TSI PROPOSTA DE POLÍTICA DE SEGURANÇA DA...

Simpósio de TCC e Seminário de IC , 2016 / 1º 1891

TSI PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA O CENTRO RECREATIVO SORRIA BABY

DANILO BEZERRA LEMES DE OLIVEIRA

GUILHERME SARMENTO CID BENDAHAN COELHO CINTRA

RESUMO Este trabalho tem como propósito elaborar uma proposta de política de segurança da informação, física e lógica, para o Centro Recreativo Sorria Baby. O trabalho foi fundamentado em diferentes partes, tendo como base o referencial teórico, constituído pela utilização de cartilhas, livros e normas técnicas. Em seguida, foram abordados os aspectos estruturais da empresa, físico e lógico, localizado na parte de estudo de caso. Após a análise dos aspectos estruturais da empresa, ocorreu o levantamento das vulnerabilidades do Centro Recreativo Sorria Baby, tendo em vista a análise do seu ambiente empresarial e das matrizes de risco física e lógica da empresa. Com base nestas matérias, foi elaborada a proposta de Política de Segurança da Informação física e lógica para o Centro Recreativo Sorria Baby baseada na Norma ABNT NBR ISO/IEC 27002:2005. A implantação correta da política de segurança da informação no Centro Recreativo Sorria Baby, terá como resultado, êxito na correção de aspectos vulneráveis da empresa, evitando as ameaças, e como consequência a redução no nível dos riscos prejudiciais a segurança física e lógica, proporcionando assim um ambiente empresarial seguro. Palavras chaves: informação, política, segurança, tecnologia ABSTRACT This work aims to develop a security policy information, physical and logical for the Centro Recreativo Sorria Baby. The work was based in different parts, based on the theoretical framework, consisting of the use of posters, books and technical standards. They were then addressed the structural aspects of the company, physical and logical, located on the case study. After analyzing the structural aspects of the company, was done the lifting of the Centro Recreativo Sorria Baby of your vulnerabilities, with a view to analysis of its business environment and arrays of physical and logical risk of the company. Based on these materials was prepared the proposal for security policy information Centro Recreativo Sorria Baby based on the standard ISO/IEC 27002: 2005. The correct implementation of the information security policy, will result, success in correcting vulnerable aspects of the company, avoiding the threats, and the effect of reducing the level of risk damaging the physical and logical security, providing a secure business environment. Key words: information, policy, security, technology.

INTRODUÇÃO A informação nos tempos

contemporâneos é considerada o ativo mais precioso para a empresa, pois, nela é estabelecido conteúdos com significados importantes e próprios para ela.

Cada informação tem um valor de acordo com o grau de importância para empresa, como exemplo informações de clientes, financeiras, técnicas.

Caso ocorra acesso indevido de algumas informações da empresa, acarretará no prejuízo para a mesma de acordo com seu grau de importância.

As informações do Centro Recreativo Sorria Baby devem estar protegidas e mantidas em segurança, tendo como relevante seus aspectos físicos e lógicos.

Com base nas necessidades da empresa em relação a sua segurança, foi elaborado um trabalho para a empresa que divide - se em 5 capítulos: apresentação, referencial teórico, estudo de caso, Proposta da Política de Segurança da informação e conclusão.

Descrição dos capítulos que compõe a estrutura do trabalho.

Primeiro capítulo: apresentação parte onde é descrito a ideia central do trabalho e como será a sua elaboração.

Segundo capítulo: referencial teórico onde serão abordados assuntos relacionados ao

tema do trabalho por meio de materiais bibliográficos.

Terceiro capítulo: estudo de caso, consiste na descrição do ambiente da empresa, matrizes de risco e análise das matrizes de risco.

Quarto capítulo: proposta de política de segurança da informação, refere-se a correções realizadas no ambiente da empresa e a soluções dos problemas de segurança de acordo com a Norma ABNT NBR ISO/IEC 27002:2005.

Quinto capítulo: trata da conclusão do trabalho, relatando a importância da proposta diante a empresa. JUSTIFICATIVA

O Centro Recreativo Sorria Baby foi escolhido pelo fato de deter em seus cadastros muitas informações importantes de seus clientes e dependentes que devem ser mantidas em segurança.

A política de segurança da informação levantada em consideração ao ambiente e aos aspectos operacionais do Centro Recreativo Sorria Baby, tem importância ao resultar na minimização da incidência de vulnerabilidade, diminuição de riscos e aumento no nível de segurança da informação da empresa.

Como consequência acarretará a proteção na parte de segurança de suas informações, dados e ativos da empresa.


OBJETIVOS Objetivo Geral

Propor uma Política de Segurança da informação, física e lógica, para o Centro Recreativo Sorria Baby, tendo como referência a norma ABNT NBR ISO/IEC 27002:2005. Objetivo Específico Estudar bibliografias diversas; Analisar o ambiente da creche; Verificar falhas de segurança física; Verificar falhas de segurança lógica; e Elaborar uma política de segurança, física e lógica, para o Centro Recreativo Sorria Baby. METODOLOGIA

A metodologia seguida neste trabalho está relacionada com base na Norma ABNT NBR ISO/IEC 27002:2005 e na coleta de informações de cartilhas, livros e normas. Desenvolveu-se nos seguintes fundamentos: Coletar material bibliográfico para produção o referencial teórico; Descrever o ambiente coorporativo e do Centro de Recreação Sorria Baby. Identificar os ativos e as vulnerabilidade na parte do trabalho definida como estudo de caso. Compor matrizes de acordo com os aspectos físicos e lógicos da empresa levando em consideração as ameaças, impacto, probabilidade e risco. Elaborar a proposta de Política de Segurança da Informação física e lógica para o Centro de Recreação Sorria Baby, visando minimizar as vulnerabilidades e diminuir o nível dos riscos encontrados. REFERENCIAL TEÓRICO INFORMAÇÃO

Conforme a Norma ABNT NBR ISO/IEC 27002 (2005, p.x): A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegida. Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectado. Como um resultado deste incrível aumento da interconectividade, a informação está agora exposta a um crescente número e a uma grande variedade de ameaças e vulnerabilidades. A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente. SEGURANÇA DA INFORMAÇÃO

De acordo com a Norma ABNT NBR ISO/IEC 27002 (2005, p.x):

Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.

De acordo com a Norma ABNT NBR ISO/IEC 27002 (2005, p.x): A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário.

Conforme a Norma ABNT NBR ISO/IEC 27002 (2005, p.1): Segurança da informação: preservação da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas.

Conceitos Essenciais para a Implantação da Segurança da Informação Confidencialidade

Segundo Moreira (2001, p.10): "A confidencialidade é a propriedade que visa manter o sigilo, o segredo ou a privacidade das informações evitando que pessoas, entidades ou programas não-autorizados tenham acesso ás mesmas".

De acordo com a Norma ABNT NBR ISO/IEC 27002 (2005, apud DANTAS, 2011, p.13): "A confidencialidade é a garantia de que a informação é acessível somente por pessoas autorizadas a terem acesso".

Para Dantas (2011, p.14): Ocorre a quebra da confidencialidade da informação ao se permitir que pessoas não autorizadas tenham acesso ao seu conteúdo. A perda da confidencialidade é a perda do segredo da informação. Garantir a confidencialidade é assegurar o valor da informação e evitar a divulgação indevida. Integridade

Para Moreira (2001, p.10): "Consiste em proteger a informação contra qualquer tipo de alteração sem a autorização explícita do autor da mesma".

Segundo Dantas (2011, p.24): "Integridade é permitir que a informação não seja modificada, alterada ou destruída sem autorização, que ela seja legítima e permaneça consistente".

Com base na Norma ABNT NBR ISO/IEC 27002 (2005, apud DANTAS, 2011, p.11): "A integridade é a garantia da exatidão e completeza da informação e dos métodos de processamento".


Disponibilidade Segundo Ferreira; Araújo (2008, p.44):

"Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário".

Conforme a Norma ABNT NBR ISO/IEC 27002 (2005, apud DANTAS, 2011, p.12): diz que "A disponibilidade é a garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário". Conceitos que Complementam a Segurança da Informação Autenticidade

Para Dantas (2011, p.14): "Autenticidade: é a garantia de que a informação é oriunda da fonte que lhe é atribuída e elaborada por quem tem autoridade para tal". Não Repúdio

Conforme Moreira (2001, p.11): "O não-repúdio pode ser entendido como sendo os esforços aplicados para garantir a autoria de determinadas ações".

Segundo Ferreira; Araújo (2008, p.44): "Não repúdio: o usuário que gerou ou alterou a informação (arquivo ou e-mail) não pode negar o fato, pois existem mecanismos que que garantem sua autoridade". Confiabilidade

Conforme Dantas (2011, p.15): "Confiabilidade: é a garantia de que a informação é confiável, oriunda de uma fonte autêntica e que expressa uma mensagem verdadeira". Responsabilidade

Segundo Dantas (2011, p.15): "Responsabilidade: é a coparticipação de responsabilidades por todos os que produzem, manuseiam, transportam e descartam a informação, seus sistemas e redes de trabalho". OBJETIVOS DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Conforme Moreira (2001, p.36): O objetivo de qualquer política de segurança é o de definir as expectativas da organização quando ao uso dos seus recursos (computadores e rede), estabelecendo procedimentos com o intuito de prevenir e responder a incidentes relativos à segurança.

Segundo Dantas (2011, p.125): "Objetivo da política de segurança: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes". CONCEITOS ASSOCIADOS À SEGURANÇA DA INFORMAÇÃO Ativo

Conforme Moreira (2001, p.20): "Ativo é tudo que manipula direta ou indiretamente uma informação, inclusive a própria informação, dentro de uma organização, e é isso que devem ser protegidos contra ameaças para que o negócio funcione corretamente".

De acordo com a Norma ISO/IEC 13335-1 (2004, apud DANTAS, 2011, p.21): "Ativo: É qualquer coisa que tenha valor para a organização".

Segundo Moreira (2001, p.20): Uma alteração, destruição, erro ou indisponibilidade de algum dos ativos podem comprometer os sistemas e, por conseguinte, o bom funcionamento das atividades de uma empresa. Portanto, um dos passos de Análise de Risco é o de identificar todas as coisas que podem ser afetadas por um problema de segurança e que o negócio funcione corretamente.

De acordo com a Norma ABNT NBR ISO/ICE 27002 (2005, p.21): Convém que a organização identifique todos os ativos e documente a importância destes ativos. Convém que o inventário do ativo inclua todas as informações necessárias que permitam recuperar de um desastre, incluindo o tipo do ativo, formato, localização, informações sobre cópias de segurança, informações sobre licenças e a importância do ativo para o negócio. Convém que o inventário não duplique outros inventários desnecessariamente, porém ele deve assegurar que o seu conteúdo está coerente.

Conforme a Norma ABNT NBR ISO/IEC 27002 (2005, p.21), há vários tipos de ativos, como: a) ativos de informação: base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas; b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários; c)ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos; d) serviços: serviços de computação e comunicações, utilidades gerais, por exemplo aquecimento, iluminação, eletricidade e refrigeração; e) pessoas e suas qualificações, habilidades e experiências; f) intangíveis, tais como a reputação e a imagem da organização. Classificação dos Ativos da Informação

Com base na Norma ABNT NBR ISO/IEC 27002 (2005, apud Dantas, 2011, p.87) verifica-se que: "A Norma orienta que devem ser levados em consideração na classificação de um ativo o seu valor, os requisitos legais, a sensibilidade e a criticidade para a organização".

Classificação em 4 níveis do valor do ativo, essa escala de classificação pode ser expressa da seguinte forma no quadro 1, a seguir:


Quadro 1: Escala de valoração do ativo

Nível Descrição

Baixo Informação acessada por qualquer pessoa dentro e fora da organização. Informação

classificada como pública.

Médio Informação acessada pelo pessoal interno da organização. Informação classificada

como reservada.

Alto Informação acessada pelo nível gerencial da organização. Informação classificada

como confidencial.

Muito alto Informação acessada apenas pelos integrantes do nível estratégico da organização.

Informação classificada como secreta e ultrassecreta. Fonte: Dantas (2011, p.87)

Conforme Ferreira; Araújo (2008, p.78): A classificação da informação é o processo de estabelecer o grau de importância das informações mediante seu impacto no negócio, ou seja, quando mais estratégica e decisiva para a manutenção ou sucesso da organização, maior será sua importância. A classificação deve ser realizada a todo instante, em qualquer meio de armazenamento.

De acordo com a Norma ABNT NBR ISO/IEC 27002 (2005, p.23): Convém que a classificação da informação e seus respectivos controles de proteção levem em consideração as necessidades de compartilhamento ou restrição de informações e os respectivos impactos nos negócios, associados com tais necessidades. Convém que as diretrizes para classificação incluam convenções para classificação inicial e

reclassificação ao longo do tempo, de acordo com algumas políticas de controle de acesso predeterminadas. Convém que cuidados sejam tomados com a quantidade de categorias de classificação e com os benefícios obtidos pelo seu uso. Esquemas excessivamente complexos podem tornar o uso incômodo e ser inviáveis economicamente ou impraticáveis. Convém que atenção especial seja dada na interpretação dos rótulos de classificação sobre documentos de outras organizações, que podem ter definições diferentes para rótulos iguais ou semelhantes aos usados.

Segundo Ferreira; Araújo (2008, p.78 e 79): para estruturar e classificar os ativos da informação, pode-se usar o modelo do quadro 2, a seguir:

Quadro 2: Inventário dos ativos da informação

NATUREZA DO ATIVO ATIVOS DA INFORMAÇÃO

Informação

Banco de dados e arquivos magnéticos; Documentação de sistemas e manual do usuário; Material de treinamento; Procedimentos operacionais de recuperação; e Planos de continuidade.

Documentos em papel Contratos; Documentação da empresa; e Relatórios confidenciais.

Software

Aplicativos; Sistemas operacionais; Ferramentas de desenvolvimento; e Utilitários do sistema.

Físico

Servidores, desktops e notebooks; Impressoras e copiadoras; Equipamentos de comunicação (fax, roteadores); Mídias magnéticas; Gerador, no-break e ar-condicionado; e Móveis, prédios e salas.

Pessoa Empregados, estagiários, terceiros e fornecedores.

Serviço ou Atividade

Computação (aplicação de patches, backup); Comunicação (ligações telefônicas, videoconferências); e Utilidades gerais.

Fonte: Ferreira; Araújo(2008,p.78 e 79)


Risco Conforme Ferreira; Araújo (2008, p.163):

"Risco: trata-se de um possível evento/ação que, se efetivado, gera um impacto negativo, em função da exploração da fraqueza/vulnerabilidade, considerando tanto a probabilidade quanto o impacto de ocorrência".

Segundo Moreira (2001, p.20): "Risco: pode ser entendido como tudo aquilo pode afetar nossos negócios e impedir que alcancemos nossos objetivos". O risco é compreendido como algo que cria oportunidades ou produz perdas. Com relação à segurança, os riscos são compreendidos como condições que criam ou aumentam o potencial de danos e perdas. É medido pela possibilidade de um evento vir a acontecer e produzir perdas. (DANTAS, 2011, p.41)

Conforme Brasiliano (1999 apud DANTAS, 2011, p.103) ao abordar sobre risco empresarial o define como: A ameaça ou risco na segurança empresarial como sendo um evento capaz de produzir perdas reais e mensuráveis por um padrão comum. Para esse autor, o risco pode ser definido como uma ou mais condições de variáveis com um potencial necessário de causar dano ao patrimônio da empresa, seja ele tangível, seja intangível.

De acordo com a Norma AS/NZS 4360 (2004 apud DANTAS, 2011, p.42): Define risco como a oportunidade de acontecimento de alguma coisa que causará impacto nos objetivos. Para essa norma, o risco é geralmente especificado em termos de um evento e/ou circunstâncias e suas consequências, e é medido pela combinação das consequências de um evento e sua probabilidade. Conforme O HB 231 (2004 apud DANTAS, 2011, p.42): "refere-se ao risco como sendo a chance de alguma coisa acontecer, que deverá produzir um impacto sobre os objetivos, o qual é medido em termos da probabilidade e consequências". Vulnerabilidade

Segundo Ferreira, Araújo (2008, p.171): "Vulnerabilidade é uma fraqueza que pode ser acidentalmente utilizada ou intencionalmente explorada".

Para Dantas (2011, p.24): "Vulnerabilidades são fragilidades que de alguma forma podem vir a provocar danos".

Segundo Beal (2005 apud DANTAS, 2011, p.24): "define a vulnerabilidade como uma fragilidade que poderia ser explorada por uma ameaça para concretizar um ataque".

Para Sêmola (2003 apud DANTAS, 2011, p.24): "as vulnerabilidades são fragilidades presentes ou associadas a ativos de informação, que, ao serem exploradas, permitem a ocorrência de incidente na segurança da informação".

Segundo Moreira (2008, p.22):

A vulnerabilidade é o ponto onde qualquer sistema é suscetível a um ataque, ou seja, é uma condição encontrada em determinados recursos, processos, configurações, etc. Condição causada muitas vezes pela ausência ou ineficiência das medidas de proteção utilizadas com o intuito de salvaguardar os bens da empresa. Ameaça

Para Ferreira, Araújo (2008, p.171): "Ameaça é a possibilidade de um invasor ou evento inesperado explorar uma vulnerabilidade de forma eficaz".

Conforme Moreira (2001, p.38): "Ameaças são fatores/ocorrências que podem violar sistemas e causar incidentes de segurança e, dessa forma, danos aos negócios da empresa".

De acordo com a Norma ISO/IEC 13335-1 (2004 apud DANTAS, 2011, p.30): "causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou para a organização".

Para Sêmola (2003 apud DANTAS, 2011, p.30 e 31): Define ameaças como sendo agentes ou condições que causam incidentes que comprometem as informações e seus ativos, por meio de exploração de vulnerabilidades, o que provoca perdas de confiabilidade integridade e disponibilidade, e, consequentemente, causando impactos aos negócios de uma organização.

Conforme Beal (2005 apud Dantas, 2011, p.31): "ameaças são expectativas de acontecimento acidental ou proposital, causado por agente, o qual pode afetar um ambiente, sistema ou ativo de informação". Engenharia Social

Segundo definição de engenharia social, conforme a cartilha CERT.BR (2006, p.81): Engenharia social: Método de ataque onde uma pessoa faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.

Conforme Ferreira; Araújo (2008, p.119): É necessário investir na conscientização e sensibilização dos colaboradores da organização sobre esse tema. Pouca ou nenhuma segurança deixa as organizações vulneráveis. Entretanto, em exagero, atrapalha a condução e o crescimento das atividades do negócio. Não há como garantir a segurança da informação na organização somente investindo em equipamentos e recursos de tecnologia da informação. Todos (colaboradores e executivos) devem ter em mente que as informações por eles manuseadas têm valor e podem causar grandes prejuízos para a organização onde trabalham, tendo até seus empregos ameaçados devido à impossibilidade da organização em realizar seus negócios e se perpetuar no tempo.


Segundo Moreira (2001, p.46): "Muitas vezes, encontramos pessoas mal intencionado e determinadas a encontrar pistas ou até utilizar-se de subterfúgios para obterem informações e ter acesso à rede de computadores da empresa". Ataque

Segundo Ferreira, Araújo (2008, p.172): Um ataque pode ser uma tentativa maliciosa de obter acesso não autorizado a um sistema podendo comprometer a confidencialidade, integridade e disponibilidade das informações ou somente para obtenção de acesso para efetuar algum tipo de consulta ou suporte, mas burlando a segurança.

Os motivos que levam os ataques a desferir na Internet são bastantes diversos, variando da simples divisão até a realização de ações criminosas. Alguns exemplos de acordo a cartilha CERT.BR (2012, p.17 e p.18) são: Demonstração de poder: mostrar a uma empresa que ela pode ser invadida ou ter os serviços suspensos e, assim, tentar vender serviços ou chantageá-la para que o ataque não ocorra novamente. Prestígio: vangloriar-se, perante outros atacantes, por ter conseguido invadir computadores, tornar serviços inacessíveis ou desfigurar sites considerados visados ou difíceis de serem atacados; disputar com outros atacantes ou grupos de atacantes para revelar quem consegue

realizar o maior número de ataques ou ser o primeiro a conseguir atingir um determinado alvo. Motivações financeiras: coletar e utilizar informações confidenciais de usuários para aplicar golpes. Motivações ideológicas: tornar inacessível ou invadir sites que divulguem conteúdo contrário à opinião do atacante; divulgar mensagens de apoio ou contrárias a uma determinada ideologia. Motivações comerciais: tornar inacessível ou invadir sites e computadores de empresas concorrentes, para tentar impedir o acesso dos clientes ou comprometer a reputação destas empresas. Matriz de Risco

Conforme Ferreira; Araújo (2008, p.177): "A melhor forma para determinar o grau de risco é relacionar em detalhes quais seriam os impactos para a organização, se uma ameaça conseguir explorar uma vulnerabilidade".

Para Ferreira; Araújo (2008, p.176): determinar a probabilidade de ocorrência que uma potencial vulnerabilidade possa ser explorada, os seguintes fatores devem ser considerados: "Motivação da fonte, natureza da vulnerabilidade, existência e eficácia dos controles de segurança".

O nível da probabilidade pode ser expressado da seguinte forma no quadro 3:

Quadro 3: Nível de probabilidade da exploração de vulnerabilidades

NÍVEL DEFINIÇÃO

Alto A fonte de ameaça está altamente motivada e possui conhecimento suficiente para

execução do ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada são ineficazes.

Médio A fonte de ameaça está motivada e possui conhecimento suficiente para execução

do ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada são eficazes.

Baixo A fonte de ameaça não está altamente motivada e não possui conhecimento

suficiente para execução do ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada são eficazes.

Fonte: Ferreira; Araújo (2008, p.177)

No quadro 4 abaixo é ilustrado definição de impacto em diferentes níveis: Quadro 4: Definição de nível de impacto

NÍVEL DEFINIÇÃO

Alto

Perda significante dos principais ativos e recursos; Perda da reputação, imagem e credibilidade; e Impossibilidade de continuar com as atividades de negócio.

Médio Perda dos principais ativos e recursos; e Perda da reputação, imagem e credibilidade.

Baixo Perda de alguns dos principais ativos e recursos; e Perda da reputação, imagem e credibilidade.



Segundo Ferreira; Araújo (2008, p.179):" a determinação do risco é obtida pela multiplicação da classificação da probabilidade de ocorrência versus o impacto na organização", expressa no quadro 5, a seguir: Quadro 5: Matriz do nível de risco

IMPACTO

PROBABILIDADE Baixo (10)

Médio (50)

Alto (100)

Alto (1,0) Baixo

10 x 1,0 = 10 Médio

50 x 1,0 = 50 Alto

100 x 1,0 = 100

Médio (0,5) Baixo

10 x 0,5 = 5 Médio

50 x 0,5 = 25 Médio

100 x 0,5 = 50

Baixo (0,1) Baixo

10 x 0,1 = 1 Baixo

50 x 0,1 = 5 Baixo

100 x 0,1 = 10

Escala de risco Baixo – 1 a 10 Médio – 11 a 50 Alto – 51 a 100


Para Ferreira; Araújo (2008, p.180): "Após a determinação da matriz do nível de riscos, deve ser especificada a descrição do nível do risco (Alto, Médio e Baixo), bem como as ações necessárias para diminuí-lo " expressada no quadro 6, abaixo: Quadro 6: Definição e nível dos riscos

NÍVEL DO RISCO DESCRIÇÃO DO RISCO E AÇÕES NECESSÁRIAS

Alto

Se uma possibilidade de melhoria for avaliada como sendo de alto risco, existe necessidade imediata para contramedidas serem adotadas. Os sistemas podem continuar operando, entretanto, ações corretivas devem ser iniciadas o mais breve possível.

Médio Se uma possibilidade de melhoria for classificada como sendo de médio risco, ações corretivas estabelecidas em um plano de ação, devem ser realizadas em um curto período de tempo.

Baixo Se uma observação for classificada como sendo de baixo risco, os administradores e proprietários das informações devem avaliar a necessidade de efetuar manutenção corretiva ou assumir o risco.


Segurança do Ambiente Físico De acordo com a Norma ABNT NBR

ISO/IEC 27002 (2005, p.32) o propósito da implantação da segurança no ambiente físico é: Objetivo: Prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Convém que as instalações de processamento da informação críticas ou sensíveis sejam mantidas em áreas seguras, protegidas por perímetros de segurança definidos, com barreiras de segurança e controles de acesso apropriados. Convém que sejam fisicamente protegidas contra o acesso não autorizado, danos e interferências. Convém que a proteção oferecida seja compatível com os riscos identificados.

Segundo Ferreira; Araújo (2008, p.124): As políticas devem especificar que todos os funcionários da organização somente terão acesso liberado às dependências da organização se portarem a identificação funcional pessoal. Já

para as áreas restritas, os acessos deverão ser previamente solicitados e autorizados, por meio de procedimentos formais criados para tal atividade. Os acessos de prestadores de serviço, contratados para consultorias, manutenções e/ou quaisquer outros serviços, deverão obter autorização formal antecipada para o acesso às dependências.

Conforme Dantas (2011, p.26 e p.27) vulnerabilidades no ambiente físico da empresa: As vulnerabilidades físicas dizem respeito aos ambientes em que estão sendo processadas ou gerenciadas as informações. Podem ser: instalações inadequadas; ausência de recursos para combate a incêndio; disposição desordenada dos cabos de energia e de rede; não identificação de pessoas e locais; portas destrancadas; acesso desprotegido às salas de computador; sistema deficiente de combate a incêndio; edifícios mal projetados e mal


construídos; material inflamável utilizado na construção e no acabamento; janelas destrancadas; paredes suscetíveis a um assalto físico; paredes que não vão até o teto (meia parede).

De acordo com a Norma ABNT NBR ISO/IEC 27002 (2005, p.34): "Convém que sejam projetadas e aplicadas proteção física contra-incêndio, enchentes, terremotos, explosões, perturbações da ordem pública e outras formas de desastres naturais ou causados pelo homem". Perímetro Físico

Conforme a norma ABNT NBR ISO/IEC 27002 (2005, p.32): Convém que sejam utilizados perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) para proteger as áreas que contenham informações e instalações de processamento da informação. Segurança do Ambiente Lógico

Segundo Ferreira; Araújo (2008, p.45): "Segurança lógica: prevenção contra acesso não autorizado".

Destacado por Moreira (2001), existem alguns critérios para manter o ambiente lógico da empresa mais seguro: Escolha de uma senha forte; Tamanho da senha deve ser mediana; Bloqueio da conta por um número limite de tentativas de acessos malsucedidas; Bloqueio da conta por tempo de inatividade; e Controle sobre instalações de softwares nos computadores da empresa. Ferramentas para proteção do Ambiente Lógico:

Conforme a cartilha CERT.BR (2012, p.55): Ferramentas antimalware são aquelas que procura detectar e, então, anular ou remover os códigos maliciosos de um computador. Antivírus, antispyware, antirootkit e antitrojan são exemplos de ferramentas deste tipo. Ainda que existam ferramentas específicas para os diferentes tipos de códigos maliciosos, muitas vezes é difícil delimitar a Área de atuação de cada uma delas, pois a definição¸ do tipo de código malicioso depende de cada fabricante e muitos códigos mesclam as características dos demais tipos. Entre as diferentes ferramentas existentes, a que engloba a maior quantidade de funcionalidades é o antivírus. Apesar de inicialmente eles terem sido criados para atuar especificamente sobre vírus, com o passar do tempo, passaram também a englobar as funcionalidades dos demais com que alguns deles caíssem em desuso.

Para Moreira (2001, p.126): Firewall é um dispositivo de rede, pode ser um computador, um roteador ou um software, que filtra o acesso a uma rede de computadores que precisa de proteção. Ele protege a rede de sua empresa contra pessoas não-autorizadas e

permite que pessoas autorizadas tenham acessos aos serviços da Internet, tais como Web e correio eletrônico, a partir de dentro da empresa.

Segundo a Norma ABNT NBR ISO/IEC 27002 (2005, p.65)," controle de acesso deve seguir as seguintes normas:" Convém que o acesso à informação, recursos de processamento das informações e processos de negócios sejam controlados com base nos requisitos de negócio e segurança da informação. Convém que as regras de controle de acesso levem em consideração as políticas para autorização e disseminação da informação. Convém que a Política de controle de acesso Controle Convém que a política de controle de acesso seja estabelecida documentada e analisada criticamente, tomando-se como base os requisitos de acesso dos negócios e segurança da informação. Convém que as regras de controle de acesso e direitos para cada usuário ou grupos de usuários sejam expressas claramente na política de controle de acesso. Convém considerar os controles de acesso lógico e físico de forma conjunta. Convém fornecer aos usuários e provedores de serviços uma declaração nítida dos requisitos do negócio a serem atendidos pelos controles de acessos. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Conforme Moreira (2001, p.36): "A política de Segurança pode ser entendida como sendo um conjunto de normas e diretrizes destinados a proteção dos ativos da Organização".

Para Ferreira, Araújo (2008, p.36): A Política de Segurança define o conjunto de normas, métodos e procedimentos utilizados para a manutenção da segurança da informação, devendo ser formalizada e divulgada a todos os usuários que fazem uso dos ativos de informação. Deve-se utilizar uma visão metódica, criteriosa e técnica em seu desenvolvimento e elaboração, de forma que possam ser sugeridas alterações na configuração de equipamentos, na escolha de tecnologia, na definição de responsabilidade e, por fim, na elaboração das políticas com o perfil da empresa e dos negócios que ela pratica. Não podemos esquecer que ela deve expressar os anseios dos proprietários ou acionistas, que são responsáveis por decidir os destinos de todos os recursos da organização em relação ao uso da informação por todos aqueles que têm acesso a este bem.

Segundo Dantas (2011, p.131): Pode-se definir a política de segurança da informação como: um documento que estabelece princípios, valores, compromissos, requisitos, orientações e responsabilidades para com a segurança da informação. A sua forma, escopo e detalhes estão diretamente relacionados com as atividades de negócios e decisão da organização


do nível e padrão de segurança que se pretende alcançar.

De acordo com Norma ABNT NBR ISO/IEC 27002(2005, p.ix): A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto

seja feito em conjunto com outros processos de gestão do negócio. ESTUDO DE CASO A EMPRESA

O Centro Recreativo Sorria Baby foi fundado em março de 2015 com o objetivo de oferecer serviços de cuidados e ensino a crianças de 5 meses a 4 anos de idade, melhorando o seu aprendizado e prezando o bem-estar e a educação das crianças. Trata-se de uma pequena empresa situada na QE 34 do Guará II (figura 1), setorizada em Diretoria, Monitoria, Cozinha, Secretaria e as salas onde as crianças são cuidadas pelas monitoras.

Figura 1: entrada principal da empresa

Fonte: os autores

Compõe a Diretoria da creche a Diretora

Geral e Gestora de Pessoal, Gestor Financeiro e Recursos Humanos (RH), e Diretora Pedagógica e do Corpo Docente (a mesma pessoa). As funções de cada diretor são as seguintes: Diretora Geral e Gestora de Pessoal: gerenciar as colaboradoras da empresa, bem como o andamento desta, de forma geral; Gestor Financeiro: gestão dos recursos da empresa, suas receitas e despesas, bem como cuidar das necessidades referentes à tecnologia da informação da empresa, respondendo a chamados relativos à problemas técnicos tanto nos computadores usados quanto aos sistemas utilizados no auxílio da gestão da organização; e

Diretora Pedagógica: acompanhamento, treinamento e organização das monitoras junto às crianças atendidas na creche.

A Monitoria é composta por colaboradoras treinadas que cuidam das crianças em cada uma das quatro turmas que a creche oferece: baby colinho (5 meses a 1 ano e 3 meses), baby pezinho (1 ano e 4 meses a 2 anos e três meses), maternal (2 anos e 4 meses a 3 anos) e kids (3 anos e 1 mês a 4 anos). As turmas ocupam salas adaptadas e adequadas à cada faixa etária correspondente.

A Cozinha (figura 2) conta com uma única cozinheira que é responsável pelo setor, competindo a esta gerir os itens da dispensa e reportar-se à Diretora Geral a respeito das alterações naquele setor.


Figura 2: refeitório e entrada da cozinha

Fonte: os autores

A Secretaria (figura 3) é responsável por atender aos atuais e futuros clientes, efetuando matrículas, rescisões de contrato, atendendo telefonemas e controlando e organizando os dados pessoais dos clientes em arquivos físicos e lógicos.

O Gestor Financeiro trabalha em um escritório, localizado em sua própria residência, operando sistemas de gerenciamento financeiro, controle de pagamento de boletos dos clientes e prestando suporte à empresa através de telefone, aplicações de mensagens instantâneas e de controlador remoto de computadores.

Figura 3: Secretaria da empresa

Fonte: os autores

A Estrutura da Empresa A empresa ocupa dois andares (térreo e

primeiro andar) de uma casa adaptada por essa organização. Possui um sistema de monitoramento por câmeras por toda a área interna do estabelecimento, com exceções dos banheiros e fraldários.

Na entrada da casa, está localizada a Secretaria (figura 4), onde a secretária faz o atendimento aos clientes. Esse setor possui um computador, telefone, balcão de atendimento e gavetas contendo alguns dos arquivos físicos referentes aos clientes da empresa.


Figura 4: Secretaria da empresa

Fonte: os autores

Mais ao fundo do estabelecimento, encontram-se o refeitório, a cozinha e uma sala reservada à Diretora Pedagógica (figura 5). A sala dispõe de um armário contendo livros, revistas e

itens pessoais da Diretora, mesa e cadeira, e um notebook pessoal da Diretora, conectado à rede sem fio da empresa.

Figura 5: sala da Diretoria Pedagógica

Fonte: Os autores

Ainda ao fundo do edifício, encontra-se uma das salas usadas como turma de crianças e suas respectivas monitoras (figura 6), onde também se alocam o modem de Internet e equipamentos do sistema de monitoramento

interno: Digital Video Recorder (DVR), monitor, mouse e discos rígidos que armazenam as imagens do sistema. O modem de Internet também fornece a rede sem fio da empresa e será visto mais adiante.

Figura 6: sala contendo os aparelhos de monitoramento e modem

Fonte: os autores


No primeiro andar funcionam mais três salas que comportam as turmas com as crianças e suas respectivas monitoras. Funcionam também um banheiro e um fraldário em cada andar. Segurança Física da Empresa

A entrada na empresa é feita através de um portão localizado na frente da casa que

permanece sempre fechado; nele a secretária identifica e controla o acesso, abrindo e fechando o portão manualmente, tanto para colaboradoras quanto para os clientes. Já a Secretaria (figura 7), não possui uma porta para garantir a segurança e o controle de acesso físico a sala, estando próxima a passagem de funcionários e crianças da creche.

Figura 7: Secretaria

Fonte: os autores Ainda na Secretaria, há um gaveteiro

pequeno com fechadura (figura 8) onde são guardados contratos e outros documentos referentes aos clientes e alguns relatórios e fichas da creche. Porém, se vê documentos sobre o

balcão de atendimento que deveriam estar devidamente guardados com os restantes, evitando assim a subtração destes por terceiros, uma vez que não há porta na sala, como citado anteriormente (figura 9).

Figura 8: gaveteiro da Secretaria

Fonte: os autores


Figura 9: documentos em cima do balcão de atendimento da Secretaria

Fonte: os autores Há um sistema de monitoramento,

somente interno, com 16 câmeras espalhadas pelos vários cômodos do edifício (figura 10), porém o equipamento central de gravação (DVR)

(figura 11) encontra-se em local inadequado, dentro de uma das salas usadas como turma de crianças e suas monitoras, estando, assim, facilmente ao alcance dessas.

Figura 10: uma das câmeras de segurança

Fonte: os autores


Figura 11: Digital Video Recorder (DVR) e seus periféricos

Fonte: os autores A sala da Diretora Pedagógica (figura 12)

encontra-se em um cômodo protegido por porta com fechadura, cuja chave só a Diretora possui. Há um armário onde são guardados alguns documentos da creche e uma mesa com cadeira,

onde usa seu notebook pessoal conectado à rede interna da empresa. Essa sala também corresponde a um dos lugares na empresa onde há consumo inapropriado de alimentos.


Fonte: os autores Não há para-raios ou aterramento no sistema elétrico, tão pouco algum sistema de contra-incêndio,

havendo somente extintores que podem ser usados no combate ao incêndio (figuras 13 e 14). Figura 13: vista do edifício pela avenida principal

Fonte: os autores


Figura 14: um dos extintores de incêndio do edifício

Fonte: os autores O modem de Internet da empresa (figura 16), que também faz o roteamento do sinal sem fio da

rede, fica localizado na mesma sala que a central de monitoramento, com cabos de rede e de energia expostos (figura 15). Figura 15: fios expostos entre o modem e a central de monitoramento

Fonte: os autores


Figura 16: modem de Internet atrás de um armário com fios expostos

Fonte: os autores Ao lado de uma das turmas com crianças da creche, há uma divisória de madeira separando a

turma de alguns materiais inflamáveis armazenados inadequadamente, como papéis, tintas e álcool (figura 17). Figura 17: pequeno armário com materiais inflamáveis

Fonte: os autores Segurança Lógica da Empresa

A empresa não conta com qualquer tipo de servidor, possuindo apenas um modem de Internet (visto anteriormente na figura 16), que também fornece a rede sem fio da empresa para clientes e funcionários e uma conexão com o sistema de monitoramento. Há também um

roteador (figura 18) que transmite parte

do sinal de rede sem fio no ambiente da empresa. A mesma rede é compartilhada entre os clientes, Secretaria, Diretoria e demais funcionários, havendo somente uma senha de acesso à rede como proteção. A Internet é liberada sem qualquer restrição de acesso aos sites.


Figura 18: roteador responsável por transmitir parte da rede sem fio

Fonte: os autores Há somente um computador pertencente

à Secretaria, com sistema operacional Microsoft Windows 10, que possui conexão à rede interna e Internet através de um adaptador sem fio. O computador requer senha de acesso de usuário, porém tem permissões de administrador, não

havendo qualquer controle sobre isso. Não possui sistema de backup e os arquivos são guardados no próprio sistema. O computador possui um antivírus pago instalado e atualizado regularmente e automaticamente (figuras 19 e 20).

Figura 19: tela inicial do antivírus Kaspersky

Fonte: os autores


Figura 20: arquivos armazenados na área de trabalho do sistema operacional

Fonte: os autores Ainda no computador da Secretaria, não

há um limite de tempo para bloqueio da sessão, no caso de ociosidade no sistema, a fim de evitar o acesso não autorizado de terceiros. Além disso,

não possui nenhuma padronização ou restrição quanto ao uso de mídias removíveis, disponibilizando total acesso ao usuário dessas mídias (figura 21).

Figura 21: uso de pendrive no computador da Secretaria

Fonte: os autores Na Diretoria há constantemente um notebook, que é pessoal da Diretora Pedagógica da creche, que

também tem acesso à rede sem fio. Sendo pessoal da Diretora, não há nenhum controle lógico sobre este notebook (figura 22).



Fonte: os autores Os sistemas utilizados pela secretária

possuem senhas para acesso, criadas e fornecidas à secretária pelo Diretor Financeiro da empresa. Porém, não há um controle de tais contas de acesso, possuindo apenas uma conta de email secundária para possíveis recuperações de senha, caso esta seja esquecida ou bloqueada. MATRIZ DE RISCO

Baseando-se no modelo de matriz de risco de Ferreira; Araújo (2008, p.179), nas

informações coletadas na empresa em questão através de perguntas aplicadas à Diretoria e Secretaria e implementadas conforme a Norma ABNT NBR ISO/IEC 27002 (2005), seguem abaixo as ameaças encontradas e relacionadas, com seus respectivos graus de probabilidade e impacto, a fim de medir o risco de tais ameaças sobre os ativos da empresa:

Matriz de Risco – Segurança Física Abaixo, seguem as ameaças encontradas no âmbito físico da instituição:

Quadro 7: Matriz de risco, segurança física

Item Ameaça Probabilidade Impacto Risco

1 A sala da Secretaria, onde há o processamento de informações, possui proteções fisicamente sólidas?

1,0 100 100

2 Existe algum monitoramento interno e externo de câmera instalado e testado regularmente?

1,0 50 50

3 As instalações-chave estão localizadas em local da casa a evitar o acesso do público?

1,0 50 50

4 Há um sistema de detecção ou contra-incêndio no ambiente interno da empresa?

1,0 50 50

5

Os suprimentos e materiais perigosos, como papelaria e álcool, são armazenados de forma segura e longe de uma área de segurança?

1,0 100 100

6 Há diretrizes quanto ao consumo de alimentos e bebidas onde há o processamento da informação?

1,0 100 100

7 Há proteção contra raios no edifício da empresa?

0,5 100 50


8 Os cabos de dados e de energia estão devidamente protegidos, a fim de evitar danos ou interceptações?

1,0 50 50

9 Há um controle de manutenção periódica nos equipamentos da empresa?

1,0 100 100

Fonte: Os autores Matriz de Risco – Segurança Lógica

A seguir, os itens relacionados à segurança lógica: Quadro 8: Matriz de risco, segurança lógica

Item Ameaça Probabilidade Impacto Risco

1

Há regras estabelecidas para instalação de novos sistemas, atualizações e novas versões destes sistemas nos computadores da empresa?

1,0 50 50

2 Há algum antivírus ou sistema para detecção e tratamento de códigos maliciosos nos computadores?

1,0 100 100

3 Há um sistema de cópia e recuperação de arquivos na empresa?

1,0 100 100

4 Há um gerenciamento da rede local de computadores, a fim de garantir a segurança das informações nela trafegadas?

1,0 100 100

5 Há regras definidas quanto ao uso de mídias removíveis e suas respectivas unidades?

1,0 100 100

6

Há a conscientização dos funcionários da empresa quanto à divulgação de informações sensíveis sobre a empresa através de meios de comunicações?

0,5 100 50

7 Há um controle de acesso para registro e cancelamento dos usuários referente ao uso dos sistemas da empresa?

1,0 100 100

8

Há a solicitação aos usuários de sistemas da empresa de uma declaração devidamente assinada, a fim de manter a confidencialidade da senha pessoal?

1,0 100 100

9

Os usuários das estações de trabalho da empresa fecham as sessões ativas dos sistemas utilizados enquanto se ausentam do local, a fim de prevenir o acesso não autorizado?

0,5 100 50

10 A rede sem fio da empresa está devidamente separada da rede privada da mesma?

1,0 100 100

Fonte: Os autores ANÁLISE DA MATRIZ DE RISCO

Após relacionados e medidos os riscos nas matrizes, a seguir, segue a descrição e análise de cada item para posterior elaboração da política de segurança.

Quanto à segurança física: Item 1: As salas e escritórios onde há o processamento da informação possuem proteções fisicamente sólidas? A sala da Diretora Pedagógica possui uma porta com fechadura de boa qualidade. Porém, o local onde se encontra a Secretaria, apesar de possuir portas que são fechadas no final do expediente,

fica na passagem onde transitam funcionárias e crianças durante o dia, tornando de fácil alcance os ativos encontrados neste ambiente, principalmente na ausência da secretária. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.32): Perímetro de segurança física Convém que sejam levadas em consideração e implementadas as seguintes diretrizes para perímetros de segurança física, quando apropriado: b) os perímetros de um edifício ou de um local que contenha instalações de processamento da


informação sejam fisicamente sólidos (ou seja, o perímetro não deve ter brechas nem pontos onde poderia ocorrer facilmente uma invasão); convém que as paredes externas do local sejam de construção robusta e todas as portas externas sejam adequadamente protegidas contra acesso não autorizado por meio de mecanismos de controle, por exemplo, barras, alarmes, fechaduras etc.; convém que as portas e janelas sejam trancadas quando estiverem sem monitoração, e que uma proteção externa para as janelas seja considerada, principalmente para as que estiverem situadas no andar térreo; Item 2: Existe algum monitoramento interno e externo de câmera instalado e testado regularmente? Há um sistema de monitoramento que abrange todo o espaço interno da empresa. Entretanto, as câmeras encontram-se mal posicionadas, deixando vários pontos cegos nos cômodos monitorados. Não há monitoramento no ambiente externo da empresa, e, embora não ocorram frequentes falhas no sistema, não há manutenção ou testes regulares neste sistema. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.32): Perímetro de segurança física Convém que sejam levadas em consideração e implementadas as seguintes diretrizes para perímetros de segurança física, quando apropriado: f) sistemas adequados de detecção de intrusos, de acordo com normas regionais, nacionais e internacionais, sejam instalados e testados em intervalos regulares, e cubram todas as portas externas e janelas acessíveis; as áreas não ocupadas devem ser protegidas por alarmes o tempo todo; também deve ser dada proteção a outras áreas, por exemplo, salas de computadores ou salas de comunicações; Item 3: As instalações-chave estão localizadas em local da casa a evitar o acesso do público? Por se tratar de um prédio relativamente pequeno para uma empresa, os cômodos ficam todos dispostos em corredores transitados com frequência por funcionários e algumas crianças. A sala da Diretoria pedagógica encontra-se em um cômodo protegido por porta com fechadura. Já a Secretaria, por também se tratar de uma recepção para clientes, é aberta, permitindo a passagem tanto de clientes quanto de funcionários e crianças do local. E o equipamento das câmeras (monitor, DVR e discos de backup) e modem de Internet ficam dentro de uma das salas para turmas de crianças, sem proteção física alguma. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.33): Segurança em escritórios, salas e instalações

Convém que sejam levadas em consideração as seguintes diretrizes para proteger escritórios, salas e instalações: b) as instalações-chave sejam localizadas de maneira a evitar o acesso do público; Item 4: Há um sistema de detecção ou contra-incêndio no ambiente interno da empresa? Não. Mas há extintores em locais estratégicos para o combate à incêndios por todo o ambiente interno. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.34): Proteção contra ameaças externas e do meio ambiente Convém que sejam levadas em consideração todas as ameaças à segurança representadas por instalações vizinhas, por exemplo, um incêndio em um edifício vizinho, vazamento de água do telhado ou em pisos do subsolo ou uma explosão na rua. Convém que sejam levadas em consideração as seguintes diretrizes para evitar danos causados por incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e outras formas de desastres naturais ou causados pelo homem: c) os equipamentos apropriados de detecção e combate a incêndios sejam providenciados e posicionados corretamente. Item 5: Os suprimentos e materiais perigosos, como papelaria e álcool, são armazenados de forma segura e longe de uma área de segurança? Não. Tais materiais são armazenados ao lado de uma das turmas com crianças da empresa, turma essa cuja sala contém a central do sistema de monitoramento e modem de Internet do estabelecimento. Somente uma divisória de madeira separa esta sala do local onde os materiais são armazenados. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.34): Proteção contra ameaças externas e do meio ambiente Convém que sejam levadas em consideração todas as ameaças à segurança representadas por instalações vizinhas, por exemplo, um incêndio em um edifício vizinho, vazamento de água do telhado ou em pisos do subsolo ou uma explosão na rua. Convém que sejam levadas em consideração as seguintes diretrizes para evitar danos causados por incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e outras formas de desastres naturais ou causados pelo homem: a) os materiais perigosos ou combustíveis sejam armazenados a uma distância segura da área de segurança. Suprimentos em grande volume, como materiais de papelaria, não devem ser armazenados dentro de uma área segura;


Item 6: Há diretrizes quanto ao consumo de alimentos e bebidas onde há o processamento da informação? Não. Há não só a ausência de tais diretrizes como também há o consumo de alimentos e bebidas nas mesas da Diretoria e Secretaria. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.35): Instalação e proteção do equipamento Convém que sejam levadas em consideração as seguintes diretrizes para proteger os equipamentos: e) sejam estabelecidas diretrizes quanto a comer, beber e fumar nas proximidades das instalações de processamento da informação; Item 7: Há proteção contra raios no edifício da empresa? Não, tão pouco aterramento do sistema elétrico. Inclusive é um dos prédios mais altos em seus arredores, havendo ainda árvores ao redor do local da empresa. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.35): Instalação e proteção do equipamento Convém que sejam levadas em consideração as seguintes diretrizes para proteger os equipamentos: g) todos os edifícios sejam dotados de proteção contra raios e todas as linhas de entrada de força e de comunicações tenham filtros de proteção contra raios; Item 8: Os cabos de dados e de energia estão devidamente protegidos, a fim de evitar danos ou interceptações? Não. Os cabos encontram-se expostos nas salas, tanto os elétricos quanto os de rede. Alguns até juntos, possibilitando interferências. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.37): Segurança do cabeamento b) cabeamento de redes seja protegido contra interceptação não autorizada ou danos, por exemplo, pelo uso de conduítes ou evitando trajetos que passem por áreas públicas; Item 9: Há um controle de manutenção periódico nos equipamentos da empresa? Não. Somente quando há defeito em algum equipamento é que a empresa procura levá-lo ao conserto, não há manutenções preventivas de tais equipamentos. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.38): Manutenção dos equipamentos d) sejam implementados controles apropriados, na época programada para a manutenção do equipamento, dependendo de a manutenção ser realizada pelo pessoal do local ou por pessoal externo à organização; onde necessário, as informações sensíveis sejam eliminadas do equipamento, ou o pessoal de manutenção seja de absoluta confiança;

Quanto à segurança lógica: Item 1: Há regras estabelecidas para instalação de novos

sistemas, atualizações e novas versões destes sistemas nos computadores da empresa? Não, além de ser liberada a permissão para instalação de aplicações pelo próprio usuário. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.45): 10.3.2 Aceitação de sistemas Convém que os gestores garantam que os requisitos e critérios para aceitação de novos sistemas estejam claramente definidos, acordados, documentados e testados. Convém que novos sistemas de informação, atualizações e novas versões só sejam migrados para produção após a obtenção de aceitação formal. Item 2: Há algum antivírus ou sistema para detecção e tratamento de códigos maliciosos nos computadores? Sim. Há um antivírus pago e instalado em cada computador que atualizado automaticamente e regularmente. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.46): Controles contra códigos maliciosos Convém que a proteção contra códigos maliciosos seja baseada em softwares de detecção de códigos maliciosos e reparo, na conscientização da segurança da informação, no controle de acesso adequado e nos controles de gerenciamento de mudanças. Convém que as seguintes diretrizes sejam consideradas: d) instalar e atualizar regularmente softwares de detecção e remoção de códigos maliciosos para o exame de computadores e mídias magnéticas, de forma preventiva ou de forma rotineira; convém que as verificações realizadas incluam: 1) verificação, antes do uso, da existência de códigos maliciosos nos arquivos em mídias óticas ou eletrônicas, bem como nos arquivos transmitidos através de redes; 2) verificação, antes do uso, da existência de software malicioso em qualquer arquivo recebido através de correio eletrônico ou importado (download). Convém que essa avaliação seja feita em diversos locais, como, por exemplo, nos servidores de correio eletrônico, nos computadores pessoais ou quando da sua entrada na rede da organização; 3) verificação da existência de códigos maliciosos em páginas web; Item 3: Há um sistema de cópia e recuperação de arquivos na empresa? Não. Os arquivos ficam armazenados em seus respectivos computadores, que não possuem sistema de backup algum. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.48): Cópias de segurança das informações Convém que recursos adequados para a geração de cópias de segurança sejam disponibilizados para garantir que toda informação e software


essenciais possam ser recuperados após um desastre ou a falha de uma mídia. Item 4: Há um gerenciamento da rede local de computadores, a fim de garantir a segurança das informações nela trafegadas? Não. Cada computador funciona de maneira isolada da rede. Apesar de todos eles estarem conectados no modem que fornece Internet e rede interna para toda a empresa, esta rede não possui gerenciamento algum. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.49): Controles de redes Convém que gestores de redes implementem controles para garantir a segurança da informação nestas redes e a proteção dos serviços a elas conectadas, de acesso não autorizado. Item 5: Há regras definidas quanto ao uso de mídias removíveis e suas respectivas unidades? Não há. Os computadores disponibilizam acesso a pendrives livremente aos usuários, além de não haver nenhuma diretriz que proíba tal ato, podendo acarretar roubo de informações dos computadores ou inserção de códigos maliciosos nos mesmos. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.50): Gerenciamento de mídias removíveis Convém que as seguintes diretrizes para o gerenciamento de mídias removíveis sejam consideradas: f) as unidades de mídias removíveis estejam habilitadas somente se houver uma necessidade do negócio. Item 6: Há a conscientização dos funcionários da empresa quanto à divulgação de informações sensíveis sobre a empresa através de meios de comunicações? Sim, porém não há nada por escrito, somente orientações verbais esporádicas. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.53): Políticas e procedimentos para troca de informações Convém que os procedimentos e controles estabelecidos para a troca de informações em recursos eletrônicos de comunicação considerem os tópicos a seguir: k) lembrar às pessoas que elas devem tomar precauções adequadas como, por exemplo, não revelar informações sensíveis, para evitar que sejam escutadas ou interceptadas durante uma ligação telefônica por: 1) pessoas em sua vizinhança, especialmente quando estiver usando telefone celular; 2) grampo telefônico e outras formas de escuta clandestina através do acesso físico ao aparelho telefônico ou à linha, ou, ainda, pelo uso de rastreadores; 3) pessoas ao lado do interlocutor;

Item 7: Há um controle de acesso para registro e cancelamento de contas dos usuários referente ao uso dos sistemas da empresa? Não. Não é dado ao funcionário nenhuma declaração por escrito de seus direitos de acesso; não há nenhum registro das pessoas contratadas que usam os sistemas da empresa; e não há um controle desses registros. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.66): Registro de usuário Convém que exista um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços. Item 8: Há a solicitação aos usuários de sistemas da empresa de uma declaração devidamente assinada, a fim de manter a confidencialidade da senha pessoal? Não. É simplesmente orientado verbalmente ao funcionário no momento que lhe é passada a senha de um sistema da empresa. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.68): Gerenciamento de senha do usuário Convém que o processo considere os seguintes requisitos: a) solicitar aos usuários a assinatura de uma declaração, para manter a confidencialidade de sua senha pessoal e das senhas de grupos de trabalho, exclusivamente com os membros do grupo; esta declaração assinada pode ser incluída nos termos e condições da contratação (ver 8.1.3); Item 9: Os usuários das estações de trabalho da empresa fecham as sessões ativas dos sistemas utilizados enquanto se ausentam do local, a fim de prevenir o acesso não autorizado? Não. As sessões permanecem ativas por quinze minutos antes do computador entrar em modo de suspensão, o qual não requer senha de proteção ao voltar ao trabalho. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.70): Equipamento de usuário sem monitoração Convém que todos os usuários estejam cientes dos requisitos de segurança da informação e procedimentos para proteger equipamentos desacompanhados, assim como suas responsabilidades por implementar estas proteções. Convém que os usuários sejam informados para: a) encerrar as sessões ativas, a menos que elas possam ser protegidas por meio de um mecanismo de bloqueio, por exemplo tela de proteção com senha; b) efetuar a desconexão com o computador de grande porte, servidores e computadores pessoais do escritório, quando a sessão for finalizada (por exemplo: não apenas desligar a tela do computador ou o terminal);


c) proteger os microcomputadores ou terminais contra uso não autorizado através de tecla de bloqueio ou outro controle equivalente, por exemplo, senha de acesso, quando não estiver em uso. Item 10: A rede sem fio da empresa está devidamente separada da rede privada da mesma? Não. Usa-se a mesma rede para disponibilizar Internet aos clientes e funcionários da empresa. Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.73): Segregação de redes Convém considerar à segregação de redes sem fios de redes internas e privadas. Como os perímetros de redes sem fios não são bem definidos, convém que uma análise/avaliação de riscos seja realizada em tais casos para identificar os controles (por exemplo, autenticação forte, métodos criptográficos e seleção de frequência) para manter segregação de rede. PROPOSTA DE POLÍTICA DE SEGURANÇA

Conforme informações coletadas e análise da segurança na empresa em pauta, em conformidade com a Norma ABNT NBR ISSO/IEC 27002 (2005), segue abaixo a proposta de política de segurança da informação elaborada a fim de solucionar os problemas relacionados à segurança física e lógica da informação da instituição. TÍTULO DA POLÍTICA DE SEGURANÇA

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA O CENTRO RECREATIVO SORRIA BABY. A INSTITUIÇÃO

O Centro Recreativo Sorria Baby é uma creche infantil localizada no Guará II, cidade satélite do Distrito Federal, que cuida e educa crianças de cinco meses à quatro anos de idade.

Atua em Brasília há mais de cinco anos no ramo. Atualmente possui 10 funcionários, entre eles, monitoras, cozinheira e secretária, sendo esta última responsável pelo setor burocrático da instituição e principal usuária dos recursos aos quais esta política de segurança se destina. OBJETIVO DA POLÍTICA DE SEGURANÇA

Esta política de segurança visa mitigar os riscos, detectados após análises feitas na empresa, sugerindo medidas a serem cumpridas, tanto pelos diretores quanto pelos funcionários, em todos os ambientes da empresa, a fim de aumentar a proteção dos ativos, físicos e lógicos, da instituição. Assim, garantir-se-á a confidencialidade, integridade e disponibilidade de tais ativos, de acordo com as necessidades desta.

Tais medidas serão sugeridas conforme a Norma ABNT NBR ISO/IEC 27002 (2005).

DIRETRIZES DE SEGURANÇA Segurança Física Deve ser instalada uma divisória com porta e fechadura, separando o local de trabalho da Secretaria do corredor onde transitam os demais funcionários e crianças que entram e saem da instituição diariamente. As câmeras do sistema de monitoramento da empresa devem ser reposicionadas a fim de diminuir os pontos cegos nos cômodos onde se encontram instaladas. Além disso, devem ser instaladas câmeras também na parte externa da entrada da empresa, a fim de garantir a segurança de quem entra e sai do edifício. Deve ser feita a manutenção e testes regulares em todo o sistema, a fim de detectar e prevenir possíveis falhas, bem como no sistema de armazenamento dos vídeos referentes às gravações feitas pelo próprio sistema de monitoramento. A central do sistema de monitoramento e o modem de Internet devem ser realocadas em local, dentro do mesmo edifício, devidamente distanciado do acesso ao público, como salas com acesso restrito ao pessoal autorizado da empresa. Devem ser instalados sistemas de proteção contra-incêndio adequados conforme normas vigentes, a fim de garantir a segurança física do ambiente e dos materiais nele alocados. Todos os materiais perigosos e inflamáveis devem ser realocados em outro local devidamente assegurado de possíveis acidentes e longe de das salas onde se encontram turmas de crianças. Devem ser criadas regras quanto ao consumo de alimentos nos locais onde há o processamento de informações, como mesas de escritório e balcão de atendimento, restringindo tal consumo à locais devidamente preparados para este fim. Um para-raios deve ser instalado no edifício, bem como o aterramento do sistema elétrico do mesmo edifício, a fim de evitar descargas elétricas causadas por raios, queima de aparelhos eletroeletrônicos entre outros. Os cabos de energia e de rede devem ser devidamente separados, a fim de evitar possíveis interferências na rede local, bem como a reinstalação desses cabos abaixo do chão, dentro de paredes ou canaletas, evitando assim possíveis desgastes e interceptações. Devem ser agendadas e efetuadas manutenções periódicas nos equipamentos da empresa, como computadores, modem, cabeamentos e roteadores, a fim de evitar possíveis falhas nos mesmos. Segurança Lógica A empresa deve estabelecer diretrizes para a instalação de novos sistemas, atualizações e novas versões destes sistemas, além de restringir tais tarefas somente à conta de administrador do computador.


Deve-se manter os sistemas de antivírus ativos e atualizados a fim de minimizar vulnerabilidades nos computadores. Deve ser implementado um sistema de cópia e recuperação de arquivos (backup), a fim de minimizar os danos que possam vir a ser causados com a perda de arquivos da empresa. A rede local deve ser devidamente configurada e gerenciada, a fim de manter a proteção da confidencialidade e integridade das informações da empresa, configurando corretamente a rede privada da rede oferecida aos clientes por conexão sem fio com senhas, controlando os serviços conectados nessas redes. Devem ser estabelecidas diretrizes quanto ao uso de mídias removíveis, limitando o acesso às suas respectivas unidades, a fim de evitar possíveis roubos de informações importantes da empresa, bem como a inserção de códigos maliciosos nos computadores. Os funcionários devem ser orientados, no ato da contratação e nas reuniões periódicas da empresa, quanto ao cuidado de não divulgar informações sensíveis ou sigilosas da empresa através de meios de comunicações. Além disso, a organização deve cobrar tal atitude dos funcionários através de declaração assinada desde o ato da contratação a respeito de tal atitude. A empresa deve providenciar o controle dos registros e cancelamentos de contas de usuários dos sistemas da empresa, a fim de gerenciar, principalmente, a exclusão de tais contas, evitando que um ex-funcionário da empresa tenha acesso a qualquer desses sistemas. Deve ser elaborada e aplicada um modelo de declaração de confidencialidade das senhas dos usuários de sistemas da empresa, bem como das informações sensíveis da instituição, a fim de assegurar e responsabilizar a divulgação de tais informações a terceiros. Os computadores da empresa devem ser configurados de tal forma que bloqueie sessões ativas, enquanto sem uso por um período de tempo, e que solicite a senha do usuário para desbloqueá-los. Por conseguinte, que os usuários de tais estações de trabalho da empresa sejam orientados a bloquear as sessões ativas quando houver a necessidade de se ausentarem por muito tempo. A rede interna da empresa deve ser devidamente configurada de maneira a separar a rede privada de trabalho da rede pública, oferecida aos clientes da empresa via wireless, a fim de evitar o acesso às informações da empresa por parte de pessoas não autorizadas. CONFORMIDADE

Todas as diretrizes de segurança foram elaboradas conforme a Norma ABNT NBR ISO/IEC 27002:2005.

PENALIDADE Os funcionários que estiverem em

desacordo com as diretrizes estabelecidas nesta política de segurança estarão sujeitos as devidas sansões administrativas da empresa. DISPOSIÇOES GERAIS

Os casos omissos serão avaliados e julgados pela Diretoria da instituição.

Esta política de segurança terá a validade de dois anos após sua divulgação e, caso seja necessário, poderá sofrer alterações dentro deste período. CONCLUSÃO

Concluímos que a política de segurança da informação é um documento essencial para empresa e tem como objetivo sanar as vulnerabilidades físicas e lógicas encontradas na empresa, diminuir os riscos prejudiciais com relação a segurança e possibilitar uma forma correta de trabalho aos funcionários do Centro Recreativo Sorria Baby.

Sendo implantada a política de segurança da informação conforme suas orientações, pode-se chegar aos resultados citados anteriormente.

No decorrer do curso de graduação em Tecnólogo em Segurança da Informação, os autores do trabalho puderam reter aprendizados em diferentes disciplinas relacionadas à segurança da informação e também ao referencial teórico, que possibilitou uma base para a elaboração do trabalho.

Com a aplicação da política de segurança na empresa, os seus resultados implicarão na segurança dos ativos da empresa, protegendo principalmente a informação, que tem grande relevância dentro da organização e na preservação dos princípios primordiais de segurança da informação: confidencialidade, disponibilidade e integridade. REFERÊNCIAS DANTAS, Marcus Leal, Segurança da informação: uma abordagem focada em gestão de riscos. / Marcus Leal Dantas – Olinda: Livro Rápido, 2011. FERREIRA, F. N. F; ARAÚJO, M. T. POLÍTICA DE

SEGURANÇA DA INFORMAÇÃO. RIO DE JANEIRO: ED. CIÊNCIA MODERNA LTDA, 2008. MOREIRA, N. S. SEGURANÇA MÍNIMA. RIO DE

JANEIRO: ED. AXCEL BOOKS DO BRASIL, 2001. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, ABNT NBR ISO/IEC 27002: tecnologia da informação, técnicas de segurança, código de prática para gestão da segurança da informação. Rio de Janeiro: 2ª Ed.,2005 120p. ref. 1-8 Cartilha de Segurança para Internet, versão 4.0 / CERT.br – São Paulo: Comitê Gestor da Internet no Brasil, 2012. Cartilha de Segurança para Internet, versão 3.1 / CERT.br – São Paulo: Comitê e Gestor da Internet no Brasil, 2006.

TSI PROPOSTA DE POLÍTICA DE SEGURANÇA DA...

Documents

Transcript of TSI PROPOSTA DE POLÍTICA DE SEGURANÇA DA...