoria da empresa, além de outros
diretores contratados. Abaixo de cada diretoria (focada nos assuntos estratégicos), existe uma
superintendência, focada nos assuntos tático-operacionais, conforme organograma
apresentado na Figura 3.1. O Sistema de Governança se baseia em informações gerenciais
provenientes do sistema ERP (Enterprise Resource Planning), Sistemas de Recursos
Humanos, Sistema de CRM (Customer Relationship Management) e de BPMS (Business
Process Management System).
Figura 3.1 - Organograma da empresa ACE-PE Fonte: Informado pela empresa.
29
A empresa atua em seus clientes, desenvolvendo atividades meio e assume a gestão e
responsabilidade pelos resultados. Dentre as principais atividades desempenhadas estão as de
atendimento ao público-alvo dos clientes, podendo ser através de atendimento presencial e/ou
tele-atendimento, sempre com o fornecimento de toda a infra-estrutura, hardware e software
necessários. Alguns dos softwares são desenvolvidos pela própria organização. Conta com
profissionais especializados, soluções baseadas em projetos, tecnologia direcionada ao
negócio e alinhamento dos requisitos, prazos e conformidade às especificações.
A cultura da empresa combina tecnologia da informação à gestão de pessoas,
garantindo resultados aos seus clientes. A marca de trabalho da organização significa
agilidade e competitividade, que são valores apoiados na qualidade do conjunto de serviços
que disponibiliza.
O diferencial esperado é sempre no pronto atendimento, no envolvimento com as
metas do cliente e na experiência das soluções. O aumento de produtividade através de
soluções tecnológicas e treinamentos específicos, aliados a um alto índice de motivação dos
colaboradores é um diferencial que marca a prestação de serviços.
Sua Missão: Ampliar a competitividade das instituições e empresas clientes,
implementando e desenvolvendo soluções integradas de Tecnologia da Informação e Contact
Center, oferecendo profissionais de informática, atendimento e backoffice, com percepção de
benefícios para a sociedade e oportunidades para os colaboradores.
Sua Visão: Estar entre as 100 maiores e melhores empresas de Tecnologia da
Informação e Comunicação do Brasil, com atuação internacional, buscando sempre a
excelência na gestão e nos serviços prestados.
Seus Valores: Qualidade, Ética e transparência, Perseverança e Trabalho com
qualidade de vida.
Os principais perfis de clientes da organização são: Governo, Empresas do setor
financeiro (bancos, financeiras e operadoras de cartão de crédito), Empresas Concessionárias
(Energia, Água, Gás, Telecomunicações).
30
4.2 Diagnóstico da Segurança da Informação
Como resultado deste estudo de caso observou-se que havia diversas falhas de
segurança da informação no ambiente computacional em que se aplicou a análise de risco. As
falhas encontradas somaram um total de 64 (sessenta e quatro) itens que são apresentadas no
capitulo resultado e discussão, e que foram agrupadas em 4 (quatro) grupos de risco e
impacto, conforme é apresentado na quadro 3, esses itens agrupados totalizam 25 (vinte e
cinco) atividades em desconformidade as boas práticas da segurança da informação, sendo
considerados os aspectos humanos, processos, tecnologia ou infra-estrutura e segurança da
informação, sendo elas:
- Processo de troca de senha;
- Switchs com senha padrão;
- Falta de processo de atualização de patch;
- Servidor de arquivos com cota de disco insuficiente para algumas áreas;
- Servidores com vulnerabilidades;
- Inexistência de um plano de continuidade de negócios;
- Inexistência de processo de documentação da rede;
- Informação não classificada;
- Ausência de política de destruição do lixo;
- Funcionários da área de TI sobrecarregados;
- Inexistência de política de segurança escrita e formalizada pela alta gestão;
- Vulnerabilidades de Segurança física do CPD e sala do PC-Expanion
(principalmente contra incêndio);
- Ferramenta de filtro de Anti-Spam e compliance não filtram saída de e-mail;
- Rede não possui um gateway de e-mail;
- Informações sigilosas transmitem via e-mail sem criptografia e assinatura digital;
- Usuários não treinados para receber um ataque de engenharia social e em
melhores práticas de segurança;
- Máquinas não são autenticadas ao entrar na rede;
- Arquivos sigilosos impressos guardados em locais destrancados;
- Notebooks com informações confidenciais não possuem ferramenta de
criptografia de disco;
- Máquinas de supervisores e gestores expostas sem filtro de tela;
31
- Firewall que conecta LAN a WAN e Internet não possui redundância;
- Rede não possui ferramenta de proteção a vazamento de dados;
- Antivírus com mau funcionamento nas estações de trabalho (baixa amostragem,
se não tratado o impacto tende a aumentar);
- Servidores sem fonte redundante e tolerância a falha de disco;
- Rede não possui VLAN especifica para visitantes.
Muitas vulnerabilidades apontadas na matriz de risco pertencem ao mesmo problema,
ou possuem uma solução em conjunto com os demais problemas. O quadrado de risco vs
impacto, apresentado no Quadro 4.1, agrupa esses problemas, e aponta se o mesmo possui
risco alto e impacto alto, risco baixo e impacto alto, risco alto e impacto baixo, ou risco baixo
e impacto baixo, facilitando assim a tomada de decisão.
Quadro 4.1 – Quadrado risco vs impacto Risco Alto Impacto Alto Risco Baixo Impacto Alto
- Processo de troca de senha
- Switchs com senha padrão
- Falta de processo de atualização de patch
- Servidor de arquivos com cota de disco
insuficiente para algumas áreas
- Política de destruição do lixo
- Funcionários da área de TI sobrecarregados
- Não existe política de segurança escrita e
formalizada pela alta gestão
- Usuários não treinados para receber um ataque
de engenharia
- Social e em melhores práticas de segurança
- Servidores com vulnerabilidades
- Não existe um plano de continuidade de negócios
- Não existe processo de documentação da rede
- Informação não classificada
- Vulnerabilidades de Segurança física do CPD e sala do
PC-Expanion (principalmente contra incêndio)
- Anti-Spam não filtram saída de e-mail
- Rede não possui um gateway de e-mail
- Informações sigilosas transmitem via e-mail sem
criptografia e assinatura digital
- Máquinas não são autenticadas ao entrar na rede
- Arquivos sigilosos impressos guardados em locais
destrancados
- Notebooks não possuem criptografia de disco
- Máquinas dos gestores expostas sem filtro de tela
- Firewall LAN a WAN e Internet sem redundância Risco Alto Impacto Baixo Risco Baixo Impacto Baixo - Antivírus com mau funcionamento nas estações de trabalho (baixa amostragem, se não tratado o impacto tende a aumentar)
- Rede não possui ferramenta de proteção a vazamento de dados - Servidores sem fonte redundante e tolerância a falha de disco - Rede não possui VLAN especifica para visitantes
Fonte: Resultado da pesquisa de análise de risco da empresa ACE-PE.
32
Para o tratamento destas falhas, e conseqüentemente redução dos impactos aos negócios, foram propostas soluções para cada problema
específico. Apresentou-se assim, um total de 64 (sessenta e quatro) factíveis ações direcionadas para as soluções das falhas encontradas no ambiente
pesquisado. As ações foram distribuídas levando em conta a prioridade determinada pela organização de acordo com o grau de impacto ao negócio.
Essas ações são apresentadas no Quadro 4.2 e fazem parte da análise de risco. A Matriz de Risco A matriz de risco trata-se de uma matriz onde estão
registrados todos os riscos e impactos encontrados na organização, apontando o nível de gravidade dos mesmos. A matriz também contém
recomendações de como efetuar correção sobre os problemas encontrados;
Quadro 4.2 - Matriz de risco
E Ativo de informação
Vulnerabilidade Ameaça Impacto Agente de ameaça R GI TR Solução
P Informação da empresa
Informação não classificada Vazamento de informações confidenciais
Informações chegarem ao concorrente
Funcionário descuidado 4 9 36 Classificar informações da empresa
P Todos Não existe política de segurança escrita e apoiada pela alta gestão
Roubo, vazamento, indisponibilidade ou perda das informações
Prejuízos financeiros Funcionário descuidado ou descontente, hacker, engenheiro social, espião profissional, sabotador, ladrão, falha de hardware, acidentes e catástrofes
7 9 63 Implementar política de segurança da informação na empresa
P Monitoramento de ativos de informação
Funcionários não assinaram termo de aceite sobre monitoramento dos ativos de informação
Empresa perder processos judiciais por invasão de privacidade
Prejuízos financeiros, impacto na imagem da empresa
Ex-Funcionário descontente
3* 7 21 Criar termo de aceite aos funcionários
P Área de TI Funcionários da área de TI sobrecarregados
Manutenção preventiva da rede não ser realizada
Indisponibilidade ou roubo de informações
Hacker, espião profissional 7 7 49 Segregar função ou contratar pessoas específicas para trabalhos preventivos na rede
P Rede ACE-PE Rede parcialmente documentada
Aumento do tempo de manutenção da rede
Aumento do tempo de resposta em incidentes na rede
Falha de hardware ou software
3 8 24 Documentar e manter atualizada a documentação da rede
P Rede ACE-PE Não existe um processo de atualização da documentação da rede
Aumento do tempo de manutenção da rede
Aumento do tempo de resposta a incidentes na rede
Falha de hardware ou software
3 9 27 Documentar e manter atualizada a documentação da rede
33
P Rede ACE-PE Não existe um processo de comunicação de mudanças na rede
Aumento do tempo de manutenção da rede
Aumento do tempo de resposta a incidentes na rede
Falha de hardware ou software
3 4 12 Implementar processo de comunicação de mudança na rede
T Switch Furukawa 5026b
Switch configurado com senha padrão
Invasão do switch, sabotagens e sniffers
Perda de comunicação das máquinas ligadas aquele switch, roubo de informações
Hacker sabotador, código malicioso
7 9 63 Revisar e alterar todas as senhas do switch
P Conta de usuários da ACE-PE
Não existe autenticação do usuário no processo de troca de senha
Ataque de engenharia social
Roubo de conta Engenheiro social, espião profissional, funcionário mal intencionado
9 9 81 P.S / Implementar autenticação no processo de troca de senhas da ACE-PE
P Servidores ACE-PE e estações de trabalho
Não existe processo de atualização de atualização de patchs
Invasão, ataques de negação de serviço, infecção por código malicioso, sabotagens
Roubo, indisponibilidade ou perda das informações
Hacker, sabotador, código malicioso
7 9 63 Implementar processo de atualização de pacths
P Backup ACE-PE
Backup não é criptografado Acesso as informações em caso de roubo da mídia
Roubo de informações Ladrão, espião profissional 2 9 18 Criptografar backup
P Servidores da ACE-PE
Servidores de baixa criticidade, não estão protegidos por ferramenta de disaster recovery
Tempo elevado de manutenção do servidor
Indisponibilidade das informações
Falha de hardware 3 7 21 Implementar ferramentas de disaster recovery nos servidores
P Logs dos servidores (exceto os de banco de dados)
Não existe processo de revisão de logs
Problema nos servidores passar despercebido e se agravar
Indisponibilidade das informações
Falha de hardware ou software
3 7 21 Implementar processo de revisão de logs
P CPD da ACE-PE
Não existe plano de recuperação de desastre
Parada por tempo elevado dos serviços de Tecnologia da Informação da ACE-PE
Parada das operações de call center
Catástrofes 1 10 10 Elaborar plano de recuperação de desastres
P Servidores dos Postos de Atendimento
Servidores dos postos de atendimento não possuem solução de alta disponibilidade
Parada simultânea de 10 postos de atendimento
Parada da operação do call-center
Falha de hardware e/ou picos de energia
3 9 27 Implementar solução de alta disponibilidade nos postos de atendimento
T Servidores Servidores estão sem fonte redundante
Parada dos servidores em caso de quebra da fonte
Indisponibilidade das informações
Falha de hardware 2 4 8 Providenciar fonte redundante para os servidores
T Servidores Servidores não possuem tolerância a falha de disco
Parada do servidor em caso de quebra do disco
Indisponibilidade das informações
Falha de hardware 3 4 12 Implementar tolerância a falha de disco
34
P E-mail E-mail transmite informações confidenciais da empresa sem utilizar criptografia
Sniffers de rede capturarem o e-mail contendo informações estratégicas
Roubo de informações Hacker ou espião profissional
2 9 18 Implementar certificado digital no e-mail
P E-mail E-mail não tem assinatura digital para autenticidade de remetente
Ataques de E-mail Spoofing
Funcionários serem enganados por e-mail com identidade forjada
Hacker ou sabotador 3 9 27 Implementar certificado digital no e-mail
P E-mail Servidor de e-mail descarrega os e-mails na máquina dos usuários, não mantém backup dos mesmos
Perda dos e-mails em caso de problemas na máquina do usuário
Perda de informação Falha de hardware ou software
4 7 28 Implementar backup para e-mail dos usuários
P Servidor de e-mail
Servidor de e-mail não é protegido por gateway de e-mail
Sobrecarga no servidor de e-mail, invasão
Indisponibilidade e roubo das informações
Spammer, hacker 4 8 32 Implementar gateway de e-mail
P Sistema de Anti-Spam
Ferramenta de Anti-Spam não filtra saída de e-mails
Spam ou e-mail com conteúdo ilícito ser enviado através da ACE-PE
ACE-PE ser responsabilizada juridicamente pelo incidente
Spammer ou funcionário malicioso
4 8 32 Implememtar filtragem de spam, e regras de conformidade no envio de e-mail
P Rede LAN Máquinas não são autenticadas para acessar a rede
Máquinas não autorizadas serem usadas para roubar informações, ou contaminarem a rede com código malicioso
Roubo e indisponibilidade de informações
Funcionário, visitante malicioso ou descuidado
3 8 32 Implementar servidor raidus para autenticação das máquinas
P Acesso a internet
Firewall de conexão entre rede LAN e internet não tem redundância
Queda da conexão com a internet em caso de falha de software ou hardware
Indisponibilidade de acesso a internet
Falha de hardware 3 6 18 Implementar redundância de firewall de internet
P Rede ACE-PE Rede da ACE-PE não possui rede isolada para visitantes
Visitante descuidado infectar a rede da ACE-PE.Visitante mal intencionado invadir ou sabotar a rede
Indisponibilidade e roubo de informações
Visitante descuidado ou mal intencionado
3 4 12 Implementar rede para visitantes
P Arquivos da ACE-PE
Arquivos não são protegidos com ferramenta de proteção a vazamento de informações
Funcionário mal intencionado copiar ou enviar arquivos para locais não autorizados (Internet, pendrive, etc.)
Vazamento intencional de informação
Funcionário mal intencionado
4 4 16 Implementar ferramenta de proteção a vazamento de dados
35
T Roteadores Roteador não tem banner de aviso com mensagem de acesso restrito
Invasão, sabotagem Indisponibilidade do ativo de informação
Hacker 2 7 21 Configurar banners nos roteadores
P Sistema Pirâmide
Sistema ERP não possui troca periódica de senha
Ataques de força bruta Roubo de senhas Hacker 3 8 24 Implementar troca periódica de senha no sistema da ERP
P Analista de sistemas
Analistas não são treinados em código seguro
Sistemas internos podem vir a ser produzidos com
Roubo de informações Hacker 3 6 26 Treinar analistas de sistemas em desenvolvimento
P Servidores Política de domínio com auditoria desabilitada
Perda de rastreabilidade
Ataques passarem despercebidos
Hacker 4 8 32 Implementar auditoria nos servidores
P Contas de domínio
Contas não bloqueiam após cinco tentativas inválidas
Ataques de força bruta e dicionário de senhas
Roubo de senhas Hacker 3 8 24 Implementar bloqueio de contas após 5 tentativas inválidas de login
T Servidor de arquivos, Controlador de Domínio (DC) e Oracle
Servidor de arquivos e DC rodando serviços desnecessários (SMTP, WWW e NFS)
Exploração de vulnerabilidade através de serviços desnecessários
Invasão, ataques de negação de serviço
Hacker 3 7 21 Desabilitar serviços desnecessários nos servidores
T Contas de domínio
Contas de domínio de muitos usuários não expiram
Ataques de força bruta Roubo de contas Hacker 3 8 24 Configurar as contas para expirarem em um período de 30 dias
T Servidores *UX Serviço de SSH rodando no servidor em versões 1.33 e 1.5 que possuem criptografia fraca
Quebra de criptografia Roubo de informações Hacker 3 8 24 Configurar o Servidor para aceitar apenas conexões com versões superiores (2.0 preferencialmente)
T Servidores *UX O Oracle TNSLSNR não possui um password definido
Ataque parar o serviço de TNSLSNR do servidor
Indisponibilidade do banco de dados
Hackers 9 8 72 Definir um password para o TNSLSNR
T Servidor *UX O host responde a ICMP timestamp
Um cracker pode saber a hora exata definida no seu servidor
Informações serem utilizadas para quebrar os protocolos baseados em data
Hackers 2 1 2 Bloquear respostas a ICMP timestamp
T Servidor AXS O serviço statd está executando no servidor
Ataques de buffer overflow e negação de serviço
Invasão com permissão de root ou indisponibilidade do servidor
Hackers 8 8 64 Desabilitar o serviço caso não seja necessário, desabilitar o mesmo, caso seja necessário atualizar para última versão disponível
T serweb.ace.local O servidor suporta os métodos TRACK e/ou TRACE
Ataques cross-site-script
Roubo de informações Hacker 7 4 28 Desabilitar os métodos no servidor
T Servidores *UX Servidores *UX permitem edição de arquivos de log
Queima de provas e perda de rastreabilidade
Encorajamento de ataques e invasões
Hacker ou funcionário mal intencionado
6 8 48 Implementar controles sobre os logs dos servidores
36
T Servidores *UX Serviços não rodam em chroot Invasão com permissão de root
Comprometimento do servidor
Hacker 6 3 18 Configurar os serviços para rodarem em chroot
P Servidores de arquivo
Servidor de arquivos possui cotas de disco insuficientes para algumas áreas
Usuários gravarem arquivos locais na máquina
Diminuição do nível de segurança
Erro na política e falta de processo
10 8 80 P.S. / Rever política de cota de pastas
P Estações de trabalho
Estações de trabalho possuem trava para pen-drive para usuários que necessitam do recurso
Indisponibilidade do recurso
Diminuição do nível de segurança
Erro na política 10 8 80 P.S. / Rever política
P Estação de trabalho
Estação de trabalho apresentou mal funcionamento de antivírus
Infecção de código malicioso
Indisponibilidade do recurso e danos no funcionamento da rede
Código malicioso 6 4 24 Reparar antivírus com mal funcionamento
P Estações de trabalho
Estações de trabalho expostas sem filtro de tela
Ataques de surf shoulder
Vazamento de informações
Funcionário descontente 6 7 42 Implementar filtro de tela nas estações expostas
P Informações da ACE-PE
Usuários utilizam notebooks pessoais como ferramenta de informação
Diminuição do nível de segurança
Roubo e perda das informações
Hacker, ladrão e código malicioso
7 8 56 P.S. / Proibir o uso de notebooks pessoais para fins de trabalho
T Notebooks Notebooks não estão protegidos por criptografia de disco
Responsável pelo roubo do notebook ter acesso as informações de seu disco
Roubo de informações Ladrão e concorrente desonesto
3 8 24 Implementar criptografia de disco
P Informações da ACE-PE
Usuários transmitem informações confidencias via telefone analógico e celular
Grampos telefônicos Roubo de informações Espião profissional 2 4 8 P.S. / Trocar linha analógica por digital, proibir transmissão de informação confidencial via celular
H Funcionários Usuários compartilham senhas Usuário cometer ação ilícita com conta de outro usuário
Perda de rastreabilidade Funcionário descontente ou mal intencionado
2* 8 16 P.S. / Proibir o compartilhamento de senhas entre usuários/campanha de conscientização
H Funcionários Funcionários conversam de assuntos de trabalho em locais públicos
Conversa ser escutada por pessoas indesejadas
Vazamento de informações
Espião profissional ou funcionário do concorrente
3 7 21 P.S. / Proibir a conversa de assuntos de trabalho em locais públicos / Campanha de conscientização
H Funcionários Funcionários não têm instrução de como compor uma senha
Ataques de dicionário de senha forte
Roubo da conta Engenheiro social ou hacker
3 8 24 P.S. / Obrigar e instruir o usuário a compor senhas
H Funcionários Funcionários não sabem reconhecer quando estão entrando em um site clonado
Funcionários digitarem login e senha da empresa em site clonado
Roubo de contas Hacker ou engenheiro social
7 8 56 Campanha de conscientização
37
H Funcionários Funcionários não bloqueiam a máquina quando não estão próximos
Acesso físico indevido na estação do usuário
Roubo de informações e sabotagens
Espião profissional e/ou funcionário descontente
4* 8 32 P.S. / Campanha de conscientização
H Funcionários Funcionários não estão aptos a reconhecer um ataque de engenharia social
Ataque de engenharia social ser bem sucedido
Roubo de informações Espião profissional ou engenheiro social
6 8 48 P.S. / Campanha de conscientização
P Arquivos impressos
Arquivos impressos ficam em local destrancado
Roubo do documento em papel
Vazamento de informações
Espião profissional ou funcionário descontente
3* 7 21 P.S. / Providenciar locais com tranca para arquivos e obrigar os funcionários a guardarem neste local / Campanha de conscientização
P Arquivos impressos
Não existe política de mesa limpa
Roubo do documento em papel
Vazamento de informações
Espião profissional ou funcionário descontente
3* 7 21 P.S. / Implementar política de mesa limpa
P Arquivos impressos
Não existe processo correto de destruição do lixo
Ataques de trash scan Vazamento de informações
Espião profissional 7 7 49 P.S. / Implementar política de destruição do lixo
P Arquivos impressos
Arquivos impressos viram rascunho
Pessoas indesejadas terem acesso a informações sigilosas
Vazamento de informações
Funcionário descontente ou terceiros mal intencionado
4 7 28 P.S. / Classificação da informação e política de destruição do lixo
P CPD Porta do CPD abre apenas com o crachá
Acesso indevido em caso de perda ou roubo do crachá
Roubo de informações e/ou sabotagens
Funcionário descontente ou sabotador
2 9 18 Implementar método de autenticação com senha no acesso ao CPD
T CPD Câmeras possuem pontos cegos consideráveis
Ação ilícita não ser detectada
Sabotagens ou roubo de informações
Sabotador ou espião profissional
2 3 6 Implementar mais câmeras no CPD
T CPD CPD não tem sistema Anti-Incêndio de gás – fm200
Incêndio destruir ativos de informação
Indisponibilidade e perda das informações
Incêndio 1 10 10 Instalar sistema Anti-Incêndio de gás – fm200
T CPD CPD não tem porta corta fogo Incêndio de fora se alastrar ao CPD e destruir ativos de informação
Indisponibilidade e perda das informações
Incêndio 1 10 10 Instalar porta corta fogo no CPD
T CPD CPD não tem pressurização positiva
Poeira e maresia causar danos aos equipamentos
Indisponibilidade ou perda de informações
Poeira e maresia 1 1 1 Implementar pressurização positiva no CPD
T Sistema de UPS Um dos sistemas de UPS se encontra em sala destrancada, em ambiente não monitorado
Danos, roubo e sabotagem do equipamento
Indisponibilidade do recurso
Ladrão ou sabotador 3 9 27 Colocar o sistema de UPS no CPD
T Ambiente ACE-PE
Não existe placa de aviso de ambiente filmado
Problemas judiciais Perda de processos, anulação de provas e prejuízos financeiros
Colocar placa de aviso de ambiente filmagem
4* 7 28 Colocar placa de aviso sobre ambiente filmado nas entradas da empresa
Fonte: Resultado da pesquisa de análise de risco da empresa ACE-PE.
38
Legenda:
E – Esfera da segurança da informação H = Humana
T = Tecnológica ou infra-estrutura P = Processos
R = Risco (escala de 0-10) GI = Gravidade do impacto (escala de 0-10)
TR = Total de risco X impacto * Este risco pode piorar.
4.3 Estratégia e intervenção
Com a apresentação do resultado à alta direção da empresa, foi determinada pela
diretoria de TI a busca da melhoria de seus processos quanto à segurança da informação. Para
tanto, foi requisitado palestras por meios de profissionais da TI da própria empresa como
também por consultores externos especialistas na área, com intuito de despertar a
conscientização em vários assuntos pertinentes a esse tema, tais como:
• A informação como maior ativo da organização;
• Conheça os possíveis agentes infratores da segurança em TI;
• O fator humano como ameaça ou prevenção;
• Como mitigar o risco dentro da organização;
• A engenharia social e como cuidar do patrimônio da empresa em relação aos seus dados;
• Qual é a sua responsabilidade com as informações da empresa.
No ciclo de palestras foram apresentados alguns vídeos sobre a segurança da
informação de exemplos de empresas nacionais e internacionais, e o quanto é investido nesse
tipo de consultoria bem como os impactos causados por falha na segurança da informação.
Após o ciclo de palestras, que teve duração de quatro semanas, sobre os aspectos de
segurança, os colaboradores chegaram à conclusão que era preciso se adequar as normas e
39
regras pretendidas pela empresa, a fim de garantir a continuidade e o crescimento do grupo
como um todo. O que mais surpreendeu, foi que a maior parte do grupo tinha a consciência da
necessidade dos processos de seguranças, mas que não praticavam por não se achar incluído
como membro da TI, e por não se achar responsável por outra área. A parte positiva foi à
predisposição de todos em quererem contribuir para melhoria da segurança, principalmente os
gestores do alto escalão, de forma a proteger o maior bem da empresa que são suas
informações.
Uma ação conjunta entre o departamento de Marketing e a TI foi à elaboração de
textos para mensagens via correio eletrônico, Jornal Corporativo, Intranet para distribuição
com os usuários. Esta atividade exigiu grande interação com a área de Recursos Humanos.
Para os profissionais do departamento de TI, foram realizados mini-cursos com foco
específico em cada área: suporte ao usuário, a infra-estrutura e softwares aplicativos, onde foi
possível sensibilizar que o descaso com a segurança digital pode causar muitos prejuízos a
empresa, sobretudo financeiro e com sua imagem, a partir da perda ou vazamento de dados,
ou indisponibilidade dos serviços. O ambiente e as soluções realizadas contaram com a
estrutura abaixo:
• Ações baseadas na Norma NBR ISO/IEC 27002 –Tecnologia da Informação –
Código de Prática para a Gestão da Segurança da Informação;
• Os processos foram observados sob o ponto de vista do COBIT (Control
Objectivesfor Informationand Related Technology) e com o ITIL – (Best
Practicefor SecurityManagement);
• A Sede do Grupo ACE-PE foi Cidade do Recife-PE;
• As soluções aplicadas consideraram os recursos de informação (pessoas, elementos
de tecnologia, processos de proteção) da matriz;
40
• Foi disponibilizado acesso aos recursos do Grupo ACE-PE para a realização dos
levantamentos e definições de controles, preservando informações confidenciais e
estratégicas;
• A área de Tecnologia da Informação foi a de maior demanda de tempo, porém
houve necessidade de disponibilização de tempo de executivos das áreas de
negócio, recursos humanos, jurídico e presidência;
• Houve um profissional de TI (ponto focal) do Grupo ACE-PE que concentrou as
necessidades de contados e obtenção de informação;
• Foi contratado um consultor em Segurança da Informação que orientou e apoiou
nas implementações das soluções;
• Esforço: 64 (sessenta e quatro) horas/mês, duração de 4 (quatro) meses;
• Despesas de deslocamento (São Paulo-Recife-SãoPaulo) e hospedagem do
consultor, por conta do Grupo ACE-PE;
• Ocorreram mudanças de prioridade das ações planejadas, visto as prioridades do
negócio.
Os principais benéficos para a empresa foram imediatamente percebidos pelos
diversos departamentos da empresa, alem de perceptíveis também dos clientes e fornecedores:
• A TI do Grupo ACE-PE tornou-se mais eficiente, com melhor resposta às
demandas e mais focada nos objetivos Corporativos;
• Houve mudança cultural no manuseio e trato da informação;
• O gerenciamento de TI permitiu maior controle sobre os acessos e disponibilidade
as informações;
41
• As ações no processo de segurança facilitaram o relacionamento com clientes e
fornecedores no que tange aos serviços de TI;
• Os profissionais de TI passaram a se interessar por certificações em segurança da
informação;
• Houve aumento substancial da maturidade dos objetivos de controle do CobiT;
• O orçamento para segurança da informação foi revisto e ampliado.
Naturalmente, há uma tendência, dos executivos afirmarem que a segurança da
informação de seus negócios é assunto primordial na empresa, o que não refletiu nos
resultados obtidos após a análise de risco. O estudo forneceu subsídios para atingir o primeiro
objetivo que era mapear qual era o risco relacionado à segurança da informação no ambiente
interno e externo da empresa.
A conscientização foi à chave para reverter esse quadro. O apoio pela priorização do
tema foi começar pela direção da empresa e ser disseminada por todos os funcionários. Isso,
para que a alta direção aderisse firmemente, e refletisse no comportamento dos funcionários
de modo a não apresentem reações opostas às mudanças. O processo de conscientização é
lento e gradual, mas foi encarado como prioritário. Não foi possível fazer comparações
temporais, já que este tipo de estudo não prove de históricos. Muito embora, espera-se que ao
longo dos próximos meses, os índices de incidentes com segurança reduzam
significativamente.
Por fim, foi despertada uma reserva do orçamento para segurança da informação,
antes inexiste. Após esse trabalho será observado com atenção especial investimentos para
esta subárea da TI.
5 CONCLUSÕES
A ACE-PE tem uma grande necessidade de confidencialidade e disponibilidade das
informações, pois a quebra de acordo de um desses itens resulta em punição por parte do
cliente e conseqüentemente perda de faturamento, ou até mesmo quebra de contrato. Para
atingir estes objetivos, primeiro é preciso alocar recursos de TI com funções apenas
preventivas para evitar futuros problemas e cuidar de projetos, implementar controles que são
mais urgentes e indispensáveis e posteriormente elaborar e aplicar uma política de segurança,
seguido de um plano de continuidade de negócios, plano esse embasado na governança de TI
alinhado ao negócios da empresa.
Os resultados das entrevistas, testes de segurança e questionários recolhidos foram de
grande importância para a ACE-PE, e servirá como base para a elaboração de um projeto de
segurança da informação e riscos o qual servirá de modelo para as filiais em todo Brasil.
Adicionalmente, com a ajuda deste trabalho, será criado um conjunto de terminologia
que padronizará a comunicação entre os diversos departamentos da empresa no que diz
respeito a riscos. A adesão às melhores práticas pela metodologia ITIL e CobIT, despertaram
os seguintes fóruns diretos na organização:
• Suporte aos processos de negócios às atividades desenvolvidas pelos responsáveis
pelas decisões relacionadas a TI;
• Definição de funções, regras e responsabilidades no setor de serviços TI;
• Análise dos investimentos dos processos de segurança e risco;
• Mapeamento dos serviços de TI para atender aos requisitos de um negócio
específico.
E como benefícios futuros, são esperados:
• Satisfação do cliente através de maior qualidade, na disponibilidade e no
desempenho dos serviços de TI;
• Melhoria da produtividade e eficiência através do uso planejado do conhecimento
e experiência armazenados;
• Transparência para uma abordagem sistemática do gerenciamento da qualidade no
gerenciamento dos serviços de TI;
• Melhoria na comunicação e troca de informações entre o pessoal de TI e dos
clientes (internos e externos);
• Treinamento e certificação dos profissionais de TI.
6 REFERÊNCIAS BIBLIOGRÁFICAS
ABNT NBR ISO/IEC 27002 – Tecnologia da Informação – Código de prática para gestão
da segurança da informação. Associação Brasileira de Normas Técnicas. Rio de Janeiro,
2007.
ALBUQUERQUE, Ricardo e RIBEIRO, Bruno. Segurança no Desenvolvimento de
Software – Como desenvolver sistemas seguros e avaliar a segurança de aplicações
desenvolvidas com base na ISO 15.408. Rio de Janeiro, Editora Campus, 2002.
BALDAM, Roquemar; VALLE, Rogério; PEREIRA, Humberto; HILST, Sergio; AREU,
Mauricio e SOBRAL, Valmir. Gerenciamento de Processos de Negócios. 2ª Edição, 2ª
reimpressão, São Paulo, Editora Erica, 2008.
CAMPOS, Vicente F. Gerenciamento pelas Diretrizes. Belo Horizonte, Fundação
Christiano Ottoni, Escola de Engenharia da Universidade Federal de Minas Gerais, 1996.
FAGUNDES, E. M. CobIT – Um kit de ferramentas para a excelência de TI. São Paulo,
2004. Disponível em: <HTTP://www.efagundes.com/artigos/COBIT.htm>. Acesso em:
agosto de 2009.
FERNANDES, Aguinaldo A. Implantando a Governança de TI – da estratégia a gestão dos
processos e serviços. 2ª Ed., Rio de Janeiro, Brasport, 2008.
FONTES, Edison Luiz Gonçalves. Vivendo a Segurança da Informação – orientações
práticas para pessoas e organizações. São Paulo, Editora Sicurezza, 2000.
_________ Praticando a Segurança da Informação. Rio de Janeiro, Brasport, 2008.
LAUDON, Kenneth C. e LAUDON, Jane P. Sistemas de Informação Gerenciais. Prentice
Hall; São Paulo, 2004.
LAHTI, C.B.; PETERSON, R. Sarbanes-Oxley. Conformidades TI usando CobIT e
Ferramentas Open Source. São Paulo, Atlas Books, 2006.
LOPES, Raquel Vigolvino; SAUVÉ, P. Jacques; NICOLLETI, S. Pedro. Melhores Práticas
para Gerência de redes de Computadores. 2ª tiragem, Rio de Janeiro, Editora Campus,
2003.
MAGALHAES, I. L.; PINHEIRO W. B. Gerenciamento de Serviços de TI na prática –
Uma abordagem com base no ITIL. Porto Alegre, Novatec, 2007.
MANSUR. R. Governança de TI. São Paulo, Brasport, 2007.
MARTINS, A. B.; SANTOS. C.A.S. Uma Metodologia para implantação de um Sistema
de Gestão de Segurança da Informação. Revista de Gestão e Tecnologia e Sistema de
Informação. Vol. 2, No. 2, 2005, pp. 121-136.
MICROSOFT - Guia de Gerenciamento de Riscos de Segurança. Disponível em:
<http://www.microsoft.com/brasil/security/guidance/riscos/default.mspx> Acesso em : março
de 2009.
MÓDULO – Normas de Segurança. Disponível em: <http://www.modulo.com.br> Acesso
em : outubro de 2008.
MOREIRA, Nilson S. Segurança Mínima - Uma visão Corporativa de Segurança da
Informação. Rio de Janeiro, Axcel Books, 2001.
OGC (Office of Government Commerce). Best Practice – Introdução ao ITIL - . Norwich,
United Kingdom: TSO (The Stationary Office), 2006.
OLIVEIRA, S. de. As Tríplices da Segurança da Informação. Disponível em:
<http://www.salomao.adm.br/Triplices.html> Acesso em: junho de 2009.
RAMOS, Anderson (Org). Security Officer – 2: Guia oficial para formação de gestores em
Segurança da Informação; 2ª ed. – Porto Alegre, Editora Zouk, 2008.
RASMUSSEN, M. GRC - Governança da Gerencia de Riscos e Conformidades. Disponível
em: <http://www.corp-ntegrity.com/about/grc.html> Acesso em: novembro de 2009.
REZENDE, Denis Alcides e ABREU, Aline França. Tecnologia da Informação Aplicada a
Sistemas de Informação Empresariais. São Paulo, Editora Atlas, 2000.
SÊMOLA, Marcos. Gestão da Segurança da Informação – uma visão executiva. Rio de
Janeiro, Editora Campus, 2003.
TIINSIDE. Anuário de Segurança da Informação e Gestão de Risco. Converge
Comunicações. Número um, 2008/2009.
VERMEULEN, Clive; SOLMS, R.V. The Information Security Management Tollbox –
taking the pain out of security management. Information Management & Computer
Security.10/3, pp. 119-125, 2002.
ZAPATER, Marcio e SUZUKI, Rodrigo. Segurança da Informação – Um diferencial
determinante na competitividade das corporações. São Paulo, 2008. Disponível em:
<http://www.promon.com.br>. Acesso em: dezembro de 2008.
WESTERMAN, George; HUNTER, Richard. O Risco de TI Convertendo Ameaças em
Vantagem Competitiva. São Paulo, M. Books do Brasil Editora LTDA, 2008.
WIKIPEDIA. A enciclopédia livre. Disponível em: <http://pt.wikipedia.org>. Acesso em:
agosto de 2009.
7 APÊNDICE
7.1 Apêndice 1 - Painéis da apresentação
Painel 1
ANÁLISE DE RISCO DA SEGURANÇA DA INFORMAÇÃO NO AMBIENTE DA EMPRESA ACE-PE
EDSON MATOSGTI –DCC / UFLA
Painel 2
Estrutura da apresentação
1. Introdução
2. Referencial Teórico
3. Metodologia
4. Resultados e discussão
5. Conclusão
Painel 3
1 INTRODUÇÃO
1.1 Contextualização e motivação
Segurança da informação nas organizações;Tomada de decisões;Boas práticas e controle.
1.2 Objetivos e Objetivos Específicos
O principal objetivo deste trabalho foi o estudo do ambiente tecnológico e a análise das falhas na segurança da informação, que mediu o risco da TI na Empresa – ACE-PE.
Identificar as ameaças e vulnerabilidades;Apresentar o mapa das falhas da analise de risco;Classificar as informações de acordo com o risco;Associar os riscos relatados ao potencial impacto à empresa;Apresentar soluções de melhorias e segurança ao ambiente.
Painel 4
1 INTRODUÇÃO
1.2.3 Estrutura do trabalho
Referencial Teórico;
Metodologia;
Resultados;
Conclusão.
Painel 5
2 REFERENCIAL TEÓRICO
2 Revisão da Literatura
Princípios básicos da Segurança da Informação;
Relação entre os princípios da segurança;
Processo da Segurança da Informação - Tríplice PPT;
Risco da TI e sua relações;
Normas Técnicas:
ITIL, COBIT, ABNT NBR ISO/IEC 27002 e 27005;
Mecanismos de Segurança;
Estado da Arte
Metodologia de Vermeulen e Solms (2002) e Martins e Santos (2005)
GRC – Gestão de Riscos e Conformidade.
Painel 6
2 REFERENCIAL TEÓRICO
2.3 O Risco no contexto da Segurança da Informação
Alicerce – conjunto de ativos, procedimentos e funcionários que sustentam e possibilitam os processos de negócio;
Processo de governança do risco – estrutura e processos necessários para identificar e administrar riscos sistematicamente;
Cultura de consciência – responsabilidade pessoal e comportamental.
Painel 7
3 METODOLOGIA
3.1 Tipo de pesquisa
Estudo de caso.
3.2 Procedimentos metodológicos
Na parte inicial do trabalho foi realizado um levantamento da literatura e dos fundamentos;
Na fase seguinte, foram utilizadas ferramentas para detecção de falhas e vulnerabilidades de hardware e software;
Na fase das entrevistas foi construído um instrumento para avaliar o nível de segurança denominado de análise de risco;
Por fim, uma análise das melhores práticas baseado em normas de segurança para alinhamento dos processos e análise de risco.
Painel 8
3 METODOLOGIA
3.2.1 Metodologia da Análise de Risco (Framework 4A s)
Avaliabilit (Disponibilidade);
Access (Acesso);
Accuray (Precisão);
Agitility (Agilidade).
Painel 9
4 RESULTADOS E DISCUSSÃO
4.1 A Empresa
Empresa de terceirização, Soluções em TI e Contact Center, a ACE-PE (Empresa de Serviços Avançados de TI no Estado de Pernambuco) que atualmente consta em seu quadro de funcionários 10.500 colaboradores.
O Sistema de Governança se baseia em informações gerenciais provenientes do sistema ERP , Sistemas de Recursos Humanos, Sistema de CRM e de BPMS.
Organograma:
Painel 10
4 RESULTADOS E DISCUSSÃO
4.2 O Diagnóstico
As falhas encontradas somaram um total de 64 (sessenta e quatro) itens;
Foram agrupadas em 4 (quatro) grupos de risco e impacto;
Esses itens agrupados totalizam 25 (vinte e cinco) atividades em desconfor-midade as boas práticas da segurança da informação.
Risco Alto Impacto Alto Risco Baixo Impacto Alto
Risco Alto Impacto Baixo Risco Baixo Impacto Baixo
Painel 11
4 RESULTADOS E DISCUSSÃO
4.3 Estratégia e intervenção
Requisitado palestras por meios de profissionais da TI da própria empresa como também por consultores externos especialistas na área segurança de TI;
No ciclo de palestras foram apresentados alguns vídeos sobre a segurança da informação de exemplos de empresas nacionais e internacionais;
Uma ação conjunta entre o departamento de Marketing e a TI foi a elaboração de textos para mensagens via correio eletrônico, Jornal Corporativo, Intranet para distribuição com os usuários;
Para os profissionais do departamento de TI, foram realizados mini-cursos com foco específico em cada área;
Para as 64 falhas encontradas foram apresentadas 64 soluções, apresentada na matriz de risco (70% já implementadas).
Painel 12
4 RESULTADOS E DISCUSSÃO
4.3 Estratégia e intervenção
As Ações foram baseadas na Norma NBR ISO/IEC 27002 –Tecnologia da Informação –Código de Prática para a Gestão da Segurança da Informação;
Os processos foram observados sob o ponto de vista do COBIT e ITIL;
As soluções aplicadas consideraram os recursos de informação (pessoas, elementos de tecnologia, processos de proteção) da matriz em Recife - PE;
Foi contratado um consultor em Segurança da Informação que orientou e apoiou nas implementações das soluções;
Esforço: 64 (sessenta e quatro) horas/mês, duração de 4 (quatro) meses;
Ocorreram mudanças de prioridade das ações planejadas, visto as prioridades do negócio.
Painel 13
5 CONCLUSÕES
A ACE-PE tem uma grande necessidade de confidencialidade e disponibilidade das informações, pois a quebra de um desses fatores resulta em menor faturamento por mês, ou até mesmo quebra de contrato. Para atingir estes objetivos, primeiro é preciso alocar recursos de TI com funções apenas preventivas para evitar futuros problemas e cuidar de projetos, implementar controles que são mais urgentes e indispensáveis e posteriormente elaborar e implementar uma política de segurança, seguido de um plano de continuidade de negócios, plano esse embasado na governança de TI alinhado ao negócios da empresa.
