FACULDADE IBTA PS GRADUAO EM SEGURANA DA INFORMAO

ALEXSANDRO SILVA VIEIRA HUGO IIDA JAIR RODRIGO ZEPEDA ARAYA RODRIGO CANDIDO KELLI CRISTINA RIBEIRO

TR AB ALHO DE CONCLUS O DE CURSO: IMPLEMENTANDO SOLU ES DE SEGURAN A D A INFO RM AO EM ESCRITRIOS DE AD VOC ACI A

So Paulo 2009

ALEXSANDRO SILVA VIEIRA HUGO IIDA JAIR RODRIGO ZEPEDA ARAYA RODRIGO CANDIDO KELLI CRISTINA RIBEIRO

IMPLEMENTANDO SOLU ES DE SEGURAN A D A INFO RM AO EM ESCRITRIOS DE AD VOC ACI A

Trabalho

de

Concluso

de

Curso

apresentado Faculdade IBTA, como um dos requisitos para concluso do Curso de Ps-Graduao Informao. em Segurana da

Orientador: Prof. Celso Leite

So Paulo 2009

ALEXSANDRO SILVA VIEIRA HUGO IIDA JAIR RODRIGO ZEPEDA ARAYA RODRIGO CANDIDO KELLI CRISTINA RIBEIRO IMPLEMENTANDO SOLU ES DE SEGURAN A D A INFO RM AO EM ESCRITRIOS DE ADVOC ACI A

Trabalho

de

Concluso

de

Curso

apresentado Faculdade IBTA, como um dos requisitos para concluso do Curso de Ps-Graduao Informao. em Segurana da

Orientador: Prof. Celso Leite

Aprovada em de 2009

BANCA EXAMINADORA
Prof. Ms. ou Dr. Orientador

Prof.() Ms. ou Dr. Componente da Banca

Prof.() Ms. ou Dr. Componente da Banca

RESUMO

Este trabalho acadmico visa apresentar a implementao de um Programa de Segurana da Informao para um escritrio de advocacia fictcio, descrevendo seu modo operante, suas rotinas de trabalho e suas deficincias de segurana. Diante deste contexto, so identificadas falhas que justificam a atuao do Security Officer que, a partir de sua contratao, elabora um baseline contendo as informaes do estado inicial das instalaes, processos e sistemas encontrados e, a partir deste ponto, elabora documentos e estratgias descrevendo as melhorias, visando assegurar os requisitos bsicos de segurana da informao a sua confidencialidade, integridade e disponibilidade assim como adequa a organizao aos requisitos da norma NBR ISO/IEC 17999, melhores prticas para a segurana da informao, em acordo com a NBR ISO/IEC 27005, que estabelece princpios e diretrizes para implantar e melhorar continuamente um Sistema de Gesto de Segurana da Informao por meio de controles internos buscando proteger os ativos das ameaas e vunerabilidades, tambm em acordo ao padro PCI DSS.

Palavras chave: Baseline, Security Officer, Plano de continuidade de negcio, Anlise de risco, Vulnerabilidades, Ameaas, CIDxGUT, Criptografia.

ABSTRACT

This academic conclusion work aim to present the implementation of a security program to a fictitious advocacy company, describing its operating way, working routines and security deficiencies. In this context, it will be identify the failures that will justify the function of "Security Officer" that as of his recruitment, he elaborates a "baseline" containing the initial states of the facilities, procedures and systems found and starting from this point he elaborates documents and strategies describing the improvements propose, aiming at to assure the information security basic requirements - the confidentiality, integrity and availability - as well as adapting the organization to the Standards NBR ISO/IEC 17999, best practice of the Information Security, according to the NBR ISO/IEC 27005, that establish values and guidelines to implant and improve continuously a information security management by means of internal controls looking for to protect the assets against the threat and vunerability, as well according to the Standard PCI DSS.

Key words: Baseline, Security Officer, Contingency Plan, Risk Analysis, Vulnerabilities, Threats, CIDxGUT, Cryptography.

INDICE DE ILUSTRAES

FIGURA 1 - ORGANOGRAMA FUNCIONAL ........................................................................................................................ 25 FIGURA 2 - FLUXO DE TRABALHO PRINCIPAL .................................................................................................................... 32 FIGURA 3 - CAMADA DE SISTEMA................................................................................................................................... 34 FIGURA 4 - DIAGRAMA MACRO DE REDE ......................................................................................................................... 40 FIGURA 5 - PLANTA DO 13 ANDAR ............................................................................................................................... 41 FIGURA 6 - PLANTA DO 14 ANDAR ............................................................................................................................... 42 FIGURA 7 - PLANTA DO 15 ANDAR ............................................................................................................................... 43 FIGURA 8 - PLANTA DE ZONEAMENTO............................................................................................................................. 44 FIGURA 9 - PLANTA DA FACHADA ................................................................................................................................... 45 FIGURA 10 - RELEVNCIA DOS ATIVOS............................................................................................................................ 94 FIGURA 11 - RISCO TOTAL POR ATIVO ........................................................................................................................... 125 FIGURA 12 - CONTROLES NO IMPLEMENTADOS ............................................................................................................ 127 FIGURA 13 - RISCOS ENCONTRADOS ............................................................................................................................ 128 FIGURA 14 - AMEAAS ENCONTRADAS ......................................................................................................................... 129 FIGURA 15 - PROCEDIMENTO PARA ACIONAMENTO DOS TIMES DE CONTINGNCIA ................................................................ 228 FIGURA 16 - ATIVOS RELEVANTES DA EMPRESA .............................................................................................................. 231 FIGURA 17 - RELAO DOS TIMES DE CONTINGNCIA E CRISE ............................................................................................ 232 FIGURA 18 - NVEL DE RISCO FINAL (QUANTITATIVO)....................................................................................................... 283 FIGURA 19 - NVEL DE RISCO FINAL (QUALITATIVO) ......................................................................................................... 284 FIGURA 20 - COMPARATIVO FINAL DE RISCOS................................................................................................................. 285 FIGURA 21 - SISTEMA DE GESTO DE RISCOS .................................................................................................................. 293 FIGURA 22 - PDCA .................................................................................................................................................. 293

INDICE DE TABELAS

TABELA 1 - CRITRIO PARA RELEVNCIA DOS ATIVOS.......................................................................................................... 52 TABELA 2 - AMEAAS .................................................................................................................................................. 54 TABELA 3 - CRITRIO PARA CLASSIFICAO DAS AMEAAS ................................................................................................... 55 TABELA 4 - IDENTIFICAO DE VULNERABILIDADES ............................................................................................................ 72 TABELA 5 - LEVANTAMENTO DOS RISCOS ......................................................................................................................... 86 TABELA 6 - CLASSIFICAO DE RISCOS E IMPACTOS ............................................................................................................ 88 TABELA 7 - LISTA DOS ATIVOS DO AMBIENTE .................................................................................................................... 92 TABELA 8 - RELEVNCIA DOS ATIVOS .............................................................................................................................. 93 TABELA 9 - IDENTIFICAO DE VULNERABILIDADES RESPONDIDA ........................................................................................ 108 TABELA 10 - RISCO TOTAL DE CADA ATIVO ..................................................................................................................... 125 TABELA 11 - TABELA DE RISCO TOTAL POR ATIVO ........................................................................................................... 126 TABELA 12 - CONTROLES POR NVEIS DE RISCOS.............................................................................................................. 127 TABELA 13 - AMEAAS .............................................................................................................................................. 129 TABELA 14 - CONTROLES ........................................................................................................................................... 152 TABELA 15 - IDENTIFICAO DOS PROCESSOS DE NEGCIO I .............................................................................................. 216 TABELA 16 - IDENTIFICAO DOS PROCESSOS DE NEGCIO II ............................................................................................. 216 TABELA 17 - IDENTIFICAO DOS PROCESSOS DE NEGCIO III ............................................................................................ 217 TABELA 18 - IDENTIFICAO DOS PROCESSOS DE NEGCIO IV ........................................................................................... 217 TABELA 19 - COMPONENTES DA INFRA-ESTRUTURA DO NEGCIO...................................................................................... 218 TABELA 20 - PROCESSOS DEPENDENTES ........................................................................................................................ 218 TABELA 21 - ABAIXO ESCALA PARA CLASSIFICAO DE PRIORIDADE NO NEGCIO .................................................................. 219 TABELA 22 - ESCALA PARA CLASSIFICAO DE PRIORIDADES NOS PROCESSOS DE NEGCIO....................................................... 220 TABELA 23 - BIA ...................................................................................................................................................... 222 TABELA 24 - ATIVOS ................................................................................................................................................. 223 TABELA 25 - NOME E TELEFONES DO TIME DE GESTORES .................................................................................................. 226 TABELA 26 - RISCOS E MEDIDAS DE CORREO ............................................................................................................... 230 TABELA 27 - RESPONSABILIDADES DA EQUIPE................................................................................................................. 233 TABELA 28 - ANALISE DE RISCOS FINAL ......................................................................................................................... 264 TABELA 29 - TABELA DE ANALISE DE RISCOS FINAL ......................................................................................................... 281 TABELA 30 - CONTROLE POR NVEIS DE RISCOS FINAL ....................................................................................................... 282 TABELA 31 - COMPARATIVO FINAL DE RISCOS ................................................................................................................ 286

SUMRIO

INTRODUO .................................................................................................................................................15 JUSTIFICATIVA ................................................................................................................................................16 OBJETIVO ........................................................................................................................................................17 METODOLOGIA E ATIVIDADES ........................................................................................................................18 CONSIDERAES GERAIS ................................................................................................................................20 CAPTULO I......................................................................................................................................................21 1. APRESENTAO DA EMPRESA ...............................................................................................................21 A ESTRUTURA .................................................................................................................................................... 21 CONTEXTUALIZAO E CONTRATAO DO SECURITY OFFICER........................................................................ 23 CAPTULO II.....................................................................................................................................................24 2. ENTENDIMENTO DO NEGCIO...............................................................................................................24 FUNCIONAMENTO DA EMPRESA - ORGANOGRAMA ........................................................................................ 25 JURDICO ........................................................................................................................................................... 25 Tributrio ..................................................................................................................................................... 26 Trabalhista ................................................................................................................................................... 26 Famlia ......................................................................................................................................................... 27 Mercado ....................................................................................................................................................... 28 ADMINISTRATIVO ............................................................................................................................................. 28 RH/DP........................................................................................................................................................... 29 Tecnologia da Informao (TI) ..................................................................................................................... 29 Documentos ................................................................................................................................................. 30 Financeiro..................................................................................................................................................... 30 Eventos ......................................................................................................................................................... 31 FLUXOGRAMA DAS INFORMAES .................................................................................................................. 32 MACRO-VISO DA INFRAESTRUTURA LGICA .................................................................................................. 34 Camada de sistemas .................................................................................................................................... 34 Tedesco ........................................................................................................................................................ 35 Organizer ..................................................................................................................................................... 36 Elite Enterprise ERP ...................................................................................................................................... 36 Exchange ...................................................................................................................................................... 37 Citrix MetaFrame ......................................................................................................................................... 38 Active Directory ............................................................................................................................................ 38 Website/intranet .......................................................................................................................................... 39 TOPOLOGIA ....................................................................................................................................................... 40 REDES ................................................................................................................................................................ 40 DESCRITIVO E PLANTAS ..................................................................................................................................... 41 PLANTAS ....................................................................................................................................................... 41 CAPTULO III....................................................................................................................................................46 ANLISE DE RISCOS .........................................................................................................................................46 3. METODOLOGIA DE ANLISE DE RISCOS .................................................................................................46 ANLISE DE RISCO .................................................................................................................................................. 46 Introduo a gesto de riscos e anlise de riscos ........................................................................................ 46 CONCEITOS FUNDAMENTAIS .................................................................................................................................... 47 CRITRIO PARA DEFINIO DO CONTEXTO DA ANLISE ................................................................................................... 48

CRITRIOS PARA ESCOLHA DE ATIVOS RELACIONADOS AO CONTEXTO................................................................................. 48 FORMULRIO PARA DE RH/DP: ............................................................................................................................... 49 FORMULRIO PARA REA DE TI: ............................................................................................................................... 50 FORMULRIO PARA REA DE SEGURANA: .................................................................................................................. 51 CRITRIOS PARA DEFINIO DA RELEVNCIA DOS ATIVOS ............................................................................................... 52 CRITRIOS PARA DEFINIO DAS AMEAAS .................................................................................................................. 53 CRITRIOS PARA CLASSIFICAO DAS AMEAAS ............................................................................................................ 55 CRITRIOS PARA IDENTIFICAO DE VULNERABILIDADES ................................................................................................. 55 CRITRIOS PARA PONTUAO DE RISCOS ..................................................................................................................... 72 CRITRIOS PARA CLASSIFICAO DE RISCOS E IMPACTOS ................................................................................................. 87 CRITRIOS PARA APRESENTAO DE RESULTADO .......................................................................................................... 88 CAPITULO IV ...................................................................................................................................................89 4. EXECUO DA ANLISE DE RISCOS ........................................................................................................89 FORMULRIO PARA REA O RH/DP: ......................................................................................................................... 89 FORMULRIO PARA REA DE TI: ............................................................................................................................... 90 FORMULRIO PARA REA DE SEGURANA: .................................................................................................................. 91 QUESTIONRIO RESPONDIDO ................................................................................................................................... 95 PONTUAO DE RISCO.......................................................................................................................................... 109 CONTROLES POR NVEL DE RISCO ............................................................................................................................. 127 CONTROLES A SEREM IMPLEMENTADOS .................................................................................................................... 131 PROJETOS IMEDIATOS ARQUITETURA LGICA ......................................................................................................... 153 Servidor de E-mail ...................................................................................................................................... 157 Servidor de Arquivos .................................................................................................................................. 158 Servidor de servio de diretrio .................................................................................................................. 159 Servidor DNS .............................................................................................................................................. 159 Servidor de impresso ................................................................................................................................ 160 Servidor de banco de dados ....................................................................................................................... 160 Servidor Web .............................................................................................................................................. 161 Servidor ERP ............................................................................................................................................... 162 Estaes ..................................................................................................................................................... 163 Notebooks .................................................................................................................................................. 163 Switches ..................................................................................................................................................... 164 Roteador .................................................................................................................................................... 165 Firewall....................................................................................................................................................... 165 PROJETOS IMEDIATOS ARQUITETURA FSICA ........................................................................................................... 166 Prdio ......................................................................................................................................................... 166 Elevadores .................................................................................................................................................. 167 Ar-condicionado ......................................................................................................................................... 167 Salas de reunio ......................................................................................................................................... 168 Salas de servidores ..................................................................................................................................... 168 CAPITULO V ..................................................................................................................................................169 5. POLTICA DE SEGURANA DA INFORMAO .......................................................................................169 GLOSSRIO ......................................................................................................................................................... 169 Autenticidade ............................................................................................................................................. 169 Cdigo Malicioso ........................................................................................................................................ 169 Confidencialidade....................................................................................................................................... 169 Disponibilidade........................................................................................................................................... 169 Informao classificada ............................................................................................................................. 170 Integridade ................................................................................................................................................. 170 Interoperabilidade ..................................................................................................................................... 170 Legalidade .................................................................................................................................................. 170 NBR ISO/IEC 17799..................................................................................................................................... 170 Ponto de acesso ......................................................................................................................................... 170 Vrus ........................................................................................................................................................... 170

INTRODUO ...................................................................................................................................................... 171 OBJETIVO ........................................................................................................................................................... 172 ABRANGNCIA .................................................................................................................................................... 172 DIRETRIZES CORPORATIVAS.................................................................................................................................... 173 NORMAS GERAIS PARA USURIOS........................................................................................................................... 174 Objetivos .................................................................................................................................................... 174 Segurana Organizacional ......................................................................................................................... 174 Segurana da Informao pelos Colaboradores ........................................................................................ 175 Segurana fsica ......................................................................................................................................... 176 Proteo das Estaes de Trabalho e Computadores Mveis .................................................................... 177 Antivrus ..................................................................................................................................................... 177 Contas e Senhas ......................................................................................................................................... 177 Software ..................................................................................................................................................... 178 APLICAES CORPORATIVAS................................................................................................................................... 179 Correio Eletrnico....................................................................................................................................... 179 Internet ...................................................................................................................................................... 179 Utilizao da Rede ..................................................................................................................................... 180 NORMAS GERAIS PARA TCNICOS ........................................................................................................................... 181 Objetivos .................................................................................................................................................... 181 Abrangncia ............................................................................................................................................... 181 Configuraes de Desktops, Notebooks e Servidores................................................................................. 182 Requisitos de criptografia e certificado digital .......................................................................................... 182 Esterilizao e descarte de mdias ............................................................................................................. 183 Tempo de armazenamento e vida til de dispositivo de armazenamento de dados ................................. 183 Local de estoque e armazenamento de mdias de dados .......................................................................... 184 Utilizao da Rede ..................................................................................................................................... 184 Manuteno dos Recursos de Tecnologia da Informao ......................................................................... 185 Segurana Fsica......................................................................................................................................... 186 NORMAS PARA SEGURANA LGICA ....................................................................................................................... 186 Objetivos .................................................................................................................................................... 186 Abrangncia ............................................................................................................................................... 187 Sistemas ..................................................................................................................................................... 187 Servidores ................................................................................................................................................... 188 Redes .......................................................................................................................................................... 189 Controle de acesso lgico (baseado em senhas) ........................................................................................ 192 Estaes de Trabalho ................................................................................................................................. 194 NORMA PARA USO DE INTERNET............................................................................................................................. 195 Objetivos .................................................................................................................................................... 195 Abrangncia ............................................................................................................................................... 195 Normas....................................................................................................................................................... 196 Monitoramento .......................................................................................................................................... 197 NORMA PARA USO DE CORREIO ELETRNICO ............................................................................................................ 197 Objetivos .................................................................................................................................................... 197 Abrangncia ............................................................................................................................................... 198 Responsabilidades dos Usurios ................................................................................................................ 198 Responsabilidades dos Usurios Administradores do Correio ................................................................... 198 Uso do Espao Disponvel........................................................................................................................... 199 Tamanho Mximo de Mensagens Enviadas e Recebidas ........................................................................... 199 Tamanho de pastas pblicas...................................................................................................................... 199 Tempo de Vida das mensagens e documentos .......................................................................................... 200 Tempo de vida de documentos em pastas pblicas ................................................................................... 200 Tempo de vida de mensagens e documentos na pasta Itens Excludos .................................................. 200 Quantidade de caixas postais por usurio ................................................................................................. 200 Direito de acesso pasta pblica do prprio departamento ..................................................................... 200 Direito de acesso pasta pblica da Candido, Carvalho e Vieira Associados ............................................ 201 Direito de acesso pasta pblica temtica ............................................................................................... 201 Ausncia temporria .................................................................................................................................. 201

Criao de caixas postais para terceiros .................................................................................................... 202 Funcionrios exonerados, aposentados ..................................................................................................... 202 Pastas pblicas departamentais ................................................................................................................ 202 Pastas pblicas temticas .......................................................................................................................... 202 Pastas pblicas de grupo de trabalho ........................................................................................................ 202 Listas departamentais, temticas e de grupo de trabalho ........................................................................ 202 Contedo Proibido ..................................................................................................................................... 203 SANES ........................................................................................................................................................... 203 CLASSIFICAO DAS VIOLAES .............................................................................................................................. 204 ESTRATGIA DE IMPLEMENTAO DA P.S.I. .............................................................................................................. 205 Carta do Presidente.................................................................................................................................... 205 DOCUMENTAO DE SUPORTE ............................................................................................................................... 206 Termo de Responsabilidade e Sigilo ........................................................................................................... 206 Campanha de Divulgao .......................................................................................................................... 208 Outras Campanhas .................................................................................................................................... 209 Programas de Treinamentos ...................................................................................................................... 210 CAPITULO VI .................................................................................................................................................214 6. PLANO DE CONTINUIDADE DE NEGCIOS ............................................................................................214 DEFINIO DE PCN.............................................................................................................................................. 214 MAPEAMENTO DOS PROCESSOS.............................................................................................................................. 216 ESTUDO DE CRITICIDADE ....................................................................................................................................... 219 ANLISE DE IMPACTO NO NEGCIO (BIA) ................................................................................................................ 220 CENRIOS PARA RECUPERAO E RESTAURAO ....................................................................................................... 223 Ambientes .................................................................................................................................................. 223 DESENVOLVIMENTO DOS PLANOS NO PCN ............................................................................................................... 224 PLANO DE ADMINISTRAO DE CRISE ...................................................................................................................... 224 Equipe de gesto de crises ......................................................................................................................... 225 Nome e telefones do time de Gestores ...................................................................................................... 226 Procedimento para acionamento dos times de contingncia .................................................................... 227 Procedimentos para Comunicao da Contingncia ................................................................................. 228
Interno.....................................................................................................................................................................228 Externo ....................................................................................................................................................................229

Relao dos ambientes contemplados no plano ........................................................................................ 230 Relao dos times de contingncia e crises ............................................................................................... 232 Ambientes e gestores ................................................................................................................................. 232 RECURSOS E PROCEDIMENTOS ................................................................................................................................ 234 Roteadores e links de comunicao ........................................................................................................... 234 PLANO DE CONTINUIDADE OPERACIONAL .................................................................................................................. 234 Objetivo ...................................................................................................................................................... 234 Aplicabilidade do plano .............................................................................................................................. 237 Acionamento da contingncia ................................................................................................................... 237 PLANO DE RECUPERAO DE DESASTRE ................................................................................................................... 237 ROTEIRO DO PLANO.............................................................................................................................................. 239 PLANO DE RETORNO NORMALIDADE ..................................................................................................................... 241 PLANO DE TESTES E VALIDAO DO PCN ................................................................................................................. 242 TESTES DE FUNCIONALIDADE .................................................................................................................................. 242 TESTES DE DESEMPENHO ....................................................................................................................................... 243 RELATRIO DOS RESULTADOS ................................................................................................................................. 243 MANUTENO DO PLANO ..................................................................................................................................... 244 CAPITULO VII ................................................................................................................................................245 7. ANLISE DE RISCO FINAL .....................................................................................................................245 CLCULO DE RISCO .............................................................................................................................................. 264 OS GRFICOS FINAIS ............................................................................................................................................ 282 CAPITULO VIII ...............................................................................................................................................287

9.

MODELO DE GESTO ...........................................................................................................................287 DEFINIO DE UM MODELO .................................................................................................................................. 288 DEFINIO DE PROCESSOS ..................................................................................................................................... 288 Definio de Funes ................................................................................................................................. 289 Responsabilidades ...................................................................................................................................... 289 Metodologia e Normas de apoio ............................................................................................................... 290

CAPITULO IX..................................................................................................................................................291 10. PLANEJAMENTO CORPORATIVO ..........................................................................................................291

REFERNCIAS BIBLIOGRFICAS .....................................................................................................................295 GLOSSRIO ...................................................................................................................................................298

15

INTRODUO
Aps a incidncia de algum impacto negativo, as empresas passam a considerar o ambiente externo, com suas oportunidades e ameaas, e o ambiente interno, com as foras e fraquezas em relao organizao. O tema segurana tem ganhado a ateno de organizaes dentro de um processo gradual de amadurecimento, em que o avano do uso da tecnologia, a proliferao dos negcios e servios on-line, a mobilidade tecnolgica e seus riscos tiveram impacto nos diversos nveis

organizacionais e operacionais de forma desordenada. Dessa forma, o encaminhamento do tema tambm ocorreu sem a orientao de um instrumento de gesto adequado, que tivesse sido estabelecido por meio de uma viso ampla, integrada e corporativa. Tanto fato, que nestes ltimos anos o foco das organizaes tem sido substancialmente orientado ao estabelecimento da segurana na infraestrutura tecnolgica e nas plataformas operacionais dos sistemas. Algumas organizaes conseguiram ir um pouco alm, estruturando a rea de segurana, estabelecendo o modelo de gesto e as atribuies e necessidades de recursos, ferramentas e procedimentos. Houve aquelas que avanaram ainda mais, definindo e se orientando por uma poltica de segurana, considerando inclusive as operaes do negcio Outro fato que, a cada ano, torna-se maior a ateno da alta administrao e de seus gestores sobre as questes de segurana, mais complexa as necessidades tecnolgicas e operacionais para se tratar estas questes e ainda maior os nmeros atribudos aos oramentos de segurana das organizaes. Enfim, alm do interesse pessoal dos pesquisadores, o tema se mostra extremamente relevante e de grande importncia aos escritrios de advocacia.

16

JUSTIFICATIVA
A escolha do ramo de atividade relacionado ao tema em questo deu-se pela importncia da Segurana da Informao no segmento de advocacia. Com a busca pela modernizao do judicirio, tribunais de justia e divesas cortes no pas aumenta o apelo de recursos da informtica jurdica em seus processos. No entanto, a evoluo das tecnologias trazem consigo preocupaes com a relao a maneira com que as informaes so dispostas e tratadas pelos sistemas responsveis por esta evoluo, principalmente no que diz respeito a segurana destas informaes. Contudo, no difcil perceber os benefcios de novas tecnologias em nosso segmento, como agilidade nos processos, desempenho na prestao do servio jurdico, confiabilidade das informaes e outros. Porm, o nus de ter estes benefcios muitas vezes esto ocultos, poucos so os que se preocupam com a fragilidade das informaes e menor ainda o nmero das pessoas que no conseguem dimensionar o estrago de um vazamento de uma informao. Sem dvida alguma, isto nos motivou na escolha deste tema.

17

OBJETIVO
A presente pesquisa se configura como Trabalho de Concluso de Curso da Faculdade IBTA e apresenta suas justificativas para a escolha do tema, bem como a sua delimitao. Com a finalidade de contribuir para a produo cientfica e atingir certo grau de aprofundamento acadmico, a pesquisa foi realizada pelos alunos Alexsandro Silva Vieira, Hugo Iida, Jair Rodrigo Zepeda Araya, Rodrigo Candido e Kelli Cristina Ribeiro do curso de Segurana da Informao. Partindo da escolha de uma empresa fictcia Candido, Carvalho e Vieira Associados, criamos cenrios, departamentos e estruturas subjetivas, com a inteno de simular um cenrio de ausncia de segurana em vrios aspectos, os quais poderamos atuar diretamente sugerindo e elaborando boas prticas e aplicaes de solues customizadas. Todos os personagens e empresas aqui citados so meramente ilustrativos; qualquer semelhana com a realidade ser mera coincidncia. Em ordem cronolgica, descreveremos ao longo deste trabalho de concluso de curso a situao da referida empresa num primeiro momento, onde ocorre o incidente de segurana, a contratao do profissional para remediar a situao e todas as suas providncias relacionadas ao cenrio previamente descrito e, em seguida, os resultados efetivos e o fechamento do trabalho com as respectivas concluses.

18

METODOLOGIA E ATIVIDADES
As atividades de desenvolvimento deste trabalho de concluso de curso tiveram incio no primeiro semestre do curso de Segurana da Informao, mais especificamente em setembro de 2007. Inicialmente, a atividade executada foi o desenvolvimento de uma descrio primria da empresa na qual seria baseada a proposta de Segurana da Informao contida neste trabalho. Aps todo o desenvolvimento desta descrio comearam a ser desenvolvidos os primeiros tpicos referentes Segurana da Informao. Em discusso nas aulas de Metodologia Cientifica, o grupo foi formado por 5 componentes, sendo eles, Alexsandro, Hugo, Jair, Rodrigo e Kelli. Aps a formao do grupo, em seguida escolhemos o tema do projeto por afinidades de cada componente e j definida a data do dia 06 de dezembro de 2007 para a primeira reunio, onde teria como pauta o desenvolvimento do tema, escopo e cenrio escolhidos. Nesta primeira reunio, viu-se a necessidade de ter um lder para o grupo, responsvel por conduzir as reunies e trabalhos do grupo. As tarefas foram divididas conforme reunies previstas pelo orientador. Nestas reunies de orientao com datas pr-agendas foram traados os caminhos para o desenvolvimento das atividades. Atravs de um documento eletrnico, o orientador traou um cronograma a ser seguido. Com este facilitador, a gesto do projeto deu-se atravs de encontros prximos s reunies de orientao com a participao de todos os componentes do projeto. O projeto foi sendo conduzido de forma a atender as requisies do documento de orientao e correes indicadas nas reunies de orientao. Na medida em que as atividades eram concludas, este contedo era submetido a apreciao e possveis alteraes sugeridas pelo orientador.

19 O projeto tomou forma com a concluso de cada atividade e busca das informaes. A pesquisa para obteno das informaes foi realizada com entrevistas informais de profissionais escolhidos do segmento de advocacia e submetendo os dados levantados ao escopo do projeto. Com as informaes colhidas e organizadas conforme assunto, a disposio delas no projeto deu-se conforme instruo do orientador.

20

CONSIDERAES GERAIS
Com o desenvolvimento deste trabalho foi possvel para os membros do grupo entender e conhecer os passos necessrios para o desenvolvimento de uma estratgia de segurana em uma empresa que no possua uma rea especifica de segurana. Para a rea acadmica os benefcios foram: apresentar um estudo de caso diferente dos que j foram expostos e por em prtica todos os assuntos abordados em sala de aula. J para a comunidade da segurana da informao, o desenvolvimento do trabalho foi benfico pois trouxe o levantamento de um caso onde o descuido na hora de imprimir um documento unido ao esquecimento do usurio em busc-lo na impressora causou um vazamento de informao e por conta disto, iniciou as atividades para a contratao de um Security Officer. Assim como para os gestores de escritrios de advocacia, as

recomendaes e procedimentos descritos no decorrer deste projeto podem originar benefcios e melhorias, servindo de exemplo para empresas de advocacia em quaisquer de seus ramos de atividades.

21

CAPTULO I

O captulo em epgrafe diz respeito a apresentao da empresa como um todo, bem como o negcio no qual ela est engajada. Nele sero encontradas informaes como Fundao, Histrico da Empresa,

Quantidade de Funcionrios, Faturamentos e outros dados importantes para a fundamentao dos trabalhos do Security Officer.

1. APRESENTAO DA EMPRESA
Uma equipe de scios e advogados, altamente especializados, coloca integralmente a servio de clientes o conhecimento tcnico e da legislao. O posicionamento orientado para resultados tem levado a assumir o planejamento e a representao legal de algumas das mais importantes instituies e grupos privados em atividade no Pas. A confiana depositada na qualidade de servios tem sido retribuda com a busca permanente de solues jurdicas inovadoras para o enfrentamento dos desafios impostos pela dinmica da atividade empresarial.

A ESTRUTURA
Fundada por um grupo de profissionais de reconhecida formao jurdica e capacidade profissional, Candido, Carvalho e Vieira Associados consolidouse no campo do Direito Privado e Direito Pblico (com nfase na rea empresarial) como sinnimo de auto-conceito, eficincia, dedicao e probidade. Seus profissionais, extremamente qualificados, criteriosos e experientes, com experincia no Brasil e no exterior, esto aptos a apresentar solues e

22 prestar acessria altamente especializada. Hoje, o Escritrio conta com aproximadamente 190 funcionrios, registrados na Consolidao das Leis Trabalhistas (CLT), e apresenta um faturamento anual na ordem de R$ 90 milhes. Mais do que orientao adequada s complexas solicitaes da sociedade moderna, o escritrio oferece credibilidade, tradio e a certeza de encontrar as melhores respostas em todas as reas de atuao. Desde sua fundao registrado um expressivo crescimento no mercado brasileiro da advocacia empresarial, na qual o escritrio est posicionado entre os melhores deste seguimento. Com pesados investimentos em treinamentos, infraestrutura e contratao de profissionais qualificados, a expanso das atividades surge

inevitavelmente. O escritrio conta com mais de 90 profissionais distribudos em pontos estratgicos do pas. Com sede em So Paulo e correspondentes em outros estados, podem garantir um qualificado atendimento em suas demandas. O escritrio atua nas seguintes reas: Ambiental, Contencioso Civil e Comercial, Econmico, Energia, Famlia e Sucesses, Imobilirio, Mercado de Capitais, Privatizaes e Societrio, Telecomunicaes, Terceiro Setor, Cultura e Responsabilidade Social, Trabalhista e Tributrio. A distribuio dos profissionais est atrelada s reas estratgicas para o atendimento corporativo com grande preocupao para a especializao e atualizao de conhecimentos dos seus funcionrios.

23

CONTEXTUALIZAO E CONTRATAO DO SECURITY OFFICER

Com o seu corpo de advogados divididos em setores, mas com acesso total documentao processual, independentemente de estarem envolvidos no mesmo ou no, e associado ao fato de que os documentos estavam disponveis em formato de papel em arquivo convencional e sem qualquer restrio de cpia, em outubro de 2007 a Advocacia Candido, Carvalho e Vieira Associados detectou um vazamento de informao de um caso do seu maior cliente, o que acabou resultando em prejuzo de R$ 3.600.000,00 para o mesmo, pois o concorrente de posse desta informao, utilizou para benefcio prprio perante o juiz, proporcionando-lhe a vitria nesta causa. Aliado a isso, a imagem de ambas as empresas sofreu impacto negativo, devido a repercusso na mdia, que cobriu toda a histria do vazamento de informao. Uma auditoria interna no conseguiu rastrear o(s) responsvel(is) pelo vazamento de informao, e nenhum dos funcionrios pde ser

responsabilizado diretamente. Por tratar-se da maior conta do escritrio, o corpo de scios acionistas tomou a deciso de investir em segurana da informao devido ao fato de seus concorrentes j terem investido e tambm pela ameaa do cliente em abandonar o escritrio caso no tivesse evidncias, em um curto prazo, que seus processos estariam seguros. Neste contexto, um Security Officer foi contratado para trabalhar ao lado do diretor administrativo, com a misso de organizar processos do escritrio, restringir acessos indevidos, elaborar uma soluo de criptografia e segurana consistente dos documentos processuais, e principalmente, evidenciar os quesitos de segurana exigidos pelo cliente no prazo requerido. A contratao do Security Officer ocorreu em meados de outubro de 2007 e sua posio no organograma se deu logo em princpio ao lado da diretoria, abaixo apenas da presidncia.

24

CAPTULO II

O capitulo em epgrafe foi escrito pelo Security Office na fase inicial do projeto afim de expor a situao encontrada na empresa e para melhor compreenso do projeto.

2. ENTENDIMENTO DO NEGCIO

Com formao nas principais universidades do pas e com cursos de especializao fora do pas, seus advogados produzem resultados e oportunidades reais para os clientes. Os profissionais esto distribudos em reas de especializao que cobrem todas as disciplinas estratgicas para um bom atendimento.

25

FUNCIONAMENTO DA EMPRESA - ORGANOGRAMA

Figura 1 - Organograma Funcional

JURDICO
O setor jurdico basicamente composto por advogados e consultores jurdicos, que so responsveis pelo core business do grupo e diretamente ligados ao atendimento dos clientes da empresa. Nivelados

hierarquicamente, os advogados scio-acionistas, scios e os demais tomam individualmente aes sobre os casos em que esto envolvidos, sem prestar contas aos demais.

26 Todavia, h a possibilidade de consultoria ou mesmo de trabalho em conjunto com um ou mais advogados do grupo, e os processos podem ser auditados pelas hierarquias mais altas visando medir e avaliar a qualidade do atendimento ou mesmo garantir que os atendimentos sejam

padronizados ou com tratamento similar para todos os clientes. Tributrio Presta orientao e assessoria em todas as fases e procedimentos fiscais, tanto nas esferas federal e estadual como na municipal: Anlise preventiva de procedimentos fiscais; Elaborao de consultas e pareceres; Elaborao de manuais de procedimentos jurdico-tributrios; Defesas e recursos em processos administrativos federais,

estaduais, municipais e previdencirios; Questionamento judicial de tributos considerados ilegais; Orientao sobre repercusses fiscais em processo de

reorganizao societria; Planejamentos tributrios, inclusive na orientao de sucesso empresarial; Trabalhista O setor atua intensamente na rea tributria, nas esferas consultiva, preventiva e contenciosa (tanto administrativa, quanto judicialmente), estando capacitado a prestar, dentre outros, os seguintes servios aos nossos clientes: Elaborao de consultas e pareceres; Elaborao e implementao de planejamentos tributrios, inclusive em processos de reorganizao societria; Preparao e apresentao de seminrios e eventos, sobre modificaes na legislao tributria; Anlise preventiva de procedimentos fiscais;

27 Elaborao de rotinas fiscais, incluindo o treinamento do corpo tcnico dos clientes; Realizao de auditorias fiscais, visando identificar crditos

tributrios no aproveitados, bem como eventuais contingncias; Elaborao de boletins informativos sobre alteraes legislativas e decises relevantes do judicirio; Preparao de defesas e recursos em processos administrativos, nas esferas municipal, estadual, federal e previdenciria; Questionamento judicial de tributos considerados indevidos; Acompanhamento dos chamados "leading cases", dos principais questionamentos judiciais, perante tribunais superiores. Famlia Orientao e assessoria para os procedimentos legais decorrentes de relacionamentos pessoais e familiares: Orientao sobre planejamento sucessrio; Testamentos; Inventrios e arrolamentos; Alvars; Separaes judiciais no contenciosas; Divrcios; Adoes; Interdies e tutelas.

28 Mercado Assessoria e consultoria em transaes realizadas no pas e no exterior, nos mercados de capitais, abrangendo assessoria nas seguintes atividades: Distribuio internacional; Administrao de recursos de terceiros (fundos de investimento e carteiras administradas); Atuao do no-residente no mercado brasileiro; Atuao do residente nos mercados internacionais; Obteno de registros junto CVM e bolsas de valores e de mercadorias; Estruturao de operaes a partir da anlise da regulamentao; Operaes de securitizao; Consultoria relacionada regulamentao de mercado de capitais. de valores mobilirios nos mercados local e

ADMINISTRATIVO
O setor administrativo basicamente composto por colaboradores no ligados area jurdica, e tem como principal propsito propiciar suporte e infraestrutura para o andamento do negcio. O setor administrativo realiza todo o back-office necessrio em uma empresa convencional e apoia o core-business, atualmente sendo responsvel por 70% dos colaboradores e expandido-se de acordo com o nmero de contas, estes setores tem como principal misso viabilizar a atuao da rea jurdica.

29 RH/DP A Diretoria de Recursos Humanos tem como misso a criao e implementao das melhores prticas de gesto de pessoas para o Escritrio, a coordenao dos processos de desenvolvimento organizacional e a garantia da evoluo constante dos profissionais. O RH responsvel pelos treinamentos ministrados no escritrio, por meio do projeto Fio de Ariadne. Ao trabalhar de forma conjunta com o treinamento tambm fica responsvel por introduzir projetos de

desenvolvimento, tais como as avaliaes de desempenho, pesquisas de clima e plano de carreira. igualmente responsvel pelo recrutamento, seleo e integrao de novos funcionrios. Aps estes procedimentos, realiza um processo de

acompanhamento e avaliao dos novos integrantes do escritrio. Considerando este processo de desenvolvimento, tambm coordena todos os programas de qualidade de vida que so relacionados ao escritrio. A Diretoria de Recursos Humanos participa dos grupos D_Integrao e MF Solidrio, que organiza as celebraes internas do escritrio, e com as atividades relacionadas responsabilidade social. Alm disso, administra todas as questes administrativas relacionadas s secretrias do escritrio. Tecnologia da Informao (TI) O Departamento de Tecnologia gerencia todo ambiente tecnolgico de software, hardware, redes e telecomunicaes mediante estudo,

manuteno, implantao, suporte e desenvolvimento de solues. formado pelas seguintes reas administrativas: Redes responsvel por interligar todos os equipamentos e compartilhar as informaes internamente (por meio de servidores) e externamente (internet e e-mail) mediante meios fsicos de acesso, protocolos e requisitos de segurana.

30 Sistemas responsvel pela implantao, manuteno e

acompanhamento de sistemas de gesto financeira e conhecimento do escritrio. Suporte - responsvel pelo apoio aos usurios e pela manuteno do parque de software e hardware em pleno funcionamento. Telefonia responsvel pela comunicao de voz e dados do escritrio (telefones, celulares e dispositivos de mobilidade como o Blackberry). Documentos O Setor de Documentao coordena as aes da biblioteca jurdica, arquivo jurdico e biblioteca literria. responsvel pela organizao e acesso informao jurdica proveniente de diferentes fontes: doutrina, legislao, jurisprudncia e a produo intelectual do escritrio composta por opinies legais, teses, artigos e apresentaes. D suporte ao trabalho dos advogados na realizao de pesquisas e na recuperao de informaes relevantes, mantendo-os atualizados com relao a novos recursos e suportes de informao. Atua no processo de gesto documental que compreende o controle e a movimentao dos documentos do arquivo de clientes. O setor mantm, tambm, uma biblioteca de lazer para os colaboradores do escritrio com acervo composto de literatura nacional e estrangeira. Financeiro O setor responsvel pelas seguintes reas: faturamento (nacional e internacional); financeiro (contas a pagar; contas a receber; recebimento fiscal); anlise financeira (oramento e relatrios gerenciais); gesto de contratos (clientes e fornecedores) e contabilidade.

31 O Financeiro coordena as aes do escritrio junto aos bancos (pagamentos), auditorias (contabilidade), fornecedores recebimentos de notas fiscais e gesto de contratos), clientes (cobrana) e advogados (faturamento e gesto de contratos de clientes). Eventos O Ncleo de Marketing e Eventos coordena as aes de divulgao do escritrio em revistas e publicaes especializadas, zela pela identidade visual do escritrio e pela manuteno da imagem corporativa em nosso site, folders e outros itens institucionais, assim como em material de divulgao interna e externa. Mantm um banco de dados de clientes atualizado por meio de constantes verificaes dos dados cadastrais para que o envio de correspondncias diversas cheguem aos clientes com sucesso e de forma padronizada. formado pelas seguintes reas administrativas: eventos, cadastro, administrao do site, intranet, copa, recepo, telefonistas e assessoria de imprensa.

32

FLUXOGRAMA DAS INFORMAES

Figura 2 - Fluxo de Trabalho Principal

33 1. Cliente contata a central de atendimento ou comparece empresa, apresentando seu caso em linhas gerais. Um consultor designado em uma data posterior ou, dependendo da disponibilidade na mesma visita, para realizar uma entrevista detalhada, preenchendo

formulrios e pesquisas. 2. Ao final da entrevista, o formulrio indica se o caso/processo do cliente tem seu atendimento vivel de acordo com as

especialidades/knowhow do grupo de advogados e ento d-se incio a um cadastro do cliente e designao de um advogado responsvel. 3. O cliente ento informado de que receber uma proposta de atendimento e apresentado ao seu advogado caso aceite a mesma. 4. De acordo com a tabela de honorrios da empresa, um executivo de contas analisa o formulrio preenchido e formata uma proposta para o atendimento e inicia o contato comercial com o cliente. 5. Dado o aceite do cliente, o advogado designado realiza uma reunio preliminar, verificando as necessidades de documentao

processuais, audincias e afins. Nesta fase, o cliente recebe um planejamento de atendimento de sua demanda e, a partir da, comeam os protocolos de documentos pertinentes junto aos rgos competentes relacionados ao caso. 6. O cliente e o advogado por vezes comparecem juntos reunies com a contraparte processual, dando andamento ao processo at que os objetivos sejam atingidos.

34

MACRO-VISO DA INFRAESTRUTURA LGICA

A infraestrutura lgica trata da diviso dos departamentos apresentados em camadas de sistemas, dando nfase ao papel de cada aplicativo e a sua utilizao pelo escritrio. Camada de sistemas

Figura 3 - Camada de sistema

35 Tedesco Software de acompanhamento processual voltado ao gerenciamento das rotinas de departamentos jurdicos de empresas de mdio e grande porte. Administra com eficcia, segurana e flexibilidade os controles dos processos jurdicos, consultas e provisionamento. O sistema disponibiliza informao e acesso a escritrios terceirizados, alm de integrar diferentes departamentos. Outras funcionalidades: Relatrios de auditoria; Relatrios gerenciais; Diferentes nveis de acesso com total segurana; Multi-idiomas; Controle societrio; Controle de marcas e patentes; Controle de licitaes.

Gerencia rotinas de escritrios de advocacia de mdio e grande porte. Administra com segurana e eficincia os controles dos processos jurdicos e consultas de clientes. Oferece a possibilidade de controlar o tempo gasto dos advogados com cada processo gerando faturas de acordo com os contratos estabelecidos e de integrar o processo de controle financeiro, administrando as despesas.

36 Organizer A mesma tecnologia utilizada no Tedesco WebFull foi utilizada para a construo Tedesco Organizer. A agilidade, performance e confiabilidade tcnica de um produto maduro e exaustivamente utilizado por milhares de profissionais do a este novo produto a credibilidade que voc necessita . Outras funcionalidades: Notas de experiente; Agenda rpida; Hosting na Tedesco.

Elite Enterprise ERP Empresas profissionais de servios seguem um ciclo previsvel de atividade, o qual inicia com a procura de novos negcios e conclui com o cliente satisfeito. Mesmo assim cada empresa possui um recurso nico, incluindo

relacionamento com o

cliente, qualificaes profissionais, experincia,

conhecimento existente e produto funcional. A soluo da Elite permite que as empresas utilizem esses recursos de forma eficiente, e deste jeito possam focar no que realmente as distingue das empresas concorrentes. O abrangente pacote de aplicativos da Elite racionaliza e encaminha todas as tarefas essenciais envolvidas para manter um negocio de sucesso. A Elite habilita empresas a:

Melhorar o fluxo de caixa facilitando um faturamento e levantamento rpido e preciso; Entrega informes financeiros e business intelligence de forma rpida e precisa;

37 Gerencia e alavanca o capital intelectual, incluindo exemplos de produtos funcionais que podem ser referenciados e reutilizados para futuros projetos; Foca os esforos de marketing nas oportunidades de negocio com potenciais clientes. Os sistemas da Elite so de simples implantao e fceis de se aderir, eles trabalham de maneira imperceptvel junta a uma variedade de bancos de dados standard, sistemas operativos e plataformas de hardware. Mas a elite vai alm compatibilidade para ser realmente flexvel e customizavel, oferecendo a habilidade de incorporar no programa processos externos de fluxo de trabalho e negcios, modificando o layout de telas e customizar as nomenclaturas. A verdadeira promessa da tecnologia no forar o usurio a ser o mesmo mas de dar ao usurio a liberdade de ser nico.

Exchange O Exchange Server, o servidor de mensagens e colaborao da Microsoft, um software que funciona em servidores que permitem que voc envie e receba e-mails e outras formas de comunicao interativa atravs da rede de computadores. Projetado para interoperar com um software de aplicativo cliente, tal como o Microsoft Outlook, o Exchange Server tambm interage com o Outlook Express e outros aplicativos clientes de e-mail. A verso utilizada no escritrio Exchange Server 2003 Standard no servidor que est dividido em duas Storage Group, sendo uma delas para utilizao da rea tcnicas que compreende a parte de advogados e estagirios do escritrio e outra utilizada por todo administrativo, ou seja, diretores, gerentes e demais funcionrios.

38 Citrix MetaFrame Citrix MetaFrame Server, da empresa Citrix, um servidor de ambiente de trabalho remoto baseado em Microsoft Windows. Est disponvel para os sistemas operacionais Linux e Windows. Tem como finalidade prover acesso aos usurios, desde que permitidos, acessarem aos recursos do escritrio remotamente. uma maneira segura de o advogado ter acesso aos seus documentos de qualquer lugar que estiver, basta ter um cliente Metaframe instalado em seu computador pessoal para se conectar ao escritrio. Alm do acesso aos seus arquivos, o colaborador com acesso Metaframe poderia utilizar recursos tais como impressoras, ERP, consultas de processos, timesheet e outros.

O acesso ao servidor Citrix MetaFrame Server est condicionado a algumas regras de segurana, como liberao de portas do firewall restrita a tcp 1494 e udp 1604, utilizao do protocolo ICA em detrimento ao protocolo mais comum RDP, services packs atualizados e aplicados corretamente, publicao de determinados aplicativos seguros e autenticao atravs do Active Directory da Microsoft.

Active Directory O Active Directory uma implementao de servio de diretrio no protocolo LDAP que armazena informaes sobre objetos em rede de computadores e disponibiliza essas informaes a usurios e administradores desta rede. um software da Microsoft utilizado em ambientes Windows.

O "diretrio ativo" permite que os administradores atribuam empresa polticas largas, desdobrem programas a muitos computadores, e apliquem updates crticos a uma organizao inteira. Uma informao ativa e ajustes das lojas do diretrio que relacionam-se a uma organizao em uma central, base de dados organizada, acessvel.

39 As redes ativas do diretrio podem variar desde uma instalao pequena, com cem objetos, a uma instalao grande, com milhes de objetos. O Active Directory foi inspecionado em 1996 e usado primeiramente com Windows 2000. Mais tarde, foi revisado para estender a sua funcionalidade e melhorar a administrao para uma nova verso, conhecida como 'Windows Server 2003'. O Active Directory est relacionado :

Gerenciamento centralizado GPO Polticas de Grupo Catlogo Global Gerenciamento de Desktop Intellimiror Distribuio de Software Automtica Interface de acesso ADSI Compatibilidade com sistemas operacionais MS Legados Administrao Delegada Replicao Automtica

Website/intranet O website proporciona ao escritrio Candido, Carvalho e Vieira Associados divulgar suas reas de atuao, descries e qualificaes de seus advogados, notcias e premiaes, informaes de segurana e tambm divulga a seus clientes suas melhores prticas no ramo de advocacia. Atravs do website, o colaborador ter acesso a intranet, possibilitando visualizar o cadastro de todos os colaboradores, formulrios financeiros em geral, normas, procedimentos, modelos de documentos, telefones teis e informaes gerais.

40

TOPOLOGIA

A rede da Candido, Carvalho e Vieira Associados possui um firewall que divide a rede interna da rede externa e a rede DMZ (rea de rede que permanece entre a rede interna de uma organizao e uma rede externa, em geral a internet). A rede DMZ possui um servidor de e-mail, um servidor DNS (Domain Name System - Sistema de Nomes de Domnios) e um servidor web server. A rede interna possui as estaes de trabalho dos usurios e os servidores Active Directory, Elite Enterpise, Citrix e um Storage. Na rede externa s possui um Roteador conectado a ele.

REDES

Figura 4 - Diagrama macro de Rede

41

DESCRITIVO E PLANTAS
A Candido, Carvalho e Vieira Associados fica localizada num dos melhores prdios comercias de So Paulo, com um infraestrutura privilegiada e de fcil acesso.

PLANTAS

Figura 5 - Planta do 13 Andar A disposio dos departamentos foi planejada com o objetivo de gerenciar os acessos fsicos e garantir maior segurana aos colaboradores e a empresa. O 13 andar composto pelas reas administrativas de recursos humanos,

42 documentos, faturamento e eventos. O acesso ao andar exclusivo estes departamentos, ficando apenas dois analistas do Help Desk com acesso completo todos os andares.

Nas reas de treinamento e lanchonete, por serem de grande circulao, no h controle de entrada, ficando a recepcionista do andar responsvel pelo gerenciamento destes acessos durante horrio comercial.

Figura 6 - Planta do 14 Andar No 14 andar ficam localizados os departamentos tcnicos. Por ser o andar com o maior nmero de colaboradores, esto instaladas cmeras de segurana nas reas de fluxo de pessoas. No h rea de sombra nos arquivos deslizantes.

43

Figura 7 - Planta do 15 Andar No 15 andar ficam localizados os gestores de cada departamento tcnico e os scios-diretores da Candido, Carvalho Vieira e Associados.

Prxima sala de conferncia est a sala dos servidores, onde se concentram todos os equipamentos tecnolgicos da empresa. Nesta rea, alm do monitoramento por cmeras, h controle de acesso por leitora de carto de proximidade.

44

Figura 8 - Planta de zoneamento

Na administrao do condomnio, toda a infraestrutura que passa atravs dos shafts obedece as normas tcnicas e h documentao de todos as unidades do condomnio.

45

Figura 9 - Planta da fachada

Por fazer parte de um condominio com outras torres ao redor, o edificio onde est localizada a Candido, Carvalho e Vieira Associados, tem uma infraestrutura privilegiada e segue todas as normas tcnicas estabelecidas por lei. O acesso ao condominio gerenciado por empresa terceirizada e agrega uma grande gama de servios que proporcionam segurana aos visitantes e colaboradores. Sendo responsvel apenas pela rea externa do escritrio.

46

CAPTULO III ANLISE DE RISCOS

O capitulo em epgrafe foi escrito pelo Security Office numa situao inicial encontrada na empresa e tem como objetivo descrever os mtodos para desenvolvimento correto da Anlise de Risco.

3. METODOLOGIA DE ANLISE DE RISCOS

Anlise de risco
Introduo a gesto de riscos e anlise de riscos O sistema de gesto de riscos visa facilitar a identificao, implementao, monitorao e melhoria da segurana da informao no ambiente. de interesse dos gestores e das equipes envolvidas com a gesto de riscos em uma organizao e em entidades externas que do suporte a essas atividades. Para desenvolver o processo da gesto de riscos necessrio realizar a anlise de risco, ou seja, ambos os conceitos esto relacionados, constituindo aspectos determinantes para a escolha das medidas e controles de segurana serem implementados, de acordo com as necessidades e objetivos especficos destas no que se refere garantia da manuteno da confidencialidade, integridade e disponibilidade da

informao do negcio. A anlise de riscos de suma importncia para a compreenso dos riscos envolvidos no ambiente da empresa, pois sem ela seria difcil determinar o potencial de impacto da ameaa existente e o conjunto adequado de medidas de segurana a ser implementado. Em uma anlise de riscos, existem dois mtodos utilizados para mensurar os riscos existentes, so eles: qualitativo e quantitativo. Onde pelo mtodo

47 quantitativo a estimativa de perdas potenciais avaliada de forma absoluta (quantifica-se o valor do ativo, impacto, freqncia, adequao das medidas de proteo, graus de incerteza). J no mtodo qualitativo, a estimativa de perdas potenciais avaliada de forma relativa (no h preciso quanto ao valor do ativo, impacto, freqncia, adequao das medidas de proteo, graus de incerteza). No entanto, o mtodo escolhido neste projeto o quantitatvo.

Conceitos Fundamentais
Para entender melhor sobre o sistema de gesto de risco, importante introduzir alguns conceitos: Confidencialidade: a propriedade de que a informao no estar disponvel ou divulgada indivduos, entidades ou processos sem autorizao. Em outras palavras, confidencialidade a garantia do resguardo das informaes dadas pessoalmente em confiana e proteo contra a sua revelao no autorizada. Integridade: vem do latim integritate, significa a qualidade de algum ou algo ser ntegro, de conduta reta, pessoa de honra, tica, educada, imparcial, brioso, pundonoroso, cuja natureza de ao nos d uma imagem de inocncia, pureza ou castidade, o que ntegro, justo e perfeito, puro de alma e de esprito. Disponibilidade: um sistema informtico resistente falhas de software e energia, cujo objetivo manter os servios

disponibilizados o mximo de tempo possvel. Vulnerabilidade: Segundo a norma ABNT NBR ISO/IEC 17799 (2005,P3) a definio de vulnerabilidade a fragilidade de um ativo ou grupo de ativos que podem ser exploradas por uma ou mais ameaas". Ameaa: Segundo a norma ABNT NBR ISO/IEC 17799 (2005, p. 3) a definio de ameaa "[..] a causa potencial de um incidente indesejado que pode resultar em um dano para um sistema ou organizao".

48 Impacto: Segundo a norma ABNT NBR ISO/IEC 27005, a definio de risco mudana adversa no nvel obtido dos objetivos de negcios. Risco: Segundo a norma ABNT NBR ISO/IEC 27005, a definio de risco a possibilidade de uma determinada ameaa explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organizao. Ativo: tudo aquilo que possui valor ou gera valor para a empresa, ou seja, pessoas, hardware, software, infra-estrutura, podem ser considerados como um ativo.

Critrio para definio do contexto da anlise

A definio do contexto visa obter informaes relevantes do ambiente para realizar uma anlise e gesto de riscos coerente, que so documentados pelo Security Officer e definidos os responsveis por informar sobre esta. Nesse trabalho, utiliza-se como definio do contexto as reas estratgicas, tticas e as operacionais, onde, a rea estratgica refere-se ao negcio da empresa, a ttica refere-se em colocar a estratgia em prtica e a operacional so as aes tticas do presidente da empresa, CEO, CSO, CIO e gestores de cada rea.

Critrios para escolha de ativos relacionados ao contexto

Devido a sua importncia necessrio certificar que os ativos relacionados ao escopo do projeto so analisados, para isso, feito um inventrio na empresa para identificar sua existncia. definido pelo Security Officer que os responsveis pelo levantamento dessas informaes so os departamentos: RH/DP, TI e SEGURANA. So desenvolvidos formulrios para identificao de cada ativo, que so executados no prazo mximo de 5 dias teis.

49

Formulrio para de RH/DP:

Formulrio de entrevista: Levantamento de ativos pessoas

rea: Nome: Ramal: E-mail:

Sistemas: Presidente Diretores/Ger Usurios Terceiros

Existe? ( ) Sim ( ) No ( ) Sim ( ) No ( ) Sim ( ) No ( ) Sim ( ) No

Responsvel

Localizao

Quantidade

Outros ativos

50

Formulrio para rea de TI:

Formulrio de entrevista: Levantamento de Ativos Tecnolgicos

rea: Nome: Ramal: E-mail: Sistemas: Servidores de e-mail Servidores de arquivos Servidores de servio de diretrio Servidores de DNS Servidores de Proxy Servidores de impresso Servidor de banco de dados Servidores web Estaes Notebooks Switch Roteador Impressoras Smartphones Ambiente de redes Software de aplicao Software de sistema Ferramentas de desenvolvimento Servidor Firewall Outros ativos Existe? () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No Responsvel Localizao Quantidade

51

Formulrio para rea de segurana:

Formulrio de entrevista: Levantamento de Ativos de Infra-estrutura fsica

rea: Nome: Ramal: E-mail:

Ativos: Prdio Ar-condicionado Salas de reunies Sala de equipamentos de rede Sala de servidores

Existe? () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No

Responsvel

Localizao

Quantidade

Outros ativos

52

Critrios para definio da Relevncia dos Ativos

Para estruturar e permitir uma gesto mais eficiente dos ativos da empresa utilizado um critrio de pontuao a fim de definir quais deles so mais relevantes para o negcio da empresa. O processo para gerao dos resultados consiste em: Reunio conjunta com os responsveis de cada departamento; Cada participante avaliar os ativos entre os valores de 1 a 5, de acordo com os dados da tabela 1; So realizados as mdias dos valores indicados pelos participantes de cada rea; O resultado dos dados gerados nessa reunio utilizado pelo Security Officer para mensurar a relevncia dos ativos da empresa.

De acordo com a tabela abaixo, foi elaborado pelo Security Officer as seguintes mtricas para definir o nvel de relevncia dos ativos do ambiente.

Valor 1 2 3 4 5

Importncia ativo Muito Baixo Baixo Mdio Alto Muito Alto

do

Porcentagem (%) 0 20 21 40 41 60 61 80 81 100

Relevncia 1 2 3 4 5

Tabela 1 - Critrio para relevncia dos ativos

53

Critrios para definio das ameaas

As ameaas so aes que podem afetar a segurana de bens corporativos e causar a destruio, divulgao, modificao de dados e/ou impedir o funcionamento de um sistema, ou seja, tem o potencial de comprometer ativos (tais como, pessoas, tecnologia e infraestrutura fsica) e, por isso, tambm as organizaes. As ameaas possuem caractersticas que podem ser de origem natural (chuva, ventania, etc) ou humana (erro de digitao, furto de equipamento, etc) e tambm podem ser acidentais ou intencionais. O critrio para selecionar ameaa para uma determinada anlise feito atravs das vulnerabilidades do ativo. necessrio identificar as ameaas possveis, tanto as acidentais, quanto as intencionais. A lista de ameaas produzida fruto de anlises de freqncia dos incidentes j ocorridos na empresa, comportamento dos usurios por aspectos culturais, percepo de atrativos de servios tecnolgicos disponveis, fatores geogrficos, relatrios de rgos pblicos que contm dados sobre histrico de incidentes ambientais da regio e estatsticas de incidentes tecnolgicos reportados USP CSIRT (GSeTI).
Ameaa Ao de cdigo malicioso Acesso fsico no autorizado Acesso lgico no autorizado Contaminao ambiental Dano a equipamentos ou instalaes Dano integridade fsica de pessoas Erros ou omisses Extremos de temperatura ou umidade Falha de ar-condicionado Falha de energia Falha de hardware Falha de software Falha em meios de comunicao Falta de mo-de-obra essencial Fenmeno climtico Fenmeno meteorolgico Fenmeno ssmico Fenmeno vulcnico Fenmenos por ao de gua Fraude ou sabotagem

54
Ameaa Furto ou roubo de ativos Incndio Indisponibilidade de servios ou informaes Interceptao de dados no autorizada Interferncia eletromagntica Inundao Multas, indenizaes ou sanes Perda de rastreabilidade Queda de performance ou falta de capacidade Queda de performance ou sobrecarga de trfego Repdio Violao de propriedade intelectual Vazamento de Informao

Tabela 2 - Ameaas

55

Critrios para classificao das ameaas

As ameaas precisam ser definidas quanto ao grau de exposio que apresentam para os ativos. Seguem abaixo os critrios para classificao das ameaas listadas na tabela 3:
Ameaa Grau de exposio Muito baixa Baixa Mdia Valor Observao Significa que a ameaa considerada no 1 relevante para a situao examinada No h histrico e considera-se que 2 improvvel a concretizao da ameaa Significa que h algum histrico e 3 probabilidade que a ameaa se concretize Significa que h um histrico significante e uma avaliao de que a ameaa est por 4 acontecer Significa que h um histrico significante e 5 uma avaliao de que a ameaa j ocorreu

Alta Muito Alta

Tabela 3 - Critrio para classificao das ameaas

Critrios para identificao de vulnerabilidades

As informaes sobre as vulnerabilidades obtidas no ambiente so realizadas a partir dos resultados de pesquisas em checklists de instituies como a Microsoft, ISACA e NIST, anlise crtica dos incidentes que foram registrados nos ltimos 3 meses, resultado de varreduras de

vulnerabilidades com o software Nessus e resultado de varreduras de portas com o software Nmap.

56 A tabela para avaliao dos riscos existentes no ambiente, formulada a partir de checklists disponveis pelo COBIT e NIST, que possuem uma ampla base de conhecimentos baseadas em melhores prticas e so atualizadas constantemente.
# 1 2 3 4 5 6 7 8 9 # 1 2 3 4 5 # 1 2 3 4 5 6 7 Segurana Administrativa - Usurios Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Os usurios tem conhecimento sobre a utilizao dos equipamentos e sistemas de informtica? H controles para instalao de software pirata? H monitoramento na rede para identificar acessos no permitidos? Os recursos anti-malware esto configurados de modo que os usurios no possam desabilita-los? Os incidentes de segurana so comunicados pelos usurios? Utilizam criptografia em dispositivos removiveis? Segurana Administrativa - Diretores e Gerentes Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utilizam criptografia em dispositivos removiveis? Segurana Administrativa - Presidente O presidente participa de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utiliza criptografia em dispositivos removveis? A empresa possui uma poltica de continuidade de negcios? Na empresa existe um gerenciamento institucionalizado para garantir conformidade com as leis? Ajuda na divulgao da segurana da informao? A segurana da informao considerada como um prrequisito antes ou durante a estratgia de negcio e planejamento das atividades? A segurana da informao faz parte dos ciclos do negcio? Existe comite de segurana? Participa do comite de segurana? Sim No Sim No Sim No

8 9 10 11

57
# 1 2 3 4 5 6 7 8 9 10 11 Segurana Fsica - Prdio Possui estabilizadores de tenso? Possui geradores de energia? Possui sistema para identificao de funcionrios e visitantes para acesso? Possui porteiro? Possui vigilncia? Possui extintores de incndio e sprinklers? Possui plano de abandono de rea em caso de desastres? Possui CFTV? Possui controle de acesso nos andares? Possui escada de emergncia? Possui portas e janelas antifogo? Sim No

# 1 2 3 4 5 6

Segurana Fsica - Elevadores Possui cmera de vigilncia? Possui manuteno peridica? Possui telefone para comunicao com o porteiro em caso de emergncia? Possui controle de temperatura? Possui iluminao de emergncia? Possui geradores e estabilizador de tenso para caso de falta de energia?

Sim

No

# 1 2

Segurana Fsica - Ar Condicionado Possui manuteno peridica? Possui controle de temperatura?

Sim

No

# 1 2 3 4

Segurana Fsica - Sala de Reunio Possui controle de acesso? Possui controle de utilizao? Possui acstica? Possui algum controle para a identificao dos participantes?

Sim

No

58

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

Segurana Fsica - Sala de Servidores Possui controle de acesso? Possui controle de incndio apropriado? Possui controle de temperatura? Existe controle de umidade das sala? Existe controle de variaes de voltagem na rede eltrica? Possui monitorao CFTV? As filmagens so retidas por mais de 30 dias? Existe sistema de deteco de fumaa? Existe sistema para suprir o fornecimento de energia em caso de falhas por 48 horas? O cabos de dados e eltricos esto sob o piso falso? Existes canaletas separadas para cabos de dados e eltricos? Os racks possuem portas com fechaduras? Existe controle de quem solicita e utiliza as chaves dos racks? Existe controle de quem autorizado a pegar chaves dos racks? A chave de um rack pode abrir um outro rack? O cabeamento de dados e de voz est estruturado e identificado? O cabeamento de energia est estruturado e identificado? Existe controle para medir a utilizao de eltrica por rack?

Sim

No

18 Existe procedimento de limpeza segura das sala? 19 20 21 22 Existe processo para detectar racks que no foram fechados devidamente? Existem rotas de fugas em casos de incidentes? Existe sistema para emisso de aviso sonoro em caso de incidentes?

59
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 Segurana Lgica - Servidor de Email Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias de backup? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui IDS/IPS instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Existe procedimento para contingncia documentado? O recurso de relay est desabilitado? Possui limite para o tamanho de caixa por usurio? Possui limite para o tamanho de arquivo a ser enviado? Possui limite para o tamanho de arquivo a ser recebido? Sim No

60

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

Segurana Lgica - Servidor de Arquivos Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias de backup? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possui limite de espao por usurio configurado?

Sim

No

61

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

Segurana Lgica - Servidor de Servio de Diretrio Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall?

Sim

No

62

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

Segurana Lgica - Servidor de DNS Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? O servio DNS possui transferncia de zona restrita? O servio DNS possui recursividade habilitada?

Sim

No

63

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

Segurana Lgica - Servidor de Banco de Dados Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Existem mais que 1 usurio para administratar o banco de dados? O usurio do servio de Banco de Dados possui poltica de senha?

Sim

No

64

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

Segurana Lgica - Servidor Web Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? O servio IIS possui recurso Front Page extensions desabilitado? O servio IIS possui banner desabilitado? O servio IIS possui recurso webdav desabilitado?

65

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

Segurana Lgica - Servidor ERP Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall?

Sim

No

66

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

Segurana Lgica - Servidor Citrix Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall?

67

# 1

Segurana Lgica - Estao de Trabalho Possui poltica de senha?

Sim

No

2 Possui poltica de log? 3 Possui poltica de atualizao de patches? 4 5 Possui poltica para bloqueio de tela? 6 Possui modem? 7 Possui USB habilitado? 8 Possui CDROM habilitado? 9 Os equipamentos possuem manuteno? 10 Possui antivirus instalado? 11 Possui IDS/IPS instalado? 12 Possui Firewall pessoal instalado? 13 Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? 14 Possuem poltica de utilizao dos equipamentos? Possui controles para que a configurao e instalao no seja padro?

# 1

Segurana Lgica - Notebook Possui poltica de senha configurada?

Sim

No

2 Possui poltica de contas? 3 Possui poltica de log configurada? 4 Possui poltica de atualizao de segurana? 5 Possui poltica para bloqueio de tela? 6 Possui USB desabilitado? 7 Possui CDROM desabilitado? 8 9 Possui modem desinstalado? 10 Possui criptografia de disco interno? Possui controles para que a configurao e instalao no seja padro?

68
# 11 12 Os equipamentos possuem manuteno? 13 Possui antivirus instalado? 14 Possui IDS/IPS instalado? 15 Possui Firewall pessoal instalado? 16 17 Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? 18 Possuem poltica de utilizao dos equipamentos? Possui Firewall instalado? Segurana Lgica - Notebook Possui senha de BIOS configurada? Sim No

# 1

Segurana Lgica - Switch Possui alguma poltica de senha?

Sim

No

2 Possui poltica de contas? 3 Possui alguma poltica de log? 4 Possui poltica de atualizao de segurana? 5 6 Possui restrio de acesso console de administrao? 7 Possui controle para que no seja utilizado usurios padres? 8 Possui fonte redundante? 9 10 Os equipamentos possuem manuteno? 11 Existem locais adequados para armazenar os switches? 12 Existem monitoraes de segurana? 13 14 Existem monitoraes de performance? 15 Existe local adequado para armazenamento das mdias? 16 Existem controles de acesso para as mdias de backup? 17 Possui o servio HTTP para administrao desabilitado? Existem coleta e controle dos logs? Possui porta console desabilitada para administrao? Possui controles para que a configurao e instalao no seja padro?

69
# 18 Possui o servio SNMPdesabilitado? 19 Possui o servio DHCP habilitado? 20 Possui o servio DNS desabilitado? 21 Possui suporte tecnologia 802.1x? 22 A funcionalidade 802.1x est desabilitada? Segurana Lgica - Switch Sim No

# 1

Segurana Lgica - Roteador Possui alguma poltica de senha?

Sim

No

2 Possui poltica de contas? 3 Possui alguma poltica de log? 4 Possui poltica de atualizao de segurana? 5 6 Possui restrio de acesso console de administrao? 7 Possui usurios padres? 8 Possui fonte redundante? 9 10 Possui porta auxiliar desabilitado? 11 O equipamento possui manuteno? 12 Existem locais adequados para armazenar o roteador? 13 Existem monitoraes de segurana? 14 15 Existem monitoraes de performance? 16 Existe local adequado para armazenamento das mdias? 17 Existem controles de acesso para as mdias de backup? 18 Possui o servio HTTP para administrao desabilitado? 19 Possui o servio SNMP desabilitado? Existem coleta e controle dos logs? Possui porta console desabilitada para administrao? Possui controles para que a configurao e instalao no seja padro?

70
# 20 Possui o servio DHCP desabilitado? 21 Possui o servio DNS desabilitado? 22 Existe equipamento de backup? Segurana Lgica - Roteador Sim No

# 1

Segurana Lgica - Servidor de Impresso Possui alguma poltica de senha?

Sim

No

2 Possui poltica de contas? 3 Possui alguma poltica de log? 4 Possui poltica de atualizao de segurana? 5 6 Possui restrio de acesso console de administrao? 7 Os equipamentos possuem manuteno? 8 Existem locais adequados para armazenamento das impressoras? 9 Existem monitoraes de segurana? 10 11 Existem monitoraes de performance? 12 Possui o servio SNMP desabilitado? Existem coleta e controle dos logs? Possui controles para que a configurao e instalao no seja padro?

# 1

Segurana Lgica - Smartphone Possui poltica de senha?

Sim

No

2 Possui poltica de contas? 3 Possui poltica de log? 4 Possui poltica de atualizao de patches? 5 6 Possui poltica para bloqueio de tela? 7 Possui criptografia dados? 8 Possui senha de acesso ao dispositivo? Possui controles para que a configurao e instalao no seja padro?

71
# 9 Os equipamentos possuem manuteno? 10 Os equipamentos possuem controle de patrimnio? 11 Possui o servio Bluetooth desabilitado? 12 Possui o servio Infrared desabilitado? Segurana Lgica - Smartphone Sim No

# 1

Segurana Lgica - Firewall Existe controle de acesso onde est instalado o firewall?

Sim

No

2 Os "updates" e "patches" esto atualizados? 3 4 Os logs do equipamento so gravados em um servidor de log? 5 6 O firewall recebe uma manuteno peridica? 7 Existe firewall reserva em caso de quebra ? 8 Existe documentao de como o firewall est configurado? 9 O firewall possui antivirus instalado? 10 O antivirus atualizado regularmente? 11 12 13 Existem IDS's na rede antes ou depois do firewall? 14 O acesso ao firewall feito atravs do protocolo SSH? 15 A senha de acesso ao firewall possue no minimo 8 caracteres? 16 A senha trocada periodicamente? 17 Existe uma poltica de verificao peridica das polticas configuradas? feito backup das configuraes do equipamento cada vez que so feitas alteraes no mesmo? realizado o acompanhamento dos logs do firewall para identificar tentativas de ataques? A auditoria do firewall est habilitada?

O acesso ao equipamento de acesso exclusivo aos administradores da rede? (Nenhum estagirio, tcnico ou desenvolvedor tem acesso) Portas no utilizadas so bloqueadas por default?

18 19 Protocolos no utilizados so bloqueados por default? 20 Existe configurao de "logout" automtico?

72
# 21 As regras de acesso so as mais especficas possveis? 22 23 24 Possui mecanismo de proteo contra IP spoofing? 25 Possui mecansmo de proteo contra ataques do tipo ICMP? 26 Possui mecansmo de proteo contra ataques do tipo Teardrop? 27 O equipamento possui fontes redundantes? 28 O equipamento possui contrato de manuteno? 29 Existe acompanhamento peridico da utilizao de recursos (capacidade) do equipamento? Existe logs de sucesso para as regras de acesso? Existe logs de falha para as regras de acesso? Segurana Lgica - Firewall Sim No

Tabela 4 - Identificao de vulnerabilidades

Critrios para pontuao de riscos

Em conformidade com a ISO GUIDE 73, que define o risco como a combinao da probabilidade de um evento e sua conseqncia, a anlise realizada atravs dos formulrios executados, sendo, convocados os gestores da empresa para definio do risco. Para o clculo dos riscos que so encontrados no ambiente, utiliza-se a seguinte frmula: Risco = Probabilidade de ameaa(PA) x Probabilidade Vulnerabilidade(PV) x Severidade(S) x Valor do Ativo(VA) Onde: Probabilidade de Ameaa (PA): a probabilidade da vulnerabilidade explorar uma ameaa. Probabilidade de Vulnerabilidade(PV): a probabilidade da vulnerabilidade ser explorada.

73 Severidade (S): a conseqncia na segurana da informao caso as ameaas explorem a vulnerabilidade nos aspectos de Confidencialidade, Integridade e Disponibilidade. Valor do Ativo (VA): o grau de importncia do ativo para o negcio da empresa considerando os componentes de negcio que ele apia. O clculo do risco feito quando a resposta do checklist negativa, ou seja, no existem controles para determinados ativos, apontados aps

levantamento das informao conforme checklist abaixo.

# 1 2 3 4 5 6

Segurana Administrativa - Usurios Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Os usurios tem conhecimento sobre a utilizao dos equipamentos e sistemas de informtica? H controles para instalao de software pirata? H monitoramento na rede para identificar acessos no permitidos? Os recursos anti-malware esto configurados de modo que os usurios no possam desabilitlos? Os incidentes de segurana so comunicados pelos usurios? Utilizam criptografia em dispositivos removveis?

Sim

No

Ameaa

VA

PA

PV

Risco

7 8 9

Total Segurana Administrativa - Diretores e Gerentes Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utilizam criptografia em dispositivos removiveis? Total # 1 2 3 4 5 Segurana Administrativa - Presidente O presidente participa de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utiliza criptografia em dispositivos removiveis? A empresa possui uma poltica de continuidade de negcios? Sim No Ameaa VA PA PV S Risco

# 1 2 3 4 5

Sim

No

Ameaa

VA

PA

PV

Risco

74
# Segurana Administrativa - Presidente Na empresa existe um gerenciamento institucionalizado para garantir conformidade com as leis? Ajuda na divulgao da segurana da informao? A segurana da informao considerada como um pr-requisito antes ou durante a estratgia de negcio e planejamento das atividades? A segurana da informao faz parte dos ciclos do negcio? Existe comite de segurana? Participa do comite de segurana? Total Sim No Ameaa VA PA PV S Risco

6 7

8 9 10 11

# 1 2 3 4 5 6 7 8 9 10 11

Segurana Fsica - Prdio Possui estabilizadores de tenso? Possui geradores de energia? Possui sistema para identificao de funcionrios e visitantes para acesso? Possui porteiro? Possui vigilncia? Possui extintores de incndio e sprinklers? Possui plano de abandono de rea em caso de desastres? Possui CFTV? Possui controle de acesso nos andares? Possui escada de emergncia? Possui portas e janelas antifogo?

Sim

No

Ameaa

VA

PA

PV

Risco

Total # 1 2 3 4 5 6 Segurana Fsica - Elevadores Possui cmera de vigilncia? Possui manuteno peridica? Possui telefone para comunicao com o porteiro em caso de emergncia? Possui controle de temperatura? Possui iluminao de emergncia? Possui geradores e estabilizador de tenso para caso de falta de energia? Total # 1 2 Segurana Fsica - Ar Condicionado Possui manuteno peridica? Possui controle de temperatura? Total Sim No Ameaa VA PA PV S Risco Sim No Ameaa VA PA PV S Risco

75
# 1 2 3 4 Segurana Fsica - Sala de Reunio Possui controle de acesso? Possui controle de utilizao? Possui acstica? Possui algum controle para a identificao dos participantes? Total # 1 2 Segurana Fsica - Sala de Servidores Possui controle de acesso? Possui controle de incndio apropriado? Possui controle de incndio apropriado? Possui controle de temperatura? Existe controle de umidade das sala? Existe controle de variaes de voltagem na rede eltrica? Possui monitorao CFTV? As filmagens so retidas por mais de 30 dias? Existe sistema de deteco de fumaa? Existe sistema para suprir o fornecimento de energia em caso de falhas por 48 horas? O cabos de dados e eltricos esto sob o piso falso? Existes canaletas separadas para cabos de dados e eltricos? Os racks possuem portas com fechaduras? Existe controle de quem solicita e utiliza as chaves dos racks? Existe controle de quem autorizado a pegar chaves dos racks? Existe controle de quem autorizado a pegar chaves dos racks? 15 16 17 18 19 20 21 22 A chave de um rack pode abrir um outro rack? O cabeamento de dados e de voz est estruturado e identificado? O cabeamento de energia est estruturado e identificado? Existe controle para medir a utilizao de eltrica por rack? Existe procedimento de limpeza segura das sala? Existe processo para detectar racks que no foram fechados devidamente? Existem rotas de fugas em casos de incidentes? Existe sistema para emisso de aviso sonoro em caso de incidentes? Total Sim No Ameaa VA PA PV S Risco Sim No Ameaa VA PA PV S Risco

3 4 5 6 7 8 9 10 11 12 13 14

# 1 2 3 4

Segurana Lgica - Servidor de Email Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana?

Sim

No

Ameaa

VA

PA

PV

Risco

76
# 5 6 7 8 9 10 11 12 13 14 Segurana Lgica - Servidor de Email Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias de backup? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui IDS/IPS instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Existe procedimento para contingncia documentado? O recurso de relay est desabilitado? Possui limite para o tamanho de caixa por usurio? Possui limite para o tamanho de arquivo a ser enviado? Possui limite para o tamanho de arquivo a ser recebido? Total Sim No Ameaa VA PA PV S Risco

15 16 17 18 19 20 21 22 23 24

# 1 2 3 4 5 6 7 8 9

Segurana Lgica - Servidor de Arquivos Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias de backup? Possui fonte redundante?

Sim

No

Ameaa

VA

PA

PV

Risco

77
# 10 11 12 13 14 15 16 17 18 19 20 21 22 Segurana Lgica - Servidor de Arquivos Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possui limite de espao por usurio configurado? Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 Segurana Lgica - Servidor de Servio de Diretrio Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivrus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? VA PA PV S Sim No Ameaa VA PA PV S Risco

Sim

No

Ameaa

Risco

78
# 19 20 Segurana Lgica - Servidor de Servio de Diretrio Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? VA PA PV S

Sim

No

Ameaa

Risco

Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 Segurana Lgica - Servidor de DNS Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivrus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? O servio DNS possui transferncia de zona restrita? O servio DNS possui recursividade habilitada? Total # 1 2 3 4 Segurana Lgica - Servidor de Banco de Dados Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? VA S Sim No Ameaa VA PA PV S Risco

Sim

No

Ameaa

PA

PV

Risco

79
# 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 Segurana Lgica - Servidor de Banco de Dados Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivrus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Existem mais que 1 usurio para administratar o banco de dados? O usurio do servio de Banco de Dados possui poltica de senha? Total # 1 2 3 4 5 6 7 8 9 10 11 Segurana Lgica - Servidor Web Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Ameaa VA PA PV S Risco VA S

Sim

No

Ameaa

PA

PV

Risco

80
# 12 13 14 15 16 17 18 19 20 21 22 23 24 Segurana Lgica - Servidor Web Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivrus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivrus/IDS/IPS/Firewall? O servio IIS possui recurso Front Page extensions desabilitado? O servio IIS possui banner desabilitado? O servio IIS possui recurso webdav desabilitado? Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 Segurana Lgica - Servidor ERP Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivrus instalado? Possui IDS/IPS instalado? Sim No Ameaa VA PA PV S Risco Ameaa VA PA PV S Risco

81
# 19 20 21 Segurana Lgica - Servidor ERP Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivrus/IDS/IPS/Firewall? Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 Segurana Lgica - Servidor Citrix Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivrus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivrus/IDS/IPS/Firewall? Total Ameaa VA PA PV S Risco Sim No Ameaa VA PA PV S Risco

82

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Segurana Lgica - Estao de Trabalho Possui poltica de senha? Possui poltica de log? Possui poltica de atualizao de patches? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui modem? Possui USB habilitado? Possui CDROM habilitado? Os equipamentos possuem manuteno? Possui antivrus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possuem polticas de atualizaes para o antivrus/IDS/IPS/Firewall? Possuem poltica de utilizao dos equipamentos?

Sim

No

Ameaa

VA

PA

PV

Risco

Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 Segurana Lgica - Notebook Possui poltica de senha configurada? Possui poltica de contas? Possui poltica de log configurada? Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela? Possui USB desabilitado? Possui CDROM desabilitado? Possui controles para que a configurao e instalao no seja padro? Possui modem desinstalado? Possui criptografia de disco interno? Possui senha de BIOS configurada? Os equipamentos possuem manuteno? Possui antivrus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possuem poltica de utilizao dos equipamentos? Total Sim No Ameaa VA PA PV S Risco

83
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 Segurana Lgica - Switch Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Possui controle para que no seja utilizado usurios padres? Possui fonte redundante? Possui porta console desabilitada para administrao? Os equipamentos possuem manuteno? Existem locais adequados para armazenar os switches? Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Possui o servio HTTP para administrao desabilitado? Possui o servio SNMP desabilitado? Possui o servio DHCP habilitado? Possui o servio DNS desabilitado? Possui suporte tecnologia 802.1x? A funcionalidade 802.1x est desabilitada? Total Sim No Ameaa VA PA PV S Risco

84

# 1

Segurana Lgica - Roteador Possui alguma poltica de senha? Possui alguma poltica de senha?

Sim

No

Ameaa

VA

PA

PV

Risco

2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Possui usurios padres? Possui fonte redundante? Possui porta console desabilitada para administrao? Possui porta auxiliar desabilitado? O equipamento possui manuteno? Existem locais adequados para armazenar o roteador? Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Possui o servio HTTP para administrao desabilitado? Possui o servio SNMP desabilitado? Possui o servio DHCP desabilitado? Possui o servio DNS desabilitado? Existe equipamento de backup? Total

85

# 1 2 3 4 5 6 7 8 9 10 11 12

Segurana Lgica - Servidor de Impresso Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Os equipamentos possuem manuteno? Existem locais adequados para armazenamento das impressoras? Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui o servio SNMP desabilitado?

Sim

No

Ameaa

VA

PA

PV

Risco

Total

# 1 2 3 4 5 6 7 8 9 10 11 12

Segurana Lgica - Smartphone Possui poltica de senha? Possui poltica de contas? Possui poltica de log? Possui poltica de atualizao de patches? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui criptografia dados? Possui senha de acesso ao dispositivo? Os equipamentos possuem manuteno? Os equipamentos possuem controle de patrimnio? Possui o servio Bluetooth desabilitado? Possui o servio Infrared desabilitado?

Sim

No

Ameaa

VA

PA

PV

Risco

Total

86

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

Segurana Lgica - Firewall Existe controle de acesso onde est instalado o firewall? Os "updates" e "patches" esto atualizados? A auditoria do firewall est habilitada? Os logs do equipamento so gravados em um servidor de log? realizado o acompanhamento dos logs do firewall para identificar tentativas de ataques? O firewall recebe uma manuteno peridica? Existe firewall reserva em caso de quebra ? Existe documentao de como o firewall est configurado? O firewall possui antivirus instalado? O antivirus atualizado regularmente? Existe uma poltica de verificao peridica das polticas configuradas? feito backup das configuraes do equipamento cada vez que so feitas alteraes no mesmo? Existem IDS's na rede antes ou depois do firewall? O acesso ao firewall feito atravs do protocolo SSH? A senha de acesso ao firewall possue no minimo 8 caracteres? A senha trocada periodicamente? O acesso ao equipamento de acesso exclusivo aos administradores da rede? (Nenhum estagirio, tcnico ou desenvolvedor tem acesso) Portas no utilizadas so bloqueadas por default? Protocolos no utilizados so bloqueados por default? Existe configurao de "logout" automtico? As regras de acesso so as mais especficas possveis? Existe logs de sucesso para as regras de acesso? Existe logs de falha para as regras de acesso? Possui mecanismo de proteo contra IP spoofing? Possui mecansmo de proteo contra ataques do tipo ICMP? Possui mecanismo de proteo contra ataques do tipo Teardrop? O equipamento possui fontes redundantes? O equipamento possui contrato de manuteno? Existe acompanhamento peridico da utilizao de recursos (capacidade) do equipamento?

Sim

No

Ameaa

VA

PA

PV

Risco

17

18 19 20 21 22 23 24 25 26 27 28 29

Total

Tabela 5 - Levantamento dos riscos

87

Critrios para classificao de riscos e impactos

A anlise identifica os principais riscos nos ativos com as respectivas aes para minimizar os problemas e garantir a conformidade com os requisitos de segurana definidos pela empresa. Impacto resultado de um incidente se segurana, que poder acarretar perdas ou danos pequenos, mdios ou grandes. Os possveis impactos podem ser operacionais e financeiros. Exemplo de impactos operacionais: interrupo dos negcios, perda da capacidade de atendimento a clientes externos e internos, problemas de imagem, problemas de perda de confiana (de clientes, de entidades reguladoras, de entidades classificadoras - rating, da alta gerncia, etc.). Exemplo de impactos financeiros: perdas de receitas, vendas, juros, descontos, pagamento de multas contratuais, cancelamento de ordens de vendas por atraso, indisponibilidade de fundos, despesas extraordinrias com servios externos, funcionrios temporrios, compras de emergncia, etc. Aps a anlise dos resultados conseguimos apontar os impactos de acordo com a relevncia de cada ativo para a companhia.

88

A tabela abaixo, classifica os riscos identificados nessa anlise:

Nvel de risco Muito Alto Justificativa So riscos que os gestores devem ser comunicados e orientados a eliminarem imediatamente. So riscos que os gestores devem ser comunicados e orientados a control-los em um tempo acordado. So riscos que os gestores devem ser comunicados e orientados a control-los sem um tempo prdefinido. So riscos que os gestores devem ser comunicados e podem aceita-los, desde que, essa seja realizada por meios formais. So riscos que os gestores devem ser comunicados e podem aceita-los, desde que, essa seja realizada por meios formais. Valores 576 625

Alto

451 575

Mdio

301 450

Baixo

126 300

Muito Baixo

0 125

Tabela 6 - Classificao de riscos e impactos

Critrios para apresentao de resultado

Foi passado para o gestor da rea de informtica um questionrio para saber os ativos existentes na empresa bem como o valor de cada ativo (dentro de uma escala de 1 a 5). Com essa informao foi possvel gerar questionrios para cada ativo com o fim de identificar as vulnerabilidades do mesmo e pontuado de acordo com sua relevncia, potencial de ameaa, potencial de vulnerabilidade e severidade. Com essa pontuao foi possvel verificar o ativo que est vulnervel e quais aes devem ser tomadas. Com todas essas informaes foi possvel gerar os grficos de ameaa, risco existente, risco quantitativo e risco qualitativo.

89

CAPITULO IV
O captulo em epgrafe, escrito pelo Security Officer, trata da execuo da anlise de riscos inicial com o objetivo de identificar os riscos pertinentes ao ambiente da Candido, Carvalho e Vieira Associados.

4. EXECUO DA ANLISE DE RISCOS

Os questionrios so respondidos pelas respectivas reas, de acordo com os resultados abaixo:

Formulrio para rea o RH/DP:

Formulrio de entrevista: Levantamento de ativos pessoas

rea: Nome: Ramal: E-mail:

Sistemas: Presidente
Diretores/Ger

Usurios Terceiros

Existe? ( x ) Sim ( ) No ( x ) Sim ( ) No ( x ) Sim ( ) No ( x ) Sim ( ) No

Responsvel

Localizao

Outros Ativos

90

Formulrio para rea de TI:

Formulrio de entrevista: Levantamento de Ativos Tecnolgicos

rea: Nome: Ramal: E-mail:

Sistemas: Servidores de e-mail Servidores de arquivos Servidores de servio de diretrio Servidores de DNS Servidores de Proxy Servidores de impresso Servidor de banco de dados Servidores web Estaes Notebooks Switch Roteador Impressoras Smartphones Ambiente de redes Servidor Firewall

Existe? (x) Sim ( ) No (x) Sim ( ) No (x) Sim ( ) No (x) Sim ( ) No (x) ( ) Sim No (x) Sim ( ) No (x) Sim ( ) No (x) Sim ( ) No (x) Sim ( ) No (x) Sim ( ) No (x) Sim ( ) No (x) Sim ( ) No (x) Sim ( ) No (x) Sim ( ) No (x) ( ) Sim No (x) Sim ( ) No

Responsvel

Localizao

Quantidade

1 2 2 2 0 1 1 2 240 15 5 1 5 12 1 1 Servidor ERP 1 Servidor Citrix 1

Outros ativos

91

Formulrio para rea de segurana:

Formulrio de entrevista: Levantamento de Ativos de Infra-estrutura fsica

rea: Nome: Ramal: E-mail:

Ativos: Prdio Elevadores Ar-condicionado Salas de reunies Sala de servidores

Existe? (x) () Sim No (x) () Sim No (x) () Sim No (x) () Sim No (x) () Sim No

Responsvel

Localizao

Quantidade

Outros ativos

92 Com o resultado das entrevistas, so listados os ativos que existem na empresa, de acordo com a Tabela 7:

Ativo Ar Condicionado Elevadores Prdio Sala de Reunio Smartphone Estao de Trabalho Servidor de Impresso Diretores e Gerentes Usurios Notebook Presidente Servidor Web Switch Sala de Servidores Firewall Roteador Servidor de Banco de Dados Servidor de Arquivos Servidor de DNS Servidor de Servio de Diretrio Servidor Citrix Servidor de Email Servidor ERP

Tipo do Ativo Infra-Estrutura Fsica Infra-Estrutura Fsica Infra-Estrutura Fsica Infra-Estrutura Fsica Tecnologia Tecnologia Tecnologia Pessoas Pessoas Tecnologia Pessoas Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia

Tabela 7 - Lista dos ativos do ambiente Depois do levantamento dos ativos, foi realizado uma entrevista com o gestor da rea de informtica junto com a diretoria para definir a relevncia dos ativos. O security officer tomou nota de todos os ativos e fez uma planilha com os valores de cada um de acordo com sua relevncia.

93 De acordo com o critrio de definio da relevncia dos ativos foi gerado um resultado indicando cada valor de relevncia observada na Tabela 8:

Ativo Ar Condicionado Elevadores Prdio Sala de Reunio Smartphone Estao de Trabalho Servidor de Impresso Diretores e Gerentes Usurios Notebook Presidente Servidor Web Switch Sala de Servidores Firewall Roteador Servidor de Banco de Dados Servidor de Arquivos Servidor de DNS Servidor de Servio de Diretrio Servidor Citrix Servidor de Email Servidor ERP

Tipo do Ativo Infra-Estrutura Fsica Infra-Estrutura Fsica Infra-Estrutura Fsica Infra-Estrutura Fsica Tecnologia Tecnologia Tecnologia Pessoas Pessoas Tecnologia Pessoas Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia

Relevncia 3 3 4 3 4 4 3 5 4 4 5 4 4 5 5 5 5 4 4 5 5 5 5

Tabela 8 - Relevncia dos ativos

94

Relevncia
Servidor ERP Servidor de Email Servidor Citrix Serv. de Servio de Diretrio Serv. de Banco de Dados Roteador Firewall Sala de Servidores Presidente Diretores e Gerentes Servidor de DNS Servidor de Arquivos Switch Servidor Web Notebook Usurios Estao de Trabalho Smartphone Prdio Servidor de Impresso Sala de Reunio Elevadores Ar Condicionado

3 Relevncia

Figura 10 - Relevncia dos Ativos De acordo com o critrio de definio da relevncia dos ativos foi gerado um resultado indicando cada valor de relevncia observada no grfico acima.

95

Questionrio respondido
convocado os gestores da empresa e o presidente para responder os questionrios, com a finalidade de identificar os riscos que existem em nos ativos da empresa. apresentado abaixo a tabela com o resultado da entrevista.

# 1 2 3 4 5 6 7 8 9

Segurana Administrativa - Usurios Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Os usurios tem conhecimento sobre a utilizao dos equipamentos e sistemas de informtica? H controles para instalao de software pirata? H monitoramento na rede para identificar acessos no permitidos? Os recursos anti-malware esto configurados de modo que os usurios no possam desabilita-los? Os incidentes de segurana so comunicados pelos usurios? Utilizam criptografia em dispositivos removiveis?

Sim

No x x x

x x x x x x

# 1 2 3 4 5

Segurana Administrativa - Diretores e Gerentes Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utilizam criptografia em dispositivos removiveis?

Sim

No x x x x x

96

# 1 2 3 4 5 6 7

Segurana Administrativa - Presidente O presidente participa de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utiliza criptografia em dispositivos removiveis? A empresa possui uma poltica de continuidade de negcios? Na empresa existe um gerenciamento institucionalizado para garantir conformidade com as leis? Ajuda na divulgao da segurana da informao? A segurana da informao considerada como um prrequisito antes ou durante a estratgia de negcio e planejamento das atividades? A segurana da informao faz parte dos ciclos do negcio? Existe comite de segurana? Participa do comite de segurana?

Sim

No x x x x x

x x

8 9 10 11

x x x x

# 1 2 3 4 5 6 7 8 9 10 11 12

Segurana Fsica - Prdio Possui estabilizadores de tenso? Possui estabilizadores de tenso? Possui geradores de energia? Possui sistema para identificao de funcionrios e visitantes para acesso? Possui porteiro? Possui vigilncia? Possui extintores de incndio e sprinklers? Possui plano de abandono de rea em caso de desastres? Possui CFTV? Possui controle de acesso nos andares? Possui escada de emergncia? Possui portas e janelas antifogo?

Sim

No x x

x x x x x x x x x x

# 1 2 3 4 5 6

Segurana Fsica - Elevadores Possui cmera de vigilncia? Possui manuteno peridica? Possui telefone para comunicao com o porteiro em caso de emergncia? Possui controle de temperatura? Possui iluminao de emergncia? Possui geradores e estabilizador de tenso para caso de falta de energia?

Sim x

No x

x x x x

# 1 2

Segurana Fsica - Ar Condicionado Possui manuteno peridica? Possui controle de temperatura?

Sim x

No x

97

# 1 2 3 4

Segurana Fsica - Sala de Reunio Possui controle de acesso? Possui controle de utilizao? Possui acstica? Possui algum controle para a identificao dos participantes?

Sim

No x x x x

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

Segurana Fsica - Sala de Servidores Possui controle de acesso? Possui controle de incndio apropriado? Possui controle de temperatura? Existe controle de umidade das sala? Existe controle de variaes de voltagem na rede eltrica? Possui monitorao CFTV? As filmagens so retidas por mais de 30 dias? Existe sistema de deteco de fumaa? Existe sistema para suprir o fornecimento de energia em caso de falhas por 48 horas? O cabos de dados e eltricos esto sob o piso falso? Existes canaletas separadas para cabos de dados e eltricos? Os racks possuem portas com fechaduras? Existe controle de quem solicita e utiliza as chaves dos racks? Existe controle de quem autorizado a pegar chaves dos racks? Existe controle de quem autorizado a pegar chaves dos racks? A chave de um rack pode abrir um outro rack? O cabeamento de dados e de voz est estruturado e identificado? O cabeamento de energia est estruturado e identificado? Existe controle para medir a utilizao de eltrica por rack? Existe procedimento de limpeza segura das sala? Existe processo para detectar racks que no foram fechados devidamente? Existem rotas de fugas em casos de incidentes? Existe sistema para emisso de aviso sonoro em caso de incidentes?

Sim

No x x x

x x x x x x x x x x x x x x x x x x x x

98
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 Segurana Lgica - Servidor de Email Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias de backup? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui IDS/IPS instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Existe procedimento para contingncia documentado? O recurso de relay est desabilitado? Possui limite para o tamanho de caixa por usurio? Possui limite para o tamanho de arquivo a ser enviado? Possui limite para o tamanho de arquivo a ser recebido? x x x x x x x x x x x x x x x x x x x x x x x Sim No x x

99

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

Segurana Lgica - Servidor de Arquivos Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias de backup? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possui limite de espao por usurio configurado?

Sim

No x x x x x x

x x x x x x x x x x x x x x x x x

# 1 2 3 4 5 6 7

Segurana Lgica - Servidor de Servio de Diretrio Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias?

Sim

No x x x x x

x x

100
# 8 9 10 11 12 13 14 15 16 17 18 19 20 Segurana Lgica - Servidor de Servio de Diretrio Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? x x x x x Sim x x x x x x x x No

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

Segurana Lgica - Servidor de DNS Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado?

Sim

No x x x x

x x x x x x x x x x x x x x x

101
# 20 21 22 23 24 Segurana Lgica - Servidor de DNS Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? O servio DNS possui transferncia de zona restrita? O servio DNS possui recursividade habilitada? Sim No x x x x x

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

Segurana Lgica - Servidor de Banco de Dados Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Existem mais que 1 usurio para administratar o banco de dados? O usurio do servio de Banco de Dados possui poltica de senha?

Sim

No x x x x

x x x x x x x x x x x x x x x x x x x

102
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 Segurana Lgica - Servidor Web Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? O servio IIS possui recurso Front Page extensions desabilitado? O servio IIS possui banner desabilitado? O servio IIS possui recurso webdav desabilitado? x x x x x x x x x x x x x x x x x x x x x x x x

# 1 2 3 4 5 6

Segurana Lgica - Servidor ERP Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela?

Sim

No x x x x

x x

103
# 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 Segurana Lgica - Servidor ERP Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? x x x x x x x x x x Sim x x x x x No

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Segurana Lgica - Servidor Citrix Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? x x x x x x x x x x x x x x x

104
# 16 17 18 19 20 21 Segurana Lgica - Servidor Citrix Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? x x x x x x

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Segurana Lgica - Estao de Trabalho Possui poltica de senha? Possui poltica de log? Possui poltica de atualizao de patches? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui modem? Possui USB habilitado? Possui CDROM habilitado? Os equipamentos possuem manuteno? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possuem poltica de utilizao dos equipamentos?

Sim

No x x x

x x x x x x x x x x x

# 1 2 3 4 5 6 7 8 9 10 11

Segurana Lgica - Notebook Possui poltica de senha configurada? Possui poltica de contas? Possui poltica de log configurada? Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela? Possui USB desabilitado? Possui CDROM desabilitado? Possui controles para que a configurao e instalao no seja padro? Possui modem desinstalado? Possui criptografia de disco interno? Possui senha de BIOS configurada?

Sim

No x x x x x

x x x x x x

105
# 12 13 14 15 16 17 18 Segurana Lgica - Notebook Os equipamentos possuem manuteno? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possuem poltica de utilizao dos equipamentos? Sim No x x x x x x x

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

Segurana Lgica - Switch Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Possui controle para que no seja utilizado usurios padres? Possui fonte redundante? Possui porta console desabilitada para administrao?

Sim

No x x x x

x x x x x x x x x x x x x x x x x x

Os equipamentos possuem manuteno? Existem locais adequados para armazenar os switches? Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Possui o servio HTTP para administrao desabilitado? Possui o servio SNMPdesabilitado? Possui o servio DHCP habilitado? Possui o servio DNS desabilitado? Possui suporte tecnologia 802.1x? A funcionalidade 802.1x est desabilitada?

106

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

Segurana Lgica - Roteador Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Possui usurios padres? Possui fonte redundante? Possui porta console desabilitada para administrao?

Sim

No x x x x

x x x x x x x x x x x x x x x x x x

Possui porta auxiliar desabilitado? O equipamento possui manuteno? Existem locais adequados para armazenar o roteador? Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Possui o servio HTTP para administrao desabilitado? Possui o servio SNMP desabilitado? Possui o servio DHCP desabilitado? Possui o servio DNS desabilitado? Existe equipamento de backup?

107

# 1 2 3 4 5 6 7 8 9 10 11 12

Segurana Lgica - Servidor de Impresso Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Os equipamentos possuem manuteno? Existem locais adequados para armazenamento das impressoras? Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui o servio SNMP desabilitado?

Sim

No x x x x

x x x x x x x x

# 1 2 3 4 5 6 7 8 9 10 11 12

Segurana Lgica - Smartphone Possui poltica de senha? Possui poltica de contas? Possui poltica de log? Possui poltica de atualizao de patches? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui criptografia dados? Possui senha de acesso ao dispositivo? Os equipamentos possuem manuteno? Os equipamentos possuem controle de patrimnio? Possui o servio Bluetooth desabilitado? Possui o servio Infrared desabilitado?

Sim

No x x x x

x x x x x x x x

108

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

Segurana Lgica - Firewall Existe controle de acesso onde est instalado o firewall? Os "updates" e "patches" esto atualizados? A auditoria do firewall est habilitada? Os logs do equipamento so gravados em um servidor de log? realizado o acompanhamento dos logs do firewall para identificar tentativas de ataques? O firewall recebe uma manuteno peridica? Existe firewall reserva em caso de quebra ? Existe documentao de como o firewall est configurado? O firewall possui antivirus instalado? O antivirus atualizado regularmente? Existe uma poltica de verificao peridica das polticas configuradas? feito backup das configuraes do equipamento cada vez que so feitas alteraes no mesmo? Existem IDS's na rede antes ou depois do firewall? O acesso ao firewall feito atravs do protocolo SSH? A senha de acesso ao firewall possue no minimo 8 caracteres? A senha trocada periodicamente? O acesso ao equipamento de acesso exclusivo aos administradores da rede? (Nenhum estagirio, tcnico ou desenvolvedor tem acesso) Portas no utilizadas so bloqueadas por default? Protocolos no utilizados so bloqueados por default? Existe configurao de "logout" automtico? As regras de acesso so as mais especficas possveis? Existe logs de sucesso para as regras de acesso? Existe logs de falha para as regras de acesso? Possui mecanismo de proteo contra IP spoofing? Possui mecansmo de proteo contra ataques do tipo ICMP? Possui mecansmo de proteo contra ataques do tipo Teardrop? O equipamento possui fontes redundantes? O equipamento possui contrato de manuteno? Existe acompanhamento peridico da utilizao de recursos (capacidade) do equipamento?

Sim x

No

x x x x x x x x x x x x x x x

17

x x x x x x x x x x x x x

18 19 20 21 22 23 24 25 26 27 28 29

Tabela 9 - Identificao de vulnerabilidades respondida

109

Pontuao de Risco

# 1 2 3 4 5 6

Segurana Administrativa - Usurios Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Os usurios tem conhecimento sobre a utilizao dos equipamentos e sistemas de informtica? H controles para instalao de software pirata? H monitoramento na rede para identificar acessos no permitidos? Os recursos anti-malware esto configurados de modo que os usurios no possam desabilitlos? Os incidentes de segurana so comunicados pelos usurios? Utilizam criptografia em dispositivos removveis?

Sim

No x x x

Ameaa Vazamento de Informaes Vazamento de Informaes Acesso lgico no autorizado Vazamento de Informaes

VA 4 4 4 4 4 4

PA 5 5 5 5 5 5

PV 5 5 5 5 5 5

S 5 5 5 5 5 5

Risco 500 500 500

x x x

Violao de propriedade intelectual Vazamento de Informaes

500 500

7 8 9

x x x

Vazamento de Informaes Falha em meios de comunicao Vazamento de Informaes

4 4 4

5 4 5 Total

3 4 4

4 5 4

240 320 320 3380

# 1 2 3 4 5

Segurana Administrativa - Diretores e Gerentes Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utilizam criptografia em dispositivos removiveis?

Sim

No x x x x x

Ameaa Vazamento de informaes Vazamento de informaes Acesso lgico no autorizado Vazamento de informaes Vazamento de informaes

VA 5 5 5 5 5

PA 5 5 5 5 5

PV 5 5 5 5 5

S 5 5 5 5 5

Risco 625 625 625 625 625 3125

Total # 1 2 3 4 5 Segurana Administrativa - Presidente O presidente participa de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utiliza criptografia em dispositivos removiveis? A empresa possui uma poltica de continuidade de negcios? Na empresa existe um gerenciamento institucionalizado para garantir conformidade com as leis? Ajuda na divulgao da segurana da informao? A segurana da informao considerada como um pr-requisito antes ou durante a estratgia de negcio e planejamento das atividades? A segurana da informao faz parte dos ciclos do negcio? Existe comite de segurana? Sim No x x x x x Ameaa Vazamento de informaes Acesso lgico no autorizado Vazamento de informaes Vazamento de informaes Indisponibilidade de servios ou informaes Multas, indenizaes ou sanes x Vazamento de informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes VA 5 5 5 5 5 PA 5 5 5 5 5 PV 4 4 4 5 5 S 4 5 5 4 5

Risco 400 500 500 500 625

6 7

5 5

3 5

5 5

5 5 625

8 9 10

x x x

5 5 5

5 5 5

4 3 4

4 3 4

400 225 400

110
Falha em meios de comunicao

11

Participa do comite de segurana?

4 Total

400 4575

# 1 2 3 4 5 6 7 8 9 10 11 12

Segurana Fsica - Prdio Possui estabilizadores de tenso? Possui estabilizadores de tenso? Possui geradores de energia? Possui sistema para identificao de funcionrios e visitantes para acesso? Possui porteiro? Possui vigilncia? Possui extintores de incndio e sprinklers? Possui plano de abandono de rea em caso de desastres? Possui CFTV? Possui controle de acesso nos andares? Possui escada de emergncia? Possui portas e janelas antifogo?

Sim

No x x

Ameaa Indisponibilidade de servios ou informaes Dano a equipamentos ou instalaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Acesso fsico no autorizado Acesso fsico no autorizado Incndio Dano integridade fsica de pessoas Acesso fsico no autorizado Acesso fsico no autorizado Dano integridade fsica de pessoas Dano integridade fsica de pessoas

VA 4 4 4 4 4 4 4 4 4 4 4 4

PA 5 4 5 5 5 5 5 5 5 5 5

PV 1 1 2 2 2 2 2 2

S 5 5 5 5 5 5 5 5 4

Risco 100 80

x x x x x x x x x x

200

200 0 500

5 2

5 4 5

5 2 Total PA 5 5 5 4 5 PV 5 3 3 4 2

1080 S 5 5 3 4 3 5 150 852 Risco 75 135 192 Risco 375

# 1 2 3 4 5 6

Segurana Fsica - Elevadores Possui cmera de vigilncia? Possui manuteno peridica? Possui telefone para comunicao com o porteiro em caso de emergncia? Possui controle de temperatura? Possui iluminao de emergncia? Possui geradores e estabilizador de tenso para caso de falta de energia?

Sim

No x

Ameaa Acesso fsico no autorizado Indisponibilidade de servios ou informaes

VA 3 3 3 3 3 3

x x x x x

Dano integridade fsica de pessoas Dano a equipamentos ou instalaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

5 2 Total PA 5 PV 1

# 1 2

Segurana Fsica - Ar Condicionado Possui manuteno peridica? Possui controle de temperatura?

Sim

No x

Ameaa Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

VA 3 3

S 5 5

5 1 Total PA 5 5 5 PV 5 5 4

75 S 5 5 5 5 Risco 375 375 300 375 1425

# 1 2 3 4

Segurana Fsica - Sala de Reunio Possui controle de acesso? Possui controle de utilizao? Possui acstica? Possui algum controle para a identificao dos participantes?

Sim

No x x x x

Ameaa Acesso fsico no autorizado Acesso fsico no autorizado Vazamento de informaes Acesso fsico no autorizado

VA 3 3 3 3

5 5 Total

111
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 Segurana Fsica - Sala de Servidores Possui controle de acesso? Possui controle de incndio apropriado? Possui controle de incndio apropriado? Possui controle de temperatura? Existe controle de umidade das sala? Existe controle de variaes de voltagem na rede eltrica? Possui monitorao CFTV? As filmagens so retidas por mais de 30 dias? Existe sistema de deteco de fumaa? Existe sistema para suprir o fornecimento de energia em caso de falhas por 48 horas? O cabos de dados e eltricos esto sob o piso falso? Existes canaletas separadas para cabos de dados e eltricos? Os racks possuem portas com fechaduras? Existe controle de quem solicita e utiliza as chaves dos racks? Existe controle de quem autorizado a pegar chaves dos racks? Existe controle de quem autorizado a pegar chaves dos racks? A chave de um rack pode abrir um outro rack? O cabeamento de dados e de voz est estruturado e identificado? O cabeamento de energia est estruturado e identificado? Existe controle para medir a utilizao de eltrica por rack? Existe procedimento de limpeza segura das sala? Existe processo para detectar racks que no foram fechados devidamente? Existem rotas de fugas em casos de incidentes? Existe sistema para emisso de aviso sonoro em caso de incidentes? x x x x x x x x x x x x x x x x x x x x x Sim No x x x Ameaa Acesso fsico no autorizado Incndio Dano a integridade fsica de pessoas Extremo de temperatura ou umidade Extremo de temperatura ou umidade Dano a equipamentos ou instalaes Acesso fsico no autorizado Perda de rastreabilidade Incndio Indisponibilidade de servios ou informaes Dano a equipamentos ou instalaes Dano a equipamentos ou instalaes Acesso lgico no autorizado Acesso fsico no autorizado Acesso fsico no autorizado Perda de rastreabilidade Furto ou roubo de ativos Perda de rastreabilidade Perda de rastreabilidade Queda de performance ou falta de capacidade Dano a equipamentos ou instalaes Furto ou roubo de ativos Dano integridade fsica de pessoas Dano integridade fsica de pessoas VA 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 PA 5 5 4 3 3 4 5 3 5 5 4 4 5 5 5 3 5 3 3 3 4 5 5 PV 5 5 5 5 4 5 4 4 4 4 4 4 5 4 4 4 4 4 4 3 4 4 4 S 5 5 5 4 4 5 4 4 5 4 5 4 4 4 4 4 4 4 4 5 4 4 5 5 5015 225 320 400 400 400 240 400 240 240 Risco 625 625 500

400

5 5 Total

112
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 Segurana Lgica - Servidor de Email Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias de backup? Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Existem monitoraes de performance? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Existe procedimento para contingncia documentado? O recurso de relay est desabilitado? Possui limite para o tamanho de caixa por usurio? x x x x x x x x x x x x x x x x x x x x x x x x x x x x x Sim No x x x Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Interceptao de dados no autorizada Ao de cdigo malicioso Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Acesso fsico no autorizado Vazamento de Informao Perda de rastreabilidade Indisponibilidade de servios ou informaes Queda de performance ou falta de capacidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Vazamento de Informao Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Vazamento de Informao Indisponibilidade de servios ou informaes VA 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 PA 5 4 5 5 5 5 4 3 4 5 5 5 5 5 5 5 5 5 5 3 5 3 5 3 5 5 5 5 5 5 5 5 PV 3 4 2 3 3 3 3 4 3 3 3 3 3 3 3 3 2 3 4 3 3 3 3 4 5 4 4 4 3 2 3 3 S 3 2 3 4 4 4 5 3 3 4 4 4 4 5 4 4 3 3 3 4 4 3 3 4 3 3 5 3 4 3 3 4 300 225 240 375 300 500 300 300 150 300 150 225 300 180 180 300 300 300 300 Risco 225 160 150

113
# 33 34 Segurana Lgica - Servidor de Email Possui limite para o tamanho de arquivo a ser enviado? Possui limite para o tamanho de arquivo a ser recebido? Sim No x x Ameaa Vazamento de Informao Ao de cdigo malicioso VA 5 5 PA 5 3 PV 4 4 S 3 3 Risco 300 180 6240 S 4 3 4 3 3 4 5 3 4 4 4 3 4 3 3 4 3 4 4 3 3 3 5 4 4 4 4 4 4 3 320 192 400 320 320 320 180 240 240 320 108 240 240 240 180 120 Risco 240 192 240 180 180 240 240 144 128

Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 Segurana Lgica - Servidor de Arquivos Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias de backup? Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? x x x x x x x x x x x x x x x x x X X x x Sim No x X x x x x x x x Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Ao de cdigo malicioso Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Acesso fsico no autorizado Vazamento de Informao Perda de rastreabilidade Indisponibilidade de servios ou informaes Queda de performance ou falta de capacidade Ao de cdigo malicioso Indisponibilidade de servios ou informaes Ao de cdigo malicioso Vazamento de Informao Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao VA 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 5 4 3 4 5 5 5 5 5 5 5 5 5 5 3 5 3 3 5 3 5 5 5 5 5 PV 3 4 3 3 3 3 3 4 2 3 3 4 3 3 2 3 4 3 4 3 3 3 3 4 4 5 4 4 4 3

114
# 31 Segurana Lgica - Servidor de Arquivos Possui limite de espao por usurio configurado? Sim No x Ameaa Indisponibilidade de servios ou informaes VA 4 PA 5 PV 2 S 3 Risco 120 5884 S 4 3 4 3 4 4 3 4 4 3 4 3 3 3 3 3 3 3 4 4 3 4 4 4 5 4 4 300 240 500 300 500 400 300 6070 225 225 300 135 400 300

Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 Segurana Lgica - Servidor de Servio de Diretrio Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivrus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? x x x x x x x x x x x x x x x x x x x x VA 5 5 5 5 5 5 5 5 5 5 4 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 PA 5 4 5 5 5 5 4 5 5 5 5 5 5 5 5 5 5 3 5 3 5 3 5 5 5 5 5 Total PV 3 4 3 3 4 3 3 4 3 4 3 5 4 4 3 3 4 3 4 3 4 4 5 3 4 4 3

Sim

No x x x x x x x

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Acesso fsico no autorizado Vazamento de Informao Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Ao de cdigo malicioso Vazamento de Informao Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao

Risco 300 240 300 225 400 300 180

115

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

Segurana Lgica - Servidor de DNS Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivrus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? O servio DNS possui transferncia de zona restrita? O servio DNS possui recursividade habilitada?

Sim

No x x x x x x

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada

VA 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4

PA 5 4 5 5 5 5 4 4 5 5 5 5 5 5 5 5 5 5 3 5 3 5 3 5 5 5 5 5 5 5

PV 3 4 2 2 4 3 3 4 5 3 3 3 3 3 3 4 3 3 3 3 3 4 3 4 4 4 4 3 4 3

S 3 4 3 3 5 4 4 3 3 3 3 4 3 4 3 3 2 4 4 3 4 5 4 4 5 5 4 4 4 4

Risco 180 256 120 120 400 240

x x x x x x x x x x x x x x x x x x x x x x x x

Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Acesso fsico no autorizado Vazamento de Informao Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Ao de cdigo malicioso Vazamento de Informao Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Vazamento de informao Indisponibilidade de servios ou informaes

192

180 180 240 180

240 120 240 144 180

400 144 320 400 400 320 240 320 240 5996

Total

116
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 Segurana Lgica - Servidor de Banco de Dados Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivrus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Existem mais que 1 usurio para administratar o banco de dados? O usurio do servio de Banco de Dados possui poltica de senha? x x x x x x x x x x x x x x x x x x x x x VA 5 5 5 5 5 5 5 5 5 5 5 4 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 S 4 4 4 3 4 4 4 3 4 3 3 4 3 4 4 3 3 4 3 4 2 4 5 4 4 4 4 300 5870 150 300 500 400 400 225 225 180 225 225 150 240 225 300 180

Sim

No x x x x x x

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Acesso fsico no autorizado Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao Acesso lgico no autorizado Acesso lgico no autorizado

PA 5 4 5 5 5 5 4 4 5 5 5 5 5 5 5 5 5 3 5 3 5 5 5 5 5 5 5

PV 3 4 3 3 2 3 3 3 4 3 2 3 3 3 3 3 3 3 3 3 3 3 4 4 4 3 3

Risco 300 320 300 225 200 300

Total

117

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28

Segurana Lgica - Servidor Web Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivrus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivrus/IDS/IPS/Firewall? O servio IIS possui recurso Front Page extensions desabilitado? O servio IIS possui banner desabilitado? O servio IIS possui recurso webdav desabilitado? x x x x x x x x x x x x x x x x x x x x x x x x x x x x

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Acesso fsico no autorizado Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao

VA 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4

PA 5 4 5 5 5 5 4 4 5 5 5 5 5 5 5 5 5 3 5 3 5 5 5 5 5 5 5 5

PV 4 5 5 5 5 3 3 2 3 3 3 3 3 3 2 3 3 2 3 3 5 5 4 4 3 3 3 4

S 4 4 3 3 4 4 4 3 2 3 3 4 3 3 2 3 3 2 3 3 3 4 5 4 4 4 3 3

Risco 320 320 300 300 400 240

96 120 180 180 240 180 180

180 180 48 180

300 400 400 320

Total

5064

118

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25

Segurana Lgica - Servidor ERP Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivrus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivrus/IDS/IPS/Firewall?

Sim

No x x x x x x

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada

VA 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5

PA 5 4 5 5 5 5 4 4 5 5 5 5 5 5 5 5 5 3 5 3 5 5 5 5 5

PV 4 4 4 4 4 3 3 4 4 4 3 4 3 3 5 4 4 4 3 4 4 4 4 4 3

S 4 4 4 4 5 4 4 3 3 4 4 4 3 3 4 4 3 3 4 4 4 4 5 4 3

Risco 400 320 400 400 500 300

x x x x x x x x x x x x x x x x x x x

Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Acesso fsico no autorizado Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao

240

400 300 400 225 225

400 300 180 300

400 400 500 400

Total # 1 2 3 4 5 Segurana Lgica - Servidor Citrix Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? x x Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes VA 5 5 5 5 5 PA 5 4 5 5 5 PV 3 4 3 3 4 S 3 4 3 3 4

6990 Risco 225 320 225 225 400

x x x

119
Segurana Lgica - Servidor Citrix 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivrus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivrus/IDS/IPS/Firewall? x x x x x x x x Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes x x x x x x x x x Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Acesso fsico no autorizado Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao VA 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 PA 5 4 4 5 5 5 5 5 5 5 5 5 3 5 3 5 5 5 5 5 Total # 1 2 3 4 5 6 7 8 9 10 11 Segurana Lgica - Estao de Trabalho Possui poltica de senha? Possui alguma poltica de senha? Sim No x x Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Indisponibilidade de servios ou informaes Interceptao de dados no autorizada x x x x x x Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Vazamento de Informaes Vazamento de Informaes Indisponibilidade de servios ou informaes Ao de cdigo malicioso VA 4 4 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 4 4 5 5 5 5 3 PV 3 4 3 4 3 2 4 4 4 3 4 S 4 4 4 5 4 4 3 3 3 3 5 128 PV 3 3 2 3 3 3 3 3 3 4 4 3 4 3 4 3 4 4 4 4 S 4 5 3 3 3 3 4 3 3 3 4 3 4 5 5 3 4 5 4 4 225 400 500 400 400 6105 Risco 240 256 240 400 400 225 240 225 225 300 225 225 Risco 300 300 120

x x x

Possui poltica de log? Possui poltica de atualizao de patches? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui modem? Possui USB habilitado? Possui CDROM habilitado? Os equipamentos possuem manuteno? Possui antivrus instalado? x

x x

120
# 12 13 14 15 Segurana Lgica - Estao de Trabalho Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possuem polticas de atualizaes para o antivrus/IDS/IPS/Firewall? Possuem poltica de utilizao dos equipamentos? Sim No x x x x Ameaa Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes VA 4 4 4 4 PA 5 5 5 5 Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 Segurana Lgica - Notebook Possui poltica de senha configurada? Possui alguma poltica de senha? Sim No x x Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Vazamento de Informaes Vazamento de Informaes Interceptao de dados no autorizada x x x x x x x x x x Ao de cdigo malicioso Vazamento de Informaes Acesso no autorizado Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao Indisponibilidade de servios ou informaes VA 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 5 4 5 5 4 3 5 5 5 3 5 5 5 5 5 5 Total # 1 2 3 4 5 Segurana Lgica - Switch Possui alguma poltica de senha? Possui alguma poltica de senha? Sim No x x Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes VA 4 4 4 4 4 PA 5 4 5 5 5 PV 4 4 4 3 4 S 4 4 3 3 4 PV 3 4 3 3 4 3 3 4 4 3 3 4 4 4 3 4 4 4 4 4 4 S 4 4 3 3 5 4 4 4 4 5 2 3 3 3 4 4 4 5 4 4 4 320 320 400 320 320 320 4408 Risco 320 256 240 180 320 PV 3 4 4 3 S 4 4 4 4 240 2064 Risco 240 256 180 180 400 240 192 Risco 240 320

Possui poltica de contas? Possui poltica de log configurada? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana?

x x x x

Possui poltica para bloqueio de tela? Possui USB desabilitado? Possui CDROM desabilitado? Possui controles para que a configurao e instalao no seja padro? Possui modem desinstalado? Possui criptografia de disco interno? Possui senha de BIOS configurada? Os equipamentos possuem manuteno? Possui antivrus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possuem poltica de utilizao dos equipamentos?

x x x x x

240 240 240

Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana?

x x x

121
# 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 Segurana Lgica - Switch Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Possui controle para que no seja utilizado usurios padres? Possui fonte redundante? Possui porta console desabilitada para administrao? Os equipamentos possuem manuteno? Existem locais adequados para armazenar os switches? Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Possui o servio HTTP para administrao desabilitado? Possui o servio SNMP desabilitado? Possui o servio DHCP habilitado? Possui o servio DNS desabilitado? Possui suporte tecnologia 802.1x? A funcionalidade 802.1x est desabilitada? x x x x x x x x x x x x x x x x Sim No x Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada x Acesso lgico no autorizado Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Perda de rastreabilidade Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso lgico no autorizado Acesso lgico no autorizado VA 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 5 5 5 5 3 5 5 5 5 5 5 5 5 5 Total # 1 2 3 4 5 6 7 8 9 Segurana Lgica - Roteador Possui alguma poltica de senha? Possui alguma poltica de senha? Sim No x x Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada x x Acesso lgico no autorizado Indisponibilidade de servios ou informaes VA 5 5 5 5 5 5 5 5 5 PA 5 4 5 5 5 5 4 5 5 PV 3 4 3 3 4 3 4 3 4 S 4 4 4 4 5 4 4 4 4 300 PV 3 3 4 3 4 3 4 3 4 3 4 3 4 3 4 4 4 3 4 S 4 5 3 5 4 3 3 4 5 5 4 3 4 4 4 4 4 4 3 320 320 240 240 5116 Risco 300 320 300 300 500 300 240 240 400 180 320 180 320 320 240 Risco 240

Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Possui usurios padres?

x x x x

122
# 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 Segurana Lgica - Roteador Possui fonte redundante? Possui porta console desabilitada para administrao? Possui porta auxiliar desabilitado? O equipamento possui manuteno? Existem locais adequados para armazenar o roteador? Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Possui o servio HTTP para administrao desabilitado? Possui o servio SNMP desabilitado? Possui o servio DHCP desabilitado? Possui o servio DNS desabilitado? Existe equipamento de backup? x x x x x x x x x x x x Sim No x x x Ameaa Indisponibilidade de servios ou informaes Acesso fsico no autorizado Acesso fsico no autorizado Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Perda de rastreabilidade Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes VA 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 PA 5 5 5 5 5 5 3 5 5 5 5 5 5 5 5 Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 Segurana Lgica - Servidor de Impresso Possui alguma poltica de senha? Possui alguma poltica de senha? Sim No x x Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada x x x x x x Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Perda de rastreabilidade Indisponibilidade de servios ou informaes VA 3 3 3 3 3 3 3 3 3 3 3 3 3 PA 5 4 5 5 5 5 4 5 5 5 5 3 5 PV 3 4 3 4 4 3 2 3 3 4 4 4 4 S 4 4 4 4 5 4 3 4 4 2 4 4 4 240 144 240 180 PV 3 4 3 3 4 4 4 4 3 4 3 4 4 3 2 S 3 3 4 4 3 4 4 3 4 4 3 4 3 4 4 5685 Risco 180 192 180 240 300 180 300 300 300 400 240 300 300 400 Risco 225 300 300

Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Os equipamentos possuem manuteno? Existem locais adequados para armazenamento das impressoras? Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance?

x x x x

123
# 14 Segurana Lgica - Servidor de Impresso Possui o servio SNMP desabilitado? Sim x No Ameaa Indisponibilidade de servios ou informaes VA 3 PA 5 Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 Segurana Lgica - Smartphone Possui poltica de senha? Possui alguma poltica de senha? Sim No x x Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Interceptao de dados no autorizada x x x x x x x Interceptao de dados no autorizada Vazamento de Informaes Acesso lgico no autorizado Indisponibilidade de servios ou informaes Perda de rastreabilidade Indisponibilidade de servios ou informaes Interceptao de dados no autorizada VA 4 4 4 4 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 4 4 5 5 5 3 5 4 Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 Segurana Lgica - Firewall Existe controle de acesso onde est instalado o firewall? Os "updates" e "patches" esto atualizados? A auditoria do firewall est habilitada? Os logs do equipamento so gravados em um servidor de log? realizado o acompanhamento dos logs do firewall para identificar tentativas de ataques? O firewall recebe uma manuteno peridica? Existe firewall reserva em caso de quebra ? Existe documentao de como o firewall est configurado? O firewall possui antivirus instalado? O antivirus atualizado regularmente? Existe uma poltica de verificao peridica das polticas configuradas? feito backup das configuraes do equipamento cada vez que so feitas alteraes no mesmo? Existem IDS's na rede antes ou depois do firewall? O acesso ao firewall feito atravs do protocolo SSH? A senha de acesso ao firewall possue no minimo 8 caracteres? x Sim x x x x x x x x x x x No Ameaa Acesso fsico no autorizado Indisponibilidade de servios ou informaes Perda de rastreabilidade Perda de rastreabilidade Perda de rastreabilidade Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Erros ou omisses Ao de cdigo malicioso Ao de cdigo malicioso Erros ou omisses Erros ou omisses x x x Acesso lgico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado 5 5 5 5 5 5 3 3 3 4 3 3 300 225 VA 5 5 5 5 5 5 5 5 5 5 5 5 PA 5 5 3 3 3 5 5 3 3 3 3 3 PV 3 3 3 4 3 4 3 3 3 4 3 3 S 3 4 4 4 5 3 4 3 3 3 4 4 180 180 300 180 240 225 300 300 PV 3 4 3 2 4 5 2 3 3 3 4 4 4 S 3 4 3 4 5 3 3 4 4 4 4 5 5 1752 Risco 96 240 240 PV 4 S 4 2076 Risco 180 256 180 160 400 Risco

Possui poltica de contas? Possui poltica de log? Possui poltica de atualizao de patches? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui criptografia dados? Possui senha de acesso ao dispositivo? Os equipamentos possuem manuteno? Os equipamentos possuem controle de patrimnio? Possui o servio Bluetooth desabilitado? Possui o servio Infrared desabilitado? x

x x x

124

# 16

Segurana Lgica - Firewall A senha trocada periodicamente? O acesso ao equipamento de acesso exclusivo aos administradores da rede? (Nenhum estagirio, tcnico ou desenvolvedor tem acesso) Portas no utilizadas so bloqueadas por default? Protocolos no utilizados so bloqueados por default? Existe configurao de "logout" automtico? As regras de acesso so as mais especficas possveis? Existe logs de sucesso para as regras de acesso? Existe logs de falha para as regras de acesso? Possui mecanismo de proteo contra IP spoofing? Possui mecansmo de proteo contra ataques do tipo ICMP? Possui mecanismo de proteo contra ataques do tipo Teardrop? O equipamento possui fontes redundantes? O equipamento possui contrato de manuteno? Existe acompanhamento peridico da utilizao de recursos (capacidade) do equipamento?

Sim x

No

Ameaa Acesso lgico no autorizado Acesso fsico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado

VA 5

PA 5

PV 3

S 3

Risco

17

300

x x x x x x x x x x x x x

18 19 20 21 22 23 24 25 26 27 28 29

5 5 5 5 5 5 5 5 5 5 5 5

5 5 5 5 3 3 4 5 5 5 5 3 Total

4 3 4 3 2 1 4 5 3 3 3 3

5 5 4 3 4 4 5 4 4 3 2 3

500 375

Acesso lgico no autorizado Perda de rastreabilidade Perda de rastreabilidade Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Queda de performance ou falta de capacidade

225 120 60 400 500 300 225

135 5570

Com os formulrios preenchidos, de acordo com a frmula R = PV x PA x S x VA calculado o risco total de cada ativo, o resultado encontra-se na tabela abaixo.

Ativo Ar Condicionado Elevadores Prdio Sala de Reunio Smartphone Estao de Trabalho Servidor de Impresso Diretores e Gerentes Usurios Notebook Presidente Servidor Web Switch

Tipo do Ativo Infra-Estrutura Fsica Infra-Estrutura Fsica Infra-Estrutura Fsica Infra-Estrutura Fsica Tecnologia Tecnologia Tecnologia Pessoas Pessoas Tecnologia Pessoas Tecnologia Tecnologia

Relevncia 3 3 4 3 4 4 3 5 4 4 5 4 4

Risco Existente 75 852 1080 1425 1752 2064 2076 3125 3380 4408 4575 5015 5064

% 0.08% 0.90% 1.14% 1.51% 1.86% 2.19% 2.20% 3.31% 3.58% 4.67% 4.85% 5.31% 5.36%

125

Ativo Sala de Servidores Firewall Roteador Servidor de Banco de Dados Servidor de Arquivos Servidor de DNS Servidor de Servio de Diretrio Servidor Citrix Servidor de Email Servidor ERP

Tipo do Ativo Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia

Relevncia 5 5 5 5 4 4 5 5 5 5 Total

Risco Existente 5116 5570 5685 5870 5884 5996 6070 6105 6240 6990 94417

% 5.42% 5.90% 6.02% 6.22% 6.23% 6.35% 6.43% 6.47% 6.61% 7.40% 100.00%

Tabela 10 - Risco total de cada ativo Para melhor visualizao dos resultados obtidos, apresentado a figura abaixo:

Risco Existente Risco Existente

Servidor ERP Servidor de Email Servidor Citrix Servidor de Servio de Diretrio Servidor de DNS Servidor de Arquivos Servidor de Banco de Dados Roteador Firewall Switch Servidor Web Sala de Servidores Presidente Notebook Usurios Diretores e Gerentes Servidor de Impresso Estao de Trabalho Smartphone Sala de Reunio Prdio Elevadores Ar Condicionado
0 1000 2000 3000 4000 5000 6000 7000 8000

Figura 11 - Risco total por ativo

126

Ativo Ar Condicionado Elevadores Prdio Sala de Reunio Smartphone Estao de Trabalho Servidor de Impresso Diretores e Gerentes Usurios Notebook Presidente Sala de Servidores Servidor Web Switch Firewall Roteador Servidor de Banco de Dados Servidor de Arquivos Servidor de DNS Servidor de Servio de Diretrio Servidor Citrix Servidor de Email Servidor ERP

Risco Existente 75 852 1080 1425 1752 2064 2076 3125 3380 4408 4575 5015 5064 5116 5570 5685 5870 5884 5996 6070 6105 6240 6990

Tabela 11 - Tabela de Risco Total por Ativo

127

Controles por nvel de risco

As informaes abaixo apresentam o nvel de risco total encontrados no ambiente e o percentual relativo em termos qualitativos e quantitativos.

Nivel de Risco Quantitativo Qtde %

Muito Alto 53 15%

Alto 95 27%

Mdio 101 29%

Baixo 82 24%

Muito Baixo 15 4%

Total 346 100.00%

Qualitativo

Qtde 25,189 % 19%

47,500 37,165 18,683 37% 29% 14%

1,531 1%

130,068 100.00%

Tabela 12 - Controles por nveis de riscos O grfico abaixo apresenta o total de controles por nvel de risco encontrados no ambiente.

Risco Quantitativo

Baixo 82 24%

Muito Baixo 15 4%

Muito Alto 53 15%

Mdio 101 30%

Alto 95 27%

Muito Alto

Alto

Mdio

Baixo

Muito Baixo

Figura 12 - Controles no implementados

128 42% dos controles no implementados possuem nveis de risco Alto e Muito Alto. 30% dos controles no implementados possuem nveis de risco Mdio. 28% dos controles no implementados possuem nveis de risco Baixo e Muito Baixo.

Risco Qualitativo

Baixo 18,683 14%

Muito Baixo 1,531 1%

Muito Alto 25,189 19%

Mdio 37,165 29%

Alto 47,500 37%

Muito Alto

Alto

Mdio

Baixo

Muito Baixo

Figura 13 - Riscos Encontrados 56% dos riscos encontrados so referentes aos controles no implementados que possuem nveis de risco Alto e Muito Alto. 29% dos riscos encontrados so referentes aos controles no implementados que possuem nveis de risco Mdio. 15% dos riscos encontrados so referentes aos controles no implementados que possuem nveis de risco Baixo e Muito Baixo.

129

Abaixo a lista do nmero de ameaas encontradas no ambiente:

Ameaas

Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Acesso fsico no autorizado Perda de rastreabilidade Vazamento de Informaes Falha de energia Ao de cdigo malicioso Dano a equipamentos ou instalaes Queda de performance ou falta de capacidade Falha em meios de comunicao Erros ou omisses Dano integridade fsica de pessoas Violao de propriedade intelectual Incndio Furto ou roubo de ativos 0 20 40 60 80 100 120 Ameaas

Figura 14 - Ameaas encontradas

Ameaa Furto ou roubo de ativos Incndio Violao de propriedade intelectual Dano integridade fsica de pessoas Erros ou omisses Falha em meios de comunicao Queda de performance ou falta de capacidade Dano a equipamentos ou instalaes Ao de cdigo malicioso Falha de energia Vazamento de Informaes Perda de rastreabilidade Acesso fsico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Indisponibilidade de servios ou informaes

Total 1 1 1 2 2 2 2 3 6 6 16 18 27 28 76 112

Tabela 13 - Ameaas

130 Os possveis impactos podem ser operacionais e financeiros.

Exemplo de impactos operacionais: interrupo dos negcios, perda da capacidade de atendimento a clientes externos e internos, problemas de imagem, problemas de perda de confiana (de clientes, de entidades reguladoras, de entidades classificadoras rating, da alta gerncia, etc.).

Exemplo de impactos financeiros: perdas de receitas, vendas, juros, descontos, pagamento de multas contratuais, cancelamento de ordens de vendas por atraso, indisponibilidade de fundos, despesas extraordinrias com servios externos, funcionrios temporrios, compras de emergncia, etc.

131

Controles a serem implementados

Segurana Lgica - Servidor ERP Controles a serem Implementados Configurar as polticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade - Ativada Aplicar histrico de senhas - 0 senhas memorizadas Armazena senhas usando criptografia reversvel para todos usurios no domnio - Desativada Comprimento mnimo da senha - 15 Caracteres Tempo de vida mximo da senha 30 Dias Tempo de vida mnimo da senha 1 Dias

Controle

Possui alguma poltica de senha?

Possui poltica de contas?

Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha

Possui alguma poltica de log?

Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha Instalar os ltimos patches de segurana disponveis pelo fabricante. Configurar o bloqueio de tela para 1 minuto de inatividade. Elaborar polticas de backup com procedimentos de testes regularmente Criar procedimentos para testes de validao peridicos de backup. Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia

4 6

Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela?

Possui poltica de backup?

Possui poltica para utilizao e atualizao das mdias?

Possui fonte redundante?

132
Segurana Lgica - Servidor ERP Controles a serem Implementados Possui espelhamento de HDs? Estabelecer requisitos mnimos de hardware para o servidor. Formalizar os contratos de manuteno com as empresas prestadoras de servios. Instalar os servidores em rea segura protegidas por controles apropriados de entrada ,para assegurar que somente as pessoas autorizadas tenham acesso. Projetar e aplicar segurana fsica nas instalaes contra ameaas externas e do meio ambiente. Formalizar procedimentos para o armazenamento e gerenciamento de mdias. Implementar controle de acesso ao local onde esto armazenadas as mdias de backup. Configurar o Servidor de Syslog externo. Implementar controle para a monitorao de performance. Criar na recomendao da nova topologia de rede ,a instalao de IDS/IPS de rede. Configurar mecanismos de proteo de segurana na rede. Configurar mecanismos de proteo de segurana na rede. Elaborar polticas de controle, atualizao,deteco,preveno e recuperao de cdigos maliciosos.

Controle 10

11

Os equipamentos possuem manuteno?

12

Existem locais adequados para os servidores?

13 14 15 16 17 18 19 20

Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Implementar controle para a monitorao de performance. Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall?

Controle

Segurana Lgica - Servidor E-mail Controles a serem Implementados Configurar as polticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade - Ativada Aplicar histrico de senhas - 0 senhas memorizadas Armazena senhas usando criptografia reversvel para todos usurios no domnio - Desativada Comprimento mnimo da senha - 15 Caracteres Tempo de vida mximo da senha 30 Dias Tempo de vida mnimo da senha 1 Dias

Possui alguma poltica de senha?

133

Controle

Segurana Lgica - Servidor E-mail Controles a serem Implementados

Possui poltica de contas?

Configurar as polticas de logs do servidor para a seguinte diretiva:Auditoria de acesso a objetos Sucesso, FalhaAuditoria de acesso ao servio de diretrio - FalhaAuditoria de alterao de diretivas Sucesso, FalhaAuditoria de controle de processos Sem auditoriaAuditoria de eventos de logon Sucesso, FalhaAuditoria de eventos de sistema Sucesso, FalhaAuditoria de gerenciamento de contas - Sucesso, FalhaAuditoria de uso de privilgios - FalhaEventos de logon de conta de auditoria - Sucesso, Falha

Possui alguma poltica de log?

Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha Instalar os ltimos patches de segurana disponveis pelo fabricante. Configurar o bloqueio de tela para 1 minuto de inatividade. Elaborar polticas de backup com procedimentos de testes regularmente Criar procedimentos para testes de validao peridicos de backup. Instalar os servidores em rea segura protegidas por controles apropriados de entrada ,para assegurar que somente as pessoas autorizadas tenham acesso. Projetar e aplicar segurana fsica nas instalaes contra ameaas externas e do meio ambiente.

4 5

Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela?

Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias de backup?

Existem locais adequados para os servidores?

Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Possui IDS/IPS instalado? Possui Firewall instalado?

Formalizar procedimentos para o armazenamento e gerenciamento de mdias. Implementar controle de acesso ao local onde esto armazenadas as mdias de backup. Configurar o Servidor de Syslog . Criar na recomendao da nova topologia de rede ,a instalao de IDS/IPS de rede. Mecanismos de proteo e segurana devem ser configurados na rede

10 11 12 13

134
Segurana Lgica - Servidor E-mail Controles a serem Implementados Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Existe procedimento para contingncia documentado? Possui limite para o tamanho de caixa por usurio? Possui limite para o tamanho de arquivo a ser enviado? Possui limite para o tamanho de arquivo a ser recebido? Elaborar polticas de controle, atualizao,deteco,preveno e recuperao de cdigos maliciosos. Criar plano de contigncia Limitar tamanho da caixa de mensagem dos usurios de e-mail para no mximo 400 MB. Limitar tamanho das mensagens de E-mail enviadas para no mximo 10 MB. Limitar tamanho mximi das mensagens de E-mail recebidas para no mximo 10 MB.

Controle 14 15 16 17 18

Controle

Segurana Lgica - Servidor Citrix Controles a serem Implementados Configurar as polticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade - Ativada Aplicar histrico de senhas - 0 senhas memorizadas Armazena senhas usando criptografia reversvel para todos usurios no domnio - Desativada Comprimento mnimo da senha - 15 Caracteres Tempo de vida mximo da senha 30 Dias Tempo de vida mnimo da senha 1 Dias

Possui alguma poltica de senha?

Possui poltica de contas?

Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha

Possui alguma poltica de log?

Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha

135
Segurana Lgica - Servidor Citrix Controles a serem Implementados Instalar os ltimos patches de segurana Possui poltica de atualizao de segurana? disponveis pelo fabricante. Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Criar procedimentos formalizados para a instalao e configurao dos sistemas Operacionais. Configurar o bloqueio de tela para 1 minuto de inatividade. Criar procedimentos para testes de validao peridicos de backup. Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia Estabelecer requisitos mnimos de hardware para o servidor. Formalizar os contratos de manuteno com as empresas prestadoras de servios. Formalizar procedimentos para o armazenamento e gerenciamento de mdias. Implementar controle de acesso ao local onde esto armazenadas as mdias de backup. Configurar o Servidor de Syslog externo. Criar na recomendao da nova topologia de rede ,a instalao de IDS/IPS de rede. Configurar mecanismos de proteo de segurana na rede. Configurar mecanismos de proteo de segurana na rede. Elaborar polticas de controle, atualizao,deteco,preveno e recuperao de cdigos maliciosos.

Controle 4 5 6 7 8

Possui espelhamento de HDs?

10 11 12 13 14 15 16 17

Os equipamentos possuem manuteno? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall?

Controle

Segurana Lgica - Servidor de Servios de Diretrio Controles a serem Implementados

Possui alguma poltica de senha?

Configurar as polticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade - Ativada Aplicar histrico de senhas - 0 senhas memorizadas Armazena senhas usando criptografia reversvel para todos usurios no domnio - Desativada Comprimento mnimo da senha - 15 Caracteres Tempo de vida mximo da senha 30 Dias Tempo de vida mnimo da senha 1 Dias

136

Controle

Segurana Lgica - Servidor de Servios de Diretrio Controles a serem Implementados

Possui poltica de contas?

Configurar as polticas de logs do servidor para a seguinte diretiva:Auditoria de acesso a objetos Sucesso, FalhaAuditoria de acesso ao servio de diretrio - FalhaAuditoria de alterao de diretivas Sucesso, FalhaAuditoria de controle de processos Sem auditoriaAuditoria de eventos de logon Sucesso, FalhaAuditoria de eventos de sistema Sucesso, FalhaAuditoria de gerenciamento de contas - Sucesso, FalhaAuditoria de uso de privilgios - FalhaEventos de logon de conta de auditoria - Sucesso, Falha

Possui alguma poltica de log?

Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha Instalar os ltimos patches de segurana disponveis pelo fabricante. Configurar o bloqueio de tela para 1 minuto de inatividade. Criar procedimentos para testes de validao peridicos de backup. Formalizar procedimentos para o armazenamento e gerenciamento de mdias. Implementar controle de acesso ao local onde esto armazenadas as mdias de backup. Configurar o Servidor de Syslog externo. Implementar controle para a monitorao de performance. Criar na recomendao da nova topologia de rede ,a instalao de IDS/IPS de rede. Configurar mecanismos de proteo de segurana na rede. Configurar mecanismos de proteo de segurana na rede. Elaborar polticas de controle, atualizao,deteco,preveno e recuperao de cdigos maliciosos.

4 5 6

Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela? Possui poltica para utilizao e atualizao das mdias? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall?

8 9 10 11 12 13 14

137

Controle

Segurana Lgica - Servidor de DNS Controles a serem Implementados

Possui alguma poltica de senha?

Configurar as polticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade - Ativada Aplicar histrico de senhas - 0 senhas memorizadas Armazena senhas usando criptografia reversvel para todos usurios no domnio - Desativada Comprimento mnimo da senha - 15 Caracteres Tempo de vida mximo da senha 30 Dias Tempo de vida mnimo da senha 1 Dias

Possui poltica de contas?

Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha

Possui alguma poltica de log?

Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha Instalar os ltimos patches de segurana disponveis pelo fabricante. Configurar o bloqueio de tela para 1 minuto de inatividade. Criar procedimentos para testes de validao peridicos de backup. Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia Estabelecer requisitos mnimos de hardware para o servidor.

4 5

Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela? Possui poltica para utilizao e atualizao das mdias?

Possui fonte redundante?

Possui espelhamento de HDs?

138
Segurana Lgica - Servidor de DNS Controles a serem Implementados Existe local adequado para armazenamento das Formalizar procedimentos para o armazenamento e mdias? gerenciamento de mdias. Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? O servio DNS possui transferncia de zona restrita? O servio DNS possui recursividade habilitada? Implementar controle de acesso ao local onde esto armazenadas as mdias de backup. Configurar o Servidor de Syslog externo. Implementar controle para a monitorao de performance. Criar na recomendao da nova topologia de rede ,a instalao de IDS/IPS de rede. Configurar mecanismos de proteo de segurana na rede. Configurar mecanismos de proteo de segurana na rede. Elaborar polticas de controle, atualizao,deteco,preveno e recuperao de cdigos maliciosos. Criar procedimentos para configurao do DNS Criar procedimentos para configurao do DNS

Controle 9 10 11 12 13 14 15 16 17 18

Controle

Segurana Lgica - Servidor de Arquivos Controles a serem Implementados

Possui alguma poltica de senha?

Configurar as polticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade - Ativada Aplicar histrico de senhas - 0 senhas memorizadas Armazena senhas usando criptografia reversvel para todos usurios no domnio - Desativada Comprimento mnimo da senha - 15 Caracteres Tempo de vida mximo da senha 30 Dias Tempo de vida mnimo da senha 1 Dias

Possui poltica de contas?

Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha

139

Controle

Segurana Lgica - Servidor de Arquivos Controles a serem Implementados

Possui alguma poltica de log?

Configurar as polticas de logs do servidor para a seguinte diretiva:Auditoria de acesso a objetos Sucesso, FalhaAuditoria de acesso ao servio de diretrio - FalhaAuditoria de alterao de diretivas Sucesso, FalhaAuditoria de controle de processos Sem auditoriaAuditoria de eventos de logon Sucesso, FalhaAuditoria de eventos de sistema Sucesso, FalhaAuditoria de gerenciamento de contas - Sucesso, FalhaAuditoria de uso de privilgios - FalhaEventos de logon de conta de auditoria - Sucesso, Falha

4 5 6

Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica para utilizao e atualizao das mdias de backup?

Instalar os ltimos patches de segurana disponveis pelo fabricante. Criar procedimentos formalizados para a instalao e configurao dos sistemas Operacionais. Configurar o bloqueio de tela para 1 minuto de inatividade. Formalizar procedimentos para o armazenamento e gerenciamento de mdias. Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia Estabelecer requisitos mnimos de hardware para o servidor. Formalizar os contratos de manuteno com as empresas prestadoras de servios. Formalizar procedimentos para o armazenamento e gerenciamento de mdias. Implementar controle de acesso ao local onde esto armazenadas as mdias de backup. Configurar o Servidor de Syslog externo. Criar na recomendao da nova topologia de rede ,a instalao de IDS/IPS de rede. Configurar mecanismos de proteo de segurana na rede. Configurar mecanismos de proteo de segurana na rede. Elaborar polticas de controle, atualizao,deteco,preveno e recuperao de cdigos maliciosos. Criar procedimentos formais para a utilizao e configurao do servidor de arquivos

Possui fonte redundante?

Possui espelhamento de HDs?

10 11 12 13 14 15 16 17 18

Os equipamentos possuem manuteno? Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possui limite de espao por usurio configurado?

140
Segurana Lgica - Servidor de Banco de Dados Controles a serem Implementados

Controle

Possui alguma poltica de senha?

Configurar as polticas de senha do servidor para a seguinte diretiva:A senha deve satisfazer a requisitos de complexidade - AtivadaAplicar histrico de senhas - 0 senhas memorizadasArmazena senhas usando criptografia reversvel para todos usurios no domnio DesativadaComprimento mnimo da senha - 15 CaracteresTempo de vida mximo da senha 30 DiasTempo de vida mnimo da senha 1 Dias

Possui poltica de contas?

Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha

Possui alguma poltica de log?

Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha Instalar os ltimos patches de segurana disponveis pelo fabricante. Configurar o bloqueio de tela para 1 minuto de inatividade. Formalizar procedimentos para o armazenamento e gerenciamento de mdias. Criar procedimentos para testes de validao peridicos de backup. Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia Estabelecer requisitos mnimos de hardware para o servidor.

4 5

Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela?

Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante?

7 8

Possui espelhamento de HDs?

141
Segurana Lgica - Servidor de Banco de Dados Controles a serem Implementados Formalizar os contratos de manuteno com as Os equipamentos possuem manuteno? empresas prestadoras de servios. Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Formalizar procedimentos para o armazenamento e gerenciamento de mdias. Implementar controle de acesso ao local onde esto armazenadas as mdias de backup. Configurar o Servidor de Syslog externo. Implementar controle para a monitorao de performance. Criar na recomendao da nova topologia de rede ,a instalao de IDS/IPS de rede. Configurar mecanismos de proteo de segurana na rede. Configurar mecanismos de proteo de segurana na rede. Elaborar polticas de controle, atualizao,deteco,preveno e recuperao de cdigos maliciosos.

Controle 10 11 12 13 14 15 16 17 18

19

O usurio do servio de Banco de Dados possui poltica de senha?

Configurar as polticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade - Ativada Aplicar histrico de senhas - 0 senhas memorizadas Armazena senhas usando criptografia reversvel para todos usurios no domnio - Desativada Comprimento mnimo da senha - 15 Caracteres Tempo de vida mximo da senha 30 Dias Tempo de vida mnimo da senha 1 Dias

Segurana Lgica - Roteador Controle Controles a serem Implementados

Possui alguma poltica de senha?

Configurar as polticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade - Ativada Aplicar histrico de senhas - 0 senhas memorizadas Armazena senhas usando criptografia reversvel para todos usurios no domnio - Desativada Comprimento mnimo da senha - 15 Caracteres Tempo de vida mximo da senha 30 Dias Tempo de vida mnimo da senha 1 Dias

142

Segurana Lgica - Roteador Controle Controles a serem Implementados

Possui poltica de contas?

Configurar as polticas de logs do servidor para a seguinte diretiva:Auditoria de acesso a objetos Sucesso, FalhaAuditoria de acesso ao servio de diretrio - FalhaAuditoria de alterao de diretivas Sucesso, FalhaAuditoria de controle de processos Sem auditoriaAuditoria de eventos de logon Sucesso, FalhaAuditoria de eventos de sistema Sucesso, FalhaAuditoria de gerenciamento de contas - Sucesso, FalhaAuditoria de uso de privilgios - FalhaEventos de logon de conta de auditoria - Sucesso, Falha

3 4 5 6 7 8

Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui restrio de acesso console de administrao? Possui fonte redundante? Possui porta console desabilitada para administrao? Possui porta auxiliar desabilitada?

As polticas de logs devem ser configuradas no roteador. Instalar os ltimos patches de segurana disponveis pelo fabricante. Configurar o ACL de administrao para mquinas restritas. Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia Desabilitar porta do console para administrao Desabilitar porta auxiliar Instalar o roteador em rea segura protegidas por controles apropriados de entrada ,para assegurar que somente as pessoas autorizadas tenham acesso. Projetar e aplicar segurana fsica nas instalaes contra ameaas externas e do meio ambiente. Habilitar monitorao de segurana Configurar o Servidor de Syslog externo. Implementar controle para a monitorao de performance. Formalizar procedimentos para o armazenamento e gerenciamento de mdias. Implementar controle de acesso ao local onde esto armazenadas as mdias de backup. Desabilitar o servio DHCP Desabilitar o servio DNS

Existem locais adequados para armazenar o roteador?

10 11 12 13 14 15 16

Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Possui o servio DHCP desabilitado? Possui o servio DNS desabilitado?

143
Segurana Lgica - Firewall Controle 1 2 3 4 5 6 7 8 9 10 Os "updates" e "patches" esto atualizados? A auditoria do firewall est habilitada? Os logs do equipamento so gravados em um servidor de log? realizado o acompanhamento dos logs do firewall para identificar tentativas de ataques? O firewall recebe uma manuteno peridica? Existe firewall reserva em caso de quebra ? Existe uma poltica de verificao peridica das polticas configuradas? feito backup das configuraes do equipamento cada vez que so feitas alteraes no mesmo? Existem IDS's na rede antes ou depois do firewall? O acesso ao firewall feito atravs do protocolo SSH? O acesso ao equipamento de acesso exclusivo aos administradores da rede? (Nenhum estagirio, tcnico ou desenvolvedor tem acesso) Portas no utilizadas so bloqueadas por default? Protocolos no utilizados so bloqueados por default? As regras de acesso so as mais especficas possveis? Existe logs de sucesso para as regras de acesso? Existe logs de falha para as regras de acesso? Possui mecanismo de proteo contra IP spoofing? Possui mecansmo de proteo contra ataques do tipo ICMP? Possui mecansmo de proteo contra ataques do tipo Teardrop? O equipamento possui fontes redundantes? Controles a serem Implementados Instalar os ltimos patches de segurana disponveis pelo fabricante. Habilitar auditoria de firewall Habilitar a gravao dos logs no servidor Auditar logs do firewall Contratar servio de manuteno peridica para firewall Providenciar firewall de reserva Formalizar polticas de verificao perodica das configuraes do firewall Implementar polticas de backup para configurao do firewall Criar na recomendao da nova topologia de rede ,a instalao de IDS/IPS de rede. Habilitar o acesso via SSH para conexo remota.

11

Criar procedimentos para acesso ao firewall

12 13 14 15 16 17 18 19 20

Bloquear portas no utilizadas Bloquear protocolos no utilizados Elaborar regras de acesso ao firewall Habilitar logs de sucesso Habilitar logs de falha Habilitar mecanismos de proteo contra IP spoofing Habilitar mecanismos de proteo contra ICMP Habilitar mecanismos de proteo contra Teardrop Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia Implementar controle para a monitorao de performance.

21

Existe acompanhamento peridico da utilizao de recursos (capacidade) do equipamento?

144
Segurana Lgica - Switch Controle Controles a serem Implementados

Possui alguma poltica de senha?

Configurar as polticas de senha do servidor para a seguinte diretiva:A senha deve satisfazer a requisitos de complexidade - AtivadaAplicar histrico de senhas - 0 senhas memorizadasArmazena senhas usando criptografia reversvel para todos usurios no domnio DesativadaComprimento mnimo da senha - 15 CaracteresTempo de vida mximo da senha 30 DiasTempo de vida mnimo da senha 1 Dias

Possui poltica de contas?

Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha As polticas de logs devem ser configuradas no roteador. Instalar os ltimos patches de segurana disponveis pelo fabricante. Configurar o ACL de administrao para mquinas restritas. Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia. Formalizar os contratos de manuteno com as empresas prestadoras de servios. Instalar os switches em rea segura protegidas por controles apropriados de entrada ,para assegurar que somente as pessoas autorizadas tenham acesso. Projetar e aplicar segurana fsica nas instalaes contra ameaas externas e do meio ambiente. Habilitar monitorao de segurana Configurar o Servidor de Syslog externo. Implementar controle para a monitorao de performance. Formalizar procedimentos para o armazenamento e gerenciamento de mdias. Implementar controle de acesso ao local onde esto armazenadas as mdias de backup. Desabilitar o servio DHCP Desabilitar o servio DNS Implementar Suporte a tecnologia 802.1x

3 4 5 6 7

Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui restrio de acesso console de administrao? Possui fonte redundante? Os equipamentos possuem manuteno?

Existem locais adequados para armazenar os switches?

9 10 11 12 13 14 15 16

Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Possui o servio DHCP desabilitado? Possui o servio DNS desabilitado? Possui suporte tecnologia 802.1x?

145

Segurana Lgica - Switch Controle 17 A funcionalidade 802.1x est desabilitada? Controles a serem Implementados Habilitar a tecnologia 802.1 x

Controle

Segurana Lgica - Servidor Web Controles a serem Implementados

Possui alguma poltica de senha?

Configurar as polticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade - Ativada Aplicar histrico de senhas - 0 senhas memorizadas Armazena senhas usando criptografia reversvel para todos usurios no domnio - Desativada Comprimento mnimo da senha - 15 Caracteres Tempo de vida mximo da senha 30 Dias Tempo de vida mnimo da senha 1 Dias

Possui poltica de contas?

Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha

Possui alguma poltica de log?

Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha Instalar os ltimos patches de segurana disponveis pelo fabricante. Configurar o bloqueio de tela para 1 minuto de inatividade. Formalizar procedimentos para o armazenamento e gerenciamento de mdias. Criar procedimentos para testes de validao peridicos de backup.

4 5 6 7

Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias?

146

Controle 8 9 10 11 12 13 14 15 16 17 Possui fonte redundante? Possui espelhamento de HDs?

Segurana Lgica - Servidor Web Controles a serem Implementados Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia Estabelecer requisitos mnimos de hardware para o servidor. Formalizar os contratos de manuteno com as empresas prestadoras de servios. Formalizar procedimentos para o armazenamento e gerenciamento de mdias. Implementar controle de acesso ao local onde esto armazenadas as mdias de backup. Configurar o Servidor de Syslog externo. Implementar controle para a monitorao de performance. Criar na recomendao da nova topologia de rede ,a instalao de IDS/IPS de rede. Configurar mecanismos de proteo de segurana na rede. Configurar mecanismos de proteo de segurana na rede. Segurana Fsica - Sala de Servidores

Os equipamentos possuem manuteno? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado?

Controle 1 Possui controle de acesso? Possui controle de incndio apropriado? Existe controle de umidade da sala? Possui monitorao CFTV? As filmagens so retidas por mais de 30 dias? Existe sistema para suprir o fornecimento de energia em caso de falhas por 48 horas? Existe controle de quem solicita e utiliza as chaves dos racks? Existe controle de quem autorizado a pegar chaves dos racks? Existe controle para medir a utilizao de eltrica por rack? Existe procedimento de limpeza segura das sala? Existe processo para detectar racks que no foram fechados devidamente?

Controles a serem Implementados Implementar controle de identificao atravs de cartes magnticos nas portas de acesso as salas de reunies. Projetar e instalar dispositivos de deteco de incndio e alarme. Instalar equipamento para controle de temperatura. Instalar monitorao CFTV Elaborar procedimentos para arquivar as filmagens retidas Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia Implementar controle formal de solicitao e utilizao das chaves dos racks Implementar controle formal de autorizao para a utilizao das chaves dos racks Instalar equipamento para medir a utilizao eltrica por rack Elaborar procedimentos formais para a limpeza das salas Instalar dispositivo para avisar quando o Rack no foi fechado

2 3 4 5

6 7 8 9 10 11

147

Segurana Administrativa - Presidente Controle 1 O presidente participa de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utiliza criptografia em dispositivos removiveis? A empresa possui uma poltica de continuidade de negcios? Ajuda na divulgao da segurana da informao? A segurana da informao considerada como um pr-requisito antes ou durante a estratgia de negcio e planejamento das atividades? A segurana da informao faz parte dos ciclos do negcio? Existe comite de segurana? Participa do comite de segurana? Controles a serem Implementados Desenvolver treinamento de segurana para os Presidentes. Definir na PSI diretriz onde seja definida o comportamento do usurio e as punies para o no cumprimento. Definir poltica de senha Criptografar dispositivos removiveis Definir poltica de plano de continuidade de negcio Conscientizar sobre a importncia de participar da divulgao de campanhas de segurana Criar na PSI, uma diretriz para aplicao da segurana da informao alinhada aos negcios da empresa Criar na PSI, uma diretriz para aplicao da segurana da informao alinhada aos negcios da empresa Criar um comite de Segurana da Informao Criar na PSI, uma diretriz para participao do presidente no comite de segurana

2 3 4 5 6

8 9 10

Segurana Lgica - Notebook Controle Controles a serem Implementados

Possui poltica de senha configurada?

Configurar as polticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade - Ativada Aplicar histrico de senhas - 0 senhas memorizadas Armazena senhas usando criptografia reversvel para todos usurios no domnio - Desativada Comprimento mnimo da senha - 15 Caracteres Tempo de vida mximo da senha 30 Dias Tempo de vida mnimo da senha 1 Dias

148

Segurana Lgica - Notebook Controle Controles a serem Implementados

Possui poltica de contas?

Configurar as polticas de logs do servidor para a seguinte diretiva:Auditoria de acesso a objetos Sucesso, FalhaAuditoria de acesso ao servio de diretrio - FalhaAuditoria de alterao de diretivas Sucesso, FalhaAuditoria de controle de processos Sem auditoriaAuditoria de eventos de logon Sucesso, FalhaAuditoria de eventos de sistema Sucesso, FalhaAuditoria de gerenciamento de contas - Sucesso, FalhaAuditoria de uso de privilgios - FalhaEventos de logon de conta de auditoria - Sucesso, Falha

Possui poltica de log configurada?

Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha Instalar os ltimos patches de segurana disponveis pelo fabricante. Configurar o bloqueio de tela para 1 minuto de inatividade. Criar procedimentos formais para criptografar o disco interno Criar procedimentos formais para setar a senha da Bios. Formalizar os contratos de manuteno com as empresas prestadoras de servios. Criar na recomendao da nova topologia de rede ,a instalao de IDS/IPS de rede. Configurar mecanismos de proteo de segurana na rede. Configurar mecanismos de proteo de segurana na rede. Elaborar polticas de controle, atualizao,deteco,preveno e recuperao de cdigos maliciosos. Incluir na PSI, diretriz para utilizao dos equipamentos de tecnologia da informao e comunicao.

4 5 6 7 8 9 10 11 12

Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela?

Possui criptografia de disco interno? Possui senha de BIOS configurada? Os equipamentos possuem manuteno? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado?

Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall?

13 Possuem poltica de utilizao dos equipamentos?

149

Controle 1 2

Segurana Administrativa - Usurios Controles a serem Implementados Possuem conhecimentos da poltica de segurana Realizar divulgao das politicas de segurana aplicada no ambiente? aplicadas no ambiente. Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Incluir na PSI , diretriz obrigando os usurios a participar dos treinamentos. Realizar campanhas de conscientizao aos usurios ressaltando as penalidades aplicadas. Realizar campanhas de conscientizao aos usurios ressaltando as penalidades aplicadas. Monitorar a rede para identificar acessos. Definir procedimentos para instalao e configurao do anti-malware. Comunicar os incidentes de segurana Criptografar dispositivos removiveis

3 4 5 H controles para instalao de software pirata? H monitoramento na rede para identificar acessos no permitidos? Os recursos anti-malware esto configurados de modo que os usurios no possam desabilita-los? 6 7 8 Os incidentes de segurana so comunicados pelos usurios? Utilizam criptografia em dispositivos removiveis?

Controle 1 2

Segurana Administrativa - Diretores e Gerentes Controles a serem Implementados Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utilizam criptografia em dispositivos removiveis? Realizar divulgao das politicas de segurana aplicadas no ambiente. Incluir na PSI , diretriz obrigando os diretores e gerentes a participar dos treinamentos. Realizar campanhas de conscientizao aos usurios ressaltando as penalidades aplicadas. Definir poltica de senha Criptografar dispositivos removiveis

3 4 5

Segurana Lgica - Servidor de Impresso Controle Controles a serem Implementados

Possui alguma poltica de senha?

Configurar as polticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade - Ativada Aplicar histrico de senhas - 0 senhas memorizadas Armazena senhas usando criptografia reversvel para todos usurios no domnio - Desativada Comprimento mnimo da senha - 15 Caracteres Tempo de vida mximo da senha 30 Dias Tempo de vida mnimo da senha 1 Dias

150
Segurana Lgica - Servidor de Impresso Controle Controles a serem Implementados

Possui poltica de contas?

Configurar as polticas de logs do servidor para a seguinte diretiva:Auditoria de acesso a objetos Sucesso, FalhaAuditoria de acesso ao servio de diretrio - FalhaAuditoria de alterao de diretivas Sucesso, FalhaAuditoria de controle de processos Sem auditoriaAuditoria de eventos de logon Sucesso, FalhaAuditoria de eventos de sistema Sucesso, FalhaAuditoria de gerenciamento de contas - Sucesso, FalhaAuditoria de uso de privilgios - FalhaEventos de logon de conta de auditoria - Sucesso, Falha

Possui alguma poltica de log?

Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha Instalar os ltimos patches de segurana disponveis pelo fabricante. Criar procedimentos formalizados para a instalao e configurao dos sistemas Operacionais. Configurar o ACL de administrao para mquinas restritas. Formalizar os contratos de manuteno com as empresas prestadoras de servios. Definir local adequado para o armazenado das impressoras Habilitar configurao de segurana Configurar o Servidor de Syslog externo. Implementar controle para a monitorao de performance. Desabilitar o servio SNMP

Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Os equipamentos possuem manuteno? Existem locais adequados para armazenamento das impressoras? Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui o servio SNMP desabilitado?

6 7 8 9 10 11 12

151

Segurana Lgica - Smartphone Controle Controles a serem Implementados

Possui poltica de senha?

Configurar as polticas de senha do servidor para a seguinte diretiva:A senha deve satisfazer a requisitos de complexidade - AtivadaAplicar histrico de senhas - 0 senhas memorizadasArmazena senhas usando criptografia reversvel para todos usurios no domnio DesativadaComprimento mnimo da senha - 15 CaracteresTempo de vida mximo da senha 30 DiasTempo de vida mnimo da senha 1 Dias

Possui poltica de contas?

Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha

Possui poltica de log?

Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha Instalar os ltimos patches de segurana disponveis pelo fabricante. Configurar o bloqueio de tela para 1 minuto de inatividade. Criar procedimentos formais para criptografar o disco interno Configurar senha de acesso para o dispositivo

4 5 6 7

Possui poltica de atualizao de patches? Possui poltica para bloqueio de tela? Possui criptografia dados? Possui senha de acesso ao dispositivo?

152

Segurana Fsica - Sala de Reunio Controle 1 2 3 4 Possui controle de acesso? Possui controle de utilizao? Possui acstica? Possui algum controle para a identificao dos participantes? Controles a serem Implementados Utilizar sistemas de carto magntico para acesso as salas de reunio Implementar calendrio compartilhado para utilizao da sala Implementar sistema de acstica Instalar cortina

Segurana Fsica - Prdio Controle 1 2 3 4 5 Possui estabilizadores de tenso? Possui sistema para identificao de funcionrios e visitantes para acesso? Possui plano de abandono de rea em caso de desastres? Possui controle de acesso nos andares? Possui escada de emergncia? Controles a serem Implementados Instalar estabilizadores de tenso na rede eltrica Utilizar catracas e cartes magnticos para identificao dos funcionrios e visitantes Criar plano de abandono de prdio junto PCN Utilizar sistemas de carto magntico para acesso aos andares Instalar escadas de emergncia

Segurana Fsica - Elevadores Controle 1 2 3 4 Possui cmera de vigilncia? Possui telefone para comunicao com o porteiro em caso de emergncia? Possui controle de temperatura? Possui geradores e estabilizador de tenso para caso de falta de energia? Controles a serem Implementados Instalar sistemas CFTV Instalar telefones para a comunicao com a portaria Instalar controle de temperatura Instalar geradores de energia eltrica para os elevadores

Segurana Fsica - Ar Condicionado Controle 1 Possui manuteno peridica? Controles a serem Implementados Elaborar contrato de manuteno

Tabela 14 - Controles

153

Projetos Imediatos Arquitetura Lgica

Para iniciarmos as atividades, necessrio:

Implementar Controles de Segurana Lgica nos Servidores: Criar uma unidade organizacional no active directory com o nome de Seguranca Servidores, para aplicao das configuraes de segurana de acordo com modelo abaixo:
[version] signature="$CHICAGO$" Revision=1 [System Access] MinimumPasswordAge = 1 MaximumPasswordAge = 30 MinimumPasswordLength = 15 PasswordComplexity = 1 PasswordHistorySize = 24 LockoutBadCount = 5 ResetLockoutCount = 1440 LockoutDuration = 1440 ForceLogoffWhenHourExpire = 1 ClearTextPassword = 0 LSAAnonymousNameLookup = 0 EnableGuestAccount = 0 ;---------------------------------------------------------------;Event Log - Log Settings ;---------------------------------------------------------------[System Log] MaximumLogSize = 81920 RestrictGuestAccess = 1 [Security Log] MaximumLogSize = 81920 AuditLogRetentionPeriod = 0 RestrictGuestAccess = 1 [Application Log] MaximumLogSize = 81920 RestrictGuestAccess = 1 ;---------------------------------------------------------------------; Local Policies\Audit Policy ;---------------------------------------------------------------------[Event Audit] AuditSystemEvents = 0 AuditLogonEvents = 2 AuditObjectAccess = 0 AuditPrivilegeUse = 2 AuditPolicyChange = 3 AuditAccountManage = 3 AuditProcessTracking = 0 AuditDSAccess = 2 AuditAccountLogon = 2

154
;---------------------------------------------------------------------; Local Policies\SecurityOptions ;---------------------------------------------------------------------[Registry Values] MACHINE\System\CurrentControlSet\Control\Lsa\AuditBaseObjects=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAuditFail=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\DisableDomainCreds=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\FullPrivilegeAuditing=3,0 MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel=4,4 MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash=4,1 MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymous=4,1 MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM=4,1 MACHINE\System\CurrentControlSet\Control\Lsa\SubmitControl=4,0 MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers=4,1 MACHINE\System\CurrentControlSet\Control\Session Manager\ProtectionMode=4,1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySi gnature=4,1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySi gnature=4,0 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLog Off=4,1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect= 4,15 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecur itySignature=4,1 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSec uritySignature=4,0 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlain TextPassword=4,0 MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChan ge=4,0 MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge =4,30

Instalar e configurar na rede um servidor de atualizaes de segurana (WSUS); Instalar e configurar um servidor de centralizao de logs (syslog) externo; Adquirir, instalar e configurar o servidor de backup Criar uma unidade organizacional no active directory com o nome de Seguranca AD, para aplicao das configuraes de segurana de acordo com modelo abaixo:

[version] signature="$CHICAGO$" Revision=1 [System Access] MinimumPasswordAge = 1 MaximumPasswordAge = 45 MinimumPasswordLength = 8 PasswordComplexity = 1 PasswordHistorySize = 24

155
LockoutBadCount = 5 ResetLockoutCount = 1440 LockoutDuration = 1440 ForceLogoffWhenHourExpire = 1 ClearTextPassword = 0 LSAAnonymousNameLookup = 0 EnableGuestAccount = 0 ;---------------------------------------------------------------;Event Log - Log Settings ;---------------------------------------------------------------[System Log] MaximumLogSize = 101024 AuditLogRetentionPeriod = 0 RestrictGuestAccess = 1 [Security Log] MaximumLogSize = 101024 AuditLogRetentionPeriod = 0 RestrictGuestAccess = 1 [Application Log] MaximumLogSize = 101024 AuditLogRetentionPeriod = 0 RestrictGuestAccess = 1 ;---------------------------------------------------------------------; Local Policies\Audit Policy ;---------------------------------------------------------------------[Event Audit] AuditSystemEvents = 0 AuditLogonEvents = 2 AuditObjectAccess = 0 AuditPrivilegeUse = 2 AuditPolicyChange = 3 AuditAccountManage = 3 AuditProcessTracking = 0 AuditDSAccess = 2 AuditAccountLogon = 2 ;---------------------------------------------------------------------; Local Policies\SecurityOptions ;---------------------------------------------------------------------[Registry Values] MACHINE\System\CurrentControlSet\Control\Lsa\AuditBaseObjects=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAuditFail=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\DisableDomainCreds=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\FullPrivilegeAuditing=3,0 MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel=4,4 MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash=4,1 MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymous=4,1 MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM=4,1 MACHINE\System\CurrentControlSet\Control\Lsa\SubmitControl=4,0 MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers=4,1 MACHINE\System\CurrentControlSet\Control\Session Manager\ProtectionMode=4,1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySi gnature=4,1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySi gnature=4,0 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLog Off=4,1

156
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect= 4,15 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecur itySignature=4,1 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSec uritySignature=4,0 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlain TextPassword=4,0 MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChan ge=4,0 MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge =4,30

Implementar Controles de Segurana Lgica nas Estaes:

Criar uma unidade organizacional no active directory com o nome de Seguranca Estacoes, para aplicao das configuraes de segurana de acordo com modelo abaixo:

[version] signature="$CHICAGO$" Revision=1 [System Access] MinimumPasswordAge = 1 MaximumPasswordAge = 45 MinimumPasswordLength = 8 PasswordComplexity = 1 PasswordHistorySize = 24 LockoutBadCount = 5 ResetLockoutCount = 1440 LockoutDuration = 1440 ForceLogoffWhenHourExpire = 1 ClearTextPassword = 0 LSAAnonymousNameLookup = 0 EnableGuestAccount = 0 ;---------------------------------------------------------------;Event Log - Log Settings ;---------------------------------------------------------------[System Log] MaximumLogSize = 101024 AuditLogRetentionPeriod = 0 RestrictGuestAccess = 1 [Security Log] MaximumLogSize = 101024 AuditLogRetentionPeriod = 0 RestrictGuestAccess = 1 [Application Log] MaximumLogSize = 101024 AuditLogRetentionPeriod = 0 RestrictGuestAccess = 1 ;---------------------------------------------------------------------; Local Policies\Audit Policy ;----------------------------------------------------------------------

157
[Event Audit] AuditSystemEvents = 0 AuditLogonEvents = 2 AuditObjectAccess = 0 AuditPrivilegeUse = 2 AuditPolicyChange = 3 AuditAccountManage = 3 AuditProcessTracking = 0 AuditDSAccess = 2 AuditAccountLogon = 2 ;---------------------------------------------------------------------; Local Policies\SecurityOptions ;---------------------------------------------------------------------[Registry Values] MACHINE\System\CurrentControlSet\Control\Lsa\AuditBaseObjects=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAuditFail=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\DisableDomainCreds=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\FullPrivilegeAuditing=3,0 MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel=4,4 MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash=4,1 MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymous=4,1 MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM=4,1 MACHINE\System\CurrentControlSet\Control\Lsa\SubmitControl=4,0 MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers=4,1 MACHINE\System\CurrentControlSet\Control\Session Manager\ProtectionMode=4,1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySi gnature=4,1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySi gnature=4,0 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLog Off=4,1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect= 4,15 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecur itySignature=4,1 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSec uritySignature=4,0 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlain TextPassword=4,0 MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChan ge=4,0 MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge =4,30

Servidor de E-mail Criticidade: Muito Alta Projeto: Imediato

Adicionar a conta de mquina do servidor de arquivos, na unidade organizacional Segurana Servidores;

158 Atualizar o sistema operacional atravs do servidor WSUS para minimizar o risco de ataque por negao de servio e/ou acesso indevido; Agendar todos os dias o inicio do backup para as 23 horas atravs do software Arcserver; Realizar correo do ambiente fsico conforme soluo da analise fsica, corrigindo assim problemas referentes ao ambiente e controle de acesso; Atualizar o sistema operacional atravs do servidor WSUS para minimizar o risco de ataque por negao de servio e/ou acesso indevido; Configurar um cliente para para enviar os logs do sistema operacional do servidor para o syslog; Configurar em System Manager / Administrative Groups / Mailserver/ protocol / smtp / Default SMTP Virtual Server; click com boto direito / properties / Access / Relay Restrictions / Relay /; Allow all computers which sucessfully authenticate to relay, regardlless on the list above Desmarcar a opo; Configurar limite para tamanho de caixa de e-mail para usurio de acordo com: http://support.microsoft.com/kb/322679/pt-br Configurar limite para tamanho de arquivo a ser recebido de acordo com: http://support.microsoft.com/kb/322679/pt-br Configurar limite para tamanho de arquivo a ser enviado de acordo com: http://support.microsoft.com/kb/322679/pt-br

Servidor de Arquivos Criticidade: Alta Projeto: Curto Prazo

Adicionar a conta de mquina do servidor de arquivos, na unidade organizacional Seguranca Servidores;

159 Atualizar o sistema operacional atravs do servidor WSUS para minimizar o risco de ataque por negao de servio e/ou acesso indevido; Agendar todos os dias o inicio do backup para as 23:59 horas atravs do software Arcserver; Configurar um cliente para para enviar os logs do sistema operacional do servidor para o syslog;

Servidor de servio de diretrio Criticidade: Alta Projeto: Curto Prazo

Adicionar a conta de mquina do servidor de arquivos, na unidade organizacional Seguranca AD; Atualizar o sistema operacional atravs do servidor WSUS para minimizar o risco de ataque por negao de servio e/ou acesso indevido;

Agendar todos os dias o inicio do backup para as 20:00 horas atravs do software Arcserver; Configurar um cliente para para enviar os logs do sistema operacional do servidor para o syslog; Adquirir mais um computador para atuar como backup desse servidor, pois sem redundncia caso haja alguma falha que deixe esse servio indisponvel, os usurios no tero acesso a rede e consequentemente no conseguiro efetuar sua atividades;

Revisar e atualizar as regras de acesso;

Servidor DNS Criticidade: Alta Projeto: Curto Prazo

160 Atualizar o sistema operacional atravs do servidor WSUS para minimizar o risco de ataque por negao de servio e/ou acesso indevido; Agendar todos os dias o inicio do backup para as 19:00 horas atravs do software Arcserver; Configurar um cliente para enviar os logs do sistema operacional do servidor para o syslog. Configurar transferncia de zona para restrita, de acordo com: http://technet.microsoft.com/pt-br/library/cc773370.aspx Configurar a recursividade habilitada: http://technet.microsoft.com/pt-br/library/cc773370.aspx

Servidor de impresso Criticidade: Alta Projeto: Curto Prazo

Adicionar a conta de mquina do servidor de arquivos, na unidade organizacional Seguranca Servidores; Atualizar o sistema operacional atravs do servidor WSUS para minimizar o risco de ataque por negao de servio e/ou acesso indevido;

Agendar todos os dias o inicio do backup para as 19:00 horas atravs do software Arcserver; Configurar um cliente para para enviar os logs do sistema operacional do servidor para o syslog.

Servidor de banco de dados Criticidade: Alta Projeto: Curto Prazo

Adicionar a conta de mquina do servidor de arquivos, na unidade organizacional Seguranca Servidores;

161 Atualizar o sistema operacional atravs do servidor WSUS para minimizar o risco de ataque por negao de servio e/ou acesso indevido; Agendar todos os dias o inicio do backup para as 19:00 horas atravs do software Arcserver; Configurar um cliente para para enviar os logs do sistema operacional do servidor para o syslog; Excluir usurios que no so pertinentes de poderes administrativos no banco de dados; Configurar poltica de senha para usurios do banco de dados: Tempo de vida mxima de senha = 45 Tamanho mnimo de senha= 8 Complexidade de senha = Habilitar Adquirir mais um servidor de forma que o mesmo funcione como backup do servidor de bando de dados, devido a extrema importncia desse servidor para a empresa isso se faz necessrio, pois informaes de vital importncia para o negocio esto armazenadas nele e sua indisponibilidade trairia enormes prejuzos financeiros; Desativar servios do SQL Server no utilizados Aplicar diretivas de senhas de alta segurana, estabelecer tamanho mnimo e data de expirao Restringir logons remotos. Verificar permisses nos diretrios de instalao do SQL Server.

Servidor Web Criticidade: Alta Projeto: Curto Prazo

Adicionar a conta de mquina do servidor de arquivos, na unidade organizacional Seguranca Servidores; Atualizar o sistema operacional atravs do servidor WSUS para minimizar o risco de ataque por negao de servio e/ou acesso indevido;

162 Agendar todos os dias o inicio do backup para as 19:00 horas atravs do software Arcserver; Configurar um cliente para enviar os logs do sistema operacional do servidor para o syslog; Desabilitar o recurso Front Page extensions, de acordo com: http://support.microsoft.com/kb/298158 Configurar o banner do servio IIS, de acordo com: http://www.securityexperts.com.br/modules.php?name=Content&pa= showpage&pid=15 Desabilitar o recurso Webdav, de acordo com: http://support.microsoft.com/kb/241520/pt-br

Servidor ERP Criticidade: Alta Projeto: Curto Prazo

Adicionar a conta de mquina do servidor de arquivos, na unidade organizacional Seguranca Servidores; Atualizar o sistema operacional atravs do servidor WSUS para minimizar o risco de ataque por negao de servio e/ou acesso indevido;

Agendar todos os dias o inicio do backup para as 19:00 horas atravs do software Arcserver; Configurar um cliente para enviar os logs do sistema operacional do servidor para o syslog; Excluir usurios que no so pertinentes de poderes administrativos no banco de dados; Configurar poltica de senha para usurios do banco de dados: Tempo de vida mxima de senha = 45 Tamanho mnimo de senha= 8 Complexidade de senha = Habilitar

163 Adquirir mais um servidor de forma que o mesmo funcione como backup do servidor de bando de dados, devido a extrema importncia desse servidor para a empresa isso se faz necessrio, pois informaes de vital importncia para o negocio esto armazenadas nele e sua indisponibilidade trairia enormes prejuzos financeiros;

Estaes Criticidade: Alta Projeto: Mdio Prazo

Adicionar a conta de mquina do servidor de arquivos, na unidade organizacional Seguranca Estacoes; Atualizar o sistema operacional atravs das estaes WSUS para minimizar o risco de ataque por negao de servio e/ou acesso indevido;

Adquirir firewall pessoal para as estaes, instalar e configurar de acordo com testes realizados em laboratrio;

Notebooks Criticidade: Alta Projeto: Imediato

Adicionar a conta de mquina do servidor de arquivos, na unidade organizacional Seguranca Estacoes; Atualizar o sistema operacional atravs das estaes WSUS para minimizar o risco de ataque por negao de servio e/ou acesso indevido;

Adquirir software de criptografia de disco, instalar e configurar de acordo com testes realizados em laboratrio; Adicionar a conta de mquina do servidor de arquivos, na unidade organizacional Seguranca Servidores;

164 Configurar senha de BIOS para acesso ao notebook; Adquirir firewall pessoal para as estaes, instalar e configurar de acordo com testes realizados em laboratrio;

Switches Criticidade: Muito Alta Projeto: Mdio Prazo

Realizar correo do ambiente fsico conforme soluo da anlise fsica corrigindo assim problemas referentes ao ambiente e controle de acesso, diminuindo assim tambm por consequencia as chances de roubo de equipamentos;

Adquirir mais 2 switches para backup; configurar vlans de acordo com o trfego ou por departamentos de trabalho, com o objetivo de criar segmentos de rede com maior largura de banda disponvel;

Configurar a tecnologia em todas as portas dos switches 802.1x; Desabilitar a gerncia via HTTP; Renomear os usurios administrativos; Configurar poltica de senha para usurios do banco de dados: Tempo de vida mxima de senha = 45 Tamanho mnimo de senha= 8 Complexidade de senha = Habilitar

Restringir os IPs para gerencia de acordo com: 192.168.1.110 192.168.1.120

165 Roteador Criticidade: Muito Alta Projeto: Imediato

Adquirir mais um link de acesso a internet provendo assim redundncia e agilidade nas comunicaes da instituio Atualizar IOF; Adquirir mais um roteador de para operar em redundncia e balanceamento nas comunicaes da instituio. Implementar access-list para bloquear trafego desnecessrio e restringir acesso no autorizado fornecendo um maior nvel de segurana para os servidos da rede

Desabilitar a gerncia via HTTP; Renomear os usurios administrativos; Configurar poltica de senha para usurios do banco de dados: Tempo de vida mxima de senha = 45 Tamanho mnimo de senha= 8 Complexidade de senha = Habilitar

Restringir os IPs para gerencia de acordo com: 192.168.1.110 192.168.1.120

Firewall Criticidade: Muito Alta Projeto: Imediato

Instalar os ltimos patches de segurana disponveis pelo fabricante. Habilitar auditoria de firewall Habilitar a gravao dos logs no servidor Auditar logs do firewall Contratar servio de manuteno peridica para firewall

166 Providenciar firewall de reserva Formalizar polticas de verificao perodica das configuraes do firewall. Criar na recomendao da nova topologia de rede ,a instalao de IDS/IPS de rede Criar procedimentos para acesso ao firewall Bloquear portas no utilizadas Elaborar regras de acesso ao firewall Habilitar logs de sucesso Habilitar logs de falha Habilitar mecanismos de proteo contra IP spoofing Habilitar mecanismos de proteo contra ICMP Estabelecer procedimentos para que os equipamentos sejam protegidos conra falta de energia Implementar controle para a monitorao de performance

Projetos Imediatos Arquitetura Fsica

Prdio Criticidade: Alta Projeto: Curto prazo

Adquirir e instalar 2 estabilizadores de tenso na rede eltrica da empresa; Adquirir e instalar 1 gerador de energia com capacidade para suprir carga durante 30 minutos; Controle de identificao de funcionrios ou visitante realizado pelo Condomnio e empresa;

167 Adquirir cofre para armazenagem das mdias no local e contratar empresa tercerizada para armazenamento das mdias em local e remoto, fora da empresa, para que os dados possam ser recuperados caso haja algum problema que impossibilite o acesso a empresa; A existncia de um porteiro responsabilidade do Condomnio; A existncia de um segurana responsabilidade do Condomnio; A existncia de extintores de incndio ou splinkers de responsabilidade do Condomnio; A existncia de controles realizados por CFTV realizado pelo Condomnio e empresa; Adquirir e instalar identificadores eletrnicos nas portas de acesso ao ambiente interno da empresa; A existncia de escadas de emergncia responsabilidade do Condominio; A existncia de portas e janelas antifogo responsabilidade do Condominio.

Elevadores Criticidade: Alta Projeto: Curto Prazo

Os

controles

dos

elevadores

so

de

responsabilidade

do

Condomnio. O condomnio far manutenes peridicas nos elevadores

Ar-condicionado Criticidade: Baixa Projeto: Imediato

O controle do ar condicionado de responsabilidade do Condomnio.

O condomnio far manutenes peridicas nos elevadores.

168 Salas de reunio Criticidade: Mdio Projeto: Mdio Prazo

A utilizao da sala de reunio deve ser controlada pelo RH; A sala de reunio deve possuir um sistema de isolamento acstico; A sala de reunio deve possuir meios para inibir a visualizao dos participantes; A sala de reunio deve passar por inspees mensais com o objetivo de identificar agentes que propiciam o vazamento de informaes.

Salas de servidores Criticidade: Muito Alta Projeto: Imediato

A sala de servidores deve possuir controle de acesso fsico atravs de dispositivo de identificao; A sala de servidores deve possuir sistema de monitorao atravs de CFTV, com gravao 24 horas; A sala de servidores deve possuir extintores e dispositivo de alarme apropriados para utilizao em casa de incndio; A sala de servidores deve possuir um sistema de monitorao de temperatura adequado e dispositivo de alarme; Deve haver chaves nos racks de equipamentos de informtica, com a finalidade de prevenir a instalao de equipamentos no autorizados.

169

CAPITULO V
O capitulo em epgrafe foi escrito pelo Security Office aps a anlise de risco tem por objetivo apresentar a Poltica de Segurana da Informao para o escopo deste SGSI. Atravs deste documento so apresentados os objetivos de segurana da informao e como esta deve ser conduzida na Candido Carvalho Vieira Associados, provendo direo e apoio aos colaboradores.

5. POLTICA DE SEGURANA DA INFORMAO

Glossrio

Autenticidade Garantia da legitimidade da origem da informao; de autoridade incontestvel; fonte fidedigna. Cdigo Malicioso Instrues introduzidas intencionalmente num sistema com a finalidade de quebrar de alguma maneira a segurana do mesmo (ex.: cavalo de Tria, vrus, ferramentas de denial of service, e-mail bombing). Confidencialidade Propriedade de certas informaes que no podem ser disponibilizadas ou divulgadas sem autorizao prvia do responsvel por aquela informao. Se divulgadas indevidamente podem trazer danos s pessoas ou entidades. Disponibilidade Caracterstica da informao que se relaciona diretamente garantia de acesso por parte daqueles que a necessitam para o desempenho de suas atividades.

170 Informao classificada Informao cuja importncia, prioridade e o nvel de proteo adequado foram identificados e recebem o tratamento compatvel com o seu valor. Integridade Condio na qual o contedo da informao se apresenta fiel ao seu estado original. A informao est ntegra se esta no sofreu qualquer interferncia de processos ilcitos. Interoperabilidade a habilidade que um sistema ou um produto possui para trabalhar com outros sistemas ou produtos sem esforo adicional por parte do cliente. Legalidade Estado legal da informao em conformidade com os preceitos da legislao em vigor. NBR ISO/IEC 17799 Cdigo de prtica para a gesto de segurana da informao, elaborada pela Associao Brasileira de Normas Tcnicas (ABNT). Ponto de acesso a porta de comunicao para Candido, Carvalho e Vieira Associados presente na unidade de um rgo do Estado Vrus um programa de computador, muitas vezes destrutivo (no

necessariamente), designado para viajar de mquina em mquina, infectando cada uma ao longo de sua jornada.

171

Introduo
Esta poltica de segurana da informao (PSI) visa estabelecer normas para o uso e manuteno da base computacional interna da empresa, configurao de servidores e computadores pessoais de funcionrios e prestadores de servio, informaes sobre o uso correto, limitaes e responsabilidade sobre as ferramentas oferecidas. Uma aplicao eficaz da poltica em questo visa, portanto, contribuir para o uso correto e responsvel de recursos corporativos de comunicao de dados e voz da empresa, atravs de documentos de orientao especficos, contidos neste documento. A presente poltica de segurana da informao deve ser cumprida por todos os usurios que utilizam a informao da organizao e/ou seus recursos de voz e dados, sejam eles funcionrios diretos, estagirios, terceirizados e/ou subcontratados. Ela vlida e se sobrepe polticas de funcionrios externos corporao ou afins, quando estes estiverem dentro do permetro da empresa e/ou utilizando os recursos de informao, voz ou dados distncia ou remotamente. Esta poltica tem o comprometimento e o apoio da alta direo desta organizao e deve ser cumprida, sem exceo, em todos os seus aspectos. A alta diretoria no s apia, mas enxerga na PSI uma forma de minimizar riscos e garantir a solidez da empresa. As diretrizes e normas contidas neste documento esto disponibilizadas e publicadas nos manuais internos contidos na intranet e em publicaes de consulta pblica disponveis em cada diretoria. Ao concordar com os termos de responsabilidade presentes no documento de Uso de Ferramentas Corporativa, assinado no momento da contratao de todo o funcionrio da empresa, e que faz referncia a esta poltica, todo colaborador assume a devida responsabilidade pelo cumprimento das orientaes deste

documento.

172

Objetivo
Este documento destina-se a orientar e determinar condies e/ou parmetros para o uso correto e autorizado dos recursos de informao, voz e dados disponibilizados pela empresa. Como principal benefcio, este documento visa aumentar a percepo de riscos e ameaas envolvidas no mau uso ou uso indevido dos recursos de informao disponibilizados pela empresa e diminuir os incidentes relacionados a estes eventos, atravs da conscientizao dos usurios/mantenedores dos recursos. As diretrizes e normas contidas neste documento tratam basicamente dos seguintes aspectos: Guia geral de configurao Requisitos mnimos de segurana aplicados e compatibilidade de dispositivos Regras de monitoramento e auditoria de eventos e logs Poltica de backup e armazenamento de medias de dados

Abrangncia
A abrangncia desta norma a todos os colaboradores, se estendendo a terceiros e demais prestadores de servios. Esta poltica abrange os recursos de informao listados abaixo: Computadores pessoais (desktops e notebooks); Servidores de e-mail; Servidores de aplicao; Servidores de arquivos; Servidores de acesso remoto; Pessoas ; Processos.

173

Diretrizes Corporativas
Todos os colaboradores devem contribuir para a segurana da organizao, acatando e respeitando as normas estabelecidas; Aos colaboradores e prestadores de servio no dado o direito de alegao de desconhecimento da PSI, devendo os manuais tcnicos e manuais de procedimentos a serem seguidos rigorosamente. O acesso s dependncias da empresa ou reas restritas s pode ser feito mediante autorizao de acesso e porte do crach de identificao; proibida a divulgao de informaes a terceiros por colaboradores, referentes ao negcio ou aos clientes da organizao; O uso dos sistemas internos e seus componentes so restritos aos colaboradores que possuem o privilgio de acesso. Qualquer forma de acesso ilcito ser punida; A execuo de software malicioso ou sem licena proibida dentro da organizao; A utilizao de dispositivos mveis s permitida mediante autorizao pela rea tcnica; Todos os procedimentos internos de trabalho devem ser seguidos rigorosamente pelos colaboradores; Todo sistema deve seguir a norma de autenticao para evitar fraudes; Todos os colaboradores devem participar dos treinamentos e simulaes realizadas; Os recursos tecnolgicos devem ser utilizados para fins de trabalho. A utilizao para fins pessoais proibida;

174 A ocorrncia de qualquer incidente de segurana deve ser comunicada ao Security Officer imediatamente; Todos os colaboradores, em qualquer nvel hierrquico, esto sujeitos s penalidades cabveis, de acordo com a infrao.

Normas Gerais para Usurios

Objetivos Estabelecer regras/padres necessrias para a garantia da segurana dos bens de informao e patrimoniais, bem como a integridade fsica dos colaboradores da empresa Candido, Carvalho e Vieira Associados, provendo parmetros para uma gesto corporativa de segurana. Os bens de informao devem ser protegidos dos diversos tipos de ameaa, de forma a garantir a continuidade dos negcios, reduzindo a exposio ao risco e gerando tambm a oportunidade de novos negcios. Segurana Organizacional Tem por objetivo gerar a proteo pessoal, de bens e instalaes da organizao, com atuao preventiva e/ou reativa, assegurando atravs de suas tcnicas conhecimentos e sistemas os meios de proteo com foco na continuidade do negcio. Possui subsistemas, tais como a segurana eletrnica, segurana fsica, segurana de instalaes, vigilncia, proteo contra incndios, segurana do patrimnio, segurana ocupacional, segurana de dados e registros, segurana documental e outras formas setoriais voltadas para o escopo central da segurana organizacional. Estes modos interligam-se ou acoplam-se na Poltica de Segurana da Organizao que define estruturas, meios e formas operativas para a segurana no contexto da organizao.

175 Segurana da Informao pelos Colaboradores de responsabilidade dos colaboradores manterem sigilo das informaes de sua competncia e/ou conhecimento, estando elas em qualquer meio, conforme instrues dos comunicados internos e treinamentos peridicos. Todo colaborador instrudo atravs de comunicados, do portal disponvel na rede sobre a importncia do cumprimento da PSI e o impacto caso no seja seguida. Fica vedada, inclusive fora do permetro corporativo, a divulgao e/ou compartilhamento de informaes privilegiadas que o colaborador tenha para o desempenho de sua funo. A periodicidade para a reviso da Poltica de Segurana da Informao anual. O treinamento ocorre semestralmente para todos os colaboradores e para os novos colaboradores quando ingressam na empresa. Nestes treinamentos so abordados todos os temas pertinentes Segurana da Informao, entre eles: Aspectos de Engenharia Social Compartilhamento de senhas Riscos s pessoas e/ou ao negcio.

Para cada departamento so definidas as responsabilidades, ficando o gestor responsvel pelo total cumprimento. Em caso de no cumprimento da PSI ou a deteco de alguma falha, o gestor da rea e o Departamento de Tecnologia devem ser comunicados imediatamente. Aps o treinamento, todos os funcionrios assinam o termo de participao e aceitao da poltica. Estes documentos ficam em poder do Departamento de Recursos Humanos na pasta do colaborador.

176 Segurana fsica As principais entradas do prdio tm agentes de segurana e bloqueios atravs de catracas com carto magntico; os departamentos foram setorizados para o melhor gerenciamento de acessos. Com base nos setores no permitido o acesso dos colaboradores a reas que no so pertinentes ao desempenho de sua funo. O permetro do prdio monitorado 24x7 (24h por dia) com 15 cmeras IP (conectadas em rede) que armazenam as imagens por um perodo de 30 dias. O Departamento de Tecnologia ficou categorizado como rea de alto risco e o acesso permitido apenas aos colaboradores do departamento. Quanto sala dos servidores, o acesso mais restritivo ainda, sendo permitido apenas ao Gerente e Administradores da Rede e de Telefonia. A rea onde ficam arquivados os processos fsicos tambm ficou categorizada como rea de risco, com acesso restrito aos colaboradores do Departamento Jurdico. A Biblioteca Tcnica possui sistema de alarme e em cada exemplar h um cdigo de barra que acionar o alarme sonoro em caso de sada do permetro permitido. O acesso de entregadores no permitido aos escritrios, tendo o destinatrio a instruo para dirigir-se at a recepo ou delegar o recebimento por algum de sua confiana. Para os usurios de computadores moveis indicado o uso de cadeados especiais, com o objetivo de diminuir o risco de uma possvel subtrao do bem. A Manuteno Predial e a Brigada de Incndio tm uma cpia das chaves de acesso ao escritrio.

177 Proteo das Estaes de Trabalho e Computadores Mveis Os computadores mveis devem ser transportados no porta-malas, em mochilas ou malas com almofada interna. No so recomendadas mochilas com logomarca de computadores que possam chamar a ateno para roubo ou furto. Durante viagens e em reas de grande circulao, o colaborador deve ficar atento a qualquer abordagem e tomar os devidos cuidados para evitar o roubo. Antivrus Vrus e suas variaes so um grande problema para o mundo corporativo, podendo trazer problemas de interrupo de servio ou queda de desempenho das estaes de trabalho. Contas e Senhas As senhas para usurios finais devero conter no mnimo 8 (oito) caracteres, sendo obrigatrio o uso de letras e nmeros. Como recomendao sugere-se a utilizao de maisculas, minsculas e caracteres especiais ($, %, &,...). Dever ser evitada a composio de senhas com seqncias numricas (123...) e/ou alfabticas (abc...), alm de senhas de fcil deduo (nome da mquina, nome do usurio, data de nascimento e etc). O usurio dever ser forado a trocar a senha no seu primeiro login. O tempo mnimo, por vontade do usurio, para troca de senhas dever ser de 2 (dois) dias. A conta ser bloqueada aps a 5 (quinta) tentativa de login. Contas que ficarem inativas por mais de 90 (noventa) dias devero ser bloqueadas.

178 As contas s podero ser reinicializadas, por solicitao formal do seu detentor, rea responsvel pela administrao das contas. Em casos de extrema necessidade de reinicializar uma senha em sistemas crticos, isto s poder ocorrer mediante a confirmao de algumas informaes de carter pessoal do usurio. Nestes casos, o operador dever retornar a ligao para confirmao desses dados. Para casos considerados crticos, a solicitao de reinicializao de conta dever ser feita atravs de contato com o Gerente/Diretor/Presidente do departamento. Caso o usurio suspeite do comprometimento de sua senha, esta dever ser modificada imediatamente. Software Todos os softwares utilizados pelos colaboradores devem ser originais e adquiridos de fornecedores idneos ou do prprio fabricante. O tipo de licenciamento do sistema operacional deve ser padro OEM (licena emitida pelo fornecedor do hardware) para a compra de novos computadores. Os softwares devem ser registrados como ativos da empresa e inseridos na Planilha de Inventrio de Softwares. As mdias devem ser armazenadas em lugares seguros e de maneira organizada. Para a facilitao das Instalaes, os principais softwares devem ser inseridos na pasta APPS (pasta criada para armazenar os softwares) do servidor de arquivo, pasta esta que ser de acesso exclusivo aos colaboradores do Help Desk. Para softwares que tenham um custo superior a R$ 2.000,00 (Dois mil reais), alm da aprovao do Gestor da rea ser necessria a aprovao de um Diretor.

179

Aplicaes corporativas
Todas as aplicaes corporativas so passveis de auditoria e fica responsvel o colaborador por qualquer dado inserido, excludo ou editado. Em casos que fique comprado a m f do usurio, podem ser tomadas as aes disciplinares, incluindo o desligamento. Correio Eletrnico Todas as contas de correio eletrnico tero uma titularidade, determinando a responsabilidade sobre a sua utilizao. Cada usurio da Candido, Carvalho e Vieira Associados dever ser titular de uma nica caixa postal no servidor de correio eletrnico, com direitos de envio/recebimento de mensagens, via intranet e internet, a critrio do titular de rea/Gerncia, enquanto perdurar o seu vnculo com a empresa. Contas com inatividade por um perodo igual ou superior a 60 (sessenta) dias sero bloqueadas, a fim de evitar o recebimento de novas mensagens. Esta regra no se aplica s contas vinculadas aos cargos/funes, por serem inerentes s atribuies desses cargos/funes. O tamanho das caixas postais ser de 200 Mbytes para os usurios classificados como VIPs (Presidente, Diretores e Advogados) e de 100 Mbytes para os demais usurios. Internet A rede mundial de computadores, ou simplesmente internet, deve ser utilizada apenas para o desempenho de suas funes. Todos os acessos so passveis de auditoria, cabendo sanes disciplinares em casos do no cumprimento das normas.

180 negado o acesso a sites de relacionamentos, pornogrficos ou que denigram a imagem de empresas ou pessoas. Tambm so vedados sites que contenham matrias de pedofilia e com contedos discriminatrios de qualquer forma. O relatrio de acesso internet ficar disponvel ao gestor do colaborador por 03 (trs) meses, ficando a critrio do gestor as aes disciplinares que incluem o desligamento. Os casos extremos que vo contra a PSI e a Norma de Conduta sero levados ao Departamento de Recursos Humanos. Utilizao da Rede No so permitidas tentativas de interferir nos servios de qualquer outro usurio, servidor de rede ou rede. Isso inclui ataques do tipo DOS (Denial of Service) negao de servio", provocar congestionamento em redes, tentativas deliberadas de sobrecarregar um servidor e tentativas de invadir um servidor. Material de natureza pornogrfica (mp3, vdeos) e discriminatria no pode ser exposto, armazenado, distribudo, editado ou gravado atravs do uso dos recursos computacionais da Rede de Comunicao de Dados. No permitido conectar-se a servidor ou conta cujo acesso no seja expressamente autorizado ao usurio. expressamente proibido o acesso a sites e programas como Kaaza, Chat, Orkut, Messenger, ICQ ou qualquer outro que no esteja diretamente ligado a atividade da empresa. Ao ausentar-se do local de trabalho, o usurio dever fechar todos os programas acessados, evitando, desta maneira, o acesso por pessoas no autorizadas e se possvel efetuar o logout/logoff da rede ou bloqueio do desktop atravs de senha.

181 No intuito de fiscalizar as delimitaes impostas com a presente poltica de uso da rede, para a empresa est reservado o direito de: a)Implantar softwares e sistemas que monitorem e gravem o uso da internet atravs da rede ou de cada uma das estaes de trabalho; b)Verificar qualquer arquivo armazenado no servidor, no disco local da estao ou nas reas privadas da rede, visando assegurar o rgido cumprimento da poltica de uso da internet; c)Instalar softwares e hardwares para proteger a rede interna e garantir a integridade dos dados e programas, incluindo firewall ou qualquer outro similar.

Normas Gerais para Tcnicos

Objetivos Esta norma tem por objetivo registrar de forma resumida as melhores prticas para a correta administrao dos ativos e recursos de Tecnologia da Informao, por parte de todos os tcnicos da Candido, Carvalho e Vieira Associados conforme as diretrizes definidas para a Poltica de Segurana da Informao (PSI) da empresa e nas demais normas do mesmo tema, devendo ser seguida por todos os colaboradores tcnicos irrestritamente. Abrangncia Esta norma especificamente direcionada aos colaboradores, tcnicos e administradores dos recursos ou ativos de informao da Candido, Carvalho e Vieira Associados em qualquer unidade da empresa ou local em que estejam atuando, no sendo admitindo alegar-se desconhecimento ou no concordncia com esta ou com qualquer outra norma de segurana da informao para justificar qualquer forma de no cumprimento.

182 Configuraes de Desktops, Notebooks e Servidores Todos os desktops e notebooks, devem ser depreciados em 4 anos; estas mquinas sero doadas para instituies carentes com o objetivo de promover a incluso digital. Os servidores devem ser depreciados em cinco anos; na ocasio ser feita uma anlise para verificar se um ativo ainda pode ser reaproveitado para uma funo caracterizada como no crtica. No caso dos servidores, haver um estudo para a definio deste hardware. Nenhum usurio dever ter privilgio administrativo no equipamento. Far parte da imagem o software cliente de firewall e o antivrus. Os desktops e notebooks sero categorizados de duas formas, com o objetivo de possuir apenas quatro modelos que devero ser atualizadas a cada 12 meses. Requisitos de criptografia e certificado digital Ao logar-se no sistema, todos os usurios devem utilizar-se de token de acesso contendo seu certificado digital para o processo de autenticao, que, caso comprovado, prover acesso a todos os sistemas da empresa de uma nica vez, com a restrio de horrio imposta pelo perfil de cada usurio. Todos os sistemas com suporte criptografia tero sua troca de chave simtrica realizada nica e exclusivamente pelo Security Officer, com intervalo de 12 meses, em uma cerimnia com a presena de auditores da consultoria XYZ, utilizando-se de software de gerao de chave keygenerator, e depsito imediato da chave gerada em dispositivo HSM, sem que, em nenhum momento, qualquer dos envolvidos possa ter acesso mesma.

183 Esterilizao e descarte de mdias O descarte da mdias ser feita logo aps o sucesso do processo de esterilizao . A empresa contratada como terceira, aps avaliao da gerncia ser responsvel para retirar as mdias para descarte e esterilizao em dias previamente definidos. Antes do descarte, as mdias devem ser esterilizadas com segurana em ambiente apropriado. O contrato com a empresa terceira ser renovado anualmente. A empresa terceira dever enviar lista das pessoas autorizadas a retirar malote lacrado contendo as medias e mant-la atualizada para ter o acesso liberado nas dependncias do escritrio. A empresa terceira deve enviar mensalmente relatrio informativo de armazenamento. Tempo de armazenamento e vida til de dispositivo de armazenamento de dados A vida til dos dispositivos de backup ser limitada aproximadamente a cinco anos de uso e substituda conforme modelos disponveis no mercado. No ser possvel restaurar dados superiores a cinco anos porque passado este perodo, a mdia enviada para esterilizao e descarte. Cada filial ter uma nica unidade de backup do mesmo modelo que a matriz para evitar problemas de restaurao de dados. Na necessidade de recuperar algum dado armazenado, desde que esteja no perodo dos cinco anos, o pedido para retirada da media junto a empresa terceira deve ser feita com antecedncia.

184 Local de estoque e armazenamento de mdias de dados Ser necessrio duplicar cada mdia mensal antes do armazenamento para evitar qualquer atraso na recuperao de dados em carter de urgncia, alm de possibilitar a contingncia das mdias. A empresa contratada para o armazenamento ter total responsabilidade pela retirada, transporte e armazenamento das medias, alm do cuidado para que no haja nenhum tipo vazamento de informao. Ser eleito um colaborador interno para acompanhar todo o processo de retirada das medias pela empresa terceira e o mesmo far conferncia do lacre de segurana certificando-se que no haja nenhuma violao. A identificao das mdias com cdigo de barras ajudar no controle e classificao da mesma. Este controle ser feito pela empresa contratada. Utilizao da Rede No so permitidas tentativas de interferir nos servios de qualquer outro usurio, servidor de rede ou rede. Isso inclui ataques do tipo DOS (Denial ofService) negao de servio", provocar congestionamento em

redes,tentativas deliberadas de sobrecarregar um servidor e tentativas de invadir um servidor; Material de natureza pornogrfica (mp3, vdeos) e discriminatria no pode ser exposto, armazenado, distribudo, editado ou gravado atravs do uso dos recursos computacionais da Rede de Comunicao de Dados No permitido conectar-se a servidor ou conta cujo acesso no seja expressamente autorizado ao usurio; expressamente proibido o acesso a sites e programas como Kaaza, Chat, Orkut, Messenger, ICQ ou qualquer outro que no esteja diretamente ligado a atividade da empresa;

185 No intuito de fiscalizar as delimitaes impostas com a presente poltica de uso da rede, para a empresa est reservado o direito de: Implantar softwares e sistemas que monitorem e gravem o uso da internet atravs da rede ou de cada uma das estaes de trabalho; Verificar qualquer arquivo armazenado no servidor, no disco local da estao ou nas reas privadas da rede, visando assegurar o rgido cumprimento da poltica de uso da internet; Instalar softwares e hardwares para proteger a rede interna e garantir a integridade dos dados e programas, incluindo firewall ou qualquer outro similar Manuteno dos Recursos de Tecnologia da Informao Os recursos de Tecnologia da Informao devem ser organizados e controlados de forma que possam a qualquer momento e sem prvio aviso, ser vistoriados e confrontados com listas de checagem para aes preventiva de manuteno, controle e segurana. Esta norma aplica-se inclusive a equipamentos portteis da empresa ou de terceiros que tenham sido autorizados para uso nas atividades operacionais da empresa. Para isto devem-se observar os seguintes pontos: recomendvel que os servidores e as estaes de trabalho mantenham sempre um espao disponvel em suas unidades lgicas em torno de 20 vinte por cento do tamanho total da unidade para possibilitar o uso de programas de checagem. As verses e patches do sistemas operacional assim como os sistemas de navegao na internet, correio e pacotes de aplicativos devem ser sempre atualizados e somente aps terem sido devidamente testados e homologados . Os relgios dos servidores ou equipamentos de conectividade devem estar sincronizados para garantir a exatido dos registro de auditoria. Para facilitar o sincronismo dos relgios recomendado o ajuste peridico com o UTC Universal Ordinated Time

186 Segurana Fsica indispensvel que a instalao de recursos de tecnologia da informao obedea a um controle de segurana fsica quanto localizao, cabeamento, controle de temperatura, rede eltrica, combate a incndio, cumprimento dos padres de segurana do trabalho prevista na CLT (Consolidao das Leis do Trabalho), normas tcnicas vigentes e recomendaes dos fornecedores dos recursos. No caso do CPD, tais recursos devem ser instalados em ambiente especial reservado e exclusivo, com acesso restrito e controlado. No caso de estaes de trabalho, impressoras e outros equipamentos instalados em ambientes compartilhados, deve-se buscar o mximo de segurana fsica possvel, devendo-se ter especial ateno quanto localizao dos mesmos (proteo da confidencialidade, integridade e disponibilidade das informaes), com a instalao eltrica (cabos e fios protegidos) e o cabeamento protegido e bem conectado sem sobras e identificados. A integridade fsica dos servidores de rede e de equipamentos de telecomunicaes fator primordial para continuidade dos servios. O pessoal de apoio de servios gerais deve ter acesso aos ambientes de processamento e telecomunicaes somente com autorizao, em horrio previamente determinado, sob acompanhamento de pessoa do local e com a dvida orientao e treinamento.

Normas Para Segurana Lgica

Objetivos O objetivo especfico definir regras/padres para controlar o acesso a dados, programas, aplicaes e redes da empresa Candido, Carvalho e Vieira Associados.

187 Abrangncia

Dados; Programas; Aplicaes; Servidores; Acesso Lgico; Redes.

Sistemas As necessidades de segurana devem ser identificadas para cada etapa do ciclo de vida dos sistemas disponveis na empresa. A documentao dos sistemas deve ser mantida atualizada. A cpia de segurana deve ser testada e mantida atualizada. Os sistemas devem possuir controle de acesso de modo a assegurar o uso apenas a usurios ou processos autorizados. O responsvel pela autorizao ou confirmao da autorizao deve ser claramente definido e registrado. Os arquivos de logs devem ser criteriosamente definidos para permitir recuperao nas situaes de falhas, auditoria nas situaes de violaes de segurana e contabilizao do uso de recursos. Os logs devem ser periodicamente analisados, para identificar tendncias, falhas ou usos indevidos. Os logs devem ser protegidos e armazenados de acordo com sua classificao. Devem ser estabelecidas e mantidas medidas e controles de segurana para verificao crtica dos dados e configurao de sistemas e dispositivos quanto a sua preciso, consistncia e integridade.

188 Os sistemas devem ser avaliados com relao aos aspectos de segurana (testes de vulnerabilidade) antes de serem disponibilizados para a produo. As vulnerabilidades do ambiente devem ser avaliadas

periodicamente e as recomendaes de segurana devem ser adotadas. Servidores O acesso lgico, ao ambiente ou servios disponveis em servidores, deve ser controlado e protegido. As autorizaes devem ser revistas, confirmadas e registradas continuadamente. O responsvel pela autorizao ou confirmao da autorizao deve ser claramente definido e registrado. Os acessos lgicos devem ser registrados em logs, que devem ser analisados periodicamente. O tempo de reteno dos arquivos de logs e as medidas de proteo associadas devem estar precisamente definidos. Devem ser adotados procedimentos sistematizados para monitorar a segurana do ambiente operacional, principalmente no que diz respeito integridade dos arquivos de configurao do Sistema Operacional e de outros arquivos crticos. Os eventos devem ser armazenados em relatrios de segurana (logs) de modo que sua anlise permita a gerao de trilhas de auditoria a partir destes registros. As mquinas devem estar sincronizadas para permitir o rastreamento de eventos. Proteo lgica adicional (criptografia) deve ser adotada para evitar o acesso no autorizado s informaes. A verso do Sistema Operacional, assim como outros softwares bsicos instalados nos servidores, devem ser mantidos atualizados, em

conformidade com as recomendaes dos fabricantes. Devem ser utilizados somente softwares autorizados pela prpria entidade nos seus equipamentos. Deve ser realizado o controle da distribuio e instalao dos mesmos.

189 O acesso remoto aos servidores deve ser realizado adotando os mecanismos de segurana pr-definidos para evitar ameaas integridade e sigilo do servio. Os procedimentos de cpia de segurana (backup) e de recuperao devem estar documentados, mantidos atualizados e devem ser

regularmente testados, de modo a garantir a disponibilidade das informaes. Redes O trfego das informaes no ambiente de rede deve ser protegido contra danos ou perdas, bem como acesso, uso ou exposio indevidos, incluindose o Efeito Tempest. Componentes crticos da rede local devem ser mantidos em salas protegidas e com acesso fsico e lgico controlado, devendo ser protegidos contra danos, furtos, roubos e intempries. Devem ser adotadas as facilidades de segurana disponveis de forma inata nos ativos de processamento da rede. A configurao de todos os ativos de processamento deve ser averiguada quando da sua instalao inicial, para que sejam detectadas e corrigidas as vulnerabilidades inerentes configurao padro que se encontram nesses ativos em sua primeira ativao. Servios vulnerveis devem receber nvel de proteo adicional. O uso de senhas deve estar submetido a uma poltica especfica para sua gerncia e utilizao. O acesso lgico aos recursos da rede local deve ser realizado por meio de sistema de controle de acesso. O acesso deve ser concedido e mantido pela administrao da rede, baseado nas responsabilidades e tarefas de cada usurio.

190 A utilizao de qualquer mecanismo capaz de realizar testes de qualquer natureza, como por exemplo, monitorao sobre os dados, os sistemas e dispositivos que compem a rede, s devem ser utilizado partir de autorizao formal e mediante superviso. A conexo com outros ambientes de rede e alteraes internas na sua topologia e configurao devem ser formalmente documentadas e mantidas, de forma a permitir registro histrico, e devem ter a autorizao da administrao da rede e da gerncia de segurana. O diagrama topolgico, a configurao e o inventrio dos recursos devem ser mantidos atualizados. Devem ser definidos relatrios de segurana (logs) de modo a auxiliar no tratamento de desvios, recuperao de falhas, contabilizao e auditoria. Os logs devem ser analisados periodicamente e o perodo de anlise estabelecido deve ser o menor possvel. Devem ser adotadas protees fsicas adicionais para os recursos de rede considerados crticos. Proteo lgica adicional deve ser adotada para evitar o acesso noautorizado s informaes. A infra-estrutura de interligao lgica deve estar protegida contra danos mecnicos e conexo no autorizada. A alimentao eltrica para a rede local deve ser separada da rede convencional, devendo ser observadas as recomendaes dos fabricantes dos equipamentos utilizados, assim como as normas ABNT aplicveis. O trfego de informaes deve ser monitorado, a fim de verificar sua normalidade, assim como detectar situaes anmalas do ponto de vista da segurana. Devem ser observadas as questes envolvendo propriedade intelectual quando da cpia de software ou arquivos de outras localidades.

191 Informaes sigilosas, corporativas ou que possam causar prejuzo s entidades devem estar protegidas e no devem ser enviadas para outras redes, sem proteo adequada. Todo servio de rede no explicitamente autorizado deve ser bloqueado ou desabilitado. Mecanismos de segurana baseados em sistemas de proteo de acesso (firewall) devem ser utilizados para proteger as transaes entre redes externas e a rede interna da entidade. Os registros de eventos devem ser analisados periodicamente, no menor prazo possvel e em intervalos de tempo adequados. Deve ser adotado um padro de segurana para todos os tipos de equipamentos servidores, considerando aspectos fsicos e lgicos. Todos os recursos considerados crticos para o ambiente de rede, e que possuam mecanismos de controle de acesso, devero fazer uso de tal controle. A localizao dos servios baseados em sistemas de proteo de acesso (firewall) deve ser resultante de uma anlise de riscos. No mnimo, os seguintes aspectos devem ser considerados: requisitos de segurana definidos pelo servio, objetivo do servio, pblico alvo, classificao da informao, forma de acesso, freqncia de atualizao do contedo, forma de administrao do servio e volume de trfego. Ambientes de rede considerados crticos devem ser isolados de outros ambientes de rede, de modo a garantir um nvel adicional de segurana. Conexes entre a rede da Candido, Carvalho e Vieira Associados e redes externas devero estar restritas somente quelas que visem efetivar os processos. As conexes de rede devem ser ativadas: primeiro, sistemas com funo de certificao; segundo, sistemas que executam as funes de registros e

192 repositrio. Se isto no for possvel, deve-se empregar controles de compensao, tais como o uso de proxies que devero ser implementados para proteger os sistemas que executam a funo de certificao contra possveis ataques. Sistemas que executam a funo de certificao devero estar isolados para minimizar a exposio contra tentativas de comprometer o sigilo, a integridade e a disponibilidade das funes de certificao. A chave de certificao das ACs dever estar protegida de acesso desautorizado, para garantir seu sigilo e integridade. A segurana das comunicaes intra-rede e inter-rede, entre os sistemas das Candido, Carvalho e Vieira Associados, dever ser garantida pelo uso de mecanismos que assegurem o sigilo e a integridade das informaes trafegadas. As ferramentas de deteco de intrusos devem ser implantadas para monitorar as redes crticas, alertando periodicamente os administradores das redes sobre as tentativas de intruso. Controle de acesso lgico (baseado em senhas) Usurios e aplicaes que necessitem ter acesso a recursos da Candido, Carvalho e Vieira Associados devem ser identificados e autenticados. O sistema de controle de acesso deve manter as habilitaes atualizadas e registros que permitam a contabilizao do uso, auditoria e recuperao nas situaes de falha. Nenhum usurio deve ser capaz de obter os direitos de acesso de outro usurio. A informao que especifica os direitos de acesso de cada usurio ou aplicao deve ser protegida contra modificaes no autorizadas. O arquivo de senhas deve ser criptografado e ter o acesso controlado.

193 As autorizaes devem ser definidas de acordo com a necessidade de desempenho das funes (acesso motivado) e considerando o princpio dos privilgios mnimos (ter acesso apenas aos recursos ou sistemas necessrios para a execuo de tarefas). As senhas devem ser individuais, secretas, intransferveis e ser protegidas com grau de segurana compatvel com a informao associada. O sistema de controle de acesso deve possuir mecanismos que impeam a gerao de senhas fracas ou bvias. As seguintes caractersticas das senhas devem estar definidas de forma adequada: conjunto de caracteres permitidos, tamanho mnimo e mximo, prazo de validade mximo, forma de troca e restries especficas. A distribuio de senhas aos usurios de TI (inicial ou no) deve ser feita de forma segura. A senha inicial, quando gerada pelo sistema, deve ser trocada, pelo usurio de TI, no primeiro acesso. O sistema de controle de acesso deve permitir ao usurio alterar sua senha sempre que desejar. A troca de uma senha bloqueada s deve ser executada aps a identificao positiva do usurio. A senha digitada no deve ser exibida. Devem ser adotados critrios para bloquear ou desativar usurios de acordo com perodo pr-definido sem acesso e tentativas sucessivas de acesso mal sucedidas. O sistema de controle de acesso deve solicitar nova autenticao aps certo tempo de inatividade da sesso (time-out). O sistema de controle de acesso deve exibir, na tela inicial, mensagem informando que o servio s pode ser utilizado por usurios autorizados. No momento de conexo, o sistema deve exibir para o usurio informaes sobre o ltimo acesso.

194 O registro das atividades (logs) do sistema de controle de acesso deve ser definido de modo a auxiliar no tratamento das questes de segurana, permitindo a contabilizao do uso, auditoria e recuperao nas situaes de falhas. Os logs devem ser periodicamente analisados. Os usurios e administradores do sistema de controle de acesso devem ser formal e expressamente conscientizados de suas responsabilidades, mediante assinatura de termo de compromisso

Estaes de Trabalho As estaes de trabalho, incluindo equipamentos portteis ou stand alone, e informaes devem ser protegidos contra danos ou perdas, bem como acesso, uso ou exposio indevidos. Equipamentos que executem operaes sensveis devem receber proteo adicional, considerando os aspectos lgicos (controle de acesso e criptografia) e fsicos (proteo contra furto ou roubo do equipamento ou componentes). Devem ser adotadas medidas de segurana lgica referentes a combate a vrus, backup, controle de acesso e uso de software no autorizado. As informaes armazenadas em meios eletrnicos devem ser protegidas contra danos, furtos ou roubos, devendo ser adotados procedimentos de backup, definidos em documento especfico. Informaes sigilosas, corporativas ou cuja divulgao possa causar prejuzo a Candido, Carvalho e Vieira Associados, s devem ser utilizadas em equipamentos das entidades onde foram geradas ou naqueles por elas autorizadas, com controles adequados. O acesso s informaes deve atender aos requisitos de segurana, considerando o ambiente e forma de uso do equipamento (uso pessoal ou coletivo).

195 Os usurios de TI devem utilizar apenas softwares licenciados pelo fabricante nos equipamentos das entidades, observadas as normas da Candido, Carvalho e Vieira Associados e legislao de software. A entidade dever estabelecer os aspectos de controle, distribuio e instalao de softwares utilizados. A impresso de documentos sigilosos deve ser feita sob superviso do responsvel. Os relatrios impressos devem ser protegidos contra perda, reproduo e uso no autorizado. O inventrio dos recursos deve ser mantido atualizado. Os sistemas em uso devem solicitar nova autenticao aps certo tempo de inatividade da sesso (time-out). As mdias devem ser eliminadas de forma segura, quando no forem mais necessrias. Procedimentos formais para a eliminao segura das mdias devem ser definidos, para minimizar os riscos.

Norma para Uso de Internet

Objetivos Esta norma disciplina a utilizao da navegao de Internet utilizada pelos colaboradores da Instituio, incluindo orientaes de medidas disciplinares, normas e padres de segurana e os procedimentos para solicitao de acesso. Abrangncia Destina-se a todos os colaboradores da Candido, Carvalho e Vieira Associados que utilizam a navegao de Internet para o exerccio de suas atividades.

196 Por convenincia, o termo Candido, Carvalho e Vieira Associados passa a ser substitudo por Instituio no restante do texto desta norma.

Normas O uso da Internet pelos empregados da Candido, Carvalho e Vieira Associados permitido e encorajado desde que seu uso seja aderente aos objetivos e atividades fins do negcio da Candido, Carvalho e Vieira Associados. Ser considerado totalmente inaceitvel tanto no uso quanto no comportamento dos empregados: visitar sites da Internet que contenha material obsceno e/ou pornogrfico usar o computador para executar quaisquer tipos ou formas de fraudes, ou software/musica pirata usar a Internet para enviar material ofensivo ou de assdio para outros usurios baixar (download) de software comercial ou qualquer outro material cujo direito pertena a terceiros (copyright), sem ter um contrato de licenciamento ou outros tipos de licena atacar e/ou pesquisar em reas no autorizadas (Hacking) criar ou transmitir material difamatrio executar atividades que desperdice os esforos do pessoal tcnico ou dos recursos da rede introduzir de qualquer forma um vrus de computador dentro da rede corporativa

197 Monitoramento A Candido, Carvalho e Vieira Associados reafirma que o uso da Internet uma ferramenta valiosa para seus negcios.Entretanto, o mau uso dessa facilidade pode ter impacto negativo sobre a produtividade dos funcionrios e a prpria reputao do negcio. Em adio, todos os recursos tecnolgicos da Candido, Carvalho e Vieira Associados existem para o propsito exclusivo de seu negcio. Portanto, a empresa se d ao direito de monitorar o volume de trfico na Internet e na Rede, juntamente com os endereos web (http,https, ftp) visitados.

Norma para Uso de Correio Eletrnico

Objetivos Correio eletrnico refere-se transferncia eletrnica de informao, tipicamente na forma de mensagens eletrnicas e documentos anexados. Assim como qualquer recurso provido pela Candido, Carvalho e Vieira Associados, o uso dos servios do correio eletrnico deve ser dedicado s atividades de interesse da Candido, Carvalho e Vieira Associados e regido por regras de conduta similares quelas aplicveis a outros recursos de informtica. O uso adequado deve ser legal, tico, refletir honestidade e demonstrar moderao no consumo dos recursos compartilhados. O objetivo desta norma de uso do correio eletrnico estabelecer padres/normas para o uso adequado dos servios de correio eletrnico da Candido, Carvalho e Vieira Associados. Essas normas visam: Garantir que o uso dos servios do correio eletrnico esteja relacionado aos trabalhos da Candido, Carvalho e Vieira Associados ou em benefcio deste.

198 Informar aos usurios que as mensagens e os documentos eletrnicos esto sujeitos s mesmas leis e normas aplicadas a documentos escritos. Minimizar a interrupo das atividades da Candido, Carvalho e Vieira Associados ocasionada pelo uso no apropriado dos servios de correio eletrnico. Fornecer aos usurios orientaes, descrevendo suas responsabilidades pessoais a respeito da confiabilidade, privacidade e uso adequado, assim como, o uso no apropriado ou proibido dos servios de correio eletrnicos definidos nesta norma.

Abrangncia Todos os usurios que acessem os servios de correio eletrnico da Candido, Carvalho e Vieira Associados

Responsabilidades dos Usurios Os usurios no devem violar direitos de propriedade de informao, mecanismos de segurana, e tambm no devem usar o correio eletrnico para intimidar, assediar ou causar transtornos.

Responsabilidades dos Usurios Administradores do Correio Administrar as polticas e procedimentos relativos aos servios de correio eletrnico e assegurar o cumprimento de leis e normas aplicveis. Verificar periodicamente o desempenho e a integridade do sistema de correio eletrnico. Estabelecer procedimentos e rotinas de manuteno de contas de correio.

199 Uso do Espao Disponvel Tamanho da Caixa Postal de Usurios: O tamanho das caixas postais ser de 200 Mbytes para os usurios classificados como VIPs (Presidente, Diretores e Advogados) e de 100 Mbytes para os demais usurios. Para usurios comuns: Ultrapassados 90 MB, um alerta ser enviado ao usurio; Ultrapassados 95 MB, o envio de mensagem ser bloqueado; Ultrapassados 98 MB, a caixa postal ser bloqueada para envio e recebimento de mensagens.

Para usurios VIPs (Presidentes, Diretores e Advogados): Ultrapassados 190 MB, um alerta ser enviado ao usurio; Ultrapassados 195 MB, o envio de mensagem ser bloqueado; Ultrapassados 198 MB, a caixa postal ser bloqueada para envio e recebimento de mensagens

Tamanho Mximo de Mensagens Enviadas e Recebidas Qualquer mensagem, enviada ou recebida (externa ou internamente), dever respeitar o limite de tamanho de 10000 KB.

Tamanho de pastas pblicas A pasta pblica ter um limite de espao mximo de 100MB para armazenamento de mensagens e documentos.

200 Tempo de Vida das mensagens e documentos Devido ao espao limitado para cada usurio, o mesmo deve

periodicamente excluir as mensagens que no forem mais necessrias. Concomitantemente ser realizado um procedimento automtico que excluir as mensagens no lidas das caixas postais de usurios que tenham mais de seis meses de tempo de vida. Tempo de vida de documentos em pastas pblicas No h limite de tempo de vida das mensagens e documentos em pastas pblicas.

Tempo de vida de mensagens e documentos na pasta Itens Excludos As mensagens armazenadas na pasta Itens Excludos tm tempo de vida de um ms, aps o qual, sero permanentemente removidas.

Quantidade de caixas postais por usurio Cada usurio tem direito a apenas uma nica caixa postal. Poder ser dado a um usurio o direito de acessar a caixa postal de outro usurio. Este procedimento pode ser realizado pelo usurio proprietrio da caixa postal ou pelo administrador do correio por meio de autorizao por escrito do proprietrio da caixa postal ou seu superior.

Direito de acesso pasta pblica do prprio departamento Todos os usurios do departamento tm direito de leitura, gravao e alterao na pasta pblica do departamento. Cada usurio poder excluir apenas a sua mensagem ou o seu documento da pasta pblica do departamento.

201 O diretor possui direitos ilimitados na pasta pblica do seu departamento. Os usurios no tero direito algum pasta pblica de outro departamento, exceto quando autorizados por escrito pelo diretor do departamento. Esse item tambm se aplica a pastas pblicas de divises.

Direito de acesso pasta pblica da Candido, Carvalho e Vieira Associados Todos os usurios tm direito de leitura e gravao na pasta pblica da Candido, Carvalho e Vieira Associados. Apenas o administrador do correio tem acesso ilimitado a esta pasta. Os usurios podero excluir ou alterar apenas as suas prprias mensagens ou seus prprios documentos.

Direito de acesso pasta pblica temtica O administrador do correio e o usurio moderador tem acesso ilimitado a esta pasta. Direitos de acesso para outros usurios sero definidos pelo usurio moderador da pasta.

Ausncia temporria No h qualquer procedimento especfico (desativao, excluso, etc.) para casos de ausncia temporria (frias, licena-prmio, licena sem vencimento, etc.). Caso deseje, o usurio poder configurar sua caixa postal para deixar de receber mensagens ou encaminh-las para outra caixa postal.

202 Criao de caixas postais para terceiros No permitida a criao de caixa postal para terceiros (fornecedores, prestadores de servios, etc.). Endereos de Internet, por outro lado, podem ser criados para este tipo de usurio. Funcionrios exonerados, aposentados A caixa ser bloqueada e aps seis meses ser excluda. Pastas pblicas departamentais Destinam-se ao armazenamento de documentos e mensagens de um departamento. Apenas os funcionrios do departamento tm acesso pasta. Pastas pblicas temticas So criadas para discutir assuntos de interesse de um grupo de funcionrios de um departamento ou de toda Candido, Carvalho e Vieira Associados. Qualquer usurio poder sugerir a criao de pastas pblicas temticas. Pastas pblicas de grupo de trabalho Tm o objetivo de centralizar documentos relativos a um projeto ou atividades de um grupo de trabalho composto por membros de um ou mais departamentos. Listas departamentais, temticas e de grupo de trabalho Utilizam-se listas quando for necessria a notificao imediata da mensagem a todos os membros da lista, no sendo importante o armazenamento centralizado da mensagem.

203 Contedo Proibido O contedo de qualquer mensagem de correio deve ser apropriado s atividades da Candido, Carvalho e Vieira Associados. O contedo sujeita-se s mesmas restries como qualquer outra correspondncia. So proibidas mensagens que contenham: Pornografia, Correntes, SPAM (mensagens no solicitadas enviadas para vrios destinatrios com contedo no relacionado s atividades da Candido, Carvalho e Vieira Associados, como, por exemplo, divulgao comercial, autopromoo, etc.), Arquivos executveis como anexo, Contedo discriminatrio, Ataques, Assdio, etc.

Sanes
O no cumprimento das disposies inseridas na presente Poltica, implicar na suspenso imediata do acesso rede, ficando o infrator sujeito s penalidades aplicveis espcie mediante classificao do nvel de violao e reincidncia conforme descrito. O uso indevido dos recursos de informtica viola a obrigao legal e contratual que o funcionrio tem para com a Candido, Carvalho e Vieira Associados, podendo ser caracterizado como incontinncia de conduta ou mau procedimento (CLT - art. 482 - b) tornando-o passvel de punio, que vai desde Advertncia Verbal, Escrita, Suspenso at Justa Causa.

204

Classificao das Violaes

A no observncia e o descumprimento nas normas especificadas nesta poltica sero classificados nos nveis de violao discriminados. Cada nvel sugere um grau maior de impacto em que o descumprimento da norma possa afetar a segurana da informao como um todo. Cada violao citar qual o enquadramento ser aplicado ao infrator caso o seu descumprimento, a reincidncia quando no citada na normal especifica, qualifica o infrator para o enquadramento do nvel subseqente, ou seja, a reincidncia de uma infrao classificada no nvel 1, ser aplicada as sanes previstas no nvel 2 Violao do Nvel 1 - considera as violaes que descumprem a norma, mas no afetam de maneira critica ou causa impacto severo na segurana das informaes. As sanes previstas para este tipo de violao incluem advertncia verbal ou escrita ressaltando a norma descumprida e a devida importncia de seu cumprimento. Violao do Nvel 2 - considera as violaes que descumprem a norma, e afetam diretamente ou indiretamente a segurana da informao aplicada, e tornam vulnerveis os ativos ou processos causado riscos ao ambiente. Violao do Nvel 3 - considera as violaes que descumprem a norma e causa impactos no ambiente, sendo necessrias as aes para a reparao e retomada da operacionalizao do ambiente, ou que cause perda de produtividade, informaes importantes ou sigilosas para o negcio da empresa, ou ainda que exponha a empresa a violaes de legislao em vigor. As sanes previstas para este tipo de violao incluem desde advertncia escrita com suspenso das atividades do trabalho de 1 a 3 dias at na aplicao de sanes administras, cveis e penais previstas na

205 Consolidao da Leis do Trabalho (CLT - art. 482 -b) no Cdigo Penal (Decreto-Lei N 2.848/40, com as alteraes da Lei N 9.983/00 e no Decreto N 2.910/98) no Novo Cdigo Civil (Lei 10.404 de 10/01/2002) ou em qualquer outra legislao que regule ou venha regular a matria. Quaisquer casos omissos a estas sanes sero passiveis de avaliao pela GSI (Gesto de Sistema de Informao), para o enquadramento quando nvel de violao, bem como aplicao das sanes cabveis.

Estratgia de implementao da P.S.I.

Carta do Presidente O intuito da carta demonstrar a todos os colaboradores da instituio o envolvimento da alta diretoria/presidncia com o projeto de gesto de segurana da informao e ainda motivar a todos mostrando o quanto isso importante para a empresa. Prezado Colaborador, Tenho a grata satisfao de encaminhar-lhe a Poltica de Segurana da Informao PSI. Este documento resultado do profundo processo de reflexo interna e do dilogo constante com os nossos diversos pblicos, que realizamos ao longo dos ltimos anos. Eles consolidam as nossas crenas e explicita os princpios e as diretrizes que devem reger a nossa atuao, fundamentados em uma viso contempornea da segurana da informao e nossos ativos, aplicados ao negcio. Nesse sentido, estes documentos devem ser vistos como um manual de consulta que visa orientar as nossas aes cotidianas na Candido, Carvalho e Vieira Associados. Todas as nossas decises devem estar alinhadas com os princpios e diretrizes aqui definidas. Assim, ao tomar qualquer tipo de deciso, em qualquer nvel hierrquico, devemos estar atentos para as suas conseqncias nos parceiros com os quais nos relacionamos, sejam eles internos ou externos.

206 Para que isto acontea, espero que voc leia atentamente estes documentos, procurando identificar as relaes existentes entre as diretrizes e procedimentos aqui formulados e as decises/aes que voc toma no seu dia-a-dia profissional. Na seqncia, todos ns participaremos de encontros organizados em nossas reas de trabalho, especificamente para nos ajudar a transformar essas diretrizes em prticas cotidianas. Por esse motivo, ao apresentar a Poltica de Segurana da Informao PSI da Candido, Carvalho e Vieira Associados - quero expressar a minha convico de que, juntos, podemos transform-lo em um instrumento legtimo de nossas crenas, demonstrando, de forma inequvoca, que somos capazes de desenvolver nossos negcios de forma responsvel, sustentvel e segura, posto que nos baseamos e estamos apoiados nos principais conceitos e normas da segurana da informao e de slidos princpios ticos. Cordialmente, Presidente da Candido, Carvalho e Vieira Associados

Documentao de Suporte
Este documento tem por objetivo apresentar o Termo de Responsabilidade e Sigilo aos colaboradores, atendendo aos requisitos da Poltica de Segurana da Informao da empresa Candido, Carvalho e Vieira Associados . A organizao deste documento baseia-se nas recomendaes descritas no item 8.1.2 da norma ISO/IEC 17799:2005. Termo de Responsabilidade e Sigilo Declaro para os devidos fins e efeitos de direito que a empresa Candido, Carvalho e Vieira Associados trouxe ao meu conhecimento o contedo das diretrizes, violaes, normas e responsabilidades que regem sua Poltica de

207 Segurana, conforme PSI e Manual de procedimentos, estando ciente e responsvel pelo que segue: Qualquer meio de acesso as informaes ou instalaes que a empresa me forneceu ou vier a fornecer (como identificaes de usurio, senhas, crachs, cartes, chaves, permisses, acessos, etc.) so de carter exclusivamente pessoais e intransferveis, e sero utilizados exclusivamente no cumprimento de minhas responsabilidades perante a empresa, devendo ser por mim devolvidos em caso de desligamento. Todas as informaes utilizadas na empresa sejam elas de sua propriedade ou no so confidenciais e sigilosas, motivo pelo qual me comprometo a manuse-las de maneira segura e somente no exerccio de minhas atividades, evitando sua perda, furto, cpia, utilizao indevida e/ou divulgao no autorizada. A empresa Candido, Carvalho e Vieira Associados est autorizada a consultar, monitorar e analisar informaes geradas e localizadas em suas instalaes ou se utilizando de recursos da empresa, registradas em qualquer meio; inclusive correspondncias recebidas em nome ou endereo da mesma. Comprometo-me a no adquirir, reproduzir, instalar, utilizar e/ou distribuir cpias no autorizadas de programas em geral, mesmo aqueles desenvolvidos internamente pelas reas tcnicas ou no da empresa. Sem autorizao expressa da empresa Candido, Carvalho e Vieira Associados. Comprometo-me a zelar pela segurana, uso correto e manuteno adequada de todos os equipamentos existentes na empresa, principalmente os que esto sob minha responsabilidade. As informaes por mim geradas ou recebidas durante minha jornada de trabalho devero tratar apenas de assuntos profissionais e ligados exclusivamente ao exerccio de minha funo.

208 Descumprindo os compromissos por mim assumidos nesta declarao estarei sujeito s penalidades aplicveis, como medidas

administrativas/disciplinares internas e/ou aes penais/cveis previstas em lei.

So Paulo, xx de xxxxxxxxxx de xxxx. Assinatura: _________________________ Nome Completo: ___________________________ Doc.Identidade (RG): ________________________ CPF: _____________________________

Campanha de Divulgao Depois de elaborada a poltica de segurana da Candido, Carvalho e Vieira Associados, a diretoria da informtica se reuniu com representantes dos departamentos a fim de obter opinies sobre o modo de implementao da poltica na empresa e os principais impactos na operao do negcio. Esta reunio permitiu conscientizar as chefias e formadores de opinio dos departamentos e coletar as primeiras impresses, possibilitando pequenos ajustes antes da divulgao da poltica oficial. Como resultado deste encontro, foi definido a realizao de palestras de divulgao de poltica aos colaboradores tendo a participao do presidente da empresa na sesso inaugural, transmitindo assim a importncia do evento para todos.

209 Afim de criar uma expectativa sobre o evento, uma campanha de divulgao interna foi criada pelo departamento de marketing, fixando faixas nos principais corredores de acesso com slogans sobre segurana da informao. Este programa envolveu campanhas no sentido de conscientizar e informar aos funcionrios informaes. e colaboradores tambm o com relao das segurana pessoas das e a

Envolveu

treinamento

disponibilizao de ferramentas para melhorar a fixao e o aprendizado. Alm d criao de canais de comunicao para a interao com o publico alvo. Foram usados diversos meios para dar apoio aos envolvidos e interessados no projeto. Esses meios viabilizaram uma melhor comunicao com o pblico alvo do projeto alm de oferecer ferramentas para a medio de como as informaes estavam sendo absorvidas pelas pessoas da empresa. Este programa foi dividido em 3 grandes frentes: Campanhas - uso de cartazes, e-mail, quadro de aviso e brindes tendo como alvo a conscientizao das pessoas; Treinamentos - uso da sala de aula com rico material audiovisual tendo como alvo o aprendizado mais especifico de determinadas normas e procedimentos as serem adotados. Ferramentas de apoio (intranet) - uso de pesquisas, vdeo, documentos, copias dos materiais usados nas campanhas - tendo como objetivos ser uma ferramenta de apoio para ajudar as pessoas envolvidas ou interessadas no projeto.

Outras Campanhas Diversas campanhas visando conscientizao dos funcionrios sobre a segurana na empresa foram desenvolvidas pela equipe de segurana juntamente com outros departamentos, como RH.

210 As campanhas desenvolvidas se deram atravs do envio de e-mails, entrega de folhetos, fixao de cartazes em lugares de grande movimento. Com isso esperou-se dar informaes gerais do projeto, informando tambm quanto importncia da participao de todos e a agenda de eventos importantes.

Programas de Treinamentos Assim como as campanhas, foram desenvolvidos treinamentos especficos para cada rea da empresa, juntamente com o departamento de RH, para que a segurana da informao pudesse ser transmitida a todos os funcionrios da empresa. Alguns destes treinamentos visavam informar formas corretas de se manipular documentos classificados da empresa, as melhores prticas de senhas e divulgao da poltica de segurana para todas as reas da empresa. Os cursos foram aplicados atravs de aulas ministradas em auditrio com os seguintes temas: Como usar o e-mail com segurana - onde foram abordados temas de como proceder no momento de recebimento de um e-mail suspeito, ou com mensagem imprpria, ou com erros. Tambm demonstrando quais so as novas regaras impostas pela poltica de segurana da Candido, Carvalho e Vieira Associados; Cuidados na navegao na internet - onde foram abordados temas de como proceder na navegao do dia-a-dia na internet, como evitar entrar em sites suspeitos, ou clicar em links recebidos por e-mails suspeitos, demonstrao de pginas de sites vitimas de phising , como navegar usando as novas regaras impostas pela poltica de segurana da Candido, Carvalho e Vieira Associados;

211 Como classificar e trabalhar de forma segura com arquivos confidenciais - onde foram abordados os temas de como salvar os arquivos nas pastas corretas por departamentos, como efetuar backups no uso de arquivos em notebooks e em viagens. Como classificar as informaes de forma apropriada, cuidados ao enviar e quando cpia de documentos confidenciais. Tudo isso conforme as novas normas estabelecidas na poltica de segurana da Candido, Carvalho e Vieira Associados.

Cada participante do curso recebeu uma cpia da poltica de segurana para fazer suas prprias anotaes, alm de um marcador de pgina com algumas informaes a respeito do projeto. Houve tambm o uso de recursos audiovisuais (sons e imagens nos slides) para melhorar a fixao das informaes passadas. Foram tambm aplicados exerccios em classe com todos os participantes, estimulando assim a assimilao do contedo transmitido. Foi permitido as participantes assistirem a mais de uma vez o curso caso houvesse interesse. Foi transmitido aos participantes um e-mail interno (duvidas_segurana@candidocarvalhovieira.com.br) para ser usado como canal de comunicao para serem tiradas quaisquer duvidas posteriores em cima do contedo passado ou de qualquer outro assunto relacionado ao projeto de segurana dentro da empresa. Houve a disponibilizao do vdeo da primeira aula na intranet da empresa para posterior consulta, atravs do endereo http://www.candidocarvalhovieira/seguraca/security.avi Durante o curso, houve sempre a preocupao de informar aos participantes onde conseguir as informaes necessrias para realizarem as tarefas de forma adequada s novas exigncias da empresa, atravs da indicao do uso da pagina de segurana dentro da intranet, uso do canal de comunicao por e-mail, atravs da leitura da poltica de segurana e etc.

212 Abaixo o quadro de aviso usado para informao dos funcionrios a respeito do curso:

213

Aps o treinamento, todos os funcionrios sero submetidos uma avaliao online, para garantir o entendimento dos temas abordados, quem tiver um aproveitamento superior a sete pontos receber um certificado de participao no curso de segurana, conforme figura abaixo. Assinado pessoalmente pelo presidente da empresa e pelo diretor de tecnologia em um evento de comemorao dos resultados do projeto.

214

CAPITULO VI
O capitulo em epgrafe foi escrito pelo Security Office aps a anlise de risco tem por objetivo estabelecer um Plano de Continuidade de Negcios . Atravs deste capitulo so apresentados os critrios para a gesto dos controles de segurana voltados continuidade do negcio.

6. Plano de Continuidade de Negcios

Definio de PCN
A norma britnica BS 7799 e a brasileira NBR ISO/IEC 17799 consideram dez itens para definir um ambiente seguro. Um destes itens a recomendao de desenvolvimento de um PCN. Quando se fala em segurana, a rea de TI imediatamente pensa em firewalls, proxys, antivrus, senhas, poltica de segurana, deixando de lado as questes referentes aos processos que dependem de TI e da velocidade de substituio de um hardware danificado. PCN ou Plano de Continuidade de Negocio um conjunto de aes que visam reduzir a vulnerabilidade da organizao a longo prazo. Este plano definido em conformidade com os gestores da instituio. Uma das razes de se ter um plano de contingncia o fato de que alm da ameaa humana existente, so constatadas ainda outras ameaas: Fenmenos da natureza: eventos da natureza (incndios,

inundaes ventanias e tempestades) podem varrer do mapa centro inteiros e operao de rede: Impercias: usurios autorizados, privilegiados, podem destruir inadvertidamente o sistema ou sobrescrever dados vitais; Falha de equipamentos: com a tecnologia atual de fabricao de hardware baratos produzidos em massa, falhas de equipamentos so comuns. Unidades de disco rgido novas as vezes falham, por exemplo;

215

Erros de aplicativos: a instalao de um software defeituoso pode danificar dados importantes.

Tem como objetivo evitar interrupes na operao de Candido, Carvalho, Vieira Associados e lhe assegurar um nvel adequado de estabilidade organizacional durante a recuperao aps um desastre, bem como minimizar o risco de atrasos em definir e alterar locais de operao e ou processamento, alm de assegurar que os sistemas de apoio e backup esto controlados e prontamente disponveis, e que so confiveis e efetivos. Por fim treinar pessoas em procedimentos de emergncia e prover restaurao do servio de forma rpida e eficiente. O desenvolvimento e implementao de planos de contingncia visam garantir que os processos do negocio possam ser recuperados dentro da requerida escala de tempo, aps a concorrncia de interrupes ou falhas dos processos crticos. Estes planos devem ser mantidos e testados de forma a se tornarem parte integrante de todo os outros processos gerenciais, devendo ser observadas as seguintes recomendaes: Identificao e concordncia de todas as responsabilidades e procedimentos do plano de contingncia; Implementao dos procedimentos do plano de contingncia que permitam a recuperao e restaurao nos prazos necessrios. Ateno especial deve ser dada avaliao de pendncias externas ao negcio e tambm de contratos existentes; Documentao dos processos e procedimentos acordados; Treinamento adequado do pessoal nos procedimentos e planos de contingncia definidos, incluindo o gerenciamento da prpria crise. Quando se formula planos de recuperao aps desastre, no se precisa antecipar qualquer coisa em particular ou qualquer coisa alm de um desastre simples. Qualquer que seja a causa deve-se ter a capacidade de se recuperar imediatamente ou logo depois.

216

Mapeamento dos processos

Processo de Negcio Nome do Processo de Negcio: Localizao: Nome do Responsvel: E-mail Empresa CCV Assoc Marcelo Gerente de TI Jair Gerente de Seg. 3828-1236/ 2344-3322 / 8011-0013 3828-1238 / 3122-6555 / 8011-0015

Cargo: E-mail: Nome do Substituto:

Telefones:

marcelo@candidocarvalhovieira.com.br

Cargo: E-mail: Funcionrios envolvidos (Nome / Cargo): Alexandro / Administrador de redes I Hugo / Administrador de redes II

Telefones:

Jair@ candidocarvalhovieira.com.br

Este processo de negcio : (x ) Prprio ( ) Terceirizado pela empresa Gestor responsvel: Jair

Tabela 15 - Identificao dos processos de negcio I

Processo de Negcio Nome do Processo de Negcio: Localizao: Nome do Responsvel: Faturamento Empresa CCV Assoc Marcelo Gerente de TI Jair Gerente de Seg. 3828-1236/ 2344-3322 / 8011-0013 3828-1238 / 3122-6555 / 8011-0015

Cargo: E-mail: Nome do Substituto:

Telefones:

marcelo@ candidocarvalhovieira.com.br

Cargo:

Telefones:

E-mail: Jair@ candidocarvalhovieira.com.br Funcionrios envolvidos (Nome / Cargo): Alexandro / Administrador de redes I Hugo / Administrador de redes II Rodrigo / Administrador de banco de dados / Desenvolvedor de sistemas

Este processo de negcio : (x ) Prprio ( ) Terceirizado pela empresa Gestor responsvel: Jair

Tabela 16 - Identificao dos processos de negcio II

217

Processo de Negcio Nome do Processo de Negcio: Localizao: Nome do Responsvel: Banco de dados Empresa CCV Assoc Marcelo 3828-1238 / 3122-6555 / 8011-0015

Cargo: E-mail: Nome do Substituto:

Gerente de TI Rodrigo Administrador de banco de dados / Desenvolvedor de Sistemas

Telefones:

marcelo@candidocarvalhovieira.com.br

Cargo: E-mail: Funcionrios envolvidos (Nome / Cargo): Alexandro / Administrador de redes I Hugo / Administrador de redes II

Telefones:

3828-1236/ 2344-3322 / 8011-0013

rodrigo@candidocarvalhovieira.com.br

Este processo de negcio : (x ) Prprio ( ) Terceirizado pela empresa Gestor responsvel: Marcelo

Tabela 17 - Identificao dos processos de negcio III

Processo de Negcio Nome do Processo de Negcio: Localizao: Nome do Responsvel: Controle de processos jurdicos Empresa CCV Assoc Marcelo 3828-1238 / 3122-6555 / 8011-0015

Cargo: E-mail: Nome do Substituto:

Gerente de TI Alexandro Administrador de redes I

Telefones:

marcelo@candidocarvalhovieira.com.br 3828-1236/ 2344-3322 / 8011-0013

Cargo: E-mail: Funcionrios envolvidos (Nome / Cargo): Jair / Gerente de Segurana Hugo / Administrador de redes II

Telefones:

alexandro@candidocarvalhovieira.com.br

Este processo de negcio : (x ) Prprio ( ) Terceirizado pela empresa Gestor responsvel: Marcelo

Tabela 18 - Identificao dos processos de negcio IV

218

Neste formulrio foi relacionado todos os componentes utilizados para a execuo de cada processo de negcio, indicando quais as respectivas quantidades e quais so os que possuem criticidade Alta.
Componentes da Infra-Estrutura do Negcio Nome do Componente wm server bd server switch switch router link embratel 10 Mbps Tempo em minutos de Inoperncia Suportvel para cada ativo da infraestrutura (sem que haja conseqncias para a empresa) At: ()1()2()3()4()5 ( x ) 10 ( )15 ( )20 ( )25 ( )30 ( )60 Nmero de acesso (dia) 1500 3000 20000 800 Criticidade Alto Alto Alto Alto Alto Alto Alto Alto

Tabela 19 - Componentes da Infra-Estrutura do Negcio No formulrio abaixo foi relacionado os processos de negcios dos quais estes processos depende, sua execuo, indicando em qual setor (unidade de negcio) realizado e seus respectivos contatos.
Processos Dependentes Unidade de Responsvel pelo Negcio (setor) setor Departamento de finanas / Departamento Jurdico / Departamento de RH / Miriam / Juliana / Advogados Marcela / Flvia Departamento de finanas Departamento de finanas / Departamento Jurdico / Departamento de RH / Advogados Advogados Maria

Nome do Processo

Telefones

E-mail

Ramal 8856 / 8857 / 8858 / 8859 Ramal 8860

Faturamento

Banco de dados

Miriam / Juliana / Marcela / Flvia Flvia

Ramal 8856 / 8857 / 8858 / 8859 Ramal 8859

Controle de processos jurdicos

Tabela 20 - Processos dependentes

219

Estudo de Criticidade
Foi estabelecida uma classificao de relevncia entre os processos do negcio. A classificao foi baseada na aplicao de valores dentro de uma faixa de 1 a 5 visando indicar o grau de relevncia mais alto como a pontuao de maior valor e grau de relevncia mais baixo com a pontuao de menor valor. Abaixo escala para classificao de prioridade no Negcio:
Pontuao 1 Escala No considervel Interpretao Envolve o atingimento gerencivel do processo do negcio podendo provocar impactos praticamente irrelevantes Envolve o atingimento gerencivel do processo do negcio podendo provocar impactos apenas considerveis Envolve o atingimento gerencivel do processo do negcio podendo provocar impactos parcialmente significativos Envolve a paralisao do processo do negcio podendo provocar impactos muito significativos Envolve o comprometimento do processo de negcio podendo provocar impactos extremos na recuperao e na continuidade do negcio

Relevante

Importante

Crtico

Vital

Tabela 21 - Abaixo escala para classificao de prioridade no Negcio Seguindo o critrio acima as seguintes perguntas foram respondidas pelos gestores: Se o sistema x parar, qual o impacto sobre o negcio da empresa ? Se o sistema x parar, qual a urgncia que ele deve ser restabelecido ? Se o sistema x parar por mais de y horas, qual a gravidade que teremos sobre o negocio da empresa ?

220

O resultado obtido o apresentado na tabela a seguir:

Processo ERP Disponvel Confidencialidade do Banco de dados Integridade do banco de dados E-MAIL Disponvel 1. no considervel 2. relevante 3. importante 4. critico x 5. vital x

x x

Tabela 22 - Escala para classificao de prioridades nos processos de negcio De posse do conhecimento do negcio da empresa e de seus pontos mais crticos e relevantes, entende-se que necessrio fazer-se um levantamento criterioso em cima de pontos importantes em relao ao mapeamento dos processos crticos e se existe algum Plano de Continuidade para ativos que suporte este processo crtico. Com a identificao do escopo de segurana os processos mais crticos e relevantes so priorizados conforme levantamento dos processos feito

anteriormente. Entendemos que isto s foi possvel devido a Anlise de Risco inicial feita anteriormente e que no seria possvel identific-los sem esta etapa.

Anlise de Impacto no Negcio (BIA)

BIA Business Impact Analysis, esta etapa fundamental por fornecer informaes para o dimensionamento das demais fases de construo do plano de continuidade. Seu objetivo levantar o grau de relevncia entre os processos ou atividades que fazem parte do escopo de contingncia em funo da continuidade do negcio. Em seguida, so mapeados os ativos fsicos, tecnolgicos e humanos que suportam cada um deles, para ento apurar os impactos quantitativos que poderiam ser gerados com a sua paralisao total ou parcial. Uma viso estratgica de continuidade deve dar prioridades aos processos de negcios mais importantes da empresa (crticos), e somente aps iniciar o

221

planejamento dos procedimentos de contingncia e a definio mnima dos componentes que devam ser replicados. Um BIA d um passo alm desta definio, indicando o valor de custo de parada para cada processo analisado. O Custo de Parada a avaliao caso a caso, do respectivo valor agregado que o processo adiciona ao fluxo de processos, no principal negcio da empresa. De uma forma mais simples: torna-se fcil avaliar a importncia dos processos de negcios empresariais, frente aos impactos causados (multas, dano imagem da empresa, suspenso de servio ao cliente, etc ) em situaes de paralisao de atividades. Difcil saber em qual ordem restaurar cada um dos processos afetados. O BIA indica este caminho, mensurando o valor da parada do processo, em funo da perda que o negcio da empresa sofre. Desta forma, fica fcil para quem planeja avaliar os custos de investimentos na continuidade da empresa. Para tornar o plano mais eficaz, foi realizada entrevistas com os responsveis de cada rea e aplicado um questionrio para gerar relatrios de criticidade, junto com o BIA para que se possa mensurar financeiramente os custos das paradas dos processos crticos e vitais, juntamente com os custos para a recuperao destes mesmos processos. Aps a identificao dos sistemas, processos e ambientes vitais, foi avaliado o impacto financeiro causado a organizao caso haja uma parada, sendo assim calcula-se quanto tempo seria possvel a organizao sobreviver operando em contingncia, ou seja nos padres mnimos tolerados. Os processos foram classificados como 1, 2 e 3 onde 1 o mais critico tendo em vista que ele precisa ser restabelecido em at 24 hs para que no haja perda de receita ou denigra a imagem da empresa juntos aos seus clientes. Processos que precisam ser restabelecidos em 48 horas foram classificados como 2.

222

Aqueles que podem ser retomados em mais de 48 horas foram classificados como 3.

Ambientes/Servios

Classe

Tempo de parada

Paralisao do CPD Paralisao rea administrativa Paralisao da rea jurdica

3 1 1

> 48 horas At 24 horas At 24 horas

Prejuzo financeiro valor aproximado (em R$ por hora) 21.000,00 35.500,00 50.000,00

Tabela 23 - BIA Os valores citados acima tiveram como base a hora dos colaboradores responsveis pelo faturamento do escritrio. Destacando que o custo da rea jurdica maior do que o administrativo. De posse desta anlise BIA, torna-se possvel definir as prioridades de contingncia, os nveis de tolerncia, a indisponibilidade de cada processo ou atividade pertencente a contingncia e ainda agrupa os ativos em funo de sua natureza da dependncia que mantm com os processos. Tem-se, a partir de ento, uma fotografia da funcionalidade dos processos, restando definir as ameaas que se quer contingenciar. A escola das ameaas a se considerar para cada processo est diretamente ligada a probabilidade e severidade de um incidente. Com base na anlise de risco realizada e conforme apontado acima pelo BIA, o processo mais importante para a empresa e que mais impactaria em caso de indisponibilidade Servidor ERP.

223

Cenrios para Recuperao e Restaurao

Ambientes Segue abaixo o endereo da Candido, Carvalho e Vieira Associados com sede em So Paulo. Devido ao impacto que pode causar aos negcios da empresa, foi mantido um hot-site em um prdio na Faria Lima para atender s situaes de desastre. O site recebe este nome por ser uma estratgia pronta para entrar em operao assim que uma situao de risco ocorrer, gerando uma redundncia e total cobertura caso ocorra algum desastre na instalao principal. O mesmo foi escolhido atendendo com folga as especificaes de distncia mnima de 500 metros. Alm de manter fitas de backup nas instalaes principais, diariamente, cpias das fitas de backup so transportadas de forma segura e confivel para o hot-site. Empresa: Candido, Carvalho e Vieira Associados Endereo: Av. Paulista, s/n Endereo da contingncia: Av. Faria Lima, s/n Neste item esto relacionados todos os recursos mnimos necessrios (hardware, software, comunicao, infra-estrutura, pessoal, etc) para que o negcio continue funcionando.
Hardware Servidor de aplicaes Servidor de banco de dados Servidor de e-mail Servidor de autenticao Servidor de arquivos Servidor de impresso Computadores pessoais Impressoras Aparelhos telefnicos Software Crm Erp Comunicao Link de acesso a internet E1 telefonia Pessoal Coordenador ou coordenador substituto do plano Presidente Vicepresidente Gestores Funcionrios

Tabela 24 - Ativos

224

Desenvolvimento dos Planos no PCN

O plano de continuidade de negcios composto pelos seguintes planos de contingncia: Plano de Administrao de Crise Plano de Continuidade Operacional Plano de Recuperao de Disastre Plano de Retorno Normalidade Plano de Testes e Validaes

Plano de Administrao de Crise

Contempla o funcionamento das equipes antes, durante e depois da ocorrncia de qualquer evento que possa afetar a continuidade dos processos crticos da Organizao. Depois da ocorrncia de um evento, a equipe de gesto de crises deve decidir pela ativao do plano adequado ou aguardar resoluo do incidente. Esta deciso deve ser baseada em critrios relevantes, como tipo do incidente, conseqncias para o usurio final, tempo estimado para resoluo do incidente, ativao do plano e retomada dos negcios. Pode-se definir um evento de crise como sendo um acontecimento, acidente, ataque, perturbao grave, decisiva, anormal e/ou perigosa que pode afetar processos normais das unidades de negcio e prejudicar a viabilidade da empresa. Os eventos so avaliados por probabilidade de ocorrncia e seus impactos em pessoas, na propriedade e no negcio.

225

Pode-se classificar o evento de crise em: Incidente: qualquer evento, de natureza interna ou externa corporao. Pode ou no representar uma ameaa para a empresa. Ameaa: incidente que representa grau de risco elevado para a operao normal dos negcios da empresa. Crise: ameaa concretizada.

Equipe de gesto de crises A equipe de gesto de crises efetiva deve ter participao de um representante da alta administrao, da gerencia de informtica e da gerencia de segurana da informao. Atribuies:

Receber primeiramente a informao de uma situao atpica; Analisar o evento e potenciais impactos; Comunicar lder da unidade sobre evento; Auxiliar lder da unidade na tomada de deciso; Entrar em contato com rgos pblicos de auxlio em emergncias; Divulgar orientaes sobre planos de contingncias; Acionar a rvores de comunicao interna; Mantr comunicao com demais reas para acompanhamento da evoluo do processo.

A equipe de gesto de crises corporativa responsvel pelo gerenciamento do processo atravs de uma perspectiva empresarial, atuando as seguintes atividades: Minimizar o impacto de uma crise, provendo continuidade na entrega de servios, produtos e recursos; Maximizar a reputao e a imagem da marca da organizao atravs da demonstrao de que a empresa possui a capacidade de gerir crises;

226

Sustentar a confiana na empresa para colaboradores, pblicos, mercado e clientes; Demonstrar eficincia e foco em um evento de crise perante a mdia, mercado, clientes e rgos de regulamentao.

Para

prevenir possveis eventos com potencial de provocar prejuzos

significativos a organizao, foi criada procedimentos e medidas com objetivo de minimizar impactos. Este plano tambm indica as aes que devem ser tomadas no momento do evento que venha a prejudicar a continuidade dos ativos e aplicaes da rea de Tecnologia da Informao. Neste documento so identificados os responsveis pela ativao dos Procedimentos de Contingncia e o Plano de Recuperao de Desastres, bem como todas as aes que sero executadas. Para executar o plano de gerenciamento logo que a crise desencadeada primeiramente devem-se acionar os gestores de contingncia e os gestores de crises. Nome e telefones do time de Gestores
Nome Endereo Telefone Fixo 38281234 /37772343 38281235 /34444433 38281236/ 23443322 38281237 /21113444 Celular Funo

Alexandro

Rua Vergueiro, 210, AP 20

80110011

Gestor de contingncia I

Hugo Iida

Rua Vergueiro, 210, AP 30

80110012

Gestor de contingncia II

Jair Zepeda

Rua Vergueiro, 210, AP 40

80110013

Gerenciament o de crises I

Rodrigo

Rua Vergueiro, 210, AP 50

80110014

Gerenciament o de crises II

Tabela 25 - Nome e telefones do time de gestores

227

Procedimento para acionamento dos times de contingncia Evento parou o ambiente; Caso tenha inviabilizado a estrutura fsica, necessrio acionar a utilizao do backup site, atravs dos procedimentos descritos no item 3.xxx no plano de contingncia, comunicar os gestores de cada rea e transferir os colaboradores para o outro local; Caso seja problema de infra-estrutura ou aplicao, deve-se acionar o gerente responsvel atravs de e-mail e telefone; Os gestores de infra-estrutura ou aplicao, so responsveis em acionar as equipes responsveis atravs de e-mail e telefone.

228

Evento parou o ambiente

um Desastre?

No

Acionar Gesto de Crises

Infra-Estrutura ou aplicao?

Infra-Estrutura

Sim

Aplicao

Acionar Gesto de Contingncia

Acionar o gestor de crise responsvel por infra-estrutura.

Acionar o gestor de crise responsvel por aplicao.

Inviabilizou o a estrutura fsica?

No

Infra-Estrutura ou aplicao?

Acionar equipe responsvel pela recuperao dos ativos. Aplicao

Acionar equipe responsvel pela recuperao das aplicaes.

Sim

Infra-Estrutura

Acionar Backup Site

Verificar procedimentos no PCN.

Verificar procedimentos no PCN.

Comunicar os gestores de cada rea

Acionar equipe responsvel pela recuperao dos ativos.

Acionar equipe responsvel pela recuperao das aplicaes.

Transferir os colaboradores para o backup site.

Retornar as atividades

Figura 15 - Procedimento para acionamento dos times de contingncia

Procedimentos para Comunicao da Contingncia Interno Para comunicao da contingncia da estrutura fsica, necessrio entrar em contato por e-mail e por telefone com o gestor de cada rea (Departamento de Pessoas, Departamento de vendas, Departamento de Negcio), comunicando a preparao da equipe para ser transferida de local;

229

Para comunicao da contingncia de infra-estrutura e/ou aplicao, necessrio entrar em contato por e-mail e por telefone com o gestor de cada rea (Departamento Pessoal, Departamento de vendas, Departamento de Negcio), informando-os sobre a ocorrncia e o tempo de resoluo; Externo Para comunicao da contingncia da estrutura fsica, necessrio entrar em contato por telefone com a empresa Build Backup para iniciar o procedimento de transferncia de local. Deve-se entrar em contato com os clientes por telefone e inform-los sobre a indisponibilidade e razo: Empresa: Packets Marina Lima Contato: 3392-1122 Empresa: Uack Thas Oliveira Contato: 2331-4000 Empresa: Jorp Carolina Marques Contato: 2111-3000 Para comunicao da contingncia de infra-estrutura e/ou aplicao, necessrio entrar em contato por e-mail e por telefone com as empresas: Empresa: Packets Marina Lima Contato: 3392-1122 Empresa: Uack Thas Oliveira Contato: 2331-4000 Empresa: Jorp Carolina Marques Contato: 2111-3000 Inform-las sobre a indisponibilidade e o tempo de resoluo. Relao das ameaas e riscos considerados no plano

230

De acordo com a Tabela abaixo, podem-se analisar as possveis falhas, riscos e medidas de correo.
RISCO MEDIDA

Falha na energia eltrica

Na falta de energia eltrica os servidores so desligados automaticamente e ativado automaticamente o sistema de baterias do nobreak por um perodo de 2:30 horas de autonomia, se ultrapassar este perodo ser utilizado um outro conjunto de baterias por mais 4 horas. Este conjunto de baterias formado por baterias de caminho. No caso de a ocorrncia ser em feriados ou final de semana os vigilantes devem acionar a equipe de TI pelos telefones celulares.

Falha nas comunicaes

Na queda de comunicao de um dos links externos, ser ativado automaticamente o link reserva que se encontra na mesma sala de TI. Na possibilidade de queda do link reserva ser ativado o sistema de Dial-Backup que se encontra em outra sala. O problema deve ser informado a empresa Linksmart telefone (11) 2122-3222 responsvel pelos links da organizao. Em caso de princpio de incndio sero utilizados extintores que ficam do lado de fora da sala de TI e sero chamados os bombeiros ramal 6076.

Falha de incndio

Falha em equipamentos

Falhas ocorridas em servidores, equipamentos de energia e ativos de rede sero utilizados equipamentos reservas, mantidos em outra sala. Falhas em equipamentos de comunicao (roteadores, modens), sero acionado os servios de terceiros responsveis por tais equipamentos, conforme contrato de manuteno. Com o equipamento de backup em mos, o mesmo dever ser repassada para a equipe de infra-estrutura para configurao.

Tabela 26 - Riscos e medidas de correo Relao dos ambientes contemplados no plano Este plano aborda planos de contingncia e crises da rea de Tecnologia da Informao.

231

Na figura abaixo, esto listados as aplicaes, servidores e infra-estrutura dos ativos que so mais relevantes para empresa.

Figura 16 - Ativos relevantes da empresa

232

Relao dos times de contingncia e crises Com a finalidade de simplificar o contato com os times de contingncia e crises, foi relacionado de acordo com a figura da estrutura organizacional.

Gestores de Continuidade

Gestores de Crise

Alexandro

Hugo

Jair

Rodrigo

Build Backup

Infra-Estrutura

Aplicaes

Alexandro

Marcelo

Hugo

Figura 17 - Relao dos times de contingncia e crise

Ambientes e gestores Para fins desse plano de recuperao de desastres, estabelecem-se as aplicaes ordenadas por criticidade listadas abaixo: Sistema de faturamento Sistema de controle de processos jurdico Banco de dados Webmail

No caso da indisponibilizao do sistema de faturamento deve ser comunicados a parada do sistema aos administradores de redes I e II. Seguir procedimentos contidos no documento de Processos de recuperao, sendo que para execuo dos mesmos h um tempo limite de 5 minutos. Para retomada do sistema h um tempo mximo tolervel de 15 minutos. No caso da indisponibilizao do sistema de controle de processos jurdico,

233

devem ser comunicados a ausncia do sistema aos administradores de redes, e administrador de banco de dados/desenvolvedor de sistemas. Seguir procedimentos contidos no documento de Processos de recuperao, sendo que para execuo dos mesmos h um tempo limite de 5 minutos. Para retomada do sistema, h um tempo mximo tolervel de 10 minutos. No caso da indisponibilizao do banco de dados, devem ser comunicados ao administrador de banco de dados/desenvolvedor de sistemas e ao administrador de redes I. Seguir procedimentos contido no documento de Processos de recuperao, sendo que para execuo do s mesmos h um tempo limite de 5 minutos para execuo. Para retomada do sistema h um tempo mximo tolervel de 10 minutos. No caso da indisponibilidade do servidor de e-mail, devem ser comunicados aos administradores de redes. Seguir procedimentos contido no documento de Processos de recuperao, sendo que para execuo do s mesmos h um tempo limite de 5 minutos para execuo. Para retomada do sistema h um tempo mximo tolervel de 15 minutos. Apresentamos abaixo a matriz de responsabilidades da equipe:
Autoridade delegada Administrador de redes I Administrador de redes II Telefones de contato 3828-1234 / 3777-2343 3828-1235 / 3444-4433

Nome

Alexsandro

Hugo

Jair

Marcelo

Rodrigo

Responsabilidade Controle da Infraestrutura / Gestor de contingncia I Controle de aplicaes / Gestor de contingncia II Controle de procedimentos de contingncia / Gestor de crises I Controle de documentos do processo de contingncia Monitoramento e relatrio de contingncia / Gestor de crises II

Celular

8011-0011

8011-0012

Gerente de Segurana

3828-1236/ 2344-3322

8011-0013

Gerente de TI Administrador de banco de dados / Desenvolvedor de Sistemas

3828-1237 / 2111-3444

8011-0014

3828-1238 / 3122-6555

8011-0015

Tabela 27 - Responsabilidades da equipe

234

Recursos e procedimentos
No que diz respeito aos servidores, no caso da indisponibilidade de um dos componentes (memria, discos magnticos, unidades de fita), existir sempre um contingncia do mesmo, que dever ser solicitada ao Gerente de TI. Caso a indisponibilidade seja em relao a CPU/fonte do servidor, dever ser utilizado um servidor reserva (h 1 servidor reserva para cada 3) e em ltimo caso, solicitar ao Gerente de segurana que entre em contato com a empresa ProcServer atravs do telefone (11) 2345-7890 para solicitar um servidor temporrio. Os servidores da empresa so redundantes, pois em caso de falha de algum, o outro assume automaticamente no caso da perda de todos os servidores. Roteadores e links de comunicao Responsveis pela interligao externa da empresa. No caso de sua indisponibilidade, os mesmos devero estar assegurados por contrato de manuteno para o devido reparo e/ou substituio at que o problema seja sanado. No caso do link, h uma redundncia com a empresa Netlinks.

Plano de continuidade operacional

Objetivo O plano visa garantir que, em caso de indisponibilidade de um processo crtico, em funo de demasiada lentido ou perda de desempenho de algum componente do fluxo de processamento, seja ativado um processo alternativo, tambm chamado Plano B. Os processos mais crticos ao negcio da Candido Carvalho Vieira Associados esto contemplados no sistema ERP e por isso os servidores responsveis por esse sistema ( servidor de aplicao e servidor de Banco de Dados) devero ser os primeiros servidores a serem restabelecidos, na eventualidade de uma crise.

235

A tabela abaixo

contm os nomes e telefones dos responsveis pelo

restabelecimento desta aplicao:

Nome Alexandro Hugo Iida Telefone Fixo 3828-1234 /3777-2343 3828-1235 /3444-4433 Celular 8011-0011 8011-0012 Funo Estabelecer a execuo da PCO Apoio

A sequncia para o restabelecimento dos sistemas dever ser obedecido conforme a seguir: Ordem 1 Sistema de faturamento Atividade
Solicitar os servidores compatveis com os atualmente em produo no sistema Faturamento e o servidor compatvel com o atual servidor de backup Contatar os reponsveis backup e solicitar a recuperao das ltimas mdias Realizar os restore dos dados Realizar os testes de acesso a aplicao

Responsvel Operao de Redes

2 3 4 5 Ordem 1

Infra-estrutura Operao de Redes Operao de Redes Operao de Redes

Finalizar procedimento e preencher relatrio do PCO Sistema de controle de processos jurdico Atividade
Solicitar os servidores compatveis com os atualmente em produo no sistema de processos jurdico e o servidor compatvel com o atual servidor de backup Contatar os reponsveis backup e solicitar a recuperao das ltimas mdias Realizar os restore dos dados Realizar os testes de acesso a aplicao

Responsvel Operao de Redes

2 3 4 5

Infra-estrutura Operao de Redes Operao de Redes Operao de Redes

Finalizar procedimento e preencher relatrio do PCO

236

Ordem 1 2 3 4 5 Ordem 1

Webmail Atividade
Solicitar os servidores compatveis com os atualmente em produo no sistema ERP e o servidor compatvel com o atual servidor de backup Contatar os reponsveis backup e solicitar a recuperao das ltimas mdias Realizar os restore dos dados Realizar os testes de acesso a aplicao

Responsvel Operao de Redes Infra-estrutura Operao de Redes Operao de Redes Operao de Redes

Finalizar procedimento e preencher relatrio do PCO Banco de dados Atividade

Solicitar os servidores compatveis com os atualmente em produo no sistema banco de dados e o servidor compatvel com o atual servidor de backup Contatar os reponsveis backup e solicitar a recuperao das ltimas mdias Realizar os restore dos dados Realizar os testes de acesso a aplicao

Responsvel Operao de Redes

2 3 4 5

Infra-estrutura Operao de Redes Operao de Redes Operao de Redes

Finalizar procedimento e preencher relatrio do PCO

Ordem 1

ERP Atividade
Solicitar os servidores compatveis com os atualmente em produo no sistema ERP e o servidor compatvel com o atual servidor de backup Contatar os reponsveis backup e solicitar a recuperao das ltimas mdias Realizar os restore dos dados Realizar os testes de acesso a aplicao

Responsvel Operao de Redes

2 3 4 5

Infra-estrutura Operao de Redes Operao de Redes Operao de Redes

Finalizar procedimento e preencher relatrio do PCO

237

Aplicabilidade do plano Os procedimentos de contingncia desse documento so aplicveis quando o fluxo normal de processamento assolado por uma situao de anormalidade de causa desconhecida ou que requeira uma atuao prolongada em que se faz necessrio a interveno para evitar impactos ao negcio. Pode estar associada a contingncia local de componente de TI, sendo necessrio ativar o plano B enquanto o componente de TI reparado e/ou trocado, podendo ser necessrio tambm a ativao do plano de contingncia de local de CPD, caso este plano faa parte do PCN da linha de negcio. Acionamento da contingncia A contingncia de processos de negcio compreende processos crticos que pedem uma situao anormal, no esto funcionando adequadamente, requerendo que um processo manual, geralmente seja ativado para que no haja prejuzos operacionais e/ou financeiros.

Plano de Recuperao de Desastre

Na ocorrncia de uma crise, o lder da equipe de gesto de crises encarregado de determinar a extenso ou nvel do possvel dano e ir declarar desastre, se preciso. O lder ir executar as seguintes tarefas. Decidir pela ativao de DR aps consulta as reas de suporte Decidir quais planos sero ativados Notificar as partes pertinentes da declarao de desastre A tomada de deciso pela ativao do Plano de DR ou por solicitaes alternativas levar em conta os seguintes fatores: Componente com problema e importncia relativa no processo global; Prazo para retorno do componente versus tempo de ativao do plano DR; Riscos envolvidos.

238

Depois de disparado o processo de contingncia pelo lder da equipe de Gesto de Crises, os grupos de suporte devero reunir-se na central de contingncia para execuo dos procedimentos. Este documento tem o propsito de definir um plano de recuperao e restaurao das funcionalidades dos ativos afetados que suportam o sistema Candido Carvalho e Vieira Associados , a fim de restabelecer o ambiente e as condies originais de operao, no menor tempo possvel. Na tabela abaixo temos os responsveis por este PRD, que devero ser acionados pelo responsvel pelo Plano de Gerenciamento de Crises:
Nome Alexandro Hugo Iida Telefone Fixo 3828-1234 /3777-2343 3828-1235 /3444-4433 Celular 8011-0011 8011-0012 Funo Principal Substituto

Os ativos que fazem parte desse plano esto listados abaixo: Server BD Switch Router Link Embratel 10 Mbps

Server/BD/Switch/Router Ordem 1 2 3 4 5 6 Atividade Solicitar novo equipamento ao fornecedor, de acordo com o contrato de manuteno (System Support 0800 129 8700) Instalar novo equipamento no mesmo local no equipamento indisponvel Verificar qual elemento est indisponvel e recuperar seu ltimo backup vlido do sistema de backups Ativar o ltimo backup de configurao no novo equipamento Validar a instalao do novo equipamento Finalizar procedimento e preencher relatrio do PRD. Aguardar o momento de retorno do mesmo ao ambiente operacional Responsvel Operao de Redes Infra-estrutura Operao de Redes Operao de Redes Operao de Redes Operao de Redes

239

LINK-Embratel-10 Mbps Ordem 1 Atividade Entrar em contato com o provedor de servios solicitando o reparo do link (NET LINK 0800 785 2000) Aguardar contato da provedora sobre a reparao do servio e realizar testes para confirmar a disponibilidade do mesmo Finalizar procedimento e preencher relatrio do PRD. Aguardar o momento de retorno do mesmo ao ambiente operacional Responsvel Operao de Redes

Operao de Redes

Operao de Redes

Roteiro do plano
O plano de DR est estruturado em 8 fases distintas. A cada atividade dentro de uma fase est associado um responsvel, que dever zelar pela correta execuo das etapas e pela comunicao entre as reas envolvidas. Lder se refere ao coordenador do plano de gesto de crises. Equipe se refere as equipes envolvidas no DR, so responsveis pela execuo dos procedimentos das reas seguindo etapas abaixo: Etapa 1: Deciso pela ativao do plano Lder: tomada de deciso pela ativao do plano de DR, baseada nas informaes retornadas pelos gestores responsveis pelas diversas reas afetadas. Etapa 2: Disparo da Migrao Lder: aps deciso pela ativao do plano de DR, ser efetuada a notificao para todas as equipes para que possam iniciar os devidos procedimentos. Os superiores envolvidos tambm devero ser notificados. As equipes envolvidas no DR devero dirigir-se a central de contingncia para execuo dos

procedimentos.

240

Etapa 3: Procedimentos de Migrao Equipes: cada uma das equipes envolvidas no DR dever executar o seu respectivo procedimento, conforme requisio do lder do seu time ou por outra equipe. Etapa 4: Notificao de sucesso da migrao Equipe: aps a completa execuo do procedimento, dever ser notificada a entidade que o requisitou, seja ele o lder da equipe de gesto de crises ou de uma outra equipe envolvida no DR responsvel por um procedimento. Etapa 5: Disparo dos testes de funcionalidade Lder: aps o ciclo de procedimentos e notificaes, o lder da equipe de gesto de crises ir notificar casa responsvel por procedimento, para a execuo dos testes de funcionalidade. Etapa 6: Procedimentos de validao Equipe: execuo dos testes de funcionalidade do ambiente Etapa 7: Notificao de sucesso da validao Equipes: retorno da avaliao de funcionalidade Etapa 8: Liberao do ambiente Lder: liberao do ambiente para as reas usurios

241

Plano de Retorno Normalidade

No momento em que as reas responsveis pela operao identificarem a possibilidade de retorno ao site principal, dever ser feita a comunicao para os gestores que por sua vez devero informar a gerncia de segurana da informao o horrio de retorno da rea ao site principal. Para retorno ao site principal necessria apenas a interrupo do direcionamento das linhas telefnicas para o site de contingncia (somente nos casos em que tenha sido necessrio o direcionamento). Quanto as estaes de trabalho, no existe nenhum procedimento a ser executado, apenas o desligamento dos equipamentos por parte dos

colaboradores. Aps avaliao da extenso do desastre que causou a ativao do plano de Disaster Recovery a gerncia de segurana da informao em conjunto com as outras reas da empresa dever avaliar o tempo necessrio para tornar as instalaes da empresa novamente operacional. Em seguida ser iniciado o processo de remontagem dos ambientes de produo e preparao para o retorno a instalao principal da empresa. Esse retorno dever ser realizado preferencialmente em final de semana, embora possam existir casos especficos com possibilidade de retorno em horrios diferenciados. A deciso pelo retorno deve levar em conta fatores como disponibilidade total do site primrio, reflexo para o usurio final e tempo estimado para o retorno. Aps avaliaes e deciso pelo retorno ao ambiente de produo, o lder de gesto de crise dever anunciar as equipes envolvidas do DR, para preparem a migrao dos ambientes produtivos. O retorno para o site principal um processo to complexo quanto o Disaster Recovery, somente com a diferena que o retorno efetuado sob condies normais de funcionamento dos ambientes dos dois sites, com tempo para programao das atividades necessrias:

242

Retomadas da duplicao dos dados de site recovery para o site principal Aplicao dos boots nas mquinas Ativao dos produtos Ativao dos ambientes produtivos

Plano de Testes e Validao do PCN

A nica forma de validar o funcionamento do plano e confirmar sua eficincia por meio de testes. Testes parciais de componentes individuais devem ser feitos regularmente, com freqncia dependendo do componente em questo. Testes mais abrangentes, simulando um cenrio de desastre e compreendendo todos componentes devem ser executados a cada 12 meses. A periodicidade dos testes de recuperao de disastre deve ser anual ou aps alguma mudana significativa no ambiente de produo ou de contingncia da linha do negcio. Plano de contingncia de local de trabalho so realizados periodicamente com datas definidas entre a gerncia de segurana da informao e reas gestoras.

Testes de Funcionalidade
Os testes de funcionalidade tem por objetivo validar todos os recursos da linha de negcio que foram disponibilizados em contingncia. Se necessrio, devero ser executados em partes para que tornem vivel o teste completo da linha de negcio no final. Eles deve ser executados de acordo com o procedimento e planejamento definidos em documentos, a gerncia de segurana da informao deve acompanhar cada teste com estes documentos em mos verificando se a seqncia e o procedimento esto sendo executados corretamente. Qualquer execuo que no esteja no documento e que se fizer necessria na hora do teste dever ser informada ao analista responsvel da gerncia de segurana da informao e ele dever verificar a real necessidade tornando uma deciso (caso necessrio, em conjunto com o gerente) se dever ou no ser executada a nova

243

seqncia anotando e incluindo no procedimento e no planejamento o que foi executado. As datas devem ser marcadas de modo que os testes no afetem o ambiente de produo. Todos os envolvidos no projeto devero estar presentes, caso no seja possvel a presena de um determinado participante, este dever apresentar um substituto e informar os outros para uma rpida localizao em caso de necessidade. O Plano de Continuidade deve ser testado periodicamente a fim de garantir que sua informao seja recuperada dentro de um tempo mximo permitido.

Testes de desempenho
Os testes de desempenho devero seguir o mesmo procedimento do teste de funcionalidade, devendo ser executado de acordo com a necessidade de cada linha do negcio.

Relatrio dos resultados

O relatrio de resultados deve ser preenchido logo aps o trmino dos testes. Nele dever ser informado todo o histrico do teste como: Descrio do ambiente testado Cpia do e-mail de divulgao do resultado do teste Principais horrios das macro-atividades Atividades realizadas Problemas ocorridos durante o teste e a soluo acionada Relao dos participantes do teste Problemas ocorridos durante o teste e a soluo acionada Relao dos participantes do teste Evidencias do teste

244

Manuteno do plano
Mudanas que tenha ocorrido e que no estejam contempladas no plano de continuidade de negcios devem gerar atualizaes. Quando novos requisitos forem identificados, os procedimentos de emergncia relacionados devem ser ajustados de forma apropriada. Diversas situaes podem demandar

atualizaes no plano, tais como as mudanas: No parque ou ambiente computacional (ex. aquisies de equipamentos, atualizaes de sistemas operacionais, migrao de sistemas de grande porte para ambiente cliente-servidor); Administrativas, de pessoas envolvidas e responsabilidades; De estratgia de negcio; Na localizao e instalaes; Na legislao; Em prestadores de servio, fornecedores e clientes chave De processos (incluses e excluses) No risco (operacional e financeiro).

As atualizaes regulares do plano de contingncia so de importncia fundamental para alcanar a sua efetividade. Deve existir uma programao que especifique a forma de se proceder a manuteno do plano que deve ocorrer anualmente.

245

CAPITULO VII
O capitulo em epgrafe foi escrito pelo Security Office aps 12 meses da primeira anlise de riscos. O principal objetivo da reaplicao quantificar os resultados e identificar novas melhorias que devem ser reaplicadas para manter a reduo de riscos e vulnerabilidades.

7. ANLISE DE RISCO FINAL

A anlise de risco final se trata da reaplicao da metodologia determinada para a anlise de risco, um ano aps a aplicao da primeira anlise de risco. Esta anlise tem o intuito de comparar os dados da anlise de risco inicial, verificando todos os pontos de melhorias implementados, apresentando junto diretoria da empresa a reduo no ndice de riscos e vulnerabilidades. - a aplicao dos checklists de segurana lgica Utilizando-se da mesma metodologia inicial, a mesma foi aplicada no ambiente corporativo como parte da anlise de risco final.

# 1 2

Segurana Administrativa - Usurios Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Os usurios tem conhecimento sobre a utilizao dos equipamentos e sistemas de informtica? H controles para instalao de software pirata? H monitoramento na rede para identificar acessos no permitidos? Os recursos anti-malware esto configurados de modo que os usurios no possam desabilita-los? Os incidentes de segurana so comunicados pelos usurios? Utilizam criptografia em dispositivos removiveis?

Sim x x

No

Ameaa Vazamento de Informaes Vazamento de Informaes Acesso lgico no autorizado Vazamento de Informaes Violao de propriedade intelectual Vazamento de Informaes

Controle Implementado Divulgao das politicas de segurana aplicada no ambiente Politicas de segurana da informao (Normas Gerais para usurios) Politicas de segurana da informao (Normas Gerais para usurios)

5 6

x x

Politicas de segurana da informao (Normas Gerais para usurios) Projetos de correo de estrutura lgica

Vazamento de Informaes Falha em meios de comunicao Vazamento de Informaes

8 9

x x

246

# 1 2

Segurana Administrativa - Diretores e Gerentes Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utilizam criptografia em dispositivos removiveis?

Sim x

No

Ameaa Vazamento de informaes Vazamento de informaes Acesso lgico no autorizado Vazamento de informaes Vazamento de informaes

Controle Implementado Campanhas de Divulgao da Politica de Segurana

x x x x

3 4 5

Politicas de segurana da informao (Normas Gerais para usurios) Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica

# 1

Segurana Administrativa - Presidente O presidente participa de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utiliza criptografia em dispositivos removiveis? A empresa possui uma poltica de continuidade de negcios? Na empresa existe um gerenciamento institucionalizado para garantir conformidade com as leis? Ajuda na divulgao da segurana da informao? A segurana da informao considerada como um pr-requisito antes ou durante a estratgia de negcio e planejamento das atividades? A segurana da informao faz parte dos ciclos do negcio? Existe comite de segurana? Participa do comite de segurana?

Sim

No x

Ameaa Vazamento de informaes Acesso lgico no autorizado Vazamento de informaes

Controle Implementado

x x x x

2 3 4 5

Politicas de segurana da informao (Normas Gerais para usurios) Projetos de correo de estrutura lgica

Vazamento de informaes Indisponibilidade de servios ou informaes Multas, indenizaes ou sanes Plano de Continuidade dos Negcios

6 7

Vazamento de informaes

x Indisponibilidade de servios ou informaes x x x Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha em meios de comunicao

8 9 10 11

247

# 1 2 3 4 5 6 7 8 9 10 11 12

Segurana Fsica - Prdio Possui estabilizadores de tenso? Possui estabilizadores de tenso? Possui geradores de energia? Possui sistema para identificao de funcionrios e visitantes para acesso? Possui porteiro? Possui vigilncia? Possui extintores de incndio e sprinklers? Possui plano de abandono de rea em caso de desastres? Possui CFTV? Possui controle de acesso nos andares? Possui escada de emergncia? Possui portas e janelas antifogo?

Sim x x x x x x x x x x x x

No

Ameaa Indisponibilidade de servios ou informaes Dano a equipamentos ou instalaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Acesso fsico no autorizado Acesso fsico no autorizado Incndio Dano integridade fsica de pessoas Acesso fsico no autorizado Acesso fsico no autorizado Dano integridade fsica de pessoas Dano integridade fsica de pessoas

Controle Implementado Projetos de correo para estrutura fsica Projetos de correo para estrutura fsica Projetos de correo para estrutura fsica Projetos de correo para estrutura fsica Projetos de correo para estrutura fsica Projetos de correo para estrutura fsica

Poltica de Contingncia de Negcios Projetos de correo para estrutura fsica Projetos de correo para estrutura fsica Projetos de correo para estrutura fsica Projetos de correo para estrutura fsica

# 1 2 3 4 5 6

Segurana Fsica - Elevadores Possui cmera de vigilncia? Possui manuteno peridica? Possui telefone para comunicao com o porteiro em caso de emergncia? Possui controle de temperatura? Possui iluminao de emergncia? Possui geradores e estabilizador de tenso para caso de falta de energia?

Sim x x

No

Ameaa Acesso fsico no autorizado Indisponibilidade de servios ou informaes

Controle Implementado Projetos de correo para estrutura fsica

x x x x

Dano integridade fsica de pessoas Dano a equipamentos ou instalaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

# 1 2

Segurana Fsica - Ar Condicionado Possui manuteno peridica? Possui controle de temperatura?

Sim

No x

Ameaa Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

Controle Implementado

# 1 2 3 4

Segurana Fsica - Sala de Reunio Possui controle de acesso? Possui controle de utilizao? Possui acstica? Possui algum controle para a identificao dos participantes?

Sim x

No

Ameaa Acesso fsico no autorizado Acesso fsico no autorizado Vazamento de informaes Acesso fsico no autorizado

Controle Implementado Projetos de correo para estrutura fsica

x x x

Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica

248

# 1 2 3 4 5 6 7 8 9 10

Segurana Fsica - Sala de Servidores Possui controle de acesso? Possui controle de incndio apropriado? Possui controle de incndio apropriado? Possui controle de temperatura? Existe controle de umidade das sala? Existe controle de variaes de voltagem na rede eltrica? Possui monitorao CFTV? As filmagens so retidas por mais de 30 dias? Existe sistema de deteco de fumaa? Existe sistema para suprir o fornecimento de energia em caso de falhas por 48 horas? O cabos de dados e eltricos esto sob o piso falso? Existes canaletas separadas para cabos de dados e eltricos? Os racks possuem portas com fechaduras? Existe controle de quem solicita e utiliza as chaves dos racks? Existe controle de quem autorizado a pegar chaves dos racks? Existe controle de quem autorizado a pegar chaves dos racks? A chave de um rack pode abrir um outro rack? O cabeamento de dados e de voz est estruturado e identificado? O cabeamento de energia est estruturado e identificado? Existe controle para medir a utilizao de eltrica por rack? Existe procedimento de limpeza segura das sala? Existe processo para detectar racks que no foram fechados devidamente? Existem rotas de fugas em casos de incidentes? Existe sistema para emisso de aviso sonoro em caso de incidentes?

Sim x x x x x x

No

Ameaa Acesso fsico no autorizado Incndio Dano a integridade fsica de pessoas Extremo de temperatura ou umidade Extremo de temperatura ou umidade Dano a equipamentos ou instalaes Acesso fsico no autorizado Perda de rastreabilidade Incndio Indisponibilidade de servios ou informaes Dano a equipamentos ou instalaes Dano a equipamentos ou instalaes Acesso lgico no autorizado

Controle Implementado Projetos de correo para estrutura fsica Projetos de correo para estrutura fsica Projetos de correo para estrutura fsica

Projetos de correo para estrutura fsica

x x x x

Projetos de correo para estrutura fsica

11 12 13 14 15 16 17 18 19 20 21 22 23 24

x x x x x x x x x x x x x x

Acesso fsico no autorizado Acesso fsico no autorizado Perda de rastreabilidade Furto ou roubo de ativos Perda de rastreabilidade Perda de rastreabilidade Queda de performance ou falta de capacidade Dano a equipamentos ou instalaes Furto ou roubo de ativos Dano integridade fsica de pessoas Dano integridade fsica de pessoas Projetos de correo para estrutura fsica Projetos de correo para estrutura fsica Projetos de correo para estrutura fsica

249

# 1 2 3 4 5 6 7 8 9

Segurana Lgica - Servidor de Email Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela?

Sim x x x

No

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado

Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths Procedimentos para atualizao de Paths Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Politicas de segurana da informao (Normas Gerais para Tcnicos)

x x

Acesso lgico no autorizado Indisponibilidade de servios ou informaes Interceptao de dados no autorizada Ao de cdigo malicioso

Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes x x Acesso fsico no autorizado Vazamento de Informao Perda de rastreabilidade Indisponibilidade de servios ou informaes Queda de performance ou falta de capacidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Vazamento de Informao

10

Possui poltica de backup?

11 12 13

Possui poltica para utilizao e atualizao das mdias de backup? Possui fonte redundante? Possui fonte redundante?

x x x

14

Possui espelhamento de HDs?

15

Os equipamentos possuem manuteno?

Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos)

16

Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance?

17

18 19 20 21

x x

Projetos de correo de estrutura lgica

22

Existem monitoraes de performance?

23 24 25

Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado?

x x x

250

# 26 27 28

Segurana Lgica - Servidor de Email Possui Firewall instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Existe procedimento para contingncia documentado? O recurso de relay est desabilitado? Possui limite para o tamanho de caixa por usurio? Possui limite para o tamanho de arquivo a ser enviado? Possui limite para o tamanho de arquivo a ser recebido?

Sim x x x

No

Ameaa Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao Ao de cdigo malicioso

Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica

29

30 31

x x

Politica de continuidade de negcios Projetos de correo de estrutura lgica Politicas de segurana da informao (Normas para uso correio eletrnico) Politicas de segurana da informao (Normas para uso correio eletrnico) Politicas de segurana da informao (Normas para uso correio eletrnico)

32

33

34

# 1 2 3 4 5 6 7 8 9 10

Segurana Lgica - Servidor de Arquivos Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias de backup? Possui fonte redundante? Possui fonte redundante?

Sim x x x x x x x x x x

No

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Ao de cdigo malicioso Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica

11 12 13

x x x

Politicas de segurana da informao (Normas Gerais para Tcnicos)

14

Possui espelhamento de HDs?

Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Politicas de segurana da informao (Normas Gerais para Tcnicos)

15

Os equipamentos possuem manuteno?

251

# 16

Segurana Lgica - Servidor de Arquivos Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance?

Sim x

No

Ameaa Acesso fsico no autorizado Indisponibilidade de servios ou informaes

Controle Implementado

17

Politicas de segurana da informao (Normas Gerais para Tcnicos)

18 19 20 21

x x x x

Acesso fsico no autorizado Vazamento de Informao Perda de rastreabilidade Indisponibilidade de servios ou informaes Queda de performance ou falta de capacidade Ao de cdigo malicioso Indisponibilidade de servios ou informaes Ao de cdigo malicioso Vazamento de Informao Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao Indisponibilidade de servios ou informaes Projetos de correo de estrutura lgica

22 23 24 25 26 27 28 29 30 31

Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possui limite de espao por usurio configurado?

x x x x x x x x x x

Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica

# 1 2 3 4 5 6 7 8

Segurana Lgica - Servidor de Servio de Diretrio Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante?

Sim x x

No

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia

Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths Procedimentos para atualizao de Paths Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Politicas de segurana da informao (Normas Gerais para Tcnicos)

x x

x x

x x

9 10

x x

252

Segurana Lgica - Servidor de Servio de Diretrio Possui fonte redundante?

Sim x

No

Ameaa Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes

Controle Implementado

11

12

Possui espelhamento de HDs?

13

Os equipamentos possuem manuteno?

Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos)

14

Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias?

15

x 16 17 18 19 20 21 22 23 24 25 26 27 Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? x x x x x x x x

Acesso fsico no autorizado Vazamento de Informao Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Ao de cdigo malicioso Vazamento de Informao Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes

x x x x

Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica

Vazamento de Informao

# 1 2 3 4 5 6 7 8

Segurana Lgica - Servidor de DNS Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela?

Sim x x x x x x x

No

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada

Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths Procedimentos para atualizao de Paths

Projetos de correo de estrutura lgica

253

# 9

Segurana Lgica - Servidor de DNS Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante?

Sim x

No

Ameaa Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes

Controle Implementado

10 11 12

x x x

Politicas de segurana da informao (Normas Gerais para Tcnicos)

13

Possui espelhamento de HDs? x

14

Os equipamentos possuem manuteno?

Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos)

15

Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias?

16

x 17 18 19 20 21 22 23 24 25 26 27 Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? O servio DNS possui transferncia de zona restrita? O servio DNS possui recursividade habilitada? x x x x x x x x

Acesso fsico no autorizado Vazamento de Informao Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Ao de cdigo malicioso Vazamento de Informao Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Vazamento de informao Indisponibilidade de servios ou informaes

x x x

Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica

28 29 30

Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica

254

# 1 2 3 4 5 6 7 8 9

Segurana Lgica - Servidor de Banco de Dados Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante?

Sim x x x x x x x x x

No

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths Procedimentos para atualizao de Paths

Projetos de correo de estrutura lgica

10 11 12

x x x

Politicas de segurana da informao (Normas Gerais para Tcnicos)

Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos)

13

Possui espelhamento de HDs?

14

Os equipamentos possuem manuteno?

15

Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall?

16

17 18 19 20 21 22 23 24 25

x x x x x x x x x

Acesso fsico no autorizado Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao

Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica

255

# 26 27

Segurana Lgica - Servidor de Banco de Dados Existem mais que 1 usurio para administratar o banco de dados? O usurio do servio de Banco de Dados possui poltica de senha?

Sim x x

No

Ameaa Acesso lgico no autorizado Acesso lgico no autorizado

Controle Implementado

Projetos de correo de estrutura lgica

# 1 2 3 4 5 6 7 8 9

Segurana Lgica - Servidor Web Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante?

Sim x x x x x x x x x

No

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths Procedimentos para atualizao de Paths

Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Politicas de segurana da informao (Normas Gerais para Tcnicos)

10 11 12

x x x

Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos)

13

Possui espelhamento de HDs?

14

Os equipamentos possuem manuteno?

15

Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado?

16

17 18 19 20 21

x x x x x

Acesso fsico no autorizado Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Politicas de segurana da informao (Normas Gerais para Tcnicos)

22

Possui Firewall pessoal instalado?

256

# 23

Segurana Lgica - Servidor Web Possui Firewall instalado?

Sim x

No

Ameaa Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao

Controle Implementado Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos)

24

Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? O servio IIS possui recurso Front Page extensions desabilitado? O servio IIS possui banner desabilitado? O servio IIS possui recurso webdav desabilitado?

25 26 27 28

x x x x

# 1 2 3 4 5 6 7 8 9

Segurana Lgica - Servidor ERP Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante?

Sim x x x x x x x x x

No

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths Procedimentos para atualizao de Paths

Procedimentos para atualizao de Paths

10 11 12

x x x

Politicas de segurana da informao (Normas Gerais para Tcnicos)

Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos)

13

Possui espelhamento de HDs?

14

Os equipamentos possuem manuteno? x

15

Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias?

16

x 17 18 Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? x x

Acesso fsico no autorizado Perda de rastreabilidade

257

# 19 20 21 22 23 24 25

Segurana Lgica - Servidor ERP Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall?

Sim

No x

x x x x x x

Ameaa Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao

Controle Implementado

Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica

# 1 2 3 4 5 6 7 8 9

Segurana Lgica - Servidor Citrix Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup?

Sim x x x

No

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado

Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths Procedimentos para atualizao de Paths Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica

x x x x x

x 10 Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? x 12 13 Possui fonte redundante? Possui espelhamento de HDs? x 14 Os equipamentos possuem manuteno? x x x

Politicas de segurana da informao (Normas Gerais para Tcnicos)

11

Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos)

15

Existem locais adequados para os servidores? x Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup?

16

Indisponibilidade de servios ou informaes x Acesso fsico no autorizado

17

258

# 18 19 20 21 22 23 24 25

Segurana Lgica - Servidor Citrix Existem coleta e controle dos logs? Existem monitoraes de performance?

Sim

No x

x Possui antivirus instalado? Possui IDS/IPS instalado? x Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? x x x x

Ameaa Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes

Controle Implementado

Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica

Vazamento de Informao

# 1 2 3 4

Segurana Lgica - Estao de Trabalho Possui poltica de senha? Possui alguma poltica de senha?

Sim x x x x

No

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Indisponibilidade de servios ou informaes Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Vazamento de Informaes Vazamento de Informaes Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes

Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths

Possui poltica de log?

Possui poltica de atualizao de patches? 5 6 7 Possui modem? 8 9 10 Os equipamentos possuem manuteno? 11 12 Possui IDS/IPS instalado? 13 Possui Firewall pessoal instalado? 14 15 Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possuem poltica de utilizao dos equipamentos? x x x Possui antivirus instalado? x x Possui USB habilitado? Possui CDROM habilitado? x x x Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? x x

Projetos de correo de estrutura lgica

Politicas de segurana da informao (Normas Gerais para Tcnicos)

Politicas de segurana da informao (Normas Gerais para Tcnicos)

259

# 1 2 3 4 5 6 7 8 9 10 11 12 13

Segurana Lgica - Notebook Possui poltica de senha configurada? Possui alguma poltica de senha?

Sim x x x x x x x x x x x x x

No

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Vazamento de Informaes Vazamento de Informaes Interceptao de dados no autorizada Ao de cdigo malicioso Vazamento de Informaes Acesso no autorizado Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao Indisponibilidade de servios ou informaes

Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths Procedimentos para atualizao de Paths Projetos de correo de estrutura lgica

Possui poltica de contas? Possui poltica de log configurada? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela? Possui USB desabilitado? Possui CDROM desabilitado? Possui controles para que a configurao e instalao no seja padro? Possui modem desinstalado? Possui criptografia de disco interno? Possui senha de BIOS configurada?

Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Politicas de segurana da informao (Normas Gerais para Tcnicos)

14 Os equipamentos possuem manuteno? 15 16 Possui IDS/IPS instalado? 17 18 19 20 Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possuem poltica de utilizao dos equipamentos? Possui antivirus instalado?

x x x x

Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica

x x

21

Politicas de segurana da informao (Normas Gerais para Tcnicos)

# 1 2 3 4 5 6

Segurana Lgica - Switch Possui alguma poltica de senha? Possui alguma poltica de senha?

Sim x x

No

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado

Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths Procedimentos para atualizao de Paths

Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana?

x x

x x

260

Segurana Lgica - Switch 7 8 9 Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Possui controle para que no seja utilizado usurios padres?

Sim x x

No

Ameaa Interceptao de dados no autorizada Acesso lgico no autorizado Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

Controle Implementado

Projetos de correo de estrutura lgica

10 Possui fonte redundante? 11 Possui porta console desabilitada para administrao? x

12 Os equipamentos possuem manuteno? 13 14 Existem monitoraes de segurana? 15 16 Existem monitoraes de performance? 17 Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Possui o servio HTTP para administrao desabilitado? x x Existem coleta e controle dos logs? x x Existem locais adequados para armazenar os switches? x x

Politicas de segurana da informao (Normas Gerais para Tcnicos)

Acesso fsico no autorizado Indisponibilidade de servios ou informaes Perda de rastreabilidade Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

Projetos de correo de estrutura lgica

x x

Politicas de segurana da informao (Normas Gerais para Tcnicos)

18 19 20

Acesso fsico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso lgico no autorizado Acesso lgico no autorizado

Possui o servio SNMPdesabilitado? 21 Possui o servio DHCP habilitado? 22 Possui o servio DNS desabilitado? 23 24 Possui suporte tecnologia 802.1x? A funcionalidade 802.1x est desabilitada?

x x x

Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica

# 1 2 3 4 5 6 7

Segurana Lgica - Roteador Possui alguma poltica de senha? Possui alguma poltica de senha?

Sim x x x x

No

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada

Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths Procedimentos para atualizao de Paths

Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro?

x x x

261

Segurana Lgica - Roteador 8 9 Possui usurios padres? 10 11 12 Possui fonte redundante? Possui porta console desabilitada para administrao? Possui porta auxiliar desabilitado? Possui restrio de acesso console de administrao?

Sim x

No

x x x

Ameaa Acesso lgico no autorizado Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Acesso fsico no autorizado Indisponibilidade de servios ou informaes Acesso fsico no autorizado

Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica

Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos)

13 O equipamento possui manuteno? 14 Existem locais adequados para armazenar o roteador? x

x Indisponibilidade de servios ou informaes Perda de rastreabilidade Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes x x Acesso fsico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

15 Existem monitoraes de segurana? 16 17 Existem monitoraes de performance? 18 Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Possui o servio HTTP para administrao desabilitado? x Existem coleta e controle dos logs? x x

Projetos de correo de estrutura lgica

Politicas de segurana da informao (Normas Gerais para Tcnicos)

19 20 21

Possui o servio SNMP desabilitado? 22 Possui o servio DHCP desabilitado? 23 Possui o servio DNS desabilitado? 24 Existe equipamento de backup?

Projetos de correo de estrutura lgica

# 1 2 3 4 5 6 7

Segurana Lgica - Servidor de Impresso Possui alguma poltica de senha? Possui alguma poltica de senha?

Sim x x x x

No

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada

Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths Procedimentos para atualizao de Paths Projetos de correo de estrutura lgica

Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro?

x x x

262

# 8 9

Segurana Lgica - Servidor de Impresso Possui restrio de acesso console de administrao?

Sim x

No

Os equipamentos possuem manuteno? 10 11 Existem monitoraes de segurana? 12 13 Existem monitoraes de performance? 14 Possui o servio SNMP desabilitado? Existem coleta e controle dos logs? Existem locais adequados para armazenamento das impressoras?

x x

x x

Ameaa Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Perda de rastreabilidade Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

Controle Implementado Projetos de correo de estrutura lgica

Projetos de correo de estrutura lgica

# 1 2 3 4 5

Segurana Lgica - Smartphone Possui poltica de senha? Possui alguma poltica de senha?

Sim x x x x

No

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Interceptao de dados no autorizada Interceptao de dados no autorizada Vazamento de Informaes Acesso lgico no autorizado Indisponibilidade de servios ou informaes Perda de Rastreabilidade Indisponibilidade de servios ou informaes Interceptao de dados no autorizada

Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths

Possui poltica de contas? Possui poltica de log?

Possui poltica de atualizao de patches? 6 7 8 9 Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui criptografia dados? Possui senha de acesso ao dispositivo?

x x x x x

Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica

10 11 12 Possui o servio Bluetooth desabilitado? 13 Possui o servio Infrared desabilitado? x x Os equipamentos possuem manuteno? Os equipamentos possuem controle de patrimnio? x x

Politicas de segurana da informao (Normas Gerais para Tcnicos)

263

# 1 2

Segurana Lgica - Firewall Existe controle de acesso onde est instalado o firewall?

Sim x

No

Ameaa Acesso fsico no autorizado Indisponibilidade de servios ou informaes Perda de rastreabilidade Perda de rastreabilidade Perda de rastreabilidade Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Erros ou omisses Ao de cdigo malicioso Ao de cdigo malicioso

Controle Implementado Projetos de correo de estrutura fisica Procedimentos para atualizao de Paths Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Politicas de segurana da informao (Normas Gerais para Tcnicos)

Os "updates" e "patches" esto atualizados? 3 4 5 A auditoria do firewall est habilitada? Os logs do equipamento so gravados em um servidor de log? realizado o acompanhamento dos logs do firewall para identificar tentativas de ataques? O firewall recebe uma manuteno peridica?

x x x

7 Existe firewall reserva em caso de quebra ? 8 9 10 11 12 13 14 15 16 Existe documentao de como o firewall est configurado? O firewall possui antivirus instalado? O antivirus atualizado regularmente? Existe uma poltica de verificao peridica das polticas configuradas? feito backup das configuraes do equipamento cada vez que so feitas alteraes no mesmo? Existem IDS's na rede antes ou depois do firewall? O acesso ao firewall feito atravs do protocolo SSH? A senha de acesso ao firewall possue no minimo 8 caracteres? A senha trocada periodicamente? O acesso ao equipamento de acesso exclusivo aos administradores da rede? (Nenhum estagirio, tcnico ou desenvolvedor tem acesso) Portas no utilizadas so bloqueadas por default? Protocolos no utilizados so bloqueados por default? Existe configurao de "logout" automtico? As regras de acesso so as mais especficas possveis? Existe logs de sucesso para as regras de acesso? Existe logs de falha para as regras de acesso? Possui mecanismo de proteo contra IP spoofing? Possui mecansmo de proteo contra ataques do tipo ICMP? Possui mecanismo de proteo contra ataques do tipo Teardrop? x x x x x x x x x

Erros ou omisses Erros ou omisses

x x Acesso lgico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado Projetos de correo de estrutura lgica

17

x x x x x x x

18 19 20 21 22 23 24 25

Acesso fsico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado Perda de rastreabilidade Perda de rastreabilidade Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica

Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica

26

27 O equipamento possui fontes redundantes? x

264

# 28

Segurana Lgica - Firewall O equipamento possui contrato de manuteno? Existe acompanhamento peridico da utilizao de recursos (capacidade) do equipamento?

Sim

No

Ameaa Indisponibilidade de servios ou informaes Queda de performance ou falta de capacidade

Controle Implementado

29

Politicas de segurana da informao (Normas Gerais para Tcnicos)

Tabela 28 - Analise de riscos final

Clculo de Risco
Utilizando-se da mesma metodologia da anlise de riscos inicial, foi calculado novamente o risco encontrado no cenrio do ambiente atual.

# 1 2 3 4 5 6 7 8 9

Segurana Administrativa - Usurios Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Os usurios tem conhecimento sobre a utilizao dos equipamentos e sistemas de informtica? H controles para instalao de software pirata? H monitoramento na rede para identificar acessos no permitidos? Os recursos anti-malware esto configurados de modo que os usurios no possam desabilita-los? Os incidentes de segurana so comunicados pelos usurios? Utilizam criptografia em dispositivos removiveis?

Sim x x x x x x

No

Ameaa Vazamento de Informaes Vazamento de Informaes Acesso lgico no autorizado Vazamento de Informaes Violao de propriedade intelectual Vazamento de Informaes

VA 4 4 4 4 4 4 4 4 4

PA 5 5 5 5 5 5 5 4 5

PV 5 5 5 5 5 5 3 4 4

S 5 5 5 5 5 5 4 5 4

Risco

x x x

Vazamento de Informaes Falha em meios de comunicao Vazamento de Informaes

240 320 320 880

Total Segurana Administrativa - Diretores e Gerentes Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utilizam criptografia em dispositivos removiveis? x x x

# 1 2 3 4 5

Sim x

No

Ameaa Vazamento de informaes Vazamento de informaes Acesso lgico no autorizado Vazamento de informaes Vazamento de informaes

VA 5 5 5 5 5

PA 5 5 5 5 5

PV 5 5 5 5 5

S 5 5 5 5 5

Risco

625

Total

625

265

# 1

2 3 4 5

Segurana Administrativa - Presidente O presidente participa de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utiliza criptografia em dispositivos removiveis? A empresa possui uma poltica de continuidade de negcios? Na empresa existe um gerenciamento institucionalizado para garantir conformidade com as leis? Ajuda na divulgao da segurana da informao? A segurana da informao considerada como um pr-requisito antes ou durante a estratgia de negcio e planejamento das atividades? A segurana da informao faz parte dos ciclos do negcio? Existe comite de segurana? Participa do comite de segurana?

Sim

No x

Ameaa Vazamento de informaes Acesso lgico no autorizado Vazamento de informaes Vazamento de informaes Indisponibilidade de servios ou informaes Multas, indenizaes ou sanes Vazamento de informaes

VA 5

PA 5

PV 4

S 4

Risco 400

x x x x

5 5 5 5

5 5 5 5

4 4 5 5

5 5 4 5 500

6 7

x x

5 5

3 5

5 5

5 5 625

8 9 10 11

x x x x

Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha em meios de comunicao

5 5 5 5

5 5 5 4 Total

4 3 4 4

4 3 4 5

400 225 400 400 2950

# 1 2 3

Segurana Fsica - Prdio Possui estabilizadores de tenso? Possui estabilizadores de tenso? Possui geradores de energia? Possui sistema para identificao de funcionrios e visitantes para acesso? Possui porteiro? Possui vigilncia? Possui extintores de incndio e sprinklers? Possui plano de abandono de rea em caso de desastres? Possui CFTV? Possui controle de acesso nos andares? Possui escada de emergncia? Possui portas e janelas antifogo?

Sim x x x

No

Ameaa Indisponibilidade de servios ou informaes Dano a equipamentos ou instalaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Acesso fsico no autorizado Acesso fsico no autorizado Incndio Dano integridade fsica de pessoas Acesso fsico no autorizado Acesso fsico no autorizado Dano integridade fsica de pessoas Dano integridade fsica de pessoas

VA 4 4 4

PA 5 4 5

PV 1 1 2

S 5 5 5

Risco

5 6 7 8 9 10 11 12

x x x x x x x x

4 4 4 4 4 4 4 4 Total

5 5 5 5 5 5 5 5

2 2 2 2

5 5 5 5 4

5 2 2

5 4 5 0

266

# 1 2

Segurana Fsica - Elevadores Possui cmera de vigilncia? Possui manuteno peridica? Possui telefone para comunicao com o porteiro em caso de emergncia? Possui controle de temperatura? Possui iluminao de emergncia? Possui geradores e estabilizador de tenso para caso de falta de energia?

Sim x x

No

Ameaa Acesso fsico no autorizado Indisponibilidade de servios ou informaes

VA 3 3

PA 5 5

PV 5 3

S 5 5

Risco

Dano integridade fsica de pessoas Dano a equipamentos ou instalaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

135

4 5

x x

3 3

4 5

4 2

4 3

192

3 Total

150 477

# 1

Segurana Fsica - Ar Condicionado Possui manuteno peridica?

Sim

No x

Ameaa Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

VA 3

PA 5

PV 1

S 5

Risco 75

Possui controle de temperatura?

3 Total

5 75

# 1 2 3 4

Segurana Fsica - Sala de Reunio Possui controle de acesso? Possui controle de utilizao? Possui acstica? Possui algum controle para a identificao dos participantes?

Sim x

No

Ameaa Acesso fsico no autorizado Acesso fsico no autorizado Vazamento de informaes Acesso fsico no autorizado

VA 3 3 3 3 Total

PA 5 5 5 5

PV 5 5 4 5

S 5 5 5 5

Risco

x x x

375

375

# 1 2 3 4

Segurana Fsica - Sala de Servidores Possui controle de acesso? Possui controle de incndio apropriado? Possui controle de incndio apropriado? Possui controle de temperatura?

Sim x x x x

No

Ameaa Acesso fsico no autorizado Incndio Dano a integridade fsica de pessoas Extremo de temperatura ou umidade Extremo de temperatura ou umidade Dano a equipamentos ou instalaes Acesso fsico no autorizado Perda de rastreabilidade Incndio

VA 5 5 5 5

PA 5 5 4 3

PV 5 5 5 5

S 5 5 5 4

Risco

5 6 7 8 9

Existe controle de umidade das sala? Existe controle de variaes de voltagem na rede eltrica? Possui monitorao CFTV? As filmagens so retidas por mais de 30 dias? Existe sistema de deteco de fumaa?

x x x x x

5 5 5 5 5

3 4 5 3 5

4 5 4 4 4

4 5 4 4 5 400 240

267

# 10

Segurana Fsica - Sala de Servidores Existe sistema para suprir o fornecimento de energia em caso de falhas por 48 horas? O cabos de dados e eltricos esto sob o piso falso? Existes canaletas separadas para cabos de dados e eltricos? Os racks possuem portas com fechaduras? Existe controle de quem solicita e utiliza as chaves dos racks? Existe controle de quem autorizado a pegar chaves dos racks? Existe controle de quem autorizado a pegar chaves dos racks? A chave de um rack pode abrir um outro rack? O cabeamento de dados e de voz est estruturado e identificado? O cabeamento de energia est estruturado e identificado? Existe controle para medir a utilizao de eltrica por rack? Existe procedimento de limpeza segura das sala? Existe processo para detectar racks que no foram fechados devidamente? Existem rotas de fugas em casos de incidentes? Existe sistema para emisso de aviso sonoro em caso de incidentes?

Sim x

No

Ameaa Indisponibilidade de servios ou informaes Dano a equipamentos ou instalaes Dano a equipamentos ou instalaes Acesso lgico no autorizado

VA 5

PA 5

PV 4

S 4

Risco

11 12 13 14 15 16 17 18 19 20 21

x x x x x x x x x x x

5 5 5 5 5 5 5 5 5 5 5

4 4 5 5 5 3 5 3 3 3 4

4 4 5 4 4 4 4 4 4 3 4

5 4 4 4 4 4 4 4 4 5 4 320 400 400 240

Acesso fsico no autorizado Acesso fsico no autorizado Perda de rastreabilidade Furto ou roubo de ativos Perda de rastreabilidade Perda de rastreabilidade Queda de performance ou falta de capacidade Dano a equipamentos ou instalaes Furto ou roubo de ativos Dano integridade fsica de pessoas Dano integridade fsica de pessoas

22

23

24

5 Total

5 2000

268

# 1 2 3 4 5 6 7 8 9

Segurana Lgica - Servidor de Email Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela?

Sim x x x

No

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado

VA 5 5 5 5 5 5 5 5 5

PA 5 4 5 5 5 5 4 3 4

PV 3 4 2 3 3 3 3 4 3

S 3 2 3 4 4 4 5 3 3

Risco

x x

Acesso lgico no autorizado Indisponibilidade de servios ou informaes Interceptao de dados no autorizada Ao de cdigo malicioso

Interceptao de dados no autorizada

10

Possui poltica de backup?

Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes x x Acesso fsico no autorizado Vazamento de Informao Perda de rastreabilidade Indisponibilidade de servios ou informaes Queda de performance ou falta de capacidade x x x Indisponibilidade de servios ou informaes Ao de cdigo malicioso Vazamento de Informao Acesso lgico no autorizado Vazamento de Informao

11 12 13

Possui poltica para utilizao e atualizao das mdias de backup? Possui fonte redundante? Possui fonte redundante?

x x x

5 5 5

5 5 5

3 3 3

4 4 4

14

Possui espelhamento de HDs?

15

Os equipamentos possuem manuteno?

16

Existem locais adequados para os servidores?

17

Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Existem monitoraes de performance? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall instalado? Possui Firewall instalado?

18 19 20 21 22 23 24 25 26 27

5 5 5 5 5 5 5 5 5 5

5 5 3 5 3 5 3 5 5 5

3 4 3 3 3 3 4 5 4 4

3 3 4 4 3 3 4 3 3 5

225 300

x x x

225 240 375

x x

269

# 28 29 30 31

Segurana Lgica - Servidor de Email Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Existe procedimento para contingncia documentado? O recurso de relay est desabilitado?

Sim x

No

Ameaa Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Vazamento de Informao Indisponibilidade de servios ou informaes

VA 5 5 5 5

PA 5 5 5 5

PV 4 3 2 3

S 3 4 3 3

Risco

x x x

300

32

Possui limite para o tamanho de caixa por usurio?

33

Possui limite para o tamanho de arquivo a ser enviado? Possui limite para o tamanho de arquivo a ser recebido?

Vazamento de Informao

34

Ao de cdigo malicioso

3 1665 S 4 3 4 3 3 4 5 3 4 4 Risco

Total # 1 2 3 4 5 6 7 8 9 10 Segurana Lgica - Servidor de Arquivos Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias de backup? Possui fonte redundante? Possui fonte redundante? Sim x x x x x x x x x x No Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Ao de cdigo malicioso Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes x x Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes VA 4 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 5 4 3 4 5 PV 3 4 3 3 3 3 3 4 2 3

11 12 13

4 4 4

5 5 5

3 4 3

4 3 4 240 240

14

Possui espelhamento de HDs?

180

15

Os equipamentos possuem manuteno?

16

Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias de backup?

17

270

# 18 19 20 21 22 23 24 25 26 27 28 29 30 31

Segurana Lgica - Servidor de Arquivos Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possui limite de espao por usurio configurado?

Sim

No x x

Ameaa Acesso fsico no autorizado Vazamento de Informao Perda de rastreabilidade Indisponibilidade de servios ou informaes Queda de performance ou falta de capacidade Ao de cdigo malicioso Indisponibilidade de servios ou informaes Ao de cdigo malicioso Vazamento de Informao Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes

VA 4 4 4 4 4 4 4 4 4 4 4 4 4 4

PA 5 5 3 5 3 3 5 3 5 5 5 5 5 5

PV 3 4 3 3 3 3 4 4 5 4 4 4 3 2

S 4 4 3 3 3 5 4 4 4 4 4 4 3 3

Risco 240 320

x x x x x x x x x x x x

320 192 400

Vazamento de Informao Indisponibilidade de servios ou informaes

180 120 2432

Total Segurana Lgica - Servidor de Servio de Diretrio Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante? x x x

# 1 2 3 4 5 6 7 8

Sim x x

No

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

VA 5 5 5 5 5 5 5 5

PA 5 4 5 5 5 5 4 5

PV 3 4 3 3 4 3 3 4

S 4 3 4 3 4 4 3 4

Risco

x x x x

x x

9 10 11

5 5 4

5 5 5

3 4 3

4 3 4

12

Possui espelhamento de HDs?

13

Os equipamentos possuem manuteno?

271

# 14

Segurana Lgica - Servidor de Servio de Diretrio Existem locais adequados para os servidores?

Sim x

No

Ameaa Acesso fsico no autorizado Indisponibilidade de servios ou informaes

VA 5

PA 5

PV 4

S 3

Risco

15

Existe local adequado para armazenamento das mdias? x Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? x x x x x x x x x x x x

16 17 18 19 20 21 22 23 24 25 26 27

Acesso fsico no autorizado Vazamento de Informao Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Ao de cdigo malicioso Vazamento de Informao Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao

5 5 5 5 5 5 5 5 5 5 5 5

5 5 3 5 3 5 3 5 5 5 5 5 Total

3 4 3 4 3 4 4 5 3 4 4 3

3 3 3 4 4 3 4 4 4 5 4 4

225 300 135 400

300 240 500

300 2400

# 1 2 3 4 5 6 7 8 9

Segurana Lgica - Servidor de DNS Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante?

Sim x x x x x x x

No

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

VA 4 4 4 4 4 4 4 4 4

PA 5 4 5 5 5 5 4 4 5

PV 3 4 2 2 4 3 3 4 5

S 3 4 3 3 5 4 4 3 3

Risco

x x

10 11 12

4 4 4

5 5 5

3 3 3

3 3 4

x x x

Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

13

Possui espelhamento de HDs?

272

# 14

Segurana Lgica - Servidor de DNS Os equipamentos possuem manuteno?

Sim x

No

Ameaa Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes

VA 4

PA 5

PV 3

S 4

Risco

15

Existem locais adequados para os servidores?

16

Existe local adequado para armazenamento das mdias? x Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? O servio DNS possui transferncia de zona restrita? O servio DNS possui recursividade habilitada? x x x x x x x x x x x x x x

17 18 19 20 21 22 23 24 25 26 27 28 29 30

Acesso fsico no autorizado Vazamento de Informao Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Ao de cdigo malicioso Vazamento de Informao Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Vazamento de informao Indisponibilidade de servios ou informaes

4 4 4 4 4 4 4 4 4 4 4 4 4 4

5 5 3 5 3 5 3 5 5 5 5 5 5 5 Total

3 3 3 3 3 4 3 4 4 4 4 3 4 3

2 4 4 3 4 5 4 4 5 5 4 4 4 4

120 240 144 180

400 144 320

240

1788 S 4 4 4 3 4 4 4 3 4 Risco

# 1 2 3 4 5 6 7 8 9

Segurana Lgica - Servidor de Banco de Dados Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante?

Sim x x x x x x x x x

No

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

VA 5 5 5 5 5 5 5 5 5

PA 5 4 5 5 5 5 4 4 5

PV 3 4 3 3 2 3 3 3 4

10 11

x x

5 5

5 5

3 2

3 3 150

Falha de Energia

273

# 12

Segurana Lgica - Servidor de Banco de Dados Possui fonte redundante?

Sim

No x

Ameaa Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes

VA 4

PA 5

PV 3

S 4

Risco 240

13

Possui espelhamento de HDs?

225

14

Os equipamentos possuem manuteno?

15

Existem locais adequados para os servidores?

16

Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Existem mais que 1 usurio para administratar o banco de dados? O usurio do servio de Banco de Dados possui poltica de senha?

17 18 19 20 21 22 23 24 25 26 27

x x x x x x x x x x x

Acesso fsico no autorizado Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao Acesso lgico no autorizado Acesso lgico no autorizado

5 5 5 5 5 5 5 5 5 5 5

5 3 5 3 5 5 5 5 5 5 5 Total

3 3 3 3 3 3 4 4 4 3 3

3 4 3 4 2 4 5 4 4 4 4

225 180 225

150

400

1795 S 4 4 3 3 4 4 4 3 2 Risco

# 1 2 3 4 5 6 7 8 9

Segurana Lgica - Servidor Web Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? x x x x x x x x x

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes x Falha de Energia

VA 4 4 4 4 4 4 4 4 4

PA 5 4 5 5 5 5 4 4 5

PV 4 5 5 5 5 3 3 2 3

10 11

4 4

5 5

3 3

3 3 180

274

# 12

Segurana Lgica - Servidor Web Possui fonte redundante? x

Ameaa Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes x x x x x Acesso fsico no autorizado Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

VA 4

PA 5

PV 3

S 4

Risco 240

13

Possui espelhamento de HDs?

180

14

Os equipamentos possuem manuteno?

15

Existem locais adequados para os servidores?

16

Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado?

17 18 19 20 21

4 4 4 4 4

5 3 5 3 5

3 2 3 3 5

3 2 3 3 3

180 48 180

300

22

Possui Firewall pessoal instalado?

23

Possui Firewall instalado?

Vazamento de Informao

24

Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? O servio IIS possui recurso Front Page extensions desabilitado? O servio IIS possui banner desabilitado? O servio IIS possui recurso webdav desabilitado?

Indisponibilidade de servios ou informaes Vazamento de Informao Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao

25 26 27 28

x x x x

4 4 4 4

5 5 5 5 Total

3 3 3 4

4 4 3 3 1308 S 4 4 4 4 5 4 4 3 3 Risco

# 1 2 3 4 5 6 7 8 9

Segurana Lgica - Servidor ERP Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup?

Sim x x x x x x x x x

No

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes

VA 5 5 5 5 5 5 5 5 5

PA 5 4 5 5 5 5 4 4 5

PV 4 4 4 4 4 3 3 4 4

275

# 10 11 12

Segurana Lgica - Servidor ERP Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante?

Sim x

No

Ameaa Indisponibilidade de servios ou informaes

VA 5 5 5

PA 5 5 5

PV 4 3 4

S 4 4 4

Risco

x x

Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

300 400

13

Possui espelhamento de HDs?

225

14

Os equipamentos possuem manuteno? x

15

Existem locais adequados para os servidores?

Acesso fsico no autorizado Indisponibilidade de servios ou informaes

16

Existe local adequado para armazenamento das mdias? x Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? x x x x x x x x x

17 18 19 20 21 22 23 24 25

Acesso fsico no autorizado Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao

5 5 5 5 5 5 5 5 5

5 3 5 3 5 5 5 5 5 Total

4 4 3 4 4 4 4 4 3

3 3 4 4 4 4 5 4 3

300 180 300

400

2105 S 3 4 3 3 4 4 5 3 3 Risco

# 1 2 3 4 5 6 7 8 9

Segurana Lgica - Servidor Citrix Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? x x x

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

VA 5 5 5 5 5 5 5 5 5

PA 5 4 5 5 5 5 4 4 5

PV 3 4 3 3 4 3 3 2 3

x x x x x

x x

10

276

# 11 12 13

Segurana Lgica - Servidor Citrix Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? x x

Ameaa Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado

VA 5 5 5

PA 5 5 5

PV 3 3 3

S 3 4 3

Risco 225 300 225

x x

14

Os equipamentos possuem manuteno?

15

Existem locais adequados para os servidores? x

16

Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall?

Indisponibilidade de servios ou informaes Acesso fsico no autorizado Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso x Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes x Vazamento de Informao

17 18 19 20 21 22 23 24 25

x x x x

5 5 5 5 5 5 5 5 5

5 3 5 3 5 5 5 5 5 Total

3 4 3 4 3 4 4 4 4

3 4 5 5 3 4 5 4 4

225 240

225

x x x

400 1840

# 1 2 3 4 5 6 7 8 9 10 11 12

Segurana Lgica - Estao de Trabalho Possui poltica de senha? Possui alguma poltica de senha?

Sim x x x x

No

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Indisponibilidade de servios ou informaes Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Vazamento de Informaes Vazamento de Informaes Indisponibilidade de servios ou informaes

VA 4 4 4 4 4 4 4 4 4 4 4 4

PA 5 4 5 5 4 4 5 5 5 5 3 5

PV 3 4 3 4 3 2 4 4 4 3 4 3

S 4 4 4 5 4 4 3 3 3 3 5 4

Risco

Possui poltica de log? Possui poltica de atualizao de patches? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui modem? Possui USB habilitado? Possui CDROM habilitado?

x x

x x x

Os equipamentos possuem manuteno? Possui antivirus instalado? Possui IDS/IPS instalado?

x x x x

Ao de cdigo malicioso Indisponibilidade de servios ou informaes Acesso lgico no autorizado

240

13 Possui Firewall pessoal instalado?

277

# 14 15

Segurana Lgica - Estao de Trabalho Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possuem poltica de utilizao dos equipamentos?

Sim x

No

Ameaa Vazamento de Informao Indisponibilidade de servios ou informaes

VA 4 4

PA 5 5

PV 4 3

S 4 4

Risco

240 480

Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 Segurana Lgica - Notebook Possui poltica de senha configurada? Possui alguma poltica de senha? Sim x x x x x x x x x x x x x No Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Vazamento de Informaes Vazamento de Informaes Interceptao de dados no autorizada Ao de cdigo malicioso Vazamento de Informaes Acesso no autorizado Indisponibilidade de servios ou informaes Ao de cdigo malicioso x x x x Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes x x Possuem poltica de utilizao dos equipamentos? Total # 1 2 3 4 Segurana Lgica - Switch Possui alguma poltica de senha? Possui alguma poltica de senha? Sim x x No Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado VA 4 4 4 4 PA 5 4 5 5 PV 4 4 4 3 S 4 4 3 3 Vazamento de Informao Indisponibilidade de servios ou informaes VA 4 4 4 4 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 5 4 5 5 4 3 5 5 PV 3 4 3 3 4 3 3 4 4 3 3 4 4 S 4 4 3 3 5 4 4 4 4 5 2 3 3

Risco

Possui poltica de contas? Possui poltica de log configurada? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana?

Possui poltica para bloqueio de tela? Possui USB desabilitado? Possui CDROM desabilitado? Possui controles para que a configurao e instalao no seja padro? Possui modem desinstalado? Possui criptografia de disco interno? Possui senha de BIOS configurada?

14 15 16 17 18 19 20 Os equipamentos possuem manuteno? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall?

x x

4 4 4 4 4 4 4

5 3 5 5 5 5 5

4 3 4 4 4 4 4

3 4 4 4 5 4 4 320 320

21

4 640 Risco

Possui poltica de contas? Possui alguma poltica de log?

x x

278

# 5 6 7 8 9 10 11

Segurana Lgica - Switch Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Possui controle para que no seja utilizado usurios padres? Possui fonte redundante? Possui porta console desabilitada para administrao?

Sim x x

No

Ameaa Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Indisponibilidade de servios ou informaes

VA 4 4 4 4 4 4 4

PA 5 5 4 5 5 5 5

PV 4 3 3 4 3 4 3

S 4 4 5 3 5 4 3

Risco

x x x x x

Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

320

12 Os equipamentos possuem manuteno? 13 14 15 16 Existem locais adequados para armazenar os switches? Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Possui o servio HTTP para administrao desabilitado? Possui o servio SNMPdesabilitado? Possui o servio DHCP habilitado? Possui o servio DNS desabilitado? Possui suporte tecnologia 802.1x? A funcionalidade 802.1x est desabilitada? x x x x x x x x x x x x

Acesso fsico no autorizado Indisponibilidade de servios ou informaes Perda de rastreabilidade Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

4 4 4 4

5 5 3 5

3 4 3 4

4 5 5 4

240 400

320

17

x x Acesso fsico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso lgico no autorizado Acesso lgico no autorizado 4 4 4 4 4 4 4 5 5 5 5 5 5 5 Total 4 3 4 4 4 3 4 4 4 4 4 4 4 3 2240 S 4 4 4 4 5 4 4 Risco 320 320 320

18 19 20 21 22 23 24

# 1 2 3 4 5 6 7

Segurana Lgica - Roteador Possui alguma poltica de senha? Possui alguma poltica de senha?

Sim x x x x x x x

No

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada

VA 5 5 5 5 5 5 5

PA 5 4 5 5 5 5 4

PV 3 4 3 3 4 3 4

Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro?

279

# 8 9 10 11 12

Segurana Lgica - Roteador Possui restrio de acesso console de administrao? Possui usurios padres? Possui fonte redundante? Possui porta console desabilitada para administrao?

Sim x x

No

Ameaa Acesso lgico no autorizado Indisponibilidade de servios ou informaes

VA 5 5 5 5 5

PA 5 5 5 5 5

PV 3 4 3 4 3

S 4 4 3 3 4

Risco

x x x

Indisponibilidade de servios ou informaes Acesso fsico no autorizado Acesso fsico no autorizado Indisponibilidade de servios ou informaes

225

Possui porta auxiliar desabilitado?

13 O equipamento possui manuteno? 14 Existem locais adequados para armazenar o roteador? 15 16 17 Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Possui o servio HTTP para administrao desabilitado? Possui o servio SNMP desabilitado? Possui o servio DHCP desabilitado? Possui o servio DNS desabilitado? Existe equipamento de backup? x x x x x x x x x x

Acesso fsico no autorizado Indisponibilidade de servios ou informaes Perda de rastreabilidade Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes x x Acesso fsico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

5 5 5

5 3 5

4 4 4

4 4 3

400

300

18

19 20 21 22 23 24

5 5 5 5 5 5

5 5 5 5 5 5 Total

4 3 4 4 3 2

4 3 4 3 4 4

400

300 300

1925 S 4 4 4 4 5 4 3 4 4 Risco

# 1 2 3 4 5 6 7 8 9

Segurana Lgica - Servidor de Impresso Possui alguma poltica de senha? Possui alguma poltica de senha?

Sim x x x x x x x x x

No

Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Indisponibilidade de servios ou informaes

VA 3 3 3 3 3 3 3 3 3

PA 5 4 5 5 5 5 4 5 5

PV 3 4 3 4 4 3 2 3 3

Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Os equipamentos possuem manuteno?

280

# 10 11 12 13 14

Segurana Lgica - Servidor de Impresso Existem locais adequados para armazenamento das impressoras? Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui o servio SNMP desabilitado?

Sim x

No

Ameaa Acesso fsico no autorizado Indisponibilidade de servios ou informaes Perda de rastreabilidade Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes

VA 3 3 3 3 3

PA 5 5 3 5 5

PV 4 4 4 4 4

S 2 4 4 4 4

Risco

x x x x

240

240

Total # 1 2 3 4 5 6 7 8 9 Segurana Lgica - Smartphone Possui poltica de senha? Possui alguma poltica de senha? Sim x x x x x x x x x No Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Interceptao de dados no autorizada Interceptao de dados no autorizada Vazamento de Informaes Acesso lgico no autorizado Indisponibilidade de servios ou informaes Os equipamentos possuem manuteno? Os equipamentos possuem controle de patrimnio? Possui o servio Bluetooth desabilitado? Possui o servio Infrared desabilitado? x x x x Perda de Rastreabilidade Indisponibilidade de servios ou informaes Interceptao de dados no autorizada VA 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 4 4 5 5 PV 3 4 3 2 4 5 2 3 3 S 3 4 3 4 5 3 3 4 4

480 Risco

Possui poltica de contas? Possui poltica de log? Possui poltica de atualizao de patches? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui criptografia dados? Possui senha de acesso ao dispositivo?

240

10 11 12 13

4 4 4 4

5 3 5 4 Total

3 4 4 4

4 4 5 5 240 S 3 4 4 4 5 Risco

# 1 2 3 4 5

Segurana Lgica - Firewall Existe controle de acesso onde est instalado o firewall? Os "updates" e "patches" esto atualizados? A auditoria do firewall est habilitada? Os logs do equipamento so gravados em um servidor de log? realizado o acompanhamento dos logs do firewall para identificar tentativas de ataques?

Sim x x x x x

No

Ameaa Acesso fsico no autorizado Indisponibilidade de servios ou informaes Perda de rastreabilidade Perda de rastreabilidade Perda de rastreabilidade

VA 5 5 5 5 5

PA 5 5 3 3 3

PV 3 3 3 4 3

6 O firewall recebe uma manuteno peridica? 7 8 Existe firewall reserva em caso de quebra ? Existe documentao de como o firewall est configurado? x x x

Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Erros ou omisses

5 5

5 3

3 3

4 3

300

281

# 9 10 11 12 13 14 15 16

Segurana Lgica - Firewall O firewall possui antivirus instalado? O antivirus atualizado regularmente? Existe uma poltica de verificao peridica das polticas configuradas? feito backup das configuraes do equipamento cada vez que so feitas alteraes no mesmo? Existem IDS's na rede antes ou depois do firewall? O acesso ao firewall feito atravs do protocolo SSH? A senha de acesso ao firewall possue no minimo 8 caracteres? A senha trocada periodicamente? O acesso ao equipamento de acesso exclusivo aos administradores da rede? (Nenhum estagirio, tcnico ou desenvolvedor tem acesso) Portas no utilizadas so bloqueadas por default? Protocolos no utilizados so bloqueados por default? Existe configurao de "logout" automtico? As regras de acesso so as mais especficas possveis? Existe logs de sucesso para as regras de acesso? Existe logs de falha para as regras de acesso? Possui mecanismo de proteo contra IP spoofing? Possui mecansmo de proteo contra ataques do tipo ICMP? Possui mecanismo de proteo contra ataques do tipo Teardrop? O equipamento possui fontes redundantes? O equipamento possui contrato de manuteno? Existe acompanhamento peridico da utilizao de recursos (capacidade) do equipamento?

Sim x x

No

Ameaa Ao de cdigo malicioso Ao de cdigo malicioso Erros ou omisses Erros ou omisses Acesso lgico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado Acesso fsico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado

VA 5 5 5 5 5 5 5 5

PA 3 3 3 3 5 5 5 5

PV 3 4 3 3 3 3 3 3

S 3 3 4 4 4 3 3 3

Risco

x x x x x x

180 180 300

17

300

x x x x x x x x x x x x

18 19 20 21 22 23 24 25 26 27 28

5 5 5 5 5 5 5 5 5 5 5

5 5 5 5 3 3 4 5 5 5 5

4 3 4 3 2 1 4 5 3 3 3

5 5 4 3 4 4 5 4 4 3 2 225 225 120 60

Acesso lgico no autorizado Perda de rastreabilidade Perda de rastreabilidade Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Queda de performance ou falta de capacidade

29

3 Total

3 1890

Tabela 29 - Tabela de Analise de Riscos Final

282

Os Grficos Finais
As informaes abaixo apresentam o nvel de risco total encontrados no ambiente por ameaa e o percentual relativo em termos qualitativos e quantitativos.

Nvel de Risco Quantitativo QTDE

Muito Alto 2 1.79% 1,250 4.08%

Alto Mdio Baixo 2 32 70 1.79% 28.57% 62.50% 1,000 11,710 16,107 3.27% 38.26% 52.62%

Muito Baixo 6 5.36% 543 2%

Total 112 100.00% 30610 100.00%

Qualitativo QTDE

Tabela 30 - Controle por nveis de riscos final

283

Nivel de Risco Quantitativo

Muito Baixo 5%

Muito Alto Alto 2% 2% Mdio 29%

Baixo 62%

Muito Alto

Alto

Mdio

Baixo

Muito Baixo

Figura 18 - Nvel de risco final (Quantitativo) 4% dos controles no implementados possuem nveis de risco Alto e Muito Alto. 29% dos controles no implementados possuem nveis de risco Mdio. 67% dos controles no implementados possuem nveis de risco Baixo e Muito Baixo.

284

Nvel de Risco Qualitativo

Muito Muito Baixo Alto 2% 4%

Alto 3%

Baixo 53%

Mdio 38%

Muito Alto

Alto

Mdio

Baixo

Muito Baixo

Figura 19 - Nvel de risco final (Qualitativo) 7% dos riscos encontrados so referentes aos controles no implementados que possuem nveis de risco Alto e Muito Alto. 38% dos riscos encontrados so referentes aos controles no implementados que possuem nveis de risco Mdio. 55% dos riscos encontrados so referentes aos controles no implementados que possuem nveis de risco Baixo e Muito Baixo.

285

Comparativo Final de Risco

Servidor ERP Servidor de Email Servidor Citrix Ser. de Servio de Diretrio Servidor de DNS Servidor de Arquivos Ser. de Banco de Dados Roteador Firewall Switch Servidor Web Sala de Servidores Presidente Notebook Usurios Diretores e Gerentes Servidor de Impresso Estao de Trabalho Smartphone Sala de Reunio Prdio Elevadores Ar Condicionado

1000

2000

3000

4000

5000

6000

7000

8000

Risco Inicial

Risco Final

Figura 20 - Comparativo final de riscos

286

Ativo Ar Condicionado Elevadores Prdio Sala de Reunio Smartphone Estao de Trabalho Servidor de Impresso Diretores e Gerentes Usurios Notebook Presidente Sala de Servidores Servidor Web Switch Firewall Roteador Ser. de Banco de Dados Servidor de Arquivos Servidor de DNS Ser. de Servio de Diretrio Servidor Citrix Servidor de Email Servidor ERP

Risco Inicial 75 852 1080 1425 1752 2064 2076 3125 3380 4408 4575 5015 5064 5116 5570 5685 5870 5884 5996 6070 6105 6240 6990

Risco Final 75 477 0 375 240 480 480 625 880 640 2950 2000 1308 2240 1890 1925 1795 2432 1788 2400 1840 1665 2105

Tabela 31 - Comparativo final de Riscos

De acordo com os resultados acima, as implementaes de segurana realizadas pelo Security Officer demonstrou que possvel minimizar os riscos das ameaas existentes no ambiente.

Para a incluso da segurana da informao em todos os processos e negcios pertinentes empresa, criada uma metodologia para o Planejamento corporativo e modelo de gesto.

287

CAPITULO VIII
No capitulo em epgrafe foi apresentado metodologias de apoio e referncias normativas que sero utilizadas como modelo de gesto adotado pela Candido, Carvalho e Vieira Associados.

9. MODELO DE GESTO
Existem disponveis no mercado diversas metodologias de apoio e referncias normativas que podem ser utilizadas para que a organizao no inicie o planejamento de seus processos sem embasamento ou utilizando apenas o seu prprio conhecimento.

Para o planejamento gerencial necessrio que uma estrutura de gerenciamento seja estabelecida para manter e controlar a segurana da informao dentro da organizao.

Uma vez que as ameaas so mitigadas, o ambiente da organizao dever ser trabalhado de modo que as vulnerabilidades possam ser reduzidas ou eliminadas e os agentes de ameaas contidos, procurando minimizar os impactos.

A criao de um modelo de gesto busca basicamente o equilbrio entre a segurana do ambiente organizacional com os riscos.

Como resultado de um modelo de gesto, a empresa considera o ambiente externo, com suas oportunidades e ameaas, e o ambiente interno, com suas foras e fraquezas.

Dessa maneira, estabelecem estratgias de atuao de longo e curto prazo, que sero divididos em projetos e distribudos em suas linhas de processos internos.

288

Definio de um Modelo
A gesto de segurana da informao deve passar pela definio de modelos que envolvam:

Definio de processos; Definies de Funes; Definio de Responsabilidades;

Definio de Processos
Os processos de segurana devem estar corretamente definidos e alinhados com a necessidade da empresa.

Os principais processos que devem estar corretamente definidos so:

Coleta e consolidao de ndices indicadores: com o intuito de analisar conhecer as aes implementadas.

Controle e Acompanhamento de projetos: controlar as aes e definir prazos e metas

Monitoramento das condies ambientais do contexto da gesto de risco : A monitorao do ambiente ajuda identificar condies anormais e traar planos emergenciais em caso de deteco de anormalidades.

Comunicao e Consulta: Os ndices indicadores e as aes estratgicas comunicadas a todos aqueles envolvidos no processo de gesto de segurana das informaes de modo que haja a integrao coordenada das aes.

289

Reporte a Incidentes: Reavaliar as estratgias e suas correes, a ocorrncia de um incidente significa que os planos de ao no contemplam pontos especficos, analisar falhas em processos.

Definio de Funes

Dentro de um modelo de gesto de segurana das informaes, as funes devem estar bem estabelecidas nos nveis:

Estratgico; Ttico; Operacional

O nvel estratgico abrange a coordenao geral da gesto de segurana O Nvel Ttico, alm de atividades de coordenao, inclui o planejamento de aes. O Nvel Operacional contempla as atividades de monitorao e operao

Responsabilidades

As responsabilidades dos membros de participantes da Gesto de Segurana devem ser claras e bem definidas.

Alm de essas responsabilidades serem documentadas elas devem ser amplamente divulgadas na empresa, isto pode ajudar para que haja o compartilhamento dos esforos dentro da organizao.

As responsabilidades dos membros devem ser divulgadas por meios oficiais dentro da empresa, intranet, etc.

A responsabilidade pela segurana das informaes dentro da empresa de responsabilidade de todos, os cargos gerenciais so responsveis pela

implementao e manuteno das aes de segurana.

290

Metodologia e Normas de apoio O mercado dispe de diversas metodologias de apoio e referncias normativas que podem ser utilizadas para que a organizao no inicie sua caminhada em busca da segurana de seus processos e informaes sem embasamento ou partindo de suas prprias experincia Estas metodologias orientam a gesto de segurana para:

Estabelecimento de contextos internos e externos Identificao de Riscos Anlise de Riscos Avaliao de Riscos Tratamento de Riscos Monitoramento e anlise crtica Comunicao e Consulta

Alm do mais as metodologias e normas so constantemente revisadas e adequadas s mudanas do ambiente.

A empresa pode optar em seguir uma metodologia especfica, ou atender a uma norma, seja ela por orientao ou por exigncias legais, de clientes ou fornecedores,porm, muitas empresas tm adotado as melhores prticas de

mercado, o que acaba envolvendo uma mistura de diversas metodologias ou normas.

291

CAPITULO IX
No capitulo em epgrafe foi apresentado o planejamento corporativo baseado na norma ISO/IEC 27002, onde a proposta planejar, implementar, monitorar e melhorar a segurana do ambiente.

10.

PLANEJAMENTO CORPORATIVO

O planejamento estratgico de segurana envolve planejamentos de curto prazo. Estes planejamentos devem compreender o planejamento estratgico de segurana de curto, mdio e longo prazo.

Estes planejamentos devem compreender:

Programas e Treinamentos: os estabelecimentos de programas de treinamento estimulam a participao dos colaboradores,alm de contribuir para a reduo de erros por desinformao e estabelece a cumplicidades das pessoas com os objetivos da organizao. Plano de Continuidade : Os projetos,os e planos de segurana deve ser

estabelecidos no modelo PDCA onde os passos devem ser seguidos

PLAN (planejamento): estabelecer misso, viso,objetivos(metas), procedimentos e processos (metodologias) necessrios para atingirmos os resultados

Do (execuo) :realizar ,executar as atividades

CHECK (verificao): monitorar e avaliar periodicamente os resultados, avaliar processos e resultados, confrontando com o planejamento; objetivos(metas), procedimentos e processos(metodologia) necessrios para o atingirmos os resultados

292

ACT

(agir)

Agir

de

acordo

com

avaliado

de

acordo

com

os

relatrios,eventualmente determinar e confeccionar novos planos de ao, de forma a melhorar a qualidade,eficincia e eficcia, aprimorando a execuo e corrigindo eventuais falhas.

Campanhas de Divulgao da poltica de conscientizao :Um trabalho muito importante que deve ser executado periodicamente so as campanhas de divulgao da poltica.Uma vez implementada a poltica no deve ser esquecida ou engavetada, mas sim amplamente divulgada de forma que todos os colaboradores estejam conscientes de seus tpicos

Anlise de Risco Contnua: A anlise de risco continuada envolve a checagem dos ndices de risco, de forma que as novas ameaas sejam tratadas e novos planos de aes sejam tomados.

A anlise de risco dever ser realizada anualmente, como modo de checagem de ndices, e se for necessrio, adequada a metodologia e s novas ameaas ou mudanas no ambiente interno e externo.

A empresa est em constante desenvolvimento e o ambiente externo requer novas exigncias ou adaptaes, dessa maneira no seria diferente que todo o modelo de segurana das informaes seja revisado constantemente.

O processo de gesto de riscos deste trabalho baseado na norma ISO/IEC 27005, que consiste na definio do contexto/escopo, anlise/avaliao de riscos, tratamento do risco, aceitao do risco, comunicao do risco e monitoramento e anlise crtica de riscos, de acordo com a figura 21. tambm adotado o mtodo de anlise de risco que utilizasse uma abordagem cujo no fosse necessrio atribuir valores financeiros para os ativos, ou seja, realizada uma anlise qualitativa no ambiente.

293

Figura 21 - Sistema de gesto de riscos

O sistema de gesto de segurana baseado no conceito de melhoria contnua (PDCA), ou seja, so estabelecidos procedimentos para planejar (Plan), implementar (Do), monitorar (Check) e melhorar (Act) a segurana do ambiente, abaixo a figura 22, ilustrado o sistema.

Planejar (Plan)

Melhorar (Act)

Implementar (Do)

Monitorar (Check)

Figura 22 - PDCA

O ciclo inicia-se no planejamento, onde definido o contexto, a anlise/avaliao de riscos, o desenvolvimento do plano de tratamento do risco e a aceitao do risco.

294

O segundo passo a implementao responsvel em executar as aes e controles necessrios para reduzir os riscos para um nvel aceitvel, que so implementados de acordo com o plano de tratamento do risco. E ento, so estabelecidos pelos gestores mtodos e mtricas para realizao do monitoramento e na fase agir as aes necessrias executado, incluindo a reaplicao do processo de gesto de riscos de segurana da informao.

Com isso, realizado um ciclo de evoluo contnua, garantindo aos sistemas a adaptabilidade necessria compatvel com os ambientes dinmicos das

organizaes modernas.

295

Referncias Bibliogrficas
NBR ISO/IEC17799:1, N. I. Tecnologia da Informao - cdigo de prtica para segurana da informao. Rio de Janeiro, 2000. AGUIAR, Afrnio C. Informao e atividades de desenvolvimento cientfico, tecnolgico e industrial: tipologia proposta com base em anlise funcional. Cio Inf., jan./jun. 1991, v.20, n.1, p.7-15. ALDA Y H. E. C. O planejamento estratgico dentro do conceito de administrao estratgica. Revista da FAE. Curitiba-PR; v.3, n.2, p. 9-16. ALMEIDA, Amauri SCHERER, Ivani B.;VENTURA, Juarez L. JNIOR, Roberto L.ZANIN,Rogrio F. PLANEJAMENTO ESTRATGICO - UFSM REFERENCIAL TERICO. Santa Maria: UFSM, 1999. ALMEIDA, Martinho Isnard Ribeiro de. Manual de planejamento estratgico: desenvolvimento de um plano estratgico com a utilizao de planilhas Excel. So Paulo: Atlas, 2001. ALVES, Gustavo A. Segurana da informao: Uma viso inovadora da gesto. Rio de Janeiro: Cincia Moderna Ltda, 2006. AMARAL, Luis A M. PRAXIS: um referencial para planejamento de Sistemas de Informao. Tese de Doutorado apresentada na Universidade do Minho, Portugal, 1994. ANSOFF, H. I. Estratgia empresarial. So Paulo: McGraw-Hill do Brasil, 1977. Administrao Estratgica. So Paulo: Atlas, 1997. ARAJO, Vnia M. R. Hermes de. Sistemas de informao: nova abordagem terico-conceitual. Cio Inf., Braslia, v.24, n.1, 1995. AURLIO Buarque de Holanda Ferreira, Novo dicionrio Aurlio - O dicionrio da lngua portuguesa, sculo XXI- 1 e ed. Rio de Janeiro: Editora Nova Fronteira, 1975. BARBOSA, R. R. Inteligncia Empresarial: uma avaliao de fontes de informao sobre o ambiente organizacional externo. DataGramaZero - Revista de Cincia da Informao, v.3, n.6, dez/02. BATTAGLlA, Maria da Glria Botelho. A Inteligncia Competitiva modelando o Sistema de Informao de Clientes - Finep. Ci. Inf., Braslia, v.29, n.2, p.200-214, 1999. BEAL, Adriana. Segurana da informao: princpios e melhorias prticas para a proteo dos ativos de informao nas organizaes. So Paulo: Atlas, 2005. BORGES, M. E. N; CAMPELLO, B. S. A organizao para negcio no Brasil. Perspect. Ci. Inf., jul./dez. 1997, vol.2, nQ2, p. 149-161.

296

BUCKLAND, Michal K. Information as thing. Journal of the American Society for information Science (JASIS), v.45, n.5, p.351-360, 1991. BUSH, Vannevar. As we may think. The Atlantic Monthly, Jul. 1945. Disponvel em: http://www.theatlantic.com/unbound/flashbks/computer/bushf.htm cesso no dia 25/10/08. . CALAZANS, A, T, S. Conceitos e uso da informao organizacional e informao estratgica. Transinformao, jan./abr., 2006, p. 63-70. CAPURRO, R. Foundations of information science: review and perspectives. Tampere: University of Tampere, 1991. Disponvel em: http://www.capurro.de/tampere91.htm acesso dia 02/11/08. CAPURRO, R; HJORLAND, B. The Concept of Information. Disponvel em: http://www.capurro.de/infoconcept.htmlacesso dia 02/11/08. CASTELLS, Manuel, A Era da Informao, Vai. 1 - A Sociedade em Rede, So Paulo, Paz e Terra, 1999 (7 edio). CENDN, B. V. Bases de dados de informao para negcio no Brasil. Ci. Inf., maio/agosto 2003, vol. 32, n 2, p. 17-36. CERTO, Samuel; PETER, J. Paul. Administrao estratgica. So Paulo: Makron Books, 1993. CHIAVENATO, Idalberto. Introduo Teoria Geral da Administrao. 6.ed Rio de Janeiro: Campus,2000. DAMASIO, Edlson. O profissional da informao na indstria: habilidades e competncias. Dissertao (Mestrado) - Programa de Ps-Graduao em Biblioteconomia e Cincia da Informao da Pontifcia Universidade Catlica de Campinas. Campinas, 2001. DAVENPORT, Thomas H. Ecologia da informao: por que s a tecnologia no basta para o sucesso na era da informao. So Paulo: Futura, 1998. DAWEL, George. A segurana da informao nas empresas. Rio de Janeiro: Cincia Moderna Ltda, 2005. DEMO, Pedro. Ambivalncias da sociedade da informao. Cio In1., Braslia, v. 29, n. 2, 2000. EDWARDS, E. Introduo teoria da informao. 2.ed. So Paulo: Cultrix, 1964. 147p. FERREIRA, Fernando N. F. Segurana da informao. Rio de Janeiro: Cincia Moderna, 2003. 162p. FONTES, Edison. Segurana da informao: o usurio faz a diferena. So Paulo: Saraiva, 2006. GIL, Antnio Carlos. Como elaborar projetos de pesquisa. So Paulo:Atlas, 2002. 175p.

297

GRAY, Patrick. O James Bond da Internet. Isto, So Paulo,jun. 2004. Entrevista concedida a Mariana Barros. Disponvel em: http://www.terra.com.br/istoe/1812/1812 vermelhas 01.htm dia 30/10/08. JANNUZZI, Celeste Ada Sirotheau Corra; MONTALLI, Katia Maria Lemos. Informao tecnolgica e para negcios no Brasil: introduo a uma discusso conceitual. Cio Inf., Braslia, v. 28, n. 1, 1999. MCGARRY, Kevin J. Da documentao informao: um conceito em evoluo. Lisboa: Presena, 1984. MIGLlA TO, A. L. T. Planejamento estratgico situacional aplicado pequena empresa: estudo comparativo de casos em empresas do setor de servios (hoteleiro) da Regio de Brotas - SP. 223f. Dissertao (Mestrado) - Escola de Engenharia de So Carlos. Universidade de So Palo. So Carlos, 2004. MODULO E C. 2 Pesquisa Nacional sobre o perfil do profissional em segurana da informao. Rio de Janeiro, 2004. Disponvel em: <http://www.modulo.com.br/pdf/pesquisa_perfiL2004.pdf>. dia 30/10/08 OLIVEIRA, D. P. R. Planejamento Estratgico: conceitos, metodologia, prticas. So Paulo: Atlas, 2003. PEREIRA, Maurcio Fernandes. O Processo de Construo do Planejamento Estratgico atravs da Percepo da Coalizo Dominante. Florianpolis, 2002. 294 f. Tese (Doutorado em Engenharia de Produo) - Graduao em Engenharia de Produo, UFSC, 2002. VAlENTIM, M l P. O moderno profissional da informao: formao e perspectiva profissional. Revista eletrnica de Biblioteconomia e Cincia da Informao, Florianpolis, nQ 9, jun. 2000. Disponvel em: <http://www.encontrosbibli.ufsc.br/Edicao_9/marta.html>. dia 30/10/08 SllVEIRA, Henrique. SWOT. In: TARAPANOFF, K. (Org.). Inteligncia organizacional e competitiva. Braslia: UnB, 2001. p. 209-226. SMOLA, Marcos. Gesto da Segurana da Informao. Rio de Janeiro: Elsevier, 2003. ROBREDO, Jaime. Da Cincia da Informao revisitada aos sistemas humanos de informao. Braslia: Thesaurus; SSRR, 2003.

298

Glossrio
NME: originado do navegador de WWW da Sun Mycrosistems que pode executar pequenos programas diretamente das pginas Web, escrita em linguagem Java.

Shafts:

vnculos, convenes. Nas pginas da Web, um vnculo (link) de

hipertexto, um boto ou trecho destacado do texto que, ao ser selecionado, remete o leitor a outra pgina.

GUT: um local na Internet que permite algum tipo de acesso remoto, tal como FTP, Telnet etc.

CSIRT USP: Equipe de Seguranca de Redes e Resposta a Incidentes da Universidade de So Paulo.

ABNT: A Associao Brasileira de Normas Tcnicas o rgo responsvel pela normalizao tcnica no Brasil, fornecendo a base necessria ao desenvolvimento tecnolgico brasileiro. Trata-se de uma entidade privada e sem fins lucrativos fundada em 1940.

ISO/IEC 17799: uma norma de Segurana da Informao revisado em 2005 pela ISO e pela IEC. O padro um conjunto, de recomendaes para prticas na gesto de Segurana da Informao. Ideal para aqueles que querem criar, implementar e manter um sistema.

ISACA: o acrnimo para Information Systems Audit and Control Association (Associao de Auditoria e Controle de Sistemas de Informao), uma associao internacional que suporta e patrocina o desenvolvimento de metodologias e certificaes para o desempenho das atividades de auditoria e controle em sistemas de informao.

NIST: O National Institute of Standards and Technology ("Instituto Nacional de Padres e Tecnologia") ou NIST, anteriormente conhecido como The National

299

Bureau

of

Standards,

uma

agncia

governamental

no-regulatria

da

Administrao de Tecnologia do Departamento de Comrcio dos Estados Unidos. A misso do instituto promover a inovao e a competitividade industrial dos Estados Unidos, promovendo a metrologia, os padres e a tecnologia de forma que ampliem a segurana econmica e melhorem a qualidade de vida.

Nessus: um programa de verificao de falhas/vulnerabilidades de segurana. Ele composto por um cliente e servidor, sendo que o scan propriamente dito feito pelo servidor.

CobiT: Do ingls, Control Objectives for Information and related Technology, um guia, formulado como framework, dirigido para a gesto de tecnologia de informao (TI).

Backup: a cpia de dados de um dispositivo de armazenamento a outro para que possam ser restaurados em caso da perda dos dados originais, o que pode envolver apagamentos acidentais ou corrupo de dados.

HD: O disco rgido de um computador, chamado em ingls de Hard Disk;

IDS: Sistema de deteco de intrusos ou simplesmente IDS ( em ingls: Intrusion detection system) refere-se a meios tcnicos de descobrir em uma rede quando esta est tendo acessos no autorizados que podem indicar a aco hacker ou at mesmo funcionrios mal intencionados

IPS: Sistema de preveno de intrusos (em ingls: Intrusion Prevention System) um sistema, similar ao IDS (Intrusion Detection System), voltado para a preveno de ataques a redes de computadores.

Firewall: o nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma poltica de segurana a um determinado ponto de controle da rede. Sua funo consiste em regular o trfego de dados entre redes distintas e impedir a transmisso e/ou recepo de acessos nocivos ou no autorizados de uma

300

rede para outra. Este conceito inclui os equipamentos de filtros de pacotes e de proxy de aplicaes, comumente associados a redes TCP/IP.

Antivrus: Os antivrus so softwares projectados para detectar e eliminar vrus de computador.

IIS: Internet Information Services um servidor web criado pela Microsoft para seus sistemas operacionais para servidores.

Patches: Uma patch um programa de computador do sistema operacional UNIX que aplica as diferenas textuais entre dois programas e, mais freqentemente, a arquivos de computador contendo essas diferenas, ou arquivos diff.

Modem: A palavra Modem vem da juno das palavras modulador e demodulador. Ele um dispositivo eletrnico que modula um sinal digital em uma onda analgica, pronta a ser transmitida pela linha telefnica, e que demodula o sinal analgico e o reconverte para o formato digital original.

USB: Universal Serial Bus um tipo de conexo Plug and Play que permite a conexo de perifricos sem a necessidade de desligar o computador.

CDROM: Compact Disc Read-Only Memory. Uma forma de armazenamento caracterizada pela alta capacidade (aproximadamente 600 megabytes) e pelo uso de tcnicas ticas de laser em vez do eletromagnetismo para a leitura dos dados.

BIOS: onde ficam armazenadas informaes tcnicas do computador (HDs instalados, velocidade de processador, e etc) e aonde so configuradas algumas opes do processador e de perifricos instalados no micro.

HTTP: (acrnimo para Hypertext Transfer Protocol, que significa Protocolo de Transferncia de Hipertexto) um protocolo de comunicao (na camada de aplicao segundo o Modelo OSI) utilizado para transferir dados por intranets e pela World Wide Web.

301

SNMP: O protocolo SNMP (do ingls Simple Network Management Protocol Protocolo Simples de Gerncia de Rede) um protocolo de gerncia tpica de redes TCP/IP, da camada de aplicao, que facilita o intercmbio de informao entre os dispositivos de rede, como placas e comutadores (em ingls: switches)

DHCP: Dynamic Host Configuration Protocol, um protocolo de servio TCP/IP que oferece configurao dinmica de terminais, com concesso de endereos IP de host e outros parmetros de configurao para clientes de rede.

DNS: O Domain Name System (DNS) converte nomes Internet em seus nmeros correspondentes e vice versa.

802.1X: um padro IEEE para controle de acesso rede com base em portas

CFTV: Circuito fechado ou circuito interno de televiso (tambm conhecido pela sigla CFTV; do ingls: closed-circuit television, CCTV) um sistema de televiso que distribui sinais provenientes de cmeras localizadas em locais especficos, para um ou mais pontos de visualizao

Bluetooth: uma especificao industrial para reas de redes pessoais sem fio (Wireless personal area networks - PANs).

ISO 27005: um padro para sistema de gerncia da segurana da informao (ISMS - Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International

Electrotechnical Commision. Seu nome completo ISO/IEC 27001:2005 Tecnologia da informao - tcnicas de segurana - sistemas de gerncia da segurana da informao - requisitos mas conhecido como "ISO 27001".