PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO …nippromove.hospedagemdesites.ws/anais_simposio/...funções de software e hardware. Estes controles precisam ser estabelecidos,

TSI PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA O ESCRITÓRIO DA FILIAL AD FASHION DE BRASÍLIA

FELIPE VIEIRA MARTINS ROBERTO ALVES NUNES

CID BENDAHAN COELHO CINTRA RESUMO Esta monografia teve como objetivo o desenvolvimento de uma Política de Segurança da Informação para o escritório da f ilial AD Fashion Brasília, visando em proteger seus ativos de informação, a f im de melhorar seus serviços com as melhores práticas de segurança. A metodologia usada para o desenvolvimento desta política foi através de bibliografias descritivas, com ajuda da norma ABNT NBR ISO IEC 27002 (2005) e do próprio estudo de caso. Foram identif icados os riscos e vulnerabilidades dos ativos físicos e lógicos, buscando medidas qualitativas de segurança para a empresa. Ficou comprovado, que uma polít ica de segurança hoje é fundamental para qualquer instituição, fortalecendo o seu crescimento organizacional, garantindo a sua integridade, disponibilidade e confidencialidade. Palavras chaves: política de segurança da informação, riscos, ativos, confidencialidade, tecnologia. ABSTRACT This monograph aimed to develop an Information Security Policy for the branch off ice AD Fashion Brasilia, aiming at protecting its information assets, in order to improve its services with the best security practices. The methodology used for the development of this policy was through descriptive bibliographies, with the help of ABNT NBR ISO IEC 27002 (2005) and of the case study itself. The risks and vulnerabilities of physical and logical assets were identif ied, seeking qualitative security measures for the company. It has been proven that a security policy today is fundamental for any institution, strengthening its organizational growth, guaranteeing its integrity, availability and confidentiality of information. Key words: information security policy, risks, assets, confidentiality, technology. INTRODUÇÃO

A sociedade mundial diante da necessidade de adequação às suas realidades individuais/coletivas, com base em seus contextos sociais, está em constante desenvolvimento, especialmente no que aceite aos recursos de expansão da informação.

Segundo Dantas (2011, p.21), “A informação tem ocupado um papel de destaque no ambiente de negócios, e também tem adquirido um potencial de valoração para as organizações e para as pessoas, ela passou a ser considerada o seu principal ativo.”

Como se percebe, a informação se difundiu de forma tamanha na vida organizacional, hoje é necessário o uso de políticas para sua segurança, visando protegê-la de possíveis ameaças em suas vulnerabilidades, que, por conseguinte poderão findar em sérios prejuízos para a sua sistemática como um todo, sendo de extrema valia a implementação de políticas de segurança da informação, de modo a evitar ou mesmo minimizar as perdas ou fraudes das informações dos ativos.

Para uma perfeita elaboração de uma proposta de uma política de segurança da informação, se faz presente a necessidade da observância da norma ABNT NBR ISO/IEC 27002:2005, que junto ao contexto que será desenvolvida uma proposta de política de segurança da informação para o ambiente físico do Escritório da Empresa de Moda Ad Fashion.

Justi ficativa O escritório da filial Ad Fashion Brasília é responsável pela coleta e armazenamento de dados de todos os seus clientes da empresa em âmbito nacional, local e regional, parceiros e empregados. Assim, diante das grandes vulnerabilidades que encontramos na empresa, se faz necessário o aperfeiçoamento de sua política e segurança das informações, de modo à proteção da integridade de seus conteúdos e disponibilização de serviços. Por ser uma empresa que tem uma grande rotatividade de informações, conseqüentemente, necessita de uma proposta de política de segurança dessas informações, com escopo na Norma ABNT NBR ISO/IEC 27002:2005, onde se almeja a consolidação dos ativos de informação, e garantia dos termos de disponibilidade, integridade e confidencialidade dessas informações.

Esta empresa precisa se adequar para que a mesma não seja prejudicada, pois a mesma tem grandes falha no setor responsável pela as informações da empresa.

Precisa ter treinamento para seus funcionários, se organizar mais no setor de trabalho a falta de treinamento e de reuniões pode estar afetando muito esta empresa, que pode estar se prejudicando com tão pouco. Objetivos Objetivos Geral

Simpósio de TCC e Seminário de IC , 2016 / 2º 2565

Propor uma política de segurança da informação física e lógica, para ser usada no Centro de Processamento de Dados do escritório da filial AD Fashion de Brasília, com base na norma ABNT NBR ISO/IEC 27002:2005. Objetivos Específicos • Apresentar conceitos importantes, relacionados à segurança da informação.

• Levantar os ativos importantes referente ao Centro de Processamento de Dados da filial AD Fashion Brasília.

• Identificar os riscos e vulnerabilidades dos ativos.

• Destacar os principais problemas e ameaças existentes na filial AD Fashion Brasília. • Propor uma Política de Segurança da informação, enfatizando as boas práticas e conduta na área da Segurança da informação. Metodologia

Trata-se de um estudo de caso que caracteriza-se por uma necessária análise do ambiente do escritório da AD Fashion, onde foi realizada uma identificação dos ativos importantes para esta organização, além de ter sido estudados, procedimentos de trabalho dos funcionários do escritório, foram analisado suas rotinas, diárias, semanais e mensais, averiguamos falhas de segurança, a partir do momento em que o funcionário entra no escritório, até a forma de como os usuários fazem sua conexão aos sistemas críticos da organização.

Após o levantamento dos ativos, foi realizada a identificação dos riscos, através da Matriz de Risco e feita também a análise desses riscos e posteriormente a Política de segurança da informação da empresa.

Para todo embasamento teórico e

prático da Política de Segurança da informação, foram realizadas diversas pesquisas de aprofundamento técnico para a elaboração de todo essa proposta de Política de Segurança da Informação. Tendo em vista os riscos futuros que a empresa terá por falta de treinamento e de profissionais adequados de todos os setores do escritório. Informação De acordo com Moreira (2001, p.08) “A informação é um ativo digital valioso para qualquer organização, independente da atividade. Tudo gira em torno da informação, de quanto ela

é sensível e o quanto ela representa para o seu negócio.” Para Sêmola (2003, p.45) trás afirmações de muita importância quando diz que: “A informação é um conjunto de dados utilizado para a transferência de uma mensagem entre indivíduos e/ou maquinas em processos comunicativos (isto é, baseados em troca de mensagens) ou transacionais (isto é, processos em que sejam realizadas operações que envolvam, por exemplo, a transferência de valores monetários).”

Sendo assim, a informação propriamente dita é de fato a peça chave para maiorias das empresas, por isso deve-se sempre cuidar, zelar ou protegê-la. Segurança da Informação Para Sêmola (2003, p.42) define segurança da informação como; “Uma área do conhecimento dedicado à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade.” Para Moreira (2001, p.06), o momento ideal para obter um programa de segurança da informação é: “É nesse momento que surge a necessidade de um programa de segurança da informação, que tem como objetivo garantir a continuidade do negócio e minimizar os danos causados à organização através da prevenção e redução dos impactos gerados por incidentes de segurança.” Segundo a norma NBR ISO/IEC 27002 (2005, apud, DANTAS, 2011, p.11), “É a proteção da informação quanto a vários tipos de ameaças, de modo a garantir a continuidade do negócio, minimizar o risco para o negócio, maximizar o retorno sobre o investimento e as oportunidades de negócios”.

De acordo com a norma NBR ISO/IEC 27002 (2005, apud, Dantas, 2011, p.11), “Integridade é a garantia da exatidão e completeza da informação e dos métodos de processamento.”

Ainda, segunda a norma NBR ISO/IEC 27002 (2005, apud, Dantas, 2011, p.11), “Garantir a integridade é permitir que a informação não fosse modificada, alterada ou destruída sem autorização, que ela seja legitima e permaneça consistente.”

De acordo com a norma NBR ISO/IEC 27002 (2005, apud, Dantas, 2011, p.12), “Disponibilidade é a garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessários.”


Conforme Dantas (2011, p.12) “ocorre à quebra da disponibilidade quando a informação não está disponível para ser utilizada, ou seja, ao alcance de seus usuários e destinatários, não podendo ser acessada no momento em que for necessário.”

Conforme NBR ISO/IEC 27002 (2005,

apud, Dantas, 2011, p.13) “A confidencialidade é a garantia de que a informação é acessível somente por pessoas autorizadas a terem acesso.”

Em Dantas (2011, p.14),

“Ocorre à quebra da confidencialidade da informação ao se permitir que pessoas não autorizadas tenham acesso ao seu conteúdo. A perda da confidencialidade é a perda do segredo da informação. Garantir a confidencialidade é assegurar o valor da informação e evitar a divulgação indevida.”

Segundo a norma ABNT NBR ISO/IEC 27002: 2005 explicam que:

“Segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados e monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão de negócio. Segurança da informação é a preservação da confidencialidade, da integridade e da Disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas.”

Ainda, na norma ABNT NBR ISO/IEC 27002:2005 podemos esclarecer que: “À segurança da informação é importante para os negócios, tanto do setor público como para o setor privado, e para proteger as infra-estruturais críticas. Em ambos os setores, a função de segurança da informação é viabilizar os negócios como governo eletrônico (e-gov) ou comercio eletrônico (e-business), e evitar ou reduzir os riscos relevantes.” Por que a segurança da informação é necessária? Segundo a norma ABNTNBR ISO/IEC 27002:2005 são de suma importância: “A informação e os processos de apoio, sistemas e sistemas e redes são importantes ativos para os

negócios. Definir, alcançar, manter e melhorar a segurança da informação pode ser atividades essenciais para assegurar a competitividade, o fluxo de caixa, a lucratividade, o atendimento aos requisitos legais e a imagem da organização junto ao mercado.” Ainda na norma ABNT NBR ISO/IEC 27002:2005 afirma que: “As organizações, seus sistemas de informação e redes de computadores são expostos a diversos tipos de ameaças à segurança da informação, incluindo fraudes eletrônicas, espionagem, sabotagem, vandalismo, incêndio e inundação. Danos causados por código malicioso, hackers e ataques de denial of service estão se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados.” Continuando na norma ABNT NBR ISO/IEC 27002:2005 é: “Muitos sistemas de informação não foram projetados para serem seguros. A segurança da informação que pode ser alcançada por meios técnicos é limitada e deve ser apoiada por uma gestão e procedimentos apropriados. A identificação de controles a serem implantados requer um planejamento cuidadoso e uma atenção a detalhes. A gestão da segurança da informação requer pelo menos a participação de todos os funcionários da organização. Pode ser que seja necessária também participação de acionistas, fornecedores, terceiras partes, clientes e outras partes externas. Uma consultoria externa especializada também pode ser necessária.”

Política de Segurança Pata Moreira (2001, p.36) “A Política de segurança pode ser entendida como sendo um conjunto de normas e diretrizes destinadas à proteção dos ativos da organização.” Segundo Moreira (2001, p.160), “A política de segurança é uma atividade que deve envolver toda a organização, é importante que todas as áreas participem ativamente neste processo. Assim, definirá o que é e o que não é permitido em termos de comportamento.” Ainda, de acordo com Moreira (2001, p.8) explica que: “Segurança é a base para dar as empresas a possibilidade e a liberdade necessária para a criação de novas oportunidades de negócio. É evidente que os negócios estão cada vez mais dependentes das tecnologias e estas precisam estar de tal forma a proporcionar confidencialidade, integridade e disponibilidade das informações.”


Objetivo da Política de Segurança Segundo Moreira (2001, p.36) “O objetivo de qualquer política de segurança é o de definir as expectativas da organização quanto ao uso dos seus recursos (computadores e rede), estabelecendo procedimentos metas com o intuito de prevenir e responder a incidente relativo á segurança.”

Segundo norma ABNT NBR ISO/IEC 27002:2005, esclarece que:

“O objetivo estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta Norma provêm diretrizes gerais sobre as metas geralmente aceitas para a gestão de segurança da informação, os objetivos de controle e os controles dessa norma.”

Importância da Política de Segurança da informação e na Organização Segundo Moreira (2001, p.36), as empresas estão com tantas dependências por que: “À medida que o tempo passa, aumenta-se a dependência das empresas no uso de computadores e sistemas. Esta dependência é necessária para que ela se torne eficiente e a partir daí, gere mais negócios. Hoje em dia, a informação é o ativo mais valioso de uma organização.” Sendo assim, a política de segurança na informação exerce a sua importância, visando à proteção dos ativos e a conscientização da segurança dentro do ambiente. Segurança do Ambiente Físico Segundo Lyra (2008, p.27), “Para garantir adequada a segurança física dos ativos da informação é preciso combinar medidas de prevenção, detecção e reação aos possíveis incidentes de segurança. Para que possa ter bons resultados na segurança do ambiente físico da empresa.” Conforme Lyra (2008, p.27), destaca se que: “Perímetro de segurança é o contorno ou linha imaginaria que delimita uma área ou região separada de outros espaços físicos por um conjunto qualquer de barreiras. Onde as definições claras do perímetro de segurança ajudam á estabelecer melhor os investimentos e definir que tipos de barreiras são mais adequados para a proteção do ativo da informação das empresas.”

De acordo com Lyra (2008, p.27), “Existem vários perímetros a serem protegidos (prédios, geradores, cofres etc.), mas vamos nos restringir aos perímetros, que dizem respeito à segurança da informação propriamente dita.” Segurança em escritórios, salas e instalações e processamentos de dados Segundo a norma (ISO 27002, aput, LYRA, 2008, p.28), é recomendado que: “A ISO 27002 recomenda que seja elaborado um projeto de áreas de segurança que contemple escritórios fechados ou com várias salas dentro de um perímetro seguro que considere as ameaças de fogo, poeira, fumaça, vibração, vazamento de água, explosão, manifestações civis ou desastres naturais.” Equipamentos instalados em áreas comuns exigem medidas de proteção específicas contra acesso não autorizado, dano ou furto. Os equipamentos também precisam ser protegidos contra falha de energia e outras anomalias na alimentação elét rica. “Outra fonte de problemas que precisa ser considerada são os defeitos inerentes aos próprios produtos de hardware. Medidas devem ser tomadas, de forma preventiva, para garantir o perfeito funcionamento dos equipamentos, com o planejamento de manutenções periódicas para minimizar possíveis cenários de mau funcionamento.” (LYRA, 2008, p.29) Segurança Lógica De acordo com Lyra (2008, p.33) afirma que: “A preocupação com a segurança das redes deve abranger os problemas de autenticação de usuários e equipamentos de restrição de acesso dos usuários aos serviços autorizados contemplando o estabelecimento de interfaces seguras entre a rede interna e a rede pública ou de outra organização. A norma ISO 27002 menciona diversos mecanismos de proteção as informações das redes, entre os quais destacamos os gateways e firewalls, que podem ser utilizados para, entre outras aplicações, controlar o tráfego que entra e sai. Outros exemplos de controles citados na norma são o uso de técnicas de criptografia, tokens, antivírus, etc.”

Backup

Segundo Moreira (2001, p.84), “Backup é uma importante atividade no processo de segurança dos dados de uma empresa. Independente do porte e da atividade da empresa, todas, sem exceção, devem praticá-lo.” O recurso do backup deverá ser sempre uma atividade de rotina, com muita cautela e


muita atenção pelo profissional responsável, pois é ele quem, no caso de um incidente, irá ajudar. Por esta razão, a empresa deverá então refletir e definir uma melhor estratégia eficiente e passível de ser implementada e praticada. Ainda, segundo Moreira (2001, p.85) ressalta que: “É importante que se tenha uma cópia do backup em um local protegido, mas de fácil acesso para que se tenha agilidade, caso precise utilizá-lo. É fundamental importância que se tenha outra cópia do backup, se necessário, criptografado em outro prédio e com acesso controlado para ser usado no momento de uma necessidade.” Ativo Segundo Sêmola (2003, p.45), “Ativo é todo elemento que compõe os processos que manipulam e processam a informação, a contar a própria informação, o meio em que ela é armazenada, os equipamentos em que ela é manuseada, transportada e descartada.” Para Moreira (2001, p.20), “Ativo é tudo que manipula direta ou indiretamente uma informação, inclusive a própria informação, dentro de uma Organização, e é isso que devem ser protegidas contra as ameaças para que o negócio funcione corretamente.” “Uma alteração, destruição, erro ou indisponibilidade de algum dos ativos podem comprometer os sistemas e o próprio funcionamento da empresa. Temos que identificar todas as coisas que podem ser afetadas por um problema de segurança na qual o ativo seja protegido.” (MOREIRA, 2001, p.20)

Os ativos de informação podem ser

divididos ou agrupados da seguinte forma; software, equipamentos físicos, pessoas, documentação em papel, processos, informação. Sendo assim, todos estes ativos citados, necessitam de proteção adequada. Ataque

Para Lyra (2008, p.5), “Ataque é um tipo de incidente de segurança caracterizado pela existência de um agente que busca obter algum tipo de retorno, atingindo algum ativo de valor.”

Segundo Moreira (2001, p.194), afirma

que:

“Um ataque, pode ser entendido como uma ação para impedir ou interromper a execução dos mesmos. Como hoje é mais comum ouvir falar em segurança da informação, existem muitas pessoas que confundem o termo "ataque" com "invasão", que são termos diferentes.”

Invasão

Para Moreira (2001, p.194, 195) explica que:

“Uma invasão consiste em adentrar a uma rede, seja ela local ou remota, sem que tenha permissão de acesso, conseguindo atingir o alvo ou um ativo, que muitas vezes pode ser desde o roubo do arquivo de senhas para futuras invasões, ou até mesmo roubo de projetos, dados de clientes e etc. O fato é que quando se invade uma rede, significa que o invasor conseguiu adentrá-la.”

Vulnerabilidade

Qual o software ou hardware que é absolutamente seguro? Por mais desenvolvidas sejam as tecnologias utilizadas nos ativos de software e hardware, esses sempre serão vulneráveis, sobretudo, por serem administrados e ou gerenciáveis por seres humanos. Os ambientes computacionais tratam a mitigação da vulnerabilidade em busca de absoluta segurança através de normas de utilização, equipes altamente qualificadas, mas ainda assim não se pode dizer que existe ambiente totalmente seguro.

Para Moreira (2001, p.22) não existem

ambiente totalmente seguro:

“Ambientes são vulneráveis, partindo do pressuposto de que não existem ambientes totalmente seguros. Muitas vezes, as medidas de segurança implementadas pelas empresas possuem vulnerabilidades. Neste caso, a ineficiência de medidas de proteção, em função de configurações inadequadas é uma das causas.”

Segundo Dantas (2011, p.24) relata que:

“Vulnerabilidades são fragilidades que de alguma forma podem vir a provocar danos. ABNT NBR ISO/IEC 27002:2005, define a vulnerabilidade como uma fragilidade de um ativo ou grupo de ativos que pode ser explorada por um ou mais ameaças.”

Incidentes de Segurança

Segundo Lyra (2008, p.4) “um incidente de segurança é a ocorrência de um evento que possa causar interrupções nos processos de negócio em conseqüência da violação de algum dos aspectos como; autenticação não repudia, legalidade, privacidade, auditoria.”

Para Moreira (2001, p.31) a segurança é:

“Um incidente de segurança é qualquer evento que prejudique o bom andamento dos sistemas,


das redes ou do próprio negócio. Este incidente pode ser o resultado de uma violação de segurança concretizada, um acesso não-autorizado a determinadas informações confidenciais ou até mesmo um site tirado do ar pela ação de um hacker, por exemplo.”

Ainda com Moreira (2001, p.30) a

segurança é:

“Os incidentes de segurança ocorrem pela ação efetiva de uma determinada ameaça através de uma vulnerabilidade encontrada. Logo, afirmamos que os incidentes de segurança somente podem ser concretizados quando existem ambientes propícios ou seja, vulnerabilidades.” Risco

Para Sêmola (2003, p.50) “Riscos é probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando, possivelmente, impactos nos negócios.”

Para Moreira (2001, p.20) “Um risco

existe quando uma ameaça, com potencial para causar algum dano, possui uma vulnerabilidade correspondente com alto índice de probabilidade de ocorrência no ambiente computacional e um baixo nível de proteção.”

De fato, que todos os dias as empresas

passa por momentos de grandes e pequenas perdas, onde devemos nos adequar para evitar perdas futuras.

“Todos ativos da empresa estão sujeitos a vulnerabilidade em maior ou menor escala e, neste caso, estas vulnerabilidades proporcionam riscos para a empresa e, são causadas muitas vezes por falhas nos seus controles. Logo, podemos dizer que os riscos surgem em decorrência da presença de fraquezas e, por conseguinte, vulnerabilidades.” (MOREIRA, 2001, p. 21) Análise de Risco Para Moreira (2001, p.11) “Análise de risco, consiste em um processo de identificação e

avaliação dos fatores de presentes de forma antecipada no ambiente organizacional, possibilitando uma visão do impacto negativo causado aos negócios.” “Através da aplicação deste processo, é possível determinar as prioridades de ação em função do risco identificado, para que seja atingido o nível de segurança desejado pela organização. Proporciona também informações para que se possa identificar o tamanho e o tipo de investimento necessário de forma antecipada aos impactos na organização causados pela perda ou indisponibilidade dos recursos fundamentais para o negócio.” (MOREIRA, 2001, p.11)

Ainda, segundo Moreira (2001, p.12) afirma que:

“A empresa precisa encontrar um nível de risco ao qual estará disposta a correr. Este processo deve, no mínimo, proporcionar as seguintes informações: Pontos vulneráveis do ambiente; Ameaças potenciais ao ambiente; Incidentes de seguranças causados pela ação de cada empresa; Impacto negativo para o negócio a partir da ocorrência dos incidentes prováveis de segurança; Riscos para o negócio a partir de cada incidente de segurança; Medidas de proteção adequadas para impedir ou diminuir o impacto de cada incidente.” Matriz de Risco No projeto de uma política de segurança, a matriz de risco torna-se necessária para mostrar ou avaliar a situação atual da empresa por isso, passa a ser a principal ferramenta de auxílio. Segundo Ferreira; Araújo (2008, p.176) destaca que: “Para determinar a probabilidade de ocorrência que uma potencial vulnerabilidade possa ser explorada, os seguintes fatores devem ser considerados: Motivação da fonte de ameaça; Natureza da vulnerabilidade; Existência e eficácia dos controles de segurança.”

Para Ferreira; Araújo (2008, p.177), o nível de probabilidade pode ser expresso, conforme segue a tabela 1 abaixo.

Tabela 1 - Definição do nível de probabilidade NÍVEL DEFINIÇÃO

Alto A fonte de ameaça está altamente motivada e possui conhecimento suficiente para execução do ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada são ineficazes.


Médio A fonte de ameaça está motivada e possui conhecimento suficiente para execução do ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada são eficazes.

Baixo A fonte de ameaça não está altamente motivada e não possui conhecimento suficiente para execução do ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada são eficazes.

Fonte: Ferreira; Araújo (2008, p.177) Para Ferreira; Araújo (2008, p.178), o impacto pode ser classificado como; alto, médio e baixo. Na tabela 2, abaixo, apresentamos as definições de impacto.

Fonte: Ferreira; Araújo (2008, p.178)

Segundo Ferreira; Araújo (2008, p.179) “A determinação do risco é obtida pela multiplicação da classificação da probabilidade de ocorrência versus o impacto na organização. A tabela 3, abaixo, mostrar as avaliações dos níveis de riscos.”

Tabela 3 - Matriz do nível de risco

PROBABILIDADE

IMPACTO

Baixo (10) Médio (50) Alto (100)

Alto (1,0) Baixo 10 x 1,0 = 10

Médio 50 x 1,0 = 50

Alto 100 x 1,0 = 100

Médio (0,5) Baixo 10 x 0,5 = 5

Médio 50 x 0,5 = 25

Alto 100 x 0,5 = 50

Baixo (0,1) Baixo 10 x 0,1 = 1

Baixo 50 x 0,1 = 5

Baixo 100 x 0,1 = 10

Pontuação da escala de risco:

Tabela 2 - Definição do nível de impacto

NÍVEL DEFINIÇÃO

Alto ● Perda significante dos principais ativos e recursos. • Perda da reputação, imagem e credibilidade ●Impossibilidade de continuar com as atividades de negócio

Médio ● Perda dos principais ativos e recursos ● Perda da reputação, imagem e credibilidade

Baixo ● Perda de alguns dos principais ativos e recursos ● Perda da reputação, imagem e credibilidade


● Alto - Pontuação entre 51 e 100 ● Médio - pontuação entre 11 e 50 ● Baixo - pontuação entre 1 e 10

Fonte: (Ferreira; Araújo 2008, p.179) Vírus

Para Moreira (2001, p.50), “Os vírus são programas que se inserem dentro de outros programas, fazendo com que, quando estes sejam executados, o vírus também o seja. Os vírus, quando executados, reproduzem-se, fazendo novas cópias de seu código.”

Segundo Moreira (2001, p.51) afirma que:

“Um Vírus, que hoje é encontrado no Japão, pode rapidamente infectar um microcomputador ou uma rede aqui no Brasil, bastando para tal, um simples e-mail com um arquivo contaminado, por exemplo: Anexos de mensagens recebidas via e-mail; arquivos infectados armazenados em servidores FTP; Arquivos recebidos via ICQ; disquetes; BBS; Newsgroups.”

Ainda, Moreira (2001, p.51), comenta que

existem basicamente três tipos de vírus: de programas, de macro e de sistema. Vírus de programa

Para o Moreira (2001, p.52) “Os vírus deste tipo atacam os arquivos executáveis (os aplicativos propriamente ditos). Afetam arquivos com extensões: ”.exe”, “.com”, etc. Quando se clica duas vezes em um ícone para abrir um programa, estamos disparando o trabalho de vários arquivos em cadeia.”

Ainda no pensamento de Moreira (2001,

p.52) destaca-se que: “O programa é carregado para a memória do computador e processado. Se ele estiver contaminado, pode infectar outros arquivos ou programas. Os aplicativos podem ficar alocados na memória após a execução ou liberados em seguida. Por isso, alguns vírus só atuam quando o programa contaminado estiver na memória. ” Vírus de macro

Para o Moreira (2001, p.52) “Os principais alvos dos vírus de macro são arquivos, .doc ou .xls, que são arquivos feitos em Word e Excel, pois carregam junto de si macros que são lidas por esses programas.”

Vírus de Sistema

Para Moreira (2001, p.52) relata que os:

“Os vírus de sistema se escondem em qualquer disquete e contaminam justamente o “boot”, comprometendo o funcionamento do Sistema

Operacional. Todas as vezes que o microcomputador infectado pelo vírus é ligado, este fica residente na memória, contaminando outros arquivos.” Antivírus

São programas com objetivo de proteger sistemas de informação, funciona como uma vacina virtual.

Para Ferreira; Araújo (2003, p.79) explica

que:

“A grande maioria dos problemas relacionados a incidentes de segurança em computadores pessoais é causado por programa maliciosos, dentro os quais estão os vírus (normais e de macro), os worms, os cavalos de Tróia e até mesmo simples instruções que, quando executadas no computador, destroem o sistema ou comprometem seu funcionamento.”

Norma NBR ISO/IEC 27002:2005 (ANTIGA NBR ISO/IEC 27002:2005)

Segundo a Norma (ABNT NBR ISO/IEC 27002:2005) “Estabelece diretriz e princípios gerais para iniciar, ou seja, implementar, manter e melhorar a gestão de segurança da informação em uma organização.”

Conforme, Ferreira; Araújo (2008, p.52)

afirma que:

“A (BSI) British Standard Instituto criou a norma BS 7799, considerada o mais completo padrão de gerenciamento da Segurança da Informação no mundo. Com ela era possível implementar um sistema de gestão de segurança baseado em controles definidos por normas e práticas internacionais.”

Ainda, conforme Ferreira; Araújo (2008,

p.52) afirma que:

“Em dezembro de 2000, a Parte 1 da BS 7799 tornou-se norma oficial da ISO sob o código ISO/IEC 17799. Em agosto do ano seguinte, o Brasil adotou essa norma ISO como seu padrão, por meio da ABNT, sob o código NBR ISO/IEC 17799. A norma ISO é rigorosamente idêntica à norma BS 7799. A norma brasileira é a tradução literal da norma ISO.”

Conforme, Ferreira (2008, p.53) destaca-

se que: “Segue a história da norma e sua evolução: 1995: publicada a primeira versão da BS 7799-1; 1998: publicada a primeira versão da BS 7799-2; 1999:


publicada a revisão da BS 7799-1; 2000: publicada a primeira versão da norma ISO/IEC 17799; 2001: publicada a primeira versão da norma no Brasil, NBR ISO/IEC 17799; 2002: publicada revisão da norma BS 7799 partes 2;2005: Agosto, publicada a segunda versão da norma no Brasil, NBR ISO/IEC 17799; Outubro: publicada a norma ISSO 27001; 2006: publicada a norma no Brasil, NBR ISO/IEC 27001; 2007: Julho; alterado apenas o nome da norma NBR ISO/IEC 17799 para NBR ISO/IEC 27002.” Estudo de Caso

Este trabalho tem como base o escritório da filial Ad Fashion Brasília, com o objetivo de buscar melhorias de segurança da informação, já que este escritório funciona como uma retaguarda das lojas existentes na cidade. A Instituição

Segundo o sitio na internet, a AD Fashion é uma marca considerada referência no varejo da indústria têxtil nacional. Foi fundada em 1984, na cidade do Rio de Janeiro, com o conceito de multimarca passou a ser chamada grife carioca AD. Com estilo espontâneo e cheio de atitude do homem contemporâneo, a AD fashion ganhou o Brasil com mais de 60 lojas distribuídas por 26 cidades de todas as regiões do país e nos principais shoppings do Brasil.

A marca acredita em no bem-estar que a

roupa proporciona e que vestir é principalmente um estado de espírito. É por isso que investe em tecidos naturais, no caimento que dá liberdade aos movimentos e busca transmitir através de suas coleções o desejo incansável de contemplar as melhores coisas da vida.

A filial Ad Fashion Brasília existe há 13 anos, atuando nos melhores shoppings da cidade tais como; Conjunto Nacional, Brasília Shopping, Boulevard Shopping, Shopping Pátio Brasil, Terraço Shopping etc. Levantamento do Ambiente Todas as informações levantadas no ambiente no escritório da filial AD Fashion Brasília para o seguimento de informática, foram fornecidas pelo responsável do C.P.D (Centro de

Processamento de Dados). Atualmente o escritório de administração da filial Ad Fashion Brasília é distribuído em uma sala comercial no shopping ID (figura 2), existindo uma separação de ambiente por Parede de Gesso (Drywall), ou seja, todos departamentos como: Administrativo, Financeiro, RH e Informática são juntos, misturados na respectiva sala.


No, escritório administrativo da filial AD

Fashion Brasília funciona em horário comercial, de segunda à sexta feira, horário totalmente diferente das lojas nos shoppings. A figura 4 abaixo, mostra a entrada principal do escritório e

a figura 5, mostra a recepção ou sala de espera;no escritório não tem recepcionista e ao adentrar não há controle de entrada. Ambas sem controle de acesso físico e sem sistema de monitoramento de câmaras

.


No momento, o escritório funciona com uma rede segmentada, fazendo o uso de dois switches (figura 6) interligando todos os computadores e os servidores em rede. Existe também um roteador wireless (figura 7) com o link de 25 Megabits de velocidade, contratado de um provedor para o acesso a Internet em toda rede do escritório.

Pode-se observar, na figura 6, a desorganização dos cabos de rede e energia dos switches, pois,

estão expostos e sem identificação, podendo ocorrer vários incidentes de segurança por esta vulnerabilidade.

No ambiente do escritório existe acesso a Internet wireless de uma forma protegida, mas como

mostra a figura 7, a senha fica exposta em cima do roteador. Com a senha disponível, qualquer pessoa com conhecimento, pode bloquear ou modificar a senha da rede prejudicando a navegação ou uso da internet.


No escritório da filial AD Fashion Brasília,

existe uma intranet básica e simples sem muita complexidade. Essa Intranet é mantida por 02 (dois Servidores (figura 8) sendo eles;

1 - Servidor de Arquivos e Dados -

Servidor usado para armazenar diversas informações como planilhas, recibos, pedidos de compras dos fornecedores, documentos digitalizados e etc.

2 - Servidor de Aplicativos - Servidor

responsável pelos serviços e aplicações do

software ISHOP e WSHOP, programa usado por todos os departamentos do escritório (Financeiro, RH, Administrativo e Informática) e nas lojas (Computador do Caixa). Toda a movimentação de vendas diárias nas lojas no seu fechamento é feita uma integração via web entre o Computador do Caixa na Loja e Servidor de Aplicação no Escritório. Com essa integração, o departamento administrativo consegue ter todas as informações e números necessários para a gestão desta filial, ou seja, passa a saber o quanto foi vendido, quantos clientes foram atendidos, quantas peças existem no estoque de todas as lojas.


Pode-se, também, observar dezenas de vulnerabilidades existentes ao redor dos servidores da filial AD Fashion Brasília, os servidores estão a amostra sem qualquer proteção, qualquer funcionário tem permissão para acesso e visualização a todas as informações dos servidores, a estrutura física do armário que sustenta os servidores é de madeira, com os cabos e fios amontoados sujeito a incêndio (Figura 8), o disco rígido externo para

backup fica exposto e desprotegido, além de estar no mesmo local físico dos servidores, outro agravante que se observa é que não existe no ambiente um extintor de incêndio.

As fiações elétricas no escritório estão expostas e na maioria das vezes soltas na parede de forma desorganizadas, risco evidente de interrupção por desconexão por acidente a esses cabos da rede elétrica, podendo causar até um incêndio por curto-circuito (figura 9).

Figura 9 - Fios e Cabos Amontoados e Expostos Outra vulnerabilidade importante, pode-se

observada, são os nobreaks (figura 10), esses equipamentos fazem toda alimentação de energia, de todos computadores no escritório. Todos se encontram no chão, um grande perigo ao fazer uma limpeza de rotina, principalmente,

caso tenha o contato com a água, além, de não terem autonomia suficiente para que os aplicativos e servidores sejam desligados, também por não serem gerenciáveis, em caso de falta de energia eles não desligam automaticamente os servidores.

Figura 10 - Nobreaks

Fonte: os autores

Fonte: os autores


Como mostra nas figuras 11 e 12, a seguir, milhares de documentos expostos sem proteção, com diversas informações da filial AD Fashion Brasília, de todos os departamentos como; administrativo, financeiro, relações humanas e logística sem as devidas medidas de segurança da informação.

Com este risco evidente, qualquer pessoa ao ter acesso do escritório, poderá destruir, extraviar documentos com informações de altíssima importância ou obter informações para fazer uso indevido, infringindo os pilares da segurança da informação como;

confidencialidade, integridade e disponibilidade. Onde se nota o mal arquivamento de informações. Onde precisariam de pen-drive ou outros suportes eletrônicos no ambiente para o arquivamento das informações.

No departamento financeiro, conforme mostra afigura 13 abaixo, existem dois computadores. Esses

computadores, através dos aplicativos bancários, são utilizados para realizar pagamentos de funcionários, duplicatas, transferências bancários e consulta financeira.


Foi observado que esses computadores

não possuem antivírus instalado e não existe nenhum firewall instalado, sendo assim, estes são ativos de grande importância desta empresa, mas sem nenhuma proteção adequada é segura, ficando propício e facilitando para uma invasão inesperada de crackers, que poderão roubar várias informações, principalmente financeira e causar prejuízos relevantes nesta filial.

É importante lembrar, como mostrado nas

figuras 12, 13 e 14 que os gabinetes dos computadores ficam expostos no chão, cabos

desorganizados e expostos, são vulnerabilidades presentes e existentes no escritório.

A figura 14 mostra a mesa do

responsável de TI (Tecnologia da Informação) da filial AD Fashion Brasília, ativos com informações expostas, documentos sobre as mesas desorganizadas e junto com alimentos e bebidas, sujeito a danos que poderá ser causado por acidentes. Nesta figura ocorrem muitos erros visíveis que não deveria acontecer num ambiente tão importante da empresa.

Os documentos expostos na mesa são relatórios que registram números e informações direcionados para gestão de todas as lojas nos shoppings, mostrando o quanto foi vendido

naquele período, quantos clientes foram atendidos, quantas peças existem no estoque de cada loja, essas informações segundo o


responsável de TI, foram extraídas do sistema Ishop, usado no escritório.

Observa-se na figura 15, outra

vulnerabilidade de grande risco encontrada na copa do escritório, uma torneira solta e pendurada na parede de gesso, e com registro de

vazamento de água, correndo o risco deste cano da torneira estourar por conta da pressão da água, provocando um enorme vazamento e alagamento em todo o escritório e por fim, destruir diversos ativos, como por exemplo; gabinetes de vários computadores, que estão no chão sem nenhuma proteção.

Acesso Lógico Toda rede de franquias das lojas AD Fashion no Brasil segue um padrão de sistemas, tanto para a retaguarda (escritório), quanto para lojas nos shoppings.

A plataforma deste sistema foi desenvolvida pela empresa Alterdata Software, que tem sede em Teresópolis - RJ. Na figura 16 abaixo, mostra um organograma para melhor entendimento. Sistema Ishop


Todos os usuários ou funcionários de cada departamento do escritório faz-se o uso do software Ishop. Neste sistema, foi observado que existe uma gama de recursos e funções para todos os departamentos como: financeiro, relações humanas, administrativo e logístico.

Figura 17 - Janela do ISHOP

Fonte: os autores Principais funções do Ishop;

• Entrada de Produtos no estoque para cada loja; • Analise e conferência de valores vendidos; • Alterações de preços dos produtos para venda; • Relatórios diversos; • Pedidos de compras; • Cadastro de produtos (Grade de Tamanho e Cores); • Comissão de vendedores, cotas de vendas dos gerentes e supervisor • Integração e importação de dados via web, exportados dos wshop nas lojas.

Sistema Wshop / Pdv Nas lojas, o software usado é o Wshop que visivelmente tem a mesma aparência do Ishop, mas com poucos recursos.

Figura 18 - Janela do Wshop

Fonte: os autores Principais funções do Wshop;

• Cadastro de clientes; • Pesquisa de preços; • Pesquisa de produtos em estoque; • Exportação da movimentação de vendas para o servidor Ishop. • Aplicativo PDV, usado para passar as vendas do cliente no caixa (figura19), vinculado ao Wshop.


Matriz de Risco - Análise do Estudo de Caso Segundo Ferreira; Araújo (2008, p. 179), a determinação do risco é obtida pela multiplicação da classificação da probabilidade de ocorrência versus o impacto na organização. A tabela 3 abaixo mostrará as avaliações dos níveis de riscos. Controle de Acesso Físico - Acessos a sala do Escritório Os riscos o acesso a sala de escritório encontra-se em uma probabilidade pequena perante a pesquisa feita conforme a tabela 4.


Perímetro de Segurança do Escritório Conforme a tabela 5 o perímetro de segurança do escritório com relações aos riscos e ameaças vulnerabilidade, encontra-se com uma probabilidade neutra perante a pesquisa.


Controle de Acesso Lógico Conforme a tabela 6 o controle de acesso lógico encontra-se com riscos e ameaças vulnerabilidade com uma probabilidade neutra perante a pesquisa.

Backup de Dados Conforme a tabela 7, o backup de dados com relações em riscos e ameaças vulnerabilidade encontra-se em uma probabilidade neutra perante a pesquisa.


Análise da Matriz de Risco e Vulnerabilidades Por fim a identificação dos riscos será apresentada a análise dos itens com explanação a norma ABNT NBR ISO/IEC 27002/2005. Matriz de Risco – Acesso Físico (Tabela 4) Item 1: Há algum controle com recepcionista na recepção para o acesso físico ao escritório na entrada e saída? Não existe qualquer balcão de recepção ou recepcionista. Aplicação da Norma ABNT NBR ISO/IEC 27002/2005 Perímetro de segurança física Convém que sejam utilizados perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionista) para proteger as áreas que contenham informações e instalações de processamento da informação. c) seja implantada uma área de recepção, ou outro meio para controlar o acesso físico ao local ou ao edifício; os acessos aos locais ou edifícios devem ficar restritos somente ao pessoal autorizado; Item 2: Existe um controle de identificação para visitantes com documento contendo foto e funcionários do escritório com crachá? Os funcionários colaboradores da empresa, bem como os terceirizados, ou, visitantes, parceiros e fornecedores não são obrigados a de identificarem ao entrar e ou transitar nas dependências da empresa. Aplicação da Norma ABNT NBR ISO/IEC 27002/2005 Controle de entrada física Convém que as áreas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso. c) seja exigido que todos os funcionários, fornecedores e terceiros, e todos os visitantes, tenham alguma forma visível de identificação, e eles devem avisar imediatamente o pessoal da segurança caso encontrem visitantes não acompanhados ou qualquer pessoa que não esteja usando uma identificação visível. Item 3: Existe um controle de registro com data e hora do acesso de visitantes no escritório? Não existe qualquer controle de visitantes.

Aplicação da Norma ABNT NBR ISO/IEC 27002/2005 Controle de entrada física a) A data e hora de entrada e saída de visitantes sejam registradas, e todos os visitantes sejam supervisionados, a não ser que seu acesso tenha sido previamente aprovado; convém que as permissões de acesso sejam concedidas somente para finalidades especificas e autorizadas, sejam emitidas com instruções sobre requisitos de segurança da área e os procedimentos de emergência; Matriz de Risco – Perímetro de segurança (Tabela 5) Item 1: Existe algum sistema de segurança por monitoramento de câmaras no escritório? Não existe qualquer sistema de monitoração por câmeras. Aplicação da Norma ABNT NBR ISO/IEC 27002/2005 Perímetro de segurança física f) sistemas adequados de detecção de intrusos, de acordo com normas regionais, nacionais e internacionais, sejam instalados e testados em intervalos regulares, e cubram todas as portas externas e janelas acessíveis; as áreas não ocupadas devem ser protegidas por alarmes o tempo todo; também deve ser dada proteção a outras áreas, por exemplo, salas de computadores ou salas de comunicações; Item 2: Existem extintores de incêndio posicionados corretamente no escritório? Não existem extintores de incêndio no escri tório, nem qualquer tipo de treinamento com procedimentos em caso de incêndio foi realizado com os colaboradores internos e externos. Aplicação da Norma ABNT NBR ISO/IEC 27002/2005 Proteção contra ameaças externas e do meio ambiente Convém que sejam projetadas e aplicadas proteção física contra incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e outras formas de desastres naturais ou causados pelo homem. a) os materiais perigosos ou combustíveis sejam armazenados a uma distância segura da área de segurança. Suprimentos em grande volume, como materiais de papelaria, não devem ser armazenados dentro de uma área segura;


c) os equipamentos apropriados de detecção e combate a incêndios sejam providenciados e posicionados corretamente; Item 3: Existem aparelhos de ar condicionado principalmente próximo dos servidores e no ambiente do escritório? Não existem aparelhos de ar condicionado próximos aos servidores. Aplicação da Norma ABNT NBR ISO/IEC 27002/2005 Instalação e proteção do equipamento f) as condições ambientais, como temperatura e umidade, sejam monitoradas para a detecção de condições que possam afetar negativamente os recursos de processamento da informação; Item 4: Existe desorganização no cabeamento de energia elétrica, rede e telefonia, sem isolamento adequado, ficando expostos? Os cabos elétricos, telefonia e redes são agrupados sem separação física por canaletas ou conduítes. Aplicação da Norma ABNT NBR ISO/IEC 27002/2005 Segurança do cabeamento Convém que o cabeamento de energia e de telecomunicações que transporta dado ou dá suporte aos serviços de informações seja protegido contra interceptação ou danos. a) as linhas de energia e de telecomunicações que entram nas instalações de processamento da informação sejam subterrâneas (ou fiquem abaixo do piso), sempre que possível ou recebam uma proteção alternativa adequada; b) cabeamento de redes seja protegido contra interceptação não autorizada ou danos, por exemplo, pelo uso de conduítes ou evitando trajetos que passem por áreas públicas; c) os cabos de energia sejam segregados dos cabos de comunicações, para evitar interferências; d) nos cabos e nos equipamentos, sejam utilizadas marcações claramente identificáveis, a fim de minimizar erros de manuseio, como, por exemplo, fazer de forma acidental conexões erradas em cabos de rede; Item 5: Os gabinetes, estabilizadores e no-breaks encontram-se no chão? Os gabinetes, estabilizadores e no-breaks, não possuem qualquer suporte, todos estão no chão. Aplicação da Norma ABNT NBR ISO/IEC 27002/2005 Instalação e proteção do equipamento

Convém que os equipamentos sejam colocados no local ou protegidos para reduzir os riscos de ameaças e perigos do meio ambiente, bem como as oportunidades de acesso não autorizado; a) Os equipamentos sejam colocados no local, a fim de minimizar o acesso desnecessário as áreas do trabalho; Item 6: Nas prateleiras de arquivamento e armários de arquivos, existem trancas ou fechaduras? Não existem quaisquer controles de trancas ou fechaduras aos armários de documentos e arquivos, tornando documentos importantes vulneráveis a todas as pessoas que transitam no escritório. Aplicação da Norma ABNT NBR ISO/IEC 27002/2005 Procedimento para tratamento da informação Convém que sejam estabelecidos para o tratamento e o armazenamento de informações, para proteger tais informações contra a divulgação não autorizada ou uso indevido; a) tratamento e identificação de todos os meios magnéticos indicando o nível de classificação; b) restrições de acesso para prevenir o acesso de pessoas não autorizadas; c) manutenção de um registro formal dos destinatários de dados autorizados; Informações adicionais: Estes procedimentos são aplicados para informações em documentos, sistemas de computadores, redes de computadores, computação móvel, comunicação móvel, correio eletrônico, correio de voz, comunicação de voz em geral, multimídia, serviços postais, uso de máquinas de fax e qualquer outro item sensível, como, por exemplo, cheques em branco e faturas. Item 7: Os funcionários são orientados para não comer, beber, ou fumar próximo dos equipamentos? Não existem quaisquer orientações para os funcionários não realizarem suas refeições em suas estações de trabalho, é bastante comum as pessoas comerem e beberem enquanto trabalham Aplicação da Norma ABNT NBR ISO/IEC 27002/2005 Instalação e proteção do equipamento


d) sejam estabelecidas diretrizes quanto a comer, beber e fumar nas proximidades das instalações de processamento da informação; Matriz de Risco – acesso lógico (Tabela 6) Item 1: Nos computadores e servidores do escritório, existem antivírus, firewall instalados? Não existem antivírus instalados e não possui firewall Aplicação da Norma ABNT NBR ISO/IEC 27002/2005 Controles contra códigos maliciosos a) estabelecer uma política formal proibindo o uso de softwares não autorizados; d) instalar e atualizar regularmente softwares de detecção e remoção de códigos maliciosos para o exame de computadores e mídias magnéticas, de forma preventiva ou de forma rotineira; Item 2: Os funcionários do escritório são orientados sobre o sigilo de contas e senhas pois são de uso pessoal e no primeiro acesso a senha é trocada pelo funcionário? Não são orientados a trocar senha, não existe política local para troca de senha. Aplicação da Norma ABNT NBR ISO/IEC 27002/2005 Gerenciamento de senha do usuário Convém que a concessão de senhas seja controlada através de um processo de gerenciamento formal. a) Solicitara os usuários assinatura de uma declaração, para manter a confidencialidade de sua senha pessoal e das senhas do grupo de trabalho, exclusivamente com os membros do grupo; esta declaração assinada pode ser incluída nos termos e condições da contração; b) Senhas temporárias sejam únicas para uma pessoa e não sejam fáceis de serem adivinhadas; Item 3: Existem login e senha para acesso aos servidores, rede e sistema do escritório? Aplicação da Norma ABNT NBR ISO/IEC 27002/2005 Gerenciamento de senha do usuário Convém que os usuários somente recebam acesso para os serviços que tenham sido especificamente autorizados a usar. Item 4: A senha da conexão de internet sem fio (wireless)fica exposta no escritório?

Aplicação da Norma ABNT NBR ISO/IEC 27002/2005 Gerenciamento de senha do usuário Matriz de Risco – backup de dados (Tabela 7) Item 1: É realizado backup de forma periódica no escritório? Não é realizado backup semanal de alguns arquivos. Aplicação da Norma ABNT NBR ISO/IEC 27002/2005 Cópias de segurança das informações Convém que as cópias de segurança das informações e dos softwares sejam efetuadas e testadas regularmente conforme política de geração de cópias de segurança definida. Convém que recursos adequados para geração de cópias de segurança sejam disponibilizados para garantir que toda informação e software essenciais possam ser recuperados após um desastre ou falha de uma mídia. b) produção de registros completos e exatos das copias de segurança e documentação apropriada sobre os procedimentos de restauração da informação; Item 2: E realizado testes do conteúdo do backup verificando se o mesmo foi realizado de forma correta? Não é realizado teste de backup. Aplicação da Norma ABNT NBR ISO/IEC 27002/2005 Cópias de segurança das informações Convém que as cópias de segurança das informações e dos softwares sejam efetuadas e testadas regularmente conforme política de geração de cópias de segurança definida. f) as mídias de copias de segurança sejam testadas regularmente para garantir que elas são suficientemente confiáveis para uso de emergência, quando necessário; g) os procedimentos de recuperação sejam verificados e testados regularmente, de forma a garantir que estes são efetivos e que podem ser concluídos dentro dos prazos definidos nos procedimentos operacionais de recuperação;


Item 3: O Conteúdo do backup é armazenado em local seguro e em uma área externa do escritório? Não o conteúdo do backup é salvo no s mesmos servidores onde rodam os sistemas. Aplicação da Norma ABNT NBR ISO/IEC 27002/2005 Cópias de segurança das informações d) as copias de segurança sejam armazenadas em uma localidade remota, a uma distância suficiente para escapar dos danos de um desastre ocorrido no local principal; Proposta de Política de Segurança da Informação

Objetivo da Política

Proporcionar ao escritório da filial AD Fashion Brasília, medidas e fatores de segurança a serem adotado, orientando e conscientizando todos os funcionários do escritório, visando diminuir os riscos e vulnerabilidades existentes, com conceitos sobre as melhores práticas de segurança da Informação com base na norma ABNTNBR ISO/IEC 27005:2005. Que rege as aplicações das regras e todas as recomendações dos controles a serem aplicados.

Campo de Aplicação

A proposta da política de segurança da Informação será aplicada à todos os setores do escritório como; administrativo, financeiro, setor de relações humanas, logística e informática. Diretrizes de Segurança As diretrizes de segurança de informação do escritório da filial AD Fashion Brasília são as seguintes: Controle do Acesso físico a) Deve ser instalado um balcão na recepção com recepcionista, a fim deformar uma barreira para abordagem de funcionários e visitantes, fazendo o controle de entrada e saída, protegendo a área do escritório. b) Será imposta a identificação de qualquer pessoa na recepção do escritório; se for visitante, será exigido qualquer documento com foto para cadastro; se for funcionário, será obrigatório o uso do crachá. c) Deve ser registradas a data e hora, incluindo entrada e saída para o acesso de visitantes no escritório. Perímetro de Segurança Física

a) Deve ser instalado um sistema de segurança por de câmaras, em todo o escritório monitorando todos os departamentos, principalmente na entrada da filial AD Fashion Brasília. b) Devem ser instalados extintores de incêndio ao ambiente do escritório, o posicionamento deverá ser de maneira que não fique superior a uma altura de 1,5m do chão, sendo sinalizados de forma correta e visíveis. c) Deve ser instalados aparelhos de ar condicionado em todo escritório, principalmente para garantir uma temperatura ambiente próximo aos servidores, e evitar possíveis danos aos equipamentos e perdas de informação. d) Devem ser instaladas de forma adequada as instalações de energia, telecomunicações e cabos de redes, adotando medidas de identificação e isolamentos adequados, de forma organizada e protegendo de curto-circuito. e) Deve ser colocado em prática medidas de segurança, na qual os equipamentos sejam colocados em local seguro e protegidos, evitando os riscos de ameaças e perigo do ambiente de trabalho, colocando sempre proteção nos cabos de energias, evitando gambiarras evitando assim curtos elétricos no ambiente, revendo o local onde os gabinetes e estabilizadores estão sendo colocados

f) Devem ser instalados nas prateleiras de arquivamento e nos armários de arquivos, um sistema de segurança que se possa trancar com trancas ou fechaduras para proteger as informações evitando que fiquem facilmente acessíveis ao público. Tendo também estas informações salvas em pen-drive para facilitar os registros das informações e o meio impresso. g). Deve ser proibido qualquer funcionário do escritório, comer, beber ou fumar próximo aos equipamentos de processamentos de dados, evitando possíveis acidentes com os mesmos. Mantendo sempre a mesa limpa e organizada para o manuseio do trabalho, mantendo os pertences dos funcionários em locais adequados, ter uma lixeira de tampa evitando assim que caia algum documento ou material de trabalho. Controle de acesso lógico

a) Deve ser instalados controles de segurança para prevenção, detecção e proteção das informações como; antivírus e firewall em todos os computadores e servidores do escritório.

• O antivírus instalado, deverá ter sua licença paga e não gratuita.


• O antivírus deve ser sempre atualizado, para manter sua eficiência. • O firewall deve ser sempre ativado para controlar todo o tráfego das informações em toda rede. b). Deve-se orientado aos funcionários do escritório, que todas as contas e senhas de acesso, são de uso pessoal ao primeiro acesso, trocar a senha e guardá-la em sigilo. c). Para o acesso aos servidores, rede e sistemas do escritório devem ser necessários login e senha. d). Deve-se proibir o acesso não autorizado da internet sem fio wireless, não deixando exposta a senha de conexão, garantindo a disponibilidade aos serviços da rede e computadores e servidores conectados.

Backup de dados

a) Devem ser realizados diariamente ao final do expediente uma cópia de segurança de todas as informações do dia ou backup de todas as informações dos servidores do escritório. b) Devem ser realizados testes das informações copiadas afim de verificar se foi feito de forma correta.

c) Todo o conteúdo do backup deve ser armazenado em local seguro e também numa área externa no escritório. CONCLUSÃO

Pode-se concluir que uma política de segurança e a tecnologia é a principal ferramenta de crescimento de uma organização.

O desenvolvimento da política de

segurança no escritório da filial AD Fashion Brasília, perceber-se a aproximação da teoria e prática, na qual o aspecto teórico está baseado com os aspectos reais, levantados e identificados no ambiente do escritório.

Cabe as empresas adotarem estratégia o

uso das melhores práticas de segurança incluindo o aperfeiçoamento de seus funcionários e diretores, conhecimento das ações estabelecidas através de uma excelente política de segurança.

Para a filial AD Fashion Brasília, entende-

se que a política de segurança da Informação seja aplicável e de grande importância, apesar de anteriormente a empresa não tem uma política documentada e muito menos conhecimento dos benefícios desta ferramenta, trabalham apoiado em um bom senso. No entanto a empresa agora tem tudo para se adaptar aos padrões de

segurança relatados nesta monografia. AGRADECIMENTOS

Agradecemos primeiramente a Deus, por todo direcionamento em nossas vidas, a todos os nossos familiares, em especial aos nossos pais, companheiras, pelo apoio e incentivo durante esse tempo de muito sacrifício.

Não podemos esquecer-nos do nosso

orientador professor mestre Cid Cintra por compartilhar seu conhecimento e incentivo durante este período acadêmico, e aos demais professores pelo enriquecimento e evolução pessoal e profissional que nos permitiram transformar ao longo desses anos.

Muito obrigado! Referências ABNT - ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, NBR ISO/IEC 27002: Tecnologia da Informação, Técnicas de segurança, código de prática para gestão da segurança da informação. 2ed., 2005 120p. DANTAS, Marcus Leal. Segurança da Informação: uma abordagem focada em gestão de Riscos: Olinda, 2011, 152p. FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de Araújo; Política de Segurança da Informação: guia prático para elaboração e implementação. Rio de Janeiro: Ciência Moderna, 2008, 259p. SÊMOLA, Marcos. Gestão da Segurança da informação: uma visão executiva; 12 ed. Rio de Janeiro: Elservier, 2003. 156p. MOREIRA, Nilton Stringasci. Segurança Mínima – visão corporativa da Segurança da Informação. Rio de Janeiro: Axcel Books, 2001. 240p. LYRA, Maurício Rocha. Segurança e Auditoria em Sistemas de Informação. Rio de Janeiro: Ed. Ciência Moderna, 2008. 253p.


Documents

PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO …nippromove.hospedagemdesites.ws/anais_simposio/...funções de software e hardware. Estes controles precisam ser estabelecidos,