FACULDADE MATER DEI CURSO DE BACHARELADO EM SISTEMAS DE INFORMAO

SEGURANA DA INFORMAO: DESENVOLVIMENTO E IMPLANTAO DE UMA POLTICA DE SEGURANA EM UMA SOFTWARE HOUSE

DIANY BETT

PATO BRANCO - PR 2012

DIANY BETT

SEGURANA DA INFORMAO: DESENVOLVIMENTO E IMPLANTAO DE UMA POLTICA DE SEGURANA EM UMA SOFTWARE HOUSE

Monografia

apresentada

ao

Curso

de

Bacharelado em Sistemas de Informao como requisito parcial obteno do ttulo de Bacharel em Sistemas de Informao.

Orientador: Prof. Librio de Oliveira Jnior

PATO BRANCO - PR 2012

Primeiramente a Deus, a minha famlia, ao meu namorado, ao meu orientador Prof. Librio de Oliveira Jnior e ao Jack.

Tudo deve ser proibido a menos que expressamente permitido. NBR ISO/IEC 17799 (2005)

SUMRIO

LISTA DE FIGURAS ........................................................................................................ 6 LISTA DE QUADROS ...................................................................................................... 7 LISTA DE GRFICOS ..................................................................................................... 8 LISTA DE ABREVIATURAS ............................................................................................ 9 RESUMO........................................................................................................................ 10 INTRODUO ............................................................................................................... 11 CAPTULO I ................................................................................................................... 13 CARACTERSTICAS DO TRABALHO .......................................................................... 13 1.1 JUSTIFICATIVA ....................................................................................................... 13 1.2 OBJETIVOS ............................................................................................................. 13 1.2.1 Objetivo Geral ....................................................................................................... 13 1.2.2 Objetivos Especficos ............................................................................................ 14 1.3 METODOLOGIA ..................................................................................................... 14 CAPTULO II .................................................................................................................. 15 DOMNIO DA APLICAO ........................................................................................... 15 2.1 SEGURANA .......................................................................................................... 15 2.2 SEGURANA DA INFORMAO .......................................................................... 16 2.3 ATIVOS DE INFORMAO .................................................................................... 17 2.3.1 Informaes........................................................................................................... 18 2.3.2 Software e Hardware ............................................................................................. 19 2.3.3 Usurios ................................................................................................................ 19 2.4 INCIDENTES DE SEGURANA .............................................................................. 19 2.4.1 Ameaas ............................................................................................................... 20 2.4.2 Vulnerabilidade ...................................................................................................... 20 2.4.3 Ataques ................................................................................................................. 21 2.4.4 Impacto.................................................................................................................. 21 2.4.5 Controle ................................................................................................................. 21 2.5 CAMADAS ............................................................................................................... 22 2.5.1 Camada fsica ....................................................................................................... 22 2.5.2 Camada lgica ...................................................................................................... 24 2.5.3 Camada humana ................................................................................................... 26 2.7 POLTICA DE SEGURANA DA INFORMAO ................................................... 29 2.6.1 Etapas de desenvolvimento de uma Poltica de Segurana.................................. 30 2.6.2 Treinamento, publicao e divulgao .................................................................. 32 2.8 METODOLOGIAS E MELHORES PRTICAS EM SEGURANA DA INFORMAO ............................................................................................................... 33 2.8.1 CobiT Control Objectives for Information and Related Technology .................... 33 2.8.2 NBR ISO/IEC 27002 .............................................................................................. 36 2.8.3 ITIL ........................................................................................................................ 38 CAPTULO III ................................................................................................................. 41 METODOLOGIA ............................................................................................................ 41 3.1 PROCESSO DE DESENVOLVIMENTO DA PESQUISA......................................... 41

3.1.1 Primeira Fase Levantamento de Informaes .................................................... 42 3.1.2 Segunda Fase Desenvolvimento do Contedo da Poltica e Normas de Segurana ...................................................................................................................... 42 3.1.3 Terceira Fase Elaborao dos Procedimentos de Segurana da Informao .... 43 3.1.4 Quarta Fase Reviso, Aprovao e Implantao das Polticas, Normas e Procedimentos de Segurana da Informao. ............................................................... 43 CAPTULO IV................................................................................................................. 45 RESULTADOS ............................................................................................................... 45 4.1 Resultados da Primeira Fase Levantamento de Informaes ......................... 45 4.2 Resultados da Segunda Fase Desenvolvimento do Contedo da Poltica e Normas de Segurana ................................................................................................. 46 4.3 Resultados da Terceira Fase Elaborao dos Procedimentos de Segurana da Informao ............................................................................................................... 49 4.3.1 Seleo da Metodologia ........................................................................................ 50 4.4 Resultados da Quarta Fase Reviso, Aprovao e Implantao das Polticas, Normas e Procedimentos de Segurana da Informao .......................................... 50 CONSIDERAES FINAIS ........................................................................................... 54 REFERNCIAS .............................................................................................................. 55 ANEXO I......................................................................................................................... 58 APNDICE I ................................................................................................................... 59 APNDICE II .................................................................................................................. 67 AUTORIZAO ............................................................................................................. 69 ENTREVISTA I ............................................................................................................... 70 ENTREVISTA II .............................................................................................................. 71

LISTA DE FIGURAS

Figura 1 - Elementos da Comunicao ................................................................15 Figura 2 - Ativos de Informao ...........................................................................17 Figura 3 - Representao da diviso da segurana em camadas. ......................22 Figura 4 - CobiT 4.1 ..............................................................................................34

LISTA DE QUADROS

Quadro 1 - Fase 1: Levantamento de Informaes ..............................................30 Quadro 2 - Fase 2: Desenvolvimento do Contedo da Poltica ...........................31 Quadro 3 - Fase 3: Elaborao dos procedimentos de segurana da informao ..............................................................................................................................32 Quadro 4 - Fase 4: Reviso, aprovao e implantao da poltica de segurana ..............................................................................................................................32 Quadro 5 - Processos de suporte de servios do ITIL. ........................................40 Quadro 6 - Processos de entrega de servios do ITIL. ........................................40 Quadro 7 - Inventrio dos ativos de informao ...................................................47 Quadro 8 - Anlise de metodologias ....................................................................50

LISTA DE GRFICOS

Grfico 1 Andamento Implantao Processos ...............................................51 Grfico 2 Andamento Implantao Pessoas ..................................................52 Grfico 3 Andamento Implantao Ferramentas............................................53

LISTA DE ABREVIATURAS

ABNT CD CIA CSO COBIT DMZ FTP HD IEC ISACA ISO ITIL MPS.BR OGC PM RISI SEBRAE TI TUSI UPS VPN

Associao Brasileira de Normas Tcnicas Do ingls, Compact Disk Do ingls, Confidentiality, Integrity and Availability Do ingls, Chief Security Officer Do ingls, Control Objectives for Information and related Technology Do ingls, Demilitarized Zone Do ingls, File Transfer Protocol Do ingls, Hard Disk Do ingls, International Electrotechnical Commission Do ingls, Information Systems Audit and Control Association Do ingls, International Organization for Standardization Do ingls, Information Technology Infrastructure Library Melhoria de processos do Software Brasileiro Do ingls, Office of Government Commerce Do ingls, Project Management Regulamento interno Segurana da Informao Servio Brasileiro de Apoio a Micro e Pequenas Empresas Tecnologia da Informao Termo de uso dos Sistemas de Informao Do ingls, Uninterruptible Power Supply Do ingls, Virtual Private Network

RESUMO

A Segurana da Informao de grande importncia para as organizaes, bem como seu sigilo. As informaes podem estar disponibilizadas em diferentes formatos, os quais todos requerem determinadas formas de proteo. Diante disso, este trabalho apresenta uma pesquisa bibliogrfica a respeito das melhores prticas de segurana da informao. As metodologias ITIL, CobiT e NBR ISO/IEC 27002, foram analisadas com base nos critrios, tais como: capacidade de atender ao processo da empresa e compreenso / facilidade de aplicao, estes, definidos pela empresa Econtabil Software, na qual foi realizado o estudo de caso. Em seguida foi relatado o processo de aplicao da mesma junto empresa, descrevendo os resultados encontrados e justificando a importncia da utilizao de uma Poltica de Segurana.

INTRODUO

A informao est presente diariamente em nossa vida. Em diferentes momentos pode ser confidencial ou no, porm, o interesse com a segurana da informao aumenta conforme o valor que essa informao possui, causando assim uma grande dependncia das organizaes para com a informao a fim de garantir sua sobrevivncia. A segurana da Informao visa proteger a informao de forma que assegure a continuidade dos negcios, minimizando os prejuzos e maximizando retorno de investimentos e oportunidades de negcios. A segurana da informao possui trs principais princpios, os quais so conhecidos como Trade CIA Confidentiality, Integrity and Availability,

confidencialidade, integridade e disponibilidade. Estes princpios so bsicos e fundamentais para a segurana da informao, pois seja qual for a forma que as informaes podem estar disponibilizadas, elas devem estar seguras. Atualmente existem algumas metodologias na gesto de TI Tecnologia da informao, tais como: COBIT Control Objectives for Information and related Technology, ISO International Organization for Standardization e o ITIL Information Technology Infrastructure Library. O principal objetivo das metodologias apresentar formas de gesto de TI, cada uma com suas particularidades, mas todas voltadas a elaborao de uma poltica de segurana levando a padronizao e organizao de uma empresa. Uma Poltica de segurana composta por um conjunto de regras e padres sobre o que deve ser feito para assegurar que as informaes e servios importantes para a empresa recebam a proteo conveniente, de modo a garantir sua confidencialidade, integridade e disponibilidade. (BARMAN, 2002) A segurana da informao de grande importncia, visto que ainda existem empresas que no possuem uma poltica de segurana implantada. Tendo em vista essa necessidade, teve-se a oportunidade de implantao de uma poltica de segurana na empresa Econtabil Software, desenvolvedora de softwares gerencias, localizada na cidade de Pato Branco - PR.

12

Este trabalho foi operacionalizado atravs de uma pesquisa bibliogrfica, na qual se pretende apresentar as principais metodologias utilizadas em segurana da informao com o intuito de ajudar gestores no processo de deciso no que se refere poltica de segurana. Utilizaram-se tcnicas de entrevistas e questionrios com a equipe para investigar a situao atual da empresa e, em seguida, fez-se a implantao da poltica de segurana, onde foram analisados os resultados obtidos ps-implantao.

13

CAPTULO I CARACTERSTICAS DO TRABALHO

1.1 JUSTIFICATIVA

O mundo est em constante mudana e em crescentes avanos na rea de tecnologia. Uma informao confidencial quando perdida ou manipulada de forma inapropriada causa prejuzos, tais como: financeiros, credibilidade e entre outros. Devido importncia das informaes, muitas empresas tm procurado metodologias para garantir que suas informaes sejam protegidas, aplicando documentao, procedimentos e treinamento aos usurios. A empresa Econtabil Software, foco principal do estudo deste caso, enfrenta a necessidade de implantao de uma metodologia para a gesto de suas informaes. Consideraram-se as necessidades especficas para elaborao de uma Poltica de Segurana a qual ir gerar documentos como RISI (Regulamento interno Segurana da Informao) e TUSI (Termo de uso dos Sistemas de Informao). Com a utilizao destas metodologias tem-se o objetivo de proteo de dados e privacidade de informaes pessoais; proteo e armazenamento de registros organizacionais e direitos de propriedade intelectual.

1.2 OBJETIVOS

1.2.1 Objetivo Geral

Elaborar uma poltica de segurana baseada em um procedimento tcnico e implant-la na empresa Econtabil Software.

14

1.2.2 Objetivos Especficos

Para atingir os objetivos deste projeto de concluso de curso ser necessrio: Acompanhar a rotina da empresa Econtabil Software identificando os procedimentos referentes segurana das informaes; Realizar o levantamento de requisitos; Levantar principais metodologias na segurana de informao; Definir uma metodologia para ser aplicada na empresa; Implantar a Poltica de Segurana; Identificar os resultados obtidos durante a implantao da Poltica de Segurana.

1.3 METODOLOGIA Este projeto trata-se de uma pesquisa de objetivo exploratrio, que tem por finalidade buscar maiores informaes sobre Segurana de Informao.
A pesquisa exploratria basicamente realizada atravs de levantamento bibliogrfico, entrevistas com profissionais que estudam/atuam na rea, visita a web sites e outros procedimentos de busca de dados para compor o quadro que permita a construo de conhecimentos. (RUARO, 2004, p.10)

O autor ainda afirma que a pesquisa bibliogrfica realizada em fontes de consulta composta de livros, artigos cientficos e publicaes especficas sobre a segurana da informao, alm de outros documentos pertinentes e consultas em web sites sobre o assunto. Caracteriza-se tambm como um estudo de caso, pois ser estudada a metodologia de forma detalhada e tambm as caractersticas da empresa onde ser implantada.

CAPTULO II DOMNIO DA APLICAO

Este captulo descreve o embasamento terico do trabalho, iniciando com: segurana, segurana da informao, ativos de informao, incidentes de segurana, camadas, poltica de segurana da informao e metodologias e melhores prticas em segurana da informao.

2.1 SEGURANA

Segurana um termo que transmite conforto e tranquilidade a quem desfruta de seu estado. Entender e implementar este estado em u m ambiente organizacional exige conhecimento e prticas especializadas que somente so possveis com o emprego e uso de um cdigo de prticas de segurana, contidos em uma norma. (CURSO, 2006, p.10). As informaes podem estar contidas em diferentes formas: impressa, meios digitais (CDs Compact Disks, discos e disquetes), imagens e tambm na mente das pessoas. Uma das funes da segurana da informao a proteo dos elementos que fazem parte da comunicao, representados na Figura 1, tais como: informaes, equipamentos e sistemas que oferecem suporte a elas e as pessoas que as utilizam.

Figura 1 - Elementos da Comunicao Fonte: Curso, 2006.

16

2.2 SEGURANA DA INFORMAO A segurana da informao pode ser definida como uma rea do conhecimento que salvaguarda os ativos da informao contra modificaes no autorizadas, acesso indevido ou at mesmo a sua indisponibilidade (PEIXOTO, 2006). Segundo a NBR ISO/IEC 17799 (2005) a Segurana da Informao pode ser definida como: preservao da confidencialidade, integridade e disponibilidade da informao; adicionalmente outras propriedades, tais como autenticidade,

responsabilidade, no repdio e confiabilidade podem tambm estar envolvidas. A segurana da informao, segundo a NBR ISO/IEC 17799 possui trs princpios bsicos que so: Confidencialidade: Garantem o sigilo das informaes restringindo o seu acesso de pessoas no autorizadas; Integridade: Garantia de que as informaes estejam ntegras,

controlando-as de modificaes no autorizadas; Disponibilidade: Garante que as informaes estejam disponveis para quem precisar delas; Alm destes trs princpios bsicos, temos: Autenticidade: Garantir que um usurio de fato quem alega ser; No-Repdio: Capacidade de o sistema provar que um usurio realizou determinada tarefa; Legalidade: Garantia de que o sistema esteja na legislao pertinente; Privacidade: Capacidade de um sistema manter annimo um usurio; Auditoria: Capacidade do sistema de auditar todas as aes realizadas pelo usurio, detectando fraudes, erros ou tentativas de ataque.

17

2.3 ATIVOS DE INFORMAO

Ativo da informao composto pela informao e tudo quilo que a suporta ou se utiliza dela. (LYRA, 2008). A Figura 2 representa os ativos da informao e tudo o que a suporta.

Figura 2 - Ativos de Informao Fonte: OLIVEIRA JR., 2012.

A informao um ativo da empresa que precisa ser protegido, alm de proteger a informao preciso classific-la. ideal classific-las de forma que sejam de fcil compreenso e claramente descritas na poltica de segurana. Segundo LYRA (2008) a classificao do ativo deve estar centrada em quatro eixos: confidencialidade, disponibilidade, integridade e autenticidade.

Confidencialidade Nvel 1 - Informao pblica: So os ativos pblicos ou no classificados, informaes que se divulgadas fora da empresa, no ir ocorrer impacto ao negcio. Exemplo: folder da empresa, telefone comercial. Nvel 2 - Informao interna: Ativos cujo acesso do pblico deve ser evitado, caso venham a se tornar pblico as consequncias no so crticas. Exemplo: lista de telefones e ramais, agenda dos executivos, etc. Nvel 3 - Informao confidencial: So ativos que devem ter acesso restrito em uma organizao e protegidos do acesso externo. O acesso no autorizado pode comprometer as operaes e ocasionar perdas financeiras. Exemplo: dados de clientes, senhas de acesso, etc.

18

Nvel 4 - Informao secreta: O acesso externo crtico para a organizao. A quantidade de pessoas que tem acesso ao ativo deve ser controlada e limitada. conveniente que existam regras restritas para o uso das mesmas para que haja a integridade das informaes. Exemplo: Informaes de concorrentes, contratos confidenciais, etc. Disponibilidade Que falta que a informao faz? Com a resposta desta pergunta possvel definir o nvel de criticidade e estabelecer uma ordem para recuperao em caso de indisponibilidade. Nvel 1: Informaes que devem ser recuperadas em minutos; Nvel 2: Informaes que devem ser recuperadas em horas; Nvel 3: Informaes que devem ser recuperadas em dias; Nvel 4: Informaes que no so crticas.

Integridade Identificar quais so as informaes fundamentais aos negcios, apontando um controle para a preveno, deteco e correo da produo de informaes sem integridade ou alterao indevida das mesmas.

Autenticidade Conforme recomenda a NBR ISO/IEC 17799, dados e informaes destinadas ao pblico externo devem apresentar requisitos de verificao da autenticao. Estabelecer quais so estas informaes facilita a identificao dos requisitos de seguranas e a definio de processos sistematizados para controlar a autenticidade de informaes e documentos.

2.3.1 Informaes

As informaes podem estar contidas em diferentes formatos, contudo, independente de que maneira esteja armazenada ela deve ser protegida. Alguns formatos destes, sugerido pela NBR ISO/IEC 17799 esto disponveis em:

19

Impressas; Escritas em papel; Escritas e armazenadas eletronicamente; Enviadas por correio eletrnico; Faladas

2.3.2 Software e Hardware Software um conjunto de instrues que so executadas com objetivo de produzir funes e desempenhos desejados. Tambm pode ser definido como estruturas de dados que permite os programas manipularem informaes. Ou ainda, documentos que descrevem operao e uso dos programas (PRESSMAN, 1995, p.12). O Hardware oferece suporte informao durante o uso, processamento e armazenamento. Hardwares so mdias de armazenamento, computadores portteis ou de mesa, servidores e entre outros (CURSO, 2006).

2.3.3 Usurios

Segundo Priberam (2012), usurio a pessoa que faz uso do computador, programas, sistemas ou servios informatizados. Os usurios fazem parte dos ativos da empresa, so os que lidam com as informaes e os recursos tecnolgicos. A formao de hbitos nos usurios o principal enfoque na segurana da informao. Os usurios so o elo mais fraco da segurana da informao, so movidos polos sentimentos ou pela curiosidade, assim cometendo falhas que podem deixar sua organizao vulnervel (MITNICK, 2006).

2.4 INCIDENTES DE SEGURANA

Incidente de segurana um simples ou uma srie de eventos de segurana da informao inesperados ou indesejados, que tenham grande probabilidade de

20

comprometer as operaes do negcio e ameaando assim a segurana da informao (NBR ISO/IEC 27002, 2005).

2.4.1 Ameaas

Peixoto (2006), afirma que ameaas so muitas vezes consequncias das vulnerabilidades existentes, ocasionando perdas de confidencialidade, integridade e disponibilidade. Estas ameaas podem ser classificadas como: Naturais: Fenmenos da natureza, tais como: tempestades, terremotos, raios, incndios naturais, enchentes, etc.; Involuntrias: Ocorrem por falta de conhecimento, erros ou acidentes; Voluntrias: So ameaas propositais, resultante de aes de hackers, crackers, vndalos, sempre causada por agentes humanos. 2.4.2 Vulnerabilidade

Os ativos de informaes possuem vulnerabilidades ou fraquezas que podem gerar intencionalmente ou no, a indisponibilidade, a quebra de confidencialidade ou integridade. A vulnerabilidade de um ativo o seu ponto fraco. Essas vulnerabilidades podero ser exploradas ou no, sendo possvel que um ativo da informao apresente um ponto fraco que nunca ser efetivamente explorado (LYRA, 2008, p.06). As vulnerabilidades podem ser classificadas em: Fsicas: O acesso a equipamentos deve estar restrito e seguro, ausncia de recursos para o combate ao incndio e entre outros; Naturais: Equipamentos e documentos so vulnerveis a aes da natureza como: chuvas, inundaes, incndios naturais, poeira, umidade e entre outros; Vulnerabilidade de hardware e software: Bugs podem permitir acesso ao computador ou sistemas e defeitos de fabricao ou m instalao podem permitir ataque ao mesmo;

21

Vulnerabilidades de mdias: Disquetes, CDs, fitas magnticas, HD s Hard Disks e at mesmo papis esto suscetveis a roubos e danos; Comunicao: desviadas ou forjadas; Humana: Senhas fracas, falta de uso de criptografia, compartilhamento de senhas e credenciais de acesso. Essas vulnerabilidades podem ocorrer devido falta de capacitao adequada, falta de conscincia e at descontentamento por parte do funcionrio com o emprego. Mensagens em transito podem ser interceptadas,

2.4.3 Ataques

Segundo LYRA (2008, p.05), ataque um tipo de incidente de segurana caracterizado pela existncia de um agente que busca obter algum tipo de retorno, atingindo algum ativo de valor. Um ataque ocorre quando uma ameaa intencional se concretiza. Toda ameaa, quando concretizada, causa uma perda ou um dano a algum recurso. (MOREIRA, 2001)

2.4.4 Impacto O impacto de um incidente de segurana medido pelas consequncias que possa causar aos processos de negcio suportados pelo ativo em questo. Cada ativo possui um valor diferente, pois cada informao contm relevncia diferente para o negcio, portanto, quanto maior for o valor do ativo, maior ser o impacto de um eventual incidente que possa ocorrer (LYRA, 2008).

2.4.5 Controle Controle todo e qualquer mecanismo utilizado para diminuir as fraquezas (ou vulnerabilidades) de um ativo da informao, seja um equipamento, tecnologia, pessoa ou processo (LYRA, 2008, p.08).

22

2.5 CAMADAS

Para SMOLA (2003), a gesto da segurana da informao pode ser classificada em trs aspectos representados na Figura 3: tecnolgica, fsica e humana. As organizaes preocupam-se apenas com a rea da tecnologia, antivrus, firewalls e esquecem os aspectos fsicos e humanos que so de grande importncia ao negcio. O autor ainda afirma, que a todo instante as empresas so alvos de ataques nesses trs aspectos com objetivo de identificar um ponto fraco, uma vulnerabilidade capaz de potencializar sua ao. Assim, sendo dois aspectos mais esquecidos, o fsico e humano, eles se tornaram os pontos mais frequentes de ataques.

Figura 3 - Representao da diviso da segurana em camadas. Fonte: Teleco, 2012.

2.5.1 Camada fsica Independente da forma que feita o acesso empresa, todos os meios de entrada e sada devem ser monitorados e controlados sempre fazendo necessrios ajustes (FERREIRA;ARAJO, 2008).

23

A segurana fsica a proteo do ambiente aonde se encontram os ativos da informao, utilizando de recursos de preveno como: portas, trancas, alarmes, guardas, etc. Segundo a NBR ISO/IEC 17799, conveniente que as instalaes de processamento de informaes crticas ou sensveis sejam mantidas em locais seguros, protegidas por permetros de segurana definidos, com barreiras de segurana e controles de acesso apropriados. de importncia que sejam fisicamente protegidas contra o acesso no autorizado, danos e interferncias. Permetro de segurana o contorno ou linha imaginria que delimita uma rea ou regio separada de outros espaos fsicos por um conjunto qualquer de barreiras (LYRA, 2008, p.27). A NBR ISO/IEC 17799 (2005) recomenda que sejam levadas em considerao algumas diretrizes para a proteo de escritrios, salas e instalaes, tais como: o cumprimento de regulamentos e normas de sade e localizao estratgicas de instalaes evitando acesso ao pblico. conveniente que instalaes estejam protegidas contra incndios, enchentes, terremotos, exploses, perturbaes da ordem pblica e outras formas de desastres naturais ou que sejam causadas pelo homem. conveniente que equipamentos para contingencia e mdia de backup devam estar a uma distncia segura para que no sejam danificados por desastres que aconteam no local principal. Equipamentos para deteco e combate ao incndio devem estar posicionados corretamente e materiais perigosos ou combustveis devem ser armazenados em uma distncia segura (NBR ISO/IEC, 2005). Os equipamentos devem ser protegidos contra perdas, danos, furtos ou interrupo das atividades realizadas na empresa. Para a reduo de danos aos equipamentos utilizados na manipulao das informaes necessrio realizar a proteo correta desses meios, verificando as condies ambientais, as quais devem ser controladas a fim de evitar danos com temperatura e umidade e ameaas fsicas tais como: furto, incndio, explosivos, gua, poeira, vibrao, interferncia com o suprimento de energia eltrica, comunicaes, radiaes eletromagntica e vandalismo (NBR ISO/IEC, 2005).

24

Convm que os equipamentos devam ser protegidos tambm contra interrupes de energia eltrica e outras falhas causadas pelas utilidades. Utilidades so os suprimentos da empresa, por exemplo, energia eltrica, redes de gua e esgoto, calefao/ ar-condicionado e esgoto. Existem algumas opes a serem consideradas para 2005). a continuidade do fornecimento eltrico: geradores, extras, nobreak (Uninterruptible Power Supply - UPS) e iluminao de emergncia (NBR ISO/IEC,

2.5.2 Camada lgica

A camada lgica caracterizada pelo uso de softwares, responsvel pela funcionalidade do hardware, pela realizao de transaes em base de dados organizacionais, criptografia de senha e etc., ou seja, onde efetivamente ocorrem as transaes e consultas (ADACHI, 2004). A NBR ISO/IEC 17799 (2005) cita diversos tipos de mecanismos de proteo das redes, os quais se destacam firewalls e gateways, que so utilizados para controle de trfego, estabelecendo rotas obrigatrias e na diviso de redes em domnios lgicos separados, a serem protegidos por permetros de segurana especficos. Outros exemplos de controles citados na norma so o uso de tcnicas de criptografia, tokens, VPNs Virtual Private Network, antivrus, etc. Com o avano da tecnologia, a possibilidade de acontecer uma invaso em um computador e obter informaes sigilosas aumentou, e cada vez mais comum. O Firewall uma maneira de fazer a proteo contra estas invases. Este remete a ideia de um nico caminho no qual os dados devem passar, sendo todos analisados antes de serem liberados (TANENBAUM, 2003). Grande maioria de problemas relacionados a incidentes de segurana em computadores causada por programas maliciosos, vrus, worms, cavalos de tria e outros. Vrus um cdigo malicioso que se hospeda em um programa do computador, podendo modificar, apagar ou bloquear arquivos. Um dos meios de proteo do computador contra esses arquivos maliciosos um antivrus, o software do antivrus ajuda impedir ataques vasculhando arquivos periodicamente em busca de mudanas

25

inesperadas em tamanhos, anexos de e-mails e em cdigos similares armazenados em uma base de dados de vrus conhecidos (LYRA, 2008). A segurana em redes vem para minimizar ataques e invases em computadores, existem as chamadas redes de permetro ou zonas desmilitarizadas (DMZ - demilitarized zone) que permite proteger o computador ou rede que fica entre uma rede interna e a Internet, portanto atua intermediando o trfego de entrada e sada. O uso de VPNs uma alternativa de segurana que oferece confidencialidade e integridade no transporte de informaes por meio das redes pblicas. Estas redes criam tneis virtuais criptografados entre pontos autorizados para transferncia de informaes de forma segura (LYRA, 2008). A criptografia vai garantir que os dados trafegados nestes tneis no sejam visveis durante o transporte da informao. Criptografia a arte ou cincia de escrever em cifras ou em cdigos, que permite somente os destinatrios a capacidade de decifrar e compreender a mensagem (FERREIRA, 2003). A criptografia nasceu com a necessidade de manter a privacidade de informaes, em ambientes computacionais mecanismos de criptografia so adotados para garantir a autenticao, privacidade e integridade de dados e comunicaes, e sem essa tecnologia no teria sido possvel a popularizao do comrcio eletrnico. A criptografia dividida em dois modos: simtrica que utilizado apenas uma chave, tanto para cifrar e decifrar e a assimtrica que trabalha com duas chaves matematicamente relacionadas para codificar e decodificar a mensagem (FERREIRA, 2003). Alm da criptografia existe a tcnica de utilizao de imagens para ocultao de informaes, chamada de esteganografia. A esteganografia permite a ocultao de uma informao dentro de outra, usando o principio de camuflagem. Segundo Tanenbaum (2003) a esteganografia tem origem dos gregos que tatuavam mensagens no couro cabeludo dos mensageiros e deixavam o cabelo crescer novamente antes de envia-lo ao destino. Atualmente as informaes podem estar escondidas em imagens, som, texto e etc. Para a ocultao de mensagens normalmente existem arquivos que apresentam reas com dados inteis ou pouco significativos que podem ser substitudos pela informao que se deseja esconder.

26

2.5.3 Camada humana

As pessoas so os elementos centrais de um sistema de segurana de informao. Os incidentes de segurana sempre envolvem pessoas, quer do lado das vulnerabilidades exploradas, quer do lado das ameaas que exploram essas vulnerabilidades (LYRA, 2008). Das trs camadas, esta a mais difcil de avaliar os riscos e gerenciar a segurana, pois envolve o fator humano, com caractersticas psicolgicas,

socioculturais e emocionais, que variam de forma individual (SCHNEIER, 2001). Atualmente existem tarefas realizadas por pessoas que esto sendo substitudas por softwares e hardwares, principalmente com interesse na reduo de custos, ganhos em escala, necessidade de gerenciamento e a minimizao de riscos de erros ou falhas humanas. Segundo a NBR ISO/IEC 17799 o objetivo da segurana em pessoas assegurar que os funcionrios, fornecedores e terceiros entendam suas

responsabilidades e estejam de acordo com seus papis, e reduzir o risco de roubo, fraude ou mau uso de recursos. A ISO destaca trs momentos referentes aos recursos humanos em uma empresa: antes da contratao, durante a execuo das funes e o encerramento das atividades profissionais. A NBR ISO/IEC 17799 convm que para minimizar o risco de erro humano, fraude ou uso indevido das instalaes da empresa as responsabilidades de segurana j sejam atribudas na fase de recrutamento, includas em contratos e monitoradas durante a vigncia do contrato de trabalho. Todas as pessoas envolvidas iro possuir um papel e uma responsabilidade a serem executadas. Os papis e responsabilidades pela segurana da informao de funcionrios, fornecedores e terceiros devem ser definidos de acordo com a poltica de segurana da informao. conveniente que papis e responsabilidade de segurana da informao sejam definidos e claramente comunicados aos candidatos a cargos, durante o processo de pr-contratao. A seleo de contratao deve estar de acordo com as leis relevantes, regulamentaes e ticas, sendo proporcional aos requisitos de

27

negcio, realizando a confirmao de currculo, profissional, pessoal, acadmicas, antecedentes criminais e etc. Grande parte das empresas no possui uma cultura de segurana da informao, dificultando o acesso informao, sugere-se ento estabelecer uma poltica educacional com relao segurana da informao, para convencer e obter apoio, antes de introduzir medidas de segurana (CARUSO; STEFFEN, 2006, p.61). O treinamento de usurios deve ser peridico e sistemtico, promovendo o desenvolvimento da cultura da segurana da informao. Todos os colaboradores, internos e externos, precisam conhecer a poltica de segurana e suas diretrizes, entender os conceitos de confidencialidade, integridade e disponibilidade e seus desdobramentos e, principalmente ter uma conduta compatvel com as boas prticas da segurana da informao (LYRA, 2008, p.26). Com os estudos da segurana da informao surgiram novos papis, tanto para a organizao, quanto para agentes externos que antes no eram conhecidos, tais como:

2.5.3.1 Security Officer Em um mundo onde dependncia da informao grande e cresce a cada dia, onde o numero de ameaas, invases e riscos crescem significativamente, com isso surge a necessidade de um responsvel pelas iniciativas da segurana da informao na empresa. Um novo profissional foi criado para essas situaes, o Security Officer ou CSO - Chief Security Officer que responsvel pela coordenao, implementao, monitoramento e melhoria dos sistemas de segurana da informao (FERREIRA, 2003). O autor ainda relata as seguintes atividades atribudas: Organizao da rea da segurana e da infraestrutura organizacional; Planejamento de investimentos de segurana; Definio de ndices e indicadores para a segurana corporativa; Orientao da equipe de segurana;

28

Definio, elaborao treinamento e implementao da poltica de segurana, anlise de riscos, planos de auditoria e relatrios de nvel de segurana e plano de contingncia. 2.5.3.2 Engenheiro social O engenheiro social usa a influncia e a persuaso para enganar as pessoas e convenc-las de que o engenheiro social algum que na verdade ele no , ou pela manipulao. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informaes com ou sem o uso da tecnologia (MITNICK, 2006). A prtica desenvolvida pelo engenheiro social chama-se engenharia social, a tcnica onde o objetivo aproveitar-se da boa f de pessoas para obter informaes que possibilitem ou facilitem o acesso aos recursos computacionais de uma organizao por parte de usurios que no so autorizados (CERT.BR, 2012). O combate engenharia social baseado na conscientizao dos funcionrios e terceiros, a respeito da segurana dos dados e informaes. A conscientizao realizada por meio de treinamentos peridicos, campanhas internas alertando sobre os perigos de determinadas atitudes, aparentemente simples e ingnuas (NBR ISO/IEC 17799, 2005). As empresas pensam que esto imunes ao ataque por usarem firewalls, sistema de alarme, tokens, cartes magnticos e outros dispositivos. Isso remete uma iluso da segurana, esses produtos sozinhos no oferecem a verdadeira segurana, preciso conscientizar o elo mais fraco da segurana da informao, as pessoas. No h sistema de segurana da informao completamente invulnervel, sempre existiro falhas, na maioria das vezes provocadas por usurios com deficincia de treinamento ou por invasores mal-intencionados (MITNICK, 2006). Diante do exposto, recomenda-se a criao de procedimentos que venham atribuir direitos e responsabilidades s pessoas que lidam com as informaes para que no aconteam falhas, incidentes ou ataques (CERT.BR, 2012).

29

2.7 POLTICA DE SEGURANA DA INFORMAO Uma Poltica de Segurana composta por um conjunto de regras e padres sobre o que deve ser feito para assegurar que as informaes e servios importantes para a empresa recebem a proteo conveniente, de modo a garantir a confidencialidade, integridade e disponibilidade (FERREIRA; ARAJO, 2008). A poltica de segurana deve conter o apoio dos empresrios, que so responsveis pela destinao de recursos em relao ao uso da informao. Segundo Ferreira e Arajo (2008) existem aspectos com papis imprescindveis para a implantao de uma poltica de segurana: Estabelecer o conceito de que as informaes so ativos importantes na organizao; A importncia do envolvimento da alta administrao com relao a segurana da informao; Responsabilidade formal dos empregados da empresa sobre a

salvaguarda dos recursos da informao, definindo o coito da irrevogabilidade; Estabelecimento de padres para manuteno da Segurana da Informao. A poltica de segurana deve ter seu escopo planejado desde o incio, a necessidade de proteo est alm de software e hardware que compem os sistemas, abrangendo tambm as pessoas e os processos. Para identificar e analisar tudo aqui que precisa ser protegido recomendado a formao de um Comit de Segurana da Informao. Comit de Segurana segundo a NBR ISO/IEC 17799 uma responsabilidade de negcios compartilhada com membros da equipe da direo de cada setor, o comit responsabilizado pelo seguinte: Anlise crtica e aprovao da poltica de segurana da informao e das responsabilidades envolvidas; Monitorao das principais mudanas na exposio dos ativos das informaes s principais ameaas; Anlise crtica e monitorao de incidentes de segurana da informao;

30

Aprovao das principais iniciativas para aumentar o nvel da segurana da informao. ideal que as polticas, normas e procedimentos de segurana da informao devam ser: simples, claras, homologadas pela alta administrao, estruturao feita em fases, alinhada a estratgia de negcio, orientada a riscos, flexveis, priorizao ativos com mais importncia e que sejam positivas, no somente concentradas a aes proibitivas ou punitivas (FERREIRA; ARAUJO, 2008). Para a criao de uma poltica de segurana bem estruturada, podem ser seguidos alguns passos sugeridos no tpico 2.6.1.

2.6.1 Etapas de desenvolvimento de uma Poltica de Segurana O desenvolvimento de uma poltica de segurana est dividida em 4 etapas (FERREIRA & ARAUJO, 2008). Fase 1 1.1 1.2 1.3 Levantamento de informaes Obteno dos padres, normas e procedimentos de segurana j existentes para anlise. Entendimento das necessidades e uso dos recursos da tecnologia da informao (sistemas, equipamentos e dados) nos processos de negcios. Obteno de informaes no ambiente de negcios: Processos de negcios; Tendncia de mercados; Controles e reas de riscos. Obteno de informaes sobre o ambiente tecnolgico: WorkFlow entre ambientes; Redes de aplicaes; Plataformas computacionais.
Quadro 1 - Fase 1: Levantamento de Informaes Fonte: Ferreira e Arajo (2008)

1.4

Fase 2 2.1

2.2

Desenvolvimento do Contedo da Poltica e Normas de Segurana Gerenciamento da poltica de segurana: Definio da segurana da informao Objetivo do gerenciamento; Fatores crticos de sucesso; Gerenciamento da verso e manuteno da poltica; Referncia para outras polticas, padres e procedimentos. Atribuio de regras e responsabilidades

31

2.3

Comit de segurana da informao; Proprietrio das informaes; rea de Segurana da Informao; Usurios de informaes; Recursos humanos; Auditoria interna.

2.4

Critrios para classificao das informaes: Introduo; Classificando a informao; Nveis de classificao; Reclassificao; Armazenamento e descarte; Armazenamento e sadas. Procedimentos de segurana da informao: Classificao e tratamento da informao; Notificao e gerenciamento de incidentes de segurana; Processo disciplinar; Aquisio e uso de hardware e software; Proteo contra software malicioso; Segurana e tratamento de mdias; Uso da internet; Uso de correio eletrnico; Utilizao dos recursos de TI; Backup; Manuteno de teste e equipamentos; Coleta e registro de falhas; Gerenciamento e controle na rede; Monitorao do uso e acesso a sistemas; Uso de controles de criptografia e gerenciamento de chaves; Controle de mudanas operacionais Inventrio dos ativos de informao; Controle de acesso fsico s reas sensveis; Segurana fsica; Superviso de visitantes e prestadores de servio.
Quadro 2 - Fase 2: Desenvolvimento do Contedo da Poltica Fonte: Ferreira e Arajo (2008)

Fase 3 3.1 3.2

Elaborao dos procedimentos de Segurana da Informao Pesquisas sobre as melhores prticas em segurana das informaes utilizadas no mercado. Desenvolvimento de procedimentos e padres, para discusso com a Alta administrao de acordo com as melhorias prticas de mercado e com as necessidades e metas da organizao.

32

3.3

Formalizao dos procedimentos para integr-los s polticas corporativas.

Quadro 3 - Fase 3: Elaborao dos procedimentos de segurana da informao Fonte: Ferreira e Arajo (2008)

Fase 4 4.1 4.2

Reviso, aprovao e Implantao das Polticas, Normas e Procedimentos de Segurana da Informao Reviso e aprovao das polticas, normas e procedimentos de segurana da informao. Efetiva implantao das polticas, normas e procedimentos de segurana da informao por meio das seguintes iniciativas: Atuao junto rea responsvel pela comunicao, oi rea correspondente, na orientao para preparao do material promocional de divulgao e de consulta; Divulgaes das responsabilidades dos colaboradores, bem como da importncia das polticas, normas e procedimentos de segurana da informao; Realizao de palestras executivas referentes s polticas, normas e procedimentos de segurana da informao desenvolvida, tendo por pblico-alvo a Presidncia, Diretorias e Gerncias; Realizao de palestras referentes s polticas, normas e procedimentos de segurana, tendo por pblico-alvo outros colaboradores da organizao.
Quadro 4 - Fase 4: Reviso, aprovao e implantao da poltica de segurana Fonte: Ferreira e Arajo (2008)

2.6.2 Treinamento, publicao e divulgao

Uma poltica de segurana no se resume em apenas faze-la, preciso treinar os usurios, publicar e divulgar as atualizaes e alteraes. Os usurios devem estar preparados pela organizao para compreenso sobre o assunto, recomendvel que tudo seja escrito de forma clara e sucinta, a conscientizao pode ser realizada atravs de palestras, treinamento direcionado, avisos (e-mail, mural, intranet) sobre os principais pontos pertinentes as responsabilidade e elaborao de material promocional. Os treinamentos podem ser diferenciados por setores, nveis de

conhecimento, relevncia de informaes. Os usurios devem estar cientes da incluso requisitos de segurana, responsabilidades legais e controles do negcio, bem como o treinamento sobre o uso correto dos recursos de Tecnologia da Informao como, por exemplo, procedimentos de acesso lgico (redes, sistemas aplicativos, e-mail, internet)

33

e fsico (crachs, salas, andares e ambientes restritos) (FERREIRA; ARAUJO, 2008). O autor ainda afirma que responsabilidade da Alta Administrao assegurar que todos os usurios que fazem uso das informaes, saibam como realizar a proteo dos ativos da organizao e estejam de acordo com as Polticas de Segurana desenvolvidas a partir deste guia prtico.

2.8 METODOLOGIAS E MELHORES PRTICAS EM SEGURANA DA INFORMAO

Atualmente existem diferentes metodologias e melhores prticas em segurana da informao e governana para o ambiente de tecnologia, que so conhecidos mundialmente e largamente utilizados como, por exemplo: CobiT e NBR ISO/IEC 27002 (FERREIRA; ARAUJO, 2008). O autor ainda afirma que esta necessidade devido busca de padres do mercado e dificuldade das reas de TI manterem seus prprios modelos e estruturas de controle, uma vez que as evolues tecnolgicas criam constantes necessidades de atualizaes desses modelos. Cada metodologia possui suas particularidades, uns mais voltados para alinhamento estratgico outros mais focados em processos e alinhados ao negcio. Alguns mais dedicados operacionalizao e outros s prticas e implementao. Segundo ALVES (2006) o grande diferencial no est em apenas utilizar uma metodologia s, mas sim em combinar o que cada um possui de melhor e criar uma soluo customizada que seja capaz de atender s demandas de negocio de cada organizao. 2.8.1 CobiT Control Objectives for Information and Related Technology

O CobiT elaborado pelo ISACA - Information Systems Audit and Control Association um modelo para gesto e controle de TI. Sua estrutura de controle possui padres aceitos mundialmente como os melhores praticados para a definio de

34

controles e padres de segurana na rea de TI das empresas dos mais variados segmentos de negcios, principalmente o setor financeiro (FERREIRA, 2003, p.07). Os documentos do CobiT representados na Figura 4, definem Governana Tecnolgica como sendo uma estrutura de relacionamentos entre processos para direcionar e controlar uma empresa de modo a atingir os objetivos corporativos, atravs da agregao de valor e risco controlado pelo uso da tecnologia da informao e de seus processos.

Figura 4 - CobiT 4.1 Fonte: Adaptado de ISACA, (2012)

De acordo com Ferreira e Arajo (2008), o CobiT 4.1 est dividido em 4 domnios: Planejamento e Organizao (PO): este domnio abrange a estratgia e tticas, levando em considerao a identificao da maneira pela qual TI pode contribuir para atingir os objetivos do negcio. Os processos de TI deste domnio so: PO1 Definir um Plano Estratgico de TI e orientaes; PO2 Definir arquitetura da informao; PO3 Determina a direo tecnolgica; PO4 Define a organizao de TI e seus relacionamentos; PO5 Gerenciar investimentos de TI; PO6 Gerenciar a comunicao das direes de TI;

35

PO7 Gerenciar os recursos humanos; PO8 Gerenciar a qualidade; PO9 Estimar e gerencias os riscos de TI; PO10 Gerenciar projetos. Aquisio e Implementao (AI): as mudanas em um sistema aplicativo j existente so abrangidas por este domnio, garantindo que a soluo continue a atender os objetivos de negcio. Os processos de Ti deste domnio so: AI1 Identificar solues automatizadas; AI2 Adquirir e manter software de aplicao; AI3 Adquirir e manter infraestrutura de tecnologia; AI4 Habilitar operaes e uso; AI5 Obter recursos de TI; AI6 Gerenciar mudanas; AI7 Instalar e credenciar solues e mudanas. Entrega e Suporte (DS): este domnio preocupa-se com entregar e oferecer suporte, gesto da segurana da informao e continuidade, suporte aos usurios, gerenciamento dos dados e das instalaes. O domnio Service Delivery possui os seguintes processos: DS1 Definir e Gerenciar nveis de servio; DS2 Gerenciar servios de terceiros; DS3 Gerenciar desempenho e capacidade; DS4 Assegurar servio contnuo; DS5 Assegurar segurana de sistema; DS6 Identificar e alocar recursos; DS7 Treinar usurios; DS8 Gerenciar servios de escritrio e incidentes; DS9 Gerenciar a configurao; DS10 Gerenciar problemas; DS11 Gerenciar dados;

36

DS12 Gerenciar ambiente fsico; DS13 Gerenciar operaes. Monitorar e Avaliar (ME): existem processos de TI que precisam ser auditados regularmente. O domnio em questo abrange a gesto de desempenho, monitorao de controles internos e conformidades. ME1 Monitorar os processos; ME2 Assegurar avaliao dos controles internos; ME3 Obter avaliao independente; ME4 Prover auditoria independente.

Em abril de 2012, a ISACA lanou o COBIT 5.0 que fornece um modelo operacional de linguagem comum para todas as partes envolvidas, ainda em ingls o modelo de gesto apresenta 5 domnios: 1. Atender as necessidades dos stakeholders; 2. Cobrir organizao fim a fim; 3. Aplicao de um nico framework; 4. Permitir uma abordagem holstica; 5. Separar governana da gesto.

Especialistas em gesto e institutos independentes recomendam o uso do CobiT para otimizar os investimentos de TI, melhorando o retorno sobre o investimento percebido, fornecendo mtricas de avaliao dos resultados.

2.8.2 NBR ISO/IEC 27002

ISO ou organizao internacional para padronizao foi fundada em 1947 em Genebra na Sua com objetivo de aprovar normas internacionais em todos os campos tcnicos, com exceo da eletricidade e eletrnica, que gerida por outra organizao.

37

A IEC - Comisso Eletrnica Internacional a organizao que gerencia as normas e padres eltricos e eletrnicos. As duas organizaes geram normas e padres em conjunto, os quais levam a denominao de ISO/IEC. A NBR ISO/IEC 17799 considerada o mais completo padro para o gerenciamento da Segurana da Informao no mundo. Com ela possvel implementar um sistema de gesto de segurana baseado em controles definidos por normas e prticas internacionais. A NBR ISO/IEC 17799 foi atualizada em 2005, onde a norma foi revisada com a incluso de novos captulos, e em 2007 teve seu nome alterado para NBR ISO/IEC 27002. A NBR ISO/IEC 27002 est dividida 11 sees: Poltica de Segurana da Informao: Realiza a orientao e apoio da direo para a segurana da informao de acordo com os requisitos do negcio e com as leis e regulamentaes relevantes; Organizando a Segurana da Informao: Gerenciamento da segurana da informao dentro da organizao. A direo deve aprovar e apoiar ativamente a poltica de segurana da informao, atribuindo funes, coordenando e analisando criticamente a implementao da poltica por toda a organizao; Gesto de Ativos: Manter a proteo adequada a todos os ativos da organizao, os quais devem ser inventariados; Segurana em Recursos Humanos: Assegurar que os funcionrios, fornecedores e terceiros entendam as suas responsabilidades e estejam de acordo com seus papis, reduzindo o risco de roubo, fraude, ou mau uso de recursos. As responsabilidades j devem ser atribudas antes mesmo da contratao, e quando funcionrios, assinem acordos sobre seus papis e responsabilidades da segurana da informao; Segurana Fsica e do Ambiente: Impedir o acesso fsico no autorizado, danos e interferncias s instalaes da organizao e das informaes. Devem ser protegidas por permetro de segurana definido, com barreiras de segurana as informaes mais criticas ou salas de processamento de dados. A proteo fornecida deve ser proporcional aos riscos identificados;

38

Gesto das Operaes e Comunicaes: A operao segura e correta do processamento de informao deve ser garantida. Responsabilidades e procedimentos para gesto da operao devem ser estabelecidos; Controle de Acesso: O acesso informao deve ser controlado, as regras de controle de acesso devero levar em conta as polticas de disseminao de informao e autorizao; Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao: Os sistemas de informaes incluem sistemas operacionais, infraestrutura, aplicaes de negcios e etc. A segurana parte integrante dos sistemas de informao e deve ser gerida pelas polticas de segurana. Todos os requisitos de segurana devem ser identificados na fase de requisitos de um projeto, justificados, acordados e documentados como parte do processo geral de negcio para um sistema de informao; Gesto de Incidentes de Segurana da Informao: As fragilidades e eventos da segurana da informao sejam comunicados, permitindo a tomada de ao corretiva em tem hbil. Procedimentos devem ser estabelecidos formalmente. Todos os funcionrios, fornecedores e terceiros estejam conscientes sobre os procedimentos para notificao dos diferentes eventos e fragilidades que possam vir a ocorrer; Gesto da Continuidade do Negcio: No permitir a interrupo das atividades do negcio, proteger os processos crticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hbil, se for o caso; Conformidade: Buscar evitar a violao de qualquer legislao, obrigaes regulamentares ou contratuais, bem como quaisquer requisitos de segurana. Em suma, a NBR ISO/IEC 17799 permite que as organizaes gerenciem a segurana da informao como um negcio global e coerente que se estende alm da segurana em aspectos tcnicos ou computacionais (SAINT-GERMAIN, 2006, p.61).

2.8.3 ITIL O ITIL - Information Technology Infrastructure Library uma biblioteca de boas prticas relacionadas aos servios de TI. Desenvolvido na dcada de 1980 na

39

Inglaterra pela OGC - Office of Government Commerce. Este modelo de gerenciamento de processos de TI possui o foco na descrio dos processos necessrios para gerenciar a infraestrutura de TI, de forma eficiente e eficaz assim garantindo os nveis de servios acordados com os clientes internos e externos (ITSMF, 2012). O ITIL busca oferecer servios de qualidade com foco no relacionamento com os clientes, trazendo mudanas significativas como: o foco do negcio deve ser no valor e no no custo; pensar em toda a cadeia envolvida na prestao de servios e no somente uma viso fragmentada; e o foco em processos e pessoas, no apenas na tecnologia (FRAGATA, A; MARQUES, C; ROMERO, G, 2006). Loureno (2012) afirma que o ITIL V2 possui uma srie de livros, sendo que so sete principais: Perspectiva de negcio; Entrega de servio; Suporte a servio; Gerenciamento de segurana; Gerenciamento da infraestrutura; Gerenciamento de aplicaes; Planejamento da implementao do gerenciamento de servios.

O ITIL V2 possui dois livros mais utilizados: Processos de suporte de servios ITIL e Entrega de servios ITIL que esto descritos no quadro 5 e 6.

Processos de suporte de servios do ITIL PROCESSO Gerenciamento Incidentes Gerenciamento Problemas DESCRIO de o processo que objetiva reduzir o tempo de indisponibilidade dos servios. de Sua meta diagnosticar as causas dos incidentes identificados no Service Desk e corrigir erros na infraestrutura de TI, de modo preventivo e proativo. Gerenciamento Mudanas de Seu objetivo assegurar o correto uso de padres e processos para um rpido e eficiente atendimento das mudanas.

40

Gerenciamento verses Gerenciamento Configurao

de Garante que apenas as verses testadas e corretas do software sejam disponibilizadas para a utilizao. de Identifica e controla os ativos de TI, estabelecendo um relacionamento dos mesmos aos servios prestados.
Quadro 5 - Processos de suporte de servios do ITIL. Fonte: ITSMF - IT Service Management Forum

Processos de entrega de servios do ITIL PROCESSO Gerenciamento Nveis de Servio DESCRIO de o processo de planejamento, coordenao, elaborao, monitoramento e reporte dos Acordos de Nvel de Servios (SLA). Gerenciamento Continuidade de o processo de gerenciamento dos recursos organizacionais, tcnicos e humanos que garantam a manuteno dos servios que do suporte ao negcio da organizao, dentro do SLA. Gerenciamento de Finanas o processo que define o mtodo e as atividades para especificao das peas oramentarias e seu acompanhamento, sua meta tornar visveis os custos referentes aos servios de TI para a empresa. Gerenciamento Capacidade Gerenciamento Disponibilidade de Permite que uma organizao gerencie os seus recursos em crises, e predizer a necessidade de recursos adicionais. de o processo que visa otimizar a capacidade da infraestrutura de TI, servios e suporte para prover um nvel de disponibilidade que permita ao negcio atender os seus objetivos.
Quadro 6 - Processos de entrega de servios do ITIL. Fonte: ITSMF - IT Service Management Forum

CAPTULO III METODOLOGIA

3.1 PROCESSO DE DESENVOLVIMENTO DA PESQUISA

A pesquisa voltada ao desenvolvimento de uma poltica de segurana para a Econtabil Software, para que seja parte da organizao da empresa a segurana das informaes. Fundada em outubro de 2002, a empresa Econtabil Software, atua no desenvolvimento de softwares para indstria, comrcio e agronegcios, alm da comercializao de software para escritrios contbeis. Devido ao crescente aumento de colaboradores e informaes geradas, foi identificada a necessidade de implantao de procedimentos internos, os quais determinam as aes e atitudes que devem ser tomadas para a segurana da informao. Atualmente a empresa no possui documentao ou metodologia referente segurana da informao. Existem manuais de procedimentos de conduta interna, atendimento ao cliente e o MPS.BR (Melhoria de Processos do Software Brasileiro) que um modelo de qualidade de processo de desenvolvimento de software. Mesmo a empresa no possuindo uma metodologia de segurana da informao, mantm-se uma organizao interna a qual o bom senso depositado aos scios e colaboradores. A utilizao de metodologias aplicadas a uma poltica de segurana com normas, padres e regras ir organizar os processos internos da empresa, melhorando assim o seu desempenho e salvaguardando suas informaes. Segundo os autores Ferreira e Arajo (2008), o desenvolvimento da pesquisa pode realizado em quatro fases principais: Levantamento de informaes,

Desenvolvimento do contedo da poltica e normas de segurana, Elaborao dos procedimentos de segurana da informao e Reviso, aprovao e implantao das

42

polticas de segurana da informao e palestras. Estas fases esto descritas na seo 3.1.1 a 3.1.4. 3.1.1 Primeira Fase Levantamento de Informaes

A Fase de levantamento de informaes possui quatro etapas: obteno dos padres e anlise de normas e procedimentos j existentes, entendimento da necessidade de uso da tecnologia de informao, informaes sobre o ambiente de negcios e obteno de informaes sobre o ambiente tecnolgico. Para primeira etapa levantou-se as normas e os procedimentos que a empresa possui. A segunda etapa foi focada em conhecer a necessidade da empresa quanto ao uso dos recursos de tecnologias de informaes no processo de negcio. A terceira etapa refere-se obteno do ambiente de negcios, na qual foram absorvidas informaes sobre os processos de negcios, tendncias de mercado e os controles que devero existir para as reas de risco. Para finalizar a primeira fase, a quarta etapa se refere ao ambiente tecnolgico, o workflow entre ambientes, redes de aplicaes e informaes de plataformas computacionais. 3.1.2 Segunda Fase Desenvolvimento do Contedo da Poltica e Normas de Segurana A segunda fase foi dividida em quatro etapas, sendo elas: Gerenciamento da Poltica de segurana, Atribuio de regras e responsabilidades, Critrios para classificao das informaes, Procedimentos de segurana de informaes. Para ocorrer o gerenciamento da poltica de segurana na primeira etapa, houve definio da segurana da informao, quais os objetivos de gerenciamento, fatores crticos de sucesso, gerenciamento da verso e manuteno da poltica. Na segunda etapa foram atribudas regras e responsabilidades ao comit de segurana e aos usurios das informaes. O setor de recursos humanos e suas responsabilidades.

43

Na terceira etapa definiu-se os critrios de classificao das informaes, bem como os nveis de classificao, armazenamento e descarte das informaes. Quarta e ltima etapa fora definido quais so os procedimentos de segurana da informao, quanto ao uso de recursos tecnolgicos, proteo de equipamentos, uso de internet, backup, monitoramento e entre outros. 3.1.3 Terceira Fase Elaborao dos Procedimentos de Segurana da Informao A terceira fase foi dividida em trs etapas, sendo a primeira o levantamento de metodologias, desenvolvimento de procedimentos e padres e a formalizao dos procedimentos para integr-los com a poltica de segurana. Esta etapa iniciou-se com o levantamento das metodologias que podem ser utilizadas para o desenvolvimento da poltica de segurana. Com a metodologia escolhida e o levantamento de informaes realizadas na primeira fase pode ser produzida a poltica de segurana. A segunda etapa refere-se ao desenvolvimento dos procedimentos e padres para a discusso com a alta administrao, de acordo com as melhores prticas de mercado e com as necessidades da organizao. Por fim a terceira etapa, a formalizao dos procedimentos que foram discutidos com a alta administrao e integr-los s polticas corporativas. 3.1.4 Quarta Fase Reviso, Aprovao e Implantao das Polticas, Normas e Procedimentos de Segurana da Informao. A quarta e ltima fase do processo de desenvolvimento da pesquisa voltada a reviso, aprovao e implantao da poltica de segurana. Na primeira etapa foi realizada a reviso das normas e procedimentos que passaro a vigorar na empresa a partir da sua efetiva implantao que se dar na segunda etapa. A segunda etapa a implantao das polticas, onde foi comunicado a todos formalmente sobre existncia de normas de segurana e a preparao de materiais de divulgao e conscientizao. A divulgao das responsabilidades dos colaboradores e

44

empregadores, bem como a importncia da poltica de segurana foi realizada atravs de palestras de conscientizao. Durante o decorrer do estudo foi realizada uma entrevista com um dos gestores da Econtabil Software, o qual apresentou as principais necessidades da empresa, como resultado ser apresentado um checklist demonstrando o resultado do andamento da implantao.

CAPTULO IV RESULTADOS

Este captulo o resultado do desenvolvimento e implantao de uma poltica de segurana na empresa Econtabil informtica LTDA. 4.1 Resultados da Primeira Fase Levantamento de Informaes A anlise de normas e procedimentos de segurana j existentes no foi realizada, pois at ento a empresa no possua nenhum padro ou procedimento para a segurana da informao. A empresa necessita do uso de computadores devido a sua atividade comercial: desenvolvimento de software e suporte ao cliente. O foco de negcios atualmente o comrcio, indstria e principalmente ao agronegcio, o qual possui amplo mercado para software house. O ambiente tecnolgico da empresa possui setores definidos, cada um possuindo sua funo. Em anexo (Anexo 1) est o processo interno entre os ambientes. Os softwares utilizados internamente na empresa esto disponibilizados a todos, porm utilizado somente a quem foi designado. Por exemplo: o software contbil direcionado ao setor contbil, o software financeiro direcionado ao financeiro e administrativo. O desenvolvimento e o atendimento possuem o PM - Project Management ferramenta utilizada para pedidos de alterao e lanamento de atendimentos. O acesso ao servidor separado por setores, financeiro, contbil, atendimento e desenvolvimento possuem seus usurios e restries. Do mesmo modo ocorre no servidor FTP - File Transfer Protocol, cada um possui seu usurio, senha e pasta temporria.

46

4.2 Resultados da Segunda Fase Desenvolvimento do Contedo da Poltica e Normas de Segurana Na primeira etapa, o gerenciamento da poltica de segurana possui o objetivo de assegurar as informaes da empresa contra perdas, roubos ou danos. Para que ocorra o sucesso da poltica de segurana indispensvel que todos tenham o conhecimento das diretrizes e que haja utilizao na prtica diria do ambiente de trabalho. A poltica de segurana foi revisada pelo seu comit e a alta administrao. Ela ser utilizada em conjunto com o regulamento interno da empresa, o qual fala sobre a organizao do ambiente, convivncia, direitos e deveres. A segunda etapa, atribuio de regras e responsabilidades designada ao comit de segurana de informao, que constitudo por profissionais de diferentes departamentos, como: atendimento, financeiro, desenvolvimento e parte do quadro de diretores e aos usurios das informaes que qualquer indivduo com acesso s informaes da organizao. Os quais possuem responsabilidades tais como: entender e seguir, cumprir todas as regras determinadas pela poltica de segurana, utilizar as informaes apenas a propsito de negcio e comunicar caso haja violao/ incidente de segurana. O setor de recursos humanos a rea que estabelece as sanes e penalidades quando as polticas forem desrespeitadas, sendo de responsabilidade do setor informar imediatamente o desligamento de um funcionrio, para que no corra o risco de acessos no autorizados a contas de usurios. Ainda o setor de RH possui a tarefa de aplicar o Termo de Compromisso para realizar a conscientizao, conhecimento e concordncia ao uso adequado das informaes e tambm das penalidades da organizao e da lei. A terceira etapa, classificao da informao a que estabelece o grau de importncia das informaes, para a organizao pode utilizar um inventrio dos ativos de informao e aps classifica-los quanto a nvel de proteo assim descritos no Quadro 7.

47

NATUREZA DO ATIVO Informao

ATIVOS DE INFORMAO
Bancos de dados Arquivos fontes Documentao de sistema e manual do usurio Material de treinamento Contratos Folhas de pagamento Pagamento a fornecedores Documentao da empresa Documentao de clientes Aplicativos Ferramentas de desenvolvimento Utilitrios do sistema Servidores, desktops e notebooks Impressoras Cofre Armrios e gavetas Geradores e no-break Salas Empregados, estagirios, terceiros e fornecedores. Comunicao (ligaes, videoconferncias) Computao (backup)

Documentos em papel

Software

Fsico

Pessoas Servio ou atividade

Quadro 7 - Inventrio dos ativos de informao Fonte: Adaptado de Ferreira e Arajo (2008)

As informaes foram separadas em nveis: Nvel 1: Informao pblica, aquelas que no necessitam de sigilo algum. Nvel 2: Informao interna, o acesso externo da informao deve ser evitado, mas caso ocorra o contato externo no trar consequncias criticas. Nvel 3: Informao confidencial, informaes que devem ser mantidas dentro da empresa, devem ser protegidas do acesso externo. Nvel 4: Informao secreta, o acesso externo crtico para a organizao, devem ter acesso restrito e controlado

48

O descarte e o armazenamento destas informaes tambm so levados em conta, para garantir a confidencialidade das informaes. As informaes com nvel maior de confidencialidade devem estar armazenadas em locais seguros, com o acesso controlado e o descarte deve ser realizado por meios que destruam completamente a informao. J o de nvel um e dois devem estar armazenadas em locais reservados e seguros, o descarte pode ocorrer de forma simples ou com recursos especficos. A perda, roubo ou publicao ilegal deve ser urgentemente comunicado ao setor responsvel, e a causa do vazamento da informao deve ser investigada. Por fim, a quarta etapa refere-se procedimentos de segurana da informao, por exemplo: O uso de recursos tecnolgicos na empresa deve ser exclusivo a atividades direcionadas aos negcios da organizao. A poltica de segurana deve deixar claro que proibido o recebimento, armazenamento e transmisso de materiais difamatrios, discriminativos ou provocativos atravs de recursos tecnolgicos da empresa, inclusive a violao de direitos autorais de terceiros.
Padronizao das estaes de trabalho, para que no possuam softwares

que no sejam adequados para determinado usurio. O bloqueio da estao por tempo de inatividade importante caso o usurio se ausente e no realize o bloqueio.
A proteo contra softwares maliciosos de grande importncia e deve

estar instalada em todos os equipamentos, a atualizao peridica deve ser realizada pelo usurio e devem ser disponibilizado treinamento aos usurios que necessitarem.
Acesso a internet de uso restrito empresarial e que deve ser usada de

forma consciente, proibindo o uso do recurso para maus fins como por exemplo: discriminao social, racial, sexual ou religiosa.
Realizar o controle de acesso aos sistemas, pois nem todos os usurios

devem ter acesso a determinada informao. A norma NBR ISO/IEC 27002:2005 estabelece que as regras para concesso de aceso devem ser baseadas na premissa: Tudo deve ser proibido, a menos que expressamente permitido.
A elaborao de senhas deve possuir um critrio especfico, jamais utilizar

nome, sobrenome, nmeros de telefone e datas comemorativas devem estar fora da lista de senhas, pois so dados fceis de obter de qualquer pessoa. Senhas fortes so

49

protees importantes, o segredo da fora da senha o comprimento e complexidade: (MICROSOFT, 2012). A senha ideal longa e contm letras, pontuao, smbolos e nmeros. Sempre que possvel, use oito caracteres ou mais. No use a mesma senha para tudo. Criminosos cibernticos furtam senhas em sites da Web com muito pouca segurana e, ento, tentam usar a mesma senha e nome de usurio em ambientes mais seguros, como sites de instituies bancrias. Altera suas senhas com frequncia. Defina um lembrete automtico para trocar suas senhas de e-mail, sites de bancos e de cartes de crdito em intervalos de aproximados trs meses. Quando maior a variedade de caracteres em sua senha, melhor. Entretanto, softwares de furto de senha testam automaticamente converses comuns de letras para smbolos. Como trocar & por e ou $ por s. Use todo o teclado, no apenas as letras e os caracteres usados ou vistos com maior frequncia. Backup, cpias de segurana e restore. Os backups so realizados diariamente, e salvos em local fsico diferente dos dados originais protegidos contra interferncias humanas ou desastres naturais. Segurana fsica do ambiente realizada atravs de alarme e monitoramento, tambm as reas de acesso restrito so isoladas e necessitam de permisso de acesso.

4.3 Resultados da Terceira Fase Elaborao dos Procedimentos de Segurana da Informao Conforme seo 3.2.3 a terceira fase se refere elaborao dos procedimentos da segurana da informao. Na primeira etapa foram levantadas trs metodologias: CobiT, NBR ISO/IEC 27002 e ITIL. No Quadro 8 foi realizado uma comparao entre as metodologias.

50

COBIT 4.1 Organizao fundadora Funo ISACA Governana de TI

ITIL V2 OGC Melhores prticas para gesto de TI 10 Processos No existe ITIL Foundation US$174.00

ISO 27002 ISO Controles e processos da segurana de TI 11 sees No existe ISO 27002 Foundation US$100.00

Formatao Custo implantao Certificao Custo certificao do profissional

4 domnios e 34 processos No existe CobiT Foundation US$150.00

Quadro 8 - Anlise de metodologias Fonte: TIEXAMES

4.3.1 Seleo da Metodologia A seleo da metodologia foi realizada atravs da necessidade da empresa: processos, pessoas e ferramentas. Devido ao custo de certificao de um profissional e a necessidade de implantao imediata, optou-se pela criao de uma metodologia prpria para abranger toda a necessidade da empresa, porm, a NBR ISO/IEC 27002 deu sustentao a criao desta metodologia prpria. A NBR ISO/IEC 27002 atua na rea de polticas de segurana, gerncia de ativos, recursos humanos, segurana fsica e lgica, controle de acesso e outros. 4.4 Resultados da Quarta Fase Reviso, Aprovao e Implantao das Polticas, Normas e Procedimentos de Segurana da Informao A etapa de reviso e aprovao da Poltica de Segurana foi realizada por dois membros da alta administrao e pelo comit gestor da segurana da informao. A poltica de segurana foi divulgada a todos os funcionrios atravs de uma reunio realizada com todos os setores da empresa. Nesta ocasio, o termo de compromisso foi lido e explicado seu funcionamento, obrigaes e penalidades junto Econtabil Software. Assim todos os colaboradores presentes assinaram o Termo de

51

Compromisso (o TUSI est no Apndice 2) e esto cientes das penalidades caso ocorra o descumprimento Polticas de Seguranas (RISI). Devido a outros interesses coorporativos durante o desenvolvimento da pesquisa, ela no foi completamente concluda. O resultado total do impacto da implantao da poltica de segurana ainda no pde ser mensurado, porm ele foi obtido de forma parcial atravs de um checklist respondido por um societrio. Para a anlise dos grficos gerados atravs de uma escala de Likert, deve se considerar que todos os procedimentos foram implantados do incio, j que no existiam ou eram feitos de forma informal. Como pode-se visualizar no grfico 1, apenas o processo de auditoria e controle de navegao no foi iniciado, pois a empresa necessita de uma nova reestruturao de rede de computadores e a auditoria e controle de navegao ser realizada em conjunto.

Processos
Desenvolvimento da Poltica de Segurana

Direcionamento de servidores

Controle e monitoramento de trfego na rede

Auditoria e controle de navegao 0 Executado 25 Planejado 50 75 100

Grfico 1 Andamento Implantao Processos Fonte: Desenvolvido pela pesquisadora.

52

No grfico 2, todos os requisitos j foram iniciados. Uma pessoa foi contratada e direcionada ao setor de TI, a conscientizao, treinamento e capacitao de funcionrios esto sendo realizados atravs de reunies, vdeos e palestras.

Pessoas
Pessoa Responsvel pelo TI

Conscientizao do uso de ferramentas e das informaes

Treinamento e capacitao dos usurios

0 Executado

25 Planejado

50

75

100

Grfico 2 Andamento Implantao Pessoas Fonte: Desenvolvido pela pesquisadora.

No Grfico 3 existem trs processos j finalizados e os demais esto em andamento, os requisitos do grfico 3 esto 72,22% concludos. O processo de implantao est sendo realizado e possui a previso de trmino em fevereiro de 2013.

53

Ferramentas
Backup e Restore Controle de Ferramentas de comunicao Gerenciamento de grupo de email Rodizio de senhas Acesso fsico Controle Acesso lgico a pastas e diretrios Firewall Antivrus Ferramentas 0 Executado 25 Planejado 50 75 100

Grfico 3 Andamento Implantao Ferramentas Fonte: Desenvolvido pela pesquisadora.

CONSIDERAES FINAIS

A Poltica de Segurana da Informao tem como objetivo a preservao das informaes, que so os ativos mais valiosos de uma empresa. Este trabalho apresentou as principais definies dentro de segurana da informao, metodologias que podem ser utilizadas e a criao de uma poltica de segurana na empresa Econtabil Software. Em conjunto com a Econtabil Software, foi identificada a necessidade de implantao de uma Poltica de segurana da informao, pois crescente o nmero de colaboradores e o acesso s informaes est cada vez mais vulnervel. Esta poltica de segurana foi criada em conjunto com o comit gestor de segurana da informao e aprovada por membros da diretoria, criando uma metodologia prpria para a segurana das informaes. Inicialmente o objetivo do trabalho era a implantao total da Poltica de Segurana, porm por outros interesses da organizao pesquisada no foi possvel concluir e trazer uma anlise total do projeto, desta forma, foi realizada uma anlise quantitativa parcial dos dados. A implantao do projeto est em 62,5%, entretanto, mesmo a poltica de segurana no estando completamente implantada notria a conscientizao dos usurios quanto importncia da segurana da informao, pois agora esto cientes das formas que podem ser atacados e como se proteger destes ataques. Constatou-se que uma das dificuldades da implantao da poltica de segurana a disponibilizao do tempo dos gestores para a identificao de requisitos e a aprovao da poltica de segurana. Os custos de implantao da segurana lgica e resistncia mudana dos usurios tambm foram dificuldades encontradas. Como perspectivas futuras, sugere-se a apresentao do resultado total da implantao atravs de anlise qualitativa.

REFERNCIAS

ADACHI, Tomi. Gesto de Segurana em Internet Banking - So Paulo: FGV, 2004. 121p. Mestrado. Fundao Getlio Vargas - Administrao. Orientador: Eduardo Henrique Diniz.

ALVES, Gustavo Alberto. Segurana da Informao: Uma Viso Inovadora da Gesto. Rio de Janeiro: Editora Cincia Moderna, 2006.

BARMAN, Scott, Writing information security policies, Indiana: New Riders, 2002.

CARUSO, Carlos A. A; STEFFEN, Flvio Deny. Segurana em Informtica e de Informaes. 3 Ed. rev. e ampl. So Paulo: Editora Senac So Paulo, 2006.

CERT.BR. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil. Disponvel em: www.cert.br,. Acesso em 20/06/2012.

CURSO Bsico de Seguranas da Informao. Apostila do curso oferecido pela Academia Latino Americana de Segurana da Informao, 2006.

FERREIRA, Fernando N. F.. Segurana da informao. Rio de Janeiro: Cincia Moderna, 2003.

FERREIRA, Fernando N. F.; ARAJO, Marcio Tadeu, Poltica de segurana da informao: Guia prtico para embalagem e implementao. Rio de Janeiro: Cincia Moderna, 2008.

FRAGATA, Abel; MARQUES, Cleber; ROMERO, Guilherme. Falando em TI. UniFMU, So Paulo, 2006. Disponvel em: http://www.abelfragata.com.br/tecnologia/itil.pdf. Acesso em: 13/10/2012.

56

ISACA ORG. COBIT Framework para Governana de TI e Controle. Disponvel em: http://www.isaca.org/Knowledge-Center/cobit/Pages/Overview.aspx. 22/06/2012. Acesso em

ITSMF, Information Technology Service Management Forum. Disponvel em: http://www.itsmf.com.br. Acesso em: 02/09/2012. LOURENO, Marcelo. ITIL Information Technology Infrastructure Library. Disponvel em: http://qualidade-de-software.blogspot.com.br/2009/12/itil_30.html. Acesso em:

05/09/2012.

LYRA, Maurcio Rocha. Segurana e Auditoria em Sistemas de Informao. Rio de Janeiro: Editora Cincia Moderna, 2008.

MICROSOFT

Corporation,

Criar

senhas

seguras.

Disponvel

em: Acesso

http://www.microsoft.com/pt-br/security/online-privacy/passwords-create.aspx em: 15/09/2012.

MITNICK, Kevin D.; SIMON, William L. A Arte de Enganar. So Paulo : Editora Pearson, Brasil, 2006.

MOREIRA, Nilton. S. Segurana Mnima: Uma viso corporativa da Segurana de Informaes. Rio de Janeiro: Axcel Books, 2001.

NBR ISO/IEC 17799. Associao Brasileira de Normas Tcnicas. Tcnicas de Segurana Cdigo de Prtica para a gesto da segurana da informao. Rio de Janeiro: ABNT, 2005.

NBR ISO/IEC 27002. Associao Brasileira de Normas Tcnicas. Tcnicas de Segurana Cdigo de Prtica para a gesto da segurana da informao Rio de Janeiro: ABNT, 2005.

57

OLIVEIRA JR., AULA 04 - Classificao e Controle dos Ativos de Informao. Material de Aula da Disciplina Auditoria e Segurana em Sistemas de Informao, 2012.

PEIXOTO, Mrio C. P. Engenharia Social e Segurana da Informao na Gesto Corporativa. Rio de Janeiro: Brasport, 2006.

PRESSMAN, Roger. S. Engenharia de Software. So Paulo : Makron Books do Brasil, 1995. PRIBERAM. Dicionrio da Lngua Portuguesa: Disponvel em:

http://www.priberam.pt. Acesso em 02/06/2012.

RUARO, DIRCEU A. Manual de apresentao de produo acadmica. Pato Branco, PR, Faculdade Mater Dei, 2004.

SAINT-GERMAIN, Ren. Information Security Management Best Practice Based on ISO/IEC 17799. The Information Management Journal, July/Aug. 2005. Disponvel em: <http://www.sis.pitt.edu/~dtipper/2825/ISO_Article.pdf>. Acesso em: 26/06/2012.

SCHNEIER, Bruce. Segurana.com: segredos e mentiras sobre a proteo na vida digital. Rio de Janeiro: Campus, 2001.

SMOLA, Marcos. Gesto da segurana da informao: uma viso executiva. Rio de Janeiro: Editora Campus, 2003.

TANENBAUM, Andrew S; Trad. SOUZA, Vandenberg D. de. Redes de Computadores. 4 Ed. Editora Campus, 2003.

TELECO, Redes de Computadores I: Segurana da Informao; Disponvel em: http://www.teleco.com.br/tutoriais/tutorialitil/pagina_2.asp. Acesso em: 08/04/2012.

ANEXO I

APNDICE I POLTICA DE SEGURANA DA INFORMAO DA ECONTABIL SOFTWARE

1 OBJETIVO A presente norma visa estabelecer os procedimentos e prticas a serem adotadas na utilizao dos recursos em Tecnologia da Informao, disponveis na Rede de Computadores da Econtabil Software. . 2 APLICAO Esta Norma Corporativa deve ser aplicada em todas as unidades da Econtabil Software, sendo elas: Pato Branco, Paran Foz do Iguau, Paran Curitiba, Paran Maring, Paran

E aplica-se a todos os diretores, funcionrios, terceirizados, estagirios e contratados da Econtabil Software. A presente norma, juntamente com as j existentes Polticas organizacionais so complementares, e devem ser utilizadas em conjunto.

3 REGRAS E RESPONSABILIDADES Esta seo trata de atribuies de regras e responsabilidade para a preservao da segurana da informao.

3.1 Colaboradores, estagirios e prestadores de servio Cabe a todos os colaboradores, estagirios e prestadores de servio da Econtabil Software: Cumprir a Poltica de Segurana da Informao da Econtabil Software; Assinar o TUSI (Termo de uso dos sistemas de informao);

60

Proteger as informaes contra acesso, modificao, destruio ou divulgao no autorizada pela Econtabil Software; Cumprir as leis e as normas que regulamentam os aspectos de propriedade intelectual; Assegurar o uso de recursos tecnolgicos sejam de uso exclusivos ao negcio; Comunicar ao Comit Gestor de segurana da informao qualquer

descumprimento ou violao desta Poltica. 3.2 Diretoria executiva Cabe Diretoria Executiva a funo de: Aprovar a Poltica de Segurana da informao e suas revises; Tomar decises administrativas referentes a casos de descumprimento da Poltica de Segurana. 3.3 Comit gestor de Segurana da Informao Cabe ao Comit Gestor da Segurana da Informao (CGSI): Aprovao das polticas, normas e procedimentos da segurana da informao; Propor ajustes, aprimoramentos e modificaes desta Poltica; Apoiar a implantao de solues para a minimizao de riscos Analisar os casos de violao desta poltica, encaminhando-os a Diretoria Executiva quando for o caso; O CGSI ter como membros: - Diretor do setor de desenvolvimento; - Representante do setor RH - Representante do setor de atendimento; - Representante do setor de TI. 3.4 Recursos Humanos (RH) Cabe ao setor de RH: Informar a ausncia ou o desligamento de funcionrios;

61

Estabelecer sanes ou penalidades a serem aplicadas quando normas e procedimentos forem desrespeitados; Auxiliar na obteno da assinatura dos termos de responsabilidade e compromisso (TUSI).

4 CLASSIFICAO DA INFORMAO A classificao da informao o processo que estabelece o grau de importncia da informao mediante ao seu impacto no negcio e identificar as informaes relevantes conforme seu grau de confidencialidade e estabelecer o nvel adequado de proteo. 4.1 Nveis de Classificao da Informao As informaes devem ser classificadas em um dos seguintes nveis: Nvel 1 Pblica uma classificao que corresponde a informaes criadas para fins de distribuio pblica, por meio de canais autorizados, que no necessitam de proteo efetiva. Exemplo: Telefone empresarial; Website; Campanhas de marketing.

Nvel 2 Interna uma classificao que corresponde a informaes usadas de forma rotineira que o acesso externo deve ser evitado, mas caso se tornem pblicas as consequncias no sero crticas. Exemplo: Lista de telefones ou ramais; Rotinas operacionais da empresa; Memorandos internos.

62

Nvel 3 Confidencial Informaes que forem divulgadas indevidamente, podem reduzir vantagens competitivas da empresa, violao de privacidade de indivduos e perdas financeiras, dentre outros. Exemplo: Salrios; Dados pessoais; Estratgia de mercado, Detalhes tcnicos sobre produtos em desenvolvimento; Contratos assinados com fornecedores Senhas.

Nvel 4 Restrita/ Secreta O aceso interno e externo crtico para a organizao, a quantidade de pessoas que possuem acesso a essa informao deve ser controlada para garantir a integridade das informaes. Caso ocorra sua divulgao pode resultar em graves consequncias a empresa. Exemplo: Projetos estratgicos, tais como aquisies, fuses e etc.; Informaes contbeis e resultados financeiros no divulgados; Contratos confidenciais; Informaes de concorrncias.

5 UTILIZAO DE RECURSOS COMPUTACIONAIS O uso de recursos tecnolgicos na empresa deve ser exclusivo a atividades direcionadas aos negcios da organizao. Tais recursos incluem estaes de trabalho, softwares, correio eletrnico, internet, mdias removveis, impressoras e computadores portteis.

5.1 Estaes de trabalho As estaes de trabalho so de prioridade e uso restrito da organizao; Toda estao de trabalho devem estar configuradas para bloqueio automtico com senha quando ultrapassar um perodo de 10 minutos de inatividade.

63

No permitido armazenar informaes de nvel confidencial em diretrios que no possuam controle de acesso. Apenas arquivos relacionados empresa devem ser armazenados no equipamento. A instalao e o uso de softwares que no possuam licena esto proibidos. A instalao de qualquer outro software est sujeita a parecer especfico do TI, que dever verificar a existncia do licenciamento necessrio e a compatibilidade com o ambiente corporativo.

Todos os equipamentos conectados rede devem obrigatoriamente possuir o antivrus instalado. A atualizao de responsabilidade do usurio e caso exista necessidade de treinamento, deve comunicar o setor de TI. O antivrus deve ser utilizado para a proteo dos equipamentos e informaes contra ataques de softwares maliciosos.

5.2 Computadores portteis Os equipamentos portteis que foram fornecidos pela Econtabil Software podem estar conectados a rede interna Computadores pessoais, smartphones, tablets e etc. devero requisitar permisso ao setor de TI a qual ir redireciona-los a uma rede.

5.3 Correio eletrnico O sistema de correio eletrnico destinado a fins profissionais. As correspondncias eletrnicas enviadas ou recebidas esto sujeitas a monitorao a fim de bloquear spams, vrus ou outros contedos maliciosos. proibido abrir arquivos com origem desconhecida, anexados a mensagens eletrnicas. proibido o repasse de correntes, propagandas, msicas, fotos a promoes pelo e-mail empresarial.

64

5.4 Internet O uso da internet restrito empresarial e destina-se a atividades profissionais. proibido qualquer tipo de material obsceno, pornogrfico, ilegal ou ofensivo, os quais nunca devero ser acessados, transmitidos ou armazenados. permitido o uso para consulta de e-mails empresariais, pesquisa e/ou obteno de informaes necessrias para o exerccio de suas atividades, bem como a comunicao interna e externa da empresa. O acesso internet para fins pessoais aceitvel se usado com moderao quando: - For feito antes do incio ou aps o fim do expediente, ou durante o horrio de almoo do colaborador; - No contrariar as normas aqui descritas; - No interferir, negativamente, na atividade profissional individual ou na de outros usurios. 5.5 Conexes remotas Econtabil Software Devem ocorrer com prvia solicitao e identificao do usurio que est utilizando do recurso. 5.6 Backup e Restore O backup o processo de criao de cpias de dados, assegura a existncia da redundncia dessas informaes para que possam ser recuperadas quando necessrio. Devem ocorrer diariamente; As mdias ou arquivos devem estar armazenados em ambientes fsicos distantes do arquivo original. As mdias ou arquivos devem estar identificados com data e horrio.

O Restore o processo de recuperao do Backup. Quando houver a necessidade de restaurao de backup deve ser solicitado ao setor de TI; O prazo e o local da restaurao sero informados ao solicitante.

65

5.7 Gesto de usurios e acesso a Sistemas de Informao O acesso lgico aos sistemas de informao deve ser controlado, e para que ocorra o controle lgico preciso que: Apenas usurios autorizados tenham acesso aos recursos; Usurios dedem ter acesso somente a recursos necessrios para execuo de suas atividades; Acessos a informaes crticas devem ser constantemente monitorados; Impedir que usurios pratiquem transaes incompatveis com sua funo.

5.7.1 - Incluso de Novo Usurio Solicitaes de novos usurios para acesso Rede Lgica e E-mail devem ser encaminhadas pelo gerente ou coordenador da rea e devem ser efetuadas atravs de e-mail para o setor administrativo.

5.7.2 - Senhas de Acesso Rede Corporativa A senha de acesso de uso pessoal para os usurios da rede, compreendendo funcionrios, estagirios, contratados e terceirizados. Regras gerais de senhas: A senha de exclusiva responsabilidade do usurio, no devendo ser divulgada para terceiros; Os usurios devem trocar sua senha constantemente; Evitar o uso de palavras conhecidas e que existem em dicionrios; No utilize caracteres e/ou nmeros sequenciais; O usurio dever mudar a sua senha sempre que tiver indicao de uma possvel quebra de sua privacidade, ou seja, sempre que desconfiar que outra pessoa tambm saiba a sua senha; A elaborao de senhas deve possuir um critrio especfico, jamais utilizar nome, sobrenome, nmeros de telefone, times de futebol, placas de carros e datas comemorativas.

66

Regras de senhas da rede e e-mail: A senha deve ter pelo menos 8 caracteres podendo ser letras, nmeros e/ou caracteres especiais; Letras maisculas e minsculas so tratadas pelo sistema de formas diferentes; A senha deve ser simples e fcil de digitar, para que no haja necessidade de observar o teclado.

6 UTILIZAO DE IMPRESSORA DE REDE A utilizao de impressoras de rede uma facilidade implantada na rede corporativa, visando compartilhar recursos de impresso por localidade. As impressoras podem estar compartilhadas em uma estao ou servidor para todos que precisem utiliz-las. A utilizao deve ser feita de forma consciente, evitando o uso para fins no ligados ao trabalho. 7 PENALIDADES O no cumprimento desta Poltica de Segurana da Informao implica em falta grave e poder resultar nas seguintes aes: advertncia formal, suspenso, resciso do contrato de trabalho, outra ao disciplinar e/ou processo civil ou criminal.

67

APNDICE II

TERMO DE RESPONSABILIDADE E CONFIDENCIALIDADE

Eu, abaixo assinado, declaro para os devidos fins e efeitos de direito estar de acordo com as normas e responsabilidades abaixo relacionadas: Propriedade Quaisquer recursos disponibilizados para as minhas atividades profissionais so de propriedade da ECONTABIL INFORMTICA LTDA e/ou de seus Clientes e devem ser utilizados exclusivamente para o desempenho de minhas funes profissionais. Divulgao No devo divulgar, fornecer e tampouco facilitar o acesso a informaes da ECONTABIL INFORMTICA LTDA e/ou seus Clientes e afiliados, funcionrios, parceiros, familiares ou quaisquer outras pessoas que: Uso Comprometo-me a cumprir rigorosamente as normas, polticas e controles descritos na Poltica de Segurana da Informao, Regulamento Interno e o Contrato de Trabalho. Sou responsvel pela segurana, uso correto e profissional de todos os recursos e informaes sob minha responsabilidade. Todas as atividades realizadas com recursos tais como crachs, chaves, uniformes, identificaes de usurio em sistemas e senhas a mim No assinaram e entregaram o presente termo empresa ECONTABIL INFORMTICA LTDA; No estejam diretamente envolvidas com o assunto; No estejam expressamente autorizadas.

disponibilizados so de minha responsabilidade.

68

No devo explorar em benefcio prprio ou para fins no ticos informaes e documentos de propriedade da empresa ECONTABIL INFORMTICA LTDA e/ou de seus Clientes.

No devo reproduzir ou alterar documentos, arquivos ou informaes de propriedade da ECONTABIL INFORMTICA LTDA e/ou de seus Clientes a no ser que essa atividade faa parte de minhas obrigaes profissionais e ou esteja formalmente autorizado.

No devo levar documentos ou arquivos contendo informaes da ECONTABIL INFORMTICA LTDA e/ou de seus Clientes para fora das dependncias da empresa sem autorizao formal.

Penalidades Descumprindo os compromissos assumidos neste termo, estarei sujeito s penalidades internas previstas no processo disciplinar da ECONTBIL INFORMTICA LTDA e/ou aes penais/ cveis previstas em lei. Vigncia Estou ciente de que as normas e responsabilidades contidas neste temo se estendem por tempo indeterminado, independente da quebra de vnculo profissional com a ECONTABIL INFORMTICA LTDA.

PATO BRANCO, _____,____________________,_________

Nome:_______________________

Assinatura:________________________

R.G: ________________________

69

AUTORIZAO

A empresa ECONTABIL INFORMTICA LTDA, estabelecida na Rua Caramuru, 940 Centro, na cidade de Pato Branco, estado do PR, inscrita no CNPJ sob o nmero 05.350.853/0001-77, representada pelo senhor Carlos Roberto de Oliviera concede a autorizao para vnculo com o trabalho de concluso de curso de Diany Bett, 079.718.799-54, aluna no 8 perodo do Curso de Bacharelado em Sistemas de Informao da Faculdade Mater Dei.

__________________________________________ Carlos Roberto de Oliveira

70

ENTREVISTA I

Principais processos, pessoas e ferramentas a serem protegidos, implantados e/ ou conscientizados:

PROCESSOS (Metodologia, normas e procedimentos) Auditoria e controle de navegao; Controle e monitoramento de trfego da rede; Direcionamento de servidores; Desenvolvimento de uma poltica de segurana.

PESSOAS (Cultura, capacitao e conscientizao) Treinamento/capacitao dos usurios; Conscientizao de uso de ferramentas e das informaes; Necessidade de uma pessoa destinada ao setor de TI (possvel terceirizao).

FERRAMENTAS (Fsicas e lgicas) Proteo lgica de equipamentos; Antivrus; Firewall; Acesso lgico a pastas em diretrios; Acesso fsico (chaves e senhas de alarme) Rodizio de senhas; Gerenciamento de grupo de e-mail; Controle de ferramentas de comunicao (Skype, Messenger); Backup e Restore.

_________________________ ECONTABIL SOFTWARE

71

ENTREVISTA II
Em que medida concorda ou discorda com cada uma das seguintes afirmaes em relao ao estado atual de implantao da Poltica de Segurana da Econtabil?
1 - No Implantado (0%) 2 - Incio de Implantao (25%) 3 - Em Implantao (50%) 4 - Final de Implantao (75%) 5 - Totalmente Implantado (100%)

PROCESSOS Auditoria e controle de navegao Controle e monitoramento de trfego da rede Direcionamento de servidores Desenvolvimento de uma poltica de segurana

1 X

X X X

PESSOAS Treinamento/capacitao dos usurios Conscientizao de uso de ferramentas e das informaes Necessidade de uma pessoa destinada ao setor de TI

3 X

X X

FERRAMENTAS Proteo lgica de equipamentos Antivrus Firewall Acesso lgico a pastas em diretrios Acesso fsico (chaves e senhas de alarme) Rodizio de senhas Gerenciamento de grupo de e-mail Controle de Ferramentas de comunicao Backup e Restore

4 X X

X X X X X X X