Embed Size (px)
Citation preview
Curso de Segurança da informação
Política de segurança da informação para o Núcleo de
Assistência Social- NASS das Faculdades Integradas
Promove de Brasília
Adonis Fonseca Medeiros Jr
Lucas Santana Sales
Brasília
2015
II
Adonis Fonseca M. Junior
Lucas Santana Sales
Política de segurança da informação Núcleo de
Assistência Social- NASS das Faculdades Integradas
Promove de Brasília
Trabalho de Conclusão de Curso apresentado às
Faculdades Integradas Promove de Brasília como
requisito parcial para obtenção do título de
tecnólogo em Segurança da informação.
Orientador (a): Prof.(a)Dra. Maria José de Oliveira
Brasília - DF
2015
III
Dados Internacionais de Catalogação na Publicação (CIP)
_____________________________________________________________________
Sales, Lucas Santana.
Política de segurança da para o NASS / Lucas Santana Sales, Adonis Fonseca Medeiros Junior: Professora orientadora Maria José de Oliveira. – [S.l]: [s.n.], 2015.
65f. : il. Monografia (Graduação em Tecnologia em Segurança da
Informação) – Faculdade Icesp, 2015.
I. Oliveira, Maria José de. II. Medeiros Junior, Adonis Fonseca. III. Título.
_____________________________________________________________________
Bibliotecário: Luís Sérgio de Rezende Moura – CRB1/DF-1929
IV
Adonis Fonseca M. Junior e Lucas Santana Sales
Política de segurança da informação Núcleo de Assistência Social- NASS das
Faculdades Integradas Promove de Brasília
Trabalho de Conclusão de Curso apresentado às
Faculdades Integradas Promove de Brasília como
requisito parcial para a obtenção do título de
tecnólogo em Segurança da informação
Aprovado em ___/___/______:
Prof. Dra. Maria José de Oliveira Faculdades Integradas Promove de Brasília
Orientadora
________________________________________
Prof.(Titulação) Faculdades Integradas Promove de Brasília
Avaliador(a)
Avaliador(a) Prof.(Titulação)
Avaliador(a) Prof. (Titulação)
V
RESUMO
O objetivo desse trabalho é implementar uma segurança no âmbito física e lógica
por meio das normas da ABNT NBR ISO/IEC 27002:2013 que propõe novas
melhorias na segurança e tratamento da informação, buscando sugestões e
soluções de acordo com a confidencialidade, integridade, disponibilidade e
autenticidade. Utilizando o método de Análise Preliminar de Risco (APR) para
fazer o levantamento dos riscos, foram identificadas diversas vulnerabilidades
capazes de comprometer a segurança dos ativos identificados. Foi concluído
que com a política de segurança da informação proposta, conseguiu-se atingir
resultados satisfatórios, reduzindo o risco do setor, assim aumentando seu
atendimento, garantindo melhor credibilidade para a instituição.
Palavras-chaves: Política de segurança, física, lógica, TI, Segurança da
informação.
VI
ABSTRACT
The objective of this study is implement an physical and ambiental security in
means of the ABNT ISO / IEC 27002 : 2013 that proposed New Security
Enhancements and Treatment of information , seeking tips and the Agreement of
solutions with the Confidentiality , Integrity , availability and authenticity . Using
the APP method Making the Risk Survey, Were identified Several vulnerabilities
that can compromise the security of the identified assets. It was concluded that
the proposed security policy has achieved satisfactory results, reducing the risk
of the sector, thus increasing its service, ensuring better credibility for the
institution.
Keywords: IT, security, physical and ambiental security.
VII
LISTA DE FIGURAS
Figura 1: Acesso ao Núcleo de Assistência Social – NASS ........................... 26
Figura 2: Estação de trabalho da gerência do setor ....................................... 27
Figura 3: Armários para armazenagem de documentos ................................. 28
Figura 4: Estação de trabalho de funcionário ................................................. 29
Figura 5: Estação de trabalho de funcionário ................................................. 31
Figura 6: Estação de acesso de alunos .......................................................... 32
Figura 7: Estação de trabalho de funcionário ................................................. 33
Figura 8: Fiação exposta no ambiente de trabalho ......................................... 34
LISTA DE QUADROS
Quadro 1. Legenda da Matriz de Classificação de Risco – Frequência x
Severidade........................................................................................................ 36
Quadro 2. Legenda da Matriz de Classificação de Risco – Frequência x
Severidade........................................................................................................ 36
Quadro 3. Legenda da Matriz de Classificação de Risco – Frequência x
Severidade........................................................................................................ 37
Quadro 4. Matriz de Risco do Nass - Núcleo de Assistência Social ............... 38
VIII
LISTA DE ABREVIATURAS
ABNT – Associação Brasileira de Normas Técnicas
NASS – Núcleo de Assistência Social
VPN – Virtual Private Network
APR – Análise Preliminar de Risco
APP – Análise Preliminar de Perigo
IX
SUMÁRIO
CAPITULO I ....................................................................................................... 1
INTRODUÇÃO ................................................................................................... 1
1.1 Apresentação ................................................................................................... 1
1.2 Objetivos ........................................................................................................... 2
1.2.1 – Objetivo Geral ................................................................................................................ 2
1.2.2 – Objetivos Específicos ................................................................................................... 2
1.3 Justificativa ........................................................................................................... 2
1.4 Procedimentos Metodológicos ............................................................................ 3
1.5 Estrutura da Monografia ....................................................................................... 3
CAPÍTULO 2 ...................................................................................................... 5
REFERENCIAL TEÓRICO ................................................................................ 5
2.1 Segurança da Informação .................................................................................... 5
2.2 Vulnerabilidade ..................................................................................................... 8
2.2.1 Tipos de vulnerabilidades................................................................................................ 9
2.3 Riscos .................................................................................................................. 10
2.4 Ataque ................................................................................................................. 10
2.5 Ameaça ................................................................................................................ 10
2.5.1 Tipos de Ameaça ............................................................................................................ 11
2.6 Política de Segurança da Informação ................................................................ 11
2.7 Segurança física ................................................................................................. 13
2.7.1 Segurança de equipamentos ........................................................................................ 14
2.7.2 Segurança de documentos em papel .......................................................................... 14
2.7.3 Segurança no cabeamento ........................................................................................... 15
2.8 Controle de acesso físico ................................................................................... 15
2.8.1 Controle de acesso de pessoas ................................................................................... 16
2.8.2 Controle de acesso ambiental ...................................................................................... 17
2.9 Segurança lógica ................................................................................................ 18
2.9.1 Segurança em Redes .................................................................................................... 18
2.9.2 Firewalls ........................................................................................................................... 18
2.9.3 Perímetros Lógicos ........................................................................................................ 19
2.9.4 Antivírus ........................................................................................................................... 19
2.9.5 Criptografia ...................................................................................................................... 20
2.9.6 Assinatura e Certificado Digital .................................................................................... 20
2.9.7 Sistema de Detecção de Intrusos ................................................................................ 21
2.10 Política de Segurança ....................................................................................... 21
X
2.11 Análise Preliminar de Risco - APR .................................................................. 22
CAPÍTULO 3 .................................................................................................... 24
ESTUDO DE CASO ......................................................................................... 24
3.1 A Instituição ........................................................................................................ 24
3.2 Núcleo de Assistência Social – NASS ............................................................... 25
3.3 Metodologia de Análise de Risco do Ambiente estudado ............................... 35
CAPÍTULO 4 .................................................................................................... 38
ANÁLISE DE RISCO DO ESTUDO DE CASO ................................................ 38
CAPÍTULO 5 .................................................................................................... 42
PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA O NASS ............................................................................................................... 42
5.1 Título da política de segurança da informação ................................................. 42
5.2 Instituição ............................................................................................................ 42
5.3 Objetivo da política ............................................................................................. 42
5.4 Abrangência da política ...................................................................................... 43
5.5 Definições básicas da política....................................................................... 43
5.6 Referências ......................................................................................................... 43
5.7 . Diretrizes ....................................................................................................... 43
5.7.1 Vulnerabilidade 1- Garrafa com agua sobre a mesa .......................................... 43
5.7.2 Vulnerabilidade 2 - Copiadora sem restriçao de uso .......................................... 44
5.7.3 Vulnerabilidade 3 - Filtro de acesso à internet mal implementado ................... 44
5.7.4 Vulnerabilidade 4 - Falta de No-break................................................................... 45
5.7.5 Vulnerabilidade 5 - Fiação exposta ....................................................................... 45
5.7.6 Vulnerabilidade 6 - Armários sem trancas ............................................................ 46
5.7.7 Vulnerabilidade 7 - Falta de controle de acesso ................................................. 46
5.7.8 Vulnerabilidade 8 - Falta de restrição de acesso ................................................ 47
5.7.9 Vulnerabilidade 9 - Falta de sprinkles ................................................................... 47
5.7.10 Vulnerabilidade 10 - Equipamentos com fiação defeituosa ............................... 47
5.7.11 Vulnerabilidade 11 - Computador exposto sem o devido bloqueio de tela ..... 48
5.7.12 Vulnerabilidade 12 - Falta de política de backup................................................. 49
5.7.13 Vulnerabilidade 13 - Falta de restrição referente ao uso de equipamentos
particulares ................................................................................................................................ 49
5.8 Responsabilidades ......................................................................................... 50
5.9 Conformidade ................................................................................................. 50
5.10 Penalidades .................................................................................................... 50
5.11 Disposições gerais......................................................................................... 50
CONCLUSÃO .................................................................................................. 51
XI
REFERÊNCIAS................................................................................................ 52
APÊNDICE ....................................................................................................... 54
1
CAPITULO I
INTRODUÇÃO
1.1 Apresentação
Em uma instituição, a informação é tratada como um bem valioso, podendo
estar na forma manuscrita, impressa, ou por meio de gravações magnéticas. As
informações adquiridas, desenvolvidas ou aperfeiçoadas, devem ser
preservadas levando-se em conta a sua integridade, disponibilidade, e
confidencialidade, de modo a evitar fraudes, violações e outros danos. Com o
crescimento do uso da informática, percebe-se um aumento na armazenagem
das informações, ou ativos das empresas, por meio de computadores ou
servidores.
A dificuldade de entender a importância da segurança da informação
ainda é muito grande. As empresas só começam a pensar na implantação de
uma política ou medida de segurança, após terem passado por algum tipo de
incidente de segurança que tenha causado algum prejuízo.
A política de segurança de uma empresa é, provavelmente, o documento
mais importante em um sistema de gerenciamento de segurança da informação.
Seu objetivo é normatizar as práticas e procedimentos de segurança da
empresa. Isso significa que dever ser simples, objetiva, e de fácil compreensão
por parte de todos quantos utilizam dessas informações.
Para as Faculdades Integradas Promove de Brasília, a informação é um
ativo considerado sensível, e como tal, ela possui um grande valor. Portanto, a
informação deve ser adequadamente utilizada e protegida contra ameaças e
riscos.
Considerando ser, para as Faculdades Integradas Promove, a informação
um ativo de valor, este trabalho tem como objetivo propor uma política de
segurança da informação, nos aspectos físicos e lógico para o Núcleo de
Assistência Social (NASS), órgão vital no desenvolvimento das atividades da
instituição.
2
1.2 Objetivos
Para o desenvolvimento do trabalho foram estabelecidos os objetivos abaixo
descritos.
1.2.1 – Objetivo Geral
O trabalho tem como objetivo propor uma política de segurança da
informação física e lógica para o Núcleo de Assistência Social (NASS) das
Faculdades Integradas Promove de Brasília, a partir das diretrizes apresentadas
pela ABNT NBR ISO/IEC 27002: 2013.
1.2.2 – Objetivos Específicos
a) Identificar os ativos, fazendo sua análise de risco com base na metodologia
de Análise Preliminar de Risco APR;
b) Colher informações sensíveis por meio de aplicação de questionários aos
supervisores do setor do NASS e de TI. Para poder fazer o levantamento de
vulnerabilidades e a análise de risco;
c) Propor uma política de segurança da informação, nos seus aspectos físicos,
lógicos e ambientais para o Núcleo de Assistência Social – NASS, utilizando
como base a norma ABNT NBR ISO/IEC 27002:2013
1.3 Justificativa
A justificativa de propor uma política de segurança da informação para o
setor, é promover melhor segurança no setor, assim aumentando a qualidade do
serviço, garantindo maior credibilidade para a instituição.
3
1.4 Procedimentos Metodológicos
Trata-se de uma pesquisa descritiva onde os fatos e os fenômenos foram
descritos por meio da técnica de observação.
O procedimento metodológico utilizado para desenvolver o trabalho foi
dividido em etapas.
Primeira etapa: foi o levantamento do conhecimento teórico, todos os
conceitos e aplicações voltados para o desenvolvimento de uma política de
segurança da informação, nos aspectos físicos e lógicos.
Segunda etapa: foi o levantamento das vulnerabilidades, dos riscos e
ameaças encontradas no setor por meio da observação e registro fotográfico do
setor. Para determinar os riscos, foi utilizado o método de Análise Preliminar de
Risco (APR), ou Análise Preliminar de Perigo (APP), que é uma técnica que visa
à prevenção de acidentes no trabalho, por meio da antecipação dos riscos.
Aplicação do questionário (Apêndice A) aos funcionários do NASS, para
levantamento de dados sobre segurança da informação.
Terceira etapa: análise dos resultados levantados na análise de risco para
desenvolver uma matriz de risco.
Quarta etapa: elaboração de uma política de segurança da informação para
poder corrigir as vulnerabilidades do setor do Núcleo de Assistência Social
usando a ABNT NBR ISO/IEC 27002:2013.
1.5 Estrutura da Monografia
A presente monografia encontra-se organizada em cinco capítulos assim
distribuídos:
Capítulo 1
Este capítulo traz conceitos e importância da política de segurança e de
segurança da informação.
4
Capítulo 2
O segundo capítulo traz o referencial teórico, onde conceitos importantes
são levantados, como: riscos, ameaças, recursos e a própria segurança da
informação.
Capítulo 3
O terceiro capítulo faz um estudo do NASS, ambiente onde foram
identificados os ativos e levantas as ameaças, riscos e vulnerabilidades.
Capítulo 4
Este capítulo apresenta os resultados provenientes do estudo realizado
no capítulo 3, com a apresentação da matriz de risco. Dos ativos considerados
significativos no ambiente estudado.
Capítulo 5
No último capítulo é apresentada uma proposta de política de segurança
da informação, com base na norma ABNT NBR ISO/IEC 27002:2013, onde são
sugeridos métodos e práticas a serem adotados pela instituição, de modo a
promover uma maior segurança dos ativos existentes no NASS e que suportam
os negócios da empresa nas atividades implementadas pelo Núcleo.
Conclusão
Este capítulo é destinado ao encerramento do trabalho, mostrando os
resultados obtidos, visando o melhor funcionamento do setor em questão.
5
Capítulo 2
REFERENCIAL TEÓRICO
2.1 Segurança da Informação
A norma brasileira, criada pela Associação Brasileira de Normas Técnicas
(ABNT), a NBR ISO/IEC27002(2013, p. 5), afirma que: “A informação é um ativo
que, como qualquer outro ativo importante, é essencial para os negócios de uma
organização e consequentemente necessita ser adequadamente protegida.”
Ativos são elementos que possuem grande valor para uma empresa,
consequentemente precisam receber proteção para que seus negócios não
sejam prejudicados. Dito isso, o primeiro passo seria avaliar o que precisa ser
protegido, gerando um relatório de tudo o que pode ser afetado. Esse relatório
deve ser documentado em formulários padronizados.
O ativo é considerado um recurso crítico na tomada de decisões e
negócios.
A ABNT NBR ISO/IEC 13335 (2004, p. 19) caracteriza como ativo:
Qualquer coisa que tenha valor para a organização. É considerado como ativo de informação todo bem da empresa que se relaciona com informação e que tenha valor para a organização, pode ser um componente humano, tecnológico, físico ou lógico que realize processos de negócio dentro da empresa.
A ABNT NBR ISO/IEC 27002 (2013, p.21) classifica os ativos da seguinte forma:
Ativos de informação: base de dados e arquivos, contratos e acordos, documentação de sistemas, informação sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade de negócios, procedimentos de recuperação, trilha de auditoria e informações armazenadas;
Ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;
Ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos;
6
Serviços: serviços de computação e comunicação, utilidades gerais, por exemplo: aquecimento, iluminação, eletricidade e refrigeração;
Pessoas: suas qualificações, habilidades e experiência;
Intangíveis: tais como a reputação e a imagem da organização.
A principal preocupação é a maneira de como o ativo será protegido.
Segundo a ABNT NBR ISO/IEC27002(2013, p. 9) “a informação pode existir em
diversas formas. [...] seja qual for a forma apresentada ou o meio através do qual
a informação é compartilhada ou armazenada, é recomendado que ela seja
sempre protegida adequadamente.”
A ABNT NBR ISO/IEC 27002 (2013, p. 9) diz ainda que “a segurança da
informação é a proteção da informação de vários tipos de ameaças para garantir
a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno
sobre os investimentos e as oportunidades de negócio. ”
De acordo com a Lei nº 12.527, de 18 de novembro de 2011 (Lei de acesso
à Informação) a informação é definida como “dados, processados ou não, que
podem ser utilizados para produção e transmissão de conhecimento, contidos
em qualquer meio, suporte ou formato” e no art. 24, esta mesma informação é
classificada da seguinte forma:
A informação em poder dos órgãos e entidades públicas, observado o seu teor e em razão de sua imprescindibilidade à segurança da sociedade ou do Estado, poderá ser classificada como ultrassecreta, secreta ou reservada.
§ 1o Os prazos máximos de restrição de acesso à informação, conforme a classificação prevista no caput, vigoram a partir da data de sua produção e são os seguintes:
I - ultrassecreta: 25 (vinte e cinco) anos;
II - secreta: 15 (quinze) anos; e
III - reservada: 5 (cinco) anos.
7
§ 2o As informações que puderem colocar em risco a segurança do Presidente e Vice-Presidente da República e respectivos cônjuges e filhos (as) serão classificadas como reservadas e ficarão sob sigilo até o término do mandato em exercício ou do último mandato, em caso de reeleição.
A classificação da informação pode ser definida a partir do impacto que
essa mesma causaria caso fosse alterada, perdida ou usada sem permissão,
comprometendo os ativos de uma determinada organização. Ferreira (2008,
p.78) afirma que “quanto mais estratégica e decisiva para a manutenção ou
sucesso da organização maior será sua importância”.
2.1.1 Objetivos da segurança da informação
A segurança da informação tem como propósito proteger as informações,
visando o bom funcionamento dos sistemas computacionais.
De acordo com Ribeiro (2002, p.1-2),
Existem vários aspectos de segurança, sendo que três são considerados centrais ou principais.
Confidencialidade: capacidade de um sistema de impedir que usuários não autorizados vejam determinada informação, ao mesmo tempo que usuários autorizados possam acessá-la [...]
Integridade: atributo de uma informação que indica que esta não foi alterada ou, se foi, o foi de forma autorizada; capacidade de um sistema impedir que uma informação seja alterada sem autorização ou, ao menos, de detectar se isso ocorreu.
Disponibilidade: indica a quantidade de vezes que o sistema cumpriu uma tarefa solicitada sem falhas internas sobre o número de vezes em que foi solicitado a fazer uma tarefa. A fração do tempo em que o site esteve no ar.
Além dos pilares citados acima, existem outros aspectos de segurança da
informação, conforme Ribeiro (2002, p.2),
8
Autenticação: capacidade de garantir que um usuário, sistema, ou informação é o mesmo quem alega ser.
Não repúdio: capacidade do sistema de provar que um usuário executou determinada ação no sistema.
Legalidade: aderência de um sistema à legislação.
Privacidade: capacidade de um sistema de manter incógnito um usuário, impossibilitando a ligação direta da identidade do usuário com as ações por este realizada. Note que é completamente distinto de confidencialidade. Privacidade é uma característica de segurança requerida, por exemplo, em eleições secretas.
Auditoria: capacidade do sistema de auditar tudo que foi realizado pelos usuários, detectando fraudes ou tentativas de ataque. Note que é um aspecto impossível de se conciliar totalmente com a privacidade.
Conforme Ferreira (2003, p.3),
Antes de implementarmos um programa de segurança de informações, é aconselhável que definamos nosso universo computacional, ou seja, devemos responder as seguintes perguntas:
O que devemos proteger?
Contra o que ou quem?
Quais as ameaças mais prováveis?
Qual a importância de cada recurso?
Qual o grau de proteção desejado?
Quanto tempo, recursos humanos e financeiros pretendemos gastar para atingirmos os objetivos de segurança desejados?
Quais as expectativas dos usuários e clientes em relação a segurança das informações?
Quais as consequências para a organização se os sistemas e informações forem corrompidos ou roubados?
2.2 Vulnerabilidade
É a exposição de um ponto fraco ou falha em um determinado projeto,
sistema ou implementação, suscetível a uma exploração ou ataque, de forma
9
proposital, por falta de medidas de proteção.
Moreira (2001) aponta a vulnerabilidade como sendo o ponto onde
qualquer sistema é suscetível a um ataque, condição causada muitas vezes pela
ausência ou ineficiência das medidas de proteção.
Segundo Albuquerque; Ribeiro (2002, p.4),
Todo ataque explora uma fraqueza no sistema. Da mesma forma, desastres e erros de operação somente podem causar danos se existir um ponto fraco no sistema que permita que o ativo seja atingido. Esse ponto fraco pode ser um erro no código ou uma falha de especificação da segurança.
2.2.1 Tipos de vulnerabilidades
De acordo com Sêmola (2003, p.48-49), as vulnerabilidades se
exemplificam em:
Físicas – Instalações prediais fora do padrão, salas de CPD mal planejadas; falta de extintores, detectores de fumaça e outros recursos para combate à incêndios em sala com armários e fichários estratégicos; riscos de explosões, vazamentos ou incêndios.
Naturais – Computadores são suscetíveis a desastres naturais, como incêndios, enchentes, terremotos, tempestades, e outros, como falta de energia, acumulo de poeira, aumento da umidade e de temperatura.
Hardware – Falha nos recursos tecnológicos (desgastes, obsolescência, má utilização) ou erros durante a instalação.
Softwares – Erros na instalação ou na configuração podem acarretar acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade do recurso quando necessário.
Mídias – Discos, fitas, relatórios e impressos podem ser perdidos ou danificados. Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas.
Comunicação – Acessos não autorizados ou perda de comunicação.
Humanas – Falta de treinamento, compartilhamento de informações confidenciais, não execução de rotina de segurança, erros ou omissões; ameaça de bomba, sabotagens, distúrbios civis, greves,
10
vandalismo, roubo, destruição da propriedade ou dados, invasões ou guerras.
2.3 Riscos
Risco é a combinação de uma probabilidade de um determinado evento
ocorrer e as suas consequências e impactos, ou seja, ameaças explorarem
vulnerabilidades em uma implantação ou sistema computacional.
As informações, por mais protegidas que estejam, sempre estão sujeitas
a algum tipo de risco ou ameaça, pelo fato de sempre existir algum tipo de
vulnerabilidade. A ABNT NBR ISO/IEC 27002 (2013) define risco como a
combinação da probabilidade de um evento e de suas consequências.
2.4 Ataque
Um ataque, nada mais é que a realização de uma ameaça intencional.
Geralmente ocorrem com o intuito de chantagear ou extorquir.
De acordo com Albuquerque; Ribeiro (2002, p.3):
Ataque ao sistema é o tipo de problema de segurança particularmente sério, porque o agente que está realizando o ataque visa obter algum retorno, podendo com isso, provocando grande prejuízo. Ao contrário dos demais, o ataque pode ser planejado, sistemático e é muito difícil de se prever [...]
Albuquerque; Ribeiro (2002 p.4) também define ataque como:
Um tipo de problema de segurança, caracterizado pela existência de um agente que busca obter algum tipo de retorno, atingindo algum ativo de valor. O retorno pode ser financeiro ou não, por exemplo, um hacker pode obter um reconhecimento de seus pares por derrubar um site importante da internet.
2.5 Ameaça
Uma ameaça pode ser definida como um evento capaz de explorar falhas
11
em um sistema computacional, podendo ser acidental ou intencional, afetando
os ativos da empresa.
De acordo com Albuquerque; Ribeiro (2002, p.3)
Usamos o termo ameaça para indicar uma tríade agente + vulnerabilidade (ou mecanismo) + ativo com alto valor, o que permitiria um ataque [...] o desastre também pode ser enquadrado nesse esquema, sendo que o agente é o desastre em si, e não a pessoa.
2.5.1 Tipos de Ameaça
Ameaças podem ser divididas em três grupos:
Ameaças naturais – são causadas por fenômenos decorrentes da natureza, como incêndios naturais, tempestades, terremotos, enchentes, poluição, etc.
Ameaças intencionais – causadas por um agente no intuito de fraude, roubo de informações.
Ameaças Involuntárias – Resultado de ações inconscientes, geralmente por falta de conhecimento e treinamento.
2.6 Política de Segurança da Informação
A política de segurança da informação é imposta nas organizações para
delimitar regras, tais como: definir normas, procedimentos, ferramentas e
responsabilidades às pessoas que lidam com os ativos e informações, com o
intuito de garantir o controle e a segurança da informação desta empresa.
Política de Segurança da Informação é basicamente um manual de
procedimentos que descreve como os recursos de que manipulam as
informações da empresa devem ser protegidos e utilizados e é o pilar da eficácia
da Segurança da Informação, estabelecendo investimentos em recursos
humanos e tecnológicos (Oliveira, 2013.)
Muitos sistemas de informação não foram projetados para serem seguros.
A segurança que pode ser alcançada por meios técnicos é limitada e convém
12
que seja apoiada por gestão e procedimentos apropriados. A identificação de
quais controles convém que sejam implantados, requer, planejamento cuidadoso
e atenção aos detalhes. A Gestão da Segurança da Informação necessita, pelo
menos, da participação de todos os funcionários da Corporação. (ABNT NBR
ISO/IEC 27002, 2013).
A ABNT NBR ISO/IEC 27002 (2013, p.46) afirma:
Convém que o documento da política de segurança da informação declare o comprometimento da direção e estabeleça o enfoque da organização para gerenciar a segurança da informação. Convém que o documento da política contenha declarações relativas a:
a) uma definição de segurança da informação, suas metas globais, escopo e importância da segurança da informação como um mecanismo que habilita o compartilhamento da informação;
b) uma declaração do comprometimento da direção, apoiando as metas e princípios da segurança da informação, alinhada com os objetivos e estratégias do negócio;
c) uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco;
d) breve explanação das políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização, incluindo:
1) conformidade com a legislação e com requisitos regulamentares e contratuais;
2) requisitos de conscientização, treinamento e educação em segurança da informação;
3) gestão da continuidade do negócio;
4) consequências das violações na política de segurança da informação;
e) definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança da informação;
f) referências à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários devem seguir.
Convém que esta política de segurança da informação seja comunicada através de toda a organização para os usuários de forma que seja relevante, acessível e compreensível para o leitor em foco.
13
2.7 Segurança física
De acordo com Ferreira (2003, p.123) “A segurança física desempenha
um papel tão importante quanto a segurança lógica. Isso porque é a base para
proteção de qualquer investimento feito por uma organização. ”
Segundo Lyra (2008, p.27):
É considerada barreira de segurança quaisquer medidas preventivas que impeçam ataques aos ativos da informação, medidas essas que podem ser físicas (muros, cercas e trancas), lógicas (senha de logon) ou combinação de ambas (token).
Lyra (2008, p.27) afirma também que: “Perímetro de segurança é o
contorno ou linha imaginaria que delimita uma área ou região separada de outros
espaços físicos por um conjunto qualquer de barreiras. ”
Dada a definição de perímetro de segurança, a ABNT NBR ISO/IEC 27002
(2013, p.32) impõe algumas diretrizes de implementação, afirmando que:
Convém que sejam levadas em consideração e implementadas as seguintes diretrizes para perímetros de segurança física, quando apropriado:
a) os perímetros de segurança sejam claramente definidos e que a localização e a capacidade de resistência de cada perímetro dependam dos requisitos de segurança dos ativos existentes no interior do perímetro, e dos resultados da análise/avaliação de riscos;
b) os perímetros de um edifício ou de um local que contenha instalações de processamento da informação sejam fisicamente sólidos (ou seja, o perímetro não deve ter brechas nem pontos onde poderia ocorrer facilmente uma invasão); convém que as paredes externas do local sejam de construção robusta e todas as portas externas sejam adequadamente protegidas contra acesso não autorizado por meio de mecanismos de controle, por exemplo, barras, alarmes, fechaduras etc.; convém que as portas e janelas sejam trancadas quando estiverem sem monitoração, e que uma proteção externa para as janelas seja considerada, principalmente para as que estiverem situadas no andar térreo;
c) seja implantada uma área de recepção, ou um outro meio para controlar o acesso físico ao local ou ao edifício; o acesso aos locais ou edifícios deve ficar restrito somente ao pessoal autorizado;
d) sejam construídas barreiras físicas, onde aplicável, para impedir o acesso físico não autorizado e a contaminação do meio ambiente;
14
e) todas as portas corta-fogo do perímetro de segurança sejam providas de alarme, monitoradas e testadas juntamente com as paredes, para estabelecer o nível de resistência exigido, de acordo com normas regionais, nacionais e internacionais aceitáveis; elas devem funcionar de acordo com os códigos locais de prevenção de incêndios e prevenção de falhas;
f) sistemas adequados de detecção de intrusos, de acordo com normas regionais, nacionais e internacionais, sejam instalados e testados em intervalos regulares, e cubram todas as portas externas e janelas acessíveis; as áreas não ocupadas devem ser protegidas por alarmes o tempo todo; também deve ser dada proteção a outras áreas, por exemplo, salas de computadores ou salas de comunicações;
g) as instalações de processamento da informação gerenciadas pela organização devem ficar fisicamente separadas daquelas que são gerenciadas por terceiros.
A Política de Segurança Física toma como base alguns objetivos principais para proteção da informação. São eles:
Prevenir o acesso não autorizado, com o intuito de prevenir danos e interferências as informações e instalações de uma determinada organização;
Manter em um nível mais alto de segurança, as áreas responsáveis pelo processamento das informações, sendo elas protegidas por perímetros de segurança definidos e com controle de acesso apropriado;
Oferecer proteção compatível com os riscos apresentados.
2.7.1 Segurança de equipamentos
De acordo com Lyra (2008, p.29):
Os equipamentos também precisam ser protegidos contra falhas de energia e outras anomalias na alimentação elétrica [...]. Outra fonte de problemas que precisa ser considerada são os defeitos inerentes aos próprios produtos de hardware. Medidas devem ser tomadas, de forma preventiva, para garantir o perfeito funcionamento dos equipamentos, com planejamento de manutenções periódicas para minimizar possíveis cenários de mal funcionamento.
2.7.2 Segurança de documentos em papel
Documentos em papel com alto valor para a organização também exigem
proteção, pois papel necessita de uma preocupação a mais no quesito de
tratamento.
15
Caso a organização dependa de documentação em papel para cumprir sua missão e alcançar seus objetivos, ela deve dispor de controles para proteção dos mesmos contendo pelo menos: a) uso de rótulos para identificar documentos; b) política de armazenamento de papeis em local adequado; c) procedimentos especiais para impressão, cópia e transmissão; d) recepção e envio de correspondências sigilosas. (LYRA ,2008, p.30)
2.7.3 Segurança no cabeamento
É imprescindível a implementação de uma estrutura de cabeamento para
que evite problemas de comunicação na organização, diminuindo os danos e
evitando perda de informação.
Lyra (2008, p.32) cita as seguintes recomendações:
a) Sempre que possível, a utilização de linhas subterrâneas; b) Proteção do cabeamento de rede contra interceptações não
autorizadas ou danos; c) Separação de cabos elétricos dos de comunicação; d) Uso de conduites blindados e salas trancadas para os sistemas
críticos.
2.8 Controle de acesso físico
O acesso à informação tem que ser devidamente controlado para que
somente pessoas autorizadas tenham acesso à mesma, impedindo a intrusão
no âmbito organizacional.
Controle de acesso físico tem como objetivo proteger as informações, e
também qualquer área que ofereça risco para a segurança de ativo de uma
determinada organização.
De acordo com Ferreira (2003, p.127)
Controle de acesso físico, é toda e qualquer aplicação de procedimentos ou uso de equipamentos, com o objetivo de proteger ambientes, equipamentos, ou informações cujo o acesso deve ser restrito. Esse tipo de controle envolve o uso de chaves, trancas, guardas, crachá, cercas, alarmes, vídeo, smartcards, biometria, etc. Além da aplicação de normas e procedimentos utilizados pela organização para esse fim.
16
“É necessário que a política de controle de acesso seja estabelecida
documentada e analisada criticamente, tomando-se como base os requisitos de
acesso dos negócios e segurança da informação” (ABNT NBR ISO/IEC 27002
,2013 p.65).
A ABNT NBR ISO/IEC 27002 (2013 p.66, 67) estabelece cuidados para o
controle de acesso:
a) diferenciar entre regras que devem ser obrigatórias e forçadas, e diretrizes que são opcionais ou condicionais;
b) estabelecer regra baseada na premissa. Tudo é proibido, a menos que expressamente permitido em lugar da regra mais fraca. Tudo é permitido, a menos que expressamente proibido;
c) mudanças em rótulos de informação (ver 7.2) que são iniciadas automaticamente através de recursos de processamento da informação e os que iniciaram pela ponderação de um usuário;
d) mudanças em permissões de usuário que são iniciadas automaticamente pelo sistema de informação e aqueles iniciados por um administrador;
e) regras que requerem aprovação específica antes de um decreto ou lei e as que não necessitam.
2.8.1 Controle de acesso de pessoas
De acordo com a ABNT NBR ISO/IEC 27002 (2013 p.66) para o
controle de acesso é necessário que “exista um procedimento formal de registro
e cancelamento de usuário para garantir e revogar acessos em todos os
sistemas de informação e serviços.”
A ABNT NBR ISO/IEC 27002 (2013 p.67) também expõe alguns
procedimentos que devem ser seguidos, são eles:
a) utilizar identificador de usuário (ID de usuário) único para assegurar a responsabilidade de cada usuário por suas ações; convém que o uso de grupos de ID somente seja permitido onde existe a necessidade para o negócio ou por razões operacionais, e isso seja aprovado e documentado;
b) verificar se o usuário tem autorização do proprietário do sistema para o uso do sistema de informação ou serviço; aprovação separada para direitos de acesso do gestor também pode ser apropriada;
17
c) verificar se o nível de acesso concedido é apropriado ao propósito do negócio e é consistente com a política de segurança da organização, por exemplo, não compromete a segregação de função;
d) dar para os usuários uma declaração por escrito dos seus direitos de acesso;
e) requerer aos usuários a assinatura de uma declaração indicando que eles entendem as condições de acesso;
f) assegurar aos provedores de serviços que não serão dados acessos até que os procedimentos de autorização tenham sido concluídos;
g) manter um registro formal de todas as pessoas registradas para usar o serviço;
h) remover imediatamente ou bloquear direitos de acesso de usuários que mudaram de cargos ou funções, ou deixaram a organização;
i) verificar periodicamente e remover ou bloquear identificadores (ID) e contas de usuário redundantes;
j) assegurar que identificadores de usuário (ID de usuário) redundantes não sejam atribuídos para outros usuários.
2.8.2 Controle de acesso ambiental
Além dos riscos e vulnerabilidades citados anteriormente, os
equipamentos também devem estar protegidos contra fatores ambientais, a fim
de evitar perda de informação.
“Convém que sejam projetadas e aplicadas proteção física contra
incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e
outras formas de desastres naturais ou causados pelo homem.” (ABNT NBR
ISO/IEC 27002,2013 p.34).
Algumas diretrizes que devem ser levadas em consideração para
implantação deste controle de acesso, segundo a ABNT NBR ISO/IEC 27002
(2013, p.54) são:
a) os materiais perigosos ou combustíveis sejam armazenados a uma distância segura da área de segurança. Suprimentos em grande volume, como materiais de papelaria, não devem ser armazenados dentro de uma área segura;
b) os equipamentos para contingência e mídia de backup fiquem a uma distância segura, para que não sejam danificados por um desastre que afete o local principal;
18
c) os equipamentos apropriados de detecção e combate a incêndios sejam providenciados e posicionados corretamente.
Ferreira (2003, p.128) recomenda a consideração de alguns itens:
a) Aspectos ambientais devem ser monitorados para evitar condições que possam afetar de maneira diversa a operação das instalações de processamento da informação;
b) Utilização de métodos de proteção especial, como capas de teclados, seja considerada para equipamentos em ambiente industrial;
c) também deve ser considerado o impacto de um desastre que possa ocorrer nas proximidades da instalação, como por exemplo, um incêndio em um prédio vizinho, vazamento de água no telhado ou em andares abaixo do nível do chão, ou explosões na rua.
2.9 Segurança lógica
O ativo é o bem mais precioso que uma empresa possa ter; a cada dia
que se passa, devem ser dobrados os cuidados com a segurança lógica.
A segurança lógica é um fator importantíssimo para o crescimento de uma
empresa, pois ela pode evitar ataques de maior nível crítico do que os ataques
sofridos por meio de vulnerabilidades da segurança física.
2.9.1 Segurança em Redes
As preocupações com a segurança das redes devem abranger os problemas de autenticação de usuários e equipamentos, e de restrição do acesso dos usuários aos serviços autorizados, contemplando o estabelecimento de interfaces seguras entre a rede interna e a rede pública ou de outra organização [...] Destacamos os gateways e firewalls, que podem ser utilizados para, entre outras aplicações, controlar o trafego que entra e sai, estabelecer rotas de redes obrigatórias e dividir grandes redes em domínios lógicos separados, a serem protegidos por perímetros de segurança específicos.(LYRA, 2008, p.33).
2.9.2 Firewalls
Um Firewall, no campo de Segurança da Informação, pode ser definido
como um software (ou hardware), que tem como função, verificar e analisar todo
19
tipo de informação que é recebida pela Internet, filtrando-a antes de chegar ao
computador, de acordo com a configuração do mesmo.
De acordo com Lyra (2008, p.34):
São recursos de segurança que tem o objetivo de controlar o acesso as redes de computadores. Consistem basicamente numa uma barreira de proteção entre o computador e o ambiente externo. O trafego de informações é examinado e bloqueado quando não atende a critérios pré-definidos pela política de segurança.
2.9.3 Perímetros Lógicos
As chamadas redes de perímetro ou zonas desmilitarizadas (DMZ)
permitem proteger o computador ou segmento de rede que ficando entre uma
rede interna e a internet. A DMZ atua como intermediário tanto para o tráfego de
entrada quanto de saída. O termo vem do uso militar, significando uma área
neutra que separa dois inimigos. (PINHEIRO, 2004)
Com relação a VPNs, Lyra (2008, p.35) afirma que:
O uso das redes privadas virtuais (VPN), representa outra alternativa interessante na racionalização dos custos de redes corporativas, oferecendo confidencialidade e integridade no transporte de informações por meio das redes públicas [...]. De forma simplificada, os softwares de VPNs criam túneis virtuais criptografados entre pontos autorizados para transferência de informações de forma segura.
2.9.4 Antivírus
A grande maioria dos problemas relacionados a incidentes de segurança e computadores pessoais, é causada por programas maliciosos dentre os quais estão os vírus, os worms, os cavalos de Tróia e até mesmo simples instruções que, quando executadas no computador, destroem o sistema ou comprometem o seu funcionamento.
Boa parte da culpa por esses estragos cabe ao usuário, uma vez que, em quase todos os casos, ele o inocente cúmplice do ataque. Esse fato procede devido à ausência de treinamento e conscientização em segurança da informação. (FERREIRA, 2003, p.79).
20
2.9.5 Criptografia
Com relação a criptografia, Lyra (2008, p.37) afirma que:
A criptografia é definida como arte ou ciência de escrever em cifras ou em códigos, com o propósito de restringir ao destinatário a capacidade de decodifica-la e compreendê-la. Mecanismos de criptografia são amplamente adotados em ambientes computacionais para oferecer garantia de autenticação, privacidade, e integridade de dados e comunicações, sem essa tecnologia não teria sido possível popularizar o comercio eletrônico.
A criptografia simétrica utiliza uma única chave, que serve tanto para cifrar como para decifrar a informação. Como as duas ou mais partes compartilham a mesma chave para codificar e decodificar, qualquer descuido na preservação da chave pode levar ao comprometimento da segurança do processo.
A criptográfica assimétrica ou de chave pública trabalha com duas chaves diferentes, matematicamente relacionadas, para codificar e decodificar a mensagem. A chave pública está disponível a todos que queiram criptografar informações e enviá-las ao dono da chave privada, ou verificar uma assinatura digital criada com aquela chave privada. A chave privada, de uso exclusivo do proprietário para assinar ou decodificar mensagens a ele destinadas, deve ser mantida em segredo para garantir a confiabilidade deste processo
2.9.6 Assinatura e Certificado Digital
A - Assinatura Digital
De acordo com Lyra (2008, p.39-40);
A utilização da assinatura digital providencia a prova inegável que uma mensagem veio do emissor. Para verificar este requisito, uma assinatura digital deve ter as seguintes propriedades:
Autenticidade – o receptor deve poder confirmar que a assinatura foi feita pelo emissor;
Integridade – qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documento;
Não-repudio ou irretratabilidade – o emissor não pode negar a autenticidade da mensagem.
Existem diversos métodos para assinar digitalmente documentos, e esses métodos estão em constante evolução. Porém, de maneira resumida, uma assinatura típica envolve geração um resumo criptográfico da mensagem através de algoritmos complexos (exemplos: MD5, SHA-1, SHA-256) que reduzem qualquer mensagem sempre a um resumo do mesmo tamanho. A este resumo criptográfico se dá o nome de hash.
21
Após gerar o hash, ele deve ser criptografado através de um sistema de chave pública, para garantir a autenticação e o não-repudio. O autor da mensagem deve usar sua chave privada para assinar a mensagem e armazenar o hash criptografado junto a mensagem original.
Para verificar a autenticidade do documento, deve ser gerado um novo resumo a partir da mensagem que está armazenada, e este novo resumo deve ser comparado com a assinatura digital. Para isso, é necessário decriptografar a assinatura obtendo o hash original. Se ele for igual ao hash recém gerado, a mensagem está íntegra.
B - Certificado Digital
O primeiro passo para obter uma assinatura digital é procurar uma entidade que faca esses serviços, isto é, deve se procurar uma autoridade certificadora (AC). Uma AC tem a função de identificar a identidade de um usuário e associar a ele uma chave. Essas informações são então, inseridas em um documento conhecido como certificado digital.
Um certificado digital contém a chave pública de um usuário e os dados necessários para informar sua identidade. Esse certificado pode ser distribuído na internet. Com isso, uma pessoa ou instituição que queira comprovar a assinatura digital de um documento, pode obter o certificado digital correspondente. (LYRA 2008, p.41).
2.9.7 Sistema de Detecção de Intrusos
Lyra (2008, p.42) afirma que:
Podemos definir o termo detecção de intrusos (IDS) como sendo um serviço que monitora e analisa eventos de uma rede com o propósito de encontrar e providenciar alertas em tempo real a acessos não autorizados aos recursos de rede. Ou seja, pode ser definido como um software que está constantemente funcionando em segundo plano, monitorando o trafego de uma rede de computadores a procura de indícios de invasão. Caso venha a detectar uma invasão, aciona as rotinas pré-definidas pela organização afim de inibir tal acesso.
2.10 Política de Segurança
De acordo com a ABNT NBR ISO/IEC 27002 (2013, p. 8), política de
segurança é definida por:
5 Políticas de segurança da informação
22
5.1 Orientação da direção para segurança da informação Objetivo: Prover uma orientação e apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. 5.1.1 Políticas para segurança da informação Controle Convém que um conjunto de políticas de segurança da informação seja definido, aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes. Diretrizes para implementação Convém que no mais alto nível a organização defina uma política de segurança da informação, que seja aprovada pela direção e estabeleça a abordagem da organização para gerenciar os objetivos de segurança da informação. Convém que as políticas de segurança da informação contemplem requisitos oriundos da: estratégia do negócio; de regulamentações, legislação e contratos; do ambiente de ameaça da segurança da informação, atual e futuro. Convém que a política de segurança da informação contenha declarações relativas a: definição da segurança da informação, objetivos e princípios para orientar todas as atividades relativas à segurança da informação; atribuição de responsabilidades, gerais e específicas, para o gerenciamento da segurança da informação para os papéis definidos; processos para o tratamento dos desvios e exceções.
2.11 Análise Preliminar de Risco - APR
A sigla APR significa Análise Preliminar de Risco e trata-se de uma técnica
de avaliação prévia dos presentes riscos envolvidos na realização de um
determinado trabalho. Consiste no detalhamento minucioso de cada etapa do
trabalho, assim como, dos riscos envolvidos.
Objetivos da APR
Entre os principais objetivos da análise preliminar de risco, podemos
destacar:
1. Identificar os riscos;
2. Orientar os colaboradores dos riscos existentes em suas atividades no
trabalho;
23
3. Organizar a execução da atividade;
4. Estabelecer procedimentos seguros;
5. Trabalhar de maneira planejada e segura;
6. Prevenção dos acidentes de trabalho;
7. Sensibilizar e instruir os trabalhadores sobre os riscos envolvidos na
execução do trabalho.
A análise preliminar de risco – APR deve ser sempre desenvolvida e implantada
antes da execução de determinadas atividades, seja para trabalhos realizados
pela própria empresa ou por meio de empresas contratadas.” (O que é APR
(Análise Preliminar de Risco)?, 2013.)
24
Capítulo 3
ESTUDO DE CASO
3.1 A Instituição
“As FACULDADES INTEGRADAS PROMOVE, Instituição de Ensino
Superior criada em 22/03/1995, foram credenciadas nos termos da Portaria
Ministerial de nº. 2.548, publicada no DOU de 16/09/2003.
Em 1996, é inaugurada a Unidade do Guará I. São criados, então, os
cursos de Administração com Habilitação em Análise de Sistemas; os cursos na
área de Informática: Processamento de Dados, Redes de Computadores e
Segurança da Informação; o curso de Comunicação Social, nas Habilitações de
Jornalismo e Rádio e Televisão e, a partir de 2005, os cursos de Tecnologia em
Desenvolvimento de Software, Produção Publicitária e Produção Audiovisual.
Em 2004, o ICESP inaugura sua terceira unidade no Sudoeste, com a
oferta de cursos de graduação tecnológica na área de Gestão, bem como os
cursos de pós-graduação lato sensu. Neste mesmo ano, as faculdades
passaram a chamar, comercialmente, FACULDADES UNICESP, já com vistas a
tornar-se um centro universitário.
Ainda em 2004, a partir de uma análise estratégica que indicava a cidade
Satélite do Recanto das Emas como um importante polo de desenvolvimento e
crescimento, as Faculdades UNICESP, inauguram a quarta unidade, onde foram
implantados, no corrente ano, os seguintes cursos superiores da área de Saúde:
Tecnologia em Gestão Hospitalar, Tecnologia em Radiologia, Bacharelado em
Biomedicina e Bacharelado em Enfermagem.
Em dezembro de 2007, a gestão da Faculdade é assumida por uma rede
de ensino superior de Minas Gerais. No ano de 2008, a nova gestão tomou
25
medidas enxutas de reengenharias e downsises administrativos, trazendo maior
produtividade e dinamismo na administração da faculdade. Traçando metas
administrativas e seguras com foco na qualidade do ensino, atendimento e
resultados.
Em janeiro de 2011, as Faculdades inauguram mais uma unidade de
funcionamento e dessa vez em Águas Claras. Essa unidade passa a ter os
cursos de saúde como seu foco principal. Porém, em maio deste mesmo ano, as
Faculdades recebem, por meio de carta convite do MEC, quatro novos cursos:
Ciências Agrárias, Medicina Veterinária, Engenharia de Alimentos e Zootecnia.
Tornando-se uma unidade especializada em saúde e ciências agrárias. Neste
mesmo ano, passa a se chamar Faculdades ICESP e Faculdades Integradas
Promove de Brasília, atendendo a um projeto da mantenedora.
Atualmente, as Faculdades ICESP e Faculdades Integradas Promove de
Brasília contam, com 26 cursos de graduação autorizados e/ou reconhecidos
pelo MEC, além de uma série de cursos de pós-graduação Lato-Sensu.” (ICESP,
2014)
As Faculdades ICESP/Promove de Brasília possuem o Núcleo de Assistência
Social - NASS. Órgão gestor de todo e qualquer benefício assistencial
institucional oferecido, pela Rede SOEBRAS, aos acadêmicos, professores,
colaboradores e comunidade em geral.
Além do NASS, a Instituição faz jus aos programas de incentivo estudantil
do Governo Federal (FIES E PROUNI).” (FACULDADE ICESP PROMOVE DE
BRASÍLIA, 2014.)
3.2 Núcleo de Assistência Social – NASS
O Núcleo de Assistência Social – NASS é um setor de suma importância
para a organização. É por ele que passam todos os alunos da instituição, em
busca de melhores condições para cursarem o nível superior.
As figuras mostradas abaixo, retratam um pouco da situação atual do
setor no que se refere a segurança da informação. Mesmo sendo um ambiente
26
público e de fácil acesso pelos acadêmicos da instituição, o setor armazena
dados valiosos referente aos alunos, incluindo dados pessoais e econômicos.
Esta análise, tem como função identificar as vulnerabilidades, a fim de
minimizar os riscos, para que o setor possa funcionar em segurança, não
comprometendo a vida pessoal e acadêmica dos alunos da instituição.
A figura 1 representa a entrada do setor para o qual foi feito a política de
segurança.
Figura 1: Acesso ao Núcleo de Assistência Social - NASS
Fonte: dado do trabalho
27
A imagem representa apenas a entrada do setor, onde qualquer pessoa
pode ter acesso para obter informações sobre a instituição. É possível identificar
que não há qualquer restrição de acesso, onde os documentos com informações
sigilosas podem ser acessados facilmente, expondo a organização.
A figura 2, mostra como foram encontrados os documentos em uma
estação de trabalho na sede do NASS.
Figura 2: Estação de trabalho da gerência do setor.
Fonte: dado do trabalho
28
Observa-se na mesa da direção do setor, que há contratos sigilosos com
informações pessoais de alunos e familiares expostos sobre a mesa, o que
possibilita que qualquer pessoa não autorizada tenha acesso a essas
informações. As gavetas, cuja função é guardar estes contratos, estão abertas
não oferecendo nenhuma segurança pois estão sem chave. Nota-se também,
que mesmo com o funcionário ausente, a tela do seu computador não se
encontra devidamente bloqueada. Situação que pode ser vista também no
computador ao fundo. Estes fatores indicam que os funcionários não recebem
treinamento adequado para o tratamento da informação.
Existe uma política de expiração de senhas (6 em 6 meses), mas não
existe uma política que atenda aos requisitos de complexidade de senha.
A mesma situação pode se encontrar na Figura 3, onde o armário e as
gavetas em que se armazenam as informações confidenciais dos clientes e
alunos se encontram abertas.
Figura 3: Armários para armazenagem de documentos.
Fonte: dado do trabalho
29
A ausência de qualquer tipo de trancamento torna o mobiliário sem
restrição de acesso não oferecendo nenhuma segurança a estas informações.
Identificou-se também, documentos expostos sob a bancada e gavetas que
podem ser facilmente acessadas, onde nelas, encontram-se documentos
acadêmicos e pessoais bastante importantes dos alunos da instituição.
A copiadora vista na imagem, representa também, um grande risco ao
setor. Por ficar bastante exposta, um indivíduo qualquer, agindo de má fé, pode
utilizar da mesma para copiar algum documento confidencial exposto sobre a
mesa. Colocando em risco a organização, e até mesmo os alunos da instituição,
visto que este documento pode conter informações pessoais dos alunos.
A Figura 4 mostra uma imagem com várias vulnerabilidades.
Figura 4: Estação de trabalho de funcionário.
Fonte: dado do trabalho
30
Inicialmente é possível identificar que o ventilador está atrás da cadeira
do funcionário, podendo causar algum incidente tanto com ele quanto com o a
informação por ele manipulada. O mesmo ventilador está com o fio
desencapado, podendo gerar um curto circuito, o que poderia levar a um
incêndio que poderia comprometer toda a organização.
As caixas amontoadas no canto da parede deveriam estar guardadas em
local seguro visto serem usadas para a armazenagem de documentos. Gavetas
abertas que podem conter documentos sigilosos da organização, e até pertences
pessoais do funcionário podem ser acessados por qualquer pessoa não
autorizada e má intencionada. Os documentos espalhados sobre a mesa são
outra fonte de vulnerabilidades. Informações pessoais e confidenciais dos
clientes podem ser facilmente acessados por estarem expostos e sem nenhuma
segurança.
Outra vulnerabilidade que pode ser também facilmente encontrada, é a
garrafa aberta sob a mesa, pois a mesma pode cair, provocando curto circuito,
e até mesmo um incêndio. Queda de funcionários, decorrente do chão molhado,
e danos irreversíveis aos documentos que ali estão, causando perda grande de
informação.
A Figura 5 mostra uma estação de trabalho de funcionários. Nesta
também pode-se observar algumas vulnerabilidades.
31
Figura 5: Estação de trabalho de funcionário.
Fonte: dado do trabalho
Trata-se de uma mesa de atendimento onde observa-se diversas falhas
de segurança e exposição a vulnerabilidades. Primeiramente é possível verificar
uma jarra de vidro com água no canto da mesa, onde qualquer indivíduo pode
esbarrar facilmente. Além de molhar e danificar alguns documentos, o indivíduo
pode se cortar, caso esta garrafa caia no chão, causando um grave acidente.
Não excluindo também, a possibilidade de o líquido contido dentro desta garrafa
causar um curto circuito ao entrar em contato com os aparelhos eletrônicos
utilizados nesta estação de trabalho.
Outro ponto vulnerável que também pode ser identificado nesta e em
diversas outras figuras é o fato de ter vários documentos de cunho importante
sob a mesa, podendo ser facilmente acessados por pessoal não autorizado.
Identificou-se também, gavetas sem a tranca adequada, comprometendo o
material que se encontra ali dentro. O armário onde estão armazenados arquivos
32
pessoais e profissionais de alunos da instituição, está exposto e com a porta
aberta, sem tranca e sem chave, gerando um grande risco a instituição e à vida
dos próprios alunos.
Outra situação bastante grave, é o fato de haver fiação exposta e um
estabilizador de energia sob a CPU do computador, no espaço de locomoção do
funcionário, onde o mesmo pode tropeçar, esbarrar e causar um grave acidente.
O funcionário pode ser acometido de um choque elétrico, de causar um curto
circuito, gerando um incêndio que pode comprometer o setor, ou mesmo toda a
instituição. O funcionário pode também causar danos irreversíveis à informação
pelo desligamento acidental do computador, gerando perda total de informação.
Na imagem, é possível verificar outra vulnerabilidade em que o setor se
encontra bastante exposto, que é o fato de haver uma porta aberta ao fundo,
sem nenhuma restrição de acesso. Onde qualquer indivíduo não autorizado
possa circular, comprometendo a segurança do setor.
A figura 6 mostra o computador de acesso exclusivo de alunos para
realização de procedimentos referentes ao Fies.
Figura 6: Estação de acesso de alunos.
Fonte: dado do trabalho
33
A principal vulnerabilidade vista neste ambiente se deve ao uso de
uma máquina “pública” de uso compartilhado de alunos, e até mesmo não
alunos, para realizar procedimentos sigilosos e de bastante valor financeiro.
Qualquer indivíduo agindo de má fé, pode utilizar deste computador para roubo
de informações pessoais e econômica de alunos e familiares. Pois informações
sigilosas (dados pessoais, bancários, senhas individuais, renda familiar), ficam
expostas durante o acesso para conclusão do Fies. Um aluno sem a devida
orientação, pode deixar expostos os dados no computador, facilitando o
acesso/roubo por parte de uma pessoa não autorizada.
É possível identificar na figura 7 algumas vulnerabilidades que
podem gerar sérias consequências.
Figura 7: Estação de trabalho de funcionário.
Fonte: dado do trabalho.
Nesta estação de trabalho, é possível identificar facilmente uma
34
garrafa com água próxima a documentos importantes, referente aos dados
pessoais e acadêmicos de alunos da instituição. É possível identificar também,
que esta mesma garrafa está localizada próxima aos aparelhos eletrônicos de
uso do funcionário e a fiação exposta no canto da parede, podendo causar danos
irreversíveis a instituição em caso de incêndio e/ou curto-circuito.
A máquina de uso do funcionário apresenta-se de forma
extremamente vulnerável, pois a tela não está com o devido bloqueio, visto que
o funcionário responsável não está em sua estação de trabalho. Nesta situação,
é possível identificar que os funcionários da instituição não estão passando pelo
treinamento adequado para redução dos riscos e danos à instituição.
A figura 8 está basicamente focada na forma em que é tratada a
fiação dos equipamentos do setor.
Figura 8: Fiação exposta no ambiente de trabalho.
Fonte: dado do trabalho
Existem falhas graves referentes ao tratamento de fiação de
35
equipamentos eletrônicos identificadas nesta imagem.
A fiação que desce da tabela de senhas de atendimento está
completamente desorganizada, com fios espalhados, cabos atravessando o
setor sem nenhuma proteção contra curto-circuito e tropeços e ausência de
canos de ligação para organização da fiação.
O cabeamento do monitor do computador e das caixas de som não estão
organizados de forma adequada. É possível ver, que todos eles estão enrolados
e caindo da mesa de trabalho, onde um indivíduo distraído e desavisado pode
esbarrar, gerando vários contratempos, como: sérios danos ao patrimônio da
instituição, perda de informação contida no computador e danos físicos ao
próprio indivíduo.
3.3 Metodologia de Análise de Risco do Ambiente estudado
Para a análise de risco das vulnerabilidades encontradas no ambiente
estudado, optou-se pelo uso da metodologia de Análise Preliminar de Risco-
APR. A APR pode ser empregada tanto em sistemas em desenvolvimento ou na
fase inicial do projeto, quanto em sistemas implantados ou em instalações
industriais já existentes.
Na APR devem ser identificados os riscos, as causas e as consequências,
bem como as observações e recomendações pertinentes aos riscos
identificados, gerando resultados que devem ser aplicados para minimizar as
vulnerabilidades do ambiente.
Os Quadros 1, 2 e 3, abaixo mostram os instrumentos utilizados para
geração da matriz de classificação de risco, por meio do método APR. Através
dos quadros foram possíveis classificar as informações levantadas segundo o
grau de severidade, em uma escala de I a IV (sendo “I” a de menos importância
e “IV” a mais importante), e a frequência a qual o risco pode ocorrer em uma
escala de 1 a 5.
36
Quadro 1. Legenda da Matriz de Classificação de Risco – Frequência x Severidade
Fonte: Morgado (2000)
Quadro 2. Legenda da Matriz de Classificação de Risco – Frequência x Severidade
Fonte: Morgado (2000)
37
Quadro 3. Legenda da Matriz de Classificação de Risco – Frequência x Severidade
Fonte: Morgado (2000)
38
Capítulo 4
Análise de Risco do Estudo de Caso
Neste capítulo é apresentado, de forma detalhada, a análise do trabalho
que foi desenvolvido.
Através da análise de risco utilizando o método Análise Preliminar de
Risco - APR, foram levantadas as vulnerabilidades encontradas no setor, com o
objetivo de aperfeiçoar o nível de Segurança da Informação dentro da instituição.
Foi utilizada na análise de risco dos recursos acadêmicos, pessoais e
financeiros, das estações de trabalho dos funcionários e dos equipamentos por
eles utilizados, os valores e conceitos especificados nas figuras para análise de
risco consideradas no capítulo anterior. O Quadro 4 sobre a Matriz de Risco
utilizando o método APR (Análise Preliminar de Risco) abaixo, mostra os ativos
e riscos do NASS.
Quadro 4. Matriz de Risco do NASS - Núcleo de Assistência Social
Ativo Causas Consequência Frequência Severidade Risco
Documentos Falta de restrição de acesso
Acesso de pessoas não autorizadas
D
III
4
Documentos Falta de controle de acesso
Acesso de pessoas não autorizadas
D
III
4
Informação Falta de No-break Serviço será interrompido D
II
3
Ventilador Fiação defeituosa Incêndio e danos aos funcionários
D
IV
5
Armário Sem trancas Perda/Roubo de informações E
II
4
Garrafa Garrafa com água sobre a mesa
Perda de informação e danos a parte elétrica
B
II
1
Fiação Fiação exposta Curto-circuito D
III
4
Copiadora Copiadora sem restriçao de uso
Perda/Roubo de informações C
II
2
Computador Computador exposto sem o devido bloqueio de tela
Acesso de pessoas não autorizadas/Roubo de informação
E
IV
5
Informação Falta de política de backup
Perda de informação E IV 5
Equipamentos Particulares
Falta de restrição referente ao uso de equipamentos particulares
Baixo rendimento dos funcionários/ Roubo de informação
E
IV
5
39
Filtro de acesso à internet mal implementado
Baixo rendimento dos funcionários
D
II
3
Falta de sprinkles
Risco de incêndio
E
IV
5
Fonte: Dados do trabalho (2015)
Os riscos foram classificados em níveis de acordo com o método APR
(Análise Preliminar de Risco), onde, o nível “1” é o mais desprezível, e o nível
“5” é o mais catastrófico.
As vulnerabilidades identificadas como críticas, ou seja, nível 5, são:
Equipamentos com fiação defeituosa;
Computador exposto sem o devido bloqueio de tela;
Falta de política de backup;
Falta de restrição referente ao uso de equipamentos particulares;
Falta de Sprinkles.
É bastante perceptível o quanto estas vulnerabilidades podem afetar a
instituição. Perda ou roubo de informação podem afetar não só a instituição e
seus funcionários, como também os alunos que nela cursam o ensino superior.
Informações privilegiadas e pessoais de alunos e familiares estão espostos no
setor do NASS, pois, é a partir deles que são feitas as análises sócioeconomicas
e cadastros nos programas sociais como FIES e ProUni.
Uma outra consequência catastrófica que estas vulnerabilidades podem
causar, seria um incêndio de grandes proporções, que além de causar danos
irreversíveis à instituição, este mesmo causaria grande perda de informação e
danos sérios a alunos e funcionários.
40
As vulnerabilidades identificadas como sérias (nível 4), são:
Falta de restrição de acesso;
Falta de controle de acesso;
Armários sem trancas;
Fiação exposta.
Este nível mantém o foco principal no acesso de pessoas não autorizadas
ao NASS. Pessoas agindo de má fé, como ex-funcionários e alunos insatisfeitos
com a instituição, que podem aproveitar destas vulnerabilidades para roubo de
informações privilegiadas, comprometendo as atividades do setor. Os próprios
funcionários do setor, que não estiverem satisfeitos, ou estejam agindo de má
fé, podem usar da sua liberdade de acesso ao sistema para alterar informações
de alunos, como por exemplo, alterar o percentual de desconto de um
determinado aluno.
Outro risco que pode causar danos aos funcionários, seria o risco de
curto-circuito, mediante a fiação exposta e sem a devida proteção que foi
encontrada no setor, podendo causar acidentes com o tropeço de funcionários
na fiação.
As vulnerabilidades classificadas como nível 3, são:
Falta de No-Break;
Filtro de acesso à internet mal implementado.
Estes riscos estão voltados mais para a parte lógica da política, mediante
questionário realizado junto à direção do setor. Tanto na perda de informação,
caso os computadores desliguem por falta de energia ou outro motivo não
programado, podendo ser causada pela falta de no-breaks, quanto ao roubo de
informação e a falta de foco de funcionário, o escasso filtro de acesso à internet,
41
pode levar os funcionários a terem acesso à vários sites que não se relacionam
com o ambiente de trabalho.
As vulnerabilidades encontradas e classificadas como níveis 1 e 2, são:
Copiadora sem restrição de uso (nível 2);
Garrafa com água sobre a mesa (nível 1).
Por mais que estes riscos sejam classificados como níveis baixos, eles
não devem ser desconsiderados ou ignorados. Caso um indivíduo agindo de má
fé tenha acesso a copiadora disponível no setor, este mesmo pode aproveitar
dos documentos expostos sobre as mesas dos funcionários, principalmente da
direção, realizar uma cópia dos mesmos sem que ninguém perceba ou sinta falta
e utilizá-los de forma indevida, como chantagem aos alunos e à instituição.
Os dados coletados com a aplicação do questionário aos funcionários
mostraram completo desconhecimento com as normas referentes à segurança
da informação. (Apêndice A)
Os dados mostram que:
a) Não existe política de segurança da informação;
b) As senhas são renovadas, no entanto não existem regras de
complexidade;
c) A instituição favorece o uso de equipamentos particulares, embora
exista uma proxy com filtro de conteúdo;
d) Não existe backup para armazenar documentos dos alunos sendo
estes arquivados apenas em papel.
42
Capítulo 5
PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
PARA O NASS
A partir da análise de risco e dos resultados apresentados nos capítulos
anteriores, a proposta do trabalho final terá foco na parte física e lógica, mas,
não excluindo sua parte ambiental. Serão apresentadas soluções com base na
ABNT NBR ISO/IEC 27002:2013, visando garantir a integridade, disponibilidade
e confidencialidade da informação.
5.1 Título da política de segurança da informação
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA O NASS
5.2 Instituição
As Faculdades Integradas Promove de Brasília oferecem meios para
graduação em ensino superior. Com três campus ativos no Distrito Federal com
quase 30 cursos disponíveis, a instituição conquistou o seu espaço no mercado
educacional
A política de segurança proposta visa a melhoria do Setor de Assistência
Social (NASS), que é responsável por todo e qualquer benefício assistencial
oferecido pelo setor, incluindo os serviços de FIES e ProUni.
5.3 Objetivo da política
O objetivo da política de segurança é garantir que a informação estará
sendo tratada da maneira correta, preservando os seus ativos. Esta política
deverá fornecer ao funcionário informações suficientes, utilizando linguagem
simples e de fácil entendimento por todos.
Com a implementação da política de segurança da informação, desde que
as diretrizes sejam seguidas, as informações contidas no setor serão
43
devidamente protegidas tanto por questões físicas e ambientais quanto por
questões lógicas.
5.4 Abrangência da política
A proposta de política deverá ser utilizada no NASS, inclusive nos outros
campus. As informações pessoais, econômicas e acadêmicas dos alunos e
funcionários da instituição serão as mais beneficiadas com a aplicação desta
política de segurança, pois, a partir desta aplicação, as vulnerabilidades serão
reduzidas, maximizando a segurança sobre elas.
5.5 Definições básicas da política
Política de segurança define o conjunto de normas, métodos e procedimentos
utilizados para a manutenção da segurança da informação, deve ser formalizada
e divulgada a todos os usuários que fazem uso dos ativos de informação. Deve-
se usar uma visão metódica, criteriosa e técnica em seu desenvolvimento e
elaboração de forma que possam ser sugeridas alterações.
5.6 Referências
Para apresentar as propostas elaboradas, foi utilizado como base a
seguinte referência:
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC
27002: Tecnologia da Informação. Rio de Janeiro: ABNT, 2013.
5.7 . Diretrizes
5.7.1 Vulnerabilidade 1- Garrafa com agua sobre a mesa
Controle sugerido pela norma item 9.2.1
Convém que os equipamentos sejam colocados no local ou protegidos para
reduzir os riscos de ameaças e perigos do meio ambiente, bem como as
oportunidades de acesso não autorizado.
44
Diretrizes sugeridas
a) Estabelecer normas de comportamento quanto a comer, beber e fumar
nas proximidades das instalações dos processamentos da informação.
b) Proibir atividades de alimentação próximos os equipamentos que
processam informação sensível.
5.7.2 Vulnerabilidade 2 - Copiadora sem restriçao de uso
Controle sugerido pela norma item 9.2.1
Covém os equipamentos sejam colocados no local ou protegidos para reduzir os
riscos de ameaças e perigos do meio ambiente, bem como as oportunidades de
acesso não autorizado.
Diretrizes sugeridas
a) Os equipamentos que processam informações sensíveis sejam
protegidos, a fim de minimizar o risco de vazamento de informações;
b) Sejam adotados controles para minimizar o risco de ameaças, e de
acesso não autorizado, adicionando uma senha de acesso bem
elaborada.
5.7.3 Vulnerabilidade 3 - Filtro de acesso à internet mal implementado
Controle sugerido pela norma item 11.4
Convém que o acesso aos serviços de rede internos e externos seja controlado.
Diretrizes sugeridas
a) Uso de mecanismos de filtragem adequados para os usuários.
45
b) Procedimentos de autorização para determinar quem tem permissão para
acessar redes ou serviços de rede.
5.7.4 Vulnerabilidade 4 - Falta de No-break
Controle sugerido pela norma item 9.2
Convém que os equipamentos sejam protegidos contra falta de energia elétrica
ou outras interrupções causadas por falhas das utilidades.
Diretriz sugerida
a) Os equipamentos sejam colocados no local adequado, a fim de minimizar
os riscos.
5.7.5 Vulnerabilidade 5 - Fiação exposta
Controle sugerido pela norma item 9.2.3
Convém que o cabeamento de energia e de telecomunicações que transporta
dados ou da suporte aos serviços de informações seja protegidos contra
interceptação ou danos.
Diretrizes sugeridas
a) As linhas de energia e telecomunicações de processamento de
informações sejam subterraneas sempre que possivel, ou recebam uma
proteção alternativa adequada;
b) Os cabos de energia sejam separados dos de comunicação, evitando
interferencia;
c) Que sejam adotadas marcações nos cabos com objetivo de minimizar
erros de manuseio.
d) Utilização de blindagem eletromagnética para proteção dos cabos.
46
e) Utilização de paineis para auxilio da organização dos cabos.
5.7.6 Vulnerabilidade 6 - Armários sem trancas
Controle sugerido pela norma item 9.1
Convém que as instalações de processamento da informação criticas ou
sensiveis sejam mantidas em áreas seguras, protegidas por perímetros de
segurança definidos, com barreiras de segurança e controles de acesso
apropriados. Convém que sejam fisicamente protegidas contra o acesso não
autorizado, danos e interferencias.
Diretriz sugerida
a) As instalações de processamento da informação gerenciadas pela
organização devem ficar fisicamente sólidos (ou seja,o perímetro não
deve ter brechas nem pontos onde poderia ocorrer facilmente uma
invasão);
5.7.7 Vulnerabilidade 7 - Falta de controle de acesso
Controle sugerido pela norma item 9.1.2
Convém que as áreas seguras sejam protegidas por controles apropriados de
entrada para assegurar somente que pessoas autorizadas tenham acesso.
Diretrizes sugeridas
a) Seja exigido que todos os funcionários, fornecedores, terceiros e
visitantes tenham alguma forma visível de identificação.
b) Permissões de acesso aos visitantes somente serão concebidas para
finalidades especificas e autorizadas.
c) A data e a hora de entrada e saida de visitantes sejam registradas.
47
5.7.8 Vulnerabilidade 8 - Falta de restrição de acesso
Controle sugerido pela norma item 9.1.1
Convém que sejam utilizados perimetros de segurança (barreiras tais como
paredes, portões de entrada controlados por cartão ou balcões de recepção com
recepcionistas) para proteger as áreas que contenham informações e
instalações no processo da informação.
Diretrizes sugeridas
a) Convém que todas as portas sejam adequadamente protegidas contra
acesso não autorizado por meio de mecanismos de controle, como por
exemplo alarmes, fechaduras resistentes;
b) Convém que as janelas e portas sejam trancadas quando estiverem sem
monitoramento e que uma proteção externa para as janelas sejam
adotadas.
5.7.9 Vulnerabilidade 9 - Falta de sprinkles
Controle sugerido pela norma item 9.1.4
Convém que sejam projetadas e aplicadas proteção fisica contra incêndios,
enchentes, terremotos, explosões, perturbações da ordem publica e outras
formas de desastres naturais ou causados pelo homem.
Diretriz sugerida
a) Instalação de equipamentos de detecção e combate a incêndios sejam
providenciados e posicionados corretamente.
5.7.10 Vulnerabilidade 10 - Equipamentos com fiação defeituosa
Controle sugerido pela norma item 9.2.3
48
Convém que o cabeamento de energia e de telecomunicações que transporta
dados ou da suporte aos serviços de informações seja protegidos contra
interceptação ou danos.
Diretrizes sugeridas
a) As linhas de energia e telecomunicações de processamento de
informações sejam subterraneas sempre que possivel, ou recebam uma
proteção alternativa adequada;
b) Os cabos de energia sejam separados dos de comunicação, evitando
interferencia;
c) Marcações nos cabos com objetivo de minimizar erros de manuseio.
d) Utilização de blindagem eletromagnética para proteção dos cabos.
e) Realizar varreduras técnicas e inspeções fisicas para detectar a presença
de fiação defeituosa.
5.7.11 Vulnerabilidade 11 - Computador exposto sem o devido bloqueio de tela
Controle sugerido pela norma item 11.3.2
Convém que os usuários assegurem que os equipamentos não
monitorados tenham proteção adequada.
Diretrizes sugeridas
a) Encerrar as sessões ativas, a menos que elas possam ser protegidas por
meio de um mecanismo de bloqueio, por exemplo tela de proteção com
senha;
b) Proteger os microcomputadores ou terminais contra o uso não autorizado
através da tecla de bloqueio ou outro controle equivalente, por exemplo,
senha de acesso, quando não estiver em uso;
c) Adotar mecanismos que exijam a criação de senhas com maior nível de
complexidade.
49
5.7.12 Vulnerabilidade 12 - Falta de política de backup
Controle sugerido pela norma item 15.1.3
Convém que registros importantes sejam protegidos contra perda,
destruição e falsificação, de acordo com os requisitos regulamentares,
estatutários, contratuais e do negocio
Diretrizes sugeridas
a) Convém que cuidados sejam tomados a respeito da possibilidade de
deterioração das midias usadas no armazenamento dos registros.
Convém que os procedimentos de armazenamento e manuseio sejam
implementados de acordo com as recomendações dos fabricantes.
Convém que, para armazenamento de longo tempo, o uso de papel e
microficha seja considerado.
b) Onde midias eletronicas armazenadas forem escolhidas, convém que
seja incluídos procedimentos para assegurar a capacidade de acesso
aos dados ( leitura tanto quanto na midia como no formato utilizado)
durante o periodo de retenção, para proteger contra perdas
ocasionadas pelas futuras mudanças na tecnologia.
c) Convém que sistemas de armazenamento de dados sejam escolhidos
de modo que o dado solicitado possa ser recuperado de forma
aceitavel, dependendo dos requisitos a serem adotados.
5.7.13 Vulnerabilidade 13 - Falta de restrição referente ao uso de equipamentos
particulares
Controle sugerido pela norma item 9.1.5
Convém que seja projetada e aplicada proteção fisica, bem como
diretrizes para o trabalho em áreas seguras
Diretriz sugerida
a) Não seja permitido o uso de maquinas fotograficas, gravadores de
video ou audio ou de outros equipamentos de gravação, tais como
cameras em dispositivos moveis, salvo se for autorizado
50
5.8 Responsabilidades
Será criado um comitê de segurança da informação composta pelos
responsáveis do setor do NASS e o responsável pela área de TI da instituição,
com a responsabilidade de criar os planos de classificação da informação e de
contingencia para a informação institucional.
5.9 Conformidade
Sugestão: A política será adequada a política de segurança da informação
da organização quando esta estiver aprovada e implantada.
5.10 Penalidades
Será criado um termo de compromisso onde todos os funcionários e
estagiários do setor deverão estar cientes sobre a política de segurança de
informação implementada. As punições poderão ser criadas pela direção do
NASS, ou estarem de acordo com as estabelecidas pelo RH.
5.11 Disposições gerais
A política terá validade de 6 meses a partir da data em que for implementada.
Ela será divulgada através de e-mail para os funcionários do NASS e também,
através de cartazes espalhados pelo setor. Para reforçar a política de segurança
será feita uma comunicação formal por parte da diretoria a todos os funcionários
do NASS, estagiários e colaboradores do setor, comunicando a implementação
da nova política de segurança. Considerando que esta política deverá ser
seguida por todos, deverá ser implantado um programa de treinamento.
51
CONCLUSÃO
O trabalho propôs uma política de segurança para o NASS, setor das
Faculdades ICESP/Promove, onde foram apresentadas propostas, normas,
diretrizes e responsabilidades baseadas na ABNT ISO/IEC 27002:2013 para
serem implementadas.
A política de segurança é a base para proteção da informação,
desempenhando um papel importante nas instituições.
Foram identificados os ativos, encontradas as vulnerabilidades e os
riscos, e feita uma análise detalhada sobre cada uma delas, a fim de tornar o
ambiente mais seguro.
O modelo de política de segurança da informação desenvolvido visa
descrever as regras de modo acessível ao entendimento dos usuários. A política
será de grande importância para o setor, pois ela irá proporcionar melhor
segurança para os alunos, garantindo melhor qualidade no serviço e assim
gerando mais credibilidade para a Faculdade Integradas Promove de Brasília.
52
REFERÊNCIAS
ALBUQUERQUE, Ricardo; RIBEIRO, Bruno. Segurança no Desenvolvimento
de Software: como garantir a segurança do sistema para seu cliente usando a
ISO/IEC. Rio de Janeiro: Campus, 2002. 310p.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC
27002: Tecnologia da Informação, Rio de Janeiro, 2013.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC
12527: Lei de acesso a informação. Rio de Janeiro, 2011.
BRASIL. LEI nº: 12527 de 18 de Novembro de 2011.
FACULDADES INTEGRADAS ICESP PROMOVE DE BRASÍLIA. Disponível em:
<http://www.icesp.br/nass>. Acesso em: 20/10/2015.
FERREIRA, Fernando Nicolau Freitas. Segurança da Informação, Rio de
Janeiro: Ciência Moderna, 2003.
LYRA, Mauricio Rocha. Segurança e auditoria em Sistemas de Informação.
Rio de Janeiro: Ciência Moderna, 2008.
MOREIRA, Nilton Stringasci. Segurança Mínima – uma visão corporativa da
segurança da informação. Ed Axel books do Brasil, 2001, 240p.
PINHEIRO, José Maurício Santos. Redes de Perímetro. Disponível em:
<http://www.projetoderedes.com.br/artigos/artigo_redes_de_perimetro.php.>
Acesso em: 22/12/2015.
O que é APR (Análise Preliminar de Risco)? Disponível em:
<http://www.blogsegurancadotrabalho.com.br/2013/05/o-que-e-apr-analise-
preliminar-de-risco.html>. Acesso em: 22/12/2015.
53
OLIVEIRA, Paulo. POLITICA DE SEGURANÇA DA INFORMAÇÃO:
DEFINIÇÃO, IMPORTÂNCIA, ELABORAÇÃO E IMPLEMENTAÇÃO. Disponível
em: <http://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-
informacao-definicao-importancia-elaboracao-e-implementacao/>. Acesso em:
22/12/2015.
SÊMOLA, Marcos. Gestão da Segurança da Informação. 3.ed. Rio de Janeiro:
Campus, 2003.
54
APÊNDICE
Questionário para supervisor do NASS
1- Quais os tipos de documentos que são tratados?
2- Quem é o responsável por gerenciar o setor?
3- Existe alguma política de segurança no setor?
4- Existe alguma proteção física dos equipamentos?
5- A empresa autoriza a entrada de equipamentos particulares?
6- Extintores de incêndio são regularmente revisados?
7- Existe alguma política para a senha de acesso dos funcionários?
Elas são compartilhadas? Existe tempo de expiração para estas
senhas?
8- Existe algum tipo de controle de sites?
9- Existe alguma política em relação a e-mails?
10- Existe algum backup de documentos dos alunos?
