SUMÁRIO CAPÍTULO I APRESENTAÇÃO 3 CAPÍTULO II ... · 1.4 Metodologia ... a proposta de política de segurança da informação e conclusão. No referencial teórico foram listadas

1

SUMÁRIO

CAPÍTULO I – APRESENTAÇÃO .............................................................................. 3

1.1 Introdução ......................................................................................................... 3

1.2 Justificativa ........................................................................................................ 3

1.3 Objetivos .......................................................................................................... 4

1.3.1 Objetivo geral .................................................................................................... 4

1.3.2 Objetivos específicos......................................................................................... 4

1.4 Metodologia ....................................................................................................... 4

CAPÍTULO II - REFERENCIAL TEÓRICO ................................................................. 6

2.1 Informação ............................................................................................................ 6

2.2 Segurança da informação ..................................................................................... 7

2.3 Conceitos associados a segurança da informação ............................................... 8

2.3.1 Ativo ................................................................................................................... 8

2.3.2 Classificações dos ativos de informação ............................................................ 9

2.3.3 Risco ................................................................................................................ 11

2.3.4 Vunerabilidade ................................................................................................. 11

2.3.5 Ameaça ............................................................................................................ 12

2.3.6 Ataque .............................................................................................................. 13

2.3.7 Matriz de risco .................................................................................................. 14

2.3.8 Segurança do ambiente físico .......................................................................... 16

2.3.9 Perímetro físico ................................................................................................ 17

2.3.10 Segurança do ambiente lógico ....................................................................... 17

2.4 Política de segurança da informação .................................................................. 19

2.4.1 Objetivos da política de segurança da informação ........................................... 20

CAPÍTULO III – ESTUDO DE CASO ........................................................................ 21

3.1 A empresa ........................................................................................................... 21

3.1.1 O Departamento de Tecnologia da Informação (DTI) ...................................... 23

3.1.1.1 Principais atribuições do DTI ......................................................................... 24

3.1.1.2 A estrutura do DTI ......................................................................................... 24

3.1.1.3 Aspectos relacionados a segurança física do DTI ......................................... 26

3.1.1.4 Aspectos relacionados a segurança lógica do DTI ........................................ 33

3.1.2 Matriz de risco .................................................................................................. 34

3.1.2.1 Matriz de risco – segurança física ................................................................. 35

2

3.1.2.2 Matriz de risco – segurança lógica ................................................................ 36

3.1.7 Análise da matriz de risco ................................................................................ 37

CAPÍTULO IV – PROPOSTA DE POLÍTICA DE SEGURANÇA .............................. 49

4.1 Título da política .................................................................................................. 49

4.2 Instituição a que se destina ................................................................................. 49

4.3 Objetivo da política .............................................................................................. 50

4.4 Abrangência da política ....................................................................................... 50

4.5 Definições básicas da política ............................................................................. 50

4.6 Referências ......................................................................................................... 51

4.7 Diretrizes da política ............................................................................................ 51

4.7.1 Segurança física ............................................................................................... 51

4.7.2 Segurança lógica .............................................................................................. 52

4.8 Conformidade ...................................................................................................... 53

4.9 Penalidade .......................................................................................................... 53

4.10 Disposições gerais ............................................................................................ 53

CAPÍTULO V -

CONCLUSÃO.............................................................................................52

Referências ............................................................................................................... 55

3

CAPÍTULO I – APRESENTAÇÃO

1.1 INTRODUÇÃO

O ato de organizar dados importantes para o bom funcionamento da

organização, transforma o futuro da mesma. Uma política de segurança da

informação, se bem implementada e seguida à risca, reduz os riscos da instituição e

o nível de estresse do proprietário.

A velocidade e alcance da informação nos dias atuais, causa problemas para

quem necessita armazenar, editar, receber e enviar informações; o grande número

de dados gerados se mal organizados podem comprometer a continuidade dos

negócios.

Visando o bom andamento dos negócios, o presente trabalho apresenta uma

proposta de política de segurança da informação para o Departamento de

Tecnologia da Informação (DTI) das Faculdades ICESP / PROMOVE de Brasília

com base na Norma ABNT NBR ISO/IEC 27002:2005.

Está estruturado em cinco capítulos, apresentação, referencial teórico, estudo

de caso, a proposta de política de segurança da informação e conclusão. No

referencial teórico foram listadas as fontes literárias.

O estudo de caso ilustra o funcionamento e estrutura da instituição e do DTI,

aspectos físicos e lógicos, matriz de risco e análise da mesma.

No quarto capítulo, são listados os itens em desacordo e a aplicação da norma

corrigindo-os.

O quinto capítulo trata da conclusão.

1.2 JUSTIFICATIVA

O crescimento das Faculdades ICESP / PROMOVE de Brasília campus Guará

resultou em aumento da quantidade de dados armazenados e gerados no

4

Departamento de Tecnologia Informação, a necessidade da organização de dados e

procedimentos é nítida.

A implantação da política de segurança da informação se faz necessária para a

continuidade do serviço do DTI. Com a rotina que será implantada, a localização de

documentos e informações se tornará mais dinâmica, perdas, extravios e erros de

comunicação serão evitados e os riscos diminuídos ao máximo.

1.3 OBJETIVOS

1.3.1 OBJETIVO GERAL

Propor uma política de segurança da informação física e lógica para o

Departamento de Tecnologia da Informação – DTI – das Faculdades ICESP /

PROMOVE de Brasília com base na Norma ABNT NBR ISO/IEC 27002:2005.

1.3.2 OBJETIVOS ESPECÍFICOS

Realizar pesquisa bibliográfica sobre política de segurança da informação.

Identificar os ativos da empresa.

Analisar o ambiente, identificando possíveis vulnerabilidades.

Elaborar proposta de política de segurança da informação, com base na

Norma ABNT NBR ISO/IEC 27002:2005.

1.4 METODOLOGIA

Essa política foi elaborada utilizando-se dos seguintes procedimentos

metodológicos:

a) Pesquisa e análise literária em livros e artigos de Internet.

5

b) Conhecimento do local, identificando vulnerabilidade, ativos seus

respectivos valores para a instituição.

c) Elaboração de matriz, construída a partir de pesquisa descritiva e

bibliográfica, estudo de caso e informações do local, definindo riscos,

probabilidades e impactos que acontecimentos imprevistos causariam a

instituição.

d) Elaboração da política de segurança da informação física e lógica,

embasada na análise de todas as informações levantadas e na Norma

ABNT NBR ISO/IEC 27002:2005.

6

CAPÍTULO II - REFERENCIAL TEÓRICO

2.1 INFORMAÇÃO

A informação é o principal ativo de valor de uma organização, e está

constantemente em risco.

Segundo Ferreira (2003) informação é o conjunto organizado de dados que

como qualquer outro ativo importante tem valor. Desta forma, entende-se que

através da informação pode-se buscar e adquirir conhecimentos que embasem

tomadas de decisões e resoluções de problemas.

Para Fontes (2006) a definição de informação não diverge de Ferreira (2003),

no entanto, ele ainda afirma que a transmissão, o armazenamento e processamento

da informação devem ser protegidos, pois a informação é de grande importância, e

na ausência da mesma, a organização não realiza seu negócio.

Conforme a Norma ABNT NBR ISO/IEC 27002 (2005), a informação é um

ativo, que como qualquer outro ativo importante, é essencial para os negócios de

uma organização e consequentemente necessita ser adequadamente protegida. Isto

é especialmente importante no ambiente dos negócios, cada vez mais

interconectado. Com o resultado deste incrível aumento da interconectividade, a

informação está agora exposta a um crescente número e a uma grande variedade

de ameaças e vulnerabilidades.

“A informação representa a inteligência competitiva dos negócios e é

reconhecida como ativo crítico para continuidade operacional e saúde da empresa.”

SÊMOLA (2003, p.39).

Ainda de acordo com a Norma ABNT NBR ISO/IEC 27002 (2005, p. x):

A informação pode existir em diversas formas, ela pode ser impressa

ou escrita em papel, armazenada eletronicamente, transmitida pelo

correio ou meios eletrônicos, apresentada em filmes ou falada em

conversas.

7

2.2 SEGURANÇA DA INFORMAÇÃO

A informação nos dias atuais é vista como um dos principais motivos da

continuidade de uma empresa, sendo assim, a segurança da informação é um

conjunto de métodos, recursos e normas que atuando em conjunto garantem a

confidencialidade, integridade e disponibilidade visando interromper ou mitigar os

riscos junto aos negócios da empresa.

Para Ferreira (2003, p. 21),

A segurança da informação é a proteção dos dados contra divulgação acidental ou intencional, modificação não autorizada ou destruição. A informação será protegida tendo como princípio seu valor para a organização, confidencialidade e o risco de perda ou seu comprometimento.

Conforme Fontes (2006), a segurança da informação evita a perda da

informação ou o uso incorreto da mesma, acarretando o comprometimento do

negócio e retorno dos acionistas. Todos os usuários da informação na corporação

devem estar cientes da importância da segurança da informação e colaborarem para

que a mesma aconteça.

De acordo com a Norma ABNT NBR ISO/IEC 27002(2005, p. x):

Segurança da informação é a proteção da informação de vários tipos de

ameaças para garantir a continuidade do negócio, minimizar o risco ao

negócio, maximizar o retorno sobre os investimentos e as oportunidades de

negócio.

Os três conceitos da segurança da informação, confidencialidade, integridade

e disponibilidade, são descritos a seguir por Sêmola (2003, p. 45):

Confidencialidade – toda a informação deve ser protegida de acordo com o grau de sigilo de seu conteúdo, visando a limitação de seu acesso e uso apenas às pessoas para quem elas são destinadas.

Integridade – toda informação deve ser mantida na mesma condição em que foi disponibilizada pelo seu proprietário, visando protegê-las contra alterações indevidas, intencionais ou acidentais.

8

Disponibilidade – toda informação gerada ou adquirida por um indivíduo ou instituição deve estar disponível aos seus usuários no momento em que os mesmos delas necessitem para qualquer finalidade.

Ainda em Sêmola (2003, p. 45), associados aos três conceitos de segurança da informação considera-se:

Autorização – Concessão de uma permissão para o acesso às informações e funcionalidades das aplicações aos participantes de um processo de troca de informações (usuário ou máquina), após a correta identificação e autenticação dos mesmos.

Auditoria – processo de coleta de evidências de uso dos recursos existentes, afim de identificar as entidades envolvidas num processo de troca de informações, ou seja, a origem, destino e meios de tráfego de uma informação.

Autenticidade – garantia de que as entidades (informação, máquinas, usuários) identificadas em um processo de comunicação como remetentes ou autores sejam exatamente o que dizem ser e que a mensagem ou informação não foi alterada após o seu envio ou validação. Normalmente, o termo autenticidade é utilizado no contexto da certificação digital, onde recursos de criptografia e hash são utilizados para atribuir um rótulo de identificação às mensagens ou arquivos enviados entre membros de uma infraestrutura de chave pública, visando garantir os princípios/aspectos de: originalidade, integridade e confidencialidade.

2.3 CONCEITOS ASSOCIADOS À SEGURANÇA DA INFORMAÇÃO

2.3.1 ATIVO

É qualquer bem que a empresa possui e acima de todos está a informação,

que por sua vez deve ser protegida corretamente para que se obtenha a

continuidade dos negócios.

Para Moreira (2001 p. 20):

Ativo é tudo que manipula direta ou indiretamente uma informação, inclusive

a própria informação, dentro de uma organização, e é isso que deve ser

protegido contra ameaças para que o negócio funcione corretamente.

Sêmola (2003, p. 45) afirma que ativo é todo elemento quem compõe os

processos que manipulam a informação, a contar a própria informação, o meio em

9

que ela é armazenada, os equipamentos em que ela é manuseada, transportada e

descartada.

Conforme a Norma ABNT NBR ISO/IEC 27002 (2005, p.21), há vários tipos

de ativos, como:

a) Ativos de Informação: base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas;

b) Ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;

c) Ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos;

d) Serviços: serviços de computação e comunicações, utilidades gerais; e) Pessoas e suas qualificações: habilidades e experiências;

f) Intangíveis: reputação e a imagem da organização;

Segundo Moreira (2001, p.20):

Uma alteração, destruição, erro ou indisponibilidade de algum dos ativos pode comprometer os sistemas, e por conseguinte, o bom funcionamento das atividades de uma empresa. Portanto, um dos passos da análise de risco é o de identificar todas as coisas que podem ser afetadas por um problema de segurança e que, neste caos, precisam ser protegidas.

2.3.2 CLASSIFICAÇÕES DOS ATIVOS DE INFORMAÇÕES

Para definir precisamente o valor dos ativos de informação para a

organização, é necessário que se classifique os ativos. Com o efeito dessa

classificação, consegue-se discernir qual ativo tem mais valor e assim, adequar

métodos e procedimentos de segurança para a proteção dos ativos.

Para Ferreira; Araújo (2008, p. 78)

A classificação da informação é o processo de estabelecer o grau de importância das informações mediante seu impacto no negócio, ou seja, quanto mais estratégica e decisiva para a manutenção ou sucesso da organização, maior será sua importância. A classificação deve ser realizada a todo instante, em qualquer meio de armazenamento. Existem regras que devem ser consideradas durante a classificação e a principal delas é a determinação de proprietários para todas as informações, sendo este o responsável por auxiliar na escolha do meio de proteção.

10

De acordo com a Norma ABNT NBR ISO/IEC 27002(2005, p.23)

Convém que a classificação da informação e seus respectivos controles de proteção levem em consideração as necessidades de negócios para compartilhamento ou restrição de informações e os respectivos impactos nos negócios, associados com tais necessidades.

Convém que as diretrizes para a classificação incluam convenções para classificação inicial e reclassificação ao longo do tempo, de acordo com algumas políticas de controle de acesso predeterminadas.

Convém que cuidados sejam tomados com a quantidade de categorias de classificação e com os benefícios obtidos pelo seu uso. Esquemas excessivamente complexos podem tornar o uso incômodo e ser inviáveis economicamente ou impraticáveis.

Convém que a atenção especial seja dada na interpretação dos rótulos de classificação sobre documentos de outras organizações, que podem ter definições diferentes para rótulos iguais ou semelhantes aos usados.

Segundo Ferreira e Araújo (2008, p. 78 e 79) para estruturar e classificar os ativos de informação, pode-se usar o modelo o ilustrado no Quadro 1, abaixo:

Quadro 1: Inventário de ativos

NATUREZA DO ATIVO ATIVOS DA INFORMAÇÃO

Informação

Banco de dados e arquivos magnéticos Documentação de sistemas e manuais de usuário Material de treinamento Procedimentos operacionais de recuperação Planos de continuidade

Documentos em papel Contratos Documentação de empresa Relatórios confidenciais

Software

Aplicativos Sistemas Operacionais Ferramentas de Desenvolvimento Utilitários do Sistema

Físico

Servidores, desktops e notebooks Impressoras e copiadoras Equipamentos de comunicação Mídias magnéticas Gerador, no-breaks e ar-condicionado Móveis, prédios e salas

Pessoa Empregados, estagiários, terceiros e fornecedores

Serviço ou atividade

Computação (aplicação de patches, backup) Comunicação (ligações telefônicas, videoconferências) Utilidades gerais

11

Conforme Norma ABNT NBR ISO/IEC 27002 (2005, p. 21)

Convém que a organização identifique todos os ativos e documente a importância destes ativos.

Convém que o inventário do ativo inclua todas as informações necessárias que permitam recuperar de um desastre, incluindo o tipo do ativo, formato, localização, informações sobre cópias de segurança, informações sobre licenças e a importância do ativo para o negócio.

Convém que o inventário não duplique outros inventários desnecessariamente, porém ele deve assegurar que o seu conteúdo está coerente.

2.3.3 RISCO

É qualquer evento que ao ser explorado pelas vulnerabilidades traga

prejuízos aos negócios da empresa.

De acordo com Ferreira; Araújo (2008, p.163): “Risco trata-se de um possível

evento/ação que, se efetivado, gera um impacto negativo, em função da exploração

da fraqueza/vulnerabilidade, considerando tanto a probabilidade quanto o impacto

de ocorrência.”

Para Sêmola, (2003 p. 50): “Risco é a probabilidade de ameaças explorarem

vulnerabilidades, provocando perdas de confidencialidade, integridade e

disponibilidade, causando possivelmente, impactos ao negócio.”

“Combinação da probabilidade de um evento e de suas consequências.”

(ABNT NBR ISO/IEC 27002 ,2005, p. 22).

2.3.4 VULNERABILIDADE

É o ponto fraco de um ativo de informação, explorado por um agente

malicioso, afetando negativamente os princípios básicos de segurança da

informação.

12

Para Moreira (2001, p.22):

A vulnerabilidade é o ponto onde qualquer sistema é suscetível a um ataque, ou seja, é uma condição encontrada em determinados recursos, processos, configurações e etc. Condição causada muitas vezes pela ausência ou ineficiência das medidas de proteção utilizadas com intuito de salvaguardar os bens da empresa.

As vulnerabilidades por si só não causam incidentes, pois necessitam de

condições favoráveis, como as ameaças.

Em Sêmola (2003, p. 48):

Fragilidade presente ou associada a ativos que manipulam e/ou processam informações que, ao ser explorada por ameaças, permite a ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios da segurança da informação: confidencialidade, integridade e disponibilidade.

2.3.5 AMEAÇA

É a oportunidade que um agente malicioso ou um evento qualquer tem de

explorar uma vulnerabilidade de forma bem sucedida.

De acordo com Ferreira; Araújo (2008, p. 171): “Ameaça é a possibilidade de

um invasor ou evento inesperado explorar uma vulnerabilidade de forma eficaz.”

Para Sêmola (2003, p. 47 e 48):

Ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidade, provocando perdas de confidencialidade, integridade e disponibilidade e, consequentemente, causando impactos aos negócios de uma organização.

Classificando as ameaças quanto a sua intencionalidade, elas podem ser divididas nos seguintes grupos:

Naturais – Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremoto, tempestades eletromagnéticas, maremotos, aquecimento, poluição etc.

Involuntárias – Ameaças inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causadas por acidentes, erros, falta de energia etc.

Voluntárias – Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários.

13

2.3.6 ATAQUE

“São tipos de problemas de segurança caracterizado pela existência de um

agente que busca obter algum tipo de retorno, atingindo algum tipo de valor. O

retorno pode ser financeiro ou não.” (Ribeiro, 2002, p. 4).

Segundo Ferreira, Araújo (2008, p.172):

Um ataque pode ser uma tentativa maliciosa de obter acesso não autorizado a um sistema podendo comprometer a confidencialidade, integridade e disponibilidade das informações ou somente para obtenção de acesso para efetuar algum tipo de consulta ou suporte, mas burlando a segurança.

Em Sêmola (2003 p. 50):

Fato (evento) decorrente da ação, que explora uma ou mais vulnerabilidades, levando à perda de princípios da segurança da informação: confidencialidade, integridade e disponibilidade. Um incidente gera impactos aos processos de negócio da empresa sendo ele o elemento a ser evitado em uma cadeia de gestão de processos e pessoas.

“Os motivos que levam os atacantes a desferir ataques na Internet são

bastante diversos, variando da simples diversão até a realização de ações

criminosas. Alguns exemplos de acordo com a CARTILHA CERT.BR (2012, p. 17 e

18) são:

Demonstração de poder: mostrar a uma empresa que ela pode ser invadida ou ter os serviços suspensos e, assim, tentar vender serviços ou chantageá-la para que o ataque não ocorra novamente;

Prestígio: vangloriar-se, perante outros atacantes, por ter conseguido invadir computadores, tornar serviços inacessíveis ou desfigurar sites considerados visados ou difíceis de serem atacados;

Disputar com outros atacantes ou grupos de atacantes para revelar quem conseguir realizar o maior número de ataques ou ser o primeiro a conseguir atingir um determinado alvo;

Motivações financeiras: coletar e utilizar informações confidenciais de usuários para aplicar golpes;

Motivações ideológicas: tornar inacessível ou invadir sites que divulguem conteúdo contrário a opinião do atacante; divulgar mensagens de apoio ou contrárias a uma determinada ideologia;

14

2.3.7 MATRIZ DE RISCO

“A melhor forma de determinar o grau de risco é relacionar em detalhes quais

seriam os impactos para a organização, se uma ameaça conseguir explorar uma

vulnerabilidade.” (FERREIRA; ARAUJO, 2008, p.177).

Para Sêmola (2003, p. 112)

Calculada a probabilidade e severidade de uma ameaça explorar cada uma das vulnerabilidades encontradas em cada ativo, obtemos o nível de risco final de cada ativo. De posse desses resultados parciais, podemos projetar o nível de risco de cada processo de negócio, considerando os riscos de cada ativo que o sustenta. A partir desse momento, podemos estimar o risco do negócio como um todo, calculando de forma ponderada os riscos de cada um dos processos de negócio que o suporta.

A seguir o quadro de definição de nível de probabilidade:

Quadro 2: Definição do nível de probabilidade

NÍVEL DEFINIÇÃO

Alto A fonte de ameaça está altamente motivada e possui conhecimento suficiente para execução do ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada são ineficazes.

Médio A fonte de ameaça está motivada e possui conhecimento suficiente para execução do ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada são eficazes.

Baixo

A fonte de ameaça não está altamente motivada e não possui conhecimento suficiente para execução do ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada são eficazes.

Fonte: Ferreira; Araújo (2008, p. 177)

O quadro de definição de nível de impacto:

Quadro 3: Definição do nível de impacto

NÍVEL DEFINIÇÃO

Alto Perda significante dos principais ativos e recursos.

Perda da reputação, imagem e credibilidade.

15

Impossibilidade de continuar com as atividades de negócio.

Médio Perda dos principais ativos e recursos.


Baixo Perda de alguns dos principais ativos e recursos.



Segundo Ferreira; Araújo (2008, p.179), e como pode ser visto no quadro 4 a

determinação do risco é obtida pela multiplicação da classificação da probabilidade

de ocorrência versus o impacto da organização.

Quadro 4: Matriz do nível de risco

PROBABILIDADE IMPACTO

Baixo(10) Médio(50) Alto(100)

Alto(1,0) Baixo

10 x 1,0 = 10

Médio

50 x 1,0 = 50

Alto

100 x 1,0 = 100

Médio(0,5) Baixo

10 x 0,5 = 5

Médio

50 x 0,5 = 25

Médio

100 x 0,5 = 50

Baixo(0.1) Baixo

10 x 0,1 = 1

Baixo

5,0 x 0,1 = 5

Baixo

100 x 0.1 = 10

Escala de risco:

Alto – pontuação entre 51 e 100

Médio – pontuação entre 11 e 50

Baixo – pontuação entre 1 e 10


“Após a determinação da matriz de riscos, deve ser especificada a descrição do

nível do risco (Alto, Médio, Baixo), bem como as ações necessárias para diminuí-lo.”

(FERREIRA; ARAUJO, 2008, p. 180).

16

Quadro 5: Definição do nível de riscos

NÍVEL DEFINIÇÃO

Alto Se uma possibilidade de melhoria for avaliada como sendo de alto risco, existe necessidade imediata para contramedidas serem adotadas. Os sistemas podem continuar operando, entretanto, ações corretivas devem ser iniciadas o mais breve possível.

Médio Se uma possibilidade de melhoria for classificada como sendo de médio risco, ações corretivas estabelecidas em um plano de ação, devem ser executadas em curto período de tempo.

Baixo Se uma observação for classificada como sendo de baixo risco, os administradores e proprietários das informações devem avaliar a necessidade de efetuar manutenção corretiva ou assumir o risco.


2.3.8 SEGURANÇA DO AMBIENTE FÍSICO

De acordo com Fontes (2006), o acesso físico da organização deve ser

controlado para pessoas que pertençam ou não à organização, acompanhar

visitantes e identificá-los com crachás são medidas necessárias, além de questionar

quem não possuir a identificação.

Segundo a Norma ABNT NBR ISO/IEC 27002 (2005, p. 32), o objetivo da

implantação da segurança do ambiente físico é:

Prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização.

Convém que as instalações de processamento das informações críticas ou sensíveis sejam mantidas em áreas seguras, protegidas por perímetros de segurança definidos, com barreiras de segurança e controles de acesso apropriados.

Convém que sejam fisicamente protegidas contra acesso não autorizado, danos e interferências.

Segundo Sêmola (2003), a implantação de controles de autenticação e

identificação se faz necessário a todos na organização; biometria, cartões

eletrônicos, tokens, senhas pessoais são ferramentas para segurança de ambientes

físicos. Danos podem ser causados também por vulnerabilidades físicas, como mal

planejamento de CPDs, recursos como extintores e detectores de fumaça em falta,

riscos de explosões ou vazamentos.

17

Ainda em Sêmola (2003), as definições de perímetros e controles de acesso

físico aos ambientes, recursos para manutenção e segurança de equipamentos,

estrutura adequada para fornecimento de energia e segurança do cabeamento são

itens de segurança física e de ambiente do teste de conformidade com a ABNT NBR

ISO/IEC 27002.

De acordo com Ferreira e Araújo (2008):

As políticas devem especificar que todos os funcionários da organização

somente terão acesso liberado às dependências da organização se

portarem a identificação funcional pessoal. Já para as áreas restritas, os

acessos deverão ser previamente solicitados e autorizados, por meio de

procedimentos formais criados para tal atividade.

Os acessos para prestadores de serviço, contratados para consultorias,

manutenções e/ou quaisquer outros serviços, deverão obter autorização

formal antecipada para o acesso às dependências.

São elementos de proteção do ambiente físico, alarmes e sirenes, salas cofre,

extintores de incêndio, circuitos internos de televisão, nobreaks, fragmentadoras de

papel, detectores de fumaça, climatizadores de ambiente, dispositivo de

armazenamento de mídia magnética entre outros.

2.3.9 PERÍMETRO FÍSICO

Segundo Sêmola (2003), uma estrutura de divisão de ambientes físicos,

anteriormente conhecida apenas como estratégia militar de defesa, agora usada

também como segurança em empresas. Apesar de ser necessário chegar ao

ambiente lógico e segmenta-lo também, a aplicação de perímetro garante o melhor

retorno se tratando de proteção da informação, assim os ativos são protegidos

adequadamente ao seu nível de importância e usuários igualmente segmentados de

acordo com suas credenciais de acesso.

2.3.10 SEGURANÇA DO AMBIENTE LÓGICO

Para Sêmola (2003), a proteção do ambiente lógico é tão importante quanto

do físico. Trata-se de salvaguardar ativos que não pode se tocar, como dados,

arquivos, contratos. É de suma importância todos da organização possuírem login e

18

senha de cunho individual e intransferível para acessar o sistema, garantindo

autenticidade e não repúdio de todas as ações realizadas.

Segundo a ABNT NBR ISO/IEC 27002 (2005, p. 65)

Convém que o acesso à informação, recursos de processamento das informações e processos de negócios sejam controlados com base nos requisitos de negócio e segurança da informação. Convém que as regras de controle de acesso levem em consideração as políticas para autorização e disseminação da informação.

Convém que a política de controle de acesso seja estabelecida documentada e analisada criticamente, tomando-se como base os requisitos de acesso dos negócios e segurança da informação.

Convém que as regras de controle de acesso e direitos para cada usuário ou grupo de usuários sejam expressas claramente na política de controle de acesso. Convém considerar os controles de acesso lógico e físico de forma conjunta. Convém fornecer aos usuários e provedores de serviços uma declaração nítida dos requisitos do negócio a serem atendidos pelos controles de acesso.

As diretrizes da política de segurança da informação devem ser

rigorosamente seguidas também no ambiente lógico, assim, faz-se necessário o

treinamento de todos os usuários do sistema afim de que os mesmos saibam como

proceder ao estarem conectados.

Conforme Beal (2005, p.61):

Os usuários de ativos de informações somente poderão utilizá-los por meio de chaves de acesso, autenticadas por senhas secretas de seu exclusivo conhecimento.

As senhas são sigilosas, individuais, intransferíveis, não podendo ser divulgadas em nenhuma hipótese. As operações sob o uso de determinada senha são de responsabilidade exclusiva de seu possuidor. Recomenda-se que as senhas não sejam anotadas em papel ou outros meios de registro de fácil acesso.

19

2.4 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Para Ferreira e Araújo (2008, p.36):

A Política de Segurança define o conjunto de normas, métodos e procedimentos utilizados para manutenção da segurança da informação, devendo ser formalizada e divulgada a todos os usuários que fazem uso dos ativos de informação.

Deve-se utilizar uma visão metódica, criteriosa e técnica em seu desenvolvimento e elaboração, de forma que possam ser sugeridas alterações na configuração de equipamentos, na escolha de tecnologia, na definição de responsabilidades e, por fim, na elaboração das políticas com o perfil da empresa e dos negócios que ela pratica.

Não devemos esquecer que ela deve expressar os anseios dos proprietários ou acionistas, que são responsáveis por decidir os destinos de todos os recursos na organização em relação ao uso da informação por todos aqueles que têm acesso a este bem.

Segundo Beal (2005, p. 43):

A elaboração de uma política de segurança da informação (PSI) representa um passo fundamental no estabelecimento de um sistema de gestão de segurança da informação eficaz. A PSI é um documento que registra os princípios e as diretrizes de segurança adotados pela organização, a serem observados por todos seus integrantes e colaboradores e aplicados a todos os sistemas de informação e processos corporativos. A PSI estabelece as linhas mestras a serem seguidas na implementação da segurança da informação, formalizando todos os aspectos relevantes para a proteção, o controle e o monitoramento de seus ativos de informação. Por meio dela a direção da organização demonstra seu comprometimento com proteção da informação, e cria a base para a colaboração de todos os integrantes com os processos de identificação e tratamento dos riscos.

Segundo a ABNT NBR ISO/IEC 27002 (2005, p. ix):

A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.

20

2.4.1 OBJETIVOS DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Para Beal (2005, p. 49):

As medidas de uma política de segurança devem ser, antes de mais nada, de cunho preventivo. Os eventuais riscos devem ser previstos e eliminados antes que se manifestem. Além disso, a prevenção costuma ser mais barata que a restauração dos danos provocados por falta de segurança. De forma geral, as estruturas organizacionais conhecem os limites das atribuições e responsabilidades dentro de suas áreas de atuação e os riscos envolvidos, mesmo quando não existem normas a respeito da segurança. As medidas de prevenção são, em princípio, essencialmente de cunho normativo.

Segundo Moreira (2001 p. 36):

O objetivo de qualquer política de segurança é o de definir as expectativas da organização quanto ao uso dos seus recursos (computadores e rede), estabelecendo procedimentos com o intuito de prevenir e responder a incidentes relativos à segurança.

21

CAPÍTULO III – ESTUDO DE CASO

3.1 A EMPRESA

Conforme o sítio da empresa na Internet; (ICESP,s.d.):

As Faculdades Integradas ICESP/PROMOVE DE BRASÍLIA, IES criada em 22/03/1995, foi credenciada nos termos da Portaria Ministerial de nº. 2.548, publicada no DOU de 16/09/2003. Esta IES deu início a suas atividades junto à comunidade do Distrito Federal em 1995 com a oferta do Curso de Bacharelado em Ciências Contábeis.

Em 1996 foi inaugurado o Campus Guará I, com instalações modernas proporcionando conforto e qualidade no atendimento aos alunos. São criados, então, os cursos de Administração com Habilitação em Análise de Sistemas; os cursos na área de Informática: Processamento de Dados, Redes de Computadores e Segurança da Informação; o curso de Comunicação Social, nas Habilitações de Jornalismo e Rádio e Televisão e, a partir de 2005, os cursos de Tecnologia em Desenvolvimento de Software, Produção Publicitária e Produção Audiovisual.

Em 2000, as Faculdades Integradas ICESP/PROMOVE DE BRASÍLIA iniciaram a formação de profissionais em educação com a oferta do curso de Pedagogia – Habilitações em Administração Escolar e Orientação Educacional.

Em 2002, ampliou-se a oferta de cursos nessa Unidade com a criação do Centro Tecnológico de Aviação Civil - CETAC, que oferece o Curso Superior de Tecnologia em Aviação Civil. No último semestre de 2002, foi criado, também, o ISE – Instituto Superior de Educação com os cursos de Licenciaturas em Letras – Habilitação em Magistério em Português/Espanhol e Magistério em Inglês.

Ainda em 2004, as Faculdades Integradas ICESP/PROMOVE DE BRASÍLIA, foi inaugurada a unidade no Recanto das Emas, onde foram implantados, no corrente ano, os seguintes cursos superiores da área de saúde: Tecnologia em Gestão Hospitalar, Tecnologia em Radiologia, Bacharelado em Biomedicina e Bacharelado em Enfermagem.

Em 2007, a gestão da Faculdade é assumida por uma rede de ensino superior de Minas Gerais, que teve como proposta aumentar o número de alunos das Faculdades e manter o padrão de qualidade sempre existente.

No ano de 2008 a gestão toma medidas enxutas de reengenharias e downsizes administrativos, trazendo maior produtividade e dinamismo na administração da faculdade. Traçando metas administrativas e seguras com foco na qualidade do ensino, atendimento e resultados.

De 2009 a 2010, a instituição se dedicou em preparar-se para a avaliação institucional do MEC, e no final de 2010, a instituição recebeu o conceito 4, um dos maiores índices de reconhecimento em qualidade, atribuído pelo MEC, que varia em uma escala de 4 a 5.

Em janeiro de 2011, as Faculdades inauguram mais uma unidade de funcionamento e dessa vez em Águas Claras, uma das regiões de maior crescimento no Distrito Federal. Essa unidade passa a ter os cursos de saúde como seu foco principal. Porém, em maio desse mesmo ano, as Faculdades recebem por meio de carta convite do MEC, quatro novos

22

cursos: Ciências Agrarias, Medicina Veterinária, Engenharia de Alimentos e Zootecnia. Tornando-se uma unidade especializada em saúde e ciências agrarias. Neste mesmo ano, passa a se chamar Faculdades ICESP e Faculdades Integradas PROMOVE DE BRASÍLIA, atendendo a um projeto da mantenedora.

Atualmente, as Faculdades Integradas ICESP/PROMOVE DE BRASÍLIA contam com 26 (vinte e seis) cursos de graduação autorizados e/ou reconhecidos pelo MEC, além de uma série de cursos de pós-

graduação lato sensu.

A figura 01 apresenta a entrada principal da IES:

Figura 1 - Portão Principal

Fonte – Os autores

As diretrizes estabelecidas pelas Faculdades Integradas ICESP PROMOVE

DE BRASÍLIA, de acordo com o sítio da faculdade na internet (ICESP, s.d.), para

missão e valores são:

Missão: Produzir e disseminar conhecimento nos diversos campos do

saber, contribuindo para o exercício da cidadania, preparando profissionais

competentes para o mercado de trabalho e melhorando a sociedade,

mediante formação humanista, crítica e reflexiva.

Valores:

Qualidade na prestação dos serviços.

Ética aplicada a todas as relações.

Respeito à diversidade humana, cultural e a natureza.

23

Inovação e criatividade subordinadas a ética.

Sustentabilidade no sentido de que todas as ações necessárias à implementação das faculdades levem em conta o equilíbrio financeiro e a capacidade gerencial da própria instituição.

Diálogo como principal ferramenta na resolução de conflitos e

problemas com vista ao alcance de soluções justas.

3.1.1 O DEPARTAMENTO DE TECNOLOGIA DA INFORMAÇÃO (DTI)

O DTI – é uma área que responde pelo gerenciamento e manutenção de

Servidores, Atendimento aos Usuários, suporte a Rede Local da Instituição, bem

como suporte em todo hardware da mesma.

O DTI está sob as ordens da Direção Geral, de acordo com o organograma a

seguir. (Figura 2)

Figura 2 - Organograma do DTI das Faculdades ICESP PROMOVE DE BRASÍLIA


24

3.1.1.1 PRINCIPAIS ATRIBUIÇÕES DO DTI

Montar, configurar e prestar manutenção nos Servidores e Firewalls da

Instituição.

Prestar o suporte necessário aos usuários em todos os setores da

Instituição.

Planejar e manter a rede local em funcionamento.

Prestar suporte em todo o hardware da Instituição, a fim de manter os

ativos em pleno funcionamento para que o atendimento seja realizado

com sucesso.

3.1.1.2 A ESTRUTURA DO DTI

O DTI está instalado no térreo da Unidade I no campus Guará I, faz divisa

com um laboratório de informática por meio de uma parede divisória, há uma outra

parede divisória em um corredor que dá acesso a dois laboratórios de informática.

Figura 3 - Corredor do laboratório que faz divisa com o DTI


O acesso é feito através de um portão de entrada do campus, que conta com

catracas eletrônicas e uma guarita. (Figura 04)

25

Figura 4 - Recepção e catracas


A Unidade I conta com duas portas de acesso sendo que uma delas fica na

lateral da Unidade, as duas portas dão acesso ao Departamento de Tecnologia da

Informação (DTI). (Figuras 05 e 06)

Figura 5 - Porta de entrada da Unidade I


26

Figura 6 - Porta lateral da Unidade I


O DTI conta com três colaboradores, sendo todos empregados da Instituição.

Os móveis e equipamentos que compõem a estrutura do DTI são: dois

aparelhos de ar condicionados, um rack com dois switches e dois firewalls alocados

a ele, dois desktops e um notebook para uso dos colaboradores do setor, duas

bancadas de uso coletivo para manutenção de ativos quando necessário, três

mesas individuais e cinco armários para guarda de equipamentos, ferramentas e

pertences dos colaboradores.

3.1.1.3 ASPECTOS RELACIONADOS À SEGURANÇA FÍSICA DO DTI

O acesso físico é feito através de um portão principal localizado na entrada da

empresa (figura 01) e duas portas na Unidade I, uma fica na lateral do bloco (figuras

05 e 06), onde se encontra o DTI. No portão de entrada da empresa não existe

exigência de nenhum tipo de identificação, ao passar por este portão a pessoa

passa por catracas, que não tem funcionamento eletrônico. Este portão de entrada

fica aberto das 07:00 horas até as 23:00 devido às aulas que ocorrem na Instituição.

O porteiro faz a abordagem das pessoas quando elas já entraram pelo portão de

27

entrada e estão em direção as catracas para pedirem alguma informação de como

chegarem a determinado setor da empresa.

A figura 07 ilustra a porta de acesso ao DTI:

Figura 7 - Porta de acesso ao DTI


Há um sistema de monitoramento por câmera instalado na entrada principal,

área interna e externa do prédio. (Figuras 08 e 09)

Figura 8 - Câmera interna da entrada principal

28


Figura 9 - Câmera externa da entrada principal


Funcionários da Instituição são obrigados a usar crachás e uniformes,

visitantes transitam sem qualquer tipo de identificação exigido pela empresa.

Não existe na Unidade I um sistema contra incêndio, alguns setores contam

com extintores.

No interior do DTI os computadores dos colaboradores são dispostos em

mesas de uso individual, num total de duas mesas. (Figuras 10 e 11)

29

Figura 10 - Notebook disposto sobre a mesa individual


Figura 11 - Desktop disposto sob a mesa individual


Na área interna do DTI é comum os funcionários consumirem alimentos sobre

as mesas e bancadas. (Figuras 12 e 13)

30

Figura 12 - Alimentos sobre a mesa


Figura 13 - Alimentos sobre a bancada de manutenção


No DTI há cabos de dados expostos em diversos locais, o que coloca em

risco o bom funcionamento dos ativos da empresa. (Figuras 14 e 15)

31

Figura 14 - Cabos de dados expostos


Figura 15 - Cabos de dados e ativos expostos

Fonte - Os autores

No DTI o acesso é feito por uma porta com tranca simples em uma parede de

divisória. (figura 16)

32

Figura 16 - Porta de acesso com tranca simples

Fonte - Os autores

Há um armário com trancas utilizado no setor para guardar documentos

impressos e hardwares para manutenção dos ativos da empresa. (figura 17)

Figura 17 - Armário com trancas


33

3.1.1.4 ASPECTOS RELACIONADOS À SEGURANÇA LÓGICA DA DTI

Os colaboradores do DTI são responsáveis pela manutenção da rede, não

possuem login e senha para acessar o domínio da instituição, porém têm acesso a

algumas pastas do sistema da faculdade, caso seja necessário algum reparo. Esse

domínio é disponibilizado à área administrativa; nele é informado o interstício para

renovação de senha.

Não existe uma padronização a respeito da instalação de sistemas

operacionais e de softwares nos setores, ou seja, cada um utiliza o aplicativo e

sistema operacional de sua preferência.

A instalação de softwares só é permitida para quem possui a senha de

administrador, tanto em terminais de colaboradores assim como em laboratórios.

Não há padronização acerca de controle de senhas dos funcionários do setor

(quantidade e tipo de caracteres), bem como suas senhas não possuem prazo de

validade. A IES faz uso do firewall PFSENSE, baseado em Linux onde é habilitado o

serviço de proxy.

Figura 18 - PFSENSE

Fonte: Os autores

34

3.1.2 MATRIZ DE RISCO

A seguir, serão utilizadas matrizes de risco de acordo com modelo proposto

por Ferreira; Araújo (2008, p. 179) com intenção de identificar as ameaças e tornar

mensurável o risco a que cada ativo está exposto de acordo com seu grau de

probabilidade e o impacto.

Quadro 6: Modelo matriz de risco utilizada

PROBABILIDADE

IMPACTO

Baixo

(10)

Médio

(50)

Alto

(100)

Alto (1,0) Baixo

10 x 1,0 = 10

Médio

50 x 1,0 = 50

Alto

100 x 1,0 = 100

Médio (0, 5) Baixo

10 x 0,5 = 5

Médio

50 x 0,5 = 25

Médio

100 x 0,5 = 50

Baixo (0, 1) Baixo

10 x 0,1 = 1

Baixo

50 x 0,1 = 5

Baixo

100 x 0,1 = 10

Escala de risco:

Alto – pontuação entre 51 e 100

Médio – pontuação entre 11 e 50

Baixo – pontuação entre 1 e 10

Fonte – Ferreira; Araújo (2008, p.179)

35

3.1.2.1 MATRIZ DE RISCO – SEGURANÇA FÍSICA

No quadro a seguir, a matriz de risco relacionada à segurança física:

Quadro 7: Matriz de risco - Segurança Física

Item Ameaça Probabilidade Impacto Risco

1

Há instalados na

entrada empresa, ou do

DTI, equipamentos de

identificação de

funcionários e visitantes

como catracas ou

balcão de recepção?

1,0 50 50

(Médio)

2

Os funcionários que

transitam pelas

dependências da

empresa e no DTI são

obrigados a usarem

identificadores como

crachás?

1,0 50 50

(Médio)

3

Há sistema de

monitoramento de

câmera cobrindo todos

os ambientes internos e

externos?

1,0 50 50

(Médio)

4

Há algum sistema de

proteção contra

incêndio?

1,0 100 100

(Alto)

5

Os computadores e

firewalls estão

posicionados de forma

adequada?

0,5 50 25

(Médio)

6

Há documentos

espalhados junto a

computadores sobre

mesas e bancadas?

0,5 100 50

(Médio)

36

7

Há consumo de

alimentos junto a

equipamentos e

documentos?

0,5 100 50

(Médio)

8 Há fios de dados e de

energia expostos? 1,0 100

100

(Alto)

9

Os switches estão

instalados em local

adequado?

1,0 100 100

(Alto)

10

O local de instalação

dos firewalls possui

alguma proteção de

acesso de pessoas?

1,0 100 100

(Alto)

3.1.2.2 MATRIZ DE RISCO – SEGURANÇA LÓGICA

Matriz de risco da segurança lógica:

Quadro 8: Matriz de risco - Segurança Lógica

Item Ameaça Probabilidade Impacto Risco

1

Há obrigatoriedade de

uso de senhas com

identificação única para

utilização dos sistemas?

0,5 100 50

(Médio)

2

Há serviço de bloqueio

de conteúdo de

internet?

1,0 10 100

(Alto)

3 Há controle de

privilégios? 0,1 50

5

(Baixo)

4

Há política de

periodicidade de

backup?

1,0 100 100

(Alto)

5

As mídias de backup

estão armazenadas em

locais adequados?

1,0 50 50

(Médio)

37

6 Há sistemas de

antivírus? 1,0 100

100

(Alto)

7

Há política de controle

de acesso ao servidor

da DTI?

1,0 50 50

(Médio)

8

Há padronização de

instalação de softwares

e sistemas

operacionais?

0,5 50 25

(Médio)

3.1.3 ANÁLISE DA MATRIZ DE RISCO

Determinado o risco, após conclusões das matrizes, será apresentada, a

seguir, uma análise dos itens:

Matriz de Risco – Segurança Física (Quadro 7)

Item 1: Há instalados na entrada empresa, ou do DTI, equipamentos de

identificação de funcionários e visitantes como catracas ou balcão de

recepção?

Existe um balcão de recepção e catracas, no entanto, as catracas não

funcionam de forma eletrônica (placas danificadas).

Aplicação da Norma ABNT NBR ISO/IEC 27002/2005

9.1.1 Perímetro de segurança física

Convém que sejam utilizados perímetros de segurança (barreiras tais

como paredes, portões de entrada controlados por cartões ou balcões

de recepção com recepcionistas) para proteger as áreas que

contenham informações e instalações de processamento da

38

informação.

c) seja implantada uma área de recepção, ou um outro meio para

controlar o acesso físico ao local ou ao edifício; o acesso aos locais ou

edifícios deve ficar restrito somente ao pessoal autorizado;

Item 2: Os funcionários que transitam pelas dependências da empresa e no DTI

são obrigados a usarem identificadores como crachás?

Colaboradores da empresa não são obrigados a usarem crachás e

visitantes transitam pelas dependências da empresa sem qualquer tipo

de identificação.


9.1.2 Controles de entrada física

Convém que as áreas seguras sejam protegidas por controles

apropriados de entrada para assegurar que somente pessoas

autorizadas tenham acesso.

c) seja exigido que todos os funcionários, fornecedores e terceiros, e

todos os visitantes, tenham alguma forma visível de identificação, e eles

devem avisar imediatamente o pessoal de segurança caso encontrem

visitantes não acompanhados ou qualquer pessoa que não esteja

usando uma identificação visível;

Item 3: Há sistema de monitoramento de câmera cobrindo todos os ambientes

internos e externos?

Existe um sistema de monitoramento por câmera instalado na parte

externa da empresa e interna, no entanto, não há nenhuma câmera que

39

monitore a entrada no DTI.


9.1.1 Perímetro de segurança física

Convém que sejam utilizados perímetros de segurança (barreiras tais

como paredes, portões de entrada controlados por cartão ou balcão de

recepção com recepcionistas) para proteger as áreas que contenham

informações e instalações de processamento da informação.

f) sistemas adequados de detecção de intrusos, de acordo com normas

regionais, nacionais e internacionais, sejam instalados e testados em

intervalos regulares, e cubram todas as portas externas e janelas

acessíveis; as áreas não ocupadas devem ser protegidas por alarmes o

tempo todo; também deve ser dada proteção a outras áreas, por

exemplo, salas de computadores ou salas de comunicações;

Item 4: Há algum sistema de proteção contra incêndio?

Na empresa não há a instalação de um sistema proteção contra

incêndio e no DTI há apenas um extintor.


9.1.4 Proteção contra ameaças externas e do meio ambiente

Convém que sejam projetadas e aplicadas proteção física contra

incêndios, enchentes, terremotos, explosões, perturbações da ordem

pública e outras formas de desastres naturais ou causados pelo

homem.

c) os equipamentos apropriados de detecção e combate a incêndios

40

sejam providenciados e posicionados corretamente.

Item 5: Os computadores e os firewalls estão posicionados de forma

adequada?

Os computadores estão instalados sobre mesas sem divisórias entre

eles, impossibilitando que haja a privacidade na visualização de

qualquer tipo de informação.

Os firewalls do DTI estão localizados em um rack dentro da mesma

sala, no mesmo ambiente de trabalho. Sua posição de instalação facilita

a visualização e manipulação das informações mostradas na tela, por

qualquer pessoa que esteja no interior da sala.


9.2.1 Instalação e proteção do equipamento

Convém que os equipamentos sejam colocados no local ou protegidos

para reduzir os riscos de ameaças e perigos do meio ambiente, bem

como as oportunidades de acesso não autorizado.

b) as instalações de processamento da informação que manuseiam

dados sensíveis sejam posicionadas de forma que o ângulo de visão

seja restrito, de modo a reduzir o risco de que as informações sejam

vistas por pessoal não autorizado durante a sua utilização, e os locais

de armazenagem sejam protegidos, a fim de evitar o acesso não

autorizado;

Item 6: Há documentos espalhados junto a computadores sobre mesas e

bancadas?

Há documentos importantes espalhados sobre as mesas e bancadas.


41

11.3.3 Política de mesa limpa e tela limpa

Convém que seja adotada uma política de mesa limpa de papéis e

mídias de armazenamento removível e política de tela limpa para os

recursos de processamento da informação.

a) informações do negócio sensíveis ou críticas, por exemplo, em papel

ou em mídia de armazenamento eletrônicas, sejam guardadas em lugar

seguro (idealmente em um cofre, armário ou outras formas de mobília

de segurança) quando não em uso, especialmente quando o escritório

está desocupado;

Item 7: Há consumo de alimentos junto a equipamentos e documentos?

É comum pessoas consumirem e deixarem alimentos sólidos e líquidos

sobre as mesas e bancadas.


9.2.1 Instalação e proteção de equipamento




e) sejam estabelecidas diretrizes quanto a comer, beber e fumar nas

proximidades das instalações de processamento da informação;

Item 8: Há fios de dados e de energia expostos?

Há locais em que os fios de dados e de energia aparecem expostos.

42


9.2.3 Segurança do cabeamento

Convém que o cabeamento de energia e de telecomunicações que

transporta dados ou dá suporte aos serviços de informações seja

protegido contra interceptação ou danos.

a) as linhas de energia e de telecomunicações que entram nas

instalações de processamento da informação sejam subterrâneas (ou

fiquem abaixo do piso), sempre que possível, ou recebam uma proteção

alternativa adequada;

b) cabeamento de redes seja protegido contra interceptação não

autorizada ou danos, por exemplo, pelo uso de conduítes ou evitando

trajetos que passem por áreas públicas;

Item 9: Os switches estão instalados em local adequado?

Os dois switches existentes no DTI estão instalados em um rack sem

tranca e com suas laterais expostas, há uso de nobreak e existe um

quadro de energia instalado próximo ao rack.


9.2.1 Instalação e proteção do equipamento




a) os equipamentos sejam colocados no local, a fim de minimizar o

43

acesso desnecessário às áreas de trabalho;

c) os itens que exigem proteção especial devem ser isolados para

reduzir o nível geral de proteção necessário;

d) sejam adotados controles para minimizar o risco de ameaças físicas

potenciais, tais como furto, incêndio, explosivos, fumaça, água (ou falha

do suprimento de água), poeira, vibração, efeitos químicos, interferência

com o suprimento de energia elétrica. Interferência com as

comunicações, radiação eletromagnética e vandalismo;

Item 10: O local de instalação dos firewalls possui alguma proteção de acesso

de pessoas?

Os firewalls do DTI estão localizados dentro do próprio departamento,

alocados em um rack cujo acesso é através da porta de entrada do

departamento.


9.1.2 Controles de entrada física

Convém que as áreas seguras sejam protegidas por controles

apropriados de entrada para assegurar que somente pessoas

autorizadas tenham acesso.

b) acesso às áreas em que são processadas ou armazenadas

informações sensíveis seja controlado e restrito às pessoas

autorizadas; convém que sejam utilizados controles de autenticação,

por exemplo, cartão de controle de acesso mais PIN (personal

identification number), para autorizar e validar todos acessos; deve ser

mantido de forma segura um registro de todos os acessos para fins de

auditoria;

44

Matriz de risco – Segurança Lógica (Quadro 8)

Item 1: Há obrigatoriedade de uso de senhas com identificação única para

utilização dos sistemas?

Não existe uma política de controle de acesso no DTI que torne

obrigatório o cadastro de uma senha pessoal e intransferível, fica a

critério do colaborador utilizar este recurso de segurança ou não.

Aplicação da Norma ABNT NBR ISO/IEC 27002:2005

11.2.1 Registro de usuário

Convém que exista um procedimento formal de registro e cancelamento

de usuário para garantir e revogar acesso em todos os sistemas de

informação e serviços.

a) utilizar identificador de usuário (ID de usuário) único para assegurar a

responsabilidade de cada usuário por suas ações; convém que o uso de

grupos de ID somente seja permitido onde existe a necessidade para o

negócio ou por razões operacionais, e isso seja aprovado e

documentado;

Item 2: Há serviço de bloqueio de conteúdo de internet?

Toda a rede da Instituição é monitorada por um firewall localizado no DTI,

que bloqueia os acessos a redes sociais e sites com conteúdo não

permitido.


45

11.4.1 Política de uso dos serviços de rede

Convém que usuários somente recebam acesso para os serviços que

tenham sido especificamente autorizados a usar.

c) gerenciamento dos controles e procedimentos para proteger acesso a

conexões e serviços de redes;

Item 3: Há controle de privilégios?

Os colaboradores estão cadastrados para acessarem os computadores,

inclusive os servidores da empresa e os firewalls do DTI, com privilégios

de usuário e administrador local.


11.2.2 Gerenciamento de privilégios

Convém que a concessão e o uso de privilégios sejam restritos e

controlados.

a) Privilégio de acesso de cada produto de sistema, por exemplo, sistema

operacional, sistemas de gerenciamento de banco de dados e cada

aplicação, e de categorias de usuários para os quais estes necessitam

ser concedido, seja identificado;

Item 4: Há política de periodicidade de backup?

Não existe uma política ou ferramenta de backup automatizada aplicada

ao uso dos arquivos dos computadores ou firewalls do DTI.

46


10.5.1 Cópias de segurança das informações

Convém que recursos adequados para a geração de cópias de

segurança sejam disponibilizados para garantir que toda informação e

software essenciais possam ser recuperados após um desastre ou a

falha de uma mídia.

Item 5: As mídias de backup estão armazenadas em locais adequados?

Não há um local especifico no DTI para guardar mídias de backup.


10.7.1 Gerenciamento de mídias removíveis

Convém que existam procedimentos implementados para o

gerenciamento de mídias removíveis.

c) toda mídia seja guardada de forma segura em um ambiente protegido,

de acordo com as especificações do fabricante;

d) informações armazenadas em mídias que precisam estar disponíveis

por muito tempo (em conformidade com as especificações dos

fabricantes) sejam também armazenadas em outro local para evitar perda

de informações devido à deterioração das mídias;

Item 6: Há sistemas de antivírus?

Existe em todos os computadores do DTI softwares antivírus instalados,

47

cada colaborador instala o software de sua preferência na versão

gratuita.


10.4.1 Controles contra códigos maliciosos

Convém que sejam implantados controles de detecção, prevenção e

recuperação para proteger contra códigos maliciosos, assim como

procedimentos para a devida conscientização dos usuários.

Convém que a proteção contra códigos maliciosos seja baseada em

softwares de detecção de códigos maliciosos e reparo, na

conscientização da segurança da informação, no controle de acesso

adequado e nos controles de gerenciamento de mudanças.

Item 7: Há política de controle de acesso aos firewalls do DTI?

O acesso e os privilégios aos firewalls do DTI são concedidos pelo gestor

imediato conforme ele julgue necessário, este controle é feito por serviços

existentes no próprio sistema.


11.1.1 Política de controle de acesso

Convém que a política de controle de acesso seja estabelecida

documentada e analisada criticamente, tomando-se como base os

requisitos de acesso dos negócios e segurança da informação.

Convém que as regras de controle de acesso e direitos para cada usuário

ou grupo de usuários sejam expressas claramente na política de controle

de acesso.

48

Convém considerar os controles de acesso físico e lógico de forma

conjunta.

Item 8: Há padronização de instalação de softwares e sistemas operacionais?

A escolha e instalação de sistemas operacionais e softwares é livre para

cada colaborador.


10.3.2 Aceitação de sistemas

Convém que sejam estabelecidos critérios de aceitação para novos

sistemas, atualizações e novas versões, e que sejam efetuados testes

apropriados do (s) sistema (s) durante seu desenvolvimento e antes da

sua aceitação.

49

CAPÍTULO IV – PROPOSTA DE POLÍTICA DE SEGURANÇA

A seguir será apresentada a proposta de uma política de segurança física e

lógica, fundamentada em informações coletadas no próprio local, que possibilitou a

identificação dos ativos de informações e suas respectivas vulnerabilidades,

ameaças e, consequentemente, o risco que cada ativo está exposto.

As soluções propostas estão em conformidade com a Norma ABNT NBR

ISO/IEC 27002:2005.

4.1 TÍTULO DA POLÍTICA

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA O

DEPARTAMENTO DE TECNOLOGIA DA INFORMAÇÃO – DTI DAS FACULDADES

INTEGRADAS ICESP / PROMOVE DE BRASÍLIA

4.2 INSTITUIÇÃO A QUE SE DESTINA

A política de segurança da informação é destinada ao Departamento de

Tecnologia da Informação (DTI), que é subordinado à Diretoria Geral das

Faculdades Integradas ICESP / PROMOVE DE BRASÍLIA.

As Faculdades ICESP / PROMOVE DE BRASÍLIA, é uma Instituição de

Ensino Superior – IES, criada em 22/03/1995, credenciada na Portaria Ministerial nº

2.548, deu início a suas atividades junto à comunidade do Distrito Federal, em 1995,

com a oferta do Curso em Bacharelado em Ciências Contábeis.

O DTI é uma área que responde pelo gerenciamento e manutenção de

Servidores, Atendimento aos Usuários, suporte a Rede Local da Instituição, bem

como suporte em todo hardware da mesma.

50

4.3 OBJETIVO DA POLÍTICA

A política tem como objetivo principal, diminuir os riscos a que cada ativo de

informação físico, ou lógico, esteja exposto. Serão adotados procedimentos a serem

seguidos por todo o DTI para que as informações sejam disseminadas e

disponibilizadas com integridade e confidencialidade, conforme a necessidade e a

importância para o negócio.

4.4 ABRANGÊNCIA DA POLÍTICA

A política abrange todo o espaço físico do Departamento de Tecnologia da

Informação, suas adjacências e o acesso ao campus. Todos os colaboradores

deverão estar envolvidos e todos os ativos de informação deverão ser levados em

consideração.

4.5 DEFINIÇÕES BÁSICAS DA POLÍTICA

Conforme a Norma ABNT NBR ISO/IEC 27002 (2005, p. ix) informação é:

Um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegida. Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectado. Como um resultado deste incrível aumento da interconectividade, a informação está agora exposta a um crescente número e a uma grande variedade de ameaças e vulnerabilidades.

No que se refere à política de segurança da informação, Beal (2005, p. 43), declara que:

A elaboração de uma política de segurança da informação (PSI) representa um passo fundamental no estabelecimento de um sistema de gestão de segurança da informação eficaz. A PSI é um documento que registra os princípios e as diretrizes de segurança adotados pela organização, a serem observados por todos seus integrantes e colaboradores e aplicados a todos os sistemas de informação e processos corporativos. A PSI estabelece as linhas mestras a serem seguidas na implementação da segurança da informação,

51

formalizando todos os aspectos relevantes para a proteção, o controle e o monitoramento de seus ativos de informação. Por meio dela a direção da organização demonstra seu comprometimento com proteção da informação, e cria a base para a colaboração de todos os integrantes com os processos de identificação e tratamento dos riscos.

4.6 REFERÊNCIAS

A política seguirá as diretrizes da Norma ABNT NBR ISO/IEC 27002:2005

4.7 DIRETRIZES DA POLÍTICA

4.7.1 SEGURANÇA FÍSICA

4.7.1.1 Deverão ser instalados no portão de entrada da instituição, equipamentos de

controle de acesso como catracas eletrônicas para a identificação dos funcionários e

visitantes.

4.7.1.2 Todos os funcionários e visitantes deverão transitar pela empresa portando

visivelmente alguma forma de identificação. Pessoas transitando sem identificação

deverão ser encaminhadas à segurança imediatamente.

4.7.1.3 A instituição deverá complementar o sistema de monitoramento por câmera

conforme as normas regionais, nacionais e internacionais, envolvendo todas as

dependências internas e imediações.

4.7.1.4 A instituição deverá disponibilizar e posicionar, de acordo com as normas

vigentes, equipamentos de proteção adequados contra incêndio considerando o

tamanho da área a ser protegida, o tipo de material e os equipamentos utilizados no

local.

4.7.1.5 Os computadores e os firewalls deverão ser reposicionados de forma que o

ângulo de visão da tela fique restrito às pessoas autorizadas.

52

4.7.1.6 As informações impressas ou armazenadas em papel e mídias eletrônicas,

deverão ser guardadas em locais seguros imediatamente após o uso.

4.7.1.7 Não deverão permanecer sobre as mesas de uso individual ou bancadas de

uso operacional comidas sólidas, líquidas, copos ou garrafas.

4.7.1.8 Toda a instalação de rede de dados e de energia elétrica deverá estar

acondicionada em conduítes e tubulações.

4.7.1.9 Os switches deverão ser realocados em um local de acesso seguro com

equipamentos que garantam o controle de acesso, temperatura, instalação elétrica e

de dados adequados.

4.7.1.10 Os firewalls do DTI deverão ser realocados e instalados em um ambiente

fechado, com temperatura adequada e com controle de acesso.

4.7.2 SEGURANÇA LÓGICA

4.7.2.1 Todos os colaboradores que necessitarem de acessos aos recursos

computacionais deverão cadastrar um ID único para o uso de todos os sistemas.

4.7.2.2 O serviço de bloqueio de conteúdo de internet deverá abranger a todos os

colaboradores, para evitar privilégios desnecessários e não prejudicar o

funcionamento das atividades do setor.

4.7.2.3 Caberá ao gestor imediato do DTI conceder aos colaboradores, privilégios

para uso dos sistemas conforme a necessidade e autorização formal.

4.7.2.4 Deverá ser implementada uma ferramenta automatizada para a execução de

backup, conforme a importância da informação.

4.7.2.5 Será providenciado um local específico e seguro para guardar as mídias de

backup.

4.7.2.6 O DTI deverá utilizar softwares de controle de detecção, prevenção,

recuperação e proteção contra códigos maliciosos, por meio de uma padronização

de especificada pela gestão imediata junto com a devida conscientização dos

colaboradores em relação aos recursos computacionais.

53

4.7.2.7 O acesso aos firewalls será concedido após uma verificação de necessidade

de cada usuário, e à segurança da informação. Os colaboradores deverão ser

informados e formalizados quanto à responsabilidade das informações por eles

manuseadas de acordo com o privilégio concedido.

4.7.2.8 Deverá haver treinamento aos usuários relativo a instalação e atualização de

softwares e sistemas operacionais. O usuário somente poderá atualizar ou instalar

algo novo com o consentimento do chefe do departamento.

4.8 CONFORMIDADE

A política está em conformidade com as diretrizes da Norma ABNT NBR

ISO/IEC 27002:2005.

4.9 PENALIDADE

Os colaboradores que descumprirem quaisquer das disposições pré-

estabelecidas na presente política de segurança da informação estarão sujeitos a

possíveis penalizações.

4.10 DISPOSIÇÕES GERAIS

Situações omissas serão analisadas pelos responsáveis pela elaboração da

política de segurança da informação.

O período de validade da presente política de segurança da informação será

de vinte e quatro meses.

A política de segurança da informação poderá receber revisões a qualquer

momento quando julgar-se necessário.

54

CAPÍTULO V – CONCLUSÃO

A implantação da política de segurança da informação não será de fácil

aceitação por todos os colaboradores, contudo se ministrado o devido treinamento e

aplicado a todos a consciência de que gerará uma melhoria. Os novos

procedimentos serão rigorosamente seguidos e defendidos até que em um momento

virão a ser atitudes de identidade do setor e da instituição; cada novo colaborador

que entrar aprenderá rapidamente com os demais como seguir a política.

É evidente que todos aderindo a essa forma de pensamento otimiza o

negócio como um todo e prioriza a confidencialidade, integridade e disponibilidade

dos ativos, assim como a conscientização dos colaboradores e melhoria dos

procedimentos aumente a prosperidade do DTI e da instituição.

55

REFERÊNCIAS

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, ABNT NBR ISO/IEC 27002:

tecnologia da informação, técnicas de segurança, código de prática para gestão da

segurança da informação. Rio de Janeiro: 2 ed.,2005 120p. ref. 1-8

BEAL, Adriana. Segurança da Informação: princípios e melhorias práticas para a

proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2005.

CERT.BR, Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança

no Brasil. Cartilha de Segurança para Internet: São Paulo, 2012. Disponível em

http://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf. Acesso em: 03 de

dezembro. 2015.

FERREIRA, Fernando Nicolau Freitas; ARAUJO, Marcio Tadeu de Araújo; Política

de Segurança da Informação: guia prático para elaboração e implementação. Rio

de Janeiro: Ciência Moderna, 2006, 172p.

FERREIRA, Fernando Nicolau Freitas. Segurança da Informação. Rio de Janeiro:

Ciência Moderna, 2003. 162p.

FONTES, Edison. Segurança da Informação: o usuário faz a diferença. São Paulo:

Saraiva, 2006.

MOREIRA, Nilton Stringasci. Segurança mínima. Rio de Janeiro: Axcel Books do

Brasil, 2001.

http://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf

56

RIBEIRO, Ricardo Albuquerque Bruno. Segurança no desenvolvimento de

software. Rio de Janeiro: Campus, 2002.

SÊMOLA, Marcos. Gestão de segurança da informação: uma visão executiva; 12

ed. Rio de Janeiro: Elservier, 2003. 156p.

ICESP – Faculdades ICESP/PROMOVE, disponível em

<http://www.icesp.br/historia> . Acesso em: 08 de dezembro. 2015.

http://www.icesp.br/historia

Documents

SUMÁRIO CAPÍTULO I APRESENTAÇÃO 3 CAPÍTULO II ... · 1.4 Metodologia ... a proposta de política de segurança da informação e conclusão. No referencial teórico foram listadas