PROPOSTA DE POLÍTICA DE SEGURANÇA DA...
59
FACULDADES INTEGRADAS ICESP RONALDO GUEDES NUNES ÁLVARES PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA AABSA Brasília – DF 2014
Transcript of PROPOSTA DE POLÍTICA DE SEGURANÇA DA...
FACULDADES INTEGRADAS ICESP
RONALDO GUEDES NUNES ÁLVARES
PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
PARA AABSA
Brasília – DF
2014
2
RONALDO GUEDES NUNES ÁLVARES
Proposta de Política de Segurança da Informação para a AABSA
Prof. Msc: Cid Bendahan Coelho Cintra - Orientador
Brasília – DF
2014
3
RONALDO GUEDES NUNES ÁLVARES
Proposta de Política de Segurança da Informação para a AABSA
Trabalho de conclusão de curso apresentado às
Faculdades ICESP PROMOVE de Brasília, como
requisito parcial a obtenção do título de Tecnólogo
em Segurança da Informação:
Aprovado em _____/_____/2014 por:
_____________________________________________________________________
Orientador(a) Professor MSc. Cid Bandahan Coelho Cintra
Faculdades Promove de Brasília
_____________________________________________________________________
Membro: Professor MSc. Hamilton Iwamoto
Faculdades Promove de Brasília
_____________________________________________________________________
Membro: Professora Drª. Maria José de Oliveira
Faculdades Promove de Brasília
Brasília – DF
2014
4
AGRADECIMENTOS
Primeiramente quero agradecer à minha amada esposa, Jessica, por todo
apoio nos momentos das maiores dificuldades mе fortaleceu e não deixou que eu
desistisse, pelas horas não dormidas ao meu lado para me ajudar e no esforço
descomunal para que esse trabalho fosse finalizado.
Agradeço todo apoio, carinho e compreensão de meus pais, Sebastião e
Iêda e minha madrinha, Maria. Sem o vocês, essa conquista não seria possível.
Gostaria de agradecer também minhas filhas, Giovanna, Manuela e
Melissa. Todo esforço é por vocês.
Meus sinceros agradecimentos aos professores Cid, Zezé, Rael e Dirceu,
por terem me apoiado e me compreendido um momento muito difícil de minha vida.
5
RESUMO
Este estudo teve como objetivo a elaboração de uma proposta de Política
de Segurança da Informação para uma grande administradora de planos de saúde,
tendo em vista a sensibilidade das informações ali trabalhadas. Optou-se pelo
método de estudo de caso, fazendo levantamento de requisitos de segurança e
analisando as vulnerabilidades de seus ativos físicos e lógicos, avaliados por meio
do cálculo do risco entre probabilidade de ocorrência e seu impacto. A partir do
método avaliativo de risco foi possível identificar as criticidades, onde foram
encontradas várias situações de risco inaceitáveis que podem comprometer os
ativos da AABSA. Sendo assim, foram sugeridas diversas diretrizes para solucionar
as falhas encontradas, formando assim, esta Proposta de Política de Segurança da
Informação.
6
ABSTRACT
This study aimed the development of a proposal for Information Security
Policy for a great manager of health insurance in view the sensitivity of the
information worked there. We opted for the case study method, making lifting safety
requirements and analyzing the vulnerabilities of their physical and logical assets,
evaluated by calculating the risk of likelihood and impact. From the evaluation
method of risk was possible to identify the Criticality, where were found several
unacceptable risk situations that may compromise the assets of AABSA. So I have
proposed several guidelines to resolve the gaps found that makes up this Proposal
for Security Policy Information.
7
LISTA DE FIGURAS
Figura 1 - Ciclo de Vida da Informação .................................................................... 18
Figura 2 - Tríade da Segurança da Informação ........................................................ 19
Figura 3 - Matriz de Probabilidade e Impacto ........................................................... 24
Figura 4 - Estrutura da Norma ABNT NBR ISO/IEC 27002:2005 ............................. 25
Figura 5 - Principais Seções da Norma ABNT NBR ISO/IEC 27002:2005................ 26
Figura 6 - Mapa do Brasil (Sede e Filiais) ................................................................ 27
Figura 7 - Planta Baixa da AABSA ........................................................................... 28
Figura 8 - Estrutura da Área Técnica ....................................................................... 29
Figura 9 - Estrutura da Área Médica ........................................................................ 29
Figura 10 - Estrutura dos Recursos Humanos.......................................................... 30
Figura 11 - Estrutura do Administrativo .................................................................... 31
Figura 12 - Estrutura do Cadastro ............................................................................ 31
Figura 13 - Estrutura Geral....................................................................................... 32
Figura 14 - Presidência ............................................................................................ 33
Figura 15 - Diretoria Corporativa .............................................................................. 33
Figura 16 - Diretoria de Assuntos Estratégicos ........................................................ 34
Figura 17 - Diretoria Comercial ................................................................................ 35
Figura 18 - Diretoria de Licitação e Operacional ...................................................... 35
Figura 19 - Diretoria Técnica e de TI ........................................................................ 36
Figura 20 - Identificação ........................................................................................... 37
Figura 21 - Identificação Biométrica ......................................................................... 37
Figura 22 - Tela de Login do Sistema Operacional .................................................. 38
Figura 23 - Sistema Interno (GA Web) ..................................................................... 38
Figura 24 - Sistema Interno (Life) ............................................................................. 39
Figura 25 - Sistema Interno (Microsiga Protheus) .................................................... 39
Figura 26 - Sistema Interno (Ocomon) ..................................................................... 40
Figura 27 - Sistema Interno (Outlook Web App) ....................................................... 40
8
LISTA DE QUADROS
Tabela 1 - Probabilidade X Impacto ......................................................................... 23
Tabela 2 - Cálculo da Probabilidade X Impacto........................................................ 23
Tabela 3 - Ativos Físicos .......................................................................................... 41
Tabela 4 - Ativos Lógicos ......................................................................................... 41
Tabela 13 - Matriz de Risco (Acesso Físico) ............................................................ 41
Tabela 14 - Matriz de Risco (Acesso Lógico) ........................................................... 42
Tabela 15 - Matriz de Risco (Cópias de Segurança) ................................................ 42
Tabela 16 - Matriz de Risco (Política de Segurança)................................................ 42
Tabela 17 - Matriz de Risco (Administração dos Ativos) .......................................... 42
9
SUMÁRIO
1. CAPÍTULO I - INTRODUÇÃO ........................................................................... 12
1.1. Introdução ...................................................................................................... 12
1.2. Justificativa ..................................................................................................... 12
1.3. Objetivos ........................................................................................................ 14
1.3.1. Objetivo Geral .......................................................................................... 14
1.3.2. Objetivos Específicos ............................................................................... 14
1.4. Metodologia .................................................................................................... 14
2. CAPÍTULO II - REFERENCIAL TEÓRICO ........................................................ 16
2.1. Ativo ............................................................................................................... 16
2.2. Dados ............................................................................................................. 16
2.3. Informação ..................................................................................................... 16
2.4. Classificação da Informação .......................................................................... 17
2.5. Ciclo de Vida da Informação .......................................................................... 18
2.6. Segurança da Informação .............................................................................. 19
2.7. Política de Segurança da Informação ............................................................. 19
2.8. Autorização .................................................................................................... 20
2.9. Autenticação .................................................................................................. 20
2.10. Acesso Lógico ............................................................................................. 21
2.11. Controles de acesso ................................................................................... 21
2.12. Ameaça ....................................................................................................... 21
2.13. Vulnerabilidade ........................................................................................... 21
2.14. Risco ........................................................................................................... 22
2.15. Probabilidade .............................................................................................. 22
2.16. Impacto ....................................................................................................... 22
2.17. Matriz de Risco ........................................................................................... 23
2.18. Evento de Segurança .................................................................................. 24
2.19. Incidente de Segurança .............................................................................. 24
10
2.20. Medidas de Segurança ............................................................................... 24
2.21. Norma ABNT NBR ISO/IEC 27002:2005 ..................................................... 25
3. CAPÍTULO III – ESTUDO DE CASO ................................................................ 27
3.1. Empresa ......................................................................................................... 27
3.1.1. Estrutura Física ........................................................................................ 28
3.1.1.1. Estrutura da Área Técnica .................................................................... 29
3.1.1.2. Estrutura da Área Médica ..................................................................... 29
3.1.1.3. Estrutura Recursos Humanos ............................................................... 30
3.1.1.4. Estrutura Administrativo ........................................................................ 31
3.1.1.5. Estrutura Cadastro ............................................................................... 31
3.1.2. Estrutura Organizacional.......................................................................... 32
3.1.2.1. Estrutura Geral ..................................................................................... 32
3.1.2.2. Presidência ........................................................................................... 33
3.1.2.3. Diretoria Corporativa............................................................................. 33
3.1.2.4. Diretoria de Assuntos Estratégicos ....................................................... 34
3.1.2.5. Diretoria Comercial ............................................................................... 35
3.1.2.6. Diretoria de Licitação e Operacional ..................................................... 35
3.1.2.7. Diretoria Técnica e de TI ...................................................................... 36
3.2. Controles de acesso ....................................................................................... 37
3.2.1. Acesso Físico .............................................................................................. 37
3.2.2. Acesso Lógico ............................................................................................. 38
3.3. Sistemas Internos ........................................................................................... 38
3.4. Cópias de Segurança ..................................................................................... 40
3.5. Ativos ............................................................................................................. 40
3.5.1. Ativos Físicos ........................................................................................... 40
3.5.2. Ativos Lógicos .......................................................................................... 41
3.5.3. Matriz de Risco ........................................................................................ 41
3.5.3.1. Acesso Físico ....................................................................................... 41
11
3.5.3.2. Acesso Lógico ...................................................................................... 42
3.5.3.3. Cópias de Segurança ........................................................................... 42
3.5.3.4. Política de Segurança ........................................................................... 42
3.5.3.5. Administração dos Ativos ..................................................................... 42
3.5.4. Análise das Vulnerabilidades ................................................................... 43
3.5.4.1. Acesso Físico ....................................................................................... 43
3.5.4.2. Acesso Lógico ...................................................................................... 44
3.5.4.3. Cópias de Segurança ........................................................................... 46
3.5.4.4. Política de Segurança ........................................................................... 47
3.5.4.5. Administração dos Ativos ..................................................................... 49
4. PROPOSTA DE POLÍTICA DE SEGURANÇA ................................................. 51
4.1. Título da Política............................................................................................. 51
4.2. Instituição a que se Destina ........................................................................... 51
4.3. Objetivo da Política ........................................................................................ 51
4.4. Abrangência da Política.................................................................................. 51
4.5. Referências .................................................................................................... 52
4.6. Diretrizes da Política ...................................................................................... 52
4.6.1. Segurança Física ........................................................................................ 52
4.6.2. Segurança Lógica ....................................................................................... 52
4.6.3. Cópias de Segurança .................................................................................. 54
4.6.4. Administração dos Ativos ............................................................................ 54
4.7. Conformidade ................................................................................................. 54
4.8. Penalidade ..................................................................................................... 54
4.9. Disposições Gerais ........................................................................................ 55
5. CONSIDERAÇÕES FINAIS .............................................................................. 56
6. REFERÊNCIAS ................................................................................................. 57
12
1. CAPÍTULO I - INTRODUÇÃO
1.1. Introdução
Política de Segurança da Informação consiste em um conjunto de boas
práticas que devem ser seguidas por funcionários, fornecedores, terceiros e todos
visitantes. A sua não aplicação pode desencadear perdas de informações, dados e,
com isso, os processos de negócios da organização podem sofrer danos
irreparáveis.
Este trabalho, por meio de estudo de caso, pretende analisar as
criticidades de uma empresa de Brasília, para, a partir do conhecimento de suas
vulnerabilidades e com base na norma ABNT NBR ISO/IEC 27002:2005, elaborar
uma Política de Segurança apropriada e personalizada de modo a garantir a
segurança de seus ativos.
1.2. Justificativa
A AABSA1 é uma grande empresa da área de saúde, administradora de
planos de saúde e dental de órgãos da administração pública, empresas privadas,
associações civis, conselhos, cooperativas, sindicatos e outras entidades de classe
representativas da sociedade civil.
A empresa, em sua Intranet, disponibiliza um link para sua Política de
Segurança. Entretanto, ao acessá-lo, informa que a página é inexistente.
Este trabalho justifica-se pela necessidade de que segurança da
informação da empresa analisada deixe de ser tratada de maneira superficial e
passe a ser realmente implementada, com uma boa política de
segurançainvestimento em treinamento de pessoal e divulgação.
A implementação de uma boa Política de Segurança da Informação tem
papel importantíssimo para o funcionamento da empresa, tendo em vista a
sensibilidade das informações ali trabalhadas.
A não aplicação de uma boa Política pode desencadear perdas/danos de
informações, dados e, com isso, os processos de negócios da empresa podem
sofrer danos irreparáveis, como acesso não autorizado às informações de clientes,
1 Nome Fictício
13
perda de credibilidade, perda financeira, responsabilização judicial caso dados
financeiros de clientes sejam roubados, dentre outros.
14
1.3. Objetivos
Este tópico apresenta os objetivos gerais e específicos, necessários para o
desenvolvimento do presente estudo.
1.3.1. Objetivo Geral
Elaborar uma política de segurança da informação para os ambientes
físicos e lógicos da AABSA com base na Norma ABNT NBR ISO/IEC 27002:2005.
1.3.2. Objetivos Específicos
I. Analisar processos e fluxos de dados da AABSA.
II. Fazer levantamento de requisitos de segurança, levando em consideração os
possíveis riscos na gestão segura da informação.
III. Baseando-se no levantamento de requisitos e o disposto na Norma ABNT
ISO/IEC 27002, nortear a definição de quais normas e procedimentos de
segurança da informação precisam ser implementados.
IV. Elaborar uma Política de Segurança da Informação que contenha as diretrizes
e ações necessárias para que a utilização dos ativos computacionais e o
compartilhamento de informações sejam feitos de maneira segura e
responsável, evitando que a AABSA e seus parceiros comerciais possam ser
prejudicados.
1.4. Metodologia
Este trabalho foi desenvolvido utilizando-se de pesquisa bibliográfica e de
estudo de caso.
A pesquisa bibliográfica pontuou os conceitos, legislações e correntes de
pensamentos relacionados à segurança da informação sobre os quais analisou-se a
organização escolhida para o presente estudo de caso.
O estudo de caso foi realizado na AABSA, uma grande empresa privada
do ramo de saúde. Para tanto, foi solicitada autorização do responsável pela área de
Tecnologia, para a devida coleta de dados, captura de imagens dos setores e
análise dos procedimentos de segurança da informação.
15
Devidamente autorizado, foram utilizados para coleta de dados as
seguintes fontes:
Análise de documentos: estudo dos documentos relacionados a
empresa;
Entrevistas individuais - entrevistas direcionadas aos colaboradores
das áreas analisadas da empresa e às pessoas responsáveis pelas
ações/decisões de gestão de segurança da informação;
Observação direta - observações no ambiente da organização, com
o objetivo de verificar a efetividade e ausência de procedimentos
relativos à Segurança da Informação.
No entanto, ao necessitar do acesso às áreas para captura de
imagens das instalações físicas, e com cerca de 50% do trabalho concluído, a chefia
de Tecnologia da AABSA vedou qualquer tipo de acesso às instalações e qualquer
tipo de informação relacionada à Política de Segurança da Informação da empresa.
Com esse percalço, algumas estratégias foram utilizadas para a
conclusão satisfatória do presente estudo:
Passou-se a se trabalhar apenas com os dados coletados até
aquele momento;
Retirou-se informações e nomes que pudessem identificar a
empresa;
Criou-se um nome fictício para empresa: AABSA;
Investiu-se em gráficos e croquis das áreas analisadas.
16
2. CAPÍTULO II - REFERENCIAL TEÓRICO
2.1. Ativo
É tudo aquilo que tem valor para a empresa, monetário ou não. Conforme
a Norma ABNT NBR ISO/IEC 27002 (2005, p. 21), existem vários tipos de ativos,
incluindo:
I. Ativos de informação: base de dados e arquivos,
contratos e acordos, documentação de sistema, informações
sobre pesquisa, manuais de usuário, material de treinamento,
procedimentos de suporte ou operação, planos de continuidade
do negócio, procedimentos de recuperação, trilhas de auditoria
e informações armazenadas;
II. Ativos de software: aplicativos, sistemas, ferramentas
de desenvolvimento e utilitários;
III. Ativos físicos: equipamentos computacionais,
equipamentos de comunicação, mídias removíveis e outros
equipamentos;
IV. Serviços: serviços de computação e comunicações,
utilidades gerais, por exemplo, aquecimento, iluminação,
eletricidade e refrigeração;
V. Pessoas e suas qualificações, habilidades e
experiências;
VI. Intangíveis, tais como a reputação e a imagem da
organização.
2.2. Dados
Dado é tudo aquilo que possa ser registrado. Como características de
objetos, seres ou sistemas. O dado bruto, em si, não transmite informação.
2.3. Informação
De acordo com a Norma ABNT NBR ISO/IEC 27002 (2005, p. 9)
“informação é um ativo que, como qualquer outro ativo importante, é essencial para
os negócios de uma organização e, consequentemente, necessita ser
adequadamente protegida.
17
A informação pode ser impressa ou escrita em papel, armazenada
eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em
filmes ou falada em conversas”.
2.4. Classificação da Informação
Toda informação relativa à empresa deve ser classificada. Para tanto, é
necessário definir os critérios. Para Ferreira e Araujo (2008, p.80) durante a
classificação da informação, fatores especiais, inclusive exigências legais, devem
ser ponderados no ato do estabelecimento da classificação.
A classificação deve ser clara e de fácil entendimento. Não se pode
permitir classificações diferentes daquelas contidas na Política de Segurança da
Informação.
De acordo com Ferreira e Araujo (2008, p.80) e Fontes (2012, p.136), as
informações devem ser classificadas em:
a) Classe 1: Informação Pública - É do tipo que é de livre acesso a todos
os colaboradores da empresa. Não trazendo nenhum tipo de impacto caso seja
divulgada fora da empresa e sua cópia pode ser utilizada para fins comerciais.
b) Classe 2: Informação Interna - As informações com esse tipo de
classificação são para uso exclusivo da empresa e o acesso externo à ela deve ser
evitado.
Como Fontes; Edison (2012, p.139) explicou, ela se aplica, normalmente,
a informações que não possuem segredo de negócio ou que não comprometem a
imagem da empresa. Sua cópia é restrita ao conhecimento interno da empresa.
c) Classe 3: Informação Confidencial - As informações dessa classe são
de uso restrito dentro da organização. A divulgação não autorizada pode ser
prejudicial à empresa, podendo causar perdas financeiras, danos à imagem e
problemas operacionais. Sua cópia é permitida para fins comerciais e para
conhecimento interno na empresa.
d) Classe 4: Informação Restrita - Nesse tipo, o acesso à informação é
feito somente por usuários e áreas explicitamente autorizadas. Sua divulgação não
autorizada pode ser extremamente danosa aos negócios, podendo afetar a
estratégia do negócio da empresa. A cópia é proibida e somente o gestor deve
enviá-la.
18
2.5. Ciclo de Vida da Informação
Segundo Laureano e Moraes (2005), o ciclo de vida da informação possui
quatro fases principais que são merecedoras de atenção. São elas (Figura 1):
Figura 1 - Ciclo de Vida da Informação
Fonte : Muller (2014, p.27)
Manuseio – Momento em que a informação é criada e manipulada.
Seja ao folhear um maço de papéis, ao digitar informações recém-
geradas em uma aplicação Internet, ou, ainda, ao utilizar sua senha
de acesso para autenticação, por exemplo.
Armazenamento – Momento em que a informação é armazenada.
Seja em um banco de dados compartilhado, em uma anotação de
papel posteriormente postada em um arquivo de ferro, ou, ainda em
uma mídia de disquete depositada na gaveta da mesa de trabalho,
por exemplo.
Transporte – Momento em que a informação é transportada, seja
ao encaminhar informações por correio eletrônico, ao postar um
documento via aparelho de fax, ou, ainda, ao falar ao telefone uma
informação confidencial, por exemplo.
Descarte – Momento em que a informação é descartada, seja ao
depositar na lixeira da empresa um material impresso, seja ao
eliminar um arquivo eletrônico em seu computador de mesa, ou
ainda, ao descartar um CD-ROM usado que apresentou falha na
leitura.
19
2.6. Segurança da Informação
A informação é um patrimônio da empresa que precisa ser protegido. A
segurança da informação protege a informação de ameaças e a proteção dos
sistemas de informação contra a negação de serviço a usuários autorizados, assim
como contra a intrusão, e a modificação desautorizada de dados ou informações,
armazenados, em processamento ou em trânsito, abrangendo, inclusive, a
segurança dos recursos humanos, da documentação e do material, das áreas e
instalações das comunicações e computacional, assim como as destinadas a
prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento
(BRASIL, 2010).
Conforme a Norma ABNT NBR ISO/IEC 27001 (2006, p. 10) a segurança
da informação é baseada em três princípios básicos. São eles (Figura 2):
Disponibilidade - Propriedade de estar acessível e utilizável sob
demanda por uma entidade autorizada.
Confidencialidade - propriedade de que a informação não esteja
disponível ou revelada a indivíduos, entidades ou processos não
autorizados.
Integridade - Propriedade de salvaguarda da exatidão e completeza de
ativos.
Figura 2 - Tríade da Segurança da Informação
Fonte: Dodt (2011)
2.7. Política de Segurança da Informação
De acordo com Barman (2001), Política de Segurança da Informação é um
conjunto de padrões e diretrizes sobre o que deve ser feito para garantir que as
Confidencialidade
Integridade
Segurança
da
Informação
Disponibilidade
20
informações e serviços essenciais para a empresa recebam a devida proteção,
garantindo a confidencialidade, integridade e disponibilidade.
A política de segurança da informação tem como objetivo
orientar a ações junto às informações da empresa,
possibilitando que todo o negócio se desenvolva e não se
prejudique pelo mau uso da informação por acidente,
incidente ou erro (FONTES, 2006).
A Política de Segurança da Informação é o instrumento que norteia como
deve ser feita a proteção dos ativos de informação e a responsabilidade que cada
usuário tem. Sendo assim, seu cumprimento e aplicação deve ser abrangente à
todas as áreas da empresa.
Para Sousa (2006) a elaboração de uma política de segurança é a
fundamentação da segurança de informação em uma empresa.
2.8. Autorização
Para Laureano e Moraes (2005),” autorização é o processo de conceder
ou negar direitos a usuários ou sistemas, por meio das chamadas listas de controle
de acessos (Access Control Lists – ACL), definindo quais atividades poderão ser
realizadas, desta forma gerando os chamados perfis de acesso”.
2.9. Autenticação
Consiste na garantia da veracidade da fonte das informações. Por meio da
autenticação é possível confirmar a identidade da pessoa ou entidade que presta as
informações (BRASIL, 2000).
Laureano e Moraes (2005) explica que há três métodos distintos de
autenticação. São eles:
Identificação Positiva (O que você sabe) – Na qual o requerente
demonstra conhecimento de alguma informação utilizada no
processo de autenticação, por exemplo, uma senha.
21
Identificação Proprietária (O que você tem) – Na qual o
requerente demonstra possuir algo a ser utilizado no processo de
autenticação, como um cartão magnético.
Identificação Biométrica (O que você é) – Na qual o requerente
exibe alguma característica própria, tal como a sua impressão
digital.
2.10. Acesso Lógico
O processo de logon é usado para acesso a dados, programas e sistemas.
Normalmente, tal processo envolve a utilização de um User ID e uma senha.
A identificação do usuário ou User ID deve ser única, isto é, cada usuário
deve ter uma identificação própria.
Todos os usuários autorizados devem possuir um código de usuário, quer
seja um código de caracteres, cartão inteligente ou outro meio de identificação.
2.11. Controles de acesso
Os controles de acesso físicos e lógicos têm por objetivo proteger
equipamentos, aplicativos e arquivos de dados contra perda, modificação ou
divulgação não autorizada. Os sistemas computacionais, bem diferentes de outros
tipos de recursos, não podem ser facilmente controlados apenas com dispositivos
físicos, como cadeados, alarmes ou guardas de segurança (BRASIL, 2012).
2.12. Ameaça
Conjunto de fatores externos ou causa potencial de um incidente
indesejado, que pode resultar em dano para um sistema ou organização (BRASIL,
2010).
2.13. Vulnerabilidade
Conjunto de fatores internos ou causa potencial de um incidente
indesejado, que podem resultar em risco para um sistema ou organização, os quais
podem ser evitados por uma ação interna de segurança da informação (BRASIL,
2010).
22
2.14. Risco
Possibilidade de uma determinada ameaça explorar vulnerabilidades de
um ativo ou de um conjunto de ativos, desta maneira, prejudicando a organização
(ABNT, 2008).
2.15. Probabilidade
De acordo com Ferreira e Araujo (2008) devem ser levados em
consideração os seguintes fatores para se determinar a probabilidade de uma
potencial vulnerabilidade ser explorada:
Motivação da fonte de ameaça;
Natureza da vulnerabilidade;
Existência e eficácia dos controles de segurança.
Ainda conforme Ferreira e Araujo (2008), o nível da probabilidade pode ser
classificado da seguinte maneira:
Alto (VERMELHO) - A fonte de ameaça é altamente motivada e
suficientemente capaz e os controles para prevenir não são
efetivos.
Médio (AMARELO) - A fonte de ameaça está motivada, é
suficientemente capaz e os controles para prevenir são efetivos.
Baixo (VERDE) - A fonte de ameaça não está motivada, não é
suficientemente capaz e os controles para prevenir são efetivos.
2.16. Impacto
Conforme Ferreira e Araujo (2008), a melhor forma para se determinar o
grau de risco, caso uma ameaça consiga explorar uma vulnerabilidade, é determinar
o seu impacto dentro da organização. Ele especifica as categorias abaixo para
classificar esse impacto:
Alto (VERMELHO) - Resulta na perda altamente cara de recursos
tangíveis ou principais. Pode significativamente violar ou impedir a
operação de negócio.
23
Médio (AMARELO) - Resulta na perda cara de recursos tangíveis,
podendo prejudicar a operação de negócio.
Baixo (VERDE) - Resulta na perda de algum recurso tangível, assim
como afeta a operação do negócio.
2.17. Matriz de Risco
Segundo Ferreira e Araujo (2008), a matriz de risco base tem como
finalidade definir os níveis de riscos, relacionando as probabilidades (alta, média e
baixa) com os impactos (alto, médio, baixo).
Tabela 1 - Probabilidade X Impacto
Probabilidade Impacto
Alta = 1,0 Alto = 100
Média = 0,5 Médio = 50
Baixa = 0,1 Médio = 10
Fonte: Portal ISO27000, S/D
A determinação do risco é obtida pela multiplicação da classificação da
probabilidade de ocorrência versus o impacto na organização.
Tabela 2 - Cálculo da Probabilidade X Impacto
PROBABILIDADE IMPACTO
Baixo (10) Médio (50) Alto (100)
Alto (1,0) Baixo
10 x 1,0 = 10
Médio
50 x 1,0 = 50
Alto
100 x 1,0 = 100
Médio (0,5) Baixo
10 x 0,5 = 5
Médio
50 x 0,5 = 25
Médio
100 x 0,5 = 50
Baixo (0,1) Baixo
10 x 0,1 = 1
Baixo
50 x 0,1 = 5
Baixo
100 x 0,1 = 10
Fonte: Ferreira e Araujo (2008)
Deve-se identificar o impacto que os riscos oferecem às atividades da
organização, assim como a probabilidade da sua ocorrência para que haja a
diminuição dos riscos mais relevantes, mediante a seguinte análise (Figura 3):
24
Figura 3 - Matriz de Probabilidade e Impacto
Fonte: Bezerra (2007)
2.18. Evento de Segurança
Conforme a Norma ABNT NBR ISO/IEC 27002 (2005, p. 10), evento de
segurança é a ocorrência identificada de um sistema, serviço ou rede, que indica
uma possível violação da política de segurança da informação ou falha de controles,
ou uma situação previamente desconhecida, que possa ser relevante para a
segurança da informação.
2.19. Incidente de Segurança
Conforme a Norma ABNT NBR ISO/IEC 27002 (2005, p. 10) é um
incidente de segurança da informação é indicado por um simples ou por uma série
de eventos de segurança da informação indesejados ou inesperados, que tenham
uma grande probabilidade de comprometer as operações do negócio e ameaçar a
segurança da informação.
2.20. Medidas de Segurança
Para Dantas (2011), devem-se ser levados em consideração dois aspectos
no estudo do risco: prevenção e reação. Enquanto não há a ocorrência de um
evento, todas ações de controle de risco são feitas no dia-a-dia, caso essas medidas
não sejam suficientes, outras ações as complementarão, para que o status volte a
ser o mesmo que antes da concretização.
25
A prevenção é feita para que se evite a concretização de eventos que
comprometam os ativos da empresa.
2.21. Norma ABNT NBR ISO/IEC 27002:2005
De acordo com Franciscatto (2013), “a Norma ABNT NBR ISO/IEC
27002:2005 é um conjunto de melhores práticas para a gestão de segurança da
informação. Ela pode ser aplicada a todos aqueles que trabalham / administram a
segurança da informação dentro de uma organização. É um código de conduta que
toda empresa deveria utilizar”.
A estrutura da Norma ABNT NBR ISO/IEC 27002:2005 é feita da seguinte
maneira (Figura 4):
Figura 4 - Estrutura da Norma ABNT NBR ISO/IEC 27002:2005
Fonte: Franciscatto (2013)
A principal parte da norma é distribuída em 11 seções. São elas (Figura 5):
Seção
Categoria
Objetivos
Controle
Diretrizes
26
Figura 5 - Principais Seções da Norma ABNT NBR ISO/IEC 27002:2005
Fonte: Macedo (2012)
•Política de Segurança da Informação Seção 5
•Organização da Segurança da Informação Seção 6
•Gestão de Ativos Seção 7
•Segurança em Recursos Humanos Seção 8
•Segurança Física do Ambiente Seção 9
•Gestão das Operações e Comunicações Seção 10
•Controle de Acesso Seção 11
•Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
Seção 12
•Gestão de Incidentes de Segurança da Informação Seção 13
•Gestão da Continuidade do Negócio Seção 14
•Conformidade Seção 15
27
3. CAPÍTULO III – ESTUDO DE CASO
3.1. Empresa
A AABSA é uma empresa que oferece a contratação coletiva de planos de
assistência médica e odontológica, trabalhando, principalmente, com empresas
privadas, associações civis, conselhos, cooperativas, sindicatos e outras entidades
de classes representativas da sociedade civil.
A atuação de mercado é em todo território nacional, possuindo clientes em
todas as unidades da federação. Sua sede se localiza em Brasília e possui filiais e
postos de atendimento em seis estados (figura 6).
Figura 6 - Mapa do Brasil (Sede e Filiais)
Fonte: AABSA (s/d)
28
3.1.1. Estrutura Física
As áreas a serem analisadas estão todas em um mesmo andar. São elas:
Área Técnica;
Área Médica;
Recursos Humanos;
Administrativo;
Cadastro.
Abaixo, está a estrutura física de das áreas analisadas da AABSA (Figuras
7 a 12):
Figura 7 - Planta Baixa da AABSA
Fonte: O Autor
29
3.1.1.1. Estrutura da Área Técnica
Figura 8 - Estrutura da Área Técnica
Fonte: O Autor
Foram encontrados os seguintes problemas:
Disposição inadequada dos computadores;
Pen Drive deixado sobre a mesa;
Comida e bedida sobre as estações de trabalho.
3.1.1.2. Estrutura da Área Médica
Figura 9 - Estrutura da Área Médica
Fonte: O Autor
Foram encontrados os seguintes problemas:
30
Disposição inadequada dos computadores;
Documentos sigilosos arquivados de forma equivocada;
Fios de rede expostos.
3.1.1.3. Estrutura Recursos Humanos
Figura 10 - Estrutura dos Recursos Humanos
Fonte: O Autor
Foram encontrados os seguintes problemas:
Documentos sigilosos que não estão sendo utilizados não
arquivados;
Documentos arquivados de forma equivocada;
Comida e bedida sobre as estações de trabalho;
Senhas anotadas em papeis.
31
3.1.1.4. Estrutura Administrativo
Figura 11 - Estrutura do Administrativo
Fonte: O Autor
Foram encontrados os seguintes problemas:
Notas fiscais não arquivadas;
Comida e bedida sobre as estações de trabalho;
Armários de arquivos sigilosos não possuem chaves.
3.1.1.5. Estrutura Cadastro
Figura 12 - Estrutura do Cadastro
Fonte: O Autor
32
Foram encontrados os seguintes problemas:
Documentos sigilosos que não estão sendo utilizados não
arquivados;
Comida e bedida sobre as estações de trabalho;
Senhas anotadas em papeis.
Fios de rede e eletricidade expostos.
3.1.2. Estrutura Organizacional
Hoje a AABSA possui a seguinte estrutura organizacional:
Estrutura Geral – Figura 13
Presidência - Figura 14
Diretoria Corporativa - Figura 15
Diretoria de Assuntos Estratégicos – Figura 16
Diretoria Comercial – Figura 17
Diretoria de Licitação e Operacional – Figura 18
Diretoria Técnica e de TI – Figura 19
3.1.2.1. Estrutura Geral
Figura 13 - Estrutura Geral
Fonte: AABSA (s/d)
Presidência
Diretoria Corporativa Diretoria de Assuntos
Estratégicos Diretoria Comercial
Diretoria de Licitação e Operacional
Diretoria Técnica e TI
33
3.1.2.2. Presidência
Figura 14 - Presidência
Fonte: AABSA (s/d)
As principais responsabilidades da Presidência dentro da organização são:
Manter relacionamento comercial com o mercado;
Liderar e coordenar os trabalhos na diretoria;
Delegar atribuições aos diretores e acompanhar a execução dos
trabalhos em busca dos resultados planejados;
Acompanhar os indicadores de resultados das áreas;
Dar suporte jurídico aos negócios.
3.1.2.3. Diretoria Corporativa
Figura 15 - Diretoria Corporativa
Fonte: AABSA (s/d)
As principais responsabilidades da Diretoria Corporativa são:
Presidência
Superintendência de Relacões Institucional
Ouvidoria
Superintendência Jurídica
Gerência Jurídica
Diretoria Corporativa
Superintendência de Administração e Gestão de
Pessoas
Gerência de Estratégia Corporativa
Gerência de RH Gerência de Administração
Superintendência de Finanças
Gerência de Gestão de Riscos Gerência de Finanças
Gerência de Controladoria
Coordenação Contábil Coordenação de Assuntos
Societários
34
Liderar as atividades de gestão corporativa, responsabilizando-se
pela elaboração do planejamento estratégico e pelo monitoramento
da execução dos planos de ação decorrentes;
Dirigir os processos financeiros, contábeis e de controladoria;
Fazer gestão de pessoas;
Administrar a empresa, realizando as atividades de compras,
manutenção predial e de equipamentos, logística, limpeza e
conservação.
3.1.2.4. Diretoria de Assuntos Estratégicos
Figura 16 - Diretoria de Assuntos Estratégicos
Fonte: AABSA (s/d)
As principais responsabilidades da Diretoria de Assuntos Estratégicos são:
Criar modelos de negócio de forma estratégica, orientando e
inovando as atividades comerciais;
Estudar os cenários econômicos e legais para identificar
alternativas de negócios.
Diretoria de Assuntos Estratégicos
Superintendência de Assuntos Estratégicos
Gerência de Negócios
35
3.1.2.5. Diretoria Comercial
Figura 17 - Diretoria Comercial
Fonte: AABSA (s/d)
As principais responsabilidades da Diretoria Comercial são:
Identificar e criar oportunidades de negócios para a empresa, a
partir da prospecção e visitas a clientes em potencial;
Estabelecer e manter parcerias com as operadoras e seguradoras
em todo território nacional;
Dirigir as atividades das filiais, fazendo a interface com a Diretoria
Operacional.
3.1.2.6. Diretoria de Licitação e Operacional
Figura 18 - Diretoria de Licitação e Operacional
Fonte: AABSA (s/d)
Diretoria Comercial
Superintendência Comercial
Gerência de Atendimento
ATENTO
Gerência Comercial
Coordenação de Vendas
Coordenação de Canal Terceirizado
Gerência de Filiais Gerência de Contratos
Gerência de Marketing
Diretoria de Licitação e Operacional
Superintendência de Operações
Gerência de Operações
Coordenação de Cadastro
Coordenação de Autorizações e Procedimentos
Gerência de Implantação e Manutenção
Coordenação de Entidades de Classe
Coordenação Governo Coordenação Empresarial
Gerência de Licitação
36
As principais responsabilidades da Diretoria de Licitação e Operacional
são:
Definir estratégias para a participação da empresa nos processos
de licitação, além de garantir a qualidade da informação e a entrega
da documentação;
Zelar para que todos os clientes sejam assistidos;
Analisar casos de evasão nos contratos, a fim de orientar a
correção de eventuais problemas junto aos clientes;
Atender solicitações de autorizações e procedimentos para os
clientes, atuando como intermediária entre a operadora /
seguradora e o cliente.
3.1.2.7. Diretoria Técnica e de TI
Figura 19 - Diretoria Técnica e de TI
Fonte: AABSA (s/d)
As principais responsabilidades da Diretoria Técnica e de TI são:
Dirigir todas as atividades técnicas e médicas referentes ao
acompanhamento do desempenho dos contratos;
Subsidiar os cálculos para precificação de contratos e negócios da
empresa;
Coordenar a área de Tecnologia da Informação, que abrange a área
de sistemas, infraestrutura e processos.
Diretoria Técnica e de TI
Superintendência de TI
Gerência de Infraestrutura
Gerência de Sistemas
Gerência de Processos
Gerência Médica Gerência Técnica
37
3.2. Controles de acesso
3.2.1. Acesso Físico
A AABSA localiza-se no quarto e sétimo andares de um grande centro
empresarial de Brasília. O acesso aos andares é feito, primeiramente, através das
catracas por identificação do edifício. Cada funcionário possui um cartão magnético
(Figura 20), com seus dados pessoais, contendo o nome completo, número de
identidade e o cargo / função na empresa. Os visitantes devem fazer cadastro na
recepção, portando Carteira de Identidade, para receber o crachá temporário e,
assim, ter acesso aos andares. Quando da saída do prédio, o visitante deve
depositar o crachá em local apropriado para que sua passagem seja liberada.
Figura 20 - Identificação
Fonte: O Autor
É feita a verificação da digital na entrada da empresa por meio de leitor
biométrico (figura 21).
Figura 21 - Identificação Biométrica
Fonte: O Autor
38
3.2.2. Acesso Lógico
A AABSA trabalha com o sistema de identificação, onde o funcionário é
autenticado através de um login e senha para ter acesso à rede e aos sistemas
internos.
Os acessos internos e externos aos serviços de rede são controlados e
liberados de acordo com a necessidade de cada usuário, criticidade das
informações, recursos a serem disponibilizados, entre outros. A AABSA utiliza
Sistema Operacional Windows como padrão para que os funcionários tenham
acesso à rede (Figura 22).
Figura 22 - Tela de Login do Sistema Operacional
Fonte: O Autor
3.3. Sistemas Internos
A AABSA trabalha com os diversos sistemas no seu dia-a-dia. São eles:
GA Web – Sistema de controle das propostas emitidas para novos
clientes (Figura 23).
Figura 23 - Sistema Interno (GA Web)
Fonte: O Autor
39
Life – Sistema de acompanhamento de solicitações feitas pelos
clientes, bem como acompanhamento financeiro (Figura 24).
Figura 24 - Sistema Interno (Life)
Fonte: O Autor
Microsiga Protheus – Principal sistema da AABSA. Nele são
inseridas informações cadastrais e contratuais de parceiros
comerciais e clientes (Figura 25).
Figura 25 - Sistema Interno (Microsiga Protheus)
Fonte: O Autor
Ocomon – Sistema de abertura de chamados para as áreas
internas da AABSA, como solicitações de manutenção, de compras
e atendimento (Figura 26).
40
Figura 26 - Sistema Interno (Ocomon)
Fonte: O Autor
Outlook Web App – Cliente de e-mail utilizado pela AABSA (Figura
27).
Figura 27 - Sistema Interno (Outlook Web App)
Fonte: O Autor
3.4. Cópias de Segurança
Até 2013, a AABSA mantinha cópias de segurança em fitas e o backup era
feito três vezes por semana. A partir de 2014, os backups passaram a ser feitos
através de Cloud Backup e sua rotina passou a ser diária.
3.5. Ativos
3.5.1. Ativos Físicos
Há cinco anos a AABSA não realiza inventário de seus ativos. Dentre as
áreas analisadas, foram levantados os seguintes bens:
41
Tabela 3 - Ativos Físicos
Área
Técnica Área
Médica Administrativo Recursos Humanos Cadastro TOTAL
Computadores 6 5 6 5 10 32
Armários 3 2 9 5 3 22
Pen Drives 1
2 1
4
Impressoras
22
1 3 Fonte: O Autor
3.5.2. Ativos Lógicos
Tabela 4 - Ativos Lógicos
Área
Técnica Área
Médica Administrativo Recursos Humanos Cadastro TOTAL
Sistema Operacional (Windows 7)
5 4 6 5 2 22
Sistema Operacional
(Windows Xp) 1 1
8 10
Microsoft Office 2010
6 5 6 5 5 27
Microsoft Access 2010
4
4
Fonte: AABSA (s/d)
3.5.3. Matriz de Risco
3.5.3.1. Acesso Físico
Tabela 5 - Matriz de Risco (Acesso Físico)
Item Ameaça Sim/Não Probabilidade Impacto Risco
1 Recepção é adequada? Não 0,5 100 50
2 Funcionários estão visivelmente identificados?
Sim 0,1 50 5
Fonte: O Autor
2 Impressoras compartilhadas com as demais áreas, mas de responsabilidade do Administrativo.
42
3.5.3.2. Acesso Lógico
Tabela 6 - Matriz de Risco (Acesso Lógico)
Item Ameaça Sim / Não Probabilidade Impacto Risco
1 Todos funcionários possuem o
perfil de acesso ao sistema com login e senha?
Não 1,0 100 100
2 Gerenciamento de senhas é
adequado? Não 1,0 100 100
3 Procedimentos de Controle de acesso são adequados?
Não 1,0 100 100
Fonte: O Autor
3.5.3.3. Cópias de Segurança
Tabela 7 - Matriz de Risco (Cópias de Segurança)
Item Ameaça Sim/Não Probabilidade Impacto Risco
1 Há procedimentos de cópias de segurança?
Sim 10 0,1 1
2 Armazenamento das cópias de segurança em locais seguros e
externos à empresa?
Sim 10 0,1 1
3 Realização das cópias de
segurança por mecanismo automatizado programado?
Sim 10 0,1 1
Fonte: O Autor
3.5.3.4. Política de Segurança
Tabela 8 - Matriz de Risco (Política de Segurança)
Item Ameaça Sim/Não Probabilidade Impacto Risco
1 Existe documento da política de segurança da informação?
Sim 0,5 50 25
2 Há divulgação ou treinamento
voltados para disseminar a política de segurança da informação?
Não 1,0 100 100
Fonte: O Autor
3.5.3.5. Administração dos Ativos
Tabela 9 - Matriz de Risco (Administração dos Ativos)
Item Ameaça Sim/Não Probabilidade Impacto Risco
1 O Inventário dos Ativos é feito de
maneira adequada? Não 10 0,1 1
Fonte: O Autor
43
3.5.4. Análise das Vulnerabilidades
3.5.4.1. Acesso Físico
1 - Recepção é adequada?
Embora esteja localizado em um prédio que não seja de uso exclusivo da
AABSA, o acesso é bastante restrito aos seus colaboradores e eventuais visitantes.
Entretanto, o fato de não contar sempre como uma recepcionista, existe a
possibilidade de alguma pessoa não autorizada ter acesso às instalações da
empresa.
Item da Norma ABNT NBR ISO/IEC 27002:2005 Aplicável:
9.1.1 Perímetro de segurança física
c) seja implantada uma área de recepção, ou outro meio
para controlar o acesso físico ao local ou ao edifício; o
acesso aos locais ou edifícios deve ficar restrito somente ao
pessoal autorizado.
d) sejam construídas barreiras físicas, onde aplicável, para
impedir o acesso físico não autorizado e a contaminação do
meio ambiente.
2 - Funcionários visivelmente identificados?
Todos funcionários recebem um crachá no momento da contratação e a
empresa orienta constantemente a devida utilização.
Com relação à identificação biométrica, todos os funcionários são
cadastrados no primeiro dia da vigência do contrato, entretanto, é bastante comum
um funcionário abrir a porta e várias pessoas passarem por ela sem a devida
identificação.
Item da Norma ABNT NBR ISO/IEC 27002:2005 Aplicável:
9.1.2 Controles de entrada física
c) seja exigido que todos os funcionários, fornecedores e
terceiros, e todos os visitantes, tenham alguma forma visível
44
de identificação, e eles devem avisar imediatamente o
pessoal de segurança caso encontrem visitantes não
acompanhados ou qualquer pessoa que não esteja usando
uma identificação visível.
3.5.4.2. Acesso Lógico
1 - Todos funcionários possuem o perfil de acesso ao sistema com login e
senha?
Todos funcionários recebem um login e uma senha padrão inicial. Mas, ao
fazer a autenticação na rede pela primeira vez, o usuário é obrigado a trocá-la por
uma senha com, no mínimo, oito posições e que contenha caracteres especiais,
letras maiúsculas e minúsculas, bem como números. Apesar de a senha ser
considerada forte, foi notado que frequentemente as mesmas são anotadas em
papéis, sendo assim perde-se a força de sua segurança.
Item da Norma ABNT NBR ISO/IEC 27002:2005 Aplicável:
11.3.1. Uso de senhas
a) Manter a confidencialidade das senhas;
b) Evitar manter anotadas senhas (por exemplo, papel,
arquivos ou dispositivos móveis), a menos que elas possam
ser armazenadas de forma segura e o método de
armazenamento esteja aprovado;
d) Selecionar senhas de qualidade com um tamanho
mínimo que sejam:
1) Fáceis de lembrar;
2) Não baseada em nada que alguém facilmente possa
adivinhar ou obter usando informações relativas à pessoas,
por exemplo, nomes, números de telefone e datas de
aniversário;
3) Não vulneráveis a ataque de dicionário (por exemplo, não
consistir em palavras inclusas no dicionário);
4) Isentas de caracteres idênticos consecutivos, todo
numéricos ou todos alfabéticos sucessivos;
45
2 - Gerenciamento de senhas é adequado?
Todos sistemas possem o mesmo User ID, mas não há obrigatoriedade de
se utilizar a mesma senha. Os padrões de complexidade das senhas dos sistemas
são diferentes. Por exemplo, a senha do Microsiga Protheus requer apenas que
contenha letras e números. Já a do Ocomon não há qualquer tipo de restrição.
Item da Norma ABNT NBR ISO/IEC 27002:2005 Aplicável:
11.3.1 Uso de Senhas
d) Selecionar senhas de qualidade com um tamanho
mínimo que sejam:
1) Fáceis de lembrar;
2) Não baseada em nada que alguém facilmente possa
adivinhar ou obter usando informações relativas à pessoas,
por exemplo, nomes, números de telefone e datas de
aniversário;
3) Não vulneráveis a ataque de dicionário (por exemplo, não
consistir em palavras inclusas no dicionário);
4) Isentas de caracteres idênticos consecutivos, todo
numéricos ou todos alfabéticos sucessivos;
3 - Procedimentos de Controle de acesso são adequados?
O funcionário, no momento da contratação não recebe nenhum tipo de
orientação sobre suas responsabilidades em relação ao controle de acesso, por isso
mesmo não há qualquer tipo de declaração do funcionário indicando seu
entendimento.
Item da Norma ABNT NBR ISO/IEC 27002:2005 Aplicável:
11.2.3 Gerenciamento de senha do usuário
a) solicitar aos usuários a assinatura de uma declaração,
para manter a confidencialidade de sua senha pessoal e de
senhas de grupos de trabalho, exclusivamente com os
46
membros do grupo; esta declaração assinada pode ser
incluída nos termos e condições de contratação;
b) garantir, onde os usuários necessitam manter as suas
próprias senhas, que sejam fornecidas inicialmente senhas
seguras e temporárias, o que obriga o usuário a alterá-la
imediatamente;
3.5.4.3. Cópias de Segurança
Atualmente a regularidade das cópias de segurança é bastante adequada,
já que ela é feita diariamente. Entretanto, por serem feitas através de Cloud
Backups, seu correto funcionamento depende de uma conexão segura e ativa.
1 - Há procedimentos de cópias de segurança?
Item da Norma ABNT NBR ISO/IEC 27002:2005 Aplicável:
10.5.1 Cópias de segurança das informações
a) definição do nível necessário das cópias de segurança
das informações;
(...)
c) a extensão (por exemplo, completa ou diferencial) e a
frequência da geração das cópias de segurança reflitam os
requisitos de negócio da organização, além de requisitos de
segurança da informação envolvidos e a criticidade da
informação para a continuidade da operação da
organização.
2 - Armazenamento das cópias de segurança em locais seguros e externos à
empresa?
Item da Norma ABNT NBR ISO/IEC 27002:2005 Aplicável:
10.5.1 Cópias de segurança das informações
(...)
d) as cópias de segurança sejam armazenadas em uma
localidade remota, a uma distancia suficiente para escapar
dos danos de um desastre ocorrido no local principal;
47
e) deve ser dados um nível apropriado de proteção física
em ambiental das informações das cópias de segurança,
consistente com as normas aplicadas na instalação
principal; os controles aplicados às mídias na instalação
principal sejam usados no local das cópias de segurança;
h) em situações onde a confidencialidade é importante,
cópias de segurança sejam protegidas atráves de
encriptação.
3 - Realização das cópias de segurança por mecanismo automatizado
programado?
Item da Norma ABNT NBR ISO/IEC 27002:2005 Aplicável:
10.5.1 Cópias de segurança das informações
(...)
g) os procedimentos de recuperação sejam verificados e
testados regularmente, de forma a garantir que estes são
efetivos e que podem ser concluídos dentro dos prazos
definidos nos procedimentos operacionais de recuperação
3.5.4.4. Política de Segurança
1 – Existe documento da política de segurança da informação?
Embora exista uma política de segurança, a AABSA não faz sua devida
divulgação.
Item da Norma ABNT NBR ISO/IEC 27002:2005 Aplicável:
5.1.1 Documento da política de segurança da informação
Convém que um documento da política de segurança da
informação seja aprovado pela direção, publicado e
comunicado para todos os funcionários e partes externas
relevantes.
(...)
48
d) breve explanação das políticas, princípios, normas e
requisitos de conformidade de segurança da informação
específicos para a organização, incluindo:
1)conformidade com a legislação e com requisitos
regulamentares e contratuais;
2) requisitos de conscientização, treinamento e educação
em segurança da informação;
3) gestão da continuidade do negócio;
4) consequencias das violações na política de segurança da
informação.
e) definição das responsabilidades gerais e específicas na
gestão de segurança da informação, incluindo o registro dos
incidentes de segurança da informação;
f) referências à documentação que possam apoiar a política,
por exemplo, políticas e procedimentos de segurança mais
detalhados de sistemas de informação específicos ou
regras de segurança que os usuários devem seguir.
2 – Há divulgação ou treinamento voltados para disseminar a política de
segurança da informação?
É bastante visível que existe pouco engajamento por parte da alta diretoria
em divulgar, orientar e fazer com que se cumpra a política existente. Como diz a
Norma ABNT NBR ISO/IEC 27002:2005, o comprometimento e apoio deve ser
visível de todos os níveis gerenciais.
Item da Norma ABNT NBR ISO/IEC 27002:2005 Aplicável:
5.1.1 Documento da política de segurança da informação
Convém que esta política de segurança da informação seja
comunicada através de toda a organização para os usuários
de forma que seja relevante, acessível e compreensível
para o leitor em foco.
8.2.1 Responsabilidade da direção
Controle
Convém que a direção solicite aos funcionários,
fornecedores e terceiros que pratiquem a segurança da
49
informação de acordo com o estabelecido nas políticas e
procedimentos da organização.
8.2.2 Conscientização, educação e treinamento em
segurança da informação.
Informações Adicionais
Convém que a conscientização, educação e treinamento
nas atividades de segurança da informação sejam
adequados e relevantes para os papéis, responsabilidades,
habilidades da pessoa, e que incluam informações sobre
conhecimentos de ameaças, quem deve ser contatado para
orientações sobre segurança da informação e os canais
adequados para relatar os incidentes da informação.
O treinamento para aumentar a conscientização visa
permitir que as pessoas reconheçam os problemas e
incidentes de segurança da informação, e respondam de
acordo com as necessidades do seu trabalho.
3.5.4.5. Administração dos Ativos
1 – O inventário dos ativos é feito de maneira adequada?
A AABSA não faz a correta administração de seus ativos. Há a falta de um
setor almoxarifado para controlar seus bens materiais. Sendo assim, a possibilidade
de perdas é um risco bastante provável, cujo impacto econômico pode ser bastante
crítico.
Item da Norma ABNT NBR ISO/IEC 27002:2005 Aplicável:
7.1.1 – Inventário de ativos
Convém que todos os ativos sejam claramente identificados
e um inventário de todos os ativos importantes seja
estruturado e mantido.
Diretrizes para implementação
Convém que a organização identifique todos os ativos e a
documente a importância destes ativos. Convém que o
inventário do ativo inclua todas as informações necessárias
50
que permitam recuperar de um desastre , incluindo o tipo do
ativo, formato, localização, informações sobre cópias de
segurança, informações sobre licenças e a importância do
ativo para o negócio. Convém que o inventário não duplique
outros inventários desnecessariamente, porém ele deve
assegurar que seu conteúdo está coerente.
51
4. PROPOSTA DE POLÍTICA DE SEGURANÇA
A seguir será apresentada a proposta de uma política de segurança física
e lógica baseada no presente estudo.
A política seguirá as diretrizes estabelecidas pela ABNT NBR ISO/IEC
27002:2005.
4.1. Título da Política
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA DA
EMPRESA AABSA.
4.2. Instituição a que se Destina
A política de segurança da informação é destinada a empresa AABSA,
situada no Distrito Federal.
A AABSA é uma grande empresa da área de saúde, administradora de
planos de saúde e dental de órgãos da administração pública, empresas privadas,
associações civis, conselhos, cooperativas, sindicatos e outras entidades de classe
representativas da sociedade civil.
4.3. Objetivo da Política
O Objeto desta política é principalmente minimizar os riscos, aos quais a
empresa AABSA está exposta, com o intuito de garantir a disponibilidade,
integridade e confidencialidade das informações e dos dados.
4.4. Abrangência da Política
A Política deve abranger todo o espaço físico da AABSA, em Brasília e
suas filiais em outros estados. Todo o corpo funcional deverá estar envolvido e todos
os ativos de informações deverão ser considerados.
52
4.5. Referências
A política seguirá as diretrizes da Norma ABNT NBR ISSO/IEC
27002:2005.
4.6. Diretrizes da Política
4.6.1. Segurança Física
4.6.1.1. Deverão ser acrescentados nos andares equipamentos de
controle de acesso, como catraca eletrônica para identificar os
funcionários e visitantes.
4.6.1.2. Tantos os funcionários quanto os visitantes deverão transitar
pela empresa visivelmente identificados. Pessoas transitando sem
identificação deverão ser encaminhadas imediatamente à
segurança.
4.6.1.3. O sistema de monitoramento por câmera deverá ser
implementado de acordo com as normas de regulamentação
vigentes e abrangendo todos os setores da empresa.
4.6.1.4. Tanto os funcionários quanto os computadores nos quais
aqueles trabalham, se manuseiam informações sensíveis, deverão
ser reposicionados de forma que o ângulo de visão da tela fique
restrito às pessoas autorizadas.
4.6.1.5. O acesso às areas de análise/administração de informações
deverá ser controlado e restrito às pessoas autorizadas.
4.6.1.6. O armazenamento e consumo de alimentos e bebidas deverá
ser feito exclusivamente na copa ou no setor de convivência.
4.6.2. Segurança Lógica
4.6.2.1. Todos os funcionários que necessitarem de acessos a recursos
computacionais deverão cadastrar um nome identificador único para
o uso de todos os sistemas.
53
4.6.2.2. Todo usuário quando cadastrado deverá assinar uma declaração
para manutenção da confidencialidade de sua senha pessoal.
4.6.2.3. O software que gerencia senhas deverá conter configuração
para que as senhas cadastradas possuam uma quantidade de, no
mínimo, oito caracteres, contendo números, letras maiúsculas,
minúsculas e caracteres especiais.
4.6.2.4. O software que gerencia senhas deverá conter configuração que
exija que as senhas sejam trocadas a cada noventa dias e que não
seja permitida a reutilização de senhas antigas.
4.6.2.5. O software que gerencia senhas deverá desabilitar o usuário
que, em cinco tentativas de acesso, digitar incorretamente a senha.
Àquele usuário que tiver seu acesso bloqueado, caberá a sua chefia
imediata solicitar o desloqueio por meio de ferramenta específica.
4.6.2.6. Os usuários terão privilégios de acesso às informações
conforme necessidade e mediante autorização formal da gerência
correspondente.
4.6.2.7. O acesso a ambientes de intranet e internet deverão seguir a
premissa de “tudo deve ser proibido a menos que expressamente
permitido” ao invés da regra “tudo é permitido a menos que
expressamente proibido”. Além disso, todos acessos deverão ser
monitorados por firewall.
4.6.2.8. Deverá ser implementada periodicidade para execução de
backup, de acordo com a importância da informação e as mídias
utilizadas deverão ser testadas regularmente para garantir a
disponibilidade e a integridade das informações.
4.6.2.9. As mídias deverão ser armazenadas em local adequado, fora do
prédio da empresa.
4.6.2.10. A alta direção deverá prover a conscientização dos usuários
através de treinamentos periódicos, cartilhas e emails, quanto à
obrigatoriedade de encerramento de sessões ativas ou configuração
do sistema operacional para bloqueio de tela por proteção com
senha durante períodos de inatividades.
54
4.6.3. Cópias de Segurança
4.6.3.1. Deverá ser definida a equipe responsável pela criação,
implantação e manutenção da politica de backup.
4.6.3.2. Os sistemas deverão ser analisados para mapear as
informações que deverão fazer parte do backup.
4.6.3.3. Após o mapeamento das informações, deverão ser identificados
os dados críticos para que estes sejam mantidos permanentemente
na política de backup.
4.6.3.4. Os backup’s serão feitos diariamente, de preferência, após às 22
horas até, no máximo, às 06 horas.
4.6.3.5. Deverão ser feitas simulações de restauração dos backup’s
mensalmente.
4.6.4. Administração dos Ativos
4.6.4.1. Os Ativos deverão ser identificados e classificados de acordo
com a importância dentro da empresa.
4.6.4.2. O inventário será feito anualmente e a revisão periódica
semestralmente.
4.6.4.3. Para todo ativo da empresa, haverá um responsável pelo
patrimônio, cujo papel é assegurar que todas as informações
referentes a ele estejam corretamente classificadas.
4.7. Conformidade
A política está em conformidade com as diretrizes da Norma ABNT NBR
ISO/IEC 27002:2005.
4.8. Penalidade
Os funcionários da AABSA deverão conhecer e zelar pelo devido
cumprimento da Política de Segurança da Informação. Em caso de desobediência
55
às normas, o infrator estará sujeito às penalizações previstas nas regulamentações
internas e legislações vigentes..
4.9. Disposições Gerais
Situações omissas serão analisadas pelos responsáveis pela elaboração
da politica de segurança da informação.
A presente política de segurança da informação terá um período de
validade de doze meses.
A política de segurança da informação poderá receber revisões a qualquer
momento quando julgar-se necessário, para tanto, será constituída uma comissao
especial.
56
5. CONSIDERAÇÕES FINAIS
A implementação de uma política de segurança da informação na empresa
implica em mudanças para o melhoramento da segurança nos procedimentos de
segurança de dados e informações.
O objetivo do presente estudo foi propor à AABSA uma política de
segurança da informação, baseada nos princípios e nas normas de segurança,
avaliando suas principais premissas: a integridade, a confidencialidade e a
disponibilidade.
Entretanto, é fundamental que a alta direção da AABSA esteja
comprometida na divulgação e no treinamento. Deve-se mostrar aos colaboradores
a importância em se aplicar no dia-a-dia da empresa as diretrizes contidas na
Política. Lembrando que a segurança da informação não se resume unicamente à
tecnologia. Ela é baseada em três princípios fundamentais: a tecnologia, os
processos de administração e operação e as pessoas. Sendo assim, a Política de
Segurança só terá seu sucesso garantido com a participação de todos.
Vale ressaltar que, apesar dos percalços envolvendo autorizações de
acesso na empresa AABSA, foi bastante satisfatório a realização do estudo de caso
e na elaboração política de segurança para a empresa.
57
6. REFERÊNCIAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 14724: Informação e
documentação. Trabalhos Acadêmicos - Apresentação. Rio de Janeiro: ABNT, 2002.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 27001: Tecnologia da
informação — Técnicas de segurança — Sistemas de gestão da segurança da
informação — Requisitos: ABNT, 2006.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 27002: Tecnologia da
informação — Técnicas de segurança — Código de prática para controles de
segurança da informação. Rio de Janeiro: ABNT, 2005.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 27005: Tecnologia da
informação - Técnicas de segurança - Gestão de riscos de segurança da
informação. Rio de Janeiro: ABNT, 2008.
BARMAN, Scott. Writing Information Security Policies. New Riders: 2001.
BEZERRA, Juliana. A Importância do gerenciamento de risco em projetos.
Disponível em
<http://www.tenstep.com.br/br/Newsletter/AImportanciadoGerenciamentodeRisco.ht
m>. Acesso em 26 de Novembro de 2014.
BRASIL. Tribunal de Contas da União. Boas práticas em segurança da informação.
4. ed. Brasília : TCU, Secretaria de Fiscalização de Tecnologia da Informação, 2012.
BRASIL. Presidência da República. Gabinete de Segurança Institucional.
Departamento de Segurança da Informação e Comunicações. Livro verde:
segurança cibernética no Brasil / Gabinete de Segurança Institucional, departamento
de Segurança da Informação e Comunicações; organização Claudia Canongia e
Raphael Mandarino Junior. – Brasília: GSIPR/SE/DSIC, 2010.
58
DANTAS, Marcus Leal. Segurança da informação: uma abordagem focada em
gestão de riscos. Olinda: Livro Rápido, 2011.
DODT, Claudio. Transformando sua política de segurança da informação em um
ativo estratégico. Disponível em <http://claudiododt.com/2011/06/29/transformando-
sua-politica-de-seguranca-da-informacao-em-um-ativo-estrategico/> Acesso em 18
de novembro de 2014.
FAGURY, Thiago. Gestão de Segurança da Informação: NORMAS NBR ISO/IEC
27001, 27002 e 27005. Disponível em <http://fagury.com.br/sys/wp-
content/uploads/2010/11/Aul%C3%A3o-Beneficente.pdf>. Acesso em 10 de
setembro de 2014.
FERREIRA, Fernando Nicolau Freitas; ARAUJO, Márcio Tadeu de Araujo; Política
de Segurança da Informação: guia prático para elaboração e implementação. Rio de
Janeiro: Ciência Moderna, 2006, 172. Revisada e ampliada, 2008.
FONTES, Edison; Políticas e Normas para Segurança da Informação. Rio de
Janeiro: Brasport, 2012.
FRANCISCATTO, Roberto. Segurança da Informação: Aula 2: ISO 27002.
Disponível em <http://www.cafw.ufsm.br/~roberto/trabalhos/aulas/Aula%202%20-
%20ISO-IEC%2027002.pdf>. Acesso em 11 de Novembro de 2014.
LAUREANO, Marcos Aurélio Pchek; MORAES, Paulo Eduardo Sobreira. Segurança
como estratégia de gestão da informação. In: Revista Economia & Tecnologia, v. 8,
n. 3, p. 38-44. 2005. Disponível em:
<http://www.ppgia.pucpr.br/~euclidesfjr/SEGURANCA_DA_INFORMACAO/economia
_tecnologia_seguranca_2005.pdf>. Acesso em: 27 out. 2014.
MACÊDO, Diego. Conheça a NBR ISO/IEC 27002. Disponível em
<http://www.diegomacedo.com.br/conheca-a-nbr-isoiec-27002/>. Acesso em 11 de
Novembro de 2014.
59
MULLER, Ezequiel. O Ciclo de Vida da Informação. Disponível em
<http://www.ezequieljuliano.com.br/?p=27> Acesso em 10 de novembro de 2014.
Portal CERT.br. Cartilha de Segurança para Internet. Disponível em
<http://cartilha.cert.br/>. Acesso em 25 de Outubro de 2014.
Portal ISO27000.COM.BR. Disponível em
<http://iso27000.com.br/index.php?option=com_content&view=article&id=53:anarisc
o&catid=34:seginfartgeral&Itemid=53>. Acesso em 22 de Outubro de 2014.
PRESIDÊNCIA. Presidência da República, Casa Civil, Subchefia para Assuntos
Jurídicos: Decreto nº 3.505, de 13 de junho de 2000. Brasília, 2000
SEVERINO, Antonio Joaquim. Metodologia do trabalho científico. 22. ed. rev. e
ampl. São Paulo: Cortez, 2002.
SOUSA, Lindeberg Barros de. TCP/IP básico & conectividade em redes. São Paulo:
Érica, 2002.
