proposta de politica de seguranÇa da...

45
TECNOLOGIA DE SEGURANÇA DA INFORMAÇÃO JOSIEL FERREIRA DE SOUZA EDGAR PAULO DA SILVA PROPOSTA DE POLITICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA RV SOLUTIONS COMÉRCIO DE PAPÉIS E INFORMÁTICA BRASÍLIA DF 2013

Upload: hoangtuong

Post on 04-Feb-2018

213 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

 

TECNOLOGIA DE SEGURANÇA DA INFORMAÇÃO

JOSIEL FERREIRA DE SOUZA

EDGAR PAULO DA SILVA

PROPOSTA DE POLITICA DE SEGURANÇA DA INFORMAÇÃO

FÍSICA E LÓGICA PARA RV SOLUTIONS COMÉRCIO DE PAPÉIS E INFORMÁTICA

 

 

 

 

BRASÍLIA – DF 2013

Page 2: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

 

JOSIEL FERREIRA DE SOUZA EDGAR PAULO DA SILVA

 

 

 

 

 

 

 

 

PROPOSTA DE POLITICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA RV SOLUTIONS COMÉRCIO DE PAPÉIS E

INFORMÁTICA 

 

 

 

 

 

 

 

  

 

Trabalho de Conclusão de Curso apresentado às Faculdades Integradas Promove de Brasília como requisito parcial para obtenção do título de tecnólogo no Curso de Tecnologia em Segurança da Informação.

Orientador (a) Profa. Dra. Maria José de Oliveira

 

   

BRASÍLIA – DF 2013

Page 3: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

 

JOSIEL FERREIRA DE SOUZA EDGAR PAULO DA SILVA

 

 

 

 

 

PROPOSTA DE POLITICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA RV SOLUTIONS COMÉRCIO DE PAPÉIS E

INFORMÁTICA 

 

 

Trabalho de Conclusão de Curso apresentado às Faculdades Promove de Brasília, como requisito parcial para obtenção do título de tecnólogo no curso de Tecnologia em Segurança da Informação. Aprovado em:____/_____/_____ por: Orientadora: Profa. Dra. Maria José de Oliveira

Avaliador: Prof. MSc Cid Bendahan Coelho Cintra

Avaliador: Prof. Dr. Joacil Basilio Rael

Page 4: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

 

DEDICATÓRIA

Dedicamos este trabalho a todos os nossos familiares, por todo incentivo, força e

apoio nesta fase tão desgastante e tão importante em nossas vidas. E com muito carinho

dedicamos também este trabalho as nossas companheiras, esposa e namorada, pela paciência e

incentivo em todos os momentos, mesmo no cansaço e no desânimo, sempre estiveram ao

nosso lado.

EDGAR PAULO DA SILVA JOSIEL FERREIRA DE SOUZA

Page 5: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

 

AGRADECIMENTOS

Agradecemos primeiramente a Deus sem o qual nada disto seria possível. Aos nossos

familiares e amigos pela força e incentivo ao longo desta jornada.

A nossa Orientadora, Profa. Dra. Maria José de Oliveira, pela paciência, dedicação,

incentivo e sabedoria que muito nos auxiliou para conclusão deste tão “corrido” Trabalho de

Conclusão de Curso.

Agradecemos a todo corpo docente pelos ensinamentos e conhecimentos oferecidos

até esta etapa final da nossa graduação.

EDGAR PAULO DA SILVA JOSIEL FERREIRA DE SOUZA

Page 6: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

 

RESUMO

Este trabalho tem como objetivo propor para RV Solutions Comércio de Papéis e

Informática uma política de segurança da informação física e lógica. A proposta foi realizada

com a finalidade de revelar os riscos, e fazer as recomendações necessárias para mitigar as

vulnerabilidades existentes. A metodologia utilizada foi a pesquisa de campo para identificar

os ativos de informação e as vulnerabilidades no ambiente da empresa. Constatou-se que os

ativos estão expostos a um fator de risco muito alto e que precisam ser adequadamente

protegidos. Todas as diretrizes de implementação, regras e as responsabilidades contidas

nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC 27002:2005,

assegurando a confidencialidade, a integridade e a disponibilidade das informações.

Observou-se a importância de uma política de segurança para dar mais credibilidade à

empresa.

Palavras-Chave: Informação. Política de Segurança da Informação.

Page 7: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

 

ABSTRACT

This work has the objective to propose for RV Trade Solutions and Paper Computing, a security policy of physical and logical information. The proposal was made in order to reveal the risks, and make the necessary recommendations to mitigate these vulnerabilities. All implementing guidelines, rules and responsibilities contained in this policy proposal were based on the standard ISO / IEC 27002:2005, thus ensuring the confidentiality, integrity and availability of information.

Keywords: Information. Information Security Policy.

Page 8: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

 

LISTA DE FIGURAS

Página

Figura – 1 – Máquina de Faturamento sem proteção .......................................................... 28

Figura – 2 – Servidor completamente vulnerável ................................................................ 28

Figura – 3 – Informaçoes sigilosas e vulneráveis ................................................................ 29

Figura – 4 – Arquivos mal armazanados ............................................................................. 29

Figura – 5 – Instalações inadequadas .................................................................................. 30

Figura – 6 – Aparelhos e fios em locais indevido ............................................................... 31

Figura – 7 – Ambientes restritos ......................................................................................... 31

Figura – 8 – Único acesso ao prédio sem as devidas medidas de segurança ...................... 32

Figura – 9 – Impacto dos riscos analisados ......................................................................... 35

 

Page 9: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

 

LISTA DE QUADROS

Página

Quadro – 1 – Níveis de Risco .............................................................................................. 33

Quadro – 2 – Matriz de Risco .............................................................................................. 34

 

 

Page 10: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

10 

 

SUMÁRIO

Capítulo I

INTRODUÇÃO .................................................................................................................. 12

1. Objetivos ...................................................................................................................... 13

1.1 Geral ............................................................................................................................ 13

1.2 Específicos ................................................................................................................. 13

1.3 Justificativa ................................................................................................................. 13

1.4 Procedimentos metodológicos .................................................................................... 14

1.5 Organização da monografia ........................................................................................ 14

Capítulo II

REFERENCIAL TEÓRICO ................................................................................................ 15

2.1 Ativo ............................................................................................................................. 15

2.2 Informação ................................................................................................................... 15

2.3 Caracteristicas da Informação ..................................................................................... 16

2.4 Classificando a Informação ......................................................................................... 16

2.5 Valor da Informação .................................................................................................... 17

2.6 Gestão da Informação ................................................................................................. 18

2.7 Risco ............................................................................................................................ 18

2.8 Vulnerabilidade ............................................................................................................ 18

2.9 Ameaça ........................................................................................................................ 19

2.10 Ataque ....................................................................................................................... 19

2.11 Ferramentas de Segurança ....................................................................................... 19

2.12 Política se Segurança da Informação ........................................................................ 21

2.13 Segurança da Informação ......................................................................................... 23

2.14 Controle de Acesso FÍsico ......................................................................................... 24

2.15 Controle de Acesso Lógico ........................................................................................ 25

2.16 Segurança de Redes ................................................................................................. 26

Page 11: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

11 

 

Capítulo III

ESTUDO DE CASO .......................................................................................................... 27

3.1 Empresa ...................................................................................................................... 27

3.2 Matriz de Risco ........................................................................................................... 33

Capítulo IV

PROPOSTA DE POLÍTICA DE SEGURANÇA FÍSICA E LÓGICA DA INFORMAÇÃO . 36

4.1 Instituição .................................................................................................................... 36

4.2 Objetivo ........................................................................................................................ 36

4.3 Abrangência da Política ............................................................................................ 36

4.4 Definições Básicas ..................................................................................................... 36

4.5 Referências ................................................................................................................. 39

4.6 Diretrizes .................................................................................................................... 39

4.6.1 Servidor e Estação de Trabalho ........................................................................... 39

4.6.2 Rede .......................................................................................................................... 40

4.6.3 Sistema ..................................................................................................................... 40

4.6.4 Arquivos de Informações ....................................................................................... 40

4.6.5 Instituição ................................................................................................................. 41

4.7 Responsabilidades .................................................................................................... 41

4.7.1 Supervisores e Administradores .......................................................................... 41

4.7.2 Setor Comercial ...................................................................................................... 41

4.7.3 Setor de Informática ............................................................................................... 42

4.8 Conformidade ............................................................................................................ 42

4.9 Penalidades ................................................................................................................ 42

4.10 Disposições Gerais ................................................................................................. 42

5. Conclusão .................................................................................................................... 43

6. Referências .................................................................................................................. 44

Page 12: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

12 

 

CAPÍTULO I

INTRODUÇÃO

Nos tempos modernos a informação é considerada pelas empresas, corporações e

organizações, um patrimônio de valor imprescindível para os negócios, tanto para tomadas de

decisões em momentos críticos quanto para o crescimento dos mesmos. Devendo assim ser

protegido e resguardado contra todo e qualquer tipo de acesso não autorizado que possa

alterar reter ou até mesmo destruir os dados desta informação.

A informação pode ser denominada como um ativo que requer proteção nos aspectos

que se referem à confidencialidade, integridade e disponibilidade. Qualquer tipo de risco a

essas características, se configura como uma ameaça. A segurança da informação é a área

responsável em proteger o ativo dos diversos tipos de ameaças que podem vir a atrapalhar a

continuidade do negócio.

As ameaças aos ativos não se restringem somente a ataques de hackers ou crackers às

partes lógicas, mas também por acidentes naturais à parte estrutural da organização como, por

exemplo, enchentes, fogo, terremotos, descargas elétricas entre outros. Não se esquecendo dos

erros humanos que por mau treinamento ou nenhuma conscientização dos funcionários, pode

causar grandes perdas a integridade, disponibilidade e confidencialidade das informações.

Com estes despreparos, pode abrir brechas para engenharias sociais que visão a obtenção de

informação por meio de e-mails ou por telefonemas falsos, por exemplo, enganando o

funcionário e o induzindo ao vazamento, dentro da organização, de tais informações sigilosas.

É de grande importância que as organizações tenham uma fonte de diretrizes e normas

que direcionam os gestores da informação a minimizar todo o tipo de ameaças que possam

surgir. Convém que haja um documento de segurança que dite tais diretrizes e que este

documento tenha um apoio da alta administração e a colaboração dos demais integrantes da

organização.

A norma ABNT NBR ISO/IEC 27002:2005 é a base legal para uma política de

segurança da informação séria e confiável, por trazer todo um conjunto de regras e normas

que deverão se seguidos e que darão subsídios para uma correta aplicação das diretrizes

voltadas a segurança tanto nos aspectos físicos quanto nos aspectos lógicos da organização.

Ajudando a mitigar os danos aos negócios e maximizando o retorno dos investimentos e as

oportunidades de negócio.

Page 13: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

13 

 

1.1 OBJETIVOS

1.1.1 Geral

Propor uma Política de Segurança da Informação física e lógica de acordo com a

norma ABNT NBR ISO/IEC 27002 (2005) para a Empresa RV SOLUTIONS COMÉRCIO

DE PAPÉIS E INFORMÁTICA.

1.1.2 Específicos

a. Identificar os objetivos e negócios da empresa;

b. Analisar os ativos de valores;

c. Identificar todas as ameaças e vulnerabilidade dos ativos;

d. Avaliar os riscos de segurança; e

e. Elaborar uma política de segurança física e lógica para a informação na RV

Solutions Comércio de Papéis e Informática.

  1.2 JUSTIFICATIVA

Atualmente a RV SOLUTIONS COMÉRCIO DE PAPÉIS E INFORMÁTICA não

possui uma Política de Segurança da Informação. Existe entre os funcionários grande

desinformação com relação aos ativos da empresa, sua segurança e sua importância, correndo

grande risco de enfrentar problemas de vazamentos de dados sigilosos e de não saberem como

lidar com o problema. A política de segurança assegurará a confidencialidade, a integridade e

a disponibilidade das informações importantes da empresa, dando mais credibilidade mais

agilidade nas tomadas de decisões e nos processos que envolvam incidentes com o ativo de

informação na organização.

Uma Política de Segurança da Informação pode evitar a ocorrência de incidentes

relacionados à segurança da informação, pois ela estabelece um conjunto de normas,

procedimentos, instruções, diretrizes, responsabilidades e padrões que são fundamentais para

gestão e continuidade do negócio.

Page 14: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

14 

 

1.3 PROCEDIMENTOS METODOLÓGICOS

A metodologia utilizada neste trabalho foi baseada na pesquisa de campo onde

identificou-se os ativos de informação e as vulnerabilidades no ambiente da empresa, após o

levantamento de dados, procedeu-se à análise de risco e analisar todos os riscos que

comprometem a segurança dos ativos e a continuidade do negócio da empresa.

A coleta dos dados para análise foi realizada por meio de visita autorizada pelos

administradores ocasião em que foram fotografados todos os ambientes da Empresa com o

intuito de identificar vulnerabilidades que evidenciasse riscos à informação crítica da

organização.

Foi utilizada a Norma ABNT NBR ISO/IEC 27002:2005 como principal fonte para a

elaboração da política visando padronização e garantia de eficácia na montagem de diretrizes

e boas práticas de seguranças da informação. Livros, monografias, pesquisas e outras normas

relacionadas à segurança da informação também foram utilizadas neste trabalho.

1.4 ORGANIZAÇÃO DA MONOGRAFIA

Este trabalho está estruturado em quatro capítulos;

O capítulo 1 apresenta a introdução do trabalho realizado.

O capítulo 2 consiste no capítulo de referencial teórico formado por conceitos e leitura técnica

referente à segurança da informação.

O capítulo 3 apresenta o estudo de caso, formado pelas avaliações e análises realizadas na

organização.

O capítulo 4 propõe uma de Política de segurança da informação para a RV SOLUTIONS

COMÉRCIO DE PAPÉIS E INFORMÁTICA LTDA.

A Monografia é finalizada com a conclusão onde são apresentadas as considerações finais do

trabalho.

Page 15: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

15 

 

CAPÍTULO II

2. REFERENCIAL TEÓRICO

2.1 Ativo

De acordo com a norma ABNT NBR ISO/IEC 27002 (2005, p. 1) “ativo é qualquer

coisa que tenha valor para a organização”. Para Alves (2006, p.3) ativo é ”Tudo o que

representa valor para o negócio da instituição”.

A sua importância é tão grande para a organização que deve ser devidamente protegida ,

pois um ativo bem protegido faz com que uma organização ou empresa cresça, tenha

credibilidade no mercado e é importante para as tomadas de decisões em momentos críticos.

2.2 Informação

O conceito de informação para o dicionário Houaiss (2009, p.442) significa “conjunto

de conhecimentos reunidos sobre determinado assunto”, também pode ser interpretado como

o processamento de um conjunto de dados produzindo um significado ou conhecimento. “A

informação representa a inteligência competitiva dos negócios e é reconhecido como ativo

crítico para continuidade operacional e saúde da empresa.” (SÊMOLA, 2003, p 39).

A informação deve ser vista como um bem de extrema importância para uma

organização. É um ativo que deve ter um valor segundo seu grau de importância dentro da

organização ou empresa.

Segundo Sêmola (2003, p. 45) informação é:

Conjunto de dados utilizados para a transferência de uma mensagem entre indivíduos e/ou máquinas em processos comunicativos (isto é, baseados em trocas de mensagens) ou transacionais (isto é, processos em que sejam realizadas operações que envolvam, por exemplo, a transferência de valores monetários). A informação pode estar presente ou ser manipulada por inúmeros elementos deste processo, chamados ativos, os quais são alvo de proteção da segurança da informação.

Segundo a ABNT NBR ISO/IEC 27002 (2005, p. X).

Informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e consequentemente necessita ser adequadamente protegido. Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectado.

Page 16: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

16 

 

Por menor que seja a informação, ela tem um valor institucional e um valor crítico que

precisa ser protegido, é uma obrigação da organização como um todo. Não cabe somente aos

funcionários a obrigação de zelar pelo bem maior da instituição, cabe também aos executivos

e acionistas esta responsabilidade pela segurança da informação; ela é muito importante e

relevante para uma tomada de decisão institucional.

2.3 Características da informação

Dentre as características de valor da informação destacam-se:

a. Precisão: tem que ser precisa sem alteração;

b. Completa: tem que ser completa, mesmo que pequena;

c. Confiável: a fonte tem que ser confiável;

d. Relevante: tem valor para a tomada de decisão;

e. Verificável: verificar várias vezes para ter certeza se é confiável;

f. Acessível: a informação tem que estar disponível, acessível e correta para quem, de

direito, sempre que necessite;

g. Segura: tem todas as outras características, mas está acessível só para quem é de

direito. (OLIVER, 2011).

2.4 Classificando a Informação

A informação como ativo de valor da organização deve ser devidamente protegida e

adequadamente armazenada em locais seguros. Existem normas, regras que orientam o modo

correto de proteção e armazenamento das informações. Para saber qual o nível de proteção a

ser dado a uma informação, deve ser utilizado o processo de classificação que, ao final,

estabelece o grau de importância da informação dentro da organização.

O processo de classificação envolve métodos, procedimentos e técnicas e, em órgãos

da administração pública, a legislação em vigor. O processo de classificação da informação

assegura o acesso a quem é de direito e favorece na escolha dos melhores meios de

preservação da informação considerada sigilosa em uma organização. Para que haja uma

correta classificação da informação, o responsável por esta tarefa deve conhecer o negócio da

organização e os interesses da alta administração.

Page 17: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

17 

 

Para Ferreira e Araújo (2008, p.78) a classificação da informação é;

O processo de estabelecer o grau de importância das informações mediante seu impacto no negócio, ou seja. Quanto mais estratégica e decisiva para a manutenção ou sucesso da organização. Maior será sua importância. A classificação deve ser realizada a todo instante, em qualquer meio de armazenamento.

Segundo a ABNT NBR ISO/IEC 27002 (2005. p.23).

A informação possui vários níveis de sensibilidade e criticidade. Alguns itens podem necessitar um nível adicional de proteção ou tratamento especial. Convém que um sistema de classificação da informação seja usado para definir um conjunto apropriado de níveis de proteção e determinar a necessidade de medidas especiais de tratamento.

Segundo Ferreira (2008, p.80) “Cada classificação deve ser de fácil compreensão e

claramente descrita para demonstrar a diferenciação entre cada uma delas. Devendo-se evitar

níveis excessivos de classificação”. A classificação da informação leva em conta a

identificação dos níveis de proteção que as informações necessitam e estabelece formas de

identificá-las, além de determinar diretrizes de controles e de proteção necessários a cada uma

delas. Para Ferreira; Araújo (2008, p.80-81) três níveis de classificação já são suficientes. São

eles: Classe1: Informação pública São aquelas que não necessitam de sigilo algum, podendo ter livre acesso para os colaboradores. Classe 2: Informação interna O acesso esterno às informações deve ser evitado. Entretanto, se esses dados tornarem-se públicos, as consequências não serão críticas. Classe 3: Informação confidencial As informações desta classe devem ser confidenciais dentro da organização e protegidos do acesso externo. Se alguns desses dados forem acessados por pessoas não autorizadas, as operações da organização poderão ser comprometidas.

2.5 Valor da informação

A informação deve ser considerada um instrumento de fundamental importância na gestão de uma organização, pois para todo e determinado tipo de atribuição, função ou responsabilidade, ela está presente e deve ser trabalhada, utilizando-se do seu valor para o desenvolvimento e crescimento da empresa. (MAURO, 2004).

A informação como toda a sua análise, importância e classificação dentro da

organização, tem que ser adequadamente gerenciada, pois a informação tem um valor

importante que auxiliará no processo decisório. Observando sempre que esta tomada de

decisão influenciará nos resultados e consequentemente no futuro da organização.

Page 18: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

18 

 

2.6 Gestão da informação

Segundo a ABNT NBR ISO/IEC 17799 (2005, p. 21).

Convém que todos os ativos sejam inventariados e tenham um proprietário

responsável. Convém que os proprietários dos ativos sejam identificados e a eles

seja atribuída a responsabilidade pela manutenção apropriada dos controles. A

implementação de controles específicos pode ser delegada pelo proprietário,

conforme apropriado, porém o proprietário permanece responsável pela proteção

adequada dos ativos.

2.7 Risco

Riscos existem a todo tempo no dia-a-dia, isso porque o risco é qualquer possibilidade

de perigo e o que conta mesmo é a expressão “possibilidade”.

Segundo a ABNT NBR ISO/IEC 27005 (2008) “Risco de Segurança da informação é

a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou grupo

de ativos, e a combinação da probabilidade de evento indesejado ocorrer e de suas

consequências”.

Devido o grande avanço tecnológico que vem acontecendo nos últimos anos, às

organizações vem sendo alvos de ataques e invasões. Agentes mal intencionados com

conhecimentos o bastante que o permite explorar riscos e vulnerabilidades nas empresas

através de redes e sistemas computacionais.

2.8 Vulnerabilidade

Vulnerabilidades são deficiências de diversas origens, as quais muitas vezes, não são

identificadas a tempo ou, mesmo quando isso ocorre, não são devidamente tratadas de modo a

evitar um ataque (NAKAMURA, 2002, p. 29-89). Brechas, fragilidades ou fraquezas que um

agente mal intencionado pode usar para obter acesso não autorizado comprometendo toda a

segurança da informação de uma organização. É necessária uma gestão de vulnerabilidades

para se tomar medidas apropriadas para lidar com riscos associados.

Page 19: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

19 

 

Segundo a ABNT NBR ISO/IEC 27002 (2005, p.96).

A Gestão de Vulnerabilidade tem por objetivo reduzir riscos resultantes da exploração de vulnerabilidades. Convém que a implementação da gestão seja implementada de forma efetiva, sistemática e de forma repetível com medições de confirmação da efetividade.

Para Sêmola (2003, p.48-49) as vulnerabilidades podem ter origens diversas como:

Agentes da natureza: umidade, poeira, poluição e calor podem causar danos aos ativos. Hardwares: falhas no desenvolvimento que permitem a inclusão e execução de softwares com código malicioso. Mídias de armazenamento: falhas de fabricação ou estocagem de CD-ROM, discos rígidos entre outros. Humanas: relativas aos danos que o ser humano pode causar ás informações.

2.9 Ameaça

Eventos que se aproveitam das vulnerabilidades causando danos e comprometendo

sistema ou organização. Podem ser realizado por funcionários insatisfeitos ou pessoas não

autorizadas que tenham intenção de comprometer a segurança da empresa.

2.10 Ataque

Tentativa de manipular um sistema com o objetivo de excluir, alterar ou até mesmo

danificar. Geralmente é usado um conjunto de técnicas para obter eficácia nos ataques, os

mais comuns são propagação de vírus, ataques de Denial of Service (Negação de serviço) e

engenharia social.

Segundo Ferreira; Araújo (2008, p.119) “O sucesso no ataque de engenharia social

ocorre geralmente quando os alvos são as pessoas ingênuas ou aquelas que simplesmente

desconhecem as melhores práticas de segurança”. Para evitar estes incidentes de segurança é

necessário softwares de antivírus, atualização periódica das definições de vírus e orientações

prática de segurança para os usuários.

2.11 Ferramentas de segurança

Para Ferreira; Araújo (2008, p.91).

Nos casos em que o usuário se ausentar de seu local de trabalho, é recomendado que ele ative a proteção de tela/bloqueio do teclado. Se por algum motivo o usuário não fizer, como forma de proteção adicional, as estações de trabalho devem ser configuradas para o bloqueio automático após um período de inatividade.

Page 20: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

20 

 

Com a participação de todos os envolvidos na organização pode-se obter a seguraça da

informação reduzindo e administrando os riscos relativos aos negócios, com o objetivo da

continuidade da empresa no mercado. As instituições devem procurar seguir as melhores

práticas na gestão de segurança da Informação.

De acordo com Ferreira; Araújo (2008, p.54) O sistema de Gestão em Segurança da

Informação (SGSI), “é o resultado da aplicação planejada de objetivos, diretrizes, políticas,

procedimentos, modelos e outras medidas administrativas que, de forma conjunta, definem

como são reduzidos os riscos”.

Ferramentas de segurança da informação é um conjunto de software e técnicas que

juntas tem o objetivo de prevenir ou combater ataques e incidentes indesejáveis. Exemplos de

boas ferramentas de segurança a seguir.

a. Proxy: firewall que tem a tarefa de filtrar pacotes na rede interna da empresa que

pode vim impedir a conexão com servidores externos que podem comprometer o

sistema da organização. Como sites de relacionamentos e outros mais, que

carregam ameaças como vírus e etc.

b. Firewall reativo: tem a função de reconhecer ataques e emitir alarmes quando

encontra pacotes com comportamentos e intenções fora do comum bloqueando o

acesso indevido automaticamente.

c. Antivírus: programas de computador que tem por objetivo prevenir, detectar e

eliminar vírus de computadores. Existe vários antivírus, sejam gratuitos ou pagos,

a diferença é encontrada nas camadas de proteção a mais que os programas

oferecem.

d. Backup: ferramenta com a tarefa de fazer cópias de segurança de dados e arquivos

com o intuito de prevenir e assegurar as informações, pois a atividade de realizar

backup periodicamente é importantíssima para a continuação do negócio. Para

Moreira (2001, p. 84) o backup é “importante atividade no processo de segurança

dos dados de uma empresa. Independente do porte e da atividade da empresa,

todos, sem exceção, devem praticá-lo.”.

e. IDS – Sistema de detecção de intrusos. Funciona em conjunto com sistema de

firewall para dar maior segurança na comunicação.

Page 21: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

21 

 

2.12 Política de Segurança da Informação

Política de Segurança pode ser compreendida com um conjunto de normas, condutas

de utilização dos recursos de informações. Essas normas e procedimentos devem ter como

objetivo conscientizar, informar os usuários, funcionário e gestores a importância das boas

práticas dessa política. Devem ser seguidas para o um uso correto do ambiente e

principalmente, para o uso seguro da informação.

Para Silva, Carvalho e Torres (2003, p. 180-181) a Política de Segurança é;

Um conjunto reduzido de regras que definem, em linhas gerais, o que é considerado pela Empresa como aceitável ou inaceitável [...] As regras contidas neste documento devem ser suficientemente genéricas para não necessitarem de revisão, exceto em caso de alteração profunda do contexto do negócio (por exemplo, mudança de ramo de atividade).

Uma Política de Segurança deve ser de fácil entendimento e de objetivos diretos. Pois

o seu objetivo é de informar, orientar os usuários e gestores da informação sobre suas

obrigações com relação à segurança e o acesso adequado à informação, contida ou não em

meio informatizado.

A Política de Segurança da Informação deve conter uma série de diretrizes de

implementação. A apresentação destas diretrizes pode ser encontrada na norma ISO

27002:2005 (item 5.1.1), onde afirma que a política deve conter:

a) Uma definição de segurança da informação, suas metas globais, escopo e

importância da segurança da informação como um mecanismo que habilita o compartilhamento da informação (ver introdução);

b) Uma declaração do comprometimento da direção, apoiando as metas e princípios da segurança da informação, alinhada com os objetivos e estratégias do negócio;

c) Uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco;

d) Breve explanação das políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização, incluindo: 1) Conformidade com a legislação e com requisitos regulamentares e

contratuais;

2) Requisitos de conscientização, treinamento e educação em segurança da informação;

3) Gestão da continuidade do negócio;

Page 22: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

22 

 

4) Consequências das violações na política de segurança da informação;

e) Definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança da informação;

f) referências à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários devem seguir.

Para Ferreira; Araujo (2008, p.36) Política de segurança “define o conjunto de normas,

métodos e procedimentos utilizados para manutenção da segurança da informação, devendo

ser formalizada e divulgada a todos os usuários que fazem uso dos ativos”. Entretanto para

Alves (2006, p.1) “Segurança da informação visa proteger a informação de forma a garantir a

continuidade dos negócios, minimizando os danos e maximizando o retorno dos

investimentos e as oportunidades de negócios”.

Segundo a ABNT NBR ISO/IEC 27002 (2005, p.8).

A Política de segurança da informação tem por objetivo prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização.

Uma política de segurança da informação torna-se necessária em todo ambiente

organizacional para a salvaguarda da informação e a garantia da continuidade dos negócios.

Toda empresa, sendo ela grande ou pequena, deve adotar uma política de segurança em sua

gestão, aumentando a garantia de retorno lucrativo aos sócios e acionistas. É a base principal

do estabelecimento de normas e procedimentos que garantem a segurança da informação e

determina as responsabilidades relativas à segurança dentro da empresa.

De acordo com a NORMA TÉCNICA ATI-SGR-PR (2010, p.11).

Politica de Segurança da informação consiste em um conjunto de definições, diretrizes, restrições e requisitos que servem para nortear o uso de boas práticas no trato com os ambientes, recursos e ativos de segurança da informação, em aspectos físicos, lógicos e de pessoal, com a finalidade de proporcionar maior segurança às informações.

Page 23: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

23 

 

2.13 Segurança da Informação Segundo Lucas (2005), A Segurança da Informação “é um conjunto de ações

planejadas para abranger questões técnicas e comportamentais. Medidas tomadas adequadamente visando confidencialidade, integridade e disponibilidade da informação.” Medidas que tem por objetivo evitar ameaças e riscos.

a. Confidencialidade - garantia de que apenas pessoas autorizadas tem acesso a

informação.

b. Integridade – garantia de que a informação não sofra alterações ou modificações.

c. Disponibilidade – garantia de que as pessoas autorizadas tenham acesso a

informação sempre que necessário.

Segundo a ABNT NBR/ISO/IEC 27001(2006, p. 4).

A Organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI (Sistema de Gestão de Segurança da Informação) documentando dentro do contexto das atividades de negocio globais da organização e os riscos que ela enfrenta.

Nos dias de hoje, com o avanço da tecnologia, há muitos colaboradores em empresas

com conhecimento em informática e formas de acesso à informação, as empresas precisam

diminuir a facilidade dos fluxos de informações. Apenas pessoas autorizadas devem ter o

privilégio de ter acesso aos dispositivos de entrada/saída; com a existência de pen-drives e

outros dispositivos de armazenamentos de dados portáteis, os roubos de informações ficam

comuns nas empresas. Há segurança da informação quando controles são monitorados,

analisados e melhorados atendendo o objetivo do negócio, minimizando, assim, todos os

riscos e vulnerabilidades, evitando que pessoas não autorizadas ou funcionários insatisfeitos

consigam transportar dados sem autorização.

Segundo Scarduelli (2009, p.18)

É essencial para aumentar o nível da segurança da informação, a criação de um código de Ética da TI, para estar preparado para eventuais incidentes. Nessa hora a Segurança de Informação envolve a prevenção e preservação de evidencias. Dessa forma tende garantir que determinada pessoa ou maquina esteve envolvida em determinado evento.

Page 24: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

24 

 

Conforme a norma ABNT NBR ISO/IEC 27002 (2005, p. 65) “Convém que a política de

controle de acesso seja estabelecida documentada e analisada criticamente, tomando-se como

base os requisitos de acesso dos negócios e segurança da informação”. O acesso à informação

deve constar processos de controle e garantia de segurança aos ativos dando suporte a gestão

de riscos e auditoria.

Ainda de acordo com a Norma ABNT NBR ISO/IEC 27002 (2005, p. 66).

O controle de acesso tem por objetivo assegurar o acesso de usuário autorizado e prevenir acesso não autorizado a sistemas de informação. Que Procedimentos formais sejam implementados para controlar a distribuição de direitos de acesso a sistemas de informação e serviços. E que os procedimentos cubram todas as fases do ciclo de vida de acesso do usuário, da inscrição inicial como novos usuários até o cancelamento final do registro de usuários que já não requerem acesso a sistemas de informação e serviços.

Com base na política de segurança da informação, as implementações dos planos de

controles de acessos atendem a um objetivo que é: manter e melhorar a salvaguarda da

informação, com processos como;

• logon, • senhas, • firewall, • antivírus • criptografias

Estes processos funcionam como uma barreira que impede que pessoas mal

intencionadas e não autorizadas tenham acesso indevido. Fazem parte da política de segurança

da informação os controles de acesso físico e lógico.

2.14 Controle de Acesso Físico

Ferreira (2003, p. 127) aborda controle de acesso físico como “toda e qualquer

aplicação de procedimentos ou uso de equipamentos com o objetivo de proteger ambientes,

equipamentos ou informações cujo acesso deve ser restrito”.

Page 25: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

25 

 

Estes tipos de controle podem ser vistos com qualquer tipo de barreiras que impeçam

ou limitam o acesso direto a informação. Existem ferramentas de segurança utilizada que

reforçam estes tipos de controles físicos, tais como:

• Grades, muros e portas;

• Guardas;

• Crachás;

• Sistemas com portas duplas; Controle de acesso biométrico

(FERREIRA, 2003).

Para Ferreira e Araújo (2008, p.123) “Os sistemas de segurança devem ser

implementados para garantir que o acesso em todos os locais da organização seja realizado

por apenas profissionais autorizado.” Acrescentam ainda que se é necessário um investimento

grande com relação ao nível de criticidade da informação. “quanto maior for à sensibilidade

do local, maiores serão os investimentos em recursos de segurança para serem capazes de

impedir o acesso não autorizado.” (FERREIRA; ARAÚJO, 2008, p.123).

2.15 Segurança de acesso Lógico

Com a grande dependência das organizações ao uso dos sistemas e ambiente

informatizado é comum que hoje haja uma preocupação com a utilização de algum dispositivo

que garanta o controle de acesso e a segurança desses ambientes mais importantes desses

sistemas mais críticos.

Para Ferreira (2003, p. 47).

O controle de acesso lógico deve abranger (i) o recurso informatizado que se pretende proteger e (ii) o usuário a quem se pretender dar certos privilégios e acessos. A proteção dos recursos está baseada na necessidade de acesso de cada usuário. Enquanto que a identificação e autenticação são feitas normalmente por um Use ID e uma senha durante o processo de logon.

Este processo de controle de acesso pode ser compreendido com o uso de

“indentificação e autenticação de usuários, gerenciamento e monitoramento de privilégios,

limitação e desbilitação de acessos e na pevenção de acessos não autorizados.” (FERREIRA;

ARAÚJO, 2008).

Page 26: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

26 

 

2.16 Segurança de Redes

Atualmente, a troca de dados, informações e recursos não são tarefas tão seguras e

nem tão fáceis como muitas empresas acreditam que sejam. Em uma organização há muitos

computadores interligados, trocando informação, e cada qual com uma função específica, com

uma função diferente. Essas informações trocadas entre estas máquinas podem conter

conteúdo sigiloso que geralmente não pede ser visto e nem compartilhado com todos. Elas

devem ser devidamente protegidas e enviadas a quem de direito.

Segundo Tadeu (2006, p. 41) “para o controle da rede devem existir funções

específicas a cada usuário da rede, definindo quem, onde e o que se pode acessar, delimitando

o espaço de cada um dentro do sistema inteiro.” Tem que haver um gerenciamento com

relação a estas informações circulando dentro das redes observando “os três principais tópicos

de redes: integridade, confidencialidade e disponibilidade” (TADEU, 2006, p.42).

Se estas redes forem conectadas à Internet, o administrador da rede tem que se

preocupar com as “pessoas que utilizam a internet para descobrir falhas na segurança da rede

para roubar e danificar informações de redes privadas” (TADEU, 2006, p.42) e se preocupar

também com o surgimento de novos vírus e worms, utilizar ferramentas, softwares que

protejam e combatam este tipo de ameaça.

O gestor da rede tem que atribuir aos usuários, conforme as suas necessidades,

direitos e privilégios de acesso aos sistemas, além de conscientizá-lo sobre o uso correto da

rede dentro de uma organização, por meio de palestras, cursos ou treinamentos. Assim

garante-se a segurança a quem acessa as informações que circulam dentro da organização.

Page 27: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

27 

 

CAPÍTULO III

3. ESUDO DE CASO

3.1 Empresa

A RV SOLUTIONS COMÉRCIO DE PAPÉIS E INFORMÁTICA é uma empresa

revendedora de materiais de escritório e informática. Situa-se em Brasília na Asa Sul, suas

vendas são baseadas em pregões e licitações junto ao governo e empresas privadas. Conta

com um quadro de nove funcionários e com uma rede de sete computadores interconectados.

RV SOLUTIONS COMÉRCIO DE PAPÉIS E INFORMÁTICA

Setor de Indústrias Gráficas Sul – Brasília/DF

Ramo: Atacado e Varejo (Telemarketing)

Funcionários;

• Informática 1 Funcionário

• Comercial 6 Funcionários

• Administração 2 Funcionários

Este estudo teve como objetivo identificar problemas relacionados à segurança da

informação e possíveis problemas que possam atrapalhar a implementação de política de

segurança da informação no ambiente organizacional da empresa. Observou-se o

comportamento humano dentro da organização com relação à segurança de qualquer tipo de

ativo que a organização possua.

Page 28: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

28 

 

A descrição das fotografias a seguir, mostra as vulnerabilidades das informações no ambiente

organizacional.

 

 

Pode-se ver na figura 1, ao lado, o computador do departamento de faturamento, onde ocorrem às emissões de notas fiscais. Todas as pessoas que estiverem no ambiente podem ter acesso ao computador sempre que precisarem, pois o mesmo encontra-se desprotegido e sem nem uma senha de acesso ou proteção adequada.

Figura - 1 Máquina de Faturamento sem proteção

Logo acima do Gabinete da máquina, encontram-se dois cartões com leitoras. São

certificados digitais da empresa, que permitem a emissão de Notas Fiscais Eletronicas perante

a SEFAZ (Secretaria de Estado de Fazenda do Distrito Federal). Esses certificados possuem

grande valor para a empresa, pois neles estão contidas todas as informações da organização.

Eles funcionam como um identificador permitindo a SEFAZ autenticar a identidade da

empresa.

A Sala onde se encontra o servidor da empresa tem livre acesso para pessoas não autorizadas. (Figura 2) Observa-se que o armário que serve como arquivo de documentos confidenciais está com a chave na porta, Além disso, pode-se ver a presença de Dispositivo de Armazenamento de Dados Portátil (Pen-Drive) sobre o balcão. Máquina desbloqueada e sem segurança.

Figura - 2 Servidor completamente vulnerável

Page 29: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

29 

 

Figura – 3 Informaçoes sigilosas e vulneráveis

Na mesma sala onde se encontra o servidor, encontra-se um armário repleto de documentos confidenciais, tais como procurações, certidões, etc. O armário se encontrava com a chave exposta e de fácil acesso para quem estivesse na sala, correndo o risco de roubo de documentos e informações importante para a organização (Figura 3).

É necessario que a organização emplante diretrizes que determine que seus funcionário

evitem hábitos que possam comprometer a segurança da empresa. Na figura 4 há uma

demonstração de facil acesso onde, em um tipo de dispensa, a empresa guarda seus “Arquivos

mortos”. Lá encontram-se diversas informaçoes altamente sigilosas como;

• Relatórios de faturamentos mensal e anual;

• Relatórios de fornecedores e clientes;

• Relatórios de funcionários inativos;

• Relatórios de pagamentos e recebimentos;

As caixas de documentos encontram-se sem qualquer tipo de lacre o que permite acesso direto às informações pessoais de funcionários, fornecedores e clientes da empresa. A vulnerabilidade dessas informações pode trazer grande impacto à organização se elas chegarem a ser violadas por pessoas mal intencionadas. O uso indevido destes dados e informações permitem diversas ações como clonagem de documentos etc.

Figura – 4 Arquivos mal armazenados

Page 30: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

30 

 

Por lei, alguns documentos de gestão de pessoas devem ser arquivados pelo prazo de

até 50 anos pela a empresa. É aconselhável que os locais onde serão arquivados todos esses

documentos sejam cuidadosamente monitorados e bem armazenados, evitando que pessoas

não autorizadas tenham acesso a eles.

Figura – 5 Instalações inadequadas

Toda a instalação da rede de computadores depende desses dispositivos que estão na

figura 5, acima: um modem, um roteador e um nobreak. O local onde se encontram instalados

é inadequado e não é apropriado em relação à importância que eles têm para a organização.

Atualmente a organização conta com uma rede de sete computadores, sendo um servidor e

seis estações de trabalho. É necessário uma sala ou um ambiente mais adequado que não se

misture a locais onde funcionários que não possuem conhecimento e autorização tenham

acesso. As conexões elétricas como estão colocadas poderão ser desconectadas por um

tropeço de alguém causando um pico de energia e perda de comunicação na rede, afetando

todo o fluxo de informação entre os computadores.

Page 31: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

31 

 

Fiação mal instalada e mal organizada pode ser um grande problema quando se trata

de rede de computadores, como se observa na figura 6. Picos ou quedas de energias podem

danificar computadores, fontes de servidores ou até mesmo equipamentos da rede levando a

perda de dados importante para a continuação do negocio.

  

Figura – 6 Aparelhos e fios em locais indevido A figura 7 mostra a existência de placas indicando ambientes restritos a funcionários e portas

que deveriam permanecer fechadas, porém essas regras não estão sendo devidamente

obedecidas. Ela se encontra aberta para qualquer pessoa ou funcionário que estiver no local.

 

Figura – 7 Ambientes restritos

Page 32: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

32 

 

Figura - 8 Único acesso ao prédio sem as devidas medidas de segurança

Na figura 8, observa-se que a empresa dispõe de uma única entrada e saída, e sem as

devidas medidas de segurança física, o ambiente proporciona riscos para todos os ativos e

funcionários daquele local. A Empresa encontra-se na parte superior do prédio, tendo como

única entrada o portão da garagem que dá acesso à parte superior do mesmo. O portão

existente se encontra em mal estado de conservação, e por não ter recepção, ele se encontra no

modo manual, ou seja, a parte elétrica do portão que deveria estar acionada está com defeito

ou desativada, permitindo que as pessoas entrem sem permissão e sem ser visto no local, pois

não há câmeras de vigilância para auxiliar na recepção do ambiente. Na entrada estão

armazenados materiais, como produtos de comercialização da própria empresa, bruscamente

vulneráveis a furtos. Os únicos extintores do prédio estão em péssimas condições e fora do

prazo de validade, e não estão em seus devidos lugares, permanecendo na dispensa com

outros materiais de limpeza interna.

Page 33: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

33 

 

3.2 Matriz de Risco

A matriz de risco foi elaborada para determinar o valor e o potencial de cada risco e

ameaça encontrada na organização.

Segundo Ferreira (2003, p.98) “A melhor forma para determinar o grau de risco é

relacionar, em detalhes, quais seriam os impactos para a organização de uma ameaça explorar

uma vulnerabilidade eficazmente”. Entretanto é necessário o levantamento de todos os ativos.

Quadro 1 - Níveis de Risco

PROBABILIDADE Alto Médio Baixo (1.0) (0.5) (0.1)

     

IMPACTO

Alto (100) Médio (50) Baixo (10) 100 x 1.0 = 100 50 x 1.0 = 50 10 x 1.0 = 10 100 x 0.5 = 50 50 x 0.5 = 25 10 x 0.5 = 5 100 x 0.1 = 10 50 x 0.1 = 5 10 x 0.1 = 1

Fonte Ferreira e Araújo (2008, p. 179).

Para Ferreira (2003, p. 98) Os níveis da probabilidade são definidos como:

Alto: A fonte de ameaça está altamente motivada e possui conhecimento suficiente para execução do ataque. Médio: A fonte de ameaça está motivada e possui conhecimento suficiente para execução do ataque. Baixo: A fonte de ameaça não estar altamente motivada e não possui conhecimento suficiente para a execução do ataque.

Foi realizado o levantamento de todos os ativos da empresa e feito o detalhamento dos

níveis de riscos; Os dados da tabela de níveis de risco favorecem que sejam estimados os

valores de impacto e probabilidade descrevendo as vulnerabilidades que ameaçam os ativos

de informação.

Page 34: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

34 

 

Quadro 2 – Matriz de riscos

ATIVOS RISCOS VULNERABILIDADE PROBABILIDADE IMPACTO FATOR DE RISCO

SERVIDOR E ESTAÇÕES

Alterações, roubo e perda da integridade

de informações.

Ausência de diretrizes e praticas de seguranças para os funcionários e

colaboradores

1.0 100 ALTO

Perda de dados e informações

Não existe rotina de Backup dos arquivos e

informações

1.0 100 ALTO

Manipulação do Sistema

Ausência de controle de acesso e restrições de pessoas

1.0 100 ALTO

REDE

Falhas, invasão, roubos e

exclusão de arquivos

Senha exposta para terceiros e pessoas

não autorizadas 1.0 100 ALTO

Roubos, alterações e acessos não permitidos

Funcionários acessam a rede com

notebook e aparelhos pessoais

0.5 50 MÉDIO

SISTEMA

Alterações, exclusões e acessos não autorizados

Não há normas de segurança, controles e bloqueio de tela na

ausência dos usuários

1.0 100 ALTO

ARQUIVO DE INFORMAÇOES

Alterações, roubos,

extravio e acessos

indevido.

Não existe controle de acesso no local

onde estar armazenado os

arquivos

1.0 100 ALTO

INSTITUIÇÃO Incêndios e

furtos de equipamentos

Ausência de Extintores de

incêndio e sistema de segurança

1.0 100 ALTO

Todos os fatores de alto risco expostos no quadro 2, foram criticamente analisados e

estudados com o objetivo de buscar alternativas para diminuir ou eliminar os riscos de grande

impacto para a organização.

A figura 9 mostra os riscos identificados distribuídos conforme a grau de impacto que

estes podem causar à Empresa;

Page 35: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

35 

 

Figura 9 – Impacto dos Riscos analisados.

Os riscos de médio e baixo nível devem ser tratados com atenção, porem não com a

mesma exclusividade que deve ser tratadas os riscos de alto nível, uma vez que não

acontecem com frequências, mas se ocorrerem podem trazer grandes impactos aos negócios,

por isso também merecem atenção e devem ser tratados e diminuídos ao máximo.

De acordo com a norma ABNT NBR ISO/IEC 27002 (2005, p. 103).

Convém que o processo de gestão da continuidade do negócio seja implementado para minimizar um impacto sobre a organização e recuperar perdas de ativos da informação (que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e ações intencionais) a um nível aceitável através da combinação de ações de prevenção e recuperação. Convém que as consequências de desastres, falhas de segurança, perda de serviços e disponibilidade de serviços estejam sujeitas a uma análise de impacto nos negócios. Que os planos de continuidade do negócio sejam desenvolvidos e implementados para assegurar que as operações essenciais sejam recuperadas dentro da requerida escala de tempo.

Diante da análise de risco elaborado a partir das vulnerabilidades identificadas na

Empresa RV SOLUTIONS, foi elaborada a proposta de política de segurança da informação

para que, se adotada pela organização sejam minimizados os impactos que possam impedir a

continuidade dos negócios da empresa.

Page 36: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

36 

 

CAPÍTULO IV

4. PROPOSTA DE POLÍTICA DE SEGURANÇA FISICA E LÓGICA DA

INFORMAÇÃO

4.1 Instituição

Esta Proposta de Política de segurança da informação destina-se à RV SOLUTIONS,

empresa de sociedade limitada, revendedora de materiais de escritório e informática, que está

a 10 anos no mercado e, até o presente momento, não possui uma política de segurança da

informação para manter seus ativos imunes de vulnerabilidade e riscos que possam trazer

complicações futuras ao seu negócio.

4.2 Objetivo

Garantir a confidencialidade, integridade e a disponibilidade física e lógica das

informações da organização, mantendo todos os ativos seguro e longe dos riscos que possam

ocasionar impactos aos negócios.

4.3 Abrangência da Política

A Política de segurança da informação na RV SOLUTIONS COMÉRCIO DE PAPÉIS

E INFORMÁTICA aplica-se a todos os setores da empresa e funcionários, colaboradores e

prestadores de serviços, incluindo trabalhos executados externamente ou por terceiros, que

utilizem o ambiente de processamento ou de acesso a informações organizacional.

4.4 Definições básicas

É de inteira responsabilidade do gerente ou proprietário da empresa estabelecer

critérios relativos ao nível de confidencialidade da informação gerada por sua organização de

acordo com os tópicos abaixo:

Informação Pública: É toda informação que pode ser acessada por usuários da

organização, clientes, fornecedores, prestadores de serviços e o público em geral.

Page 37: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

37 

 

Informação Interna: é toda informação que só pode ser acessada por funcionários da

organização. São informações que possuem um grau de confidencialidade que pode

comprometer a imagem da organização.

Informação Confidencial: é toda informação que pode ser acessada por usuários da

organização e por parceiros da organização. A divulgação não autorizada dessa

informação pode causar impacto (financeiro, de imagem ou operacional) ao negócio

da organização ou ao negócio do parceiro.

Informação Restrita: é toda informação que pode ser acessada somente por usuários

da organização explicitamente indicado pelo nome ou por área a que pertençam. A

divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou

comprometer a estratégia de negócio da organização. Todo Gerente ou Supervisor

deve orientar seus subordinados a não circularem informações, ou mídias consideradas

confidenciais ou restritas, como também não deixar relatórios nas impressoras, e

mídias em local de fácil acesso; manter sempre o conceito “mesa limpa”, ou seja, ao

terminar o trabalho não deixar nenhum relatório, ou mídia confidencial e restrita, sobre

suas mesas, acionando também o bloqueio de tela do computador quando se ausentar

de seu local de trabalho.

Ativo: é tudo aquilo que possui valor para a empresa.

Risco: possibilidade de uma determinada ameaça explorar vulnerabilidades de um

ativo

Identificação do Risco: processo para localizar, listar e caracterizar elementos de

riscos.

Gestão de riscos: atividades coordenadas para direcionar e controlar uma organização

no que se refere a riscos.

Tratamento do risco: processo de seleção e implementação de medidas para

modificar ou eliminar um risco.

Ameaça: qualquer evento que explore as vulnerabilidades.

Vulnerabilidades: fraquezas que pode ser explorada e comprometer a segurança.

Page 38: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

38 

 

Ataque: tentativa de violação nas regras de segurança da informação. Ataque pode ser

o simples fato de tentar manipular o sistema, mesmo não tendo sucesso sobre o

objetivo. Ele pode ser efetuado para excluir alguma informação; pode ser utilizado

para danificar um sistema, inclusive um sistema de hardware; pode ser utilizado

também para diminuir os recursos de um sistema ou simplesmente para se alterar ou

obter informações.

Vírus: programa ou parte de um programa de computador, normalmente malicioso,

que se propaga infectando, inserindo cópias de si mesmo e/ou se tornando parte de

outros programas e arquivos.

Violação: acesso a informação por pessoas ou mecanismos não autorizados.

Engenharia Social: ataques usando da persuasão para obter informações do usuário;

pode ser um e-mail falso ou ligação telefônica solicitando para executar um arquivo

em anexo para solucionar algum problema; um email de um suposto amigo, pedindo

para clicar em um link informado; uma cópia da página do banco pedindo para se

colocar a conta e a senha as informações. Em todos esses casos, procura-se induzir o

usuário a realizar alguma tarefa.

Impacto: mudança adversa; consequência avaliada dos resultados com a ocorrência de

um evento, em que determinada vulnerabilidade foi explorada; uma ameaça ocorreu e

o risco se concretizou.

Segurança da Informação: garante a continuidade do negócio e a proteção da

informação de vários tipos de ameaça, minimizando o risco que compromete. É o

resultado de controle, definição de políticas, processos e procedimentos que preserva a

confidencialidade, integridade e a disponibilidade da informação.

Controle: forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes,

práticas ou estruturas organizacionais que podem ser de natureza administrativa,

técnica ou de gestão.

Diretriz: descrição que orienta o que deve ser feito e como, para se alcançar os

objetivos estabelecidos nas políticas.

Page 39: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

39 

 

4.5 Referências

Para se alcançar a eficiência desta proposta de política de segurança foram consultadas as

normas que regem as regras e técnicas de segurança da informação:

• A NORMA BRASILEIRA ABNT NBR ISO/IEC 27002:2005. Técnicas de

segurança – Código de prática para gestão da segurança da informação;

• NORMA BRASILEIRA ABNT NBR ISO/IEC 27001:2006 Técnicas de

segurança- Sistemas de gestão de segurança da informação — Requisitos;

• NORMA BRASILEIRA ABNT NBR ISO/IEC 27005:2008 Técnicas de

segurança- Gestão de riscos de segurança da informação.

4.6 DIRETRIZES

4.6.1 Servidor e Estação de trabalho

a. Devem ser adotados controles de acesso na sala onde se localiza o servidor

da empresa dando acesso somente para pessoas autorizadas.

b. Não é permitido o uso de dispositivos de armazenamento portátil (Pen-

Drive) no ambiente dos servidores, e em hipótese alguma poderá ser

liberado o acesso ao servidor para computadores que não sejam cadastrados

e/ou que não fazem parte da rede de computadores da empresa.

c. Devem ser realizados diariamente backups ao final do expediente por

pessoa autorizada.

d. Todos os funcionários da empresa devem possuir uma senha de segurança

para acesso às suas estações de trabalho, e todos os computadores devem

ser configurados para bloquear suas telas automaticamente quando o

usuário deixar de utilizá-lo por período determinado de tempo.

Page 40: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

40 

 

4.6.2 Rede

a. É obrigação de todos os que usam a rede da empresa manter a ética e

profissionalismo no ambiente de trabalho.

b. E proibido fazer uso da rede para obrigações pessoais como; enviar ou

receber email pessoal, baixar e/ou instalar softwares que não sejam

autorizados para uso profissional no ambiente de trabalho.

c. Não será permitido acessar sites de relacionamentos ou redes sociais por

quaisquer meios eletrônicos utilizando-se da rede corporativa.

4.6.3 Sistema

a. Todos os funcionários, sem exceção, deverão ser cadastrados no banco de

dados da empresa e cada usuário deverá portar seu código de usuário e

senha para acessar o sistema.

b. Cada usuário terá permissões e privilégios de acordo com sua função e

cargo na empresa;

c. A auditoria da organização tem plenos poderes para realizar rastreamento

de uso e responsabilizar os usuários do sistema identificados como

facilitadores de fraude. Todos os usuários terão a obrigação de manter sua

senha em sigilo não revelando a terceiros.

4.6.4 Arquivos de informações

a. A Empresa deverá manter seus arquivos e armários que contenham

documentos e informações importantes com chaves e trancas sob a

responsabilidade de pessoas autorizadas.

b. Cada setor deverá ser orientado a manter seus ambientes trancados e suas

chaves guardadas em lugar seguro.

c. É obrigação de cada setor manter a segurança do local onde armazenam

seus arquivos, não podendo em hipótese alguma copiar ou divulgar as

informações contidas nos arquivos sem a autorização.

Page 41: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

41 

 

4.6.5 Instituição

a. A empresa deverá fazer a manutenção periódica dos extintores de incêndios

e orientar seus funcionários nas práticas de segurança, disponibilizando

treinamentos e adestrando-os para o uso correto desses equipamentos.

b. Não será permitida a entrada de visitantes e de colaboradores e funcionários

sem identificação na empresa, e para isso a empresa deverá contar com uma

recepção que realize o controle de acesso de visitantes e colaboradores, por

meio de cadastro em sistema específico.

c. Todos os visitantes receberão um crachá de identificação na entrada da

organização, ficando obrigado a portá-lo enquanto permanecer dentro da

empresa.

d. Todo setor, considerando a criticidade de seus ativos, deverá ter suas

restrições de acesso.

e. A empresa deverá orientar os funcionários para a adoção de boas praticas

de segurança, com palestras e aulas que possam ajudar no entendimento ao

que diz respeito à segurança da informação.

4.7 Responsabilidades

4.7.1 Supervisores e administradores:

• Acompanhar a implantação da política de segurança da informação e suas definições

de direitos de acesso às funcionários e colaboradores ao sistema e informações da

empresa.

• Analisar e aprovar a política, verificando sempre se os usuários estão acessando

exatamente as informações compatíveis com suas respectivas funções, usando e

conservando adequadamente os equipamentos da empresa.

4.7.2 Setor Comercial

• Conservar e fazer o uso adequado do sistema e informações da empresa;

• Sugerir mudanças que possam aumentar a segurança da informação;

Page 42: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

42 

 

• Comunicar quaisquer falhas ou incidentes relacionados à segurança da informação;

• Seguir todas as normas e sugestões constantes na política de segurança da

informação da empresa.

4.7.3 Setor de Informática

• Fazer o uso adequado do sistema;

• Discutir e orientar os demais setores na aquisição de novos programas (Softwares)

ou de novos equipamentos de informática (Hardware);

• Disponibilizar treinamentos e boas praticas de segurança conforme a Política;

• Analisar o comportamento da rede e comunicar qualquer eventualidade de

descumprimento da política de segurança da informação;

• Manter os antivírus sempre atualizados;

• Comunicar os supervisores qualquer incidente de segurança;

• Sugerir praticas ou atualizações que venha enriquecer o nível de segurança da

informação na instituição.

4.8 Conformidade

Esta Política de Segurança da Informação está em conformidades com a norma

ABNT NBR ISO/IEC 27002:2005 e com a legislação relacionada a todos os procedimentos a

que venha violá-la.

4.9 Penalidades

O não cumprimento desta Política de Segurança da Informação implica em falta grave

e poderá resultar em advertência formal, rescisão de contrato de trabalho, outra ação

disciplinar e/ou processo civil ou criminal.

4.10 Disposições gerais

A Política de segurança da Informação física e lógica da RV SOLUTIONS

COMÉRCIO DE PAPÉIS E INFORMÁTICA passará a vigorar a partir de sua homologação e

aceitação pelos supervisores e sócios da Empresa, devendo ser assinada e disponibilizada para

todos os funcionários e colaboradores.

Page 43: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

43 

 

5. CONCLUSÃO

Concluí-se que, com a Política de Segurança da informação física e lógica a RV

SOLUTIONS deverá minimizar os riscos que ameaçava a empresa constantemente. A

conscientização dos funcionários quanto às suas funções e obrigações em relação à segurança

dos ativos de informação da organização proporcionará maior tranquilidade para os acionistas

e assegurará a continuidade dos negócios e garantirá tomada de decisões mais ágeis e mais

precisas.

Com todas as diretrizes obedecidas e adequadamente seguidas por todos sem exceção,

o desempenho da rede e do sistema será otimizado superando as expectativas do cliente e da

empresa. A adoção da política poderá proporcionar agilidade ao sistema evitando que a

empresa fique atrás da concorrência e seus clientes insatisfeitos.

O cumprimento das normas pelos funcionários não permitirá que sejam acessados sites

e ambientes não recomendados que enfraqueçam a segurança deixando a empresa mais

vulnerável a ameaças que muitas vezes exploram as fragilidades, facilitando a ocorrência de

fraudes e furtos de informações.

Concluímos que bons hábitos e treinamentos dos funcionários em conformidade com a

política de segurança da informação a empresa passa a se precaver dessas ameaças e a evoluir

mais no mercado.

Page 44: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

44 

 

6. REFERÊNCIAS

ASSOCIAÇÃO BRASILEIRA DE NORMAS E TÉCNICAS – ABNT. NBR ISO/IEC 17799:2005 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da Informação. Rio de Janeiro: ABNT, 2005.

ASSOCIAÇÃO BRASILEIRA DE NORMAS E TÉCNICAS – ABNT. NBR ISO/IEC 27002:2005 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da Informação. Rio de Janeiro: ABNT, 2005.

ASSOCIAÇÃO BRASILEIRA DE NORMAS E TÉCNICAS – ABNT NBR ISO/IEC 27001:2006. – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos. Rio de Janeiro: ABNT, 2006.

ASSOCIAÇÃO BRASILEIRA DE NORMAS E TÉCNICAS – ABNT NBR ISO/IEC 27005:2008. – Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação. Rio de Janeiro: ABNT, 2008.

AGENCIA ESTADUAL DE TECNOLOGIA DA INFORMAÇÃO – NORMA TÉCNICA ATI-SGR-PR/001:2010. – Política de Segurança da Informação – Diretrizes Gerais. Recife: ATI, 2010.

ALVES, Gustavo Alberto. Segurança da Informação: uma visão inovadora da gestão. Rio de Janeiro: Ciência Moderna, 2006. FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Marcio Tadeu. Política de Segurança da Informação: guia prático para embalagem e implementação. Rio de Janeiro: Ciência Moderna, 2008.

FERREIRA, Fernando Nicolau Freitas. Segurança da informação. Rio de Janeiro: Ciência Moderna, 2003.

HOUAISS, A; VILLAR, Mauro de Salles; FRANCO, Manoel de Mello. Dicionário Eletrônico da Língua Portuguesa. 3.ed. Rio de Janeiro: Objetiva, 2009.

Page 45: PROPOSTA DE POLITICA DE SEGURANÇA DA …nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/... · nesta proposta de política foram baseados na norma da ABNT NBR ISO/IEC

45 

 

LUCAS, Bianka Capelato. A segurança da informação em organizações de Salvador 2005. Disponível em <  https://repositorio.ufba.br/ri/bitstream/ri/8183/1/Disserta%C3%A7%C3%A3o%2 0Bianka.pdf Acesso em 05 de Abril às 14h30min.

MAURO, Ceiton Parreiras de . Delineando o valor da informação nas organizações – out 2004.. Disponível em<http://www.zemoleza.com.br/carreiras/19531-delineando-o-valor-da-informacao-nas-organizacoes.html>. Acesso em 30/03/2013 às 16h42min.

NAKAMURA, Emilio Tissato; GEUS, Paulo Lício. Segurança de redes em ambientes cooperativos. SP: Berkeley, 2002.

OLIVER, Paulo Roberto Costa. Classificação e segurança da informação – ago 2011. Disponível em http://ecmconnection.ning.com/group/classificaotaxonomiaematadados /forum/topics/classifica-o-e-seguran-a-da-informa-o>. Acesso em 30/03/2013 às 18h22min.

SILVA, Pedro T.; CARVALHO, Hugo; TORRES, Catarina B. Segurança dos sistemas de informação: gestão estratégica da segurança empresarial. Portugal: Centro Atlântico, 2003.

SCARDUELLI, Guilherme Masahiro Iwamotoas. Segurança da informação nas empresas, problemas frequentes. São Paulo 2009. Disponível em <http://fateczl.edu.br/TCC/2009-2/tcc-32.pdf>. Acessado em 28 de Março às 16h10min.

SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Elsevier/Campus, 2003. 156p.

TADEU, Luciano Silva. Políticas de segurança da informação: Recomendações para redução de riscos e vulnerabilidades humanas. 2006. 73p. Monografia (Licenciatura em Ciência da Computação) – Instituto de Ciências Exatas Departamento de Ciência da Computação, Universidade de Brasília. Disponível em <http://monografias.cic.unb.br/dspace/bitstream/123456789/77/1/monografia_00-35297.pdf>. Acessado em 28 de abril de 2013.