Embed Size (px)
Citation preview
FACULDADES ICESP PROMOVE DE BRASÍLIA
CURSO DE TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO – TSI
TRABALHO DE CONCLUSÃO DE CURSO
Eduardo Sampaio de Alencar
Politica de segurança da informação para empresa Orion S/A
GUARA-DF 2015
EDUARDO SAMPAIO DE ALENCAR
PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
PARA EMPRESA ORION S/A
Trabalho de conclusão de curso apresentado
ás Faculdades ICESP/PROMOVE de
Brasília, como requisito parcial a obtenção
do título de Tecnólogo em Segurança da
Informação. Orientado pelo Prof. MSc. Cid
Bendahan Coelho Cintra.
GUARÁ-DF 2015
EDUARDO SAMPAIO DE ALENCAR
PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
PARA EMPRESA ORION S/A
Trabalho de conclusão de curso apresentado às Faculdades
ICESP PROMOVE de Brasília, como requisito parcial a
obtenção do título de Tecnólogo em Segurança da Informação.
Aprovado em:_________/__________/2015, por:
______________________________________________________Orientador(a) Professor: Cid Bendahan Coelho Cintra Faculdades Promove de Brasília.
Avaliador(a) Professor(a) Faculdades Promove ICESP de Brasília
Avaliador(a) Professor(a) Faculdades Promove ICESP de Brasília
RESUMO
O presente trabalho tem por objetivo principal propor uma política de
segurança da informação para empresa Orion S/A. Para execução deste trabalho foi
feito um referencial teórico baseado em livros, artigos da internet, trabalhos e
normas técnicas. Após conclusão do referencial teórico é apresentada toda a
estrutura física e lógica da empresa Orion S/A, cujo objetivo é a visualização de
todas as vulnerabilidades a que os ativos físicos e lógicos estão expostos e, assim,
tornar possível avaliar, por meio de uma matriz de risco, o grau de consequência
que uma ocorrência maliciosa a um ativo possa causar aos negócios da empresa, é
apresentada uma proposta para implementação da política de segurança da
informação baseada na Norma ABNT NBR ISO/IEC 27002:2005.
Palavras chaves: Informação, Politica, Segurança da Informação.
SUMMARIZE
The presente work`s mean objective is to propose na information security
policy for the company Orion S/A. For the execution of this work, it was made a
theoretical reference based on books, articles, projects and technical standards. After
the conclusion of the reference is submitted all the physical and logical information
about the company Orion S/A, whose objective is the visualization of all the
vulnerabilities that the physical and logical activities are exposed thus will be possible
to evaluate by a parent company (matrix), the risks and the consequences that a
wrong occurrence in the actives can cause in the business. With the conclusion of
the parent company is exhibit a proposition for the implementation of the information
security policy based in ABNT NBR ISO/IEC 27002:2005.
Keywords: information; policy; information security.
LISTA DE FIGURAS
Figura 01 – Entrada pela garagem do prédio ........................................................... 31
Figura 02 – Entrada pela portaria do 2º subsolo ...................................................... 32
Figura 03 – Entrada da antessala para identificação ............................................... 33
Figura 04 – Sala de Rack e Switches ....................................................................... 34
Figura 05 – Estações de trabalho ............................................................................. 35
Figura 06 – Sistema de gerenciamento HP OpenView ............................................ 36
LISTA DE QUADROS
Quadro 01 – Inventário de ativos ............................................................................. 10
Quadro 02 – Definição do nível de probabilidade .................................................... 19
Quadro 03 – Definição do nível de impacto ............................................................. 19
Quadro 04 – Matriz do nível de risco ........................................................................ 20
Quadro 05 – Definição do nível de riscos ................................................................. 21
Quadro 06 – Modelo de Matriz de risco utilizada ..................................................... 37
Quadro 07 – Matriz de risco – segurança física ....................................................... 38
Quadro 08 – Matriz de risco – segurança lógica ...................................................... 39
SUMARIO
CAPÍTULO I – APRESENTAÇÃO .............................................................. 1
1.1 Introdução ............................................................................................. 1
1.2 Justificativa ............................................................................................ 2
1.3 Objetivos ............................................................................................... 2
1.3.1 Objetivo Geral .................................................................................... 2
1.3.2 Objetivos Específicos ......................................................................... 2
1.4 Metodologia ....................................................................................... 3
CAPITULO II – REFERENCIAL TEÓRICO ................................................ 4
2.1 Informação ............................................................................................ 4
2.2 Seguranças da Informação ................................................................... 5
2.3 Conceitos atrelados à Segurança da Informação .................................. 6
2.3.1 Ativo ................................................................................................... 6
2.3.2 Classificação dos Ativos de Informações ........................................... 7
2.3.3 Risco .................................................................................................. 9
2.3.4 Vulnerabilidade ................................................................................... 9
2.3.5 Ameaça .............................................................................................. 10
2.3.6 Ataque ................................................................................................ 12
2.3.7 Matriz de Risco ................................................................................... 14
2.3.8 Segurança do Ambiente Físico .......................................................... 17
2.3.9 Segurança do Ambiente Lógico ......................................................... 19
2.4 Políticas de Segurança da Informação .................................................. 20
2.4.1 Objetivos da Política de Segurança da Informação ............................ 21
CAPITULO III – ESTUDO DE CASO .......................................................... 23
3.1 A Empresa ............................................................................................. 23
3.1.1 Principais Atribuições da ORION S/A ................................................. 24
3.1.2 Estrutura da ORION S/A .................................................................... 24
3.1.3 Aspectos relacionados à Segurança Física ........................................ 25
3.1.4 Aspectos relacionados à Segurança Lógica ....................................... 27
3.1.5 Matriz de Risco ................................................................................... 29
3.1.6 Matriz de Risco – Segurança Física ................................................... 30
3.1.7 Matriz de Risco – Segurança Lógica .................................................. 31
3.1.8 Análise da Matriz de Risco ................................................................. 31
CAPITULO IV – PROPOSTA DE POLÍTICA DE SEGURANÇA ................ 41
4.1 Título da Política .................................................................................... 41
4.2 Instituição a que se destina ................................................................... 41
4.3 Objetivo da Política ............................................................................... 42
4.4 Abrangência da Política ......................................................................... 42
4.5 Definições Básicas da Política .............................................................. 42
4.6 Referências ........................................................................................... 43
4.7 Diretrizes da Política .............................................................................. 43
4.7.1 Segurança Física ............................................................................... 43
4.7.2 Segurança Lógica .............................................................................. 44
4.8 Conformidade ........................................................................................ 45
4.9 Penalidade ............................................................................................ 45
4.10 Disposições Gerais ............................................................................. 45
CAPITULO V – CONCLUSÃO .................................................................... 46
REFERÊNCIAS ........................................................................................... 47
1
CAPÍTULO I – APRESENTAÇÃO
1.1 INTRODUÇÃO
No Brasil, com o crescente nível de desenvolvimento dos recursos de
comunicação, a informação tornou-se o ativo de maior valor para qualquer empresa
pública, privada e até mesmo para a vida pessoal das pessoas.
Nos últimos anos os órgãos públicos vêm implementando redes locais de
computadores cada vez mais amplas, como exigência para suportar o fluxo
crescente de informações, bem como permitir que seus funcionários acessem à rede
mundial de computadores, para melhor desempenharem suas funções.
A exploração pelos diversos meios tecnológicos de comunicação existentes
por qualquer tipo de informação é cada vez maior. Exemplo disso são as redes
sociais, onde se acessa qualquer tipo de conteúdo que possa, após tratamento, ser
transformado em algum tipo de informação. Manter a segurança de uma empresa no
ambiente computacional interconectado, nos dias atuais, é um grande desafio, que
se torna mais difícil à medida que são lançados novos produtos e serviços para a
rede mundial de computadores (Internet) e novas ferramentas de ataque são
desenvolvidas e difundidas rapidamente. Portanto segurança da informação é algo
que viabiliza e soma valores aos negócios, sustentando e garantindo a continuidade
do negócio da empresa, na proporção em que possibilita a satisfação dos clientes,
elevando a produtividade de seus funcionários e mantendo a imagem que a
empresa constituiu no mercado.
O objetivo deste trabalho é apresentar uma proposta de uma política de
segurança da informação para empresa ORION S/A, administrar e monitorar data
center de órgãos públicos com base na Norma ABNT NBR ISO/IEC 27002:2005.
2
1.2 JUSTIFICATIVA
A empresa ORION S/A, oferece soluções tecnológicas completas para
ambientes e sistemas de gerenciamento e monitoramento para Data Centers
seguros. A empresa atua em todas as etapas de uma obra, desde o projeto e suas
especificações técnicas, passando pela infraestrutura física e equipamentos
chegando até os serviços de manutenção, os quais garantem a continuidade,
segurança e a alta disponibilidade destes ambientes. Oferece, também, serviços na
áreas de manutenção predial, telecomunicações, automação, CFTV, controle de
acesso e cabeamento estruturado. A implantação de uma politica de segurança da
informação com base na Norma ABNT NBR ISO/IEC 27002:2005 é imprescindível
para a garantia de confidencialidade, integridade e disponibilidade para os ativos de
maior valor de um individuo ou organização.
1.3 OBJETIVOS
1.3.1 OBJETIVOS GERAIS
Elaborar uma proposta de Política de Segurança da Informação para empresa
ORION – S/A com base na Norma ABNT NBR ISO/IEC 27002:2005.
1.3.2 OBJETIVOS ESPECIFICOS
- Verificar a bibliografia sobre política de segurança da informação.
- Identificar ativos de informação da empresa.
- Identificar possíveis vulnerabilidades.
3
- Elaborar a política de segurança da informação, com base na Norma ABNT
ISO/IEC 27002:2005, contemplando os ambientes físicos e lógicos da
empresa.
1.4 METODOLOGIA
Este trabalho foi executado utilizando-se os seguintes procedimentos
metodológicos:
a) Pesquisa e análise literária de conteúdos físicos e de internet.
b) Visitas ao local para identificação dos ativos físicos e lógicos, valor
de cada um para o negócio da organização e possíveis
vulnerabilidades.
c) Elaboração de uma matriz, embasada nas informações levantadas
no local, para definição dos riscos, probabilidades e impactos que
incidentes causariam ao negócio.
d) Elaboração da política de segurança da informação, de acordo com
a análise de todas as informações levantadas e as orientações da
ABNT NBR ISO/IEC 20072.
4
CAPITULO II – REFERENCIAL TEÓRICO
2.1 – INFORMAÇÃO
É um conjunto de dados que organizados tornam-se compreensíveis
formando ativos de grande valor para o individuo ou organizações.
Conforme definição da norma ABNT NBR ISO/IEC 27002 (2005, p. x), “A
informação é um ativo que, como qualquer outro ativo importante, é essencial para
os negócios de uma organização e, consequentemente, necessita ser
adequadamente protegida”. De acordo com a mesma norma (p. x), “Segurança da
informação é a proteção da informação de vários tipos de ameaças para garantir a
continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os
investimentos e as oportunidades de negócio”.
Para Campos (2007, p. 21),
A informação é elemento essencial para todos os processos de negócio da organização, sendo, portanto um bem ou ativo de grande valor. Logo, pode-se dizer que a informação se tornou o ativo mais valioso das organizações, podendo ser alvo de uma série de ameaças com a finalidade de explorar as vulnerabilidades e causar prejuízos consideráveis. Portanto, faz-se necessária à implementação de políticas de segurança da informação que busquem reduzir as chances de fraudes ou perda de informações.
De acordo com Ferreira (2003, p. 11),
a norma é de fácil compreensão, contemplando os seguintes pilares básicos da segurança da informação:
a) Confidencialidade: somente pessoas devidamente autorizadas
pela empresa devem ter acesso à informação. b) Integridade: somente alterações, supressões e adições autorizadas
pela empresa devem ser realizadas nas informações.
c) Disponibilidade: a informação deve estar disponível para as
pessoas autorizadas sempre que necessário ou demandado.
5
2.2 SEGURANÇA DA INFORMAÇÃO
É um conjunto de procedimentos e métodos que possam garantir a
confidencialidade, integridade e disponibilidade para proteger os ativos de valores e
informações do indivíduo ou organizações.
Segundo Dias (2000),
Os sistemas de informática, para operarem de forma adequada e garantirem a segurança das informações da organização, necessitam de ambientes controlados, protegidos contra desastres naturais (incêndio, terremoto, enchente), falhas estruturais (interrupção do fornecimento de energia elétrica, sobrecargas elétricas), sabotagem, fraudes, acessos não autorizados (hackers, espionagem industrial, venda de informações confidenciais para a concorrência) e outros. Por fim a segurança do ambiente computacional deve também ser encarada como proteção ao patrimônio da organização e aos investimentos feitos em equipamentos, software e pessoal. Os recursos computacionais e as informações sobre a organização, por terem alto valor de mercado, podem ser atrativos para ladrões ou espiões.
Para Sêmola (2003, p. 43),
Podemos definir Segurança da Informação como uma área do conhecimento dedicada à proteção da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade. De forma mais ampla, para que haja segurança da informação primeiramente deve ser feita uma análise de risco que identifique todos os riscos (vulnerabilidades + ameaças) que ameacem as informações, considerando os três conceitos básicos da segurança: confidencialidade, integridade e disponibilidade da informação. Desta forma estaríamos falando da definição de regras que incidiram sobre todos os momentos do ciclo de vida da informação: armazenamento, manuseio, transporte e descarte, viabilizando a identificação e o controle de ameaças e vulnerabilidades.
De acordo com Ferreira (2003, p. 01),
A segurança da informação protege a informação de diversos tipos de ameaças garantindo a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e das oportunidades. Na sociedade da informação, ao mesmo tempo em que as informações são consideradas os principais patrimônios de uma organização, estão também sob constante risco, como nunca estiveram antes. Com isso, a segurança da informação tornou-se um ponto crucial para sobrevivência das organizações.
6
2.3 CONCEITOS ATRELADOS À SEGURANÇA DA INFORMAÇÃO 2.3.1 ATIVO É um conjunto de bens, dados e informação que tenha valor para um
individuo ou uma organização.
“Ativo é tudo que manipula direta ou indiretamente uma informação, inclusive
a própria informação, dentro de uma Organização, isso que devem ser protegido
contra ameaças para que o negócio funcione corretamente.” (MOREIRA, 2001, p.
20).
“Ativo é todo elemento que compõe os processos que manipulam e processa
a informação, a contar a própria informação, o meio em que ela é armazenada, os
equipamentos em que ela é manuseada, transportada e descartada.” (SÊMOLA,
2003, p.45).
De acordo com a Norma ABNT NBR ISO/IEC 27002 (2005, p. 21), existem
vários tipos de ativos, incluindo:
a) Ativos de informação: base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas;
b) Ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;
c) Ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos;
d) Serviços: serviços de computação e comunicações, utilidades gerais, por exemplo, aquecimento, iluminação, eletricidade e refrigeração;
e) Pessoas e suas qualificações, habilidades e experiências. f) Intangíveis, tais como a reputação e a imagem da organização.
7
2.3.2 CLASSIFICAÇÕES DOS ATIVOS DE INFORMAÇÕES Conforme a Norma ABNT NBR ISO/IEC 27002 (2005, p. 23),
Convém que a classificação da informação e seus respectivos controles de proteção levem em consideração as necessidades de negócios para compartilhamento ou restrição de informações e os respectivos impactos nos negócios, associados com tais necessidades. Convém que as diretrizes para classificação incluam convenções para classificação inicial e reclassificação ao longo do tempo, de acordo com algumas políticas de controle de acesso predeterminadas. Convém que cuidados sejam tomados com a quantidade de categorias de classificação e com os benefícios obtidos pelo seu uso. Esquemas excessivamente complexos podem tornar o uso incômodo e ser inviáveis economicamente ou impraticáveis. Convém que atenção especial seja dada na interpretação dos rótulos de classificação sobre documentos de outras organizações, que podem ter definições diferentes para rótulos iguais ou semelhantes aos usados.
Segundo Sêmola (2003, p. 45 e 46),
Existem muitas formas de dividir e agrupar os ativos para facilitar seu tratamento, mas um modelo em especial seria: equipamentos, usuários, ambientes, informações e processos. Desta forma torna-se possível identificar melhor as fronteiras de cada grupo, tratando-se com especificidade e aumentando qualitativamente as atividades de segurança.
Para Ferreira; Araújo (2008, p. 78),
A classificação da informação é o processo de estabelecer o grau de importância das informações mediante seu impacto no negócio, ou seja, quanto mais estratégica e decisiva para a manutenção ou sucesso da organização, maior será sua importância. A classificação deve ser realizada a todo instante, em qualquer meio de armazenamento. Existem regras que devem ser consideradas durante a classificação e a principal delas é a determinação de proprietários para todas as informações, sendo este o responsável por auxiliar na escolha do meio de proteção.
Para organizar e classificar os ativos de informação, pode-se usar como
parâmetro o modelo exemplificado no quadro 1, a seguir:
8
Quadro 1: Inventário de ativos
NATUREZA DO ATIVO
ATIVOS DA INFORMAÇÃO
Informação
Banco de dados e arquivos magnéticos
Documentação de sistemas e manual do usuário
Material de treinamento
Procedimentos operacionais de recuperação
Planos de continuidade
Documentos em papel
Contratos
Documentação de empresa
Relatórios confidenciais
Software
Aplicativos
Sistemas operacionais
Ferramentas de desenvolvimento
Utilitários do sistema
Físico
Servidores, desktops e notebooks.
Impressoras e copiadoras
Equipamentos de comunicação
Mídias magnéticas
Gerador, nobreak e ar-condicionado.
Móveis prédios e salas.
Pessoa
Empregados, estagiários, terceiros.
Serviço ou atividade
Computação (aplicação de patches, backup)
Comunicação (ligações telefônicas, videoconferências).
Utilidades gerais
Fonte: Ferreira (2008, p. 78 e 79)
De acordo com a Norma ABNT NBR ISO/IEC 27002 (2005, p. 21),
Convém que a organização identifique todos os ativos e documente a importância destes ativos. Convém que o inventário do ativo inclua todas as
9
informações necessárias que permitem recuperar de um desastre, incluindo o tipo do ativo, formato, localização, informações sobre cópias de segurança, informações sobre licenças e a importância do ativo para o negócio. Convém que o inventário não duplique outros inventários desnecessariamente, porém ele deve assegurar que o seu conteúdo está coerente. Adicionalmente, convém que o proprietário e a classificação da informação sejam acordados e documentados para cada um dos ativos. Convém que, com base na importância do ativo, seu valor para o negócio e a sua classificação de segurança, níveis de proteção proporcionais à importância dos ativos seja identificados.
2.3.3 RISCO
Risco em segurança da informação está relacionado a qualquer evento que
possa causar algum tipo de prejuízo ao negócio de uma empresa.
Conforme Moreira (2001, p. 21),
Todos os ativos da empresa estão sujeitos a vulnerabilidades proporcionam riscos para a empresa, e são causados muitas vezes por falhas nos seus controles. Logo, podemos dizer que os riscos surgem em decorrência da presença de fraqueza e, por conseguinte, vulnerabilidade.
“Um risco existe quando uma ameaça, com potencial para causar algum
dano, possui uma vulnerabilidade correspondente com alto índice de probabilidade
de ocorrência no ambiente computacional e um baixo nível de proteção.”
(MOREIRA, 2001, p. 20).
“Risco é a probabilidade de ameaças explorarem vulnerabilidades,
provocando perdas de confidencialidade, integridade e disponibilidade, causando
possivelmente, impactos ao negócio.” (SÊMOLA, 2003, p. 50).
2.3.4 VULNERABILIDADE
São falhas e brechas encontradas por agente malicioso nos sistemas de
informações e software colocando em risco os ativos de valores de um individuo ou
uma organização.
10
“Vulnerabilidade é uma fraqueza que pode ser acidentalmente utilizada ou
intencionalmente explorada.” (FERREIRA; 2008, p. 171).
Para Veras (2010, p. 111),
Vulnerabilidade é a deficiência de um sistema ou recurso que, se explorado, leva à materialização da ameaça. As vulnerabilidades originam-se das seguintes áreas:
Implementação: falhas de software e protocolos, projeto incorreto do software, testes incompletos, etc.;
Configuração: dispositivos não configurados adequadamente, uso de configurações padrões, etc.;
Projeto: projeto ineficiente de segurança, falta de implementação de mecanismos de segurança.
Segundo Sêmola (2003, p. 48),
Vulnerabilidades é a fraqueza presente ou associada a ativos que manipulam e/ou processam informações que, ao ser explorada por ameaças, permite ocorrência de um incidente de segurança da informação: confidencialidade, integridade e disponibilidade. As vulnerabilidades por si só não provocam incidentes, pois são elementos passivos, necessitando para tanto de um agente causador ou condição
favorável, que são as ameaças.
Conforme Moreira (2001, p. 22),
A Vulnerabilidade é o ponto onde qualquer sistema é suscetível a um ataque, ou seja, é uma condição encontrada em determinados recursos, processos, configurações e etc. Condição causada muitas vezes pela ausência ou ineficiência das medidas de proteção utilizadas com intuito de salvaguardar os bens da empresa.
2.3.5 AMEAÇA
É qualquer situação, com intenção maliciosa ou não, que possa colocar em
risco ou trazer algum prejuízo para os ativos de uma empresa através da exploração
de vulnerabilidades.
11
Para Veras (2010, p. 111),
Ameaça: evento que pode acarretar danos ao ambiente de TI e aos seus recursos. Os Datacenter são vulneráveis às ameaças que afetam toda a rede do negócio e a ameaças específicas. As ameaças mais comuns são:
. Violação de informação confidencial. . Violação de dados ou alteração. . Uso não autorizado de recursos computacionais. . Violação de identidade.
Para Dias (2000, p. 56),
Ameaça é tudo aquilo que pode comprometer a segurança de um sistema, podendo ser acidental (falha de hardware, erros de programação, desastres naturais, erros de usuário, bugs de software, uma mensagem secreta enviada a um endereço incorreto, etc.) ou deliberada (roubo, espionagem, fraude, sabotagem, invasão de hackers, entre outros). Ameaça pode ser uma pessoa, uma coisa, um evento ou uma ideia capaz de causar dano a um recurso, em termos de confidencialidade, integridade, disponibilidade, etc. As ameaças deliberadas podem ser subdivididas ainda em passivas e ativas. Ameaças passivas envolvem invasão e/ou monitoramento, mas sem alteração de informações. Já as ameaças ativas envolvem alteração de dados. É importante ressaltar que a magnitude de uma ameaça deliberada está diretamente relacionada com oportunidade, motivação e forma com que são detectadas e punidas as quebras de segurança.
Conforme Sêmola (2003, p. 47 e 48),
Ameaças são agentes que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidade, provocando perdas de confidencialidade, integridade e disponibilidade e, consequentemente, causando impactos aos negócios de uma organização. Classificando as ameaças quanto a sua intencionalidade, elas podem ser divididas nos seguintes grupos:
Naturais – Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremoto, tempestades eletromagnéticas, maremotos, aquecimento, poluição etc.
Involuntárias – Ameaças inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causadas por acidentes, erros, falta de energia etc.
Voluntárias – Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários.
12
2.3.6 ATAQUE
É o ato de atacar um software ou um sistema de informação para explorar as
vulnerabilidades.
De acordo com Ferreira (2008, p. 172),
Um ataque pode ser (i) uma tentativa maliciosa de obter acesso não autorizado a um sistema podendo comprometer a confidencialidade, integridade e disponibilidade das informações ou (ii) somente para obtenção de acesso para efetuar algum tipo de consulta ou suporte, mas burlando a segurança.
Conforme Sêmola (2003, p. 50),
Fato (evento) decorrente da ação de uma ameaça, que explora uma ou mais vulnerabilidades, levando à perda de princípios da segurança da informação: confidencialidade, integridade e disponibilidade. Um incidente gera impactos aos processos de negócio da empresa sendo ele o elemento a ser evitado em uma cadeia de gestão de processos e pessoas.
“Os motivos que levam os atacantes a desferir ataques são bastante diversos,
variando da simples diversão até a realização de ações criminosas. Alguns
exemplos:” Segundo Cert.br (2012, p.17 , 18),
Demonstração de poder: mostrar a uma empresa que ela pode ser invadida ou ter os serviços suspensos e, assim, tentar vender serviços ou chantageá-la para que o ataque não ocorra novamente. Prestígio: vangloriar-se, perante outros atacantes, por ter conseguido invadir computadores, tornar serviços inacessíveis ou desfigurar sites considerados visados ou difíceis de serem atacados; Disputar com outros atacantes ou grupos de atacantes para revelar quem consegue realizar o maior numero de ataques ou ser o primeiro a conseguir atingir um determinado alvo. Motivações ideológicas: tornar inacessível ou invadir sites que divulguem conteúdo contrario a opinião do atacante; divulgar mensagens de apoio ou contrarias a uma determinada ideologia.
Segundo Cert.br (2012, p. 18, 20),
13
Varredura em redes (Scan) – Varredura em redes, ou scan, é uma técnica que consiste em efetuar buscas minuciosas em redes, com o objetivo de identificar computadores ativos e coletar informações sobre eles como, por exemplo, serviços disponibilizados e programas instalados. Com base nas informações coletadas é possível associar possíveis vulnerabilidades aos serviços disponibilizados e aos programas instalados nos computadores ativos detectados. Interceptação de trafego (Sniffing) – interceptação de trafego, ou sniffing, é uma técnica que consiste em inspecionar os dados trafegados em redes de computadores, por meio do uso de programas específicos chamados de sniffers. Força bruta (Brute force) – Um ataque de força bruta, ou brute force, consiste em adivinhar, por tentativa e erro, um nome de usuário e senha e, assim, executar processos e acessar sites, computadores e serviços em nome e com os mesmos privilégios deste usuário. Negação de serviço (DoS ou DDoS) – Negação de serviço, ou DoS (Deniaal of Service), é uma técnica pela qual um atacante utiliza um computador para tirar de operação um serviço, um computador ou uma rede conectada a internet. Quando utilizada e forma coordenada e distribuída, ou seja, quando um conjunto de computadores é utilizado no ataque, recebe o nome de negação de serviço distribuído, ou DDoS (Distributed Denial of Service).
De acordo com que foi visto em sala de aula Leal ( 2013), alguns conceitos e
técnicas de ataques baseados em programas maliciosos (malware). São:
Vírus – o termo vírus foi aplicado por causa da reprodução desses arquivos. Não é à toa que a palavra vírus é a que mais circula quando o assunto é perigos de computador. Afinal, os vírus são os programas mais utilizados para causar danos, roubar informações, etc. os vírus se diferenciam dos outros malwares por sua capacidade de infectar um sistema, fazer cópias de si mesmo e tentar se espalhar para outros computadores, da mesma maneira que um vírus biológico faz. Vírus são típicos de arquivos anexos de e-mails. Isso acontece porque quase sempre é necessário que um vírus seja acionado através de uma ação do usuário. Um dos vírus mais perigosos já registrados foi o “ILOVEYOU”, uma carta de amor que se espalhou por email e é considerada responsável pela perda de mais de cinco bilhões de dólares em diversas empresas. Worms – Esses vermes não são inofensivos. Um worm (verme, em inglês) de computador é um programa malicioso que se utiliza de uma rede para se espalhar por vários computadores sem que nenhum usuário interfira neste processo (ai está a diferença entre vírus e worm). Os worms são perigosos pois podem ser disparados, aplicados e espalhados em um processo totalmente automático e não precisar se anexar a nenhum arquivo para isso. Enquanto vírus buscam modificar e corromper arquivos, os worms, costumam consumir banda de uma rede. Trojan (cavalo de tróia) – É um programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário. Pode ser, por exemplo, um aquivo que você baixou como um protetor de telas, mas, depois da instalação, diversos outros programas ou comandos também foram executados. Isso significa que nem todo trojan prejudica um computador, pois, em alguns casos, ele apenas instala componentes dos quais não temos conhecimento, forçadamente. Rootkits – estes programas tem a capacidade de se esconder de quase todos os programas antivírus através de um avançado código de
14
programação. Mesmo que um arquivo rootkit seja encontrado, em alguns casos ele consegue impedir que você o delete. Em resumo, os rootkits são a maneira mais eficiente para invadir um sistema sem ser pego. Spyware – É um programa espião, com característica de monitorar páginas visitada e outros hábitos de navegação para informar os autores. De posse dessas informações, tais autores podiam atingir os usuários com mais eficiência em propagandas, por exemplo. Também foram utilizados para roubo de informações pessoais (como logins e senhas) e também para a modificação de configurações do computador (como página home do seu navegador).
Conforme Cert.br (2012, p. 23),
Códigos maliciosos (malware) são programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador. Algumas das diversas formas como os códigos maliciosos podem infectar ou comprometer um computador são:
Pela exploração de vulnerabilidades existentes nos programas instalados;
Pela auto execução de mídias removíveis infectadas, como pen-drives;
Pelo acesso a paginas Web maliciosas, utilizando navegadores vulneráveis;
Pela ação direta de atacantes que, após invadirem o computador, incluem arquivos contendo códigos maliciosos;
Pela execução de arquivos previamente infectados, obtidos em anexos de mensagens eletrônicas, via mídias removíveis, em paginas Web ou diretamente de outros computadores (através do compartilhamento de recursos).
2.3.7 MATRIZ DE RISCO
Avaliando e identificando o nível do risco a que cada ativo estará exposto.
Essa avaliação é constituída por meio de uma matriz de risco, que é determinada
pelo grau de impacto, multiplicado pela probabilidade de ocorrência. Assim será
possível traçar as estratégias necessárias para minimizar possíveis incidentes.
“A melhor forma de determinar o grau de risco é relacionar em detalhes quais
seriam os impactos para a organização, se uma ameaça conseguir explorar uma
vulnerabilidade.” (FERREIRA, 2008, p. 177).
15
Segundo Sêmola (2003, p. 112)
Calculada a probabilidade e severidade de uma ameaça explorar cada uma das vulnerabilidades encontradas em cada ativo, obtemos o nível de risco final de cada ativo. De posse desses resultados parciais, podemos projetar o nível de risco de cada processo de negócio, considerando os riscos de cada ativo que o sustenta. A partir desse momento, podemos estimar o risco do negócio como um todo, calculando de forma ponderada os riscos de cada um dos processos de que o negócio que o suporta.
Para se determinar o nível de probabilidade de possíveis ocorrências e o nível
de impacto, podem-se utilizar os critérios conforme Quadro 2 e Quadro 3, a seguir:
Quadro 2: Definição do nível de probabilidade
NÍVEL
DEFINIÇÃO
Alto
A fonte de ameaça está altamente motivada e possui conhecimento suficiente para
execução do ataque. Os controles de segurança para prevenir que a vulnerabilidade
seja explorada são ineficazes
Médio
A fonte de ameaça está motivada e possui conhecimento suficiente para execução do
ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada
são eficazes
Baixo
A fonte de ameaça não está altamente motivada e não possui conhecimento suficiente
para execução do ataque. Os controles de segurança para prevenir que a
vulnerabilidade seja explorada são eficazes
Fonte: Ferreira (2008, p. 177)
16
Quadro 3: Definição do nível de impacto
NÍVEL
DEFINIÇÃO
Alto
Perda significante dos principais ativos e recursos.
Perda da reputação, imagem e credibilidade.
Impossibilidade de continuar com as atividades de negócio.
Médio
Perda dos princípios ativos e recursos.
Perda da reputação, imagem e credibilidade
Baixo
Perda de alguns dos principais ativos e recursos.
Perda da reputação, imagem e credibilidade
Fonte: Ferreira (2008, p. 178)
Segundo Ferreira (2008, p. 179), e como pode ser visto no Quadro 4, a
determinação do risco é obtida pela multiplicação da classificação da probabilidade
de ocorrência versus o impacto na organização.
Quadro 4: Matriz do nível de risco
PROBABILIDADE
IMPACTO
Baixo
(10)
Médio
(50)
Alto
(100)
Alto (1,0)
Baixo
10 x 1,0 = 10
Médio
50 x 1,0 = 50
Alto
100 x 1,0 = 100
Médio (0,5)
Baixo
10 x 0,5 = 5
Médio
50 x 0,5 = 25
Médio
100 x 0,5 = 50
Baixo (0,1)
Baixo
10 x 0,1 = 1
Baixo
50 x 0,1 = 5
Baixo
100 x 0,1 = 10
Escala do risco:
Alto – pontuação entre 51 e 100
Médio – pontuação entre 11 e 50
17
Baixo – pontuação entre 1 e 10
Fonte: Ferreira (2008, p. 179)
“Após a determinação da matriz de riscos, deve ser especificada a descrição
do nível do risco (Alto, Médio e Baixo), bem como as ações necessárias para
diminuí-lo.” (FERREIRA, 2008, p. 180)
A seguir, Quadro 5, com as definições dos níveis de riscos.
Quadro 5: Definição do nível de riscos
NÍVEL
DEFINIÇÃO
Alto
Se uma possibilidade de melhoria for avaliada como sendo de alto risco, existe
necessidade imediata para contramedidas serem adotadas. Os sistemas podem
continuar operando, entretanto, ações corretivas devem ser iniciadas o mais breve
possível.
Médio
Se uma possibilidade de melhoria for classificada como sendo de médio risco, ações
corretivas estabelecidas em um plano de ação, devem ser realizadas em um curto
período de tempo.
Baixo
Se uma observação for classificada como sendo de baixo risco, os administradores e
proprietários das informações devem avaliar a necessidade de efetuar manutenção
corretiva ou assumir o risco.
Fonte: Ferreira (2008, p. 180)
2.3.8 SEGURANÇA DO AMBIENTE FÍSICO
“Diretrizes para a proteção dos recursos e instalações de processamento de
informações críticas ou sensíveis do negócio contra acesso não autorizado, dano ou
interferência.” (BEAL, 2005, p.45)
18
“Pode-se obter proteção física criando uma ou mais barreiras físicas ao redor
das instalações e dos recursos de processamento da informação da organização”.
(ABNT NBR ISO/IEC 27002:2005, P. 33)
Segundo a norma ABNT NBR ISO/IEC 27002 (2005, p. 32), o objetivo da
implantação da segurança do ambiente físico é:
Prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Convém que as instalações de processamento da informação criticas ou sensíveis sejam mantidas em áreas seguras, protegidas por perímetros de segurança definidos, com barreiras de segurança e controles de acesso apropriados. Convém que sejam fisicamente protegidas contra o acesso não autorizado, danos e interferências.
“Qualquer acesso às dependências da organização, desde as áreas de
trabalho até aquelas consideradas severas (onde ocorre o processamento das
informações críticas e confidenciais) deve ser controlado sempre fazendo necessária
a sua formalização.” (FERREIRA, 2008, p. 123)
Uma das ferramentas de segurança de ambiente é o uso de monitoração por
circuito fechado de TV.
De acordo com Ferreira; Araújo (2008, p. 124),
As áreas de alto risco, ou seja, onde há comprometimento da continuidade dos negócios da organização, devem possuir procedimentos apoiados em sistemas inteiramente automáticos de forma que seja possível monitorar, por circuito de TV, o hall de entrada e as áreas criticas e importantes da organização.
Outra ferramenta para segurança de ambientes físicos é a implantação de
dispositivos de controle de identificação e autenticação de pessoas, por meio de
cartão eletrônico, senha pessoal, biometria e etc. Essa identificação precisa ser
obrigatória para todas as pessoas que transitarem pelas dependências da
organização.
De acordo com a norma ABNT NBR ISO/IEC 27002 (2005, p. 33),
19
O acesso às áreas em que são processadas ou armazenadas informações sensíveis seja controlado e restrito às pessoas autorizadas; convém que sejam utilizados controles de autenticação, por exemplo, cartão de controle de acesso mais PIN (personal identification number), para autorizar e validar todos os acessos; deve ser mantido de forma segura um registro de todos os acessos pra fins de auditoria; Seja exigido que todos os funcionários, fornecedores e terceiros, e todos os visitantes, tenham alguma forma visível de identificação, e eles devem avisar imediatamente o pessoal de segurança caso encontrem visitantes não acompanhados ou qualquer pessoa que não esteja usando uma identificação visível.
2.3.9 SEGURANÇA DO AMBIENTE LÓGICO
“Segurança do ambiente lógico: diretrizes para garantir a operação correta e
segura dos recursos computacionais e proteger a integridade dos serviços.” (BEAL,
2005, p. 45)
Segundo a norma ABNT NBR ISO/IEC 27002 (2005, p. 65)
Convêm que o acesso à informação, recursos de processamento das informações e processos de negócios sejam controlados com base nos requisitos de negócio e segurança da informação. Convém que as regras de controle de acesso levem em consideração as políticas para autorização e disseminação da informação. Convêm que a política de controle de acesso seja estabelecida documentada a analisada criticamente, tornando-se como base os requisitos de acesso dos negócios e segurança da informação.
Ainda, segundo a norma ABNT NBR ISO/IEC 27002 (2005, p. 65)
Convém que as regras de controle de acesso e direitos para cada usuário ou grupos de usuários sejam expressas claramente na política de controle de acesso. Convém considerar os controles de acesso lógico e físico de forma conjunta. Convém fornecer aos usuários e provedores de serviços uma declaração nítida dos requisitos do negócio a serem atendidos pelos controles de acessos.
Segundo Sêmola (2003, p. 118),
Destinados a suprir os processos de identificação de pessoas, equipamentos, sistemas e agentes em geral, os mecanismos de autenticação mostram-se fundamentais para os atuais padrões de
20
informação, automatização e compartilhamento de informações. Sem identificar a origem de um acesso e seu agente, torna-se praticamente inviável realizar autorizações condizentes com os direitos de acesso, podendo levar a empresa a compartilhar informações valiosas sem controle.
De acordo com a norma ABNT NBR ISO/IEC 27002 (2005, p. 66),
Convêm que procedimentos formais sejam implementados para controlar a distribuição de direitos de acesso a sistemas de informação e serviços. Convêm que os procedimentos cubram todas as fases do ciclo de vida de acesso do usuário, da inscrição inicial como novos usuários até o cancelamento final do registro de usuários que já não requerem acesso a sistemas de informação e serviços. Convêm que atenção especial seja dada, onde apropriado, para a necessidade de controlar a distribuição de direitos de acesso privilegiado que permitem os usuários mudar controles de sistemas. Convêm que exista um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informações e serviços.
Conforme Beal (2005, p. 61),
Os usuários de ativos de informações somente poderão utilizá-los por meio de chaves de acesso, autenticadas por senhas secretas de seu exclusivo conhecimento. As senhas são sigilosas, individuais e intransferíveis, não podendo ser divulgadas em nenhuma hipótese. As operações sob o uso de determinada senha são de responsabilidade exclusiva de seu possuidor. Recomenda-se que as senhas não sejam anotadas em papel ou outros meios de registro de fácil acesso.
2.4 POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
Para Ferreira (2008, p. 36)
A politica de segurança define o conjunto de normas, métodos e procedimentos utilizados para a manutenção da segurança da informação, devendo ser formalizada e divulgada a todos os usuários que fazem uso dos ativos de informação. Deve-se utilizar uma visão metódica, criteriosa e técnica em seu desenvolvimento e elaboração, de forma que possam ser sugeridas alterações na configuração de equipamentos, na escolha de tecnologia, na definição de responsabilidade e, por fim, na elaboração das políticas com perfil da empresa e dos negócios que ela pratica.
21
Não podemos esquecer que ela deve expressar os anseios dos proprietários ou acionistas, que são responsáveis por decidir os destinos de todos os recursos da organização em relação ao uso da informação por todos aqueles que têm acesso a este bem.
De acordo com Beal (2005, p. 43)
A elaboração de uma política de segurança (PSI) representa um passo fundamental no estabelecimento de um sistema de gestão de segurança da informação eficaz. A PSI é o documento que registra os princípios e as diretrizes de segurança adotado pela organização, a serem observados por todos os seus integrantes e colaboradores e aplicados a todos os sistemas de informação e processos corporativos. A PSI estabelece as linhas-mestras a serem seguidas na implementação da segurança da informação, formalizando todos os aspectos relevantes para a proteção, o controle e o monitoramento de seus ativos de informação. Por meio dela a direção da organização demonstra seu comprometimento com proteção da informação, e cria a base para a colaboração de todos os integrantes com os processos de identificação e tratamento dos riscos.
Segundo a norma ABNT NBR ISO/IEC 27002 (2005, p. ix),
Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.
A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo politicas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os negócio e de segurança da organização sejam atendidos. Convêm que isto seja feito em conjunto com outros processos de gestão do negócio.
2.4.1 OBJETIVOS DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
“O objetivo de qualquer política de segurança é o de definir as expectativas
da organização quanto ao uso dos seus recursos (computadores e rede),
estabelecendo procedimentos com o intuito de prevenir e responder a incidentes
relativos à segurança.” (MOREIRA, 2001, p. 36).
22
Para Beal (2005, p. 49).
Política de segurança é um conjunto de diretrizes gerais destinadas a governar a proteção a ser dada a ativos da companhia. As consequências de uma política de segurança implementada e corretamente seguida podem ser resumidas em três aspectos. . Redução da probabilidade de ocorrência. . Redução dos danos provocados por eventuais ocorrências. . Criação de procedimentos para se recuperar de eventuais danos.
Segundo a Norma ABNT NBR ISO/IEC 27002 (2005, p. xi), são fatores
críticos para o sucesso de uma política de segurança da informação:
a) Política de segurança da informação, objetivos e atividades, que reflitam os objetivos do negócio;
b) Uma abordagem e uma estrutura para a implementação, manutenção, monitoramento e melhoria da segurança da informação que seja consistente com a cultura organizacional;
c) Comprometimento e apoio visível de todos os níveis gerenciais; d) Um bom entendimento dos requisitos de segurança das informações, da
análise e avaliação de riscos e da gestão de risco; e) Divulgação eficiente da segurança da informação para todos os
gerentes, funcionários e outras partes envolvidas para se alcançar a conscientização;
f) Distribuição de diretrizes e normas sobre a política de segurança da informação para todos os gerentes, funcionários e outras partes envolvidas;
g) Provisão de recursos financeiros para as atividades da gestão de segurança da informação;
h) Provisão de conscientização, treinamento e educação adequados; i) Estabelecimento de um eficiente processo de gestão de incidentes de
segurança da informação; j) Implementação de um sistema de medição, que seja usado para avaliar
o desempenho de gestão da segurança da informação e obtenção de sugestões para a melhoria.
23
CAPÍTULO III – ESTUDO DE CASO
3.1 A EMPRESA
De acordo com as informações contidas no sítio da Internet, da empresa,
desde 1996, a empresa Orion – S/A, vem oferecendo soluções tecnológicas
completas para ambientes e sistemas para Data Centers seguros. O grupo atua em
todas as etapas de uma obra, desde o projeto e suas especificações técnicas,
passando pela infraestrutura física e equipamentos, chegando até os serviços de
manutenção, os quais garantem a continuidade, segurança e a alta disponibilidade
destes ambientes. Oferece, também, serviços nas áreas de manutenção predial,
telecomunicações, automação, CFTV (circuito fechado de televisão), controle de
acesso e cabling (cabeamento estruturado).
Ainda, o mesmo sítio fala sobre manutenção de Sala Cofre. A disponibilidade
e a velocidade com que as informações trafegam dentro de uma organização
sempre foram determinantes para seu desempenho, definindo sua sobrevivência
num mercado cada vez mais competitivo. Com o crescimento da quantidade e da
criticidade dos dados, protegê-los tornou-se uma tarefa de suma importância. A
empresa Orion – S/A atende a essa necessidade oferecendo serviços de
manutenção de Salas-Cofre certificada, com garantia das certificações e mantendo a
alta disponibilidade das informações e dos sistemas que integram um ambiente TI
para Datacenters, por meio de equipes altamente treinadas e com sistemas de
plantão 24h.
A Orion S/A, oferece soluções tecnológicas completas. Conforto, tranquilidade
e muita segurança para as informações e ambientes da sua empresa:
- Manutenção predial
- Automação predial
- Controle de acesso
- CFTV (circuito fechado de televisão)
- Sala Cofre/Ambiente de segurança
- Locação de nobreaks
24
As diretrizes estabelecidas pela Orion – S/A, de acordo com seu sitio, para
seu Negócio, Valores, Missão e Visão são:
Negócio: Soluções tecnológicas completas para ambientes e sistemas para Data Centers Seguros. Valores: - Foco no Cliente - Excelência - Inovação - Segurança no Trabalho - Valorização do Colaborador - Sustentabilidade Missão: Prover soluções tecnológicas de engenharia em edificações corporativas, proporcionando confiabilidade nos sistemas e bem-estar aos usuários. Visão: Ser referência nacional na aplicação de tecnologias em edificações, com uma equipe de alto desempenho sustentável.
3.1.1 PRINCIPAIS ATRIBUIÇÕES DA ORION S/A
Monitorar disponibilidade de sistemas.
Monitorar climatização do ambiente Data center.
3.1.2 ESTRUTURA DA ORION S/A.
Esta localizada no 2º subsolo, em um prédio de 20 andares. Conta com 20
empregados divididos em 4 turnos, 24/7 (24 horas por dia, 7 dias por semana).
3.1.3 ASPECTOS RELACIONADOS À SEGURANÇA FÍSICA
O acesso físico é feito pela portaria do prédio que tem 20 andares onde é feita
a identificação para acesso em qualquer andar. O datacenter fica no 2º Subsolo que
existe uma entrada pela garagem do 1º Subsolo sem controle de acesso (figura 01),
que esta sempre aberta. A identificação e feita através de livro de registro por
vigilantes terceirizados para entrada de veículos na garagem do prédio.
25
Figura 01 – Entrada pela garagem do predio.
Fonte – O autor
Existe ainda uma entrada ao lado dos elevadores do prédio, que o controle de
acesso é feito através de livro de registro, por vigilantes terceirizados somente no
período do dia horário comercial (figura 02).
Figura 02 – Entrada portaria do 2º subsolo.
Fonte – O autor
A entrada da antessala está sempre aberta e o controle de acesso é feito
através de livro de registro por funcionários do turno, exigindo identificação e
26
autorização do funcionário (figura 03). Dentro da antessala as chaves dos racks de
servidores ficam próximas do livro de registro; documentos espalhados e garrafa de
café sobre a mesa próximo ao computador.
Figura 03 – Entrada da antessala para identificação.
Fonte – O autor
Os racks esta localizado em uma sala ao lado da entrada da antessala onde
ficam os switches e os cabos estão desorganizados e abertos, dificultando uma
possível manutenção (figura 04 e figura 04.1).
Figura 04 – Sala de Rack e Switches.
Fonte – O autor
27
Figura 04.1 – Rack e Switches.
Fonte – O autor
3.1.4 ASPECTOS RELACIONADOS Á SEGURANÇA LÓGICA
Existe uma política de controle de acesso para uso de estações de trabalho
na rede interna da empresa para os funcionários. Nome de identificação e senha
pessoal, intransferível para o usuário (figura 05). Que está instalado na antessala do
Datacenter.
Figura 05 – Estações de trabalho
28
Fonte – O autor
Os funcionários estão cadastrados para acessarem os computadores,
inclusive os servidores do datacenter, com privilégios de usuário e administrador
local. Os cadastrados como usuários não possuem permissão para gravação de
DVD ou CD, porém, possuem permissão do uso de pen-drives para cópia de
arquivos. Os usuários também não possuem permissão para instalação de
aplicativos ou para baixarem arquivos executáveis da internet.
Todas as estações de trabalho da antessala do datacenter possuem
instalados sistemas operacionais (Microsoft Windows 7 Profissional) pacote de
programas Microsoft Office 2010 Professional e antivírus. Toda a rede é monitorada
por meio de sistema de gerência HP OpenView (conjunto de software que
proporcionam o gerenciamento integrado de redes e soluções de sistemas em
ambientes de datacenter – Figura 06).
Figura 06 – Sistema de gerenciamento HP OpenView.
29
Fonte – O autor
3.1.5 MATRIZ DE RISCO
A seguir, serão utilizadas matrizes de riscos conforme modelo proposto por
Ferreira; Araújo (2008, p. 179) com intuito de identificar as ameaças e tornar
mensurável o risco a que cada ativo está exposto de acordo com o seu grau de
probabilidade e o impacto.
Quadro 06 – Modelo matriz de risco utilizada
PROBABILIDADE
IMPACTO
Baixo (10)
Médio (50)
Alto (100)
Alto (1,0)
Baixo
10 x 1,0 = 10
Médio
50 x 1,0 = 50
Alto
100 x 1,0 = 100
Médio (0,5)
Baixo
10 x 0,5 = 5
Médio
50 x 0,5 = 25
Médio
100 x 0,5 = 50
Baixo (0,1)
Baixo
10 x 0,1 = 1
Médio
50 x 0,1 = 5
Baixo
100 x 0,1 = 10
Escala do risco:
Alto – pontuação entre 51 e 100
Médio – pontuação entre 11 e 50
Baixo – pontuação entre 1 e 10
Fonte: Ferreira (2008, p. 179)
30
3.1.6 MATRIZ DE RISCO – SEGURANÇA FÍSICA
Quadro 07 – Matriz de risco – segurança física
Item Ameaça Probabilidade Impacto Risco
1
Há instalados na entrada do prédio equipamentos de identificação de funcionários e visitantes como catracas eletrônicas ou balcão de recepção?
1,0
100
100
(Alto)
2
Os funcionários ou visitantes que transitam pelas dependências da empresa são obrigados a usar identificadores como crachás
1,0
100
100
(Alto)
3
Há sistema de monitoramento de câmera e alarme cobrindo todos os ambientes internos e externos?
0,5
50
25 (Médio)
4
Há algum sistema de proteção contra incêndio?
1,0
100
100 (Alto)
5
Os computadores e os servidores estão posicionados de forma adequados?
0,5
50
25 (Médio)
6
Há documentos espalhados junto a computadores sobre mesas e bancadas?
0,5
50
25 (Médio)
7
Há consumo e guarda de alimentos junto a equipamentos e documentos?
0,5
50
25 (Médio)
8
Os switches estão instalados em local adequado?
1,0
50
50 (Médio)
31
3.1.7 MATRIZ DE RISCO – SEGURANÇA LÓGICA
Quadro 08 – Matriz de risco – Segurança lógica
Item
Ameaça
Probabilidade
Impacto
Risco
1
Há obrigatoriedade de uso de senhas com identificação única para utilização dos sistemas
0,1
100
10
(Baixo)
2
Há controle de privilégios?
0,,5
100
50
(Médio)
3
Há serviço de bloqueio de conteúdo de internet?
0,5
50
25
(Médio)
4
Há política de periodicidade de backup?
0,5
50
25
(Médio)
5
Há sistema de antivírus?
0,5
50
25
(Médio)
6
Os usuários finalizam as sessões ativas dos computadores durante períodos de inoperância?
1,0
100
100
(Alto)
7
Há política de controle de acesso ao servidor da empresa?
1,0
100
100
(Alto)
3.1. ANÁLISE DA MATRIZ DE RISCO
Avaliando o risco, após conclusões das matrizes, será apresentada, a seguir,
uma análise dos itens:
Matriz de Risco – Segurança Física (Quadro 07)
32
Item 1: Há instalados na entrada do prédio equipamentos de identificação de
funcionários e visitantes como catracas eletrônicas ou balcão de
recepção?
Não existem equipamentos de controle de acesso, como catraca
eletrônica ou balcão de recepção.
Aplicação da Norma ABNT NBR ISO/IEC 27002:2005
9.1.1 Perímetro de segurança física
Convém que sejam utilizados perímetros de segurança (barreiras tais
como paredes, portões de entrada controlados por cartão ou balcões
de recepção com recepcionistas) para proteger as áreas que
contenham informações e instalações de processamento da
informação. [...] c) seja implantada uma área de recepção, ou um outro
meio para controlar o acesso físico ao local ou ao edifício; o acesso
aos locais ou edifícios deve ficar restrito somente ao pessoal
autorizado;
[...]
Item 2: Os funcionários ou visitantes que transitam pelas dependências da
empresa são obrigados a usar identificadores como crachás?
Funcionários do quadro da empresa e terceirizados são obrigados a
usarem crachás e os visitantes transitam pelas dependências da
empresa sem qualquer tipo de identificação.
Aplicação da Norma ABNT NBR ISO/IEC 27002/2005
9.1.2 Controles de entrada física
[...]
c)seja exigido que todos os funcionários, fornecedores e terceiros, e
todos os visitantes, tenham alguma forma visível de identificação, e
33
eles devem avisar imediatamente o pessoal de segurança caso
encontrem visitantes não acompanhados ou qualquer pessoa que não
esteja usando uma identificação visível.
[...]
Item 3: Há sistema de monitoramento de câmera e alarme cobrindo todos os
ambientes internos e externos?
Há um sistema de monitoramento por câmera instalado apenas no
portão principal e em algumas áreas internas (elevadores).
Aplicação da Norma ABNT NBR ISO/IEC 27002/2005.
9.1.1 Perímetro de segurança física
[...]
f)sistemas adequados de detecção de intrusos, de acordo com normas
regionais, nacionais e internacionais, sejam instalados e testados em
intervalos regulares, e cubram todas as portas externas e janelas
acessíveis; as áreas não ocupadas devem ser protegidas por alarmes
o tempo todo; também deve ser dada proteção a outras áreas, por
exemplo, salas de computadores ou salas de comunicações;
[...]
Item 4: Há algum sistema de proteção contra incêndio?
No prédio possui instalação de um sistema contra incêndio, na
antessala do datacenter existe apenas um extintor.
Aplicação da Norma ABNT NBR ISO/IEC 27002/2005
9.1.4 Proteção contra ameaças externas e do meio ambiente
[...]
34
c)os equipamentos apropriados de detecção e combate a incêndios
sejam providenciados e posicionados corretamente.
[...]
Item 5: Os computadores e os servidores estão posicionados de forma
adequados?
Não os computadores estão instalados sobre mesas sem divisórias
entre eles, impossibilitando que haja privacidade na visualização de
qualquer tipo de informação.
Aplicação da Norma ABNT NBR ISO/IEC 27002/2005
9.2.1 Instalações e proteção do equipamento
[...]
b)as instalações de processamento da informação que manuseiam
dados sensíveis sejam posicionadas de forma que o ângulo de visão
seja restrito, de modo a reduzir o risco de que as informações sejam
vistas por pessoal não autorizado durante a sua utilização, e os locais
de armazenagem sejam protegidos, a fim de evitar o acesso não
autorizado;
[...]
Item 6: Há documentos espalhados junto a computadores sobre mesas e
bancadas?
Há uma grande quantidade de documentos e garrafas espalhados
sobre mesas e bancadas.
Aplicação da Norma ABNT ISO/IEC 27002/2005
11.3.3 Politica de mesa limpa e tela limpa
35
a)informações do negócio sensíveis ou críticas, por exemplo, em papel
ou em mídia de armazenamento eletrônicas, seja guardadas em lugar
seguro (idealmente em um cofre, armário ou outras formas de mobília
de segurança) quando não em uso, especialmente quando o escritório
está desocupado;
[...]
Item 7: Há consumo e guarda de alimentos junto a equipamentos e
documentos?
É comum pessoas consumirem e deixarem alimentos sólidos e líquidos
sobre as mesas e bancadas
Aplicação da Norma ABNT NBR ISO/IEC 27002:2005
9.2.1 Instalação e proteção do equipamento
e)sejam estabelecidas diretrizes quanto a comer, beber e fumar nas
proximidades das instalações de processamento da informação;
Item 8: Os switches estão instalados em local adequado?
Os switches estão instalados em racks localizado na sala ao lado da
antessala do datacenter sem tranca e cabeamento desorganizados.
Não há uso de nobreaks.
Aplicação da Norma ABNT NBR ISO/IEC 27002:2005
9.2.1 Instalação e proteção do equipamento
a)os equipamentos sejam colocados no local, a fim de minimizar o
acesso desnecessário às áreas de trabalho;
c) os itens que exigem proteção especial devem ser isolados para
reduzir o nível geral de proteção necessário;
36
d) sejam adotados controles para minimizar o risco de ameaças físicas
potenciais, tais como furto, incêndio, explosivos, fumaça, água (ou
falha do suprimento de água), poeira, vibração, efeitos químicos,
interferência com o suprimento de energia elétrica, interferência com as
comunicações, radiação eletromagnética e vandalismo.
Matriz de Risco – Segurança Lógica – (Quadro 8)
Item 1: Há obrigatoriedade de uso de senhas com identificação única para
utilização dos sistemas?
Existe uma política de controle de acesso na empresa ORION, que
torna obrigatório o cadastro de uma senha pessoal e intransferível, e
um nome de identificação de usuário único para uso dos sistemas
computacionais.
Aplicação da Norma ABNT NBR ISO/IEC 27002:2005
11.2.1 Registro de usuário
a)Utilizar identificador de usuário (ID de usuário) único para assegurar
a responsabilidade de cada usuário por suas ações; convém que o uso
de grupos de ID somente seja permitido onde existe a necessidade
para o negócio ou por razões operacionais, e isso seja aprovado e
documentado;
Item 2: Há controle de privilégios?
Os funcionários estão cadastrados para acessarem os computadores,
inclusive o servidor do datacenter, com os privilégios de usuário e
administrador local. Os cadastrados como usuários não possuem
permissão para gravação de DVD ou CD, porém, possuem permissão
do uso de pen-drive para cópia de arquivos.
37
Aplicação da Norma ABNT NBR ISO/IEC 27002:2005
11.2.2 Gerenciamento de privilégios
a)privilégio de acesso de cada produto de sistema, por exemplo,
sistema operacional, sistemas de gerenciamento de banco de dados e
cada aplicação, e de categorias de usuários para os quais estes
necessitam ser concedido, seja identificado;
Item 3: Há serviço de bloqueio de conteúdo de internet?
Toda a rede é monitorada por meio de proxy e firewall interno e
externo, filtro de conteúdo localizado dentro do datacenter, que
bloqueia acessos a redes sociais, sites com conteúdos pornográficos e
vídeo.
Aplicação da Norma ABNT NBR ISO/IEC 27002:2005
11.4.1 Política de uso dos serviços de rede
Convém que usuários somente recebam acesso para os serviços que
tenham sido especificamente autorizados a usar.
c)gerenciamento dos controles e procedimentos para proteger acesso
a conexões e serviços de redes;
Item 4: Há política de periodicidade de backup?
Sim existe uma política e é feito através de software de backup diário,
semanal e mensal dos arquivos dos servidores de banco de dados.
Aplicação da Norma ABNT NBR ISO/IEC 27002:2005
10.5.1 Cópias de segurança das informações
38
Convém que recursos adequados para a geração de cópias de
segurança sejam disponibilizados para garantir que toda informação e
software essenciais possam ser recuperados após um desastre ou a
falha de uma mídia.
Item 5: Há sistema de antivírus?
Todos os computadores da empresa possuem instalados Microsoft
Windows 7 profissional, pacote de programas Microsoft Office 2010
profissional e antivírus.
Aplicação da Norma ABNT NBR ISO/IEC 27002:2005
10.4.1 Controles contra códigos maliciosos
Convém que sejam implantados controles de detecção, prevenção e
recuperação para proteger contra códigos maliciosos, assim como
procedimentos para a devida conscientização dos usuários.
Convém que a proteção contra códigos maliciosos seja baseada em
software de detecção de códigos maliciosos e reparo, na
conscientização da segurança da informação, no controle de acesso
adequado e nos controles de gerenciamento de mudanças.
Item 6: Os usuários finalizam as sessões ativas dos computadores durante
períodos de inoperância?
Sim o próprio sistema esta configurado para bloquear a sessão após
15 minutos de inoperância.
Aplicação da Norma ABNT NBR ISO/IEC 27002:2005
11.3.2 Equipamento de usuário sem monitoração
39
Convém que todos os usuários estejam cientes dos requisitos de
segurança da informação e procedimentos para proteger equipamentos
desacompanhados, assim como suas responsabilidades por
implementar estas proteções. Convém que os usuários sejam
informados para:
a)encerrar as sessões ativas, a menos que elas possam ser protegidas
por meio de um mecanismo de bloqueio, por exemplo tela de proteção
com senha;
b) efetuar a desconexão com o computador de grande porte, servidores
e computadores pessoais do escritório, quando a sessão for finalizada
(por exemplo; não apenas desligar a tela do computador ou o terminal);
c) proteger os microcomputadores ou terminais contra uso não
autorizado através de tecla de bloqueio ou outro controle equivalente,
por exemplo, senha de acesso, quando não estiver em uso.
Item 7: Há política de controle de acesso ao servidor da empresa?
O controle de acesso dos arquivos dos servidores da empresa é feito
pela própria ferramenta de compartilhamento de arquivos do seu
sistema operacional, que permite a configuração dos usuários com as
opções de privilégio de somente leitura, ou gravação, porém, não
existem regras pré-estabelecidas de qual usuário deverá ter acesso ao
servidor, qual terá privilégio de somente leitura, ou gravação de
arquivos, ficando a cargo apenas dos funcionários que possuem
acesso ao servidor com privilégio de administrador, a concessão.
Aplicação da Norma ABNT NBR ISO/IEC 27002:2005
11.1.1 Política de controle de acesso
Convém que a política de controle de acesso seja estabelecida
documentada e analisada criticamente, tornando-se como base os
requisitos de acesso dos negócios e segurança da informação.
Convém que as regras de controle de acesso e direitos para cada
usuário ou grupos de usuários sejam expressas claramente na política
40
de controle de acesso. Convém considerar os controles de acesso
lógico e físico.
41
CAPITULO IV – PROPOSTA DE POLÍTICA DE SEGURANÇA
A seguir será apresentada a proposta de uma política de segurança física e
logica, baseada em todo um trabalho realizado no local da empresa, que possibilitou
a identificação dos ativos de informações, suas principais vulnerabilidades, ameaças
e, consequentemente, o risco a que cada ativo está exposto de acordo com a
probabilidade de ocorrência e o grau de impacto que um incidente possa causar
para a organização.
A politica segue as diretrizes estabelecidas pela ABNT NBR ISO/IEC
27002:2005.
4.1 TÍTULO DA POLÍTICA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA A
EMPRESA – Orion S/A.
4.2 INSTITUIÇÃO A QUE SE DESTINA
A política de segurança da informação é destinada à empresa Orion
S/A.
42
4.3 OBJETIVO DA POLÍTICA
O objeto desta política é, principalmente, minimizar os riscos a que
cada ativo de informação lógico, ou físico, esteja exposto, adotando procedimentos a
serem seguidos em ambientes data center administrado pela empresa Orion S/A,
para a garantia da disponibilização e da disseminação das informações com
confidencialidade e integridade, de acordo com a necessidade e a sua importância
para continuidade dos negócio.
4.4 ABRANGÊNCIA DA POLÍTICA
A política abrange todo o espaço físico do data center, suas
imediações e o acesso ao seu prédio. Todo o corpo funcional deverá estar envolvido
e todos os ativos de informações deverão ser considerados.
4.5 DEFINIÇÕES BÁSICAS DA POLÍTICA
Segundo a Norma ABNT NBR ISO/IEC 27002 (2005,p. ix)
A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegida. Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectado. Como um resultado deste incrível aumento da interconectividade, a informação está agora exposta a um crescente número e a uma grande variedade de ameaças e vulnerabilidades.
43
4.6 REFERÊNCIAS
A politica segue as diretrizes da Norma ABNT NBR ISO/IEC
27002:2005.
4.7 DIRETRIZES DA POLÍTICA
4.7.1 SEGURANÇA FÍSICA
4.7.1 Deverão ser instalados na portaria principal equipamentos de controle de
acesso como catraca eletrônica para identificar os funcionários e visitantes.
4.7.1.2 Todos os funcionários e visitantes deverão transitar pela empresa portando
visivelmente alguma forma de identificação. Pessoas transitando sem identificação
deverão ser encaminhadas imediatamente à segurança.
4.7.1.3 A empresa deverá complementar o sistema de monitoramento por câmera de
acordo com as normas regionais, nacionais e internacionais, abrangendo todas as
dependências internas e imediações.
4.7.1.4 A empresa deverá disponibilizar e posicionar equipamentos de proteção
adequados contra incêndio de acordo com o tamanho das áreas a serem protegidas,
o tipo de material e os equipamentos utilizados no local, em conformidade com as
normas vigentes.
4.7.1.5 O servidor e os computadores que manuseiam informações sensíveis
deverão ser reposicionados, de forma que o ângulo de visão da tela fique restrito às
pessoas autorizadas.
4.7.1.6 As informações impressas em papel ou armazenadas em mídias eletrônicas,
não deverão permanecer sobre as mesas durante períodos de inatividades, ou seja,
após o uso deverão ser imediatamente guardadas em locais seguros.
44
4.7.1.7 Não deverão permanecer sobre as mesas onde haja manuseios de
informações comidas sólidas, líquidas, copos ou garrafas.
4.7.1.8 Os switches deverão ser realocados em um local de acesso seguro com
equipamentos que garantam o controle de temperatura e com instalação elétrica e
de dados adequados.
4.7.2 SEGURANÇA LÓGICA
4.7.2.1 Todos os colaboradores que necessitarem de acessos a recursos
computacionais deverão cadastrar um nome identificador único para o uso de todos
os sistemas.
4.7.2.2 Todo usuário cadastrado deverá assinar uma declaração para manutenção
da confidencialidade de sua senha pessoal.
4.2.2.3 A aplicação que gerencia senhas deverá conter regras de negócio para que
as senhas cadastradas possuam uma quantidade de doze caracteres, alternado
números letras maiúsculas e caracteres especiais.
4.2.2.4 A aplicação que gerencias senhas deverá conter regras de negócio que exija
que as senhas sejam trocadas a cada quarenta e cinco dias, e que não seja
permitida a reutilização de senhas antigas.
4.2.2.5 Deverá ser concedido aos usuários privilégios para uso dos sistemas, de
acordo com a necessidade e autorização formal.
4.2.2.6 Todo acesso a ambientes de intranet e internet deverão ser monitorados por
firewall que gerencie o bloqueie acessos a conteúdos de sites de relacionamento,
pornografia e streaming de vídeo.
4.2.2.7 Política de mesa limpa.
45
A empresa deverá manter atualizado todos os softwares utilizados para
detecção, prevenção e recuperação de informações passíveis de ataques contra
códigos maliciosos.
A empresa deverá prover a conscientização de todos os usuários dos
sistemas quanto à necessidade de encerramento de sessões ativas ou configuração
do sistema operacional para bloqueio de tela com proteção por senha durante
períodos de inatividades, assim como da responsabilidade de cada um com a
segurança da informação durante o uso dos recursos computacionais.
4.8 CONFORMIDADE
A política está em conformidade com as diretrizes da Norma ABNT
NBR ISO/IEC 27002:2005.
4.9 PENALIDADE
Estarão sujeitos a possíveis penalizações colaboradores que
descumprirem quaisquer das disposições pré estabelecidas na presente política de
segurança da informação.
4.10 DISPOSIÇÕES GERAIS
Situações omissas serão analisadas pelos responsáveis pela
concepção da política de segurança da informação.
A presente política de segurança da informação terá um período de
validade de vinte quatro meses.
A política de segurança da informação poderá receber revisões a
qualquer momento quando julgar-se necessário.
46
CAPÍTULO V – CONCLUSÃO
A implementação de uma política de segurança da informação
inicialmente, implicará em adequações e implantações de procedimentos que terão
o objetivo de garantir a segurança dos processos de execução dos serviços da
empresa ORION S/A.
Implantada a política e somando-se a isso o apoio, o envolvimento e a
consciência de pessoas com a importância da manutenção da confidencialidade,
integridade e disponibilidade dos ativos de informação, a conclusão é de que a
empresa ORION S/A irá agregar proteção aos seus ativos, e garantir a manutenção
e a continuidade do seu negócio.
47
REFERÊNCIAS
ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, ABNT NBR ISO/IEC
27002: tecnologia da informação, técnicas de segurança, código de prática
para a gestão da segurança da informação. 2ª ed., 2005 120p. ref. 1-8
BEAL, Adriana. Segurança da informação: princípios e melhores práticas para a
proteção dos ativos de informação nas organizações. São Paulo: Atlasw, 2005.
CAMPOS, André – Sistema de Segurança da Informação: Controlando os Riscos. 2.
Ed. /André Campos. – Florianópolis: Visual Books, 2007.
CERT.BR. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança
no Brasil. Cartilha de Segurança para internet: São Paulo, 2012. Disponível em :
http://cartilha.cert.br/livro/cartilha-segurança-internet.pdf. Acessado em: 04 de março.
2015.
DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Rio de Janeiro:
Axcel Books.2000.
FERREIRA, Fernando Nicolau Freitas; ARAUJO, Márcio Tadeu de Araujo; Política
de Segurança da Informação: guia prático para elaboração e implementação.
Rio de Janeiro: Ciência Moderna, 2006, 172. Revisada e ampliada, 2008, 264 p.
FERREIRA, Fernando Nicolau Freitas. Segurança da Informação. Rio de janeiro:
Ciência Moderna Ltda, 2003. 162 p.
MOREIRA, Nilton Stringasci, Segurança Mínima-Visão Corporativa da Segurança da
Informação. Rio de janeiro: AxcelBooks, 2001. 240 p.
SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva; 12 ed.
Rio de Janeiro: Elservier, 2003. 156 p.
48
VERAS, Manoel. Datacenter – Componente Central da Infraestrutura de TI – Rio de
Janeiro: Brasport, 2009.
