Mini política de Segurança da Informação - Análise de Riscos

CONFECÇÃO DE UMA MINI-POLÍTICA DE SEGURANÇA DA INFORMAÇÃO/ ANÁLISE DE RISCOS

PROF. JOSÉ FERNANDO MARQUES WEEGE

ALUNO: ANDERSON ZARDO

CAXIAS DO SULNOVEMBRO 2011

Índice

2Avaliação de Grau B com peso 10.Requisito para conclusão da disciplina de Segurança da Informação – FTEC / Caxias do Sul

1 Sumário Executivo........................................................................................5

2 Justificativa...................................................................................................5

3 Objetivos.......................................................................................................6

4 Classificação das Informações.....................................................................6

4.1 Informações Públicas....................................................................................................6

4.2 Informações Internas...................................................................................................6

4.3 Informações Confidenciais...........................................................................................6

4.4 Informações Restritas...................................................................................................7

5 Os pilares da Segurança da Informação:.....................................................7

5.1 Pilar da Integridade......................................................................................................7

5.2 Pilar da Disponibilidade................................................................................................7

5.3 Pilar da Confidencialidade............................................................................................7

6 Riscos Identificados:.....................................................................................8

6.1 Nível de privilégios elevado sem necessidade..............................................................8

6.1.1 Risco Vulnerável...................................................................................................8

6.1.2 Ameaça.................................................................................................................8

6.1.3 Ações para Mitigar os Riscos................................................................................8

6.2 Versões de Software não homologadas para uso na companhia.................................8


6.2.2 Ameaça.................................................................................................................9

6.2.3 Ação para mitigar riscos.......................................................................................9

6.3 Demandas de Infraestrutura levantadas e executadas sem o envolvimento da TI.......9


6.3.2 Ameaça.................................................................................................................9

6.3.3 Ação para mitigar riscos.......................................................................................9

6.4 Formato de anexo do correio eletrônico não é restrito.............................................10

6.4.1 Risco Vulnerável.................................................................................................10

6.4.2 Ameaça...............................................................................................................10

6.4.3 Ação para mitigar riscos.....................................................................................10

6.5 Ativos de rede fora do período da garantia................................................................10


6.5.2 Ameaça...............................................................................................................10

6.5.3 Ação para mitigar...............................................................................................10

6.6 Procedimentos não documentados............................................................................11


3

6.6.2 Ameaça...............................................................................................................11


6.7 A TI não é mencionada no processo de integração....................................................11

6.7.1 Risco vulnerável..................................................................................................11

6.7.2 Ameaça...............................................................................................................11


6.8 Datacenter em local inapropriado (umidade excessiva).............................................11


6.8.2 Ameaça...............................................................................................................12


6.9 Documentos impressos abandonados ou esquecidos................................................12


6.9.2 Ameaça...............................................................................................................12


6.10 Fuga de expertise.......................................................................................................12


6.10.2 Ameaça...............................................................................................................12


7 Considerações finais..................................................................................13

4

1 Sumário Executivo

A informação como qualquer outro ativo de grande valor, deve ser adequadamente utilizada e protegida contra as ameaças e riscos. A presente mini política de análise de riscos visa antes de tudo garantir a adoção de melhores práticas para lidar com as situações que foram selecionadas pela equipe de TI por representar uma potencial ameaça a Confiabilidade, Integridade e Disponibilidade da Informação, reduzindo-se os riscos que possam ocasionar prejuízos tanto de ordem material/financeira quanto à reputação da organização.

Na elaboração do presente documento, houve a preocupação de que os assuntos, métricas e casos aqui abordados fossem expostos com o maior nível de clareza possível, possibilitando até mesmo o entendimento por pessoal não familiarizado com as questões técnicas da Tecnologia da Informação, aplicando-se, portanto no desenvolvimento do trabalho diário dos usuários e profissionais de TI da companhia.

A vigência da presente mini política se dará automaticamente à publicação da mesma, devendo todos os colaboradores firmar termo de ciência e concordância, atividade essa que ficará sobre responsabilidade do setor de recursos humanos, bem como demais colaboradores já vinculados à companhia e que fazem uso dos recursos de TI da companhia.

O uso impróprio, bem como a não observância ou ainda, qualquer dificuldade imposta no intuito de dificultar o cumprimento das regras aqui tratadas implicarão em medidas disciplinares, como advertência por escrito, e no caso de reincidência, poderá implicar em desligamento do colaborador por justa-causa.

A companhia, se assim desejar, pode fazer alterações na presente política, exclusivamente a partir da sua própria vontade, devendo a mesma estar disponível para consulta a qualquer tempo pelos colaboradores da

5

companhia, passando a validar as alterações no momento da publicação da nova versão.

2 Justificativa

A importância da presente Mini Política reside em tornar de conhecimento dos usuários e profissionais da área de Tecnologia da Informação os riscos aqui elencados e as ações para mitiga-los, tento em vista o potencial que cada um desses riscos tem de ameaçar a Confidencialidade, Disponibilidade e Integridade da informação. Somente tendo conhecimento das vulnerabilidades do ambiente que nos cerca é que podemos tomar precauções assertivas no intuito de prover segurança no ambiente de TI, mitigando riscos que ameaçam a solidez da Segurança da Informação como um todo.

3 Objetivos

O objetivo do presente documento é auxiliar os profissionais e usuários dos recursos de TI a ter um entendimento dos riscos a que o seu ambiente está exposto, bem como propor estratégias para que as situações que favoreçam as ameaças em potencial que esses riscos proporcionam não ocorram.

Procura-se também formalizar o compromisso da companhia com a proteção da informação, devendo, portanto, ser cumprida pelos colaboradores e por fim, fornecer diretrizes e melhore-práticas a serem seguidas, buscando uma compreensão e redução do potencial de dano atribuído aos riscos aqui elencados.

4 Classificação das Informações

A Classificação das informações é feita de acordo com a sua relevância, grau de confidencialidade e criticidade para o negócio da companhia, sendo, em ordem crescente: Informações Públicas, Informações Internas, Informações Confidenciais e Informações Restritas.

4.1 Informações Públicas

As informações oriundas de ambiente externo (sites externos, servidores externos, entre outras cuja hospedagem não é de responsabilidade da companhia) passam por filtros de conteúdo (antivírus, firewall, anti-spam e demais serviços que se julgar

6

necessário), sendo o usuário que fez o login na estação onde esta sendo destinadas essas informações, responsável pelas mesmas.

4.2 Informações Internas

Informações que dizem respeito apenas à companhia, não tendo qualquer valor, relevância ou aplicabilidade fora dela. São em geral, informações que não representam risco caso seja levado a conhecimento público.

.

4.3 Informações Confidenciais

São informações em caráter sigiloso, sendo portanto proibida a exposição das mesmas fora do ambiente da companhia, sob pena de acarretar sansões disciplinares ao responsável, como demissão por justa causa ou outra penalidade à critério do gestor imediato. Fazem parte desse grupo todas as informações que envolvem análises e resultados da empresa nas suas áreas de negócio, bem como projeções destes resultados, projetos para lançamentos futuros, etc.

4.4 Informações Restritas

São informações que estão disponíveis apenas para seu dono e/ou criador ou a um determinado grupo. Pode ser qualquer tipo de informação, desde que seu acesso esteja limitado apenas a determinado(s) colaboradores(s). A violação da restrição de acesso acarretará em medidas disciplinares.

5 Os pilares da Segurança da Informação:

O avanço da tecnologia e das formas de comunicação e troca de informação nos possibilitam realizar as nossas tarefas com bastante praticidade, porém as brechas e precedentes para ocorrerem fuga destas informações também aumentaram consideravelmente. Por mais avançados que sejam as tecnologias, elas ainda dependem do fator humano para que possam ser usadas de maneira eficaz.

Os pilares da informação tratados neste documento são:

5.1 Pilar da Integridade

Um dado íntegro não necessariamente representa um dado que possua informações corretas. Um dado íntegro é o dado que quando foi resgatado, é idêntico ao mesmo dado no momento de sua

7

armazenagem, não tendo ocorrido qualquer ação nesse intervalo que possa alterar as suas características.

5.2 Pilar da Disponibilidade

Um dado deve estar disponível no exato momento em que for solicitado, ou seja, deve estar disponível a qualquer momento. Para isso, deve-se prover de qualquer recurso que torne isso possível, como por exemplo, links de acesso confiável, permissões de acesso, etc.

5.3 Pilar da Confidencialidade

Um dado deve estar disponível apenas às pessoas ou grupos que tenham permissão para acessá-lo, sendo vetado o seu acesso aos demais. Um dado confidencial é disponível apenas a quem possui permissão para acessá-lo.

6 Riscos Identificados:

Após a equipe de TI ter feito uma análise criteriosa das vulnerabilidades, ameaças e riscos presentes no ambiente da companhia, foi elaborada uma Matriz de Segurança, onde elencamos dez riscos em potencial e os descreveremos abaixo:

6.1 Nível de privilégios elevado sem necessidade

Esta situação relata o caso em que um usuário possui permissões para realizar alterações nas características de sua estação de trabalho, bem como permissão de acesso a arquivos e documentos, sem que haja necessidade destes privilégios para que o colaborador possa desempenhar corretamente o seu trabalho.

6.1.1 Risco VulnerávelInformações de cunho confidencial e estabilidade do

sistema como um todo

6.1.2 AmeaçaAcesso a informações confidenciais e alterações em

configurações que comprometam a estabilidade e segurança do sistema. Poderá ocorrer vazamento de informações, bem como comprometimento da estabilidade, causando prejuízos a integridade do sistema devido a ação de programas maliciosos e outras ameaças.

6.1.3 Ações para Mitigar os RiscosDevem ser revisados os acessos e permissões do usuário,

de modo que todos devem ter o de permissão mínimo necessário para desempenho de suas atividades. Dessa forma, evita-se o

8

comprometimento da estabilidade do sistema, que impacta na produtividade do usuário, bem com riscos de acesso sem permissão a dados confidenciais, bem como a ameaça que isso representa no vazamento dessas informações.

6.2 Versões de Software não homologadas para uso na companhia

Todos os softwares oficialmente utilizados pela empresa passam por um período de testes para prevenir problemas como incompatibilidade com outros softwares já estabelecidos ou defeitos (bugs) que possam impactar na produtividade devido às panes que possam a vir ocorrer no sistema operacional.

6.2.1 Risco VulnerávelSistemas Operacionais e aplicativos

6.2.2 AmeaçaSoftwares que não passam por um período de homologação

estão em desacordo, pondo em risco a integridade do sistema operacional e demais aplicativos. Panes que ocorrerem pode impactar em perda de produtividade e/ou corrupção de dados, causando prejuízos.

6.2.3 Ação para mitigar riscosRealizar inventário de softwares através de ferramenta apropriada,

devendo essa, levantar informações como nome, fabricante e versão, devendo esses dados, portanto coincidir com as versões liberadas para uso pelos usuários da companhia. Impedir a livre instalação de programas através de ferramentas de controle e permissões de acesso do Sistema Operacional ou outra forma de controle.

6.3 Demandas de Infraestrutura levantadas e executadas sem o envolvimento da TI.

Demandas que envolvem instalação e/ou ampliação de infraestrutura de rede, elétrica ou equipamentos devem ser solicitadas ao setor competente da TI, que irá proceder com a solicitação ou selecionar fornecedores que sejam capazes de fazê-lo, caso não haja recursos internos para tal. Ao setor competente de TI, portanto, cabe a responsabilidade de negociar aspectos técnicos, observando o cumprimento das normas e boas práticas, cabendo ao setor solicitante autorizar ou não a execução após a apresentação da proposta formal pela TI.

6.3.1 Risco VulnerávelInfraestrutura de rede, elétrica e equipamentos que dão apoio ao

funcionamento dos ativos de TI da companhia.

9

6.3.2 AmeaçaNão cumprimento das normas e boas práticas para este tipo de

projeto, podendo ocasionar instabilidades no funcionamento dos ativos. Expansão fora do controle e não documentada acaba ocasionando também lentidão na resolução de problemas caso eles ocorram, pois ficará cada vez mais difícil identificar a causa.

6.3.3 Ação para mitigar riscosDeve-se buscar um apoio da alta-administração da companhia no

intuito de não autorizar modificações na infraestrutura sem o laudo da ti.Toda e qualquer modificação na infraestrutura deve seguir o fluxo: Solicitação ao setor competente da TI > Avaliação técnica inicial > Execução do trabalho (no caso de se tratar de serviço possível de ser executado internamente) > Encerramento. Caso contrário, o fluxo é este: Solicitação ao setor competente da TI > Avaliação técnica inicial > Contratação de terceiro para elaboração de projeto e orçamento junto a T I > Aprovação por parte do setor solicitante > Encerramento.

6.4 Formato de anexo do correio eletrônico não é restrito

Devemos ter ciência de que determinados arquivos recebidos por e-mail podem possuir conteúdo malicioso, podendo causar transtornos ao usuário e a companhia. A restrição destes formatos visa além de garantir a segurança, coibir o uso da ferramenta de e-mail para propagação de mensagens que não tenham relação com os interesses da companhia, impactando no desempenho e nos recursos dos ativos que sustentam a ferramenta.

6.4.1 Risco VulnerávelDesempenho da ferramenta de correio eletrônico e integridade do

sistema operacional e aplicativos das estações e servidores.

6.4.2 AmeaçaAnexos maliciosos de determinados formatos enviados por e-

mails maliciosos podem conter malwares e outras ameaças com potencial de causar danos à integridade dos sistemas e dados da companhia. Pode ocorrer também sobrecarga dos recursos devido ao fluxo de informação que não têm a ver com as atividades da companhia residentes em anexos como, por exemplo, formatos de arquivo de música, foto e vídeo ou formatos de apresentação do Microsoft Power Point.

6.4.3 Ação para mitigar riscosUsar Filtros e controles que previnem determinados formatos de

circularem por e-mail, bem como fazer uso de ferramentas (Antivírus, etc.) que analisem o conteúdo anexo do e-mail a procura de ameaças.

6.5 Ativos de rede fora do período da garantia

10

Ativos de rede que não estão cobertos pela garantia do fabricante podem apresentar problemas de estabilidade por questões de desgaste natural, entre outros.

6.5.1 Risco VulnerávelRedes de computadores e demais serviços e recursos apoiados

por ela.

6.5.2 AmeaçaAo acontecer um evento de falha, haverá prejuízo e demora no

reestabelecimento do serviço, pois deverão ser obedecidos fluxos internos que são necessários para aquisição de equipamento substituto ou peças de reposição.

6.5.3 Ação para mitigarBuscar acordo com os fabricantes para ampliação e, quando for o

caso, renovação do período de garantia dos equipamentos. Desenvolver uma política de obsolescência programada (ajuda na previsão de gastos com equipamentos).

6.6 Procedimentos não documentados

A eficiência com que os serviços são prestados muito se deve ao fato de os processos para realizar determinadas tarefas estarem documentados, de modo que a realização das tarefas seguindo as orientações destes procedimentos é altamente recomendado.

6.6.1 Risco VulnerávelEficiência dos serviços de suporte da TI.

6.6.2 AmeaçaDemora na execução de tarefas pelo desconhecimento da prática

dos procedimentos, bem como a falta de garantia de que os procedimentos e o serviço sejam realizados corretamente.

6.6.3 Ação para mitigarCriar documentação de procedimentos com aprovação da gerência

da área de TI, instruindo com clareza e exatidão os processos tratados, de modo que possa auxiliar na execução de tarefas a melhor maneira possível.

6.7 A TI não é mencionada no processo de integração

Ao se contratar novos colaboradores, deve-se dar a devida importância de que eles estejam cientes da correta utilização dos serviços da TI, seus direitos e deveres como utilizador dos recursos, prevenindo assim problemas futuros.

6.7.1 Risco vulnerávelIntegridade e eficiência dos ativos e recursos da infraestrutura e

sistemas de informação

11

6.7.2 AmeaçaConsiste em uma ameaça deste caso o uso de ativos para fins

que não representam interesse da organização, alocando recursos que poderiam estar sendo usados para o interesse da companhia.

6.7.3 Ação para mitigarDesenvolver as políticas, sempre envolvendo a gerência e a área

de recursos humanos (colaborador toma conhecimento ao entrar na empresa), manter as normas e informações a esse respeito sempre acessível a qualquer tempo.

6.8 Datacenter em local inapropriado (umidade excessiva)

O correto funcionamento de toda a estrutura de serviços da TI se deve à localização dos ativos de TI em local apropriado, livre de acesso externo de pessoal não autorizado e não estando sujeito a condições adversas de clima, vibrações e etc.

6.8.1 Risco vulnerávelAtivos e informações

6.8.2 AmeaçaNeste caso em específico, o elevado grau de umidade pode

causar oxidação dos contatos elétricos e mecânicos dos ativos de rede, bem como demais avarias que podem interferir no correto funcionamento dos equipamentos.

6.8.3 Ação para mitigarInstalar condicionadores de ar que atenuem o problema, ou mesmo

migrar a estrutura para um novo local caso o problema não seja possível de contornar ou os custos de adequação sejam acima do projeto de um novo local.

6.9 Documentos impressos abandonados ou esquecidos

Impressos não resgatados no momento de sua impressão poderão conter informações de caráter sigiloso, portanto não autorizado seu conhecimento por outros colaboradores que não sejam o seu proprietário/criador, além de causar acúmulo de papel e desperdício.

6.9.1 Risco vulnerávelInformações confidenciais, que podem representar vazamento se

o seu destino for desviado.

6.9.2 AmeaçaRevelação de informações confidenciais da companhia, seus

projetos, previsões futuras, dados contábeis e outras informações dessa monta.

6.9.3 Ação para mitigarInstalar controle de cópia e impressão, de modo que a impressão

seja liberada apenas quando o solicitante estiver próximo ao local onde a

12

impressora se encontra e liberou o trabalho de impressão através de autenticação (biométrica ou por chave numérica).

6.10 Fuga de expertise

O conhecimento deve estar acessível a todos a qualquer hora, não sendo propriedade ou exclusividade de um determinado profissional.

6.10.1 Risco VulnerávelColaboradores chave para uma determinada tarefa ou

conhecedores de um determinado processo podem vir a deixar a companhia ou mesmo podem estar inacessíveis por um período de tempo (férias, adoecimento, motivo de força maior, etc...).

6.10.2 AmeaçaDificuldade na execução de processos e perda de conhecimento.

6.10.3 Ação para mitigarElencar todos os procedimentos essências a manutenção do

ambiente e exigir a documentação dos procedimentos. Deve-se também treinar outro profissional (de preferência de uma área afim) para que esse possa vir a suprir a demanda caso houver necessidade.

7 Considerações finais

Acreditamos que este documento pode contribuir para criarmos um ambiente onde a eficiência e o respeito predomine, auxiliando à companhia na obtenção dos resultados almejados da melhor maneira possível.

13

Mini política de Segurança da Informação - Análise de Riscos

Education

Transcript of Mini política de Segurança da Informação - Análise de Riscos