Vous êtes sur la page 1sur 96

FACULDADE RUY BARBOSA

NÚCLEO DE PÓS GRADUAÇÃO

REDES E SEGURANÇA DA INFORMAÇÃO - CSO

BRUNO FERREIRA VIANA

EBER DA SILVA DE SANTANA

CARLOS ROGÉRIO SANTOS ARISTIDES

DESENVOLVIMENTO DE UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

NO DATACENTER DA PREFEITURA MUNICIPAL DE CAMAÇARI

SALVADOR
2009
BRUNO FERREIRA VIANA

EBER DA SILVA DE SANTANA

CARLOS ROGÉRIO SANTOS ARISTIDES

Desenvolvimento de uma política de segurança da informação no datacenter

da prefeitura municipal de Camaçari

Trabalho de conclusão de curso apresentado


como requisito parcial para obtenção de título
de Especialista em Segurança da
informação, pelo curso de especialização
Redes e Segurança da Informação - CSO do
Núcleo de Pós-graduação da Faculdade Ruy
Barbosa em cumprimento da disciplina
Projeto de pesquisa orientada.
Orientador: Othon Marcelo Nunes Batista.

Salvador
2009
BRUNO FERREIRA VIANA

EBER DA SILVA DE SANTANA

CARLOS ROGÉRIO SANTOS ARISTIDES

UM ESTUDO DO IMPACTO DA IMPLANTAÇÃO DE UMA POLÍTICA DE

SEGURANÇA DA INFORMAÇÃO NO DATACENTER DA PREFEITURA

MUNICIPAL DE CAMAÇARI

Monografia apresentada como requisito parcial para obtenção do título de


Especialista em Segurança da informação, pelo curso de especialização Redes e
Segurança da Informação - CSO do Núcleo de Pós-graduação da Faculdade Ruy
Barbosa em cumprimento da disciplina Projeto de pesquisa orientada, submetida à
aprovação da banca examinadora composta pelos seguintes membros:

____________________________________________________
Prof. Othon Marcelo Nunes Batista

Salvador, dezembro de 2009.


RESUMO

No inicio da informatização das organizações se existia uma preocupação

com a segurança física dos equipamentos de informática. Acreditava-se que a perda

desses equipamentos seria o maior prejuízo que as organizações poderiam ter e

essa mentalidade se estendeu por muitos anos. No decorrer dos anos mudou-se a

percepção, entendendo-se que era muito mais importante para as organizações as

informações armazenadas nesses equipamentos e não eles em si, logo a atenção

se voltou para as informações. Porém não demorou a entender que para garantir a

segurança da informação, se faz um perímetro muito maior que envolve também as

pessoas e os processos, e com isso a necessidade de uma política de segurança

em que sejam definidas regras para todos os processos da organização.

O objetivo desse trabalho é analisar o Data Center da prefeitura de

Camaçari e desenvolver uma política de segurança para que possa ser implantada

no mesmo.

Palavra chave: Política de Segurança


ABSTRACT

At the beginning of computerization of organizations if there was a

concern for the physical security of computer equipment. It was believed that the loss

of such equipment would be the biggest loss that organizations could have and that

mindset was spread over many years. Over the years changed the perception,

understanding that it was much more important for organizations to information

stored on that equipment and not they themselves, so attention turned to the

information. But it was not suggested that to ensure information security, whether it is

a much larger perimeter that also involves people and processes, and thus the need

for a security policy that rules are defined for all processes of the organization.

The aim of this study is to analyze the Data Center of the City Hall

Complex and develop a security policy that can be deployed in it.

Keyword: Security Policy


SUMÁRIO

1. INTRODUÇÃO ........................................................................................................6

2. JUSTIFICATIVA ......................................................................................................8

3. OBJETIVO...............................................................................................................9

3.1 OBJETIVO GERAL............................................................................................9

3.2 OBJETIVOS ESPECÍFICOS..............................................................................9

4. HIPÓTESE.............................................................................................................10

5. METODOLOGIA....................................................................................................11

6. SEGURANÇA DA INFORMAÇÃO........................................................................12

7. POLÍTICA DE SEGURANÇA.................................................................................17

7.1 PLANEJAMENTO DO SISTEMA DE SEGURANÇA DA INFORMAÇÃO...........22

7.2 IMPLEMENTAÇÃO DO SISTEMA DE SEGURANÇA DA INFORMAÇÃO.........26

8. DADOS GERAIS DE CAMAÇARI ......................................................................... 31

8.1. GEOGRAFIA..................................................................................................31

8.2. ANIVERSÁRIO...............................................................................................31

8.3 DADOS GERAIS..............................................................................................31

8.4. ECONOMIA....................................................................................................32

8.5. DISTÂNCIAS..................................................................................................33

8.6 PRAIAS............................................................................................................33

8.7 DISTRITOS......................................................................................................34

9. DADOS COLETADOS........................................................................................... 35

CONSIDERAÇÔES FINAIS ...................................................................................... 37

REFERÊNCIAS......................................................................................................... 39

ANEXO A....................................................................................................................41

ANEXO B....................................................................................................................48
1. INTRODUÇÃO

Com os avanços da tecnologia moderna atual, há uma grande

preocupação com a segurança da informação em ambientes informatizados. No

mundo globalizado, às organizações estão cada vez mais prezando o sigilo de suas

informações.

A informação das organizações é afetada por grupos mal intencionados

que querem conseguir informações classificadas como privilegiadas, seja como fim

de espionagem industrial, informações estratégicas de empresas e pessoas, fraudes

ou escândalos, pois a todo instante informações são enviadas, disponibilizadas,

compartilhadas e geradas, na sua grande maioria em tempo real.

A existência de indivíduos tentando utilizar a tecnologia disponível é cada

vez mais comum. Bem como, o despreparo e até a inocência das pessoas para

realizar atividades ilegais, destrutivas ou não autorizadas. Essas atividades, que vão

de um simples adolescente tentando atos de vandalismo em páginas Web até

tentativas sofisticadas de roubar informações de cartões de crédito de clientes, são

decorrentes de várias vulnerabilidades em processos e sistemas (GORISSEN,

2009).

Os quesitos mínimos de segurança da informação são extremamente

importantes para que informações privilegiadas não sejam liberadas de forma

indevida, o que pode causar um impacto significativo nos negócios da organização.

Desta forma, cresce a preocupação com segurança da informação e,

conseqüentemente, uma maior procura de profissionais cada vez mais

6
especializados. Por isso, o estudo mais aprofundado desta nova tendência a ser

adotada nos ambientes profissionais contemporâneos é bastante importante, o que

deve também incorporar, assim, as novas normas de padronização da segurança da

informação: ABNT NBR ISO/IEC 27001, ABNT NBR ISO/IEC 27002 (Associação

Brasileira de Normas e Técnias ABNT NBR, International Organization for

Standardization ISO, International Electrotechnical Comission IEC).

7
2. JUSTIFICATIVA

A escolha do tema se deu em razão da diversidade de comportamentos

dos usuários dos sistemas implantados em uma organização, eis que por mais

padrões que sigam, possuem ambientes diferenciados uns dos outros o que

conseqüentemente torna vulnerável a segurança das informações.

O presente trabalho visa mostrar, através de um estudo de caso, a

importância e a necessidade da implantação de políticas de segurança num

ambiente organizacional demonstrando os benefícios para seus usuários.

Um dos motivos que levam a implantação das normas de segurança da

informação é a necessidade de restringir o acesso de algumas informações sigilosas

para a organização não ocorrendo à vazão das mesmas.

8
3. OBJETIVO

3.1 OBJETIVO GERAL

Avaliar o impacto da implantação de uma política de segurança da

informação no datacenter da prefeitura municipal de Camaçari.

3.2 OBJETIVOS ESPECÍFICOS

Para alcançar o objetivo geral, foram definidos os seguintes objetivos

específicos:

 definir uma política em conformidade com as leis, regulamentações e normas

da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002.

 elaboração de uma estratégia de divulgação da segurança entre os usuários;

 aplicação da política de segurança da informação no datacenter da prefeitura

de Camaçari.

9
4. HIPÓTESE

Diante destes objetivos, a hipótese formulada ressalta que a implantação

da política de segurança da informação deve melhorar o sistema organizacional

diante da aplicação das normas técnicas ABNT NBR ISO/IEC 27001 e ABNT NBR

ISO/IEC 27002, com um aumento no nível de segurança de suas informações.

10
5. METODOLOGIA

A metodologia utilizada para realizar este projeto consiste de:

 revisão bibliográfica;

 análise e avaliação dos aspectos do comportamento do usuário antes e

depois da implantação da política de segurança;

 estabelecimento de um plano de melhoria continua da segurança da

informação.

11
6. SEGURANÇA DA INFORMAÇÃO

Ferreira (2003) entende que informação é um ativo que tem valores

próprios sejam eles reais ou surreais físicos ou virtuais e que, portanto, necessitam

de proteção.

A segurança da informação protege a informação de diversos tipos de


ameaça garantindo a continuidade dos negócios minimizando os
danos e maximizando o retorno dos investimentos e das
oportunidades. A segurança da informação é caracterizada pela
confidencialidade, integridade, disponibilidade. A confidencialidade
diz que somente pessoas autorizadas podem acessar as
informações. A integridade é meio de como a informação é protegida.
E a disponibilidade concede o acesso às informações somente a
usuários autorizados. (FERREIRA 2003, p. 1).

Atualmente, as informações, ao mesmo tempo em que são consideradas

os principais patrimônios de uma organização, estão também sob constante risco

diante do valor que lhe é atribuído, pois, em tempos modernos um vazamento de

informação de uma grande empresa pode colocar todo seu negócio em risco, e com

isso a segurança da informação tornou-se crucial para a sobrevivência destas.

Em outras épocas, quando a informação era repassada manualmente, a

segurança era relativamente simples. Com os avanços tecnológicos a estrutura tanto

organizacional quanta da informação atingiram tamanha complexidade que é preciso

cada vez mais que as equipes de TI se especializem continuamente. Assim, surge o

profissional de segurança da informação- Security Officer.

Esses profissionais visam organizar as áreas de segurança de infra-

estrutura organizacional, planejar os investimentos, orientar e coordenar a equipe

12
técnica sendo ela parceira ou não, divulgar, elaborar e definir workshop e

treinamentos para a empresa.

Sêmola (2003) defende que além de integridade, confidencialidade e

disponibilidade mais dois são fundamentais para poder se classificar uma

informação em segura: autenticação e legalidade.

A autenticação é processo de identificação e reconhecimento formal da

identidade dos elementos que entram em comunicação ou fazem parte de uma

transação eletrônica que permite o acesso à informação e seus ativos por meio de

controle de identificação desses elementos.

A legalidade é a característica das informações que possuem valor legal

dentro de um processo de comunicação, onde todos os ativos estão de acordo com

as cláusulas contratuais pactuadas ou a legislação política institucional, legislação

nacional ou internacional vigente.

Diante da definição do que é necessário para assegurar se uma

informação é segura, vem os métodos e passos para se alcançar esse objetivo.

Um dos primeiros passos para se ter segurança nas informações é

classificar as mesmas. Segundo a Associação Brasileira de Normas Técnicas (2003,

p.10) classificar a informação é fator primário para se conseguir definir que tipo de

tratamento será adotado, e é com essa classificação que será destinado mais

recursos ou não, para garantir a segurança.

Devem existir métodos definidos para a classificação agrupando as

informação de acordo com a prioridade para os negócios da organização. Com a

classificação definir procedimentos para a segurança da mesma.

13
Kovacich (1998, p. 104) ressalta a importância de um bom processo de

classificação, pois definições erradas na classificação iram direcionar recursos para

informação desnecessárias elevando o custo do processo, ou nos piores casso que

é não dando a devida atenção para os pontos mais importantes.

Seguindo a idéia que Kovacich (1998), Palma (2004) que existem

informações nas organizações que não necessitam de grades recursos para garantir

a segurança, pois são informações de pouco valor e se for aplicado a essas

informações, grandes controles de segurança os custos podem aumentar

consideravelmente se justificativa.

Essa classificação deve envolver todos os setores envolvidos e uma

aprovação de todos dificultando assim erros na classificação e distribuindo a

responsabilidade pela classificação. A Associação Brasileira de Normas Técnicas

(2003, p.10) indica que o processo de classificação juntamente com seus controles,

se enquadre com o negócio da organização e os impactos que pode ter com acesso

não autorizado de terceiros a essas informações.

Com a necessidade da classificação da informação vem quais métodos

devem ser usados para se classificar essa informação. Sêmola (2003) defende que

a classificação da informação deve ser feita com base em sua confidencialidade.

Porem o modelo proposto por Sêmola (2003) não leva em consideração a

associação da informação com o negocio da organização, os impactos de acessos

indevidos ou perdas das informações para a continuidade da informação. Todos

esses pontos são citados na Associação Brasileira de Normas Técnicas (2003, p 10)

e Palma (2004) reforçam que com essa classificação os itens Integridade e

14
Disponibilidade não são levados para primeiro plano e com isso acabam não tendo

os devidos controles.

Logo para se classificar uma informação deve ser levantando alguns

índices que iram flutuar de acordo com o negocio da organização, que alguns deles

são:

 custo de produção;

 custo da perda da informação;

 custo do acesso indevido;

 importância para a organização;

 importância para crescimento da organização;

 disponibilidade.

Posteriormente classificar com relação a sua confidencialidade e após a

soma desses itens empregar os controles.

Definida a classificação da informação deve se atentar para a definição

dos controles. Normalmente se tem a idéia que quanto mais tecnologia implantada

mais seguro se estará, provocando um perigoso sentimento que é a falsa sensação

de segurança, que é infinitamente pior que a certeza da insegurança.

SÊMOLA (2003, p. 17) alerta para o problema da seguinte pergunta: “Não

estaria a equipe de segurança voltada apenas para os aspectos tecnológicos da

segurança e, conseqüentemente, esquecendo-se dos aspectos físicos e humanos?”

E completa com a seguinte analogia: “De que adianta possuir duas trancas na porta

social, se a outra, permite acesso ao mesmo ambiente, só possui uma?”

15
Nunca podemos esquecer que a força de uma corrente esta limitada a

seu elo mais franco.

Os controles para segurança devem esta levando em consideração não

apenas a parte tecnológica, mas desde o processo de acesso físico de acesso, aos

procedimentos e processo assim como a qualificação e treinamento humano.

16
7. POLÍTICA DE SEGURANÇA

São quatro as ondas de segurança da informação: a primeira com os

computadores de grande porte, chamados mainframes, em que o fabricante do

equipamento, além de fornecer o hardware e software, também se preocupava em

garantir a segurança. Na década de 80 vieram às redes e os microcomputadores, o

que gerou uma época de incertezas, pela falta de sistemas e métodos de segurança.

A terceira veio com o surgimento da internet, quando a segurança começou a

amadurecer e a se aproximar dos executivos e usuários diante dos acontecimentos

de fraudes e desvios financeiros. Surgiram produtos e serviços sofisticados, e as

empresas e os governos aumentaram suas equipes de segurança (NERY, 2004).

Vivemos a quarta onda, motivada pela ampla regulamentação da

segurança da informação. Cada dia mais setores da economia têm de atender

determinações das agências reguladoras que exigem proteção das informações

garantindo sigilo, integridade, privacidade e disponibilidade (NERY, 2004).

A política de segurança é um mecanismo preventivo de proteção dos dados


e processos importantes de uma organização que define um padrão de
segurança a ser seguido pelo corpo técnico e gerencial e pelos usuários,
internos ou externos. Pode ser usada para definir as interfaces entre
usuários, fornecedores e parceiros e para medir a qualidade e a segurança
dos sistemas atuais. (DIAS, 2000, p. 48).

A política de segurança da informação deve estabelecer alguns princípios

institucionais de como a organização irá proteger, controlar e monitorar seus

recursos computacionais.

17
Spanceski (2004) Ressalta que a política de segurança baseia-se nas

questões relacionadas à proteção do ativo da informação, assim desempenhando

um papel importante em todas as organizações, sendo elaborada uma política de

segurança da informação visando as definições de normas, procedimentos,

ferramentas e responsabilidades para garantir o controle e a segurança da

informação nas empresa.

Não se deve encarar uma política de segurança como mais um modismo


passageiro que freqüentemente aparece em todas as áreas de atividades.
Antes de mais nada, política de segurança é um conjunto de diretrizes
gerais destinadas a governar a proteção a ser dada a ativos de informação.
(LEMOS 2001 apud CARUSO;STEFFE, p 5)

Uma política de segurança é um instrumento importante para proteger a

sua organização contra ameaças à segurança da informação que a ela pertence ou

que está sob sua responsabilidade. Uma ameaça à segurança é compreendida

neste contexto como a quebra de uma ou mais de suas três propriedades

fundamentais confidencialidade, integridade e disponibilidade (NIC BR SECURITY

OFFICE, 2003).

Lemos (2001, p. 8) apud Loss Control afima que a existência e o correto

cumprimento da Política de Segurança da Informação permite às organizações um

significativo ganho de produtividade devido à padronização das atividades e a

redução do retrabalho e dos prejuízos financeiros decorrentes da perda de

informações.

Já Ferreira (2003, p. 1) diz, a segurança da informação protege a

informação de diversos tipos de ameaça garantindo a continuidade dos negócios

18
minimizando os danos e maximinizando o retorno dos investimentos e das

oportunidades.

Ressalta ainda, que a segurança da informação é caracterizada pela

confidencialidade, integridade e disponibilidades dos dados ou informação. A

confidencialidade diz que somente pessoas autorizadas podem acessar as

informações. A integridade são meios de como a informação é protegida. E a

disponibilidade concede o acesso às informações somente a usuários autorizados

utilizando-se assim de forma integra e segura das informações.

A figura abaixo mostra as principais premissas dos ativos da tecnologia

da informação.

Confiabilidade

Integridade

Disponibilidade

Figura 1 – Ativos da Política de Segurança

Fonte: Adaptado de Ferreira (2003, p.18)

As informações são consideradas como principal ativo ou patrimônios de

uma organização, por isso estão em constante risco tanto pelos meios interno e

externo da organização, pois em tempos modernos um vazamento de informação de

uma grande empresa pode colocar todo seu negócio em risco, e com isso tanto a

segurança como as políticas agregadas a ela tornou-se crucial paras a

sobrevivências destas.

19
Ferreira (2003, p.17) define que as políticas, padrões e procedimentos de

segurança expressam os anseios dos acionistas que como proprietário, devem

decidir os destinos de todos os recursos da organização em relação ao uso da

informação por todos aqueles que tem acesso a esse bem.

Conforme Núcleo de Informação e Coordenação do Ponto BR (2003),

antes que a política de segurança seja escrita, é necessário definir a informação a

ser protegida. Usualmente, isso é feito através de uma análise de riscos que

identifica:

a. recursos protegidos pela política;

b. ameaças às quais estes recursos estão sujeitos;

c. vulnerabilidades que podem viabilizar a concretização destas

ameaças,analisando as individualmente.

A implantação destas práticas minimiza as chances de ocorrerem

problemas de segurança e facilita a administração das redes e recursos de forma

segura. Esse conjunto representa o mínimo indispensável dentro de um grande

universo de boas práticas de segurança, o que equivale a dizer que a sua adoção é

um bom começo, mas não necessariamente é suficiente em todas as situações.

Qualquer exclusão de controles considerada necessária para satisfazer

os critérios de aceitação de risco precisa ser justificada e as evidências precisam ser

providas para a associação dos riscos aceitos às pessoas responsáveis. Qualquer

controle que seja excluído pode prejudicar a conformidade a esta norma. A menos

que tais exclusões não afetem os negócios da organização de prover segurança da

informação que satisfaça os requisitos de segurança determinados por avaliações

20
de riscos e requisitos regulatórios aplicáveis. (ASSOCIAÇÃO BRASILEIRA DE

NORMAS E TÉCNICAS, 2005).

A política de segurança não define procedimentos específicos de


manipulação e proteção da informação, mas atribui direitos e
responsabilidades às pessoas (usuários, administradores de redes e
sistemas, funcionários, gerentes, etc.) que lidam com essa informação.
Desta forma, elas sabem quais as expectativas que podem ter e quais são
as suas atribuições em relação à segurança dos recursos computacionais
com os quais trabalham. Além disso, a política de segurança também
estipula as penalidades às quais estão sujeitos aqueles que a descumprem
(NÚCLEO DE INFORMAÇÃO E COORDENAÇÃO DO PONTO BR, 2003).

Segundo Associação Brasileira de Normas Técnicas (2008), a segurança

da informação é caracterizada pela preservação de:

a) confidencialidade: garantia de que a informação é acessível somente

por pessoas autorizadas a terem acesso;

b) integridade: salvaguarda da exatidão e completeza da informação e

dos métodos de processamento;

c) disponibilidade: garantia de que os usuários autorizados obtenham

acesso à informação e aos ativos correspondentes sempre que

necessário.

Spanceski (2004) apud Wadlow aponta que uma política de segurança

atende a vários propósitos:

 Descreve o que está sendo protegido e por quê;

21
 Define prioridades sobre o que precisa ser protegido em primeiro lugar

e com qual custo;

 Permite estabelecer um acordo explícito com várias partes da empresa

em relação ao valor da segurança;

 Fornece ao departamento de segurança um motivo válido para dizer

“não” quando necessário;

 Proporciona ao departamento de segurança a autoridade necessária

para sustentar o “não”;

 Impede que o departamento de segurança tenha um desempenho fútil.

7.1 PLANEJAMENTO DO SISTEMA DE SEGURANÇA DA INFORMAÇÃO

Para iniciar-se um planejamento de uma política da segurança é essencial

saber o foco da organização que de modo os riscos dentro deste âmbito seja

entendido para que possam ser enfrentados.

Para que a abordagem de segurança possa ser pró-ativa é essencial uma


política de segurança bem definida, sendo que as definições das
responsabilidades individuais devem estar bem claras facilitando o
gerenciamento de segurança em toda a empresa. (SPANCESKI, 2004, p.
34)

O ponto de partida para uma empresa seguir as políticas de segurança

com êxito o importante é que os executivos aprovem e estejam de acordo, assim

22
podem comunicar para todos os funcionários, de forma relevante e acessível.

(SPANCESKI, 2004)

Assim toda organização que possuir um setor Gestão de Segurança da

Informação deve ser divulgada sua política de segurança entre todos os

colaboradores da organização dispostas que seu conteúdo possa ser consultado a

qualquer momento.

Em um planejamento da política de segurança visa o caráter geral da

aplicação da mesma abranger as regras para todos assim deve-se ser obedecidas

por todos. Com isso há uma divisão por níveis, podendo ser mais genérico, que os

executivos possam entender o que está sendo definido, dos usuários de forma que

tenham consciência de seus papéis e obrigação para manter a segurança na

organização, e de nível mais técnico para procedimentos específicos como, por

exemplo, a implementação das regras de filtragem do firewall em uma DMZ.

(SPANCESKI, 2004)

A política é o elemento que orienta as ações e as implementações futuras,


de uma maneira global, enquanto as normas abordam os detalhes, como os
passos da implementação,os conceitos e os projetos de sistemas e
controles. Os procedimentos são utilizados para que os usuários possam
cumprir aquilo que foi definido na política e os administradores de sistemas
possam configurar os sistemas de acordo com a necessidade da
organização. (SPANCESKI, 2004, p. 36)

Spanceski (2004) apud Dimitri, aponta que a política de segurança esta divida em

três tipos de níveis: estratégico, tático e operacional.

O nível estratégico trata dos valores organizacionais assim quando se

necessário tomar alguma medida de decisão sobre uma nova situação usar o bom

senso e tomar uma decisão seguindo os valores da organização.

23
O nível tático compõe os padrões de diretrizes do ambiente referindo-se

aos equipamentos, hardware, softwares, utilização do correio eletrônico, rotinas de

backups, isso tudo deve ser padronizado, isso prevalece ao ambiente da empresa o

nível de segurança que nela há.

O nível operacional é a forma de padronização e detalhe do ambiente

organizacional assim aplicando em toda a organização, dependendo de sua

necessidade. A política de segurança é um processo que define as ações de futuras

implementações para que os usuários possam cumprir o que foi definido na política

de segurança e os administradores possam definir os sistemas de acordo com as

necessidades da organização.

Para manter a disponibilidade de uma estrutura organizacional deve

implantar os seguintes elementos da política de segurança:

- “Vigilância: todos os funcionários da organização devem entender a

importância da segurança para a mesma. No aspecto técnico a vigilância deve ser

um processo regular e consistente incluindo o monitoramento dos sistemas e da

rede.

- Atitude: é a postura e a conduta em relação à segurança, é essencial

que a política seja de fácil acesso e que seu conteúdo seja de conhecimento de

todos os funcionários da organização. Atitude significa também o correto

planejamento, pois a segurança deve fazer parte de um longo e gradual processo

dentro da organização.

- Estratégia: deve ser criativo quanto às definições da política e do plano

de defesa contra intrusões, possuir a habilidade de se adaptar as mudanças. A

estratégia deve ser definida de modo que as medidas de segurança a serem

24
adotadas não influenciem negativamente no andamento dos negócios da

organização.

- Tecnologia: a solução tecnológica deverá suprir as necessidades

estratégicas da organização, deve-se tomar cuidado com qualquer tecnologia um

pouco inferior, pois poderá causar uma falsa sensação de segurança, podendo

colocar em risco toda a organização. O ideal é a implantação de uma política de

segurança dinâmica em que múltiplas tecnologias e práticas de segurança são

adotadas”. (SPANCESKI, 2004 apud SÊMOLA, p.37)

Sendo assim a política de segurança, deve ser flexível para manter e

conter as regras que se aplique a toda organização que seja o suficiente para que

não sofram alterações freqüentes. A figura XYZ mostra a importância para o

sucesso da política e segurança de cada um dos elementos que lema a política de

segurança ao sucesso.

Figura 2 - Política de Segurança de Sucesso

Fonte: Adaptado de Spanceski (2004, p.37) apud Sêmola (2003, p.105)

Disponível em: http://www.mlaureano.org/aulas material/orientacoes2/ist 2004 francini politicas.pdf

25
7.2. IMPLEMENTAÇÃO DO SISTEMA DE SEGURANÇA DA INFORMAÇÃO

Diante do exposto, faz-se necessário que as empresas para manterem-se

competitivas no mercado globalizado atualizem suas normas técnicas de segurança

de informação, utilizando as regras mais conceituadas no comércio mundial.

Nesse sentido, as normas ABNT NBR ISO/IEC 27001, ABNT NBR

ISO/IEC 27002 possibilitam às organizações a implementação de um Sistema de

Gestão de Segurança da Informação (SGSI), através do estabelecimento de uma

política de segurança, controles e gerenciamento de riscos.

Para Spanceski (2004) a Implementação da política da segurança é

considerada no decorrer do seu processo de implantação a parte mais difícil, pois

sua definição abrangem e envolve o ambiente organizacional, a cultura as pessoas

tornando assim um tarefa bastante trabalhosa e complexa.

Segundo a norma Associação Brasileira de Normas Técnicas (2005), as

seguintes análises críticas periódicas também devem ser agendadas:

· verificação e efetividade da política, demonstrada pelo tipo, impacto e

volume e dos incidentes de segurança registrados;

· análise do custo, impacto dos controles na eficiência do negócio;

· verificação dos efeitos e mudanças na tecnologia utilizada;

Spanceski (2004) afirma que os executivos são conscientes que o item

que se destaca entre os obstáculos para implementação da segurança da

informação. São os mesmo, pois somente com a aprovação deles que a política de

segurança pode ser aprovada assim, apenas para satisfazer a equipe de segurança

26
ou os auditores, comprometendo a própria organização. Os executivos devem ser

convencidos que o melhor a fazer é atuar de modo pró-ativo. O ideal é mostrar

estudos que provam que é mais barato considerar a perspectiva de prevenir, deter e

detectar do que a de corrigir e recuperar.

Os principais quesitos no impacto da implementação de uma política de

segurança são:

 a falta de consciência dos usuários é outro item que demonstra um

percentual elevado nos dois anos, isto deixa clara a necessidade de

divulgação e treinamentos durante o processo de implementação da

política, que possam esclarecer seus benefícios e importância do

seguimento das normas e procedimentos adotados. (Spanceski 2004

p.42)

 a dificuldade de demonstrar retorno, e o alto custo são itens importantes a

serem comentados. O fato de não conseguir os recursos necessários

reflete a falha em convencer os executivos da importância das

informações e dos sistemas de informações da organização, que devem,

portanto, ser protegidos. Deve-se esclarecer que a indisponibilidade de

recursos significa prejuízos, pois os negócios podem ser interrompidos

como decorrência de um ataque. (Spanceski 2004 p.42)

 a modelo de negação total, em que a premissa básica é: “O que não é

permitido é proibido”, é aquele em que a princípio todos os serviços

possíveis são negados e que todas as restrições possíveis são aplicadas.

27
À proporção, que houver necessidade de liberação de serviço e

concessão de permissão, vai-se concedendo. É o modelo que apresenta

maior eficiência em termos de segurança, porém maior grau de dificuldade

de implementação, já que todas as brechas possíveis de segurança têm

que ser identificadas e fechadas. (Lemos 2001 p. 16)

 o modelo de permissão total é exatamente o oposto. Apresentando um

mínimo de segurança aplicável, à medida que vão surgindo problemas

relativos à segurança, vão sendo implementadas restrições, este modelo

mais fácil de implementar, porém mais frágil em segurança. (Lemos 2001

p. 16)

São modelos aplicáveis a sistemas de seguranças, utilizado devido ao

nível de segurança que se queira aplicar ao ambiente organizacional. O cuidado

deve ser tomado na intenção destes, evitando a se aplicar o modelo para

necessidades de segurança diferente, ao mesmo tempo evitar assim que servidores

de um determinado tipo de modelo não venham comprometer a segurança e

operação de servidores com outro tipo de modelo (LEMOS 2001).

Assim a implementação da classificação das informações tende a melhor

seus níveis de acessos, de acordo com a mídia em que a informação é armazenada,

a classificação das informações, favorecendo a localização, definição e acesso

informação de forma rápida e atentando para a política de classificação da

informação (LEMOS 2001).

28
No caso de informações em meio magnético¹, o nível de classificação
diferencia os diversos níveis de acesso para leitura, sendo que a alteração
da informação deve permanecer, sempre, sob responsabilidade do gestor.
A fim de que não haja possibilidade de exposição indevida, os meios de
armazenamento devem ser manipulados de acordo com os procedimentos
estabelecidos para as informações neles armazenadas que estiverem
classificadas com o maior nível. (LEMOS 2001 apud LOSS CONTROL
2001, p.16).
¹ São recursos utilizados para a alocação de informações, tais como:
disquete, cd, fitas, etc.

A implementação da política de segurança concretiza-se, quando todos

os funcionários conhecem a política, compreende que as normas e procedimentos

estabelecidos realmente sejam seguidos por todos os funcionários. (SPANCESKI,

2004)

Toda política de segurança passa por um processo formal de

implantação. É recomendado que o processo seja flexível o suficiente para permitir

atualizações da política conforme as necessidades como principais fases do

processo são:

 definição do escopo;

 identificação dos recursos críticos;

 definição, em linhas gerais, dos objetivos de segurança a serem

atingidos;

 análise das necessidades de segurança (identificar as ameaças,

analise de riscos e impactos)

 elaboração da política;

 discussões com os envolvidos;

29
 apresentação de documento formal a gerencia superior;

 aprovação;

 implementação;

 avaliação da política;

 revisões periódicas.

Estabeleça uma política educacional com relação à segurança, para


convencer e obter apoio, antes de introduzir medidas de segurança.
Lembre-se: segurança é encarada, antes de mais nada, como a maneira de
se impedir a bisbilhotice alheia e não a nossa. Onde os canais formais se
revelarem ineficientes, use os canais informais que toda organização
possui; procure convencer o líder nato dentro de uma estrutura, se o mesmo
não fizer parte da estrutura formal; entretanto, seja hábil para não ferir
suscetibilidades. (LEMOS 2001 apud CARUSO;STEFFE, p. 8)

30
8. DADOS GERAIS DE CAMAÇARI

8.1 GEOGRAFIA

Localiza-se a uma latitude 12º41'51" sul e a uma longitude 38º19'27"

oeste, estando a uma altitude de 36 metros. Com área territorial de 762,745 km²,

dista cerca de 41 km da Capital Salvador, sendo parte da RMS (Região

Metropolitana de Salvador) limitando-se ao norte com Mata de São João, ao sul com

Lauro de Freitas, ao sudoeste com Simões Filho, a oeste com Dias D’Ávila e leste

com o Oceano Atlântico.

8.2 ANIVERSÁRIO

Fundação 28 de Setembro de 1758.

8.3 DADOS GERAIS

 Mesorregião Metropolitana de Salvador

 Microrregião Salvador

 Região metropolitana Grande Salvador Municípios limítrofes Lauro de Freitas,

Simões Filho, Dias d'Ávila, Mata de São João Distância até a capital 42

quilômetros Características geográficas

 Área 759,802 km²

 Densidade 259,0 hab./km²

31
 Altitude 36 metros

 Clima Tropical

 Fuso horário UTC -3

Camaçari é um dos mais ricos municípios nordestinos. O município abriga

o Pólo Petroquímico de Camaçari, um Pólo Automobilístico, recém construído a

partir da implantação da Ford em 2000 se constituindo um importantíssimo

empreendimento industrial, cujo impacto ambiental ainda precisa ser avaliado.

8.4 ECONOMIA

Camaçari possui o maior PIB da região nordeste, contudo isso não

assegura a distribuição da renda, não se distinguindo das demais regiões brasileiras,

onde as grandes inversões financeiras coexistem com formas primitivas de

sobrevivência. As perspectivas de conurbação da RMS por crescimento natural e

atração de imigrantes também precisa ser melhor dimensionada, inclusive porque

essa região abriga um lençol de água subterrâneo, com risco de ser poluído, e

potencial de abastecer grandes populações.

A economia do município é baseada no Pólo Industrial que iniciou suas

operações em 1978. Foi o primeiro complexo petroquímico planejado do País. Maior

complexo industrial do Hemisfério Sul são mais de 60 empresas químicas,

petroquímicas e de outros ramos de atividade como indústria automotiva, de

celulose, metalurgia do cobre, têxtil, bebidas e serviços.

32
Faturamento de aproximadamente US$ 14 bilhões/ano.

Contribuição anual acima de R$ 700 milhões em ICMS para o Estado da Bahia.

Responde por mais de 90% da arrecadação tributária de Camaçari.

Emprega 13.000 pessoas diretamente e 20.000 pessoas através de empresas

contratadas.

Sua participação no Produto Interno Bruto baiano é superior a 30%.

8.5 DISTÂNCIAS

Feira de Santana : 80 km

Praia do Forte : 36 km

Salvador : 41 km

8.6 PRAIAS

Praia de Arembepe

Praia de Barra do Jacuípe

Praia de Genipabu

Praia de Guarajuba

Praia de Interlagos

Praia de Itacimirim

Praia de Jauá

Praia do Japonês

Praia de Busca Vida

33
8.7 Distritos

Monte Gordo

Abrantes

Sede(Camaçari)

34
9. DADOS COLETADOS

Um dos objetivos do trabalho foi analisar o órgão levantando os

processos existentes, analisando os pontos negativos e positivos para com os

resultados encontrados poder conduzir no melhor desenvolvimento de uma

solução de adequação nas normas de segurança da informação.

Em visitas ao órgão se procurou os pontos em que se precisava de

maior trabalho para a adequação as melhores praticas. Foi analisado desde os

processos de acesso físicos a áreas restritas assim como os processos de

gestão de incidentes, nos ambientes de tecnologia.

Para poder quantificar os dados foi feito uma pesquisa com base em

um questionário que se encontra no ANEXO A, onde se faz uma analise nos

níveis das norma de segurança realizando perguntas com uma pontuação e com

essa pontuação comparando a uma faixa de pontos para avaliar se os níveis

estavam de acordo ou não com as normas.

Com o resultado dessa pesquisa foi gerado um gráfico que segue

abaixo onde podemos comparar os valores atingidos nos diferentes níveis com

base nas repostas ao questionário do ANEXO A, e a faixa esperada de aceitação

com a norma.

35
Resultado do questionário do ANEXO A

No gráfico, verificamos nas linhas horizontais os níveis das normas

avaliadas, onde para cada nível existem três barras e uma é a notas das

respostas do questionário e mais duas onde temos o máximo e mínino para se

enquadrar as normas.

Em alguns níveis pode ser percebido que atingiram índices bem

próximos dos esperados para adequação das normas, enquanto em outros, a

exemplo do nível política de segurança, foi alcançado uma pontuação muito

baixa.

36
CONSIDERAÇÔES FINAIS

O objetivo desse trabalho era bem definido e direto: analisar uma

organização e desenvolver uma política de segurança, para poder alinhar todos os

processos com as melhores práticas baseadas nas normas para serem implantadas.

Porém no decorrer do trabalho ficou cada vez mais claro que em um órgão público,

tem pontos que o diferenciam de uma organização tradicional.

Um dos pontos iniciais observado foi com relação à infra-estrutura. O

órgão realizou varias aquisições. Equipamentos para controle de acesso físico,

servidores para hospedagem de aplicações, que foram implantados de forma

eficiente proporcionando controle e monitoramento bem satisfatório.

Dando continuidade ao processo de análise o próximo passo foi verificar

os processos, como eram realizados e organizados. Neste ponto foram identificadas

várias falhas. Falta de definições e atribuições, ausência de uma pessoa

responsável por cada processo, foram os pontos mais marcantes.

Outro ponto analisado que despertou mais atenção foi em relação às

pessoas, e é exatamente nesse aspecto que o desenvolvimento da política se

apresentou tão diferente de uma para outra organização tradicional. A forma dos

funcionários se relacionarem com o órgão torna muito difícil as mudanças

necessárias.

Após a análise de todos os itens ficou evidente que para conseguir ter

sucesso na implantação e continuidade de uma política, antes de qualquer custo

com aquisições o principal ponto que deve ser observado é as pessoas. Esse ativo

37
ate tão pouco tempo atrás ignorado, é a peça fundamental para o sucesso de

qualquer projeto.

Com base nos dados coletados do órgão e com o objetivo de adequar

todos os procedimentos com as normas de segurança, foi desenvolvido uma política

( ANEXO B ) onde levantamos todos os pontos a serem observados e implantados

para que se possa ter uma maior conformidade nos processos.

38
REFERÊNCIAS

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS . NBR ISO/IEC 17799:


Tecnologia da Informação – Código de prática para a gestão da segurança da
informação. Rio de Janeiro: ABNT, 2003

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002,


Tecnologia da informação - Código de Prática para a Gestão da Segurança da
Informação. Rio de Janeiro, 2008.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001,
Tecnologia da informação – Sistemas de Gestão de Segurança da Informação.
Rio de Janeiro, 2005.
CAMAÇARI.
CARUSO, C.A.A.; STEFFEN. F.D. Segurança em Informática e de Informações.
Segunda edição, São Paulo: Editora SENAC, 1999
DIAS, Claudia. Segurança e Auditoria da Tecnologia da Informação. Rio de
Janeiro: Axcel books, 2000.
FERREIRA, Fernando Nicolau Freitas. Segurança da Informação. Rio de Janeiro:
Ciência Moderna Ltda, 2003.
GORISSEN, Maximilian. Política de Segurança da Informação: A norma ISO
17799. Disponível em:
<http://www.compustream.com.br/imagens/down/Artigo%20CompuStream%20Secur
ity%20-%20Norma%20ISO%2017799.pdf >. Acesso em: 24 Mai. 2009.
KOVACICH, Gerald L. Information Systems Security Officer’s Guia. EUA: HB
1998.
LEMOS, Aline Morais. Política de Segurança da Informação. Rio de Janeiro 2001
<https://ssl899.websiteseguro.com/fernandoferreira1/seguranca.html> Acesso em 04
Ago 2009.

PALMA, André. Classificação de Informação: Além da Confidencialidade. São


Paulo, 6 abr. 2004. Disponível em: <http://www.axur.com.br/artigo.php?id=70> Acesso
em: 25 jun. 2009

NERY, Fernando. Por que Proteger as Informações?. Portal Modulo.com. Módulo


Security News. no 346. 2004. Disponível em:
<http://www.modulo.com.br/media/boletins/2004/msnews_no346.htm>.Acesso em:
26 Mai. 2009.

39
NIC BR SECURITY OFFICE. Práticas de Segurança para Administradores de
Redes Internet. São Paulo, 2003. Disponível em: <http://www.cert.br/docs/seg-adm-
redes/seg-adm-redes.html>. Acesso em: 24 Mai. 2009.
NBSO. Práticas de segurança para administradores de redes Internet. São
Paulo, 2003. Disponível em: <http://www.cert.br/docs/seg-adm-redes/seg-adm-
redes.html>.Acesso em: 24 Mai. 2009.
NBR ISO/IEC 17799: Tecnologia da informação – Código de prática para a
gestão de segurança da informação. ABNT, 2005
<http://www.scribd.com/doc/2449992/Abnt-Nbr-Isoiec-17799-Tecnologia-da-
Informacao-Tecnicas-de-Seguranca-Codigo-de-Pratica-para-a-Gestao-da-
Seguranca-da-Informacao >Acesso em 10 Ago 2009
SÊMOLA, M. Gestão da Segurança da Informação – Uma visão executiva. Rio
de Janeiro: Editora Campus, 2003
SPANCESKI, Francini Reitz. Política de Segurança da Informação. Joinville 2004
<http://www.mlaureano.org/aulas_material/orientacoes2/ist_2004_francini_politicas.p
df> Acesso em 03 Ago 2009.
WADLOW, Tomas A. Segurança de Redes : Projeto e gerenciamento de redes
seguras.
Rio de Janeiro: Campus, 2000. Tradução: Fábio Freitas da Silva

40
ANEXO A

Questionário de avaliação com base nas normas de segurança.

NIVEL 1 Política de Segurança

1.1 A empresa possui Política de Segurança da Informação formalizada

1.2 O documento da política de segurança foi aprovado pela Direção.

1.3 O documento da política de segurança foi publicado e comunicado.

1.4 Há um gestor responsável pela manutenção e análise crítica da Política de

Segurança.

NIVEL 2 Segurança Organizacional

2.1 Estabelecida uma estrutura para iniciar e gerenciar a segurança da

informação dentro da organização

2.2 Criado um Fórum de Segurança multifuncional, com membros do corpo

administrativo

2.3 Estão definidas as responsabilidades pela proteção de cada ativo e pelo

cumprimento dos processos de segurança.


41
2.4 Existe processo de gestão de autorização para novos recursos de

processamento da informação

2.5 São mantidos contatos com autoridades legais, órgãos reguladores,

provedores, etc.

2.6 Existe controle no acesso de prestadores de serviço

NIVEL 3 Classificação e controle de Ativos

3.1 Todos os principais ativos de informação estão inventariados e possuem um

proprietário responsável.

3.2 Existe procedimento formal de classificação da informação.

NIVEL 4 Segurança em Pessoas

4.1 As regras e responsabilidades de segurança são informadas durante o

processo de contratação

4.2 As informações apresentadas durante processo de seleção de candidatos

são verificadas e confirmadas

4.3 É exigida a assinatura de um Termo de responsabilidade (e/ou acordo de

confidencialidade) para novos funcionários

4.4 Existe um Programa de Treinamento e Conscientização em Segurança da

Informação

42
4.5 Existem canais apropriados para report de falhas de segurança e mau

funcionamento de sistemas

NIVEL 5 Segurança Física e do ambiente

5.1 Os recursos e instalações de processamento de informações críticas são

protegidos por um perímetro de segurança física definido, com barreiras de

segurança e controle de acesso.

5.2 O acesso aos escritórios é controlado, com barreiras de segurança e controle

de acesso.

5.3 Os equipamentos são instalados e protegidos contra acesso físico de

pessoas não autorizadas

5.4 Os equipamentos são protegidos contra falhas de energia e anomalias na

alimentação elétrica.

5.5 Os equipamentos possuem manutenção em acordo com intervalos e

especificações dos fabricantes

5.6 A empresa possui política de mesa limpa, com uso de fragmentadoras e

evitando exposição de papéis e mídias em mesas, impressoras, etc.

NIVEL 6 Gerenciamento de Operações e comunicação

6.1 Os procedimentos de operação estão documentados e mantidos atualizados

43
6.2 Existe processo formal de controle de mudanças para equipamentos em

produção

6.3 As responsabilidades e procedimentos de gerenciamento de incidentes estão

definidos

6.4 Existe separação dos ambientes de desenvolvimento, testes e produção

6.5 Existem critérios formais de aceitação de novos sistemas, atualizações e

novas versões

6.6 São utilizados controles para detecção e prevenção de software malicioso

6.7 Cópias de segurança (backup) dos dados e softwares essenciais ao negócio

são realizadas regularmente

6.8 A rede LAN / WAN é gerenciada, monitorada e documentada

6.9 As mídias são protegidas quando não em uso e descartadas de forma segura

6.10 Há uma política clara para utilização do correio eletrônico

6.11 Há controles de segurança e aprovação prévia de conteúdo para sistemas

disponíveis publicamente (ex. Internet)

NÍVEL 7 Controle de Acesso

7.1 Os requisitos de negócio para controle de acesso estão definidos e

documentados em política específica, que inclui perfis de acesso padrões.

7.2 Regras de controle de acesso baseadas na premissa “Tudo deve ser proibido

a menos que expressamente permitido”

44
7.3 Existem procedimentos formais para controlar a concessão de acesso aos

usuários, incluindo o registro inicial e cancelamento dos acessos

7.4 Existe política de gerenciamento de senhas, incluindo normas para

concessão, para o uso de senhas temporárias e divulgação sobre cuidados com

uso da senha.

7.5 É conduzido regularmente um processo formal de revisão crítica dos direitos

de acessos dos usuários.

7.6 Existem controles pra garantir que os acessos de/para a rede utilizem

somente pontos predeterminados.

7.7 Todos os acessos de usuários remotos à rede interna estão sujeitos à

autenticação.

7.8 Existem controles que limitem a capacidade de conexão dos usuários para

serviços de correio eletrônico, navegação Web e tráfego de arquivos.

7.9 Os acessos aos sistemas operacionais são controlados,incluindo a

identificação e registro de sucessos e falhas de autenticação

7.10 Todos os usuários possuem um identificador único (ID de usuário)

7.11 O acesso lógico à softwares (aplicações) e informações é restrito à usuários

autorizados.

7.12 Os acessos aos sistemas são monitorados e registrados em arquivos de

auditoria (LOG)

7.13 Há correto sincronismo dos relógios dos computadores

45
7.14 Estão implementadas medidas de segurança específicas para usuários de

computação móvel e trabalho remoto.

NIVEL 8 Desenvolvimento e Manutenção do Sistema

8.1 Existem requisitos formais de segurança definidos para novos sistemas.

8.2 Os sistemas de aplicação prevêem controles de segurança e registro de

atividades, além de procedimentos de validação de dados.

8.3 Técnicas criptográficas são utilizadas para proteção de informações

consideradas de risco.

8.4 Existem mecanismos de proteção dos dados de testes dos sistemas.

8.5 Existem requerimentos específicos para desenvolvimento terceirizado de

software.

NIVEL 9 Gestão da Continuidade do Negócio

9.1 Existe um processo de gestão da continuidade de negócio que permeia toda

a organização.

9.2 Estão identificados os eventos de risco ao negócio e foi realizada a análise

de impacto correspondente.

9.3 Os planos de continuidade estão desenvolvidos para a manutenção ou

recuperação das operações de negócio na escala de tempo requerida.

46
9.4 Os planos de continuidade de negócio são testados e reavaliados

periodicamente.

NIVEL 10 Conformidade

10.1 Estatutos, regulamentações e cláusulas contratuais são explicitamente

definidos e documentados para cada sistema de informação.

10.2 Existem procedimentos apropriados para garantir a conformidade com leis

de propriedade intelectual (direito autoral, marcas e patentes).

10.3 Existe controle do licenciamento de direitos autorais de softwares.

10.4 Os registros organizacionais são categorizados e protegidos contra perda,

destruição e falsificação durante o prazo exigido por lei (em geral, 05 anos).

10.5 Existe norma proibindo o uso dos sistemas de informação da companhia

para uso indevido, não profissional ou não autorizado.

10.6 A segurança e a conformidade técnica dos sistemas é analisada

criticamente em intervalos regulares.

10.7 Os gestores são responsáveis por garantir que todos os procedimentos de

segurança estão sendo respeitados dentro de sua área de responsabilidade.

10.8 Existem procedimentos específicos para auditoria de sistemas, incluindo

requisitos, escopo e documentação.

47
ANEXO B

Política de Segurança da Informação

Prefeitura de Camaçari

48
Índice

1.Introdução

1.1.Metas

1.2.Escopo

1.3.Importância

1.4.Divulgação

2. Declaração do Secretário

3. A Política de Segurança da Informação

3.1. Gestão de Ativos

3.1.1. Inventario dos ativos

3.1.2. Objetivo do inventario

3.1.3. Proprietário de um ativo

3.1.4. Utilização dos ativos

3.1.5. Classificação da informação

49
3.2. Gestão de Recursos Humanos

3.2.1. Seleção de pessoal

3.2.2. Termos para a contratação

3.2.3. Responsabilidades da direção (durante a contratação)

3.2.4. Conscientização , educação e treinamento em segurança da

informação

3.2.5. Processos disciplinares

3.2.6. Encerramento ou mudança na contratação

3.2.7. Devolução dos ativos

3.2.8. Remoção de direitos de acesso

3.3. Gestão de Segurança Física e do Ambiente Operacional

3.3.1. Gestão de Segurança Setorial

3.3.2. Gestão de segurança de equipamentos

3.3.3. Gestão de Manutenção de Equipamento

3.4. Gestão de processamento das informações

3.4.1. Gestão de procedimentos operacionais de utilização dos

Sistemas Internos

3.4.2. Gestão de atualização dos sistemas

3.4.3. Planejamento de aceitação dos Sistemas

50
3.4.4. Controle de ambiente Operacional dos Sistemas

3.4.5. Gestão da copia de segurança – Backup

3.4.6. Gerencia de segurança em rede

3.4.7. Gerencia de Mídias

3.5. Gestão de Controle de acesso

3.5.1. Política de Controle de Acesso

3.5.2. Gerenciamento de Privilégios

3.5.3. Responsabilidade dos usuários

3.5.4. Política de Mesa Limpa e Tela Limpa

3.5.5. Computação móvel

3.5.6. Trabalho remoto

3.6. Gestão em Sistemas de Informação

3.6.1. Requisitos de Segurança de Sistemas de Informação

3.6.2. Controles Criptográficos

3.6.3. Proteção dos Dados para Teste de Sistema

3.6.4. Controle de Acesso ao Código-Fonte de Programa

3.6.5. Controle de mudanças

3.6.6. Vazamento de Informações

3.6.7. Controle de Vulnerabilidades Técnica

51
3.7. Gestão de Incidentes de Segurança

3.7.1. Notificação de eventos de segurança da informação

3.7.2. Responsabilidade e procedimentos

3.7.3. Coleta de evidencias

3.8. Gestão de Continuidade do Negocio

3.8.1. Incluindo segurança da informação no processo de gestão da

continuidade de negocio

1. Introdução

O presente documento explana a política de segurança do órgão, visando garantir a

confiabilidade, a integridade e a disponibilidade das informações necessárias ao

negocio.

1.1. Metas

Os principais objetivos do órgão com esta política são:

▪ A segurança dos dados pessoais do contribuinte;

▪ Buscar a confiabilidade do serviço publico;

▪ Ter um serviço com total disponibilidade, independente da hora do dia, ou noite;


52
▪ Pronto atendimento;

▪ Transparência no serviço prestado;

▪ Servi de exemplo para outros órgãos e prefeituras

1.2. Escopo

O escopo inicial visara o DATACENTER e depois de implantado e analisado

englobará outros setores.

1.3. Importância

Conforme citado anteriormente, a implementação desta política, tem por finalidade a

confidencialidade, integridade e disponibilidade da principal atividade do órgão:

“dados do contribuinte”, tornando-se a principal ferramenta do negocio.

1.4. Divulgação

A divulgação da presente política objetiva conscientizar os ativos humano as novas

posturas e diretrizes de segurança definidas pelo órgão com a finalidade de fornecer

um serviço diferenciado e de qualidade a população e aos empresários.

53
As etapas a serem seguidas são:

▪ Organização e planejamento (montagem de um cronograma validado pela

diretoria);

▪ Levantamento e analise;

▪ Verificação de aderência;

▪ Definição de objetivos e métricas da campanha;

▪ Elaboração da campanha;

▪ Aprovação da campanha pela Diretoria;

▪ Preparação de palestras (com apresentação da carta do Secretário);

▪ Aprovação de palestras pela diretoria;

▪ Criação de peças pelo Departamento de Marketing (adesivos, cartazes, bloco de

anotações, papel de parede em todas as maquinas da empresa, divulgação por e-

mail semanalmente, canetas, etc.)

▪ Validação das peças de campanha pela Diretoria;

▪ Apresentação, treinamento e entrega da cartilha de segurança de usuários da rede.

▪ Estatísticas das metas atingidas (analise final para certificação ABNT).

54
2. Declaração do Secretário

Segue declaração do Secretário sobre a presente política de segurança:

“Falta solicitar ao mesmo a carta”

-Nome do Secretário-

3. A Política de Segurança da Informação

3.1. Gestão de Ativos

Este capitulo tem como objetivo proteger e manter a confiabilidade e o bom

funcionamento dos ativos do órgão, para isso e necessário que todos os ativos

sejam inventariado para que tenha um proprietário responsável.

3.1.1. Inventário dos ativos

55
O inventário deve ser feito de forma que se identifique o ativo por proprietário e

importância do ativo. O inventário deve conter também informações diversas sobre o

ativo tais como tipo do ativo, localização, proprietário, informações sobre licenças e

copias de segurança, importância do ativo para os negócios do órgão. O inventario

deve ser feito da mesma forma para todo tipo de ativo, seja ele software,

computadores, equipamentos, documentos e pessoas. E deve ser atualizado

sempre que necessário.

3.1.2. Objetivo do inventário

O inventario tem como finalidade assegurar uma efetiva proteção do ativo alem de

ser requerido em varias ocasiões por diversos setores da empresa, tais como

financeiro, administrativo, por isso se faz um item de extrema necessidade na gestão

de ativos.

3.1.3. Proprietário de um ativo

O proprietário tem como responsabilidade conservar o ativo e dele fazer uma

utilização consciente seja ele físico (equipamentos, computadores, automóveis

etc...) ou não físicos (softwares, informações etc...). O proprietário pode contar

também com pessoal terceirizado devidamente contratado de acordo com o item

56
(seleção de pessoal) para tarefas de rotina tais como manutenção e conservação,

sempre sobre a supervisão do gestor.

3.1.4. Utilização dos ativos

O uso dos ativos deve ser feita de forma coerente e aceitável de acordo com as

regras desta política de segurança da informação, devem ser seguidas também as

devidas regras no caso de utilização dos ativos fora da organização.

3.1.5. Classificação da informação

Este item se faz necessário para que as informações e ativos recebam um nível de

tratamento adequado e um nível de proteção adequado. Para isso deve se

classificar as informações e ativos para que recebam o devido tratamento pelos

setores competentes entre eles os setores de: limpeza, manutenção, logística e

todos os outros.

A classificação deve ser feita de acordo com os termos de valor das informações

para a empresa, documentos, computadores, unidades de backup, são de grande

importância para a empresa, e por isto deve receber o devido tratamento

relacionado nas regras deste documento. O proprietário tem também a obrigação de

analisar e classificar os ativos, este procedimento deve ser feito constantemente,

57
para que recebam sempre o tratamento adequado de acordo com o seu grau de

importância no momento.

Os ativos que contem informações sigilosas e de grande importância para a

empresa como documentos, discos rígidos e unidades de backup devem ser

rotulados como itens críticos e de grande importância para o órgão, e devem ser

armazenados em local de acesso o restrito. E importante também que os ativos

sejam devidamente rotulados para que sejam compartilhados de maneira satisfatória

por todos os setores do órgão . O lixo que e gerado por alguns setores do órgão

como financeiro, diretoria, jurídico e marketing devem receber atenção especial, pois

podem conter informações sigilosas e por isto deve ser destruído.

3.2. Gestão de Recursos Humanos

O setor de recursos humanos deve se assegurar de que funcionários, fornecedores

e terceiros entendam suas responsabilidades e estejam de acordo com seus papeis

dentro da organização, isto devera ser feito para que os riscos de fraude, roubo e

mal uso dos recursos da empresa sejam diminuídos a níveis aceitáveis. também e

de responsabilidade do Rh delegar de acordo com esta política de segurança da

informação, responsabilidades a funcionários para que a política de segurança seja

implementada e mantida com o acompanhamento e supervisão do gestor. E de

responsabilidade do Rh fazer com que funcionários antes e depois da contratação

tenham total conhecimento de suas responsabilidades dentro da política de

segurança, e necessário também que os devidos formulários sejam preenchidos e

assinados
58
pelos funcionários . E de responsabilidade do Rh estabelecer e aplicar regras de

confidencialidade durante a contratação. E de responsabilidade do Rh relatar

possíveis eventos na segurança da informação para que sejam tomadas as devidas

providencias.

3.2.1. Seleção de pessoal

A seleção de pessoal deve ser feita de forma que sejam cumpridas todas as leis,

regulamentações e éticas, inclusive durante a contratação de pessoal terceirizado e

fornecedores. Devem ser seguidas as seguintes diretrizes:

a) verificação detalhada das informações contidas no currículo vitae fornecido pelos

candidatos;

b) verificação das referencias fornecidas pelo candidato;

c) confirmação das qualificações acadêmica dos profissionais; e

d) verificação de antecedentes criminais dos candidatos.

Estas atitudes devem ser tomadas de forma mais cuidadosa no caso de contratação

ou promoção de pessoal das áreas mais sensíveis da empresa como financeira e

administrativo. O processo de entrevista deve ser feito por pessoas devidamente

59
qualificadas. Devem ser seguidos os mesmos processos no caso de contratação de

terceiros e fornecedores, mesmo que estes venham pro meio de agencias.

3.2.2. Termos para a contratação

Os possíveis contratados devem conhecer, concordar e assinar os termos para a

sua contratação, termos estes que declaram as suas responsabilidades para com a

segurança da informação. Seguem os termos:

a) termo de confidencialidade, aplica-se a todos os candidatos ou funcionários que

tenham acesso a áreas sensíveis da empresa, para que não haja divulgação de

informações importantes e sigilosas para a empresa .

b) responsabilidade dos candidatos para com informações sigilosas obtidas através

da empresa ou por partes externas ligadas ao órgão.

c) responsabilidade para serviços prestados fora das instalações do órgão.

d) atitudes de direito da empresa no caso do descumprimento das normas impostas

por esta política de segurança, sobre forma de punição ou ate mesmo demissão ou

quebra de contratos.

60
Sendo assim o órgão deve assegurar-se através dos termos acima que funcionários,

terceiros e fornecedores estão cientes das preocupações e perspectivas do órgão

para com a segurança das informações.

3.2.3. Responsabilidades da direção (durante a contratação)

A direção devera exigir dos contratados, terceiros e fornecedores que cumpram

todas as normas desta política e também certificar-se de que estão cientes das suas

responsabilidades dentro da política de segurança da informação e quais são as

finalidades e intenções desta política. deve assegurar-se que todas as regras estão

sendo compridas e também que todos estejam trabalhando de forma consciente

para com a segurança das informações. A direção deve procurar juntamente com

outros setores do órgão tomar atitudes que permita que funcionários e terceiros

tenha satisfação em realizar suas funções pois

funcionários desmotivados podem causar grandes prejuízos para a empresa . deve

se certificar junto ao Rh que funcionários e terceiros tenham as habilidades e

qualificações apropriadas .

3.2.4. Conscientização, educação e treinamento em segurança da

informação

61
Os candidatos efetivados ao quadro de funcionários deverão passar antes de

assumir as suas funções por treinamento apropriado para que sejam

conscientizados em relação as políticas e procedimentos praticados por este órgão,

o mesmo processo se aplica a terceiros e fornecedores quando e onde for

pertinente. E importante também que funcionários e terceiros recebam

constantemente as devidas atualizações das políticas e procedimentos, necessários

para o bom funcionamento da política de segurança das informações.

3.2.5. Processos disciplinares

Sempre que houver certeza da violação da segurança da informação por parte de

funcionários, terceiros e fornecedores deveram ser iniciados os processos

disciplinares para que sejam apurados os fatos e tomadas as medidas cabíveis. Os

processos disciplinares devem transcorrer de forma justa e correta nos casos em

que houver apenas suspeita de violação de segurança e deve se levar em

consideração a gravidade e os impactos para a organização, nos casos em que

houver graves quebras de conduta o funcionário ou terceiro devera ser afastado

imediatamente de suas funções e ate afastado das dependências do órgão e

também retirado os seus direitos de acessos e privilégios.

3.2.6. Encerramento ou mudança na contratação

62
Encerramento ou mudança nas atividades devem ser supervisionadas pelo setor de

Rh. Durante o encerramento do trabalho as partes afastada devem ser tratadas de

acordo com as leis existentes e também formalmente informadas dos acordos pré

estabelecidos durante a contratação. Apos o encerramento das atividades as

responsabilidades e obrigações ser obedecidas um período

determinado pelo contrato, para que exista sigilos das informações pertinentes ao

órgão .

Deve-se assegurar que funcionários, terceiros e fornecedores deixam o órgão ou

mudem de função de forma organizada, para que a organização tenha certeza de

que acessos e privilégios foram retirados e ou alterados e demais ativos que

estavam em sua posse foram devolvidos. Nos casos de mudança de trabalho e ou

as seguintes atitudes devem ser tomadas:

a) mudança nos direitos de acesso;

b) treinamento na segurança da informação pertinente as novas funções; e

c) assinatura de um novo termo de responsabilidade com os compromissos de

segurança para a nova função.

3.2.7. Devolução dos ativos

63
Durante a formalização do termino do trabalho devem ser devolvidos todos os ativos

do órgão tais como computadores portáteis, cartões de acesso, softwares, cartões

de credito, etc. Nos casos em que funcionários detenham informações e

conhecimentos necessários ao funcionamento do órgão estes

deverão ser transferidos ao órgão.

3.2.8. Remoção de direitos de acesso

Apos o termino de trabalhos ou encerramento de contratos os direitos de acesso as

informações pertinente ao órgão devem ser retirados, e em caso de mudança de

cargo ou função os direitos de acesso devem ser adaptados ao novo cargo ou

função e nos casos em que funcionários tenham tido acesso a senhas de contas da

empresa estas devem ser alteradas.

3.3. Gestão de Segurança Física e do Ambiente Operacional

3.3.1. Gestão de Segurança Setorial

Este tópico visa definir e proteger setores que trabalham com informações

estratégicas. Para tal, as diretrizes abaixo devem ser cumpridas:

64
a) O acesso aos setores seguros serão permitidos somente pessoas autorizadas e

que possuem identificação. Toda pessoa que não possuir identificação e autorização

terá acesso somente as áreas de recepção;

b) Setores com armazenamento de Informações ou Finanças, devem:

1. Ser protegidos por paredes robustas e com capacidade de resistir a incêndio;

2. As portas terão três tipos de fechaduras: Biometria, Cartão Magnético e Chave

Codificada. Os acessos serão registrados de forma eletrônica.

3. A sala terá um dispositivo de segurança para saída emergencial, protegendo a

integridade física da pessoa autorizada a acessar o ambiente numa eventual

emergência.

4. As pessoas que possuem autorização para acessar estes ambientes serão

treinadas e o acesso ao ambiente seguro serão monitoradas por câmera, a fim de,

manter a integridade física pessoal e o registro das atividades realizadas no

ambiente seguro.

5. Não será permitido a entrada de visitantes bem como pessoas com equipamentos

eletrônicos conforme capitulo 9 da ABNT NBR ISO/IEC 17799:2005.

c) Setores com instalações de empresas terceirizadas, devem:

1. Quando necessitarem de ambiente para instalar seus equipamentos, deverão ter

um local separado;

2. Os profissionais terceirizados, quando autorizados a entrar na empresa, serão

acompanhados pelo setor ao qual presta serviço.

65
3. Os equipamentos eletrônicos, somente serão autorizados a sua utilização neste

setor ou setor de acesso caracterizado como publico.

d) Setores com entrega de documentação, devem:

1. Os setores destinados a entrega de documentação, serão separados dos setores

caracterizados por seguro, por necessitar de menos restrições para acesso publico.

2. Ser monitorado por câmera, a fim de registrar as atividades realizadas neste

ambiente.

3. Todo documento, recebido ou entregue, devera ser homologado e com assinatura

das partes.

4. O acesso da pessoa terceira ao setor em questão será acompanhada pela pessoa

que recebera ou entregara o documento.

e) Setores de acesso publico, devem:

1. Antes de acessar qualquer outra dependência, haverá uma recepção para

identificação e anuncio da visita para o setor que o terceiro deseja acessar.

2. Será monitoramento por câmera, a fim de, registrar as pessoas e atividades

realizadas neste lugar.

3. Será isolado por porta de segurança com mecanismo de autenticação magnética.

3.3.2. Gestão de segurança de equipamentos

Os equipamentos de missão critica devem ser geridos pelas regras:

66
a) Terão isolamento contra ações naturais, provocados pelo meio ambiente. Esta

instalação será climatizada para o funcionamento.

b) Haverá controles para minimizar o risco de ameaças físicas potenciais tais como

furto, incêndio, explosivos, fumaça, água (ou falha do suprimento de água) poeira,

vibração, efeitos químicos, interferência com o suprimento de energia elétrica,

interferência com as comunicações, radiação eletromagnética e vandalismo

conforme ABNT NBR ISO/IEC 17799:2005.

c) O ambiente será provido por sistema de redundância de energia elétrica e com

autonomia de 8 horas. Este sistema terá controle de estabilização de energia para

proteção contra surto elétrico. Este sistema terá uma redundância.

d) O ambiente terá um sistema de aterramento elétrico independente e um para-raio

para proteção contra danos físicos

e) cabeamento elétrico estará separado do cabeamento de rede e o quadro de

controle será instalado em ambiente complementar.

f) Todo o cabeamento será identificado e documentado. O cabeamento de elétrica

terá codificação de cor diferente, para melhor identificação de neutro, fase e terra. O

cabeamento de rede será identificado por numeração em ambos os lados.

g) Todo o cabeamento passara por caneletas e não serão acessados publicamente,

mas ficarão sob piso elevado na sala onde os equipamentos de missão critica estão

instalados.

67
h) Os equipamentos que são utilizados fora das dependências da empresa, deverão

ter seguro contra roubos/furtos e danos.

3.3.3. Gestão de Manutenção de Equipamento

a) As manutenções nos equipamentos de missão critica, serão feitas em horário

programado com intervalo recomendado pelo fornecedor e de acordo com as suas

especificações.

b) Todo processo de manutenção será feito por empresa contratada, e os controles

aplicados a esse contrato estão de acordo com o capitulo 3.2.1 deste documento.

c) equipamento, quando possível, será removido para local apropriado e o

profissional terceirizado será acompanhado pelo responsável operacional do

equipamento.

d) Todo processo de manutenção constara na documentação do equipamento e a

falha devera ser registrada para controle do equipamento.

e) Antes do procedimento de manutenção, os responsáveis pelo equipamento

cumprira um check-list, a fim de, notificar as áreas afetadas pela paralisação deste

equipamento, proceder com o backup e isolamento das informações sensíveis, para

que estas não sejam visualizadas pelo profissional terceirizado.

f) Todas as peças, que armazenam informações da empresa, antes do descarte,

serão analisadas e constando informações estratégicas da empresa, estas serão

apagadas e o dispositivo destruído.

68
No caso de haver a possibilidade de reparo, o dispositivo passara por uma analise

de risco para determinar se convém destruir fisicamente o dispositivo em vez de

repará-lo e descartá-lo.

3.4. Gestão de processamento das informações

Esta gestão tem por finalidade gerar procedimentos e documentações tanto para os

recursos operacionais bem como os recursos de desenvolvimento que tratam os

Sistemas de informação. Para tanto, faz –se necessário que os próximos itens sejam

seguidos.

3.4.1. Gestão de procedimentos operacionais de utilização dos Sistemas Internos:

a) Todo o processo que requerer uma exclusão, alteração e inclusão de registro será

catalogada, determinando a visualização das informações de data, hora e a pessoa

que procedeu com a utilização do sistema.

b) O sistema terá um modulo administrativo e um modulo operacional separados e

toda solicitação para a utilização deste sistema será documentada

3.4.2. Gestão de atualização dos sistemas:

69
a) Todo processo de atualização dos Sistemas, será feito em ambiente paralelo ao

ambiente operacional e testados, resguardando as informações confidenciais

b) Todo processo de teste será documentado.

c) Homologado o teste, os clientes internos serão notificados a respeito de uma nova

versão e depois esta nova versão será implementada. Caso a versão possua um

novo modulo, os clientes internos receberão treinamento prévio

d) O sistema somente poderá ser atualizado no ambiente de produção depois de

homologado e todos os clientes previamente notificados e/ou treinados.

e) O processo de transferência de produção para o ambiente de teste devera seguir

os Planejamento de Aceitação dos Sistemas deste documento.

3.4.3. Planejamento de aceitação dos Sistemas:

a) Os sistemas serão planejados e documentados antes do seu desenvolvimento.

Os gestores de área homologarão os requisitos e estabelecerão o ciclo de

renovação e continuidade dos Sistemas. ( vide

item 3.6)

b) Os gestores farão uma analise critica dos sistemas e da documentação dos

mesmo com o objetivo de ter um sistema de fácil utilização e que esteja de acordo

com as necessidades da empresa.

70
c) O manual de operações e utilização do sistema será escrito em linguagem de fácil

entendimento para proporcionar o menor tempo possível de aprendizado.

d) Antes do processo de implantação, será feito um treinamento operacional do

Sistema.

3.4.4. Controle de ambiente Operacional dos Sistema:

a) Antes dos sistema ser instalado, o computador cliente será auditado, com o

objetivo de verificar a presença de softwares que executam operações ilegais

tornando vulneráveis as informações sigilosas encontradas nos sistemas.

b) Os computadores clientes possuirão proteção contra programas que executam

códigos maliciosos que podem se instalar através de mensagens de email não

solicitada, bem como através de mídias utilizadas pelos usuários e que roubam

senhas e outras informações sigilosas.

c) Os programas que trabalham para proteger os computadores cliente de softwares

maliciosos serão atualizados constantemente e passarão por um processo de

auditoria continua com o objetivo de validar suas funcionalidades e a eficácia contra

códigos maliciosos.

d) Computadores, como notebooks, que são utilizados por motivos de mobilidade

não poderão conter instalados softwares que não tratam do negocio da empresa.

e) Todo notebook, antes de ser utilizados nas dependências da empresa, serão

inspecionados e não estando em conformidade, não poderá ser utilizado ate que

71
seja reinstalado e passa por todo o processo de auditoria para não utilizar softwares

não autorizados (vide: item 3.5.5).

f) Nenhum software poderá ser instalado nos computadores antes dos mesmos

serem analisados e

previamente inspecionados contra problemas de segurança.

3.4.5. Gestão da cópia de segurança – Backup:

a) O backup devera ser realizado diariamente, sendo iniciado logo apos o termino do

expediente.

b) O backup será feito de forma completa ou total, e devera ser duplicado para que

uma mídia fique na empresa e outra fora da empresa.

c) O processo de duplicação será abordado com uma forma de teste para analise de

continuidade da informação.

d) O armazenamento local da mídia será feito em cofre, e possuíra dispositivo de

autenticação e proteção contra incêndio e climatização para o armazenamento da

mídia magnética.

e) O armazenamento remo da mídia será feito por empresa terceirizada com

ambiente altamente capacitado para armazenar mídia magnética com padrão de

segurança em conformidade com a norma ABNT NBR ISO/IEC 17799:2005 no

capitulo 9.

72
f) A empresa contratada para armazenar as mídias serão responsáveis pelo

transporte seguro das mesmas.

g) Ao termino de uma semana operacional, a ultima mídia desta semana será

catalogada como backup semanal.

h) As unidades semanais serão testadas com um intervalo de 10 dias. O

procedimento de teste devera ser documentado.

i) As mídias, tanto locais como remotas, que não fazem parte do catalogo semanal,

serão testadas de forma aleatório a cada 30 dias e este processo será

documentado.

j) Um backup será considerado realizado se: constar nos logs do sistema mostrarem

que o backup foi realizado com sucesso; a criação com êxito da replica da mídia;

transporte ate o local remoto for confirmado através de documentação acordada

entre as partes.

k) Toda mídia será catalogada com uma identificação única constar a data de suas

utilizações.

3.4.6. Gerencia de segurança em rede:

a) Em nenhuma hipótese, será permito acesso remoto a servidores e estações de

trabalho por softwares que utilizem o protocolo VNC. Para este fim, será permitido

apenas software homologado pela equipe de segurança da empresa.

73
b) Os ativos de rede serão acessados por sistema de gerenciamento separados, e

não poderão ser acessados publicamente.

c) Um servidor de gerencia de rede será disponibilizado para acessar os dispositivos

de rede que estão fora da rede operacional.

d) Dispositivos de rede Wireless serão fechados com sistemas de criptografia, a

chave criptográfica devera ser trocada periodicamente e serão disponibilizados

somente para equipamentos controlados a nível de interface de rede

e) Definição de Nível de Serviço Adquirido (SLA), com tempos aceitáveis de

resposta para qualquer tipo de interrupção ou instabilidade no link, provendo a

segurança de backbone contra tentativas de invasão caracterizadas com ataques de

negações de serviço (DoS/DDoS) são de responsabilidade do provedor proceder

com o bloqueio

f) fornecedor, através dos seu dispositivos de rede, estarão aptos a verificar se os

acessos contratados pela Empresa estão disponíveis caracterizando gerencia

proativa.

g) O nível de serviço acordado para o tempo de disponibilidade dos acessos devera

ser de 99.9%.

h) O tempo de recuperação de uma perda de conectividade ser da ate 2 horas em

qualquer momento do dia.

i) O período vigente de monitoria da operadora e de 24X7 ate o encerramento do

contrato.

74
j) Acordos que prove suporte 24X7 para atualização de software, falha de hardware

quando o dispositivo for appliance.

k) Toda e qualquer tipo de atualização será feita em ambiente de teste e depois

replicada para ambiente de produção para garantir o perfeito funcionamento do

dispositivo.

l) Atendimento ate 2 horas para falhas de código que implicam na falta de segurança

do dispositivo.

m) Atendimento ate 2 horas, com reposição, para falhas de hardware que implicam

na indisponibilidade do dispositivo.

3.4.7. Gerencia de Descarte Mídias:

a) Toda mídia removível que não for reutilizada, será destruída.

b) As destruição das mídias será feita por incineração ou trituração.

c) Todo papel será triturado e separado no momento de sua destruição.

d) O processo de incineração ou trituração será feito por um fornecedor externo, e

no contrato, este fornecedor se responsabilizara pelo transporte seguro destas

mídias ate o local de incineração ou trituração.

3.5. Gestão de Controle de acesso

75
3.5.1. Política de Controle de Acesso

O objetivo da Política de Controle de Acesso e garantir apenas acessos autorizados,

bem como prevenir acessos não autorizados a informação. Para tal, os itens a

seguir deverão ser cumpridos:

a) todos os funcionários, fornecedores, clientes, visitantes ou terceiros que

circularem dentro das dependências da empresa deverão portar um crachá de

identificação;

b) O crachá dos funcionários devera conter informações que identifiquem-no e o

setor a qual pertence;

c) As áreas que contenham informações sigilosas deverão ter seu acesso controlado

por uma recepção e monitorado por meio de câmeras devidamente posicionadas

(vide item 3.3.2);

d) Cada funcionário que necessite acessar dados ou qualquer recurso disponível na

rede de computadores da empresa devera ter uma identificação (login, senha) para

acesso a rede;

e) A identificação de acesso a rede e de uso pessoal e intransferível, sendo de

responsabilidade do usuario toda e qualquer operação realizada na rede através de

sua identificação (vide item 3.5.3);

76
f) Caso um funcionário necessite acesso a rede e não possua login e senha para

este acesso, este devera comunicar o gestor de sua área, que devera fazer a

solicitação ao Departamento de T.I. do órgão;

g) E de responsabilidade do gestor de cada setor da empresa comunicar o

cancelamento do acesso de um funcionário por quaisquer motivo que seja, por

exemplo: desligamento da empresa, troca de setor, etc.);

h) Também fica a cargo do gestor de cada área dar para seus funcionários uma

declaração por escrito de seus direitos e responsabilidades de acesso, requerendo

um comprovante assinado de recebimento e entendimento da declaração citada

anteriormente.

3.5.2. Gerenciamento de Privilégios

A gerencia de privilégios, visa garantir que um determinado funcionário obtenha

apenas os privilégios necessários para realização de suas funções. Para tanto, e

necessário que se cumpra os itens:

a) Fornecedores, clientes, visitantes e terceiros NAO tem possuem privilegio para

circular pelas dependências da empresa sem estarem acompanhados de um

funcionário (vide item 3.3);

b) Funcionários sem cargo de chefia terão acesso apenas as salas onde trabalham e

aos espaços públicos da empresa, salvo de estarem acompanhados de seu gestor;

77
c) Apenas funcionários com cargo de gerencia terão privilegio de acesso a outras

dependências, que não suas próprias salas de trabalho, alem dos espaços públicos

da empresa;

d) A Direção da empresa tem privilegio para circular em qualquer área da empresa,

exceto em áreas com informações sigilosas. O acesso a estas áreas será apenas

concedido com autorização do Diretor da área que envolve as informações sigilosas;

e) Apenas os profissionais de T.I. e de Segurança qualificados tem privilegio de

acesso ao CPD do órgão e conceder acesso a outras pessoas desde que justificado

a seu Diretor (vide item: 3.3.2);

3.5.3. Responsabilidade dos usuários

Este tópico visa definir e conscientizar os usuários que acessam a rede de dados da

empresa de suas responsabilidades. Para isso, deverão seguir os itens abaixo:

a) Manter a confidencialidade de sua senha;

b) Nunca anotar senhas em papel, arquivos, dispositivos moveis ou qualquer outra

forma de armazenamento não segura ou não autorizada;

c) Alterar a senha sempre que existir qualquer identificação de possível

comprometimento do sistema ou de sua própria senha;

78
d) Selecionar senhas com um mínimo de caracteres que não sejam fáceis de

lembrar, que não sejam seqüência de caracteres e que não sejam baseadas em

informações fáceis de deduzir.

3.5.4. Política de Mesa Limpa e Tela Limpa

A Política de Mesa Limpa e Tela Limpa tem por objetivo evitar o acesso não

autorizado a informações por meio de papeis ou mídias de armazenamento

deixadas sobre a mesa, ou informações deixadas na tela do computador que acabou

de se operar.

Levando-se em consideração a classificação da informação (item 3.1) e seu risco

correspondente, deve-se seguir as diretrizes abaixo:

a) Informações sensíveis ou critica ao negocio armazenadas em papel ou mídia de

armazenamento, devem ser guardadas em lugar seguro;

b) Computadores e terminais devem ser mantidos desligados ou protegidos com

mecanismo de travamento de tela e teclados controlados por senha;

c) Pontos de entrada ou saída de correspondência e maquinas de fax sem

monitoração devem ser protegidos;

d) Evitar o uso de equipamentos de reprodução, por exemplo: fotocopiadoras,

scanners, etc. não autorizados;

79
e) Documentos classificados como sensíveis deverão ser removidos da impressora

assim que terminado a impressão.

f) Documentos considerados sensíveis, para serem impressos, devem ser

agendados, registrados e impresso em impressoras autorizadas.

3.5.5. Computação móvel

Este tópico visa garantir a segurança da informação quando se utiliza a computação

móvel na empresa. Para tal, e necessário que:

a) Seja expressamente proibido a utilização de qualquer dispositivo pessoal de

comunicação móvel. Caso seja necessário a utilização deste tipo de equipamento,

este devera ser fornecido pelo próprio órgão, por isso, devera se enquadrar nesta

política de segurança;

b) Qualquer equipamento de comunicação móvel antes de ser conectado a rede ou

a qualquer outro dispositivo, devera passar por uma auditoria técnica antes. (vide

item 3.4.4)

3.5.6. Trabalho remoto

80
Este tópico visa garantir a segurança da informação quando se e permitido o

trabalho remoto. Para este fim, as regras abaixo deverão ser cumpridas:

a) O trabalho remoto devera ser autorizado e controlado pelo gestor de segurança

em conjunto com o gestor do setor do funcionário que terá o acesso remoto

autorizado;

b) A conexão remota a empresa devera ser realizada apenas através de redes

privadas virtuais.

3.6. Gestão em Sistemas de Informação

3.6.1. Requisitos de Segurança de Sistemas de Informação

O objetivo deste item e garantir que o desenvolvimento de sistemas de informação

estejam dentro de um padrão aceitável de segurança. Para tal, as diretrizes abaixo

devem ser seguidas:

a) Os dados de entrada devem ser validados para garantir que são corretos e

apropriados;

b) Deve ser feito um controle de processamento interno afim de detectar qualquer

corrupção de informações por erros ou ações deliberadas ;

81
c) A integridade da mensagem deve ser garantida através de controles criptográficos

sempre que possível;

d) Assim como os dados de entrada, os dados de saída também devem ser

validados para assegurar que o processamento das informações armazenadas esta

correto.

3.6.2. Controles Criptográficos

A finalidade deste item e proteger a confidencialidade e a integridade das

informações por meios criptográficos. Para tal se faz necessário um gerenciamento

de chaves, que devera cumprir os itens a seguir:

a) Gerar chaves para diferentes sistemas criptográficos e diferentes aplicações;

b) Obter certificados de chaves publicas junto a entidades certificadoras;

c) Revogar ou destruir chaves comprometidas.

d) Registro de geração de chaves criptográficas.

e) Copia das chaves de criptografia num ambiente redundante.

3.6.3. Proteção dos Dados para Teste de Sistema

82
O objetivo deste item visa a seleção cuidadosa, proteção e controle de dados

utilizados para em testes de sistema. Para tanto, todos os testes realizados deverão

utilizar dados narrais.

3.6.4. Controle de Acesso ao Código-Fonte de Programa

Este tópico visa garantir apenas acesso autorizado a códigos-fonte de programas

desenvolvidos no órgão. Para isto, se faz necessário que as regras abaixo sejam

seguidas:

a) Quando possível, não manter bibliotecas de programa-fonte no mesmo ambiente

operacional;

b) Apenas os profissionais da equipe de Desenvolvimento da empresa terão acesso

aos códigos-fonte de programas e bibliotecas desde que estejam envolvidos no

projeto do sistema envolvido, salvo casos autorizados pelo gestor de

Desenvolvimento;

c) A listagem dos programas e seus componentes deverão ser mantidas num

ambiente seguro;

d) Todos os acessos a códigos-fonte deverão ser registrados.

3.6.5. Controle de mudanças

83
a) Planejamento da mudança;

b) As mudanças devem ser solicitadas por um formulário e aprovados pelo gestor da

área em que a mudança será realizada;

3.6.6. Vazamento de Informações

Este tópico tem por objetivo prevenir o vazamento de informações. Para isto e

necessário que:

a) O lixo do órgão deve ser tratado antes irem para lixeiras publicas;

b) Deve-se seguir a política de mesa limpa tela limpa (vide: 3.5.1);

c) Todos os endereços de email da empresa concedidos a seus funcionários serão

monitorados;

d) O gestor de cada área da empresa será responsável pelo recolhimento de cada

funcionário de sua área um documento de ciência e entendimento sobre a

monitoração informada no item A deste item;

e) Os emails da empresa concedidos para seus funcionários poderão apenas ser

acessados de dentro do órgão, ou externamente apenas utilizando um canal de

julgado como seguro pelo setor de T.I. do órgão;

f) Fica expressamente proibido o acesso a emails pessoais de dentro do órgão.

84
3.6.7. Controle de Vulnerabilidades Técnica

Este tópico objetiva reduzir riscos resultantes da exploração de vulnerabilidades

técnicas conhecidas. Para tanto e necessário:

a) Seja criado e atualizado sempre que necessário, um inventario completo dos

ativos dos ativos de informação da empresa com informações especificas de cada

um dos ativos;

b) Fica a cargo do setor de T.I . monitorar e analisar as vulnerabilidades técnicas dos

ativos de informação da empresa;

1. Caso seja detectado alguma vulnerabilidade técnica em algum ativo de

informação do órgão em software ou hardware de terceiros, o fabricante devera ser

contactado o mais rápido possível para solucionar o problema. Não havendo

resposta do fabricante em tempo considerável hábil, o setor administrativo devera

ser notificado para tomar as medidas administrativas;

2. Caso seja detectado alguma vulnerabilidade técnica em algum ativo de

informação da em software ou hardware do órgão, o setor de T.I. devera solucionar

o problema no período relativo ao risco que a vulnerabilidade oferece;

c) Caso uma vulnerabilidade não tenha sido corrigida de acordo com o tempo

estipulado como aceitável pela equipe de segurança da empresa, esta equipe deve

ser notificada;

85
d) Apos uma notificação de qualquer outro setor, sobre uma vulnerabilidade não

corrigida no tempo considerado hábil, a equipe de segurança deve agir de forma a

monitorar e proteger com ferramentas a vulnerabilidade em questão ate sua

correção.

3.7. Gestão de Incidentes de Segurança

Esse tópico trata da necessidade de mapear as fragilidades da segurança, mapear

os eventos ocorridos de forma de talhada, garantindo que todos os eventos e ações

sejam informadas.

3.7.1. Notificação de eventos de segurança da informação

Cabe como responsabilidade do gestor, a comunicação de todo e qualquer evento

de segurança, A presidência ou a superintendência do órgão. Devendo, as partes

competentes, validarem quais as áreas, contribuintes e fornecedores, que deverão

ser informados sobre o ocorrido.

Portanto, seguem os procedimentos para a implementação desse processo:

O gestor da área devera ser informado em primeira instancia.

86
a) O gestor devera informar o mais rápido possível aos responsáveis legais do órgão

(secretária, diretoria, superintendência ou Security Officer)

b) Devera imediatamente ser anotado de forma detalhada os eventos ocorridos.

c) Devera ser formalizado, via relatório, o mais rápido possível o evento ocorrido.

Devendo estar devidamente assinado pelo gestor da área, sendo levado ao

conhecimento do presidente e ou superintendente, dando ciência formal do ocorrido

e das ações corretivas tomadas.

d) Deve comunicar de forma resumida ocorrido e as ações corretivas tomadas, aos

fornecedores, funcionários ou outros. Estando a documentação a ser enviada,

devidamente validada e autorizada pela parte competente (diretoria ou

superintendência).

e) Apos autorizações da superintendência ou diretoria, na comunicação redigida, a

ser enviada ao remetente, deve sempre ser lembrada a política da empresa, citando

qual o tópico foi desrespeitado.

f) Todo e qualquer evento, que refere-se, a quebra da política de segurança da

empresa, por parte do corpo de funcionários da empresa, devera ser informado ao

gerente da área. Cabendo ao gerente a aplicação da punição. Não deixando nunca,

de registrar via formulário predefinido e informar ao secretário ou superintendente

via formulário ocorrido e a função e a função executada pela

gerencia.

g) Esclarecemos que, todo e qualquer evento de segurança, informado aos

funcionários, são de forma sigilosa. Estando o funcionário passivo de punição, em

caso de quebra desta.

87
h) Toda e qualquer observação suspeita, ou fragilidade do sistema. Observada por

parte dos funcionários, fornecedores e outros, e de dever dos mesmos, a imediata

comunicação escrita ao órgão.

i) Deve ficar claro que, sempre que um funcionário receber, qualquer informação,

que seja citada nos eventos, a área competente deve ser imediatamente informada.

Não sendo permitido qualquer averiguação desse informativo recebido por parte do

usuario.

Seguem as informações adicionais, que exemplificam alguns eventos, que

caracterizam incidentes de segurança:

a) perda de serviço,

b) falha da redundância do serviço,

c) falha de equipamentos ou softwares,

d) sobrecarga no sistema,

e) falha humana,

f) quebra de sigilo de informações pertinentes a compra de um cliente,

g) quebra da conformidade da política (não conformidade),

h) violação de procedimentos de segurança física,

i) violação de procedimentos de segurança lógica,

88
j) violação de procedimentos de segurança remota,

k) mudança de sistema sem a previa autorização da área responsável pela

segurança,

l) toda e qualquer maquina ou equipamento de informática e ou telecomunicações,

ou multimídia, que deva operar na rede, deve antes passar pela avaliação da T.I,

que será a responsável pela configuração. E ao final da utilização a liberação

também devera ser feita pela T.I. Esse procedimento deve ser mantido, para todos

os equipamentos da empresa que retornem, para todos os equipamentos de

terceiros, ou que devam que operar na rede e veio de ambiente externo.

m) Mau funcionamento de software ou hardware.

Todos os eventos acima citados, e exigências, devem estar em conformidade com

as exigências legais.

3.7.2. Responsabilidade e procedimentos

a) Deve-se aplicar fielmente os processos definidos, para o manuseio efetivo de

eventos, incluindo as fragilidades.

b) Deve-se cumprir, fielmente, os processos descritos, e mapeados em todos os

itens relacionados no item 13.1.

c) Deve-se cumprir os processos mapeados de contingência.

89
d) Deve-se analisar todo e qualquer incidente, com a finalidade de identificar a

causa.

e) Todos os procedimentos executados, devem estar relatos em um documento

previamente montado, o qual devera servir de analise critica.

f) Deve-se possuir o mapeamento, de todos os processos de retenção, os quais

devem ser seguidos no caso de um evento considerado de altíssimo risco ao

negocio da empresa.

g) Deve-se implementar, ação corretiva, a cada evento, que infere o sistema de

segurança (política de segurança), conforme item 13.1. Essa ação devera estar

documentada, com a finalidade de possíveis consultas. Devendo a correção ser

validada e assinada pela diretoria.

h) Deve haver uma comunicação, com aqueles afetados, ou envolvidos no incidente;

devendo essa informação estar documentada em um relatório de processos.

i) Em caso de acionar as autoridades competentes, por motivo de um evento que

fere a política de segurança, essa ação deve ser documentada e ter previ

autorização da presidência da empresa.

j) Deve ser analisado periodicamente os procedimentos internos, os quais serão

determinados através dos processos. Podendo ser revista de acordo com a

necessidade, ou seja, de acordo com os eventos ocorridos.

k) Deve ser assinado os documentos NDA e ou SLA, com os fornecedores de

hardware e software, de acordo com o descrito no processo.

90
l) Deve ser assinado um documento, ou ser inserido na clausula contratual de cada

fornecedor de hardware e serviços, a compensação ou ressarcimento no caso de

perda por conseqüência de mau serviços prestados.

m) O Departamento Jurídico da empresa, deve ser comunicado imediatamente,

sobre todo incidente que envolvam funcionários, clientes, fornecedores e outros.

Esse item tem por finalidade o respaldo jurídico dado a empresa, em todas as ações

a serem tomadas em uma determinada situação de alto risco, que envolvam

terceiros.

n) Devera ser analisado o impacto de qualquer evento atinja a política de segurança.

3.7.3. Coleta de evidências

a) Todas as evidencias relatadas, devem ser guardadas, ate o termino de toda a

analise de vulnerabilidade, com a finalidade de apresentá-las em conformidade com

as normas de armazenamento das evidencias da jurisdição pertinente.

b) Todo documento original devera ser mantido de forma segura, com o registro de

quem o relatou.

c) Todos os eventos de falha do sistema de segurança da informação, deve ser

armazenadas alem de papel, em mídias que possuam as imagens desses

documentos, devendo ser feito mais de uma copia, as quais devem ser guardadas

em lugares distintos.

91
d) Toda e qualquer mídia em relação ao item 3, devem estar bem mapeadas e

armazenadas de forma a facilitar a disponibilidade.

3.8. Gestão de Continuidade do Negócio

Esse tópico serve para assegurar as atividades do negocio, monitorando os

processos, permitindo uma retomada em tempo hábil, em caso de desastre. Visando

minimizar impactos contra a organização.

Existem vários tipos de impactos internos e externos, que podem contribuir, ou

serem responsáveis, por um impacto que cause desastre (destruição) sobre os

processos. Seguem alguns itens consideráveis.

a) Falha de equipamento,

b) Desastres naturais,

c) Ações intencionais,

d) Falhas humanas.

3.8.1. Incluindo segurança da informação no processo de gestão da

continuidade de negócio

92
Esse tópico serve para assegurar as atividades do negocio, monitorando os

processos, permitindo uma retomada em tempo hábil, em caso de desastre. Visando

minimizar impactos contra a organização.

Existem vários tipos de impactos internos e externos, que podem contribuir, ou ser

responsável por um impacto, que cause desastre (destruição ou paralisação) sobre

os processos. Seguem alguns itens consideráveis:

a) Falha de equipamentos,

b) Desastres materiais,

c) Ações intencionais,

d) Falhas humanas,

Portanto segue:

Deve ser implementado um processo que sirva para monitorar periodicamente os

agentes nocivos a continuidade do negocio. Estando registrados em relatórios

críticos de desempenho, que servem como indicativo para as melhores soluções.

a) Todo problema considerado critico em relação a segurança da informação, deve

ser reavaliado, da forma descrita no processo de desenvolvimento e planejamento.

b) Deve ser executado simulações do planejamento de contingência e desastre ,

esses testes devem ser feitos periodicamente, conforme descrito no processo de

desastre recovery e contingência.

93
Essas simulações deverão ser registradas em relatório, e devera ser validade pelo

responsável da área.

c) Deve ser feita uma analise de melhoramentos de técnicas e processos, pelo

responsável da área, toda vez que for executada o teste de contingência ou desastre

recovery. E no caso de haver melhoramentos de técnicas e processos, deve ser

comunicado imediatamente ao responsável da

área, e os responsáveis pela segurança da informação na empresa. A validação final

do processo deve ser feito pelo profissional responsável pela segurança da

informação na empresa.

d) Todas as modificações devem ser informadas a Diretoria, Presidência ou

Superintendência.

e) Todas as áreas devem ser informadas, quando ocorrerem modificações de

processos que as envolvam, devendo ser lembrado, que a validação de quem será

informado devera ser dada pela alta direção.

f) Nunca deve ser ultrapassado o tempo limite que a empresa pode suportar sem

oferecer o serviço.

Caso ocorra, o responsável pela área de segurança deve ser comunicado

imediatamente.

g) Deve ser feito um controle para manutenção ou recuperação das operações,

visando sempre a disponibilidade do negocio.

h) Deve ser mapeada as responsabilidades no caso de um desastre recovery.

94
i) Todo o profissional admitido da área de T.I deve ser capaz de executar os

procedimentos, mesmo que esteja sendo monitorado remotamente, ou via contato

telefônico.

j) Deve ser identificado de forma clara as perdas consideráveis aceitáveis no caso

da indisponibilidade do serviço. Devendo, todo corpo gerencial, alta diretoria, e

presidência, estarem cientes e terem validado esse procedimento.

k) Deve sempre estarem disponíveis, os profissionais envolvidos diretamente ou

indiretamente no procedimento de falha ou indisponibilidade do negocio. Devendo

estar claro para todos, que poderão ser solicitados a qualquer momento do dia ou da

noite, para conter algum desastre ou possível desastre.

95