proposta de politica de seguranÇa da...
TRANSCRIPT
TECNOLOGIA DE SEGURANÇA DA INFORMAÇÃO
JOSIEL FERREIRA DE SOUZA
EDGAR PAULO DA SILVA
PROPOSTA DE POLITICA DE SEGURANÇA DA INFORMAÇÃO
FÍSICA E LÓGICA PARA RV SOLUTIONS COMÉRCIO DE PAPÉIS E INFORMÁTICA
BRASÍLIA – DF 2013
2
JOSIEL FERREIRA DE SOUZA EDGAR PAULO DA SILVA
PROPOSTA DE POLITICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA RV SOLUTIONS COMÉRCIO DE PAPÉIS E
INFORMÁTICA
Trabalho de Conclusão de Curso apresentado às Faculdades Integradas Promove de Brasília como requisito parcial para obtenção do título de tecnólogo no Curso de Tecnologia em Segurança da Informação.
Orientador (a) Profa. Dra. Maria José de Oliveira
BRASÍLIA – DF 2013
3
JOSIEL FERREIRA DE SOUZA EDGAR PAULO DA SILVA
PROPOSTA DE POLITICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA RV SOLUTIONS COMÉRCIO DE PAPÉIS E
INFORMÁTICA
Trabalho de Conclusão de Curso apresentado às Faculdades Promove de Brasília, como requisito parcial para obtenção do título de tecnólogo no curso de Tecnologia em Segurança da Informação. Aprovado em:____/_____/_____ por: Orientadora: Profa. Dra. Maria José de Oliveira
Avaliador: Prof. MSc Cid Bendahan Coelho Cintra
Avaliador: Prof. Dr. Joacil Basilio Rael
4
DEDICATÓRIA
Dedicamos este trabalho a todos os nossos familiares, por todo incentivo, força e
apoio nesta fase tão desgastante e tão importante em nossas vidas. E com muito carinho
dedicamos também este trabalho as nossas companheiras, esposa e namorada, pela paciência e
incentivo em todos os momentos, mesmo no cansaço e no desânimo, sempre estiveram ao
nosso lado.
EDGAR PAULO DA SILVA JOSIEL FERREIRA DE SOUZA
5
AGRADECIMENTOS
Agradecemos primeiramente a Deus sem o qual nada disto seria possível. Aos nossos
familiares e amigos pela força e incentivo ao longo desta jornada.
A nossa Orientadora, Profa. Dra. Maria José de Oliveira, pela paciência, dedicação,
incentivo e sabedoria que muito nos auxiliou para conclusão deste tão “corrido” Trabalho de
Conclusão de Curso.
Agradecemos a todo corpo docente pelos ensinamentos e conhecimentos oferecidos
até esta etapa final da nossa graduação.
EDGAR PAULO DA SILVA JOSIEL FERREIRA DE SOUZA
6
RESUMO
Este trabalho tem como objetivo propor para RV Solutions Comércio de Papéis e
Informática uma política de segurança da informação física e lógica. A proposta foi realizada
com a finalidade de revelar os riscos, e fazer as recomendações necessárias para mitigar as
vulnerabilidades existentes. A metodologia utilizada foi a pesquisa de campo para identificar
os ativos de informação e as vulnerabilidades no ambiente da empresa. Constatou-se que os
ativos estão expostos a um fator de risco muito alto e que precisam ser adequadamente
protegidos. Todas as diretrizes de implementação, regras e as responsabilidades contidas
nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC 27002:2005,
assegurando a confidencialidade, a integridade e a disponibilidade das informações.
Observou-se a importância de uma política de segurança para dar mais credibilidade à
empresa.
Palavras-Chave: Informação. Política de Segurança da Informação.
7
ABSTRACT
This work has the objective to propose for RV Trade Solutions and Paper Computing, a security policy of physical and logical information. The proposal was made in order to reveal the risks, and make the necessary recommendations to mitigate these vulnerabilities. All implementing guidelines, rules and responsibilities contained in this policy proposal were based on the standard ISO / IEC 27002:2005, thus ensuring the confidentiality, integrity and availability of information.
Keywords: Information. Information Security Policy.
8
LISTA DE FIGURAS
Página
Figura – 1 – Máquina de Faturamento sem proteção .......................................................... 28
Figura – 2 – Servidor completamente vulnerável ................................................................ 28
Figura – 3 – Informaçoes sigilosas e vulneráveis ................................................................ 29
Figura – 4 – Arquivos mal armazanados ............................................................................. 29
Figura – 5 – Instalações inadequadas .................................................................................. 30
Figura – 6 – Aparelhos e fios em locais indevido ............................................................... 31
Figura – 7 – Ambientes restritos ......................................................................................... 31
Figura – 8 – Único acesso ao prédio sem as devidas medidas de segurança ...................... 32
Figura – 9 – Impacto dos riscos analisados ......................................................................... 35
9
LISTA DE QUADROS
Página
Quadro – 1 – Níveis de Risco .............................................................................................. 33
Quadro – 2 – Matriz de Risco .............................................................................................. 34
10
SUMÁRIO
Capítulo I
INTRODUÇÃO .................................................................................................................. 12
1. Objetivos ...................................................................................................................... 13
1.1 Geral ............................................................................................................................ 13
1.2 Específicos ................................................................................................................. 13
1.3 Justificativa ................................................................................................................. 13
1.4 Procedimentos metodológicos .................................................................................... 14
1.5 Organização da monografia ........................................................................................ 14
Capítulo II
REFERENCIAL TEÓRICO ................................................................................................ 15
2.1 Ativo ............................................................................................................................. 15
2.2 Informação ................................................................................................................... 15
2.3 Caracteristicas da Informação ..................................................................................... 16
2.4 Classificando a Informação ......................................................................................... 16
2.5 Valor da Informação .................................................................................................... 17
2.6 Gestão da Informação ................................................................................................. 18
2.7 Risco ............................................................................................................................ 18
2.8 Vulnerabilidade ............................................................................................................ 18
2.9 Ameaça ........................................................................................................................ 19
2.10 Ataque ....................................................................................................................... 19
2.11 Ferramentas de Segurança ....................................................................................... 19
2.12 Política se Segurança da Informação ........................................................................ 21
2.13 Segurança da Informação ......................................................................................... 23
2.14 Controle de Acesso FÍsico ......................................................................................... 24
2.15 Controle de Acesso Lógico ........................................................................................ 25
2.16 Segurança de Redes ................................................................................................. 26
11
Capítulo III
ESTUDO DE CASO .......................................................................................................... 27
3.1 Empresa ...................................................................................................................... 27
3.2 Matriz de Risco ........................................................................................................... 33
Capítulo IV
PROPOSTA DE POLÍTICA DE SEGURANÇA FÍSICA E LÓGICA DA INFORMAÇÃO . 36
4.1 Instituição .................................................................................................................... 36
4.2 Objetivo ........................................................................................................................ 36
4.3 Abrangência da Política ............................................................................................ 36
4.4 Definições Básicas ..................................................................................................... 36
4.5 Referências ................................................................................................................. 39
4.6 Diretrizes .................................................................................................................... 39
4.6.1 Servidor e Estação de Trabalho ........................................................................... 39
4.6.2 Rede .......................................................................................................................... 40
4.6.3 Sistema ..................................................................................................................... 40
4.6.4 Arquivos de Informações ....................................................................................... 40
4.6.5 Instituição ................................................................................................................. 41
4.7 Responsabilidades .................................................................................................... 41
4.7.1 Supervisores e Administradores .......................................................................... 41
4.7.2 Setor Comercial ...................................................................................................... 41
4.7.3 Setor de Informática ............................................................................................... 42
4.8 Conformidade ............................................................................................................ 42
4.9 Penalidades ................................................................................................................ 42
4.10 Disposições Gerais ................................................................................................. 42
5. Conclusão .................................................................................................................... 43
6. Referências .................................................................................................................. 44
12
CAPÍTULO I
INTRODUÇÃO
Nos tempos modernos a informação é considerada pelas empresas, corporações e
organizações, um patrimônio de valor imprescindível para os negócios, tanto para tomadas de
decisões em momentos críticos quanto para o crescimento dos mesmos. Devendo assim ser
protegido e resguardado contra todo e qualquer tipo de acesso não autorizado que possa
alterar reter ou até mesmo destruir os dados desta informação.
A informação pode ser denominada como um ativo que requer proteção nos aspectos
que se referem à confidencialidade, integridade e disponibilidade. Qualquer tipo de risco a
essas características, se configura como uma ameaça. A segurança da informação é a área
responsável em proteger o ativo dos diversos tipos de ameaças que podem vir a atrapalhar a
continuidade do negócio.
As ameaças aos ativos não se restringem somente a ataques de hackers ou crackers às
partes lógicas, mas também por acidentes naturais à parte estrutural da organização como, por
exemplo, enchentes, fogo, terremotos, descargas elétricas entre outros. Não se esquecendo dos
erros humanos que por mau treinamento ou nenhuma conscientização dos funcionários, pode
causar grandes perdas a integridade, disponibilidade e confidencialidade das informações.
Com estes despreparos, pode abrir brechas para engenharias sociais que visão a obtenção de
informação por meio de e-mails ou por telefonemas falsos, por exemplo, enganando o
funcionário e o induzindo ao vazamento, dentro da organização, de tais informações sigilosas.
É de grande importância que as organizações tenham uma fonte de diretrizes e normas
que direcionam os gestores da informação a minimizar todo o tipo de ameaças que possam
surgir. Convém que haja um documento de segurança que dite tais diretrizes e que este
documento tenha um apoio da alta administração e a colaboração dos demais integrantes da
organização.
A norma ABNT NBR ISO/IEC 27002:2005 é a base legal para uma política de
segurança da informação séria e confiável, por trazer todo um conjunto de regras e normas
que deverão se seguidos e que darão subsídios para uma correta aplicação das diretrizes
voltadas a segurança tanto nos aspectos físicos quanto nos aspectos lógicos da organização.
Ajudando a mitigar os danos aos negócios e maximizando o retorno dos investimentos e as
oportunidades de negócio.
13
1.1 OBJETIVOS
1.1.1 Geral
Propor uma Política de Segurança da Informação física e lógica de acordo com a
norma ABNT NBR ISO/IEC 27002 (2005) para a Empresa RV SOLUTIONS COMÉRCIO
DE PAPÉIS E INFORMÁTICA.
1.1.2 Específicos
a. Identificar os objetivos e negócios da empresa;
b. Analisar os ativos de valores;
c. Identificar todas as ameaças e vulnerabilidade dos ativos;
d. Avaliar os riscos de segurança; e
e. Elaborar uma política de segurança física e lógica para a informação na RV
Solutions Comércio de Papéis e Informática.
1.2 JUSTIFICATIVA
Atualmente a RV SOLUTIONS COMÉRCIO DE PAPÉIS E INFORMÁTICA não
possui uma Política de Segurança da Informação. Existe entre os funcionários grande
desinformação com relação aos ativos da empresa, sua segurança e sua importância, correndo
grande risco de enfrentar problemas de vazamentos de dados sigilosos e de não saberem como
lidar com o problema. A política de segurança assegurará a confidencialidade, a integridade e
a disponibilidade das informações importantes da empresa, dando mais credibilidade mais
agilidade nas tomadas de decisões e nos processos que envolvam incidentes com o ativo de
informação na organização.
Uma Política de Segurança da Informação pode evitar a ocorrência de incidentes
relacionados à segurança da informação, pois ela estabelece um conjunto de normas,
procedimentos, instruções, diretrizes, responsabilidades e padrões que são fundamentais para
gestão e continuidade do negócio.
14
1.3 PROCEDIMENTOS METODOLÓGICOS
A metodologia utilizada neste trabalho foi baseada na pesquisa de campo onde
identificou-se os ativos de informação e as vulnerabilidades no ambiente da empresa, após o
levantamento de dados, procedeu-se à análise de risco e analisar todos os riscos que
comprometem a segurança dos ativos e a continuidade do negócio da empresa.
A coleta dos dados para análise foi realizada por meio de visita autorizada pelos
administradores ocasião em que foram fotografados todos os ambientes da Empresa com o
intuito de identificar vulnerabilidades que evidenciasse riscos à informação crítica da
organização.
Foi utilizada a Norma ABNT NBR ISO/IEC 27002:2005 como principal fonte para a
elaboração da política visando padronização e garantia de eficácia na montagem de diretrizes
e boas práticas de seguranças da informação. Livros, monografias, pesquisas e outras normas
relacionadas à segurança da informação também foram utilizadas neste trabalho.
1.4 ORGANIZAÇÃO DA MONOGRAFIA
Este trabalho está estruturado em quatro capítulos;
O capítulo 1 apresenta a introdução do trabalho realizado.
O capítulo 2 consiste no capítulo de referencial teórico formado por conceitos e leitura técnica
referente à segurança da informação.
O capítulo 3 apresenta o estudo de caso, formado pelas avaliações e análises realizadas na
organização.
O capítulo 4 propõe uma de Política de segurança da informação para a RV SOLUTIONS
COMÉRCIO DE PAPÉIS E INFORMÁTICA LTDA.
A Monografia é finalizada com a conclusão onde são apresentadas as considerações finais do
trabalho.
15
CAPÍTULO II
2. REFERENCIAL TEÓRICO
2.1 Ativo
De acordo com a norma ABNT NBR ISO/IEC 27002 (2005, p. 1) “ativo é qualquer
coisa que tenha valor para a organização”. Para Alves (2006, p.3) ativo é ”Tudo o que
representa valor para o negócio da instituição”.
A sua importância é tão grande para a organização que deve ser devidamente protegida ,
pois um ativo bem protegido faz com que uma organização ou empresa cresça, tenha
credibilidade no mercado e é importante para as tomadas de decisões em momentos críticos.
2.2 Informação
O conceito de informação para o dicionário Houaiss (2009, p.442) significa “conjunto
de conhecimentos reunidos sobre determinado assunto”, também pode ser interpretado como
o processamento de um conjunto de dados produzindo um significado ou conhecimento. “A
informação representa a inteligência competitiva dos negócios e é reconhecido como ativo
crítico para continuidade operacional e saúde da empresa.” (SÊMOLA, 2003, p 39).
A informação deve ser vista como um bem de extrema importância para uma
organização. É um ativo que deve ter um valor segundo seu grau de importância dentro da
organização ou empresa.
Segundo Sêmola (2003, p. 45) informação é:
Conjunto de dados utilizados para a transferência de uma mensagem entre indivíduos e/ou máquinas em processos comunicativos (isto é, baseados em trocas de mensagens) ou transacionais (isto é, processos em que sejam realizadas operações que envolvam, por exemplo, a transferência de valores monetários). A informação pode estar presente ou ser manipulada por inúmeros elementos deste processo, chamados ativos, os quais são alvo de proteção da segurança da informação.
Segundo a ABNT NBR ISO/IEC 27002 (2005, p. X).
Informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e consequentemente necessita ser adequadamente protegido. Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectado.
16
Por menor que seja a informação, ela tem um valor institucional e um valor crítico que
precisa ser protegido, é uma obrigação da organização como um todo. Não cabe somente aos
funcionários a obrigação de zelar pelo bem maior da instituição, cabe também aos executivos
e acionistas esta responsabilidade pela segurança da informação; ela é muito importante e
relevante para uma tomada de decisão institucional.
2.3 Características da informação
Dentre as características de valor da informação destacam-se:
a. Precisão: tem que ser precisa sem alteração;
b. Completa: tem que ser completa, mesmo que pequena;
c. Confiável: a fonte tem que ser confiável;
d. Relevante: tem valor para a tomada de decisão;
e. Verificável: verificar várias vezes para ter certeza se é confiável;
f. Acessível: a informação tem que estar disponível, acessível e correta para quem, de
direito, sempre que necessite;
g. Segura: tem todas as outras características, mas está acessível só para quem é de
direito. (OLIVER, 2011).
2.4 Classificando a Informação
A informação como ativo de valor da organização deve ser devidamente protegida e
adequadamente armazenada em locais seguros. Existem normas, regras que orientam o modo
correto de proteção e armazenamento das informações. Para saber qual o nível de proteção a
ser dado a uma informação, deve ser utilizado o processo de classificação que, ao final,
estabelece o grau de importância da informação dentro da organização.
O processo de classificação envolve métodos, procedimentos e técnicas e, em órgãos
da administração pública, a legislação em vigor. O processo de classificação da informação
assegura o acesso a quem é de direito e favorece na escolha dos melhores meios de
preservação da informação considerada sigilosa em uma organização. Para que haja uma
correta classificação da informação, o responsável por esta tarefa deve conhecer o negócio da
organização e os interesses da alta administração.
17
Para Ferreira e Araújo (2008, p.78) a classificação da informação é;
O processo de estabelecer o grau de importância das informações mediante seu impacto no negócio, ou seja. Quanto mais estratégica e decisiva para a manutenção ou sucesso da organização. Maior será sua importância. A classificação deve ser realizada a todo instante, em qualquer meio de armazenamento.
Segundo a ABNT NBR ISO/IEC 27002 (2005. p.23).
A informação possui vários níveis de sensibilidade e criticidade. Alguns itens podem necessitar um nível adicional de proteção ou tratamento especial. Convém que um sistema de classificação da informação seja usado para definir um conjunto apropriado de níveis de proteção e determinar a necessidade de medidas especiais de tratamento.
Segundo Ferreira (2008, p.80) “Cada classificação deve ser de fácil compreensão e
claramente descrita para demonstrar a diferenciação entre cada uma delas. Devendo-se evitar
níveis excessivos de classificação”. A classificação da informação leva em conta a
identificação dos níveis de proteção que as informações necessitam e estabelece formas de
identificá-las, além de determinar diretrizes de controles e de proteção necessários a cada uma
delas. Para Ferreira; Araújo (2008, p.80-81) três níveis de classificação já são suficientes. São
eles: Classe1: Informação pública São aquelas que não necessitam de sigilo algum, podendo ter livre acesso para os colaboradores. Classe 2: Informação interna O acesso esterno às informações deve ser evitado. Entretanto, se esses dados tornarem-se públicos, as consequências não serão críticas. Classe 3: Informação confidencial As informações desta classe devem ser confidenciais dentro da organização e protegidos do acesso externo. Se alguns desses dados forem acessados por pessoas não autorizadas, as operações da organização poderão ser comprometidas.
2.5 Valor da informação
A informação deve ser considerada um instrumento de fundamental importância na gestão de uma organização, pois para todo e determinado tipo de atribuição, função ou responsabilidade, ela está presente e deve ser trabalhada, utilizando-se do seu valor para o desenvolvimento e crescimento da empresa. (MAURO, 2004).
A informação como toda a sua análise, importância e classificação dentro da
organização, tem que ser adequadamente gerenciada, pois a informação tem um valor
importante que auxiliará no processo decisório. Observando sempre que esta tomada de
decisão influenciará nos resultados e consequentemente no futuro da organização.
18
2.6 Gestão da informação
Segundo a ABNT NBR ISO/IEC 17799 (2005, p. 21).
Convém que todos os ativos sejam inventariados e tenham um proprietário
responsável. Convém que os proprietários dos ativos sejam identificados e a eles
seja atribuída a responsabilidade pela manutenção apropriada dos controles. A
implementação de controles específicos pode ser delegada pelo proprietário,
conforme apropriado, porém o proprietário permanece responsável pela proteção
adequada dos ativos.
2.7 Risco
Riscos existem a todo tempo no dia-a-dia, isso porque o risco é qualquer possibilidade
de perigo e o que conta mesmo é a expressão “possibilidade”.
Segundo a ABNT NBR ISO/IEC 27005 (2008) “Risco de Segurança da informação é
a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou grupo
de ativos, e a combinação da probabilidade de evento indesejado ocorrer e de suas
consequências”.
Devido o grande avanço tecnológico que vem acontecendo nos últimos anos, às
organizações vem sendo alvos de ataques e invasões. Agentes mal intencionados com
conhecimentos o bastante que o permite explorar riscos e vulnerabilidades nas empresas
através de redes e sistemas computacionais.
2.8 Vulnerabilidade
Vulnerabilidades são deficiências de diversas origens, as quais muitas vezes, não são
identificadas a tempo ou, mesmo quando isso ocorre, não são devidamente tratadas de modo a
evitar um ataque (NAKAMURA, 2002, p. 29-89). Brechas, fragilidades ou fraquezas que um
agente mal intencionado pode usar para obter acesso não autorizado comprometendo toda a
segurança da informação de uma organização. É necessária uma gestão de vulnerabilidades
para se tomar medidas apropriadas para lidar com riscos associados.
19
Segundo a ABNT NBR ISO/IEC 27002 (2005, p.96).
A Gestão de Vulnerabilidade tem por objetivo reduzir riscos resultantes da exploração de vulnerabilidades. Convém que a implementação da gestão seja implementada de forma efetiva, sistemática e de forma repetível com medições de confirmação da efetividade.
Para Sêmola (2003, p.48-49) as vulnerabilidades podem ter origens diversas como:
Agentes da natureza: umidade, poeira, poluição e calor podem causar danos aos ativos. Hardwares: falhas no desenvolvimento que permitem a inclusão e execução de softwares com código malicioso. Mídias de armazenamento: falhas de fabricação ou estocagem de CD-ROM, discos rígidos entre outros. Humanas: relativas aos danos que o ser humano pode causar ás informações.
2.9 Ameaça
Eventos que se aproveitam das vulnerabilidades causando danos e comprometendo
sistema ou organização. Podem ser realizado por funcionários insatisfeitos ou pessoas não
autorizadas que tenham intenção de comprometer a segurança da empresa.
2.10 Ataque
Tentativa de manipular um sistema com o objetivo de excluir, alterar ou até mesmo
danificar. Geralmente é usado um conjunto de técnicas para obter eficácia nos ataques, os
mais comuns são propagação de vírus, ataques de Denial of Service (Negação de serviço) e
engenharia social.
Segundo Ferreira; Araújo (2008, p.119) “O sucesso no ataque de engenharia social
ocorre geralmente quando os alvos são as pessoas ingênuas ou aquelas que simplesmente
desconhecem as melhores práticas de segurança”. Para evitar estes incidentes de segurança é
necessário softwares de antivírus, atualização periódica das definições de vírus e orientações
prática de segurança para os usuários.
2.11 Ferramentas de segurança
Para Ferreira; Araújo (2008, p.91).
Nos casos em que o usuário se ausentar de seu local de trabalho, é recomendado que ele ative a proteção de tela/bloqueio do teclado. Se por algum motivo o usuário não fizer, como forma de proteção adicional, as estações de trabalho devem ser configuradas para o bloqueio automático após um período de inatividade.
20
Com a participação de todos os envolvidos na organização pode-se obter a seguraça da
informação reduzindo e administrando os riscos relativos aos negócios, com o objetivo da
continuidade da empresa no mercado. As instituições devem procurar seguir as melhores
práticas na gestão de segurança da Informação.
De acordo com Ferreira; Araújo (2008, p.54) O sistema de Gestão em Segurança da
Informação (SGSI), “é o resultado da aplicação planejada de objetivos, diretrizes, políticas,
procedimentos, modelos e outras medidas administrativas que, de forma conjunta, definem
como são reduzidos os riscos”.
Ferramentas de segurança da informação é um conjunto de software e técnicas que
juntas tem o objetivo de prevenir ou combater ataques e incidentes indesejáveis. Exemplos de
boas ferramentas de segurança a seguir.
a. Proxy: firewall que tem a tarefa de filtrar pacotes na rede interna da empresa que
pode vim impedir a conexão com servidores externos que podem comprometer o
sistema da organização. Como sites de relacionamentos e outros mais, que
carregam ameaças como vírus e etc.
b. Firewall reativo: tem a função de reconhecer ataques e emitir alarmes quando
encontra pacotes com comportamentos e intenções fora do comum bloqueando o
acesso indevido automaticamente.
c. Antivírus: programas de computador que tem por objetivo prevenir, detectar e
eliminar vírus de computadores. Existe vários antivírus, sejam gratuitos ou pagos,
a diferença é encontrada nas camadas de proteção a mais que os programas
oferecem.
d. Backup: ferramenta com a tarefa de fazer cópias de segurança de dados e arquivos
com o intuito de prevenir e assegurar as informações, pois a atividade de realizar
backup periodicamente é importantíssima para a continuação do negócio. Para
Moreira (2001, p. 84) o backup é “importante atividade no processo de segurança
dos dados de uma empresa. Independente do porte e da atividade da empresa,
todos, sem exceção, devem praticá-lo.”.
e. IDS – Sistema de detecção de intrusos. Funciona em conjunto com sistema de
firewall para dar maior segurança na comunicação.
21
2.12 Política de Segurança da Informação
Política de Segurança pode ser compreendida com um conjunto de normas, condutas
de utilização dos recursos de informações. Essas normas e procedimentos devem ter como
objetivo conscientizar, informar os usuários, funcionário e gestores a importância das boas
práticas dessa política. Devem ser seguidas para o um uso correto do ambiente e
principalmente, para o uso seguro da informação.
Para Silva, Carvalho e Torres (2003, p. 180-181) a Política de Segurança é;
Um conjunto reduzido de regras que definem, em linhas gerais, o que é considerado pela Empresa como aceitável ou inaceitável [...] As regras contidas neste documento devem ser suficientemente genéricas para não necessitarem de revisão, exceto em caso de alteração profunda do contexto do negócio (por exemplo, mudança de ramo de atividade).
Uma Política de Segurança deve ser de fácil entendimento e de objetivos diretos. Pois
o seu objetivo é de informar, orientar os usuários e gestores da informação sobre suas
obrigações com relação à segurança e o acesso adequado à informação, contida ou não em
meio informatizado.
A Política de Segurança da Informação deve conter uma série de diretrizes de
implementação. A apresentação destas diretrizes pode ser encontrada na norma ISO
27002:2005 (item 5.1.1), onde afirma que a política deve conter:
a) Uma definição de segurança da informação, suas metas globais, escopo e
importância da segurança da informação como um mecanismo que habilita o compartilhamento da informação (ver introdução);
b) Uma declaração do comprometimento da direção, apoiando as metas e princípios da segurança da informação, alinhada com os objetivos e estratégias do negócio;
c) Uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco;
d) Breve explanação das políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização, incluindo: 1) Conformidade com a legislação e com requisitos regulamentares e
contratuais;
2) Requisitos de conscientização, treinamento e educação em segurança da informação;
3) Gestão da continuidade do negócio;
22
4) Consequências das violações na política de segurança da informação;
e) Definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança da informação;
f) referências à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários devem seguir.
Para Ferreira; Araujo (2008, p.36) Política de segurança “define o conjunto de normas,
métodos e procedimentos utilizados para manutenção da segurança da informação, devendo
ser formalizada e divulgada a todos os usuários que fazem uso dos ativos”. Entretanto para
Alves (2006, p.1) “Segurança da informação visa proteger a informação de forma a garantir a
continuidade dos negócios, minimizando os danos e maximizando o retorno dos
investimentos e as oportunidades de negócios”.
Segundo a ABNT NBR ISO/IEC 27002 (2005, p.8).
A Política de segurança da informação tem por objetivo prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização.
Uma política de segurança da informação torna-se necessária em todo ambiente
organizacional para a salvaguarda da informação e a garantia da continuidade dos negócios.
Toda empresa, sendo ela grande ou pequena, deve adotar uma política de segurança em sua
gestão, aumentando a garantia de retorno lucrativo aos sócios e acionistas. É a base principal
do estabelecimento de normas e procedimentos que garantem a segurança da informação e
determina as responsabilidades relativas à segurança dentro da empresa.
De acordo com a NORMA TÉCNICA ATI-SGR-PR (2010, p.11).
Politica de Segurança da informação consiste em um conjunto de definições, diretrizes, restrições e requisitos que servem para nortear o uso de boas práticas no trato com os ambientes, recursos e ativos de segurança da informação, em aspectos físicos, lógicos e de pessoal, com a finalidade de proporcionar maior segurança às informações.
23
2.13 Segurança da Informação Segundo Lucas (2005), A Segurança da Informação “é um conjunto de ações
planejadas para abranger questões técnicas e comportamentais. Medidas tomadas adequadamente visando confidencialidade, integridade e disponibilidade da informação.” Medidas que tem por objetivo evitar ameaças e riscos.
a. Confidencialidade - garantia de que apenas pessoas autorizadas tem acesso a
informação.
b. Integridade – garantia de que a informação não sofra alterações ou modificações.
c. Disponibilidade – garantia de que as pessoas autorizadas tenham acesso a
informação sempre que necessário.
Segundo a ABNT NBR/ISO/IEC 27001(2006, p. 4).
A Organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI (Sistema de Gestão de Segurança da Informação) documentando dentro do contexto das atividades de negocio globais da organização e os riscos que ela enfrenta.
Nos dias de hoje, com o avanço da tecnologia, há muitos colaboradores em empresas
com conhecimento em informática e formas de acesso à informação, as empresas precisam
diminuir a facilidade dos fluxos de informações. Apenas pessoas autorizadas devem ter o
privilégio de ter acesso aos dispositivos de entrada/saída; com a existência de pen-drives e
outros dispositivos de armazenamentos de dados portáteis, os roubos de informações ficam
comuns nas empresas. Há segurança da informação quando controles são monitorados,
analisados e melhorados atendendo o objetivo do negócio, minimizando, assim, todos os
riscos e vulnerabilidades, evitando que pessoas não autorizadas ou funcionários insatisfeitos
consigam transportar dados sem autorização.
Segundo Scarduelli (2009, p.18)
É essencial para aumentar o nível da segurança da informação, a criação de um código de Ética da TI, para estar preparado para eventuais incidentes. Nessa hora a Segurança de Informação envolve a prevenção e preservação de evidencias. Dessa forma tende garantir que determinada pessoa ou maquina esteve envolvida em determinado evento.
24
Conforme a norma ABNT NBR ISO/IEC 27002 (2005, p. 65) “Convém que a política de
controle de acesso seja estabelecida documentada e analisada criticamente, tomando-se como
base os requisitos de acesso dos negócios e segurança da informação”. O acesso à informação
deve constar processos de controle e garantia de segurança aos ativos dando suporte a gestão
de riscos e auditoria.
Ainda de acordo com a Norma ABNT NBR ISO/IEC 27002 (2005, p. 66).
O controle de acesso tem por objetivo assegurar o acesso de usuário autorizado e prevenir acesso não autorizado a sistemas de informação. Que Procedimentos formais sejam implementados para controlar a distribuição de direitos de acesso a sistemas de informação e serviços. E que os procedimentos cubram todas as fases do ciclo de vida de acesso do usuário, da inscrição inicial como novos usuários até o cancelamento final do registro de usuários que já não requerem acesso a sistemas de informação e serviços.
Com base na política de segurança da informação, as implementações dos planos de
controles de acessos atendem a um objetivo que é: manter e melhorar a salvaguarda da
informação, com processos como;
• logon, • senhas, • firewall, • antivírus • criptografias
Estes processos funcionam como uma barreira que impede que pessoas mal
intencionadas e não autorizadas tenham acesso indevido. Fazem parte da política de segurança
da informação os controles de acesso físico e lógico.
2.14 Controle de Acesso Físico
Ferreira (2003, p. 127) aborda controle de acesso físico como “toda e qualquer
aplicação de procedimentos ou uso de equipamentos com o objetivo de proteger ambientes,
equipamentos ou informações cujo acesso deve ser restrito”.
25
Estes tipos de controle podem ser vistos com qualquer tipo de barreiras que impeçam
ou limitam o acesso direto a informação. Existem ferramentas de segurança utilizada que
reforçam estes tipos de controles físicos, tais como:
• Grades, muros e portas;
• Guardas;
• Crachás;
• Sistemas com portas duplas; Controle de acesso biométrico
(FERREIRA, 2003).
Para Ferreira e Araújo (2008, p.123) “Os sistemas de segurança devem ser
implementados para garantir que o acesso em todos os locais da organização seja realizado
por apenas profissionais autorizado.” Acrescentam ainda que se é necessário um investimento
grande com relação ao nível de criticidade da informação. “quanto maior for à sensibilidade
do local, maiores serão os investimentos em recursos de segurança para serem capazes de
impedir o acesso não autorizado.” (FERREIRA; ARAÚJO, 2008, p.123).
2.15 Segurança de acesso Lógico
Com a grande dependência das organizações ao uso dos sistemas e ambiente
informatizado é comum que hoje haja uma preocupação com a utilização de algum dispositivo
que garanta o controle de acesso e a segurança desses ambientes mais importantes desses
sistemas mais críticos.
Para Ferreira (2003, p. 47).
O controle de acesso lógico deve abranger (i) o recurso informatizado que se pretende proteger e (ii) o usuário a quem se pretender dar certos privilégios e acessos. A proteção dos recursos está baseada na necessidade de acesso de cada usuário. Enquanto que a identificação e autenticação são feitas normalmente por um Use ID e uma senha durante o processo de logon.
Este processo de controle de acesso pode ser compreendido com o uso de
“indentificação e autenticação de usuários, gerenciamento e monitoramento de privilégios,
limitação e desbilitação de acessos e na pevenção de acessos não autorizados.” (FERREIRA;
ARAÚJO, 2008).
26
2.16 Segurança de Redes
Atualmente, a troca de dados, informações e recursos não são tarefas tão seguras e
nem tão fáceis como muitas empresas acreditam que sejam. Em uma organização há muitos
computadores interligados, trocando informação, e cada qual com uma função específica, com
uma função diferente. Essas informações trocadas entre estas máquinas podem conter
conteúdo sigiloso que geralmente não pede ser visto e nem compartilhado com todos. Elas
devem ser devidamente protegidas e enviadas a quem de direito.
Segundo Tadeu (2006, p. 41) “para o controle da rede devem existir funções
específicas a cada usuário da rede, definindo quem, onde e o que se pode acessar, delimitando
o espaço de cada um dentro do sistema inteiro.” Tem que haver um gerenciamento com
relação a estas informações circulando dentro das redes observando “os três principais tópicos
de redes: integridade, confidencialidade e disponibilidade” (TADEU, 2006, p.42).
Se estas redes forem conectadas à Internet, o administrador da rede tem que se
preocupar com as “pessoas que utilizam a internet para descobrir falhas na segurança da rede
para roubar e danificar informações de redes privadas” (TADEU, 2006, p.42) e se preocupar
também com o surgimento de novos vírus e worms, utilizar ferramentas, softwares que
protejam e combatam este tipo de ameaça.
O gestor da rede tem que atribuir aos usuários, conforme as suas necessidades,
direitos e privilégios de acesso aos sistemas, além de conscientizá-lo sobre o uso correto da
rede dentro de uma organização, por meio de palestras, cursos ou treinamentos. Assim
garante-se a segurança a quem acessa as informações que circulam dentro da organização.
27
CAPÍTULO III
3. ESUDO DE CASO
3.1 Empresa
A RV SOLUTIONS COMÉRCIO DE PAPÉIS E INFORMÁTICA é uma empresa
revendedora de materiais de escritório e informática. Situa-se em Brasília na Asa Sul, suas
vendas são baseadas em pregões e licitações junto ao governo e empresas privadas. Conta
com um quadro de nove funcionários e com uma rede de sete computadores interconectados.
RV SOLUTIONS COMÉRCIO DE PAPÉIS E INFORMÁTICA
Setor de Indústrias Gráficas Sul – Brasília/DF
Ramo: Atacado e Varejo (Telemarketing)
Funcionários;
• Informática 1 Funcionário
• Comercial 6 Funcionários
• Administração 2 Funcionários
Este estudo teve como objetivo identificar problemas relacionados à segurança da
informação e possíveis problemas que possam atrapalhar a implementação de política de
segurança da informação no ambiente organizacional da empresa. Observou-se o
comportamento humano dentro da organização com relação à segurança de qualquer tipo de
ativo que a organização possua.
28
A descrição das fotografias a seguir, mostra as vulnerabilidades das informações no ambiente
organizacional.
Pode-se ver na figura 1, ao lado, o computador do departamento de faturamento, onde ocorrem às emissões de notas fiscais. Todas as pessoas que estiverem no ambiente podem ter acesso ao computador sempre que precisarem, pois o mesmo encontra-se desprotegido e sem nem uma senha de acesso ou proteção adequada.
Figura - 1 Máquina de Faturamento sem proteção
Logo acima do Gabinete da máquina, encontram-se dois cartões com leitoras. São
certificados digitais da empresa, que permitem a emissão de Notas Fiscais Eletronicas perante
a SEFAZ (Secretaria de Estado de Fazenda do Distrito Federal). Esses certificados possuem
grande valor para a empresa, pois neles estão contidas todas as informações da organização.
Eles funcionam como um identificador permitindo a SEFAZ autenticar a identidade da
empresa.
A Sala onde se encontra o servidor da empresa tem livre acesso para pessoas não autorizadas. (Figura 2) Observa-se que o armário que serve como arquivo de documentos confidenciais está com a chave na porta, Além disso, pode-se ver a presença de Dispositivo de Armazenamento de Dados Portátil (Pen-Drive) sobre o balcão. Máquina desbloqueada e sem segurança.
Figura - 2 Servidor completamente vulnerável
29
Figura – 3 Informaçoes sigilosas e vulneráveis
Na mesma sala onde se encontra o servidor, encontra-se um armário repleto de documentos confidenciais, tais como procurações, certidões, etc. O armário se encontrava com a chave exposta e de fácil acesso para quem estivesse na sala, correndo o risco de roubo de documentos e informações importante para a organização (Figura 3).
É necessario que a organização emplante diretrizes que determine que seus funcionário
evitem hábitos que possam comprometer a segurança da empresa. Na figura 4 há uma
demonstração de facil acesso onde, em um tipo de dispensa, a empresa guarda seus “Arquivos
mortos”. Lá encontram-se diversas informaçoes altamente sigilosas como;
• Relatórios de faturamentos mensal e anual;
• Relatórios de fornecedores e clientes;
• Relatórios de funcionários inativos;
• Relatórios de pagamentos e recebimentos;
As caixas de documentos encontram-se sem qualquer tipo de lacre o que permite acesso direto às informações pessoais de funcionários, fornecedores e clientes da empresa. A vulnerabilidade dessas informações pode trazer grande impacto à organização se elas chegarem a ser violadas por pessoas mal intencionadas. O uso indevido destes dados e informações permitem diversas ações como clonagem de documentos etc.
Figura – 4 Arquivos mal armazenados
30
Por lei, alguns documentos de gestão de pessoas devem ser arquivados pelo prazo de
até 50 anos pela a empresa. É aconselhável que os locais onde serão arquivados todos esses
documentos sejam cuidadosamente monitorados e bem armazenados, evitando que pessoas
não autorizadas tenham acesso a eles.
Figura – 5 Instalações inadequadas
Toda a instalação da rede de computadores depende desses dispositivos que estão na
figura 5, acima: um modem, um roteador e um nobreak. O local onde se encontram instalados
é inadequado e não é apropriado em relação à importância que eles têm para a organização.
Atualmente a organização conta com uma rede de sete computadores, sendo um servidor e
seis estações de trabalho. É necessário uma sala ou um ambiente mais adequado que não se
misture a locais onde funcionários que não possuem conhecimento e autorização tenham
acesso. As conexões elétricas como estão colocadas poderão ser desconectadas por um
tropeço de alguém causando um pico de energia e perda de comunicação na rede, afetando
todo o fluxo de informação entre os computadores.
31
Fiação mal instalada e mal organizada pode ser um grande problema quando se trata
de rede de computadores, como se observa na figura 6. Picos ou quedas de energias podem
danificar computadores, fontes de servidores ou até mesmo equipamentos da rede levando a
perda de dados importante para a continuação do negocio.
Figura – 6 Aparelhos e fios em locais indevido A figura 7 mostra a existência de placas indicando ambientes restritos a funcionários e portas
que deveriam permanecer fechadas, porém essas regras não estão sendo devidamente
obedecidas. Ela se encontra aberta para qualquer pessoa ou funcionário que estiver no local.
Figura – 7 Ambientes restritos
32
Figura - 8 Único acesso ao prédio sem as devidas medidas de segurança
Na figura 8, observa-se que a empresa dispõe de uma única entrada e saída, e sem as
devidas medidas de segurança física, o ambiente proporciona riscos para todos os ativos e
funcionários daquele local. A Empresa encontra-se na parte superior do prédio, tendo como
única entrada o portão da garagem que dá acesso à parte superior do mesmo. O portão
existente se encontra em mal estado de conservação, e por não ter recepção, ele se encontra no
modo manual, ou seja, a parte elétrica do portão que deveria estar acionada está com defeito
ou desativada, permitindo que as pessoas entrem sem permissão e sem ser visto no local, pois
não há câmeras de vigilância para auxiliar na recepção do ambiente. Na entrada estão
armazenados materiais, como produtos de comercialização da própria empresa, bruscamente
vulneráveis a furtos. Os únicos extintores do prédio estão em péssimas condições e fora do
prazo de validade, e não estão em seus devidos lugares, permanecendo na dispensa com
outros materiais de limpeza interna.
33
3.2 Matriz de Risco
A matriz de risco foi elaborada para determinar o valor e o potencial de cada risco e
ameaça encontrada na organização.
Segundo Ferreira (2003, p.98) “A melhor forma para determinar o grau de risco é
relacionar, em detalhes, quais seriam os impactos para a organização de uma ameaça explorar
uma vulnerabilidade eficazmente”. Entretanto é necessário o levantamento de todos os ativos.
Quadro 1 - Níveis de Risco
PROBABILIDADE Alto Médio Baixo (1.0) (0.5) (0.1)
IMPACTO
Alto (100) Médio (50) Baixo (10) 100 x 1.0 = 100 50 x 1.0 = 50 10 x 1.0 = 10 100 x 0.5 = 50 50 x 0.5 = 25 10 x 0.5 = 5 100 x 0.1 = 10 50 x 0.1 = 5 10 x 0.1 = 1
Fonte Ferreira e Araújo (2008, p. 179).
Para Ferreira (2003, p. 98) Os níveis da probabilidade são definidos como:
Alto: A fonte de ameaça está altamente motivada e possui conhecimento suficiente para execução do ataque. Médio: A fonte de ameaça está motivada e possui conhecimento suficiente para execução do ataque. Baixo: A fonte de ameaça não estar altamente motivada e não possui conhecimento suficiente para a execução do ataque.
Foi realizado o levantamento de todos os ativos da empresa e feito o detalhamento dos
níveis de riscos; Os dados da tabela de níveis de risco favorecem que sejam estimados os
valores de impacto e probabilidade descrevendo as vulnerabilidades que ameaçam os ativos
de informação.
34
Quadro 2 – Matriz de riscos
ATIVOS RISCOS VULNERABILIDADE PROBABILIDADE IMPACTO FATOR DE RISCO
SERVIDOR E ESTAÇÕES
Alterações, roubo e perda da integridade
de informações.
Ausência de diretrizes e praticas de seguranças para os funcionários e
colaboradores
1.0 100 ALTO
Perda de dados e informações
Não existe rotina de Backup dos arquivos e
informações
1.0 100 ALTO
Manipulação do Sistema
Ausência de controle de acesso e restrições de pessoas
1.0 100 ALTO
REDE
Falhas, invasão, roubos e
exclusão de arquivos
Senha exposta para terceiros e pessoas
não autorizadas 1.0 100 ALTO
Roubos, alterações e acessos não permitidos
Funcionários acessam a rede com
notebook e aparelhos pessoais
0.5 50 MÉDIO
SISTEMA
Alterações, exclusões e acessos não autorizados
Não há normas de segurança, controles e bloqueio de tela na
ausência dos usuários
1.0 100 ALTO
ARQUIVO DE INFORMAÇOES
Alterações, roubos,
extravio e acessos
indevido.
Não existe controle de acesso no local
onde estar armazenado os
arquivos
1.0 100 ALTO
INSTITUIÇÃO Incêndios e
furtos de equipamentos
Ausência de Extintores de
incêndio e sistema de segurança
1.0 100 ALTO
Todos os fatores de alto risco expostos no quadro 2, foram criticamente analisados e
estudados com o objetivo de buscar alternativas para diminuir ou eliminar os riscos de grande
impacto para a organização.
A figura 9 mostra os riscos identificados distribuídos conforme a grau de impacto que
estes podem causar à Empresa;
35
Figura 9 – Impacto dos Riscos analisados.
Os riscos de médio e baixo nível devem ser tratados com atenção, porem não com a
mesma exclusividade que deve ser tratadas os riscos de alto nível, uma vez que não
acontecem com frequências, mas se ocorrerem podem trazer grandes impactos aos negócios,
por isso também merecem atenção e devem ser tratados e diminuídos ao máximo.
De acordo com a norma ABNT NBR ISO/IEC 27002 (2005, p. 103).
Convém que o processo de gestão da continuidade do negócio seja implementado para minimizar um impacto sobre a organização e recuperar perdas de ativos da informação (que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e ações intencionais) a um nível aceitável através da combinação de ações de prevenção e recuperação. Convém que as consequências de desastres, falhas de segurança, perda de serviços e disponibilidade de serviços estejam sujeitas a uma análise de impacto nos negócios. Que os planos de continuidade do negócio sejam desenvolvidos e implementados para assegurar que as operações essenciais sejam recuperadas dentro da requerida escala de tempo.
Diante da análise de risco elaborado a partir das vulnerabilidades identificadas na
Empresa RV SOLUTIONS, foi elaborada a proposta de política de segurança da informação
para que, se adotada pela organização sejam minimizados os impactos que possam impedir a
continuidade dos negócios da empresa.
36
CAPÍTULO IV
4. PROPOSTA DE POLÍTICA DE SEGURANÇA FISICA E LÓGICA DA
INFORMAÇÃO
4.1 Instituição
Esta Proposta de Política de segurança da informação destina-se à RV SOLUTIONS,
empresa de sociedade limitada, revendedora de materiais de escritório e informática, que está
a 10 anos no mercado e, até o presente momento, não possui uma política de segurança da
informação para manter seus ativos imunes de vulnerabilidade e riscos que possam trazer
complicações futuras ao seu negócio.
4.2 Objetivo
Garantir a confidencialidade, integridade e a disponibilidade física e lógica das
informações da organização, mantendo todos os ativos seguro e longe dos riscos que possam
ocasionar impactos aos negócios.
4.3 Abrangência da Política
A Política de segurança da informação na RV SOLUTIONS COMÉRCIO DE PAPÉIS
E INFORMÁTICA aplica-se a todos os setores da empresa e funcionários, colaboradores e
prestadores de serviços, incluindo trabalhos executados externamente ou por terceiros, que
utilizem o ambiente de processamento ou de acesso a informações organizacional.
4.4 Definições básicas
É de inteira responsabilidade do gerente ou proprietário da empresa estabelecer
critérios relativos ao nível de confidencialidade da informação gerada por sua organização de
acordo com os tópicos abaixo:
Informação Pública: É toda informação que pode ser acessada por usuários da
organização, clientes, fornecedores, prestadores de serviços e o público em geral.
37
Informação Interna: é toda informação que só pode ser acessada por funcionários da
organização. São informações que possuem um grau de confidencialidade que pode
comprometer a imagem da organização.
Informação Confidencial: é toda informação que pode ser acessada por usuários da
organização e por parceiros da organização. A divulgação não autorizada dessa
informação pode causar impacto (financeiro, de imagem ou operacional) ao negócio
da organização ou ao negócio do parceiro.
Informação Restrita: é toda informação que pode ser acessada somente por usuários
da organização explicitamente indicado pelo nome ou por área a que pertençam. A
divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou
comprometer a estratégia de negócio da organização. Todo Gerente ou Supervisor
deve orientar seus subordinados a não circularem informações, ou mídias consideradas
confidenciais ou restritas, como também não deixar relatórios nas impressoras, e
mídias em local de fácil acesso; manter sempre o conceito “mesa limpa”, ou seja, ao
terminar o trabalho não deixar nenhum relatório, ou mídia confidencial e restrita, sobre
suas mesas, acionando também o bloqueio de tela do computador quando se ausentar
de seu local de trabalho.
Ativo: é tudo aquilo que possui valor para a empresa.
Risco: possibilidade de uma determinada ameaça explorar vulnerabilidades de um
ativo
Identificação do Risco: processo para localizar, listar e caracterizar elementos de
riscos.
Gestão de riscos: atividades coordenadas para direcionar e controlar uma organização
no que se refere a riscos.
Tratamento do risco: processo de seleção e implementação de medidas para
modificar ou eliminar um risco.
Ameaça: qualquer evento que explore as vulnerabilidades.
Vulnerabilidades: fraquezas que pode ser explorada e comprometer a segurança.
38
Ataque: tentativa de violação nas regras de segurança da informação. Ataque pode ser
o simples fato de tentar manipular o sistema, mesmo não tendo sucesso sobre o
objetivo. Ele pode ser efetuado para excluir alguma informação; pode ser utilizado
para danificar um sistema, inclusive um sistema de hardware; pode ser utilizado
também para diminuir os recursos de um sistema ou simplesmente para se alterar ou
obter informações.
Vírus: programa ou parte de um programa de computador, normalmente malicioso,
que se propaga infectando, inserindo cópias de si mesmo e/ou se tornando parte de
outros programas e arquivos.
Violação: acesso a informação por pessoas ou mecanismos não autorizados.
Engenharia Social: ataques usando da persuasão para obter informações do usuário;
pode ser um e-mail falso ou ligação telefônica solicitando para executar um arquivo
em anexo para solucionar algum problema; um email de um suposto amigo, pedindo
para clicar em um link informado; uma cópia da página do banco pedindo para se
colocar a conta e a senha as informações. Em todos esses casos, procura-se induzir o
usuário a realizar alguma tarefa.
Impacto: mudança adversa; consequência avaliada dos resultados com a ocorrência de
um evento, em que determinada vulnerabilidade foi explorada; uma ameaça ocorreu e
o risco se concretizou.
Segurança da Informação: garante a continuidade do negócio e a proteção da
informação de vários tipos de ameaça, minimizando o risco que compromete. É o
resultado de controle, definição de políticas, processos e procedimentos que preserva a
confidencialidade, integridade e a disponibilidade da informação.
Controle: forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes,
práticas ou estruturas organizacionais que podem ser de natureza administrativa,
técnica ou de gestão.
Diretriz: descrição que orienta o que deve ser feito e como, para se alcançar os
objetivos estabelecidos nas políticas.
39
4.5 Referências
Para se alcançar a eficiência desta proposta de política de segurança foram consultadas as
normas que regem as regras e técnicas de segurança da informação:
• A NORMA BRASILEIRA ABNT NBR ISO/IEC 27002:2005. Técnicas de
segurança – Código de prática para gestão da segurança da informação;
• NORMA BRASILEIRA ABNT NBR ISO/IEC 27001:2006 Técnicas de
segurança- Sistemas de gestão de segurança da informação — Requisitos;
• NORMA BRASILEIRA ABNT NBR ISO/IEC 27005:2008 Técnicas de
segurança- Gestão de riscos de segurança da informação.
4.6 DIRETRIZES
4.6.1 Servidor e Estação de trabalho
a. Devem ser adotados controles de acesso na sala onde se localiza o servidor
da empresa dando acesso somente para pessoas autorizadas.
b. Não é permitido o uso de dispositivos de armazenamento portátil (Pen-
Drive) no ambiente dos servidores, e em hipótese alguma poderá ser
liberado o acesso ao servidor para computadores que não sejam cadastrados
e/ou que não fazem parte da rede de computadores da empresa.
c. Devem ser realizados diariamente backups ao final do expediente por
pessoa autorizada.
d. Todos os funcionários da empresa devem possuir uma senha de segurança
para acesso às suas estações de trabalho, e todos os computadores devem
ser configurados para bloquear suas telas automaticamente quando o
usuário deixar de utilizá-lo por período determinado de tempo.
40
4.6.2 Rede
a. É obrigação de todos os que usam a rede da empresa manter a ética e
profissionalismo no ambiente de trabalho.
b. E proibido fazer uso da rede para obrigações pessoais como; enviar ou
receber email pessoal, baixar e/ou instalar softwares que não sejam
autorizados para uso profissional no ambiente de trabalho.
c. Não será permitido acessar sites de relacionamentos ou redes sociais por
quaisquer meios eletrônicos utilizando-se da rede corporativa.
4.6.3 Sistema
a. Todos os funcionários, sem exceção, deverão ser cadastrados no banco de
dados da empresa e cada usuário deverá portar seu código de usuário e
senha para acessar o sistema.
b. Cada usuário terá permissões e privilégios de acordo com sua função e
cargo na empresa;
c. A auditoria da organização tem plenos poderes para realizar rastreamento
de uso e responsabilizar os usuários do sistema identificados como
facilitadores de fraude. Todos os usuários terão a obrigação de manter sua
senha em sigilo não revelando a terceiros.
4.6.4 Arquivos de informações
a. A Empresa deverá manter seus arquivos e armários que contenham
documentos e informações importantes com chaves e trancas sob a
responsabilidade de pessoas autorizadas.
b. Cada setor deverá ser orientado a manter seus ambientes trancados e suas
chaves guardadas em lugar seguro.
c. É obrigação de cada setor manter a segurança do local onde armazenam
seus arquivos, não podendo em hipótese alguma copiar ou divulgar as
informações contidas nos arquivos sem a autorização.
41
4.6.5 Instituição
a. A empresa deverá fazer a manutenção periódica dos extintores de incêndios
e orientar seus funcionários nas práticas de segurança, disponibilizando
treinamentos e adestrando-os para o uso correto desses equipamentos.
b. Não será permitida a entrada de visitantes e de colaboradores e funcionários
sem identificação na empresa, e para isso a empresa deverá contar com uma
recepção que realize o controle de acesso de visitantes e colaboradores, por
meio de cadastro em sistema específico.
c. Todos os visitantes receberão um crachá de identificação na entrada da
organização, ficando obrigado a portá-lo enquanto permanecer dentro da
empresa.
d. Todo setor, considerando a criticidade de seus ativos, deverá ter suas
restrições de acesso.
e. A empresa deverá orientar os funcionários para a adoção de boas praticas
de segurança, com palestras e aulas que possam ajudar no entendimento ao
que diz respeito à segurança da informação.
4.7 Responsabilidades
4.7.1 Supervisores e administradores:
• Acompanhar a implantação da política de segurança da informação e suas definições
de direitos de acesso às funcionários e colaboradores ao sistema e informações da
empresa.
• Analisar e aprovar a política, verificando sempre se os usuários estão acessando
exatamente as informações compatíveis com suas respectivas funções, usando e
conservando adequadamente os equipamentos da empresa.
4.7.2 Setor Comercial
• Conservar e fazer o uso adequado do sistema e informações da empresa;
• Sugerir mudanças que possam aumentar a segurança da informação;
42
• Comunicar quaisquer falhas ou incidentes relacionados à segurança da informação;
• Seguir todas as normas e sugestões constantes na política de segurança da
informação da empresa.
4.7.3 Setor de Informática
• Fazer o uso adequado do sistema;
• Discutir e orientar os demais setores na aquisição de novos programas (Softwares)
ou de novos equipamentos de informática (Hardware);
• Disponibilizar treinamentos e boas praticas de segurança conforme a Política;
• Analisar o comportamento da rede e comunicar qualquer eventualidade de
descumprimento da política de segurança da informação;
• Manter os antivírus sempre atualizados;
• Comunicar os supervisores qualquer incidente de segurança;
• Sugerir praticas ou atualizações que venha enriquecer o nível de segurança da
informação na instituição.
4.8 Conformidade
Esta Política de Segurança da Informação está em conformidades com a norma
ABNT NBR ISO/IEC 27002:2005 e com a legislação relacionada a todos os procedimentos a
que venha violá-la.
4.9 Penalidades
O não cumprimento desta Política de Segurança da Informação implica em falta grave
e poderá resultar em advertência formal, rescisão de contrato de trabalho, outra ação
disciplinar e/ou processo civil ou criminal.
4.10 Disposições gerais
A Política de segurança da Informação física e lógica da RV SOLUTIONS
COMÉRCIO DE PAPÉIS E INFORMÁTICA passará a vigorar a partir de sua homologação e
aceitação pelos supervisores e sócios da Empresa, devendo ser assinada e disponibilizada para
todos os funcionários e colaboradores.
43
5. CONCLUSÃO
Concluí-se que, com a Política de Segurança da informação física e lógica a RV
SOLUTIONS deverá minimizar os riscos que ameaçava a empresa constantemente. A
conscientização dos funcionários quanto às suas funções e obrigações em relação à segurança
dos ativos de informação da organização proporcionará maior tranquilidade para os acionistas
e assegurará a continuidade dos negócios e garantirá tomada de decisões mais ágeis e mais
precisas.
Com todas as diretrizes obedecidas e adequadamente seguidas por todos sem exceção,
o desempenho da rede e do sistema será otimizado superando as expectativas do cliente e da
empresa. A adoção da política poderá proporcionar agilidade ao sistema evitando que a
empresa fique atrás da concorrência e seus clientes insatisfeitos.
O cumprimento das normas pelos funcionários não permitirá que sejam acessados sites
e ambientes não recomendados que enfraqueçam a segurança deixando a empresa mais
vulnerável a ameaças que muitas vezes exploram as fragilidades, facilitando a ocorrência de
fraudes e furtos de informações.
Concluímos que bons hábitos e treinamentos dos funcionários em conformidade com a
política de segurança da informação a empresa passa a se precaver dessas ameaças e a evoluir
mais no mercado.
44
6. REFERÊNCIAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS E TÉCNICAS – ABNT. NBR ISO/IEC 17799:2005 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da Informação. Rio de Janeiro: ABNT, 2005.
ASSOCIAÇÃO BRASILEIRA DE NORMAS E TÉCNICAS – ABNT. NBR ISO/IEC 27002:2005 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da Informação. Rio de Janeiro: ABNT, 2005.
ASSOCIAÇÃO BRASILEIRA DE NORMAS E TÉCNICAS – ABNT NBR ISO/IEC 27001:2006. – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos. Rio de Janeiro: ABNT, 2006.
ASSOCIAÇÃO BRASILEIRA DE NORMAS E TÉCNICAS – ABNT NBR ISO/IEC 27005:2008. – Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação. Rio de Janeiro: ABNT, 2008.
AGENCIA ESTADUAL DE TECNOLOGIA DA INFORMAÇÃO – NORMA TÉCNICA ATI-SGR-PR/001:2010. – Política de Segurança da Informação – Diretrizes Gerais. Recife: ATI, 2010.
ALVES, Gustavo Alberto. Segurança da Informação: uma visão inovadora da gestão. Rio de Janeiro: Ciência Moderna, 2006. FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Marcio Tadeu. Política de Segurança da Informação: guia prático para embalagem e implementação. Rio de Janeiro: Ciência Moderna, 2008.
FERREIRA, Fernando Nicolau Freitas. Segurança da informação. Rio de Janeiro: Ciência Moderna, 2003.
HOUAISS, A; VILLAR, Mauro de Salles; FRANCO, Manoel de Mello. Dicionário Eletrônico da Língua Portuguesa. 3.ed. Rio de Janeiro: Objetiva, 2009.
45
LUCAS, Bianka Capelato. A segurança da informação em organizações de Salvador 2005. Disponível em < https://repositorio.ufba.br/ri/bitstream/ri/8183/1/Disserta%C3%A7%C3%A3o%2 0Bianka.pdf Acesso em 05 de Abril às 14h30min.
MAURO, Ceiton Parreiras de . Delineando o valor da informação nas organizações – out 2004.. Disponível em<http://www.zemoleza.com.br/carreiras/19531-delineando-o-valor-da-informacao-nas-organizacoes.html>. Acesso em 30/03/2013 às 16h42min.
NAKAMURA, Emilio Tissato; GEUS, Paulo Lício. Segurança de redes em ambientes cooperativos. SP: Berkeley, 2002.
OLIVER, Paulo Roberto Costa. Classificação e segurança da informação – ago 2011. Disponível em http://ecmconnection.ning.com/group/classificaotaxonomiaematadados /forum/topics/classifica-o-e-seguran-a-da-informa-o>. Acesso em 30/03/2013 às 18h22min.
SILVA, Pedro T.; CARVALHO, Hugo; TORRES, Catarina B. Segurança dos sistemas de informação: gestão estratégica da segurança empresarial. Portugal: Centro Atlântico, 2003.
SCARDUELLI, Guilherme Masahiro Iwamotoas. Segurança da informação nas empresas, problemas frequentes. São Paulo 2009. Disponível em <http://fateczl.edu.br/TCC/2009-2/tcc-32.pdf>. Acessado em 28 de Março às 16h10min.
SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Elsevier/Campus, 2003. 156p.
TADEU, Luciano Silva. Políticas de segurança da informação: Recomendações para redução de riscos e vulnerabilidades humanas. 2006. 73p. Monografia (Licenciatura em Ciência da Computação) – Instituto de Ciências Exatas Departamento de Ciência da Computação, Universidade de Brasília. Disponível em <http://monografias.cic.unb.br/dspace/bitstream/123456789/77/1/monografia_00-35297.pdf>. Acessado em 28 de abril de 2013.