Embed Size (px)
Citation preview
Simpósio de TCC e Seminário de IC , 2016 / 1º 1916
TSI PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA A EMPRESA NOVA INFORMÁTICA
WENDEL SILVA SANTOS
CID BENDAHAN COELHO CINTRA
RESUMO O presente documento tem por objetivo elaborar uma proposta de Política de Segurança da Informação para a empresa Nova Informática. Para isso foram feitas visitas técnicas, foram identificados todos os ativos de informação, foram feitos o levantamento de todas as falhas e vulnerabilidades, foi elaborada a matriz de risco física e lógica da empresa e elaborada a proposta de política de segurança física de lógica. Com estes métodos conseguiu-se detectar várias vulnerabilidades, tanto estruturais quanto lógicas. Concluiu-se que com a política de segurança da informação baseada na Norma ABNT NBR ISO/IEC 27002:2005 conseguiu-se organizar e proteger os ativos da empresa de ataques e invasões, conscientizando os funcionários e o gerente da importância do cumprimento desta política, colaborando para o crescimento da empresa e de seus colaboradores. Palavras chaves: Política, Proteger, Segurança. ABSTRACT The actually document has the purpose create a proposal to information security policy for the Company. Nova Informática. Had done many technical, were identified all the actives the information, Were made the lifting of all failures and vulnerabilities, It was drawn the array of risk and business logic. And drafted the policy proposal of physical security of logic. With these methods were able to detect multiple vulnerabilities Both structural and logical. It was concluded that the information security policy based on the ABNT NBR ISO/IEC 27002:2005 We managed to organize and protect company assets from attacks and intrusions, Realizing the staff and the manager of the importance of enforcement of this policy, Collaborating for the growth of the company and its employees. Keywords: politics, Protect, security.
INTRODUÇÃO Analisando as recentes notícias; como
por exemplo: o roubo de informações sigilosas de clientes do banco de dados da Empresa Anatel por um grupo de hackers, ocasionou num grande prejuízo à empresa e aos clientes, apresentando graves falhas de segurança em seu sistema de acesso a rede, expondo informações pessoais dos mesmos. O fato foi motivado por uma norma determinando a limitação de trafego de dados em redes de internet fixa residencial vinda da Anatel.
Analisando esta situação pode-se concluir que a informação deve ser protegida com o devido aparato de segurança física e lógica, levando em consideração a disponibilidade, integridade e confidencialidade da mesma. Devendo ser realizados testes de estresse no sistema, e investir em dispositivos de segurança mais eficazes, de maneira a evitar ou sanar danos como os citados no parágrafo anterior.
A maioria, senão todos os autores que tratam do tema, informação, definem a mesma como o ativo mais importante de uma organização.
Infelizmente a maioria das empresas não dá a devida importância ao ativo, informação, por falta de conhecimento. O papel do profissional de segurança da informação é o de informar e preparar tanto os funcionários quanto a alta cúpula das organizações a entenderem o porque da proteção e manuseio correto, tanto dos ativos lógicos, quanto físicos da empresa, pois o desconhecimento dessas ações podem trazer sérios danos a todos.
Por isso faz-se necessário a implantação de política de segurança para minimizar e proteger a empresa de possíveis ameaças aos
seus, principalmente ao maior ativo, que é a Informação. JUSTIFICATIVA
A Nova Informática presta serviços técnicos, e de manutenção, trocando informações e equipamentos com vários clientes, tendo em seu escritório, diversos documentos com informações pessoais dos clientes e equipamentos dos mesmos para manutenção. Devido a isso, além do total desconhecimento dos funcionários sobre os devidos cuidados com os ativos da empresa, verificaram-se também diversas falhas que colocam em risco tudo que diz respeito tanto à empresa quanto aos clientes, por esse motivo se faz necessário implantar uma política de segurança.
Esta política é importante, pois trará proteção aos bens da empresa, e em consequência, trazendo benefícios, também aos funcionários. OBJETIVOS GERAIS
Elaborar uma proposta de Política de Segurança da Informação para a empresa Nova Informática de acordo com a Norma ABNT NBR ISO/IEC 27002:2005. ESPECÍFICOS Realizar o levantamento dos ativos da empresa; Realizar a análise dos riscos e detectar as vulnerabilidades; Elaborar a política de segurança da informação com base na Norma ABNT NBR ISO/IEC 27002:2005, levando em consideração os ativos físicos e lógicos da empresa.
Simpósio de TCC e Seminário de IC , 2016 / 1º 1917
METODOLOGIA
A metodologia usada para desenvolver este trabalho foi dividida nas seguintes fases: Foram feitas de pesquisas em livros, periódicos e sites relacionados ao assunto política em segurança da informação. Foram feitos os levantamentos das vulnerabilidades levando em consideração a importância da informação e que a não observância desta importância pode causar danos graves à organização. Foi feita a análise dos riscos para elaborar a matriz de risco; Foi elaborada uma proposta de política de segurança da informação com o intuito de corrigir as falhas detectadas, baseada na norma ABNT NBR ISO/IEC 27002:2005. REFERENCIAL TEÓRICO INFORMAÇÃO
A informação deve ser considerada, senão o maior, um dos maiores bens da empresa, pois a deficiência em sua guarda e utilização pode causar prejuízos sérios a uma organização.
Lyra (2008, p.05) define que: [...]A informação é um bem de grande valor para os processos de negócios da organização, mas também devemos considerar a tecnologia, o meio que a suporta, que a mantém e que permite que ela exista as pessoas que a manipulam e o ambiente onde ela está inserida.
Segundo Sêmola (2002, p.2): [...]A informação é o ativo cada vez mais valorizado. Há muito, as empresas têm sido influenciadas por mudanças e novidades que surgem no mercado e provocam alterações de contexto. A todo o momento surgem descobertas, experimentos, conceitos, métodos e modelos nascidos pela movimentação de questionadores estudiosos, pesquisadores e executivos que não se conformam com a passividade da vida e buscam a inovação e a quebra de paradigmas, revelando — quase frequentemente, como se estivéssemos em um ciclo — uma nova tendência promissora. ATIVO
Os ativos de uma empresa devem ser
preservados e protegidos pois fazem parte do patrimônio da mesma. São considerados ativos não só bens materiais, mas também lógicos, tais como: softwares.
Segundo Dantas (2011, p.21): [...] O estudo do ativo não é uma preocupação recente, pois há muito tempo a ciência da contabilidade já o estudava. A definição clássica é que o ativo compreende o conjunto de bens e direitos de uma entidade. Entretanto, atualmente, um conceito mais amplo tem sido adotado para se referir ao ativo como tudo aquilo que possui valor para a empresa.
SEGURANÇA DA INFORMAÇÃO
Pode-se definir Segurança da Informação como sendo, toda e qualquer medida de proteção tanto aos bens físicos, quantos lógicos de uma organização. Através das ações que permitem que a informação seja protegida, evita-se, e ou previne-se danos à organização como um todo.
Lyra (2008, p.03) define: [...] Quando falamos em segurança da informação, estamos nos referindo a tomar ações para garantir a confidencialidade, integridade, disponibilidade e demais aspectos da segurança das informações dentro das necessidades do cliente.
Segundo Ferreira; Araújo (2008, p.185) “a
Segurança da Informação é uma disciplina que afeta, assim como a informação que ela protege, toda a organização ou negócio da empresa”. RISCO
Risco é algo que pode ou não ser
concretizado, ou seja, ao ser concretizado prejuízos são causados, porém também podem ser evitados com procedimentos de prevenção e reação, caso venham a ocorrer.
Segundo Navarro (2009, p.38) “o risco está associado à possibilidade de ocorrência de um evento indesejado e sua severidade, não podendo ser representado apenas por um número.”
Ainda segundo Navarro (2009, p.38) ”O risco deve ser entendido como uma elaboração teórica, que é construída, historicamente, com o objetivo de mediar à relação do homem com os perigos, visando minimizar os prejuízos e maximizar os benefícios.” IDENTIFICAÇÃO DE RISCOS
Para se identificar o risco, deve-se classifica-lo em primeiro lugar de acordo com seu grau e sua probabilidade de ocorrer ou não.
Segundo Ferreira; Araújo (2008, p.179): A determinação do risco de uma ameaça/vulnerabilidade especifica pode ser expressada da seguinte forma: - A probabilidade de ocorrência; - O nível de impacto causado pelo sucesso da exploração de uma vulnerabilidade; - A eficácia dos controles de segurança existentes para minimizar o risco.
Ainda segundo Ferreira; Araújo (2008,
p.179) “Para diminuir a exposição aos riscos mais relevantes, deve-se adotar a estratégia de identificação do impacto que os riscos podem oferecer às atividades da organização .” ANÁLISE DE RISCOS
Dantas (2011, p.98) define que:
A análise de riscos desenvolve um entendimento sobre os riscos e os seus impactos nas atividades de negócios e ativos envolvidos, no sentido de
Simpósio de TCC e Seminário de IC , 2016 / 1º 1918
orientar as melhores estratégias para o tratamento dentro da relação custo-benefício. Três fatores são fundamentais: os controles, a probabilidade e as consequências.”
MATRIZ DE RISCOS
Ferreira; Araújo (2006, p.101) define que: A Matriz de Risco (quadro 1) relaciona as probabilidades (alta, média e baixa) com os impactos (alto, médio, baixo). Além disso, pontua os riscos seguindo a seguinte regra: Probabilidade Alta = 1,0 Probabilidade Média = 0,5 Probabilidade Baixa = 0,1 Impacto Alto = 100 Impacto Médio = 50 Impacto Baixo = 10 QUADRO 1 – Matriz de Risco Probabilidade Impacto Alta (1,0) Baixa
(10) 10 x 1,0
= 10
Média (50)
50 x 1,0 = 50
Alta (100) 100 x 1,0
= 100
Media (0,5) Baixa 10 x 0,5
= 5
Média 50 x 0,5
= 25
Alta 100 x 0,5
= 50
Baixa (0,1) Baixa 10 x 0,1
= 1
Média 50 x 0,1
= 5
Alta 100 x 0,1
= 10 Fonte: Ferreira; Araújo (2006, p.101)
AMEAÇAS
Dantas (2011, p.30), afirma que ameaças são, “agentes ou condições que, ao explorarem as vulnerabilidades, podem provocar danos e perdas.”
Para Beal (2005, pg.36) “As ameaças são
expectativas de acontecimento acidental ou proposital, causado por agente, o qual pode afetar um ambiente, sistema ou ativo da informação.” POLÍTICA DE SEGURANÇA
Ferreira; Araújo (2006, p.36) define que:
A Política de Segurança é composta por um conjunto de regras e padrões sobre o que deve ser feito para assegurar que as informações e serviços importantes para a empresa recebam a proteção conveniente, de modo a garantir a sua confidencialidade, integridade e disponibilidade.
Ainda, segundo Ferreira; Araújo (2006, p.36): A Política de Segurança define o conjunto de normas, métodos e procedimentos utilizados para manutenção da segurança da informação,, devendo ser formalizada e divulgada a todos os usuários que fazem uso dos ativos de informação.
Dantas (2011, p.131), define Política de Segurança como sendo, “um documento que estabelece princípios, valores, compromissos, requisitos, orientações e responsabilidades para com a segurança da informação.” SEGURANÇA FÍSICA
Lyra (2008, p.27) define, que “Para garantir a adequada segurança física dos ativos da informação é preciso combinar medidas de prevenção, detecção e reação aos possíveis incidentes de segurança”.
Segundo Ferreira; Araújo (2006, p.123) “A
segurança física desempenha um papel tão importante quanto a segurança lógica, porque é a base para proteção de qualquer” CONTROLE DE ACESSO FÍSICO
Segundo Ferreira; Araújo (2006, p.123):
Qualquer acesso às dependências da organização, desde as áreas de trabalho até aquelas consideradas severas (onde ocorre o processamento das informações criticas e confidenciais) deve ser controlado sempre fazendo necessária sua formalização.
Ainda, segundo Ferreira; Araújo (2006, p.123) “quanto maior for a sensibilidade do local, maiores serão os investimentos em recursos de segurança para serem capazes de impedir o acesso não autorizado.” SEGURANÇA LÓGICA
Para se garantir uma segurança lógica,
são necessários, além de várias ferramentas e aplicativos, os antivírus, firewalls, ferramentas de criptografia, etc.
Para Lyra (2008, p.33) “outros exemplos de controles citados na norma são o uso de técnicas de criptografia, tokens, VPNs, antivírus, etc.” CONTROLE DE ACESSO LÓGICO
Para se ter o controle lógico são
necessários, entre outros: a identificação e autenticação do usuário, a administração dos privilégios de usuário e monitoração do uso e acesso ao Sistema.
Para Lyra (2008, p.44) “entre os recursos a serem protegidos na modalidade de acesso lógico, temos: sistemas, banco de dados, software, arquivo-fonte, sistema operacional, utilitários e outros.” NORMA ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 O QUE É?
A norma ABNT NBR ISO/IEC 27002
(2005) estabelece um conjunto de ações e procedimentos a respeito de segurança de informações de uma organização, instituição ou
Simpósio de TCC e Seminário de IC , 2016 / 1º 1919
entidade. Também apresenta os passos a seguir para a realização de tais ações e procedimentos. Define critérios para se chegar a uma eficaz aplicação das normas. Enfim é um manual de procedimentos e ações relacionados à segurança da informação.
“NBR ISO/IEC 27002 é um código de prática para Gestão da Segurança da Informação.” (ABNT NBR ISO/IEC 27002:2005, pg.01) Segundo Macêdo (2012, p.1): A norma ABNT NBR ISO/IEC 27002 tem como objetivo “estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização”. Mas, o que é Segurança da Informação (SI)? Significa proteger as informações consideradas importantes para a continuidade e manutenção dos objetivos de negócio da organização. ORIGEM
“Esta norma foi elaborada pelo Comitê Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21), pela Comissão de Estudo de Segurança Física em instalações de Informática (CE-21:027.00) .”(NBR, 2005, pg.03) ESTRUTURA
A NBR ISO/IEC 27002 se divide em 15 capítulos, são eles: “Introdução: define Segurança da Informação, sua importância, seus requisitos, definem a respeito de riscos, como implanta-la, e desenvolvê-la; “(ABNT NBR ISO/IEC 27005, p.x) “Objetivo: define o objetivo da criação da norma, e sua utilidade para a segurança da informação para organizações em geral;” (ABNT NBR ISO/IEC 27005, p.1) “Termos e definições: apresenta os termos e definições aplicados a esta norma;”(ABNT NBR ISO/IEC 27005, p.1) “Estrutura desta Norma: apresenta e define as 11 seções e 39 categorias da segurança;” (ABNT NBR ISO/IEC 27005, p.4) “Análise/Avaliação e tratamento de riscos: apresenta orientações necessárias quanto a de estabelecer métodos de análise, avaliação e tratamento de riscos, segundo a norma;“(ABNT NBR ISO/IEC 27005, p.6) “Política de Segurança da Informação: define o objetivo e qual a utilidade e aplicação da Política de Segurança, os documentos necessários e sua análise;” (ABNT NBR ISO/IEC 27005, p.8) Organizando a Segurança da Informação: apresenta de que forma deve-se organizar a Segurança da Informação em uma empresa ou instituição, o envolvimento da área gerencial, como coordená-la, e como atribuir responsabilidade, autorizações para o acesso e uso da informação, sobre confidencialidade da
informação, quais autoridades contatar para informar a violação da lei, debate em fóruns com grupos escolhidos, análise critica da informação, manter a segurança da informação que é passada externamente, e identificar os riscos desta externalização da informação, a concessão de autorização para pessoas fora da organização acessarem a informação, cuidado em acordos com terceiros;(ABNT NBR ISO/IEC 27005, p.10) “Gestão de Ativos: definem sobre a proteção, inventário, propriedade e uso dos ativos, Classificação da informação, recomendações de como classifica-las, rótulos e tratamento da informação;”(ABNT NBR ISO/IEC 27005, p.21) Segurança Física e do Ambiente: diz respeito de prevenção de acessos não autorizados, do perímetro de segurança, controle de entrada física, segurança de instalações internas da organização, proteção contra ameaças externas e meio ambiente, projetando áreas seguras de trabalho, acesso ao público, áreas internas e carregamento, segurança de equipamentos, instalação e proteção do equipamento, utilidades, segurança do cabeamento, manutenção destes equipamentos, segurança de equipamentos na área externa, reutilização de equipamentos, remoção dos mesmos;(ABNT NBR ISO/IEC 27005, p.32) Gerenciamento das Operações e Comunicações: define procedimentos e responsabilidades de quem os opera, documentação sobre a operação, gestão de mudanças, segregação de funções, separação dos recursos, gerenciamento de serviços terceirizados, entrega de serviços, monitoração e análise de serviços de terceiros, gerenciamento de mudanças de terceiros, planejamento e aceitação de sistema, gestão de capacidade, aceitação de sistema, proteção contra códigos maliciosos, controle contra esses códigos, cópias de segurança, como faze-las, e em que momento, gerenciamento de segurança de redes, manuseio de mídias(tratamento, descarte, guarda, conservação), procedimento de tratamento da informação, segurança da documentação, segurança na troca de informações, segurança no trânsito das mídias, segurança no comércio eletrônico, publicidade das informações, monitoramento de todas as atividades dentro e fora da organização quando se tratar de questões relacionadas a ela;(ABNT NBR ISO/IEC 27005, p.40) “Controle de Acessos: define como deve ser feito o controle de acesso tanto interno quanto externo às informações e os ativos da empresa;”(ABNT NBR ISO/IEC 27005, p.65) Aquisição, desenvolvimento e manutenção de sistemas de Informação: orienta como adquirir, desenvolver e realizar a manutenção de sistemas de informação, assim como lidar com os ativos para este fim, tanto ao desenvolver como adquirir os mesmos; (ABNT NBR ISO/IEC 27005, p.84)
Simpósio de TCC e Seminário de IC , 2016 / 1º 1920
Gestão de Continuidade de Negócio: orienta sobre procedimentos para minimizar ou até mesmo evitar impactos de uma possível falência dos negócios causadas por uma falha na política de segurança, até mesmo gerenciar o retorno destas atividades sem tanto impacto; (ABNT NBR ISO/IEC 27005, p.103) Conformidade: orienta a respeito da observância das normas legais, afim de que a organização não viole, em nenhuma circunstância a objetos da lei relacionadas a propriedade intelectual, registros organizacionais, informações pessoais, processamento da informação,
criptografia, etc.”(ABNT NBR ISO/IEC 27005, p.108)
ESTUDO DE CASO A EMPRESA “Localizada na CLN 208 Bloco D loja 41 – Subsolo a Nova Informática atua em Brasília como empresa certificada Apple® há mais de 5 anos prestando serviços de manutenção de equipamentos de informática e atendem em todo o território nacional.” (figura 1) (MACEXPERT, 2016)
Figura 1: Fachada
Fonte: O autor
“Pioneira no Brasil no mercado de prestação de serviços de informática trouxe o conhecimento desta área para o país, além de ser grande responsável por dar manutenção à marca Apple. A Nova Informática conta com 50 funcionários capacitados com certificação profissional internacionalmente reconhecida.” (MACEXPERT, 2016)
“A empresa presta serviços para Agências de Publicidade, Escritórios de TI e todos os outros profissionais que optam pela plataforma Apple® e oferece a estes, contratos de manutenção a fim de garantir segurança e comodidade em momentos oportunos para que não haja longas interrupções em seus fluxos de trabalho. (figura 2) (MACEXPERT, 2016)
Figura 2: Corredor de Entrada
Fonte: O autor
Simpósio de TCC e Seminário de IC , 2016 / 1º 1921
ACESSO EXTERNO Na entrada principal da empresa não
existe controle de entrada e saída de visitantes, não existe portaria nem catracas, não existe monitoramento por câmeras de segurança nem dentro nem fora do prédio, permitindo acesso livre
às dependências tanto do prédio, quanto à entrada ao corredor central da empresa (figura 3). Seu acesso é feito através de uma escada ampla, logo após um corredor existem portões de grade de aço, porém ficam abertos permanentemente (figura 4).
Figura 3: Corredor
Fonte: O autor Figura 4: Escadas e entrada
Fonte: O autor
PERÍMETRO DE SEGURANÇA
As portas de acesso às dependências da empresa não tem nenhum dispositivo de segurança, como campainha, interfone ou dispositivo de identificação biométrica na porta principal, não existe câmeras de monitoramento,
como podemos notar no canto superior de ambos os lados próximo à porta (figura 5). Sua estrutura é de ferro, com vidros transparentes, a cortina fica na área externa e possui fechadura simples como podemos ver no canto inferior direito da porta (figura 6).
Figura 5: Porta Principal
Fonte: O autor
Simpósio de TCC e Seminário de IC , 2016 / 1º 1922
Figura 6: Fechadura e Cortina
Fonte: O autor
RECEPÇÃO
Recepção é composta de uma bancada, três poltronas, uma mesa de centro. Porém não existe uma recepcionista, apesar de existir um computador não existe um software para cadastramento de visitantes (figura 7).
Figura 7: Recepção
Fonte: O autor
ESTRUTURA FÍSICA
O ambiente da empresa está dividido em: Sala de Ti (figura 8) e Oficina de Manutenção (figura 9), com aproximadamente 120 metros quadrados, piso flutuante, com divisórias, balcão
de madeira, instalação de ar-condicionado e recepção com balcão, duas poltronas, mesa de centro, estante, computador e porta de correr de ferro, vidro transparente com cortina externa preta e piso de cerâmica branco.(figura 10).
Figura 8: Sala de TI
Fonte: O autor
Simpósio de TCC e Seminário de IC , 2016 / 1º 1923
Figura 9: Oficina de Manutenção
Fonte: O autor Figura 10: Recepção
Fonte: O autor
ESTRUTURA FUNCIONAL
A empresa é composta de:
Um Gerente; Cinquenta funcionários, sendo que, apenas dez destes, estão alocados na sede da empresa e os outros estão alocados nos clientes, sendo: vinte no banco Itaú e vinte no banco Bradesco. AMBIENTE FUNCIONAL
O ambiente da empresa se resume em
pequenas salas, com uma sala central onde está o presidente e a outra com colaboradores e estagiários. Ambas as salas contém computadores, equipamentos relacionados aos
seus respectivos departamentos,
câmeras de segurança onde se localizam as salas da empresa, câmeras em suas respectivas salas, uma oficina de manutenção de computadores e equipamentos de TI em gera.
OFICINA DE MANUTENÇÃO DE EQUIPAMENTOS DE TI
A Oficina de Manutenção conta com instalações para realização de manutenção (figura 11), balcão de madeira para soldas (figura 12), armários com equipamentos de clientes. (figura 13).
Simpósio de TCC e Seminário de IC , 2016 / 1º 1924
Figura 11: Oficina de Manutenção
Fonte: O autor
Figura 12: Máquina de solda e balcão
Fonte: O autor
Figura 13: Armários
Fonte: O autor
Simpósio de TCC e Seminário de IC , 2016 / 1º 1925
SALA DE TI Sala de TI que é composta de notebooks
e instalações para a utilização dos mesmos, com cinco bancadas de madeira, piso de chão
flutuante, sistemas de ar condicionado, divisórias por toda a extensão da sala (figura 14) e armário com prateleiras para guarda de documentos (figura 15).
Figura 14: Sala de TI
Fonte: O autor Figura 15: Prateleira
Fonte: O autor
ACESSO À OFICINA DE MANUTENÇÃO DE EQUIPAMENTOS DE TI E SALA DE TI
A Oficina de Manutenção de equipamentos de TI e a sala de TI, não tem dispositivo de identificação na porta (figura 16) e nem controle de acesso com trava elétrica,
contando com uma porta de compensado com fechadura simples permitindo assim a entrada e saída de pessoas não autorizadas, permitindo também a saída de equipamentos da empresa sem a devida autorização.
Figura 16: Porta de entrada da oficina e sala de TI
Fonte: O autor
Simpósio de TCC e Seminário de IC , 2016 / 1º 1926
INSTALAÇÕES ELÉTRICAS E AR CONDICIONADO
Toda instalação elétrica está comprometida, não havendo obediência às normas de segurança (figura 17), estando as mesmas com tomadas expostas e sobrecarregadas com risco de incêndio por curto circuito, rompimento dos fios e danificar os
equipamentos da empresa, causando graves prejuízos à mesma (figura 18).
A iluminação é precária e insuficiente (figura 19), podendo dificultar o desempenho do trabalho dos funcionários. As fontes ficam no chão sem o devido cuidado e organização permitindo a danificação das mesmas (figura 20) e as instalações de ar-condicionado estão expostas (figura 21).
Figura 17: Tomadas 01
Fonte: O autor
Figura 18: Tomadas 02
Fonte: O autor Figura 19: Luz de Teto
Fonte: O autor
Simpósio de TCC e Seminário de IC , 2016 / 1º 1927
Figura 20: Fontes
Fonte: O autor
Figura 21: Ar-condicionado
Fonte: O autor
INSTALACÕES DE REDE FÍSICA
O cabeamento está exposto sem organização e vulneráveis podendo causar danos (figura 22). O armário com os equipamentos, apesar de ter chave, a fechadura está quebrada e os equipamentos estão sem refrigeração, facilitando o superaquecimento trazendo danos a longo e curto prazo a esses equipamentos e facilitando também a subtração dos mesmos
(figura 23). A rede interna da empresa é composta de um Switch (equipamento que interliga os computadores em uma rede, os cabos de rede de cada computador se ligam a ele) (figura 23), cabeamento par trançado com diversos conectores, 10 tomadas para conexão dos cabos (figura 22), um armário localizado na parte superior ao canto da sala de TI e um modem (figura 23)
Figura 22: Cabeamento
Fonte: O autor
Simpósio de TCC e Seminário de IC , 2016 / 1º 1928
Figura 23: Armário com Switch e modem
Fonte: O autor
ACESSO A DOCUMENTOS E EQUIPAMENTOS DA EMPRESA
Os equipamentos ficam espalhados em armários de aço não tem controle de estoque para monitorar a entrada e saída dos mesmos, podendo correrem o risco de serem subtraídos ou
danificados (figura 24). Os documentos também ficam expostos em armários abertos, sem gavetas e tranca, não existe um arquivo para a guarda e organização dos mesmos, permitindo o acesso à informações de funcionários, clientes e da empresa, podendo trazer graves prejuízos a todos (figura 25).
Figura 24: Equipamentos
Fonte: O autor
Figura 25: Documentos
Fonte: O autor
Simpósio de TCC e Seminário de IC , 2016 / 1º 1929
CONTROLE DE ACESSO LÓGICO À REDE Qualquer funcionário tem acesso à rede
interna da empresa, não existe um controle de acesso, um controle de firewall, somente um antivírus desatualizado e rede wifi (Rede sem fio)
aberta, os computadores não tem bloqueio ao acesso externo, ficando os mesmo expostos a invasão e coleta de dados pessoais disponíveis nos computadores da empresa (figura 26).
Figura 26: Instalações
Fonte: O autor
MATRIZ DE RISCO
A matriz de risco (Quadro 1) usada segue o modelo de Ferreira; Araújo (2006, p.101) no referencial teórico
A Matriz de Risco relaciona as probabilidades (alta, média e baixa) com os impactos (alto, médio, baixo). Além disso, pontua os riscos seguindo a seguinte regra: Probabilidade=Alta=1,0 Probabilidade=Média=0,5 Probabilidade=Baixa=0,1 Impacto=Alto=100 Impacto=Médio=50 Impacto=Baixo=10 Ferreira (2006, p.101)
QUADRO 1 – Matriz de Risco Probabilidade Impacto Alta (1,0) Baixa (10)
10 x 1,0 = 10 Média (50)
50 x 1,0 = 50 Alta (100)
100 x 1,0 = 100 Media (0,5) Baixa
10 x 0,5 = 5 Média
50 x 0,5 = 25 Alta
100 x 0,5 = 50
Baixa (0,1) Baixa 10 x 0,1 = 1
Média 50 x 0,1 = 5
Alta 100 x 0,1 = 10
Fonte: Ferreira; Araújo (2006, p.101). MATRIZ DE RISCO DO PERÍMETRO DE SEGURANÇA E ACESSO EXTERNO
Quadro 2: Matriz de Risco do Perímetro de Segurança
Item Ameaça Probabilidade Impacto Risco
1 Existe processo de identificação? Existe catraca? Existem portaria e câmeras de
segurança?
1,0 Alta
100 Alto
100 Alto
2 Existe um sistema de campainha e
fechadura automática? 1,0 Alta
100 Alto
100 Alto
Fonte: O autor MATRIZ DE RISCO DO CONTROLE DE ACESSO FÍSICO E ÀS DEPENDÊNCIAS DA EMPRESA
Quadro 3: Matriz de Risco do Controle de Acesso Físico e às Dependências da Empresa
Simpósio de TCC e Seminário de IC , 2016 / 1º 1930
Item Ameaça Probabilidade Impacto Risco
1 Existe falha no registro das
pessoas que visitam a empresa?1,0 Alta
100 Alto
100 Alto
2
Existe falha no Acesso de pessoas não autorizadas da empresa devido à falha no
monitoramento das instalações da empresa nas quais os
visitantes podem permanecer?
1,0 Alta
50 Médio
50 Médio
3 Existe classificação dos
visitantes? 0,1
Baixa 10
Baixo 1
Baixo
Fonte: O autor MATRIZ DE RISCO DA SALA DE MANUTENÇÃO DE EQUIPAMENTOS DE TI E SALA DE TI
Quadro 4: Matriz de Risco da Sala de Manutenção de equipamentos de TI
Risco Descrição Probabilidade Impacto Risco
1 Existe fechadura automática e um
dispositivo de identificação para liberar a entrada na sala?
1,0 Alta
50 Médio
50 Médio
2
Existem câmeras de segurança para monitorar a entrada e permanência
no local de usuários e funcionários na Sala de Manutenção de Equipamentos de TI?
1,0 Alta
50 Médio
50 Médio
3 Existe uma fechadura automática? 1,0 Alta
50 Médio
50 Médio
4 Existe um dispositivo de identificação para liberar a entrada na sala de TI?
1,0 Alta
50 Médio
50 Médio
Fonte: O autor MATRIZ DE RISCO DAS INSTALAÇÕES EM GERAL (ELÉTRICAS E AR-CONDICIONADO)
Quadro 5: Matriz de Risco das Instalações em geral (Elétricas e Ar- Condicionado
Risco Descrição Probabilidade Impacto Risco
1 As instalações elétricas estão corretas? As
tomadas estão livres de sobrecarga? Os fios estão organizados?
1,0 Alta
100 Alto
100 Alto
2 As instalações de ar-condicionado estão
corretas? 0,1
Baixa 10
Baixo 1
Baixo
3 A Iluminação geral é adequada? 0,1
Baixa 10
Baixo 1
Baixo
Fonte: O autor
Simpósio de TCC e Seminário de IC , 2016 / 1º 1931
MATRIZ DE RISCO DE REDE DE COMPUTADORES
Quadro 6: Matriz de Risco de Rede de Computadores
Risco Descrição Probabilidade Impacto Risco
1 Os acessos à rede são controlados e existe
controle de horário para acesso? 1,0 Alta
50 Médio
50 Médio
2 Existe um controle de envio de mensagens? 1,0 Alta
50 Médio
50 Médio
3 Existe uma auditoria para monitoração de dados
que estão sendo trafegados via rede? 1,0 Alta
50 Médio
50 Médio
4 Existe senha de acesso exclusivo à pastas e
arquivos da empresa? 1,0 Alta
50 Médio
50 Médio
5 A tranca do armário para guarda dos
equipamentos de rede funciona? 0,5
Média 50
Médio 25
Médio Fonte: O autor MATRIZ DE RISCO DO ACESSO A DOCUMENTOS E EQUIPAMENTOS DA EMPRESA
Quadro 7: Matriz dos documentos e equipamentos da empresa
Risco Descrição Probabilidade Impacto Risco
1 Os documentos estão organizados e
protegidos? 1,0 Alta
100 Alto
100 Alto
2 Existe classificação documental? 1,0 Alta
100 Alto
100 Alto
3 Existe registro das operações realizadas
pelos funcionários da empresa? 0,5
Média 50
Médio 25
Médio
4 Existe um controle de estoque de
entrada e saída dos equipamentos de clientes?
0,5 Média
50 Médio
25 Médio
5 A propriedade intelectual da empresa
está protegida? 0,5
Média 50
Médio 25
Médio Fonte: O autor
MATRIZ DE RISCO DA RESPONSABILIDADE DO USUÁRIO
Quadro 8: Matriz de Risco da Responsabilidade do Usuário
Risco Descrição Probabilidade Impacto Risco
1 Os funcionários fazem uso adequado dos
equipamentos que são de sua responsabilidade?
1,0 Alta
50 Médio
50 Médio
2 Os funcionários tem restrição de acesso
à pastas pessoais da empresa e a qualquer site?
1,0 Alta
50 Médio
50 Médio
4 É permitido a saída de funcionários com
equipamentos da empresa para uso pessoal?
0,5 Média
50 Médio
25 Médio
5
Existe proteção adequada através de firewall ou antivírus quando os
funcionários acessam remotamente aplicativos, ferramentas e dados da
empresa para fins de trabalho?
1,0 Alta
50 Médio
50 Médio
Fonte: O autor MATRIZ DE RISCO DA PROTEÇÃO DE AMEAÇAS
Quadro 9: Matriz de Risco da Proteção de Ameaças
Risco Descrição Probabilidade Impacto Risco
1 Os softwares de proteção, como
antivírus são atualizados periodicamente?
1,0 Alta
50 Médio
50 Médio
Simpósio de TCC e Seminário de IC , 2016 / 1º 1932
2 Existe proteção ou limitação de
downloads? 1,0 Alta
50 Médio
50 Médio
3 Existe um controle de registro de log de
atividades da empresa? 1,0 Alta
50 Médio
50 Médio
Fonte: O autor MATRIZ DE RISCO DE BACKUP DE DADOS
Quadro 10: Matriz de Risco de Backup de Dados
Risco Descrição Probabilidade Impacto Risco
1 Existe rotina de backup de dados na
empresa? 1,0 Alta
50 Médio
50 Médio
2 São utilizadas mídias confiáveis para
armazenamento de dados? 1,0 Alta
50 Médio
50 Médio
3 Existe procedimento de backup das imagens
gravadas? 1,0 Alta
100 Alto
100 Alto
Fonte: O autor ANÁLISE DAS MATRIZES DE RISCO PERÍMETRO DE SEGURANÇA E ACESSO
EXTERNO a) Existe processo de identificação? Existe
catraca? Existem portaria e câmeras de segurança? Existe um sistema de campainha e fechadura automática?
Não existe processo de identificação, não existem catracas, não existe portaria, não existem câmeras de segurança e nem sistemas de campainha e fechadura automática. Todos os itens seguem a mesma citação. Aplicação da Norma ABNT NBR ISO/IEC 27002:2005 9.1.1 Perímetro de segurança física Convém que sejam utilizados perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) para proteger as áreas que contenham informações e instalações de processamento da informação.[...] c) seja implantada uma área de recepção, ou um outro meio para controlar o acesso físico ao local ou ao edifício; o acesso aos locais ou edifícios deve ficar restrito somente ao pessoal autorizado;[...] (ABNT NBR ISO/IEC 27002:2005, pg.32)
CONTROLE DE ACESSO FÍSICO E ÀS DEPENDÊNCIAS DA EMPRESA a) Existe falha no registro das pessoas que
visitam a empresa? Existe falha no Acesso de pessoas não autorizadas da empresa devido à falha no monitoramento das instalações da empresa nas quais os visitantes podem permanecer? Existe classificação dos visitantes?
Não existe registro de pessoas que visitam a empresa, não existe controle de acesso de pessoas não autorizadas e não existe
classificação dos visitantes por não haver recepcionista. Todos os itens seguem a mesma citação. Aplicação da Norma ABNT NBR ISO/IEC 27002:2005 Controle de entrada física Convém que as áreas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso.[...] d) seja exigido que todos os funcionários, fornecedores e terceiros, e todos os visitantes, tenham alguma forma visível de identificação[...] (ABNT NBR ISO/IEC 27002:2005, pg.33)
SALA DE MANUTENÇÃO DE EQUIPAMENTOS DE TI E SALA DE TI a) Existe fechadura automática e um dispositivo
de identificação para liberar a entrada na sala? Existem câmeras de segurança para monitorar a entrada e permanência no local de usuários e funcionários na Sala de Manutenção de Equipamentos de TI? Existe um dispositivo de identificação para liberar a entrada na sala de TI?
Não existe registro fechadura automática, não existe dispositivo de segurança para liberar entrada nas salas, não existe câmeras de segurança ativa, Todos os itens seguem a mesma citação. Aplicação da Norma ABNT NBR ISO/IEC 27002:2005 Controle de entrada física Convém que as áreas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso.[...] b) acesso às áreas em que são processadas ou armazenadas informações sensíveis seja controlado e restrito às pessoas autorizadas; convém que sejam utilizados controles de autenticação, por exemplo, cartão de
Simpósio de TCC e Seminário de IC , 2016 / 1º 1933
controle de acesso mais PIN (personal identification number), para autorizar e validar os acessos[...] (ABNT NBR ISO/IEC 27002:2005, pg.33)
INSTALAÇÕES EM GERAL (ELÉTRICAS E AR-CONDICIONADO) a) As instalações elétricas estão corretas? As
tomadas estão livres de sobrecarga? Os fios estão organizados? As instalações de ar-condicionado estão corretas? A Iluminação geral é adequada?
As instalações elétricas, de tomadas e fios estão comprometidas, as instalações de ar-condicionado estão expostas, a iluminação é precária. Todos os itens seguem a mesma citação. Aplicação da Norma ABNT NBR ISO/IEC 27002:2005 Utilidades Convém que todas as unidades, tais como suprimento de energia elétrica, suprimento de água, esgotos, calefação/ventilação e ar-condicionado sejam adequados para os sistemas que eles suportam [...] As opções para assegurar a continuidade do suprimento de energia incluem múltiplas linhas de entrada, para evitar que uma falha em um único ponto comprometa o suprimento de energia. (ABNT NBR ISO/IEC 27002:2005, pg.36)
REDE DE COMPUTADORES a) A tranca do armário para guarda dos
equipamentos de rede funciona? A tranca está danificada. Aplicação da Norma ABNT NBR ISO/IEC 27002:2005 Segurança do cabeamento Convém que o cabeamento de rede e de telecomunicações que transporta dados ou dá suporte aos serviços de informações seja protegido contra interceptação ou danos[...] 6) acesso controlado aos painéis de conexões e às salas de cabos[...](ABNT NBR ISO/IEC 27002:2005, pg.37) b) Os acessos à rede são controlados e existe
controle de horário para acesso? Existe uma auditoria para monitoração de dados que estão sendo trafegados via rede?
Não existe auditoria para monitoração de dados, Aplicação da Norma ABNT NBR ISO/IEC 27002:2005 Monitoramento do uso do sistema Convém que sejam estabelecidos procedimentos para monitoramento do uso dos recursos de processamento da informação e os resultados
das atividades de monitoramento sejam analisados criticamente, de forma regular[...] 2) a data e o horário dos eventos-chave[...](ABNT NBR ISO/IEC 27002:2005, pg.36) c) Existe um controle de envio de mensagens? Não existe controle de envio de mensagens, Aplicação da Norma ABNT NBR ISO/IEC 27002:2005 Mensagens eletrônicas “Convém que as informações que trafegam em mensagens eletrônicas sejam adequadamente protegidas.[...] a) proteção das mensagens contra acesso não autorizado, modificação ou negação de serviços;[...]”(ABNT NBR ISO/IEC 27002:2005, pg.56) d) Existe senha de acesso exclusivo à pastas e
arquivos da empresa? Não existe senha de acesso exclusivo à pastas e arquivos. Aplicação da Norma ABNT NBR ISO/IEC 27002:2005 Gerenciamento de senha do usuário Convém que a concessão de senhas seja controlada através de um processo de gerenciamento formal.[...] d) fornecer senhas temporárias aos usuários de maneira segura; convém que o uso de mensagens de correio eletrônico de terceiros ou desprotegido seja evitado;[...](ABNT NBR ISO/IEC 27002:2005, pg.68)
ACESSO A DOCUMENTOS E EQUIPAMENTOS DA EMPRESA a) Existe registro das operações realizadas pelos
funcionários da empresa? Não existe registro de operações realizadas pelos funcionários, Aplicação da Norma ABNT NBR ISO/IEC 27002:2005 Monitoramento do uso do sistema Convém que sejam estabelecidos procedimentos para monitoramento do uso dos recursos de processamento da informação e os resultados das atividades de monitoramento sejam analisados criticamente, de forma regular[...] 2) a data e o horário dos eventos-chave[...](ABNT NBR ISO/IEC 27002:2005, pg.36)
b) Existe classificação documental? Não existe classificação documental. Aplicação da Norma ABNT NBR ISO/IEC 27002:2005 Recomendações para classificação Convém que a informação seja classificada em termos do seu valor, requisitos legais,
Simpósio de TCC e Seminário de IC , 2016 / 1º 1934
sensibilidade e criticidade para a organização. [...] (ABNT NBR ISO/IEC 27002:2005, pg.23) c) Os documentos estão organizados e
protegidos? Não existem proteção nem organização dos documentos. Aplicação da Norma ABNT NBR ISO/IEC 27002:2005 Política de mesa limpa e tela limpa Convém que seja adotada uma política de mesa limpa de papéis e mídias de armazenamento removível e política de tela limpa para os recursos de processamento de informação.[...] a) informações do negócio sensíveis ou críticas, por exemplo, em papel ou em mídia de armazenamento eletrônicas, sejam guardadas em lugar seguro (idealmente em um cofre, armário ou outras formas de mobília de segurança) .[...](ABNT NBR ISO/IEC 27002:2005, pg.36) d) Existe um controle de estoque de entrada e
saída dos equipamentos de clientes? Não existe controle de estoque de equipamentos. Aplicação da Norma ABNT NBR ISO/IEC 27002:2005 Instalação e proteção do equipamento [...] a) os equipamentos sejam colocados no local, a fim de minimizar o acesso desnecessário às áreas de trabalho; c) os itens que exigem proteção especial devem ser isolados para reduzir o nível geral de proteção necessário; d) sejam adotados controles para minimizar o risco de ameaças físicas potenciais, tais como furto, incêndio, explosivos, fumaça, água (ou falha do suprimento de água), poeira, vibração, efeitos químicos, interferência com o suprimento de energia elétrica, interferência com as comunicações, radiação eletromagnética e vandalismo.[...](ABNT NBR ISO/IEC 27002:2005, pg.35) e) A propriedade intelectual da empresa está
protegida? Não existe proteção de propriedade intelectual. Aplicação da Norma ABNT NBR ISO/IEC 27002:2005 Direitos de propriedade intelectual Convém que procedimentos apropriados sejam implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais no uso de material, em relação aos quais pode haver direitos propriedade intelectual e sobre o uso de produtos de software proprietários[...] a)divulgar uma política de conformidade com os direitos de propriedade intelectual que defina o uso legal de produtos de software e de informação;(ABNT NBR ISO/IEC 27002:2005, pg.35)
RESPONSABILIDADE DO USUÁRIO a) Os funcionários acessam remotamente
aplicativos, ferramentas e dados da empresa para fins de trabalho?
Não existe responsabilização para acessos remotos não permitidos. Aplicação da Norma ABNT NBR ISO/IEC 27002:2005 Processo disciplinar Convém que exista um processo disciplinar formal para os funcionários que tenham cometido uma violação da segurança da informação [...] (ABNT NBR ISO/IEC 27002:2005, pg.29)
b) É permitida a saída de funcionários com
equipamentos da empresa para uso pessoal? Não existe responsabilização para saída de equipamentos sem autorização
Aplicação da Norma ABNT NBR ISO/IEC 27002:2005 Conformidade com requisitos legais Objetivo: Evitar violações de quaisquer obrigações legais, regulamentares ou contratuais e de quaisquer requisitos de segurança da informação. [...] Convém que consultoria em requisitos legais específicos seja procurada em organizações de consultoria jurídica ou em profissionais liberais, adequadamente qualificados nos aspectos legais. [...] (ABNT NBR ISO/IEC 27002:2005, pg.36) b) Os funcionários tem restrição de acesso à pastas pessoais da empresa e a qualquer site? Não existe responsabilização sobre acesso à pastas pessoais e sites. Aplicação da Norma ABNT NBR ISO/IEC 27002:2005 Proteção de dados e privacidade de informações pessoais Convém que a privacidade e a proteção de dados sejam asseguradas conforme exigido nas legislações, regulamentações e, se aplicável, nas cláusulas contratuais pertinentes. [...] (ABNT NBR ISO/IEC 27002:2005, pg.36)
c) Os funcionários fazem uso adequado dos equipamentos que são de sua responsabilidade? Não existe responsabilização para uso inadequado de equipamentos. Aplicação da Norma ABNT NBR ISO/IEC 27002:2005 Prevenção de mau uso de recursos de processamento da informação [...] Convém que todos os usuários estejam conscientes do escopo preciso de suas permissões de acesso e da monitoração realizada
Simpósio de TCC e Seminário de IC , 2016 / 1º 1935
para detectar o uso não autorizado. [...] (ABNT NBR ISO/IEC 27002:2005, pg.36)
PROTEÇÃO DE AMEAÇAS Existe proteção ou limitação de downloads? Os softwares de proteção, como antivírus são atualizados periodicamente? Não existe proteção de downloads e os softwares não são atualizados periodicamente. Aplicação da Norma ABNT NBR ISO/IEC 27002:2005 Controles contra códigos maliciosos Convém que sejam implantados controles de detecção, prevenção e recuperação para proteger contra códigos maliciosos, assim como procedimentos para a devida conscientização dos usuários. [...] Instalar e atualizar regularmente softwares de detecção e remoção de códigos maliciosos para o exame de computadores e mídias magnéticas, de forma preventiva ou de forma rotineira [...] (ABNT NBR ISO/IEC 27002:2005, pg.82)
b) Existe um controle de registro de log de atividades da empresa? Não existe controle de log. Aplicação da Norma ABNT NBR ISO/IEC 27002:2005 Registros (log) de falhas Convém que as falhas ocorridas sejam registradas e analisadas, e que sejam adotadas ações apropriadas. [...] a) análise crítica dos registros (log) de falha para assegurar que as falhas foram satisfatoriamente resolvidas. [...] (ABNT NBR ISO/IEC 27002:2005, pg.82)
c) Existe proteção adequada através de firewall
ou antivírus quando os funcionários acessam remotamente aplicativos, ferramentas e dados da empresa para fins de trabalho?
Não existe proteção remota adequada Aplicação da Norma ABNT NBR ISO/IEC 27002:2005 Trabalho remoto Convém que a política, planos operacionais e procedimentos sejam desenvolvidos e implementados para atividades de trabalho remoto. [...] c) os requisitos de segurança nas comunicações, levando em consideração a necessidade do acesso remoto as sistemas internos da organização, a sensibilidade da informação que será acessada e trafegada na linha de comunicação e a sensibilidade do sistema interno [...] (ABNT NBR ISO/IEC 27002:2005, pg.64) BACKUP DE DADOS
a) Existe rotina de backup de dados na empresa? Existe procedimento de backup das imagens gravadas?
Não existe rotina de backup e não existe backup de imagens gravadas pelo sistema de monitoramento interno de câmeras. Aplicação da Norma ABNT NBR ISO/IEC 27002:2005 Cópias de segurança das informações Convém que as cópias de segurança das informações e dos softwares sejam efetuadas e testadas regularmente conforme a política de geração de cópias de segurança definida. (ABNT NBR ISO/IEC 27002:2005, pg.48) b) São utilizadas mídias confiáveis para
armazenamento de dados? Não são utilizadas mídias confiáveis. Aplicação da Norma ABNT NBR ISO/IEC 27002:2005 Procedimentos para tratamento de informação Convém que sejam estabelecidos procedimentos para o tratamento e o armazenamento de informações, para proteger tais informações contra a divulgação não autorizada ou uso indevido. [...] f) armazenamento das mídias em conformidade com as especificações dos fabricantes; [...] (ABNT NBR ISO/IEC 27002:2005, pg.82) PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA A EMPRESA NOVA INFORMÁTICA LTDA
Esta proposta que será apresentada teve como base, através de visitas técnicas e fotos, o levantamento de todos os ativos, tanto lógicos quanto físicos da empresa e a detecção de diversas vulnerabilidades dos mesmos, além dos riscos que podem causar a empresa se não forem sanados.
A política segue a norma ABNT NBR ISO/IEC 27002:2005. IDENTIFICAÇÃO DA EMPRESA
A Nova Informática é uma empresa pioneira na prestação de serviços de informática, atua na área de suporte especializada na marca Apple@ a 5 anos, além de atender também outras marcas e prestar atendimento em sistemas de redes e cabeamentos. Atendendo em todo território Nacional e sediados na CLN 208 Bloco D loja 41 – Subsolo. (MACEXPERT, 2016) OBJETIVO DA POLÍTICA
O objetivo desta política é, senão
erradicar, sanar o máximo possível os riscos que todas as vulnerabilidades detectadas poderão causar à Nova Informática. A implantação desta política trará benefícios a todos levando ao
Simpósio de TCC e Seminário de IC , 2016 / 1º 1936
crescimento conjunto da instituição e funcionários através da preservação dos ativos da empresa. ABRANGÊNCIA DA POLÍTICA
Como a empresa está sediada apenas
em Brasília e não há outras filiais, a abrangência é local, envolvendo todos os funcionários, os ambientes da empresa e área externa: corredor e escada.
É de responsabilidade do Gerente estabelecer critérios relativos ao nível de confidencialidade, integridade e disponibilidade das informações (equipamentos, mídias e documentos). DEFINIÇÕES BÁSICAS DA POLÍTICA
“Como a informação tem ocupado um papel de destaque no ambiente de negócios, e também tem adquirido um potencial de valoração para as organizações e para as pessoas, ela passou a ser considerada o seu principal ativo.” (DANTAS, 2011, p.21) REFERÊNCIAS
O documento segue as diretrizes da Norma ABNT NBR ISO/IEC 27002:2005. DIRETRIZES DO ACESSO EXTERNO Deverá ser proposto ao condomínio do prédio a instalação de catraca ou, instalação de portaria, com porteiro e instalação de câmeras de monitoramento tanto dentro quanto fora do mesmo; Propor ao condomínio do prédio o fechamento dos portões do subsolo às vinte e três horas, ou a instalação de um portão menor com a disponibilização de chave do mesmo para acesso daquelas que a portarem. DO PERÍMETRO DE SEGURANÇA Deverão ser instalada campainha para aviso da entrada de visitantes, ou interfone, e dispositivo de identificação biométrica para acesso em horários e dias para entrada diferenciada e marcada que deverá ser comunicada previamente aos responsáveis; Instalar câmeras de monitoramento acima da porta direcionada para a saída principal e nas demais salas para monitorar a entrada e saída de visitantes e equipamentos; Instalar a cortina ou película escura na parte interna da empresa para dificultar a visualização das dependências da recepção. DA RECEPÇÃO Deverá ser contratada e treinada uma recepcionista;
A recepcionista deverá receber os clientes, coletando informações para o direcionamento dos mesmos; Deverá ser instalado um software para cadastramento de visitantes onde a recepcionista deverá informar o número do crachá, o número do documento de identidade, o nome do visitante, o horário de entrada e saída, o setor a ser visitado e o responsável pelo setor; Deverá ser instalado software que conterá o controle de entrada e saída de equipamentos onde a recepcionista utilizará a leitora de código de barra fixado no equipamento para coletar os dados do mesmo para liberação de entrada ou saída com a autorização através do registro do responsável do almoxarifado em sistema instalado para este fim; DO ACESSO A SALA DE MANUTENÇÃO DE EQUIPAMENTOS DE TI E SALA DE TI Para os funcionários deverá ser instalado um dispositivo de identificação biométrica, para a identificação dos mesmos através de impressão digital, tanto na entrada quanto na saída, todos deverão ser cadastrados previamente no sistema de cadastro localizado na recepção; Deverá ser instalada uma fechadura elétrica para a liberação através de um botão instalado abaixo do balcão da recepcionista, no caso de visitante ou de funcionário ainda não cadastrado no sistema a liberação da porta deve ser condicionada a autorização de um responsável pelo setor ou pelo funcionário; Deverá ser instalado um software com dispositivo de leitura de código de barra para controle de estoque com o intuito de registrar os equipamentos que irão sair ou entrar na empresa além de campo para preenchimento da matrícula do funcionário ou identificação da pessoa que irá sair ou entrar com o equipamento. Este cadastro deverá ser feito pelo responsável pelo almoxarifado (local onde são guardados os ativos físicos da empresa). DAS INSTALAÇÕES EM GERAL (ELÉTRICAS E AR-CONDICIONADO) Deverá ser realizados procedimentos de manutenção na estrutura elétrica da empresa periodicamente para evitar que a mesma seja comprometida e cause consequências graves à empresa; Os funcionários devem ser orientados a respeito do uso responsável ao utilizar as tomadas e instalações da empresa, não ligando equipamentos onde tomadas já estão ocupadas e não ligando equipamentos avariados; Deverão ser instalados novos pontos de luz para a melhora da iluminação do ambiente, realizando inspeções periódicas; As fontes deverão ser guardadas em lugar seguro e organizadas;
Simpósio de TCC e Seminário de IC , 2016 / 1º 1937
A instalação de ar-condicionado deverá ser revista; DAS INSTALAÇÕES DE REDE DE COMPUTADORES Deverá ser refeita toda a instalação do cabeamento de rede, realizando a etiquetagem dos mesmos. Deverão ser usados para a instalação tubos galvanizados por onde passara os cabos e caixas para emenda dos cabos; Deverá ser realizada a troca da fechadura do armário onde ficam os equipamentos de rede e instalado um ventilador para a refrigeração dos mesmos; DO ACESSO À DOCUMENTOS E EQUIPAMENTOS DA EMPRESA Deverão ser cadastrados todos os equipamentos da empresa para que ao sair ou entrar com os mesmos estes sejam monitorados, evitando assim a subtração ou depreciação; Deverão ser adquiridos armários adequados para a guarda, catalogação, e separação por tipo, cliente, defeito, data de entrada e saída dos equipamentos. Estas informações deverão ser inseridas no sistema de controle de estoque pelo responsável pelo almoxarifado; Deverão ser adquiridos armários de aço arquivo para a guarda e catalogação dos documentos, por grau de sigilo, protegendo a confidencialidade das informações contidas nos mesmos, deve ser eleito um responsável para este serviço, a escolha do gerente da empresa; Deverá ser instalado um software para cadastramento dos documentos, contendo a numeração, o tipo, entre outros antes de ser guardado no armário arquivo, o responsável pelo cadastramento será o mesmo que cuidará da guarda e catalogação dos documentos; A empresa deve criar uma rotina de backup dos dados, arquivos e documentos relacionados à mesma e criar um repositório permanente, em um servidor protegido; Devem ser classificadas as mídias a serem utilizadas para cópia de dados e Implantar processo de backup das imagens gravadas pelas câmeras de monitoração diariamente ao final do expediente; Todos os funcionários e gerente da empresa devem ser conscientizados a respeito do manuseio correto dos documentos e equipamentos disponíveis na empresa. DA RESPONSABILIDADE DO USUÁRIO Aqueles que danificarem o equipamento por uso inadequado deverá realizar a manutenção do mesmo, se não resolver, o funcionário deverá comprar outro equipamento ou restituir o valor do mesmo à critério da empresa; Os funcionários terão horário e critérios de acesso definidos para o uso de internet e acesso à pastas pessoais, àqueles que não seguirem os
critérios serão penalizados com advertência escrita, caso reincida, advertência oral; Os funcionários e prestadores de serviço que retire das dependências equipamentos ou documentos sem o devido registro será penalizado com pena de advertência oral, caso reincida, e seja funcionário, será desligado da empresa, se for prestador de serviço, o contrato será rescindido; Os funcionários que acessarem remotamente aplicativos, ferramentas e dados da empresa sem o cuidado necessário à proteção dos mesmos serão penalizados com advertência oral pessoalmente, caso reincida, será afastado por um período de uma semana, com desconto dos dias de afastamento. DA PROTEÇÃO DE AMEAÇAS Os softwares da empresa devem ser atualizados periodicamente ao final do expediente; A empresa deverá limitar e monitorar a quantidade de downloads e esses downloads passarão por um software de proteção para que não tragam vírus que venham a contaminar a estação de trabalho que está realizando o download; Será implantado um controle de log para monitorar as atividades de rede da empresa; Todos os aplicativos de proteção devem ficar permanentemente ativados para que caso haja acesso remoto dos funcionários, os mesmos não permitam abertura para invasões e contaminações via rede; DO DE BACKUP DE DADOS A empresa implantará um programa batch para disparar uma rotina de backup todos os dias às vinte e três horas, que será armazenado temporariamente em um servidor separado para este fim; Não será permitido o uso de hds externos pessoais para o armazenamento de informações da empresa, serão permitidos o uso de cds, dvds e hds externos registrados como patrimônio da empresa e disponibilizados por funcionários autorizados; Todas as imagens serão armazenadas da mesma forma que o definido no item anterior. DO CONTROLE DE ACESSO LÓGICO À REDE
A empresa deve restringir o acesso de funcionários e visitantes a rede interna da empresa; Deverá ser feito o monitoramento de acesso diário da rede, advertindo aqueles que extrapolarem seu direito de acesso; O firewall deve estar sempre ativado e o antivírus sempre atualizado;
Simpósio de TCC e Seminário de IC , 2016 / 1º 1938
A rede wifi deve ser limitada e acessada através de senha, disponibilizada apenas a pessoas autorizadas; O profissional responsável pela rede deve restringir o acesso dos funcionários com horários predefinidos; A empresa deve limitar o horário de conexão dos usuários à rede; A empresa deve determinar o bloqueio do envio de e-mails externos que não sejam relacionados a clientes da empresa; A empresa deve realizar auditoria periodicamente para prevenção ou recuperação de informações possivelmente perdidas; A empresa deve controlar o acesso à pastas e arquivos sigilosos; A empresa deve conscientizar dos funcionários sobre o uso indiscriminado da internet e que poderão ser responsabilizados pelo uso indevido. DAS PENALIDADES Os funcionários serão responsabilizados pelos danos causados pelo uso indevido dos equipamentos de sua responsabilidade, tendo que ressarcir com valores atualizados dependendo do tipo de dano causado; Da mesma forma serão responsabilizados pelo uso inadequado da internet com advertência escrita; Aqueles que violarem a privacidade dos clientes e funcionários serão responsabilizados com pena de demissão DA CONFORMIDADE
A política está de acordo com as diretrizes da Norma ABNT NBR ISO/IEC 27002:2005. DAS DISPOSIÇÕES GERAIS
Esta Política de Segurança terá validade de um ano, devendo ser revista ao final da validade para adequação ou continuidade da mesma.
Caso haja algum item que não foi citado ou observado nesta, o gerente decidirá sobre a inclusão ou não do mesmo. CONCLUSÃO
A devida obediência à esta política trará benefícios à Nova Informática. Também, inclui-se nesta política a proteção dos ativos da empresa, tanto físicos como intelectuais. Conclui-se que como a empresa presta serviços, é importante que todos saibam lhe dar com informações e equipamentos de clientes e, também saibam lhe dar com dados sigilosos, sabendo que a empresa onde trabalham tem normas e que se essas normas não forem obedecidas serão responsabilizados. Por estes motivos a implantação desta Política de Segurança da
Informação é de suma importância para organizar e proteger, o que é considerado por vários autores da área de TI, como o bem mais importante da organização, a Informação. REFERÊNCIAS ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:2005 Tecnologia da Informação – Técnicas de Segurança – Código de pratica para a Gestão da Segurança da Informação. Rio de Janeiro, 2005. BEAL, Adriana. GESTÃO ESTRATÉGICA DA INFORMAÇÃO: como transformar a informação e a tecnologia da informação em fatores de crescimento e de alto desempenho nas organizações. São Paulo: Atlas, 2004. BRETERNITZ, V. J, Navarro Neto, F., & Navarro, A. F. (2009). Gerenciamento de Segurança Segundo ITIL: Um Estudo de Caso em uma Organização Industrial de Grande Porte. RESI, 8(2). DANTAS, Marcos Leal, Segurança da informação: uma abordagem focada em gestão de riscos. Pernambuco: Livro Rápido, 2011. FERREIRA; ARAÚJO, Fernando Nicolau Freitas. ARAÚJO, Márcio Tadeu de. “Políticas de segurança da informação - Guia prático para elaboração e implementação”. Rio de Janeiro: Ciência Moderna, 2008. FIGUEIRÊDO, Leonardo Soares – POLÍTICA DA SEGURANÇA DA INFORMAÇÃO. Disponível em:<http://www.modulo.com.br>, Acesso em 14 de Abr 2013. GRUPO DE SEGURANÇA DA INFORMAÇÃO. Disponível em: <http://www.iso27000.com.br/index.php?option= com_ content&view=article&id=53:anarisco&catid=34:seginfartgeral&Itemid=53>. Acesso em 11 de Abr. 2013. LAUREANO, Marcos Aurélio Pchek e MORAES, Paulo Eduardo Sobreira. Segurança como Estratégia de Gestão da Informação. Publicado na revista Economia & Tecnologia. 2005 LYRA, Maurício Rocha, Segurança e Auditoria em Sistemas de Informação. Rio de Janeiro: Ciência Moderna, 2008 MACÊDO, Diego - Conheça a NBR ISO/IEC 27002 - Disponível em:< http://www.diegomacedo.com.br/conheca-a-nbr-isoiec-27002>. Acesso em 09 de Jun. 2016. MACEXPERT. quem somos. Disponível em: < http://macexpert.com.br/sobre.html/>. Acesso em: 17 de jun. 2016. SÊMOLA, M. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Campus, 2002.
