Embed Size (px)
Citation preview
1
GESTÃO EM SEGURANÇA DA INFORMAÇÃO Tiago da Silva Ogando <[email protected]>
Alexandre Timm Vieira <[email protected]> – Orientador
Universidade Luterana do Brasil (Ulbra) – Graduação de Tecnologia em Redes de Computadores – Câmpus Canoas Av. Farroupilha, 8.001 – Bairro São Luis – CEP 92420-280 – Canoas - RS
28 de novembro de 2011
RESUMO Este artigo descreve a implementação da gestão em segurança da informação dentro de uma organização,
alinhando suas necessidades de acordo com o negócio. Inicialmente, o processo de gestão realizou o mapeamento dos principais serviços que sustentam o negócio. Baseado nas melhores práticas de mercado série 27000, foi escolhido um serviço como escopo de trabalho, executada uma análise de risco, classificado e apresentado um resultado do cenário atual da organização. A partir da primeira amostragem, foi criado o plano de ação e executado o tratamento de risco. Para completar o ciclo, foi realizada nova análise de risco demonstrando os resultados finais do ambiente escolhido como escopo.
Palavras-chave: Segurança da Informação, Análise de Risco, Tratamento de Risco.
ABSTRACT Title: “Management of information security”
This article describes the implementation of information security management in an organization, aligning their needs according to business. Initially, the management process held the mapping of the main services that support the business. Based on the best market practices series 27000, was chosen as a service scope of work, performed a risk analysis, classified and presented a result of the current situation of the organization . From the first sampling, was created the action plan and the risk treatment To complete the cycle was realized new risk analysis showing the final results of the chosen environment as the scope.
Key-words: Information Security, Risk Analysis, Risk Treatment.
1 INTRODUÇÃO A onda de ataques na rede mundial de computadores nos últimos meses está ganhando destaque nos
meios de comunicação. Dois grupos que, através das redes sociais, vêm divulgando a autoria dos ataques, o Anonymous e o LulzSec, estão expondo na mídia a fragilidade e o nome de algumas empresas que sofreram esses ataques, e assim, espalhando a sensação de que a vulnerabilidade é uma constante no mundo atual. A preocupação e o receio não estão somente no âmbito corporativo, pois instigam também os usuários comuns.
Nem mesmo a gigante japonesa Sony escapou do alvo desses grupos. Recentemente, no mês de Abril, a empresa teve sua rede PSN (PlayStation Network) comprometida pelo grupo Anonymous. Segundo a empresa Ponemon Institute, estima-se um prejuízo de 24 bilhões de dólares pela indisponibilidade da rede neste período (IDGNOW, 2011).
Dados da última pesquisa GISS (Global Information Security Survey) em que 1.865 empresas de 61 países diferentes foram entrevistadas, 61% das organizações afirmam estarem preocupadas em proteger sua reputação e sua marca, e de fato as empresas estão adotando uma postura pró-ativa, onde 46% indicaram que seus investimentos em segurança da informação aumentaram, e afirmam que 91% dessas organizações possuem uma política de segurança documentada, demonstrando a preocupação com a segurança (Ernst & Young, 2010).
Com o objetivo de desenvolver e preservar a confiabilidade, integridade e a disponibilidade da informação no ambiente computacional desta empresa, com o intuito de diminuir os riscos evitando uma possível exposição de seu nome ou marca na mídia, e garantindo a continuidade operacional do negócio, fazendo que a segurança deixe de ser vista como custo e se torne um dos objetos estratégico dentro da organização, melhorando a cultura em relação a segurança para que seus colaboradores utilizem com mais responsabilidade os recursos tecnológicos, a organização criou uma área específica e alocou um de seus colaboradores para estudar e desenvolver uma gestão de segurança dentro da empresa.
Esse trabalho consiste em realizar uma análise de risco no ambiente corporativo, identificando os
2
processos de negócio que são essenciais para uma empresa, mapeando os ativos que sustentam estes processos, classificando os riscos com suas apresentações em três níveis, o alto, o médio e o baixo, podendo futuramente chegar a cinco níveis. Para que se tenha visibilidade e um embasamento da rigidez maior ou menor, em relação a política de segurança, das configurações dos ativos, dos investimentos em mecanismos de segurança e contrato de serviços especializados.
Este artigo está dividido em quatro seções, sendo que na seção 2 está descrita a fundamentação teórica referente à gestão de segurança, enquanto a modelagem e análise do ambiente é apresentada na seção 3 e a contextualização da implementação das melhorias no ambiente é apresentada na seção 4; e a conclusão deste artigo ocorre na seção 5.
2 VISÃO DA SEGURANÇA E MERCADO Em um mundo em que tudo converge para a internet, a segurança é um assunto que cada vez mais
está em evidência. Recentemente, a revista Info Exame (Agosto, 2011) publicou uma reportagem sobre ameaça hacker, no qual o tema da reportagem tinha uma expressão que chamou a atenção: “vamos fritar o seu modem”. O repórter Carlos Machado, através de informações na rede social twitter, conseguiu se infiltrar em salas privadas de chat durante um diálogo truncado com um dos membros do grupo Lulzsec. Desconfiado que o repórter fosse da policia federal, o membro do grupo ameaçou o repórter que poderia ligar 300 máquinas e realizar um ataque no IP (Internet Protocol) do repórter até queimar o modem, é claro que foi uma metáfora onde queimar o modem, nada mais é que um ataque de DDOS (Distributed Denial Of Service), que por sinal no Brasil nesses últimos meses, os sites governamentais estão sendo alvo desse tipo de ataque. Estes ataques são bem sucedidos devido ao grande número de computadores que disparam requisições para um determinado endereço, este grupo de computadores é chamado de botnet (bot network) rede de micros zumbis controlada por uma central remota.
Segundo o pesquisador Sergey Golovanov da empresa de segurança Kaspersky Lab, o maior botnet do mundo possui 4,5 milhões de computadores sob controle (PCWORLD, 2011). Esta rede de computadores zumbis é utilizada para espalhar spams (mensagens eletrônicas não solicitadas enviadas em massa), phishing (pescaria, e-mails induzem as pessoas a acessarem endereços de sites maliciosos, que servem para roubo de informações como dados pessoais e, principalmente, contas e senhas de banco) e ataque de DDOS. Sergey Golovanov afirma que esta rede é praticamente indestrutível, e que as máquinas que fazem parte dela foram infectadas com o trojan (programa com código malicioso que abrem portas no computador para controle e roubo de dados) chamado TDL-4. Esta rede foi julgada como indestrutível, devido às suas características,e esta ameaça é extremamente difícil de ser detectada por infectar a MBR (Master Boot Record) do computador com rootkit (um pacote de ferramentas para monitoramento de atividades do computador que serve, também, para modificar programas sem ser detectado, e até mesmo remover códigos maliciosos da concorrência).
A empresa Symantec, no seu último relatório sobre ameaças à segurança na internet (Symantec, 2010), identificou um mercado clandestino de botnet, onde é possível comprar 10.000 bots por US$15. Estes bots são usados para campanhas de spam e cada vez mais para ataques de DDOS. A revista Info Exame (Agosto, 2011) também publicou uma pesquisa realizada pela empresa de segurança Kaspersky Lab referente ao mercado negro, em que a partir de US$50 é possível alugar um botnet para ataques de DDOS durante 24 horas, e uma lista com 1 milhão de endereços de e-mail entre US$20 a US$100. Também é possível contratar por serviço, como, por exemplo, o envio de spams para 1milhão de e-mails que custa US$150, e o mais curioso é o valor de US$2.000 para contratar um hacker com conhecimento de criptografia.
Segundo a NBR ISSO/IEC 27002 (2005), as empresas do setor publico e privado estão cada vez mais expostas por uma adversidade de ameaças. “Danos causados por código malicioso, hackers e ataques de denial of service estão se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados.”
Diante deste cenário, é possível notar que as organizações estão cada vez mais preocupadas com a segurança. Em recente estudo da empresa Frost & Sullivan, a America Latina aponta um crescimento 16,6% em 2010 no mercado de segurança (InformationWeek, 2011). Segundo o analista Fernando Belfort da empresa Frost & Sullivan, o Brasil investirá cerca de R$ 200 milhões na segurança de redes, obtendo um crescimento de 15,8% sobre 2010. Fernando Belfort comenta que o ritmo de investimento na segurança está acelerado no Brasil, e que poucos mercados estão investindo neste ritmo (Resenha Eletrônica Ministério da
3
Fazenda, 2011).
2.1 Conceitos Gerais A segurança da informação é a proteção de diversos tipos de ameaças à informação, preservando
seus atributos que são confidencialidade, integridade e disponibilidade. (Sêmola, 2003).
Importante destacar que a segurança da informação não é restrita a informações eletrônicas, sistemas computacionais ou mecanismos de armazenamento, ela está presente em todos os aspectos de proteção e armazenamento da informação, em qualquer formato, seja ela em papel ou em diferentes tipos de arquivos e mídia (Sêmola, 2003).
Segundo Sêmola (2003), alguns termos, como os listados a seguir, são utilizados na segurança da informação:
Informação: é um ativo que possui um valor cada vez maior para as organizações e requer proteção de acordo com seu valor.
Ativo: é a informação em si, ou qualquer forma que compõe os processos que interferem indiretamente ou diretamente ao fluxo de informação, desde a sua origem até o destino.
Vulnerabilidade: é uma brecha ou falha que pode ou não ser explorada por uma ameaça ou mais ameaças (Ramos, 2006).
Impacto: é o nível de prejuízo que uma ameaça pode trazer para uma organização (Ramos, 2006).
Ameaça: é um evento que pode interferir funcionamento normal da empresa, que tem impacto em seus objetivos em diferentes escalas (Ramos, 2006).
Risco: é a possibilidade de uma ameaça, ou conjunto de ameaças utilizarem uma ou mais vulnerabilidades para causar danos a uma empresa (Ramos, 2006).
Segundo Ramos (2006), a gestão de segurança possui um universo de áreas com suas atividades específicas, dentre elas o autor ressalta a política, classificação de informação, análise de risco, arquitetura empresarial, continuidade dos negócios, ética e legislação, segurança física, peopleware, equipe de segurança da informação e sistema de gestão.
2.2 Origem das normas ABNT NBR ISO/IEC 27001/ 27002/27005 da série 27000 O Governo Britânico foi quem criou praticamente todas as normas internacionais, em relação a
segurança da informação (Fernades;Abreu, 2008).
O BS 7799 (British Standard) foi o primeiro padrão de segurança que deu origem a série 27000. Este padrão foi dividido em duas partes, a primeira BS 7799-1 chamada código de prática para gerenciamento de segurança foi criada 1995.
No ano 2000, tornou-se um padrão ISO (International Organization for Standardization) chamado ISO 17799. Em 2005 este padrão foi traduzido e publicado pela ABNT com o nome de NBR ISO/IEC 27002 (International Electrotechnical Commision) (Knowledgeleader, 2003).
A segunda parte, chamada BS 7799-2, foi criada em 2002; e em 2005 foi traduzida e publicada se tornando NBR ISO/IEC 27001. Com os objetivos de controles e descrição baseado na ISO 27002, a NBR ISO/IEC 27001 tem por objetivo, a certificação das organizações, a fim de comprovar os controles implementados pela NBR ISO/IEC 27002 (Knowledgeleader, 2003).
Em 2005, passa a existir a BS 7799-3, chamada gestão de risco de segurança da informação (Standarts, 2005). A partir deste padrão, em 2008 foi criada a norma ISO/IEC 27005, que foi traduzida e publicada, passando a ser chamada NBR ISO/IEC 27005 (ABNT, 2008). O Quadro 1 exibe a descrição das normas ISO e BS, e suas equivalências.
Quadro 1 – Normas e suas equivalências Norma BS Descrição da norma Norma ISO BS7799-1
Código de pratica para gestão da segurança da informação. (ISO 17799) ISO/IEC 27002
BS7799-2 Técnicas e requisitos de certificação da gestão da segurança da informação. ISO/IEC 27001
4
Norma BS Descrição da norma Norma ISO BS7799-3 Gestão de risco de segurança da informação. ISO/IEC 27005
2.3 Norma NBR ISO/IEC 27002 A norma ISO/IEC 27002, denominada código de prática para gestão da segurança da informação,
tem por objetivo estabelecer princípios e diretrizes para uma gestão de segurança. Tem como objetivo iniciar, implementar, manter e melhorar os processos de gestão de segurança da informação em uma empresa, servindo como um guia prático (NBR ISO/IEC 27002, 2005).
Esta norma está estruturada em onze seções de controle e suas respectivas trinta e nove categorias, onde cada sessão possui uma ou mais categorias (NBR ISO/IEC 27002, 2005).
No Quadro 2, a seguir, as seções de controle com o número de categorias que cada seção possui.
Quadro 2 – Seções de controle e numero de categorias Seções de controle Quantidade de categorias Política de segurança da informação 1 Organizando a segurança da informação 2 Gestão de ativos 2 Segurança em recursos humanos 3 Segurança física e do meio ambiente 2 Gestão das operações e comunicações 10 Controle de acesso 7 Aquisição, desenvolvimento e manutenção de Sistemas de informação 6 Gestão de incidentes de segurança da informação 2 Gestão da continuidade do negócio 1 Conformidade 3
2.3.1 Termos e definições Segundo a NBR ISO/IEC 27002 (2005) para o entendimento desta norma, se faz necessário
conhecer alguns termos e definições. • Controle é o gerenciamento do risco, através de políticas, práticas, diretrizes, processos e de
estruturas organizacionais, que podem ser técnica, gestão ou legal. • Diretrizes é a orientação, de como se deve proceder para alcançar os requisitos das políticas. • Política é um conjunto de orientações e intenções, formalmente descritas e divulgadas pela
direção. Na seção a seguir, será abordada a seção de controle chamada política de segurança da informação.
2.3.2 Política de segurança da informação De acordo com a NBR ISO/IEC 27002 (2005) esta seção de controle possui somente uma única
categoria, chamada de política de segurança da informação. Fazem parte dessa categoria duas subseções, são elas: documento da política de segurança da informação e análise crítica da política de segurança da informação.
A política de segurança da informação tem por objetivo demonstrar o compromisso e o aceite da direção da empresa com relação a segurança da informação diante de seus colaboradores e parceiros. Esta política deve ser clara e alinhada com negócio, ou seja, deve ser desenvolvida de acordo com a necessidade de cada organização (NBR ISO/IEC 27002, 2005).
Segundo a NBR ISO/IEC 27002 (2005) é conveniente a política de segurança da informação ser aprovada pela direção, informada a todos os colaboradores, fornecedores ou prestadores de serviços relevantes.
A política de segurança da informação deve ser analisada diante de uma revisão programada, ou quando ocorrer mudanças no ambiente para assegurar a sua eficácia e adaptação ao novo cenário (NBR ISO/IEC 27002, 2005).
5
2.4 Norma NBR ISO/IEC 27001 A norma NBR ISO/IEC 27001, denominada técnicas e requisitos para gestão de segurança da
informação, tem como objetivo a cobertura de todo e qualquer tipo de empresa seja ela qual for o seu ramo de atuação. Esta norma possui requisitos para estabelecer, implementar, operar, monitorar, analisar e criticar uma gestão de segurança da informação, dos riscos globais de negócio de uma organização, dando instrumentos para implementação de segurança da informação, personalizando diante da necessidade de cada organização (NBR ISO/IEC 27001, 2006).
Os objetivos de controle e controles da norma NBR ISO/IEC 27002 são utilizados como base pelas organizações que buscam a certificação IS0 27001 (NBR ISO/IEC 27002, 2005).
2.4.1 Certificação ISO 27001 A ISO/IEC 27001 permite que empresas interessadas obtenham certificação ISO 27001, com
reconhecimento internacional, em gestão de segurança da informação. (Dinsmore(et.al.), 2007).
Segundo a International Register (2011) no Brasil existem cerca de 23 empresas certificadas ISO 27001, e no mundo 7.342 empresas.
A empresa Módulo foi a primeira empresa a obter o certificado ISO 27001. Neste caso, além da organização ser reconhecida por ter um ambiente confiável, a certificação foi estratégica ao negócio por se tratar de uma empresa no ramo de segurança (Dinsmore et al., 2007).
Outro caso de sucesso é o Tribunal Superior de Justiça (STJ), que destaca que a importância da certificação para a organização além do selo de qualidade, foi a credibilidade e a confiabilidade do nome da instituição, já que lidam rotineiramente com documentos confidenciais (Modulo, 2008).
2.4.2 Termos e definições A NBR ISO/IEC 27001 (2006) sugere que alguns termos devem ser conhecidos, para aplicação desta
norma. • Integridade é a garantia de que a informação não foi violada, alterada de forma indesejada ou
sem autorização. • Disponibilidade é a garantia de que o ativo esta acessível, e íntegro para utilização da entidade
autorizada. • Confidencialidade é a garantia de que a informação não esteja disponível para indivíduos ou
processos não autorizados. • Evento de segurança da informação é um acontecimento que indica possível falha de controles ou
violação da política de segurança da informação. • Incidente de segurança trata-se de um ou mais eventos de segurança da informação, imprevistos
ou indesejado, que pode ameaçar a segurança da informação, e que possa afetar as operações de negócio.
• Análise de risco é coletar informações de um escopo previamente definido, a fim de identificar e estimar riscos.
• Avaliação de risco é a verificação dos riscos para estimar uma classificação, diante de níveis de importância predefinidos.
• Aceitação de risco é a “decisão de aceitar um risco” (NBR ISO/IEC 2001, 2006).
Gestão de risco é uma série de métodos para diminuir e controlar os riscos em uma organização.
2.5 Norma NBR ISO/IEC 27005 A norma NBR ISO/IEC 27005 (2008), também chamada de gestão de risco da segurança da
informação, cujo objetivo é prover diretrizes para gerenciar os riscos referentes a segurança da informação, não tem métodos específicos para uma única forma de gestão, mas sim para ser abordada de acordo com as necessidades de cada empresa.
Esta norma serve para identificar a necessidade da empresa em relação à segurança da informação, e sugere que faça parte sua gestão, além de ser utilizada no início do processo de gestão de segurança da informação, sugere-se que se torne um processo continuo dentro da empresa.
Conforme a norma NBR ISO/IEC 27005 (2008) fazem parte de suas atividades da gestão os
6
seguintes itens: • Definição do contexto. • Análise e avaliação de risco. • Tratamento do risco. • Aceitação do risco. • Comunicação do risco. • Monitoramento e análise critica de riscos.
A Figura 1 ilustra as atividades que compõem a norma NBR ISO/IEC 27005, bem como o seu ciclo do processo de gestão de risco. (Centro da Qualidade, Segurança e Produtividade, 2011)
Figura 1 – Processo de gestão de risco (Centro da Qualidade, Segurança e Produtividade, 2011)
2.5.1 Análise de risco De acordo com a NBR ISO/IEC 27005 (2008), análise de risco é o processo que faz parte da seção
análise e avaliação de risco, uma das atividades da gestão de risco, listadas acima.
Segundo a norma NBR ISO/IEC 27005 (2008) análise e avaliação de risco são divididas em duas partes, uma é análise de risco assunto que compreende esta sessão e a outra é avaliação de risco.
Análise de risco é uma forma de identificar os riscos que possam causar perdas ou danos, nos processos de negócio (NBR ISO/IEC 27005, 2008).
7
Para o entendimento das etapas que fazem parte da análise de risco, no Quadro 3 estão organizadas as seções com suas respectivas subseções:
Quadro 3 – Análise de risco seções e respectivas subseções Seções Subseções Identificação de riscos - Identificações dos ativos
- Identificação das ameaças - Identificação dos controles existentes - Identificação das vulnerabilidades - Identificação das consequências
Estimativa de riscos - Metodologias para estimativa de risco
- Avaliação das conseqüências - Avaliação da probabilidade dos incidentes - Estimativa do nível de risco
3 MODELAGEM DO AMBIENTE Para a realização da análise de risco, foi escolhida uma empresa de grande porte cujas atividades são
de comércio atacadista e varejista. Há mais de 40 anos no mercado, tem aproximadamente 4.000 colaboradores e abrange a região Sul do país.
Uns dos diferenciais desta empresa são os mais de 500 produtos de sua marca própria, comercializados nas mais de 280 lojas da sua rede de varejo. Já no segmento atacadista a empresa possui quatro centros de distribuição.
A área administrativa da empresa é centralizada em um único prédio dividida por setores. No setor no qual está a divisão da tecnologia da informação (TI), também, é o local que hospeda o seu datacenter, responsável por sustentar todos os serviços e sistemas que dão suporte ao negócio.
Os serviços essenciais de cada um dos negócios (atacado e varejo) desta organização são descritos a seguir:
Atacado: • EDI, (Electronic Data Interchange): serviço de transferência de arquivos por uma rede de dados.
Serve para recebimento de pedidos de compra, envio das listas de preços e retorno de faltas para os clientes.
• NFE, nota fiscal eletrônica: serviço que foi denominado dentro da organização para o processo responsável pela consulta da reputação do emissor e comprador, diante da autorização da Secretaria da Fazenda Estadual, e, por fim a emissão da nota fiscal nos centros de distribuição.
• Xplan, é um serviço de apoio da cadeia de suprimentos da empresa, responsável por toda parte da reposição de estoques dos produtos.
• WMS, (Warehouse Management System) serviço de controle e armazenagem de produtos.
Varejo: • PDVM, é um serviço chamado de ponto de venda modular, processo utilizado para registrar as
vendas nas filiais abrangendo as funcionalidades de consulta e descrição dos itens, preço e suas formas de pagamentos. Sistema também responsável por enviar os dados para matriz online, para dar visibilidade na gestão dos resultados da organização.
• TEF, serviço de Transferência Eletrônica de Fundos, sistema que realiza todas as transações de cartões e convênios de forma centralizada na rede de filiais.
• Website é o serviço de portal de vendas pela internet, onde é oferecido os mesmos produtos que são encontrados nas filiais, com a facilidade de poder atender todo o Brasil.
3.1 Ambiente de serviços e seus servidores A empresa possui dois datacenters localizados na matriz em prédios diferentes, ambos alimentados
por dois geradores que formam uma espécie de cluster, e cada sala de processamento recebe energia de estações elétricas diferentes que energizam os nobreaks de cada sala. Um dos datacenters é chamado de sala principal, no qual está hospedado o maior número de servidores, storages, equipamentos de comunicação e refrigeração. O outro datacenter chama-se sala backup, que possui um número menor de servidores,
8
storages, ambiente de backup, equipamentos de comunicação e refrigeração, suficiente para estabelecer os serviços básicos para o negócio em caso de algum desastre. Referente a parte lógica, as duas salas são interligadas por cabos de fibras ópticas que passam por dois acessos diferentes entre os prédios.
O ambiente de servidores da organização é muito heterogêneo e abrange máquinas de modelo rack como de modelo blade ,também chamada de laminas, de fabricantes diferentes que totalizam cerca de 80 equipamentos. Estes servidores utilizam diferentes versões de sistemas operacionais, que variam de Windows, Linux e alguns sistemas operacionais proprietários.
A Figura 2 esboça um diagrama da organização, dividida em três níveis alinhando a parte física e lógica ilustrada como infraestrutura, que sustenta os serviços para cada segmento do negócio. As setas vermelhas indicam a dependência do segmento de atacado em relação aos seus serviços, as setas azuis representam a dependência do segmento varejo suportados por seus respectivos serviços. No nível de serviços mostra a exposição dos sistemas em relação a infraestrutura.
Figura 2 – Organização em três níveis
A organização, tanto no varejo quanto no atacado, possui, aproximadamente, um faturamento mensal de R$150 milhões, sendo a representatividade do varejo de 60% deste valor.
O serviço TEF, Transferência Eletrônica de Fundos, representa 64% no resultado do varejo, deixando em evidência este serviço como um dos mais fundamentais para o negócio. Por ser fonte da maior fatia da arrecadação da organização, este serviço será o escopo de trabalho para análise de risco proposto neste artigo.
9
3.2 Escopo da análise de risco O TEF é o serviço responsável por realizar as autorizações, consultas, descontos e todas as formas
de pagamentos existentes nas filiais do varejo, exceto venda à vista.
Este serviço é essencial para o negócio, sem ele não é possível transacionar nenhum tipo de cartão, como débito, crédito e convênios. Através do TEF, também, é utilizado o serviço de proteção ao crédito, para forma de pagamento com cheque.
O sistema trabalha de forma centralizada em que todas as administradoras de cartões e convênios são cadastradas em um único sistema, que trabalha com módulos por bandeira.
3.2.1 Lógica e física camada servidor Cada administradora possui seu módulo, e neste é configurado a comunicação com a administradora,
as formas de pagamento, conforme as regras de negócio previamente acordadas entre a organização e as administradoras de cartões e convênios. Faz parte desta configuração, também, o cadastro de todas as lojas do varejo, é colocado em cada módulo as 280 lojas, cada uma com seu CNPJ, nome fantasia e endereço.
O serviço TEF trabalha com sistema cliente e servidor. Na camada servidor ele está presente em dois servidores, que são chamados de servidor1 e servidor2, nos quais existem quatro serviços conforme listado abaixo:
• Solução inteligente TEF, serviço instalado no servidor1, responsável por estabelecer a comunicação com as administradoras de cartões e convênios, e também com a camada cliente, que está configurada nos pontos de venda das lojas do varejo. Este serviço possui diversos módulos, cada modulo é designado uma administradora.
• Exportador de logs cliente, serviço instalado, também, no servidor1, que serve para receber do serviço solução inteligente TEF os registros das transações efetuadas nos pontos de venda das lojas, que chegam em formato binário e são convertidos para arquivos de logs, que são enviados para o segundo servidor, denominado servidor2, que possui um serviço chamado exportador de logs servidor.
• Exportador de logs servidor, serviço instalado no servidor2, responsável por receber os arquivos do servidor1. Este serviço converte os arquivos log em blocos de comandos SQL (Structured Query Language) com insert e update, e, através de um ODBC (Open Database Connectivity) executa estes blocos de comandos, populando a base de dados situada no servidor3.
• Banco de dados, instalado no servidor3, é responsável pelo armazenamento dos comandos gerados pelo exportador de logs servidor. Através dele é possível realizar as conciliações financeiras e extrair os dados gerenciais para o BI (Business Intelligence).
Os servidores que sustentam o serviço TEF, denominados servidor1 e servidor2, são duas máquinas de rack com sistema operacional Windows, hospedadas dentro da sala de processamento principal. Também faz parte do ambiente TEF o servidor3, que é uma lâmina blade, com sistema operacional Linux e banco de dados Oracle enterprise, conectado a um storage. Estes equipamentos também estão hospedados na sala de processamento principal.
3.2.2 Comunicação Para a comunicação entre o servidor1 e as administradoras de cartões e convênios é utilizada a
tecnologia X-25 via rádio. Para estabelecer esta comunicação, o roteador2, localizado na sala de processamento principal, é ligado a uma antena direcional, que se encontra na parte externa da organização, onde está direcionada para o outro ponto, que é a antena da operadora, formando a nuvem X-25.
No servidor1, conforme mencionado anteriormente, ficam centralizados todos os módulos e suas configurações com as administradoras. Em cada módulo no campo de comunicação é cadastrado o endereço IP (Internet Protocol ) do roteador2 X-25 e seu respectivo número do socket, também chamado de canal, conforme descrito a seguir.
No roteador2 X-25 é criado um socket que recebe um número sequencial para cada administradora, este socket é configurado à designação da administradora. Cada administradora fornece sua designação, que é o endereço que vai fechar o canal e realizar a comunicação. Assim como as administradoras, a organização também possui sua designação, que é fornecida para todas as administradoras servindo como uma espécie de endereço origem e destino para estabelecer a comunicação entre os pontos.
10
A comunicação entre a parte cliente e servidor é realizada através dos links MPLS (Multi Protocol Label Switching) que interligam as lojas com a matriz, bem como os pontos de venda das filiais com o servidor1.
O servidor1 está ligado a um segmento local de rede que chega à interface local do firewall, este por sua vez encaminha a conexão para o roteador1 que está no segmento de rede MPLS da operadora1, localizado na sala de processamento principal, que posteriormente é encaminhado para nuvem MPLS, e, a partir desta nuvem é roteado para o roteador da operadora1, localizado nas lojas do varejo, que chega até o segmento interno de rede das lojas do varejo, nos quais estão conectados todos os pontos de venda.
3.2.3 Lógica e física camada cliente A camada cliente, que são as lojas do varejo, possui um servidor, e em média de três a cinco pontos
de venda, dependendo do porte da loja.
O servidor da loja possui uma base de dados de pequeno porte, neste caso trabalha com Oracle XE (Express Edition), que serve para armazenar somente a estrutura para o funcionamento básico da filial, mais especificadamente venda à vista, caso ocorra interrupção no link de dados entra a loja e a matriz.
A base de dados local, que fica no servidor da loja, recebe via replicação estabelecida através de um job de banco, entre o banco de dados da matriz que esta no servidor3 e o banco local da loja, todos os dados necessários para o funcionamento off-line da loja, tais como lista de produtos, promoções, e lista de preço.
Cada ponto de venda utiliza o software chamado PDVM, este software possui uma função do sistema TEF que, através de uma biblioteca desenvolvida por uma empresa especializada em TEF, realiza a comunicação do ponto de venda com o servidor1 da matriz.
Os pontos de venda realizam a venda em duas fases, na primeira fase é estabelecida a comunicação entre o ponto de venda e o servidor1 da matriz para receber a autorização, consultar crédito e debito, e efetuar a venda dando baixa no saldo do cliente. Na segunda fase é finalizada a venda, e esta é enviada para o servidor local através de comandos inseridos no banco de dados local. Após estes dados serem inseridos, são replicados para matriz, a única exceção é a venda à vista que utiliza somente a segunda fase.
O servidor e os pontos de venda são computadores do tipo torre, com sistema operacional Linux. Para cada ponto de venda realizar as transações TEF é utilizado um equipamento chamado pin pad e impressora fiscal. O pin pad é o aparelho de leitura de cartões de crédito e débito, ele efetua a leitura através da tarja magnética e também de chips, este equipamento é conectado na porta serial do computador. Outro equipamento importante para o ciclo do TEF é a impressora fiscal, chamada de ECF sigla que significa emissor de cupom fiscal, ela também é conectada em uma porta serial do computador.
3.2.4 Estrutura elétrica matriz e filial A sala de processamento principal é alimentada por dois nobreaks, cada um correspondendo a um
circuito diferente. Todos os racks dos servidores e equipamentos de comunicação são alimentados por estes dois circuitos, os servidores e equipamentos possuem fontes redundantes.
Os nobreaks são equipamentos de grande porte, cuja autonomia é manter a sala energizada por duas horas. Estes dois nobreaks estão ligados a uma chave reversora que recebe energia da concessionária e também do gerador. Quando ocorre a interrupção da concessionária, em no máximo 50 segundos, o gerador é acionado, passando a alimentar os nobreaks, até normalizar o serviço da concessionária.
Nas lojas do varejo, os equipamentos que sustentam o TEF, tais como máquinas, switch e o roteador da operadora1, são alimentados por um nobreak de pequeno porte, que tem autonomia de, aproximadamente, 20 minutos para todos estes equipamentos.
3.2.5 Topologia de infraestrutura do ambiente TEF A topologia do ambiente TEF é dividida em três partes, cliente, servidor e operadoras de cartão e
convenio.
A parte servidor que esta localizada na rede LAN da matriz, comunica com as operadoras de cartão e convenio por um segmento, e pelo outro segmento com a parte cliente que são as lojas do varejo.
A Figura 3 demonstra um exemplo da Loja1, que representa a ligação de todas as lojas da rede de varejo com a matriz, realizando a comunicação cliente e servidor do ambiente TEF.
11
Também esta representando na Figura 3 abaixo, o fluxo da conexão para as operadoras de cartão e convenio com a matriz, fechando assim a terceira parte da topologia.
A Figura 3 ilustra a infraestrutura que sustenta todo ambiente TEF, que é o escopo para análise de risco.
Figura 3 – Topologia da infraestrutura ambiente TEF
3.2.6 Análise de risco A análise de risco, tendo o serviço TEF como escopo escolhido, será realizada no nível de
infraestrutura, nos quais serão analisados os ativos que sustentam o ambiente TEF. Esta análise contempla a etapa que chamamos de identificação e classificação dos riscos.
O critério utilizado para mensurar os níveis de riscos está disposto através de uma pontuação, que é resultado de uma composição entre ameaça e impacto. Ameaça representada em cinco níveis, muito baixo, baixo, médio, alto e muito alto, bem como o impacto, ilustrado no Quadro 4 a seguir. O risco foi classificado em três níveis, risco baixo de 1 a 6, risco médio de 7 a 11 e risco alto de 12 a 25.
Quadro 4 – Matriz de risco
Ameaça MB BA ME AL MA
MB 1 2 3 4 5 BA 2 4 6 8 10 ME 3 6 9 12 15
12
Impacto AL 4 8 12 16 20 MA 5 10 15 20 25
A etapa de identificação dos riscos, ilustrada no Quadro 5 abaixo, está organizada através de colunas, sendo a primeira chamada de ativos; a segunda coluna de ameaça; a terceira coluna de risco, estando esta dividida em três níveis: baixo, médio e alto, representadas pelas letras iniciais de suas palavras; a quarta coluna denominada impacto, classificada em cinco níveis denominados muito baixo, baixo, médio, alto e muito alto e a quinta, também a última coluna, denominada recomendações.
Quadro 5 – Análise de risco Ativo Ameaça Risco Impacto Recomendação
B M A (Controle) Roteador2 TEF Falha de equipamento
(hardware) X
Alto Adquirir um novo roteador do mesmo modelo, deixar ligado e pré configurado no mesmo rack de comunicação.
Falha de software após alteração ou atualização.Recuperação de mídia (backup)
X Médio Realizar periodicamente, o backup das configurações do roteador, exportando suas configurações e gravando em uma área da rede. Documentar o processo de recover.
Uso não autorizado do equipamento
X Médio Desabilitar o usuário padrão (admin), e criar usuários individuais, com senhas fortes (oito dígitos) para equipe de suporte.
Alteração e atualização de software.
X Alto Criar um comitê de mudanças, para planejar e comunicar previamente as alterações no ambiente TEF. (horário 5h a 6h)
Interrupção de energia X Muito Baixo
Colocar fonte redundante para ser alimentado por dois circuitos distintos, que o rack disponibiliza.
Controle de acesso X Baixo Desabilitar acesso remoto via http e telnet, deixar apenas ssh.
Antena comunicação de dados
Fenômeno natural (chuva).
X Muito Alto
Contratar um segundo link de dados, por outro meio de acesso diferente, como terrestre (par metálico).
Roteador1 MPLS Falha de equipamento X Muito Baixo
Responsabilidade da substituição é da operadora, através do SLA de 4hs.
Uso não autoriza do equipamento
X Baixo Controle de acesso do equipamento responsabilidade da operadora1.
Backbone(switch core) Falha de software após alteração ou atualização
X Médio Realizar periodicamente, o backup das configurações do roteador, exportando suas configurações e gravando em uma área da rede. Documentar o processo de recover.
Rede interna matriz (LAN) Controle de acesso X Médio Segmentar a rede administrativa por setores e separar da rede de servidores, controlar acesso via ACLs.
Servidor1 Falha de equipamento X Muito Alto
Virtualizar o servidor, colocando em um ambiente mais robusto formado por um cluster de maquinas, e storages.
Uso não autorizado X Médio Desabilitar o usuário genérico do sistema operacional, criar usuários individuais para equipe de suporte.Respeitando as políticas de rede.
Falha de software (bloqueio do usuário owner no sistema)
X Médio Utilizar no serviço do Windows, o usuário administrador local da maquina como owner do sistema TEF, (não participa da política de senhas).
13
Falha de software X Médio Criar um ambiente de teste (um servidor com as mesmas características do de produção) para homologar os novos módulos TEF ou atualizações.
Servidor1 Controle de acesso X Médio Desabilitar Acesso remoto (terminal services) ao servidor1.
Alteração e atualização de software
X Alto Criar um comitê de mudanças, para comunicar e executar previamente as alterações no ambiente TEF.
Servidor2 Falha de equipamento X Baixo Virtualizar o servidor, colocando em um ambiente mais robusto formado por um cluster de maquinas 4, estrutura que já hospeda outros servidores.
Uso não autorizado X Médio Desabilitar o usuário genérico do sistema operacional, criar usuários individuais para equipe de suporte. Respeitando as políticas de rede.
Uso não autorizado de mídias
X Baixo Bloqueio de portas USB, para armazenamento de dados.
Falha de software (bloqueio do usuário owner no sistema)
X Médio Utilizar no serviço do Windows, o usuário administrador local da maquina como owner do sistema TEF, (não participa da política de senhas).
Falha de software X Médio Criar um ambiente de teste (um servidor com as mesmas características do de produção)para homologar os novos módulos TEF ou atualizações.
Alteração e atualização de software
X Baixo Criar um comitê de mudanças, para comunicar e executar previamente as alterações no ambiente TEF.
Controle de acesso X Baixo Desabilitar Acesso remoto ao servidor2. Servidor3 Forjamento de direitos X Médio Usuário (owner) que manipula os objetos
do sistema na base de dados com senha fraca(mesmo nome do usuário). Criar política de senha, com senhas fortes.
Recuperação de mídia X Baixo Teste das mídias de backup, processo periódico de recuperação dos dados armazenados em fitas.
Controle de acesso X Baixo Terceiros com acesso a base de dados. Criar um termo de confidencialidade anexado no contrato.
Controle de acesso X Médio Desabilitar ou alterar senha do usuário genérico, e criar usuário individual para equipe que presta suporte, da empresa terceira.
Maquinas do ponto de venda (PDVM)
Controle de acesso X Muito Baixo
Acesso ao sistema operacional com usuário genérico, desabilitar o usuário e criar logins individuais para cada funcionário da loja.
Controle de acesso sistema
X Baixo Acesso ao sistema TEF com usuário genérico, desabilitar e criar usuários individuais para cada funcionário da loja.
Ambiente computacional da organização
Furto de informações e divulgação indevida
X Médio Bloqueio aos dispositivos de armazenamento, liberação diante de um termo de responsabilidade. (Através do agente de antivírus)
14
E-mail Furto de informações e divulgação indevida
X Médio Controlar o envio e recebimento dos e-mails corporativos, que possui informações de cartão. (DLP na ferramenta anti spam)
O resultado da análise de risco, reflete o cenário atual da organização, bem como o percentual de cada nível de risco, esta ilustrado na Figura 4 abaixo.
Figura 4 – Risco por nível A análise de risco apontou 32 ameaças com riscos no ambiente atual. Seis itens foram classificados
como risco alto, que representam 19% dos riscos, dezessete itens classificados como risco médio representando 53%, e nove itens de risco baixo que representam 28%.
Este resultado foi divulgado para os stakeholders para que possam ser definidos os tratamentos dos riscos, montado um plano de ação.
Através de reuniões com os stakeholders, foram analisadas as recomendações passadas pelo analista, e diante das recomendações e classificação, foram definidos os critérios para o tratamento dos riscos.
Os critérios foram definidos através de uma decisão conjunta entre os stakeholders e os analistas envolvidos, definindo quais são os níveis máximos que a organização está disposta a tolerar. Todo risco que estiver acima deste nível definido, ele deverá ser tratado.
Foi definido que o plano de ação será realizado com foco em dois critérios, sendo o primeiro a redução ou eliminação dos riscos de nível alto, e o segundo para refinar o plano de ação é de acordo com o impacto desta ameaça.
Baseado nos dois critérios citados anteriormente, nível de risco e impacto, foi estabelecido o plano que está organizado em seis colunas que são: prioridade referente a ordem que será executado, ativo, recomendação, ação a ser implementada, data da implementação e áreas responsáveis, equipes ou setores envolvido nas ações, conforme o Quadro 6 a seguir.
Quadro 6 – Plano de ação
����������� ���� Recomendação Ação a ser implementada Data Áreas Responsáveis
�� Antena ��� ������� ���������
� ����
��������� ��� �������
��� ��� ������������
������� ���� ���� ����������������������
���� ������� �����
�� Servidor 1 ������������ ���������� ��������� ������
!�������������������������������������������������
�"��������������������������������������
��� ��� �������
� ����� ���� ������� �����
15
���� ��������
#� Servidor 1 $��!������ ��������������
�� ���% ������������� ��
������������� ������ �����������������������������������
�"�������
������� ���� ������� ��������������������
�� �����������
&� Servidor 2 $��!������ ��������������
�� ���% ������������� ��
������������� ������ �����������������������������������
�"�������
������� ���� ������� ��������������������
�� �����������
'� Servidor 3 (������������ ������������� �������������"��������������������������������������
��� ��� ������
������� ���� ���) �������������������������
���� ��)*��
+� Rede interna da matriz
$�,� ���������������
���!�����������������
����������� � ������������������������������������������������
�"��������-�,����������������
����!��� ���,�������������������������������
��� ��� ������
� ����� ���� ���� ��������������������������������������
���� ������� ���������������������
�� �����������
4 IMPLEMENTAÇÃO DO PLANO DE AÇÃO A partir do plano de ação que foi estabelecido na seção anterior, a implementação será executada em
um escopo de seis ameaças, que foram priorizadas com nota de 1 a 6, onde 1 representa a prioridade máxima e 6 a menor prioridade.
4.1 Contingência da antena de comunicação A primeira implementação classificada como prioridade 1 é referente à comunicação via rádio, onde
a organização está procurando uma forma de contingenciar este meio. A equipe comercial foi em busca, no mercado de comunicação, operadoras que trabalham com tecnologia X-25, mas somente uma operadora trabalha com esta tecnologia.
Na primeira fase da implementação foi solicitada uma cotação de valores para implementar um segundo meio de acesso via terrestre, foi passado o valor para a equipe comercial e a mesma avaliou os valores e formato da proposta junto com os stakeholders para obter a aprovação deste contrato de serviço. Aprovado o contrato e aberta a ordem de serviço junto à operadora, foi realizado o primeiro contato com a equipe técnica, neste caso a área de suporte.
A segunda fase que envolve a área de suporte foi previamente solicitado uma infraestrutura interna passando um par metálico do DG (Distribuidor Geral) da empresa até a sala principal de processamento. Após a infraestrutura pronta, foi agendada com a operadora a visita técnica para instalação dos seus equipamentos de comunicação, neste caso um modem. Também nesta segunda fase, foi comprado um segundo roteador do mesmo modelo pela área comercial, e configurado de acordo com o roteador de produção, criando uma estrutura paralela com o link de dados por meios diferentes, e também equipamentos distintos. Para completar o ciclo da implementação, a equipe de suporte comunicou as administradoras de cartão e convenio TEF sobre o novo circuito que está no modo de espera, para que seja liberado em sua estrutura as duas designações, a de produção e a que esta em espera.
4.2 Virtualização do servidor1 A segunda implementação na escala das prioridades possui nota 2, refere-se a virtualização do
servidor1 do TEF, dividindo em três fases, a análise do ambiente virtual para receber o novo servidor, execução, acompanhamento e documentação.
A primeira fase foi o acompanhamento de desempenho do servidor1 máquina física, para mensurar o consumo de hardware que será necessário no ambiente virtual onde ele será hospedado.
Foi monitorado CPU, memória e disco, nesta mesma fase foi verificado se estes recursos estavam disponíveis no ambiente virtual, ou se existia a necessidade de algum investimento nos hosts que suportam o ambiente virtual.
Após a análise foi identificado que o ambiente virtual estava com boa capacidade de crescimento,
16
apto assim a receber o novo servidor, neste caso o servidor1.
A segunda fase da implementação é a execução da virtualização. Foi realizado uma reunião com a área de negócios do varejo, e verificado a melhor data e horário para deixar o serviço indisponível a fim de executar a migração, de acordo com os relatórios gerenciais que apóiam as áreas com os valores das vendas diário e mensal, foi definido que o segundo final de semana do mês de maio era a melhor janela para realizar a manutenção, no período da madrugada onde não teríamos um impacto muito grande no negocio. Com a janela de manutenção definida, foi comunicado as partes envolvidas, e executado o procedimento.
Foi parado o serviço solução inteligente TEF, e exportador de logs cliente no servidor1, para não correr o risco de alguma inconsistência durante a migração. Foi utilizado para executar a virtualização da máquina física, a ferramenta chamada VMware vcenter converter standalone Server. Esta aplicação converte a máquina física em uma máquina virtual, levando todas as suas características de configuração.
Após converter a máquina física para o ambiente virtual, foi desligado o servidor, e restabelecido os serviços, solução inteligente TEF e exportador de logs cliente, no novo servidor1 já na plataforma virtualizada.
A terceira fase que é o acompanhamento e documentação, foi analisado o novo ambiente em nível de funcionamento, se os logs realmente estavam sendo gerados e exportados para o servidor2, bem como as autorizações das lojas estavam conectando e autorizando as vendas. Foi atualizada a documentação do servidor, descrevendo que agora está no ambiente virtual, trabalhando com recursos clusterizados, e comunicado as áreas responsáveis sobre a nova estrutura.
4.3 Alteração de owner nos serviços do servidor1 A implementação que está classificada como prioridade 3, refere-se a alteração no owner do serviço
solução inteligente TEF e exportador de logs cliente, que está instanciado no servidor1, foi realizado em duas fases, análise de impacto e a execução.
Na primeira fase foi realizada uma análise de impacto, entrando em contato com a empresa que desenvolveu a aplicação, informando a alteração que seria realizada, diante de uma análise técnica, a única observação da parte da empresa responsável pela aplicação, era que o usuário administrador local, deveria ter acesso ao diretório onde é gerado os logs, e ao diretório que realiza a transferência, área que o exportador utiliza para encaminhar os logs.
A segunda fase que é a execução, antes de realizar o procedimento foi realizada uma reunião com a área de negócios do varejo, para decidir a melhor janela de manutenção, data e hora. Após a decisão, foi comunicado as lojas sobre a manutenção, e executada a tarefa. Conforme a orientação da empresa responsável pelo software, foi verificado os acessos nas pastas que o sistema utiliza para geração dos logs, e exportação que já estavam liberadas para o administrador local, e por fim parado o serviço e alterado o usuário.
4.4 Alteração de owner no serviço do servidor2 A modificação de owner do serviço exportador de logs servidor, que está instalado no servidor2,
segue o mesmo cenário da seção anterior.
Diante da sua classificação com a nota 4, foi implementado em conjunto com a alteração do servidor1, aproveitando a dependência que existe entre os dois servidores e seus serviços, utilizado a mesma janela de manutenção, definida pela área de negócios do varejo. Foi realizado em duas fases também, e aproveitado a ocasião do contato anterior para alteração do servidor1 com a empresa responsável pelo software, foi solicitado uma análise de impacto para troca do owner deste serviço. A recomendação da empresa foi verificar o acesso ao diretório onde é armazenado os arquivos de exportação.
No momento da indisponibilidade dos serviços instanciados no servidor1 representados na seção anterior, foi parado o serviço exportador de logs servidor no servidor2 e realizado a alteração do owner, retirando o usuário genérico do sistema, e colocando o administrador local da máquina. Após parado e alterado o serviço, foi restabelecido o serviço e monitorado, para ter a certeza que os logs estavam sendo aplicadas na base de dados, de acordo com seu fluxo normal.
17
4.5 Alteração de senha do usuário de banco A implementação com a prioridade 5, é referente a troca de senha do usuário do banco de dados, que
é utilizado para autenticar a aplicação no banco de dados, com uma senha classificada como fraca, de fácil acesso. Esta implementação foi dividida em três fases, análise de impacto, execução e acompanhamento.
Na primeira fase foi encaminhada a demanda para as ADs (administradoras de dados) para que fosse executado o mapeamento dos objetos de banco e serviços utilizados por este usuário.
Através da análise de impacto foi identificado um único ponto de falha para esta alteração, a conexão ODBC do servidor2.
A conexão ODBC, configurada no servidor2, é utilizada para conectar na base de dados, e através do exportador aplicar os comandos. Após finalizar a análise de impacto, foi iniciado a segunda fase, solicitando a equipe de DBAs (Administradores de banco de dados), a execução da troca de senha, após a troca de senha na base de dados que esta instalada no servidor3, foi alterado também as configurações de conexão do ODBC instalado no servidor2.
Foi realizado o acompanhado das funcionalidades da aplicação, que executa os comandos de insert, delete e update na base de dados, verificando nas tabelas se os registros com a data e hora corrente estavam sendo populados.
4.6 Segmentação da rede A implementação classificada com a nota 6 refere-se a segmentação da rede, onde serão separadas
as redes dos setores e servidores para obter maior visibilidade e, também, controle nos acessos, a fim de criar políticas individuais por segmento.
A implementação está sendo realizada em três fases, divididas em cotação e compra dos equipamentos, execução, e acompanhamento.
A primeira fase, cotação e compra dos equipamentos, já foi realizada, de acordo com o desenho da nova topologia. O setor na qual é realizada a segmentação passa por uma análise das tecnologias que os atuais equipamentos suportam, verificando se possui as funcionalidades de vlan e 802.1x, viabilizando a substituição dos equipamentos se necessário. A Figura 5, abaixo, demonstra a topologia da rede com a segmentação e os equipamentos utilizados.
18
Figura 5 – Topologia e segmentação da rede Neste momento está na segunda fase que é a execução, já foi segmentada a rede de alguns setores,
totalizando 13 redes.
Nesta fase também está sendo realizada a segmentação da rede de servidores. Por se tratar de uma rede que sustenta todos os serviços que apóiam o negócio da organização, a execução é realizada de acordo com cada serviço, mapeando o servidor com serviços que ele sustenta, alterando as configurações de rede pertinentes, e liberando os acessos conforme a necessidade de cada serviço em relação ao negocio. Esta execução segue na mesma linha das outras alterações, realizando reuniões com as áreas de negócio responsáveis, estabelecendo uma janela de manutenção, comunicando e executando.
4.7 Resultado Foi criada uma rotina semestral, para monitorar as ameaças já existentes, bem como incluir novas
ameaças conforme a modificação do ambiente. É realizado neste monitoramento periódico, uma nova análise no ambiente com base na última análise, assim reclassificando as ameaças, tratando ou aceitando seus riscos.
Após as implementações foi realizado nova análise de risco (ver anexo A), através desta análise, foi gerado novo gráfico, ilustrado na Figura 6.
Figura 6 – Análise após tratamento dos riscos Após o tratamento de risco foram identificadas 28 ameaças com uma redução de quatro ameaças
com relação à primeira análise de risco.
As 28 ameaças foram reclassificadas conforme o tratamento de risco. O risco alto ficou com apenas uma ameaça representando um percentual de 3%. O risco médio ficou com dezessete ameaças, que representam 61%, e o risco baixo com dez ameaças, representando 36% dos riscos.
Algumas ameaças foram eliminadas através do tratamento de risco e outras diminuíram o seu nível de risco alterando os percentuais de todos os níveis, ficando assim, classificado em níveis mais aceitáveis, de acordo com o critério definido no inicio da análise de risco.
5 CONCLUSÃO A segurança da informação está cada vez mais em evidência. Com a rapidez com que as informações
circulam interna e externamente nas organizações, e diante da concorrência e competitividade do mercado, as empresas estão valorizando suas informações e seus sistemas que sustentam o negócio.
Este artigo apresentou a implementação da gestão de segurança da informação em uma empresa que trabalha em dois segmentos de mercado, são eles o varejo e o atacado.
19
Através da gestão de segurança da informação foi possível demonstrar uma maior visibilidade dos principais pilares que sustentam o negócio. Com este trabalho, também, foi possível evidenciar sistemas que são essenciais para a empresa.
Com a implementação da gestão de segurança da informação foi possível reduzir a indisponibilidade de um dos serviços que sustentam o negócio, conhecido como TEF e identificado pelas áreas de negócio como o principal serviço da empresa, sendo, então, escolhido como o escopo inicial para o presente trabalho. Através deste trabalho foi possível aumentar a estabilidade deste serviço que causa impacto diretamente ao cliente final, demonstrando maior confiabilidade e credibilidade da marca e nome da empresa no mercado.
Diante do escopo atual da análise de risco, existe uma tarefa citada no tratamento de risco que está em fase de implementação, que é a segmentação da rede. Sugere-se que após sua conclusão, este trabalho sirva de base para futuras implementações de controles dentro da organização. A partir desta segmentação será possível implementar mecanismos de segurança de perímetro de rede, bem como 802.1x, bloqueio de dispositivos de armazenamentos, de acordo com as características de cada área.
Para futuros estudos, recomenda-se como novos escopos de trabalho dois serviços um de cada segmento, no segmento do varejo o serviço Website, e no segmento atacado o serviço EDI.
É importante salientar que este é apenas o início de um ciclo da gestão de segurança da informação dentro da organização. Novos escopos e avaliações são recomendados para que o processo de gestão adquira maior maturidade.
REFERÊNCIAS ERNST & YOUNG. Disponível em: <http://www.ey.com/Publication/vwLUAssets/GISS_-_Apresentacao_-_2010/$FILE/GISS_apresentacao_-_2010.pdf> Acesso em: 7 ago. 2011.
IDGNOW. Disponível em: <http://idgnow.uol.com.br/seguranca/2011/04/27/prejuizo-da-sony-com-falha-da-psn-pode-ultrapassar-os-us-24-bilhoes/> Acesso em: 13 ago. 2011.
REVISTA INFO EXAME. Agosto 2011, Ed. Abril n.306
PCWORLD. Disponível em: <http://pcworld.uol.com.br/noticias/2011/06/29/maior-botnet-do-mundo-tinha-4-5-milhoes-de-pcs-sob-controle/> Acesso em: 28 ago. 2011.
SYMANTEC. Disponível em: <http://www.symantec.com/content/pt/br/enterprise/images/theme/istr-16/> Acesso em: 28 ago. 2011.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002 Tecnologia da informação – Técnicas de segurança – Código de prática para gestão da segurança da informação – Elaboração. Rio de Janeiro: ABNT, 2005. 120p.
INFORMATION WEEK. Disponível em: <http://informationweek.itweb.com.br/blogs/mercado-brasileiro-de-seguranca-da-informacao-destaque-global/> Acesso em: 3 set. 2011.
RESENHA ELETRONICA MINISTERIO DA FAZENDA. Disponível em: <http://www.fazenda.gov.br/resenhaeletronica/MostraMateria.asp?page=&cod=735296> Acesso em: 3 set. 2011.
SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. Ed. Campus, 2003. 160p.
RAMOS, Anderson. Security Officer 1. Ed. Zouk, 2006. 464p.
FERNANDES, Aguinaldo, ABREU, Vladimir Implantando a governança de TI. Ed. Brasport, 2008. 480p.
KNOWLEDGELEADER. Disponível em: <http://www.knowledgeleader.com/KnowledgeLeader/Content.nsf/Web+Content/ChecklistsGuidesBritishSt
20
andard7799!OpenDocument> Acesso em: 10 set. 2011.
STANDARDS. Disponível em: <http://17799.standardsdirect.org/bs7799.htm> Acesso em: 10 set. 2011.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27005 Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação – Elaboração. Rio de Janeiro: ABNT, 2008. 63p.
(QSP) Centro da Qualidade, Segurança e Produtividade. Disponível em: <http://www.qsp.org.br/artigo_27005.shtml> Acesso em 02 set. 2011
DINSMORE, Paul Campbell, CAVALIERE, Adriane, CARNEIRO, Margareth, PINTO, Americo. Projetos Brasileiros – Casos reais de gerenciamento. Ed. Brasport, 2007.
INTERNATIONAL REGISTER. Disponível em: <http://www.iso27001certificates.com/Taxonomy/CertificateSearch.htm> Acesso em: 10 set. 2011.
MODULO. Disponível em: < http://www.modulo.com.br/comunidade/entrevistas/619-stj-recebe-recomendacao-para-certificacao-iso-27001> Acesso em: 11 set. 2011.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001 Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos Elaboração. Rio de Janeiro: ABNT, 2006. 34p.
