Ist 2004 francini_politicas

Click here to load reader

  • date post

    09-Jun-2015
  • Category

    Documents

  • view

    227
  • download

    0

Embed Size (px)

Transcript of Ist 2004 francini_politicas

  • 1. FRANCINI REITZ SPANCESKIPOLTICA DE SEGURANA DA INFORMAO DESENVOLVIMENTO DE UM MODELO VOLTADO PARAINSTITUIES DE ENSINOJOINVILLEDEZEMBRO / 2004

2. FRANCINI REITZ SPANCESKIPOLTICA DE SEGURANA DA INFORMAO DESENVOLVIMENTO DE UM MODELO VOLTADO PARAINSTITUIES DE ENSINOTrabalho de Concluso de Cursosubmetido ao Instituto SuperiorTupy, como parte dos requisitospara a obteno do grau deBacharel em Sistemas deInformao, sob orientao doprofessor Marcos Aurlio PchekLaureano.JOINVILLE2004 3. POLTICA DE SEGURANA DA INFORMAO DESENVOLVIMENTO DE UM MODELO VOLTADO PARAINSTITUIES DE ENSINOFRANCINI REITZ SPANCESKIEste trabalho de diplomao foi julgado adequado para obteno do Ttulo de Bacharel emSistemas de Informao, e aprovado em sua forma final pelo departamento de Informtica doInstituto Superior Tupy.Joinville, 16 de Dezembro de 2004.__________________________________________________________Marcos Aurlio Pchek Laureano, Mestre em Informtica Aplicada.Orientador__________________________________________________________Marco Andr Lopes Mendes, Mestre em Cincia da Computao.Coordenador do CursoBanca Examinadora:__________________________________________________Amir Tauille, Mestre em Cincia da Computao.______________________________________________________________Fernando Czar de Oliveira Lopes, Mestre em Cincia da Computao. 4. Dedico este trabalho memria de JosHenrique Reitz, meu pai, pessoa que admirei,amei e compreendi, pai que me deu aoportunidade de realizar os meus sonhos, e oamigo que me acompanhou nos momentosmarcantes de minha vida. 5. AGRADECIMENTOSAgradeo aos meus pais pelo apoio e incentivo no incio do curso, ao meu marido pelapacincia e compreenso em todos os momentos durante estes quatro anos, ao meu filho peloamor e compreenso nos momentos de ausncia.Agradeo a SOCIESC pelo incentivo durante o curso, ao Professor Marcos Laureanopelo compartilhamento de sua experincia e orientao durante todo o trabalho, a ProfessoraGlaci pela orientao quanto a metodologia, e a todos aqueles que direta ou indiretamentecontriburam nesta caminhada. 6. RESUMOO presente trabalho aborda um estudo sobre poltica de segurana da informao que uma das principais medidas de segurana adotadas pelas organizaes com o objetivo degarantir a segurana da informao. Atualmente existem algumas metodologias e melhoresprticas em segurana da informao, dentre elas est a NBR ISO 17799, que a traduo daBS7799, esta norma foi usada durante este estudo e, por meio dela, ser possvel verificar oque devemos seguir para a elaborao de uma poltica de segurana da informao, asprincipais dificuldades para criao e implementao, os princpios de segurana dainformao, a necessidade de envolvimento de toda a organizao, sendo que pretende-seelaborar uma proposta modelo de poltica de segurana da informao voltada parainstituies de ensino. O objetivo deste trabalho apresentar algumas diretrizes bsicas deuma Poltica de Segurana para uma empresa, utilizando como base os conceitos adquiridospelo estudo na reviso bibliogrfica.Palavras Chave: Informao; Segurana da Informao; Medidas de Segurana; Poltica deSegurana. 7. ABSTRACTThe present work approaches a study on Security Policies of the information that is one of themain measures of security of the information. Currently there are some practical bettermethodologies and in security of the information , amongst them are NBR ISO 17799 that heis BS 7799 translation, this norm was used during this study and, for way of it, it will bepossible to verify what we must follow for the elaboration of one politics of security of theinformation, the main difficulties for creation and implementation, the principles of securityof the information, the necessity of envolvement of all the organization, being been that it isintended to elaborate a proposal model of Security Policies of the information come backtoward Institutions of Education. The objective of this work is to present some basic lines ofdirection of one Security Policies for a company, being used as base the concepts acquired forthe study in the bibliographical revision.Words Key: Information; Security of the Information; Measures of Security; SecurityPolicies. 8. LISTA DE FIGURASFIGURA 2.1 - TRADE GREGA ..................................................................................................................................................16FIGURA 2.2 - IMPACTO DOS INCIDENTES DE SEGURANA NOS NEGCIOS........................................................................23FIGURA 2.3 - RELAO ENTRE VULNERABILIDADE E INCIDENTE DE SEGURANA..........................................................24FIGURA 2.4 - RAMO DE ATIVIDADE DAS EMPRESAS ENTREVISTADAS..............................................................................28FIGURA 2.5 - EMPRESAS QUE POSSUEM POLTICA DE SEGURANA E A SITUAO.........................................................29FIGURA 2.6 - PRINCIPAIS MEDIDAS DE SEGURANA PARA 2004 ........................................................................................29FIGURA 2.7 - RANKING DAS MEDIDAS DE SEGURANA ADOTADAS...................................................................................30FIGURA 2.8 - PRINCIPAIS MEDIDAS DE SEGURANA ADOTADAS........................................................................................30FIGURA 3.1 - DIAGRAMA DE CONCEITO DOS COMPONENTES DA POLTICA.......................................................................35FIGURA 3.2 - FATORES DE SUCESSO DA POLTICA DE SEGURANA....................................................................................38FIGURA 3.3 - OBSTCULOS PARA IMPLEMENTAO DA SEGURANA DA INFORMAO...............................................42FIGURA 4.1 - ORGANOGRAMA FUNCIONRIOS DA REA DE TI.........................................................................................53 9. LISTA DE TABELASTABELA 4.1 - QUADRO DE FUNCIONRIOS DA SOCIESC......................................................................................................47TABELA 4.2 - ALUNOS MATRICULADOS AT AGOSTO DE 2004..........................................................................................48TABELA 5.1 - COMPARTILHAMENTO DAS REAS DE ARMAZENAMENTO DE ARQUIVOS.................................................62 10. SUMRIO1 INTRODUO ..........................................................................................................................................................122 SEGURANA DA INFORMAO .....................................................................................................................142.1 CLASSIFICAO DA INFORMAO....................................................................................................................172.1.1 Secreta............................................................................................................................................................172.1.2 Confidencial..................................................................................................................................................182.1.3 Interna............................................................................................................................................................182.1.4 Pblicas..........................................................................................................................................................182.2 PRINCPIOS DA SEGURANA DA INFORMAO................................................................................................182.2.1 Autenticidade.................................................................................................................................................192.2.2 Confidencialidade........................................................................................................................................192.2.3 Integridade.....................................................................................................................................................202.2.4 Disponibilidade.............................................................................................................................................212.3 VULNERABILIDADES...........................................................................................................................................222.4 IMPORTNCIA DA SEGURANA DA INFORMAO ...........................................................................................262.5 CONCLUSO DO CAPTULO.................................................................................................................................313 POLTICA DE SEGURANA...............................................................................................................................333.1 PLANEJAMETO......................................................................................................................................................343.2 DEFINIO............................................................................................................................................................393.3 IMPLEMENTAO.................................................................................................................................................413.4 TIPOS DE POLTICAS............................................................................................................................................433.4.1 Regulatria....................................................................................................................................................433.4.2 Consultiva......................................................................................................................................................443.4.3 Informativa ....................................................................................................................................................453.5 CONCLUSO DO CAPTULO.................................................................................................................................454 HISTRICO DA SOCIESC...................................................................................................................................464.1 VISO, MISSO E VALORES DA SOCIESC......................................................................................................484.2 HISTRIA DA EQUIPE DE TI NA SOCIESC.......................................................................................................494.3 EQUIPE DE TI DA SOCIESC...............................................................................................................................524.4 DEFINIAO DA ESTRUTURA DE INFORMTICA......................................................................................534.5 CONCLUSO DO CAPTULO.................................................................................................................................555 POLTICA DE SEGURANA PARA INSTITUIO DE ENSINO.........................................................575.1 OBJETIVOS DA POLTICA DE SEGURANA.........................................................................................................585.2 POLTICA DE SEGURANA DA ESTRUTURA DE INFORMTICA........................................................................605.2.1 Poltica de Utilizao da Rede...................................................................................................................615.2.1.1 Regras Gerais .........................................................................................................................................615.2.1.2 Regras para funcionrios........................................................................................................................635.2.1.3 Regras para alunos .................................................................................................................................645.2.1.4 Regras para alunos colaboradores ..........................................................................................................655.2.2 Poltica de Administrao de contas.........................................................................................................655.2.2.1 Regras Gerais .........................................................................................................................................655.2.2.2 Regras para Funcionrios.......................................................................................................................665.2.2.3 Regras para Alunos................................................................................................................................675.2.2.4 Alunos Colaboradores ou Estagirios ....................................................................................................685.2.3 Poltica de Senhas........................................................................................................................................695.2.3.1 Regras Gerais .........................................................................................................................................695.2.4 Poltica de Utilizao de E-Mail...............................................................................................................715.2.4.1 Regras Gerais .........................................................................................................................................715.2.4.2 Regras para funcionrios........................................................................................................................735.2.5 Poltica de acesso a Internet......................................................................................................................74 11. 5.2.5.1 Regras Gerais .........................................................................................................................................745.2.5.2 Regras para funcionrios........................................................................................................................755.2.6 Poltica de uso das Estaes de trabalho.................................................................................................765.2.6.1 Regras Gerais .........................................................................................................................................765.2.7 Poltica de uso de impressoras..................................................................................................................765.2.7.1 Regras Gerais .........................................................................................................................................775.3 POLTICA DE SEGURANA FSICA......................................................................................................................775.3.1 Poltica de controle de acesso....................................................................................................................785.3.1.1 Regras Gerais .........................................................................................................................................785.3.2 Poltica de mesa limpa e tela limpa..........................................................................................................795.3.2.1 Regras Gerais. ........................................................................................................................................795.3.3 Poltica de utilizao de laboratrios de informtica e salas de projeo........................................805.3.3.1 Regras Gerais .........................................................................................................................................805.4 TERMO DE COMPROMISSO...................................................................................................................................815.5 VERIFICAO DA UTILIZAO DA POLTICA...................................................................................................825.6 VIOLAO DA POLTICA, ADVERTNCIA E PUNIES....................................................................................825.6.1.1 Regras para funcionrios........................................................................................................................835.6.1.2 Regras para alunos .................................................................................................................................845.7 CONCLUSO DO CAPTULO.................................................................................................................................856 CONCLUSO .............................................................................................................................................................867 REFERNCIAS .........................................................................................................................................................898 ANEXOS .......................................................................................................................................................................91 12. 1 INTRODUONos tempos atuais a informao tornou-se o ativo mais valioso das grandes empresas,ao mesmo tempo, que passou a exigir uma proteo adequada. De forma assustadoramentecrescente, as organizaes, seus sistemas de informaes e suas redes de computadoresapresentam-se diante de uma srie de ameaas, sendo que, algumas vezes, estas ameaaspodem resultar em prejuzos para as empresas.A segurana da informao visa proteg-la de um grande nmero de ameaas paraassegurar a continuidade do negcio. Esta segurana obtida a partir da implementao deuma srie de controles, que podem ser polticas, prticas e procedimentos, os quais precisamser estabelecidos para garantir que os objetivos de segurana especficos da organizaosejam atendidos.A dificuldade de entender a importncia da segurana da informao ainda muitogrande. Muitas empresas comeam a pensar na implantao de medidas de segurana apsterem passado por algum tipo de incidente de segurana, que lhes tenha causado algumprejuzo.A poltica de segurana de uma empresa , provavelmente, o documento maisimportante em um sistema de gerenciamento de segurana da informao. Seu objetivo normatizar as prticas e procedimentos de segurana da empresa. Isso significa que dever sersimples, objetiva, de fcil compreenso e aplicao. Os controle de segurana, de um modogeral, e a poltica, em particular, devem ser definidos para garantir um nvel de seguranacoerente com o negcio da empresa.O presente trabalho tem como objetivo fazer um estudo aprofundado sobre seguranada informao, detalhando este estudo sobre uma das medidas de segurana que poltica de 13. segurana da informao, bem como o desenvolvimento de uma proposta modelo de polticade segurana, desenvolvida para a realidade de instituies de ensino, apresentando aestrutura de informtica da SOCIESC.A poltica de segurana pode trazer ao ambiente de uma instituio de ensino regras eprocedimentos que devem ser seguidos para a garantia da segurana da informao. importante que as informaes da poltica de segurana sejam divulgadas para todos osmembros da instituio, sejam eles alunos, funcionrios, alunos colaboradores ou estagirios,e que todos estejam conscientes da importncia do seguimento desta poltica.O presente trabalho est distribudo em 06 (seis) partes, sendo que a primeira aintroduo. A segunda parte inicia a reviso literria, apresentando os conceitos relacionados segurana da informao, seus princpios, sua importncia, as medidas de segurana quepodem ser implantadas.A terceira parte trata de poltica de segurana, de modo a abranger conceitos sobrepoltica de segurana, seu planejamento, definio e implementao. Existem trs tipos depolticas de segurana que foram abordados: Regulatria, Consultiva e informativa.A quarta parte apresenta o histrico da SOCIESC, sua estrutura de recursos deinformtica, sua equipe de TI. Na quinta parte mostra o modelo de poltica de seguranadesenvolvido, sendo dividida em poltica de segurana da estrutura de informtica e polticade segurana fsica. Finalmente a concluso do trabalho, contribuies e sugestes paratrabalhos futuros.O modelo de poltica de segurana desenvolvido procura definir regras para que,independente do usurio, possa ser seguido um padro de utilizao dos diversos recursos queenvolvem a segurana da informao em uma Instituio de Ensino, como a SOCIESC. 14. 142 SEGURANA DA INFORMAOA informao um ativo que, como qualquer ativo importante para os negcios, temum valor para a organizao e conseqentemente necessita ser adequadamente protegida. Paramuitas empresas a informao o maior patrimnio e proteg-la no uma atividade simples,sendo que pode abranger vrias situaes, como: erro, displicncia, ignorncia do valor dainformao, fraude, sabotagem, etc.Define-se dados como um conjunto de bits armazenados como: nomes, endereos,datas de nascimentos, histricos acadmico, etc. A informao um dado que tenha sentido,como por exemplo, as notas ou informaes acadmicas de um aluno. O conhecimento umconjunto de informaes que agrega valor a organizao.A informao pode existir de diversas formas, ela pode ser impressa ouescrita em papel, armazenada eletronicamente, transmitida pelo correio ouatravs de meio eletrnico, mostrada em filmes ou falada em conversas. Sejaqual for a forma apresentada ou meio atravs do qual a informao compartilhada ou armazenada, recomendado que seja sempre protegidaadequadamente. (NBR ISO/IEC 17799, setembro 2001)De acordo com a NBR ISO 177991, independente da forma que a informao seapresenta ela deve ser protegida de maneira adequada. A segurana deve ser considerada umdos assuntos mais importantes dentre as preocupaes das organizaes. Deve-se entenderque segurana da informao no uma tecnologia. No possvel comprar um dispositivoque torne a rede segura ou um software capaz de tornar seu computador seguro. Segurana dainformao no um estado que se pode alcanar.A segurana a direo em que se pretende chegar, mas a empresa deve saber que1Norma Brasileira homologada em setembro de 2001 pela ABNT para Gesto da Segurana da Informao 15. nunca chegar de fato ao destino. O que possvel fazer administrar um nvel aceitvel derisco. Segurana um processo, pode-se aplicar o processo rede ou empresa visandomelhorar a segurana dos sistemas. (WADLOW, 2000, p.25]O processo de segurana mostra que em muitos aspectos a segurana semelhante trade grega: Analise o problema levando em considerao tudo que conhece: se o problema asegurana da informao, este deve ser avaliado prestando ateno em tudo quepoder afetar o processo de segurana, visando a criao de uma soluo para oproblema. Sintetize uma soluo para o problema a partir de sua anlise: sabendo tudo o quepode prejudicar o processo de segurana, neste momento importante a criao deuma soluo que foi estabelecida a partir das informaes analisadasanteriormente. Avalie a soluo e aprenda em quais aspectos no correspondeu a sua expectativa:a soluo adotada deve ser avaliado, visando a verificao de medidas ou decisesque no foram satisfatrias para a implantao do processo de segurana, podendovoltar a anlise do problema e passando pelas etapas do processo de segurananovamente.Depois de passar pelas etapas do processo de segurana, deve-se reiniciar esteprocesso seguidamente, o procedimento da trade grega, de analisar o problema, sintetizaruma soluo e avaliar a soluo, um procedimento que pode ser aplicado para qualquerprocesso. 16. Figura 2.1 - Trade GregaFonte: Livro Segurana da InformaoOs mecanismos de segurana adotados protegem a informao de um grande nmerode ameaas para assegurar a continuidade dos negcios, minimizar os danos empresariais emaximizar o retorno em investimentos e oportunidades.Nenhuma rea da informtica to apreciada como a segurana dainformao, todo processo de segurana inicia e tem seu termino em um serhumano. Segurana no uma questo tcnica, mas uma questo gerencial ehumana. No adianta adquirir uma srie de dispositivos de hardware esoftware sem treinar e conscientizar o nvel gerencial da empresa e todos osseus funcionrios. (OLIVEIRA, 2001, p.43)De acordo com a afirmao acima, o ser humano tem um papel extremamenteimportante, na verdade, o processo de segurana comea e termina nas pessoas, osmecanismos de segurana somente sero eficientes se as pessoas se comprometerem com ouso e o faam conscientes dos benefcios para a organizao, uma ferramenta ou poltica queno usada, no poder trazer resultados para a organizao.AvaliaoAnlise Sntese 17. 2.1 CLASSIFICAO DA INFORMAOSegundo da descrio do item 5.2 da NBR ISO 17799, que trata da classificao dainformao:O objetivo da Classificao da Informao assegurar que os ativos dainformao recebam um nvel adequado de proteo. A informao deve serclassificada para indicar a importncia, a prioridade e o nvel de proteo. Ainformao possui vrios nveis de sensibilidade e criticidade. Alguns itenspodem necessitar um nvel adicional de proteo ou tratamento especial. Umsistema de classificao da informao deve ser usado para definir umconjunto apropriado de nveis de proteo e determinar a necessidade demedidas especiais de tratamento.A classificao da informao importante para que as organizaes possamdeterminar o nvel de proteo que suas informaes, de modo que a segurana deinformaes importantes para as organizaes possa ser assegurada.A classificao mais comum nos dia de hoje, aquela que divide em quatro nveis:secreta, confidencial, interna e pblica. (DIAS, 2000, p.53)2.1.1 SecretaEstas informaes devem ser acessadas por um nmero restrito de pessoas e o controlesobre o uso destas informaes deve ser total, so informaes essenciais para a empresa,portanto, sua integridade deve ser preservada. O acesso interno ou externo por pessoas noautorizadas a esse tipo de informao extremamente crtico para a instituio. 18. 2.1.2 ConfidencialEstas informaes devem ficar restritas ao ambiente da empresa, o acesso a essessistemas e informaes feito de acordo com a sua estrita necessidade, ou seja, os usurios spodem acess-las se estes forem fundamentais para o desempenho satisfatrio de suas funesna instituio. O acesso no autorizado estas informaes podem causar danos financeirosou perdas de fatia de mercado para o concorrente.2.1.3 InternaEssas informaes no devem sair do mbito da instituio. Porm, se isto ocorrer asconseqncias no sero crticas, no entanto, podem denegrir a imagem da instituio oucausar prejuzos indiretos no desejveis.2.1.4 PblicasInformaes que podem ser divulgadas para o pblico em geral, incluindo clientes,fornecedores, imprensa, no possuem restries para divulgao.2.2 PRINCPIOS DA SEGURANA DA INFORMAOQuando se pensa em segurana da informao, a primeira idia que nos vem mente a proteo das informaes, no importando onde estasinformaes estejam armazenadas. Um computador ou sistemacomputacional considerado seguro se houver uma garantia de que capazde atuar exatamente como o esperado. Porm a segurana no apenas isto.A expectativa de todo usurio que as informaes armazenadas hoje emseu computador, l permaneam, mesmo depois de algumas semanas, sem 19. que pessoas no autorizadas tenham tido qualquer acesso a seu contedo.(DIAS, 2000, p.42)O usurio espera que suas informaes estejam disponveis no momento e local quedeterminar, que sejam confiveis, corretas e mantidas fora do alcance de pessoas noautorizadas. Essas expectativas do usurio podem ser traduzidas como objetivos ou princpiosda segurana.2.2.1 AutenticidadeO controle de autenticidade est associado com identificao de um usurio oucomputador. O servio de autenticao em um sistema deve assegurar ao receptor que amensagem realmente procedente da origem informada em seu contedo. Normalmente, isso implementado a partir de um mecanismo de senhas ou de assinatura digital. A verificao deautenticidade necessria aps todo processo de identificao, seja de um usurio para umsistema ou de um sistema para outro sistema. A autenticidade a medida de proteo de umservio/informao contra a personificao por intrusos.2.2.2 ConfidencialidadeProteger informaes contra acesso por algum no autorizado - interna ouexternamente. Consiste em proteger a informao contra leitura e/ou cpia por algum queno tenha sido explicitamente autorizado pelo proprietrio daquela informao. A informao 20. deve ser protegida qualquer que seja a mdia que a contenha, como por exemplo, mdiaimpressa ou mdia digital. Deve-se cuidar no apenas da proteo da informao como umtodo, mas tambm de partes da informao que podem ser utilizadas para interferir sobre otodo. No caso das redes de computadores, isto significa que os dados, enquanto em trnsito,no sero vistos, alterados, ou extrados da rede por pessoas no autorizadas ou capturadospor dispositivos ilcitos.O objetivo da confidencialidade proteger informao privada (cidados, indstrias,governo, militar).2.2.3 IntegridadeA integridade consiste em evitar que dados sejam apagados ou de alguma formaalterados, sem a permisso do proprietrio da informao. O conceito de dados nesse objetivo mais amplo, englobando dados, programas, documentao, registros, fitas magnticas, etc.O conceito de integridade est relacionado com o fato de assegurar que os dados no forammodificados por pessoas no autorizadas.A integridade de dados tambm um pr-requisito para outros princpios dasegurana. Por exemplo, se a integridade de um sistema de controle a um determinado sistemaoperacional pode ser violada, ento a confidencialidade de seus arquivos pode ser igualmenteviolada. Enquanto o objetivo da confidencialidade est mais voltado leitura de dados, aintegridade preocupa-se mais com a gravao ou alterao de dados. 21. 2.2.4 DisponibilidadeTer as informaes acessveis e prontas para uso representa um objetivo crtico paramuitas empresas.Disponibilidade consiste na proteo dos servios prestados pelo sistema de forma queeles no sejam degradados ou se tornem indisponveis sem autorizao, assegurando aousurio o acesso aos dados sempre que deles precisar.Um sistema indisponvel, quando um usurio autorizado necessita dele, pode resultarem perdas to graves quanto as causadas pela remoo das informaes daquele sistema.Atacar a disponibilidade significa realizar aes que visem a negao do acesso a um servioou informao, como por exemplo: bloqueando no canal de comunicao ou do acesso aservidores de dados.A segurana da informao visa a manuteno dos acessos s informaes que estosendo disponibilizadas. Isso significa que toda a informao deve chegar aos usurios deforma ntegra e confivel. Para que isto possa acontecer, todos os elementos da rede por ondea informao passa at chegar os destino devem estar disponveis e devem tambm preservara integridade das informaes.Por exemplo, se um funcionrio gravou determinada informao a segurana dainformao deve garantir que no momento em que a informao for acessada novamente elaesteja sem qualquer alterao, que no tenha sido feita pelo prprio dono da informao, quepossa ser acessada sem qualquer problema. 22. 2.3 VULNERABILIDADESA vulnerabilidade o ponto onde qualquer sistema suscetvel a um ataque,ou seja, uma condio encontrada em determinados recursos, processos,configuraes, etc. Condio causada muitas vezes pela ausncia ouineficincia das medidas de proteo utilizadas de salvaguardar os bem daempresa. (Moreira, 2001, p.22)Na definio acima Moreira afirma que a vulnerabilidade o ponto onde poderacontecer um ataque, ou seja, o ponto onde uma fraqueza ou deficincia de segurana poderser explorada, causando assim um incidente de segurana.Uma vulnerabilidade pode partir das prprias medidas de segurana implantadas naempresa, se existir estas medidas, porm configuradas de maneira incorreta, ento a empresapossuir uma vulnerabilidade e no uma medida de segurana.Quando pretende-se garantir a segurana da informao da empresa deve-se identificaros processos vulnerveis, se estes processos forem de grande importncia para garantir asegurana da informao, as medidas e controles de segurana adequados soimplementados.O surgimento das vulnerabilidades pode ter diversas causas, podendo ser entendidocomo uma relao N para N, ou seja, cada empresa, cada ambiente pode possuir diversasvulnerabilidades e cada vulnerabilidade pode estar em diversos ambientes. (MOREIRA, 2001,p25)As vulnerabilidades podem ser fsicas, naturais, humanas, de software ou hardware,entre outras. Pode-se citar alguns exemplos de vulnerabilidades:Fsicas: falta de extintores, salas mal projetadas, instalaes eltricas antigas e emconjunto com as instalaes da rede de computadores.Naturais: acumulo de poeira, umidade, possibilidade de desastre naturais, como 23. enchente, tempestade, terremotos, etc.Humana: falta de treinamento, compartilhamento de informaes confidenciais porparte dos funcionrios da empresa, falta de comprometimento dos funcionrios.A figura 2.2 demonstra que as vulnerabilidades possibilitam os incidentes desegurana, sendo que estes afetam o negcio da empresa causando impactos negativos paraseus clientes e demais envolvidos. Um incidente de segurana que possa afetar os princpiosde segurana da informao estar afetando a imagem da empresa para seus clientes, se ainformao no estiver disponvel no momento em for necessrio o acesso, sem qualqueralterao que possam vir a afetar os princpios de integridade e autenticidade das mesmas,ento o incidente de segurana estar afetando o cliente que depende do acesso a estainformao e tambm a empresa. As vulnerabilidades so a principal causa dos incidentes desegurana.VulnerabilidadeClientesImagemProdutoFigura 2.2 - Impacto dos incidentes de segurana nos negciosFonte: Livro Segurana Mnima p.27A figura 2.3 ilustra a questo das vulnerabilidades em relao a incidentes desegurana, sendo que as ameaas, sejam elas internas ou externas, acontecem tentandoIncidente de SeguranapossibilitaNegcioImpacta negativamenteAfeta 24. encontrar um ponto vulnervel, para que atravs dele possa passar pelas medidas de seguranae causar um incidente de segurana.Figura 2.3 - Relao entre vulnerabilidade e incidente de seguranaFonte: Livro Segurana mnima, p. 28 importante perceber que se as medidas de segurana adotadas forem eficientes estasdevem evitar um ponto vulnervel, pois assim as ameaas no se concretizariam emincidentes de segurana, j que no conseguiriam passar pelas medidas de segurana.Os danos e perdas causados por um incidente de segurana acontecem em decorrnciaPoltica deSeguranaPontovulnervelAmeaasinternasAmeaasexternasConscientizao/ComportamentoFerrramentasMedidas deseguranaPerdas/DanosIncidentes deseguranasAtivoscrticosHardware Dados /InformaoProcessosSoftware Ferramentas Documentao 25. de medidas mal implementadas ou mal utilizadas que possibilitam pontos vulnerveis.Algumas medidas de segurana podem ser adequadas para determinada situao e inadequadapara outras. Deve-se buscar a melhor relao custo/benefcio para garantia da segurana dainformao. As vulnerabilidades iro diminuir a partir do momento que medidas adequadas desegurana sejam implantadas.Moreira (2001, p.31) diz que medidas de segurana so esforos como procedimentos,software, configuraes, hardware e tcnicas empregadas para atenuar as vulnerabilidadescom o intuito de reduzir a probabilidade de ocorrncia da ao de ameaas e, por conseguinte,os incidentes de segurana.Contudo, como comentado anteriormente, importante pensar na relaocusto/benefcio, quando se pensa em medidas de segurana. medida que o nvel desegurana cresce o nvel de vulnerabilidade decai. O ideal que seja buscado o ponto deequilbrio entre o nvel de vulnerabilidades consideradas aceitveis em relao ao nvel desegurana ou as medidas de segurana implementadas.Na verdade no existe um modelo ideal ou um pacote de segurana que pode ser usadopara resolver os problemas de segurana nas redes.Na maioria das vezes deve-se usar a combinao de vrias estratgias de segurana deacordo com o nvel de segurana que a empresa deseja atingir. Dentre elas destacam-se: Poltica de segurana; Cpias de Segurana; Controle de acesso; Segurana fsica; Firewall; Poltica de senha; Deteco de intruso; 26. Treinamento/conscientizao dos usurios.Dentre outras estratgias que podem complementar e garantir a segurana dainformao da empresa. Ser realizado um estudo detalhado sobre poltica de segurana, como objetivo da criao de um modelo de poltica de segurana.2.4 IMPORTNCIA DA SEGURANA DA INFORMAONas dcadas de 70 e 80 o enfoque principal da segurana era o sigilo dos dados. Entre80 e 90, com o surgimento das redes de computadores, a proteo era feita no pensando nosdados, mas sim nas informaes. A partir da dcada de 90, com o crescimento comercial dasredes baseadas em Internet Protocol2(IP) o enfoque muda para a disponibilidade. Ainformtica torna-se essencial para a organizao, o conhecimento precisa ser protegido.A segurana da informao e os negcios esto estritamente ligados. O profissional desegurana da informao precisa ouvir as pessoas, de modo a entender e saber como aplicar astecnologias para a organizao, sua estratgia de negcio, suas necessidades e sua estratgiade segurana.A dificuldade de entender a importncia de segurana ainda muito grande. Asegurana ainda um campo relativamente novo, muitas empresas ainda no conseguemenxergar a sua importncia, imaginando apenas que as solues so caras e no trazemnenhum retorno financeiro, no imaginando as conseqncias que a falta da segurana podertrazer para todo o negcio da empresa.Este o maior desafio da segurana, uma soluo de segurana imensurvel e noresulta em melhorias nas quais todos podem notar que alguma coisa foi feita.2Protocolo da Internet, IP um conjunto de regras e formatos utilizado em redes em que a comunicao se datravs de pacotes de dados. 27. A empresa, ou os executivos e diretores, devem entender que a segurana temjustamente o papel de evitar que algum perceba que alguma coisa esta errada.O fato que ningum percebe a existncia da segurana, apenas a inexistncia dela,quando algum incidente acontece, resultando em grandes prejuzos para a empresa.Esta viso reativa, com as decises de segurana sendo tomadas aps um incidente,traz uma srie de conseqncias negativas para a organizao. preciso que as organizaespassem a considerar a segurana da organizao como um elemento essencial para o sucesso.Deve-se entender que as solues de segurana no gero gastos, mas um investimentohabilitador de seus negcios.Segundo informaes apresentadas na 9 Pesquisa Nacional de Segurana daInformao (MDULO SECURITY, 2003), as organizaes esto mudando sua opiniosobre a importncia da segurana da informao. A Segurana da Informao tornou-se fatorprioritrio na tomada de decises e nos investimentos das organizaes no pas. Essainformao uma das principais concluses apontadas pelos ndices obtidos pela pesquisa.Alguns resultados importantes que foram obtidos: Para 78% dos entrevistados, as ameaas, os riscos e os ataques devero aumentarem 2004. Vrus (66%), funcionrios insatisfeitos (53%), divulgao de senhas (51%),acessos indevidos (49%) e vazamento de informao (47%) foram apontados comoas cinco principais ameaas segurana das informaes nas empresas. O percentual de empresas que afirmam ter sofrido ataques e invases subiu de43%, em 2002, para 77% em 2003. 60% indicam a Internet como principal ponto de invaso em seus sistemas. Poltica de segurana formalizada j realidade em 68% das organizaes. Pelo terceiro ano consecutivo, antivrus (90%), sistemas de backup (76,5%) e 28. firewall (75,5%) foram apontados como as trs medidas de segurana maisimplementadas nas empresas.Os resultados obtidos reforam a importncia da informao para as empresas eprincipalmente a necessidade de segurana destas informaes. A utilizao de normas epadres para que a segurana da informao esteja documentada e possa ser seguida umfator importante que foi apontado.A figura 2.4 mostra o ramo de atividade das empresas que foram entrevistadas durante9 Pesquisa Nacional de Segurana da Informao, a pesquisa teve uma amostra de 682questionrios, que foram coletados de maro agosto de 2003. Podemos perceber que osprofissionais que participaram deste estudo esto distribudos em diversos segmentos.Figura 2.4 - Ramo de Atividade das Empresas entrevistadasFonte: 9 Pesquisa Nacional de Segurana da Informao, 2003, www.mdulo.com.brA preocupao das empresas em possurem regras e procedimentos documentados setorna bastante clara na figura 2.5, onde mostra a empresa em relao a poltica de segurana,sendo que 50% das empresa possuem uma poltica de segurana atualizada. A pesquisamostra um cenrio positivo em relao ao aumento da poltica de segurana atualizada e aqueda no item falta de conscincia dos usurios, mostrada na figura 3.3, como principalobstculo, podendo ser explicada pelo aumento da divulgao da poltica de segurana paratodos os funcionrios. 29. Figura 2.5 - Empresas que possuem Poltica de Segurana e a situaoFonte: 9 Pesquisa Nacional de Segurana da Informao, 2003, www.mdulo.com.brA poltica de segurana aparece entre as principais medidas de segurana que, segundoas empresas, devem ser adotadas em 2004, figura 2.6. Em 2003, as empresas tiveram imensasdificuldades com a disseminao em massa de diversas pragas virtuais, isto pode explicar aprimeira colocao de antivrus como a principal medida de segurana para 2004.Figura 2.6 - Principais medidas de segurana para 2004Fonte: 9 Pesquisa Nacional de Segurana da Informao, 2003, www.mdulo.com.brAs figuras 2.7 e 2.8 mostram um comparativo entre os resultados da 8 e 9 Pesquisa 30. Nacional de Segurana da Informao, pode-se notar que as primeiras posies do ranking damedidas de segurana no se alteram de 2002 para 2003, no entanto, se notarmos o itempoltica de segurana aumentou 12,5% em relao a 2002. Um fator importante que asempresas esto percebendo a necessidade de mudar o cenrio da segurana da informao,sendo que a poltica de segurana tem um papel importante para a segurana da informaonas empresas.Figura 2.7 - Ranking das medidas de segurana adotadasFonte: 9 Pesquisa Nacional de Segurana da Informao, 2003, www.mdulo.com.brFigura 2.8 - Principais medidas de segurana adotadasFonte: 9 Pesquisa Nacional de Segurana da Informao, 2003, www.mdulo.com.brA Segurana da Informao tornou-se fator prioritrio na tomada de decises e nosinvestimentos das organizaes no pas. [9 Pesquisa Nacional de Segurana da Informao.www.modulo.com.br] 31. Por exemplo, se um funcionrio gravou determinada informao a segurana dainformao deve garantir que no momento em que a informao for acessada novamente elaesteja sem qualquer alterao, que no tenha sido feita pelo prprio dono da informao, quepossa ser acessada sem qualquer problema.Os controles considerados como melhores prticas para a segurana da informaoincluem: [NBR ISO 17799, p3]. Documentao da poltica de segurana da informao; Definio das responsabilidades na segurana da informao; Educao e treinamento em segurana da informao; Relatrio de incidentes de segurana; Gesto de continuidade do negcio.2.5 CONCLUSO DO CAPTULONeste capitulo foi feito um estudo sobre a informao e a segurana da informao,pode-se perceber que a informao tem grande valor dentro das instituies em que estiverinserida e que a garantia da segurana da informao extremamente importante para osucesso do negcio das organizaes.A informao deve ser classificada de acordo com seu grau de importncia, garantindoassim, a proteo adequada para cada informao, existem informaes que podem serdivulgadas sem afetar o negcio da organizao, porm, existem informaes que soconfidenciais e devem ser extremamente controlado o acesso a elas, evitando que possam seracessadas por pessoas no autorizadas e prejudicar a organizao.A informao segura aquela que obedece aos princpios de segurana da informao,garantindo a autenticidade, disponibilidade, integridade e confidencialidade da informao. 32. Todas as organizaes sofrem ameaas, sejam elas internas ou externas, estas ameaasexploram algum ponto vulnervel, que pode ser, por exemplo, uma medida de segurana malconfigurada. As medidas de segurana devem evitar a existncia deste ponto vulnervelgarantindo assim a segurana da informao.Existe uma grande dificuldade de entender a importncia da segurana da informao,as decises de segurana, muitas vezes, so tomadas aps um incidente de segurana. Porm,a preocupao das organizaes com a segurana da informao vem crescendo, medidas paragarantir a segurana da informao vem sendo implementadas com maior freqncia, sendoque a segurana da informao tornou-se um fator prioritrio na tomada de decises e nosinvestimentos das organizaes.Para garantir a segurana da informao vrias medidas de segurana podem serimplementadas, dentre elas destaca-se a poltica de segurana da informao, sobre a qual serfeito um estudo mais abrangente no prximo captulo.Ser detalhado, a seguir, sobre poltica de segurana explicando sua importncia, asfase o desenvolvimento da poltica, tipos de poltica e a criao de uma poltica. 33. 3 POLTICA DE SEGURANAA poltica de segurana a base para todas as questes relacionadas proteo dainformao, desempenhando um papel importante em todas as organizaes, sendo aelaborao de uma poltica de segurana da informao essencial, pois definem normas,procedimentos, ferramentas e responsabilidades para garantir o controle e a segurana dainformao na empresa.Poltica de segurana apenas a formalizao dos anseios da empresa quanto proteo das informaes.Em um pas, temos a legislao que deve ser seguida para que tenhamos umpadro de conduta considerado adequado s necessidades da nao paragarantia de seu progresso e harmonia. No havia como ser diferente em umaempresa. Nesta precisamos definir padres de conduta para garantir osucesso do negcio. (ABREU, 2002)Na definio acima, poltica de segurana comparada com a legislao que todosdevemos seguir, de modo que o cumprimento da legislao nos garante que o padro decontuda esta sendo seguido, a poltica de segurana tambm deve ser seguida por todos osfuncionrios de uma organizao, garantindo assim a proteo das informaes e o sucesso donegcio.Segundo Wadlow (2000, p.40) uma poltica de segurana atende a vrios propsitos: Descreve o que est sendo protegido e por qu; Define prioridades sobre o que precisa ser protegido em primeiro lugar e com qualcusto; Permite estabelecer um acordo explcito com vrias partes da empresa em relaoao valor da segurana; 34. Fornece ao departamento de segurana um motivo vlido para dizer no quandonecessrio; Proporciona ao departamento de segurana a autoridade necessria para sustentaro no; Impede que o departamento de segurana tenha um desempenho ftil.A implementao pode ser considerada a parte mais difcil da poltica de segurana.Sua criao e sua definio envolvem conhecimentos abrangentes de segurana, ambiente derede, organizao, cultura, pessoas e tecnologias, sendo uma tarefa complexa e trabalhosa.Porm a dificuldade maior ser na implementao desta poltica criada, quando todos osfuncionrios devem conhecer a poltica, compreender para que as normas e procedimentosestabelecidos realmente sejam seguidos por todos os funcionrios.3.1 PLANEJAMETOO incio do planejamento da poltica de segurana exige uma viso abrangente, demodo que os riscos sejam entendidos para que possam ser enfrentados. Para que a abordagemde segurana possa ser pr-ativa essencial uma poltica de segurana bem definida, sendoque as definies das responsabilidades individuais devem estar bem claras facilitando ogerenciamento de segurana em toda a empresa.Um ponto bastante importante para que a poltica de segurana seja seguida pelaempresa que seja aprovada pelos executivos, publicada e comunicada para todos osfuncionrios, de forma relevante e acessvel.O planejamento da poltica deve ser feito tendo como diretriz o carter geral eabrangente de todos os pontos, incluindo as regras que devem ser obedecidas por todos. 35. A poltica de segurana pode ser dividida em vrios nveis, podendo ser de um nvelmais genrico, como o objetivo que os executivos possam entender o que est sendo definido,nvel dos usurios de maneira que eles tenham conscincia de seus papis para a manutenoda segurana na organizao, e podendo ser de nvel tcnico que se refere aos procedimentosespecficos como, por exemplo, a implementao das regras de filtragem do firewall.Segundo Dimitri (2002), podemos dividir a poltica de segurana em trs tipos detextos: nvel estratgico, nvel ttico e nvel operacional, como mostra a figura 3.1.Figura 3.1 - Diagrama de conceito dos componentes da polticaFonte: Livro Segurana de redes p175Nvel estratgico: existem situaes no dia-a-dia que precisamos tomar decises.Algumas vezes o bom senso ferramenta usada pelos profissionais para a tomada de deciso.Poltica ouDiretrizesNormasProcedimentos einstruesEstratgicoTticoOperacionalNaturezadoNegcioCulturaOrganizacionalAtivosFsicosAtivosTecnolgicosAtivosHumanos 36. Isto ocorre porque se ningum passou pela situao antes, e se no existe nenhumaorientao da empresa sobre o que fazer quando tal situao acontecer, o profissional decidirqual a melhor soluo para a resoluo do problema.Quando falamos em nvel estratgico estamos falando em alinhamento nos valores daempresa, ou seja, no rumo a ser seguido. Quando necessrio o profissional tomar uma decisosobre uma situao nova, deve-se usar o bom senso na tomada da deciso seguindo os valoresda empresa.Nvel ttico: para o nvel ttico deve-se pensar em padronizao de ambiente.Equipamentos, software, senhas, utilizao de correio eletrnico, cpias de segurana,segurana fsica, etc. Tudo isso precisa e deve ser padronizado. Isso faz com que todos ospontos da empresa tenham o mesmo nvel de segurana e no tenhamos um elo mais fraco nacorrente.Nvel operacional: a palavra chave no nvel operacional detalhamento, para garantira perfeio no atendimento e continuidade dos negcios, independentemente do fatorhumano. Se a configurao esta no papel, ou seja, se existe um padro formalizado, entoeste padro deve ser seguido e a configurao deve ser realizada de forma igual por todos.A parte operacional da poltica de segurana vem exatamente para padronizar essesdetalhes de configuraes dos ambientes. Pode-se ter um padro para toda a empresa, ou seexistirem vrias filiais pelo pas, um padro por estado. Isso ir depender da necessidade daempresa. O importante saber que precisamos desse padro.A poltica o elemento que orienta as aes e as implementaes futuras, de umamaneira global, enquanto as normas abordam os detalhes, como os passos da implementao,os conceitos e os projetos de sistemas e controles. Os procedimentos so utilizados para queos usurios possam cumprir aquilo que foi definido na poltica e os administradores desistemas possam configurar os sistemas de acordo com a necessidade da organizao. 37. (SMOLA, 2003, p.105)Os elementos de uma poltica de segurana devem manter a disponibilidade da infra-estrutura da organizao, esses elementos so essenciais para a definio e implantao dapoltica de segurana:Vigilncia: todos os funcionrios da organizao devem entender a importncia dasegurana para a mesma. No aspecto tcnico a vigilncia deve ser um processo regular econsistente incluindo o monitoramento dos sistemas e da rede.Atitude: a postura e a conduta em relao segurana, essencial que a poltica sejade fcil acesso e que seu contedo seja de conhecimento de todos os funcionrios daorganizao. Atitude significa tambm o correto planejamento, pois a segurana deve fazerparte de um longo e gradual processo dentro da organizao.Estratgia: deve ser criativo quanto s definies da poltica e do plano de defesacontra intruses, possuir a habilidade de se adaptar as mudanas. A estratgia deve serdefinida de modo que as medidas de segurana a serem adotadas no influenciemnegativamente no andamento dos negcios da organizao.Tecnologia: a soluo tecnolgica dever suprir as necessidades estratgicas daorganizao, deve-se tomar cuidado com qualquer tecnologia um pouco inferior, pois podercausar um falsa sensao de segurana, podendo colocar em risco toda a organizao. O ideal a implantao de uma poltica de segurana dinmica em que mltiplas tecnologias eprticas de segurana so adotadas.A figura3.2 mostra a importncia dos elementos de uma poltica de segurana, sendoque estes levaram a uma Poltica de Segurana de Sucesso. 38. Segundo a NBR ISO 17799 a poltica de segurana deve seguir as seguintesorientaes: Definio de segurana da informao, resumo das metas e escopo e a importnciada segurana como um mecanismo que habilita o compartilhamento dainformao. Declarao do comprometimento da alta direo, apoiando as metas e princpiosda segurana da informao. Breve explanao das polticas, princpios, padres e requisitos de conformidadede importncia especfica para a organizao, por exemplo:o Conformidade com a legislao e possveis clusulas contratuais;o Requisitos na educao de segurana;o Preveno e deteco de vrus e software maliciosos;o Gesto de continuidade do negcio;o Conseqncias das violaes na poltica de segurana da informao;Figura 3.2 - Fatores de sucesso da poltica de seguranaFonte: Livro segurana de redes, 2003, p178Poltica de seguranade sucessoTecnologiaEstratgiaAtitudeVigilncia 39. Definio das responsabilidades gerais e especificas na gesto de segurana dainformao, incluindo o registro dos incidentes de segurana. Referncia documentao que possam apoiar a poltica, por exemplo, polticas,normas e procedimentos de segurana mais detalhados de sistemas, reasespecficas, ou regras de segurana que os usurios devem seguir.Sendo assim a poltica de segurana deve conter regras gerais e estruturais que seaplicam ao contexto de toda a organizao, deve ser flexvel o suficiente para que no sofraalteraes freqentes.3.2 DEFINIOA poltica de segurana deve ser definida de acordo com os objetivos de negcios daorganizao. Existem algumas diretrizes para se escrever a poltica de segurana (WADLOW,2000, p.33): Mantenha-se compreensvel: uma poltica de segurana deve ser de fcilentendimento para toda a organizao, se ningum ler ou se todos lerem, porm se noconseguirem entender, a poltica de segurana no ser seguida. Para proporcionar algumbeneficio, necessrio que a poltica esteja nas mos das pessoas que devero utiliz-la e,portanto, precisaro ler e lembrar seu contedo. Mantenha-se relevante: se existir necessidade a poltica de segurana poder serum documento extenso. Existe a tentao de escrever longas polticas elaboradas, apenasporque o volume impressiona a administrao superior, porm se voc disponibilizar estapoltica para que os funcionrios leiam e comecem a usar, certamente haver poucas chancesde obter sucesso.Uma soluo para evitar este problema criar vrias polticas cada uma destinada a 40. um pblico especfico dentro da empresa., assim cada poltica poder ser pequena, direta ecompreensvel. Saiba o que no relevante: algumas partes da poltica tero tpicos que nodevero ser conhecidos por todas as pessoas. necessria uma seo descrevendo o tipo deinformao considerada sensvel, que no dever ser comentada com estranhos.Uma segunda seo deve ser mantida sobre o sigilo mais rgido e somente pode serconhecida por pessoas do mais alto nvel de confiana. Essa seo constitui a conscinciade organizao da segurana.H necessidade de uma lista explcita e atualizada dos assuntos sensveis, permitindoque a equipe de segurana disponha de uma memria organizacional sobre o que no deve sercomentado. Leve-a srio: somente ser eficaz se as pessoas a levarem a srio, para isto deve-seseguir dois itens:Todos precisam saber que podero ser punidos se executarem ou deixarem de executardeterminadas aes.Para agir de acordo com a poltica, necessrio realmente punir as pessoas que aviolarem.No obedecer a um destes princpios poder invalidar qualquer poltica.As dificuldades surgem na definio e aplicao de penalidades. Estas questes depenalidades devem estar bem claras desde o inicio. necessrio realizar este processo de umaforma que estabelea a culpa do transgressor no grau adequado, deixando claro a quem aplicara punio que esta justificada e correta, e preservando o apoio da administrao superior. Mantenha-a atual: a poltica de segurana precisa ser um processo contnuo, assimcomo a segurana de rede que ela representa. Se no for mantido atual, o documento tornar-se- obsoleto rapidamente. 41. Distribua-a as pessoas que precisam conhec-la: possuir uma excelente poltica desegurana somente significar algo se for lida por quem no pertena prpria equipe desegurana. A poltica dever estar disponvel, de modo a ser acessada com facilidade, poderser disponibilizado um site web sobre a poltica de segurana.Alguns detalhes relevantes em uma poltica de segurana podem ser inseridos emnormas e procedimentos especficos. Alguns detalhes que podem ser definidos com base naanlise do ambiente da rede e de seus riscos, so: A segurana mais importante do que os servios, caso no existir conciliao asegurana deve prevalecer. A poltica de segurana deve evoluir constantemente, de acordo com os riscos e asmudanas na estrutura da organizao. Aquilo que no for expressamente permitido, ser proibido. Nenhuma conexo direta com a rede interna, originria externamente, dever serpermitida sem que um rgido controle de acesso seja definido e implementado. Os servios devem ser implementados com a maior simplicidade possvel. Devem ser realizados testes, a fim de garantir que todos os objetivos sejamalcanados. Nenhuma senha dever ser fornecida sem a utilizao de criptografia.3.3 IMPLEMENTAOA implementao deve envolver toda a organizao, todos os usurios devemconhecer e passar a utilizar a poltica. Um ponto importante para a aceitao e conformidadecom a poltica definida a educao, pois a falta de conscientizao dos funcionrios acerca 42. da importncia e relevncia da poltica ir torn-la inoperante ou reduzir sua eficcia.Devem ser feitos programas de conscientizao e divulgao da poltica, de modo quecom a divulgao efetiva ela dever tornar-se parte da cultura da organizao.Segundo a norma NBR ISO 17799, as seguintes anlises crticas peridicas tambmdevem ser agendadas: Verificao da efetividade da poltica, demonstrada pelo tipo, volume e impactodos incidentes de segurana registrados. Anlise do custo e impacto dos controles na eficincia do negcio. Verificao dos efeitos de mudanas na tecnologia utilizada.Existem vrios obstculos que podem interferir durante a implantao da segurana dainformao, na figura 3.3 existe um comparativo entre os principais obstculos levantados nasduas ltimas pesquisas Nacionais de Segurana da Informao realizadas em 2002 e 2003.Figura 3.3 - Obstculos para Implementao da Segurana da InformaoFonte: 9 Pesquisa Nacional de Segurana da Informao, 2003, www.mdulo.com.br 43. A falta de conscincia dos executivos um item que se destaca entre os obstculospara implementao da segurana da informao como mostra na figura 3.3. Os executivospodem aprovar uma poltica de segurana apenas para satisfazer a equipe de segurana ou osauditores, comprometendo a prpria organizao. Os executivos devem ser convencidos deque o melhor a fazer atuar de modo pr-ativo, em oposio ao comportamento reativo. Oideal mostrar estudos que provam que mais barato considerar a perspectiva de prevenir,deter e detectar do que a de corrigir e recuperar.A falta de conscincia dos usurios outro item que demonstra um percentual elevadonos dois anos, isto deixa clara a necessidade de divulgao e treinamentos durante o processode implementao da poltica, que possam esclarecer seus benefcios e importncia doseguimento das normas e procedimentos adotados.A dificuldade de demonstrar retorno, e o alto custo so itens importantes a seremcomentados. O fato de no conseguir os recursos necessrios reflete a falha em convencer osexecutivos da importncia das informaes e dos sistemas de informaes da organizao,que devem, portanto, ser protegidos. Deve-se esclarecer que a indisponibilidade de recursossignifica prejuzos, pois os negcios podem ser interrompidos como decorrncia de umataque.3.4 TIPOS DE POLTICASExistem trs tipos de polticas: Regulatria, Consultiva e Informativa.3.4.1 RegulatriaFerreira (2003, p.34), afirma que polticas regulatrias so implementadas devido snecessidades legais que so impostas organizao. Normalmente so muito especficas para 44. um tipo de ramo de atividade.Uma poltica regulatria definida como se fosse uma srie de especificaes legais.Descreve, com grande riqueza de detalhes, o que deve ser feito, quem deve fazer e forneceralgum tipo de parecer, relatando qual ao importante.Deve assegurar que a organizao esta seguindo os procedimentos e normas para seuramo de atuao, provendo conforto para a organizao na execuo de suas atividades, poisesto seguindo os requisitos legais necessrios para o seu ramo de atividade.3.4.2 Consultiva.Polticas consultivas no so obrigatrias, mas muito recomendadas. As organizaesdevem conscientizar seus funcionrios a considerar este tipo de poltica como se fosseobrigatria.A poltica consultiva apenas sugere quais aes ou mtodos devem ser utilizados paraa realizao de uma tarefa. A idia principal esclarecer as atividades cotidianas do dia a diada empresa de maneira bastante direta.Deve-se considerar que importante que os usurios conheam essas aes pararealizao de suas tarefas para que possam ser evitados riscos do no cumprimento dasmesmas, tais como: Possibilidade de omisso de informaes importantes para tomada de decisescrticas aos negcios da organizao; Falhas no processo de comunicao com a alta administrao; Perda de prazos de compromissos importantes para os negcios da organizao. 45. 3.4.3 InformativaEste tipo de poltica possui carter apenas informativo, nenhuma ao desejada e noexistem riscos, caso no seja cumprida. Porm, tambm pode contemplar uma srie deobservaes importantes, bem como advertncias severas.Por exemplo, a poltica pode ressaltar que o uso de um determinado sistema restrito apessoas autorizadas e qualquer funcionrio que realizar algum tipo de violao serpenalizado. Nesta sentena no so informados quais funcionrios esto autorizados, mas estedeterminando severas conseqncias para quem desrespeit-la.3.5 CONCLUSO DO CAPTULOCom o nmero crescente de incidentes de segurana, a informao precisa, cada vezmais estar protegida, de modo que medidas de segurana precisam ser implementadas paraassegurar e garantir a segurana da informao.Dentre as medidas de segurana implantadas pelas organizaes est a poltica desegurana da informao que tem por objetivo definir procedimentos, normas, ferramentas eresponsabilidades para garantir o controle e a segurana da informao na empresa.Uma poltica de segurana deve ser definida de acordo com os objetivos do negcio daempresa, sendo que os executivos devem participar de seu planejamento, para que possa seraceita por eles, lembrando que sua implementao e sucesso tambm depender de suadivulgao para todos os funcionrios.Existem vrios obstculos quando o assunto a segurana da informao, porm aimplementao de medidas de segurana como uma poltica de segurana da informao, fazcom que todos percebam a necessidade de segurana da informao para a organizao. 46. 4 HISTRICO DA SOCIESCA Sociedade Educacional de Santa Catarina, na poca Escola Tcnica Tupy foifundada no ano de 1959 pelo ento presidente da Fundio Tupy, Hans Dieter Schmidt, com ointuito de formar mo-de-obra especializada que estava em falta justamente da poca daexploso industrial no Brasil.Para o aperfeioamento profissional, foi aprovado um projeto de 1 milho de DM(Marcos alemes) acordado entre o Brasil e a Alemanha em 1967. Nesse acordo juntamentecom mquinas vieram especialistas para aplicar novas tecnologias, eles ficaram na EscolaTcnica Tupy durante trs anos implementando tcnica, conhecimento, tradio e cultura deum modelo educacional europeu baseado em valores como: seriedade, competncia, tica ecidadania. Alm disso, engenheiros oriundos da Fundio Tupy e professores especializadosfizeram parte do corpo docente. Era a Sociedade Educacional Tupy que nascia para ocrescimento da comunidade.Ultrapassando as fronteiras de Joinville, Santa Catarina e do Brasil a Escola TcnicaTupy cresceu, contribuindo na formao de profissionais para vrias empresas, e em 1985 aSociedade Educacional Tupy passou a ser a Sociedade Educacional de Santa Catarina -SOCIESC, desta vez dirigida por um conselho formado pelos presidentes das principaisempresas de Joinville.Atualmente a SOCIESC mantenedora das seguintes entidades: Colgio Tupy - COT - ensino fundamental e mdio; Escola Tcnica Tupy - ETT - ensino tcnico; Instituto Superior Tupy - IST - ensino superior e ps-graduao; 47. Capacitao Empresarial - SCE - cursos de extenso e ps-graduao; Servios de Engenharia - SSE - servios de fundio, tratamento trmico;ferramentaria e laboratrios de materiais e metrologia.Sendo que tem sua matriz em Joinville com filiais nas seguintes cidades: So Bento doSul (SC), Curitiba (PR), Florianpolis (SC) e Apucarana (PR).Abaixo, na tabela 4.1, a realidade atual da SOCIESC referente ao nmero defuncionrios em cada uma das unidades.Tabela 4.1 - Quadro de funcionrios da SociescUnidade FuncionriosJoinville 567So Bento do Sul 27Florianpolis 37Curitiba 30Apucarana 12Total 673Fonte: RH da SOCIESCA seguir, na tabela 4.2, o do nmero de alunos matriculados na SOCIESC at agostode 2004, pode-se perceber que o nmero total de alunos bastante elevado, sendo o maiornmero de alunos esta em Joinville, isto se deve ao fato de estar 45 anos atuando nacomunidade tendo o devido reconhecimento do seu trabalho nas empresas e famlias daregio. As outras unidades esto crescendo nas comunidades em que esto inseridas e comgrande reconhecimento das empresas de suas cidades. 48. Tabela 4.2 - Alunos matriculados at agosto de 2004Nmero de AlunosUnidades EnsinoFundamentalEnsinoMdioEnsinoTcnicoEnsinoSuperiorPsGraduaoJoinville 404 1679 1544 2045 680So Bento do Sul 0 221 231 59 51Florianpolis 0 16 16 554 0Curitiba 0 0 215 0 0Apucarana 0 0 131 0 0Total 404 1916 2137 2658 782Fonte: Secretaria da SOCIESC4.1 VISO, MISSO E VALORES DA SOCIESCViso: Ser um centro de excelncia e referncia em educao e tecnologia.Misso: Contribuir para o desenvolvimento humano e da comunidade atravs daeducao e tecnologia.Valores Compartilhados: Crescimento e reconhecimento: crescer de forma significativa e sustentada, tendocomo base o reconhecimento da comunidade onde est inserida (ser reconhecidacomo bem social). Responsabilidade social: atuar na Educao, Cultura e Conscincia Ecolgica paraa tica e sustentabilidade, sob uma viso sistmica do homem e da sua relao com 49. a natureza. Valorizao das pessoas: valorizar o crescimento do ser humano, despertando ostalentos e criando um ambiente que favorea a participao e o exerccio daindividualidade comprometido com a comunidade.Em anexo o Organograma atual da SOCIESC (anexo I), mostrando a estruturahierrquica da instituio.4.2 HISTRIA DA EQUIPE DE TI NA SOCIESCA histria da rea de TI na SOCIESC iniciou no ano de 1996, com a criao de umprojeto de rede para ligar os departamentos e os laboratrios de informtica, sendo que paraisto foi contratada uma empresa externa. Os primeiros laboratrios em rede estavamlocalizados no bloco P e sala M7. At a ainda no havia uma equipe de TI, apenas umaequipe responsvel pela criao e manuteno de sistemas internos. A primeira rede possuaWindows NT 3.51 for WorkGroups nas estaes e um servidor de arquivos Novel.Neste ano tambm foi feita a instalao do sistema Magnus para controle eadministrao da SOCIESC.1997Houve a contratao de funcionrios para administrar a rede recm criada, atuandojunto com os dois funcionrios que j estavam na administrao da rede. Neste mesmo ano foicontratado um profissional para manuteno de hardware e alguns estagirios para suporte aosusurios. Comeou assim o que chamamos hoje de equipe de Apoio a TI. 50. Expanso da rede para o bloco N, sala M6, bloco F e iniciou-se a instalao darede nos departamentos. Instalao dos primeiros servidores Windows NT 4.0 Server e estaesWindows NT 4.0 Workstation. A rea de TI estava ligada diretamente direo. Neste ano todos os departamentos foram interligados em rede.1998Por meio da contratao de um funcionrio para dar suporte aos usurios, juntamentecom um funcionrio j contratado no ano anterior e alguns estagirios, iniciou-se a primeiraequipe de suporte, no qual era responsvel pelo suporte a rede, hardware e software. Amanuteno aos sistemas internos continuava a cargo da equipe de sistemas.1999Iniciou-se uma migrao dos servidores Windows para Linux. O primeiro a sersubstitudo foram os servidores de correio eletrnico e DNS e logo aps o Firewall passou aser Linux. Neste ano todos os departamentos foram interligados em rede. Aumento da equipe de suporte com a contratao de mais funcionrios. Contratao de mais funcionrios para a administrao da rede. rea de TI recebeu status de departamento e passou a ter um coordenador.2000Os funcionrios da rea de administrao de rede foram transferidos para a rea deensino e os funcionrios contratados no ano anterior passaram a administrar a rede. Iniciou-se um projeto de implantao de Linux para as estaes em laboratrios. 51. Todos os projetos de rede passam a ser desenvolvidos pelo prprio departamento. Mais dois servidores passaram a utilizar Linux como sistema operacional. Instalao de Linux em mais da metade dos laboratrios. Em 2000, havia trs reas distintas: suporte, administrao da rede e sistemas,todas subordinadas ao coordenador da rea e este subordinado ao setoradministrativo/financeiro. Implantao de um novo sistema acadmico em substituio aos sistemasdesenvolvidos internamente. Aquisio de novos servidores Criada a Unidade da SOCIESC em So Bento do Sul com rede prpria, semcomunicao com Joinville2001 Iniciada uma parceria com a FUNCITEC/UFSC, para disponibilizao de um novolink de acesso internet.2002 Unio das reas de suporte, administrao da rede e sistemas, tornando apenas umaequipe, chamada de equipe de informtica. Administrao da rede e sistemaspassaram a trabalhar em uma mesma sala. Criada a Unidade da SOCIESC em Curitiba, com rede prpria. Inicia-se um projeto de substituio do ERP. Inicia-se um projeto para substituio do sistema acadmico. Inicia-se um projeto de interligao de rede das unidades de Joinville, So Bentodo Sul e Curitiba. A equipe de informtica passa a ser conhecida como Apoio a TI. 52. Implantao do primeiro Help Desk. O departamento passa a ser subordinado a diretoria administrativa.2003 Instalao do primeiro Backbone Gigabit. Iniciado um projeto de reestruturao da rede. Iniciada a implantao do novo ERP. Iniciada a implantao do novo sistema acadmico. H uma diminuio da equipe de informtica.2004 Implantao total do ERP Logix Implantao total do Sistema Acadmico WAE Todas as unidades esto totalmente interligadas voz e dados.4.3 EQUIPE DE TI DA SOCIESCA Equipe de TI da SOCIESC dividida em 3 reas principais: Administrao de Rede: Criao e administrao de contas de usurios (login, e-mail e etc.). Instalao e Manuteno dos servidores, controle de trfego de rede eequipamentos ativos da Rede, controle dos dados dos usurios (backup, cotas eetc.) Sistemas: Administrao dos Bancos de Dados e Sistemas (Acadmico,especficos, ERP e etc.) suporte aos usurios, criao de contas de usurios,pequenas otimizaes e etc. 53. Suporte: Servio de Help Desk, instalao e manuteno da rede, instalao emanuteno de laboratrios etc.Atualmente a equipe de TI da SOCIESC obedece ao organograma mostrado na figura4.1, sendo dividida em trs reas de responsabilidade de um coordenador. A equipe de TIatende toda a estrutura de informtica da SOCIESC, tanto no que diz respeito rea deensino, com os laboratrios de informtica, quanto aos departamentos administrativos e deservios.Figura 4.1 - Organograma Funcionrios da rea de TIFonte : Departamento de TI da SOCIESC4.4 DEFINIAO DA ESTRUTURA DE INFORMTICAAps a apresentao do histrico da SOCIESC ser realizado um modelo de Polticade Segurana da Informao, porm, antes da criao deste modelo importante aapresentao da estrutura de informtica de forma mais detalhada, bem como, dasdificuldades enfrentadas para garantia da segurana da informao e do bom funcionamentoda estrutura de informtica da SOCIESC.COORDENADORSISTEMAS ADM. DE REDE SUPORTE 54. A estrutura de informtica da SOCIESC, em Joinville, composta por 18 servidoresna unidade de Joinville, conforme anexo II, sendo servidores de Internet, E-mail, Banco deDados, Arquivos, Proxy, entre outros.Existem contas de usurios da rede de computadores para o domnio Ensino, utilizadapelos alunos e professores nos laboratrios de informtica, aproximadamente 6800 contas. Ascontas de usurios do domnio SOCIESC, so contas utilizadas por funcionrios efetivos,estagirios e alunos colaboradores3, aproximadamente 600 contas.As estaes de trabalho da rede de computadores na unidade de Joinville, que fazemparte do domnio ENSINO, esto localizadas em laboratrios de informtica com, em mdia,21 computadores, totalizando 550 computadores nos laboratrios, estes laboratrios soutilizados por alunos e professores dos cursos tcnicos da Escola Tcnica Tupy, do ensinofundamental e mdio do Colgio Tupy, dos cursos superiores do Instituto Superior Tupy e doscursos oferecidos pela Capacitao Empresarial.As estaes de trabalho do domnio SOCIESC esto localizadas em cadadepartamento, dependendo o nmero de funcionrios de cada departamento, existem 280computadores que fazem parte do domnio SOCIESC.A SOCIESC possui sistema de administrao acadmica o WAE desenvolvido pelaWISE Consultoria, utiliza banco de dados Oracle, nele so armazenadas todas as informaesacadmicas dos alunos, acessado por professores para digitao de notas e emisso derelatrios atravs de seu mdulo para Internet. acessado tambm por funcionrios dasecretaria para cadastros gerais e emisso de documentos, como: diplomas, certificados,boletim escolar.3Alunos colaboradores so alunos que ainda esto estudando na SOCIESC, porm recebem uma bolsa deestudos para trabalhar em reas diversas como: secretaria, financeiro, biblioteca, auxiliando os colaboradores daSOCIESC em funes administrativas. 55. O ERP o Logix desenvolvido pela Logocenter utilizado pelos setoresadministrativos, para fazer solicitaes de compra, controle de despesas, cadastramento dosfuncionrios, entre outros.Conhecendo melhor a estrutura de informtica da SOCIESC os itens tratados naPoltica de Segurana da Informao devem abranger situaes dentro desta estrutura,considerando os usurios destes sistemas ou rede de computadores.As informaes que esto dentro da estrutura da SOCIESC podem ser apresentadas dediversas formas, sendo elas: arquivos eletrnicos armazenados nos servidores, informaes nosistema de notas, registros de notas e freqncia em dirios de classe, informaes que podemser acessadas no ERP, entre outras. Independente da forma que a informao ser acessadapelo usurio ela deve obedecer aos princpios de segurana da informao garantindo aintegridade, confidencialidade, autenticidade e disponibilidade das informaes.4.5 CONCLUSO DO CAPTULO de grande importncia a criao de regras e padres que possam esclarecer aosusurios da rede de computadores da SOCIESC procedimentos e aes que no devemacontecer ou que devem ser monitoradas para garantia da segurana da informao.Como mostrado no decorrer deste captulo a estrutura de informtica da SOCIESCpossui um nmero bastante elevado de computadores, usurios e recursos de informtica paraserem gerenciados, importante a existncia de uma poltica de segurana para que todos osusurios dos recursos de informtica tenham conhecimento de suas responsabilidade, podendoassim auxiliar na segurana da informao de toda a instituio. 56. A SOCIESC uma Instituio de Ensino com um grande nmero de alunos e umnmero bastante elevado de funcionrios, ser criado um modelo de poltica de seguranapara Instituies de Ensino usando como referencia a SOCIESC. 57. 5 POLTICA DE SEGURANA PARA INSTITUIO DE ENSINOQuando falamos em uma Instituio de Ensino devemos lembrar que existem algumasparticularidades em comparao a uma empresa, principalmente relacionada s pessoas quefazem parte de uma empresa ou em uma Instituio de Ensino.Em Instituies de Ensino alm do funcionrio, temos tambm a pessoa do aluno quefreqenta as dependncias das Instituies, assistindo suas aulas, sendo que durante estesmomentos estar utilizando os recursos disponveis e acessando informaes das Instituiesde Ensino a qual pertence. Em algumas Instituies pode existir ainda a pessoa do alunobolsista, aquele aluno que estuda na Instituio, porm no perodo em que no esta em sala deaula ele trabalha em algum departamento da prpria Instituio.Uma Poltica de Segurana voltada para Instituies de Ensino deve ser criada deforma a estabelecer regras a serem seguidas por todos os usurios dos recursos de informticade maneira que todos sejam envolvidos e conscientizados da importncia da segurana dasinformaes da Instituio.Para criao do modelo de poltica de segurana apresentado neste estudo foramutilizadas algumas informaes como: A norma NBR ISO 17799 como referncia, sendo que esta norma o cdigo deprtica para a gesto da segurana da informao; Informaes sobre a estrutura de informtica da SOCIESC e necessidades deabrangncia da poltica foram buscadas junto a equipe de TI da SOCIESC, conformequestionrio em anexo (anexo III); Alguns modelos de poltica de segurana foram consultados como: 58. o Poltica de segurana e utilizao dos recursos de rede da FURB (FundaoUniversidade Regional de Blumenau);o Poltica de Administrao de Contas UFRGS (Universidade Federal doRio Grande do Sul);o Modelo de Poltica de Segurana, NIC BR Security Office, entre outros.Atualmente na SOCIESC no existe nenhuma poltica de segurana que estejaimplantada e seguida por todos os funcionrios, existe um procedimento para utilizao deNotebooks e Palm-Tops particulares na rede SOCIESC e um termo de compromisso que apessoa que estiver utilizando estes equipamentos deve preencher, estes documentos esto noanexo (anexo IV e anexo V), estes arquivos foram elaborados pela equipe de TI da SOCIESCe esto disponveis ao acesso de todos os funcionrios atravs do ISODOC (software paracontrole de documentos).5.1 OBJETIVOS DA POLTICA DE SEGURANAO objetivo garantir que os recursos de informtica e a informao estaro sendousados de maneira adequada. O usurio deve conhecer regras para utilizao da informaode maneira segura, evitando expor qualquer informao que possa prejudicar a Instituio deEnsino, os funcionrios ou alunos.Tem por objetivo, tambm, prestar aos funcionrios servios de rede de alta qualidadee ao mesmo tempo desenvolver um comportamento extremamente tico e profissional, deforma a evitar falhas de segurana que possam impossibilitar o acesso s informaes, sendoque as aes da equipe de TI no que diz respeito a manuteno de recursos de informticapossam ser justificadas com as regras estabelecidas na poltica. Ex.: a desativao e uma contaque tenha violado as regras da poltica de utilizao de contas. 59. Deve fornecer ao funcionrio informaes suficientes para saber se os procedimentosdescritos na poltica so aplicveis a ele ou no, utilizando linguagem simples e de fcilentendimento por todos.Assim, para assegurar os altos padres de qualidade na prestao desses servios, faz-se necessria a especificao de uma poltica de segurana da informao, visando esclareceraos usurios a importncia da proteo da informao e definindo normas e procedimentospara a utilizao da rede, e conseqentemente da informao que nela trafega.A Poltica deve implementar controles para preservar os interesses dos funcionrios,clientes e demais parceiros contra danos que possam acontecer devido a falha de segurana,deve-se descrever as normas de utilizao e atividades que possa ser consideradas comoviolao ao uso dos servios e recursos, os quais so considerados proibidos.Pode-se definir como servios e recursos os equipamentos utilizados pelosfuncionrios e alunos tais como: computadores, e-mails, acesso a Internet, informao emdiretrios da rede e afins.As normas descritas no decorrer devem sofrer alteraes sempre que necessrio, sendoque qualquer modificao deve ser registrada e divulgada, se existir necessidade de mudanano ambiente deve-se solicitar com tempo hbil para que as providencias necessrias sejamtomadas.Tais normas so fornecidas, a ttulo de orientao dos funcionrios, alunos e demaisenvolvidos. Em caso de dvida o usurio dever procurar a equipe de segurana visandoesclarecimentos.Caso os procedimentos ou normas aqui estabelecidos sejam violados os usuriospodero sofrer punies que sero esclarecidas e detalhadas durante este documento.Esta poltica aplica-se a todos os usurios dos sistemas ou computadores da redeSOCIESC, sendo eles: funcionrios, estagirios, alunos colaboradores, terceiros ou visitantes, 60. alunos de toda a SOCIESC (Colgio Tupy, Escola Tcnica Tupy, Instituto Superior Tupy eCapacitao Empresarial).Todos os usurios dos sistemas ou computadores desempenham um papel essencial deapoio efetivo para que a poltica de segurana possa ser adotada por toda a organizao.Deve-se assegurar que todos os usurios estejam conscientes da importncia de cumprir asdefinies estabelecidas na poltica para garantir a segurana das informaes acessadas portodos.Todos devem estar cientes dos procedimentos de segurana, ter conhecimento dapoltica, se necessrio, devem receber treinamentos de como fazer uso correto dasinformaes que nela esto definidas.A poltica de segurana ser dividida em polticas de segurana da estrutura deinformtica e poltica de segurana fsica. A primeira estar sendo dividida em outraspolticas, como rede, e-mail, Internet, senhas, entre outras. A poltica de segurana fsica irabordar o acesso a laboratrios, departamentos, segurana de equipamentos, documentosarmazenados fisicamente, entre outros itens. Dentro de cada uma destas divises sero criadasregras gerais, que podem ser aplicadas a todos, se existirem regras especificas parafuncionrios, alunos ou alunos colaboradores sero criadas divises paras estas regras.A seguir, ser detalhada a poltica de segurana e informa-se que tudo o que no forpermitido e/ou liberado considerado violao Poltica e passvel de punio.5.2 POLTICA DE SEGURANA DA ESTRUTURA DE INFORMTICAA Poltica de Segurana da estrutura de informtica abrange itens relacionados asegurana da informao relacionada a utilizao desta estrutura, ser contemplada: poltica 61. de utilizao da rede, administrao de contas, senhas, e-mail, acesso a Internet, uso dasestaes de trabalho, utilizao de impressoras.5.2.1 Poltica de Utilizao da RedeEsse tpico visa definir as normas de utilizao da rede que abrange o login,manuteno de arquivos no servidor e tentativas no autorizadas de acesso. Estes itens estarosendo abordados para todos os usurios dos sistemas e da rede de computadores da SOCIESC.5.2.1.1 Regras Gerais No so permitidas tentativas de obter acesso no autorizado, tais como tentativasde fraudar autenticao de usurio ou segurana de qualquer servidor, rede ou conta (tambmconhecido como cracking4). Isso inclui acesso aos dados no disponveis para o usurio,conectar-se a servidor ou conta cujo acesso no seja expressamente autorizado ao usurio oucolocar prova a segurana de outras redes; No so permitidas tentativas de interferir nos servios de qualquer outro usurio,servidor ou rede. Isso inclui ataques, tentativas de provocar congestionamento em redes,tentativas deliberadas de sobrecarregar um servidor e tentativas de "quebrar" (invadir) umservidor;4Cracking o nome dado a aes de modificaes no funcionamento de um sistema, de maneira geralmenteilegal, para que determinados usurios ganhem algo com isso. 62. Antes de ausentar-se do seu local de trabalho, o usurio dever fechar todos osprogramas em uso, evitando, desta maneira, o acesso por pessoas no autorizadas, se possvelefetuar o logout/logoff da rede ou bloqueio do computador atravs de senha; O usurio deve fazer manuteno no diretrio pessoal, evitando acmulo dearquivos desnecessrios; Material de natureza pornogrfica e racista no pode ser exposto, armazenado,distribudo, editado ou gravado atravs do uso dos recursos computacionais da rede; Jogos ou qualquer tipo de software/aplicativo no pode ser gravado ou instalado nodiretrio pessoal do usurio, no computador local e em qualquer outro diretrio da rede,podem ser utilizados apenas os softwares previamente instalados no computador; No permitido criar e/ou remover arquivos fora da rea alocada ao usurio e/ouque venham a comprometer o desempenho e funcionamento dos sistemas. As reas dearmazenamento de arquivos so designadas conforme mostra a tabela 5.1.Tabela 5.1 - Compartilhamento das reas de armazenamento de arquivosCompartilhamento UtilizaoDiretrio Pessoal (F:) Arquivos Pessoais de responsabilidade do usurio donodeste diretrio pessoalDiretrios departamentais Arquivos do departamento em que trabalhaDiretrio pblico Arquivos temporrios ou de compartilhamento geral,para todos os alunos, por exemplo.Fonte: Departamento de TI da SOCIESC.Em alguns casos pode haver mais de um compartilhamento referente aos arquivos dodepartamento em qual faz parte. 63. A pasta PBLICA ou similar, no dever ser utilizada para armazenamento dearquivos que contenham assuntos sigilosos ou de natureza sensvel, devem ser armazenadasapenas informaes comuns a todos; Haver limpeza semestral dos arquivos armazenados na pasta PBLICO ousimilar, para que no haja acmulo desnecessrio de arquivos; proibida a instalao ou remoo de softwares que no forem devidamenteacompanhadas pelo departamento tcnico, atravs de solicitao escrita que serdisponibilizada, e deve conter autorizao do coordenador da rea do solicitante; No so permitidas alteraes das configuraes de rede e inicializao dasmquinas bem como modificaes que possam trazer algum problema futuro; Quanto a utilizao de equipamentos de informtica particulares, computadores,impressoras, entre outros, a SOCIESC no fornecer acessrios, software ou suporte tcnicopara computadores pessoais de particulares, incluindo assistncia para recuperar perda dedados, decorrentes de falha humana, ou pelo mau funcionamento do equipamento ou dosoftware; O acesso a sistemas, como sistema acadmico (WAE), deve ser controlado pelaidentificao do usurio e pelas senhas designadas para usurios autorizados, as senhascompartilhadas devem ser excepcionais e autorizadas pela equipe tcnica.5.2.1.2 Regras para funcionrios obrigatrio armazenar os arquivos inerentes empresa no servidor de arquivospara garantir a cpia de segurana dos mesmos; 64. proibida a abertura de computadores para qualquer tipo de reparo, seja isto feitoem departamentos ou laboratrios de informtica, caso seja necessrio o reparo dever ocorrerpelo departamento tcnico; Quanto utilizao de equipamentos de informtica particulares o funcionriodever comunicar a coordenao de seu departamento; Quando um funcionrio transferido entre departamentos, o coordenador quetransferiu deve certificar-se de que todos os direitos de acesso aos sistemas e outros controlesde segurana ainda sero necessrios na sua nova funo e informar a equipe de TI qualquermodificao necessria; Quando ocorrer a demisso do funcionrio, o coordenador responsvel deveinformar a equipe tcnica para providenciar a desativao dos acessos do usurio qualquerrecurso da rede. Deve-se verificar a necessidade de troca de senhas de contas de uso comumao departamento, evitando o acesso s informaes.5.2.1.3 Regras para alunos apagado o contedo das contas de usurio do domnio ensino semestralmente,portanto o aluno ou professor que desejar manter suas informaes deve providenciar a cpiados arquivos sempre ao final do semestre.Quanto a utilizao de equipamentos de informtica particulares o aluno devercomunicar a coordenao de ensino responsvel. 65. 5.2.1.4 Regras para alunos colaboradoresO acesso as informaes feito atravs da conta criada pela equipe de seguranaatravs de solicitao do coordenador responsvel. Se no existir necessidade o alunocolaborador ou estagirio pode no ter conta de acesso a rede de computadores.O acesso a diretrios ou compartilhamentos dos departamentos deve ser fornecidosomente em caso de necessidade de acesso.5.2.2 Poltica de Administrao de contasEste tpico visa definir as normas de administrao das contas que abrange: criao,manuteno e desativao da conta. Esta poltica ser dividida por usurios para facilitar oentendimento de todos.5.2.2.1 Regras GeraisDesativao da conta: reservado o direito de desativar uma conta de usurio, por parte da equipe desegurana da SOCIESC, caso verifique-se a ocorrncia de algum dos critrios abaixoespecificados:o Incidentes suspeitos de quebra de segurana nas contas dos usurios;o Reincidncia na quebra de senhas por programas utilizados pela equipe desegurana; 66. 5.2.2.2 Regras para FuncionriosTodo funcionrio da SOCIESC poder ter uma conta para acesso aos recursos da redede computadores da SOCIESC, os acessos a demais sistemas devem ser informados pelocoordenador da rea no momento da solicitao da conta do usurio. Para solicitao da contapara novos funcionrios os coordenadores devem proceder da maneira explicada abaixo.Criao de contas: Todo funcionrio pode obter uma conta de acesso a rede de computadores daSOCIESC, para isto:o O coordenador de departamento a que o funcionrio pertence dever fazeruma solicitao da criao da conta;o Esta solicitao deve ser feita atravs de e-mail para a equipe de segurana;o Deve-se informar o nmero da matrcula do funcionrio, assim como osacessos que sero necessrios para este usurio;o Os principais itens a serem informados referente aos acessos permitidos aosusurios so: ser uma conta para acesso ao domnio SOCIESC, precisarde acesso ao domnio ensino, acesso ao sistema de ERP, acesso ao sistemaacadmico, criao da conta de email.o A equipe de segurana retornar para a coordenao de departamento asinformaes sobre a conta criada.Manuteno da conta: Cada funcionrio que tiver sua conta criada ter um espao no servidor para gravarseus arquivos pessoais, feita cpia de segurana dos arquivos do servidor do domnioSOCIESC diariamente; 67. As contas que funcionrios tenham no domnio ENSINO, utilizadas emlaboratrios, no feito cpia de segurana, portanto o prprio usurio deve fazer copia desegurana dos arquivos que julgar necessrio; A manuteno dos arquivos na conta pessoal de responsabilidade do usurio,sendo que o mes