Upload
erivan-ramos
View
4.298
Download
0
Embed Size (px)
DESCRIPTION
Estudo de caso da implantação de uma política corporativa de segurança da informação, baseado na norma ABNT NBR ISO/IEC 17799:2005, apresentado ao curso de Sistemas de Informações da Faculdade Integrada do Ceará como requisito parcial para aprovação na disciplina de Segurança da Informação, sob orientação do Professor Esp. Clayton Felipe Reymão Soares.
Citation preview
SISTEMAS DE INFORMAÇÃO
ADRIANO RÉGISERIVAN DE SENA RAMOSFREDERICO CLAUDINO
JOSÉ RILDO LESSAREGINALDO DAMÁSIO
POLITICA DE SEGURANÇA DA INFORMAÇÃO
FORTALEZA
2009
ADRIANO RÉGISERIVAN DE SENA RAMOSFREDERICO CLAUDINO
JOSÉ RILDO LESSAREGINALDO DAMÁSIO
POLITICA DE SEGURANÇA DA INFORMAÇÃO
Estudo de caso da implantação de uma política corporativa de segurança da informação, baseado na norma ABNT NBR ISO/IEC 17799:2005, apresentado ao curso de Sistemas de Informações da Faculdade Integrada do Ceará como requisito parcial para aprovação na disciplina de Segurança da Informação, sob orientação do Professor Esp. Clayton Felipe Reymão Soares.
FORTALEZA
2009
RESUMO
O presente trabalho aborda um estudo sobre política de segurança da
informação que é uma das principais medidas de segurança adotadas pelas
organizações com o objetivo de garantir a segurança da informação.
Atualmente existem algumas metodologias e melhores práticas em segurança
da informação, dentre elas está a ABNT NBR ISO/IEC 17799:2005, esta norma
foi usada durante este estudo e, por meio dela, será possível verificar o que
devemos seguir para a elaboração de uma política de segurança da
informação, as principais dificuldades para criação e implementação, os
princípios de segurança da informação, a necessidade de envolvimento de toda
a organização, sendo que se pretende elaborar uma proposta modelo de
política de segurança da informação. O objetivo deste trabalho é apresentar
algumas diretrizes básicas de uma Política de Segurança para uma empresa,
utilizando como base os conceitos adquiridos pelo estudo na revisão
bibliográfica.
Palavras Chave: Informação; Segurança da Informação; Medidas de
Segurança; Política de Segurança.
ABSTRACT
The present work approaches a study on Security Policies of the information
that is one of the main measures of security of the information. Currently there
are some practical better methodologies and in security of the information ,
amongst them are ABNT NBR ISO/IEC 17799:2005, this norm was used during
this study and, for way of it, it will be possible to verify what we must follow for
the elaboration of one politics of security of the information, the main difficulties
for creation and implementation, the principles of security of the information, the
necessity of envolvement of all the organization, being been that it is intended
to elaborate a proposal model of Security Policies of the information. The
objective of this work is to present some basic lines of direction of one Security
Policies for a company, being used as base the concepts acquired for the study
in the bibliographical revision.
Words Key: Information; Security of the Information; Measures of Security;
Security
Policies.
SUMÁRIO1 INTRODUÇÃO 11.1 Objetivo do Trabalho 1
1.2 Referencia Normativa 1
2 SEGURANÇA DA INFORMAÇÃO 22.1 Breve Histórico e Necessidade da Segurança 2
2.2 Política de Segurança da Informação 4
3 VISÃO GERAL DO AMBIENTE 63.1 Desenho e Caracterização do Ambiente 6
3.2 Detalhamento dos Serviços Existentes 7
4 ANÁLISE E TRATAMENTO DO RISCOS 84.1 Modelo e Classificação da Criticidade dos Riscos 8
4.2 Levantamento e Classificação dos Riscos 10
4.3 Abrangência 15
5 DOCUMENTOS 165.3 Políticas de Segurança 16
5.3.1 Política de Acesso à Internet 17
5.3.2 Política Acesso à Rede e Sistemas 20
5.3.3 Política de Backup 22
5.3.4 Política de Autenticação (Senhas) 23
5.3.5 Política de Correio Eletrônico 24
6 CONCLUSÃO 26
BIBLIOGRAFIA 27
ANEXOS 28Anexo I – Declaração de ciência e concordância com a 28
Política de Segurança
Anexo II – Termo de Confidencialidade da Informação 29
1 INTRODUÇÃO
Atualmente a informação é considerada por muitas organizações
como o ativo mais valioso, e isso impõem que seja realizada uma proteção
adequada. De forma crescente, as organizações, seus sistemas de
informações e suas redes de computadores apresentam-se diante de uma
série de ameaças, sendo que, algumas vezes, estas ameaças podem resultar
em prejuízos para as empresas.
A segurança da informação visa proteger a empresa de um grande
número de ameaças para assegurar a continuidade do negócio. Esta
segurança é obtida a partir da implementação de uma série de controles, que
podem ser políticas, práticas e procedimentos, os quais precisam ser
estabelecidos para garantir que os objetivos de segurança específicos da
organização sejam atendidos. Para a COMEFO – Cooperativa dos Médicos de
Fortaleza, empresa que atua há 10(dez) anos no mercado no seguimento de
plano de saúde, localizada na na cidade de Fortaleza-CE é imprescindível a
adoção de medidas e procedimentos que contemplem a garantia da segurança
informação.
1.1 Objetivo do Trabalho
O presente trabalho tem como objetivo fazer um estudo sobre
segurança da informação, bem como o desenvolvimento de uma proposta
modelo de política de segurança, desenvolvida para a COMEFO, com medidas
definidas para garantir um nível de segurança coerente de acordo com o
negócio da referida empresa.
1.2 Referencia Normativa
A política de segurança da informação a ser implementada na
COMEFO – Cooperativa dos Médicos de Fortaleza é fundamentada na norma
brasileira ABNT NBR ISO/IEC 17799:2005 - Tecnologia da informação —
Técnicas de segurança — Código de prática para a gestão da segurança da
informação, segunda edição de 31.08.2005.
1
2 SEGURANÇA DA INFORMAÇÃO
A informação é um ativo importante para os negócios, que tem um
valor para a organização e conseqüentemente necessita ser adequadamente
protegido.
“A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.”(ABNT NBR ISO/IEC 17799:2005)
A segurança é a direção em que se pretende chegar, é um
processo, que se pode aplicar visando melhorar a segurança dos sistemas.
2.1 Breve Histórico e Necessidade da Segurança
Embora a segurança da informação seja algo que sempre existiu na
história da humanidade, somente na sociedade moderna, com o advento do
surgimento dos primeiros computadores houve uma maior atenção para a
questão da segurança das informações, e com o surgimento das máquinas de
tempo compartilhado (computadores "time-sharing"), a preocupação de
proteger as informações, se tornou mais evidente.
Nas décadas de 70 e 80 o enfoque principal da segurança era o
sigilo dos dados. Em 1972 J. P. Anderson escreve: "Computer Security
Technologs Planning Study", relatório que descreve “todos” os problemas
envolvidos no processo da segurança de computadores. Este documento,
combinado com os materias produzidos por D.E. Bell e por L. J. La Padula, e
denominados "Secure Computer Systens: Mathematical Fundations",
"Mathemathical Model", e "Refinament of Mathematical Model", deram origem a
matéria “Doctrine”, que seria a base de vários trabalhos posteriores na área de
segurança.
2
Em 1978, foi lançado pelo Departamento de Defesa dos Estados
Unidos, o “The Orange Book”, conjunto de regras para avaliação de segurança.
Entre 80 e 90, com o surgimento das redes de computadores, a
proteção era feita não pensando nos dados, mas sim nas informações. O
Governo Britânico instituiu o Comercial Computer Security Centre, que publica
a BS-799, norma que apresentava soluções para o tratamento da informação
de forma mais vasta.
A partir da década de 90, com o crescimento comercial das redes
baseadas em Internet Protocol (IP) o enfoque muda para a disponibilidade. A
informática torna-se essencial para a organização, o conhecimento precisa ser
protegido. Em 2000, é homologada a Norma Internacional de Segurança da
Informação ISSO/IEC 17799. Em abril de 2001, é homologada pela BNT a
norma NBR ISSO/IEC 17799:2000, que deu origem a edição atualizada NBR
ISSO/IEC 17799:2005, elaborada pelo Comitê Brasileiro de Computadores e
Processamento de Dados e pela Comissão de Estudo de Segurança Física em
Instalações de Informática.
Hoje em dia, a segurança da informação e os negócios estão
estritamente ligados.
“Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.”(ABNT NBR ISO/IEC 17799:2005)
O profissional de segurança da informação precisa ouvir as pessoas,
de modo a entender e saber como aplicar as tecnologias para a organização,
sua estratégia de negócio, suas necessidades e sua estratégia de segurança.
3
2.2 Política de Segurança da Informação
A política de segurança de uma empresa é, provavelmente, o
documento mais importante em um sistema de gerenciamento de segurança da
informação. Seu objetivo é normatizar as práticas e procedimentos de
segurança da empresa.
“Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização.” (ABNT NBR ISO/IEC 17799:2005)
Isso significa que deve ser simples, objetiva, de fácil compreensão e
aplicação. Os controles de segurança, de um modo geral, e a política, em
particular, devem ser definidos para garantir um nível de segurança coerente
com o negócio da empresa.
“Em um país, temos a legislação que deve ser seguida para que tenhamos um padrão de conduta considerado adequado às necessidades da nação para garantia de seu progresso e harmonia. Não havia como ser diferente em uma empresa. Nesta precisamos definir padrões de conduta para garantir o sucesso do negócio.” (ABREU, 2002)
Política de segurança pode ser comparada com a legislação que
todos devemos seguir, de modo que o cumprimento da legislação nos garante
que o padrão de conduta esta sendo seguida, a política de segurança também
deve ser seguida por todos os funcionários de uma organização, garantindo
assim a proteção das informações e o sucesso do negócio.
Segundo a Wilkipédia(2009), a política de segurança deve
considerar os seguintes elementos:
• A Disponibilidade: o sistema deve estar disponível de forma que
quando o usuário necessitar possa usar. Dados críticos devem
estar disponíveis ininterruptamente.
• A Utilização: o sistema deve ser utilizado apenas para os
determinados objetivos.
4
• A Integridade: o sistema deve estar sempre íntegro e em
condições de ser usado.
• A Autenticidade: o sistema deve ter condições de verificar a
identidade dos usuários, e este ter condições de analisar a
identidade do sistema.
• A Confidencialidade: dados privados devem ser apresentados
somente aos donos dos dados ou ao grupo por ele liberado.
A política de segurança deve fornecer um enquadramento para a
implementação de mecanismos de segurança, definindo procedimentos de
segurança adequados, processos de auditoria à segurança e estabelecer uma
base para procedimentos legais na sequência de ataques.
5
3 VISÃO GERAL DO AMBIENTE
A COMEFO, estando ciente sobre a importância da existência de
uma legítima segurança das informações para que todos os usuários dos
recursos de informática tenham conhecimento de suas responsabilidades, e
para auxiliar na manutenção da integridade dos dados da empresa, almejando
adotar uma política de segurança. O modelo aqui proposto visa atender a essa
necessidade, tendo como análise o atual panorama apresentado pela empresa
no que se diz respeito a segurança da informação.
3.1 Desenho e Caracterização do Ambiente
A COMEFO – Cooperativa dos Médicos de Fortaleza, se encontra
localizada na Avenida Desembargador Gomes Moreira, nº. 2896, Aldeota,
Fortaleza-CE, atuando no seguimento de plano de saúde.
Atualmente concentra o total de 50 (cinquenta) funcionários fixos na
sede da empresa, sendo a locação destes, distribuídas da seguinte forma:
• Setor Administrativo e Financeiro: 20 funcionários;
• Setor de Atendimento ao Usuário: 20 funcionários;
• Setor Recursos Humanos: 05 funcionários; e
• Núcleo de Tecnologia da Informação: 05 funcionários.
A estrutura tecnológica da COMEFO é composta de 04 (quatro)
servidores, 01 (um) roteador, 03 (três) switches; tendo ainda distribuídos entre
os setores acima descritos: 46 (quarenta e seis) computadores, 05 (cinco)
impressoras e 02 (duas) fotocopiadoras, além de 01 (uma) central telefônica
com PABX, e 01 (um) sistema ERP, que integra os setores integrantes da
empresa.
6
3.2 Detalhamento dos Serviços Existentes
Os serviços e recursos existentes na COMEFO são os
descriminados abaixo, com o respectivo estado atual apresentado em cada
serviço.
• Acesso a Internet:
Atualmente a empresa possui acesso a internet através de link
dedicado 2Mb da Embratel; e não dispõe de nenhuma política de segurança
para acesso à internet, permitindo acesso irrestrito à web, também não
havendo regras para downloads e uploads.
• Correio Eletrônico:
Quanto ao uso do correio eletrônico, não existe nenhum controle
para envio e/ou recebimento de e-mails corporativos e pessoais; a empresa
não utiliza serviços de antivirus/antispam, para os emails; além do servidor de
email não contar com ma política eficaz contra spam.
• ERP com Banco de Dados:
O sistema ERP existente na empresa, e seu respectivo Banco de
Dados apresentam senhas de usuário únicas por setor; além de não haver log
para auditoria; não havendo rotinas de backup pré-definidas.
• Servidor de Arquivos:
Para o servidor de arquivos não existe uma política de acesso, todos
têm acesso a todos os arquivos do servidor; a sala dos servidores não tem
acesso restrito; não havendo também uma política de backup para os arquivos;
e o anti-vírus é ineficiente pois não é atualizado automaticamente.
• Serviço de Intranet:
O serviço de intranet não dispõe de login, tendo todos o acesso à
aplicativos de todos os setores; a aplicação não utiliza normas de segurança
para um Sistema Web; tendo ainda o processo de testes da equipe de
desenvolvimento no mesmo banco de produção.
7
4 ANÁLISE E TRATAMENTO DO RISCOS
4.1 Modelo e Classificação da Criticidade dos Riscos
O modelo e classificação da criticidade dos riscos, apresentados
neste trabalho tem como finalidade identificar os riscos e apontar soluções
apropriadas para a correção das vulnerabilidades e ameaças apresentadas
pelos serviços expostos. O modelo segue os preceitos da ABNT NBR ISO/IEC
17799:2005, onde se aplica os seguintes termos e definições:
Ativo: qualquer coisa que tenha valor para a organização.
Evento: ocorrência identificada de um sistema, serviço ou rede, que
indica uma possível violação da política de segurança da informação ou
falha de controles, ou uma situação previamente desconhecida, que
possa ser relevante para a segurança da informação.
Ameaça: causa potencial de um incidente indesejado, que pode resultar
em dano para um sistema ou organização.
Risco: combinação da probabilidade de um evento e de suas
conseqüências.
Riscos Projetados: Riscos que poderão acontecer depois das políticas
aplicadas.
Os riscos estão classificados de acordo com os seguintes critérios:
8
As ameaças estão classificadas de acordo com os seguintes critérios:
9
4.2 Levantamento e Classificação dos Riscos
Computador que faz o roteamento da internet para a rede interna
AtivoComputador que faz o roteamento da internet
para a rede interna
Avaliação da ameaça
Agente/Evento Infecção por vírus Defeito no equipamento
Invasão por Hackers
Classificação da ameaça
Interrupção do serviço
Interrupção do serviço
Quebra de sigilo/Remoção ou
perda de dados
Probabilidade de ocorrência
Alta Médio Médio
Conseqüência da ocorrência
Paralisação do serviço de
internet. Perda do equipamento
Paralisação do serviço de internet
Dados confidenciais da empresa são
expostos
Impacto Excepcionalmente grave
Sério Sério
Taxa de exposição 8 4 5
Política de segurança a ser
aplicada
Acesso à Internet - AIN e Acesso à Rede e Sistemas
- ARS
Acesso à Internet - AIN
Autenticação (Senhas) - AUS;
Ativo Computador que faz o roteamento da internet para a rede interna
Avaliação dos Riscos
Contramedidas existentes
Anti-vírus sem atualização automática
Não existe contramedida
Não existe contramedida
Vulnerabilidades Infecção da rede por vírus
Negocio da empresa parado durante o
evento
Dados da empresa expostos para
terceiros / Indisponibilidade dos serviços de
internet
Riscos Alto Médio Alto
Política de segurança a ser
aplicada
Acesso à Internet - AIN e Acesso à Rede e Sistemas
- ARS
Acesso à Rede e Sistemas - ARS
Acesso à Rede e Sistemas - ARS e Acesso à Internet -
AIN
Recomendações
Contramedidas propostas
Troca do Sistema Operacional para Linux e instalação de um anti-vírus
Disponibilizar uma máquina para backup / Fazer manutenção
preventiva no equipamento
Implantar um sistema de Firewall
e detecção de invasão
Riscos Projetados Baixo Baixo Baixo
Avaliação de contramedidas
Completamente Satisfatória
Satisfatória na maioria dos aspectos
Satisfatória na maioria dos
aspectos
Política de segurança a ser
aplicada
Nenhuma Política Aplicada - NPA
Nenhuma Política Aplicada - NPA
Nenhuma Política Aplicada - NPA
10
Ativo Serviço de Email
Avaliação da ameaça
Agente/EventoAcesso a e-mails
pessoais pela ferramenta Outlook
Recebimento de Spam e vírus pelo
Exceder espaço do servidor de e-mails
Classificação da ameaça
Quebra de sigilo: ameaça os dados da
empresa
Interrupção do serviço / Ameaça a
integridade da informação
Interrupção do serviço ao usuário
Probabilidade de ocorrência
Alta Médio Alta
Conseqüência da ocorrência
Problema no computador do usuário / Roubo de informação
Problema no computador do
usuário / Roubo de informação / Distribuir
vírus pela rede
Usuário não tem acesso ao serviço de
Impacto Sério Sério Sério
Taxa de exposição
6 4 4
Política de
segurança a ser aplicada
Correio Eletrônico - COE, Autenticação
(Senhas) - AUS
Correio Eletrônico - COE, Autenticação
(Senhas) - AUS
Acesso à Rede e Sistemas - ARS
Ativo Serviço de Email
Avaliação dos Riscos
Contramedidas existentes
Não existe contramedida
Anti vírus sem atualização automática
Não existe contramedida
Vulnerabilidades
Roubo de informaçãoNegocio da empresa
parado durante o evento
Informações prioritárias não são
recebidasRiscos Alto Médio Alto
Política de segurança a ser aplicada
Autenticação (Senhas) - AUS e Acesso à Rede e Sistemas -
ARS
Acesso à Rede e Sistemas - ARS
Acesso à Rede e Sistemas – ARS
Recomendações
Contramedidas propostas
Bloqueio para uso da ferramenta Outlook para email pessoal
Instalar outra ferramenta de anti vírus e anti spam.
Implantar um sistema de cota por conta de email, informando ao
usuário a porcentagem
utilizada da caixa
Riscos Projetados
Baixo Baixo Baixo
Avaliação de contramedidas
Completamente Satisfatória
Satisfatória na maioria dos aspectos
Completamente satisfatória
Política de segurança a ser aplicada
Nenhuma Política Aplicada - NPA
Nenhuma Política Aplicada - NPA
Nenhuma Política Aplicada – NPA
11
Ativo Servidor de Arquivos e Domínio
Avaliação da ameaça
Agente/Evento Acesso indevido aos arquivos Infecção por vírus Falta de energia
elétrica
Classificação da ameaça
Ameaça a integridade da informação / acesso
indevido
Interrupção do serviço / Modificação de
arquivos
Interrupção do serviço ao usuário / Corromper Sistema Operacional
Probabilidade de ocorrência
Média Alta Alta
Conseqüência da ocorrência
Roubo de informação Serviço e dados indisponíveis
Serviço indisponível / Perda de dados
Impacto Sério Excepcionalmente grave
Excepcionalmente grave
Taxa de exposição
6 9 8
Política de
segurança a ser aplicada
Acesso à Rede e Sistemas - ARS
Acesso à Rede e Sistemas - ARS e Acesso à Internet -
AIN
Nenhuma Política Aplicada – NPA
Ativo Servidor de Arquivos e Domínio
Avaliação dos Riscos
Contramedidas existentes
Todos acessam o mesmo
compartilhamento
Anti vírus sem atualização automática
e sem anti spam
Não existe contramedida
Vulnerabilidades Acesso indevido a informação
Perda de arquivos / Sem acesso aos dados
Negocio da empresa fica parado durante o
evento
Riscos Alto Alto AltoPolítica de
segurança a ser aplicada
Acesso à Rede e Sistemas - ARS
Acesso à Rede e Sistemas - ARS
Acesso à Rede e Sistemas - ARS
Recomendações
Contramedidas propostas
Criar acompanhamento por setor
Instalar sistema de anti vírus e anti spam atual
que atualize automaticamente
Instalar um no-break com autonomia de 2
horas no caso falta de energia
Riscos Projetados
Baixo Baixo Baixo
Avaliação de contramedidas
Satisfatória na maioria dos aspectos
Satisfatória na maioria dos aspectos
Completamente satisfatória
Política de segurança a ser
aplicada
Nenhuma Política Aplicada - NPA
Nenhuma Política Aplicada - NPA
Nenhuma Política Aplicada – NPA
12
Ativo Sistema ERP com banco dados
Avaliação da ameaça
Agente/Evento Acesso indevido ao Sistema
Perda de dados por falha na aplicação
Acesso físico ao servidor
Classificação da ameaça
Ameaça a integridade da informação / acesso
indevido
Interrupção do serviço / Ameaça a integridade da
informação
Interrupção do serviço ao usuário
Probabilidade de ocorrência
Média Médio Alta
Conseqüência da ocorrência
Roubo de informação Inconsistência nos dados disponíveis. Serviço indisponível
Impacto Sério Sério Excepcionalmente grave
Taxa de exposição
6 5 8
Ativo Sistema ERP com banco dados
Avaliação dos Riscos
Contramedidas existentes
Senha única por setor Não existe contramedida Não existe contramedida
Vulnerabilidades Roubo de informação A empresa trabalha com dados inconsistentes
Negocio da empresa fica parado durante o
evento
Riscos Alto Médio AltoPolítica de
segurança a ser aplicada
Autenticação (Senhas) - AUS e Acesso à Rede e
Sistemas - ARS
Acesso à Rede e Sistemas - ARS
Acesso à Rede e Sistemas - ARS
Recomendações
Contramedidas propostas
Criar política de senha por usuário
Analisar o código com a empresa de
desenvolvimento, para seguir padrões de
segurança
Instalar uma porta com acesso restrito,
somente a pessoas autorizadas
Riscos Projetados
Baixo Baixo Baixo
Avaliação de contramedidas
Satisfatória na maioria dos aspectos
Satisfatória na maioria dos aspectos
Completamente satisfatória
13
Ativo Serviço de intranet
Avaliação da ameaça
Agente/Evento Acesso indevido ao aplicativo
Aplicação com falhas de segurança
Acesso físico ao servidor
Classificação da ameaça
Ameaça a integridade da informação / acesso
indevido
Interrupção do serviço / Modificação dos dados
Interrupção do serviço ao usuário
Probabilidade de ocorrência
Média Baixo Alta
Conseqüência da ocorrência
Exposição e alteração dos dados por pessoas
indevidas
Serviço e dados indisponíveis Serviço indisponível
Impacto Sério Sério Excepcionalmente grave
Taxa de exposição
5 6 8
Ativo Serviço de intranet
Avaliação dos Riscos
Contramedidas existentes
Senha única para acesso a aplicação Não existe contramedida Não existe
contramedida
Vulnerabilidades Acesso indevido a informação Perda de dados
Negocio da empresa fica parado durante o
evento
Riscos Alto Alto AltoPolítica de
segurança a ser aplicada
Autenticação (Senhas) - AUS e Acesso à Rede e
Sistemas - ARS
Acesso à Rede e Sistemas - ARS Acesso à Internet - AIN
Recomendações
Contramedidas propostas
Criar política de senha por usuário
Analisar a aplicação e alterar onde for
necessário seguindo padrões de segurança
Instalar uma porta com acesso restrito,
somente a pessoas autorizadas
Riscos Projetados
Baixo Baixo Baixo
Avaliação de contramedidas
Satisfatória na maioria dos aspectos
Satisfatória na maioria dos aspectos
Completamente satisfatória
14
4.3 Abrangência
A abrangência da Política de Segurança da Informação é definida
pela Comissão de Segurança da Informática, divisão instituída pela COMEFO,
no tocante das responsabilidades e aplicações das normas estabelecidas
No escopo definido pela Comissão de Segurança da Informática, os
quesitos da Política de Segurança devem ser aplicados de maneira
mandatória. Fora desse escopo, eles devem servir de recomendações,
podendo ser aplicados pelos departamentos ou outros setores integrantes da
empresa.
A COMEFO institui que a presente Política de Segurança tem
abrangência somente no que se refere aos riscos classificados como ‘Médio’ e
‘Alto’, tendo a Comissão de Segurança da Informação da empresa, a
responsabilidade da aplicação das contramedidas recomendadas, para a
completa resolução do problema.
Aos riscos definidos como ‘Baixo’, a COMEFO, com a justificativa de
que há irrelevância nos danos que venha a incidir contra a empresa, justapõe a
não realização de qualquer medida preventiva a ser aplicada por essa Política
de Segurança, e se responsabiliza por qualquer agravo ocorrido devido os
referidos riscos.
15
5 DOCUMENTOS
5.3 Políticas de Segurança
O modelo apresentado para as Políticas de Segurança da COMEFO,
não tem objetivo de impor restrições contrárias à cultura de abertura e
confiança da empresa, mas proteger a mesma, funcionários e parceiros, de
ações ilegais ou danosas praticadas por qualquer indivíduo, de forma proposital
ou inadvertidamente.
Sistemas relacionados à Internet/Intranet/Extranet - incluídos, mas
não limitados, os equipamentos de computação, software, sistemas
operacionais, dispositivos de armazenamento, contas de rede que permitem
acesso ao correio eletrônico, consultas WWW e FTP a partir de IP’s (endereços
de protocolo da internet) e o sistema de telefonia - são propriedades da
COMEFO, devendo ser utilizados com o exclusivo propósito de servir aos
interesses da empresa e de seus clientes, no desempenho de suas atividades
empresariais. A segurança efetiva é um trabalho de equipe envolvendo a
participação e colaboração de todos os funcionários e cooperados da empresa
que manipulam informações e/ou sistemas de informações. É de
responsabilidade de cada usuário de computador conhecer esta política e
conduzir suas atividades de acordo com a mesma.
As Políticas de Segurança da Informação da COMEFO se
distinguem nos seguintes parâmetros:
• Acesso à Internet - AIN;
• Acesso à Rede e Sistemas - ARS;
• Backup - BKP;
• Autenticação (Senhas) - AUS;
• Correio Eletrônico - COE; e
• Nenhuma Regra Aplicada - NRA
16
5.3.1 Política de Acesso à Internet - AIN
O propósito dessa política é assegurar o uso apropriado da Internet na
COMEFO
O uso da Internet pelos empregados da COMEFO é permitido e
encorajado desde que seu uso seja aderente aos objetivos e atividades fins do
negócio da COMEFO.
Entretanto, a COMEFO tem uma política para o uso da Internet
desde que os funcionários/cooperados assegurem que cada um deles:
• Siga a legislação corrente (sobre pirataria, pedofilia, ações
discriminatórias)
• Use a Internet de uma forma aceitável
• Não crie riscos desnecessários para o negócio para a COMEFO
• Se você tem alguma dúvida ou comentários sobre essa Política
de Uso da Internet, por favor entre em contato com seu
supervisor.
Concorrentemente ao descrito acima, será considerado
totalmente inaceitável tanto no uso quanto no comportamento dos
empregados:
• Visitar sites da Internet que contenha material obsceno e/ou
pornográfico;
• Usar o computador para executar quaisquer tipos ou formas de
fraudes, ou software/musica pirata;
• Usar a Internet para enviar material ofensivo ou de assédio para
outros usuários;
• Baixar (download) de software comercial ou qualquer outro
material cujo direito pertença a terceiros (copyright), sem ter um
contrato de licenciamento ou outros tipos de licença;
• Atacar e/ou pesquisar em areas não autorizadas (Hacking);
• Criar ou transmitir material difamatório;
• Executar atividades que disperdice os esforços do pessoal técnico
17
ou dos recursos da rede;
• Introduzir de qualquer forma um virus de computador dentro da
rede corporativa;
• É proibido utilizar os recursos da COMEFO para fazer downloads
(mp3, vídeos,programas diversos)
• distribuição de softwares ou dados não legalizados, bem como a
distribuição destes;
• É proibida a divulgação de informações confidenciais da
COMEFO em grupos de
• Discussão, listas ou bate-papo, não importando se a divulgação
foi deliberada ou inadvertida, sendo possível sofrer as
penalidades previstas nas políticas e procedimentos internos e/ou
na forma da lei;
• Poderá ser utilizada a Internet para atividades não relacionadas a
atividades profissionais fora do expediente, desde que dentro das
regras de uso definidas nesta política;
• Os funcionários com acesso à Internet podem baixar somente
programas ligados diretamente às atividades da empresa e
devem solicitar ao setor de TI o que for necessário para instalar e
regularizar a licença e o registro desses programas;
• Funcionários com acesso à Internet não podem efetuar upload de
quaisquer dados e/ou softwares de propriedade e licenciados à
COMEFO, sem expressa autorização da Administração;
• Caso a COMEFO julgue necessário haverá bloqueios de acesso a
arquivos, domínios e serviços de Internet que comprometam o
uso de banda, a segurança do servidor de internet ou o bom
andamento dos trabalhos;
• Haverá geração de relatórios para análise de segurança dos sites
acessados pelos usuários;
• Acessar e-mail pessoal;
• É proibida a utilização de softwares de peer-to-peer (P2P), tais
como Kazaa, Morpheus, E-Mule e afins;
18
• Criar blogs e comunidades na Internet, ou qualquer ambiente
virtual semelhante, utilizando-se, sem autorização expressa, da
logomarca da Empresa;
• É proibida a utilização de serviços de streaming, tais como rádios
on-line e afins, a não ser que o acesso seja inerente a trabalhos,
pesquisas, negócios da COMEFO.
A COMEFO reafirma que o uso da Internet é uma ferramenta valiosa
para seus negócios. Entretanto, o mau uso dessa facilidade pode ter impacto
negativo sobre a produtividade dos funcionários e a própria reputação do
negócio.
Em adição, todos os recursos tecnológicos da COMEFO existem
para o propósito exclusivo de seu negócio. Portanto, a empresa se dá ao direito
de monitorar o volume de tráfico na Internet e na Rede, juntamente com os
endereços web (http://) visitados.
A falha em não seguir a política irá resultar em sanções que variarão
desde procedimentos disciplinares, com avisos verbais ou escritos, até a
demissão, não obstante as sanções cíveis e criminais decorrentes da não
observância das mesmas.
19
5.3.2 Política Acesso à Rede e Sistemasc - ARS
O propósito dessa política é assegurar o uso apropriado da Rede e Sistema
Os usuários da rede corporativa têm as seguintes obrigações:
• Responder pelo uso exclusivo de sua conta pessoal de acesso à
rede corporativa;
• Identificar, classificar e enquadrar as informações da rede
corporativa relacionadas às atividades por si desempenhadas;
• Zelar por toda e qualquer informação armazenada na rede
corporativa contra alteração, destruição, divulgação, cópia e
acessos não autorizados;
• Guardar sigilo das informações confidenciais, mantendo-as em
caráter restrito;
• Manter, em caráter confidencial e intransferível, a senha de
acesso aos recursos computacionais e de informação da
organização, informando-a formalmente ao Administrador da
Rede;
• Informar imediatamente à Gerência sobre quaisquer falhas ou
desvios das regras estabelecidas neste documento, bem como
sobre a ocorrência de qualquer violação às mesmas, praticada
em atividades relacionadas ao trabalho, dentro ou fora das
dependências da Empresa;
• Responder cível e criminalmente pelos danos causados em
decorrência da não observância das regras de proteção da
informação e dos recursos computacionais da rede corporativa;
• Fazer uso dos recursos computacionais para trabalhos de
interesse exclusivo da organização;
• Fazer a emissão de pedidos de compra de recursos
computacionais e a confirmação do recebimento das compras à
administração, via e-mail, com cópia ao gestor.
É estritamente proibido e inaceitável:
20
• Acessar, copiar ou armazenar programas de computador ou
qualquer outro material (músicas, fotos e vídeos) que violem a lei
de direitos autorais (copyright), bem como aqueles de conteúdo
ilegal, pornográfico, discriminatório, homofóbico, racista ou que
faça apologia ao crime;
• Utilizar os recursos computacionais ou quaisquer outros de
propriedade da Empresa, colocados à disposição do colaborador
em razão do exercício de sua função, para constranger,
assediar, prejudicar ou ameaçar a mesma ou terceiros, sejam
eles indivíduos ou organizações;
• Alterar os sistemas padrões, sem autorização;
• Divulgar quaisquer informações confidenciais para concorrentes
e/ou qualquer pessoa não ligada às atividades da Empresa;
• Efetuar qualquer tipo de acesso ou alteração não autorizada a
dados dos recursos computacionais pertencentes à Empresa;
• Violar os sistemas de segurança dos recursos computacionais,
no que tange à identificação de usuários, senhas de acesso,
fechaduras automáticas, sistemas de alarme e demais
mecanismos de segurança e restrição de acesso;
• Utilizar acesso discado através de modem, ou qualquer outra
forma de conexão não autorizada, quando conectado às redes
instaladas nas dependências da Empresa;
• Acessar e-mail pessoal;
• Utilizar quaisquer recursos ou equipamentos da Empresa para
fins diversos daqueles necessários ao desempenho da função
contratada;
A falha em não seguir a política irá resultar em sanções que variarão
desde procedimentos disciplinares, com avisos verbais ou escritos, até a
demissão, não obstante as sanções cíveis e criminais decorrentes da não
observância das mesmas.
21
5.3.3 Política de Backup - BKP
O propósito dessa política é assegurar a consistência dos dados da COMEFO.
O backup é feito exclusivamente da área de rede do usuário (drive
H:). Dados em estações de trabalho ou perfil do usuário podem ser apagados a
qualquer momento e são perdidos em caso de reinstalação da estação. Caso
não queira utilizar sua área de rede, a responsabilidade pelos dados é
totalmente do usuário.
A política de backup da COMEFO obedece ao seguinte esquema:
• Backup Completo a cada 30 dias;
• Backup Incremental semanal;
• Backup Incremental diário
OBSERVAÇÃO: Por backup incremental entende-se aquele que
copia apenas os arquivos alterados durante determinado período. Desta forma,
o arquivo somente será copiado se foi alterado durante o dia ou a semana. O
backup completo, por outro lado, copia todo o conteúdo da área do usuário,
independentemente do mesmo haver sido trabalhado ou não. Na prática, isso
significa que é possível recuperar:
• A última versão do dia de qualquer arquivo até uma semana
atrás. Versões intermediárias não são recuperáveis porque o
backup é realizado apenas uma vez durante a noite;
• A última versão da semana de arquivos até quatro semanas
atrás;
• Todo o conteúdo armazenado na data do último backup
completo.
22
5.3.4 Política de Autenticação (Senhas) - AUS
O propósito dessa política é assegurar a correta autenticação dos usuários nos
sistemas de informação da COMEFO.
A política de autenticação da COMEFO obedece às seguintes
determinações:
• Somente poderão acessar a Internet usuários que tenham
sido credenciados com suas senhas de acesso.
• Cada setor deverá, através de memorando, indicar novos
servidores que deverão ser credenciados para tal serviço,
justificando quanto a necessidade do referido funcionário
utilizar-se deste recurso.
• A senha de acesso tem caráter pessoal, e é intransferível,
cabendo ao seu titular total responsabilidade quanto seu
sigilo.
• A prática de compartilhamento de senhas de acesso é
terminantemente proibida e o titular que fornecer sua senha a
outrem responderá pelas infrações por este cometidas,
estando passível das penalidades aqui previstas. Caso o
usuário desconfie que sua senha não é mais segura, ou de
seu domínio exclusivo, poderá solicitar à Gerência de
Informática a alteração desta.
O usuário que infringir qualquer uma das diretrizes de segurança
expostas neste instrumento estará passível das seguintes penalidades (sem
prévio aviso): Descredenciamento da senha de acesso a Internet;
Cancelamento da caixa de e-mail; Desativação do ponto de rede do setor;
Suspensão; Multa e Demissão;
O(s) usuário(s) infrator poderá ser notificado e a ocorrência da
transgressão imediatamente comunicada ao seu chefe imediato, à diretoria
correspondente e à Presidência.
23
5.3.5 Política de Correio Eletrônico - COE
O propósito dessa política é assegurar o bom uso do correio eletrônico na
COMEFO.
• O número de mensagens com permissão para serem enviadas
por hora, por usuário, é de 350 mensagens.
• O usuário não deve tentar esconder, forjar ou representar de
maneira errada o remetente do e-mail e o domínio do site.
• E-mails em massa devem exibir especificamente como os
endereços de e-mail da pessoa foram obtidos e deve indicar a
frequencia de envio.
• E-mails em massa devem conter mecanismos de
descadastramento simples e óbvios. Nós recomendamos que
isso esteja em forma de um link para um sistema de
descadastramento de um único clique. Po outro lado, um
endereçco "reply-to" válido pode ser usado como alternativa.
• Todo cadastramento baseado em e-mail deve ter informações de
contato válidas e não eletrônicas da organização que está
enviando o e-mail no texto de cada e-mail, incluindo um número
de telefone ou um endereço físico válido.
• Todo e-mail em massa deve ser solicitado, quer dizer, o
remetente tem uma relação existente e que se pode provar com
o e-mail remetente e o receptor não requisitou não receber
futuros e-mails desse remetente. A documentação da relação
entre o remetente e o receptor deve ser disponível quando
requisitado.
• Usos Proibidos dos Sistemas de Rede da COMEFO(ou sub-
contratada) e Serviços Relativos a Spam
24
• Envio de E-mail Lixo Não Solicitado ("UBE", "spam") O envio de
qualquer forma de E-mail Lixo Não Solicitado através dos
servidores da COMEFO(ou sub-contratada) é proibido. Do
mesmo modo, o envio de spam a partir de outro provedor de
serviço fazendo propaganda de um site, endereço de email ou a
utilização de qualquer recurso hospedado nos servidores da
COMEFO(ou sub-contratada) é proibido. As contas ou serviços
da COMEFO não devem ser usados para solicitar clientes ou
coletar 'replies to' de mensagens enviadas a partir de outro
Provedor de Serviço de Internet onde essas mensagens violam
essa Política ou de outro provedor.
• Executar Listas de E-mail Não Confirmadas, Inscrever endereços
de e-mail para qualquer lista de e-mail sem a permissão
expressa e verificável do dono do endereço de e-mail é poibido.
Todas as listas de e-mail executadas por clientes da COMEFO
devem ser Closed-loop ("Confirmed Opt-in"). A mensagem
confirmação de inscrição recebida de cada dono do endereço
deve ser mantida em arquivo pela duração da existência da lista
de e-mail. Comprar listas de endereços de e-mail de terceiros
para enviar e-mails a partir dos domínios da COMEFO, ou
referenciar qualquer conta da COMEFO, é proibido.
A falha em não seguir a política irá resultar em sanções que variarão
desde procedimentos disciplinares, com avisos verbais ou escritos, até a
demissão, não obstante as sanções cíveis e criminais decorrentes da não
observância das mesmas.
25
6 CONCLUSÃO
Este estudo procurou abranger a segurança da informação, tendo
seu objetivo voltado para política de segurança da informação, sendo
desenvolvido um modelo de política de segurança para a empresa COMEFO.
A dependência progressiva das organizações com relação aos
sistemas de informações computadorizados as torna cada vez mais vulneráveis
a ameaças. Na sociedade da informação, ao mesmo tempo em que as
informações são consideradas um dos principais ativos de uma organização,
elas estão, também sobre constantes riscos. Com isso a segurança da
informação tornou-se um ponto extremamente importante para a sobrevivência
das organizações. Dentre as medidas de segurança implantadas pelas
organizações, para garantir a segurança da informação, está a política de
segurança que tem por objetivo definir normas, procedimentos, ferramentas e
responsabilidades que devem ser seguidas pelos usuários das organizações,
de modo a garantir a segurança da informação. A política de segurança é a
base para todas as questões relacionadas à proteção da informação,
desempenhando um papel importante nas organizações. Para o
desenvolvimento do modelo de política de segurança foi utilizada a norma
ABNT NBR ISO/IEC 17799:2005. Esta norma trata da Gestão de segurança da
informação cobre os mais diversos tópicos da área de segurança, possuindo
um grande número de controles e requerimentos que devem ser atendidos
para garantir a segurança das informações de uma empresa.
É importante para os usuários da rede de computadores da
COMEFO, a definição de regras que devem ser seguidas para a utilização de
maneira adequada dos recursos de informática, assim como para a garantia da
segurança física. O modelo de política de segurança desenvolvido visa a
descrição destas regras de modo acessível ao entendimento dos usuários.
Fica a certeza que este trabalho trouxe contribuições importantes,
como: Identificação do cenário atual da segurança da informação e das
medidas de segurança necessárias a serem utilizadas pela COMEFO; Estudo
da utilização e da importância da política da segurança como uma importante
medida de segurança utilizada pelas empresas; Desenvolvimento de um
modelo de política de segurança.
26
BIBLIOGRAFIA
ABREU, Dimitri. Melhores práticas para classificar as informações. Disponível
em: www.modulo.com.br. Acessado em 19 de março de 2009.
GONÇALVES, Luis Rodrigo de Oliveira. Pequeno histórico sobre o surgimento
das Normas de Segurança. Disponível em http://www.lockabit.coppe.ufrj.br.
Acessado em 19 de março de 2009.
WILKEPEDIA, A enciclopédia livre. Segurança da Informação. Disponível em:
http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o.
Acessado em 19de março de 2009.
SPANCESKI, Francini Reitz. Política de Segurança da Informação –
Desenvolvimento de um modelo voltado para instituições de Ensino, 2004.
Monografia (Graduação em Sistemas de Informação) Instituto Superior Tupy.
Joinville.
ABNT NBR ISO/IEC 17799:2005 - Tecnologia da informação – Técnicas de
segurança - Código de prática para a gestão de segurança da informação. 2ª.
ed., ABNT, 2005.
27
ANEXOS
Anexo I – Declaração de ciência e concordância com a Política de Segurança
DECLARAÇÃO DE CIÊNCIA E CONCORDÂNCIA DA PSI/COMEFO
Pelo presente instrumento, eu, ____________________________,
matrícula/identidade no __________________, perante COMEFO –
Cooperativa dos Médicos de Fortaleza, na qualidade de usuário dos recursos
de processamento da informação da referida empresa, declaro estar ciente e
concordar com a Política de Segurança da Informação – PSI/COMEFO composta por suas Diretrizes Gerais, Normas, Procedimentos e Instruções, que
estão disponíveis na INTRANET da empresa, seção Política de Segurança.
Declaro, também, estar ciente de que os acessos por mim realizados à internet,
bem como o conteúdo das mensagens enviadas através do Correio Eletrônico
corporativo são monitorados automaticamente.
Declaro, ainda, estar ciente das minhas responsabilidades descritas
nas normas da Política de Segurança da Informação e que, a não observância
desses preceitos, implicará na aplicação das sanções previstas nas Diretrizes
Gerais desta Política.
______________, _______________________Local e data
______________________________________________Nome legível por extenso
______________________________________________Assinatura do funcionário
28
Anexo II – Termo de Confidencialidade da Informação
TERMO DE CONFIDENCIALIDADE DA INFORMAÇÃO
Declaro que, ao utilizar os recursos computacionais do ambiente tecnológico da COMEFO – Cooperativa dos Médicos de Fortaleza, estou ciente das responsabilidades inerentes às minhas atribuições, assumindo, no que me enquadrar, o compromisso de:
a. Acessar os sistemas informatizados somente por necessidade de serviço ou por determinação expressa de superior hierárquico, realizando as tarefas e operações em estrita observância aos procedimentos, normas e disposições contidas na política de segurança da informação da empresa;
b. Não revelar, fora do âmbito profissional, fato ou informação de qualquer natureza de que tenha conhecimento por força de minhas atribuições ou por fontes secundárias, salvo em decorrência de decisão competente na esfera legal ou judicial, bem como de autoridade superior;
c. Manter a necessária cautela quando da exibição de dados em tela, impressora ou na gravação em meios eletrônicos, a fim de evitar que deles venham a tomar ciência pessoas não autorizadas;
d. Para garantir a impossibilidade de acesso indevido por terceiros, não deverei me ausentar do terminal sem encerrar ou bloquear a sessão do sistema;
e. Não revelar as minhas senhas de login da rede e de acesso aos sistemas a ninguém e seguir as recomendações de segurança em relação à criação de uma senha forte, conforme política vigente, de forma a possibilitar que ela continue secreta;
f. Responder, em todas as instâncias, pelas conseqüências das ações ou omissões de minha parte que possam pôr em risco ou comprometer a exclusividade de conhecimento de minha senha ou das transações e informações a que tenha acesso.
g. Manter estrita observância à Política de Segurança da Informação da COMEFO;
Declaro, ainda, estar plenamente esclarecido e consciente de que:h. É minha responsabilidade cuidar da integridade, confidencialidade e
disponibilidade dos dados, informações e sistemas aos quais tenho acesso, devendo comunicar, por escrito, à chefia imediata quaisquer indícios ou possibilidades de irregularidades, de desvios ou de falhas identificadas nos sistemas, sendo proibida a exploração de falhas ou vulnerabilidades porventura existentes nos sistemas;
i. O acesso à informação não me garante direito sobre ela, nem me confere autoridade para liberar acesso a outras pessoas;
29
j. O descumprimento das disposições deste Termo de Confidencialidade caracteriza infração funcional, a ser apurada em processo administrativo disciplinar, sem prejuízo da responsabilidade penal e civil;
k. O acesso aos sistemas com fins escusos ou imotivados constitui, sem prejuízo da responsabilidade civil e penal, infração funcional de falta de zelo e dedicação às atribuições do cargo, e descumprimento de normas legais ou regulamentares tipificadas em Lei;
l. Constitui descumprimento de normas legais e regulamentares e quebra de sigilo funcional, a divulgação de dados obtidos dos sistemas informatizados ou quaisquer outras informações pertinentes à COMEFO que tenha conhecimento por força de minhas atribuições, para outros servidores não envolvidos nos trabalhos executados;
m. Ressalvadas as hipóteses de requisições legalmente autorizadas, constitui infração de revelação de sigilo funcional do qual me apropriei em razão do cargo, a divulgação, a quem não tenha a devida autorização, de informações dos sistemas fazendários ou quaisquer outras informações pertinentes, protegidas pelo sigilo fiscal, sujeitando-me à penalidade de demissão;
n. Sem prejuízo da responsabilidade penal e civil e de outras infrações disciplinares, constitui falta de zelo e dedicação às atribuições do cargo e descumprimento de normas legais e regulamentares, não proceder com cuidado na guarda e utilização de senha ou emprestá-la a outro funcionário.
o. Constitui infração funcional de minha parte, inserir ou facilitar a inserção de dados falsos, alterar ou excluir indevidamente dados nos sistemas informatizados ou bancos de dados, bem como modificar ou alterar o sistema de informações ou programas de informática sem autorização ou solicitação de autoridade competente, sujeitando-me à punição, conforme Política da empresa.
p. Devo prestar estrita obediência às normas e recomendações da Política de Segurança da Informação - PSI/COMEFO, bem como manter-me ciente de suas atualizações, que serão devidamente homologadas e publicadas na Intranet da empresa, submetendo-me, em caso de descumprimento, às penalidades administrativas previstas na própria Política de Segurança e no Regimento Interno, sem prejuízo da responsabilidade penal e civil.
______________, _______________________Local e data
______________________________________________Nome legível por extenso______________________________________________Assinatura do funcionário
30