CURSO DE TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO...

CURSO DE TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO – TSI TRABALHO DE CONCLUSÃO DE CURSO

DANILO BEZERRA LEMES DE OLIVEIRA GUILHERME DE SOUZA SARMENTO

PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA O CENTRO RECREATIVO SORRIA BABY

GUARÁ - DF 2016

DANILO BEZERRA LEMES DE OLIVEIRA GUILHERME SARMENTO


Trabalho de conclusão de curso apresentado às Faculdades Integradas ICESP PROMOVE de Brasília, como requisito parcial a obtenção do título de Tecnólogo em Segurança da Informação orientado pelo Professor MSc. Cid Bendahan Coelho Cintra.

GUARÁ - DF 2016

DANILO BEZERRA LEMES DE OLIVEIRA GUILHERME DE SOUZA SARMENTO


Trabalho de conclusão de curso apresentado às Faculdades Integradas ICESP PROMOVE de Brasília, como requisito parcial a obtenção do título de Tecnólogo em Segurança da Informação.

Aprovado em ____/____/2016 _________________________________

Prof. MSc. Cid Bendahan Coelho Cintra Faculdades Integradas ICESP PROMOVE

Orientador _________________________________ Prof(a). Faculdades Integradas ICESP PROMOVE

Avaliador(a) _________________________________ Prof(a). Faculdades Integradas ICESP PROMOVE

Avaliador(a)

RESUMO

Este trabalho tem como propósito elaborar uma proposta de política de segurança da

informação, física e lógica, para o Centro Recreativo Sorria Baby. O trabalho foi

fundamentado em diferentes partes, tendo como base o referencial teórico, constituído

pela utilização de cartilhas, livros e normas técnicas. Em seguida, foram abordados

os aspectos estruturais da empresa, físico e lógico, localizado na parte de estudo de

caso. Após a análise dos aspectos estruturais da empresa, ocorreu o levantamento

das vulnerabilidades do Centro Recreativo Sorria Baby, tendo em vista a análise do

seu ambiente empresarial e das matrizes de risco física e lógica da empresa. Com

base nestas matérias, foi elaborada a proposta de Política de Segurança da

Informação física e lógica para o Centro Recreativo Sorria Baby baseada na Norma

ABNT NBR ISO/IEC 27002:2005. A implantação correta da política de segurança da

informação no Centro Recreativo Sorria Baby, terá como resultado, êxito na correção

de aspectos vulneráveis da empresa, evitando as ameaças, e como consequência a

redução no nível dos riscos prejudiciais a segurança física e lógica, proporcionando

assim um ambiente empresarial seguro.

Palavras chaves: informação, política, segurança, tecnologia

ABSTRACT

This work aims to develop a security policy information, physical and logical for the

Centro Recreativo Sorria Baby. The work was based in different parts, based on the

theoretical framework, consisting of the use of posters, books and technical standards.

They were then addressed the structural aspects of the company, physical and logical,

located on the case study. After analyzing the structural aspects of the company, was

done the lifting of the Centro Recreativo Sorria Baby of your vulnerabilities, with a view

to analysis of its business environment and arrays of physical and logical risk of the

company. Based on these materials was prepared the proposal for security policy

information Centro Recreativo Sorria Baby based on the standard ISO/IEC 27002:

2005. The correct implementation of the information security policy, will result, success

in correcting vulnerable aspects of the company, avoiding the threats, and the effect of

reducing the level of risk damaging the physical and logical security, providing a secure

business environment.

Key words: information, policy, security, technology.

LISTA DE ILUSTRAÇÕES

FIGURAS

Figura 1: entrada principal da empresa ..................................................................... 26

Figura 2: refeitório e entrada da cozinha ................................................................... 27

Figura 3: Secretaria da empresa ............................................................................... 28

Figura 4: Secretaria da empresa ............................................................................... 28

Figura 5: sala da Diretoria Pedagógica ..................................................................... 29

Figura 6: sala contendo os aparelhos de monitoramento e modem .......................... 29

Figura 7: Secretaria ................................................................................................... 30

Figura 8: gaveteiro da Secretaria .............................................................................. 31

Figura 9: documentos em cima do balcão de atendimento da Secretaria ................. 31

Figura 10: uma das câmeras de segurança .............................................................. 32

Figura 11: Digital Video Recorder (DVR) e seus periféricos ..................................... 32

Figura 12: sala da Diretoria Pedagógica ................................................................... 33

Figura 13: vista do edifício pela avenida principal ..................................................... 33

Figura 14: um dos extintores de incêndio do edifício ................................................ 34

Figura 15: fios expostos entre o modem e a central de monitoramento .................... 34

Figura 16: modem de Internet atrás de um armário com fios expostos ..................... 35

Figura 17: pequeno armário com materiais inflamáveis ............................................ 35

Figura 18: roteador responsável por transmitir parte da rede sem fio ....................... 36

Figura 19: tela inicial do antivírus Kaspersky ............................................................ 37

Figura 20: arquivos armazenados na área de trabalho do sistema operacional ....... 37

Figura 21: uso de pendrive no computador da Secretaria ......................................... 38

Figura 22: sala da Diretoria Pedagógica ................................................................... 38

LISTA DE ILUSTRAÇÕES

QUADROS

Quadro 1: Escala de valoração do ativo .................................................................... 15

Quadro 2: Inventário dos ativos da informação ......................................................... 16

Quadro 3: Nível de probabilidade da exploração de vulnerabilidades ....................... 20

Quadro 4: Definição de nível de impacto .................................................................. 21

Quadro 5: Matriz do nível de risco ............................................................................. 21

Quadro 6: Definição e nível dos riscos ...................................................................... 22

Quadro 7: Matriz de risco, segurança física .............................................................. 39

Quadro 8: Matriz de risco, segurança lógica ............................................................. 40

SUMÁRIO

1 CAPÍTULO I – APRESENTAÇÃO ........................................................................... 8

1.1 INTRODUÇÃO ..................................................................................................... 8

1.2 JUSTIFICATIVA ................................................................................................... 9

1.3 OBJETIVOS ......................................................................................................... 9

1.3.1 Objetivo Geral ................................................................................................... 9

1.3.2 Objetivo Específico ............................................................................................ 9

1.4 METODOLOGIA ..................................................................................................10

2 CAPÍTULO II – REFERENCIAL TEÓRICO ........................................................... 11

2.1 INFORMAÇÃO ....................................................................................................11

2.2 SEGURANÇA DA INFORMAÇÃO ......................................................................11

2.2.1 Conceitos Essenciais para a Implantação da Segurança da Informação .........12

2.2.1.1 Confidencialidade ..........................................................................................12

2.2.1.2 Integridade ....................................................................................................12

2.2.1.3 Disponibilidade ..............................................................................................12

2.2.2 Conceitos que Complementam a Segurança da Informação ...........................13

2.2.2.1 Autenticidade .................................................................................................13

2.2.2.2 Não Repúdio .................................................................................................13

2.2.2.3 Confiabilidade: ...............................................................................................13

2.2.2.4 Responsabilidade ..........................................................................................13

2.3 OBJETIVOS DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ....................14

2.4 CONCEITOS ASSOCIADOS À SEGURANÇA DA INFORMAÇÃO ....................14

2.4.1 Ativo .................................................................................................................14

2.4.2 Classificação dos Ativos da Informação ...........................................................15

2.4.3 Risco ................................................................................................................17

2.4.4 Vulnerabilidade .................................................................................................18

2.4.5 Ameaça ............................................................................................................18

2.4.6 Engenharia Social ............................................................................................19

2.4.7 Ataque ..............................................................................................................19

2.4.8 Matriz de Risco .................................................................................................20

2.4.9 Segurança do Ambiente Físico ........................................................................22

2.4.10 Perímetro Físico .............................................................................................23

2.5.1 Segurança do Ambiente Lógico .......................................................................23

2.5.1.1 Ferramentas para proteção do Ambiente Lógico: .........................................24

2.6 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ...............................................24

3 CAPÍTULO III – ESTUDO DE CASO ..................................................................... 26

3.1 A EMPRESA .......................................................................................................26

3.1.1 A Estrutura da Empresa ...................................................................................28

3.1.2 Segurança Física da Empresa .........................................................................30

3.1.3 Segurança Lógica da Empresa ........................................................................36

3.2 MATRIZ DE RISCO .............................................................................................39

3.2.1 Matriz de Risco – Segurança Física .................................................................39

3.2.2 Matriz de Risco – Segurança Lógica ................................................................40

3.3 ANÁLISE DA MATRIZ DE RISCO .......................................................................41

4 CAPÍTULO IV – PROPOSTA DE POLÍTICA DE SEGURANÇA ........................... 50

4.1 TÍTULO DA POLÍTICA DE SEGURANÇA ...........................................................50

4.2 A INSTITUIÇÃO ..................................................................................................50

4.3 OBJETIVO DA POLÍTICA DE SEGURANÇA ......................................................50

4.4 DIRETRIZES DE SEGURANÇA .........................................................................51

4.4.1 Segurança Física .............................................................................................51

4.4.2 Segurança Lógica ............................................................................................52

4.5 CONFORMIDADE ...............................................................................................53

4.6 PENALIDADE ......................................................................................................53

4.7 DISPOSIÇOES GERAIS .....................................................................................53

CAPÍTULO V – CONCLUSÃO .................................................................................. 54

REFERÊNCIAS .........................................................................................................55

8

1 CAPÍTULO I – APRESENTAÇÃO

1.1 INTRODUÇÃO

A informação nos tempos contemporâneos é considerada o ativo mais precioso

para a empresa, pois, nela é estabelecido conteúdos com significados importantes e

próprios para ela.

Cada informação tem um valor de acordo com o grau de importância para

empresa, como exemplo informações de clientes, financeiras, técnicas.

Caso ocorra acesso indevido de algumas informações da empresa, acarretará

no prejuízo para a mesma de acordo com seu grau de importância.

As informações do Centro Recreativo Sorria Baby devem estar protegidas e

mantidas em segurança, tendo como relevante seus aspectos físicos e lógicos.

Com base nas necessidades da empresa em relação a sua segurança, foi

elaborado um trabalho para a empresa que divide - se em 5 capítulos: apresentação,

referencial teórico, estudo de caso, Proposta da Política de Segurança da informação

e conclusão.

Descrição dos capítulos que compõe a estrutura do trabalho.

Primeiro capítulo: apresentação parte onde é descrito a ideia central do trabalho

e como será a sua elaboração.

Segundo capítulo: referencial teórico onde serão abordados assuntos

relacionados ao tema do trabalho por meio de materiais bibliográficos.

Terceiro capítulo: estudo de caso, consiste na descrição do ambiente da

empresa, matrizes de risco e análise das matrizes de risco.

Quarto capítulo: proposta de política de segurança da informação, refere-se a

correções realizadas no ambiente da empresa e a soluções dos problemas de

segurança de acordo com a Norma ABNT NBR ISO/IEC 27002:2005.

9

Quinto capítulo: trata da conclusão do trabalho, relatando a importância da

proposta diante a empresa.

1.2 JUSTIFICATIVA

O Centro Recreativo Sorria Baby foi escolhido pelo fato de deter em seus

cadastros muitas informações importantes de seus clientes e dependentes que devem

ser mantidas em segurança.

A política de segurança da informação levantada em consideração ao ambiente

e aos aspectos operacionais do Centro Recreativo Sorria Baby, tem importância ao

resultar na minimização da incidência de vulnerabilidade, diminuição de riscos e

aumento no nível de segurança da informação da empresa.

Como consequência acarretará a proteção na parte de segurança de suas

informações, dados e ativos da empresa.

1.3 OBJETIVOS

1.3.1 Objetivo Geral

Propor uma Política de Segurança da informação, física e lógica, para o Centro

Recreativo Sorria Baby, tendo como referência a norma ABNT NBR ISO/IEC

27002:2005.

1.3.2 Objetivo Específico

Estudar bibliografias diversas;

Analisar o ambiente da creche;

Verificar falhas de segurança física;

Verificar falhas de segurança lógica; e

Elaborar uma política de segurança, física e lógica, para o Centro Recreativo

Sorria Baby.

10

1.4 METODOLOGIA

A metodologia seguida neste trabalho está relacionada com base na Norma

ABNT NBR ISO/IEC 27002:2005 e na coleta de informações de cartilhas, livros e

normas.

Desenvolveu-se nos seguintes fundamentos:

Coletar material bibliográfico para produção o referencial teórico;

Descrever o ambiente coorporativo e do Centro de Recreação Sorria Baby.

Identificar os ativos e as vulnerabilidade na parte do trabalho definida como estudo

de caso.

Compor matrizes de acordo com os aspectos físicos e lógicos da empresa

levando em consideração as ameaças, impacto, probabilidade e risco.

Elaborar a proposta de Política de Segurança da Informação física e lógica para

o Centro de Recreação Sorria Baby, visando minimizar as vulnerabilidades e

diminuir o nível dos riscos encontrados.

11

2 CAPÍTULO II – REFERENCIAL TEÓRICO

2.1 INFORMAÇÃO

Conforme a Norma ABNT NBR ISO/IEC 27002 (2005, p.x):

A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegida. Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectado. Como um resultado deste incrível aumento da interconectividade, a informação está agora exposta a um crescente número e a uma grande variedade de ameaças e vulnerabilidades. A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.

2.2 SEGURANÇA DA INFORMAÇÃO

De acordo com a Norma ABNT NBR ISO/IEC 27002 (2005, p.x):

Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.

De acordo com a Norma ABNT NBR ISO/IEC 27002 (2005, p.x):

A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário.

Conforme a Norma ABNT NBR ISO/IEC 27002 (2005, p.1):

Segurança da informação: preservação da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas.

12

2.2.1 Conceitos Essenciais para a Implantação da Segurança da Informação

2.2.1.1 Confidencialidade

Segundo Moreira (2001, p.10): "A confidencialidade é a propriedade que visa

manter o sigilo, o segredo ou a privacidade das informações evitando que pessoas,

entidades ou programas não-autorizados tenham acesso ás mesmas".

De acordo com a Norma ABNT NBR ISO/IEC 27002 (2005, apud DANTAS,

2011, p.13): "A confidencialidade é a garantia de que a informação é acessível

somente por pessoas autorizadas a terem acesso".

Para Dantas (2011, p.14):

Ocorre a quebra da confidencialidade da informação ao se permitir que pessoas não autorizadas tenham acesso ao seu conteúdo. A perda da confidencialidade é a perda do segredo da informação. Garantir a confidencialidade é assegurar o valor da informação e evitar a divulgação indevida.

2.2.1.2 Integridade

Para Moreira (2001, p.10): "Consiste em proteger a informação contra qualquer

tipo de alteração sem a autorização explícita do autor da mesma".

Segundo Dantas (2011, p.24): "Integridade é permitir que a informação não seja

modificada, alterada ou destruída sem autorização, que ela seja legítima e permaneça

consistente".

Com base na Norma ABNT NBR ISO/IEC 27002 (2005, apud DANTAS, 2011,

p.11): "A integridade é a garantia da exatidão e completeza da informação e dos

métodos de processamento".

2.2.1.3 Disponibilidade

Segundo Ferreira; Araújo (2008, p.44): "Disponibilidade: garantia de que os

usuários autorizados obtenham acesso à informação e aos ativos correspondentes

sempre que necessário".

13

Conforme a Norma ABNT NBR ISO/IEC 27002 (2005, apud DANTAS, 2011,

p.12): diz que "A disponibilidade é a garantia de que os usuários autorizados

obtenham acesso à informação e aos ativos correspondentes sempre que

necessário".

2.2.2 Conceitos que Complementam a Segurança da Informação

2.2.2.1 Autenticidade

Para Dantas (2011, p.14): "Autenticidade: é a garantia de que a informação é

oriunda da fonte que lhe é atribuída e elaborada por quem tem autoridade para tal".

2.2.2.2 Não Repúdio

Conforme Moreira (2001, p.11): "O não-repúdio pode ser entendido como

sendo os esforços aplicados para garantir a autoria de determinadas ações".

Segundo Ferreira; Araújo (2008, p.44): "Não repúdio: o usuário que gerou ou

alterou a informação (arquivo ou e-mail) não pode negar o fato, pois existem

mecanismos que que garantem sua autoridade".

2.2.2.3 Confiabilidade:

Conforme Dantas (2011, p.15): "Confiabilidade: é a garantia de que a

informação é confiável, oriunda de uma fonte autêntica e que expressa uma

mensagem verdadeira".

2.2.2.4 Responsabilidade

Segundo Dantas (2011, p.15): "Responsabilidade: é a coparticipação de

responsabilidades por todos os que produzem, manuseiam, transportam e descartam

a informação, seus sistemas e redes de trabalho".

14

2.3 OBJETIVOS DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Conforme Moreira (2001, p.36):

O objetivo de qualquer política de segurança é o de definir as expectativas da organização quando ao uso dos seus recursos (computadores e rede), estabelecendo procedimentos com o intuito de prevenir e responder a incidentes relativos à segurança.

Segundo Dantas (2011, p.125): "Objetivo da política de segurança: Prover uma

orientação e apoio da direção para a segurança da informação de acordo com os

requisitos do negócio e com as leis e regulamentações pertinentes".

2.4 CONCEITOS ASSOCIADOS À SEGURANÇA DA INFORMAÇÃO

2.4.1 Ativo

Conforme Moreira (2001, p.20): "Ativo é tudo que manipula direta ou

indiretamente uma informação, inclusive a própria informação, dentro de uma

organização, e é isso que devem ser protegidos contra ameaças para que o negócio

funcione corretamente".

De acordo com a Norma ISO/IEC 13335-1 (2004, apud DANTAS, 2011, p.21):

"Ativo: É qualquer coisa que tenha valor para a organização".

Segundo Moreira (2001, p.20):

Uma alteração, destruição, erro ou indisponibilidade de algum dos ativos podem comprometer os sistemas e, por conseguinte, o bom funcionamento das atividades de uma empresa. Portanto, um dos passos de Análise de Risco é o de identificar todas as coisas que podem ser afetadas por um problema de segurança e que o negócio funcione corretamente.

De acordo com a Norma ABNT NBR ISO/ICE 27002 (2005, p.21):

Convém que a organização identifique todos os ativos e documente a importância destes ativos. Convém que o inventário do ativo inclua todas as informações necessárias que permitam recuperar de um desastre, incluindo o tipo do ativo, formato, localização, informações sobre cópias de segurança, informações sobre licenças e a importância do ativo para o negócio. Convém que o inventário não duplique outros inventários desnecessariamente, porém ele deve assegurar que o seu conteúdo está coerente.

15

Conforme a Norma ABNT NBR ISO/IEC 27002 (2005, p.21), há vários tipos de

ativos, como:

a) ativos de informação: base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas; b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários; c)ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos; d) serviços: serviços de computação e comunicações, utilidades gerais, por exemplo aquecimento, iluminação, eletricidade e refrigeração; e) pessoas e suas qualificações, habilidades e experiências; f) intangíveis, tais como a reputação e a imagem da organização.

2.4.2 Classificação dos Ativos da Informação

Com base na Norma ABNT NBR ISO/IEC 27002 (2005, apud Dantas, 2011,

p.87) verifica-se que: "A Norma orienta que devem ser levados em consideração na

classificação de um ativo o seu valor, os requisitos legais, a sensibilidade e a

criticidade para a organização".

Classificação em 4 níveis do valor do ativo, essa escala de classificação pode

ser expressa da seguinte forma no quadro 1, a seguir:

Quadro 1: Escala de valoração do ativo

Nível Descrição

Baixo Informação acessada por qualquer pessoa dentro e fora da

organização. Informação classificada como pública.

Médio Informação acessada pelo pessoal interno da organização.

Informação classificada como reservada.

Alto Informação acessada pelo nível gerencial da organização.

Informação classificada como confidencial.

Muito alto Informação acessada apenas pelos integrantes do nível estratégico

da organização. Informação classificada como secreta e ultrassecreta.

Fonte: Dantas (2011, p.87)

Conforme Ferreira; Araújo (2008, p.78):

A classificação da informação é o processo de estabelecer o grau de importância das informações mediante seu impacto no negócio, ou seja, quando mais estratégica e decisiva para a manutenção ou sucesso da organização, maior será sua importância. A classificação deve ser realizada a todo instante, em qualquer meio de armazenamento.

16

De acordo com a Norma ABNT NBR ISO/IEC 27002 (2005, p.23):

Convém que a classificação da informação e seus respectivos controles de proteção levem em consideração as necessidades de compartilhamento ou restrição de informações e os respectivos impactos nos negócios, associados com tais necessidades. Convém que as diretrizes para classificação incluam convenções para classificação inicial e reclassificação ao longo do tempo, de acordo com algumas políticas de controle de acesso predeterminadas. Convém que cuidados sejam tomados com a quantidade de categorias de classificação e com os benefícios obtidos pelo seu uso. Esquemas excessivamente complexos podem tornar o uso incômodo e ser inviáveis economicamente ou impraticáveis. Convém que atenção especial seja dada na interpretação dos rótulos de classificação sobre documentos de outras organizações, que podem ter definições diferentes para rótulos iguais ou semelhantes aos usados.

Segundo Ferreira; Araújo (2008, p.78 e 79): para estruturar e classificar os

ativos da informação, pode-se usar o modelo do quadro 2, a seguir:

Quadro 2: Inventário dos ativos da informação

NATUREZA DO ATIVO ATIVOS DA INFORMAÇÃO

Informação

Banco de dados e arquivos magnéticos;

Documentação de sistemas e manual do usuário;

Material de treinamento;

Procedimentos operacionais de recuperação; e

Planos de continuidade.

Documentos em papel

Contratos;

Documentação da empresa; e

Relatórios confidenciais.

Software

Aplicativos;

Sistemas operacionais;

Ferramentas de desenvolvimento; e

Utilitários do sistema.

Físico

Servidores, desktops e notebooks;

Impressoras e copiadoras;

Equipamentos de comunicação (fax, roteadores);

Mídias magnéticas;

Gerador, no-break e ar-condicionado; e

Móveis, prédios e salas.

Pessoa Empregados, estagiários,

terceiros e fornecedores.

17

Serviço ou Atividade

Computação (aplicação de patches, backup);

Comunicação (ligações telefônicas, videoconferências); e

Utilidades gerais. Fonte: Ferreira; Araújo(2008,p.78 e 79)

2.4.3 Risco

Conforme Ferreira; Araújo (2008, p.163): "Risco: trata-se de um possível

evento/ação que, se efetivado, gera um impacto negativo, em função da exploração

da fraqueza/vulnerabilidade, considerando tanto a probabilidade quanto o impacto de

ocorrência".

Segundo Moreira (2001, p.20): "Risco: pode ser entendido como tudo aquilo

pode afetar nossos negócios e impedir que alcancemos nossos objetivos".

O risco é compreendido como algo que cria oportunidades ou produz perdas. Com relação à segurança, os riscos são compreendidos como condições que criam ou aumentam o potencial de danos e perdas. É medido pela

possibilidade de um evento vir a acontecer e produzir perdas. (DANTAS, 2011, p.41)

Conforme Brasiliano (1999 apud DANTAS, 2011, p.103) ao abordar sobre risco

empresarial o define como:

A ameaça ou risco na segurança empresarial como sendo um evento capaz de produzir perdas reais e mensuráveis por um padrão comum. Para esse autor, o risco pode ser definido como uma ou mais condições de variáveis com um potencial necessário de causar dano ao patrimônio da empresa, seja ele tangível, seja intangível.

De acordo com a Norma AS/NZS 4360 (2004 apud DANTAS, 2011, p.42):

Define risco como a oportunidade de acontecimento de alguma coisa que causará impacto nos objetivos. Para essa norma, o risco é geralmente especificado em termos de um evento e/ou circunstâncias e suas consequências, e é medido pela combinação das consequências de um evento e sua probabilidade.

Conforme O HB 231 (2004 apud DANTAS, 2011, p.42): "refere-se ao risco como

sendo a chance de alguma coisa acontecer, que deverá produzir um impacto sobre

os objetivos, o qual é medido em termos da probabilidade e consequências".

18

2.4.4 Vulnerabilidade

Segundo Ferreira, Araújo (2008, p.171): "Vulnerabilidade é uma fraqueza que

pode ser acidentalmente utilizada ou intencionalmente explorada".

Para Dantas (2011, p.24): "Vulnerabilidades são fragilidades que de alguma

forma podem vir a provocar danos".

Segundo Beal (2005 apud DANTAS, 2011, p.24): "define a vulnerabilidade

como uma fragilidade que poderia ser explorada por uma ameaça para concretizar um

ataque".

Para Sêmola (2003 apud DANTAS, 2011, p.24): "as vulnerabilidades são

fragilidades presentes ou associadas a ativos de informação, que, ao serem

exploradas, permitem a ocorrência de incidente na segurança da informação".

Segundo Moreira (2008, p.22):

A vulnerabilidade é o ponto onde qualquer sistema é suscetível a um ataque, ou seja, é uma condição encontrada em determinados recursos, processos, configurações, etc. Condição causada muitas vezes pela ausência ou ineficiência das medidas de proteção utilizadas com o intuito de salvaguardar os bens da empresa.

2.4.5 Ameaça

Para Ferreira, Araújo (2008, p.171): "Ameaça é a possibilidade de um invasor

ou evento inesperado explorar uma vulnerabilidade de forma eficaz".

Conforme Moreira (2001, p.38): "Ameaças são fatores/ocorrências que podem

violar sistemas e causar incidentes de segurança e, dessa forma, danos aos negócios

da empresa".

De acordo com a Norma ISO/IEC 13335-1 (2004 apud DANTAS, 2011, p.30):

"causa potencial de um incidente indesejado, que pode resultar em dano para um

sistema ou para a organização".

19

Para Sêmola (2003 apud DANTAS, 2011, p.30 e 31):

Define ameaças como sendo agentes ou condições que causam incidentes que comprometem as informações e seus ativos, por meio de exploração de vulnerabilidades, o que provoca perdas de confiabilidade integridade e disponibilidade, e, consequentemente, causando impactos aos negócios de uma organização.

Conforme Beal (2005 apud Dantas, 2011, p.31): "ameaças são expectativas de

acontecimento acidental ou proposital, causado por agente, o qual pode afetar um

ambiente, sistema ou ativo de informação".

2.4.6 Engenharia Social

Segundo definição de engenharia social, conforme a cartilha CERT.BR (2006,

p.81):

Engenharia social: Método de ataque onde uma pessoa faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.

Conforme Ferreira; Araújo (2008, p.119):

É necessário investir na conscientização e sensibilização dos colaboradores da organização sobre esse tema. Pouca ou nenhuma segurança deixa as organizações vulneráveis. Entretanto, em exagero, atrapalha a condução e o crescimento das atividades do negócio. Não há como garantir a segurança da informação na organização somente investindo em equipamentos e recursos de tecnologia da informação. Todos (colaboradores e executivos) devem ter em mente que as informações por eles manuseadas têm valor e podem causar grandes prejuízos para a organização onde trabalham, tendo até seus empregos ameaçados devido à impossibilidade da organização em realizar seus negócios e se perpetuar no tempo.

Segundo Moreira (2001, p.46): "Muitas vezes, encontramos pessoas mal

intencionado e determinadas a encontrar pistas ou até utilizar-se de subterfúgios para

obterem informações e ter acesso à rede de computadores da empresa".

2.4.7 Ataque

Segundo Ferreira, Araújo (2008, p.172):

Um ataque pode ser uma tentativa maliciosa de obter acesso não autorizado a um sistema podendo comprometer a confidencialidade, integridade e

20

disponibilidade das informações ou somente para obtenção de acesso para efetuar algum tipo de consulta ou suporte, mas burlando a segurança.

Os motivos que levam os ataques a desferir na Internet são bastantes diversos,

variando da simples divisão até a realização de ações criminosas. Alguns exemplos

de acordo a cartilha CERT.BR (2012, p.17 e p.18) são:

Demonstração de poder: mostrar a uma empresa que ela pode ser invadida ou ter os serviços suspensos e, assim, tentar vender serviços ou chantageá-la para que o ataque não ocorra novamente. Prestígio: vangloriar-se, perante outros atacantes, por ter conseguido invadir computadores, tornar serviços inacessíveis ou desfigurar sites considerados visados ou difíceis de serem atacados; disputar com outros atacantes ou grupos de atacantes para revelar quem consegue realizar o maior número de ataques ou ser o primeiro a conseguir atingir um determinado alvo. Motivações financeiras: coletar e utilizar informações confidenciais de usuários para aplicar golpes. Motivações ideológicas: tornar inacessível ou invadir sites que divulguem conteúdo contrário à opinião do atacante; divulgar mensagens de apoio ou contrárias a uma determinada ideologia. Motivações comerciais: tornar inacessível ou invadir sites e computadores de empresas concorrentes, para tentar impedir o acesso dos clientes ou comprometer a reputação destas empresas.

2.4.8 Matriz de Risco

Conforme Ferreira; Araújo (2008, p.177): "A melhor forma para determinar o

grau de risco é relacionar em detalhes quais seriam os impactos para a organização,

se uma ameaça conseguir explorar uma vulnerabilidade".

Para Ferreira; Araújo (2008, p.176): determinar a probabilidade de ocorrência

que uma potencial vulnerabilidade possa ser explorada, os seguintes fatores devem

ser considerados: "Motivação da fonte, natureza da vulnerabilidade, existência e

eficácia dos controles de segurança".

O nível da probabilidade pode ser expressado da seguinte forma no quadro 3:

Quadro 3: Nível de probabilidade da exploração de vulnerabilidades

NÍVEL DEFINIÇÃO

Alto A fonte de ameaça está altamente motivada e possui conhecimento suficiente para execução do ataque. Os controles de segurança para

prevenir que a vulnerabilidade seja explorada são ineficazes.

Médio A fonte de ameaça está motivada e possui conhecimento suficiente para execução do ataque. Os controles de segurança para prevenir

que a vulnerabilidade seja explorada são eficazes.

21

Baixo

A fonte de ameaça não está altamente motivada e não possui conhecimento suficiente para execução do ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada são

eficazes. Fonte: Ferreira; Araújo (2008, p.177)

No quadro 4 abaixo é ilustrado definição de impacto em diferentes níveis:

Quadro 4: Definição de nível de impacto

NÍVEL DEFINIÇÃO

Alto

Perda significante dos principais ativos e recursos;

Perda da reputação, imagem e credibilidade; e

Impossibilidade de continuar com as atividades de negócio.

Médio

Perda dos principais ativos e recursos; e

Perda da reputação, imagem e credibilidade.

Baixo

Perda de alguns dos principais ativos e recursos; e

Perda da reputação, imagem e credibilidade.

Fonte: Ferreira; Araújo (2008, p.178)

Segundo Ferreira; Araújo (2008, p.179):" a determinação do risco é obtida pela

multiplicação da classificação da probabilidade de ocorrência versus o impacto na

organização", expressa no quadro 5, a seguir:

Quadro 5: Matriz do nível de risco

IMPACTO

PROBABILIDADE Baixo (10)

Médio (50)

Alto (100)

Alto (1,0) Baixo

10 x 1,0 = 10 Médio

50 x 1,0 = 50 Alto

100 x 1,0 = 100

Médio (0,5) Baixo

10 x 0,5 = 5 Médio

50 x 0,5 = 25 Médio

100 x 0,5 = 50

Baixo (0,1) Baixo

10 x 0,1 = 1 Baixo

50 x 0,1 = 5 Baixo

100 x 0,1 = 10

Escala de risco Baixo – 1 a 10 Médio – 11 a 50 Alto – 51 a 100


22

Para Ferreira; Araújo (2008, p.180): "Após a determinação da matriz do nível

de riscos, deve ser especificada a descrição do nível do risco (Alto, Médio e Baixo),

bem como as ações necessárias para diminuí-lo " expressada no quadro 6, abaixo:

Quadro 6: Definição e nível dos riscos

NÍVEL DO RISCO DESCRIÇÃO DO RISCO E AÇÕES NECESSÁRIAS

Alto

Se uma possibilidade de melhoria for avaliada como sendo de alto risco, existe necessidade imediata para contramedidas serem adotadas. Os sistemas podem continuar operando, entretanto, ações corretivas devem ser iniciadas o mais breve possível.

Médio

Se uma possibilidade de melhoria for classificada como sendo de médio risco, ações corretivas estabelecidas em um plano de ação, devem ser realizadas em um curto período de tempo.

Baixo

Se uma observação for classificada como sendo de baixo risco, os administradores e proprietários das informações devem avaliar a necessidade de efetuar manutenção corretiva ou assumir o risco.


2.4.9 Segurança do Ambiente Físico

De acordo com a Norma ABNT NBR ISO/IEC 27002 (2005, p.32) o propósito

da implantação da segurança no ambiente físico é:

Objetivo: Prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Convém que as instalações de processamento da informação críticas ou sensíveis sejam mantidas em áreas seguras, protegidas por perímetros de segurança definidos, com barreiras de segurança e controles de acesso apropriados. Convém que sejam fisicamente protegidas contra o acesso não autorizado, danos e interferências. Convém que a proteção oferecida seja compatível com os riscos identificados.

Segundo Ferreira; Araújo (2008, p.124):

As políticas devem especificar que todos os funcionários da organização somente terão acesso liberado às dependências da organização se portarem a identificação funcional pessoal. Já para as áreas restritas, os acessos deverão ser previamente solicitados e autorizados, por meio de procedimentos formais criados para tal atividade. Os acessos de prestadores de serviço, contratados para consultorias, manutenções e/ou quaisquer outros serviços, deverão obter autorização formal antecipada para o acesso às dependências.

23

Conforme Dantas (2011, p.26 e p.27) vulnerabilidades no ambiente físico da

empresa:

As vulnerabilidades físicas dizem respeito aos ambientes em que estão sendo processadas ou gerenciadas as informações. Podem ser: instalações inadequadas; ausência de recursos para combate a incêndio; disposição desordenada dos cabos de energia e de rede; não identificação de pessoas e locais; portas destrancadas; acesso desprotegido às salas de computador; sistema deficiente de combate a incêndio; edifícios mal projetados e mal construídos; material inflamável utilizado na construção e no acabamento; janelas destrancadas; paredes suscetíveis a um assalto físico; paredes que não vão até o teto (meia parede).

De acordo com a Norma ABNT NBR ISO/IEC 27002 (2005, p.34): "Convém que

sejam projetadas e aplicadas proteção física contra-incêndio, enchentes, terremotos,

explosões, perturbações da ordem pública e outras formas de desastres naturais ou

causados pelo homem".

2.4.10 Perímetro Físico

Conforme a norma ABNT NBR ISO/IEC 27002 (2005, p.32):

Convém que sejam utilizados perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) para proteger as áreas que contenham informações e instalações de processamento da informação.

2.5.1 Segurança do Ambiente Lógico

Segundo Ferreira; Araújo (2008, p.45): "Segurança lógica: prevenção contra

acesso não autorizado".

Destacado por Moreira (2001), existem alguns critérios para manter o ambiente

lógico da empresa mais seguro:

Escolha de uma senha forte;

Tamanho da senha deve ser mediana;

Bloqueio da conta por um número limite de tentativas de acessos

malsucedidas;

Bloqueio da conta por tempo de inatividade; e

Controle sobre instalações de softwares nos computadores da empresa.

24

2.5.1.1 Ferramentas para proteção do Ambiente Lógico:

Conforme a cartilha CERT.BR (2012, p.55):

Ferramentas antimalware são aquelas que procura detectar e, então, anular ou remover os códigos maliciosos de um computador. Antivírus, antispyware, antirootkit e antitrojan são exemplos de ferramentas deste tipo. Ainda que existam ferramentas específicas para os diferentes tipos de códigos maliciosos, muitas vezes é difícil delimitar a Área de atuação de cada uma delas, pois a definição¸ do tipo de código malicioso depende de cada fabricante e muitos códigos mesclam as características dos demais tipos. Entre as diferentes ferramentas existentes, a que engloba a maior quantidade de funcionalidades é o antivírus. Apesar de inicialmente eles terem sido criados para atuar especificamente sobre vírus, com o passar do tempo, passaram também a englobar as funcionalidades dos demais com que alguns deles caíssem em desuso.

Para Moreira (2001, p.126):

Firewall é um dispositivo de rede, pode ser um computador, um roteador ou um software, que filtra o acesso a uma rede de computadores que precisa de proteção. Ele protege a rede de sua empresa contra pessoas não-autorizadas e permite que pessoas autorizadas tenham acessos aos serviços da Internet, tais como Web e correio eletrônico, a partir de dentro da empresa.

Segundo a Norma ABNT NBR ISO/IEC 27002 (2005, p.65)," controle de acesso

deve seguir as seguintes normas:"

Convém que o acesso à informação, recursos de processamento das informações e processos de negócios sejam controlados com base nos requisitos de negócio e segurança da informação. Convém que as regras de controle de acesso levem em consideração as políticas para autorização e disseminação da informação. Convém que a Política de controle de acesso Controle Convém que a política de controle de acesso seja estabelecida documentada e analisada criticamente, tomando-se como base os requisitos de acesso dos negócios e segurança da informação. Convém que as regras de controle de acesso e direitos para cada usuário ou grupos de usuários sejam expressas claramente na política de controle de acesso. Convém considerar os controles de acesso lógico e físico de forma conjunta. Convém fornecer aos usuários e provedores de serviços uma declaração nítida dos requisitos do negócio a serem atendidos pelos controles de acessos.

2.6 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Conforme Moreira (2001, p.36): "A política de Segurança pode ser entendida

como sendo um conjunto de normas e diretrizes destinados a proteção dos ativos da

Organização".

25

Para Ferreira, Araújo (2008, p.36):

A Política de Segurança define o conjunto de normas, métodos e procedimentos utilizados para a manutenção da segurança da informação, devendo ser formalizada e divulgada a todos os usuários que fazem uso dos ativos de informação. Deve-se utilizar uma visão metódica, criteriosa e técnica em seu desenvolvimento e elaboração, de forma que possam ser sugeridas alterações na configuração de equipamentos, na escolha de tecnologia, na definição de responsabilidade e, por fim, na elaboração das políticas com o perfil da empresa e dos negócios que ela pratica. Não podemos esquecer que ela deve expressar os anseios dos proprietários ou acionistas, que são responsáveis por decidir os destinos de todos os recursos da organização em relação ao uso da informação por todos aqueles que têm acesso a este bem.

Segundo Dantas (2011, p.131):

Pode-se definir a política de segurança da informação como: um documento que estabelece princípios, valores, compromissos, requisitos, orientações e responsabilidades para com a segurança da informação. A sua forma, escopo e detalhes estão diretamente relacionados com as atividades de negócios e decisão da organização do nível e padrão de segurança que se pretende alcançar.

De acordo com Norma ABNT NBR ISO/IEC 27002(2005, p.ix):

A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.

26

3 CAPÍTULO III – ESTUDO DE CASO

3.1 A EMPRESA

O Centro Recreativo Sorria Baby foi fundado em março de 2015 com o objetivo

de oferecer serviços de cuidados e ensino a crianças de 5 meses a 4 anos de idade,

melhorando o seu aprendizado e prezando o bem-estar e a educação das crianças.

Trata-se de uma pequena empresa situada na QE 34 do Guará II (figura 1), setorizada

em Diretoria, Monitoria, Cozinha, Secretaria e as salas onde as crianças são cuidadas

pelas monitoras.

Figura 1: entrada principal da empresa

Fonte: os autores

Compõe a Diretoria da creche a Diretora Geral e Gestora de Pessoal, Gestor

Financeiro e Recursos Humanos (RH), e Diretora Pedagógica e do Corpo Docente (a

mesma pessoa). As funções de cada diretor são as seguintes:

Diretora Geral e Gestora de Pessoal: gerenciar as colaboradoras da empresa,

bem como o andamento desta, de forma geral;

Gestor Financeiro: gestão dos recursos da empresa, suas receitas e

despesas, bem como cuidar das necessidades referentes à tecnologia da

informação da empresa, respondendo a chamados relativos à problemas

27

técnicos tanto nos computadores usados quanto aos sistemas utilizados no

auxílio da gestão da organização; e

Diretora Pedagógica: acompanhamento, treinamento e organização das

monitoras junto às crianças atendidas na creche.

A Monitoria é composta por colaboradoras treinadas que cuidam das crianças

em cada uma das quatro turmas que a creche oferece: baby colinho (5 meses a 1 ano

e 3 meses), baby pezinho (1 ano e 4 meses a 2 anos e três meses), maternal (2 anos

e 4 meses a 3 anos) e kids (3 anos e 1 mês a 4 anos). As turmas ocupam salas

adaptadas e adequadas à cada faixa etária correspondente.

A Cozinha (figura 2) conta com uma única cozinheira que é responsável pelo

setor, competindo a esta gerir os itens da dispensa e reportar-se à Diretora Geral a

respeito das alterações naquele setor.

Figura 2: refeitório e entrada da cozinha

Fonte: os autores

A Secretaria (figura 3) é responsável por atender aos atuais e futuros clientes,

efetuando matrículas, rescisões de contrato, atendendo telefonemas e controlando e

organizando os dados pessoais dos clientes em arquivos físicos e lógicos.

O Gestor Financeiro trabalha em um escritório, localizado em sua própria

residência, operando sistemas de gerenciamento financeiro, controle de pagamento

28

de boletos dos clientes e prestando suporte à empresa através de telefone, aplicações

de mensagens instantâneas e de controlador remoto de computadores.

Figura 3: Secretaria da empresa

Fonte: os autores

3.1.1 A Estrutura da Empresa

A empresa ocupa dois andares (térreo e primeiro andar) de uma casa adaptada

por essa organização. Possui um sistema de monitoramento por câmeras por toda a

área interna do estabelecimento, com exceções dos banheiros e fraldários.

Na entrada da casa, está localizada a Secretaria (figura 4), onde a secretária

faz o atendimento aos clientes. Esse setor possui um computador, telefone, balcão de

atendimento e gavetas contendo alguns dos arquivos físicos referentes aos clientes

da empresa.

Figura 4: Secretaria da empresa

Fonte: os autores

29

Mais ao fundo do estabelecimento, encontram-se o refeitório, a cozinha e uma

sala reservada à Diretora Pedagógica (figura 5). A sala dispõe de um armário

contendo livros, revistas e itens pessoais da Diretora, mesa e cadeira, e um notebook

pessoal da Diretora, conectado à rede sem fio da empresa.

Figura 5: sala da Diretoria Pedagógica

Fonte: Os autores

Ainda ao fundo do edifício, encontra-se uma das salas usadas como turma de

crianças e suas respectivas monitoras (figura 6), onde também se alocam o modem

de Internet e equipamentos do sistema de monitoramento interno: Digital Video

Recorder (DVR), monitor, mouse e discos rígidos que armazenam as imagens do

sistema. O modem de Internet também fornece a rede sem fio da empresa e será visto

mais adiante.

Figura 6: sala contendo os aparelhos de monitoramento e modem

Fonte: os autores

30

No primeiro andar funcionam mais três salas que comportam as turmas com as

crianças e suas respectivas monitoras. Funcionam também um banheiro e um

fraldário em cada andar.

3.1.2 Segurança Física da Empresa

A entrada na empresa é feita através de um portão localizado na frente da casa

que permanece sempre fechado; nele a secretária identifica e controla o acesso,

abrindo e fechando o portão manualmente, tanto para colaboradoras quanto para os

clientes. Já a Secretaria (figura 7), não possui uma porta para garantir a segurança e

o controle de acesso físico a sala, estando próxima a passagem de funcionários e

crianças da creche.

Figura 7: Secretaria

Fonte: os autores

Ainda na Secretaria, há um gaveteiro pequeno com fechadura (figura 8) onde

são guardados contratos e outros documentos referentes aos clientes e alguns

relatórios e fichas da creche. Porém, se vê documentos sobre o balcão de atendimento

que deveriam estar devidamente guardados com os restantes, evitando assim a

subtração destes por terceiros, uma vez que não há porta na sala, como citado

anteriormente (figura 9).

31

Figura 8: gaveteiro da Secretaria

Fonte: os autores

Figura 9: documentos em cima do balcão de atendimento da Secretaria

Fonte: os autores

Há um sistema de monitoramento, somente interno, com 16 câmeras

espalhadas pelos vários cômodos do edifício (figura 10), porém o equipamento central

de gravação (DVR) (figura 11) encontra-se em local inadequado, dentro de uma das

salas usadas como turma de crianças e suas monitoras, estando, assim, facilmente

ao alcance dessas.

32

Figura 10: uma das câmeras de segurança

Fonte: os autores

Figura 11: Digital Video Recorder (DVR) e seus periféricos

Fonte: os autores

A sala da Diretora Pedagógica (figura 12) encontra-se em um cômodo protegido

por porta com fechadura, cuja chave só a Diretora possui. Há um armário onde são

guardados alguns documentos da creche e uma mesa com cadeira, onde usa seu

notebook pessoal conectado à rede interna da empresa. Essa sala também

33

corresponde a um dos lugares na empresa onde há consumo inapropriado de

alimentos.


Fonte: os autores

Não há para-raios ou aterramento no sistema elétrico, tão pouco algum sistema

de contra-incêndio, havendo somente extintores que podem ser usados no combate

ao incêndio (figuras 13 e 14).

Figura 13: vista do edifício pela avenida principal

Fonte: os autores

34

Figura 14: um dos extintores de incêndio do edifício

Fonte: os autores

O modem de Internet da empresa (figura 16), que também faz o roteamento do

sinal sem fio da rede, fica localizado na mesma sala que a central de monitoramento,

com cabos de rede e de energia expostos (figura 15).

Figura 15: fios expostos entre o modem e a central de monitoramento

Fonte: os autores

35

Figura 16: modem de Internet atrás de um armário com fios expostos

Fonte: os autores

Ao lado de uma das turmas com crianças da creche, há uma divisória de

madeira separando a turma de alguns materiais inflamáveis armazenados

inadequadamente, como papéis, tintas e álcool (figura 17).

Figura 17: pequeno armário com materiais inflamáveis

Fonte: os autores

36

3.1.3 Segurança Lógica da Empresa

A empresa não conta com qualquer tipo de servidor, possuindo apenas um

modem de Internet (visto anteriormente na figura 16), que também fornece a rede sem

fio da empresa para clientes e funcionários e uma conexão com o sistema de

monitoramento. Há também um roteador (figura 18) que transmite parte do sinal de

rede sem fio no ambiente da empresa. A mesma rede é compartilhada entre os

clientes, Secretaria, Diretoria e demais funcionários, havendo somente uma senha de

acesso à rede como proteção. A Internet é liberada sem qualquer restrição de acesso

aos sites.

Figura 18: roteador responsável por transmitir parte da rede sem fio

Fonte: os autores

Há somente um computador pertencente à Secretaria, com sistema operacional

Microsoft Windows 10, que possui conexão à rede interna e Internet através de um

adaptador sem fio. O computador requer senha de acesso de usuário, porém tem

permissões de administrador, não havendo qualquer controle sobre isso. Não possui

sistema de backup e os arquivos são guardados no próprio sistema. O computador

possui um antivírus pago instalado e atualizado regularmente e automaticamente

(figuras 19 e 20).

37

Figura 19: tela inicial do antivírus Kaspersky

Fonte: os autores

Figura 20: arquivos armazenados na área de trabalho do sistema operacional

Fonte: os autores

Ainda no computador da Secretaria, não há um limite de tempo para bloqueio

da sessão, no caso de ociosidade no sistema, a fim de evitar o acesso não autorizado

de terceiros. Além disso, não possui nenhuma padronização ou restrição quanto ao

uso de mídias removíveis, disponibilizando total acesso ao usuário dessas mídias

(figura 21).

38

Figura 21: uso de pendrive no computador da Secretaria

Fonte: os autores

Na Diretoria há constantemente um notebook, que é pessoal da Diretora

Pedagógica da creche, que também tem acesso à rede sem fio. Sendo pessoal da

Diretora, não há nenhum controle lógico sobre este notebook (figura 22).


Fonte: os autores

Os sistemas utilizados pela secretária possuem senhas para acesso, criadas e

fornecidas à secretária pelo Diretor Financeiro da empresa. Porém, não há um

controle de tais contas de acesso, possuindo apenas uma conta de email secundária

para possíveis recuperações de senha, caso esta seja esquecida ou bloqueada.

39

3.2 MATRIZ DE RISCO

Baseando-se no modelo de matriz de risco de Ferreira; Araújo (2008, p.179),

nas informações coletadas na empresa em questão através de perguntas aplicadas à

Diretoria e Secretaria e implementadas conforme a Norma ABNT NBR ISO/IEC 27002

(2005), seguem abaixo as ameaças encontradas e relacionadas, com seus

respectivos graus de probabilidade e impacto, a fim de medir o risco de tais ameaças

sobre os ativos da empresa:

3.2.1 Matriz de Risco – Segurança Física

Abaixo, seguem as ameaças encontradas no âmbito físico da instituição:

Quadro 7: Matriz de risco, segurança física

Item Ameaça Probabilidade Impacto Risco

1 A sala da Secretaria, onde há o processamento de informações, possui proteções fisicamente sólidas?

1,0 100 100

2 Existe algum monitoramento interno e externo de câmera instalado e testado regularmente?

1,0 50 50

3 As instalações-chave estão localizadas em local da casa a evitar o acesso do público?

1,0 50 50

4 Há um sistema de detecção ou contra-incêndio no ambiente interno da empresa?

1,0 50 50

5

Os suprimentos e materiais perigosos, como papelaria e álcool, são armazenados de forma segura e longe de uma área de segurança?

1,0 100 100

6 Há diretrizes quanto ao consumo de alimentos e bebidas onde há o processamento da informação?

1,0 100 100

7 Há proteção contra raios no edifício da empresa?

0,5 100 50

8 Os cabos de dados e de energia estão devidamente protegidos, a fim de evitar danos ou interceptações?

1,0 50 50

9 Há um controle de manutenção periódica nos equipamentos da empresa?

1,0 100 100

Fonte: Os autores

40

3.2.2 Matriz de Risco – Segurança Lógica

A seguir, os itens relacionados à segurança lógica:

Quadro 8: Matriz de risco, segurança lógica

Item Ameaça Probabilidade Impacto Risco

1

Há regras estabelecidas para instalação de novos sistemas, atualizações e novas versões destes sistemas nos computadores da empresa?

1,0 50 50

2 Há algum antivírus ou sistema para detecção e tratamento de códigos maliciosos nos computadores?

1,0 100 100

3 Há um sistema de cópia e recuperação de arquivos na empresa?

1,0 100 100

4

Há um gerenciamento da rede local de computadores, a fim de garantir a segurança das informações nela trafegadas?

1,0 100 100

5 Há regras definidas quanto ao uso de mídias removíveis e suas respectivas unidades?

1,0 100 100

6

Há a conscientização dos funcionários da empresa quanto à divulgação de informações sensíveis sobre a empresa através de meios de comunicações?

0,5 100 50

7

Há um controle de acesso para registro e cancelamento dos usuários referente ao uso dos sistemas da empresa?

1,0 100 100

8

Há a solicitação aos usuários de sistemas da empresa de uma declaração devidamente assinada, a fim de manter a confidencialidade da senha pessoal?

1,0 100 100

9

Os usuários das estações de trabalho da empresa fecham as sessões ativas dos sistemas utilizados enquanto se ausentam do local, a fim de prevenir o acesso não autorizado?

0,5 100 50

10 A rede sem fio da empresa está devidamente separada da rede privada da mesma?

1,0 100 100

Fonte: Os autores

41

3.3 ANÁLISE DA MATRIZ DE RISCO

Após relacionados e medidos os riscos nas matrizes, a seguir, segue a

descrição e análise de cada item para posterior elaboração da política de segurança.

Quanto à segurança física:

Item 1: As salas e escritórios onde há o processamento da informação possuem

proteções fisicamente sólidas?

A sala da Diretora Pedagógica possui uma porta com fechadura de boa

qualidade. Porém, o local onde se encontra a Secretaria, apesar de possuir

portas que são fechadas no final do expediente, fica na passagem onde

transitam funcionárias e crianças durante o dia, tornando de fácil alcance

os ativos encontrados neste ambiente, principalmente na ausência da

secretária.

Aplicação da Norma ABNT NBR ISO/IEC 27002 (2005, p.32):

9.1.1 Perímetro de segurança física Convém que sejam levadas em consideração e implementadas as seguintes diretrizes para perímetros de segurança física, quando apropriado: b) os perímetros de um edifício ou de um local que contenha instalações de processamento da informação sejam fisicamente sólidos (ou seja, o perímetro não deve ter brechas nem pontos onde poderia ocorrer facilmente uma invasão); convém que as paredes externas do local sejam de construção robusta e todas as portas externas sejam adequadamente protegidas contra acesso não autorizado por meio de mecanismos de controle, por exemplo, barras, alarmes, fechaduras etc.; convém que as portas e janelas sejam trancadas quando estiverem sem monitoração, e que uma proteção externa para as janelas seja considerada, principalmente para as que estiverem situadas no andar térreo;

Item 2: Existe algum monitoramento interno e externo de câmera instalado e

testado regularmente?

Há um sistema de monitoramento que abrange todo o espaço interno da

empresa. Entretanto, as câmeras encontram-se mal posicionadas,

deixando vários pontos cegos nos cômodos monitorados.

42

Não há monitoramento no ambiente externo da empresa, e, embora não

ocorram frequentes falhas no sistema, não há manutenção ou testes

regulares neste sistema.


9.1.1 Perímetro de segurança física Convém que sejam levadas em consideração e implementadas as seguintes diretrizes para perímetros de segurança física, quando apropriado: f) sistemas adequados de detecção de intrusos, de acordo com normas regionais, nacionais e internacionais, sejam instalados e testados em intervalos regulares, e cubram todas as portas externas e janelas acessíveis; as áreas não ocupadas devem ser protegidas por alarmes o tempo todo; também deve ser dada proteção a outras áreas, por exemplo, salas de computadores ou salas de comunicações;

Item 3: As instalações-chave estão localizadas em local da casa a evitar o acesso

do público?

Por se tratar de um prédio relativamente pequeno para uma empresa, os

cômodos ficam todos dispostos em corredores transitados com frequência

por funcionários e algumas crianças. A sala da Diretoria pedagógica

encontra-se em um cômodo protegido por porta com fechadura. Já a

Secretaria, por também se tratar de uma recepção para clientes, é aberta,

permitindo a passagem tanto de clientes quanto de funcionários e crianças

do local. E o equipamento das câmeras (monitor, DVR e discos de backup)

e modem de Internet ficam dentro de uma das salas para turmas de

crianças, sem proteção física alguma.


9.1.3 Segurança em escritórios, salas e instalações Convém que sejam levadas em consideração as seguintes diretrizes para proteger escritórios, salas e instalações: b) as instalações-chave sejam localizadas de maneira a evitar o acesso do público;

Item 4: Há um sistema de detecção ou contra-incêndio no ambiente interno da

empresa?

Não. Mas há extintores em locais estratégicos para o combate à incêndios

por todo o ambiente interno.

43


9.1.4 Proteção contra ameaças externas e do meio ambiente Convém que sejam levadas em consideração todas as ameaças à segurança representadas por instalações vizinhas, por exemplo, um incêndio em um edifício vizinho, vazamento de água do telhado ou em pisos do subsolo ou uma explosão na rua. Convém que sejam levadas em consideração as seguintes diretrizes para evitar danos causados por incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e outras formas de desastres naturais ou causados pelo homem: c) os equipamentos apropriados de detecção e combate a incêndios sejam providenciados e posicionados corretamente.

Item 5: Os suprimentos e materiais perigosos, como papelaria e álcool, são

armazenados de forma segura e longe de uma área de segurança?

Não. Tais materiais são armazenados ao lado de uma das turmas com

crianças da empresa, turma essa cuja sala contém a central do sistema de

monitoramento e modem de Internet do estabelecimento. Somente uma

divisória de madeira separa esta sala do local onde os materiais são

armazenados.


9.1.4 Proteção contra ameaças externas e do meio ambiente Convém que sejam levadas em consideração todas as ameaças à segurança representadas por instalações vizinhas, por exemplo, um incêndio em um edifício vizinho, vazamento de água do telhado ou em pisos do subsolo ou uma explosão na rua. Convém que sejam levadas em consideração as seguintes diretrizes para evitar danos causados por incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e outras formas de desastres naturais ou causados pelo homem: a) os materiais perigosos ou combustíveis sejam armazenados a uma distância segura da área de segurança. Suprimentos em grande volume, como materiais de papelaria, não devem ser armazenados dentro de uma área segura;

Item 6: Há diretrizes quanto ao consumo de alimentos e bebidas onde há o

processamento da informação?

Não. Há não só a ausência de tais diretrizes como também há o consumo

de alimentos e bebidas nas mesas da Diretoria e Secretaria.

44


9.2.1 Instalação e proteção do equipamento Convém que sejam levadas em consideração as seguintes diretrizes para proteger os equipamentos: e) sejam estabelecidas diretrizes quanto a comer, beber e fumar nas proximidades das instalações de processamento da informação;

Item 7: Há proteção contra raios no edifício da empresa?

Não, tão pouco aterramento do sistema elétrico. Inclusive é um dos prédios

mais altos em seus arredores, havendo ainda árvores ao redor do local da

empresa.


9.2.1 Instalação e proteção do equipamento Convém que sejam levadas em consideração as seguintes diretrizes para proteger os equipamentos: g) todos os edifícios sejam dotados de proteção contra raios e todas as linhas de entrada de força e de comunicações tenham filtros de proteção contra raios;

Item 8: Os cabos de dados e de energia estão devidamente protegidos, a fim de

evitar danos ou interceptações?

Não. Os cabos encontram-se expostos nas salas, tanto os elétricos quanto

os de rede. Alguns até juntos, possibilitando interferências.


9.2.3 Segurança do cabeamento b) cabeamento de redes seja protegido contra interceptação não autorizada ou danos, por exemplo, pelo uso de conduítes ou evitando trajetos que passem por áreas públicas;

Item 9: Há um controle de manutenção periódico nos equipamentos da empresa?

Não. Somente quando há defeito em algum equipamento é que a empresa

procura levá-lo ao conserto, não há manutenções preventivas de tais

equipamentos.

45


9.2.4 Manutenção dos equipamentos d) sejam implementados controles apropriados, na época programada para a manutenção do equipamento, dependendo de a manutenção ser realizada pelo pessoal do local ou por pessoal externo à organização; onde necessário, as informações sensíveis sejam eliminadas do equipamento, ou o pessoal de manutenção seja de absoluta confiança;

Quanto à segurança lógica:

Item 1: Há regras estabelecidas para instalação de novos sistemas, atualizações e

novas versões destes sistemas nos computadores da empresa?

Não, além de ser liberada a permissão para instalação de aplicações pelo

próprio usuário.


10.3.2 Aceitação de sistemas Convém que os gestores garantam que os requisitos e critérios para aceitação de novos sistemas estejam claramente definidos, acordados, documentados e testados. Convém que novos sistemas de informação, atualizações e novas versões só sejam migrados para produção após a obtenção de aceitação formal.

Item 2: Há algum antivírus ou sistema para detecção e tratamento de códigos

maliciosos nos computadores?

Sim. Há um antivírus pago e instalado em cada computador que atualizado

automaticamente e regularmente.


10.4.1 Controles contra códigos maliciosos Convém que a proteção contra códigos maliciosos seja baseada em softwares de detecção de códigos maliciosos e reparo, na conscientização da segurança da informação, no controle de acesso adequado e nos controles de gerenciamento de mudanças. Convém que as seguintes diretrizes sejam consideradas: d) instalar e atualizar regularmente softwares de detecção e remoção de códigos maliciosos para o exame de computadores e mídias magnéticas, de forma preventiva ou de forma rotineira; convém que as verificações realizadas incluam: 1) verificação, antes do uso, da existência de códigos maliciosos nos arquivos em mídias óticas ou eletrônicas, bem como nos arquivos transmitidos através de redes;

46

2) verificação, antes do uso, da existência de software malicioso em qualquer arquivo recebido através de correio eletrônico ou importado (download). Convém que essa avaliação seja feita em diversos locais, como, por exemplo, nos servidores de correio eletrônico, nos computadores pessoais ou quando da sua entrada na rede da organização; 3) verificação da existência de códigos maliciosos em páginas web;

Item 3: Há um sistema de cópia e recuperação de arquivos na empresa?

Não. Os arquivos ficam armazenados em seus respectivos computadores,

que não possuem sistema de backup algum.


10.5.1 Cópias de segurança das informações Convém que recursos adequados para a geração de cópias de segurança sejam disponibilizados para garantir que toda informação e software essenciais possam ser recuperados após um desastre ou a falha de uma mídia.

Item 4: Há um gerenciamento da rede local de computadores, a fim de garantir a

segurança das informações nela trafegadas?

Não. Cada computador funciona de maneira isolada da rede. Apesar de

todos eles estarem conectados no modem que fornece Internet e rede

interna para toda a empresa, esta rede não possui gerenciamento algum.


10.6.1 Controles de redes Convém que gestores de redes implementem controles para garantir a segurança da informação nestas redes e a proteção dos serviços a elas conectadas, de acesso não autorizado.

Item 5: Há regras definidas quanto ao uso de mídias removíveis e suas respectivas

unidades?

Não há. Os computadores disponibilizam acesso a pendrives livremente

aos usuários, além de não haver nenhuma diretriz que proíba tal ato,

podendo acarretar roubo de informações dos computadores ou inserção de

códigos maliciosos nos mesmos.

47


10.7.1 Gerenciamento de mídias removíveis Convém que as seguintes diretrizes para o gerenciamento de mídias removíveis sejam consideradas: f) as unidades de mídias removíveis estejam habilitadas somente se houver uma necessidade do negócio.

Item 6: Há a conscientização dos funcionários da empresa quanto à divulgação de

informações sensíveis sobre a empresa através de meios de

comunicações?

Sim, porém não há nada por escrito, somente orientações verbais

esporádicas.


10.8.1 Políticas e procedimentos para troca de informações Convém que os procedimentos e controles estabelecidos para a troca de informações em recursos eletrônicos de comunicação considerem os tópicos a seguir: k) lembrar às pessoas que elas devem tomar precauções adequadas como, por exemplo, não revelar informações sensíveis, para evitar que sejam escutadas ou interceptadas durante uma ligação telefônica por: 1) pessoas em sua vizinhança, especialmente quando estiver usando telefone celular; 2) grampo telefônico e outras formas de escuta clandestina através do acesso físico ao aparelho telefônico ou à linha, ou, ainda, pelo uso de rastreadores; 3) pessoas ao lado do interlocutor;

Item 7: Há um controle de acesso para registro e cancelamento de contas dos

usuários referente ao uso dos sistemas da empresa?

Não. Não é dado ao funcionário nenhuma declaração por escrito de seus

direitos de acesso; não há nenhum registro das pessoas contratadas que

usam os sistemas da empresa; e não há um controle desses registros.


11.2.1 Registro de usuário Convém que exista um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços.

48

Item 8: Há a solicitação aos usuários de sistemas da empresa de uma declaração

devidamente assinada, a fim de manter a confidencialidade da senha

pessoal?

Não. É simplesmente orientado verbalmente ao funcionário no momento

que lhe é passada a senha de um sistema da empresa.


11.2.3 Gerenciamento de senha do usuário Convém que o processo considere os seguintes requisitos: a) solicitar aos usuários a assinatura de uma declaração, para manter a confidencialidade de sua senha pessoal e das senhas de grupos de trabalho, exclusivamente com os membros do grupo; esta declaração assinada pode ser incluída nos termos e condições da contratação (ver 8.1.3);

Item 9: Os usuários das estações de trabalho da empresa fecham as sessões

ativas dos sistemas utilizados enquanto se ausentam do local, a fim de

prevenir o acesso não autorizado?

Não. As sessões permanecem ativas por quinze minutos antes do

computador entrar em modo de suspensão, o qual não requer senha de

proteção ao voltar ao trabalho.


11.3.2 Equipamento de usuário sem monitoração Convém que todos os usuários estejam cientes dos requisitos de segurança da informação e procedimentos para proteger equipamentos desacompanhados, assim como suas responsabilidades por implementar estas proteções. Convém que os usuários sejam informados para: a) encerrar as sessões ativas, a menos que elas possam ser protegidas por meio de um mecanismo de bloqueio, por exemplo tela de proteção com senha; b) efetuar a desconexão com o computador de grande porte, servidores e computadores pessoais do escritório, quando a sessão for finalizada (por exemplo: não apenas desligar a tela do computador ou o terminal); c) proteger os microcomputadores ou terminais contra uso não autorizado através de tecla de bloqueio ou outro controle equivalente, por exemplo, senha de acesso, quando não estiver em uso.

49

Item 10: A rede sem fio da empresa está devidamente separada da rede privada da

mesma?

Não. Usa-se a mesma rede para disponibilizar Internet aos clientes e

funcionários da empresa.


11.4.5 Segregação de redes Convém considerar à segregação de redes sem fios de redes internas e privadas. Como os perímetros de redes sem fios não são bem definidos, convém que uma análise/avaliação de riscos seja realizada em tais casos para identificar os controles (por exemplo, autenticação forte, métodos criptográficos e seleção de frequência) para manter segregação de rede.

50

4 CAPÍTULO IV – PROPOSTA DE POLÍTICA DE SEGURANÇA

Conforme informações coletadas e análise da segurança na empresa em

pauta, em conformidade com a Norma ABNT NBR ISSO/IEC 27002 (2005), segue

abaixo a proposta de política de segurança da informação elaborada a fim de

solucionar os problemas relacionados à segurança física e lógica da informação da

instituição.

4.1 TÍTULO DA POLÍTICA DE SEGURANÇA

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA O

CENTRO RECREATIVO SORRIA BABY.

4.2 A INSTITUIÇÃO

O Centro Recreativo Sorria Baby é uma creche infantil localizada no Guará II,

cidade satélite do Distrito Federal, que cuida e educa crianças de cinco meses à quatro

anos de idade.

Atua em Brasília há mais de cinco anos no ramo. Atualmente possui 10

funcionários, entre eles, monitoras, cozinheira e secretária, sendo esta última

responsável pelo setor burocrático da instituição e principal usuária dos recursos aos

quais esta política de segurança se destina.

4.3 OBJETIVO DA POLÍTICA DE SEGURANÇA

Esta política de segurança visa mitigar os riscos, detectados após análises

feitas na empresa, sugerindo medidas a serem cumpridas, tanto pelos diretores

quanto pelos funcionários, em todos os ambientes da empresa, a fim de aumentar a

proteção dos ativos, físicos e lógicos, da instituição. Assim, garantir-se-á a

confidencialidade, integridade e disponibilidade de tais ativos, de acordo com as

necessidades desta.

Tais medidas serão sugeridas conforme a Norma ABNT NBR ISO/IEC 27002

(2005).

51

4.4 DIRETRIZES DE SEGURANÇA

4.4.1 Segurança Física

4.4.1.1 Deve ser instalada uma divisória com porta e fechadura, separando o local de

trabalho da Secretaria do corredor onde transitam os demais funcionários e crianças

que entram e saem da instituição diariamente.

4.4.1.2 As câmeras do sistema de monitoramento da empresa devem ser

reposicionadas a fim de diminuir os pontos cegos nos cômodos onde se encontram

instaladas. Além disso, devem ser instaladas câmeras também na parte externa da

entrada da empresa, a fim de garantir a segurança de quem entra e sai do edifício.

Deve ser feita a manutenção e testes regulares em todo o sistema, a fim de detectar

e prevenir possíveis falhas, bem como no sistema de armazenamento dos vídeos

referentes às gravações feitas pelo próprio sistema de monitoramento.

4.4.1.3 A central do sistema de monitoramento e o modem de Internet devem ser

realocadas em local, dentro do mesmo edifício, devidamente distanciado do acesso

ao público, como salas com acesso restrito ao pessoal autorizado da empresa.

4.4.1.4 Devem ser instalados sistemas de proteção contra-incêndio adequados

conforme normas vigentes, a fim de garantir a segurança física do ambiente e dos

materiais nele alocados.

4.4.1.5 Todos os materiais perigosos e inflamáveis devem ser realocados em outro

local devidamente assegurado de possíveis acidentes e longe de das salas onde se

encontram turmas de crianças.

4.4.1.6 Devem ser criadas regras quanto ao consumo de alimentos nos locais onde

há o processamento de informações, como mesas de escritório e balcão de

atendimento, restringindo tal consumo à locais devidamente preparados para este fim.

4.4.1.7 Um para-raios deve ser instalado no edifício, bem como o aterramento do

sistema elétrico do mesmo edifício, a fim de evitar descargas elétricas causadas por

raios, queima de aparelhos eletroeletrônicos entre outros.

52

4.4.1.8 Os cabos de energia e de rede devem ser devidamente separados, a fim de

evitar possíveis interferências na rede local, bem como a reinstalação desses cabos

abaixo do chão, dentro de paredes ou canaletas, evitando assim possíveis desgastes

e interceptações.

4.4.1.9 Devem ser agendadas e efetuadas manutenções periódicas nos

equipamentos da empresa, como computadores, modem, cabeamentos e roteadores,

a fim de evitar possíveis falhas nos mesmos.

4.4.2 Segurança Lógica

4.4.1.1 A empresa deve estabelecer diretrizes para a instalação de novos sistemas,

atualizações e novas versões destes sistemas, além de restringir tais tarefas somente

à conta de administrador do computador.

4.4.1.2 Deve-se manter os sistemas de antivírus ativos e atualizados a fim de

minimizar vulnerabilidades nos computadores.

4.4.1.3 Deve ser implementado um sistema de cópia e recuperação de arquivos

(backup), a fim de minimizar os danos que possam vir a ser causados com a perda de

arquivos da empresa.

4.4.1.4 A rede local deve ser devidamente configurada e gerenciada, a fim de manter

a proteção da confidencialidade e integridade das informações da empresa,

configurando corretamente a rede privada da rede oferecida aos clientes por conexão

sem fio com senhas, controlando os serviços conectados nessas redes.

4.4.1.5 Devem ser estabelecidas diretrizes quanto ao uso de mídias removíveis,

limitando o acesso às suas respectivas unidades, a fim de evitar possíveis roubos de

informações importantes da empresa, bem como a inserção de códigos maliciosos

nos computadores.

4.4.1.6 Os funcionários devem ser orientados, no ato da contratação e nas reuniões

periódicas da empresa, quanto ao cuidado de não divulgar informações sensíveis ou

sigilosas da empresa através de meios de comunicações. Além disso, a organização

deve cobrar tal atitude dos funcionários através de declaração assinada desde o ato

da contratação a respeito de tal atitude.

53

4.4.1.7 A empresa deve providenciar o controle dos registros e cancelamentos de

contas de usuários dos sistemas da empresa, a fim de gerenciar, principalmente, a

exclusão de tais contas, evitando que um ex-funcionário da empresa tenha acesso a

qualquer desses sistemas.

4.4.1.8 Deve ser elaborada e aplicada um modelo de declaração de confidencialidade

das senhas dos usuários de sistemas da empresa, bem como das informações

sensíveis da instituição, a fim de assegurar e responsabilizar a divulgação de tais

informações a terceiros.

4.4.1.9 Os computadores da empresa devem ser configurados de tal forma que

bloqueie sessões ativas, enquanto sem uso por um período de tempo, e que solicite

a senha do usuário para desbloqueá-los. Por conseguinte, que os usuários de tais

estações de trabalho da empresa sejam orientados a bloquear as sessões ativas

quando houver a necessidade de se ausentarem por muito tempo.

4.4.1.10 A rede interna da empresa deve ser devidamente configurada de maneira a

separar a rede privada de trabalho da rede pública, oferecida aos clientes da empresa

via wireless, a fim de evitar o acesso às informações da empresa por parte de pessoas

não autorizadas.

4.5 CONFORMIDADE

Todas as diretrizes de segurança foram elaboradas conforme a Norma ABNT

NBR ISO/IEC 27002:2005.

4.6 PENALIDADE

Os funcionários que estiverem em desacordo com as diretrizes estabelecidas

nesta política de segurança estarão sujeitos as devidas sansões administrativas da

empresa.

4.7 DISPOSIÇOES GERAIS

Os casos omissos serão avaliados e julgados pela Diretoria da instituição.

Esta política de segurança terá a validade de dois anos após sua divulgação e,

caso seja necessário, poderá sofrer alterações dentro deste período.

54

CAPÍTULO V – CONCLUSÃO

Concluímos que a política de segurança da informação é um documento

essencial para empresa e tem como objetivo sanar as vulnerabilidades físicas e

lógicas encontradas na empresa, diminuir os riscos prejudiciais com relação a

segurança e possibilitar uma forma correta de trabalho aos funcionários do Centro

Recreativo Sorria Baby.

Sendo implantada a política de segurança da informação conforme suas

orientações, pode-se chegar aos resultados citados anteriormente.

No decorrer do curso de graduação em Tecnólogo em Segurança da

Informação, os autores do trabalho puderam reter aprendizados em diferentes

disciplinas relacionadas à segurança da informação e também ao referencial teórico,

que possibilitou uma base para a elaboração do trabalho.

Com a aplicação da política de segurança na empresa, os seus resultados

implicarão na segurança dos ativos da empresa, protegendo principalmente a

informação, que tem grande relevância dentro da organização e na preservação dos

princípios primordiais de segurança da informação: confidencialidade, disponibilidade

e integridade.

55

REFERÊNCIAS

DANTAS, Marcus Leal, Segurança da informação: uma abordagem focada

em gestão de riscos. / Marcus Leal Dantas – Olinda: Livro Rápido, 2011.

FERREIRA, F. N. F; ARAÚJO, M. T. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO.

RIO DE JANEIRO: ED. CIÊNCIA MODERNA LTDA, 2008.

MOREIRA, N. S. SEGURANÇA MÍNIMA. RIO DE JANEIRO: ED. AXCEL BOOKS DO

BRASIL, 2001.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, ABNT NBR ISO/IEC

27002: tecnologia da informação, técnicas de segurança, código de prática para

gestão da segurança da informação. Rio de Janeiro: 2ª Ed.,2005 120p. ref. 1-8

Cartilha de Segurança para Internet, versão 4.0 / CERT.br – São Paulo:

Comitê Gestor da Internet no Brasil, 2012.

Cartilha de Segurança para Internet, versão 3.1 / CERT.br – São Paulo:

Comitê e Gestor da Internet no Brasil, 2006.

CURSO DE TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO...

Documents

Transcript of CURSO DE TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO...