ANDRÉ DE SOUSA CUNHA LEMOS EDUARDO JOSÉ TOMÉ …nippromove.hospedagemdesites.ws/anais_simposio/... · O presente estudo tem o objetivo de apresentar uma proposta de elaboração

TSI PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA O MERCADO SHIS SUL

ANDRÉ DE SOUSA CUNHA LEMOS EDUARDO JOSÉ TOMÉ SAMPAIO DE OLIVEIRA

CID BENDAHAN COELHO CINTRA RESUMO Este trabalho tem como objetivo elaborar uma proposta de política de segurança da informação para a empresa Mercado SHIS Sul com base nos conhecimentos adquiridos no decorrer do curso de Tecnologia em Segurança da Informação. Com o auxílio de sítios da Internet, literaturas já existentes sobre o assunto, normas e cartilhas, incialmente foi elaborado um referencial teórico com os principais conceitos relacionados à segurança da informação. Posteriormente, foram levantados, documentados os riscos mais relevantes da empresa, levando em consideração o de atividade do mercado, e então produzida uma matriz de riscos física e lógica para o ambiente da organização. Foi analisado cada item das respectivas matrizes e, f inalmente, criada a proposta para a elaboração da política da segurança da informação da empresa com base nas orientações da Norma ABNT NBR ISO/IEC 27002:2005. Palavras chaves: informação, política, segurança, riscos. ABSTRACT This w ork aims to elaborate a proposal of information security policy for the SHIS Sul Market company based on the knowledge acquired during the Information Security Technology course. With the help of Internet sites, existing literature on the subject, standards and booklets, a theoretical framew ork with the main concepts related to information security was initially developed. Subsequently, the most relevant risks of the company were documented, taking into account the activity of the market, and then produced a physical and logical risk matrix for the organization's environment. Each item of the respective matrix was analyzed and, f inally, a proposal was prepared for the elaboration of the company's information security policy based on the guidelines of ISO / IEC 27002: 2005. Key words: information, policy, security, risks. INTRODUÇÃO Vive-se em um mundo em que, atualmente, está o tempo todo conectado. Empresas estão conectadas a seus funcionários muitas vezes quando eles nem estão em seus escritórios. A tecnologia tem aumentado em proporções grandiosas, o fluxo de informação e de conteúdo de todas as espécies não param de crescer e atingir os mais variados tipos de públicos. Todos estão conectados quase em tempo integral, seja por meio de dispositivos sem mobilidade ou, principalmente, através de dispositivos móveis. Da mesma maneira que avançam os ganhos em tecnologia, pessoas mal-intencionadas se dedicam a criar maneiras de praticar crimes virtuais, pois a cada dia a participação de usuários na rede mundial de computadores, seja com o público doméstico, seja ele corporativo, têm crescido. O comércio eletrônico tem sido cada dia mais difundido entre todos os públicos; as empresas têm garantido, a cada dia, uma fatia maior nesse mercado e aumentado seus investimentos em tecnologia, infraestrutura e pessoal treinado no ramo do comércio eletrônico; tem aumentado, também, a procura por profissionais dedicados à segurança da informação.

A segurança da informação, nos dias atuais, não pode ser deixada de lado e a ela deve ser dada a mesma importância que é dada ao negócio em si, pois a informação é um ativo de grande valor para qualquer organização. O presente estudo tem o objetivo de apresentar uma proposta de elaboração de política de segurança da informação para o Mercado SHIS Sul, usando como referência a Norma ABNT NBR ISO/IEC 27002:2005. JUSTIFICATIVA O mercado SHIS Sul foi escolhido tendo em vista que, suas atividades envolvem considerável fluxo financeiro e muitas de suas transações são efetuadas com dinheiro em espécie. São observados dentro da empresa ativos financeiros, humanos, tecnológicos, de infraestrutura, documental, patrimonial, e sobretudo seu estoque, sendo este o ativo que move a atividade da empresa. Todos os ativos mencionados serão levados em consideração na elaboração da proposta de política de segurança da informação do mercado SHIS Sul. A proposta de política de segurança da informação para a empresa leva em consideração o tipo de atividade exercida pela instituição, o público alvo, as instalações físicas e recursos lógicos presente na empresa, além de

Simpósio de TCC e Seminário de IC , 2016 / 2º 2591

propor melhorias e soluções para os riscos observados na empresa. Uma política de segurança da informação com critérios bem definidos é fundamental para a continuidade das atividades da empresa tendo em vista que todo o patrimônio da empresa, recursos financeiros e humanos, documentação ali mantida e, principalmente, os produtos que ali compõem sua estrutura de vendas, são a parte vital da empresa OBJETIVOS OBJETIVO GERAL Propor uma política de segurança da informação para a empresa Mercado SHIS Sul tendo como referência a Norma ABNT NBR ISO/IEC 27002:2005. OBJETIVOS ESPECÍFICOS • Estudar bibliografias, sítios da Internet, cartilhas e documentos afins ao assunto; • Levantar os ativos de informação, físicos e lógicos da empresa; • Identificar falhas e riscos potencias aplicados a cada tipo de ativo da empresa; • Propor melhorias e soluções tendo por base a Norma ABNT ISO/IEC 27002:2005; • Elaborar uma política de segurança informação para a empresa Mercado SHIS Sul tendo como referência a ABNT NBR ISO/IEC 27002:2005. METODOLOGIA Para elaborar este estudo foram executados os seguintes processos metodológicos. • Busca de material para elaboração do referencial teórico; • Estudo de bibliografias diversas e buscas no ambiente da Internet; • Verificação do ambiente da organização, coleta de fotografias, análise dos aspectos físicos e lógicos e dos recursos tecnológicos presentes dentro da organização levando em consideração todo o ambiente da empresa e o levantamento dos ativos presente na mesma; • Elaboração das matrizes de risco físico e lógico tendo por base a matriz de risco proposta por Ferreira (2008, p 179). • Análise dos dados incluídos em cada umas das matrizes; • Proposta de melhorias e soluções aos riscos observados; • Estudo de caso com base no cenário observado na empresa; • Elaboração da política de segurança da informação em consonância com Norma ABNT NBR ISO/IEC 27002:2005 em conjunto com os dados coletados com o gerente da empresa e

levando em consideração as matrizes de risco já anteriormente apresentadas. REFERENCIAL TEÓRICO INFORMAÇÃO

A informação atualmente é de grande valor para as organizações, sendo ela em meio digital ou não, portanto é um bem que deve ser protegido. Lyra (2008, p.5) define que: A informação é um bem de grande valor para os processos de negócios da organização, mas também devemos considerar a tecnologia, o meio que a suporta, que a mantém e que permite que ela exista as pessoas que a manipulam e o ambiente onde ela está inserida. Conforme a ABNT NBR ISO/IEC 27002 (2005, p.x), A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e, consequentemente, necessita ser adequadamente protegida. Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectados. Como um resultado deste incrível aumento da interconectividade, a informação está agora exposta a um crescente número e a uma grande variedade de ameaças e vulnerabilidades. SEGURANÇA DA INFORMAÇÃO

Existem práticas que permitem garantir a segurança da informação dentro de uma organização. Pode-se destacar a confidencialidade, disponibilidade e integridade, como aspectos fundamentais para que seja garantida esta segurança, dentre os demais aspectos existentes. Lyra (2008, p.03) define: Quando falamos em segurança da informação, estamos nos referindo a tomar ações para garantir a confidencialidade, integridade, disponibilidade e demais aspectos da segurança das informações dentro das necessidades do cliente.

Conforme a Norma ABNT NBR ISO/IEC 27002 (2005, p.1):

Segurança da informação: preservação da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas.

De acordo com Ferreira (2003, p.11),


A norma é de fácil compreensão, contemplando os seguintes pilares básicos da segurança da informação. a) Confidencialidade: somente pessoas devidamente autorizadas pela empresa devem ter acesso à informação. b) Integridade: somente alterações, supressões e adições autorizadas pela empresa devem ser realizadas nas informações. c) Disponibilidade: a informação deve estar disponível para as pessoas autorizadas sempre que necessário ou demandado. Para Beal (2005, p.49), Política de segurança é um conjunto de diret rizes gerais destinadas a governar a proteção a ser dada a ativos da companhia. As consequências de uma política de segurança implementada e corretamente seguida podem ser resumidas em três aspectos. . Redução da probabilidade de ocorrência. . Redução dos danos provocados por eventuais ocorrências. . Criação de procedimentos para se recuperar de eventuais danos. CONCEITOS RELACIONADOS À SEGURANÇA DA INFORMAÇÃO ATIVO Ativo é tudo aquilo que gera valor dentro de uma organização. Pode-se citar a informação, não importando o seu meio (físico ou digital), softwares, serviços, pessoas, o patrimônio da organização dentre outros

Conforme Moreira (2001, p.20): "Ativo é tudo que manipula direta ou indiretamente uma informação, inclusive a própria informação, dentro de uma organização, e é isso que deve ser protegido contra ameaças para que o negócio funcione corretamente".

Segundo a norma ABNT NBR ISO/IEC 27002(2005, p.21) pode-se classificar os ativos em alguns tipos, dentre eles incluem-se: a) Ativos de informação: base de dados e arquivos, contratos e acordos, documentações de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos

de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas; b) Ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários; c) Ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos; d) Serviços: serviços de computação e comunicações, utilidades gerais, por exemplo, aquecimento, iluminação, eletricidade e refrigeração; e) Pessoas e suas qualificações, habilidades e experiências. f) Ativos Intangíveis, tais como a reputação e a imagem da organização. CLASSIFICAÇÕES DOS ATIVOS DE INFORMAÇÕES

Com base na Norma ABNT NBR ISO/IEC 27002 (2005, apud DANTAS, 2011, p.87) verifica-se que: "A Norma orienta que devem ser levados em consideração na classificação de um ativo o seu valor, os requisitos legais, a sensibilidade e a criticidade para a organização".

Conforme a Norma ABNT NBR ISO/IEC 27002/2005, p.23),

Convém que a classificação da informação e seus respectivos controles de proteção levem em consideração as necessidades de negócio para compartilhamento ou restrição de informações e os respectivos impactos nos negócios, associados com tais necessidades. Convém que as diretrizes para classificação incluam convenções para classificação inicial e reclassificação ao longo do tempo, de acordo com algumas políticas de controle de acesso predeterminadas. Convém que cuidados sejam tomados com a quantidade de categorias de classificação e com os benefícios obtidos pelo seu uso. Esquemas excessivamente complexos podem tornar o uso incômodo e ser inviáveis economicamente ou impraticáveis. Convém que atenção especial seja dada na interpretação dos rótulos de classificação sobre documentos de outras organizações. Que podem ter definições diferentes para rótulos iguais ou semelhantes aos usados.

Para melhor compreensão de como é feita essa classificação dos ativos de informação, o Quadro 01 a seguir pode ser utilizado como parâmetro:

Quadro 01 – Inventário de ativos

NATUREZA DO ATIVO ATIVOS DA INFORMAÇÃO


Informação

• Banco de dados e arquivos magnéticos

• Documentação de sistemas e manual do

usuário

• Material de treinamento

• Procedimentos operacionais de recuperação

• Planos de continuidade

Documentos em papel

• Contratos

• Documentos de empresa

• Relatórios confidenciais

Software

• Aplicativos

• Sistemas operacionais

• Ferramentas de desenvolvimento

• Utilitários do sistema

Físico

• Servidores, desktops e notebooks.

• Impressoras e copiadoras.

• Equipamentos de comunicação.

• Mídias magnéticas.

• Gerador, nobreak e ar-condicionado.

• Móveis prédios e salas.

Pessoa

• Empregados, estagiários, terceiros.

Serviços ou atividades

• Computação (aplicação de patches, backup).

• Comunicação (ligações telefônicas,

videoconferência).

• Utilidades gerais.

Fonte: Ferreira; Araújo (2008, p.78 e 79)

RISCO Conforme Ferreira; Araújo (2008, p.163):

"Risco: trata-se de um possível evento/ação que, se efetivado, gera um impacto negativo, em função da exploração da fraqueza/vulnerabilidade, considerando tanto a probabilidade quanto o impacto de ocorrência".

De acordo com a análise feita por Gaivéo (2007) o risco pode ser classificado em três fatores que, dependendo da ameaça, podem ser distintos, mas não impedindo que sejam relacionados: • Ao grau existente dessa possível vulnerabilidade; • Quanto a possibilidade da concretização dessa ameaça, baseando-se na vulnerabilidade.

• De qual seria o impacto negativo dessa concretização em termos de bens, informações e lógicos para a organização. VULNERABILIDADE

Vulnerabilidade é alguma fraqueza existente em qualquer sistema que pode ser explorada por ameaças com intuito de causar dano ao sistema, roubo ou perda de informações, divulgações indevidas, dentre outros danos ou fraudes.

A ABNT NBR ISO/IEC 27005(2008) relata

que a vulnerabilidade é a existência de um “tendão de Aquiles” nas defesas da Informação. São fraquezas de diversos tipos, como software e fator humano, que estão em constante ameaça de ataques, como o DoS e, até mesmo da força da natureza.


O gráfico 01 apresenta a evolução das vulnerabilidades relacionadas à segurança da informação do ano de 1988 a 2012. Gráfico 01 – Vulnerabilidades

Fonte: Empresa SourceFire

Observando o gráfico, verifica-se não mais a quantidade e sim os tipos das vulnerabilidades dos últimos 25 anos, sendo as 5 maiores incidências:

• Buffer Errors – 14% • XSS – 13% • Access Control – 11% • SQL Injection – 10% • Input Validation – 10%

De acordo com Sêmola (2003, p.48), Vulnerabilidade é a fraqueza presente ou associada a ativos que manipulam e/ou processam informações que, ao ser explorada por ameaças, permite ocorrência de um incidente de segurança da informação: confidencialidade, integridade e disponibilidade. As vulnerabilidades por si só não provocam incidentes, pois são elementos passivos, necessitando para tanto de um agente causador ou condição favorável, que são as ameaças. AMEAÇA

“Ameaças são agentes ou condições que, ao explorarem as vulnerabilidades, podem provocar danos e perdas.” (Freitas, 2009, p.32).

Conforme Sêmola (2003, p. 47 e 48),

Ameaças são agentes que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidade, provocando perdas de confidencialidade, integridade e disponibilidade e, consequentemente, causando impactos aos negócios de uma organização. Classificando as ameaças quanto a sua intencionalidade, elas podem ser divididas nos seguintes grupos:

• Naturais: ameaças decorrentes de fenômenos naturais, como incêndios naturais, enchentes, terremotos, tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc. • Involuntárias: ameaças inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causadas por acidentes, erros, falta de energia etc. • Voluntárias: ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários. ATAQUE Quando uma vulnerabilidade é explorada por alguma ameaça tem-se um efetivo ataque. Os ataques, normalmente, colocam em risco um sistema e podem ter como objetivo roubo, divulgação ou alteração da informação. De acordo com Ferreira; Araújo (2008, p. 172), Um ataque pode ser uma tentativa maliciosa de obter acesso não autorizado a um sistema podendo comprometer a confidencialidade, integridade e disponibilidade das informações ou somente para obtenção de acesso para efetuar algum tipo de consulta ou suporte, mas burlando a segurança. De acordo com Cert.br (2015) os principais motivos que levam o indivíduo a desferir ataques na Internet são: • Demonstração de poder: mostrar a uma empresa que ela pode ser invadida ou ter os serviços suspensos e, assim, tentar vender serviços ou chantageá-la para que o ataque não ocorra novamente. • Prestígio: vangloriar-se, perante outros atacantes, por ter conseguido invadir computadores, tornar serviços inacessíveis ou


http://www.cert.br/

http://www.cert.br/

http://www.cert.br/

desfigurar sites considerados visados ou difíceis de serem atacados; disputar com outros atacantes ou grupos de atacantes para revelar quem consegue realizar o maior número de ataques ou ser o primeiro a conseguir atingir um determinado alvo. • Motivações financeiras: coletar e utilizar informações confidenciais de usuários para aplicar golpes (mais detalhes no Capítulo Golpes na Internet). • Motivações ideológicas: tornar inacessível ou invadir sites que divulguem conteúdo contrário à opinião do atacante; divulgar mensagens de apoio ou contrárias a uma determinada ideologia. • Motivações comerciais: tornar inacessível ou invadir sites e computadores de empresas concorrentes, para tentar impedir o acesso dos clientes ou comprometer a reputação destas empresas. Existem diversas formas de ataques que continuam aumentando a cada dia tendo em vista o avanço tecnológico. Não existe proteção completa, pois a criatividade e experiência de atacantes vêm, diariamente, surpreendendo os profissionais das áreas de segurança da informação. Conforme Cert.br (2015) eis os mais importantes e mais conhecidos tipos de ataques; • Malwares são códigos maliciosos () são programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador. Vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos. Para que possa se tornar ativo e dar continuidade ao processo de infecção, o vírus depende da execução do programa ou arquivo hospedeiro, ou seja, para que o seu computador seja infectado é preciso que um programa já infectado seja executado. Alguns dos tipos de vírus mais comuns são vírus propagados por e-mail, vírus de script, vírus de macro e vírus de telefone celular. • Worm: é um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, mas sim pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores. Worms são notadamente responsáveis por consumir muitos recursos, devido à grande quantidade de cópias de si mesmo que costumam propagar e, como consequência, podem afetar o desempenho de redes e a utilização de computadores.

• Bot e botnet: é um programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente. Possui processo de infecção e propagação similar ao doworm, ou seja, é capaz de se propagar automaticamente, explorando vulnerabilidades existentes em programas instalados em computadores. A comunicação entre o invasor e o computador infectado pelo bot pode ocorrer via canais de IRC, servidores Web e redes do tipo P2P, entre outros meios. Ao se comunicar, o invasor pode enviar instruções para que ações maliciosas sejam executadas, como desferir ataques, furtar dados do computador infectado e enviar spam. Um computador infectado por um bot costuma ser chamado de zumbi (zombie computer), pois pode ser controlado remotamente, sem o conhecimento do seu dono. • Spyware: é um programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas para terceiros. Pode ser usado tanto de forma legítima quanto maliciosa, dependendo de como é instalado, das ações realizadas, do tipo de informação monitorada e do uso que é feito por quem recebe as informações coletadas. Pode ser considerado de uso legítimo ou malicioso. Alguns tipos específicos de programas spyware são: • Keylogger: capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. • Screenlogger: similar ao keylogger, capaz de armazenar a posição do cursor e a tela apresentada no monitor. • Adware: projetado especificamente para apresentar propagandas. • Backdoor: é um programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços criados ou modificados para este fim. Pode ser incluído pela ação de outros códigos maliciosos, que tenham previamente infectado o computador, ou por atacantes, que exploram vulnerabilidades existentes nos programas instalados no computador para invadi-lo. • Cavalo de troia (Trojan): é um programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário. • Rootkit: é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido. ” ENGENHARIA SOCIAL Segundo Ferreira (2003, p.79) Esta forma para obtenção de informações é uma das mais perigosas e eficientes utilizadas pelos invasores. Um bom exemplo de ataque de engenharia social é o de ligar para um setor de


http://cartilha.cert.br/golpes/





informática de uma corporação, dizendo-se ser um novo funcionário de um determinado setor e falar que precisa de um código de usuário e senha para acesso ao sistema. Ferreira (2003) descreve a engenharia social como um método de obter informações importantes de usuários sem a necessidade de realizar uma invasão a sistemas ou softwares. Para Ferreira; Araújo (2008, p.119) “o sucesso no ataque de engenharia social ocorre geralmente quando os alvos são pessoas ingênuas ou aquelas que simplesmente desconhecem as melhores práticas de segurança”. NORMA ABNT NBR ISO/IEC 27002:2005 O que é? Conforme sítio da Internet Webinsider a chamada ABNT NBR ISO/IEC 27002 é conhecida como uma norma para os códigos de práticas para gestão de segurança da informação e refere-se a quais requisitos devem ser implementados pela organização, sendo também um guia que orienta a utilização dos controles de segurança. Estrutura A referida norma tem como objetivo estabelecer diretrizes para implantar uma gestão eficaz de riscos dentro de alguma organização levando em conta os ativos, o ambiente da organização, dentre outros vários diversos fatores, sendo a mesma dividida em 16 sessões: 0. Introdução; 1. Objetivo; 2. Termos e definições; 3. Estrutura da norma; 4. Análise/avaliação e tratamento de riscos;

5. Política de segurança da informação; 6. Organizando a segurança da informação; 7. Gestão de ativos; 8. Segurança em recursos humanos; 9. Segurança física do ambiente; 10.Gerenciamento das operações e comunicações; 11.Controle de acessos; 12.Aquisição, desenvolvimento e manutenção de sistemas da informação; 13.Gestão de incidentes de segurança da informação; 14.Gestão da continuidade do negócio; 15.Conformidade. MATRIZ DE RISCO A matriz de risco é um documento onde são relacionados os impactos e riscos, descrevendo detalhadamente cada um deles e, classificando-os em relação ao nível de severidade para definir quais níveis são aceitáveis dentro de uma organização ou negócio. “A melhor forma de determinar o grau de risco é relacionar em detalhes quais seriam os impactos para a organização, se uma ameaça conseguir explorar uma vulnerabilidade” (FERREIRA; ARAÚJO, 2008, p. 177). Segundo Sêmola (2003, p. 112) Calculada a probabilidade e severidade de uma ameaça explorar cada uma das vulnerabilidades encontradas em cada ativo, obtemos o nível de risco final de cada ativo. De posse desses resultados parciais, podemos projetar o nível de risco de cada processo de negócio, considerando os riscos de cada ativo que o sustenta. A partir desse momento, podemos estimar o risco do negócio como um todo, calculando de forma ponderada os riscos de cada um dos processos de que o negócio que o suporta

O quadro 02 expressa o nível de probabilidade da exploração de vulnerabilidades:

Quadro 02 – Definição do nível de probabilidade NÍVEL DEFINIÇÃO

Alto A fonte de ameaça está altamente motivada e possui conhecimento suficiente para execução do ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada são ineficazes.

Médio A fonte de ameaça está motivada e possui conhecimento suficiente para execução do ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada são eficazes.

Baixo

A fonte de ameaça não está altamente motivada e não possui conhecimento suficiente para execução do ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada são eficazes.

Fonte: Ferreira (2008, p.177) O quadro 03 mostra a definição de impacto em vários níveis:


Quadro 03 – Definição do nível de impacto

NÍVEL DEFINIÇÃO

Alto • Perda significante dos principais ativos e recursos. • Perda da reputação, imagem e credibilidade. • Impossibilidade de continuar com as atividades de negócio.

Médio • Perda dos principais ativos e recursos. • Perda da reputação, imagem e credibilidade.

Baixo • Perda de alguns dos principais ativos e recursos. • Perda da reputação, imagem e credibilidade.

Fonte: Ferreira (2008, p.178)

Segundo Ferreira; Araújo (2008, p.179):" a determinação do risco é obtida pela multiplicação da classificação da probabilidade de ocorrência versus o impacto na organização", expressa no quadro 04, a seguir: Quadro 04 – Modelo de matriz do nível de risco

PROBABILIDADE IMPACTO

Baixo (10) Médio (50) Alto (100)

Alto (1,0) Baixo 10 x 1,0 = 10 Médio 50 x 0,1 = 50 Alto 100 x 0,1 = 100

Médio (0,5) Baixo 10 x 0,5 = 5 Médio 50 x 0,1 = 25 Médio 100 x 0,5 = 50

Baixo (0,1) Baixo 10 x 0,1 = 1 Baixo 50 x 0,1 = 5 Baixo 100 x 0,1 = 10

Escala de risco:

- Alto: pontuação entre 51 e 100

- Médio: pontuação entre 11 e 50

- Baixo: pontuação entre 1 e 10

Fonte: Ferreira (2008, p.

179)

Para Ferreira; Araújo (2008, p.180): "Após a determinação da matriz do nível de riscos, deve ser especificada a descrição do nível do risco (Alto, Médio e Baixo), bem como as ações necessárias para diminuí-lo " conforme quadro 05: Quadro 05 – Definição do nível de riscos

NÍVEL DEFINIÇÃO

Alto

Se uma possibilidade de melhoria for avaliada como sendo de alto risco, existe necessidade imediata para contramedidas serem adotadas. Os sistemas podem continuar operando, entretanto, ações corretivas devem ser iniciadas o mais breve possível.

Médio Se uma possibilidade de melhoria for classificada como sendo de médio risco, ações corretivas estabelecidas em um plano de ação, devem ser realizadas em um curto período de tempo.

Baixo

Se uma observação for classificada como sendo de baixo risco, os administradores e proprietários das informações devem avaliar a necessidade de efetuar manutenção corretiva ou assumir o risco.

Fonte: Ferreira (2008, p. 179)


SEGURANÇA DO AMBIENTE FÍSICO A segurança do ambiente físico prevê normas e práticas para acesso físico às instalações da organização, tratando do controle de acesso de terceiros e funcionários, prevenindo contra o acesso indevido às áreas mais sensíveis da organização como data-centers e locais de guarda de documentos importantes.

Segundo a norma ABNT NBR ISO/IEC 27002 (2005, p. 32),

Prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Convém que as instalações de processamento da informação críticas ou sensíveis sejam mantidas em áreas seguras, protegidas por perímetros de segurança definidos, como barreiras de segurança e controles de acesso apropriado. Convém que sejam fisicamente protegidas contra o acesso não autorizado, danos e interferências.

“Qualquer acesso às dependências da

organização, desde as áreas de trabalho até àquelas consideradas severas (onde ocorre o procedimento das informações críticas e confidenciais ) deve ser controlado sempre fazendo necessária a sua formalização.” (FERREIRA; ARAÚJO, 2008, p. 123)

“Diretrizes para a proteção dos recursos e instalações de procedimento de informações críticas ou sensíveis do negócio contra acesso não autorizado, dano ou interferência. ” (BEAL, 2005 p.45) PERÍMETRO FÍSICO

Conforme a norma ABNT NBR ISO/IEC 27002 (2005, p.32):

Convém que sejam utilizados perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) para proteger as áreas que contenham informações e instalações de processamento da informação. SEGURANÇA DO AMBIENTE LÓGICO Para a segurança do ambiente lógico devem ser previstas diretrizes que protejam os recursos computacionais da organização, normas para a criação de senhas fortes, proibição de instalação de softwares não homologados pela empresa, criação de perfis de usuários e proteção de acesso à servidores de arquivos dentro da organização.

“Segurança do ambiente lógico: Diret rizes para garantir a operação correta e segura dos recursos computacionais e proteger a integridade dos serviços.” (BEAL, 2005, p.45).

Ainda de acordo com Beal (2005, p.61), Os usuários de ativos de informações somente poderão utilizá-los por meio de chaves de acesso, autenticadas por senhas secretas de seu exclusivo conhecimento. As senhas são sigilosas, individuais e intransferíveis, não podendo ser divulgada em nenhuma hipótese. As operações sob o uso de determinada senha são de responsabilidade exclusiva de seu possuidor. Recomenda-se que as senhas não sejam anotadas em papel ou outros meios de registro de fácil acesso. Segundo a norma ABNT NBR ISO/IEC 27002 (2005, p. 66), Convém que procedimentos formais sejam implementados para controlar a distribuição de direitos de acesso a sistemas de informação e serviços. Convém que os procedimentos cubram todas as fases do ciclo de vida de acesso do usuário, da inscrição inicial como novos usuários até o cancelamento final do registro de usuários que já não requer acesso a sistemas de informação e serviços. Convém que atenção especial seja dada, onde apropriado, para a necessidade de controlar a distribuição de direitos de acesso privilegiado que permitem os usuários mudar controles de sistemas. Convém que exista um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços.

Segundo Ferreira; Araújo (2008, p.45): "Segurança lógica: prevenção contra acesso não autorizado".

Destacado por Moreira (2001), existem

alguns critérios para manter o ambiente lógico da empresa mais seguro:

• Escolha de uma senha forte; • Tamanho da senha deve ser mediana; • Bloqueio da conta por um número limite de tentativas de acessos malsucedidas; • Bloqueio da conta por tempo de inatividade; e • Controle sobre instalações de softwares nos computadores da empresa. FERRAMENTAS PARA PROTEÇÃO DO AMBIENTE LÓGICO Conforme a cartilha CERT.BR (2012, p.55): Ferramentas antimalware são aquelas que procuram detectar e, então, anular ou remover os códigos maliciosos de um computador. Antivírus, antispyware, antirootk it e antitrojan são exemplos de ferramentas deste tipo. Ainda que existam ferramentas específicas para os diferentes tipos de códigos maliciosos, muitas vezes é difícil delimitar a Área de atuação de cada uma delas, pois a definição¸ do tipo de código malicioso depende de cada fabricante e


muitos códigos mesclam as características dos demais tipos. Entre as diferentes ferramentas existentes, a que engloba a maior quantidade de funcionalidades é o antivírus. Apesar de inicialmente eles terem sido criados para atuar especificamente sobre vírus, com o passar do tempo, passaram também a englobar as funcionalidades dos demais com que alguns deles caíssem em desuso. Para Moreira (2001, p.126): Firewall é um dispositivo de rede, pode ser um computador, um roteador ou um software, que filtra o acesso a uma rede de computadores que precisa de proteção. Ele protege a rede de sua empresa contra pessoas não-autorizadas e permite que pessoas autorizadas tenham acessos aos serviços da Internet, tais como Web e correio eletrônico, a partir de dentro da empresa. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Uma política de segurança da informação tem como objetivo criar diretrizes e normas para que haja proteção aos ativos de qualquer empresa. O levantamento desses ativos são de grande importância para elaboração deste documento, pois, as normas serão estabelecidas tendo como referência este levantamento. A participação dos envolvidos no negócio, e não somente dos envolvidos na área de tecnologia é de grande importância, pois toda a empresa deve ser resguardada e não ficar limitada somente à proteção dos recursos tecnológicos da empresa. A alta gestão é fundamental em todo o processo de criação e, principalmente, na

aprovação da política. A ciência e treinamento dos funcionários torna-se muito importante na implantação da política de segurança e a ausência desta ciência, pode torná-la sem efeito. De acordo com a norma ABNT NBR ISO/IEC 27002 (2005, p.ix), Segurança da informação é a proteção da informação de vários tipos de ameaça para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os negócios e de segurança da organização sejam atendidos. Convêm que isto seja feito em conjunto com outros processos de gestão do negócio. A EMPRESA

O Mercado SHIS Sul, localizado em Taguatinga Sul, é uma empresa do ramo de distribuição que oferece venda de produtos diversos tendo como alvo o público doméstico. O mercado dispõe da venda de produtos aliment ícios, higiene e limpeza, produtos de armarinho, costura, padaria dentre outros. A empresa funciona desde 1990, fica situada no endereço QSF 02 lote 302 (figura 01) e preza pelo bom atendimento, excelência e pela boa prestação de serviços em sua área de atuação, prestando, inclusive, serviço de entrega de produtos aos clientes.

Figura 01 – Fachada da Empresa

Fonte: Os autores


ESTRUTURA DA EMPRESA

A distribuição física da empresa conta com dois andares em um lote residencial transformado em comercial para esta finalidade, e é dividida em setores, sendo estes: escritório, área de caixas, setor de compras em varejo de gêneros aliment ícios, limpeza e higiene, açougue, padaria no andar inferior e setores de produtos de armarinho, costura e produtos para casa em geral, e ainda, uma pequena área de estoque no andar superior. O horário de funcionamento da empresa, em dias úteis, é de 06:00 horas até as 22:00 horas e, em dias não úteis, de 06:00 horas até as 14:00 horas.

A empresa conta com um gerente, responsável pelas atividades de coordenação do demais funcionários, realização de pedidos, pagamentos e recebimentos de produtos junto aos fornecedores e, prestação de contas ao contador contratado para atuar junto à empresa. A empresa dispõe, ainda, de dois operadores de caixa, um açougueiro, um padeiro, um funcionário de serviços gerais, um atendente na área superior para os produtos de armarinho e um entregador. O gerente trabalha em um escritório situado próximo à escada de acesso ao segundo andar do mercado (figura 02). Não é mantido em nenhum sistema informatizado registro de fornecedores e nem mesmo de clientes, estes registros são feitos somente através dos documentos físicos que

ficam mantidos no gaveteiro ou armário do escritório. Ainda no escritório pode ser percebida a presença de várias caixas mantidas ao lado do armário e essas caixas são de produtos de venda para reposição que estão ali guardadas incorretamente, pois há um área de estoque para esse fim.

Figura 02 – Escritório

Fonte: Os autores

A área dos caixas fica situada logo na entrada da empresa, composta por duas estruturas para dois caixas, onde atuam dois operadores de caixa responsáveis pelo registro de venda e baixa em estoque dos produtos escolhidos pelos (figura 03).

Figura 03 – Área de caixas

Fonte: os autores


A área de produtos de varejo fica no andar inferior, à direita da entrada, próxima aos caixas e conta com estantes com produtos de gênero aliment ícios, higiene e limpeza (figura 04). Esta área conta com três estantes onde os produtos estão divididos de acordo com o seu gênero. Figura 04 – Área de produtos de varejo

Fonte: os autores

Ao fundo do mercado, ainda no andar inferior, se encontram a padaria e o açougue (figura 05). Figura 05 – Açougue e padaria

Fonte: os autores No andar superior está localizado o setor de armarinho e produtos diversos (figura 06). Neste setor um funcionário é responsável pelo atendimento aos clientes e a metodologia utilizada para atendimento é por meio de balcão. Neste setor, o cliente não vai diretamente fazer a coleta dos produtos, e um funcionário faz o atendimento ao cliente, efetuando a entrega do produto desejado para o mesmo e fazendo o registro dos itens no sistema que gera, um número de compra para posterior pagamento no caixa.

Figura 06 – Setor de armarinho e produtos diversos

Fonte: os autores


Existe, ainda, uma pequena área de estoque em frente à escada de acesso ao andar superior, onde alguns produtos não perecíveis são mantidos para eventual reposição às estantes do andar inferior (figura 07). Figura 07 – Área de estoque

Fonte: os autores ASPECTOS RELACIONADOS À SEGURANÇA FÍSICA O acesso físico à empresa é feito através da porta principal não sendo feito nenhum controle de acesso, pois o foco da empresa é o acesso livre de clientes. Não existe nenhum tipo controle de acesso físico para funcionários e colaboradores na empresa. O escritório não

possui porta, sendo o acesso, livre para qualquer pessoa, funcionário ou não, o que constitui uma falha grave de segurança, pois diversos documentos são mantidos nesse local. O acesso ao escritório se dá pela mesma escada que dá acesso ao piso superior da empresa e, essa escada é de livre acesso para clientes e funcionários (figura 08).

Figura 08 – Acesso ao escritório

Fonte: os autores


No escritório, há um gaveteiro com fechadura onde são mantidos documentos, faturas e contratos diversos. Esse gaveteiro possui chaves, mas estas são mantidas na fechadura durante o período de funcionamento, comprometendo a segurança dos documentos ali mantidos (figura 09). Figura 09 – Gaveteiro do escritório

Fonte: os autores

Ainda no escritório, existe um armário, onde, assim como o gaveteiro, possui fechadura com chave, entretanto, a chave fica sempre na fechadura durante o horário de funcionamento do mercado (figura 10).

Figura 10 – Armário do escritório

Fonte: os autores

Há um sistema de monitoramento interno com 5 câmeras instaladas em vários setores do mercado (figura 11), com ênfase de imagens da área de caixa, porém o sistema de gravação (DVR) não está localizado em local adequado, ficando em cima de um armário na mesma estrutura do caixa onde clientes e qualquer funcionário pode ter acesso ao equipamento e, ainda, em cima do aparelho DVR está um recipiente com produtos de venda podendo causar algum dano ao equipamento (figura 12). Figura 11 – Câmeras de segurança

Fonte: os autores


Figura 12 – Equipamento de gravação de imagens (DVR)

Fonte: os autores No edifício estão instalados extintores de incêndio, entretanto não há para-raios ou algum outro tipo de sistema contra incêndio, sendo os extintores os únicos recursos de combate a incêndios (Figura 13). Figura 13 – Extintor

Fonte: os autores O modem de Internet (figura 14) fica em

local inadequado, pois está localizado próximo aos caixas em um armário que permite acesso de qualquer pessoa. Este modem também atua como roteador de Internet sem fio e, os cabos de rede e de energia ficam expostos, sem qualquer tipo de organização. Pode ser notada, ainda, a presença de garrafas de bebidas diversas

próximas ao equipamento, sendo um risco para estes dispositivos. O acesso à Internet tem a finalidade principal de manter contato com os fornecedores, efetuar pedidos de fornecimento, emissão de boletos e faturas e manter acesso com Internet Banking disponível para a empresa.

Figura 14 – Modem de Internet com roteador sem fio

Fonte: os autores

No andar superior, onde está localizado o balcão de atendimento aos clientes que procuram produtos de armarinho e outros produtos em geral, observa-se vários fios soltos e desorganizados, com o uso extensões de energia elétrica próximos à estação de trabalho do funcionário atendente do balcão. Observa-se, ainda, que o gabinete da estação de trabalho está no chão sem nenhuma proteção e sem observar


os padrões técnicos para esse tipo de equipamento. O local pode dar a impressão de ser uma espécie de depósito, mas na verdade, trata-se de da parte interna do balcão de

atendimento aos clientes onde pode-se observar, ainda, a presença de objetos pessoais de funcionários, produtos de vendas e até mesmo papéis diversos no mesmo ambiente (figura 15).

Figura 15 – Fios expostos próximo à estação de trabalho

Fonte: os autores A empresa possui, ainda, luzes de emergência que se acendem automaticamente na falta de energia elétrica, servindo como um dispositivo de segurança para as pessoas que frequentam o estabelecimento, entretanto não há avisos indicativos junto ao dispositivo (figura 16). Figura 16 – Luzes de emergência

Fonte: os autores

Para a segurança da empresa quando a mesma está fechada, as portas possuem travas padrões (figura 17) para o modelo de porta, além de travas extras com cadeados (figura 18). A empresa não possui qualquer sistema de alarme. Figura 17 – Travas padrões das portas


Fonte: os autores Figura 18 – Reforço das portas com cadeados

Fonte: os autores ASPECTOS RELACIONADOS À SEGURANÇA LÓGICA

Existe na empresa um servidor (figura 18) onde é feito backup diário dos registros das atividades de caixa, além da rede sem fio. Há um roteador de rede com infraestrutura cabeada, onde estão conectados todos os computadores da empresa. Não existe nenhum documento normativo ou indicativo com relação ao uso correto dos recursos tecnológicos e de acesso à Internet estabelecida na empresa com o intuito de proteger contra o uso incorreto e acessos

indevidos, porém, uma conscientização em relação aos riscos de uso e acesso é feita periodicamente pelo gerente. O servidor fica instalado em uma das estantes de produtos de venda no piso superior da empresa e próximo a ela pode ser percebido o armazenamento de fraldas que estão expostas para venda. O servidor está em local muito alto e sofre constante risco de ser danificado tanto pela altura quanto pela presença de produtos de venda nas suas proximidades.


Há bloqueio para uso de mídias externas (CD, DVD, disquete, Pen Drives, Discos Rígidos Externos e celulares) em todas as estações de trabalho com o objetivo de não se instalar softwares potencialmente prejudiciais e evitar a coleta de dados confidenciais da empresa. Figura 18 – Servidor da empresa

Fonte: os autores

Não há a cultura de bloquear as estações de trabalho na ausência de funcionários na estação. Nem mesmo nas estações do caixa existe essa prática (Figura 19). Também não há nenhuma configuração no sentido de bloquear automaticamente as estações de trabalha na ausência de uso da mesma por algum funcionário. Figura 18 – Tela do terminal de caixa

Fonte: os autores

A Empresa possui um roteador (visto anteriormente na figura 13) de rede sem fio, com Internet liberada sem nenhum tipo de restrição. A rede é protegida por senha e a senha é compartilhada entre os funcionários e eventualmente com algum cliente.

Os computadores estão instalados com Microsoft Windows 7 (figura 19) e são atualizados automaticamente sempre que disponibilizada alguma atualização pelo fabricante. Não existem perfis de usuários diferenciados para cada funcionário nas máquinas, todas estão configuradas com um único usuário e permanecem com log-in do início ao final do


expediente, sendo usada conforme a necessidade por cada funcionário. O perfil único presente na máquina não possui senha e em todas as máquinas o perfil possui permissões de administrador.

A empresa faz uso de software antivírus com uma versão proprietária paga que é atualizada sempre que disponível atualização pelo fabricante (figura 20).

Figura 19 – Tela da área de trabalho do sistema operacional Microsoft Windows 7

Fonte: os autores Figura 20 – Tela principal do software antivírus

Fonte: os autores MATRIZ DE RISCO

A matriz de risco proposta por Ferreira; Araújo (2008, p. 179) será usada como modelo para análise

de identificação de ameaças e mensuração de riscos, identificando, ainda, a probabilidade de acontecer estas ameaças.

As informações foram obtidas junto ao gerente da empresa e serão analisadas conforme

orientações da Norma ABNT NBR ISO/IEC 27002 (2005). Quadro 06 – Modelo de matriz de risco

PROBABILIDADE

IMPACTO

Baixo (10) Médio (50) Alto (100)

Alto (1,0) Baixo 10 x 1,0 = 10 Médio 50 x 0,1 = 50 Alto 100 x 0,1 = 100

Médio (0,5) Baixo 10 x 0,5 = 5 Médio 50 x 0,5 = 25 Médio 100 x 0,5 = 50

Baixo (0,1) Baixo 10 x 0,1 = 1 Baixo 50 x 0,1 = 5 Baixo 100 x 0,1 = 10


de risco: Alto: pontuação entre 51 e 100 Médio: pontuação entre 11 e 50 Baixo: pontuação entre 1 e 10

Fonte: Ferreira; Araújo (2008, p. 179)

MATRIZ DE RISCO – SEGURANÇA FÍSICA Quadro 07 – Matriz de risco de segurança física

Item Ameaça Probabilidade Impacto Risco

1 Existe algum sistema de monitoramento do tipo CFTV (Circuito Fechado de Televisão) ou DVR (Digital Vídeo Recorder)?

1,0 100

100 (alto)

2 Está presenta na empresa sistema automatizado de controle de incêndio?

0,5

100

50 (médio)

3 Há esquecimento de documentos importantes sobre as mesas ou balcões? 1,0 100 100

(alto)

4 Há consumo de alimentos nas estações de trabalho ou em outros locais onde são mantidos documentos importantes?

1,0 50 50 (médio)

5 Existe sistema de alarme no edifício? 1,0 100 100 (alto)

6 Existe a instalação de dispositivo contra raios na edificação da empresa? 0,1 50 25

(médio)

7 Os cabos de dados e de energia estão protegidos, sem exposição, a fim de evitar danos ou interceptações?

1,0 50 50 (medio)

8 Há um cronograma de manutenção programada nos equipamentos da empresa? 1,0 50 50

(médio)

MATRIZ DE RISCO – SEGURANÇA LÓGICA Quadro 08 – Matriz de risco de segurança lógica

Item Ameaça Probabilidade Impacto Risco

1 Os servidores da empresa são protegidos contra acesso de outras estações de trabalho?

1,0 100 100 (alto)

2 É usado algum sistema de antivírus ou proteção contra códigos maliciosos na empresa?

1,0 100 100 (alto)

3 Existe algum sistema de backup ou recuperação de documentos digitais na empresa?

1,0 100 100 (alto)

4 Existe algum tipo de regra quanto ao uso de mídias removíveis? 0,1 100 10

(baixo)

5 Existe algum controle de privilégios nos sistemas operacionais das máquinas da rede?

1,0 100 100 (alto)


6 Os usuários costumam bloquear as estações de trabalho nas suas ausências? 1,0 100 100

(alto)

7 A rede sem fio e a rede privada da empresa estão separadas? 1,0 100 100

(alto)

8 Existe cadastro de usuários para acesso aos equipamentos de rede da empresa? 1,0 100 100

(alto)

Após verificação das vulnerabilidades e elaboração das matrizes de riscos segue a análise de cada item citados nas suas respectivas matrizes. MATRIZ DE RISCO QUANTO À SEGURANÇA FÍSICA (QUADRO 07) Item 1: Existe algum sistema de monitoramento do tipo CFTV (Circuito Fechado de Televisão) ou DVR (Digital Vídeo Recorder)? Existe na empresa um sistema de monitoramento externo com câmeras instaladas em pontos diversos da empresa. A área do caixa é onde se encontra o maior número de câmeras de vigilância, pois é o ponto de maior fluxo de clientes e o local onde se encontra numerário financeiro. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.32) Perímetro de segurança física: f) sistemas adequados de detecção de intrusos, de acordo com normas regionais, nacionais e internacionais, sejam instalados e testados em intervalos regulares, e cubram todas as portas externas e janelas acessíveis; as áreas não ocupadas devem ser protegidas por alarmes o tempo todo; também deve ser dada proteção a outras áreas, por exemplo, salas de computadores ou salas de comunicações. Item 2: Está presenta na empresa sistema automatizado de controle de incêndio? Não existe na empresa um sistema de automação para controle de incêndio, contendo somente extintores localizados em locais diversos da edificação e os mesmos passam por manutenção nas datas indicadas dos seus períodos de validade. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.34) Proteção contra ameaças externas e do meio ambiente: Convém que sejam projetadas e aplicadas proteção física contra incêndios, enchentes, terremotos, explosões, perturbações da ordem

pública e outras formas de desastres naturais ou causados pelo homem. c) os equipamentos apropriados de detecção e combate a incêndios sejam providenciados e posicionados corretamente. Item 3: Há esquecimento de documentos com informações importantes sobre as mesas ou balcões? Constantemente se observa documentos importantes sobre as mesas. No escritório não há um cuidado de manter os documentos sempre em locais onde terceiros não possam ter acesso. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.70) Política de mesa limpa e tela limpa: Convém que seja adotada uma política de mesa limpa de papéis e mídias de armazenamento removível e política de tela limpa para os recursos de processamento da informação. a) informações do negócio sensíveis ou críticas, por exemplo, em papel ou em mídia de armazenamento eletrônicas, sejam guardadas em lugar seguro (idealmente em um cofre, armário ou outras formas de mobília de segurança) quando não em uso, especialmente quando o escritório está desocupado. Item 4: Há consumo de alimentos nas estações de trabalho ou em outros locais onde são mantidos documentos com informações importantes? Sim. Frequentemente se observa funcionários consumindo alimentos, principalmente na área dos caixas. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.36) Instalação e proteção do equipamento: e) sejam estabelecidas diretrizes quanto a comer, beber e fumar nas proximidades das instalações de processamento da informação. Item 5: Existe sistema de alarme no edifício? Não existe qualquer sistema de alarme na empresa. A segurança contra invasões é feita


somente pelas travas das portas e travas extras instaladas também nas mesmas. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.35): Perímetro de segurança física: c) os perímetros de um edifício ou de um local que contenha instalações de processamento da informação sejam fisicamente sólidos (ou seja, o perímetro não deve ter brechas nem pontos onde poderia ocorrer facilmente uma invasão; convém que as paredes externas do local sejam de construção robusta e todas as portas externas sejam adequadamente protegidas contra acesso não autorizado por meio de mecanismos de controle, por exemplo, barras, alarmes, fechaduras etc.; convém que as portas e janelas sejam trancadas quando estiverem sem monitoração, e que uma proteção externa para as janelas seja considerada, principalmente para as que estiverem situadas no andar térreo. f) sistemas adequados de detecção de intrusos, de acordo com normas regionais, nacionais e internacionais, sejam instalados e testados em intervalos regulares, e cubram todas as portas externas e janelas acessíveis; as áreas não ocupadas devem ser protegidas por alarmes o tempo todo; também deve ser dada proteção a outras áreas, por exemplo, salas de computadores ou salas de comunicações. Item 6: Existe a instalação de dispositivo contra raios na edificação da empresa? Não existe para-raios instalado na edificação da empresa. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.35): Instalação e proteção do equipamento Convém que sejam levadas em consideração as seguintes diretrizes para proteger os equipamentos: g) todos os edifícios sejam dotados de proteção contra raios e todas as linhas de entrada de força e de comunicações tenham filtros de proteção contra raios; Item 7: Os cabos de dados e de energia estão protegidos, sem exposição, a fim de evitar danos ou interceptações? Em muitos locais é possível perceber cabos de energia expostos, extensões elétricas e até mesmo tomadas sem as devidas proteções. Cabos de dados, e de telefonia também estão expostos em diversos pontos da empresa.

Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.37): Segurança do cabeamento b) cabeamento de redes seja protegido contra interceptação não autorizada ou danos, por exemplo, pelo uso de conduítes ou evitando trajetos que passem por áreas públicas; Item 8: Há um cronograma de manutenção programada nos equipamentos da empresa? Não há controle de manutenção preventiva nos equipamentos da empresa. Em caso de defeitos as atividades ficam comprometidas e perdas financeiras podem ocorrer. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.38): Manutenção dos equipamentos d) sejam implementados controles apropriados, na época programada para a manutenção do equipamento, dependendo de a manutenção ser realizada pelo pessoal do local ou por pessoal externo à organização; onde necessário, as informações sensíveis sejam eliminadas do equipamento, ou o pessoal de manutenção seja de absoluta confiança; MATRIZ DE RISCO QUANTO À SEGURANÇA LÓGICA (QUADRO 08) Item 1: Os servidores da empresa são protegidos contra acesso de outras estações de trabalho? O servidor da empresa tem proteção para acesso somente para quem tem privilégios de administrador concedido na estação de trabalho, entretanto, todas as estações de trabalho estão configuradas com privilégios de administrador, o que configura uma falha de segurança de acesso ao servidor da empresa. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.65) Política de controle de acesso: A política de controle de acesso deve ser estabelecida, documentada e analisada criticamente, tomando-se como base os requisitos de acesso dos negócios e da segurança da informação. Convém que as regras de controle de acesso e direitos para cada usuário ou grupos de usuários sejam expressas claramente na política de controle de acesso. Convém considerar os controles de acesso lógico e físico (ver seção 9) de forma conjunta. Convém fornecer aos usuários e provedores de serviços uma declaração nítida dos requisitos do


negócio a serem atendidos pelos controles de acessos. Item 2: É usado algum sistema de antivírus ou proteção contra códigos maliciosos na empresa? A empresa possui sistema de antivírus instalado no servidor e em todas as estações de trabalho com licença adquirida de fabricante de software antivírus e com a licença anual ativa e renovada sempre que prestes à vencer. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.46): Controles contra códigos maliciosos Convém que a proteção contra códigos maliciosos seja baseada em softwares de detecção de códigos maliciosos e reparo, na conscientização da segurança da informação, no controle de acesso adequado e nos controles de gerenciamento de mudanças. Convém que as seguintes diretrizes sejam consideradas: d) instalar e atualizar regularmente softwares de detecção e remoção de códigos maliciosos para o exame de computadores e mídias magnéticas, de forma preventiva ou de forma rotineira; convém que as verificações realizadas incluam: 1) verificação, antes do uso, da existência de códigos maliciosos nos arquivos em mídias óticas ou eletrônicas, bem como nos arquivos transmitidos através de redes; Item 3: Existe algum sistema de backup ou recuperação de documentos digitais na empresa? Existe na empresa uma rotina de backup executada diretamente no servidor da empresa. Por ser uma empresa com pequeno volume de armazenamento de dados, um disco rígido além do principal é mantido com um software dedicado a backup e este é feito diariamente, entretanto, o referido disco rígido se encontra instalado dentro do mesmo equipamento do disco principal, tornando-se um risco, pois um dano físico ao servidor pode causar danos aos dois discos rígidos e haver completa perda de informações. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.48): Cópias de segurança das informações Cópias de segurança das informações e dos softwares devem ser efetuadas e testadas regularmente, conforme a política de geração de cópias de segurança definida. Item 4: Existe algum tipo de regra quanto ao uso de mídias removíveis?

A empresa bloqueia em todas as máquinas a leitura de mídias removíveis de qualquer espécie. Não podem ser usados nenhuma mídia do tipo CD, DVD, pen drives ou discos rígidos externos. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.50): Gerenciamento de mídias removíveis Convém que as seguintes diretrizes para o gerenciamento de mídias removíveis sejam consideradas: f) as unidades de mídias removíveis estejam habilitadas somente se houver uma necessidade do negócio. Item 5: Existe algum controle de privilégios nos sistemas operacionais das máquinas da rede? Não existe. Um único usuário é cadastrado em todas as máquinas e todos efetuam registro na máquina com esse único usuário que possui privilégio de administrador. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.67) Gerenciamento de privilégios Convém que a concessão e o uso de privilégios sejam restritos e controlados. a) privilégio de acesso de cada produto de sistema, por exemplo, sistema operacional, sistemas de gerenciamento de banco de dados e cada aplicação, e de categorias de usuários para os quais estes necessitam ser concedido, seja identificado. Item 6: Os usuários costumam bloquear as estações de trabalho nas suas ausências? Não existe essa cultura dentro da empresa, as estações de trabalho estão sempre desbloqueadas mesmo na ausência de qualquer funcionário, abrindo a oportunidade para pessoas estranhas terem acesso às informações ali contidas. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.70) Equipamento de usuário sem monitoração Os usuários devem assegurar que os equipamentos não monitorados tenham proteção adequada. a) encerrar as sessões ativas, a menos que elas possam ser protegidas por meio de um mecanismo de bloqueio, por exemplo tela de proteção com senha; b) efetuar a desconexão com o computador de grande porte, servidores e computadores pessoais do escritório, quando a sessão for finalizada (por exemplo: não apenas desligar a tela do computador ou o terminal);


c) proteger os microcomputadores ou terminais contra uso não autorizado através de tecla de bloqueio ou outro controle equivalente, por exemplo, senha de acesso, quando não estiver em uso. Item 7: A rede sem fio e a rede privada da empresa estão separadas? As duas redes estão interconectadas, todos os funcionários têm acesso a rede privada e, até mesmo alguns clientes, através de seus dispositivos móveis, o que pode ser tornar uma vulnerabilidade grande, pois, vírus e outros códigos maliciosos podem ser repassados para a rede principal da empresa, incluindo o servidor lá existente. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.73): Segregação de redes Convém considerar à segregação de redes sem fios de redes internas e privadas. Como os perímetros de redes sem fios não são bem definidos, convém que uma análise/avaliação de riscos seja realizada em tais casos para identificar os controles (por exemplo, autenticação forte, métodos criptográficos e seleção de frequência) para manter segregação de rede. Item 8: Existe cadastro de usuários para acesso aos equipamentos de rede da empresa? Não existe. Todos os funcionários se registram na máquina com um mesmo usuários, o único configurado nas máquinas, e não é possível manter registros de atividades praticadas pelos funcionários. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.66): Registro de usuário Convém que exista um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços. PROPOSTA DE POLÍTICA DE SEGURANÇA TITULO DA POLÍTICA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA EMPRESA MERCADO SHIS SUL INSTITUIÇÃO A QUE SE DESTINA Essa proposta de política de segurança da informação é destinada à empresa Mercado SHIS Sul.

OBJETIVO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Este documento visa mitigar os riscos de incidentes de segurança da informação da empresa Mercados SHIS Sul tendo como base a norma ABNT NBR ISO/IEC 27002 (2005). ABRANGÊNCIA DA POLÍTICA Esta política de segurança deverá abranger todos os setores e departamentos da empresa, devendo, inclusive, ser aplicada como instrumento para conscientização dos riscos a todos os envolvidos em qualquer processo na organização. Deverá ser utilizada como instrumento de aplicação das diretrizes a serem apresentadas. REFERÊNCIAS Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002 – Tecnologia da Informação- Técnicas de segurança - Código de Prática para a Gestão da Segurança da Informação. 2005. DIRETRIZES DA POLÍTICA SEGURANÇA FÍSICA

Deverá ser providenciada identificação para os funcionários da empresa, seja por meio de crachá ou por uniforme.

A instituição deverá instalar uma porta ou

grade para o escritório, pois não há controle de quem ingressa o interior dele sendo que o mesmo em muitos momentos se encontra sem a presença do gerente, e a ausência de porta facilita o acesso de pessoas estranhas a finalidade do recinto.

A empresa deverá criar uma diretriz para

treinamento dos funcionários no sentido de que os gaveteiros e armários permaneçam sempre trancados na ausência de colaboradores no escritório e, as chaves mantidas em posse do gerente durante todo o período de funcionamento da empresa.

A empresa deverá ampliar o monitoramento

por câmeras abrangendo também a área externa da empresa.

O equipamento de DVR, deverá ser

instalado dentro do escritório, para que não haja manuseio do mesmo por pessoas estranhas à responsabilidade de manipulação deste.

A instituição deverá instalar um sistema

automatizado de detecção de incêndio, pois, vários equipamentos elétricos de grande porte,


como freezers, permanecem ligados 24 horas e em grande parte do tempo em horários em que não permanecem pessoas dentro do mercado.

O modem de Internet deverá ser instalado em local mais adequado, preferencialmente dentro do escritório.

Os fios expostos, tanto de energia elét rica,

quanto de dados, deverão ser organizados de modo que não fiquem aparentes. Deverão ser utilizados conduítes ou canaletas.

Deverá ser instalado, na empresa, sistema

de alarme com detecção de intrusos para reforçar a segurança nos períodos em que o estabelecimento está fechado. SEGURANÇA LÓGICA

O Servidor da empresa deverá ser instalado dentro do escritório para evitar o acesso por pessoas estranhas à sua finalidade.

Deverá ser explicada e colocada em

prática por todos os funcionários a necessidade de bloquear as estações de t rabalho em eventuais ausências de funcionários, sendo ainda mais reforçada essa necessidade na área de caixas.

O acesso à Internet deverá ser feito

somente nas estações de trabalho onde este meio de comunicação é necessário e, nas estações de trabalho dos caixas deve ser bloqueado qualquer acesso à rede mundial de computadores, mitigando assim o risco de invasões e até mesmo acesso a páginas com conteúdos maliciosos.

Deverão ser criados perfis de usuários

para cada funcionário da empresa para ser possível a identificação de eventuais ações maliciosas ou acessos indevidos.

Perfis com privilégios de administrador não

deverão ser usados como padrão em nenhuma estação de trabalho. Este acesso deverá ser feito pela pessoa responsável (o gerente) somente em casos de necessidade de instalação de novos softwares e atualizações dos sistemas.

A política de mesa limpa deverá ser

explicada aos funcionários a fim de mitigar os riscos de furto ou até mesmo perda de documentos importantes à atividade da empresa.

A rede sem fio da empresa deverá ser separada da rede corporativa cabeada para diminuir os riscos de invasões ou instalação de códigos maliciosos na rede principal da empresa.

Deverão ser cadastrados todos os

equipamentos que acessem a rede da empresa,

sejam computadores, notebooks, telefones celulares e tablets.

Deverá ser criada uma página de identificação para os clientes que ingressam a rede wi-fi da empresa com uma página de autenticação onde o usuário deverá informar nome completo e CPF para identificação do acesso. CONFORMIDADE A Norma ABNT NBR ISO/IEC 27002:2005 foi usada como base deste estudo e segue suas diretrizes. PENALIDADES A política deverá ser seguida por todos os funcionários da empresa, e o seu descumprimento poderá acarretar em penalidades que vão desde advertência oral, escrita, até, nos casos mais graves, a demissão do funcionário. DISPOSIÇÕES GERAIS Os casos de penalidades e omissões deverão ser avaliados pelo gerente da empresa que é o responsável por contratações, demissões e pela manutenção do bom funcionamento do local de trabalho. Esta política de segurança deverá ser revisada a cada dois anos e poderá ser modificada a qualquer momento, sendo necessária sua comunicação imediata a todos os funcionários em caso de qualquer alteração. Esta política deverá ser assinada pelo dono da empresa para garantir sua validade. CONCLUSÃO Concluímos que a política de segurança da informação é um documento de valiosa importância para qualquer empresa ou organização, pois, vários aspectos de segurança física e lógica devem ser considerados na sua elaboração. No caso do Mercado SHIS Sul, após estudo dos conceitos, avaliação das matrizes de risco física e lógica, foi possível levantar as principais vulnerabilidades presentes na empresa, assim como estudar a avaliar o impacto de cada uma delas, apresentando soluções sempre levando em consideração o ramo de atividade da empresa e tendo como foco o bom atendimento do cliente, que é a maior meta da empresa. As diretrizes apresentadas nesse estudo serão capazes de servir como insumos para uma eficiência operacional mais elevada dentro da


empresa e para prevenir perdas financeiras que uma falta de gerência de riscos pode gerar. Tendo em mente que as diretrizes aqui apresentadas serão de ciência de todos os funcionários, concluímos, ainda, que a política de segurança servirá não como um instrumento de punição, mas sim como um documento orientador na busca por excelência nos processos que envolvem algum tipo de risco dentro da empresa. AGRADECIMENTOS Agradecemos a todos aqueles que foram incentivadores na nossa trajetória acadêmica, e, sobretudo, à Deus pelas oportunidades e permissões em nossas vidas, familiares, amigos próximos, e todas as pessoas que participam de nossas vidas no dia a dia.

Agradecemos com grande apreço ao nosso orientador, MSc. Cid Bendahan Coelho Cintra, por toda a disponibilidade, conselhos e fundamentais orientações no desenvolver desse estudo, e por fim a todos os professores que foram responsáveis pelo nosso aprendizado no decorrer do curso. REFERÊNCIAS ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002 – Tecnologia da Informação- Técnicas de segurança - Código de Prática para a Gestão da Segurança da Informação. ABNT, 2005. BEAL, Adriana. Segurança da Informação: princ ípios e melhores práticas para a proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2005. CERT.br. Cartilha de Segurança para Internet – 2015. Disponível em: http://cartilha.cert.br/ataques/ . Acesso dia 09 de agosto. 2016 DANTAS, Marcus Leal. Segurança da informação: uma abordagem focada em gestão de risco – 2011. Disponível em: http://www.marcusdantas.com.br/ files/seguranca_informacao.pdf. Acesso em 29 setembro. 2016. FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Políticas de segurança da informação - Guia prático para elaboração e implementação. Rio de Janeiro: Ciência Moderna, 2008. FERREIRA, Fernando Nicolau Freitas. Segurança da Informação. Rio de Janeiro: Ciência Moderna Ltda., 2003. GAIVÉO, Manuela. Análise e Gestão do Risco em Segurança da Informação - 2007. Disponível em:

http://www.sinfic.pt/SinficWeb/displayconteudo.do2?numero=24868>. Acesso em 26 setembro. 2016. LYRA, Mauricio Rocha. Segurança e Auditoria em Sistemas de Informação. Rio de janeiro: Editora Ciência Moderna Ltda. 2008. MOREIRA, N. S. Segurança Mínima. Rio de Janeiro: Ed. Axcel Books do Brasil, 2001. SÊMOLA, Marcos. A importância da Gestão da Segurança da informação – 2003. Disponível em: http://www.lyfreitas.com.br/ant/artigos_mba/GestaoSegurancaInformacao.pdf Acesso dia 29 de setembro. 2016. SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Campus, 2003. 160p. SOURCEFIRE, Relatório sobre 25 anos de pesquisa de vulnerabilidade – 2013. Disponível em: http://www.seginfo.com.br/relatorio-sobre-25-anos-depesquisa-de-vulnerabilidades-1988-2012-pesquisa-feita-pela-sourcefire-viasourcefire. Acesso em 29 de setembro. 2016. WEBINSIDER, Segurança da informação: vale muito aplicar a ISO 27002 – 2012. Disponível em: http://webinsider.com.br/2012/11/12/seguranca-da-informacao-vale-muito-aplicar-a-iso-27002/. Acesso em 29 de setembro. 2016.


http://cartilha.cert.br/ataques/

http://cartilha.cert.br/ataques/

http://www.marcusdantas.com.br/files/seguranca_informacao.pdf

http://www.marcusdantas.com.br/files/seguranca_informacao.pdf

http://www.sinfic.pt/SinficWeb/displayconteudo.do2?numero=24868



http://www.lyfreitas.com.br/ant/artigos_mba/GestaoSegurancaInformacao.pdf



http://www.seginfo.com.br/relatorio-sobre-25-anos-de-pesquisa-de-vulnerabilidades-1988-2012-pesquisa-feita-pela-sourcefire-via-sourcefire














































Documents

ANDRÉ DE SOUSA CUNHA LEMOS EDUARDO JOSÉ TOMÉ …nippromove.hospedagemdesites.ws/anais_simposio/... · O presente estudo tem o objetivo de apresentar uma proposta de elaboração