Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
1
FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA
CURSO DE TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO
EDUARDO VINÍCIUS PIRES
LEONARDO BOLELI DE ALCÂNTARA
MAXWELL COSMO GONÇALVES
SEGURANÇA FÍSICA E LÓGICA DA INFORMAÇÃO NA EMPRESA DE
CONTABILIDADE PORTO SEGURO II EM CEILÂNDIA-DF
BRASÍLIA 2013
2
EDUARDO VINÍCIUS PIRES
LEONARDO BOLELI DE ALCÂNTARA
MAXWELL COSMO GONÇALVES
SEGURANÇA FÍSICA E LÓGICA DA INFORMAÇÃO NA EMPRESA DE
CONTABILIDADE PORTO SEGURO II EM CEILÂNDIA-DF
Trabalho de conclusão de curso apresentado às Faculdades Integradas Promove de Brasí-lia como requisito parcial para obtenção do tí-tulo de Tecnólogo no Curso de Tecnologia em Segurança da Informação.
Orientadora: Profa. Dra. Maria José de Oliveira
BRASÍLIA 2013
3
Dados Internacionais de Catalogação na Publicação (CIP)
_______________________________________________________________
Pires, Eduardo Vinícius.
Segurança física e lógica da informática na empresa de contabili-dade Porto Seguro II em Ceilância-DF / Eduardo Vinícius Pires, Leo-nardo Boleli de Alcântara, Maxwell Cosmo Gonçalves : Professora ori-entadora Maria José de Oliveira. – [S.l]: [s.n.], 2013.
54f. : il. Monografia (Graduação em Tecnologia em Segurança da Informa-
ção) – Faculdades Promove de Brasília, 2013.
I. Oliveira, Maria José de. II. Alcântara, Leonardo Boleli de. III. Gonçal-ves, Maxwell Cosmo. IV. Título.
_______________________________________________________________
Bibliotecário: Luís Sérgio de Rezende Moura – CRB1/DF-1929
4
EDUARDO VINÍCIUS PIRES
LEONARDO BOLELI DE ALCÂNTARA
MAXWELL COSMO GONÇALVES
SEGURANÇA FÍSICA E LÓGICA DA INFORMAÇÃO NA EMPRESA DE
CONTABILIDADE PORTO SEGURO II EM CEILÂNDIA-DF
Trabalho de conclusão de curso apresentado às Faculdades Integradas Promove de Brasí-lia como requisito parcial para obtenção do tí-tulo de Tecnólogo no Curso de Tecnologia em Segurança da Informação.
Orientadora: Profa. Dra. Maria José de Oliveira
Aprovado em ______/__________/_________:
___________________________________________
Orientadora Profa. Dra. Maria José de Oliveira
Faculdades Promove de Brasília
___________________________________________
Avaliador(a) Prof.
Faculdades Promove de Brasília
___________________________________________
Avaliador(a) Prof.
Faculdades Promove de Brasília
5
CESSÃO DE DIREITOS
EDUARDO VINÍCIUS PIRES
LEONARDO BOLELI DE ALCÂNTARA
MAXWELL COSMO GONÇALVES
SEGURANÇA FÍSICA E LÓGICA DA INFORMAÇÃO PARA A EMPRESA DE
CONTABILIDADE PORTO SEGURO II EM CEILÂNDIA.
GRADUAÇÃO/2013:
É concedida às Faculdades Integradas Promove de Brasília permissão para
reproduzir cópias desta monografia ou emprestar tais cópias somente para propósi-
tos acadêmicos e científicos.
Os autores reservam-se outros direitos de publicação.
________________________________
Eduardo Vinícius Pires
Quadra 210 lote 06 Apt. 302 A – Águas Claras
________________________________
Leonardo Boleli de Alcântara
Rua 05 Norte Lote 01 Apt. 701 Res. Shangrilá – Águas Claras
________________________________
Maxwell Cosmo Gonçalves
Avenida Jequitibá 485, edifício Quintas das Águas, apt. 1004
6
RESUMO
O presente trabalho teve por objetivo propor uma política de segurança da in-
formação física e lógica para a empresa de contabilidade Contabilidade Porto Segu-
ro II em Ceilândia, DF. Para a elaboração da política foram realizados os seguintes
eventos: levantamento das vulnerabilidades no ambiente empresarial, levantamento
das estruturas física e lógica da rede de computadores. Após o levantamento das
vulnerabilidades procedeu-se a entrevista com a diretoria para fins de levantamento
de informação sobre a empresa. Os dados levantados possibilitaram a elaboração
da matriz de risco que revelou o índice de risco e o impacto que poderá ocorrer nos
negócios da empresa, caso as ameaças se concretizam. A proposta de política de
segurança da informação foi elaborada com base na norma ABNT NBR ISO/IEC
27002(2005). Os resultados alcançados permitiram concluir que atualmente a em-
presa apresenta alto índice de vulnerabilidades na estrutura lógica e física da rede
de computadores, na estrutura física da sala e do prédio, referente a controle de a-
cesso de pessoas e ao desconhecimento tanto de funcionários como da diretoria de
procedimentos de segurança da informação. Foi formulada uma política de seguran-
ça contemplando as falhas e vulnerabilidades levantadas na análise de risco, suge-
rindo uma proteção eficaz, protegendo os ativos e recursos vulneráveis a acessos
não autorizados e ataques.
Palavras-chave: Segurança da Informação, Política de Segurança, Analise de Risco;
Melhores práticas.
7
ABSTRACT
This work aimed to propose a policy of security on physical and logical infor-
mation for an accounting firm Porto Seguro II, in Ceilândia, DF. For the policy devel-
opment, were performed the following procedures: the identification of vulnerabilities
in the enterprise environment and the research of the physical and logical structures
of the computer network. After the identification of the vulnerabilities, we proceeded
to interview the management of the company for the gathering of the information.
The data collected allowed us to create the risk matrix revealing that the risk index
and the impact that may occur in the company's business, if the threat would be ma-
terialized. The proposed information of the policy of security was developed based on
the standard ISO /IEC 27002 (2005). The results obtained allow us to conclude that
currently the company has a high rate of vulnerabilities in the logical and physical
structure of the computer network, in the physical structure of the central room and in
the building, originated by the problems in the access control and by the lack of in-
formation of people, both employees as management, about security procedures. A
policy of security was formulated based in the flaws and the vulnerabilities and the
risk analysis, suggesting an effective protection, protecting the assets and the re-
sources to unauthorized access and attacks.
Keywords: Information Security, Security Policy, Risk Analysis, Best Practices.
8
LISTA DE FIGURAS
Figura 1 – Sala principal ..............................................................................34
Figura 2 – Sala secundária ...........................................................................34
Figura 3 - Servidor ........................................................................................35
Figura 4 - Exposição do Hub na parede. ......................................................36
Figura 5 – Sala secundária – lado esquerdo ...............................................36
Figura 6 – Sala secundária – lado direito .....................................................36
9
Lista de siglas
ABNT – Associação Brasileira de Normas Técnicas
CFTV – Circuito Fechado de TV
DoS – Denial of Service
EUA – Estados Unidos da América
IEC - International Electrotechnical Commission
IP – Internet Protocol
IPS – (Intrusion Prevention Systems) Solução de prevenção contra invasão
ISO – International Standards Organization
NBR – Abreviatura que denota uma norma brasileira emitida pela ABNT
TCP – Transmission Control Protocol
TI – Tecnologia da Informação
10
SUMÁRIO
RESUMO..................................................................................................................... 6
ABSTRACT ................................................................................................................. 7
Lista de siglas .............................................................................................................. 9
CAPITULO 1 - INTRODUÇÃO .................................................................................. 12
1.1 Justificativa ...................................................................................................... 13
1.2 Objetivo Geral ................................................................................................. 13
1.3 Objetivo Específico ......................................................................................... 14
1.4 Metodologia ..................................................................................................... 14
1.5 - Organização do TCC .................................................................................... 15
CAPITULO 2 - REFERENCIAL TEÓRICO ................................................................ 15
2.1 Ativos .............................................................................................................. 15
2.2 Informação e a sua segurança ........................................................................ 16
2.3 Segurança da Informação ............................................................................... 18
2.4 Classificação de Informações ......................................................................... 19
2.4.2 Integridade ............................................................................................. 21
2.4.4 Vulnerabilidade ...................................................................................... 22
2.5 Risco ............................................................................................................... 23
2.5.1 Medida de risco...................................................................................... 23
2.5.2 Análise de risco ...................................................................................... 24
2.5.3 Tratamento de riscos de segurança da informação ............................... 24
2.5.4 Gestão de risco ...................................................................................... 24
2.6 Ataque ............................................................................................................. 25
2.7 Invasão............................................................................................................ 25
2.8 Agente ............................................................................................................. 26
2.9 Ameaça ........................................................................................................... 26
2.10 Engenharia social .......................................................................................... 27
2.11 Política de segurança da informação ............................................................ 28
2.12 Segurança física ........................................................................................... 29
2.13 Segurança lógica .......................................................................................... 30
2.14 Medidas de segurança .................................................................................. 32
2.15 Não-repúdio .................................................................................................. 33
2.16 Autorização ................................................................................................... 33
2.17 Criticidade ..................................................................................................... 34
2.18 Auditoria ........................................................................................................ 34
CAPÍTULO 3 - ESTUDO DE CASO .......................................................................... 35
3.1 Histórico .......................................................................................................... 35
3.2 Estrutura física ................................................................................................ 35
3.2.1 Sala principal ......................................................................................... 35
3.2.2 Sala secundária ..................................................................................... 36
3.3 Servidor ........................................................................................................... 37
3.4 HUB ................................................................................................................ 37
3.5 Arquivo ............................................................................................................ 38
3.6 Matriz de risco ................................................................................................. 39
3.6.1 - Perímetro de Segurança Física. .......................................................... 40
3.6.2 Controle de acesso físico a sala da gerência. ....................................... 41
3.6.3 Controle de acesso físico a sala dos funcionários. ................................ 42
3.3.4 Controle de acesso lógico ...................................................................... 43
3.3.5 Segurança dos serviços e infraestrutura de rede. ................................. 44
3.3.6 Cópias de segurança das informações. ................................................. 44
11
CAPÍTULO 4 - ANÁLISE DE RISCO ......................................................................... 46
4.1 Perímetro de segurança .................................................................................. 46
4.2 Controle de acesso físico a sala da gerência .................................................. 46
4.3 Controle de acesso físico a sala dos funcionários .......................................... 46
4.4 Controle de acesso lógico ............................................................................... 47
4.5 Segurança dos serviços e infraestrutura de rede. ........................................... 47
4.6 Cópias de segurança das informações ........................................................... 47
CAPÍTULO 5 - PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ... 48
5.1 Perímetro de segurança física ........................................................................ 48
5.2 Controle de acesso físico a sala da gerência .................................................. 48
5.3 Controle de acesso físico a sala dos funcionários .......................................... 49
5.5 Segurança dos serviços e infraestrutura de rede. ........................................... 50
5.6 Cópias de segurança das informações ........................................................... 51
CAPÍTULO 6 - CONSIDERAÇÕES FINAIS .............................................................. 52
6.1 Conclusão ....................................................................................................... 52
CAPÍTULO 7 - REFERÊNCIAS ................................................................................. 53
APENDICE ................................................................................................................ 54
12
CAPITULO 1 - INTRODUÇÃO
A inserção dos computadores no cotidiano das empresas e das pessoas de-
sencadeou significativas mudanças no tratamento da informação. As redes de com-
putadores proporcionaram conectividade dentro do ambiente corporativo, a expan-
são do uso de softwares e de recursos e, com o advento da Internet, os paradigmas
de segurança se tornaram um desafio no gerenciamento da informação.
A informação é algo que agrega um valor subjetivo a quem a cria ou que tem
sua posse, apresentando as mais variadas formas de disponibilização, seja através
de uma intranet, de forma mais restrita, ou da maneira mais expansiva com a Inter-
net. A implementação de ferramentas que propiciem condições de gerenciar essa
informação, de maneira segura, tem se tornado um desafio para empresas e gover-
no. Assegurar que uma informação estará segura, ou seja, com controles de acesso
que permitam somente que pessoas autorizadas a acessem e com firewalls que
possam garantir que pessoas não autorizadas não a acessem indevidamente, sejam
sistemas, softwares e redes, é uma amostra de que a expansão dos recursos infor-
máticos trouxe comodidade aliada a desempenho e a alto poder de conectividade.
No entanto, surgem dificuldades de se ter sistemas seguros, garantindo que a guar-
da de informações e de dados seja livre de falhas, as quais possam ser exploradas
por hackers ou sofrer ataques de vírus.
Neste contexto, o objetivo deste trabalho é propor uma política de segurança
da informação para Contabilidade Porto Seguro II, apontando recomendações sobre
o gerenciamento seguro de informações nos sistemas informáticos da empresa, na
rede de computadores e de uma conectividade segura com a Internet na geração,
processamento e armazenamento de informações, tanto no ambiente interno como
no ambiente externo da organização.
Espera-se que as recomendações relatadas neste documento sejam incluídas
no contexto corporativo e possam conscientizar a todos os segmentos institucionais
sobre os benefícios de uma política de segurança da informação na proteção de da-
dos e no correto gerenciamento de acesso a dados e a rede da empresa.
13
1.1 Justificativa
Em uma empresa de contabilidade o principal ativo avaliado é a informação.
Obtida dos próprios clientes ou coletadas de órgãos relacionados à área, a informa-
ção tratada e armazenada no escritório contábil permite a continuação da prestação
de serviço e dos negócios das empresas-cliente.
É necessário que, em escritórios contábeis, tenha-se a preocupação com o
acesso e com o tratamento da informação gerada. O acesso normalmente é feito
através da rede de dados e, por isso, a Internet é um dos principais meios de consul-
ta e de manipulação das informações, não permitindo a interrupção do tráfego de
dados.
Visando estabelecer normas e procedimentos para a utilização de equipa-
mentos de tecnologia da informação na organização, propõe-se a implantação de
controles de segurança no trato com as informações e com os documentos gerados
e armazenados que estejam sob sua responsabilidade.
O objetivo de implantar uma política de segurança da informação tem a finali-
dade de apresentar normas e procedimentos para que os usuários tenham conheci-
mento de uma correta utilização dos recursos de informação e documentos manu-
seados, seguindo as Diretrizes de Segurança da Informação indicadas na ABNT
NBR ISO/IEC 27002(2005).
Há viabilidade de uma proposta de segurança física e lógica da informação
para o escritório de Contabilidade Porto Seguro II, localizado na cidade satélite de
Ceilândia do Distrito Federal, o que permitirá a manipulação das informações de
forma segura, uma vez que atualmente não é adotada nenhuma norma de seguran-
ça.
1.2 Objetivo Geral
Propor uma política de segurança física e lógica da informação para a empre-
sa de contabilidade Porto Seguro II, utilizando a ABNT NBR ISO/IEC 27002(2005).
14
1.3 Objetivo Específico
a) Levantar os ativos de informação
b) Identificar as vulnerabilidades causadas pela grande circulação de pesso-
as no ambiente da instituição.
c) Analisar os riscos aos ativos de informação na organização.
d) Propor uma política de segurança da informação para a organização, pre-
servando os aspectos de confidencialidade, integridade e disponibilidade.
1.4 Metodologia
Este trabalho foi elaborado utilizando as seguintes técnicas: pesquisa biblio-
gráfica, entrevistas, levantamento das vulnerabilidades e estudo de caso.
A pesquisa bibliográfica relacionou os conceitos, as diretrizes, as legislações
e as correntes de pensamentos relacionados à segurança da informação, a partir
dos quais se analisou a organização supracitada para este estudo de caso.
O estudo de caso foi realizado na empresa de contabilidade CONTABILIDA-
DE PORTO SEGURO II com vistas a observar os aspectos relacionados à gestão de
segurança da informação, verificando as ações e os controles adotados e a infraes-
trutura de TI.
Quanto ao estudo de caso, foram utilizados para coleta de dados as seguintes
fontes:
• Análise de documentos - o estudo dos documentos relacionados à CONTA-
BILIDADE PORTO SEGURO II e às suas atividades viabiliza o entendimento
do seu negócio, além dos requisitos de compliance aos quais a mesma está
sujeita, para que o estudo da gestão de segurança da informação possa se
dar de forma adequada e considerando as particularidades da organização;
• Entrevistas individuais - entrevistas direcionadas às pessoas responsáveis pe-
las ações/decisões de gestão administrativas na empresa CONTABILIDADE
PORTO SEGURO II, visto que não há um departamento de TI;
• Observação direta - observações no ambiente da empresa CONTABILIDADE
PORTO SEGURO II com o objetivo de verificar a efetividade das ações de
segurança da informação, como também as eventuais ausências de medidas
e procedimentos relativos a esta segurança.
15
1.5 - Organização do TCC
Capítulo 1. Introdução
Capítulo 2. Referencial Teórico
Capítulo 3. Estudo de caso
Capítulo 4. Análise de risco
Capítulo 5. Proposta de política de segurança da informação
Capítulo 6. Considerações
Capítulo 7. Referências
Capítulo 8. Apêndice
CAPITULO 2 - REFERENCIAL TEÓRICO
2.1 Ativos
Ativo é todo tipo de bem que a empresa possui, inclusive informação, por isso
deve ser bem protegido para que o negócio da empresa continue funcionando.
Qualquer tipo de alteração sofrida pelo ativo ou até mesmo a sua indisponibilidade
pode afetar o funcionamento das atividades da empresa causando perdas por parte
da empresa.
Os ativos devem ser categorizados no sentido de facilitar sua classificação e
formas de proteção.
As normas, em sua maioria, fazem referência a seis grandes grupos de ati-
vos, que são:
a) Ativos de Informação: informação digital e em papel;
b) Ativos de Software: sistemas, aplicações, ferramentas e etc.;
c) Ativos Físicos: dispositivos de processamento, armazenamento, ambientes e
etc.;
d) Serviços: serviços de computação, serviço de transporte de dados (aluguel de
link), serviço de fornecimento de energia elétrica e etc.;
e) Pessoas: funcionários, terceiros, estagiários e etc.;
f) Ativos Intangíveis: imagem da empresa, reputação, credibilidade, vantagem
estratégica e etc.
Sêmola (2003, p.45) define o ativo como “todo elemento que compõe os pro-
16
cessos que manipulam e processam a informação, a contar a própria informação, o
meio em que ela é armazenada, os equipamentos em que ela é manuseada, trans-
portada e descartada.”.
Enquanto que, para o autor acima, o ativo corresponde aos elementos que
processam a informação, para Albuquerque e Ribeiro (2002, p.4), “ativo é algo de
valor resguardado pelo sistema. Normalmente incorpora algum aspecto da seguran-
ça; por exemplo, confidencialidade dos dados do orçamento. Se os dados do orça-
mento são públicos, sua confidencialidade não tem qualquer valor”.
Uma alteração, destruição, erro ou indisponibilidade de algum dos a-tivos pode comprometer os sistemas e, por conseguinte, o bom fun-cionamento das atividades de uma empresa. Portanto, um dos pas-sos da Análise de Risco é o de identificar todas as coisas que podem ser afetadas por um problema de segurança e que, neste caso, pre-cisam ser protegidas. (MOREIRA, 2001, p. 20).
A implantação de softwares corporativos, em toda a sua estrutura, deve
ter uma análise de sistemas voltada à segurança da informação para detectar se no
código fonte podem existir falhas ou se os há em banco de dados que apresentem
em seus códigos de programação e configuração vulnerabilidades que exploradas
em métodos de ataques. Procedimentos assim evitam que, apesar de toda a rede
estar devidamente protegida, as falhas surgem em erros de programação ou implan-
tação de programas e bancos de dados.
Os ativos de informação compreendem toda a infraestrutura da tec-nologia da informação, redes e sistema, equipamentos de informáti-ca, dados, bancos de dados, arquivos, programas e redes de comu-nicação, tanto na empresa quanto em trânsito ou residentes em ter-ceiras partes (FERREIRA; ARAÚJO, 2006, p.188).
A importância de proteger cada ativo faz com que seja necessário que a polí-
tica de segurança defina quais são os ativos da empresa, controle de acesso e me-
canismos específicos para cada ativo, quando necessário.
2.2 Informação e a sua segurança
A informação é um dos maiores ativos das organizações. Tratar as informa-
ções de forma confiável e segura despertou grandes avanços na tecnologia, possibi-
litando transporte e armazenamento de informação de forma segura e confiável.
17
Na transição da era industrial para a era da informação ocorreu, entre outros
fatores, a mudança e o crescimento da informação, gerando uma grande transfor-
mação na forma de gerir tal ativo de valor. Em diversas áreas a informação passou a
ser não apenas essencial como elemento de consulta para diversas finalidades, mas
pelo seu valor também objeto de desejo de outros que não a tinham. Com a utiliza-
ção de computadores e servidores para armazenar a informação, os ataques e rou-
bos passaram a não ser apenas físicos, mas também lógicos, nos quais equipamen-
tos que possuem informações e que estão ligados à rede mundial correm o risco de
sofrer ataque de qualquer ponto remoto.
Segundo a ABNT NBR ISO/IEC 27002 (2005, p.9), a informação “é um ativo
que, como qualquer outro ativo importante, é essencial para os negócios de uma
organização” e consequentemente necessita ser adequadamente protegida. Isto é
especialmente importante no ambiente dos negócios, cada vez mais interconectado.
Como um resultado deste incrível aumento da interconectividade, a informação está
agora exposta a um crescente número e a uma grande variedade de ameaças e vul-
nerabilidades, entendendo-se que “a informação representa a inteligência competiti-
va dos negócios e é reconhecido como ativo crítico para a continuidade operacional
e saúde da empresa” (SÊMOLA, 2003, p.39).
O gerenciamento da informação é de extrema importância para uma gestão
administrativa eficaz na corporação ao criar metodologias e políticas de gestão dire-
cionadas à informação, ao estabelecer mecanismos que definem com agilidade e
segurança a tomada de decisões de forma inteligente e ao agregar valor perante os
clientes e os funcionários.
De acordo com Ferreira; Araújo (2006, p. 73), o proprietário das informações
é o responsável pela autorização do acesso às informações, considerando as políti-
cas vigentes dentro da organização. O usuário das informações é qualquer individuo
com acesso às informações da organização, seja um funcionário ou um contratado,
com atividades internas ou em seu próprio escritório.
De acordo com Ferreira e Araújo (2006, p.63), “a Informação é o dado em to-
das as suas formas de entrada, processamentos e saída pelos sistemas de informa-
ção, seja qual for a maneira a ser utilizada pelo negócio”.
Segundo a Norma ABNT NBR ISO/IEC 27002 (2005, p.9), “a informação pode
existir em diversas formas, ela pode ser impressa ou escrita em papel, armazenada
eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em
18
filmes ou falada em conversas”. É recomendado que a informação seja sempre pro-
tegida adequadamente.
2.3 Segurança da Informação
A informação é um dos principais patrimônios de uma organização e o seu
trânsito se torna um fator importante no mundo dos negócios, podendo até decidir o
sucesso da empresa; esse poder da informação a torna um alvo constante de ame-
aças tanto internas, como externas, o que aumenta cada vez mais devido à crescen-
te facilidade de acesso a essa informação.
Grandes empresas, de diversos seguimentos, investem muito em Segurança
da Informação, não poupando recursos e investimentos em equipamentos e mão de
obra especializada, para proteger e garantir um bom armazenamento e comparti-
lhamento das informações adquiridas.
De acordo com Sêmola (2003, p.43), “pode-se definir Segurança da Informa-
ção como uma área do conhecimento dedicada à proteção de ativos da informação
contra acessos não autorizados, alterações indevidas ou sua indisponibilidade”.
A segurança da informação é fundamentada em três pilares, a saber: disponi-
bilidade, integridade e confidencialidade. Caso um dos fundamentos seja violado ou
não esteja presente corretamente, certamente a segurança da informação estará
comprometida.
O autor dá ênfase à segurança condicionada à proteção de ativos. Usualmen-
te a palavra “ativos” representa a parte da organização que corresponde a bens e
direitos, apontada como a parte produtora de resultados financeiros, sendo assim
considerada a parte mais importante na esfera organizacional.
Como ativo de valor, a segurança da informação está condicionada ao desen-
volvimento de equipes especializadas
Na sociedade da informação, ao mesmo tempo em que as informa-ções são consideradas os principais patrimônios de uma organiza-ção, estão também sob constante risco, como nunca estiveram an-tes. Com isso, a segurança da informação tornou-se ponto crucial para a sobrevivência das organizações. Na época em que as infor-mações eram armazenadas em papel, a segurança era relativamente simples. Com as mudanças tecnológicas, a estrutura de segurança ficou mais sofisticada, possuindo controles centralizados. Com a chegada dos computadores pessoais e das redes que conectam o mundo inteiro, os aspectos de segurança atingiram tamanha comple-
19
xidade que há necessidade do desenvolvimento de equipes cada vez mais especializadas para sua implementação e gerenciamento (FERREIRA; ARAÚJO, 2003, p.1,2).
De acordo ainda com o autor, “o usuário dos recursos tecnológicos detém a
responsabilidades pela segurança das informações da organização” (FERREIRA E
ARAÚJO, 2006, p.88).
O nível de segurança das informações de uma organização deve ser previa-
mente concedido a usuários determinados pela própria organização. De acordo com
Moreira (2001, p. 6), “devido ao aumento da competitividade, e visando ao aumento
da qualidade dos serviços prestados, uma tendência natural nas Organizações é o
aumento da confiança e da dependência nos sistemas computacionais”.
Tal aspecto leva a um aumento no risco das informações: o negócio da empresa gira em torno de um conjunto de sistemas interligados e disponíveis 24 horas por dia, fazendo com que o nível de exposição aos riscos aumente para muitas empresas despreparadas sob o pon-to de vista da segurança (MOREIRA, 2001, p.6).
Sem a conscientização e a educação em segurança da informação não é
possível a uma organização manter seu ambiente seguro. Os usuários são os prin-
cipais agentes que lidam com a informação, por isso devem impedir que informa-
ções sigilosas fossem facilmente adquiridas por outros usuários indesejáveis.
Com o aumento da competitividade, e visando ao aumento da quali-dade dos serviços prestados, uma tendência natural nas Organiza-ções é o aumento da confiança e da dependência nos sistemas com-putacionais. Antes, havia um conjunto de sistemas que estavam fora da rede; agora, o negócio da empresa gira em torno de um conjunto de sistemas, todos interligados e disponíveis 24 horas por dia em muitos casos, fazendo com que o nível de exposição aos riscos, em muitas empresas despreparadas sob o ponto de vista da segurança, aumente. (MOREIRA, 2001, p. 6).
De acordo com o autor acima, a competitividade e a qualidade dos serviços
prestados geraram uma preocupação com o nível de segurança, pois hoje as em-
presas precisam estar interligadas a sistemas integrados.
2.4 Classificação de Informações
A transmissão de informações classificadas como ”sigilosas” dentro da rede da organização requer aprovação do diretor ou do gerente responsável sempre que possível, de forma que a área de segurança da informação deve providenciar aos seus usuários meios eletroni-camente seguros para a transmissão das informações e dados clas-sificados como “confidenciais” (FERREIRA; ARAÚJO, 2006, p.89).
20
Portanto, essas informações devem ser transmitidas por meio eletronicamen-
te seguro que é a transmissão de dados criptografados através de uma rede privada
de dados.
De acordo ainda com os autores, a classificação da informação é o processo
de estabelecer o grau de importância das informações mediante seu impacto no ne-
gócio. Ela é necessária para seu melhor gerenciamento. Se for feita corretamente, a
classificação reduz drasticamente o custo com recursos para proteger as informa-
ções e ajuda a implementação de controles onde realmente são necessários.
Segundo Ferreira, (2003, p. 23-24), as informações se classificam como:
a) Informação não classificada - Informações que, se forem divulgadas fora da organização, não trarão impacto aos negócios. b) Informação interna - o acesso externo às informações deve ser evita-do. c) Informação confidencial - as informações dessa classe devem ser confidenciais dentro da organização e protegida de acesso externo. d) Informação secreta - o acesso interno ou externo não autorizado a es-tas informações é extremamente crítico para a organização.
2.4.1 Disponibilidade
A disponibilidade da informação possibilitada pelo devido acesso à informa-
ção necessária ao usuário autorizado.
De acordo com Albuquerque e Ribeiro (2002, p.2), disponibilidade indica a
quantidade de vezes em que o sistema cumpriu uma tarefa solicitada sem falhas
internas sobre o número de vezes em que foi solicitado a fazer uma tarefana fração
do tempo em que o site esteve no ar.
Já o autor Ferreira (2003, p.02) defende a disponibilidade como sendo a “ga-
rantia de que os usuários autorizados obtenham acesso à informação e aos ativos
correspondentes sempre que necessário”.
Para Ferreira e Araújo (2006, p.35), disponibilidade relaciona-se à disponibili-
dade da informação no momento em que for requerido pelos processos do negócio,
o que inclui também a salvaguarda dos recursos.
Em uma análise geral, os três autores acima defendem tópicos semelhantes
em relação à disponibilidade de informações sob três aspectos básicos: cumprimen-
to de uma tarefa solicitada sem falhas internas, a garantia de acesso à informação e
aos ativos e a disponibilidade da informação no momento em que for requerida.
21
2.4.2 Integridade
A informação armazenada em um sistema qualquer e a informação trafega-
da devem ser modificadas apenas por usuários autorizados, de forma que a integri-
dade da informação não esteja sendo violada.
De acordo com Moreira (2001, p. 10), “integridade consiste em proteger a in-
formação contra qualquer tipo de alteração sem a autorização explícita do autor da
mesma”. Reforça-se que “a integridade relaciona-se à precisão e à manutenção da
integridade da informação, bem como sua validade, de acordo com os padrões es-
tabelecidos e expectativas de negócio” (FERREIRA; ARAÚJO, 2008, p.62).
Os autores defendem que a proteção à informação está relacionada a qual-
quer tipo de alteração, à precisão e à manutenção da integridade da informação,
bem como sua validade, além de indicar que a informação não foi alterada ou, se foi,
de forma autorizada.
A Integridade é o atributo de um sistema que impede que uma informação se-
ja alterada sem autorização ou realize mudanças não autorizadas quando ocorridas.
Na verdade, quando uma empresa perde uma informação, além do valor desta, a empresa deverá levar em conta o custo de sua recria-ção ou até mesmo de sua recuperação. Sem duvida nenhuma, o pro-blema da perda da integridade das informações pode ser catastrófico para qualquer empresa (MOREIRA, 2001, p. 10).
A integridade de um sistema é a forma de se impedir que uma informação se-
ja alterada sem autorização ou registrar mudanças não autorizadas quando ocorri-
das.
2.4.3 Confidencialidade
A confidencialidade é caracterizada em garantir o sigilo de determinada infor-
mação, armazenada ou em tráfego. De acordo com o grau de valor da informação,
um acesso indevido pode representar risco ao ativo de uma empresa.
De acordo com Moreira (2001, p. 10), “a confidencialidade é a propriedade
que visa a manter o sigilo, o segredo ou a privacidade das informações evitando que
pessoas, entidades ou programas não autorizados tenham acesso às mesmas”.
Bancos e empresas passam segurança a seus clientes garantindo a confi-
dencialidade das transações por indeterminado período de tempo. Dessa forma,
“confidencialidade é a capacidade de um sistema de impedir que usuários não auto-
22
rizados vejam determina da informação, ao mesmo tempo em que usuários autori-
zados podem acessá-la”. (ALBUQUERQUE; RIBEIRO, 2002, p.1)
Segundo Ferreira e Araújo (2006, p.35), a confidencialidade refere-se à prote-
ção de informação considerada privilegiada contra divulgação não autorizada.
Para Sêmola (2003, p.44), “toda a informação deve ser protegida de acordo
com o grau de sigilo do seu conteúdo, visando à limitação de seu acesso e uso ape-
nas às pessoas para quem elas são destinadas”.
2.4.4 Vulnerabilidade
Vulnerabilidade é um nível de risco que um sistema possui, em sofrer amea-
ças intencionais ou acidentais.
Ataques podem ser explorados após descobertas vulnerabilidades de um sis-
tema ou de uma área física. Quanto mais vulnerável um ambiente físico ou lógico,
menos seguro ele será.
A vulnerabilidade é o ponto onde qualquer sistema está suscetível a um ataque, ou seja, é uma condição favorável encontrada em deter-minados recursos, processos, configurações, etc. Condição causada muitas vezes pela ausência ou ineficiência das medidas de conten-ção que visem proteger os bens da empresa. (MOREIRA, 2001, p. 22).
De acordo com o autor, a vulnerabilidade está ligada a falhas de projeto, à
implementação ou à configuração que estabeleça condições favoráveis para que as
vulnerabilidades possam ser exploradas e viabilizem a violação de dados sigilosos.
Todo ataque explora uma fraqueza no sistema. Da mesma forma, desastre e erros de operação somente podem causar danos se exis-tir um ponto fraco no sistema que permita que o ativo seja atingido. Esse ponto fraco pode ser um erro no código ou uma falha de espe-cificação de segurança. (ALBUQUERQUE; RIBEIRO, 2002, p.4).
Na implementação e na implantação de sistemas, uma das ações mais impor-
tantes na sua eficácia é a analise de sistemas direcionado à segurança. Essa análi-
se, feita por um analista de segurança, visa a garantir que a implementação do códi-
go não apresente falhas que gerem vulnerabilidades na sua execução que possam
ser exploradas e utilizadas em ataques.
De acordo com Moreira, os ambientes possuem vulnerabilidades, o que con-
tribui para a ocorrência de incidentes de segurança.
Não existe um ambiente totalmente seguro assim todos os ambientes têm
23
vulnerabilidades. Muitas empresas possuem políticas de segurança implementadas
com vulnerabilidades devido a configurações inadequadas, “identificar as vulnerabi-
lidades que podem contribuir para a ocorrência de incidentes de segurança é um
aspecto importante na identificação de medidas adequadas de segurança”. (MO-
REIRA, 2001, p. 22).
Muitas das políticas de segurança desenvolvidas pelas empresas possuem
configurações inadequadas, elevando o risco de uma invasão ou perda de integrida-
de seja latente.
.5 Risco
Risco é a possibilidade de uma determinada ameaça explorar vulnerabilida-
des de um ativo ou de um conjunto de ativos, prejudicando a organização.
Segundo Moreira (2001, p.20), “risco pode ser entendido como tudo aquilo
que pode afetar nossos negócios e impedir que alcancemos nossos objetivos”.
Os riscos devem ser identificados, quantificados ou descritos qualitativamen-
te, priorizados em função dos critérios de avaliação de riscos e dos objetivos rele-
vantes da organização.
Um risco existe quando uma ameaça, com potencial para causar al-gum dano, possui uma vulnerabilidade correspondente com alto índi-ce de probabilidade de ocorrência no ambiente computacional e um baixo nível de proteção. (MOREIRA, 2001, p. 20)
É impossível tornar um sistema imune aos riscos, visto que são numerosos e
se expandem em todas as áreas de um parque tecnológico de uma empresa.
É de extrema necessidade que haja um levantamento de risco de forma a-
brangente e especifica, obedecendo aos critérios definidos pela norma.
2.5.1 Medida de risco
É a combinação da probabilidade de um evento indesejável e o impacto que
essa vulnerabilidade pode causar na rede de computadores.
Dentre os principais tipos de riscos, destacam-se:
• Risco estratégico - é empresarial (negócio), em que, geralmente, as deci-
24
sões estratégicas influenciam toda uma organização nos seus mais varia-
dos níveis (executivo, gerencial, operacional técnico etc.).
• Risco humano - É proveniente de ações de pessoas com intenção ou não
de atingir a organização.
• Risco tecnológico - Em virtude de seu potencial ainda não ser totalmente
explorado, e com poucos diretores de TI com entendimento da sua real ne-
cessidade, o risco tecnológico tem sido uma porta de entrada para muitos
hackers, que enxergam nas falhas dos sistemas uma porta de entrada para
obter acesso não autorizado aos sistemas.
2.5.2 Análise de risco
A avaliação e análise de risco são os primeiros passos para a gestão de risco.
As organizações utilizam estes procedimentos para determinar o nível de riscos e
ameaças associados com seus sistemas informatizados.
Convém que a análise/avaliação de riscos inclua um enfoque siste-mático de estimar a magnitude do risco (análise de riscos) e o pro-cesso de comparar os riscos estimados contra os critérios de risco para determinar a significância do risco (avaliação do risco) (ABNT NBR ISO/IEC 27002, 2005, p.18). A análise deve envolver o tipo de acesso requisitado, o grau de im-portância da informação, recursos de segurança utilizados e o impac-to para a infraestrutura em geral (FERREIRA; ARAÚJO, 2008, p.104).
2.5.3 Tratamento de riscos de segurança da informação
O tratamento de um risco é definido por uma organização seguindo critérios
de aceitação. A organização decidirá que medida será aplicada identificando o grau
do risco e o custo para tratá-lo.
Os riscos podem ser tratados através de controles apropriados; a aceitação
de ameaças, ações que possam ocasionar situações de risco, poderá transferir os
riscos para outros personagens como seguradoras e fornecedores.
2.5.4 Gestão de risco
A gestão de risco em segurança da informação compõe o conjunto das di-
mensões que possibilitam que o processo de segurança da informação aconteça de
maneira eficiente, eficaz e contínua ao longo do tempo e geralmente é utilizada para
25
ter informações sobre os riscos.
De acordo com a Norma ABNT ISO/IEC 27005 (2005, p.23), “convém que o
processo de gestão de riscos em segurança da informação seja continuamente mo-
nitorado, analisado criticamente e melhorado, quando necessário e apropriado.”.
A Norma ABNT ISO/IEC 27005 (2005, p.23) diz que, convém que a organiza-
ção se certifique de que o processo de gestão de riscos de segurança da informação
e as atividades relacionadas permaneçam apropriados às circunstâncias presentes”.
Convém também assegurar que as atividades sejam acompanhadas. Além disso,
convém que a organização verifique regularmente se os critérios utilizados para me-
dir o risco e os seus elementos ainda são válidos e consistentes com objetivo do ne-
gócio, estratégias, políticas e se as mudanças no contexto do negócio são adequa-
damente consideradas durante o processo de gestão de riscos de segurança da in-
formação.
2.6 Ataque
É um tipo de problema de segurança caracterizado pela existência de um a-
gente que busca obter algum tipo de retorno, atingindo um ativo de valor. O retorno
pode ser financeiro ou não.
Para Moreira (2001, p.194), “um ataque a um sistema de computador ou a um
site na internet pode ser entendido como uma ação para impedir ou interromper a
execução dos mesmos. Quer dizer que quando um site sai fora do ar ele sofreu uma
invasão? Não, ele sofreu um ataque”.
De acordo com Ferreira (2003, p.83), um dos tipos de ataque mais comuns é
o Denial of service. Este ataque é capaz de tirar recursos ou um site do ar, indispo-
nibilizando seus serviços. É baseado na sobrecarga de capacidade ou em uma falha
não esperada.
2.7 Invasão
Invasão é o acesso não autorizado a redes ou sistemas de informação, ge-
ralmente de forma intencional ou premeditada, de objetos ou informações valiosas a
fim de acessá-la para um objetivo determinado. A invasão pode ser bem sucedida
através de vulnerabilidades encontradas por usuários maliciosos, vulnerabilidades
26
estas que deveriam ser corrigidas pela organização responsável.
“Uma invasão consiste em adentrar a uma rede, seja ela local ou remota,
sem que tenha permissão de acesso, e conseguir o alvo, que muitas vezes pode ser
desde o roubo do arquivo de senhas para futuras invasões, ou até mesmo roubo de
projetos, dados de cliente etc.” (MOREIRA, 2001, p.194).
2.8 Agente
É contra quem estão sendo impostas as defesas. A defesa gira em torno dos
hackers que desejam invadir o sistema. O agente de uma ameaça é sempre alguém
que vai ganhar algo com sua eventual exploração (Albuquerque e Ribeiro, 2002,
p.26).
2.9 Ameaça
Ameaça é tudo aquilo que pode danificar ou roubar a informação de uma em-
presa por meio de incidentes de segurança. É explorando as vulnerabilidades que
age a ameaça, ou seja, se não existe vulnerabilidade, a ameaça não gera risco à
informação.
“Ameaça é a possibilidade de um invasor ou evento inesperado explorar uma
vulnerabilidade de forma eficaz” (FERREIRA; ARAÚJO, 2006, p.171).
No gerenciamento de redes, sistemas e programas, uma das ações mais efi-
cazes para garantir a segurança é manter sempre todos os sistemas atualizados de
acordo com as especificações do fabricante.
Os serviços de proteção e controle como firewalls, proxys, e sistemas opera-
cionais de redes, as atualizações dos fabricantes eliminam as falhas e vulnerabilida-
des que não foram previstas ou observadas anteriormente na sua implementação.
Por isso, a necessidade de extrema atenção dos administradores de redes e siste-
mas de manter sempre tudo atualizado.
De acordo com Albuquerque e Ribeiro (2002, p.4), “ameaça é um ataque po-
tencial, ou seja, um conjunto de três elementos: o agente (ou atacante), a vulnerabi-
lidade e o ativo com valor, que permite um ataque”.
Nas organizações, as ameaças devem ser consideradas como uma possível
perda de ativos no que se refere à segurança da informação. As informações e seus
27
sistemas em organizações devem ser protegidos de riscos, ameaças, fraudes ele-
trônicas, sabotagem, espionagem, incêndio e inundações.
Para Moreira (2001, p.39), “ameaças são fatores/ocorrências que podem vio-
lar sistemas e causar incidentes de segurança e, dessa forma, danos aos negócios
da empresa”.
As ameaças podem ser internas ou externas. As internas estão no dia-a-dia das Organizações e independem de estar conectadas à In-ternet ou não. Podem ser fraudes cometidas por funcionários, roubo de informações, erros humanos, treinamento inadequado, etc. As ameaças externas são as oriundas da Internet como: Vírus, Cavalos de Tróia, ataques de Hackers, Crackers, etc. (MOREIRA, 2001, p. 47 a 61).
Ameaça é a possibilidade de um invasor ou evento inesperado explorar uma
vulnerabilidade de forma eficaz. (FERREIRA E ARAÚJO, 2006, p.171).
De acordo com Moreira (2001, p. 41-42) as ameaças podem ser:
• Ameaças acidentais - são as que não estão associadas à intenção pre-
meditada, ou seja, ocorrem por mero desconhecimento, falta de treina-
mento, falta de atenção e outras formas nesta mesma linha.
• Ameaças passivas - são as que, quando realizadas, não resultam em
qualquer modificação nas informações contidas em um sistema, em sua
operação ou seu estado.
• Ameaças ativas - são as que envolvem a alteração da informação ou mo-
dificações em seu estado ou operação.
A garantia de segurança é uma das preocupações centrais da ISO/IEC15.
408. Não se pode garantir a um sistema proteção contra “todas as ameaças“, mas
pode-se testá-lo e avaliá-lo, garantindo que um número tão grande quanto se queira
de ameaças seja inócuo ao sistema (ALBUQUERQUE e RIBEIRO, 2002, p.26).
2.10 Engenharia social
É a forma de obtenção de informações “das mais perigosas e eficientes utili-
zadas pelos invasores.” (FERREIRA, 2003, p.81). Neste caso o acesso a informa-
ções normalmente é feito de forma pessoal, perguntando a informação que se dese-
ja; se passando por funcionário de determinado setor ou empresa um invasor pode
adquirir código de usuário e senha, conhecer assuntos internos e sigilosos e ter a-
cesso a materiais físicos, muitas vezes descartados como, por exemplo, manuais.
28
De posse do conteúdo restrito e sigiloso o invasor poderá, maliciosamente, utilizá-
los.
“É um método de ataque em que alguém faz uso da persuasão, muitas vezes,
abusando da ingenuidade ou confiança do usuário, para obter informações que po-
dem ser utilizadas para ter acesso não autorizado, a computadores ou informações”
(FERREIRA; ARAÚJO, 2008, p.119).
2.11 Política de segurança da informação
Política de segurança é um conjunto de normas e diretrizes, que tem como
fundamento dizer como os ativos e o ambiente da empresa devem ser utilizados e
preservados. Seu objetivo é de determinar as regras que devem ser respeitadas por
todos os membros da empresa. A política deve ser clara para e em caso de seu
descumprimento assegurar que haverá penalizações. “A Política de segurança pode
ser entendida como sendo um conjunto de normas e diretrizes destinadas à prote-
ção dos ativos da Organização” (MOREIRA, 2001, p.36).
Uma Política de Segurança deve ser proativa, em que os agentes envolvidos
estejam atentos a possíveis brechas na segurança e em que seja possível corrigi-la
o mais rápido possível, e não reativa, quando se espera acontecer para depois pro-
curar resolver os possíveis danos causados.
Segundo o livro “Writing Information securiy Policies” de Scott Bar-man, publicado pela Editora New Riders nos Estados Unidos (sem tradução no Brasil), a Política de segurança é composta por um con-junto de regras e padrões sobre o que deve ser feito para assegurar que as informações e serviços importantes para a empresa recebam a proteção conveniente, de modo a garantir a sua confidencialidade, integridade e disponibilidade. (FERREIRA; ARAÚJO, 2006, p.9).
“A Política de Segurança define o conjunto de normas, métodos e procedi-
mentos utilizados para manutenção da segurança da informação, devendo ser for-
malizada e divulgada a todos os usuários que fazem uso dos ativos de informação”
(FERREIRA; ARAÚJO, 2006, p.9).
O ambiente dos sistemas informáticos de uma organização é muito amplo,
envolvendo redes, servidores, bancos de dados e sistemas corporativos que traba-
lham conectados e para manter a segurança e garantir a continuidade dos serviços,
a necessidade de criar metodologias e gerenciar os mecanismos de proteção são
ferramentas essenciais que visam facilitar a administração, obter uma visão mais
29
sistemática e exata garantindo que falhas e vulnerabilidades possam ser evitadas e
na sua ocorrência, providencias de proteção possam ser tomadas com mais agilida-
de de eficácia.
A Política de Segurança da informação “é uma ferramenta tanto para prevenir
problemas legais como para documentar a aderência ao processo de controle de
qualidade” (FERREIRA; ARAÚJO, 2006, p.10).
A Política de Segurança pode ser entendida como sendo um conjun-to de normas e diretrizes destinadas à proteção dos ativos da Orga-nização. Neste documento deve estar descrito a forma que a empre-sa deseja que seus ativos sejam protegidos, manuseados e tratados. Ele deve estabelecer procedimentos para prevenir e responder a in-cidentes relativos à segurança (MOREIRA, 2001, p. 36).
De acordo com o autor, a segurança pode ser definida sob três aspectos lógi-
cos:
• Segurança Física: são abordados assuntos como a proteção dos equipa-
mentos da instituição, integridade física dos dados, controle de acesso fí-
sico, infraestrutura, plano de contingência.
• Segurança Lógica: visa garantir a integridade lógica dos dados, proteção
dos dados da instituição, proteção da privacidade dos usuários;
• Política de Uso: estabelece papel do usuário na implantação da política.
Segundo Ferreira e Araújo (2006, p.45), “segurança física são procedimentos
e recursos para prevenir acesso não autorizado, dano à interferência nas informa-
ções e a instalações físicas da organização”.
O backup é uma importante atividade no processo de segurança dos dados
de uma empresa, independente do porte e da atividade da empresa, todas sem ex-
ceção devem praticá-lo (MOREIRA, 2001, p.84).
No entendimento de Uchôa (2005), a definição de uma política de segurança
é o elemento mais importante da segurança em redes, e deve envolver a segurança
física, segurança lógica, privacidade e a legalidade de software. Sem uma política de
segurança bem elaborada, não se sabe o que se vai proteger, nem porque ou qual a
melhor forma.
2.12 Segurança física
A segurança física previne que acesso físico não autorizado possa tra-
30
zer prejuízo e violação intencional ou por acidentes de alguma espécie.
Segundo Ferreira e Araújo (2008, p.45), “segurança física são procedimentos
e recursos para prevenir acesso não autorizado, dano à interferência nas informa-
ções e a instalações físicas da organização”.
Uma política com controle de segurança física exige que funcionários sejam
devidamente identificados para locomoverem nas instalações e utilizar terminais que
permitam navegar em sistemas e ter acesso às informações de uma determinada
organização.
Segundo Ferreira (2003, p. 127-131), a Segurança Física além de aplicar o
controle de acesso físico, onde a proteção de ambientes, equipamentos ou informa-
ções é controlada por uso de chaves, trancas, guardas, crachás, cercas, alarmes,
grades, muros, portas e até acesso biométrico, também se deve aplicar os controles
ambientais onde “os equipamentos devem ser fisicamente protegidos contra amea-
ças à sua segurança e perigos ambientais e devem ser instalados e protegidos para
reduzir o risco de ameaças ambientais, perigos e oportunidades de acesso no auto-
rizado”. Tais aspectos têm a finalidade de reduzir riscos de espionagem de informa-
ção, minimizar ameaças potenciais como fogo, explosivos, fumaça, água, poeira,
vibração e interferência no fornecimento elétrico no próprio perímetro ou nas proxi-
midades da organização.
Em áreas de segurança física, tem-se difundido o uso do controle de acesso
lógico, onde, por meio da informatização, o tráfego de pessoas e acesso a sistemas
é registrado. A informatização dos acessos permite melhor agilidade e rapidez ao
acessar o perímetro de segurança e rede de computadores, podendo, oportunamen-
te utilizar de recurso para identificar, autorizar ou até mesmo bloquear pessoas e
usuários através de informações armazenadas em um sistema.
“Convém que sejam utilizados perímetros de segurança (barreiras tais como
paredes, portões de entrada controlados por cartão ou balcões de recepção com
recepcionistas) para proteger as áreas que contenham informações e instalações de
processamento da informação”. (ABNT NBR ISO/IEC 27002, 2005, p. 44).
2.13 Segurança lógica
A segurança lógica compreende essencialmente: controle de acesso, segu-
31
rança de software e segurança em redes. Esses pontos são estratégicos e essenci-
ais na proteção de dados, controle de acesso de usuários,restrição de uso do siste-
ma operacional,aplicativos, acesso seguro e controlado a rede de computadores. É
a prevenção contra acesso não autorizado.
Apresentação dos dispositivos de segurança utilizados para controlar o acesso a dados, programas, aplicações e redes de computadores, bem como descrição e aplicabilidade das ferramentas de segurança e técnicas mais comuns utilizadas por possíveis invasões. (FERREI-RA, 2003, p.5).
Ferreira (2003) descreve procedimentos e ferramentas que devem ser utiliza-
dos para o controle lógico, são eles:
a) Controle de acesso a dados, programas, aplicações e redes - o controle de
acesso lógico tem o objetivo de garantir que somente usuários autoriza-
dos possa ter acesso aos recursos compatíveis com seu perfil de acesso
evitando assim que sejam impedidos de executar ações incompatíveis
com sua função.
b) Procedimentos de segurança aplicados a redes - seguido de um planeja-
mento, uma rede é estabelecida com suas políticas de segurança desde a
instalação até a configuração, estipulando os objetivos, serviços e hard-
ware necessário para a organização. Uma administração de redes de in-
formação eficiente e segura é conseguida por meio de documentação,
códigos de usuários e senhas de administradores e monitoramento dos
logs gerados e armazenados.
c) Criptografia - a criptografia não é uma novidade para o mundo, mas a for-
ma como é aplicada, demonstra que seu uso se tornou mais sofisticado
com o advento dos computadores e da Internet. Sua principal função é
proteger a informação, tornando-a legível somente para o destinatário.
Criptografia “é a arte ou ciência de escrever em cifra ou em códigos, de for-
ma a permitir que somente o destinatário a decifre e compreenda”. (FERREIRA,
2003, p.57).
A criptografia inicialmente é vista como algo complexo e exigindo grande co-
nhecimento matemático. Isso é um mito, visto que a criptografia já está integrada ou
32
tem a sua inserção facilmente executada em sistemas operacionais e aplicativos e
sua utilização foi simplificada com o ajuste de algumas configurações e poucos cli-
ques de mouse.
De acordo com tipo de chave, são classificadas em duas categorias: cripto-
grafia de chave simétrica e criptografia de chaves assimétricas.
Criptografia de chave simétrica: também conhecida por criptografia de chave única, ela usa a mesma chave para codificar como para decodificar as informações, sendo que seu propósito é garantir a confidencialidade dos dados. Quando a informação é codificada e decodificada pela mesma pessoa, não há necessidade de comparti-lhar a chave secreta. Todavia quando há o envolvimento de pessoas e equipamentos distintos, é essencial que a chave secreta seja pre-liminarmente combinada por meio de um canal de comunicação se-guro objetivando o não comprometimento da confidencialidade da chave. Alguns exemplos de métodos criptográficos que utilizam cha-ve simétrica: AES, Blowfish, RC4, 3DES e IDEA. (FERREIRA, 2003, p.61-62). Criptografia de chaves assimétricas: sendo conhecida como cripto-grafia de chave pública onde são usadas duas chaves: uma pública, que é livremente divulgada e conhecida por todos e outra privada, onde é conhecida somente por seu dono. Nesses métodos, quando a informação é codificada por uma chave, somente a outra pode deco-difica-la. Saber qual chave deve ser usada para codificar, se confi-dencialidade ou autenticação, integridade e não repúdio. A chave privada, no seu armazenamento, pode se utilizar de diversas formas: como um arquivo no computador, um smartcard ou um token. Exem-plos de métodos criptográficos que usam chaves assimétricas são: RSA, DSA, ECC e Diffie-Hellman. (FERREIRA, 2003, p.62-63).
d) Ferramentas de segurança - firewalls são software e equipamentos de se-
gurança que têm a funcionalidade de controlar o acesso em redes de
computadores.
Apresentação dos dispositivos de segurança utilizados para controlar o aces-
so a dados, programas, aplicações e redes de computadores, bem como descrição e
aplicabilidade das ferramentas de segurança e técnicas mais comuns utilizadas por
possíveis invasões (FERREIRA, 2003, p.5), são recursos para a prevenção contra
acesso não autorizado.
2.14 Medidas de segurança
As medidas de segurança têm a finalidade de detectar possíveis ame-
aças, e evitar que a possível exploração de vulnerabilidades.
“Medidas de segurança são esforços como procedimentos, software, configu-
33
rações, hardware e técnicas empregadas para atenuar as vulnerabilidades com o
intuito de reduzir a probabilidade de ocorrência de ação de ameaças e, por conse-
guinte, os incidentes de segurança” (MOREIRA, 2001, p.31).
De acordo ainda com o autor, a combinação de várias estratégias pode ser a
saída para que a empresa consiga atingir o nível de segurança desejado e que é
requerido em função de seu tipo de negócio. Existem inúmeras formas de medidas
de segurança, que segundo Moreira (2001, p.32-33) podem ser:
política de segurança, certificado digital, controle de acesso, cripto-grafia forte, segurança física, plano de contingencia, backup, monito-ração, firewall, políticas de senha, detecção de intrusos, segurança de roteadores, filtro de conteúdo, teste de invasão, alertas, treina-mento/conscientização dos usuários, auditoria e antivírus.
2.15 Não-repúdio
Permite que mecanismos de segurança impeçam o repúdio de transações em
sistemas. De acordo com Moreira (2001, p11), não-repúdio pode ser entendido co-
mo sendo “os esforços aplicados para garantir a autoria de determinadas ações no
sistema”.
Segundo Albuquerque e Ribeiro (2002, p.2), “é a capacidade do sistema de
provar que um usuário executou determinada ação no sistema”.
Há dois pré-requisitos básicos:
• Autenticação, pois há necessidade de identificação das partes.
• Proteção de integridade, pois nada adianta garantir a origem se é possível
alegar que o conteúdo foi alterado.
Para Ferreira (2003, p.44), “o usuário que gerou ou alterou a informação (ar-
quivo ou e-mail) não pode negar o fato, pois existem mecanismos que garantem a
sua autoria”.
2.16 Autorização
Todo sistema que preza a segurança da informação exige a autorização de
um usuário para acesso a dados privilegiados, para que o usuário devidamente au-
torizado possa manipular formalmente os recursos disponíveis. A autorização pode
ser privilegiada ou não, definindo o nível de acesso de cada usuário.
34
Sêmola (2003, p.46) aponta a autorização como sendo uma “permissão
para o acesso às informações e às funcionalidade das aplicações a quem participa
da troca de informações”.
Convém que os sistemas de multiusuários que necessitam de prote-ção a acesso não autorizado tenham a concessão de privilégios con-trolada por um processo de autorização formal. [“...] Convém que a concessão de senhas seja controlada através de um processo de gerenciamento formal.” ABNT NBR ISO/IEC 27002(2005, p. 68).
2.17 Criticidade
Na ocorrência de ataques, o nível de comprometimento na funcionali-
dade de um ativo que pode causar até indisponibilidade, é avaliado para saber qual
o impacto que este evento causou, essa ação vai determinar a criticidade do ataque.
Sêmola (2003. p.47) diz que “a criticidade é a gravidade que se refere ao im-
pacto dos negócios isso pode ser causado pela ausência de um ativo ou quando
este se perde ou se reduz em suas funcionalidades”.
2.18 Auditoria
É a funcionalidade de um sistema auditar todas as ações efetuadas pelos u-
suários, detectando tentativas de ataques ou fraudes.
Convém que registros (log) de auditoria contendo atividade dos usu-ários, exceções e outros eventos de segurança da informação sejam produzidos e mantidos por um período de tempo acordado para auxi-liar em investigações e monitoramento de controle de acesso. (Nor-ma ABNT NBR ISO/IEC 27002;2005)
35
CAPÍTULO 3 - ESTUDO DE CASO
3.1 Histórico
O escritório de Contabilidade Porto Seguro II, estabelecido em 1992, está há
mais de 20 anos no ramo de prestação de serviços na área de contabilidade e de
assessoria empresarial, voltada principalmente para o comércio, porém também a-
tendendo a outras atividades econômicas do mercado, tais como condomínios, insti-
tuições sem fins lucrativos, igrejas, associações e alguns produtores rurais.
O escritório atende também a pessoas físicas nas declarações de imposto de
renda e de ajuste anual ou de espólio e ITR - Imposto Territorial Rural.
O escritório realiza todos os serviços relacionados com a contabilidade e ge-
renciamento empresarial, elaboração de documentos que demonstram as mutações
do patrimônio da empresa, para que seus gestores possam tomar uma decisão.
Atualmente o escritório conta com uma cartela de 70 clientes.
O seu quadro de colaboradores é composto por três sócios formados em con-
tabilidade, e conta ainda com seis administrativos, dois estagiários e um motoboy.
3.2 Estrutura física
O escritório possui duas salas, sendo uma de produção e outra da diretoria.
O escritório está em busca da eficácia em seus serviços e prioriza a qualida-
de, pontualidade e o bom atendimento, missão da empresa.
Os colaboradores recebem um auxilio faculdade para que possam continuar
os estudos e evidentemente melhorar seus desempenhos no escritório.
3.2.1 Sala principal
A sala principal utilizada por administradores da organização, além de dispor
de duas estações de trabalho dispõe de um servidor. (figura 1)
36
Figura 1 – Sala principal
Embora o acesso necessite de ser controlado por uma porta de grade, a prin-
cipal vulnerabilidade encontrada é o servidor, totalmente exposto no canto da sala,
em cima da mesa. Toda fiação da rede de dados está visível, sujeita à interceptação
ou a danos, e os armários não possuem chaves.
3.2.2 Sala secundária
Na sala secundária atuam funcionários, cada um em seu terminal com acesso
à rede interna e a Internet. (figura 2).
Figura 2 – Sala secundária.
A sala secundária possui porta com grade, porém o acesso ao público é cons-
tante, de modo que as informações processadas no instante da visita e os documen-
tos materiais armazenados nos armários estão facilmente acessíveis ao público.
37
Em termo de telecomunicações, apenas a rede telefônica está com o cabea-
mento protegida adequadamente.
3.3 Servidor
Localizado na sala principal ao lado do administrador da empresa, o servidor
está exposto a todos os funcionários, clientes e visitantes. Sua principal função é
armazenar os sistemas e arquivos lógicos de clientes e de funcionários. (figura 3)
Figura 3 – Servidor
3.4 HUB
A sala principal possui uma área considerada sala de espera, onde se encon-
tra o Hub que tem a função de comunicar o servidor com as estações de trabalho
localizadas na sala secundária, onde os terminais utilizados por funcionários depen-
dem exclusivamente deste Hub para a continuidade dos serviços.
O Hub não está protegido contra ameaças físicas e do ambiente. (figura 4)
38
Vulnerável a acidentes, o Hub não possui proteção ou ocultação de suas ins-
talações, sujeitando-se à desativação e à interrupção do tráfego de dados entre a
rede interna e externa.
Figura 4 – Exposição do Hub na parede.
3.5 Arquivo
Localizado na sala secundária, os documentos físicos de clientes e da
empresa são armazenados pelos próprios contadores responsáveis. (figuras 5 e 6)
Os responsáveis pela área de TI, Angelo e Giovani, contadores, são encarre-
gados da atualização dos programas. A Dexion Informática é responsável pelo for-
necimento, implantação, suporte e desenvolvimento do sistema de folha de paga-
mento, escrita fiscal, contábil e gerenciador de escritório. Não possui firewall, IDS ou
Figura 5 – Sala secundária –
lado esquerdo Figura 6 – Sala secundária –
lado direito
39
qualquer outro dispositivo, físico ou lógico de segurança. A estrutura física da rede
não está estruturada em conformidade com a norma EIA/TIA 568, que rege a padro-
nização de fios e cabos para telecomunicações em prédios comerciais. Quanto à
segurança física, não há grades nas portas e janelas, mas o controle de acesso ao
prédio é feito pela portaria.
3.6 Matriz de risco
A sua aplicação objetiva determinar a probabilidade da ocorrência e o impacto
a causado na organização na exploração de vulnerabilidades ou ameaças específi-
cas. A matriz de risco utilizada foi baseado no modelo de Ferreira (2003), que de-
termina que cada vulnerabilidade ou ameaça constatada, tem que ser avaliada de
maneira independente.
O impacto pode ser classificado de acordo com a gravidade:
- Baixo: impacto do evento é irrelevante para o projeto, podendo ser facilmen-
te resolvido;
- Médio: impacto do evento é relevante para o projeto e necessita de um ge-
renciamento mais preciso. Pode prejudicar o resultado do projeto;
- Alto: impacto extremamente elevado e, no caso de não interferência imedia-
ta da equipe do projeto, os resultados serão comprometidos.
Por meio da matriz de probabilidade de ocorrência e impacto, são priorizados
aqueles riscos que, se ocorrerem, causarão o maior impacto ao projeto. A classifica-
ção dos riscos teve como base a matriz abaixo:
40
Quadro 1: Matriz de exposição ao risco.
Probabilidade Impacto
Baixo (10) Médio (50) Alto (100)
Alto (1,0) Baixo
10 X 1,0 = 10
Médio
50 X 1,0 = 50
Alto
100 X 1,0=
100
Médio (0,5) Baixo
10 X 0,5 = 5
Médio
50 X 0,5 = 25
Médio
100 X 0,5= 50
Baixo (0,1) Baixo
10 X 0,1 = 1
Baixo
50 X 0,1 = 5
Baixo
100 X 0,1= 10
Fonte: Ferreira (2003, p.101)
Escala de risco:
• Alto – pontuação entre 50 e 100;
• Médio – pontuação de 10 e 50;
• Baixo – pontuação de 1 e 10.
3.6.1 - Perímetro de Segurança Física.
Quadro 2: Matriz de Risco Perímetro de segurança física.
Item Ameaça Probabilidade Impacto Risco
1
Existe recepção com controle de a-
cesso de pessoas? 10 100
100 (ALTO)
2
Existe barreira física como paredes e
janelas com grades mantendo segurança do
andar térreo?
0,1 100 10
(BAIXO)
3
Existe sistema de monitoramento e
detecção de intrusos nos acessos às janelas
e portas externas?
0,1 100 10
(BAIXO)
4
O setor de informática é separado fisi-
camente de terceiros? 10 100
100 (ALTO)
41
3.6.2 Controle de acesso físico a sala da gerência.
Quadro 3: Matriz de Risco Controle de Acesso Físico
Item Ameaça Probabilidade Impacto Risco
1
Existe recepção ou outro meio para
controlar o acesso físico? 0,1 100
100 (BAIXO)
2
Existe barreira física impedindo o aces-
so físico não autorizado? 0,1 100
10 (BAIXO)
3 Existe sistema de combate a incêndio? 0,1 100
10 (BAIXO)
4
As instalações do servidor ficam sepa-
radas fisicamente de terceiros? 10 100
100 (ALTO)
5 Existe sistema de refrigeração? 0,1 100
10 (BAIXO)
6
Existe circuito interno de TV dentro da
sala da gerência? 1,0 50
50 (BAIXO)
42
3.6.3 Controle de acesso físico a sala dos funcionários.
Quadro 4: Matriz de Risco Controle de Acesso Físico
Item Ameaça Probabilidade Impacto Risco
1
Existe recepção ou outro meio para
controlar o acesso físico? 0,1 100
100 (BAIXO)
2
Existe barreira física impedindo o aces-
so físico não autorizado? 0,1 100
10 (BAIXO)
3 Existe sistema de combate a incêndio? 0,1 100
10 (BAIXO)
4
As instalações do arquivo físico ficam
separadas fisicamente de terceiros? 10 100
100 (ALTO)
5 Existe sistema de refrigeração? 0,1 100
10 (BAIXO)
6
Existem trancas nos armários que ar-
mazenam os arquivos físicos. 0,5 100
100 (ALTO)
7
Existe circuito interno de TV dentro da
sala dos funcionários? 0,5 50
10 (BAIXO)
43
3.3.4 Controle de acesso lógico
Quadro 5: Matriz de Risco Controle de Acesso a Rede.
tem Ameaça Probabilidade Impacto Risco
1
Existe uso de identificador de usuário
único para permissão de acesso assegurando
responsabilidades por suas ações?
1,0 100 100 (ALTO)
2
Há controle de permissão de acesso a
documentos e pastas compartilhadas na re-
de?
1,0 100 100 (ALTO)
3
Os usuários declaram por escrito seus
direitos de acesso? 1,0 100 100
(ALTO)
4
Ao mudar de cargos ou funções, ou
deixaram a organização o acesso de usuários
é alterado ou bloqueado?
0,5 100 50 (MÉDIO)
5
E usado o serviço de Firewall para con-
trole de acesso a intranet? 0,5 100 50
(MÉDIO)
44
3.3.5 Segurança dos serviços e infraestrutura de rede.
Quadro 6: Matriz de Risco Segurança dos Serviços de Rede.
Item Ameaça Probabilidade Impacto Risco
1
Existe tecnologia em segurança de
serviços de redes capaz de controlar as co-
nexões de rede?
1,0 100 100 (ALTO)
2
Existe controle de trafego através de
firewall bloqueando o que possa ser uma a-
meaça?
0,5 100 50 (MÉDIO)
3
É usado sistema como antivírus, anti-
spam? 0,1 100 10
(BAIXO)
4
Equipamentos e cabeamento de rede
estão alocados em ambientes que reduzem o
risco de ameaças físicas.
1.0 100 100 (ALTO)
5
Há serviços na rede a fim de restringir
o acesso a serviços ou aplicações que com-
prometam a segurança?
1,0 100 100 (ALTO)
3.3.6 Cópias de segurança das informações.
Quadro 6: Matriz de Risco Cópias de segurança das informações.
Item Ameaça Probabilidade Impacto Risco
1
É feito o backup de forma perió-
dica das informações do servidor da
instituição?
1,0 100 100
(ALTO)
45
3.3.7 – Matriz de exposição ai riscO
Quadro 7: Matriz de exposição ao risco
MATRIZ DE EXPOSIÇÃO AO RISCO
Imp
act
o
5 Barreira
Fisica
Acesso Físico
Servidor
4 Antivírus Serviço de Fire-
wall
Documen-to Físico
Rede Física
3 Backup Acesso lógico
2 Refrige-
ração Circuito de TV
1
1 2 3 4 5
Probabilidade
46
CAPÍTULO 4 - ANÁLISE DE RISCO
A análise dos dados coletados em 24 de agosto de 2012 levou aos seguintes
resultados:
4.1 Perímetro de segurança
1 – Há uma área de recepção na entrada principal do prédio, porém o trafego de
pessoas não é submetido ao controle de acesso;
2 – Existem barreiras físicas como paredes e janelas com grades impedindo o
acesso físico de pessoas não autorizadas ao andar térreo.
3 – Não possui sistema de detecção de intrusos, para registrar possíveis tentati-
vas de acessos às portas externas e às janelas acessíveis;
4.2 Controle de acesso físico a sala da gerência
1 – Possui recepção controlando o acesso físico.
2 – Possui barreira física, impedindo o acesso físico não autorizado.
3 – Existe extintores de combate a incêndios.
4 – As instalações do servidor não ficam separadas fisicamente de terceiros.
5 – Não existe aparelho de ar condicionado.
6 – Possui CFTV na sala da gerência.
4.3 Controle de acesso físico a sala dos funcionários
1 – Possui recepção, controlando o acesso físico.
2 – Possui barreira física, impedindo o acesso físico não autorizado.
3 – Existe extintores de combate a incêndios.
4 – As instalações do arquivo físico não ficam separadas fisicamente de tercei-
ros.
5 – Não existe aparelho de ar condicionado
6 – Não existe trancas nos armários que armazenam os arquivos físicos.
7 – Possui CFTV na sala dos funcionários.
47
4.4 Controle de acesso lógico
1 – Atualmente os usuários não possuem login e senha para autenticação e
acesso aos sistemas;
2 – Independentemente do perfil do usuário na rede, é permitido acesso a do-
cumentos e pastas compartilhadas.
3 – Não há política de controle de acesso definindo os perfis de acesso aos
arquivos;
4 – Não é alterado ou bloqueado o acesso de usuários que mudaram de car-
gos ou funções ou que deixaram a organização.
5 – Não é identificado individualmente o usuário que acessa provedores de
serviços não autorizados.
4.5 Segurança dos serviços e infraestrutura de rede.
1 – Não há tecnologias em segurança de serviços de redes capaz de controlar
as conexões de rede;
2 – Não é utilizado firewall como solução de segurança de rede e nem IDS para
detecção de intrusos;
3 – É utilizado o antivírus Norton Antivírus 2013 como modo de proteção aos
códigos maliciosos;
4 – Equipamentos ativos de rede e o cabeamento não estão devidamente prote-
gidos devido a não alocação em lugar de acesso restrito.
5 – Não há serviços na rede para restringir o acesso a serviços ou a aplicações
que comprometam a segurança.
4.6 Cópias de segurança das informações
1 – Não são realizadas cópias de segurança (backup) das informações perio-
dicamente.
48
CAPÍTULO 5 - PROPOSTA DE POLÍTICA DE SEGURANÇA DA
INFORMAÇÃO
Após análise de dados coletados através de questionário que foi enviado e
respondido pelo gerente do escritório, verificou-se que a segurança de informação é
realizada precariamente, sendo necessária a elaboração de uma Política de Segu-
rança que possibilita a continuidade dos serviços através de boas práticas elabora-
das pela Associação Brasileira de Normas Técnicas (ABNT), precisamente a NBR
ISO/ 27002:2005.
5.1 Perímetro de segurança física
1 – No edifício deve ser implantada uma recepção que controle o acesso físi-
co através de identificação e autorização de pessoas.
Conforme a ABNT NBR ISO/IEC 27002:2005, “convém que, quando apropria-
do, seja implantada uma área de recepção, ou outro meio para controlar o acesso
físico ao local ou ao edifício; o acesso aos locais ou edifícios deve ficar restrito so-
mente ao pessoal autorizado”.
2 – Devem ser construídas barreiras físicas onde é possível para impedir o
acesso físico não autorizado e a possibilidade de violação do meio ambiente.
Conforme a ABNT NBR ISO/IEC 27002:2005, “convém que sejam tomadas
precauções especiais para a segurança do acesso físico no caso de edifícios que
alojam diversas organizações”.
5.2 Controle de acesso físico a sala da gerência
1 – O servidor de dados deve estar localizado fisicamente em uma área restri-
ta e segura, onde apenas pessoas autorizadas tenham uso do perímetro estabeleci-
do.
Conforme a ABNT NBR ISO/IEC 27002:2005, é recomendado que as instala-
ções de processamento da informação gerenciadas pela organização devem ficar
fisicamente separadas daquelas que são gerenciadas por terceiros.
49
2 – Deve ser implantado um sistema de monitoramento do ambiente através
de CFTV, onde os dados sejam gravados e armazenados em mídia adequada;
Conforme a ABNT NBR ISO/IEC 27002:2005, “convém que as áreas seguras
sejam protegidas por controles apropriados de entrada para assegurar que somente
pessoas autorizadas tenham acesso”.
5.3 Controle de acesso físico a sala dos funcionários
1 – A sala dos funcionários deve ser de restrita utilização, possibilitando o a-
cesso apenas sob autorização.
Conforme a ABNT NBR ISO/IEC 27002:2005, “convém que as áreas
seguras sejam protegidas por controles apropriados de entrada para assegurar que
somente pessoas autorizadas tenham acesso”.
2 – Nos armários devem ser implantadas trancas, de forma que os arquivos
físicos e documentos sejam disponibilizados apenas para as pessoas autorizadas.
Conforme a ABNT NBR ISO/IEC 27002:2005,
“convém que os proprietários dos ativos sejam identificados e a eles seja atribuída a responsabilidade pela manutenção apropriada dos controles; a implementação de controles específicos pode ser dele-gada pelo proprietário, conforme apropriado, porém o proprietário permanece responsável pela proteção adequada dos ativos”.
5.4 Controle de acesso lógico
1 – Os funcionário e colaboradores que fazem uso da rede de dados
devem ser identificados, e submetidos a níveis de políticas de autorização.
Conforme a ABNT NBR ISO/IEC 27002:2005, “convém que o acesso à
informação, recursos de processamento das informações e processos de negócios
sejam controlados com base nos requisitos de negócio e segurança da informação”.
2 – Os usuários devem ser registrados ou cancelados formalmente, de
forma que possibilite garantir e revogar o acesso em todos os sistemas de informa-
ção e serviços disponíveis.
50
Conforme a ABNT NBR ISO/IEC 27002:2005, “convém que o acesso à
informação, recursos de processamento das informações e processos de negócios
sejam controlados com base nos requisitos de negócio e segurança da informação e
que as regras de controle de acesso e direitos para cada usuário ou grupos de usuá-
rios sejam expressas claramente na política de controle de acesso”.
5.5 Segurança dos serviços e infraestrutura de rede.
1 – A organização deverá adotar a utilização de mecanismos apropria-
dos de registro e monitoração de conteúdo trafegado na rede de informação.
Segundo a ABNT NBR ISO/IEC 27002:2005, convém que “controles
adicionais podem ser necessários para proteger informações sensíveis trafegando
sobre redes públicas”.
2 – Deve ser adotado pela organização, responsáveis que assegure os
controles aos usuários de forma consistente sobre toda a infra estrutura de proces-
samento da informação.
Conforme a ABNT NBR ISO/IEC 27002:2005, “convém que as redes
sejam adequadamente gerenciadas e controladas, de forma a protegê-las contra
ameaças, e manter a segurança de sistemas e aplicações que utilizam estas redes,
incluindo a informação em trânsito”.
3 – Os equipamentos e a infraestrutura de rede de dados devem ser protegi-
dos contra possíveis ameaças físicas e do meio ambiente.
Segundo a ABNT NBR ISO/IEC 27002:2005,
“a proteção dos equipamentos (incluindo aqueles utilizados fora
do local, e a retirada de ativos) é necessária para reduzir o risco de a-
cesso não autorizado às informações e para proteger contra perdas ou
danos. Convém que também seja levada em consideração a introdução
de equipamentos no local, bem como sua remoção. Podem ser necessá-
rios controles especiais para a proteção contra ameaças físicas e para a
proteção de instalações de suporte, como a infraestrutura de suprimento
de energia e de cabeamento”.
51
5.6 Cópias de segurança das informações
1 – Deve-se adotar a realização de cópias de segurança, e testá-las
regularmente, assegurando que sejam disponibilizados para garantir que toda infor-
mação possa ser recuperada após um desastre ou a falha de uma mídia.
De acordo com a ABNT NBR ISO/IEC 27002:2005, “Convém que pro-
cedimentos de rotina sejam estabelecidos para implementar as políticas de estraté-
gias para a geração de cópias de segurança e possibilitar a geração das cópias de
segurança dos dados e sua recuperação em um tempo aceitável”.
52
CAPÍTULO 6 - CONSIDERAÇÕES FINAIS
6.1 Conclusão
O presente trabalho resultou da análise dos riscos relacionados à Segurança
da Informação, baseados, principalmente, na observância a norma NBR ISO/IEC
27002:2007, na empresa Contabilidade Porto Seguro II, na cidade de Ceilândia –
DF. A análise feita sobre os ativos da Contabilidade Porto Seguro II foi verificada, de
acordo com o item 3, que a falta de estrutura física e lógica da rede e a inexistência
de qualquer controle de acesso dos usuários tem colocado a empresa, seus ativos e
informações de seus clientes em iminente risco de segurança de seus dados.
A falta de um local adequado para o servidor e para os ativos de rede ofere-
cem uma serie de riscos, como o acesso indevido a dados, a proteção ineficaz tanto
da rede como dos ativos, devido à ação danosa de pragas virtuais ou hackers, faz
com que a tríade de segurança: integridade, disponibilidade e confidencialidade de
dados e informações da empresa e de seus clientes correm riscos.
A implantação urgente da política de segurança irá oferecer uma reestrutura-
ção da rede, física e lógica, implantação de controles de acesso, trazendo a defini-
ção de perfis de usuário, aumentando assim a segurança de dados e acesso a rede.
A confecção deste trabalho visa implementar as melhores práticas orientadas
pela norma ABNT NBR ISO/IEC 27002:2007, protegendo o que é mais valioso para
a empresa, que são seus ativos e informações, tanto da própria organização como
de seus clientes.
Essa reestruturação é de suma importância, pois vai agregar à empresa, uma
imagem de segurança perante o mercado.
As diretrizes da norma ABNT NBR ISO/IEC 27002:2007, norteiam o trabalho
de implementação da política de segurança, com diretrizes que englobam conceitos
básicos de segurança da rede e seus ativos, como também formas de integrar novas
ações por parte do usuário no uso de seus recursos, de forma segura, tornando a
gestão da segurança da informação mais simples e efetiva, tanto em ações remedia-
tivas como preventivas.
53
CAPÍTULO 7 - REFERÊNCIAS
EIA/TIA 568, Tecnologia da informação - Sistemas de cabeação estruturada.
ABNT NBR ISO/IEC 27002:2005, Tecnologia da informação - Técnicas de
segurança - Código de prática para a gestão de segurança da informação.
ABNT NBR ISO/IEC 27005:2008, Tecnologia da Informação - Técnicas de
segurança - Gestão de riscos de segurança da informação
FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de
segurança da informação - Guia Prático para Elaboração e Implementação. Rio de
janeiro: Ciência Moderna Editora, 2006.
FERREIRA, Fernando Nicolau Freitas. Segurança da Informação. Rio de
Janeiro: Ciência Moderna, 2003.
MOREIRA, Nilton Stringasci. Segurança Mínima. Rio de Janeiro: Axcel Books
do Brasil, 2001.
ALBUQUERQUE, Ricardo; RIBEIRO, Bruno. Segurança no Desenvolvimento
de Software. Rio de janeiro: Editora Campus, 2002.
54
APENDICE
Questionário
1 – A informação é um bem para a empresa de contabilidade Porto Seguro II
deve ser protegida?
2 – Somente pessoas autorizadas pelo gestor da informação podem acessar
a informação?
3 – Toda informação deverá ser classificada em relação ao seu grau de sigi-
lo?
4 – O Processo de segurança da informação é de responsabilidade do gestor
da segurança da informação?
5 – Os usuários acessarão as informações da empresa de contabilidade Porto
Seguro II apenas para o desempenho das suas atividades profissionais?
6 – A empresa de contabilidade Porto Seguro II utilizará apenas recursos de
informação adequadamente legalizados e em conformidade com as leis e demais
normativos que a organização é obrigada a seguir?
7 – A empresa de contabilidade Porto Seguro II desenvolverá, implantará e
manterá planos de continuidade de negócio que devem proteger contra situações de
indisponibilidade de recursos, ambientes e pessoas?
8 – O acesso à informação pelo usuário é individual. A forma de autenticação
deve ser adequada à criticidade e ao grau de sigilo da informação?
9 – O usuário será treinado periodicamente em segurança da informação para
sempre estar ciente das suas responsabilidades?
10 – É obrigação de cada usuário cumprir esta política e os demais regula-
mentos de segurança da informação, sob pena de sofrer sanções administrativas ou
contratuais?