Académique Documents
Professionnel Documents
Culture Documents
ALEXSANDRO SILVA VIEIRA HUGO IIDA JAIR RODRIGO ZEPEDA ARAYA RODRIGO CANDIDO KELLI CRISTINA RIBEIRO
TR AB ALHO DE CONCLUS O DE CURSO: IMPLEMENTANDO SOLU ES DE SEGURAN A D A INFO RM AO EM ESCRITRIOS DE AD VOC ACI A
So Paulo 2009
ALEXSANDRO SILVA VIEIRA HUGO IIDA JAIR RODRIGO ZEPEDA ARAYA RODRIGO CANDIDO KELLI CRISTINA RIBEIRO
Trabalho
de
Concluso
de
Curso
apresentado Faculdade IBTA, como um dos requisitos para concluso do Curso de Ps-Graduao Informao. em Segurana da
So Paulo 2009
ALEXSANDRO SILVA VIEIRA HUGO IIDA JAIR RODRIGO ZEPEDA ARAYA RODRIGO CANDIDO KELLI CRISTINA RIBEIRO IMPLEMENTANDO SOLU ES DE SEGURAN A D A INFO RM AO EM ESCRITRIOS DE ADVOC ACI A
Trabalho
de
Concluso
de
Curso
apresentado Faculdade IBTA, como um dos requisitos para concluso do Curso de Ps-Graduao Informao. em Segurana da
Aprovada em de 2009
BANCA EXAMINADORA
Prof. Ms. ou Dr. Orientador
RESUMO
Este trabalho acadmico visa apresentar a implementao de um Programa de Segurana da Informao para um escritrio de advocacia fictcio, descrevendo seu modo operante, suas rotinas de trabalho e suas deficincias de segurana. Diante deste contexto, so identificadas falhas que justificam a atuao do Security Officer que, a partir de sua contratao, elabora um baseline contendo as informaes do estado inicial das instalaes, processos e sistemas encontrados e, a partir deste ponto, elabora documentos e estratgias descrevendo as melhorias, visando assegurar os requisitos bsicos de segurana da informao a sua confidencialidade, integridade e disponibilidade assim como adequa a organizao aos requisitos da norma NBR ISO/IEC 17999, melhores prticas para a segurana da informao, em acordo com a NBR ISO/IEC 27005, que estabelece princpios e diretrizes para implantar e melhorar continuamente um Sistema de Gesto de Segurana da Informao por meio de controles internos buscando proteger os ativos das ameaas e vunerabilidades, tambm em acordo ao padro PCI DSS.
Palavras chave: Baseline, Security Officer, Plano de continuidade de negcio, Anlise de risco, Vulnerabilidades, Ameaas, CIDxGUT, Criptografia.
ABSTRACT
This academic conclusion work aim to present the implementation of a security program to a fictitious advocacy company, describing its operating way, working routines and security deficiencies. In this context, it will be identify the failures that will justify the function of "Security Officer" that as of his recruitment, he elaborates a "baseline" containing the initial states of the facilities, procedures and systems found and starting from this point he elaborates documents and strategies describing the improvements propose, aiming at to assure the information security basic requirements - the confidentiality, integrity and availability - as well as adapting the organization to the Standards NBR ISO/IEC 17999, best practice of the Information Security, according to the NBR ISO/IEC 27005, that establish values and guidelines to implant and improve continuously a information security management by means of internal controls looking for to protect the assets against the threat and vunerability, as well according to the Standard PCI DSS.
Key words: Baseline, Security Officer, Contingency Plan, Risk Analysis, Vulnerabilities, Threats, CIDxGUT, Cryptography.
INDICE DE ILUSTRAES
FIGURA 1 - ORGANOGRAMA FUNCIONAL ........................................................................................................................ 25 FIGURA 2 - FLUXO DE TRABALHO PRINCIPAL .................................................................................................................... 32 FIGURA 3 - CAMADA DE SISTEMA................................................................................................................................... 34 FIGURA 4 - DIAGRAMA MACRO DE REDE ......................................................................................................................... 40 FIGURA 5 - PLANTA DO 13 ANDAR ............................................................................................................................... 41 FIGURA 6 - PLANTA DO 14 ANDAR ............................................................................................................................... 42 FIGURA 7 - PLANTA DO 15 ANDAR ............................................................................................................................... 43 FIGURA 8 - PLANTA DE ZONEAMENTO............................................................................................................................. 44 FIGURA 9 - PLANTA DA FACHADA ................................................................................................................................... 45 FIGURA 10 - RELEVNCIA DOS ATIVOS............................................................................................................................ 94 FIGURA 11 - RISCO TOTAL POR ATIVO ........................................................................................................................... 125 FIGURA 12 - CONTROLES NO IMPLEMENTADOS ............................................................................................................ 127 FIGURA 13 - RISCOS ENCONTRADOS ............................................................................................................................ 128 FIGURA 14 - AMEAAS ENCONTRADAS ......................................................................................................................... 129 FIGURA 15 - PROCEDIMENTO PARA ACIONAMENTO DOS TIMES DE CONTINGNCIA ................................................................ 228 FIGURA 16 - ATIVOS RELEVANTES DA EMPRESA .............................................................................................................. 231 FIGURA 17 - RELAO DOS TIMES DE CONTINGNCIA E CRISE ............................................................................................ 232 FIGURA 18 - NVEL DE RISCO FINAL (QUANTITATIVO)....................................................................................................... 283 FIGURA 19 - NVEL DE RISCO FINAL (QUALITATIVO) ......................................................................................................... 284 FIGURA 20 - COMPARATIVO FINAL DE RISCOS................................................................................................................. 285 FIGURA 21 - SISTEMA DE GESTO DE RISCOS .................................................................................................................. 293 FIGURA 22 - PDCA .................................................................................................................................................. 293
INDICE DE TABELAS
TABELA 1 - CRITRIO PARA RELEVNCIA DOS ATIVOS.......................................................................................................... 52 TABELA 2 - AMEAAS .................................................................................................................................................. 54 TABELA 3 - CRITRIO PARA CLASSIFICAO DAS AMEAAS ................................................................................................... 55 TABELA 4 - IDENTIFICAO DE VULNERABILIDADES ............................................................................................................ 72 TABELA 5 - LEVANTAMENTO DOS RISCOS ......................................................................................................................... 86 TABELA 6 - CLASSIFICAO DE RISCOS E IMPACTOS ............................................................................................................ 88 TABELA 7 - LISTA DOS ATIVOS DO AMBIENTE .................................................................................................................... 92 TABELA 8 - RELEVNCIA DOS ATIVOS .............................................................................................................................. 93 TABELA 9 - IDENTIFICAO DE VULNERABILIDADES RESPONDIDA ........................................................................................ 108 TABELA 10 - RISCO TOTAL DE CADA ATIVO ..................................................................................................................... 125 TABELA 11 - TABELA DE RISCO TOTAL POR ATIVO ........................................................................................................... 126 TABELA 12 - CONTROLES POR NVEIS DE RISCOS.............................................................................................................. 127 TABELA 13 - AMEAAS .............................................................................................................................................. 129 TABELA 14 - CONTROLES ........................................................................................................................................... 152 TABELA 15 - IDENTIFICAO DOS PROCESSOS DE NEGCIO I .............................................................................................. 216 TABELA 16 - IDENTIFICAO DOS PROCESSOS DE NEGCIO II ............................................................................................. 216 TABELA 17 - IDENTIFICAO DOS PROCESSOS DE NEGCIO III ............................................................................................ 217 TABELA 18 - IDENTIFICAO DOS PROCESSOS DE NEGCIO IV ........................................................................................... 217 TABELA 19 - COMPONENTES DA INFRA-ESTRUTURA DO NEGCIO...................................................................................... 218 TABELA 20 - PROCESSOS DEPENDENTES ........................................................................................................................ 218 TABELA 21 - ABAIXO ESCALA PARA CLASSIFICAO DE PRIORIDADE NO NEGCIO .................................................................. 219 TABELA 22 - ESCALA PARA CLASSIFICAO DE PRIORIDADES NOS PROCESSOS DE NEGCIO....................................................... 220 TABELA 23 - BIA ...................................................................................................................................................... 222 TABELA 24 - ATIVOS ................................................................................................................................................. 223 TABELA 25 - NOME E TELEFONES DO TIME DE GESTORES .................................................................................................. 226 TABELA 26 - RISCOS E MEDIDAS DE CORREO ............................................................................................................... 230 TABELA 27 - RESPONSABILIDADES DA EQUIPE................................................................................................................. 233 TABELA 28 - ANALISE DE RISCOS FINAL ......................................................................................................................... 264 TABELA 29 - TABELA DE ANALISE DE RISCOS FINAL ......................................................................................................... 281 TABELA 30 - CONTROLE POR NVEIS DE RISCOS FINAL ....................................................................................................... 282 TABELA 31 - COMPARATIVO FINAL DE RISCOS ................................................................................................................ 286
SUMRIO
INTRODUO .................................................................................................................................................15 JUSTIFICATIVA ................................................................................................................................................16 OBJETIVO ........................................................................................................................................................17 METODOLOGIA E ATIVIDADES ........................................................................................................................18 CONSIDERAES GERAIS ................................................................................................................................20 CAPTULO I......................................................................................................................................................21 1. APRESENTAO DA EMPRESA ...............................................................................................................21 A ESTRUTURA .................................................................................................................................................... 21 CONTEXTUALIZAO E CONTRATAO DO SECURITY OFFICER........................................................................ 23 CAPTULO II.....................................................................................................................................................24 2. ENTENDIMENTO DO NEGCIO...............................................................................................................24 FUNCIONAMENTO DA EMPRESA - ORGANOGRAMA ........................................................................................ 25 JURDICO ........................................................................................................................................................... 25 Tributrio ..................................................................................................................................................... 26 Trabalhista ................................................................................................................................................... 26 Famlia ......................................................................................................................................................... 27 Mercado ....................................................................................................................................................... 28 ADMINISTRATIVO ............................................................................................................................................. 28 RH/DP........................................................................................................................................................... 29 Tecnologia da Informao (TI) ..................................................................................................................... 29 Documentos ................................................................................................................................................. 30 Financeiro..................................................................................................................................................... 30 Eventos ......................................................................................................................................................... 31 FLUXOGRAMA DAS INFORMAES .................................................................................................................. 32 MACRO-VISO DA INFRAESTRUTURA LGICA .................................................................................................. 34 Camada de sistemas .................................................................................................................................... 34 Tedesco ........................................................................................................................................................ 35 Organizer ..................................................................................................................................................... 36 Elite Enterprise ERP ...................................................................................................................................... 36 Exchange ...................................................................................................................................................... 37 Citrix MetaFrame ......................................................................................................................................... 38 Active Directory ............................................................................................................................................ 38 Website/intranet .......................................................................................................................................... 39 TOPOLOGIA ....................................................................................................................................................... 40 REDES ................................................................................................................................................................ 40 DESCRITIVO E PLANTAS ..................................................................................................................................... 41 PLANTAS ....................................................................................................................................................... 41 CAPTULO III....................................................................................................................................................46 ANLISE DE RISCOS .........................................................................................................................................46 3. METODOLOGIA DE ANLISE DE RISCOS .................................................................................................46 ANLISE DE RISCO .................................................................................................................................................. 46 Introduo a gesto de riscos e anlise de riscos ........................................................................................ 46 CONCEITOS FUNDAMENTAIS .................................................................................................................................... 47 CRITRIO PARA DEFINIO DO CONTEXTO DA ANLISE ................................................................................................... 48
CRITRIOS PARA ESCOLHA DE ATIVOS RELACIONADOS AO CONTEXTO................................................................................. 48 FORMULRIO PARA DE RH/DP: ............................................................................................................................... 49 FORMULRIO PARA REA DE TI: ............................................................................................................................... 50 FORMULRIO PARA REA DE SEGURANA: .................................................................................................................. 51 CRITRIOS PARA DEFINIO DA RELEVNCIA DOS ATIVOS ............................................................................................... 52 CRITRIOS PARA DEFINIO DAS AMEAAS .................................................................................................................. 53 CRITRIOS PARA CLASSIFICAO DAS AMEAAS ............................................................................................................ 55 CRITRIOS PARA IDENTIFICAO DE VULNERABILIDADES ................................................................................................. 55 CRITRIOS PARA PONTUAO DE RISCOS ..................................................................................................................... 72 CRITRIOS PARA CLASSIFICAO DE RISCOS E IMPACTOS ................................................................................................. 87 CRITRIOS PARA APRESENTAO DE RESULTADO .......................................................................................................... 88 CAPITULO IV ...................................................................................................................................................89 4. EXECUO DA ANLISE DE RISCOS ........................................................................................................89 FORMULRIO PARA REA O RH/DP: ......................................................................................................................... 89 FORMULRIO PARA REA DE TI: ............................................................................................................................... 90 FORMULRIO PARA REA DE SEGURANA: .................................................................................................................. 91 QUESTIONRIO RESPONDIDO ................................................................................................................................... 95 PONTUAO DE RISCO.......................................................................................................................................... 109 CONTROLES POR NVEL DE RISCO ............................................................................................................................. 127 CONTROLES A SEREM IMPLEMENTADOS .................................................................................................................... 131 PROJETOS IMEDIATOS ARQUITETURA LGICA ......................................................................................................... 153 Servidor de E-mail ...................................................................................................................................... 157 Servidor de Arquivos .................................................................................................................................. 158 Servidor de servio de diretrio .................................................................................................................. 159 Servidor DNS .............................................................................................................................................. 159 Servidor de impresso ................................................................................................................................ 160 Servidor de banco de dados ....................................................................................................................... 160 Servidor Web .............................................................................................................................................. 161 Servidor ERP ............................................................................................................................................... 162 Estaes ..................................................................................................................................................... 163 Notebooks .................................................................................................................................................. 163 Switches ..................................................................................................................................................... 164 Roteador .................................................................................................................................................... 165 Firewall....................................................................................................................................................... 165 PROJETOS IMEDIATOS ARQUITETURA FSICA ........................................................................................................... 166 Prdio ......................................................................................................................................................... 166 Elevadores .................................................................................................................................................. 167 Ar-condicionado ......................................................................................................................................... 167 Salas de reunio ......................................................................................................................................... 168 Salas de servidores ..................................................................................................................................... 168 CAPITULO V ..................................................................................................................................................169 5. POLTICA DE SEGURANA DA INFORMAO .......................................................................................169 GLOSSRIO ......................................................................................................................................................... 169 Autenticidade ............................................................................................................................................. 169 Cdigo Malicioso ........................................................................................................................................ 169 Confidencialidade....................................................................................................................................... 169 Disponibilidade........................................................................................................................................... 169 Informao classificada ............................................................................................................................. 170 Integridade ................................................................................................................................................. 170 Interoperabilidade ..................................................................................................................................... 170 Legalidade .................................................................................................................................................. 170 NBR ISO/IEC 17799..................................................................................................................................... 170 Ponto de acesso ......................................................................................................................................... 170 Vrus ........................................................................................................................................................... 170
INTRODUO ...................................................................................................................................................... 171 OBJETIVO ........................................................................................................................................................... 172 ABRANGNCIA .................................................................................................................................................... 172 DIRETRIZES CORPORATIVAS.................................................................................................................................... 173 NORMAS GERAIS PARA USURIOS........................................................................................................................... 174 Objetivos .................................................................................................................................................... 174 Segurana Organizacional ......................................................................................................................... 174 Segurana da Informao pelos Colaboradores ........................................................................................ 175 Segurana fsica ......................................................................................................................................... 176 Proteo das Estaes de Trabalho e Computadores Mveis .................................................................... 177 Antivrus ..................................................................................................................................................... 177 Contas e Senhas ......................................................................................................................................... 177 Software ..................................................................................................................................................... 178 APLICAES CORPORATIVAS................................................................................................................................... 179 Correio Eletrnico....................................................................................................................................... 179 Internet ...................................................................................................................................................... 179 Utilizao da Rede ..................................................................................................................................... 180 NORMAS GERAIS PARA TCNICOS ........................................................................................................................... 181 Objetivos .................................................................................................................................................... 181 Abrangncia ............................................................................................................................................... 181 Configuraes de Desktops, Notebooks e Servidores................................................................................. 182 Requisitos de criptografia e certificado digital .......................................................................................... 182 Esterilizao e descarte de mdias ............................................................................................................. 183 Tempo de armazenamento e vida til de dispositivo de armazenamento de dados ................................. 183 Local de estoque e armazenamento de mdias de dados .......................................................................... 184 Utilizao da Rede ..................................................................................................................................... 184 Manuteno dos Recursos de Tecnologia da Informao ......................................................................... 185 Segurana Fsica......................................................................................................................................... 186 NORMAS PARA SEGURANA LGICA ....................................................................................................................... 186 Objetivos .................................................................................................................................................... 186 Abrangncia ............................................................................................................................................... 187 Sistemas ..................................................................................................................................................... 187 Servidores ................................................................................................................................................... 188 Redes .......................................................................................................................................................... 189 Controle de acesso lgico (baseado em senhas) ........................................................................................ 192 Estaes de Trabalho ................................................................................................................................. 194 NORMA PARA USO DE INTERNET............................................................................................................................. 195 Objetivos .................................................................................................................................................... 195 Abrangncia ............................................................................................................................................... 195 Normas....................................................................................................................................................... 196 Monitoramento .......................................................................................................................................... 197 NORMA PARA USO DE CORREIO ELETRNICO ............................................................................................................ 197 Objetivos .................................................................................................................................................... 197 Abrangncia ............................................................................................................................................... 198 Responsabilidades dos Usurios ................................................................................................................ 198 Responsabilidades dos Usurios Administradores do Correio ................................................................... 198 Uso do Espao Disponvel........................................................................................................................... 199 Tamanho Mximo de Mensagens Enviadas e Recebidas ........................................................................... 199 Tamanho de pastas pblicas...................................................................................................................... 199 Tempo de Vida das mensagens e documentos .......................................................................................... 200 Tempo de vida de documentos em pastas pblicas ................................................................................... 200 Tempo de vida de mensagens e documentos na pasta Itens Excludos .................................................. 200 Quantidade de caixas postais por usurio ................................................................................................. 200 Direito de acesso pasta pblica do prprio departamento ..................................................................... 200 Direito de acesso pasta pblica da Candido, Carvalho e Vieira Associados ............................................ 201 Direito de acesso pasta pblica temtica ............................................................................................... 201 Ausncia temporria .................................................................................................................................. 201
Criao de caixas postais para terceiros .................................................................................................... 202 Funcionrios exonerados, aposentados ..................................................................................................... 202 Pastas pblicas departamentais ................................................................................................................ 202 Pastas pblicas temticas .......................................................................................................................... 202 Pastas pblicas de grupo de trabalho ........................................................................................................ 202 Listas departamentais, temticas e de grupo de trabalho ........................................................................ 202 Contedo Proibido ..................................................................................................................................... 203 SANES ........................................................................................................................................................... 203 CLASSIFICAO DAS VIOLAES .............................................................................................................................. 204 ESTRATGIA DE IMPLEMENTAO DA P.S.I. .............................................................................................................. 205 Carta do Presidente.................................................................................................................................... 205 DOCUMENTAO DE SUPORTE ............................................................................................................................... 206 Termo de Responsabilidade e Sigilo ........................................................................................................... 206 Campanha de Divulgao .......................................................................................................................... 208 Outras Campanhas .................................................................................................................................... 209 Programas de Treinamentos ...................................................................................................................... 210 CAPITULO VI .................................................................................................................................................214 6. PLANO DE CONTINUIDADE DE NEGCIOS ............................................................................................214 DEFINIO DE PCN.............................................................................................................................................. 214 MAPEAMENTO DOS PROCESSOS.............................................................................................................................. 216 ESTUDO DE CRITICIDADE ....................................................................................................................................... 219 ANLISE DE IMPACTO NO NEGCIO (BIA) ................................................................................................................ 220 CENRIOS PARA RECUPERAO E RESTAURAO ....................................................................................................... 223 Ambientes .................................................................................................................................................. 223 DESENVOLVIMENTO DOS PLANOS NO PCN ............................................................................................................... 224 PLANO DE ADMINISTRAO DE CRISE ...................................................................................................................... 224 Equipe de gesto de crises ......................................................................................................................... 225 Nome e telefones do time de Gestores ...................................................................................................... 226 Procedimento para acionamento dos times de contingncia .................................................................... 227 Procedimentos para Comunicao da Contingncia ................................................................................. 228
Interno.....................................................................................................................................................................228 Externo ....................................................................................................................................................................229
Relao dos ambientes contemplados no plano ........................................................................................ 230 Relao dos times de contingncia e crises ............................................................................................... 232 Ambientes e gestores ................................................................................................................................. 232 RECURSOS E PROCEDIMENTOS ................................................................................................................................ 234 Roteadores e links de comunicao ........................................................................................................... 234 PLANO DE CONTINUIDADE OPERACIONAL .................................................................................................................. 234 Objetivo ...................................................................................................................................................... 234 Aplicabilidade do plano .............................................................................................................................. 237 Acionamento da contingncia ................................................................................................................... 237 PLANO DE RECUPERAO DE DESASTRE ................................................................................................................... 237 ROTEIRO DO PLANO.............................................................................................................................................. 239 PLANO DE RETORNO NORMALIDADE ..................................................................................................................... 241 PLANO DE TESTES E VALIDAO DO PCN ................................................................................................................. 242 TESTES DE FUNCIONALIDADE .................................................................................................................................. 242 TESTES DE DESEMPENHO ....................................................................................................................................... 243 RELATRIO DOS RESULTADOS ................................................................................................................................. 243 MANUTENO DO PLANO ..................................................................................................................................... 244 CAPITULO VII ................................................................................................................................................245 7. ANLISE DE RISCO FINAL .....................................................................................................................245 CLCULO DE RISCO .............................................................................................................................................. 264 OS GRFICOS FINAIS ............................................................................................................................................ 282 CAPITULO VIII ...............................................................................................................................................287
9.
MODELO DE GESTO ...........................................................................................................................287 DEFINIO DE UM MODELO .................................................................................................................................. 288 DEFINIO DE PROCESSOS ..................................................................................................................................... 288 Definio de Funes ................................................................................................................................. 289 Responsabilidades ...................................................................................................................................... 289 Metodologia e Normas de apoio ............................................................................................................... 290
15
INTRODUO
Aps a incidncia de algum impacto negativo, as empresas passam a considerar o ambiente externo, com suas oportunidades e ameaas, e o ambiente interno, com as foras e fraquezas em relao organizao. O tema segurana tem ganhado a ateno de organizaes dentro de um processo gradual de amadurecimento, em que o avano do uso da tecnologia, a proliferao dos negcios e servios on-line, a mobilidade tecnolgica e seus riscos tiveram impacto nos diversos nveis
organizacionais e operacionais de forma desordenada. Dessa forma, o encaminhamento do tema tambm ocorreu sem a orientao de um instrumento de gesto adequado, que tivesse sido estabelecido por meio de uma viso ampla, integrada e corporativa. Tanto fato, que nestes ltimos anos o foco das organizaes tem sido substancialmente orientado ao estabelecimento da segurana na infraestrutura tecnolgica e nas plataformas operacionais dos sistemas. Algumas organizaes conseguiram ir um pouco alm, estruturando a rea de segurana, estabelecendo o modelo de gesto e as atribuies e necessidades de recursos, ferramentas e procedimentos. Houve aquelas que avanaram ainda mais, definindo e se orientando por uma poltica de segurana, considerando inclusive as operaes do negcio Outro fato que, a cada ano, torna-se maior a ateno da alta administrao e de seus gestores sobre as questes de segurana, mais complexa as necessidades tecnolgicas e operacionais para se tratar estas questes e ainda maior os nmeros atribudos aos oramentos de segurana das organizaes. Enfim, alm do interesse pessoal dos pesquisadores, o tema se mostra extremamente relevante e de grande importncia aos escritrios de advocacia.
16
JUSTIFICATIVA
A escolha do ramo de atividade relacionado ao tema em questo deu-se pela importncia da Segurana da Informao no segmento de advocacia. Com a busca pela modernizao do judicirio, tribunais de justia e divesas cortes no pas aumenta o apelo de recursos da informtica jurdica em seus processos. No entanto, a evoluo das tecnologias trazem consigo preocupaes com a relao a maneira com que as informaes so dispostas e tratadas pelos sistemas responsveis por esta evoluo, principalmente no que diz respeito a segurana destas informaes. Contudo, no difcil perceber os benefcios de novas tecnologias em nosso segmento, como agilidade nos processos, desempenho na prestao do servio jurdico, confiabilidade das informaes e outros. Porm, o nus de ter estes benefcios muitas vezes esto ocultos, poucos so os que se preocupam com a fragilidade das informaes e menor ainda o nmero das pessoas que no conseguem dimensionar o estrago de um vazamento de uma informao. Sem dvida alguma, isto nos motivou na escolha deste tema.
17
OBJETIVO
A presente pesquisa se configura como Trabalho de Concluso de Curso da Faculdade IBTA e apresenta suas justificativas para a escolha do tema, bem como a sua delimitao. Com a finalidade de contribuir para a produo cientfica e atingir certo grau de aprofundamento acadmico, a pesquisa foi realizada pelos alunos Alexsandro Silva Vieira, Hugo Iida, Jair Rodrigo Zepeda Araya, Rodrigo Candido e Kelli Cristina Ribeiro do curso de Segurana da Informao. Partindo da escolha de uma empresa fictcia Candido, Carvalho e Vieira Associados, criamos cenrios, departamentos e estruturas subjetivas, com a inteno de simular um cenrio de ausncia de segurana em vrios aspectos, os quais poderamos atuar diretamente sugerindo e elaborando boas prticas e aplicaes de solues customizadas. Todos os personagens e empresas aqui citados so meramente ilustrativos; qualquer semelhana com a realidade ser mera coincidncia. Em ordem cronolgica, descreveremos ao longo deste trabalho de concluso de curso a situao da referida empresa num primeiro momento, onde ocorre o incidente de segurana, a contratao do profissional para remediar a situao e todas as suas providncias relacionadas ao cenrio previamente descrito e, em seguida, os resultados efetivos e o fechamento do trabalho com as respectivas concluses.
18
METODOLOGIA E ATIVIDADES
As atividades de desenvolvimento deste trabalho de concluso de curso tiveram incio no primeiro semestre do curso de Segurana da Informao, mais especificamente em setembro de 2007. Inicialmente, a atividade executada foi o desenvolvimento de uma descrio primria da empresa na qual seria baseada a proposta de Segurana da Informao contida neste trabalho. Aps todo o desenvolvimento desta descrio comearam a ser desenvolvidos os primeiros tpicos referentes Segurana da Informao. Em discusso nas aulas de Metodologia Cientifica, o grupo foi formado por 5 componentes, sendo eles, Alexsandro, Hugo, Jair, Rodrigo e Kelli. Aps a formao do grupo, em seguida escolhemos o tema do projeto por afinidades de cada componente e j definida a data do dia 06 de dezembro de 2007 para a primeira reunio, onde teria como pauta o desenvolvimento do tema, escopo e cenrio escolhidos. Nesta primeira reunio, viu-se a necessidade de ter um lder para o grupo, responsvel por conduzir as reunies e trabalhos do grupo. As tarefas foram divididas conforme reunies previstas pelo orientador. Nestas reunies de orientao com datas pr-agendas foram traados os caminhos para o desenvolvimento das atividades. Atravs de um documento eletrnico, o orientador traou um cronograma a ser seguido. Com este facilitador, a gesto do projeto deu-se atravs de encontros prximos s reunies de orientao com a participao de todos os componentes do projeto. O projeto foi sendo conduzido de forma a atender as requisies do documento de orientao e correes indicadas nas reunies de orientao. Na medida em que as atividades eram concludas, este contedo era submetido a apreciao e possveis alteraes sugeridas pelo orientador.
19 O projeto tomou forma com a concluso de cada atividade e busca das informaes. A pesquisa para obteno das informaes foi realizada com entrevistas informais de profissionais escolhidos do segmento de advocacia e submetendo os dados levantados ao escopo do projeto. Com as informaes colhidas e organizadas conforme assunto, a disposio delas no projeto deu-se conforme instruo do orientador.
20
CONSIDERAES GERAIS
Com o desenvolvimento deste trabalho foi possvel para os membros do grupo entender e conhecer os passos necessrios para o desenvolvimento de uma estratgia de segurana em uma empresa que no possua uma rea especifica de segurana. Para a rea acadmica os benefcios foram: apresentar um estudo de caso diferente dos que j foram expostos e por em prtica todos os assuntos abordados em sala de aula. J para a comunidade da segurana da informao, o desenvolvimento do trabalho foi benfico pois trouxe o levantamento de um caso onde o descuido na hora de imprimir um documento unido ao esquecimento do usurio em busc-lo na impressora causou um vazamento de informao e por conta disto, iniciou as atividades para a contratao de um Security Officer. Assim como para os gestores de escritrios de advocacia, as
recomendaes e procedimentos descritos no decorrer deste projeto podem originar benefcios e melhorias, servindo de exemplo para empresas de advocacia em quaisquer de seus ramos de atividades.
21
CAPTULO I
O captulo em epgrafe diz respeito a apresentao da empresa como um todo, bem como o negcio no qual ela est engajada. Nele sero encontradas informaes como Fundao, Histrico da Empresa,
Quantidade de Funcionrios, Faturamentos e outros dados importantes para a fundamentao dos trabalhos do Security Officer.
1. APRESENTAO DA EMPRESA
Uma equipe de scios e advogados, altamente especializados, coloca integralmente a servio de clientes o conhecimento tcnico e da legislao. O posicionamento orientado para resultados tem levado a assumir o planejamento e a representao legal de algumas das mais importantes instituies e grupos privados em atividade no Pas. A confiana depositada na qualidade de servios tem sido retribuda com a busca permanente de solues jurdicas inovadoras para o enfrentamento dos desafios impostos pela dinmica da atividade empresarial.
A ESTRUTURA
Fundada por um grupo de profissionais de reconhecida formao jurdica e capacidade profissional, Candido, Carvalho e Vieira Associados consolidouse no campo do Direito Privado e Direito Pblico (com nfase na rea empresarial) como sinnimo de auto-conceito, eficincia, dedicao e probidade. Seus profissionais, extremamente qualificados, criteriosos e experientes, com experincia no Brasil e no exterior, esto aptos a apresentar solues e
22 prestar acessria altamente especializada. Hoje, o Escritrio conta com aproximadamente 190 funcionrios, registrados na Consolidao das Leis Trabalhistas (CLT), e apresenta um faturamento anual na ordem de R$ 90 milhes. Mais do que orientao adequada s complexas solicitaes da sociedade moderna, o escritrio oferece credibilidade, tradio e a certeza de encontrar as melhores respostas em todas as reas de atuao. Desde sua fundao registrado um expressivo crescimento no mercado brasileiro da advocacia empresarial, na qual o escritrio est posicionado entre os melhores deste seguimento. Com pesados investimentos em treinamentos, infraestrutura e contratao de profissionais qualificados, a expanso das atividades surge
inevitavelmente. O escritrio conta com mais de 90 profissionais distribudos em pontos estratgicos do pas. Com sede em So Paulo e correspondentes em outros estados, podem garantir um qualificado atendimento em suas demandas. O escritrio atua nas seguintes reas: Ambiental, Contencioso Civil e Comercial, Econmico, Energia, Famlia e Sucesses, Imobilirio, Mercado de Capitais, Privatizaes e Societrio, Telecomunicaes, Terceiro Setor, Cultura e Responsabilidade Social, Trabalhista e Tributrio. A distribuio dos profissionais est atrelada s reas estratgicas para o atendimento corporativo com grande preocupao para a especializao e atualizao de conhecimentos dos seus funcionrios.
23
responsabilizado diretamente. Por tratar-se da maior conta do escritrio, o corpo de scios acionistas tomou a deciso de investir em segurana da informao devido ao fato de seus concorrentes j terem investido e tambm pela ameaa do cliente em abandonar o escritrio caso no tivesse evidncias, em um curto prazo, que seus processos estariam seguros. Neste contexto, um Security Officer foi contratado para trabalhar ao lado do diretor administrativo, com a misso de organizar processos do escritrio, restringir acessos indevidos, elaborar uma soluo de criptografia e segurana consistente dos documentos processuais, e principalmente, evidenciar os quesitos de segurana exigidos pelo cliente no prazo requerido. A contratao do Security Officer ocorreu em meados de outubro de 2007 e sua posio no organograma se deu logo em princpio ao lado da diretoria, abaixo apenas da presidncia.
24
CAPTULO II
O capitulo em epgrafe foi escrito pelo Security Office na fase inicial do projeto afim de expor a situao encontrada na empresa e para melhor compreenso do projeto.
2. ENTENDIMENTO DO NEGCIO
Com formao nas principais universidades do pas e com cursos de especializao fora do pas, seus advogados produzem resultados e oportunidades reais para os clientes. Os profissionais esto distribudos em reas de especializao que cobrem todas as disciplinas estratgicas para um bom atendimento.
25
JURDICO
O setor jurdico basicamente composto por advogados e consultores jurdicos, que so responsveis pelo core business do grupo e diretamente ligados ao atendimento dos clientes da empresa. Nivelados
hierarquicamente, os advogados scio-acionistas, scios e os demais tomam individualmente aes sobre os casos em que esto envolvidos, sem prestar contas aos demais.
26 Todavia, h a possibilidade de consultoria ou mesmo de trabalho em conjunto com um ou mais advogados do grupo, e os processos podem ser auditados pelas hierarquias mais altas visando medir e avaliar a qualidade do atendimento ou mesmo garantir que os atendimentos sejam
padronizados ou com tratamento similar para todos os clientes. Tributrio Presta orientao e assessoria em todas as fases e procedimentos fiscais, tanto nas esferas federal e estadual como na municipal: Anlise preventiva de procedimentos fiscais; Elaborao de consultas e pareceres; Elaborao de manuais de procedimentos jurdico-tributrios; Defesas e recursos em processos administrativos federais,
estaduais, municipais e previdencirios; Questionamento judicial de tributos considerados ilegais; Orientao sobre repercusses fiscais em processo de
reorganizao societria; Planejamentos tributrios, inclusive na orientao de sucesso empresarial; Trabalhista O setor atua intensamente na rea tributria, nas esferas consultiva, preventiva e contenciosa (tanto administrativa, quanto judicialmente), estando capacitado a prestar, dentre outros, os seguintes servios aos nossos clientes: Elaborao de consultas e pareceres; Elaborao e implementao de planejamentos tributrios, inclusive em processos de reorganizao societria; Preparao e apresentao de seminrios e eventos, sobre modificaes na legislao tributria; Anlise preventiva de procedimentos fiscais;
27 Elaborao de rotinas fiscais, incluindo o treinamento do corpo tcnico dos clientes; Realizao de auditorias fiscais, visando identificar crditos
tributrios no aproveitados, bem como eventuais contingncias; Elaborao de boletins informativos sobre alteraes legislativas e decises relevantes do judicirio; Preparao de defesas e recursos em processos administrativos, nas esferas municipal, estadual, federal e previdenciria; Questionamento judicial de tributos considerados indevidos; Acompanhamento dos chamados "leading cases", dos principais questionamentos judiciais, perante tribunais superiores. Famlia Orientao e assessoria para os procedimentos legais decorrentes de relacionamentos pessoais e familiares: Orientao sobre planejamento sucessrio; Testamentos; Inventrios e arrolamentos; Alvars; Separaes judiciais no contenciosas; Divrcios; Adoes; Interdies e tutelas.
28 Mercado Assessoria e consultoria em transaes realizadas no pas e no exterior, nos mercados de capitais, abrangendo assessoria nas seguintes atividades: Distribuio internacional; Administrao de recursos de terceiros (fundos de investimento e carteiras administradas); Atuao do no-residente no mercado brasileiro; Atuao do residente nos mercados internacionais; Obteno de registros junto CVM e bolsas de valores e de mercadorias; Estruturao de operaes a partir da anlise da regulamentao; Operaes de securitizao; Consultoria relacionada regulamentao de mercado de capitais. de valores mobilirios nos mercados local e
ADMINISTRATIVO
O setor administrativo basicamente composto por colaboradores no ligados area jurdica, e tem como principal propsito propiciar suporte e infraestrutura para o andamento do negcio. O setor administrativo realiza todo o back-office necessrio em uma empresa convencional e apoia o core-business, atualmente sendo responsvel por 70% dos colaboradores e expandido-se de acordo com o nmero de contas, estes setores tem como principal misso viabilizar a atuao da rea jurdica.
29 RH/DP A Diretoria de Recursos Humanos tem como misso a criao e implementao das melhores prticas de gesto de pessoas para o Escritrio, a coordenao dos processos de desenvolvimento organizacional e a garantia da evoluo constante dos profissionais. O RH responsvel pelos treinamentos ministrados no escritrio, por meio do projeto Fio de Ariadne. Ao trabalhar de forma conjunta com o treinamento tambm fica responsvel por introduzir projetos de
desenvolvimento, tais como as avaliaes de desempenho, pesquisas de clima e plano de carreira. igualmente responsvel pelo recrutamento, seleo e integrao de novos funcionrios. Aps estes procedimentos, realiza um processo de
acompanhamento e avaliao dos novos integrantes do escritrio. Considerando este processo de desenvolvimento, tambm coordena todos os programas de qualidade de vida que so relacionados ao escritrio. A Diretoria de Recursos Humanos participa dos grupos D_Integrao e MF Solidrio, que organiza as celebraes internas do escritrio, e com as atividades relacionadas responsabilidade social. Alm disso, administra todas as questes administrativas relacionadas s secretrias do escritrio. Tecnologia da Informao (TI) O Departamento de Tecnologia gerencia todo ambiente tecnolgico de software, hardware, redes e telecomunicaes mediante estudo,
manuteno, implantao, suporte e desenvolvimento de solues. formado pelas seguintes reas administrativas: Redes responsvel por interligar todos os equipamentos e compartilhar as informaes internamente (por meio de servidores) e externamente (internet e e-mail) mediante meios fsicos de acesso, protocolos e requisitos de segurana.
acompanhamento de sistemas de gesto financeira e conhecimento do escritrio. Suporte - responsvel pelo apoio aos usurios e pela manuteno do parque de software e hardware em pleno funcionamento. Telefonia responsvel pela comunicao de voz e dados do escritrio (telefones, celulares e dispositivos de mobilidade como o Blackberry). Documentos O Setor de Documentao coordena as aes da biblioteca jurdica, arquivo jurdico e biblioteca literria. responsvel pela organizao e acesso informao jurdica proveniente de diferentes fontes: doutrina, legislao, jurisprudncia e a produo intelectual do escritrio composta por opinies legais, teses, artigos e apresentaes. D suporte ao trabalho dos advogados na realizao de pesquisas e na recuperao de informaes relevantes, mantendo-os atualizados com relao a novos recursos e suportes de informao. Atua no processo de gesto documental que compreende o controle e a movimentao dos documentos do arquivo de clientes. O setor mantm, tambm, uma biblioteca de lazer para os colaboradores do escritrio com acervo composto de literatura nacional e estrangeira. Financeiro O setor responsvel pelas seguintes reas: faturamento (nacional e internacional); financeiro (contas a pagar; contas a receber; recebimento fiscal); anlise financeira (oramento e relatrios gerenciais); gesto de contratos (clientes e fornecedores) e contabilidade.
31 O Financeiro coordena as aes do escritrio junto aos bancos (pagamentos), auditorias (contabilidade), fornecedores recebimentos de notas fiscais e gesto de contratos), clientes (cobrana) e advogados (faturamento e gesto de contratos de clientes). Eventos O Ncleo de Marketing e Eventos coordena as aes de divulgao do escritrio em revistas e publicaes especializadas, zela pela identidade visual do escritrio e pela manuteno da imagem corporativa em nosso site, folders e outros itens institucionais, assim como em material de divulgao interna e externa. Mantm um banco de dados de clientes atualizado por meio de constantes verificaes dos dados cadastrais para que o envio de correspondncias diversas cheguem aos clientes com sucesso e de forma padronizada. formado pelas seguintes reas administrativas: eventos, cadastro, administrao do site, intranet, copa, recepo, telefonistas e assessoria de imprensa.
32
33 1. Cliente contata a central de atendimento ou comparece empresa, apresentando seu caso em linhas gerais. Um consultor designado em uma data posterior ou, dependendo da disponibilidade na mesma visita, para realizar uma entrevista detalhada, preenchendo
formulrios e pesquisas. 2. Ao final da entrevista, o formulrio indica se o caso/processo do cliente tem seu atendimento vivel de acordo com as
especialidades/knowhow do grupo de advogados e ento d-se incio a um cadastro do cliente e designao de um advogado responsvel. 3. O cliente ento informado de que receber uma proposta de atendimento e apresentado ao seu advogado caso aceite a mesma. 4. De acordo com a tabela de honorrios da empresa, um executivo de contas analisa o formulrio preenchido e formata uma proposta para o atendimento e inicia o contato comercial com o cliente. 5. Dado o aceite do cliente, o advogado designado realiza uma reunio preliminar, verificando as necessidades de documentao
processuais, audincias e afins. Nesta fase, o cliente recebe um planejamento de atendimento de sua demanda e, a partir da, comeam os protocolos de documentos pertinentes junto aos rgos competentes relacionados ao caso. 6. O cliente e o advogado por vezes comparecem juntos reunies com a contraparte processual, dando andamento ao processo at que os objetivos sejam atingidos.
34
A infraestrutura lgica trata da diviso dos departamentos apresentados em camadas de sistemas, dando nfase ao papel de cada aplicativo e a sua utilizao pelo escritrio. Camada de sistemas
35 Tedesco Software de acompanhamento processual voltado ao gerenciamento das rotinas de departamentos jurdicos de empresas de mdio e grande porte. Administra com eficcia, segurana e flexibilidade os controles dos processos jurdicos, consultas e provisionamento. O sistema disponibiliza informao e acesso a escritrios terceirizados, alm de integrar diferentes departamentos. Outras funcionalidades: Relatrios de auditoria; Relatrios gerenciais; Diferentes nveis de acesso com total segurana; Multi-idiomas; Controle societrio; Controle de marcas e patentes; Controle de licitaes.
Gerencia rotinas de escritrios de advocacia de mdio e grande porte. Administra com segurana e eficincia os controles dos processos jurdicos e consultas de clientes. Oferece a possibilidade de controlar o tempo gasto dos advogados com cada processo gerando faturas de acordo com os contratos estabelecidos e de integrar o processo de controle financeiro, administrando as despesas.
36 Organizer A mesma tecnologia utilizada no Tedesco WebFull foi utilizada para a construo Tedesco Organizer. A agilidade, performance e confiabilidade tcnica de um produto maduro e exaustivamente utilizado por milhares de profissionais do a este novo produto a credibilidade que voc necessita . Outras funcionalidades: Notas de experiente; Agenda rpida; Hosting na Tedesco.
Elite Enterprise ERP Empresas profissionais de servios seguem um ciclo previsvel de atividade, o qual inicia com a procura de novos negcios e conclui com o cliente satisfeito. Mesmo assim cada empresa possui um recurso nico, incluindo
relacionamento com o
conhecimento existente e produto funcional. A soluo da Elite permite que as empresas utilizem esses recursos de forma eficiente, e deste jeito possam focar no que realmente as distingue das empresas concorrentes. O abrangente pacote de aplicativos da Elite racionaliza e encaminha todas as tarefas essenciais envolvidas para manter um negocio de sucesso. A Elite habilita empresas a:
Melhorar o fluxo de caixa facilitando um faturamento e levantamento rpido e preciso; Entrega informes financeiros e business intelligence de forma rpida e precisa;
37 Gerencia e alavanca o capital intelectual, incluindo exemplos de produtos funcionais que podem ser referenciados e reutilizados para futuros projetos; Foca os esforos de marketing nas oportunidades de negocio com potenciais clientes. Os sistemas da Elite so de simples implantao e fceis de se aderir, eles trabalham de maneira imperceptvel junta a uma variedade de bancos de dados standard, sistemas operativos e plataformas de hardware. Mas a elite vai alm compatibilidade para ser realmente flexvel e customizavel, oferecendo a habilidade de incorporar no programa processos externos de fluxo de trabalho e negcios, modificando o layout de telas e customizar as nomenclaturas. A verdadeira promessa da tecnologia no forar o usurio a ser o mesmo mas de dar ao usurio a liberdade de ser nico.
Exchange O Exchange Server, o servidor de mensagens e colaborao da Microsoft, um software que funciona em servidores que permitem que voc envie e receba e-mails e outras formas de comunicao interativa atravs da rede de computadores. Projetado para interoperar com um software de aplicativo cliente, tal como o Microsoft Outlook, o Exchange Server tambm interage com o Outlook Express e outros aplicativos clientes de e-mail. A verso utilizada no escritrio Exchange Server 2003 Standard no servidor que est dividido em duas Storage Group, sendo uma delas para utilizao da rea tcnicas que compreende a parte de advogados e estagirios do escritrio e outra utilizada por todo administrativo, ou seja, diretores, gerentes e demais funcionrios.
38 Citrix MetaFrame Citrix MetaFrame Server, da empresa Citrix, um servidor de ambiente de trabalho remoto baseado em Microsoft Windows. Est disponvel para os sistemas operacionais Linux e Windows. Tem como finalidade prover acesso aos usurios, desde que permitidos, acessarem aos recursos do escritrio remotamente. uma maneira segura de o advogado ter acesso aos seus documentos de qualquer lugar que estiver, basta ter um cliente Metaframe instalado em seu computador pessoal para se conectar ao escritrio. Alm do acesso aos seus arquivos, o colaborador com acesso Metaframe poderia utilizar recursos tais como impressoras, ERP, consultas de processos, timesheet e outros.
O acesso ao servidor Citrix MetaFrame Server est condicionado a algumas regras de segurana, como liberao de portas do firewall restrita a tcp 1494 e udp 1604, utilizao do protocolo ICA em detrimento ao protocolo mais comum RDP, services packs atualizados e aplicados corretamente, publicao de determinados aplicativos seguros e autenticao atravs do Active Directory da Microsoft.
Active Directory O Active Directory uma implementao de servio de diretrio no protocolo LDAP que armazena informaes sobre objetos em rede de computadores e disponibiliza essas informaes a usurios e administradores desta rede. um software da Microsoft utilizado em ambientes Windows.
O "diretrio ativo" permite que os administradores atribuam empresa polticas largas, desdobrem programas a muitos computadores, e apliquem updates crticos a uma organizao inteira. Uma informao ativa e ajustes das lojas do diretrio que relacionam-se a uma organizao em uma central, base de dados organizada, acessvel.
39 As redes ativas do diretrio podem variar desde uma instalao pequena, com cem objetos, a uma instalao grande, com milhes de objetos. O Active Directory foi inspecionado em 1996 e usado primeiramente com Windows 2000. Mais tarde, foi revisado para estender a sua funcionalidade e melhorar a administrao para uma nova verso, conhecida como 'Windows Server 2003'. O Active Directory est relacionado :
Gerenciamento centralizado GPO Polticas de Grupo Catlogo Global Gerenciamento de Desktop Intellimiror Distribuio de Software Automtica Interface de acesso ADSI Compatibilidade com sistemas operacionais MS Legados Administrao Delegada Replicao Automtica
Website/intranet O website proporciona ao escritrio Candido, Carvalho e Vieira Associados divulgar suas reas de atuao, descries e qualificaes de seus advogados, notcias e premiaes, informaes de segurana e tambm divulga a seus clientes suas melhores prticas no ramo de advocacia. Atravs do website, o colaborador ter acesso a intranet, possibilitando visualizar o cadastro de todos os colaboradores, formulrios financeiros em geral, normas, procedimentos, modelos de documentos, telefones teis e informaes gerais.
40
TOPOLOGIA
A rede da Candido, Carvalho e Vieira Associados possui um firewall que divide a rede interna da rede externa e a rede DMZ (rea de rede que permanece entre a rede interna de uma organizao e uma rede externa, em geral a internet). A rede DMZ possui um servidor de e-mail, um servidor DNS (Domain Name System - Sistema de Nomes de Domnios) e um servidor web server. A rede interna possui as estaes de trabalho dos usurios e os servidores Active Directory, Elite Enterpise, Citrix e um Storage. Na rede externa s possui um Roteador conectado a ele.
REDES
41
DESCRITIVO E PLANTAS
A Candido, Carvalho e Vieira Associados fica localizada num dos melhores prdios comercias de So Paulo, com um infraestrutura privilegiada e de fcil acesso.
PLANTAS
Figura 5 - Planta do 13 Andar A disposio dos departamentos foi planejada com o objetivo de gerenciar os acessos fsicos e garantir maior segurana aos colaboradores e a empresa. O 13 andar composto pelas reas administrativas de recursos humanos,
42 documentos, faturamento e eventos. O acesso ao andar exclusivo estes departamentos, ficando apenas dois analistas do Help Desk com acesso completo todos os andares.
Nas reas de treinamento e lanchonete, por serem de grande circulao, no h controle de entrada, ficando a recepcionista do andar responsvel pelo gerenciamento destes acessos durante horrio comercial.
Figura 6 - Planta do 14 Andar No 14 andar ficam localizados os departamentos tcnicos. Por ser o andar com o maior nmero de colaboradores, esto instaladas cmeras de segurana nas reas de fluxo de pessoas. No h rea de sombra nos arquivos deslizantes.
43
Figura 7 - Planta do 15 Andar No 15 andar ficam localizados os gestores de cada departamento tcnico e os scios-diretores da Candido, Carvalho Vieira e Associados.
Prxima sala de conferncia est a sala dos servidores, onde se concentram todos os equipamentos tecnolgicos da empresa. Nesta rea, alm do monitoramento por cmeras, h controle de acesso por leitora de carto de proximidade.
44
Na administrao do condomnio, toda a infraestrutura que passa atravs dos shafts obedece as normas tcnicas e h documentao de todos as unidades do condomnio.
45
Por fazer parte de um condominio com outras torres ao redor, o edificio onde est localizada a Candido, Carvalho e Vieira Associados, tem uma infraestrutura privilegiada e segue todas as normas tcnicas estabelecidas por lei. O acesso ao condominio gerenciado por empresa terceirizada e agrega uma grande gama de servios que proporcionam segurana aos visitantes e colaboradores. Sendo responsvel apenas pela rea externa do escritrio.
46
Anlise de risco
Introduo a gesto de riscos e anlise de riscos O sistema de gesto de riscos visa facilitar a identificao, implementao, monitorao e melhoria da segurana da informao no ambiente. de interesse dos gestores e das equipes envolvidas com a gesto de riscos em uma organizao e em entidades externas que do suporte a essas atividades. Para desenvolver o processo da gesto de riscos necessrio realizar a anlise de risco, ou seja, ambos os conceitos esto relacionados, constituindo aspectos determinantes para a escolha das medidas e controles de segurana serem implementados, de acordo com as necessidades e objetivos especficos destas no que se refere garantia da manuteno da confidencialidade, integridade e disponibilidade da
informao do negcio. A anlise de riscos de suma importncia para a compreenso dos riscos envolvidos no ambiente da empresa, pois sem ela seria difcil determinar o potencial de impacto da ameaa existente e o conjunto adequado de medidas de segurana a ser implementado. Em uma anlise de riscos, existem dois mtodos utilizados para mensurar os riscos existentes, so eles: qualitativo e quantitativo. Onde pelo mtodo
47 quantitativo a estimativa de perdas potenciais avaliada de forma absoluta (quantifica-se o valor do ativo, impacto, freqncia, adequao das medidas de proteo, graus de incerteza). J no mtodo qualitativo, a estimativa de perdas potenciais avaliada de forma relativa (no h preciso quanto ao valor do ativo, impacto, freqncia, adequao das medidas de proteo, graus de incerteza). No entanto, o mtodo escolhido neste projeto o quantitatvo.
Conceitos Fundamentais
Para entender melhor sobre o sistema de gesto de risco, importante introduzir alguns conceitos: Confidencialidade: a propriedade de que a informao no estar disponvel ou divulgada indivduos, entidades ou processos sem autorizao. Em outras palavras, confidencialidade a garantia do resguardo das informaes dadas pessoalmente em confiana e proteo contra a sua revelao no autorizada. Integridade: vem do latim integritate, significa a qualidade de algum ou algo ser ntegro, de conduta reta, pessoa de honra, tica, educada, imparcial, brioso, pundonoroso, cuja natureza de ao nos d uma imagem de inocncia, pureza ou castidade, o que ntegro, justo e perfeito, puro de alma e de esprito. Disponibilidade: um sistema informtico resistente falhas de software e energia, cujo objetivo manter os servios
disponibilizados o mximo de tempo possvel. Vulnerabilidade: Segundo a norma ABNT NBR ISO/IEC 17799 (2005,P3) a definio de vulnerabilidade a fragilidade de um ativo ou grupo de ativos que podem ser exploradas por uma ou mais ameaas". Ameaa: Segundo a norma ABNT NBR ISO/IEC 17799 (2005, p. 3) a definio de ameaa "[..] a causa potencial de um incidente indesejado que pode resultar em um dano para um sistema ou organizao".
48 Impacto: Segundo a norma ABNT NBR ISO/IEC 27005, a definio de risco mudana adversa no nvel obtido dos objetivos de negcios. Risco: Segundo a norma ABNT NBR ISO/IEC 27005, a definio de risco a possibilidade de uma determinada ameaa explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organizao. Ativo: tudo aquilo que possui valor ou gera valor para a empresa, ou seja, pessoas, hardware, software, infra-estrutura, podem ser considerados como um ativo.
49
Responsvel
Localizao
Quantidade
Outros ativos
50
rea: Nome: Ramal: E-mail: Sistemas: Servidores de e-mail Servidores de arquivos Servidores de servio de diretrio Servidores de DNS Servidores de Proxy Servidores de impresso Servidor de banco de dados Servidores web Estaes Notebooks Switch Roteador Impressoras Smartphones Ambiente de redes Software de aplicao Software de sistema Ferramentas de desenvolvimento Servidor Firewall Outros ativos Existe? () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No () () Sim No Responsvel Localizao Quantidade
51
Ativos: Prdio Ar-condicionado Salas de reunies Sala de equipamentos de rede Sala de servidores
Responsvel
Localizao
Quantidade
Outros ativos
52
De acordo com a tabela abaixo, foi elaborado pelo Security Officer as seguintes mtricas para definir o nvel de relevncia dos ativos do ambiente.
Valor 1 2 3 4 5
do
Relevncia 1 2 3 4 5
53
54
Ameaa Furto ou roubo de ativos Incndio Indisponibilidade de servios ou informaes Interceptao de dados no autorizada Interferncia eletromagntica Inundao Multas, indenizaes ou sanes Perda de rastreabilidade Queda de performance ou falta de capacidade Queda de performance ou sobrecarga de trfego Repdio Violao de propriedade intelectual Vazamento de Informao
Tabela 2 - Ameaas
55
vulnerabilidades com o software Nessus e resultado de varreduras de portas com o software Nmap.
56 A tabela para avaliao dos riscos existentes no ambiente, formulada a partir de checklists disponveis pelo COBIT e NIST, que possuem uma ampla base de conhecimentos baseadas em melhores prticas e so atualizadas constantemente.
# 1 2 3 4 5 6 7 8 9 # 1 2 3 4 5 # 1 2 3 4 5 6 7 Segurana Administrativa - Usurios Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Os usurios tem conhecimento sobre a utilizao dos equipamentos e sistemas de informtica? H controles para instalao de software pirata? H monitoramento na rede para identificar acessos no permitidos? Os recursos anti-malware esto configurados de modo que os usurios no possam desabilita-los? Os incidentes de segurana so comunicados pelos usurios? Utilizam criptografia em dispositivos removiveis? Segurana Administrativa - Diretores e Gerentes Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utilizam criptografia em dispositivos removiveis? Segurana Administrativa - Presidente O presidente participa de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utiliza criptografia em dispositivos removveis? A empresa possui uma poltica de continuidade de negcios? Na empresa existe um gerenciamento institucionalizado para garantir conformidade com as leis? Ajuda na divulgao da segurana da informao? A segurana da informao considerada como um prrequisito antes ou durante a estratgia de negcio e planejamento das atividades? A segurana da informao faz parte dos ciclos do negcio? Existe comite de segurana? Participa do comite de segurana? Sim No Sim No Sim No
8 9 10 11
57
# 1 2 3 4 5 6 7 8 9 10 11 Segurana Fsica - Prdio Possui estabilizadores de tenso? Possui geradores de energia? Possui sistema para identificao de funcionrios e visitantes para acesso? Possui porteiro? Possui vigilncia? Possui extintores de incndio e sprinklers? Possui plano de abandono de rea em caso de desastres? Possui CFTV? Possui controle de acesso nos andares? Possui escada de emergncia? Possui portas e janelas antifogo? Sim No
# 1 2 3 4 5 6
Segurana Fsica - Elevadores Possui cmera de vigilncia? Possui manuteno peridica? Possui telefone para comunicao com o porteiro em caso de emergncia? Possui controle de temperatura? Possui iluminao de emergncia? Possui geradores e estabilizador de tenso para caso de falta de energia?
Sim
No
# 1 2
Sim
No
# 1 2 3 4
Segurana Fsica - Sala de Reunio Possui controle de acesso? Possui controle de utilizao? Possui acstica? Possui algum controle para a identificao dos participantes?
Sim
No
58
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
Segurana Fsica - Sala de Servidores Possui controle de acesso? Possui controle de incndio apropriado? Possui controle de temperatura? Existe controle de umidade das sala? Existe controle de variaes de voltagem na rede eltrica? Possui monitorao CFTV? As filmagens so retidas por mais de 30 dias? Existe sistema de deteco de fumaa? Existe sistema para suprir o fornecimento de energia em caso de falhas por 48 horas? O cabos de dados e eltricos esto sob o piso falso? Existes canaletas separadas para cabos de dados e eltricos? Os racks possuem portas com fechaduras? Existe controle de quem solicita e utiliza as chaves dos racks? Existe controle de quem autorizado a pegar chaves dos racks? A chave de um rack pode abrir um outro rack? O cabeamento de dados e de voz est estruturado e identificado? O cabeamento de energia est estruturado e identificado? Existe controle para medir a utilizao de eltrica por rack?
Sim
No
18 Existe procedimento de limpeza segura das sala? 19 20 21 22 Existe processo para detectar racks que no foram fechados devidamente? Existem rotas de fugas em casos de incidentes? Existe sistema para emisso de aviso sonoro em caso de incidentes?
59
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 Segurana Lgica - Servidor de Email Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias de backup? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui IDS/IPS instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Existe procedimento para contingncia documentado? O recurso de relay est desabilitado? Possui limite para o tamanho de caixa por usurio? Possui limite para o tamanho de arquivo a ser enviado? Possui limite para o tamanho de arquivo a ser recebido? Sim No
60
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22
Segurana Lgica - Servidor de Arquivos Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias de backup? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possui limite de espao por usurio configurado?
Sim
No
61
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
Segurana Lgica - Servidor de Servio de Diretrio Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall?
Sim
No
62
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
Segurana Lgica - Servidor de DNS Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? O servio DNS possui transferncia de zona restrita? O servio DNS possui recursividade habilitada?
Sim
No
63
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
Segurana Lgica - Servidor de Banco de Dados Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Existem mais que 1 usurio para administratar o banco de dados? O usurio do servio de Banco de Dados possui poltica de senha?
Sim
No
64
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
Segurana Lgica - Servidor Web Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? O servio IIS possui recurso Front Page extensions desabilitado? O servio IIS possui banner desabilitado? O servio IIS possui recurso webdav desabilitado?
65
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21
Segurana Lgica - Servidor ERP Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall?
Sim
No
66
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21
Segurana Lgica - Servidor Citrix Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall?
67
# 1
Sim
No
2 Possui poltica de log? 3 Possui poltica de atualizao de patches? 4 5 Possui poltica para bloqueio de tela? 6 Possui modem? 7 Possui USB habilitado? 8 Possui CDROM habilitado? 9 Os equipamentos possuem manuteno? 10 Possui antivirus instalado? 11 Possui IDS/IPS instalado? 12 Possui Firewall pessoal instalado? 13 Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? 14 Possuem poltica de utilizao dos equipamentos? Possui controles para que a configurao e instalao no seja padro?
# 1
Sim
No
2 Possui poltica de contas? 3 Possui poltica de log configurada? 4 Possui poltica de atualizao de segurana? 5 Possui poltica para bloqueio de tela? 6 Possui USB desabilitado? 7 Possui CDROM desabilitado? 8 9 Possui modem desinstalado? 10 Possui criptografia de disco interno? Possui controles para que a configurao e instalao no seja padro?
68
# 11 12 Os equipamentos possuem manuteno? 13 Possui antivirus instalado? 14 Possui IDS/IPS instalado? 15 Possui Firewall pessoal instalado? 16 17 Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? 18 Possuem poltica de utilizao dos equipamentos? Possui Firewall instalado? Segurana Lgica - Notebook Possui senha de BIOS configurada? Sim No
# 1
Sim
No
2 Possui poltica de contas? 3 Possui alguma poltica de log? 4 Possui poltica de atualizao de segurana? 5 6 Possui restrio de acesso console de administrao? 7 Possui controle para que no seja utilizado usurios padres? 8 Possui fonte redundante? 9 10 Os equipamentos possuem manuteno? 11 Existem locais adequados para armazenar os switches? 12 Existem monitoraes de segurana? 13 14 Existem monitoraes de performance? 15 Existe local adequado para armazenamento das mdias? 16 Existem controles de acesso para as mdias de backup? 17 Possui o servio HTTP para administrao desabilitado? Existem coleta e controle dos logs? Possui porta console desabilitada para administrao? Possui controles para que a configurao e instalao no seja padro?
69
# 18 Possui o servio SNMPdesabilitado? 19 Possui o servio DHCP habilitado? 20 Possui o servio DNS desabilitado? 21 Possui suporte tecnologia 802.1x? 22 A funcionalidade 802.1x est desabilitada? Segurana Lgica - Switch Sim No
# 1
Sim
No
2 Possui poltica de contas? 3 Possui alguma poltica de log? 4 Possui poltica de atualizao de segurana? 5 6 Possui restrio de acesso console de administrao? 7 Possui usurios padres? 8 Possui fonte redundante? 9 10 Possui porta auxiliar desabilitado? 11 O equipamento possui manuteno? 12 Existem locais adequados para armazenar o roteador? 13 Existem monitoraes de segurana? 14 15 Existem monitoraes de performance? 16 Existe local adequado para armazenamento das mdias? 17 Existem controles de acesso para as mdias de backup? 18 Possui o servio HTTP para administrao desabilitado? 19 Possui o servio SNMP desabilitado? Existem coleta e controle dos logs? Possui porta console desabilitada para administrao? Possui controles para que a configurao e instalao no seja padro?
70
# 20 Possui o servio DHCP desabilitado? 21 Possui o servio DNS desabilitado? 22 Existe equipamento de backup? Segurana Lgica - Roteador Sim No
# 1
Sim
No
2 Possui poltica de contas? 3 Possui alguma poltica de log? 4 Possui poltica de atualizao de segurana? 5 6 Possui restrio de acesso console de administrao? 7 Os equipamentos possuem manuteno? 8 Existem locais adequados para armazenamento das impressoras? 9 Existem monitoraes de segurana? 10 11 Existem monitoraes de performance? 12 Possui o servio SNMP desabilitado? Existem coleta e controle dos logs? Possui controles para que a configurao e instalao no seja padro?
# 1
Sim
No
2 Possui poltica de contas? 3 Possui poltica de log? 4 Possui poltica de atualizao de patches? 5 6 Possui poltica para bloqueio de tela? 7 Possui criptografia dados? 8 Possui senha de acesso ao dispositivo? Possui controles para que a configurao e instalao no seja padro?
71
# 9 Os equipamentos possuem manuteno? 10 Os equipamentos possuem controle de patrimnio? 11 Possui o servio Bluetooth desabilitado? 12 Possui o servio Infrared desabilitado? Segurana Lgica - Smartphone Sim No
# 1
Segurana Lgica - Firewall Existe controle de acesso onde est instalado o firewall?
Sim
No
2 Os "updates" e "patches" esto atualizados? 3 4 Os logs do equipamento so gravados em um servidor de log? 5 6 O firewall recebe uma manuteno peridica? 7 Existe firewall reserva em caso de quebra ? 8 Existe documentao de como o firewall est configurado? 9 O firewall possui antivirus instalado? 10 O antivirus atualizado regularmente? 11 12 13 Existem IDS's na rede antes ou depois do firewall? 14 O acesso ao firewall feito atravs do protocolo SSH? 15 A senha de acesso ao firewall possue no minimo 8 caracteres? 16 A senha trocada periodicamente? 17 Existe uma poltica de verificao peridica das polticas configuradas? feito backup das configuraes do equipamento cada vez que so feitas alteraes no mesmo? realizado o acompanhamento dos logs do firewall para identificar tentativas de ataques? A auditoria do firewall est habilitada?
O acesso ao equipamento de acesso exclusivo aos administradores da rede? (Nenhum estagirio, tcnico ou desenvolvedor tem acesso) Portas no utilizadas so bloqueadas por default?
72
# 21 As regras de acesso so as mais especficas possveis? 22 23 24 Possui mecanismo de proteo contra IP spoofing? 25 Possui mecansmo de proteo contra ataques do tipo ICMP? 26 Possui mecansmo de proteo contra ataques do tipo Teardrop? 27 O equipamento possui fontes redundantes? 28 O equipamento possui contrato de manuteno? 29 Existe acompanhamento peridico da utilizao de recursos (capacidade) do equipamento? Existe logs de sucesso para as regras de acesso? Existe logs de falha para as regras de acesso? Segurana Lgica - Firewall Sim No
73 Severidade (S): a conseqncia na segurana da informao caso as ameaas explorem a vulnerabilidade nos aspectos de Confidencialidade, Integridade e Disponibilidade. Valor do Ativo (VA): o grau de importncia do ativo para o negcio da empresa considerando os componentes de negcio que ele apia. O clculo do risco feito quando a resposta do checklist negativa, ou seja, no existem controles para determinados ativos, apontados aps
# 1 2 3 4 5 6
Segurana Administrativa - Usurios Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Os usurios tem conhecimento sobre a utilizao dos equipamentos e sistemas de informtica? H controles para instalao de software pirata? H monitoramento na rede para identificar acessos no permitidos? Os recursos anti-malware esto configurados de modo que os usurios no possam desabilitlos? Os incidentes de segurana so comunicados pelos usurios? Utilizam criptografia em dispositivos removveis?
Sim
No
Ameaa
VA
PA
PV
Risco
7 8 9
Total Segurana Administrativa - Diretores e Gerentes Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utilizam criptografia em dispositivos removiveis? Total # 1 2 3 4 5 Segurana Administrativa - Presidente O presidente participa de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utiliza criptografia em dispositivos removiveis? A empresa possui uma poltica de continuidade de negcios? Sim No Ameaa VA PA PV S Risco
# 1 2 3 4 5
Sim
No
Ameaa
VA
PA
PV
Risco
74
# Segurana Administrativa - Presidente Na empresa existe um gerenciamento institucionalizado para garantir conformidade com as leis? Ajuda na divulgao da segurana da informao? A segurana da informao considerada como um pr-requisito antes ou durante a estratgia de negcio e planejamento das atividades? A segurana da informao faz parte dos ciclos do negcio? Existe comite de segurana? Participa do comite de segurana? Total Sim No Ameaa VA PA PV S Risco
6 7
8 9 10 11
# 1 2 3 4 5 6 7 8 9 10 11
Segurana Fsica - Prdio Possui estabilizadores de tenso? Possui geradores de energia? Possui sistema para identificao de funcionrios e visitantes para acesso? Possui porteiro? Possui vigilncia? Possui extintores de incndio e sprinklers? Possui plano de abandono de rea em caso de desastres? Possui CFTV? Possui controle de acesso nos andares? Possui escada de emergncia? Possui portas e janelas antifogo?
Sim
No
Ameaa
VA
PA
PV
Risco
Total # 1 2 3 4 5 6 Segurana Fsica - Elevadores Possui cmera de vigilncia? Possui manuteno peridica? Possui telefone para comunicao com o porteiro em caso de emergncia? Possui controle de temperatura? Possui iluminao de emergncia? Possui geradores e estabilizador de tenso para caso de falta de energia? Total # 1 2 Segurana Fsica - Ar Condicionado Possui manuteno peridica? Possui controle de temperatura? Total Sim No Ameaa VA PA PV S Risco Sim No Ameaa VA PA PV S Risco
75
# 1 2 3 4 Segurana Fsica - Sala de Reunio Possui controle de acesso? Possui controle de utilizao? Possui acstica? Possui algum controle para a identificao dos participantes? Total # 1 2 Segurana Fsica - Sala de Servidores Possui controle de acesso? Possui controle de incndio apropriado? Possui controle de incndio apropriado? Possui controle de temperatura? Existe controle de umidade das sala? Existe controle de variaes de voltagem na rede eltrica? Possui monitorao CFTV? As filmagens so retidas por mais de 30 dias? Existe sistema de deteco de fumaa? Existe sistema para suprir o fornecimento de energia em caso de falhas por 48 horas? O cabos de dados e eltricos esto sob o piso falso? Existes canaletas separadas para cabos de dados e eltricos? Os racks possuem portas com fechaduras? Existe controle de quem solicita e utiliza as chaves dos racks? Existe controle de quem autorizado a pegar chaves dos racks? Existe controle de quem autorizado a pegar chaves dos racks? 15 16 17 18 19 20 21 22 A chave de um rack pode abrir um outro rack? O cabeamento de dados e de voz est estruturado e identificado? O cabeamento de energia est estruturado e identificado? Existe controle para medir a utilizao de eltrica por rack? Existe procedimento de limpeza segura das sala? Existe processo para detectar racks que no foram fechados devidamente? Existem rotas de fugas em casos de incidentes? Existe sistema para emisso de aviso sonoro em caso de incidentes? Total Sim No Ameaa VA PA PV S Risco Sim No Ameaa VA PA PV S Risco
3 4 5 6 7 8 9 10 11 12 13 14
# 1 2 3 4
Segurana Lgica - Servidor de Email Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana?
Sim
No
Ameaa
VA
PA
PV
Risco
76
# 5 6 7 8 9 10 11 12 13 14 Segurana Lgica - Servidor de Email Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias de backup? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui IDS/IPS instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Existe procedimento para contingncia documentado? O recurso de relay est desabilitado? Possui limite para o tamanho de caixa por usurio? Possui limite para o tamanho de arquivo a ser enviado? Possui limite para o tamanho de arquivo a ser recebido? Total Sim No Ameaa VA PA PV S Risco
15 16 17 18 19 20 21 22 23 24
# 1 2 3 4 5 6 7 8 9
Segurana Lgica - Servidor de Arquivos Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias de backup? Possui fonte redundante?
Sim
No
Ameaa
VA
PA
PV
Risco
77
# 10 11 12 13 14 15 16 17 18 19 20 21 22 Segurana Lgica - Servidor de Arquivos Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possui limite de espao por usurio configurado? Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 Segurana Lgica - Servidor de Servio de Diretrio Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivrus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? VA PA PV S Sim No Ameaa VA PA PV S Risco
Sim
No
Ameaa
Risco
78
# 19 20 Segurana Lgica - Servidor de Servio de Diretrio Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? VA PA PV S
Sim
No
Ameaa
Risco
Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 Segurana Lgica - Servidor de DNS Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivrus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? O servio DNS possui transferncia de zona restrita? O servio DNS possui recursividade habilitada? Total # 1 2 3 4 Segurana Lgica - Servidor de Banco de Dados Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? VA S Sim No Ameaa VA PA PV S Risco
Sim
No
Ameaa
PA
PV
Risco
79
# 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 Segurana Lgica - Servidor de Banco de Dados Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivrus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Existem mais que 1 usurio para administratar o banco de dados? O usurio do servio de Banco de Dados possui poltica de senha? Total # 1 2 3 4 5 6 7 8 9 10 11 Segurana Lgica - Servidor Web Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Ameaa VA PA PV S Risco VA S
Sim
No
Ameaa
PA
PV
Risco
80
# 12 13 14 15 16 17 18 19 20 21 22 23 24 Segurana Lgica - Servidor Web Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivrus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivrus/IDS/IPS/Firewall? O servio IIS possui recurso Front Page extensions desabilitado? O servio IIS possui banner desabilitado? O servio IIS possui recurso webdav desabilitado? Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 Segurana Lgica - Servidor ERP Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivrus instalado? Possui IDS/IPS instalado? Sim No Ameaa VA PA PV S Risco Ameaa VA PA PV S Risco
81
# 19 20 21 Segurana Lgica - Servidor ERP Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivrus/IDS/IPS/Firewall? Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 Segurana Lgica - Servidor Citrix Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivrus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivrus/IDS/IPS/Firewall? Total Ameaa VA PA PV S Risco Sim No Ameaa VA PA PV S Risco
82
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14
Segurana Lgica - Estao de Trabalho Possui poltica de senha? Possui poltica de log? Possui poltica de atualizao de patches? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui modem? Possui USB habilitado? Possui CDROM habilitado? Os equipamentos possuem manuteno? Possui antivrus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possuem polticas de atualizaes para o antivrus/IDS/IPS/Firewall? Possuem poltica de utilizao dos equipamentos?
Sim
No
Ameaa
VA
PA
PV
Risco
Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 Segurana Lgica - Notebook Possui poltica de senha configurada? Possui poltica de contas? Possui poltica de log configurada? Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela? Possui USB desabilitado? Possui CDROM desabilitado? Possui controles para que a configurao e instalao no seja padro? Possui modem desinstalado? Possui criptografia de disco interno? Possui senha de BIOS configurada? Os equipamentos possuem manuteno? Possui antivrus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possuem poltica de utilizao dos equipamentos? Total Sim No Ameaa VA PA PV S Risco
83
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 Segurana Lgica - Switch Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Possui controle para que no seja utilizado usurios padres? Possui fonte redundante? Possui porta console desabilitada para administrao? Os equipamentos possuem manuteno? Existem locais adequados para armazenar os switches? Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Possui o servio HTTP para administrao desabilitado? Possui o servio SNMP desabilitado? Possui o servio DHCP habilitado? Possui o servio DNS desabilitado? Possui suporte tecnologia 802.1x? A funcionalidade 802.1x est desabilitada? Total Sim No Ameaa VA PA PV S Risco
84
# 1
Segurana Lgica - Roteador Possui alguma poltica de senha? Possui alguma poltica de senha?
Sim
No
Ameaa
VA
PA
PV
Risco
2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22
Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Possui usurios padres? Possui fonte redundante? Possui porta console desabilitada para administrao? Possui porta auxiliar desabilitado? O equipamento possui manuteno? Existem locais adequados para armazenar o roteador? Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Possui o servio HTTP para administrao desabilitado? Possui o servio SNMP desabilitado? Possui o servio DHCP desabilitado? Possui o servio DNS desabilitado? Existe equipamento de backup? Total
85
# 1 2 3 4 5 6 7 8 9 10 11 12
Segurana Lgica - Servidor de Impresso Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Os equipamentos possuem manuteno? Existem locais adequados para armazenamento das impressoras? Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui o servio SNMP desabilitado?
Sim
No
Ameaa
VA
PA
PV
Risco
Total
# 1 2 3 4 5 6 7 8 9 10 11 12
Segurana Lgica - Smartphone Possui poltica de senha? Possui poltica de contas? Possui poltica de log? Possui poltica de atualizao de patches? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui criptografia dados? Possui senha de acesso ao dispositivo? Os equipamentos possuem manuteno? Os equipamentos possuem controle de patrimnio? Possui o servio Bluetooth desabilitado? Possui o servio Infrared desabilitado?
Sim
No
Ameaa
VA
PA
PV
Risco
Total
86
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
Segurana Lgica - Firewall Existe controle de acesso onde est instalado o firewall? Os "updates" e "patches" esto atualizados? A auditoria do firewall est habilitada? Os logs do equipamento so gravados em um servidor de log? realizado o acompanhamento dos logs do firewall para identificar tentativas de ataques? O firewall recebe uma manuteno peridica? Existe firewall reserva em caso de quebra ? Existe documentao de como o firewall est configurado? O firewall possui antivirus instalado? O antivirus atualizado regularmente? Existe uma poltica de verificao peridica das polticas configuradas? feito backup das configuraes do equipamento cada vez que so feitas alteraes no mesmo? Existem IDS's na rede antes ou depois do firewall? O acesso ao firewall feito atravs do protocolo SSH? A senha de acesso ao firewall possue no minimo 8 caracteres? A senha trocada periodicamente? O acesso ao equipamento de acesso exclusivo aos administradores da rede? (Nenhum estagirio, tcnico ou desenvolvedor tem acesso) Portas no utilizadas so bloqueadas por default? Protocolos no utilizados so bloqueados por default? Existe configurao de "logout" automtico? As regras de acesso so as mais especficas possveis? Existe logs de sucesso para as regras de acesso? Existe logs de falha para as regras de acesso? Possui mecanismo de proteo contra IP spoofing? Possui mecansmo de proteo contra ataques do tipo ICMP? Possui mecanismo de proteo contra ataques do tipo Teardrop? O equipamento possui fontes redundantes? O equipamento possui contrato de manuteno? Existe acompanhamento peridico da utilizao de recursos (capacidade) do equipamento?
Sim
No
Ameaa
VA
PA
PV
Risco
17
18 19 20 21 22 23 24 25 26 27 28 29
Total
87
88
Alto
451 575
Mdio
301 450
Baixo
126 300
Muito Baixo
0 125
89
CAPITULO IV
O captulo em epgrafe, escrito pelo Security Officer, trata da execuo da anlise de riscos inicial com o objetivo de identificar os riscos pertinentes ao ambiente da Candido, Carvalho e Vieira Associados.
Sistemas: Presidente
Diretores/Ger
Usurios Terceiros
Responsvel
Localizao
Outros Ativos
90
Sistemas: Servidores de e-mail Servidores de arquivos Servidores de servio de diretrio Servidores de DNS Servidores de Proxy Servidores de impresso Servidor de banco de dados Servidores web Estaes Notebooks Switch Roteador Impressoras Smartphones Ambiente de redes Servidor Firewall
Existe? (x) Sim ( ) No (x) Sim ( ) No (x) Sim ( ) No (x) Sim ( ) No (x) ( ) Sim No (x) Sim ( ) No (x) Sim ( ) No (x) Sim ( ) No (x) Sim ( ) No (x) Sim ( ) No (x) Sim ( ) No (x) Sim ( ) No (x) Sim ( ) No (x) Sim ( ) No (x) ( ) Sim No (x) Sim ( ) No
Responsvel
Localizao
Quantidade
Outros ativos
91
Existe? (x) () Sim No (x) () Sim No (x) () Sim No (x) () Sim No (x) () Sim No
Responsvel
Localizao
Quantidade
Outros ativos
92 Com o resultado das entrevistas, so listados os ativos que existem na empresa, de acordo com a Tabela 7:
Ativo Ar Condicionado Elevadores Prdio Sala de Reunio Smartphone Estao de Trabalho Servidor de Impresso Diretores e Gerentes Usurios Notebook Presidente Servidor Web Switch Sala de Servidores Firewall Roteador Servidor de Banco de Dados Servidor de Arquivos Servidor de DNS Servidor de Servio de Diretrio Servidor Citrix Servidor de Email Servidor ERP
Tipo do Ativo Infra-Estrutura Fsica Infra-Estrutura Fsica Infra-Estrutura Fsica Infra-Estrutura Fsica Tecnologia Tecnologia Tecnologia Pessoas Pessoas Tecnologia Pessoas Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia
Tabela 7 - Lista dos ativos do ambiente Depois do levantamento dos ativos, foi realizado uma entrevista com o gestor da rea de informtica junto com a diretoria para definir a relevncia dos ativos. O security officer tomou nota de todos os ativos e fez uma planilha com os valores de cada um de acordo com sua relevncia.
93 De acordo com o critrio de definio da relevncia dos ativos foi gerado um resultado indicando cada valor de relevncia observada na Tabela 8:
Ativo Ar Condicionado Elevadores Prdio Sala de Reunio Smartphone Estao de Trabalho Servidor de Impresso Diretores e Gerentes Usurios Notebook Presidente Servidor Web Switch Sala de Servidores Firewall Roteador Servidor de Banco de Dados Servidor de Arquivos Servidor de DNS Servidor de Servio de Diretrio Servidor Citrix Servidor de Email Servidor ERP
Tipo do Ativo Infra-Estrutura Fsica Infra-Estrutura Fsica Infra-Estrutura Fsica Infra-Estrutura Fsica Tecnologia Tecnologia Tecnologia Pessoas Pessoas Tecnologia Pessoas Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia
Relevncia 3 3 4 3 4 4 3 5 4 4 5 4 4 5 5 5 5 4 4 5 5 5 5
94
Relevncia
Servidor ERP Servidor de Email Servidor Citrix Serv. de Servio de Diretrio Serv. de Banco de Dados Roteador Firewall Sala de Servidores Presidente Diretores e Gerentes Servidor de DNS Servidor de Arquivos Switch Servidor Web Notebook Usurios Estao de Trabalho Smartphone Prdio Servidor de Impresso Sala de Reunio Elevadores Ar Condicionado
3 Relevncia
Figura 10 - Relevncia dos Ativos De acordo com o critrio de definio da relevncia dos ativos foi gerado um resultado indicando cada valor de relevncia observada no grfico acima.
95
Questionrio respondido
convocado os gestores da empresa e o presidente para responder os questionrios, com a finalidade de identificar os riscos que existem em nos ativos da empresa. apresentado abaixo a tabela com o resultado da entrevista.
# 1 2 3 4 5 6 7 8 9
Segurana Administrativa - Usurios Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Os usurios tem conhecimento sobre a utilizao dos equipamentos e sistemas de informtica? H controles para instalao de software pirata? H monitoramento na rede para identificar acessos no permitidos? Os recursos anti-malware esto configurados de modo que os usurios no possam desabilita-los? Os incidentes de segurana so comunicados pelos usurios? Utilizam criptografia em dispositivos removiveis?
Sim
No x x x
x x x x x x
# 1 2 3 4 5
Segurana Administrativa - Diretores e Gerentes Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utilizam criptografia em dispositivos removiveis?
Sim
No x x x x x
96
# 1 2 3 4 5 6 7
Segurana Administrativa - Presidente O presidente participa de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utiliza criptografia em dispositivos removiveis? A empresa possui uma poltica de continuidade de negcios? Na empresa existe um gerenciamento institucionalizado para garantir conformidade com as leis? Ajuda na divulgao da segurana da informao? A segurana da informao considerada como um prrequisito antes ou durante a estratgia de negcio e planejamento das atividades? A segurana da informao faz parte dos ciclos do negcio? Existe comite de segurana? Participa do comite de segurana?
Sim
No x x x x x
x x
8 9 10 11
x x x x
# 1 2 3 4 5 6 7 8 9 10 11 12
Segurana Fsica - Prdio Possui estabilizadores de tenso? Possui estabilizadores de tenso? Possui geradores de energia? Possui sistema para identificao de funcionrios e visitantes para acesso? Possui porteiro? Possui vigilncia? Possui extintores de incndio e sprinklers? Possui plano de abandono de rea em caso de desastres? Possui CFTV? Possui controle de acesso nos andares? Possui escada de emergncia? Possui portas e janelas antifogo?
Sim
No x x
x x x x x x x x x x
# 1 2 3 4 5 6
Segurana Fsica - Elevadores Possui cmera de vigilncia? Possui manuteno peridica? Possui telefone para comunicao com o porteiro em caso de emergncia? Possui controle de temperatura? Possui iluminao de emergncia? Possui geradores e estabilizador de tenso para caso de falta de energia?
Sim x
No x
x x x x
# 1 2
Sim x
No x
97
# 1 2 3 4
Segurana Fsica - Sala de Reunio Possui controle de acesso? Possui controle de utilizao? Possui acstica? Possui algum controle para a identificao dos participantes?
Sim
No x x x x
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
Segurana Fsica - Sala de Servidores Possui controle de acesso? Possui controle de incndio apropriado? Possui controle de temperatura? Existe controle de umidade das sala? Existe controle de variaes de voltagem na rede eltrica? Possui monitorao CFTV? As filmagens so retidas por mais de 30 dias? Existe sistema de deteco de fumaa? Existe sistema para suprir o fornecimento de energia em caso de falhas por 48 horas? O cabos de dados e eltricos esto sob o piso falso? Existes canaletas separadas para cabos de dados e eltricos? Os racks possuem portas com fechaduras? Existe controle de quem solicita e utiliza as chaves dos racks? Existe controle de quem autorizado a pegar chaves dos racks? Existe controle de quem autorizado a pegar chaves dos racks? A chave de um rack pode abrir um outro rack? O cabeamento de dados e de voz est estruturado e identificado? O cabeamento de energia est estruturado e identificado? Existe controle para medir a utilizao de eltrica por rack? Existe procedimento de limpeza segura das sala? Existe processo para detectar racks que no foram fechados devidamente? Existem rotas de fugas em casos de incidentes? Existe sistema para emisso de aviso sonoro em caso de incidentes?
Sim
No x x x
x x x x x x x x x x x x x x x x x x x x
98
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 Segurana Lgica - Servidor de Email Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias de backup? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui IDS/IPS instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Existe procedimento para contingncia documentado? O recurso de relay est desabilitado? Possui limite para o tamanho de caixa por usurio? Possui limite para o tamanho de arquivo a ser enviado? Possui limite para o tamanho de arquivo a ser recebido? x x x x x x x x x x x x x x x x x x x x x x x Sim No x x
99
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
Segurana Lgica - Servidor de Arquivos Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias de backup? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possui limite de espao por usurio configurado?
Sim
No x x x x x x
x x x x x x x x x x x x x x x x x
# 1 2 3 4 5 6 7
Segurana Lgica - Servidor de Servio de Diretrio Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias?
Sim
No x x x x x
x x
100
# 8 9 10 11 12 13 14 15 16 17 18 19 20 Segurana Lgica - Servidor de Servio de Diretrio Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? x x x x x Sim x x x x x x x x No
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
Segurana Lgica - Servidor de DNS Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado?
Sim
No x x x x
x x x x x x x x x x x x x x x
101
# 20 21 22 23 24 Segurana Lgica - Servidor de DNS Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? O servio DNS possui transferncia de zona restrita? O servio DNS possui recursividade habilitada? Sim No x x x x x
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
Segurana Lgica - Servidor de Banco de Dados Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Existem mais que 1 usurio para administratar o banco de dados? O usurio do servio de Banco de Dados possui poltica de senha?
Sim
No x x x x
x x x x x x x x x x x x x x x x x x x
102
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 Segurana Lgica - Servidor Web Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? O servio IIS possui recurso Front Page extensions desabilitado? O servio IIS possui banner desabilitado? O servio IIS possui recurso webdav desabilitado? x x x x x x x x x x x x x x x x x x x x x x x x
# 1 2 3 4 5 6
Segurana Lgica - Servidor ERP Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela?
Sim
No x x x x
x x
103
# 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 Segurana Lgica - Servidor ERP Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? x x x x x x x x x x Sim x x x x x No
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
Segurana Lgica - Servidor Citrix Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? x x x x x x x x x x x x x x x
104
# 16 17 18 19 20 21 Segurana Lgica - Servidor Citrix Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? x x x x x x
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14
Segurana Lgica - Estao de Trabalho Possui poltica de senha? Possui poltica de log? Possui poltica de atualizao de patches? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui modem? Possui USB habilitado? Possui CDROM habilitado? Os equipamentos possuem manuteno? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possuem poltica de utilizao dos equipamentos?
Sim
No x x x
x x x x x x x x x x x
# 1 2 3 4 5 6 7 8 9 10 11
Segurana Lgica - Notebook Possui poltica de senha configurada? Possui poltica de contas? Possui poltica de log configurada? Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela? Possui USB desabilitado? Possui CDROM desabilitado? Possui controles para que a configurao e instalao no seja padro? Possui modem desinstalado? Possui criptografia de disco interno? Possui senha de BIOS configurada?
Sim
No x x x x x
x x x x x x
105
# 12 13 14 15 16 17 18 Segurana Lgica - Notebook Os equipamentos possuem manuteno? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possuem poltica de utilizao dos equipamentos? Sim No x x x x x x x
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22
Segurana Lgica - Switch Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Possui controle para que no seja utilizado usurios padres? Possui fonte redundante? Possui porta console desabilitada para administrao?
Sim
No x x x x
x x x x x x x x x x x x x x x x x x
Os equipamentos possuem manuteno? Existem locais adequados para armazenar os switches? Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Possui o servio HTTP para administrao desabilitado? Possui o servio SNMPdesabilitado? Possui o servio DHCP habilitado? Possui o servio DNS desabilitado? Possui suporte tecnologia 802.1x? A funcionalidade 802.1x est desabilitada?
106
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22
Segurana Lgica - Roteador Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Possui usurios padres? Possui fonte redundante? Possui porta console desabilitada para administrao?
Sim
No x x x x
x x x x x x x x x x x x x x x x x x
Possui porta auxiliar desabilitado? O equipamento possui manuteno? Existem locais adequados para armazenar o roteador? Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Possui o servio HTTP para administrao desabilitado? Possui o servio SNMP desabilitado? Possui o servio DHCP desabilitado? Possui o servio DNS desabilitado? Existe equipamento de backup?
107
# 1 2 3 4 5 6 7 8 9 10 11 12
Segurana Lgica - Servidor de Impresso Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Os equipamentos possuem manuteno? Existem locais adequados para armazenamento das impressoras? Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui o servio SNMP desabilitado?
Sim
No x x x x
x x x x x x x x
# 1 2 3 4 5 6 7 8 9 10 11 12
Segurana Lgica - Smartphone Possui poltica de senha? Possui poltica de contas? Possui poltica de log? Possui poltica de atualizao de patches? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui criptografia dados? Possui senha de acesso ao dispositivo? Os equipamentos possuem manuteno? Os equipamentos possuem controle de patrimnio? Possui o servio Bluetooth desabilitado? Possui o servio Infrared desabilitado?
Sim
No x x x x
x x x x x x x x
108
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
Segurana Lgica - Firewall Existe controle de acesso onde est instalado o firewall? Os "updates" e "patches" esto atualizados? A auditoria do firewall est habilitada? Os logs do equipamento so gravados em um servidor de log? realizado o acompanhamento dos logs do firewall para identificar tentativas de ataques? O firewall recebe uma manuteno peridica? Existe firewall reserva em caso de quebra ? Existe documentao de como o firewall est configurado? O firewall possui antivirus instalado? O antivirus atualizado regularmente? Existe uma poltica de verificao peridica das polticas configuradas? feito backup das configuraes do equipamento cada vez que so feitas alteraes no mesmo? Existem IDS's na rede antes ou depois do firewall? O acesso ao firewall feito atravs do protocolo SSH? A senha de acesso ao firewall possue no minimo 8 caracteres? A senha trocada periodicamente? O acesso ao equipamento de acesso exclusivo aos administradores da rede? (Nenhum estagirio, tcnico ou desenvolvedor tem acesso) Portas no utilizadas so bloqueadas por default? Protocolos no utilizados so bloqueados por default? Existe configurao de "logout" automtico? As regras de acesso so as mais especficas possveis? Existe logs de sucesso para as regras de acesso? Existe logs de falha para as regras de acesso? Possui mecanismo de proteo contra IP spoofing? Possui mecansmo de proteo contra ataques do tipo ICMP? Possui mecansmo de proteo contra ataques do tipo Teardrop? O equipamento possui fontes redundantes? O equipamento possui contrato de manuteno? Existe acompanhamento peridico da utilizao de recursos (capacidade) do equipamento?
Sim x
No
x x x x x x x x x x x x x x x
17
x x x x x x x x x x x x x
18 19 20 21 22 23 24 25 26 27 28 29
109
Pontuao de Risco
# 1 2 3 4 5 6
Segurana Administrativa - Usurios Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Os usurios tem conhecimento sobre a utilizao dos equipamentos e sistemas de informtica? H controles para instalao de software pirata? H monitoramento na rede para identificar acessos no permitidos? Os recursos anti-malware esto configurados de modo que os usurios no possam desabilitlos? Os incidentes de segurana so comunicados pelos usurios? Utilizam criptografia em dispositivos removveis?
Sim
No x x x
Ameaa Vazamento de Informaes Vazamento de Informaes Acesso lgico no autorizado Vazamento de Informaes
VA 4 4 4 4 4 4
PA 5 5 5 5 5 5
PV 5 5 5 5 5 5
S 5 5 5 5 5 5
x x x
500 500
7 8 9
x x x
4 4 4
5 4 5 Total
3 4 4
4 5 4
# 1 2 3 4 5
Segurana Administrativa - Diretores e Gerentes Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utilizam criptografia em dispositivos removiveis?
Sim
No x x x x x
Ameaa Vazamento de informaes Vazamento de informaes Acesso lgico no autorizado Vazamento de informaes Vazamento de informaes
VA 5 5 5 5 5
PA 5 5 5 5 5
PV 5 5 5 5 5
S 5 5 5 5 5
Total # 1 2 3 4 5 Segurana Administrativa - Presidente O presidente participa de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utiliza criptografia em dispositivos removiveis? A empresa possui uma poltica de continuidade de negcios? Na empresa existe um gerenciamento institucionalizado para garantir conformidade com as leis? Ajuda na divulgao da segurana da informao? A segurana da informao considerada como um pr-requisito antes ou durante a estratgia de negcio e planejamento das atividades? A segurana da informao faz parte dos ciclos do negcio? Existe comite de segurana? Sim No x x x x x Ameaa Vazamento de informaes Acesso lgico no autorizado Vazamento de informaes Vazamento de informaes Indisponibilidade de servios ou informaes Multas, indenizaes ou sanes x Vazamento de informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes VA 5 5 5 5 5 PA 5 5 5 5 5 PV 4 4 4 5 5 S 4 5 5 4 5
6 7
5 5
3 5
5 5
5 5 625
8 9 10
x x x
5 5 5
5 5 5
4 3 4
4 3 4
110
Falha em meios de comunicao
11
4 Total
400 4575
# 1 2 3 4 5 6 7 8 9 10 11 12
Segurana Fsica - Prdio Possui estabilizadores de tenso? Possui estabilizadores de tenso? Possui geradores de energia? Possui sistema para identificao de funcionrios e visitantes para acesso? Possui porteiro? Possui vigilncia? Possui extintores de incndio e sprinklers? Possui plano de abandono de rea em caso de desastres? Possui CFTV? Possui controle de acesso nos andares? Possui escada de emergncia? Possui portas e janelas antifogo?
Sim
No x x
Ameaa Indisponibilidade de servios ou informaes Dano a equipamentos ou instalaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Acesso fsico no autorizado Acesso fsico no autorizado Incndio Dano integridade fsica de pessoas Acesso fsico no autorizado Acesso fsico no autorizado Dano integridade fsica de pessoas Dano integridade fsica de pessoas
VA 4 4 4 4 4 4 4 4 4 4 4 4
PA 5 4 5 5 5 5 5 5 5 5 5
PV 1 1 2 2 2 2 2 2
S 5 5 5 5 5 5 5 5 4
Risco 100 80
x x x x x x x x x x
200
200 0 500
5 2
5 4 5
5 2 Total PA 5 5 5 4 5 PV 5 3 3 4 2
# 1 2 3 4 5 6
Segurana Fsica - Elevadores Possui cmera de vigilncia? Possui manuteno peridica? Possui telefone para comunicao com o porteiro em caso de emergncia? Possui controle de temperatura? Possui iluminao de emergncia? Possui geradores e estabilizador de tenso para caso de falta de energia?
Sim
No x
VA 3 3 3 3 3 3
x x x x x
Dano integridade fsica de pessoas Dano a equipamentos ou instalaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes
5 2 Total PA 5 PV 1
# 1 2
Sim
No x
VA 3 3
S 5 5
5 1 Total PA 5 5 5 PV 5 5 4
# 1 2 3 4
Segurana Fsica - Sala de Reunio Possui controle de acesso? Possui controle de utilizao? Possui acstica? Possui algum controle para a identificao dos participantes?
Sim
No x x x x
Ameaa Acesso fsico no autorizado Acesso fsico no autorizado Vazamento de informaes Acesso fsico no autorizado
VA 3 3 3 3
5 5 Total
111
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 Segurana Fsica - Sala de Servidores Possui controle de acesso? Possui controle de incndio apropriado? Possui controle de incndio apropriado? Possui controle de temperatura? Existe controle de umidade das sala? Existe controle de variaes de voltagem na rede eltrica? Possui monitorao CFTV? As filmagens so retidas por mais de 30 dias? Existe sistema de deteco de fumaa? Existe sistema para suprir o fornecimento de energia em caso de falhas por 48 horas? O cabos de dados e eltricos esto sob o piso falso? Existes canaletas separadas para cabos de dados e eltricos? Os racks possuem portas com fechaduras? Existe controle de quem solicita e utiliza as chaves dos racks? Existe controle de quem autorizado a pegar chaves dos racks? Existe controle de quem autorizado a pegar chaves dos racks? A chave de um rack pode abrir um outro rack? O cabeamento de dados e de voz est estruturado e identificado? O cabeamento de energia est estruturado e identificado? Existe controle para medir a utilizao de eltrica por rack? Existe procedimento de limpeza segura das sala? Existe processo para detectar racks que no foram fechados devidamente? Existem rotas de fugas em casos de incidentes? Existe sistema para emisso de aviso sonoro em caso de incidentes? x x x x x x x x x x x x x x x x x x x x x Sim No x x x Ameaa Acesso fsico no autorizado Incndio Dano a integridade fsica de pessoas Extremo de temperatura ou umidade Extremo de temperatura ou umidade Dano a equipamentos ou instalaes Acesso fsico no autorizado Perda de rastreabilidade Incndio Indisponibilidade de servios ou informaes Dano a equipamentos ou instalaes Dano a equipamentos ou instalaes Acesso lgico no autorizado Acesso fsico no autorizado Acesso fsico no autorizado Perda de rastreabilidade Furto ou roubo de ativos Perda de rastreabilidade Perda de rastreabilidade Queda de performance ou falta de capacidade Dano a equipamentos ou instalaes Furto ou roubo de ativos Dano integridade fsica de pessoas Dano integridade fsica de pessoas VA 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 PA 5 5 4 3 3 4 5 3 5 5 4 4 5 5 5 3 5 3 3 3 4 5 5 PV 5 5 5 5 4 5 4 4 4 4 4 4 5 4 4 4 4 4 4 3 4 4 4 S 5 5 5 4 4 5 4 4 5 4 5 4 4 4 4 4 4 4 4 5 4 4 5 5 5015 225 320 400 400 400 240 400 240 240 Risco 625 625 500
400
5 5 Total
112
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 Segurana Lgica - Servidor de Email Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias de backup? Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Existem monitoraes de performance? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Existe procedimento para contingncia documentado? O recurso de relay est desabilitado? Possui limite para o tamanho de caixa por usurio? x x x x x x x x x x x x x x x x x x x x x x x x x x x x x Sim No x x x Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Interceptao de dados no autorizada Ao de cdigo malicioso Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Acesso fsico no autorizado Vazamento de Informao Perda de rastreabilidade Indisponibilidade de servios ou informaes Queda de performance ou falta de capacidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Vazamento de Informao Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Vazamento de Informao Indisponibilidade de servios ou informaes VA 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 PA 5 4 5 5 5 5 4 3 4 5 5 5 5 5 5 5 5 5 5 3 5 3 5 3 5 5 5 5 5 5 5 5 PV 3 4 2 3 3 3 3 4 3 3 3 3 3 3 3 3 2 3 4 3 3 3 3 4 5 4 4 4 3 2 3 3 S 3 2 3 4 4 4 5 3 3 4 4 4 4 5 4 4 3 3 3 4 4 3 3 4 3 3 5 3 4 3 3 4 300 225 240 375 300 500 300 300 150 300 150 225 300 180 180 300 300 300 300 Risco 225 160 150
113
# 33 34 Segurana Lgica - Servidor de Email Possui limite para o tamanho de arquivo a ser enviado? Possui limite para o tamanho de arquivo a ser recebido? Sim No x x Ameaa Vazamento de Informao Ao de cdigo malicioso VA 5 5 PA 5 3 PV 4 4 S 3 3 Risco 300 180 6240 S 4 3 4 3 3 4 5 3 4 4 4 3 4 3 3 4 3 4 4 3 3 3 5 4 4 4 4 4 4 3 320 192 400 320 320 320 180 240 240 320 108 240 240 240 180 120 Risco 240 192 240 180 180 240 240 144 128
Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 Segurana Lgica - Servidor de Arquivos Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias de backup? Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? x x x x x x x x x x x x x x x x x X X x x Sim No x X x x x x x x x Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Ao de cdigo malicioso Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Acesso fsico no autorizado Vazamento de Informao Perda de rastreabilidade Indisponibilidade de servios ou informaes Queda de performance ou falta de capacidade Ao de cdigo malicioso Indisponibilidade de servios ou informaes Ao de cdigo malicioso Vazamento de Informao Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao VA 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 5 4 3 4 5 5 5 5 5 5 5 5 5 5 3 5 3 3 5 3 5 5 5 5 5 PV 3 4 3 3 3 3 3 4 2 3 3 4 3 3 2 3 4 3 4 3 3 3 3 4 4 5 4 4 4 3
114
# 31 Segurana Lgica - Servidor de Arquivos Possui limite de espao por usurio configurado? Sim No x Ameaa Indisponibilidade de servios ou informaes VA 4 PA 5 PV 2 S 3 Risco 120 5884 S 4 3 4 3 4 4 3 4 4 3 4 3 3 3 3 3 3 3 4 4 3 4 4 4 5 4 4 300 240 500 300 500 400 300 6070 225 225 300 135 400 300
Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 Segurana Lgica - Servidor de Servio de Diretrio Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivrus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? x x x x x x x x x x x x x x x x x x x x VA 5 5 5 5 5 5 5 5 5 5 4 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 PA 5 4 5 5 5 5 4 5 5 5 5 5 5 5 5 5 5 3 5 3 5 3 5 5 5 5 5 Total PV 3 4 3 3 4 3 3 4 3 4 3 5 4 4 3 3 4 3 4 3 4 4 5 3 4 4 3
Sim
No x x x x x x x
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Acesso fsico no autorizado Vazamento de Informao Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Ao de cdigo malicioso Vazamento de Informao Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao
115
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
Segurana Lgica - Servidor de DNS Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivrus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? O servio DNS possui transferncia de zona restrita? O servio DNS possui recursividade habilitada?
Sim
No x x x x x x
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada
VA 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4
PA 5 4 5 5 5 5 4 4 5 5 5 5 5 5 5 5 5 5 3 5 3 5 3 5 5 5 5 5 5 5
PV 3 4 2 2 4 3 3 4 5 3 3 3 3 3 3 4 3 3 3 3 3 4 3 4 4 4 4 3 4 3
S 3 4 3 3 5 4 4 3 3 3 3 4 3 4 3 3 2 4 4 3 4 5 4 4 5 5 4 4 4 4
x x x x x x x x x x x x x x x x x x x x x x x x
Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Acesso fsico no autorizado Vazamento de Informao Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Ao de cdigo malicioso Vazamento de Informao Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Vazamento de informao Indisponibilidade de servios ou informaes
192
400 144 320 400 400 320 240 320 240 5996
Total
116
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 Segurana Lgica - Servidor de Banco de Dados Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivrus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Existem mais que 1 usurio para administratar o banco de dados? O usurio do servio de Banco de Dados possui poltica de senha? x x x x x x x x x x x x x x x x x x x x x VA 5 5 5 5 5 5 5 5 5 5 5 4 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 S 4 4 4 3 4 4 4 3 4 3 3 4 3 4 4 3 3 4 3 4 2 4 5 4 4 4 4 300 5870 150 300 500 400 400 225 225 180 225 225 150 240 225 300 180
Sim
No x x x x x x
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Acesso fsico no autorizado Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao Acesso lgico no autorizado Acesso lgico no autorizado
PA 5 4 5 5 5 5 4 4 5 5 5 5 5 5 5 5 5 3 5 3 5 5 5 5 5 5 5
PV 3 4 3 3 2 3 3 3 4 3 2 3 3 3 3 3 3 3 3 3 3 3 4 4 4 3 3
Total
117
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28
Segurana Lgica - Servidor Web Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivrus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivrus/IDS/IPS/Firewall? O servio IIS possui recurso Front Page extensions desabilitado? O servio IIS possui banner desabilitado? O servio IIS possui recurso webdav desabilitado? x x x x x x x x x x x x x x x x x x x x x x x x x x x x
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Acesso fsico no autorizado Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao
VA 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4
PA 5 4 5 5 5 5 4 4 5 5 5 5 5 5 5 5 5 3 5 3 5 5 5 5 5 5 5 5
PV 4 5 5 5 5 3 3 2 3 3 3 3 3 3 2 3 3 2 3 3 5 5 4 4 3 3 3 4
S 4 4 3 3 4 4 4 3 2 3 3 4 3 3 2 3 3 2 3 3 3 4 5 4 4 4 3 3
Total
5064
118
# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
Segurana Lgica - Servidor ERP Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivrus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivrus/IDS/IPS/Firewall?
Sim
No x x x x x x
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada
VA 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5
PA 5 4 5 5 5 5 4 4 5 5 5 5 5 5 5 5 5 3 5 3 5 5 5 5 5
PV 4 4 4 4 4 3 3 4 4 4 3 4 3 3 5 4 4 4 3 4 4 4 4 4 3
S 4 4 4 4 5 4 4 3 3 4 4 4 3 3 4 4 3 3 4 4 4 4 5 4 3
x x x x x x x x x x x x x x x x x x x
Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Acesso fsico no autorizado Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao
240
Total # 1 2 3 4 5 Segurana Lgica - Servidor Citrix Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? x x Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes VA 5 5 5 5 5 PA 5 4 5 5 5 PV 3 4 3 3 4 S 3 4 3 3 4
x x x
119
Segurana Lgica - Servidor Citrix 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manuteno? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivrus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivrus/IDS/IPS/Firewall? x x x x x x x x Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes x x x x x x x x x Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Acesso fsico no autorizado Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao VA 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 PA 5 4 4 5 5 5 5 5 5 5 5 5 3 5 3 5 5 5 5 5 Total # 1 2 3 4 5 6 7 8 9 10 11 Segurana Lgica - Estao de Trabalho Possui poltica de senha? Possui alguma poltica de senha? Sim No x x Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Indisponibilidade de servios ou informaes Interceptao de dados no autorizada x x x x x x Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Vazamento de Informaes Vazamento de Informaes Indisponibilidade de servios ou informaes Ao de cdigo malicioso VA 4 4 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 4 4 5 5 5 5 3 PV 3 4 3 4 3 2 4 4 4 3 4 S 4 4 4 5 4 4 3 3 3 3 5 128 PV 3 3 2 3 3 3 3 3 3 4 4 3 4 3 4 3 4 4 4 4 S 4 5 3 3 3 3 4 3 3 3 4 3 4 5 5 3 4 5 4 4 225 400 500 400 400 6105 Risco 240 256 240 400 400 225 240 225 225 300 225 225 Risco 300 300 120
x x x
Possui poltica de log? Possui poltica de atualizao de patches? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui modem? Possui USB habilitado? Possui CDROM habilitado? Os equipamentos possuem manuteno? Possui antivrus instalado? x
x x
120
# 12 13 14 15 Segurana Lgica - Estao de Trabalho Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possuem polticas de atualizaes para o antivrus/IDS/IPS/Firewall? Possuem poltica de utilizao dos equipamentos? Sim No x x x x Ameaa Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes VA 4 4 4 4 PA 5 5 5 5 Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 Segurana Lgica - Notebook Possui poltica de senha configurada? Possui alguma poltica de senha? Sim No x x Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Vazamento de Informaes Vazamento de Informaes Interceptao de dados no autorizada x x x x x x x x x x Ao de cdigo malicioso Vazamento de Informaes Acesso no autorizado Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao Indisponibilidade de servios ou informaes VA 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 5 4 5 5 4 3 5 5 5 3 5 5 5 5 5 5 Total # 1 2 3 4 5 Segurana Lgica - Switch Possui alguma poltica de senha? Possui alguma poltica de senha? Sim No x x Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes VA 4 4 4 4 4 PA 5 4 5 5 5 PV 4 4 4 3 4 S 4 4 3 3 4 PV 3 4 3 3 4 3 3 4 4 3 3 4 4 4 3 4 4 4 4 4 4 S 4 4 3 3 5 4 4 4 4 5 2 3 3 3 4 4 4 5 4 4 4 320 320 400 320 320 320 4408 Risco 320 256 240 180 320 PV 3 4 4 3 S 4 4 4 4 240 2064 Risco 240 256 180 180 400 240 192 Risco 240 320
Possui poltica de contas? Possui poltica de log configurada? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana?
x x x x
Possui poltica para bloqueio de tela? Possui USB desabilitado? Possui CDROM desabilitado? Possui controles para que a configurao e instalao no seja padro? Possui modem desinstalado? Possui criptografia de disco interno? Possui senha de BIOS configurada? Os equipamentos possuem manuteno? Possui antivrus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possuem poltica de utilizao dos equipamentos?
x x x x x
Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana?
x x x
121
# 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 Segurana Lgica - Switch Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Possui controle para que no seja utilizado usurios padres? Possui fonte redundante? Possui porta console desabilitada para administrao? Os equipamentos possuem manuteno? Existem locais adequados para armazenar os switches? Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Possui o servio HTTP para administrao desabilitado? Possui o servio SNMP desabilitado? Possui o servio DHCP habilitado? Possui o servio DNS desabilitado? Possui suporte tecnologia 802.1x? A funcionalidade 802.1x est desabilitada? x x x x x x x x x x x x x x x x Sim No x Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada x Acesso lgico no autorizado Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Perda de rastreabilidade Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso lgico no autorizado Acesso lgico no autorizado VA 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 5 5 5 5 3 5 5 5 5 5 5 5 5 5 Total # 1 2 3 4 5 6 7 8 9 Segurana Lgica - Roteador Possui alguma poltica de senha? Possui alguma poltica de senha? Sim No x x Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada x x Acesso lgico no autorizado Indisponibilidade de servios ou informaes VA 5 5 5 5 5 5 5 5 5 PA 5 4 5 5 5 5 4 5 5 PV 3 4 3 3 4 3 4 3 4 S 4 4 4 4 5 4 4 4 4 300 PV 3 3 4 3 4 3 4 3 4 3 4 3 4 3 4 4 4 3 4 S 4 5 3 5 4 3 3 4 5 5 4 3 4 4 4 4 4 4 3 320 320 240 240 5116 Risco 300 320 300 300 500 300 240 240 400 180 320 180 320 320 240 Risco 240
Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Possui usurios padres?
x x x x
122
# 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 Segurana Lgica - Roteador Possui fonte redundante? Possui porta console desabilitada para administrao? Possui porta auxiliar desabilitado? O equipamento possui manuteno? Existem locais adequados para armazenar o roteador? Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Possui o servio HTTP para administrao desabilitado? Possui o servio SNMP desabilitado? Possui o servio DHCP desabilitado? Possui o servio DNS desabilitado? Existe equipamento de backup? x x x x x x x x x x x x Sim No x x x Ameaa Indisponibilidade de servios ou informaes Acesso fsico no autorizado Acesso fsico no autorizado Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Perda de rastreabilidade Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes VA 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 PA 5 5 5 5 5 5 3 5 5 5 5 5 5 5 5 Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 Segurana Lgica - Servidor de Impresso Possui alguma poltica de senha? Possui alguma poltica de senha? Sim No x x Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada x x x x x x Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Perda de rastreabilidade Indisponibilidade de servios ou informaes VA 3 3 3 3 3 3 3 3 3 3 3 3 3 PA 5 4 5 5 5 5 4 5 5 5 5 3 5 PV 3 4 3 4 4 3 2 3 3 4 4 4 4 S 4 4 4 4 5 4 3 4 4 2 4 4 4 240 144 240 180 PV 3 4 3 3 4 4 4 4 3 4 3 4 4 3 2 S 3 3 4 4 3 4 4 3 4 4 3 4 3 4 4 5685 Risco 180 192 180 240 300 180 300 300 300 400 240 300 300 400 Risco 225 300 300
Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Os equipamentos possuem manuteno? Existem locais adequados para armazenamento das impressoras? Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance?
x x x x
123
# 14 Segurana Lgica - Servidor de Impresso Possui o servio SNMP desabilitado? Sim x No Ameaa Indisponibilidade de servios ou informaes VA 3 PA 5 Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 Segurana Lgica - Smartphone Possui poltica de senha? Possui alguma poltica de senha? Sim No x x Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Interceptao de dados no autorizada x x x x x x x Interceptao de dados no autorizada Vazamento de Informaes Acesso lgico no autorizado Indisponibilidade de servios ou informaes Perda de rastreabilidade Indisponibilidade de servios ou informaes Interceptao de dados no autorizada VA 4 4 4 4 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 4 4 5 5 5 3 5 4 Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 Segurana Lgica - Firewall Existe controle de acesso onde est instalado o firewall? Os "updates" e "patches" esto atualizados? A auditoria do firewall est habilitada? Os logs do equipamento so gravados em um servidor de log? realizado o acompanhamento dos logs do firewall para identificar tentativas de ataques? O firewall recebe uma manuteno peridica? Existe firewall reserva em caso de quebra ? Existe documentao de como o firewall est configurado? O firewall possui antivirus instalado? O antivirus atualizado regularmente? Existe uma poltica de verificao peridica das polticas configuradas? feito backup das configuraes do equipamento cada vez que so feitas alteraes no mesmo? Existem IDS's na rede antes ou depois do firewall? O acesso ao firewall feito atravs do protocolo SSH? A senha de acesso ao firewall possue no minimo 8 caracteres? x Sim x x x x x x x x x x x No Ameaa Acesso fsico no autorizado Indisponibilidade de servios ou informaes Perda de rastreabilidade Perda de rastreabilidade Perda de rastreabilidade Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Erros ou omisses Ao de cdigo malicioso Ao de cdigo malicioso Erros ou omisses Erros ou omisses x x x Acesso lgico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado 5 5 5 5 5 5 3 3 3 4 3 3 300 225 VA 5 5 5 5 5 5 5 5 5 5 5 5 PA 5 5 3 3 3 5 5 3 3 3 3 3 PV 3 3 3 4 3 4 3 3 3 4 3 3 S 3 4 4 4 5 3 4 3 3 3 4 4 180 180 300 180 240 225 300 300 PV 3 4 3 2 4 5 2 3 3 3 4 4 4 S 3 4 3 4 5 3 3 4 4 4 4 5 5 1752 Risco 96 240 240 PV 4 S 4 2076 Risco 180 256 180 160 400 Risco
Possui poltica de contas? Possui poltica de log? Possui poltica de atualizao de patches? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui criptografia dados? Possui senha de acesso ao dispositivo? Os equipamentos possuem manuteno? Os equipamentos possuem controle de patrimnio? Possui o servio Bluetooth desabilitado? Possui o servio Infrared desabilitado? x
x x x
124
# 16
Segurana Lgica - Firewall A senha trocada periodicamente? O acesso ao equipamento de acesso exclusivo aos administradores da rede? (Nenhum estagirio, tcnico ou desenvolvedor tem acesso) Portas no utilizadas so bloqueadas por default? Protocolos no utilizados so bloqueados por default? Existe configurao de "logout" automtico? As regras de acesso so as mais especficas possveis? Existe logs de sucesso para as regras de acesso? Existe logs de falha para as regras de acesso? Possui mecanismo de proteo contra IP spoofing? Possui mecansmo de proteo contra ataques do tipo ICMP? Possui mecanismo de proteo contra ataques do tipo Teardrop? O equipamento possui fontes redundantes? O equipamento possui contrato de manuteno? Existe acompanhamento peridico da utilizao de recursos (capacidade) do equipamento?
Sim x
No
Ameaa Acesso lgico no autorizado Acesso fsico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado
VA 5
PA 5
PV 3
S 3
Risco
17
300
x x x x x x x x x x x x x
18 19 20 21 22 23 24 25 26 27 28 29
5 5 5 5 5 5 5 5 5 5 5 5
5 5 5 5 3 3 4 5 5 5 5 3 Total
4 3 4 3 2 1 4 5 3 3 3 3
5 5 4 3 4 4 5 4 4 3 2 3
500 375
Acesso lgico no autorizado Perda de rastreabilidade Perda de rastreabilidade Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Queda de performance ou falta de capacidade
135 5570
Com os formulrios preenchidos, de acordo com a frmula R = PV x PA x S x VA calculado o risco total de cada ativo, o resultado encontra-se na tabela abaixo.
Ativo Ar Condicionado Elevadores Prdio Sala de Reunio Smartphone Estao de Trabalho Servidor de Impresso Diretores e Gerentes Usurios Notebook Presidente Servidor Web Switch
Tipo do Ativo Infra-Estrutura Fsica Infra-Estrutura Fsica Infra-Estrutura Fsica Infra-Estrutura Fsica Tecnologia Tecnologia Tecnologia Pessoas Pessoas Tecnologia Pessoas Tecnologia Tecnologia
Relevncia 3 3 4 3 4 4 3 5 4 4 5 4 4
Risco Existente 75 852 1080 1425 1752 2064 2076 3125 3380 4408 4575 5015 5064
% 0.08% 0.90% 1.14% 1.51% 1.86% 2.19% 2.20% 3.31% 3.58% 4.67% 4.85% 5.31% 5.36%
125
Ativo Sala de Servidores Firewall Roteador Servidor de Banco de Dados Servidor de Arquivos Servidor de DNS Servidor de Servio de Diretrio Servidor Citrix Servidor de Email Servidor ERP
Tipo do Ativo Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia
Relevncia 5 5 5 5 4 4 5 5 5 5 Total
Risco Existente 5116 5570 5685 5870 5884 5996 6070 6105 6240 6990 94417
% 5.42% 5.90% 6.02% 6.22% 6.23% 6.35% 6.43% 6.47% 6.61% 7.40% 100.00%
Tabela 10 - Risco total de cada ativo Para melhor visualizao dos resultados obtidos, apresentado a figura abaixo:
126
Ativo Ar Condicionado Elevadores Prdio Sala de Reunio Smartphone Estao de Trabalho Servidor de Impresso Diretores e Gerentes Usurios Notebook Presidente Sala de Servidores Servidor Web Switch Firewall Roteador Servidor de Banco de Dados Servidor de Arquivos Servidor de DNS Servidor de Servio de Diretrio Servidor Citrix Servidor de Email Servidor ERP
Risco Existente 75 852 1080 1425 1752 2064 2076 3125 3380 4408 4575 5015 5064 5116 5570 5685 5870 5884 5996 6070 6105 6240 6990
127
Alto 95 27%
Baixo 82 24%
Muito Baixo 15 4%
Qualitativo
1,531 1%
130,068 100.00%
Tabela 12 - Controles por nveis de riscos O grfico abaixo apresenta o total de controles por nvel de risco encontrados no ambiente.
Risco Quantitativo
Baixo 82 24%
Muito Baixo 15 4%
Alto 95 27%
Muito Alto
Alto
Mdio
Baixo
Muito Baixo
128 42% dos controles no implementados possuem nveis de risco Alto e Muito Alto. 30% dos controles no implementados possuem nveis de risco Mdio. 28% dos controles no implementados possuem nveis de risco Baixo e Muito Baixo.
Risco Qualitativo
Muito Alto
Alto
Mdio
Baixo
Muito Baixo
Figura 13 - Riscos Encontrados 56% dos riscos encontrados so referentes aos controles no implementados que possuem nveis de risco Alto e Muito Alto. 29% dos riscos encontrados so referentes aos controles no implementados que possuem nveis de risco Mdio. 15% dos riscos encontrados so referentes aos controles no implementados que possuem nveis de risco Baixo e Muito Baixo.
129
Ameaas
Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Acesso fsico no autorizado Perda de rastreabilidade Vazamento de Informaes Falha de energia Ao de cdigo malicioso Dano a equipamentos ou instalaes Queda de performance ou falta de capacidade Falha em meios de comunicao Erros ou omisses Dano integridade fsica de pessoas Violao de propriedade intelectual Incndio Furto ou roubo de ativos 0 20 40 60 80 100 120 Ameaas
Ameaa Furto ou roubo de ativos Incndio Violao de propriedade intelectual Dano integridade fsica de pessoas Erros ou omisses Falha em meios de comunicao Queda de performance ou falta de capacidade Dano a equipamentos ou instalaes Ao de cdigo malicioso Falha de energia Vazamento de Informaes Perda de rastreabilidade Acesso fsico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Indisponibilidade de servios ou informaes
Total 1 1 1 2 2 2 2 3 6 6 16 18 27 28 76 112
Tabela 13 - Ameaas
Exemplo de impactos operacionais: interrupo dos negcios, perda da capacidade de atendimento a clientes externos e internos, problemas de imagem, problemas de perda de confiana (de clientes, de entidades reguladoras, de entidades classificadoras rating, da alta gerncia, etc.).
Exemplo de impactos financeiros: perdas de receitas, vendas, juros, descontos, pagamento de multas contratuais, cancelamento de ordens de vendas por atraso, indisponibilidade de fundos, despesas extraordinrias com servios externos, funcionrios temporrios, compras de emergncia, etc.
131
Controle
Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha
Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha Instalar os ltimos patches de segurana disponveis pelo fabricante. Configurar o bloqueio de tela para 1 minuto de inatividade. Elaborar polticas de backup com procedimentos de testes regularmente Criar procedimentos para testes de validao peridicos de backup. Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia
4 6
132
Segurana Lgica - Servidor ERP Controles a serem Implementados Possui espelhamento de HDs? Estabelecer requisitos mnimos de hardware para o servidor. Formalizar os contratos de manuteno com as empresas prestadoras de servios. Instalar os servidores em rea segura protegidas por controles apropriados de entrada ,para assegurar que somente as pessoas autorizadas tenham acesso. Projetar e aplicar segurana fsica nas instalaes contra ameaas externas e do meio ambiente. Formalizar procedimentos para o armazenamento e gerenciamento de mdias. Implementar controle de acesso ao local onde esto armazenadas as mdias de backup. Configurar o Servidor de Syslog externo. Implementar controle para a monitorao de performance. Criar na recomendao da nova topologia de rede ,a instalao de IDS/IPS de rede. Configurar mecanismos de proteo de segurana na rede. Configurar mecanismos de proteo de segurana na rede. Elaborar polticas de controle, atualizao,deteco,preveno e recuperao de cdigos maliciosos.
Controle 10
11
12
13 14 15 16 17 18 19 20
Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Implementar controle para a monitorao de performance. Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall?
Controle
Segurana Lgica - Servidor E-mail Controles a serem Implementados Configurar as polticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade - Ativada Aplicar histrico de senhas - 0 senhas memorizadas Armazena senhas usando criptografia reversvel para todos usurios no domnio - Desativada Comprimento mnimo da senha - 15 Caracteres Tempo de vida mximo da senha 30 Dias Tempo de vida mnimo da senha 1 Dias
133
Controle
Configurar as polticas de logs do servidor para a seguinte diretiva:Auditoria de acesso a objetos Sucesso, FalhaAuditoria de acesso ao servio de diretrio - FalhaAuditoria de alterao de diretivas Sucesso, FalhaAuditoria de controle de processos Sem auditoriaAuditoria de eventos de logon Sucesso, FalhaAuditoria de eventos de sistema Sucesso, FalhaAuditoria de gerenciamento de contas - Sucesso, FalhaAuditoria de uso de privilgios - FalhaEventos de logon de conta de auditoria - Sucesso, Falha
Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha Instalar os ltimos patches de segurana disponveis pelo fabricante. Configurar o bloqueio de tela para 1 minuto de inatividade. Elaborar polticas de backup com procedimentos de testes regularmente Criar procedimentos para testes de validao peridicos de backup. Instalar os servidores em rea segura protegidas por controles apropriados de entrada ,para assegurar que somente as pessoas autorizadas tenham acesso. Projetar e aplicar segurana fsica nas instalaes contra ameaas externas e do meio ambiente.
4 5
Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias de backup?
Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Possui IDS/IPS instalado? Possui Firewall instalado?
Formalizar procedimentos para o armazenamento e gerenciamento de mdias. Implementar controle de acesso ao local onde esto armazenadas as mdias de backup. Configurar o Servidor de Syslog . Criar na recomendao da nova topologia de rede ,a instalao de IDS/IPS de rede. Mecanismos de proteo e segurana devem ser configurados na rede
10 11 12 13
134
Segurana Lgica - Servidor E-mail Controles a serem Implementados Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Existe procedimento para contingncia documentado? Possui limite para o tamanho de caixa por usurio? Possui limite para o tamanho de arquivo a ser enviado? Possui limite para o tamanho de arquivo a ser recebido? Elaborar polticas de controle, atualizao,deteco,preveno e recuperao de cdigos maliciosos. Criar plano de contigncia Limitar tamanho da caixa de mensagem dos usurios de e-mail para no mximo 400 MB. Limitar tamanho das mensagens de E-mail enviadas para no mximo 10 MB. Limitar tamanho mximi das mensagens de E-mail recebidas para no mximo 10 MB.
Controle 14 15 16 17 18
Controle
Segurana Lgica - Servidor Citrix Controles a serem Implementados Configurar as polticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade - Ativada Aplicar histrico de senhas - 0 senhas memorizadas Armazena senhas usando criptografia reversvel para todos usurios no domnio - Desativada Comprimento mnimo da senha - 15 Caracteres Tempo de vida mximo da senha 30 Dias Tempo de vida mnimo da senha 1 Dias
Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha
Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha
135
Segurana Lgica - Servidor Citrix Controles a serem Implementados Instalar os ltimos patches de segurana Possui poltica de atualizao de segurana? disponveis pelo fabricante. Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Criar procedimentos formalizados para a instalao e configurao dos sistemas Operacionais. Configurar o bloqueio de tela para 1 minuto de inatividade. Criar procedimentos para testes de validao peridicos de backup. Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia Estabelecer requisitos mnimos de hardware para o servidor. Formalizar os contratos de manuteno com as empresas prestadoras de servios. Formalizar procedimentos para o armazenamento e gerenciamento de mdias. Implementar controle de acesso ao local onde esto armazenadas as mdias de backup. Configurar o Servidor de Syslog externo. Criar na recomendao da nova topologia de rede ,a instalao de IDS/IPS de rede. Configurar mecanismos de proteo de segurana na rede. Configurar mecanismos de proteo de segurana na rede. Elaborar polticas de controle, atualizao,deteco,preveno e recuperao de cdigos maliciosos.
Controle 4 5 6 7 8
10 11 12 13 14 15 16 17
Os equipamentos possuem manuteno? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall?
Controle
Configurar as polticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade - Ativada Aplicar histrico de senhas - 0 senhas memorizadas Armazena senhas usando criptografia reversvel para todos usurios no domnio - Desativada Comprimento mnimo da senha - 15 Caracteres Tempo de vida mximo da senha 30 Dias Tempo de vida mnimo da senha 1 Dias
136
Controle
Configurar as polticas de logs do servidor para a seguinte diretiva:Auditoria de acesso a objetos Sucesso, FalhaAuditoria de acesso ao servio de diretrio - FalhaAuditoria de alterao de diretivas Sucesso, FalhaAuditoria de controle de processos Sem auditoriaAuditoria de eventos de logon Sucesso, FalhaAuditoria de eventos de sistema Sucesso, FalhaAuditoria de gerenciamento de contas - Sucesso, FalhaAuditoria de uso de privilgios - FalhaEventos de logon de conta de auditoria - Sucesso, Falha
Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha Instalar os ltimos patches de segurana disponveis pelo fabricante. Configurar o bloqueio de tela para 1 minuto de inatividade. Criar procedimentos para testes de validao peridicos de backup. Formalizar procedimentos para o armazenamento e gerenciamento de mdias. Implementar controle de acesso ao local onde esto armazenadas as mdias de backup. Configurar o Servidor de Syslog externo. Implementar controle para a monitorao de performance. Criar na recomendao da nova topologia de rede ,a instalao de IDS/IPS de rede. Configurar mecanismos de proteo de segurana na rede. Configurar mecanismos de proteo de segurana na rede. Elaborar polticas de controle, atualizao,deteco,preveno e recuperao de cdigos maliciosos.
4 5 6
Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela? Possui poltica para utilizao e atualizao das mdias? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall?
8 9 10 11 12 13 14
137
Controle
Configurar as polticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade - Ativada Aplicar histrico de senhas - 0 senhas memorizadas Armazena senhas usando criptografia reversvel para todos usurios no domnio - Desativada Comprimento mnimo da senha - 15 Caracteres Tempo de vida mximo da senha 30 Dias Tempo de vida mnimo da senha 1 Dias
Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha
Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha Instalar os ltimos patches de segurana disponveis pelo fabricante. Configurar o bloqueio de tela para 1 minuto de inatividade. Criar procedimentos para testes de validao peridicos de backup. Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia Estabelecer requisitos mnimos de hardware para o servidor.
4 5
Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela? Possui poltica para utilizao e atualizao das mdias?
138
Segurana Lgica - Servidor de DNS Controles a serem Implementados Existe local adequado para armazenamento das Formalizar procedimentos para o armazenamento e mdias? gerenciamento de mdias. Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? O servio DNS possui transferncia de zona restrita? O servio DNS possui recursividade habilitada? Implementar controle de acesso ao local onde esto armazenadas as mdias de backup. Configurar o Servidor de Syslog externo. Implementar controle para a monitorao de performance. Criar na recomendao da nova topologia de rede ,a instalao de IDS/IPS de rede. Configurar mecanismos de proteo de segurana na rede. Configurar mecanismos de proteo de segurana na rede. Elaborar polticas de controle, atualizao,deteco,preveno e recuperao de cdigos maliciosos. Criar procedimentos para configurao do DNS Criar procedimentos para configurao do DNS
Controle 9 10 11 12 13 14 15 16 17 18
Controle
Configurar as polticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade - Ativada Aplicar histrico de senhas - 0 senhas memorizadas Armazena senhas usando criptografia reversvel para todos usurios no domnio - Desativada Comprimento mnimo da senha - 15 Caracteres Tempo de vida mximo da senha 30 Dias Tempo de vida mnimo da senha 1 Dias
Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha
139
Controle
Configurar as polticas de logs do servidor para a seguinte diretiva:Auditoria de acesso a objetos Sucesso, FalhaAuditoria de acesso ao servio de diretrio - FalhaAuditoria de alterao de diretivas Sucesso, FalhaAuditoria de controle de processos Sem auditoriaAuditoria de eventos de logon Sucesso, FalhaAuditoria de eventos de sistema Sucesso, FalhaAuditoria de gerenciamento de contas - Sucesso, FalhaAuditoria de uso de privilgios - FalhaEventos de logon de conta de auditoria - Sucesso, Falha
4 5 6
Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica para utilizao e atualizao das mdias de backup?
Instalar os ltimos patches de segurana disponveis pelo fabricante. Criar procedimentos formalizados para a instalao e configurao dos sistemas Operacionais. Configurar o bloqueio de tela para 1 minuto de inatividade. Formalizar procedimentos para o armazenamento e gerenciamento de mdias. Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia Estabelecer requisitos mnimos de hardware para o servidor. Formalizar os contratos de manuteno com as empresas prestadoras de servios. Formalizar procedimentos para o armazenamento e gerenciamento de mdias. Implementar controle de acesso ao local onde esto armazenadas as mdias de backup. Configurar o Servidor de Syslog externo. Criar na recomendao da nova topologia de rede ,a instalao de IDS/IPS de rede. Configurar mecanismos de proteo de segurana na rede. Configurar mecanismos de proteo de segurana na rede. Elaborar polticas de controle, atualizao,deteco,preveno e recuperao de cdigos maliciosos. Criar procedimentos formais para a utilizao e configurao do servidor de arquivos
10 11 12 13 14 15 16 17 18
Os equipamentos possuem manuteno? Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possui limite de espao por usurio configurado?
140
Segurana Lgica - Servidor de Banco de Dados Controles a serem Implementados
Controle
Configurar as polticas de senha do servidor para a seguinte diretiva:A senha deve satisfazer a requisitos de complexidade - AtivadaAplicar histrico de senhas - 0 senhas memorizadasArmazena senhas usando criptografia reversvel para todos usurios no domnio DesativadaComprimento mnimo da senha - 15 CaracteresTempo de vida mximo da senha 30 DiasTempo de vida mnimo da senha 1 Dias
Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha
Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha Instalar os ltimos patches de segurana disponveis pelo fabricante. Configurar o bloqueio de tela para 1 minuto de inatividade. Formalizar procedimentos para o armazenamento e gerenciamento de mdias. Criar procedimentos para testes de validao peridicos de backup. Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia Estabelecer requisitos mnimos de hardware para o servidor.
4 5
Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante?
7 8
141
Segurana Lgica - Servidor de Banco de Dados Controles a serem Implementados Formalizar os contratos de manuteno com as Os equipamentos possuem manuteno? empresas prestadoras de servios. Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Formalizar procedimentos para o armazenamento e gerenciamento de mdias. Implementar controle de acesso ao local onde esto armazenadas as mdias de backup. Configurar o Servidor de Syslog externo. Implementar controle para a monitorao de performance. Criar na recomendao da nova topologia de rede ,a instalao de IDS/IPS de rede. Configurar mecanismos de proteo de segurana na rede. Configurar mecanismos de proteo de segurana na rede. Elaborar polticas de controle, atualizao,deteco,preveno e recuperao de cdigos maliciosos.
Controle 10 11 12 13 14 15 16 17 18
19
Configurar as polticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade - Ativada Aplicar histrico de senhas - 0 senhas memorizadas Armazena senhas usando criptografia reversvel para todos usurios no domnio - Desativada Comprimento mnimo da senha - 15 Caracteres Tempo de vida mximo da senha 30 Dias Tempo de vida mnimo da senha 1 Dias
Configurar as polticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade - Ativada Aplicar histrico de senhas - 0 senhas memorizadas Armazena senhas usando criptografia reversvel para todos usurios no domnio - Desativada Comprimento mnimo da senha - 15 Caracteres Tempo de vida mximo da senha 30 Dias Tempo de vida mnimo da senha 1 Dias
142
Configurar as polticas de logs do servidor para a seguinte diretiva:Auditoria de acesso a objetos Sucesso, FalhaAuditoria de acesso ao servio de diretrio - FalhaAuditoria de alterao de diretivas Sucesso, FalhaAuditoria de controle de processos Sem auditoriaAuditoria de eventos de logon Sucesso, FalhaAuditoria de eventos de sistema Sucesso, FalhaAuditoria de gerenciamento de contas - Sucesso, FalhaAuditoria de uso de privilgios - FalhaEventos de logon de conta de auditoria - Sucesso, Falha
3 4 5 6 7 8
Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui restrio de acesso console de administrao? Possui fonte redundante? Possui porta console desabilitada para administrao? Possui porta auxiliar desabilitada?
As polticas de logs devem ser configuradas no roteador. Instalar os ltimos patches de segurana disponveis pelo fabricante. Configurar o ACL de administrao para mquinas restritas. Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia Desabilitar porta do console para administrao Desabilitar porta auxiliar Instalar o roteador em rea segura protegidas por controles apropriados de entrada ,para assegurar que somente as pessoas autorizadas tenham acesso. Projetar e aplicar segurana fsica nas instalaes contra ameaas externas e do meio ambiente. Habilitar monitorao de segurana Configurar o Servidor de Syslog externo. Implementar controle para a monitorao de performance. Formalizar procedimentos para o armazenamento e gerenciamento de mdias. Implementar controle de acesso ao local onde esto armazenadas as mdias de backup. Desabilitar o servio DHCP Desabilitar o servio DNS
10 11 12 13 14 15 16
Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Possui o servio DHCP desabilitado? Possui o servio DNS desabilitado?
143
Segurana Lgica - Firewall Controle 1 2 3 4 5 6 7 8 9 10 Os "updates" e "patches" esto atualizados? A auditoria do firewall est habilitada? Os logs do equipamento so gravados em um servidor de log? realizado o acompanhamento dos logs do firewall para identificar tentativas de ataques? O firewall recebe uma manuteno peridica? Existe firewall reserva em caso de quebra ? Existe uma poltica de verificao peridica das polticas configuradas? feito backup das configuraes do equipamento cada vez que so feitas alteraes no mesmo? Existem IDS's na rede antes ou depois do firewall? O acesso ao firewall feito atravs do protocolo SSH? O acesso ao equipamento de acesso exclusivo aos administradores da rede? (Nenhum estagirio, tcnico ou desenvolvedor tem acesso) Portas no utilizadas so bloqueadas por default? Protocolos no utilizados so bloqueados por default? As regras de acesso so as mais especficas possveis? Existe logs de sucesso para as regras de acesso? Existe logs de falha para as regras de acesso? Possui mecanismo de proteo contra IP spoofing? Possui mecansmo de proteo contra ataques do tipo ICMP? Possui mecansmo de proteo contra ataques do tipo Teardrop? O equipamento possui fontes redundantes? Controles a serem Implementados Instalar os ltimos patches de segurana disponveis pelo fabricante. Habilitar auditoria de firewall Habilitar a gravao dos logs no servidor Auditar logs do firewall Contratar servio de manuteno peridica para firewall Providenciar firewall de reserva Formalizar polticas de verificao perodica das configuraes do firewall Implementar polticas de backup para configurao do firewall Criar na recomendao da nova topologia de rede ,a instalao de IDS/IPS de rede. Habilitar o acesso via SSH para conexo remota.
11
12 13 14 15 16 17 18 19 20
Bloquear portas no utilizadas Bloquear protocolos no utilizados Elaborar regras de acesso ao firewall Habilitar logs de sucesso Habilitar logs de falha Habilitar mecanismos de proteo contra IP spoofing Habilitar mecanismos de proteo contra ICMP Habilitar mecanismos de proteo contra Teardrop Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia Implementar controle para a monitorao de performance.
21
144
Segurana Lgica - Switch Controle Controles a serem Implementados
Configurar as polticas de senha do servidor para a seguinte diretiva:A senha deve satisfazer a requisitos de complexidade - AtivadaAplicar histrico de senhas - 0 senhas memorizadasArmazena senhas usando criptografia reversvel para todos usurios no domnio DesativadaComprimento mnimo da senha - 15 CaracteresTempo de vida mximo da senha 30 DiasTempo de vida mnimo da senha 1 Dias
Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha As polticas de logs devem ser configuradas no roteador. Instalar os ltimos patches de segurana disponveis pelo fabricante. Configurar o ACL de administrao para mquinas restritas. Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia. Formalizar os contratos de manuteno com as empresas prestadoras de servios. Instalar os switches em rea segura protegidas por controles apropriados de entrada ,para assegurar que somente as pessoas autorizadas tenham acesso. Projetar e aplicar segurana fsica nas instalaes contra ameaas externas e do meio ambiente. Habilitar monitorao de segurana Configurar o Servidor de Syslog externo. Implementar controle para a monitorao de performance. Formalizar procedimentos para o armazenamento e gerenciamento de mdias. Implementar controle de acesso ao local onde esto armazenadas as mdias de backup. Desabilitar o servio DHCP Desabilitar o servio DNS Implementar Suporte a tecnologia 802.1x
3 4 5 6 7
Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui restrio de acesso console de administrao? Possui fonte redundante? Os equipamentos possuem manuteno?
9 10 11 12 13 14 15 16
Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Possui o servio DHCP desabilitado? Possui o servio DNS desabilitado? Possui suporte tecnologia 802.1x?
145
Segurana Lgica - Switch Controle 17 A funcionalidade 802.1x est desabilitada? Controles a serem Implementados Habilitar a tecnologia 802.1 x
Controle
Configurar as polticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade - Ativada Aplicar histrico de senhas - 0 senhas memorizadas Armazena senhas usando criptografia reversvel para todos usurios no domnio - Desativada Comprimento mnimo da senha - 15 Caracteres Tempo de vida mximo da senha 30 Dias Tempo de vida mnimo da senha 1 Dias
Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha
Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha Instalar os ltimos patches de segurana disponveis pelo fabricante. Configurar o bloqueio de tela para 1 minuto de inatividade. Formalizar procedimentos para o armazenamento e gerenciamento de mdias. Criar procedimentos para testes de validao peridicos de backup.
4 5 6 7
Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias?
146
Segurana Lgica - Servidor Web Controles a serem Implementados Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia Estabelecer requisitos mnimos de hardware para o servidor. Formalizar os contratos de manuteno com as empresas prestadoras de servios. Formalizar procedimentos para o armazenamento e gerenciamento de mdias. Implementar controle de acesso ao local onde esto armazenadas as mdias de backup. Configurar o Servidor de Syslog externo. Implementar controle para a monitorao de performance. Criar na recomendao da nova topologia de rede ,a instalao de IDS/IPS de rede. Configurar mecanismos de proteo de segurana na rede. Configurar mecanismos de proteo de segurana na rede. Segurana Fsica - Sala de Servidores
Os equipamentos possuem manuteno? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado?
Controle 1 Possui controle de acesso? Possui controle de incndio apropriado? Existe controle de umidade da sala? Possui monitorao CFTV? As filmagens so retidas por mais de 30 dias? Existe sistema para suprir o fornecimento de energia em caso de falhas por 48 horas? Existe controle de quem solicita e utiliza as chaves dos racks? Existe controle de quem autorizado a pegar chaves dos racks? Existe controle para medir a utilizao de eltrica por rack? Existe procedimento de limpeza segura das sala? Existe processo para detectar racks que no foram fechados devidamente?
Controles a serem Implementados Implementar controle de identificao atravs de cartes magnticos nas portas de acesso as salas de reunies. Projetar e instalar dispositivos de deteco de incndio e alarme. Instalar equipamento para controle de temperatura. Instalar monitorao CFTV Elaborar procedimentos para arquivar as filmagens retidas Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia Implementar controle formal de solicitao e utilizao das chaves dos racks Implementar controle formal de autorizao para a utilizao das chaves dos racks Instalar equipamento para medir a utilizao eltrica por rack Elaborar procedimentos formais para a limpeza das salas Instalar dispositivo para avisar quando o Rack no foi fechado
2 3 4 5
6 7 8 9 10 11
147
Segurana Administrativa - Presidente Controle 1 O presidente participa de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utiliza criptografia em dispositivos removiveis? A empresa possui uma poltica de continuidade de negcios? Ajuda na divulgao da segurana da informao? A segurana da informao considerada como um pr-requisito antes ou durante a estratgia de negcio e planejamento das atividades? A segurana da informao faz parte dos ciclos do negcio? Existe comite de segurana? Participa do comite de segurana? Controles a serem Implementados Desenvolver treinamento de segurana para os Presidentes. Definir na PSI diretriz onde seja definida o comportamento do usurio e as punies para o no cumprimento. Definir poltica de senha Criptografar dispositivos removiveis Definir poltica de plano de continuidade de negcio Conscientizar sobre a importncia de participar da divulgao de campanhas de segurana Criar na PSI, uma diretriz para aplicao da segurana da informao alinhada aos negcios da empresa Criar na PSI, uma diretriz para aplicao da segurana da informao alinhada aos negcios da empresa Criar um comite de Segurana da Informao Criar na PSI, uma diretriz para participao do presidente no comite de segurana
2 3 4 5 6
8 9 10
Configurar as polticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade - Ativada Aplicar histrico de senhas - 0 senhas memorizadas Armazena senhas usando criptografia reversvel para todos usurios no domnio - Desativada Comprimento mnimo da senha - 15 Caracteres Tempo de vida mximo da senha 30 Dias Tempo de vida mnimo da senha 1 Dias
148
Configurar as polticas de logs do servidor para a seguinte diretiva:Auditoria de acesso a objetos Sucesso, FalhaAuditoria de acesso ao servio de diretrio - FalhaAuditoria de alterao de diretivas Sucesso, FalhaAuditoria de controle de processos Sem auditoriaAuditoria de eventos de logon Sucesso, FalhaAuditoria de eventos de sistema Sucesso, FalhaAuditoria de gerenciamento de contas - Sucesso, FalhaAuditoria de uso de privilgios - FalhaEventos de logon de conta de auditoria - Sucesso, Falha
Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha Instalar os ltimos patches de segurana disponveis pelo fabricante. Configurar o bloqueio de tela para 1 minuto de inatividade. Criar procedimentos formais para criptografar o disco interno Criar procedimentos formais para setar a senha da Bios. Formalizar os contratos de manuteno com as empresas prestadoras de servios. Criar na recomendao da nova topologia de rede ,a instalao de IDS/IPS de rede. Configurar mecanismos de proteo de segurana na rede. Configurar mecanismos de proteo de segurana na rede. Elaborar polticas de controle, atualizao,deteco,preveno e recuperao de cdigos maliciosos. Incluir na PSI, diretriz para utilizao dos equipamentos de tecnologia da informao e comunicao.
4 5 6 7 8 9 10 11 12
Possui criptografia de disco interno? Possui senha de BIOS configurada? Os equipamentos possuem manuteno? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado?
149
Controle 1 2
Segurana Administrativa - Usurios Controles a serem Implementados Possuem conhecimentos da poltica de segurana Realizar divulgao das politicas de segurana aplicada no ambiente? aplicadas no ambiente. Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Incluir na PSI , diretriz obrigando os usurios a participar dos treinamentos. Realizar campanhas de conscientizao aos usurios ressaltando as penalidades aplicadas. Realizar campanhas de conscientizao aos usurios ressaltando as penalidades aplicadas. Monitorar a rede para identificar acessos. Definir procedimentos para instalao e configurao do anti-malware. Comunicar os incidentes de segurana Criptografar dispositivos removiveis
3 4 5 H controles para instalao de software pirata? H monitoramento na rede para identificar acessos no permitidos? Os recursos anti-malware esto configurados de modo que os usurios no possam desabilita-los? 6 7 8 Os incidentes de segurana so comunicados pelos usurios? Utilizam criptografia em dispositivos removiveis?
Controle 1 2
Segurana Administrativa - Diretores e Gerentes Controles a serem Implementados Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utilizam criptografia em dispositivos removiveis? Realizar divulgao das politicas de segurana aplicadas no ambiente. Incluir na PSI , diretriz obrigando os diretores e gerentes a participar dos treinamentos. Realizar campanhas de conscientizao aos usurios ressaltando as penalidades aplicadas. Definir poltica de senha Criptografar dispositivos removiveis
3 4 5
Configurar as polticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade - Ativada Aplicar histrico de senhas - 0 senhas memorizadas Armazena senhas usando criptografia reversvel para todos usurios no domnio - Desativada Comprimento mnimo da senha - 15 Caracteres Tempo de vida mximo da senha 30 Dias Tempo de vida mnimo da senha 1 Dias
150
Segurana Lgica - Servidor de Impresso Controle Controles a serem Implementados
Configurar as polticas de logs do servidor para a seguinte diretiva:Auditoria de acesso a objetos Sucesso, FalhaAuditoria de acesso ao servio de diretrio - FalhaAuditoria de alterao de diretivas Sucesso, FalhaAuditoria de controle de processos Sem auditoriaAuditoria de eventos de logon Sucesso, FalhaAuditoria de eventos de sistema Sucesso, FalhaAuditoria de gerenciamento de contas - Sucesso, FalhaAuditoria de uso de privilgios - FalhaEventos de logon de conta de auditoria - Sucesso, Falha
Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha Instalar os ltimos patches de segurana disponveis pelo fabricante. Criar procedimentos formalizados para a instalao e configurao dos sistemas Operacionais. Configurar o ACL de administrao para mquinas restritas. Formalizar os contratos de manuteno com as empresas prestadoras de servios. Definir local adequado para o armazenado das impressoras Habilitar configurao de segurana Configurar o Servidor de Syslog externo. Implementar controle para a monitorao de performance. Desabilitar o servio SNMP
Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Os equipamentos possuem manuteno? Existem locais adequados para armazenamento das impressoras? Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui o servio SNMP desabilitado?
6 7 8 9 10 11 12
151
Configurar as polticas de senha do servidor para a seguinte diretiva:A senha deve satisfazer a requisitos de complexidade - AtivadaAplicar histrico de senhas - 0 senhas memorizadasArmazena senhas usando criptografia reversvel para todos usurios no domnio DesativadaComprimento mnimo da senha - 15 CaracteresTempo de vida mximo da senha 30 DiasTempo de vida mnimo da senha 1 Dias
Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha
Configurar as polticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos - Sucesso, Falha Auditoria de acesso ao servio de diretrio - Falha Auditoria de alterao de diretivas - Sucesso, Falha Auditoria de controle de processos - Sem auditoria Auditoria de eventos de logon - Sucesso, Falha Auditoria de eventos de sistema - Sucesso, Falha Auditoria de gerenciamento de contas - Sucesso, Falha Auditoria de uso de privilgios - Falha Eventos de logon de conta de auditoria - Sucesso, Falha Instalar os ltimos patches de segurana disponveis pelo fabricante. Configurar o bloqueio de tela para 1 minuto de inatividade. Criar procedimentos formais para criptografar o disco interno Configurar senha de acesso para o dispositivo
4 5 6 7
Possui poltica de atualizao de patches? Possui poltica para bloqueio de tela? Possui criptografia dados? Possui senha de acesso ao dispositivo?
152
Segurana Fsica - Sala de Reunio Controle 1 2 3 4 Possui controle de acesso? Possui controle de utilizao? Possui acstica? Possui algum controle para a identificao dos participantes? Controles a serem Implementados Utilizar sistemas de carto magntico para acesso as salas de reunio Implementar calendrio compartilhado para utilizao da sala Implementar sistema de acstica Instalar cortina
Segurana Fsica - Prdio Controle 1 2 3 4 5 Possui estabilizadores de tenso? Possui sistema para identificao de funcionrios e visitantes para acesso? Possui plano de abandono de rea em caso de desastres? Possui controle de acesso nos andares? Possui escada de emergncia? Controles a serem Implementados Instalar estabilizadores de tenso na rede eltrica Utilizar catracas e cartes magnticos para identificao dos funcionrios e visitantes Criar plano de abandono de prdio junto PCN Utilizar sistemas de carto magntico para acesso aos andares Instalar escadas de emergncia
Segurana Fsica - Elevadores Controle 1 2 3 4 Possui cmera de vigilncia? Possui telefone para comunicao com o porteiro em caso de emergncia? Possui controle de temperatura? Possui geradores e estabilizador de tenso para caso de falta de energia? Controles a serem Implementados Instalar sistemas CFTV Instalar telefones para a comunicao com a portaria Instalar controle de temperatura Instalar geradores de energia eltrica para os elevadores
Segurana Fsica - Ar Condicionado Controle 1 Possui manuteno peridica? Controles a serem Implementados Elaborar contrato de manuteno
Tabela 14 - Controles
153
Implementar Controles de Segurana Lgica nos Servidores: Criar uma unidade organizacional no active directory com o nome de Seguranca Servidores, para aplicao das configuraes de segurana de acordo com modelo abaixo:
[version] signature="$CHICAGO$" Revision=1 [System Access] MinimumPasswordAge = 1 MaximumPasswordAge = 30 MinimumPasswordLength = 15 PasswordComplexity = 1 PasswordHistorySize = 24 LockoutBadCount = 5 ResetLockoutCount = 1440 LockoutDuration = 1440 ForceLogoffWhenHourExpire = 1 ClearTextPassword = 0 LSAAnonymousNameLookup = 0 EnableGuestAccount = 0 ;---------------------------------------------------------------;Event Log - Log Settings ;---------------------------------------------------------------[System Log] MaximumLogSize = 81920 RestrictGuestAccess = 1 [Security Log] MaximumLogSize = 81920 AuditLogRetentionPeriod = 0 RestrictGuestAccess = 1 [Application Log] MaximumLogSize = 81920 RestrictGuestAccess = 1 ;---------------------------------------------------------------------; Local Policies\Audit Policy ;---------------------------------------------------------------------[Event Audit] AuditSystemEvents = 0 AuditLogonEvents = 2 AuditObjectAccess = 0 AuditPrivilegeUse = 2 AuditPolicyChange = 3 AuditAccountManage = 3 AuditProcessTracking = 0 AuditDSAccess = 2 AuditAccountLogon = 2
154
;---------------------------------------------------------------------; Local Policies\SecurityOptions ;---------------------------------------------------------------------[Registry Values] MACHINE\System\CurrentControlSet\Control\Lsa\AuditBaseObjects=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAuditFail=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\DisableDomainCreds=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\FullPrivilegeAuditing=3,0 MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel=4,4 MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash=4,1 MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymous=4,1 MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM=4,1 MACHINE\System\CurrentControlSet\Control\Lsa\SubmitControl=4,0 MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers=4,1 MACHINE\System\CurrentControlSet\Control\Session Manager\ProtectionMode=4,1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySi gnature=4,1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySi gnature=4,0 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLog Off=4,1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect= 4,15 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecur itySignature=4,1 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSec uritySignature=4,0 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlain TextPassword=4,0 MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChan ge=4,0 MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge =4,30
Instalar e configurar na rede um servidor de atualizaes de segurana (WSUS); Instalar e configurar um servidor de centralizao de logs (syslog) externo; Adquirir, instalar e configurar o servidor de backup Criar uma unidade organizacional no active directory com o nome de Seguranca AD, para aplicao das configuraes de segurana de acordo com modelo abaixo:
[version] signature="$CHICAGO$" Revision=1 [System Access] MinimumPasswordAge = 1 MaximumPasswordAge = 45 MinimumPasswordLength = 8 PasswordComplexity = 1 PasswordHistorySize = 24
155
LockoutBadCount = 5 ResetLockoutCount = 1440 LockoutDuration = 1440 ForceLogoffWhenHourExpire = 1 ClearTextPassword = 0 LSAAnonymousNameLookup = 0 EnableGuestAccount = 0 ;---------------------------------------------------------------;Event Log - Log Settings ;---------------------------------------------------------------[System Log] MaximumLogSize = 101024 AuditLogRetentionPeriod = 0 RestrictGuestAccess = 1 [Security Log] MaximumLogSize = 101024 AuditLogRetentionPeriod = 0 RestrictGuestAccess = 1 [Application Log] MaximumLogSize = 101024 AuditLogRetentionPeriod = 0 RestrictGuestAccess = 1 ;---------------------------------------------------------------------; Local Policies\Audit Policy ;---------------------------------------------------------------------[Event Audit] AuditSystemEvents = 0 AuditLogonEvents = 2 AuditObjectAccess = 0 AuditPrivilegeUse = 2 AuditPolicyChange = 3 AuditAccountManage = 3 AuditProcessTracking = 0 AuditDSAccess = 2 AuditAccountLogon = 2 ;---------------------------------------------------------------------; Local Policies\SecurityOptions ;---------------------------------------------------------------------[Registry Values] MACHINE\System\CurrentControlSet\Control\Lsa\AuditBaseObjects=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAuditFail=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\DisableDomainCreds=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\FullPrivilegeAuditing=3,0 MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel=4,4 MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash=4,1 MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymous=4,1 MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM=4,1 MACHINE\System\CurrentControlSet\Control\Lsa\SubmitControl=4,0 MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers=4,1 MACHINE\System\CurrentControlSet\Control\Session Manager\ProtectionMode=4,1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySi gnature=4,1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySi gnature=4,0 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLog Off=4,1
156
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect= 4,15 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecur itySignature=4,1 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSec uritySignature=4,0 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlain TextPassword=4,0 MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChan ge=4,0 MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge =4,30
Criar uma unidade organizacional no active directory com o nome de Seguranca Estacoes, para aplicao das configuraes de segurana de acordo com modelo abaixo:
[version] signature="$CHICAGO$" Revision=1 [System Access] MinimumPasswordAge = 1 MaximumPasswordAge = 45 MinimumPasswordLength = 8 PasswordComplexity = 1 PasswordHistorySize = 24 LockoutBadCount = 5 ResetLockoutCount = 1440 LockoutDuration = 1440 ForceLogoffWhenHourExpire = 1 ClearTextPassword = 0 LSAAnonymousNameLookup = 0 EnableGuestAccount = 0 ;---------------------------------------------------------------;Event Log - Log Settings ;---------------------------------------------------------------[System Log] MaximumLogSize = 101024 AuditLogRetentionPeriod = 0 RestrictGuestAccess = 1 [Security Log] MaximumLogSize = 101024 AuditLogRetentionPeriod = 0 RestrictGuestAccess = 1 [Application Log] MaximumLogSize = 101024 AuditLogRetentionPeriod = 0 RestrictGuestAccess = 1 ;---------------------------------------------------------------------; Local Policies\Audit Policy ;----------------------------------------------------------------------
157
[Event Audit] AuditSystemEvents = 0 AuditLogonEvents = 2 AuditObjectAccess = 0 AuditPrivilegeUse = 2 AuditPolicyChange = 3 AuditAccountManage = 3 AuditProcessTracking = 0 AuditDSAccess = 2 AuditAccountLogon = 2 ;---------------------------------------------------------------------; Local Policies\SecurityOptions ;---------------------------------------------------------------------[Registry Values] MACHINE\System\CurrentControlSet\Control\Lsa\AuditBaseObjects=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAuditFail=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\DisableDomainCreds=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\FullPrivilegeAuditing=3,0 MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel=4,4 MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec=4,0 MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash=4,1 MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymous=4,1 MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM=4,1 MACHINE\System\CurrentControlSet\Control\Lsa\SubmitControl=4,0 MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers=4,1 MACHINE\System\CurrentControlSet\Control\Session Manager\ProtectionMode=4,1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySi gnature=4,1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySi gnature=4,0 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLog Off=4,1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect= 4,15 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecur itySignature=4,1 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSec uritySignature=4,0 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlain TextPassword=4,0 MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChan ge=4,0 MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge =4,30
158 Atualizar o sistema operacional atravs do servidor WSUS para minimizar o risco de ataque por negao de servio e/ou acesso indevido; Agendar todos os dias o inicio do backup para as 23 horas atravs do software Arcserver; Realizar correo do ambiente fsico conforme soluo da analise fsica, corrigindo assim problemas referentes ao ambiente e controle de acesso; Atualizar o sistema operacional atravs do servidor WSUS para minimizar o risco de ataque por negao de servio e/ou acesso indevido; Configurar um cliente para para enviar os logs do sistema operacional do servidor para o syslog; Configurar em System Manager / Administrative Groups / Mailserver/ protocol / smtp / Default SMTP Virtual Server; click com boto direito / properties / Access / Relay Restrictions / Relay /; Allow all computers which sucessfully authenticate to relay, regardlless on the list above Desmarcar a opo; Configurar limite para tamanho de caixa de e-mail para usurio de acordo com: http://support.microsoft.com/kb/322679/pt-br Configurar limite para tamanho de arquivo a ser recebido de acordo com: http://support.microsoft.com/kb/322679/pt-br Configurar limite para tamanho de arquivo a ser enviado de acordo com: http://support.microsoft.com/kb/322679/pt-br
159 Atualizar o sistema operacional atravs do servidor WSUS para minimizar o risco de ataque por negao de servio e/ou acesso indevido; Agendar todos os dias o inicio do backup para as 23:59 horas atravs do software Arcserver; Configurar um cliente para para enviar os logs do sistema operacional do servidor para o syslog;
Adicionar a conta de mquina do servidor de arquivos, na unidade organizacional Seguranca AD; Atualizar o sistema operacional atravs do servidor WSUS para minimizar o risco de ataque por negao de servio e/ou acesso indevido;
Agendar todos os dias o inicio do backup para as 20:00 horas atravs do software Arcserver; Configurar um cliente para para enviar os logs do sistema operacional do servidor para o syslog; Adquirir mais um computador para atuar como backup desse servidor, pois sem redundncia caso haja alguma falha que deixe esse servio indisponvel, os usurios no tero acesso a rede e consequentemente no conseguiro efetuar sua atividades;
160 Atualizar o sistema operacional atravs do servidor WSUS para minimizar o risco de ataque por negao de servio e/ou acesso indevido; Agendar todos os dias o inicio do backup para as 19:00 horas atravs do software Arcserver; Configurar um cliente para enviar os logs do sistema operacional do servidor para o syslog. Configurar transferncia de zona para restrita, de acordo com: http://technet.microsoft.com/pt-br/library/cc773370.aspx Configurar a recursividade habilitada: http://technet.microsoft.com/pt-br/library/cc773370.aspx
Adicionar a conta de mquina do servidor de arquivos, na unidade organizacional Seguranca Servidores; Atualizar o sistema operacional atravs do servidor WSUS para minimizar o risco de ataque por negao de servio e/ou acesso indevido;
Agendar todos os dias o inicio do backup para as 19:00 horas atravs do software Arcserver; Configurar um cliente para para enviar os logs do sistema operacional do servidor para o syslog.
161 Atualizar o sistema operacional atravs do servidor WSUS para minimizar o risco de ataque por negao de servio e/ou acesso indevido; Agendar todos os dias o inicio do backup para as 19:00 horas atravs do software Arcserver; Configurar um cliente para para enviar os logs do sistema operacional do servidor para o syslog; Excluir usurios que no so pertinentes de poderes administrativos no banco de dados; Configurar poltica de senha para usurios do banco de dados: Tempo de vida mxima de senha = 45 Tamanho mnimo de senha= 8 Complexidade de senha = Habilitar Adquirir mais um servidor de forma que o mesmo funcione como backup do servidor de bando de dados, devido a extrema importncia desse servidor para a empresa isso se faz necessrio, pois informaes de vital importncia para o negocio esto armazenadas nele e sua indisponibilidade trairia enormes prejuzos financeiros; Desativar servios do SQL Server no utilizados Aplicar diretivas de senhas de alta segurana, estabelecer tamanho mnimo e data de expirao Restringir logons remotos. Verificar permisses nos diretrios de instalao do SQL Server.
Adicionar a conta de mquina do servidor de arquivos, na unidade organizacional Seguranca Servidores; Atualizar o sistema operacional atravs do servidor WSUS para minimizar o risco de ataque por negao de servio e/ou acesso indevido;
162 Agendar todos os dias o inicio do backup para as 19:00 horas atravs do software Arcserver; Configurar um cliente para enviar os logs do sistema operacional do servidor para o syslog; Desabilitar o recurso Front Page extensions, de acordo com: http://support.microsoft.com/kb/298158 Configurar o banner do servio IIS, de acordo com: http://www.securityexperts.com.br/modules.php?name=Content&pa= showpage&pid=15 Desabilitar o recurso Webdav, de acordo com: http://support.microsoft.com/kb/241520/pt-br
Adicionar a conta de mquina do servidor de arquivos, na unidade organizacional Seguranca Servidores; Atualizar o sistema operacional atravs do servidor WSUS para minimizar o risco de ataque por negao de servio e/ou acesso indevido;
Agendar todos os dias o inicio do backup para as 19:00 horas atravs do software Arcserver; Configurar um cliente para enviar os logs do sistema operacional do servidor para o syslog; Excluir usurios que no so pertinentes de poderes administrativos no banco de dados; Configurar poltica de senha para usurios do banco de dados: Tempo de vida mxima de senha = 45 Tamanho mnimo de senha= 8 Complexidade de senha = Habilitar
163 Adquirir mais um servidor de forma que o mesmo funcione como backup do servidor de bando de dados, devido a extrema importncia desse servidor para a empresa isso se faz necessrio, pois informaes de vital importncia para o negocio esto armazenadas nele e sua indisponibilidade trairia enormes prejuzos financeiros;
Adicionar a conta de mquina do servidor de arquivos, na unidade organizacional Seguranca Estacoes; Atualizar o sistema operacional atravs das estaes WSUS para minimizar o risco de ataque por negao de servio e/ou acesso indevido;
Adquirir firewall pessoal para as estaes, instalar e configurar de acordo com testes realizados em laboratrio;
Adicionar a conta de mquina do servidor de arquivos, na unidade organizacional Seguranca Estacoes; Atualizar o sistema operacional atravs das estaes WSUS para minimizar o risco de ataque por negao de servio e/ou acesso indevido;
Adquirir software de criptografia de disco, instalar e configurar de acordo com testes realizados em laboratrio; Adicionar a conta de mquina do servidor de arquivos, na unidade organizacional Seguranca Servidores;
164 Configurar senha de BIOS para acesso ao notebook; Adquirir firewall pessoal para as estaes, instalar e configurar de acordo com testes realizados em laboratrio;
Realizar correo do ambiente fsico conforme soluo da anlise fsica corrigindo assim problemas referentes ao ambiente e controle de acesso, diminuindo assim tambm por consequencia as chances de roubo de equipamentos;
Adquirir mais 2 switches para backup; configurar vlans de acordo com o trfego ou por departamentos de trabalho, com o objetivo de criar segmentos de rede com maior largura de banda disponvel;
Configurar a tecnologia em todas as portas dos switches 802.1x; Desabilitar a gerncia via HTTP; Renomear os usurios administrativos; Configurar poltica de senha para usurios do banco de dados: Tempo de vida mxima de senha = 45 Tamanho mnimo de senha= 8 Complexidade de senha = Habilitar
Adquirir mais um link de acesso a internet provendo assim redundncia e agilidade nas comunicaes da instituio Atualizar IOF; Adquirir mais um roteador de para operar em redundncia e balanceamento nas comunicaes da instituio. Implementar access-list para bloquear trafego desnecessrio e restringir acesso no autorizado fornecendo um maior nvel de segurana para os servidos da rede
Desabilitar a gerncia via HTTP; Renomear os usurios administrativos; Configurar poltica de senha para usurios do banco de dados: Tempo de vida mxima de senha = 45 Tamanho mnimo de senha= 8 Complexidade de senha = Habilitar
Instalar os ltimos patches de segurana disponveis pelo fabricante. Habilitar auditoria de firewall Habilitar a gravao dos logs no servidor Auditar logs do firewall Contratar servio de manuteno peridica para firewall
166 Providenciar firewall de reserva Formalizar polticas de verificao perodica das configuraes do firewall. Criar na recomendao da nova topologia de rede ,a instalao de IDS/IPS de rede Criar procedimentos para acesso ao firewall Bloquear portas no utilizadas Elaborar regras de acesso ao firewall Habilitar logs de sucesso Habilitar logs de falha Habilitar mecanismos de proteo contra IP spoofing Habilitar mecanismos de proteo contra ICMP Estabelecer procedimentos para que os equipamentos sejam protegidos conra falta de energia Implementar controle para a monitorao de performance
Adquirir e instalar 2 estabilizadores de tenso na rede eltrica da empresa; Adquirir e instalar 1 gerador de energia com capacidade para suprir carga durante 30 minutos; Controle de identificao de funcionrios ou visitante realizado pelo Condomnio e empresa;
167 Adquirir cofre para armazenagem das mdias no local e contratar empresa tercerizada para armazenamento das mdias em local e remoto, fora da empresa, para que os dados possam ser recuperados caso haja algum problema que impossibilite o acesso a empresa; A existncia de um porteiro responsabilidade do Condomnio; A existncia de um segurana responsabilidade do Condomnio; A existncia de extintores de incndio ou splinkers de responsabilidade do Condomnio; A existncia de controles realizados por CFTV realizado pelo Condomnio e empresa; Adquirir e instalar identificadores eletrnicos nas portas de acesso ao ambiente interno da empresa; A existncia de escadas de emergncia responsabilidade do Condominio; A existncia de portas e janelas antifogo responsabilidade do Condominio.
Os
controles
dos
elevadores
so
de
responsabilidade
do
A utilizao da sala de reunio deve ser controlada pelo RH; A sala de reunio deve possuir um sistema de isolamento acstico; A sala de reunio deve possuir meios para inibir a visualizao dos participantes; A sala de reunio deve passar por inspees mensais com o objetivo de identificar agentes que propiciam o vazamento de informaes.
A sala de servidores deve possuir controle de acesso fsico atravs de dispositivo de identificao; A sala de servidores deve possuir sistema de monitorao atravs de CFTV, com gravao 24 horas; A sala de servidores deve possuir extintores e dispositivo de alarme apropriados para utilizao em casa de incndio; A sala de servidores deve possuir um sistema de monitorao de temperatura adequado e dispositivo de alarme; Deve haver chaves nos racks de equipamentos de informtica, com a finalidade de prevenir a instalao de equipamentos no autorizados.
169
CAPITULO V
O capitulo em epgrafe foi escrito pelo Security Office aps a anlise de risco tem por objetivo apresentar a Poltica de Segurana da Informao para o escopo deste SGSI. Atravs deste documento so apresentados os objetivos de segurana da informao e como esta deve ser conduzida na Candido Carvalho Vieira Associados, provendo direo e apoio aos colaboradores.
Autenticidade Garantia da legitimidade da origem da informao; de autoridade incontestvel; fonte fidedigna. Cdigo Malicioso Instrues introduzidas intencionalmente num sistema com a finalidade de quebrar de alguma maneira a segurana do mesmo (ex.: cavalo de Tria, vrus, ferramentas de denial of service, e-mail bombing). Confidencialidade Propriedade de certas informaes que no podem ser disponibilizadas ou divulgadas sem autorizao prvia do responsvel por aquela informao. Se divulgadas indevidamente podem trazer danos s pessoas ou entidades. Disponibilidade Caracterstica da informao que se relaciona diretamente garantia de acesso por parte daqueles que a necessitam para o desempenho de suas atividades.
170 Informao classificada Informao cuja importncia, prioridade e o nvel de proteo adequado foram identificados e recebem o tratamento compatvel com o seu valor. Integridade Condio na qual o contedo da informao se apresenta fiel ao seu estado original. A informao est ntegra se esta no sofreu qualquer interferncia de processos ilcitos. Interoperabilidade a habilidade que um sistema ou um produto possui para trabalhar com outros sistemas ou produtos sem esforo adicional por parte do cliente. Legalidade Estado legal da informao em conformidade com os preceitos da legislao em vigor. NBR ISO/IEC 17799 Cdigo de prtica para a gesto de segurana da informao, elaborada pela Associao Brasileira de Normas Tcnicas (ABNT). Ponto de acesso a porta de comunicao para Candido, Carvalho e Vieira Associados presente na unidade de um rgo do Estado Vrus um programa de computador, muitas vezes destrutivo (no
necessariamente), designado para viajar de mquina em mquina, infectando cada uma ao longo de sua jornada.
171
Introduo
Esta poltica de segurana da informao (PSI) visa estabelecer normas para o uso e manuteno da base computacional interna da empresa, configurao de servidores e computadores pessoais de funcionrios e prestadores de servio, informaes sobre o uso correto, limitaes e responsabilidade sobre as ferramentas oferecidas. Uma aplicao eficaz da poltica em questo visa, portanto, contribuir para o uso correto e responsvel de recursos corporativos de comunicao de dados e voz da empresa, atravs de documentos de orientao especficos, contidos neste documento. A presente poltica de segurana da informao deve ser cumprida por todos os usurios que utilizam a informao da organizao e/ou seus recursos de voz e dados, sejam eles funcionrios diretos, estagirios, terceirizados e/ou subcontratados. Ela vlida e se sobrepe polticas de funcionrios externos corporao ou afins, quando estes estiverem dentro do permetro da empresa e/ou utilizando os recursos de informao, voz ou dados distncia ou remotamente. Esta poltica tem o comprometimento e o apoio da alta direo desta organizao e deve ser cumprida, sem exceo, em todos os seus aspectos. A alta diretoria no s apia, mas enxerga na PSI uma forma de minimizar riscos e garantir a solidez da empresa. As diretrizes e normas contidas neste documento esto disponibilizadas e publicadas nos manuais internos contidos na intranet e em publicaes de consulta pblica disponveis em cada diretoria. Ao concordar com os termos de responsabilidade presentes no documento de Uso de Ferramentas Corporativa, assinado no momento da contratao de todo o funcionrio da empresa, e que faz referncia a esta poltica, todo colaborador assume a devida responsabilidade pelo cumprimento das orientaes deste
documento.
172
Objetivo
Este documento destina-se a orientar e determinar condies e/ou parmetros para o uso correto e autorizado dos recursos de informao, voz e dados disponibilizados pela empresa. Como principal benefcio, este documento visa aumentar a percepo de riscos e ameaas envolvidas no mau uso ou uso indevido dos recursos de informao disponibilizados pela empresa e diminuir os incidentes relacionados a estes eventos, atravs da conscientizao dos usurios/mantenedores dos recursos. As diretrizes e normas contidas neste documento tratam basicamente dos seguintes aspectos: Guia geral de configurao Requisitos mnimos de segurana aplicados e compatibilidade de dispositivos Regras de monitoramento e auditoria de eventos e logs Poltica de backup e armazenamento de medias de dados
Abrangncia
A abrangncia desta norma a todos os colaboradores, se estendendo a terceiros e demais prestadores de servios. Esta poltica abrange os recursos de informao listados abaixo: Computadores pessoais (desktops e notebooks); Servidores de e-mail; Servidores de aplicao; Servidores de arquivos; Servidores de acesso remoto; Pessoas ; Processos.
173
Diretrizes Corporativas
Todos os colaboradores devem contribuir para a segurana da organizao, acatando e respeitando as normas estabelecidas; Aos colaboradores e prestadores de servio no dado o direito de alegao de desconhecimento da PSI, devendo os manuais tcnicos e manuais de procedimentos a serem seguidos rigorosamente. O acesso s dependncias da empresa ou reas restritas s pode ser feito mediante autorizao de acesso e porte do crach de identificao; proibida a divulgao de informaes a terceiros por colaboradores, referentes ao negcio ou aos clientes da organizao; O uso dos sistemas internos e seus componentes so restritos aos colaboradores que possuem o privilgio de acesso. Qualquer forma de acesso ilcito ser punida; A execuo de software malicioso ou sem licena proibida dentro da organizao; A utilizao de dispositivos mveis s permitida mediante autorizao pela rea tcnica; Todos os procedimentos internos de trabalho devem ser seguidos rigorosamente pelos colaboradores; Todo sistema deve seguir a norma de autenticao para evitar fraudes; Todos os colaboradores devem participar dos treinamentos e simulaes realizadas; Os recursos tecnolgicos devem ser utilizados para fins de trabalho. A utilizao para fins pessoais proibida;
174 A ocorrncia de qualquer incidente de segurana deve ser comunicada ao Security Officer imediatamente; Todos os colaboradores, em qualquer nvel hierrquico, esto sujeitos s penalidades cabveis, de acordo com a infrao.
175 Segurana da Informao pelos Colaboradores de responsabilidade dos colaboradores manterem sigilo das informaes de sua competncia e/ou conhecimento, estando elas em qualquer meio, conforme instrues dos comunicados internos e treinamentos peridicos. Todo colaborador instrudo atravs de comunicados, do portal disponvel na rede sobre a importncia do cumprimento da PSI e o impacto caso no seja seguida. Fica vedada, inclusive fora do permetro corporativo, a divulgao e/ou compartilhamento de informaes privilegiadas que o colaborador tenha para o desempenho de sua funo. A periodicidade para a reviso da Poltica de Segurana da Informao anual. O treinamento ocorre semestralmente para todos os colaboradores e para os novos colaboradores quando ingressam na empresa. Nestes treinamentos so abordados todos os temas pertinentes Segurana da Informao, entre eles: Aspectos de Engenharia Social Compartilhamento de senhas Riscos s pessoas e/ou ao negcio.
Para cada departamento so definidas as responsabilidades, ficando o gestor responsvel pelo total cumprimento. Em caso de no cumprimento da PSI ou a deteco de alguma falha, o gestor da rea e o Departamento de Tecnologia devem ser comunicados imediatamente. Aps o treinamento, todos os funcionrios assinam o termo de participao e aceitao da poltica. Estes documentos ficam em poder do Departamento de Recursos Humanos na pasta do colaborador.
176 Segurana fsica As principais entradas do prdio tm agentes de segurana e bloqueios atravs de catracas com carto magntico; os departamentos foram setorizados para o melhor gerenciamento de acessos. Com base nos setores no permitido o acesso dos colaboradores a reas que no so pertinentes ao desempenho de sua funo. O permetro do prdio monitorado 24x7 (24h por dia) com 15 cmeras IP (conectadas em rede) que armazenam as imagens por um perodo de 30 dias. O Departamento de Tecnologia ficou categorizado como rea de alto risco e o acesso permitido apenas aos colaboradores do departamento. Quanto sala dos servidores, o acesso mais restritivo ainda, sendo permitido apenas ao Gerente e Administradores da Rede e de Telefonia. A rea onde ficam arquivados os processos fsicos tambm ficou categorizada como rea de risco, com acesso restrito aos colaboradores do Departamento Jurdico. A Biblioteca Tcnica possui sistema de alarme e em cada exemplar h um cdigo de barra que acionar o alarme sonoro em caso de sada do permetro permitido. O acesso de entregadores no permitido aos escritrios, tendo o destinatrio a instruo para dirigir-se at a recepo ou delegar o recebimento por algum de sua confiana. Para os usurios de computadores moveis indicado o uso de cadeados especiais, com o objetivo de diminuir o risco de uma possvel subtrao do bem. A Manuteno Predial e a Brigada de Incndio tm uma cpia das chaves de acesso ao escritrio.
177 Proteo das Estaes de Trabalho e Computadores Mveis Os computadores mveis devem ser transportados no porta-malas, em mochilas ou malas com almofada interna. No so recomendadas mochilas com logomarca de computadores que possam chamar a ateno para roubo ou furto. Durante viagens e em reas de grande circulao, o colaborador deve ficar atento a qualquer abordagem e tomar os devidos cuidados para evitar o roubo. Antivrus Vrus e suas variaes so um grande problema para o mundo corporativo, podendo trazer problemas de interrupo de servio ou queda de desempenho das estaes de trabalho. Contas e Senhas As senhas para usurios finais devero conter no mnimo 8 (oito) caracteres, sendo obrigatrio o uso de letras e nmeros. Como recomendao sugere-se a utilizao de maisculas, minsculas e caracteres especiais ($, %, &,...). Dever ser evitada a composio de senhas com seqncias numricas (123...) e/ou alfabticas (abc...), alm de senhas de fcil deduo (nome da mquina, nome do usurio, data de nascimento e etc). O usurio dever ser forado a trocar a senha no seu primeiro login. O tempo mnimo, por vontade do usurio, para troca de senhas dever ser de 2 (dois) dias. A conta ser bloqueada aps a 5 (quinta) tentativa de login. Contas que ficarem inativas por mais de 90 (noventa) dias devero ser bloqueadas.
178 As contas s podero ser reinicializadas, por solicitao formal do seu detentor, rea responsvel pela administrao das contas. Em casos de extrema necessidade de reinicializar uma senha em sistemas crticos, isto s poder ocorrer mediante a confirmao de algumas informaes de carter pessoal do usurio. Nestes casos, o operador dever retornar a ligao para confirmao desses dados. Para casos considerados crticos, a solicitao de reinicializao de conta dever ser feita atravs de contato com o Gerente/Diretor/Presidente do departamento. Caso o usurio suspeite do comprometimento de sua senha, esta dever ser modificada imediatamente. Software Todos os softwares utilizados pelos colaboradores devem ser originais e adquiridos de fornecedores idneos ou do prprio fabricante. O tipo de licenciamento do sistema operacional deve ser padro OEM (licena emitida pelo fornecedor do hardware) para a compra de novos computadores. Os softwares devem ser registrados como ativos da empresa e inseridos na Planilha de Inventrio de Softwares. As mdias devem ser armazenadas em lugares seguros e de maneira organizada. Para a facilitao das Instalaes, os principais softwares devem ser inseridos na pasta APPS (pasta criada para armazenar os softwares) do servidor de arquivo, pasta esta que ser de acesso exclusivo aos colaboradores do Help Desk. Para softwares que tenham um custo superior a R$ 2.000,00 (Dois mil reais), alm da aprovao do Gestor da rea ser necessria a aprovao de um Diretor.
179
Aplicaes corporativas
Todas as aplicaes corporativas so passveis de auditoria e fica responsvel o colaborador por qualquer dado inserido, excludo ou editado. Em casos que fique comprado a m f do usurio, podem ser tomadas as aes disciplinares, incluindo o desligamento. Correio Eletrnico Todas as contas de correio eletrnico tero uma titularidade, determinando a responsabilidade sobre a sua utilizao. Cada usurio da Candido, Carvalho e Vieira Associados dever ser titular de uma nica caixa postal no servidor de correio eletrnico, com direitos de envio/recebimento de mensagens, via intranet e internet, a critrio do titular de rea/Gerncia, enquanto perdurar o seu vnculo com a empresa. Contas com inatividade por um perodo igual ou superior a 60 (sessenta) dias sero bloqueadas, a fim de evitar o recebimento de novas mensagens. Esta regra no se aplica s contas vinculadas aos cargos/funes, por serem inerentes s atribuies desses cargos/funes. O tamanho das caixas postais ser de 200 Mbytes para os usurios classificados como VIPs (Presidente, Diretores e Advogados) e de 100 Mbytes para os demais usurios. Internet A rede mundial de computadores, ou simplesmente internet, deve ser utilizada apenas para o desempenho de suas funes. Todos os acessos so passveis de auditoria, cabendo sanes disciplinares em casos do no cumprimento das normas.
180 negado o acesso a sites de relacionamentos, pornogrficos ou que denigram a imagem de empresas ou pessoas. Tambm so vedados sites que contenham matrias de pedofilia e com contedos discriminatrios de qualquer forma. O relatrio de acesso internet ficar disponvel ao gestor do colaborador por 03 (trs) meses, ficando a critrio do gestor as aes disciplinares que incluem o desligamento. Os casos extremos que vo contra a PSI e a Norma de Conduta sero levados ao Departamento de Recursos Humanos. Utilizao da Rede No so permitidas tentativas de interferir nos servios de qualquer outro usurio, servidor de rede ou rede. Isso inclui ataques do tipo DOS (Denial of Service) negao de servio", provocar congestionamento em redes, tentativas deliberadas de sobrecarregar um servidor e tentativas de invadir um servidor. Material de natureza pornogrfica (mp3, vdeos) e discriminatria no pode ser exposto, armazenado, distribudo, editado ou gravado atravs do uso dos recursos computacionais da Rede de Comunicao de Dados. No permitido conectar-se a servidor ou conta cujo acesso no seja expressamente autorizado ao usurio. expressamente proibido o acesso a sites e programas como Kaaza, Chat, Orkut, Messenger, ICQ ou qualquer outro que no esteja diretamente ligado a atividade da empresa. Ao ausentar-se do local de trabalho, o usurio dever fechar todos os programas acessados, evitando, desta maneira, o acesso por pessoas no autorizadas e se possvel efetuar o logout/logoff da rede ou bloqueio do desktop atravs de senha.
181 No intuito de fiscalizar as delimitaes impostas com a presente poltica de uso da rede, para a empresa est reservado o direito de: a)Implantar softwares e sistemas que monitorem e gravem o uso da internet atravs da rede ou de cada uma das estaes de trabalho; b)Verificar qualquer arquivo armazenado no servidor, no disco local da estao ou nas reas privadas da rede, visando assegurar o rgido cumprimento da poltica de uso da internet; c)Instalar softwares e hardwares para proteger a rede interna e garantir a integridade dos dados e programas, incluindo firewall ou qualquer outro similar.
Objetivos Esta norma tem por objetivo registrar de forma resumida as melhores prticas para a correta administrao dos ativos e recursos de Tecnologia da Informao, por parte de todos os tcnicos da Candido, Carvalho e Vieira Associados conforme as diretrizes definidas para a Poltica de Segurana da Informao (PSI) da empresa e nas demais normas do mesmo tema, devendo ser seguida por todos os colaboradores tcnicos irrestritamente. Abrangncia Esta norma especificamente direcionada aos colaboradores, tcnicos e administradores dos recursos ou ativos de informao da Candido, Carvalho e Vieira Associados em qualquer unidade da empresa ou local em que estejam atuando, no sendo admitindo alegar-se desconhecimento ou no concordncia com esta ou com qualquer outra norma de segurana da informao para justificar qualquer forma de no cumprimento.
182 Configuraes de Desktops, Notebooks e Servidores Todos os desktops e notebooks, devem ser depreciados em 4 anos; estas mquinas sero doadas para instituies carentes com o objetivo de promover a incluso digital. Os servidores devem ser depreciados em cinco anos; na ocasio ser feita uma anlise para verificar se um ativo ainda pode ser reaproveitado para uma funo caracterizada como no crtica. No caso dos servidores, haver um estudo para a definio deste hardware. Nenhum usurio dever ter privilgio administrativo no equipamento. Far parte da imagem o software cliente de firewall e o antivrus. Os desktops e notebooks sero categorizados de duas formas, com o objetivo de possuir apenas quatro modelos que devero ser atualizadas a cada 12 meses. Requisitos de criptografia e certificado digital Ao logar-se no sistema, todos os usurios devem utilizar-se de token de acesso contendo seu certificado digital para o processo de autenticao, que, caso comprovado, prover acesso a todos os sistemas da empresa de uma nica vez, com a restrio de horrio imposta pelo perfil de cada usurio. Todos os sistemas com suporte criptografia tero sua troca de chave simtrica realizada nica e exclusivamente pelo Security Officer, com intervalo de 12 meses, em uma cerimnia com a presena de auditores da consultoria XYZ, utilizando-se de software de gerao de chave keygenerator, e depsito imediato da chave gerada em dispositivo HSM, sem que, em nenhum momento, qualquer dos envolvidos possa ter acesso mesma.
183 Esterilizao e descarte de mdias O descarte da mdias ser feita logo aps o sucesso do processo de esterilizao . A empresa contratada como terceira, aps avaliao da gerncia ser responsvel para retirar as mdias para descarte e esterilizao em dias previamente definidos. Antes do descarte, as mdias devem ser esterilizadas com segurana em ambiente apropriado. O contrato com a empresa terceira ser renovado anualmente. A empresa terceira dever enviar lista das pessoas autorizadas a retirar malote lacrado contendo as medias e mant-la atualizada para ter o acesso liberado nas dependncias do escritrio. A empresa terceira deve enviar mensalmente relatrio informativo de armazenamento. Tempo de armazenamento e vida til de dispositivo de armazenamento de dados A vida til dos dispositivos de backup ser limitada aproximadamente a cinco anos de uso e substituda conforme modelos disponveis no mercado. No ser possvel restaurar dados superiores a cinco anos porque passado este perodo, a mdia enviada para esterilizao e descarte. Cada filial ter uma nica unidade de backup do mesmo modelo que a matriz para evitar problemas de restaurao de dados. Na necessidade de recuperar algum dado armazenado, desde que esteja no perodo dos cinco anos, o pedido para retirada da media junto a empresa terceira deve ser feita com antecedncia.
184 Local de estoque e armazenamento de mdias de dados Ser necessrio duplicar cada mdia mensal antes do armazenamento para evitar qualquer atraso na recuperao de dados em carter de urgncia, alm de possibilitar a contingncia das mdias. A empresa contratada para o armazenamento ter total responsabilidade pela retirada, transporte e armazenamento das medias, alm do cuidado para que no haja nenhum tipo vazamento de informao. Ser eleito um colaborador interno para acompanhar todo o processo de retirada das medias pela empresa terceira e o mesmo far conferncia do lacre de segurana certificando-se que no haja nenhuma violao. A identificao das mdias com cdigo de barras ajudar no controle e classificao da mesma. Este controle ser feito pela empresa contratada. Utilizao da Rede No so permitidas tentativas de interferir nos servios de qualquer outro usurio, servidor de rede ou rede. Isso inclui ataques do tipo DOS (Denial ofService) negao de servio", provocar congestionamento em
redes,tentativas deliberadas de sobrecarregar um servidor e tentativas de invadir um servidor; Material de natureza pornogrfica (mp3, vdeos) e discriminatria no pode ser exposto, armazenado, distribudo, editado ou gravado atravs do uso dos recursos computacionais da Rede de Comunicao de Dados No permitido conectar-se a servidor ou conta cujo acesso no seja expressamente autorizado ao usurio; expressamente proibido o acesso a sites e programas como Kaaza, Chat, Orkut, Messenger, ICQ ou qualquer outro que no esteja diretamente ligado a atividade da empresa;
185 No intuito de fiscalizar as delimitaes impostas com a presente poltica de uso da rede, para a empresa est reservado o direito de: Implantar softwares e sistemas que monitorem e gravem o uso da internet atravs da rede ou de cada uma das estaes de trabalho; Verificar qualquer arquivo armazenado no servidor, no disco local da estao ou nas reas privadas da rede, visando assegurar o rgido cumprimento da poltica de uso da internet; Instalar softwares e hardwares para proteger a rede interna e garantir a integridade dos dados e programas, incluindo firewall ou qualquer outro similar Manuteno dos Recursos de Tecnologia da Informao Os recursos de Tecnologia da Informao devem ser organizados e controlados de forma que possam a qualquer momento e sem prvio aviso, ser vistoriados e confrontados com listas de checagem para aes preventiva de manuteno, controle e segurana. Esta norma aplica-se inclusive a equipamentos portteis da empresa ou de terceiros que tenham sido autorizados para uso nas atividades operacionais da empresa. Para isto devem-se observar os seguintes pontos: recomendvel que os servidores e as estaes de trabalho mantenham sempre um espao disponvel em suas unidades lgicas em torno de 20 vinte por cento do tamanho total da unidade para possibilitar o uso de programas de checagem. As verses e patches do sistemas operacional assim como os sistemas de navegao na internet, correio e pacotes de aplicativos devem ser sempre atualizados e somente aps terem sido devidamente testados e homologados . Os relgios dos servidores ou equipamentos de conectividade devem estar sincronizados para garantir a exatido dos registro de auditoria. Para facilitar o sincronismo dos relgios recomendado o ajuste peridico com o UTC Universal Ordinated Time
186 Segurana Fsica indispensvel que a instalao de recursos de tecnologia da informao obedea a um controle de segurana fsica quanto localizao, cabeamento, controle de temperatura, rede eltrica, combate a incndio, cumprimento dos padres de segurana do trabalho prevista na CLT (Consolidao das Leis do Trabalho), normas tcnicas vigentes e recomendaes dos fornecedores dos recursos. No caso do CPD, tais recursos devem ser instalados em ambiente especial reservado e exclusivo, com acesso restrito e controlado. No caso de estaes de trabalho, impressoras e outros equipamentos instalados em ambientes compartilhados, deve-se buscar o mximo de segurana fsica possvel, devendo-se ter especial ateno quanto localizao dos mesmos (proteo da confidencialidade, integridade e disponibilidade das informaes), com a instalao eltrica (cabos e fios protegidos) e o cabeamento protegido e bem conectado sem sobras e identificados. A integridade fsica dos servidores de rede e de equipamentos de telecomunicaes fator primordial para continuidade dos servios. O pessoal de apoio de servios gerais deve ter acesso aos ambientes de processamento e telecomunicaes somente com autorizao, em horrio previamente determinado, sob acompanhamento de pessoa do local e com a dvida orientao e treinamento.
187 Abrangncia
Sistemas As necessidades de segurana devem ser identificadas para cada etapa do ciclo de vida dos sistemas disponveis na empresa. A documentao dos sistemas deve ser mantida atualizada. A cpia de segurana deve ser testada e mantida atualizada. Os sistemas devem possuir controle de acesso de modo a assegurar o uso apenas a usurios ou processos autorizados. O responsvel pela autorizao ou confirmao da autorizao deve ser claramente definido e registrado. Os arquivos de logs devem ser criteriosamente definidos para permitir recuperao nas situaes de falhas, auditoria nas situaes de violaes de segurana e contabilizao do uso de recursos. Os logs devem ser periodicamente analisados, para identificar tendncias, falhas ou usos indevidos. Os logs devem ser protegidos e armazenados de acordo com sua classificao. Devem ser estabelecidas e mantidas medidas e controles de segurana para verificao crtica dos dados e configurao de sistemas e dispositivos quanto a sua preciso, consistncia e integridade.
188 Os sistemas devem ser avaliados com relao aos aspectos de segurana (testes de vulnerabilidade) antes de serem disponibilizados para a produo. As vulnerabilidades do ambiente devem ser avaliadas
periodicamente e as recomendaes de segurana devem ser adotadas. Servidores O acesso lgico, ao ambiente ou servios disponveis em servidores, deve ser controlado e protegido. As autorizaes devem ser revistas, confirmadas e registradas continuadamente. O responsvel pela autorizao ou confirmao da autorizao deve ser claramente definido e registrado. Os acessos lgicos devem ser registrados em logs, que devem ser analisados periodicamente. O tempo de reteno dos arquivos de logs e as medidas de proteo associadas devem estar precisamente definidos. Devem ser adotados procedimentos sistematizados para monitorar a segurana do ambiente operacional, principalmente no que diz respeito integridade dos arquivos de configurao do Sistema Operacional e de outros arquivos crticos. Os eventos devem ser armazenados em relatrios de segurana (logs) de modo que sua anlise permita a gerao de trilhas de auditoria a partir destes registros. As mquinas devem estar sincronizadas para permitir o rastreamento de eventos. Proteo lgica adicional (criptografia) deve ser adotada para evitar o acesso no autorizado s informaes. A verso do Sistema Operacional, assim como outros softwares bsicos instalados nos servidores, devem ser mantidos atualizados, em
conformidade com as recomendaes dos fabricantes. Devem ser utilizados somente softwares autorizados pela prpria entidade nos seus equipamentos. Deve ser realizado o controle da distribuio e instalao dos mesmos.
189 O acesso remoto aos servidores deve ser realizado adotando os mecanismos de segurana pr-definidos para evitar ameaas integridade e sigilo do servio. Os procedimentos de cpia de segurana (backup) e de recuperao devem estar documentados, mantidos atualizados e devem ser
regularmente testados, de modo a garantir a disponibilidade das informaes. Redes O trfego das informaes no ambiente de rede deve ser protegido contra danos ou perdas, bem como acesso, uso ou exposio indevidos, incluindose o Efeito Tempest. Componentes crticos da rede local devem ser mantidos em salas protegidas e com acesso fsico e lgico controlado, devendo ser protegidos contra danos, furtos, roubos e intempries. Devem ser adotadas as facilidades de segurana disponveis de forma inata nos ativos de processamento da rede. A configurao de todos os ativos de processamento deve ser averiguada quando da sua instalao inicial, para que sejam detectadas e corrigidas as vulnerabilidades inerentes configurao padro que se encontram nesses ativos em sua primeira ativao. Servios vulnerveis devem receber nvel de proteo adicional. O uso de senhas deve estar submetido a uma poltica especfica para sua gerncia e utilizao. O acesso lgico aos recursos da rede local deve ser realizado por meio de sistema de controle de acesso. O acesso deve ser concedido e mantido pela administrao da rede, baseado nas responsabilidades e tarefas de cada usurio.
190 A utilizao de qualquer mecanismo capaz de realizar testes de qualquer natureza, como por exemplo, monitorao sobre os dados, os sistemas e dispositivos que compem a rede, s devem ser utilizado partir de autorizao formal e mediante superviso. A conexo com outros ambientes de rede e alteraes internas na sua topologia e configurao devem ser formalmente documentadas e mantidas, de forma a permitir registro histrico, e devem ter a autorizao da administrao da rede e da gerncia de segurana. O diagrama topolgico, a configurao e o inventrio dos recursos devem ser mantidos atualizados. Devem ser definidos relatrios de segurana (logs) de modo a auxiliar no tratamento de desvios, recuperao de falhas, contabilizao e auditoria. Os logs devem ser analisados periodicamente e o perodo de anlise estabelecido deve ser o menor possvel. Devem ser adotadas protees fsicas adicionais para os recursos de rede considerados crticos. Proteo lgica adicional deve ser adotada para evitar o acesso noautorizado s informaes. A infra-estrutura de interligao lgica deve estar protegida contra danos mecnicos e conexo no autorizada. A alimentao eltrica para a rede local deve ser separada da rede convencional, devendo ser observadas as recomendaes dos fabricantes dos equipamentos utilizados, assim como as normas ABNT aplicveis. O trfego de informaes deve ser monitorado, a fim de verificar sua normalidade, assim como detectar situaes anmalas do ponto de vista da segurana. Devem ser observadas as questes envolvendo propriedade intelectual quando da cpia de software ou arquivos de outras localidades.
191 Informaes sigilosas, corporativas ou que possam causar prejuzo s entidades devem estar protegidas e no devem ser enviadas para outras redes, sem proteo adequada. Todo servio de rede no explicitamente autorizado deve ser bloqueado ou desabilitado. Mecanismos de segurana baseados em sistemas de proteo de acesso (firewall) devem ser utilizados para proteger as transaes entre redes externas e a rede interna da entidade. Os registros de eventos devem ser analisados periodicamente, no menor prazo possvel e em intervalos de tempo adequados. Deve ser adotado um padro de segurana para todos os tipos de equipamentos servidores, considerando aspectos fsicos e lgicos. Todos os recursos considerados crticos para o ambiente de rede, e que possuam mecanismos de controle de acesso, devero fazer uso de tal controle. A localizao dos servios baseados em sistemas de proteo de acesso (firewall) deve ser resultante de uma anlise de riscos. No mnimo, os seguintes aspectos devem ser considerados: requisitos de segurana definidos pelo servio, objetivo do servio, pblico alvo, classificao da informao, forma de acesso, freqncia de atualizao do contedo, forma de administrao do servio e volume de trfego. Ambientes de rede considerados crticos devem ser isolados de outros ambientes de rede, de modo a garantir um nvel adicional de segurana. Conexes entre a rede da Candido, Carvalho e Vieira Associados e redes externas devero estar restritas somente quelas que visem efetivar os processos. As conexes de rede devem ser ativadas: primeiro, sistemas com funo de certificao; segundo, sistemas que executam as funes de registros e
192 repositrio. Se isto no for possvel, deve-se empregar controles de compensao, tais como o uso de proxies que devero ser implementados para proteger os sistemas que executam a funo de certificao contra possveis ataques. Sistemas que executam a funo de certificao devero estar isolados para minimizar a exposio contra tentativas de comprometer o sigilo, a integridade e a disponibilidade das funes de certificao. A chave de certificao das ACs dever estar protegida de acesso desautorizado, para garantir seu sigilo e integridade. A segurana das comunicaes intra-rede e inter-rede, entre os sistemas das Candido, Carvalho e Vieira Associados, dever ser garantida pelo uso de mecanismos que assegurem o sigilo e a integridade das informaes trafegadas. As ferramentas de deteco de intrusos devem ser implantadas para monitorar as redes crticas, alertando periodicamente os administradores das redes sobre as tentativas de intruso. Controle de acesso lgico (baseado em senhas) Usurios e aplicaes que necessitem ter acesso a recursos da Candido, Carvalho e Vieira Associados devem ser identificados e autenticados. O sistema de controle de acesso deve manter as habilitaes atualizadas e registros que permitam a contabilizao do uso, auditoria e recuperao nas situaes de falha. Nenhum usurio deve ser capaz de obter os direitos de acesso de outro usurio. A informao que especifica os direitos de acesso de cada usurio ou aplicao deve ser protegida contra modificaes no autorizadas. O arquivo de senhas deve ser criptografado e ter o acesso controlado.
193 As autorizaes devem ser definidas de acordo com a necessidade de desempenho das funes (acesso motivado) e considerando o princpio dos privilgios mnimos (ter acesso apenas aos recursos ou sistemas necessrios para a execuo de tarefas). As senhas devem ser individuais, secretas, intransferveis e ser protegidas com grau de segurana compatvel com a informao associada. O sistema de controle de acesso deve possuir mecanismos que impeam a gerao de senhas fracas ou bvias. As seguintes caractersticas das senhas devem estar definidas de forma adequada: conjunto de caracteres permitidos, tamanho mnimo e mximo, prazo de validade mximo, forma de troca e restries especficas. A distribuio de senhas aos usurios de TI (inicial ou no) deve ser feita de forma segura. A senha inicial, quando gerada pelo sistema, deve ser trocada, pelo usurio de TI, no primeiro acesso. O sistema de controle de acesso deve permitir ao usurio alterar sua senha sempre que desejar. A troca de uma senha bloqueada s deve ser executada aps a identificao positiva do usurio. A senha digitada no deve ser exibida. Devem ser adotados critrios para bloquear ou desativar usurios de acordo com perodo pr-definido sem acesso e tentativas sucessivas de acesso mal sucedidas. O sistema de controle de acesso deve solicitar nova autenticao aps certo tempo de inatividade da sesso (time-out). O sistema de controle de acesso deve exibir, na tela inicial, mensagem informando que o servio s pode ser utilizado por usurios autorizados. No momento de conexo, o sistema deve exibir para o usurio informaes sobre o ltimo acesso.
194 O registro das atividades (logs) do sistema de controle de acesso deve ser definido de modo a auxiliar no tratamento das questes de segurana, permitindo a contabilizao do uso, auditoria e recuperao nas situaes de falhas. Os logs devem ser periodicamente analisados. Os usurios e administradores do sistema de controle de acesso devem ser formal e expressamente conscientizados de suas responsabilidades, mediante assinatura de termo de compromisso
Estaes de Trabalho As estaes de trabalho, incluindo equipamentos portteis ou stand alone, e informaes devem ser protegidos contra danos ou perdas, bem como acesso, uso ou exposio indevidos. Equipamentos que executem operaes sensveis devem receber proteo adicional, considerando os aspectos lgicos (controle de acesso e criptografia) e fsicos (proteo contra furto ou roubo do equipamento ou componentes). Devem ser adotadas medidas de segurana lgica referentes a combate a vrus, backup, controle de acesso e uso de software no autorizado. As informaes armazenadas em meios eletrnicos devem ser protegidas contra danos, furtos ou roubos, devendo ser adotados procedimentos de backup, definidos em documento especfico. Informaes sigilosas, corporativas ou cuja divulgao possa causar prejuzo a Candido, Carvalho e Vieira Associados, s devem ser utilizadas em equipamentos das entidades onde foram geradas ou naqueles por elas autorizadas, com controles adequados. O acesso s informaes deve atender aos requisitos de segurana, considerando o ambiente e forma de uso do equipamento (uso pessoal ou coletivo).
195 Os usurios de TI devem utilizar apenas softwares licenciados pelo fabricante nos equipamentos das entidades, observadas as normas da Candido, Carvalho e Vieira Associados e legislao de software. A entidade dever estabelecer os aspectos de controle, distribuio e instalao de softwares utilizados. A impresso de documentos sigilosos deve ser feita sob superviso do responsvel. Os relatrios impressos devem ser protegidos contra perda, reproduo e uso no autorizado. O inventrio dos recursos deve ser mantido atualizado. Os sistemas em uso devem solicitar nova autenticao aps certo tempo de inatividade da sesso (time-out). As mdias devem ser eliminadas de forma segura, quando no forem mais necessrias. Procedimentos formais para a eliminao segura das mdias devem ser definidos, para minimizar os riscos.
196 Por convenincia, o termo Candido, Carvalho e Vieira Associados passa a ser substitudo por Instituio no restante do texto desta norma.
Normas O uso da Internet pelos empregados da Candido, Carvalho e Vieira Associados permitido e encorajado desde que seu uso seja aderente aos objetivos e atividades fins do negcio da Candido, Carvalho e Vieira Associados. Ser considerado totalmente inaceitvel tanto no uso quanto no comportamento dos empregados: visitar sites da Internet que contenha material obsceno e/ou pornogrfico usar o computador para executar quaisquer tipos ou formas de fraudes, ou software/musica pirata usar a Internet para enviar material ofensivo ou de assdio para outros usurios baixar (download) de software comercial ou qualquer outro material cujo direito pertena a terceiros (copyright), sem ter um contrato de licenciamento ou outros tipos de licena atacar e/ou pesquisar em reas no autorizadas (Hacking) criar ou transmitir material difamatrio executar atividades que desperdice os esforos do pessoal tcnico ou dos recursos da rede introduzir de qualquer forma um vrus de computador dentro da rede corporativa
197 Monitoramento A Candido, Carvalho e Vieira Associados reafirma que o uso da Internet uma ferramenta valiosa para seus negcios.Entretanto, o mau uso dessa facilidade pode ter impacto negativo sobre a produtividade dos funcionrios e a prpria reputao do negcio. Em adio, todos os recursos tecnolgicos da Candido, Carvalho e Vieira Associados existem para o propsito exclusivo de seu negcio. Portanto, a empresa se d ao direito de monitorar o volume de trfico na Internet e na Rede, juntamente com os endereos web (http,https, ftp) visitados.
198 Informar aos usurios que as mensagens e os documentos eletrnicos esto sujeitos s mesmas leis e normas aplicadas a documentos escritos. Minimizar a interrupo das atividades da Candido, Carvalho e Vieira Associados ocasionada pelo uso no apropriado dos servios de correio eletrnico. Fornecer aos usurios orientaes, descrevendo suas responsabilidades pessoais a respeito da confiabilidade, privacidade e uso adequado, assim como, o uso no apropriado ou proibido dos servios de correio eletrnicos definidos nesta norma.
Abrangncia Todos os usurios que acessem os servios de correio eletrnico da Candido, Carvalho e Vieira Associados
Responsabilidades dos Usurios Os usurios no devem violar direitos de propriedade de informao, mecanismos de segurana, e tambm no devem usar o correio eletrnico para intimidar, assediar ou causar transtornos.
Responsabilidades dos Usurios Administradores do Correio Administrar as polticas e procedimentos relativos aos servios de correio eletrnico e assegurar o cumprimento de leis e normas aplicveis. Verificar periodicamente o desempenho e a integridade do sistema de correio eletrnico. Estabelecer procedimentos e rotinas de manuteno de contas de correio.
199 Uso do Espao Disponvel Tamanho da Caixa Postal de Usurios: O tamanho das caixas postais ser de 200 Mbytes para os usurios classificados como VIPs (Presidente, Diretores e Advogados) e de 100 Mbytes para os demais usurios. Para usurios comuns: Ultrapassados 90 MB, um alerta ser enviado ao usurio; Ultrapassados 95 MB, o envio de mensagem ser bloqueado; Ultrapassados 98 MB, a caixa postal ser bloqueada para envio e recebimento de mensagens.
Para usurios VIPs (Presidentes, Diretores e Advogados): Ultrapassados 190 MB, um alerta ser enviado ao usurio; Ultrapassados 195 MB, o envio de mensagem ser bloqueado; Ultrapassados 198 MB, a caixa postal ser bloqueada para envio e recebimento de mensagens
Tamanho Mximo de Mensagens Enviadas e Recebidas Qualquer mensagem, enviada ou recebida (externa ou internamente), dever respeitar o limite de tamanho de 10000 KB.
Tamanho de pastas pblicas A pasta pblica ter um limite de espao mximo de 100MB para armazenamento de mensagens e documentos.
200 Tempo de Vida das mensagens e documentos Devido ao espao limitado para cada usurio, o mesmo deve
periodicamente excluir as mensagens que no forem mais necessrias. Concomitantemente ser realizado um procedimento automtico que excluir as mensagens no lidas das caixas postais de usurios que tenham mais de seis meses de tempo de vida. Tempo de vida de documentos em pastas pblicas No h limite de tempo de vida das mensagens e documentos em pastas pblicas.
Tempo de vida de mensagens e documentos na pasta Itens Excludos As mensagens armazenadas na pasta Itens Excludos tm tempo de vida de um ms, aps o qual, sero permanentemente removidas.
Quantidade de caixas postais por usurio Cada usurio tem direito a apenas uma nica caixa postal. Poder ser dado a um usurio o direito de acessar a caixa postal de outro usurio. Este procedimento pode ser realizado pelo usurio proprietrio da caixa postal ou pelo administrador do correio por meio de autorizao por escrito do proprietrio da caixa postal ou seu superior.
Direito de acesso pasta pblica do prprio departamento Todos os usurios do departamento tm direito de leitura, gravao e alterao na pasta pblica do departamento. Cada usurio poder excluir apenas a sua mensagem ou o seu documento da pasta pblica do departamento.
201 O diretor possui direitos ilimitados na pasta pblica do seu departamento. Os usurios no tero direito algum pasta pblica de outro departamento, exceto quando autorizados por escrito pelo diretor do departamento. Esse item tambm se aplica a pastas pblicas de divises.
Direito de acesso pasta pblica da Candido, Carvalho e Vieira Associados Todos os usurios tm direito de leitura e gravao na pasta pblica da Candido, Carvalho e Vieira Associados. Apenas o administrador do correio tem acesso ilimitado a esta pasta. Os usurios podero excluir ou alterar apenas as suas prprias mensagens ou seus prprios documentos.
Direito de acesso pasta pblica temtica O administrador do correio e o usurio moderador tem acesso ilimitado a esta pasta. Direitos de acesso para outros usurios sero definidos pelo usurio moderador da pasta.
Ausncia temporria No h qualquer procedimento especfico (desativao, excluso, etc.) para casos de ausncia temporria (frias, licena-prmio, licena sem vencimento, etc.). Caso deseje, o usurio poder configurar sua caixa postal para deixar de receber mensagens ou encaminh-las para outra caixa postal.
202 Criao de caixas postais para terceiros No permitida a criao de caixa postal para terceiros (fornecedores, prestadores de servios, etc.). Endereos de Internet, por outro lado, podem ser criados para este tipo de usurio. Funcionrios exonerados, aposentados A caixa ser bloqueada e aps seis meses ser excluda. Pastas pblicas departamentais Destinam-se ao armazenamento de documentos e mensagens de um departamento. Apenas os funcionrios do departamento tm acesso pasta. Pastas pblicas temticas So criadas para discutir assuntos de interesse de um grupo de funcionrios de um departamento ou de toda Candido, Carvalho e Vieira Associados. Qualquer usurio poder sugerir a criao de pastas pblicas temticas. Pastas pblicas de grupo de trabalho Tm o objetivo de centralizar documentos relativos a um projeto ou atividades de um grupo de trabalho composto por membros de um ou mais departamentos. Listas departamentais, temticas e de grupo de trabalho Utilizam-se listas quando for necessria a notificao imediata da mensagem a todos os membros da lista, no sendo importante o armazenamento centralizado da mensagem.
203 Contedo Proibido O contedo de qualquer mensagem de correio deve ser apropriado s atividades da Candido, Carvalho e Vieira Associados. O contedo sujeita-se s mesmas restries como qualquer outra correspondncia. So proibidas mensagens que contenham: Pornografia, Correntes, SPAM (mensagens no solicitadas enviadas para vrios destinatrios com contedo no relacionado s atividades da Candido, Carvalho e Vieira Associados, como, por exemplo, divulgao comercial, autopromoo, etc.), Arquivos executveis como anexo, Contedo discriminatrio, Ataques, Assdio, etc.
Sanes
O no cumprimento das disposies inseridas na presente Poltica, implicar na suspenso imediata do acesso rede, ficando o infrator sujeito s penalidades aplicveis espcie mediante classificao do nvel de violao e reincidncia conforme descrito. O uso indevido dos recursos de informtica viola a obrigao legal e contratual que o funcionrio tem para com a Candido, Carvalho e Vieira Associados, podendo ser caracterizado como incontinncia de conduta ou mau procedimento (CLT - art. 482 - b) tornando-o passvel de punio, que vai desde Advertncia Verbal, Escrita, Suspenso at Justa Causa.
204
205 Consolidao da Leis do Trabalho (CLT - art. 482 -b) no Cdigo Penal (Decreto-Lei N 2.848/40, com as alteraes da Lei N 9.983/00 e no Decreto N 2.910/98) no Novo Cdigo Civil (Lei 10.404 de 10/01/2002) ou em qualquer outra legislao que regule ou venha regular a matria. Quaisquer casos omissos a estas sanes sero passiveis de avaliao pela GSI (Gesto de Sistema de Informao), para o enquadramento quando nvel de violao, bem como aplicao das sanes cabveis.
206 Para que isto acontea, espero que voc leia atentamente estes documentos, procurando identificar as relaes existentes entre as diretrizes e procedimentos aqui formulados e as decises/aes que voc toma no seu dia-a-dia profissional. Na seqncia, todos ns participaremos de encontros organizados em nossas reas de trabalho, especificamente para nos ajudar a transformar essas diretrizes em prticas cotidianas. Por esse motivo, ao apresentar a Poltica de Segurana da Informao PSI da Candido, Carvalho e Vieira Associados - quero expressar a minha convico de que, juntos, podemos transform-lo em um instrumento legtimo de nossas crenas, demonstrando, de forma inequvoca, que somos capazes de desenvolver nossos negcios de forma responsvel, sustentvel e segura, posto que nos baseamos e estamos apoiados nos principais conceitos e normas da segurana da informao e de slidos princpios ticos. Cordialmente, Presidente da Candido, Carvalho e Vieira Associados
Documentao de Suporte
Este documento tem por objetivo apresentar o Termo de Responsabilidade e Sigilo aos colaboradores, atendendo aos requisitos da Poltica de Segurana da Informao da empresa Candido, Carvalho e Vieira Associados . A organizao deste documento baseia-se nas recomendaes descritas no item 8.1.2 da norma ISO/IEC 17799:2005. Termo de Responsabilidade e Sigilo Declaro para os devidos fins e efeitos de direito que a empresa Candido, Carvalho e Vieira Associados trouxe ao meu conhecimento o contedo das diretrizes, violaes, normas e responsabilidades que regem sua Poltica de
207 Segurana, conforme PSI e Manual de procedimentos, estando ciente e responsvel pelo que segue: Qualquer meio de acesso as informaes ou instalaes que a empresa me forneceu ou vier a fornecer (como identificaes de usurio, senhas, crachs, cartes, chaves, permisses, acessos, etc.) so de carter exclusivamente pessoais e intransferveis, e sero utilizados exclusivamente no cumprimento de minhas responsabilidades perante a empresa, devendo ser por mim devolvidos em caso de desligamento. Todas as informaes utilizadas na empresa sejam elas de sua propriedade ou no so confidenciais e sigilosas, motivo pelo qual me comprometo a manuse-las de maneira segura e somente no exerccio de minhas atividades, evitando sua perda, furto, cpia, utilizao indevida e/ou divulgao no autorizada. A empresa Candido, Carvalho e Vieira Associados est autorizada a consultar, monitorar e analisar informaes geradas e localizadas em suas instalaes ou se utilizando de recursos da empresa, registradas em qualquer meio; inclusive correspondncias recebidas em nome ou endereo da mesma. Comprometo-me a no adquirir, reproduzir, instalar, utilizar e/ou distribuir cpias no autorizadas de programas em geral, mesmo aqueles desenvolvidos internamente pelas reas tcnicas ou no da empresa. Sem autorizao expressa da empresa Candido, Carvalho e Vieira Associados. Comprometo-me a zelar pela segurana, uso correto e manuteno adequada de todos os equipamentos existentes na empresa, principalmente os que esto sob minha responsabilidade. As informaes por mim geradas ou recebidas durante minha jornada de trabalho devero tratar apenas de assuntos profissionais e ligados exclusivamente ao exerccio de minha funo.
208 Descumprindo os compromissos por mim assumidos nesta declarao estarei sujeito s penalidades aplicveis, como medidas
So Paulo, xx de xxxxxxxxxx de xxxx. Assinatura: _________________________ Nome Completo: ___________________________ Doc.Identidade (RG): ________________________ CPF: _____________________________
Campanha de Divulgao Depois de elaborada a poltica de segurana da Candido, Carvalho e Vieira Associados, a diretoria da informtica se reuniu com representantes dos departamentos a fim de obter opinies sobre o modo de implementao da poltica na empresa e os principais impactos na operao do negcio. Esta reunio permitiu conscientizar as chefias e formadores de opinio dos departamentos e coletar as primeiras impresses, possibilitando pequenos ajustes antes da divulgao da poltica oficial. Como resultado deste encontro, foi definido a realizao de palestras de divulgao de poltica aos colaboradores tendo a participao do presidente da empresa na sesso inaugural, transmitindo assim a importncia do evento para todos.
209 Afim de criar uma expectativa sobre o evento, uma campanha de divulgao interna foi criada pelo departamento de marketing, fixando faixas nos principais corredores de acesso com slogans sobre segurana da informao. Este programa envolveu campanhas no sentido de conscientizar e informar aos funcionrios informaes. e colaboradores tambm o com relao das segurana pessoas das e a
Envolveu
treinamento
disponibilizao de ferramentas para melhorar a fixao e o aprendizado. Alm d criao de canais de comunicao para a interao com o publico alvo. Foram usados diversos meios para dar apoio aos envolvidos e interessados no projeto. Esses meios viabilizaram uma melhor comunicao com o pblico alvo do projeto alm de oferecer ferramentas para a medio de como as informaes estavam sendo absorvidas pelas pessoas da empresa. Este programa foi dividido em 3 grandes frentes: Campanhas - uso de cartazes, e-mail, quadro de aviso e brindes tendo como alvo a conscientizao das pessoas; Treinamentos - uso da sala de aula com rico material audiovisual tendo como alvo o aprendizado mais especifico de determinadas normas e procedimentos as serem adotados. Ferramentas de apoio (intranet) - uso de pesquisas, vdeo, documentos, copias dos materiais usados nas campanhas - tendo como objetivos ser uma ferramenta de apoio para ajudar as pessoas envolvidas ou interessadas no projeto.
Outras Campanhas Diversas campanhas visando conscientizao dos funcionrios sobre a segurana na empresa foram desenvolvidas pela equipe de segurana juntamente com outros departamentos, como RH.
210 As campanhas desenvolvidas se deram atravs do envio de e-mails, entrega de folhetos, fixao de cartazes em lugares de grande movimento. Com isso esperou-se dar informaes gerais do projeto, informando tambm quanto importncia da participao de todos e a agenda de eventos importantes.
Programas de Treinamentos Assim como as campanhas, foram desenvolvidos treinamentos especficos para cada rea da empresa, juntamente com o departamento de RH, para que a segurana da informao pudesse ser transmitida a todos os funcionrios da empresa. Alguns destes treinamentos visavam informar formas corretas de se manipular documentos classificados da empresa, as melhores prticas de senhas e divulgao da poltica de segurana para todas as reas da empresa. Os cursos foram aplicados atravs de aulas ministradas em auditrio com os seguintes temas: Como usar o e-mail com segurana - onde foram abordados temas de como proceder no momento de recebimento de um e-mail suspeito, ou com mensagem imprpria, ou com erros. Tambm demonstrando quais so as novas regaras impostas pela poltica de segurana da Candido, Carvalho e Vieira Associados; Cuidados na navegao na internet - onde foram abordados temas de como proceder na navegao do dia-a-dia na internet, como evitar entrar em sites suspeitos, ou clicar em links recebidos por e-mails suspeitos, demonstrao de pginas de sites vitimas de phising , como navegar usando as novas regaras impostas pela poltica de segurana da Candido, Carvalho e Vieira Associados;
211 Como classificar e trabalhar de forma segura com arquivos confidenciais - onde foram abordados os temas de como salvar os arquivos nas pastas corretas por departamentos, como efetuar backups no uso de arquivos em notebooks e em viagens. Como classificar as informaes de forma apropriada, cuidados ao enviar e quando cpia de documentos confidenciais. Tudo isso conforme as novas normas estabelecidas na poltica de segurana da Candido, Carvalho e Vieira Associados.
Cada participante do curso recebeu uma cpia da poltica de segurana para fazer suas prprias anotaes, alm de um marcador de pgina com algumas informaes a respeito do projeto. Houve tambm o uso de recursos audiovisuais (sons e imagens nos slides) para melhorar a fixao das informaes passadas. Foram tambm aplicados exerccios em classe com todos os participantes, estimulando assim a assimilao do contedo transmitido. Foi permitido as participantes assistirem a mais de uma vez o curso caso houvesse interesse. Foi transmitido aos participantes um e-mail interno (duvidas_segurana@candidocarvalhovieira.com.br) para ser usado como canal de comunicao para serem tiradas quaisquer duvidas posteriores em cima do contedo passado ou de qualquer outro assunto relacionado ao projeto de segurana dentro da empresa. Houve a disponibilizao do vdeo da primeira aula na intranet da empresa para posterior consulta, atravs do endereo http://www.candidocarvalhovieira/seguraca/security.avi Durante o curso, houve sempre a preocupao de informar aos participantes onde conseguir as informaes necessrias para realizarem as tarefas de forma adequada s novas exigncias da empresa, atravs da indicao do uso da pagina de segurana dentro da intranet, uso do canal de comunicao por e-mail, atravs da leitura da poltica de segurana e etc.
212 Abaixo o quadro de aviso usado para informao dos funcionrios a respeito do curso:
213
Aps o treinamento, todos os funcionrios sero submetidos uma avaliao online, para garantir o entendimento dos temas abordados, quem tiver um aproveitamento superior a sete pontos receber um certificado de participao no curso de segurana, conforme figura abaixo. Assinado pessoalmente pelo presidente da empresa e pelo diretor de tecnologia em um evento de comemorao dos resultados do projeto.
214
CAPITULO VI
O capitulo em epgrafe foi escrito pelo Security Office aps a anlise de risco tem por objetivo estabelecer um Plano de Continuidade de Negcios . Atravs deste capitulo so apresentados os critrios para a gesto dos controles de segurana voltados continuidade do negcio.
Definio de PCN
A norma britnica BS 7799 e a brasileira NBR ISO/IEC 17799 consideram dez itens para definir um ambiente seguro. Um destes itens a recomendao de desenvolvimento de um PCN. Quando se fala em segurana, a rea de TI imediatamente pensa em firewalls, proxys, antivrus, senhas, poltica de segurana, deixando de lado as questes referentes aos processos que dependem de TI e da velocidade de substituio de um hardware danificado. PCN ou Plano de Continuidade de Negocio um conjunto de aes que visam reduzir a vulnerabilidade da organizao a longo prazo. Este plano definido em conformidade com os gestores da instituio. Uma das razes de se ter um plano de contingncia o fato de que alm da ameaa humana existente, so constatadas ainda outras ameaas: Fenmenos da natureza: eventos da natureza (incndios,
inundaes ventanias e tempestades) podem varrer do mapa centro inteiros e operao de rede: Impercias: usurios autorizados, privilegiados, podem destruir inadvertidamente o sistema ou sobrescrever dados vitais; Falha de equipamentos: com a tecnologia atual de fabricao de hardware baratos produzidos em massa, falhas de equipamentos so comuns. Unidades de disco rgido novas as vezes falham, por exemplo;
215
Tem como objetivo evitar interrupes na operao de Candido, Carvalho, Vieira Associados e lhe assegurar um nvel adequado de estabilidade organizacional durante a recuperao aps um desastre, bem como minimizar o risco de atrasos em definir e alterar locais de operao e ou processamento, alm de assegurar que os sistemas de apoio e backup esto controlados e prontamente disponveis, e que so confiveis e efetivos. Por fim treinar pessoas em procedimentos de emergncia e prover restaurao do servio de forma rpida e eficiente. O desenvolvimento e implementao de planos de contingncia visam garantir que os processos do negocio possam ser recuperados dentro da requerida escala de tempo, aps a concorrncia de interrupes ou falhas dos processos crticos. Estes planos devem ser mantidos e testados de forma a se tornarem parte integrante de todo os outros processos gerenciais, devendo ser observadas as seguintes recomendaes: Identificao e concordncia de todas as responsabilidades e procedimentos do plano de contingncia; Implementao dos procedimentos do plano de contingncia que permitam a recuperao e restaurao nos prazos necessrios. Ateno especial deve ser dada avaliao de pendncias externas ao negcio e tambm de contratos existentes; Documentao dos processos e procedimentos acordados; Treinamento adequado do pessoal nos procedimentos e planos de contingncia definidos, incluindo o gerenciamento da prpria crise. Quando se formula planos de recuperao aps desastre, no se precisa antecipar qualquer coisa em particular ou qualquer coisa alm de um desastre simples. Qualquer que seja a causa deve-se ter a capacidade de se recuperar imediatamente ou logo depois.
216
Telefones:
marcelo@candidocarvalhovieira.com.br
Cargo: E-mail: Funcionrios envolvidos (Nome / Cargo): Alexandro / Administrador de redes I Hugo / Administrador de redes II
Telefones:
Jair@ candidocarvalhovieira.com.br
Este processo de negcio : (x ) Prprio ( ) Terceirizado pela empresa Gestor responsvel: Jair
Telefones:
marcelo@ candidocarvalhovieira.com.br
Cargo:
Telefones:
E-mail: Jair@ candidocarvalhovieira.com.br Funcionrios envolvidos (Nome / Cargo): Alexandro / Administrador de redes I Hugo / Administrador de redes II Rodrigo / Administrador de banco de dados / Desenvolvedor de sistemas
Este processo de negcio : (x ) Prprio ( ) Terceirizado pela empresa Gestor responsvel: Jair
217
Processo de Negcio Nome do Processo de Negcio: Localizao: Nome do Responsvel: Banco de dados Empresa CCV Assoc Marcelo 3828-1238 / 3122-6555 / 8011-0015
Telefones:
marcelo@candidocarvalhovieira.com.br
Cargo: E-mail: Funcionrios envolvidos (Nome / Cargo): Alexandro / Administrador de redes I Hugo / Administrador de redes II
Telefones:
rodrigo@candidocarvalhovieira.com.br
Este processo de negcio : (x ) Prprio ( ) Terceirizado pela empresa Gestor responsvel: Marcelo
Telefones:
Cargo: E-mail: Funcionrios envolvidos (Nome / Cargo): Jair / Gerente de Segurana Hugo / Administrador de redes II
Telefones:
alexandro@candidocarvalhovieira.com.br
Este processo de negcio : (x ) Prprio ( ) Terceirizado pela empresa Gestor responsvel: Marcelo
218
Neste formulrio foi relacionado todos os componentes utilizados para a execuo de cada processo de negcio, indicando quais as respectivas quantidades e quais so os que possuem criticidade Alta.
Componentes da Infra-Estrutura do Negcio Nome do Componente wm server bd server switch switch router link embratel 10 Mbps Tempo em minutos de Inoperncia Suportvel para cada ativo da infraestrutura (sem que haja conseqncias para a empresa) At: ()1()2()3()4()5 ( x ) 10 ( )15 ( )20 ( )25 ( )30 ( )60 Nmero de acesso (dia) 1500 3000 20000 800 Criticidade Alto Alto Alto Alto Alto Alto Alto Alto
Tabela 19 - Componentes da Infra-Estrutura do Negcio No formulrio abaixo foi relacionado os processos de negcios dos quais estes processos depende, sua execuo, indicando em qual setor (unidade de negcio) realizado e seus respectivos contatos.
Processos Dependentes Unidade de Responsvel pelo Negcio (setor) setor Departamento de finanas / Departamento Jurdico / Departamento de RH / Miriam / Juliana / Advogados Marcela / Flvia Departamento de finanas Departamento de finanas / Departamento Jurdico / Departamento de RH / Advogados Advogados Maria
Nome do Processo
Telefones
Faturamento
Banco de dados
219
Estudo de Criticidade
Foi estabelecida uma classificao de relevncia entre os processos do negcio. A classificao foi baseada na aplicao de valores dentro de uma faixa de 1 a 5 visando indicar o grau de relevncia mais alto como a pontuao de maior valor e grau de relevncia mais baixo com a pontuao de menor valor. Abaixo escala para classificao de prioridade no Negcio:
Pontuao 1 Escala No considervel Interpretao Envolve o atingimento gerencivel do processo do negcio podendo provocar impactos praticamente irrelevantes Envolve o atingimento gerencivel do processo do negcio podendo provocar impactos apenas considerveis Envolve o atingimento gerencivel do processo do negcio podendo provocar impactos parcialmente significativos Envolve a paralisao do processo do negcio podendo provocar impactos muito significativos Envolve o comprometimento do processo de negcio podendo provocar impactos extremos na recuperao e na continuidade do negcio
Relevante
Importante
Crtico
Vital
Tabela 21 - Abaixo escala para classificao de prioridade no Negcio Seguindo o critrio acima as seguintes perguntas foram respondidas pelos gestores: Se o sistema x parar, qual o impacto sobre o negcio da empresa ? Se o sistema x parar, qual a urgncia que ele deve ser restabelecido ? Se o sistema x parar por mais de y horas, qual a gravidade que teremos sobre o negocio da empresa ?
220
x x
Tabela 22 - Escala para classificao de prioridades nos processos de negcio De posse do conhecimento do negcio da empresa e de seus pontos mais crticos e relevantes, entende-se que necessrio fazer-se um levantamento criterioso em cima de pontos importantes em relao ao mapeamento dos processos crticos e se existe algum Plano de Continuidade para ativos que suporte este processo crtico. Com a identificao do escopo de segurana os processos mais crticos e relevantes so priorizados conforme levantamento dos processos feito
anteriormente. Entendemos que isto s foi possvel devido a Anlise de Risco inicial feita anteriormente e que no seria possvel identific-los sem esta etapa.
221
planejamento dos procedimentos de contingncia e a definio mnima dos componentes que devam ser replicados. Um BIA d um passo alm desta definio, indicando o valor de custo de parada para cada processo analisado. O Custo de Parada a avaliao caso a caso, do respectivo valor agregado que o processo adiciona ao fluxo de processos, no principal negcio da empresa. De uma forma mais simples: torna-se fcil avaliar a importncia dos processos de negcios empresariais, frente aos impactos causados (multas, dano imagem da empresa, suspenso de servio ao cliente, etc ) em situaes de paralisao de atividades. Difcil saber em qual ordem restaurar cada um dos processos afetados. O BIA indica este caminho, mensurando o valor da parada do processo, em funo da perda que o negcio da empresa sofre. Desta forma, fica fcil para quem planeja avaliar os custos de investimentos na continuidade da empresa. Para tornar o plano mais eficaz, foi realizada entrevistas com os responsveis de cada rea e aplicado um questionrio para gerar relatrios de criticidade, junto com o BIA para que se possa mensurar financeiramente os custos das paradas dos processos crticos e vitais, juntamente com os custos para a recuperao destes mesmos processos. Aps a identificao dos sistemas, processos e ambientes vitais, foi avaliado o impacto financeiro causado a organizao caso haja uma parada, sendo assim calcula-se quanto tempo seria possvel a organizao sobreviver operando em contingncia, ou seja nos padres mnimos tolerados. Os processos foram classificados como 1, 2 e 3 onde 1 o mais critico tendo em vista que ele precisa ser restabelecido em at 24 hs para que no haja perda de receita ou denigra a imagem da empresa juntos aos seus clientes. Processos que precisam ser restabelecidos em 48 horas foram classificados como 2.
222
Aqueles que podem ser retomados em mais de 48 horas foram classificados como 3.
Ambientes/Servios
Classe
Tempo de parada
3 1 1
Prejuzo financeiro valor aproximado (em R$ por hora) 21.000,00 35.500,00 50.000,00
Tabela 23 - BIA Os valores citados acima tiveram como base a hora dos colaboradores responsveis pelo faturamento do escritrio. Destacando que o custo da rea jurdica maior do que o administrativo. De posse desta anlise BIA, torna-se possvel definir as prioridades de contingncia, os nveis de tolerncia, a indisponibilidade de cada processo ou atividade pertencente a contingncia e ainda agrupa os ativos em funo de sua natureza da dependncia que mantm com os processos. Tem-se, a partir de ento, uma fotografia da funcionalidade dos processos, restando definir as ameaas que se quer contingenciar. A escola das ameaas a se considerar para cada processo est diretamente ligada a probabilidade e severidade de um incidente. Com base na anlise de risco realizada e conforme apontado acima pelo BIA, o processo mais importante para a empresa e que mais impactaria em caso de indisponibilidade Servidor ERP.
223
Tabela 24 - Ativos
224
225
Pode-se classificar o evento de crise em: Incidente: qualquer evento, de natureza interna ou externa corporao. Pode ou no representar uma ameaa para a empresa. Ameaa: incidente que representa grau de risco elevado para a operao normal dos negcios da empresa. Crise: ameaa concretizada.
Equipe de gesto de crises A equipe de gesto de crises efetiva deve ter participao de um representante da alta administrao, da gerencia de informtica e da gerencia de segurana da informao. Atribuies:
Receber primeiramente a informao de uma situao atpica; Analisar o evento e potenciais impactos; Comunicar lder da unidade sobre evento; Auxiliar lder da unidade na tomada de deciso; Entrar em contato com rgos pblicos de auxlio em emergncias; Divulgar orientaes sobre planos de contingncias; Acionar a rvores de comunicao interna; Mantr comunicao com demais reas para acompanhamento da evoluo do processo.
A equipe de gesto de crises corporativa responsvel pelo gerenciamento do processo atravs de uma perspectiva empresarial, atuando as seguintes atividades: Minimizar o impacto de uma crise, provendo continuidade na entrega de servios, produtos e recursos; Maximizar a reputao e a imagem da marca da organizao atravs da demonstrao de que a empresa possui a capacidade de gerir crises;
226
Sustentar a confiana na empresa para colaboradores, pblicos, mercado e clientes; Demonstrar eficincia e foco em um evento de crise perante a mdia, mercado, clientes e rgos de regulamentao.
Para
significativos a organizao, foi criada procedimentos e medidas com objetivo de minimizar impactos. Este plano tambm indica as aes que devem ser tomadas no momento do evento que venha a prejudicar a continuidade dos ativos e aplicaes da rea de Tecnologia da Informao. Neste documento so identificados os responsveis pela ativao dos Procedimentos de Contingncia e o Plano de Recuperao de Desastres, bem como todas as aes que sero executadas. Para executar o plano de gerenciamento logo que a crise desencadeada primeiramente devem-se acionar os gestores de contingncia e os gestores de crises. Nome e telefones do time de Gestores
Nome Endereo Telefone Fixo 38281234 /37772343 38281235 /34444433 38281236/ 23443322 38281237 /21113444 Celular Funo
Alexandro
80110011
Gestor de contingncia I
Hugo Iida
80110012
Gestor de contingncia II
Jair Zepeda
80110013
Gerenciament o de crises I
Rodrigo
80110014
Gerenciament o de crises II
227
Procedimento para acionamento dos times de contingncia Evento parou o ambiente; Caso tenha inviabilizado a estrutura fsica, necessrio acionar a utilizao do backup site, atravs dos procedimentos descritos no item 3.xxx no plano de contingncia, comunicar os gestores de cada rea e transferir os colaboradores para o outro local; Caso seja problema de infra-estrutura ou aplicao, deve-se acionar o gerente responsvel atravs de e-mail e telefone; Os gestores de infra-estrutura ou aplicao, so responsveis em acionar as equipes responsveis atravs de e-mail e telefone.
228
um Desastre?
No
Infra-Estrutura ou aplicao?
Infra-Estrutura
Sim
Aplicao
No
Infra-Estrutura ou aplicao?
Sim
Infra-Estrutura
Retornar as atividades
Procedimentos para Comunicao da Contingncia Interno Para comunicao da contingncia da estrutura fsica, necessrio entrar em contato por e-mail e por telefone com o gestor de cada rea (Departamento de Pessoas, Departamento de vendas, Departamento de Negcio), comunicando a preparao da equipe para ser transferida de local;
229
Para comunicao da contingncia de infra-estrutura e/ou aplicao, necessrio entrar em contato por e-mail e por telefone com o gestor de cada rea (Departamento Pessoal, Departamento de vendas, Departamento de Negcio), informando-os sobre a ocorrncia e o tempo de resoluo; Externo Para comunicao da contingncia da estrutura fsica, necessrio entrar em contato por telefone com a empresa Build Backup para iniciar o procedimento de transferncia de local. Deve-se entrar em contato com os clientes por telefone e inform-los sobre a indisponibilidade e razo: Empresa: Packets Marina Lima Contato: 3392-1122 Empresa: Uack Thas Oliveira Contato: 2331-4000 Empresa: Jorp Carolina Marques Contato: 2111-3000 Para comunicao da contingncia de infra-estrutura e/ou aplicao, necessrio entrar em contato por e-mail e por telefone com as empresas: Empresa: Packets Marina Lima Contato: 3392-1122 Empresa: Uack Thas Oliveira Contato: 2331-4000 Empresa: Jorp Carolina Marques Contato: 2111-3000 Inform-las sobre a indisponibilidade e o tempo de resoluo. Relao das ameaas e riscos considerados no plano
230
De acordo com a Tabela abaixo, podem-se analisar as possveis falhas, riscos e medidas de correo.
RISCO MEDIDA
Na falta de energia eltrica os servidores so desligados automaticamente e ativado automaticamente o sistema de baterias do nobreak por um perodo de 2:30 horas de autonomia, se ultrapassar este perodo ser utilizado um outro conjunto de baterias por mais 4 horas. Este conjunto de baterias formado por baterias de caminho. No caso de a ocorrncia ser em feriados ou final de semana os vigilantes devem acionar a equipe de TI pelos telefones celulares.
Na queda de comunicao de um dos links externos, ser ativado automaticamente o link reserva que se encontra na mesma sala de TI. Na possibilidade de queda do link reserva ser ativado o sistema de Dial-Backup que se encontra em outra sala. O problema deve ser informado a empresa Linksmart telefone (11) 2122-3222 responsvel pelos links da organizao. Em caso de princpio de incndio sero utilizados extintores que ficam do lado de fora da sala de TI e sero chamados os bombeiros ramal 6076.
Falha de incndio
Falha em equipamentos
Falhas ocorridas em servidores, equipamentos de energia e ativos de rede sero utilizados equipamentos reservas, mantidos em outra sala. Falhas em equipamentos de comunicao (roteadores, modens), sero acionado os servios de terceiros responsveis por tais equipamentos, conforme contrato de manuteno. Com o equipamento de backup em mos, o mesmo dever ser repassada para a equipe de infra-estrutura para configurao.
Tabela 26 - Riscos e medidas de correo Relao dos ambientes contemplados no plano Este plano aborda planos de contingncia e crises da rea de Tecnologia da Informao.
231
Na figura abaixo, esto listados as aplicaes, servidores e infra-estrutura dos ativos que so mais relevantes para empresa.
232
Relao dos times de contingncia e crises Com a finalidade de simplificar o contato com os times de contingncia e crises, foi relacionado de acordo com a figura da estrutura organizacional.
Gestores de Continuidade
Gestores de Crise
Alexandro
Hugo
Jair
Rodrigo
Build Backup
Infra-Estrutura
Aplicaes
Alexandro
Marcelo
Hugo
Ambientes e gestores Para fins desse plano de recuperao de desastres, estabelecem-se as aplicaes ordenadas por criticidade listadas abaixo: Sistema de faturamento Sistema de controle de processos jurdico Banco de dados Webmail
No caso da indisponibilizao do sistema de faturamento deve ser comunicados a parada do sistema aos administradores de redes I e II. Seguir procedimentos contidos no documento de Processos de recuperao, sendo que para execuo dos mesmos h um tempo limite de 5 minutos. Para retomada do sistema h um tempo mximo tolervel de 15 minutos. No caso da indisponibilizao do sistema de controle de processos jurdico,
233
devem ser comunicados a ausncia do sistema aos administradores de redes, e administrador de banco de dados/desenvolvedor de sistemas. Seguir procedimentos contidos no documento de Processos de recuperao, sendo que para execuo dos mesmos h um tempo limite de 5 minutos. Para retomada do sistema, h um tempo mximo tolervel de 10 minutos. No caso da indisponibilizao do banco de dados, devem ser comunicados ao administrador de banco de dados/desenvolvedor de sistemas e ao administrador de redes I. Seguir procedimentos contido no documento de Processos de recuperao, sendo que para execuo do s mesmos h um tempo limite de 5 minutos para execuo. Para retomada do sistema h um tempo mximo tolervel de 10 minutos. No caso da indisponibilidade do servidor de e-mail, devem ser comunicados aos administradores de redes. Seguir procedimentos contido no documento de Processos de recuperao, sendo que para execuo do s mesmos h um tempo limite de 5 minutos para execuo. Para retomada do sistema h um tempo mximo tolervel de 15 minutos. Apresentamos abaixo a matriz de responsabilidades da equipe:
Autoridade delegada Administrador de redes I Administrador de redes II Telefones de contato 3828-1234 / 3777-2343 3828-1235 / 3444-4433
Nome
Alexsandro
Hugo
Jair
Marcelo
Rodrigo
Responsabilidade Controle da Infraestrutura / Gestor de contingncia I Controle de aplicaes / Gestor de contingncia II Controle de procedimentos de contingncia / Gestor de crises I Controle de documentos do processo de contingncia Monitoramento e relatrio de contingncia / Gestor de crises II
Celular
8011-0011
8011-0012
Gerente de Segurana
3828-1236/ 2344-3322
8011-0013
3828-1237 / 2111-3444
8011-0014
3828-1238 / 3122-6555
8011-0015
234
Recursos e procedimentos
No que diz respeito aos servidores, no caso da indisponibilidade de um dos componentes (memria, discos magnticos, unidades de fita), existir sempre um contingncia do mesmo, que dever ser solicitada ao Gerente de TI. Caso a indisponibilidade seja em relao a CPU/fonte do servidor, dever ser utilizado um servidor reserva (h 1 servidor reserva para cada 3) e em ltimo caso, solicitar ao Gerente de segurana que entre em contato com a empresa ProcServer atravs do telefone (11) 2345-7890 para solicitar um servidor temporrio. Os servidores da empresa so redundantes, pois em caso de falha de algum, o outro assume automaticamente no caso da perda de todos os servidores. Roteadores e links de comunicao Responsveis pela interligao externa da empresa. No caso de sua indisponibilidade, os mesmos devero estar assegurados por contrato de manuteno para o devido reparo e/ou substituio at que o problema seja sanado. No caso do link, h uma redundncia com a empresa Netlinks.
235
A tabela abaixo
A sequncia para o restabelecimento dos sistemas dever ser obedecido conforme a seguir: Ordem 1 Sistema de faturamento Atividade
Solicitar os servidores compatveis com os atualmente em produo no sistema Faturamento e o servidor compatvel com o atual servidor de backup Contatar os reponsveis backup e solicitar a recuperao das ltimas mdias Realizar os restore dos dados Realizar os testes de acesso a aplicao
2 3 4 5 Ordem 1
Finalizar procedimento e preencher relatrio do PCO Sistema de controle de processos jurdico Atividade
Solicitar os servidores compatveis com os atualmente em produo no sistema de processos jurdico e o servidor compatvel com o atual servidor de backup Contatar os reponsveis backup e solicitar a recuperao das ltimas mdias Realizar os restore dos dados Realizar os testes de acesso a aplicao
2 3 4 5
236
Ordem 1 2 3 4 5 Ordem 1
Webmail Atividade
Solicitar os servidores compatveis com os atualmente em produo no sistema ERP e o servidor compatvel com o atual servidor de backup Contatar os reponsveis backup e solicitar a recuperao das ltimas mdias Realizar os restore dos dados Realizar os testes de acesso a aplicao
Responsvel Operao de Redes Infra-estrutura Operao de Redes Operao de Redes Operao de Redes
2 3 4 5
Ordem 1
ERP Atividade
Solicitar os servidores compatveis com os atualmente em produo no sistema ERP e o servidor compatvel com o atual servidor de backup Contatar os reponsveis backup e solicitar a recuperao das ltimas mdias Realizar os restore dos dados Realizar os testes de acesso a aplicao
2 3 4 5
237
Aplicabilidade do plano Os procedimentos de contingncia desse documento so aplicveis quando o fluxo normal de processamento assolado por uma situao de anormalidade de causa desconhecida ou que requeira uma atuao prolongada em que se faz necessrio a interveno para evitar impactos ao negcio. Pode estar associada a contingncia local de componente de TI, sendo necessrio ativar o plano B enquanto o componente de TI reparado e/ou trocado, podendo ser necessrio tambm a ativao do plano de contingncia de local de CPD, caso este plano faa parte do PCN da linha de negcio. Acionamento da contingncia A contingncia de processos de negcio compreende processos crticos que pedem uma situao anormal, no esto funcionando adequadamente, requerendo que um processo manual, geralmente seja ativado para que no haja prejuzos operacionais e/ou financeiros.
238
Depois de disparado o processo de contingncia pelo lder da equipe de Gesto de Crises, os grupos de suporte devero reunir-se na central de contingncia para execuo dos procedimentos. Este documento tem o propsito de definir um plano de recuperao e restaurao das funcionalidades dos ativos afetados que suportam o sistema Candido Carvalho e Vieira Associados , a fim de restabelecer o ambiente e as condies originais de operao, no menor tempo possvel. Na tabela abaixo temos os responsveis por este PRD, que devero ser acionados pelo responsvel pelo Plano de Gerenciamento de Crises:
Nome Alexandro Hugo Iida Telefone Fixo 3828-1234 /3777-2343 3828-1235 /3444-4433 Celular 8011-0011 8011-0012 Funo Principal Substituto
Os ativos que fazem parte desse plano esto listados abaixo: Server BD Switch Router Link Embratel 10 Mbps
Server/BD/Switch/Router Ordem 1 2 3 4 5 6 Atividade Solicitar novo equipamento ao fornecedor, de acordo com o contrato de manuteno (System Support 0800 129 8700) Instalar novo equipamento no mesmo local no equipamento indisponvel Verificar qual elemento est indisponvel e recuperar seu ltimo backup vlido do sistema de backups Ativar o ltimo backup de configurao no novo equipamento Validar a instalao do novo equipamento Finalizar procedimento e preencher relatrio do PRD. Aguardar o momento de retorno do mesmo ao ambiente operacional Responsvel Operao de Redes Infra-estrutura Operao de Redes Operao de Redes Operao de Redes Operao de Redes
239
LINK-Embratel-10 Mbps Ordem 1 Atividade Entrar em contato com o provedor de servios solicitando o reparo do link (NET LINK 0800 785 2000) Aguardar contato da provedora sobre a reparao do servio e realizar testes para confirmar a disponibilidade do mesmo Finalizar procedimento e preencher relatrio do PRD. Aguardar o momento de retorno do mesmo ao ambiente operacional Responsvel Operao de Redes
Operao de Redes
Operao de Redes
Roteiro do plano
O plano de DR est estruturado em 8 fases distintas. A cada atividade dentro de uma fase est associado um responsvel, que dever zelar pela correta execuo das etapas e pela comunicao entre as reas envolvidas. Lder se refere ao coordenador do plano de gesto de crises. Equipe se refere as equipes envolvidas no DR, so responsveis pela execuo dos procedimentos das reas seguindo etapas abaixo: Etapa 1: Deciso pela ativao do plano Lder: tomada de deciso pela ativao do plano de DR, baseada nas informaes retornadas pelos gestores responsveis pelas diversas reas afetadas. Etapa 2: Disparo da Migrao Lder: aps deciso pela ativao do plano de DR, ser efetuada a notificao para todas as equipes para que possam iniciar os devidos procedimentos. Os superiores envolvidos tambm devero ser notificados. As equipes envolvidas no DR devero dirigir-se a central de contingncia para execuo dos
procedimentos.
240
Etapa 3: Procedimentos de Migrao Equipes: cada uma das equipes envolvidas no DR dever executar o seu respectivo procedimento, conforme requisio do lder do seu time ou por outra equipe. Etapa 4: Notificao de sucesso da migrao Equipe: aps a completa execuo do procedimento, dever ser notificada a entidade que o requisitou, seja ele o lder da equipe de gesto de crises ou de uma outra equipe envolvida no DR responsvel por um procedimento. Etapa 5: Disparo dos testes de funcionalidade Lder: aps o ciclo de procedimentos e notificaes, o lder da equipe de gesto de crises ir notificar casa responsvel por procedimento, para a execuo dos testes de funcionalidade. Etapa 6: Procedimentos de validao Equipe: execuo dos testes de funcionalidade do ambiente Etapa 7: Notificao de sucesso da validao Equipes: retorno da avaliao de funcionalidade Etapa 8: Liberao do ambiente Lder: liberao do ambiente para as reas usurios
241
colaboradores. Aps avaliao da extenso do desastre que causou a ativao do plano de Disaster Recovery a gerncia de segurana da informao em conjunto com as outras reas da empresa dever avaliar o tempo necessrio para tornar as instalaes da empresa novamente operacional. Em seguida ser iniciado o processo de remontagem dos ambientes de produo e preparao para o retorno a instalao principal da empresa. Esse retorno dever ser realizado preferencialmente em final de semana, embora possam existir casos especficos com possibilidade de retorno em horrios diferenciados. A deciso pelo retorno deve levar em conta fatores como disponibilidade total do site primrio, reflexo para o usurio final e tempo estimado para o retorno. Aps avaliaes e deciso pelo retorno ao ambiente de produo, o lder de gesto de crise dever anunciar as equipes envolvidas do DR, para preparem a migrao dos ambientes produtivos. O retorno para o site principal um processo to complexo quanto o Disaster Recovery, somente com a diferena que o retorno efetuado sob condies normais de funcionamento dos ambientes dos dois sites, com tempo para programao das atividades necessrias:
242
Retomadas da duplicao dos dados de site recovery para o site principal Aplicao dos boots nas mquinas Ativao dos produtos Ativao dos ambientes produtivos
Testes de Funcionalidade
Os testes de funcionalidade tem por objetivo validar todos os recursos da linha de negcio que foram disponibilizados em contingncia. Se necessrio, devero ser executados em partes para que tornem vivel o teste completo da linha de negcio no final. Eles deve ser executados de acordo com o procedimento e planejamento definidos em documentos, a gerncia de segurana da informao deve acompanhar cada teste com estes documentos em mos verificando se a seqncia e o procedimento esto sendo executados corretamente. Qualquer execuo que no esteja no documento e que se fizer necessria na hora do teste dever ser informada ao analista responsvel da gerncia de segurana da informao e ele dever verificar a real necessidade tornando uma deciso (caso necessrio, em conjunto com o gerente) se dever ou no ser executada a nova
243
seqncia anotando e incluindo no procedimento e no planejamento o que foi executado. As datas devem ser marcadas de modo que os testes no afetem o ambiente de produo. Todos os envolvidos no projeto devero estar presentes, caso no seja possvel a presena de um determinado participante, este dever apresentar um substituto e informar os outros para uma rpida localizao em caso de necessidade. O Plano de Continuidade deve ser testado periodicamente a fim de garantir que sua informao seja recuperada dentro de um tempo mximo permitido.
Testes de desempenho
Os testes de desempenho devero seguir o mesmo procedimento do teste de funcionalidade, devendo ser executado de acordo com a necessidade de cada linha do negcio.
244
Manuteno do plano
Mudanas que tenha ocorrido e que no estejam contempladas no plano de continuidade de negcios devem gerar atualizaes. Quando novos requisitos forem identificados, os procedimentos de emergncia relacionados devem ser ajustados de forma apropriada. Diversas situaes podem demandar
atualizaes no plano, tais como as mudanas: No parque ou ambiente computacional (ex. aquisies de equipamentos, atualizaes de sistemas operacionais, migrao de sistemas de grande porte para ambiente cliente-servidor); Administrativas, de pessoas envolvidas e responsabilidades; De estratgia de negcio; Na localizao e instalaes; Na legislao; Em prestadores de servio, fornecedores e clientes chave De processos (incluses e excluses) No risco (operacional e financeiro).
As atualizaes regulares do plano de contingncia so de importncia fundamental para alcanar a sua efetividade. Deve existir uma programao que especifique a forma de se proceder a manuteno do plano que deve ocorrer anualmente.
245
CAPITULO VII
O capitulo em epgrafe foi escrito pelo Security Office aps 12 meses da primeira anlise de riscos. O principal objetivo da reaplicao quantificar os resultados e identificar novas melhorias que devem ser reaplicadas para manter a reduo de riscos e vulnerabilidades.
# 1 2
Segurana Administrativa - Usurios Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Os usurios tem conhecimento sobre a utilizao dos equipamentos e sistemas de informtica? H controles para instalao de software pirata? H monitoramento na rede para identificar acessos no permitidos? Os recursos anti-malware esto configurados de modo que os usurios no possam desabilita-los? Os incidentes de segurana so comunicados pelos usurios? Utilizam criptografia em dispositivos removiveis?
Sim x x
No
Ameaa Vazamento de Informaes Vazamento de Informaes Acesso lgico no autorizado Vazamento de Informaes Violao de propriedade intelectual Vazamento de Informaes
Controle Implementado Divulgao das politicas de segurana aplicada no ambiente Politicas de segurana da informao (Normas Gerais para usurios) Politicas de segurana da informao (Normas Gerais para usurios)
5 6
x x
Politicas de segurana da informao (Normas Gerais para usurios) Projetos de correo de estrutura lgica
8 9
x x
246
# 1 2
Segurana Administrativa - Diretores e Gerentes Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utilizam criptografia em dispositivos removiveis?
Sim x
No
Ameaa Vazamento de informaes Vazamento de informaes Acesso lgico no autorizado Vazamento de informaes Vazamento de informaes
x x x x
3 4 5
Politicas de segurana da informao (Normas Gerais para usurios) Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica
# 1
Segurana Administrativa - Presidente O presidente participa de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utiliza criptografia em dispositivos removiveis? A empresa possui uma poltica de continuidade de negcios? Na empresa existe um gerenciamento institucionalizado para garantir conformidade com as leis? Ajuda na divulgao da segurana da informao? A segurana da informao considerada como um pr-requisito antes ou durante a estratgia de negcio e planejamento das atividades? A segurana da informao faz parte dos ciclos do negcio? Existe comite de segurana? Participa do comite de segurana?
Sim
No x
Controle Implementado
x x x x
2 3 4 5
Politicas de segurana da informao (Normas Gerais para usurios) Projetos de correo de estrutura lgica
Vazamento de informaes Indisponibilidade de servios ou informaes Multas, indenizaes ou sanes Plano de Continuidade dos Negcios
6 7
Vazamento de informaes
x Indisponibilidade de servios ou informaes x x x Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha em meios de comunicao
8 9 10 11
247
# 1 2 3 4 5 6 7 8 9 10 11 12
Segurana Fsica - Prdio Possui estabilizadores de tenso? Possui estabilizadores de tenso? Possui geradores de energia? Possui sistema para identificao de funcionrios e visitantes para acesso? Possui porteiro? Possui vigilncia? Possui extintores de incndio e sprinklers? Possui plano de abandono de rea em caso de desastres? Possui CFTV? Possui controle de acesso nos andares? Possui escada de emergncia? Possui portas e janelas antifogo?
Sim x x x x x x x x x x x x
No
Ameaa Indisponibilidade de servios ou informaes Dano a equipamentos ou instalaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Acesso fsico no autorizado Acesso fsico no autorizado Incndio Dano integridade fsica de pessoas Acesso fsico no autorizado Acesso fsico no autorizado Dano integridade fsica de pessoas Dano integridade fsica de pessoas
Controle Implementado Projetos de correo para estrutura fsica Projetos de correo para estrutura fsica Projetos de correo para estrutura fsica Projetos de correo para estrutura fsica Projetos de correo para estrutura fsica Projetos de correo para estrutura fsica
Poltica de Contingncia de Negcios Projetos de correo para estrutura fsica Projetos de correo para estrutura fsica Projetos de correo para estrutura fsica Projetos de correo para estrutura fsica
# 1 2 3 4 5 6
Segurana Fsica - Elevadores Possui cmera de vigilncia? Possui manuteno peridica? Possui telefone para comunicao com o porteiro em caso de emergncia? Possui controle de temperatura? Possui iluminao de emergncia? Possui geradores e estabilizador de tenso para caso de falta de energia?
Sim x x
No
x x x x
Dano integridade fsica de pessoas Dano a equipamentos ou instalaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes
# 1 2
Sim
No x
Controle Implementado
# 1 2 3 4
Segurana Fsica - Sala de Reunio Possui controle de acesso? Possui controle de utilizao? Possui acstica? Possui algum controle para a identificao dos participantes?
Sim x
No
Ameaa Acesso fsico no autorizado Acesso fsico no autorizado Vazamento de informaes Acesso fsico no autorizado
x x x
248
# 1 2 3 4 5 6 7 8 9 10
Segurana Fsica - Sala de Servidores Possui controle de acesso? Possui controle de incndio apropriado? Possui controle de incndio apropriado? Possui controle de temperatura? Existe controle de umidade das sala? Existe controle de variaes de voltagem na rede eltrica? Possui monitorao CFTV? As filmagens so retidas por mais de 30 dias? Existe sistema de deteco de fumaa? Existe sistema para suprir o fornecimento de energia em caso de falhas por 48 horas? O cabos de dados e eltricos esto sob o piso falso? Existes canaletas separadas para cabos de dados e eltricos? Os racks possuem portas com fechaduras? Existe controle de quem solicita e utiliza as chaves dos racks? Existe controle de quem autorizado a pegar chaves dos racks? Existe controle de quem autorizado a pegar chaves dos racks? A chave de um rack pode abrir um outro rack? O cabeamento de dados e de voz est estruturado e identificado? O cabeamento de energia est estruturado e identificado? Existe controle para medir a utilizao de eltrica por rack? Existe procedimento de limpeza segura das sala? Existe processo para detectar racks que no foram fechados devidamente? Existem rotas de fugas em casos de incidentes? Existe sistema para emisso de aviso sonoro em caso de incidentes?
Sim x x x x x x
No
Ameaa Acesso fsico no autorizado Incndio Dano a integridade fsica de pessoas Extremo de temperatura ou umidade Extremo de temperatura ou umidade Dano a equipamentos ou instalaes Acesso fsico no autorizado Perda de rastreabilidade Incndio Indisponibilidade de servios ou informaes Dano a equipamentos ou instalaes Dano a equipamentos ou instalaes Acesso lgico no autorizado
Controle Implementado Projetos de correo para estrutura fsica Projetos de correo para estrutura fsica Projetos de correo para estrutura fsica
x x x x
11 12 13 14 15 16 17 18 19 20 21 22 23 24
x x x x x x x x x x x x x x
Acesso fsico no autorizado Acesso fsico no autorizado Perda de rastreabilidade Furto ou roubo de ativos Perda de rastreabilidade Perda de rastreabilidade Queda de performance ou falta de capacidade Dano a equipamentos ou instalaes Furto ou roubo de ativos Dano integridade fsica de pessoas Dano integridade fsica de pessoas Projetos de correo para estrutura fsica Projetos de correo para estrutura fsica Projetos de correo para estrutura fsica
249
# 1 2 3 4 5 6 7 8 9
Segurana Lgica - Servidor de Email Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela?
Sim x x x
No
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado
Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths Procedimentos para atualizao de Paths Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Politicas de segurana da informao (Normas Gerais para Tcnicos)
x x
Acesso lgico no autorizado Indisponibilidade de servios ou informaes Interceptao de dados no autorizada Ao de cdigo malicioso
Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes x x Acesso fsico no autorizado Vazamento de Informao Perda de rastreabilidade Indisponibilidade de servios ou informaes Queda de performance ou falta de capacidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Vazamento de Informao
10
11 12 13
Possui poltica para utilizao e atualizao das mdias de backup? Possui fonte redundante? Possui fonte redundante?
x x x
14
15
Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos)
16
Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance?
17
18 19 20 21
x x
22
23 24 25
x x x
250
# 26 27 28
Segurana Lgica - Servidor de Email Possui Firewall instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Existe procedimento para contingncia documentado? O recurso de relay est desabilitado? Possui limite para o tamanho de caixa por usurio? Possui limite para o tamanho de arquivo a ser enviado? Possui limite para o tamanho de arquivo a ser recebido?
Sim x x x
No
Ameaa Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao Ao de cdigo malicioso
Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica
29
30 31
x x
Politica de continuidade de negcios Projetos de correo de estrutura lgica Politicas de segurana da informao (Normas para uso correio eletrnico) Politicas de segurana da informao (Normas para uso correio eletrnico) Politicas de segurana da informao (Normas para uso correio eletrnico)
32
33
34
# 1 2 3 4 5 6 7 8 9 10
Segurana Lgica - Servidor de Arquivos Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias de backup? Possui fonte redundante? Possui fonte redundante?
Sim x x x x x x x x x x
No
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Ao de cdigo malicioso Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes
Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica
11 12 13
x x x
14
Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Politicas de segurana da informao (Normas Gerais para Tcnicos)
15
251
# 16
Segurana Lgica - Servidor de Arquivos Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance?
Sim x
No
Controle Implementado
17
18 19 20 21
x x x x
Acesso fsico no autorizado Vazamento de Informao Perda de rastreabilidade Indisponibilidade de servios ou informaes Queda de performance ou falta de capacidade Ao de cdigo malicioso Indisponibilidade de servios ou informaes Ao de cdigo malicioso Vazamento de Informao Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao Indisponibilidade de servios ou informaes Projetos de correo de estrutura lgica
22 23 24 25 26 27 28 29 30 31
Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possui limite de espao por usurio configurado?
x x x x x x x x x x
Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica
# 1 2 3 4 5 6 7 8
Segurana Lgica - Servidor de Servio de Diretrio Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante?
Sim x x
No
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia
Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths Procedimentos para atualizao de Paths Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Politicas de segurana da informao (Normas Gerais para Tcnicos)
x x
x x
x x
9 10
x x
252
Sim x
No
Ameaa Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes
Controle Implementado
11
12
13
Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos)
14
Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias?
15
x 16 17 18 19 20 21 22 23 24 25 26 27 Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? x x x x x x x x
Acesso fsico no autorizado Vazamento de Informao Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Ao de cdigo malicioso Vazamento de Informao Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes
x x x x
Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica
Vazamento de Informao
# 1 2 3 4 5 6 7 8
Segurana Lgica - Servidor de DNS Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela?
Sim x x x x x x x
No
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada
Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths Procedimentos para atualizao de Paths
253
# 9
Segurana Lgica - Servidor de DNS Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante?
Sim x
No
Ameaa Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes
Controle Implementado
10 11 12
x x x
13
14
Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos)
15
Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias?
16
x 17 18 19 20 21 22 23 24 25 26 27 Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? O servio DNS possui transferncia de zona restrita? O servio DNS possui recursividade habilitada? x x x x x x x x
Acesso fsico no autorizado Vazamento de Informao Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Ao de cdigo malicioso Vazamento de Informao Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Vazamento de informao Indisponibilidade de servios ou informaes
x x x
Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica
28 29 30
254
# 1 2 3 4 5 6 7 8 9
Segurana Lgica - Servidor de Banco de Dados Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante?
Sim x x x x x x x x x
No
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes
Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths Procedimentos para atualizao de Paths
10 11 12
x x x
Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos)
13
14
15
Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall?
16
17 18 19 20 21 22 23 24 25
x x x x x x x x x
Acesso fsico no autorizado Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao
Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica
255
# 26 27
Segurana Lgica - Servidor de Banco de Dados Existem mais que 1 usurio para administratar o banco de dados? O usurio do servio de Banco de Dados possui poltica de senha?
Sim x x
No
Controle Implementado
# 1 2 3 4 5 6 7 8 9
Segurana Lgica - Servidor Web Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante?
Sim x x x x x x x x x
No
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes
Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths Procedimentos para atualizao de Paths
Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Politicas de segurana da informao (Normas Gerais para Tcnicos)
10 11 12
x x x
Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos)
13
14
15
Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado?
16
17 18 19 20 21
x x x x x
Acesso fsico no autorizado Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Politicas de segurana da informao (Normas Gerais para Tcnicos)
22
256
# 23
Sim x
No
Ameaa Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao
Controle Implementado Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos)
24
Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? O servio IIS possui recurso Front Page extensions desabilitado? O servio IIS possui banner desabilitado? O servio IIS possui recurso webdav desabilitado?
25 26 27 28
x x x x
# 1 2 3 4 5 6 7 8 9
Segurana Lgica - Servidor ERP Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante?
Sim x x x x x x x x x
No
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes
Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths Procedimentos para atualizao de Paths
10 11 12
x x x
Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos)
13
14
15
Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias?
16
x 17 18 Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? x x
257
# 19 20 21 22 23 24 25
Segurana Lgica - Servidor ERP Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall?
Sim
No x
x x x x x x
Ameaa Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao
Controle Implementado
Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica
# 1 2 3 4 5 6 7 8 9
Segurana Lgica - Servidor Citrix Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup?
Sim x x x
No
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado
Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths Procedimentos para atualizao de Paths Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica
x x x x x
x 10 Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? x 12 13 Possui fonte redundante? Possui espelhamento de HDs? x 14 Os equipamentos possuem manuteno? x x x
11
Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos)
15
Existem locais adequados para os servidores? x Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup?
16
17
258
# 18 19 20 21 22 23 24 25
Segurana Lgica - Servidor Citrix Existem coleta e controle dos logs? Existem monitoraes de performance?
Sim
No x
x Possui antivirus instalado? Possui IDS/IPS instalado? x Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? x x x x
Ameaa Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes
Controle Implementado
Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica
Vazamento de Informao
# 1 2 3 4
Segurana Lgica - Estao de Trabalho Possui poltica de senha? Possui alguma poltica de senha?
Sim x x x x
No
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Indisponibilidade de servios ou informaes Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Vazamento de Informaes Vazamento de Informaes Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes
Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths
Possui poltica de atualizao de patches? 5 6 7 Possui modem? 8 9 10 Os equipamentos possuem manuteno? 11 12 Possui IDS/IPS instalado? 13 Possui Firewall pessoal instalado? 14 15 Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possuem poltica de utilizao dos equipamentos? x x x Possui antivirus instalado? x x Possui USB habilitado? Possui CDROM habilitado? x x x Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? x x
259
# 1 2 3 4 5 6 7 8 9 10 11 12 13
Segurana Lgica - Notebook Possui poltica de senha configurada? Possui alguma poltica de senha?
Sim x x x x x x x x x x x x x
No
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Vazamento de Informaes Vazamento de Informaes Interceptao de dados no autorizada Ao de cdigo malicioso Vazamento de Informaes Acesso no autorizado Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao Indisponibilidade de servios ou informaes
Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths Procedimentos para atualizao de Paths Projetos de correo de estrutura lgica
Possui poltica de contas? Possui poltica de log configurada? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela? Possui USB desabilitado? Possui CDROM desabilitado? Possui controles para que a configurao e instalao no seja padro? Possui modem desinstalado? Possui criptografia de disco interno? Possui senha de BIOS configurada?
Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Politicas de segurana da informao (Normas Gerais para Tcnicos)
14 Os equipamentos possuem manuteno? 15 16 Possui IDS/IPS instalado? 17 18 19 20 Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possuem poltica de utilizao dos equipamentos? Possui antivirus instalado?
x x x x
Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica
x x
21
# 1 2 3 4 5 6
Segurana Lgica - Switch Possui alguma poltica de senha? Possui alguma poltica de senha?
Sim x x
No
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado
Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths Procedimentos para atualizao de Paths
Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana?
x x
x x
260
Segurana Lgica - Switch 7 8 9 Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Possui controle para que no seja utilizado usurios padres?
Sim x x
No
Ameaa Interceptao de dados no autorizada Acesso lgico no autorizado Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes
Controle Implementado
12 Os equipamentos possuem manuteno? 13 14 Existem monitoraes de segurana? 15 16 Existem monitoraes de performance? 17 Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Possui o servio HTTP para administrao desabilitado? x x Existem coleta e controle dos logs? x x Existem locais adequados para armazenar os switches? x x
Acesso fsico no autorizado Indisponibilidade de servios ou informaes Perda de rastreabilidade Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes
x x
18 19 20
Acesso fsico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso lgico no autorizado Acesso lgico no autorizado
Possui o servio SNMPdesabilitado? 21 Possui o servio DHCP habilitado? 22 Possui o servio DNS desabilitado? 23 24 Possui suporte tecnologia 802.1x? A funcionalidade 802.1x est desabilitada?
x x x
Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica
# 1 2 3 4 5 6 7
Segurana Lgica - Roteador Possui alguma poltica de senha? Possui alguma poltica de senha?
Sim x x x x
No
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada
Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths Procedimentos para atualizao de Paths
Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro?
x x x
261
Segurana Lgica - Roteador 8 9 Possui usurios padres? 10 11 12 Possui fonte redundante? Possui porta console desabilitada para administrao? Possui porta auxiliar desabilitado? Possui restrio de acesso console de administrao?
Sim x
No
x x x
Ameaa Acesso lgico no autorizado Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Acesso fsico no autorizado Indisponibilidade de servios ou informaes Acesso fsico no autorizado
Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica
Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Politicas de segurana da informao (Normas Gerais para Tcnicos) Politicas de segurana da informao (Normas Gerais para Tcnicos)
x Indisponibilidade de servios ou informaes Perda de rastreabilidade Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes x x Acesso fsico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes
15 Existem monitoraes de segurana? 16 17 Existem monitoraes de performance? 18 Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Possui o servio HTTP para administrao desabilitado? x Existem coleta e controle dos logs? x x
19 20 21
Possui o servio SNMP desabilitado? 22 Possui o servio DHCP desabilitado? 23 Possui o servio DNS desabilitado? 24 Existe equipamento de backup?
# 1 2 3 4 5 6 7
Segurana Lgica - Servidor de Impresso Possui alguma poltica de senha? Possui alguma poltica de senha?
Sim x x x x
No
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada
Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths Procedimentos para atualizao de Paths Projetos de correo de estrutura lgica
Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro?
x x x
262
# 8 9
Sim x
No
Os equipamentos possuem manuteno? 10 11 Existem monitoraes de segurana? 12 13 Existem monitoraes de performance? 14 Possui o servio SNMP desabilitado? Existem coleta e controle dos logs? Existem locais adequados para armazenamento das impressoras?
x x
x x
Ameaa Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes Perda de rastreabilidade Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes
# 1 2 3 4 5
Segurana Lgica - Smartphone Possui poltica de senha? Possui alguma poltica de senha?
Sim x x x x
No
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Interceptao de dados no autorizada Interceptao de dados no autorizada Vazamento de Informaes Acesso lgico no autorizado Indisponibilidade de servios ou informaes Perda de Rastreabilidade Indisponibilidade de servios ou informaes Interceptao de dados no autorizada
Controle Implementado Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Procedimentos para atualizao de Paths
Possui poltica de atualizao de patches? 6 7 8 9 Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui criptografia dados? Possui senha de acesso ao dispositivo?
x x x x x
10 11 12 Possui o servio Bluetooth desabilitado? 13 Possui o servio Infrared desabilitado? x x Os equipamentos possuem manuteno? Os equipamentos possuem controle de patrimnio? x x
263
# 1 2
Segurana Lgica - Firewall Existe controle de acesso onde est instalado o firewall?
Sim x
No
Ameaa Acesso fsico no autorizado Indisponibilidade de servios ou informaes Perda de rastreabilidade Perda de rastreabilidade Perda de rastreabilidade Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Erros ou omisses Ao de cdigo malicioso Ao de cdigo malicioso
Controle Implementado Projetos de correo de estrutura fisica Procedimentos para atualizao de Paths Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Politicas de segurana da informao (Normas Gerais para Tcnicos)
Os "updates" e "patches" esto atualizados? 3 4 5 A auditoria do firewall est habilitada? Os logs do equipamento so gravados em um servidor de log? realizado o acompanhamento dos logs do firewall para identificar tentativas de ataques? O firewall recebe uma manuteno peridica?
x x x
7 Existe firewall reserva em caso de quebra ? 8 9 10 11 12 13 14 15 16 Existe documentao de como o firewall est configurado? O firewall possui antivirus instalado? O antivirus atualizado regularmente? Existe uma poltica de verificao peridica das polticas configuradas? feito backup das configuraes do equipamento cada vez que so feitas alteraes no mesmo? Existem IDS's na rede antes ou depois do firewall? O acesso ao firewall feito atravs do protocolo SSH? A senha de acesso ao firewall possue no minimo 8 caracteres? A senha trocada periodicamente? O acesso ao equipamento de acesso exclusivo aos administradores da rede? (Nenhum estagirio, tcnico ou desenvolvedor tem acesso) Portas no utilizadas so bloqueadas por default? Protocolos no utilizados so bloqueados por default? Existe configurao de "logout" automtico? As regras de acesso so as mais especficas possveis? Existe logs de sucesso para as regras de acesso? Existe logs de falha para as regras de acesso? Possui mecanismo de proteo contra IP spoofing? Possui mecansmo de proteo contra ataques do tipo ICMP? Possui mecanismo de proteo contra ataques do tipo Teardrop? x x x x x x x x x
x x Acesso lgico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado Projetos de correo de estrutura lgica
17
x x x x x x x
18 19 20 21 22 23 24 25
Acesso fsico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado Perda de rastreabilidade Perda de rastreabilidade Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes
Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica Projetos de correo de estrutura lgica
26
264
# 28
Segurana Lgica - Firewall O equipamento possui contrato de manuteno? Existe acompanhamento peridico da utilizao de recursos (capacidade) do equipamento?
Sim
No
Controle Implementado
29
Clculo de Risco
Utilizando-se da mesma metodologia da anlise de riscos inicial, foi calculado novamente o risco encontrado no cenrio do ambiente atual.
# 1 2 3 4 5 6 7 8 9
Segurana Administrativa - Usurios Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Os usurios tem conhecimento sobre a utilizao dos equipamentos e sistemas de informtica? H controles para instalao de software pirata? H monitoramento na rede para identificar acessos no permitidos? Os recursos anti-malware esto configurados de modo que os usurios no possam desabilita-los? Os incidentes de segurana so comunicados pelos usurios? Utilizam criptografia em dispositivos removiveis?
Sim x x x x x x
No
Ameaa Vazamento de Informaes Vazamento de Informaes Acesso lgico no autorizado Vazamento de Informaes Violao de propriedade intelectual Vazamento de Informaes
VA 4 4 4 4 4 4 4 4 4
PA 5 5 5 5 5 5 5 4 5
PV 5 5 5 5 5 5 3 4 4
S 5 5 5 5 5 5 4 5 4
Risco
x x x
Total Segurana Administrativa - Diretores e Gerentes Possuem conhecimentos da poltica de segurana aplicada no ambiente? Participam de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utilizam criptografia em dispositivos removiveis? x x x
# 1 2 3 4 5
Sim x
No
Ameaa Vazamento de informaes Vazamento de informaes Acesso lgico no autorizado Vazamento de informaes Vazamento de informaes
VA 5 5 5 5 5
PA 5 5 5 5 5
PV 5 5 5 5 5
S 5 5 5 5 5
Risco
625
Total
625
265
# 1
2 3 4 5
Segurana Administrativa - Presidente O presidente participa de treinamentos de segurana? H campanhas de conscientizao aos usurios sobre compartilhamento de senhas? Utilizam senha forte? Utiliza criptografia em dispositivos removiveis? A empresa possui uma poltica de continuidade de negcios? Na empresa existe um gerenciamento institucionalizado para garantir conformidade com as leis? Ajuda na divulgao da segurana da informao? A segurana da informao considerada como um pr-requisito antes ou durante a estratgia de negcio e planejamento das atividades? A segurana da informao faz parte dos ciclos do negcio? Existe comite de segurana? Participa do comite de segurana?
Sim
No x
Ameaa Vazamento de informaes Acesso lgico no autorizado Vazamento de informaes Vazamento de informaes Indisponibilidade de servios ou informaes Multas, indenizaes ou sanes Vazamento de informaes
VA 5
PA 5
PV 4
S 4
Risco 400
x x x x
5 5 5 5
5 5 5 5
4 4 5 5
5 5 4 5 500
6 7
x x
5 5
3 5
5 5
5 5 625
8 9 10 11
x x x x
Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha em meios de comunicao
5 5 5 5
5 5 5 4 Total
4 3 4 4
4 3 4 5
# 1 2 3
Segurana Fsica - Prdio Possui estabilizadores de tenso? Possui estabilizadores de tenso? Possui geradores de energia? Possui sistema para identificao de funcionrios e visitantes para acesso? Possui porteiro? Possui vigilncia? Possui extintores de incndio e sprinklers? Possui plano de abandono de rea em caso de desastres? Possui CFTV? Possui controle de acesso nos andares? Possui escada de emergncia? Possui portas e janelas antifogo?
Sim x x x
No
Ameaa Indisponibilidade de servios ou informaes Dano a equipamentos ou instalaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Acesso fsico no autorizado Acesso fsico no autorizado Incndio Dano integridade fsica de pessoas Acesso fsico no autorizado Acesso fsico no autorizado Dano integridade fsica de pessoas Dano integridade fsica de pessoas
VA 4 4 4
PA 5 4 5
PV 1 1 2
S 5 5 5
Risco
5 6 7 8 9 10 11 12
x x x x x x x x
4 4 4 4 4 4 4 4 Total
5 5 5 5 5 5 5 5
2 2 2 2
5 5 5 5 4
5 2 2
5 4 5 0
266
# 1 2
Segurana Fsica - Elevadores Possui cmera de vigilncia? Possui manuteno peridica? Possui telefone para comunicao com o porteiro em caso de emergncia? Possui controle de temperatura? Possui iluminao de emergncia? Possui geradores e estabilizador de tenso para caso de falta de energia?
Sim x x
No
VA 3 3
PA 5 5
PV 5 3
S 5 5
Risco
Dano integridade fsica de pessoas Dano a equipamentos ou instalaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes
135
4 5
x x
3 3
4 5
4 2
4 3
192
3 Total
150 477
# 1
Sim
No x
VA 3
PA 5
PV 1
S 5
Risco 75
3 Total
5 75
# 1 2 3 4
Segurana Fsica - Sala de Reunio Possui controle de acesso? Possui controle de utilizao? Possui acstica? Possui algum controle para a identificao dos participantes?
Sim x
No
Ameaa Acesso fsico no autorizado Acesso fsico no autorizado Vazamento de informaes Acesso fsico no autorizado
VA 3 3 3 3 Total
PA 5 5 5 5
PV 5 5 4 5
S 5 5 5 5
Risco
x x x
375
375
# 1 2 3 4
Segurana Fsica - Sala de Servidores Possui controle de acesso? Possui controle de incndio apropriado? Possui controle de incndio apropriado? Possui controle de temperatura?
Sim x x x x
No
Ameaa Acesso fsico no autorizado Incndio Dano a integridade fsica de pessoas Extremo de temperatura ou umidade Extremo de temperatura ou umidade Dano a equipamentos ou instalaes Acesso fsico no autorizado Perda de rastreabilidade Incndio
VA 5 5 5 5
PA 5 5 4 3
PV 5 5 5 5
S 5 5 5 4
Risco
5 6 7 8 9
Existe controle de umidade das sala? Existe controle de variaes de voltagem na rede eltrica? Possui monitorao CFTV? As filmagens so retidas por mais de 30 dias? Existe sistema de deteco de fumaa?
x x x x x
5 5 5 5 5
3 4 5 3 5
4 5 4 4 4
4 5 4 4 5 400 240
267
# 10
Segurana Fsica - Sala de Servidores Existe sistema para suprir o fornecimento de energia em caso de falhas por 48 horas? O cabos de dados e eltricos esto sob o piso falso? Existes canaletas separadas para cabos de dados e eltricos? Os racks possuem portas com fechaduras? Existe controle de quem solicita e utiliza as chaves dos racks? Existe controle de quem autorizado a pegar chaves dos racks? Existe controle de quem autorizado a pegar chaves dos racks? A chave de um rack pode abrir um outro rack? O cabeamento de dados e de voz est estruturado e identificado? O cabeamento de energia est estruturado e identificado? Existe controle para medir a utilizao de eltrica por rack? Existe procedimento de limpeza segura das sala? Existe processo para detectar racks que no foram fechados devidamente? Existem rotas de fugas em casos de incidentes? Existe sistema para emisso de aviso sonoro em caso de incidentes?
Sim x
No
Ameaa Indisponibilidade de servios ou informaes Dano a equipamentos ou instalaes Dano a equipamentos ou instalaes Acesso lgico no autorizado
VA 5
PA 5
PV 4
S 4
Risco
11 12 13 14 15 16 17 18 19 20 21
x x x x x x x x x x x
5 5 5 5 5 5 5 5 5 5 5
4 4 5 5 5 3 5 3 3 3 4
4 4 5 4 4 4 4 4 4 3 4
Acesso fsico no autorizado Acesso fsico no autorizado Perda de rastreabilidade Furto ou roubo de ativos Perda de rastreabilidade Perda de rastreabilidade Queda de performance ou falta de capacidade Dano a equipamentos ou instalaes Furto ou roubo de ativos Dano integridade fsica de pessoas Dano integridade fsica de pessoas
22
23
24
5 Total
5 2000
268
# 1 2 3 4 5 6 7 8 9
Segurana Lgica - Servidor de Email Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela?
Sim x x x
No
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado
VA 5 5 5 5 5 5 5 5 5
PA 5 4 5 5 5 5 4 3 4
PV 3 4 2 3 3 3 3 4 3
S 3 2 3 4 4 4 5 3 3
Risco
x x
Acesso lgico no autorizado Indisponibilidade de servios ou informaes Interceptao de dados no autorizada Ao de cdigo malicioso
10
Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes x x Acesso fsico no autorizado Vazamento de Informao Perda de rastreabilidade Indisponibilidade de servios ou informaes Queda de performance ou falta de capacidade x x x Indisponibilidade de servios ou informaes Ao de cdigo malicioso Vazamento de Informao Acesso lgico no autorizado Vazamento de Informao
11 12 13
Possui poltica para utilizao e atualizao das mdias de backup? Possui fonte redundante? Possui fonte redundante?
x x x
5 5 5
5 5 5
3 3 3
4 4 4
14
15
16
17
Existe local adequado para armazenamento das mdias de backup? Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Existem monitoraes de performance? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall instalado? Possui Firewall instalado?
18 19 20 21 22 23 24 25 26 27
5 5 5 5 5 5 5 5 5 5
5 5 3 5 3 5 3 5 5 5
3 4 3 3 3 3 4 5 4 4
3 3 4 4 3 3 4 3 3 5
225 300
x x x
x x
269
# 28 29 30 31
Segurana Lgica - Servidor de Email Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Existe procedimento para contingncia documentado? O recurso de relay est desabilitado?
Sim x
No
Ameaa Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Vazamento de Informao Indisponibilidade de servios ou informaes
VA 5 5 5 5
PA 5 5 5 5
PV 4 3 2 3
S 3 4 3 3
Risco
x x x
300
32
33
Possui limite para o tamanho de arquivo a ser enviado? Possui limite para o tamanho de arquivo a ser recebido?
Vazamento de Informao
34
Ao de cdigo malicioso
3 1665 S 4 3 4 3 3 4 5 3 4 4 Risco
Total # 1 2 3 4 5 6 7 8 9 10 Segurana Lgica - Servidor de Arquivos Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias de backup? Possui fonte redundante? Possui fonte redundante? Sim x x x x x x x x x x No Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Ao de cdigo malicioso Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes x x Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes VA 4 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 5 4 3 4 5 PV 3 4 3 3 3 3 3 4 2 3
11 12 13
4 4 4
5 5 5
3 4 3
4 3 4 240 240
14
180
15
16
Existem locais adequados para os servidores? Existe local adequado para armazenamento das mdias de backup?
17
270
# 18 19 20 21 22 23 24 25 26 27 28 29 30 31
Segurana Lgica - Servidor de Arquivos Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possui limite de espao por usurio configurado?
Sim
No x x
Ameaa Acesso fsico no autorizado Vazamento de Informao Perda de rastreabilidade Indisponibilidade de servios ou informaes Queda de performance ou falta de capacidade Ao de cdigo malicioso Indisponibilidade de servios ou informaes Ao de cdigo malicioso Vazamento de Informao Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes
VA 4 4 4 4 4 4 4 4 4 4 4 4 4 4
PA 5 5 3 5 3 3 5 3 5 5 5 5 5 5
PV 3 4 3 3 3 3 4 4 5 4 4 4 3 2
S 4 4 3 3 3 5 4 4 4 4 4 4 3 3
x x x x x x x x x x x x
Total Segurana Lgica - Servidor de Servio de Diretrio Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante? x x x
# 1 2 3 4 5 6 7 8
Sim x x
No
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes
VA 5 5 5 5 5 5 5 5
PA 5 4 5 5 5 5 4 5
PV 3 4 3 3 4 3 3 4
S 4 3 4 3 4 4 3 4
Risco
x x x x
x x
9 10 11
5 5 4
5 5 5
3 4 3
4 3 4
12
13
271
# 14
Segurana Lgica - Servidor de Servio de Diretrio Existem locais adequados para os servidores?
Sim x
No
VA 5
PA 5
PV 4
S 3
Risco
15
Existe local adequado para armazenamento das mdias? x Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? x x x x x x x x x x x x
16 17 18 19 20 21 22 23 24 25 26 27
Acesso fsico no autorizado Vazamento de Informao Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Ao de cdigo malicioso Vazamento de Informao Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao
5 5 5 5 5 5 5 5 5 5 5 5
5 5 3 5 3 5 3 5 5 5 5 5 Total
3 4 3 4 3 4 4 5 3 4 4 3
3 3 3 4 4 3 4 4 4 5 4 4
300 2400
# 1 2 3 4 5 6 7 8 9
Segurana Lgica - Servidor de DNS Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante?
Sim x x x x x x x
No
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes
VA 4 4 4 4 4 4 4 4 4
PA 5 4 5 5 5 5 4 4 5
PV 3 4 2 2 4 3 3 4 5
S 3 4 3 3 5 4 4 3 3
Risco
x x
10 11 12
4 4 4
5 5 5
3 3 3
3 3 4
x x x
13
272
# 14
Sim x
No
Ameaa Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes
VA 4
PA 5
PV 3
S 4
Risco
15
16
Existe local adequado para armazenamento das mdias? x Existem controles de acesso para as mdias de backup? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? O servio DNS possui transferncia de zona restrita? O servio DNS possui recursividade habilitada? x x x x x x x x x x x x x x
17 18 19 20 21 22 23 24 25 26 27 28 29 30
Acesso fsico no autorizado Vazamento de Informao Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Ao de cdigo malicioso Vazamento de Informao Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Vazamento de informao Indisponibilidade de servios ou informaes
4 4 4 4 4 4 4 4 4 4 4 4 4 4
5 5 3 5 3 5 3 5 5 5 5 5 5 5 Total
3 3 3 3 3 4 3 4 4 4 4 3 4 3
2 4 4 3 4 5 4 4 5 5 4 4 4 4
240
1788 S 4 4 4 3 4 4 4 3 4 Risco
# 1 2 3 4 5 6 7 8 9
Segurana Lgica - Servidor de Banco de Dados Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante?
Sim x x x x x x x x x
No
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes
VA 5 5 5 5 5 5 5 5 5
PA 5 4 5 5 5 5 4 4 5
PV 3 4 3 3 2 3 3 3 4
10 11
x x
5 5
5 5
3 2
3 3 150
Falha de Energia
273
# 12
Sim
No x
Ameaa Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes
VA 4
PA 5
PV 3
S 4
Risco 240
13
225
14
15
16
Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Existem mais que 1 usurio para administratar o banco de dados? O usurio do servio de Banco de Dados possui poltica de senha?
17 18 19 20 21 22 23 24 25 26 27
x x x x x x x x x x x
Acesso fsico no autorizado Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao Acesso lgico no autorizado Acesso lgico no autorizado
5 5 5 5 5 5 5 5 5 5 5
5 3 5 3 5 5 5 5 5 5 5 Total
3 3 3 3 3 3 4 4 4 3 3
3 4 3 4 2 4 5 4 4 4 4
150
400
1795 S 4 4 3 3 4 4 4 3 2 Risco
# 1 2 3 4 5 6 7 8 9
Segurana Lgica - Servidor Web Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? x x x x x x x x x
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes x Falha de Energia
VA 4 4 4 4 4 4 4 4 4
PA 5 4 5 5 5 5 4 4 5
PV 4 5 5 5 5 3 3 2 3
10 11
4 4
5 5
3 3
3 3 180
274
# 12
Ameaa Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado Indisponibilidade de servios ou informaes x x x x x Acesso fsico no autorizado Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes
VA 4
PA 5
PV 3
S 4
Risco 240
13
180
14
15
16
Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado?
17 18 19 20 21
4 4 4 4 4
5 3 5 3 5
3 2 3 3 5
3 2 3 3 3
180 48 180
300
22
23
Vazamento de Informao
24
Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? O servio IIS possui recurso Front Page extensions desabilitado? O servio IIS possui banner desabilitado? O servio IIS possui recurso webdav desabilitado?
Indisponibilidade de servios ou informaes Vazamento de Informao Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao
25 26 27 28
x x x x
4 4 4 4
5 5 5 5 Total
3 3 3 4
4 4 3 3 1308 S 4 4 4 4 5 4 4 3 3 Risco
# 1 2 3 4 5 6 7 8 9
Segurana Lgica - Servidor ERP Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup?
Sim x x x x x x x x x
No
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes
VA 5 5 5 5 5 5 5 5 5
PA 5 4 5 5 5 5 4 4 5
PV 4 4 4 4 4 3 3 4 4
275
# 10 11 12
Segurana Lgica - Servidor ERP Possui poltica para utilizao e atualizao das mdias? Possui fonte redundante? Possui fonte redundante?
Sim x
No
VA 5 5 5
PA 5 5 5
PV 4 3 4
S 4 4 4
Risco
x x
Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes
300 400
13
225
14
15
16
Existe local adequado para armazenamento das mdias? x Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? x x x x x x x x x
17 18 19 20 21 22 23 24 25
Acesso fsico no autorizado Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes Vazamento de Informao
5 5 5 5 5 5 5 5 5
5 3 5 3 5 5 5 5 5 Total
4 4 3 4 4 4 4 4 3
3 3 4 4 4 4 5 4 3
400
2105 S 3 4 3 3 4 4 5 3 3 Risco
# 1 2 3 4 5 6 7 8 9
Segurana Lgica - Servidor Citrix Possui alguma poltica de senha? Possui alguma poltica de senha? Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui poltica de backup? Possui poltica para utilizao e atualizao das mdias? x x x
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes
VA 5 5 5 5 5 5 5 5 5
PA 5 4 5 5 5 5 4 4 5
PV 3 4 3 3 4 3 3 2 3
x x x x x
x x
10
276
# 11 12 13
Segurana Lgica - Servidor Citrix Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? x x
Ameaa Indisponibilidade de servios ou informaes Falha de Energia Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso fsico no autorizado
VA 5 5 5
PA 5 5 5
PV 3 3 3
S 3 4 3
x x
14
15
16
Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall?
Indisponibilidade de servios ou informaes Acesso fsico no autorizado Perda de rastreabilidade Indisponibilidade de servios ou informaes Ao de cdigo malicioso x Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes x Vazamento de Informao
17 18 19 20 21 22 23 24 25
x x x x
5 5 5 5 5 5 5 5 5
5 3 5 3 5 5 5 5 5 Total
3 4 3 4 3 4 4 4 4
3 4 5 5 3 4 5 4 4
225 240
225
x x x
400 1840
# 1 2 3 4 5 6 7 8 9 10 11 12
Segurana Lgica - Estao de Trabalho Possui poltica de senha? Possui alguma poltica de senha?
Sim x x x x
No
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Indisponibilidade de servios ou informaes Interceptao de dados no autorizada Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Vazamento de Informaes Vazamento de Informaes Indisponibilidade de servios ou informaes
VA 4 4 4 4 4 4 4 4 4 4 4 4
PA 5 4 5 5 4 4 5 5 5 5 3 5
PV 3 4 3 4 3 2 4 4 4 3 4 3
S 4 4 4 5 4 4 3 3 3 3 5 4
Risco
Possui poltica de log? Possui poltica de atualizao de patches? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui modem? Possui USB habilitado? Possui CDROM habilitado?
x x
x x x
x x x x
240
277
# 14 15
Segurana Lgica - Estao de Trabalho Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall? Possuem poltica de utilizao dos equipamentos?
Sim x
No
VA 4 4
PA 5 5
PV 4 3
S 4 4
Risco
240 480
Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 Segurana Lgica - Notebook Possui poltica de senha configurada? Possui alguma poltica de senha? Sim x x x x x x x x x x x x x No Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Vazamento de Informaes Vazamento de Informaes Interceptao de dados no autorizada Ao de cdigo malicioso Vazamento de Informaes Acesso no autorizado Indisponibilidade de servios ou informaes Ao de cdigo malicioso x x x x Indisponibilidade de servios ou informaes Acesso lgico no autorizado Vazamento de Informao Indisponibilidade de servios ou informaes x x Possuem poltica de utilizao dos equipamentos? Total # 1 2 3 4 Segurana Lgica - Switch Possui alguma poltica de senha? Possui alguma poltica de senha? Sim x x No Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado VA 4 4 4 4 PA 5 4 5 5 PV 4 4 4 3 S 4 4 3 3 Vazamento de Informao Indisponibilidade de servios ou informaes VA 4 4 4 4 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 5 4 5 5 4 3 5 5 PV 3 4 3 3 4 3 3 4 4 3 3 4 4 S 4 4 3 3 5 4 4 4 4 5 2 3 3
Risco
Possui poltica de contas? Possui poltica de log configurada? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana?
Possui poltica para bloqueio de tela? Possui USB desabilitado? Possui CDROM desabilitado? Possui controles para que a configurao e instalao no seja padro? Possui modem desinstalado? Possui criptografia de disco interno? Possui senha de BIOS configurada?
14 15 16 17 18 19 20 Os equipamentos possuem manuteno? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem polticas de atualizaes para o antivirus/IDS/IPS/Firewall?
x x
4 4 4 4 4 4 4
5 3 5 5 5 5 5
4 3 4 4 4 4 4
3 4 4 4 5 4 4 320 320
21
4 640 Risco
x x
278
# 5 6 7 8 9 10 11
Segurana Lgica - Switch Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Possui controle para que no seja utilizado usurios padres? Possui fonte redundante? Possui porta console desabilitada para administrao?
Sim x x
No
Ameaa Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Indisponibilidade de servios ou informaes
VA 4 4 4 4 4 4 4
PA 5 5 4 5 5 5 5
PV 4 3 3 4 3 4 3
S 4 4 5 3 5 4 3
Risco
x x x x x
320
12 Os equipamentos possuem manuteno? 13 14 15 16 Existem locais adequados para armazenar os switches? Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Possui o servio HTTP para administrao desabilitado? Possui o servio SNMPdesabilitado? Possui o servio DHCP habilitado? Possui o servio DNS desabilitado? Possui suporte tecnologia 802.1x? A funcionalidade 802.1x est desabilitada? x x x x x x x x x x x x
Acesso fsico no autorizado Indisponibilidade de servios ou informaes Perda de rastreabilidade Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes
4 4 4 4
5 5 3 5
3 4 3 4
4 5 5 4
240 400
320
17
x x Acesso fsico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Acesso lgico no autorizado Acesso lgico no autorizado 4 4 4 4 4 4 4 5 5 5 5 5 5 5 Total 4 3 4 4 4 3 4 4 4 4 4 4 4 3 2240 S 4 4 4 4 5 4 4 Risco 320 320 320
18 19 20 21 22 23 24
# 1 2 3 4 5 6 7
Segurana Lgica - Roteador Possui alguma poltica de senha? Possui alguma poltica de senha?
Sim x x x x x x x
No
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada
VA 5 5 5 5 5 5 5
PA 5 4 5 5 5 5 4
PV 3 4 3 3 4 3 4
Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro?
279
# 8 9 10 11 12
Segurana Lgica - Roteador Possui restrio de acesso console de administrao? Possui usurios padres? Possui fonte redundante? Possui porta console desabilitada para administrao?
Sim x x
No
VA 5 5 5 5 5
PA 5 5 5 5 5
PV 3 4 3 4 3
S 4 4 3 3 4
Risco
x x x
Indisponibilidade de servios ou informaes Acesso fsico no autorizado Acesso fsico no autorizado Indisponibilidade de servios ou informaes
225
13 O equipamento possui manuteno? 14 Existem locais adequados para armazenar o roteador? 15 16 17 Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Existe local adequado para armazenamento das mdias? Existem controles de acesso para as mdias de backup? Possui o servio HTTP para administrao desabilitado? Possui o servio SNMP desabilitado? Possui o servio DHCP desabilitado? Possui o servio DNS desabilitado? Existe equipamento de backup? x x x x x x x x x x
Acesso fsico no autorizado Indisponibilidade de servios ou informaes Perda de rastreabilidade Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes x x Acesso fsico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes
5 5 5
5 3 5
4 4 4
4 4 3
400
300
18
19 20 21 22 23 24
5 5 5 5 5 5
5 5 5 5 5 5 Total
4 3 4 4 3 2
4 3 4 3 4 4
400
300 300
1925 S 4 4 4 4 5 4 3 4 4 Risco
# 1 2 3 4 5 6 7 8 9
Segurana Lgica - Servidor de Impresso Possui alguma poltica de senha? Possui alguma poltica de senha?
Sim x x x x x x x x x
No
Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Indisponibilidade de servios ou informaes
VA 3 3 3 3 3 3 3 3 3
PA 5 4 5 5 5 5 4 5 5
PV 3 4 3 4 4 3 2 3 3
Possui poltica de contas? Possui alguma poltica de log? Possui poltica de atualizao de segurana? Possui poltica de atualizao de segurana? Possui controles para que a configurao e instalao no seja padro? Possui restrio de acesso console de administrao? Os equipamentos possuem manuteno?
280
# 10 11 12 13 14
Segurana Lgica - Servidor de Impresso Existem locais adequados para armazenamento das impressoras? Existem monitoraes de segurana? Existem coleta e controle dos logs? Existem monitoraes de performance? Possui o servio SNMP desabilitado?
Sim x
No
Ameaa Acesso fsico no autorizado Indisponibilidade de servios ou informaes Perda de rastreabilidade Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes
VA 3 3 3 3 3
PA 5 5 3 5 5
PV 4 4 4 4 4
S 2 4 4 4 4
Risco
x x x x
240
240
Total # 1 2 3 4 5 6 7 8 9 Segurana Lgica - Smartphone Possui poltica de senha? Possui alguma poltica de senha? Sim x x x x x x x x x No Ameaa Acesso lgico no autorizado Interceptao de dados no autorizada Acesso lgico no autorizado Acesso lgico no autorizado Indisponibilidade de servios ou informaes Interceptao de dados no autorizada Interceptao de dados no autorizada Vazamento de Informaes Acesso lgico no autorizado Indisponibilidade de servios ou informaes Os equipamentos possuem manuteno? Os equipamentos possuem controle de patrimnio? Possui o servio Bluetooth desabilitado? Possui o servio Infrared desabilitado? x x x x Perda de Rastreabilidade Indisponibilidade de servios ou informaes Interceptao de dados no autorizada VA 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 4 4 5 5 PV 3 4 3 2 4 5 2 3 3 S 3 4 3 4 5 3 3 4 4
480 Risco
Possui poltica de contas? Possui poltica de log? Possui poltica de atualizao de patches? Possui controles para que a configurao e instalao no seja padro? Possui poltica para bloqueio de tela? Possui criptografia dados? Possui senha de acesso ao dispositivo?
240
10 11 12 13
4 4 4 4
5 3 5 4 Total
3 4 4 4
4 4 5 5 240 S 3 4 4 4 5 Risco
# 1 2 3 4 5
Segurana Lgica - Firewall Existe controle de acesso onde est instalado o firewall? Os "updates" e "patches" esto atualizados? A auditoria do firewall est habilitada? Os logs do equipamento so gravados em um servidor de log? realizado o acompanhamento dos logs do firewall para identificar tentativas de ataques?
Sim x x x x x
No
Ameaa Acesso fsico no autorizado Indisponibilidade de servios ou informaes Perda de rastreabilidade Perda de rastreabilidade Perda de rastreabilidade
VA 5 5 5 5 5
PA 5 5 3 3 3
PV 3 3 3 4 3
6 O firewall recebe uma manuteno peridica? 7 8 Existe firewall reserva em caso de quebra ? Existe documentao de como o firewall est configurado? x x x
5 5
5 3
3 3
4 3
300
281
# 9 10 11 12 13 14 15 16
Segurana Lgica - Firewall O firewall possui antivirus instalado? O antivirus atualizado regularmente? Existe uma poltica de verificao peridica das polticas configuradas? feito backup das configuraes do equipamento cada vez que so feitas alteraes no mesmo? Existem IDS's na rede antes ou depois do firewall? O acesso ao firewall feito atravs do protocolo SSH? A senha de acesso ao firewall possue no minimo 8 caracteres? A senha trocada periodicamente? O acesso ao equipamento de acesso exclusivo aos administradores da rede? (Nenhum estagirio, tcnico ou desenvolvedor tem acesso) Portas no utilizadas so bloqueadas por default? Protocolos no utilizados so bloqueados por default? Existe configurao de "logout" automtico? As regras de acesso so as mais especficas possveis? Existe logs de sucesso para as regras de acesso? Existe logs de falha para as regras de acesso? Possui mecanismo de proteo contra IP spoofing? Possui mecansmo de proteo contra ataques do tipo ICMP? Possui mecanismo de proteo contra ataques do tipo Teardrop? O equipamento possui fontes redundantes? O equipamento possui contrato de manuteno? Existe acompanhamento peridico da utilizao de recursos (capacidade) do equipamento?
Sim x x
No
Ameaa Ao de cdigo malicioso Ao de cdigo malicioso Erros ou omisses Erros ou omisses Acesso lgico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado Acesso fsico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado Acesso lgico no autorizado
VA 5 5 5 5 5 5 5 5
PA 3 3 3 3 5 5 5 5
PV 3 4 3 3 3 3 3 3
S 3 3 4 4 4 3 3 3
Risco
x x x x x x
17
300
x x x x x x x x x x x x
18 19 20 21 22 23 24 25 26 27 28
5 5 5 5 5 5 5 5 5 5 5
5 5 5 5 3 3 4 5 5 5 5
4 3 4 3 2 1 4 5 3 3 3
Acesso lgico no autorizado Perda de rastreabilidade Perda de rastreabilidade Interceptao de dados no autorizada Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Indisponibilidade de servios ou informaes Queda de performance ou falta de capacidade
29
3 Total
3 1890
282
Os Grficos Finais
As informaes abaixo apresentam o nvel de risco total encontrados no ambiente por ameaa e o percentual relativo em termos qualitativos e quantitativos.
Alto Mdio Baixo 2 32 70 1.79% 28.57% 62.50% 1,000 11,710 16,107 3.27% 38.26% 52.62%
Qualitativo QTDE
283
Muito Baixo 5%
Baixo 62%
Muito Alto
Alto
Mdio
Baixo
Muito Baixo
Figura 18 - Nvel de risco final (Quantitativo) 4% dos controles no implementados possuem nveis de risco Alto e Muito Alto. 29% dos controles no implementados possuem nveis de risco Mdio. 67% dos controles no implementados possuem nveis de risco Baixo e Muito Baixo.
284
Alto 3%
Baixo 53%
Mdio 38%
Muito Alto
Alto
Mdio
Baixo
Muito Baixo
Figura 19 - Nvel de risco final (Qualitativo) 7% dos riscos encontrados so referentes aos controles no implementados que possuem nveis de risco Alto e Muito Alto. 38% dos riscos encontrados so referentes aos controles no implementados que possuem nveis de risco Mdio. 55% dos riscos encontrados so referentes aos controles no implementados que possuem nveis de risco Baixo e Muito Baixo.
285
1000
2000
3000
4000
5000
6000
7000
8000
Risco Inicial
Risco Final
286
Ativo Ar Condicionado Elevadores Prdio Sala de Reunio Smartphone Estao de Trabalho Servidor de Impresso Diretores e Gerentes Usurios Notebook Presidente Sala de Servidores Servidor Web Switch Firewall Roteador Ser. de Banco de Dados Servidor de Arquivos Servidor de DNS Ser. de Servio de Diretrio Servidor Citrix Servidor de Email Servidor ERP
Risco Inicial 75 852 1080 1425 1752 2064 2076 3125 3380 4408 4575 5015 5064 5116 5570 5685 5870 5884 5996 6070 6105 6240 6990
Risco Final 75 477 0 375 240 480 480 625 880 640 2950 2000 1308 2240 1890 1925 1795 2432 1788 2400 1840 1665 2105
De acordo com os resultados acima, as implementaes de segurana realizadas pelo Security Officer demonstrou que possvel minimizar os riscos das ameaas existentes no ambiente.
Para a incluso da segurana da informao em todos os processos e negcios pertinentes empresa, criada uma metodologia para o Planejamento corporativo e modelo de gesto.
287
CAPITULO VIII
No capitulo em epgrafe foi apresentado metodologias de apoio e referncias normativas que sero utilizadas como modelo de gesto adotado pela Candido, Carvalho e Vieira Associados.
9. MODELO DE GESTO
Existem disponveis no mercado diversas metodologias de apoio e referncias normativas que podem ser utilizadas para que a organizao no inicie o planejamento de seus processos sem embasamento ou utilizando apenas o seu prprio conhecimento.
Para o planejamento gerencial necessrio que uma estrutura de gerenciamento seja estabelecida para manter e controlar a segurana da informao dentro da organizao.
Uma vez que as ameaas so mitigadas, o ambiente da organizao dever ser trabalhado de modo que as vulnerabilidades possam ser reduzidas ou eliminadas e os agentes de ameaas contidos, procurando minimizar os impactos.
A criao de um modelo de gesto busca basicamente o equilbrio entre a segurana do ambiente organizacional com os riscos.
Como resultado de um modelo de gesto, a empresa considera o ambiente externo, com suas oportunidades e ameaas, e o ambiente interno, com suas foras e fraquezas.
Dessa maneira, estabelecem estratgias de atuao de longo e curto prazo, que sero divididos em projetos e distribudos em suas linhas de processos internos.
288
Definio de um Modelo
A gesto de segurana da informao deve passar pela definio de modelos que envolvam:
Definio de Processos
Os processos de segurana devem estar corretamente definidos e alinhados com a necessidade da empresa.
Coleta e consolidao de ndices indicadores: com o intuito de analisar conhecer as aes implementadas.
Monitoramento das condies ambientais do contexto da gesto de risco : A monitorao do ambiente ajuda identificar condies anormais e traar planos emergenciais em caso de deteco de anormalidades.
Comunicao e Consulta: Os ndices indicadores e as aes estratgicas comunicadas a todos aqueles envolvidos no processo de gesto de segurana das informaes de modo que haja a integrao coordenada das aes.
289
Reporte a Incidentes: Reavaliar as estratgias e suas correes, a ocorrncia de um incidente significa que os planos de ao no contemplam pontos especficos, analisar falhas em processos.
Definio de Funes
Dentro de um modelo de gesto de segurana das informaes, as funes devem estar bem estabelecidas nos nveis:
O nvel estratgico abrange a coordenao geral da gesto de segurana O Nvel Ttico, alm de atividades de coordenao, inclui o planejamento de aes. O Nvel Operacional contempla as atividades de monitorao e operao
Responsabilidades
As responsabilidades dos membros de participantes da Gesto de Segurana devem ser claras e bem definidas.
Alm de essas responsabilidades serem documentadas elas devem ser amplamente divulgadas na empresa, isto pode ajudar para que haja o compartilhamento dos esforos dentro da organizao.
As responsabilidades dos membros devem ser divulgadas por meios oficiais dentro da empresa, intranet, etc.
A responsabilidade pela segurana das informaes dentro da empresa de responsabilidade de todos, os cargos gerenciais so responsveis pela
290
Metodologia e Normas de apoio O mercado dispe de diversas metodologias de apoio e referncias normativas que podem ser utilizadas para que a organizao no inicie sua caminhada em busca da segurana de seus processos e informaes sem embasamento ou partindo de suas prprias experincia Estas metodologias orientam a gesto de segurana para:
Estabelecimento de contextos internos e externos Identificao de Riscos Anlise de Riscos Avaliao de Riscos Tratamento de Riscos Monitoramento e anlise crtica Comunicao e Consulta
A empresa pode optar em seguir uma metodologia especfica, ou atender a uma norma, seja ela por orientao ou por exigncias legais, de clientes ou fornecedores,porm, muitas empresas tm adotado as melhores prticas de
291
CAPITULO IX
No capitulo em epgrafe foi apresentado o planejamento corporativo baseado na norma ISO/IEC 27002, onde a proposta planejar, implementar, monitorar e melhorar a segurana do ambiente.
10.
PLANEJAMENTO CORPORATIVO
O planejamento estratgico de segurana envolve planejamentos de curto prazo. Estes planejamentos devem compreender o planejamento estratgico de segurana de curto, mdio e longo prazo.
Programas e Treinamentos: os estabelecimentos de programas de treinamento estimulam a participao dos colaboradores,alm de contribuir para a reduo de erros por desinformao e estabelece a cumplicidades das pessoas com os objetivos da organizao. Plano de Continuidade : Os projetos,os e planos de segurana deve ser
PLAN (planejamento): estabelecer misso, viso,objetivos(metas), procedimentos e processos (metodologias) necessrios para atingirmos os resultados
CHECK (verificao): monitorar e avaliar periodicamente os resultados, avaliar processos e resultados, confrontando com o planejamento; objetivos(metas), procedimentos e processos(metodologia) necessrios para o atingirmos os resultados
292
ACT
(agir)
Agir
de
acordo
com
avaliado
de
acordo
com
os
relatrios,eventualmente determinar e confeccionar novos planos de ao, de forma a melhorar a qualidade,eficincia e eficcia, aprimorando a execuo e corrigindo eventuais falhas.
Campanhas de Divulgao da poltica de conscientizao :Um trabalho muito importante que deve ser executado periodicamente so as campanhas de divulgao da poltica.Uma vez implementada a poltica no deve ser esquecida ou engavetada, mas sim amplamente divulgada de forma que todos os colaboradores estejam conscientes de seus tpicos
Anlise de Risco Contnua: A anlise de risco continuada envolve a checagem dos ndices de risco, de forma que as novas ameaas sejam tratadas e novos planos de aes sejam tomados.
A anlise de risco dever ser realizada anualmente, como modo de checagem de ndices, e se for necessrio, adequada a metodologia e s novas ameaas ou mudanas no ambiente interno e externo.
A empresa est em constante desenvolvimento e o ambiente externo requer novas exigncias ou adaptaes, dessa maneira no seria diferente que todo o modelo de segurana das informaes seja revisado constantemente.
O processo de gesto de riscos deste trabalho baseado na norma ISO/IEC 27005, que consiste na definio do contexto/escopo, anlise/avaliao de riscos, tratamento do risco, aceitao do risco, comunicao do risco e monitoramento e anlise crtica de riscos, de acordo com a figura 21. tambm adotado o mtodo de anlise de risco que utilizasse uma abordagem cujo no fosse necessrio atribuir valores financeiros para os ativos, ou seja, realizada uma anlise qualitativa no ambiente.
293
O sistema de gesto de segurana baseado no conceito de melhoria contnua (PDCA), ou seja, so estabelecidos procedimentos para planejar (Plan), implementar (Do), monitorar (Check) e melhorar (Act) a segurana do ambiente, abaixo a figura 22, ilustrado o sistema.
Planejar (Plan)
Melhorar (Act)
Implementar (Do)
Monitorar (Check)
Figura 22 - PDCA
O ciclo inicia-se no planejamento, onde definido o contexto, a anlise/avaliao de riscos, o desenvolvimento do plano de tratamento do risco e a aceitao do risco.
294
O segundo passo a implementao responsvel em executar as aes e controles necessrios para reduzir os riscos para um nvel aceitvel, que so implementados de acordo com o plano de tratamento do risco. E ento, so estabelecidos pelos gestores mtodos e mtricas para realizao do monitoramento e na fase agir as aes necessrias executado, incluindo a reaplicao do processo de gesto de riscos de segurana da informao.
Com isso, realizado um ciclo de evoluo contnua, garantindo aos sistemas a adaptabilidade necessria compatvel com os ambientes dinmicos das
organizaes modernas.
295
Referncias Bibliogrficas
NBR ISO/IEC17799:1, N. I. Tecnologia da Informao - cdigo de prtica para segurana da informao. Rio de Janeiro, 2000. AGUIAR, Afrnio C. Informao e atividades de desenvolvimento cientfico, tecnolgico e industrial: tipologia proposta com base em anlise funcional. Cio Inf., jan./jun. 1991, v.20, n.1, p.7-15. ALDA Y H. E. C. O planejamento estratgico dentro do conceito de administrao estratgica. Revista da FAE. Curitiba-PR; v.3, n.2, p. 9-16. ALMEIDA, Amauri SCHERER, Ivani B.;VENTURA, Juarez L. JNIOR, Roberto L.ZANIN,Rogrio F. PLANEJAMENTO ESTRATGICO - UFSM REFERENCIAL TERICO. Santa Maria: UFSM, 1999. ALMEIDA, Martinho Isnard Ribeiro de. Manual de planejamento estratgico: desenvolvimento de um plano estratgico com a utilizao de planilhas Excel. So Paulo: Atlas, 2001. ALVES, Gustavo A. Segurana da informao: Uma viso inovadora da gesto. Rio de Janeiro: Cincia Moderna Ltda, 2006. AMARAL, Luis A M. PRAXIS: um referencial para planejamento de Sistemas de Informao. Tese de Doutorado apresentada na Universidade do Minho, Portugal, 1994. ANSOFF, H. I. Estratgia empresarial. So Paulo: McGraw-Hill do Brasil, 1977. Administrao Estratgica. So Paulo: Atlas, 1997. ARAJO, Vnia M. R. Hermes de. Sistemas de informao: nova abordagem terico-conceitual. Cio Inf., Braslia, v.24, n.1, 1995. AURLIO Buarque de Holanda Ferreira, Novo dicionrio Aurlio - O dicionrio da lngua portuguesa, sculo XXI- 1 e ed. Rio de Janeiro: Editora Nova Fronteira, 1975. BARBOSA, R. R. Inteligncia Empresarial: uma avaliao de fontes de informao sobre o ambiente organizacional externo. DataGramaZero - Revista de Cincia da Informao, v.3, n.6, dez/02. BATTAGLlA, Maria da Glria Botelho. A Inteligncia Competitiva modelando o Sistema de Informao de Clientes - Finep. Ci. Inf., Braslia, v.29, n.2, p.200-214, 1999. BEAL, Adriana. Segurana da informao: princpios e melhorias prticas para a proteo dos ativos de informao nas organizaes. So Paulo: Atlas, 2005. BORGES, M. E. N; CAMPELLO, B. S. A organizao para negcio no Brasil. Perspect. Ci. Inf., jul./dez. 1997, vol.2, nQ2, p. 149-161.
296
BUCKLAND, Michal K. Information as thing. Journal of the American Society for information Science (JASIS), v.45, n.5, p.351-360, 1991. BUSH, Vannevar. As we may think. The Atlantic Monthly, Jul. 1945. Disponvel em: http://www.theatlantic.com/unbound/flashbks/computer/bushf.htm cesso no dia 25/10/08. . CALAZANS, A, T, S. Conceitos e uso da informao organizacional e informao estratgica. Transinformao, jan./abr., 2006, p. 63-70. CAPURRO, R. Foundations of information science: review and perspectives. Tampere: University of Tampere, 1991. Disponvel em: http://www.capurro.de/tampere91.htm acesso dia 02/11/08. CAPURRO, R; HJORLAND, B. The Concept of Information. Disponvel em: http://www.capurro.de/infoconcept.htmlacesso dia 02/11/08. CASTELLS, Manuel, A Era da Informao, Vai. 1 - A Sociedade em Rede, So Paulo, Paz e Terra, 1999 (7 edio). CENDN, B. V. Bases de dados de informao para negcio no Brasil. Ci. Inf., maio/agosto 2003, vol. 32, n 2, p. 17-36. CERTO, Samuel; PETER, J. Paul. Administrao estratgica. So Paulo: Makron Books, 1993. CHIAVENATO, Idalberto. Introduo Teoria Geral da Administrao. 6.ed Rio de Janeiro: Campus,2000. DAMASIO, Edlson. O profissional da informao na indstria: habilidades e competncias. Dissertao (Mestrado) - Programa de Ps-Graduao em Biblioteconomia e Cincia da Informao da Pontifcia Universidade Catlica de Campinas. Campinas, 2001. DAVENPORT, Thomas H. Ecologia da informao: por que s a tecnologia no basta para o sucesso na era da informao. So Paulo: Futura, 1998. DAWEL, George. A segurana da informao nas empresas. Rio de Janeiro: Cincia Moderna Ltda, 2005. DEMO, Pedro. Ambivalncias da sociedade da informao. Cio In1., Braslia, v. 29, n. 2, 2000. EDWARDS, E. Introduo teoria da informao. 2.ed. So Paulo: Cultrix, 1964. 147p. FERREIRA, Fernando N. F. Segurana da informao. Rio de Janeiro: Cincia Moderna, 2003. 162p. FONTES, Edison. Segurana da informao: o usurio faz a diferena. So Paulo: Saraiva, 2006. GIL, Antnio Carlos. Como elaborar projetos de pesquisa. So Paulo:Atlas, 2002. 175p.
297
GRAY, Patrick. O James Bond da Internet. Isto, So Paulo,jun. 2004. Entrevista concedida a Mariana Barros. Disponvel em: http://www.terra.com.br/istoe/1812/1812 vermelhas 01.htm dia 30/10/08. JANNUZZI, Celeste Ada Sirotheau Corra; MONTALLI, Katia Maria Lemos. Informao tecnolgica e para negcios no Brasil: introduo a uma discusso conceitual. Cio Inf., Braslia, v. 28, n. 1, 1999. MCGARRY, Kevin J. Da documentao informao: um conceito em evoluo. Lisboa: Presena, 1984. MIGLlA TO, A. L. T. Planejamento estratgico situacional aplicado pequena empresa: estudo comparativo de casos em empresas do setor de servios (hoteleiro) da Regio de Brotas - SP. 223f. Dissertao (Mestrado) - Escola de Engenharia de So Carlos. Universidade de So Palo. So Carlos, 2004. MODULO E C. 2 Pesquisa Nacional sobre o perfil do profissional em segurana da informao. Rio de Janeiro, 2004. Disponvel em: <http://www.modulo.com.br/pdf/pesquisa_perfiL2004.pdf>. dia 30/10/08 OLIVEIRA, D. P. R. Planejamento Estratgico: conceitos, metodologia, prticas. So Paulo: Atlas, 2003. PEREIRA, Maurcio Fernandes. O Processo de Construo do Planejamento Estratgico atravs da Percepo da Coalizo Dominante. Florianpolis, 2002. 294 f. Tese (Doutorado em Engenharia de Produo) - Graduao em Engenharia de Produo, UFSC, 2002. VAlENTIM, M l P. O moderno profissional da informao: formao e perspectiva profissional. Revista eletrnica de Biblioteconomia e Cincia da Informao, Florianpolis, nQ 9, jun. 2000. Disponvel em: <http://www.encontrosbibli.ufsc.br/Edicao_9/marta.html>. dia 30/10/08 SllVEIRA, Henrique. SWOT. In: TARAPANOFF, K. (Org.). Inteligncia organizacional e competitiva. Braslia: UnB, 2001. p. 209-226. SMOLA, Marcos. Gesto da Segurana da Informao. Rio de Janeiro: Elsevier, 2003. ROBREDO, Jaime. Da Cincia da Informao revisitada aos sistemas humanos de informao. Braslia: Thesaurus; SSRR, 2003.
298
Glossrio
NME: originado do navegador de WWW da Sun Mycrosistems que pode executar pequenos programas diretamente das pginas Web, escrita em linguagem Java.
Shafts:
hipertexto, um boto ou trecho destacado do texto que, ao ser selecionado, remete o leitor a outra pgina.
GUT: um local na Internet que permite algum tipo de acesso remoto, tal como FTP, Telnet etc.
ABNT: A Associao Brasileira de Normas Tcnicas o rgo responsvel pela normalizao tcnica no Brasil, fornecendo a base necessria ao desenvolvimento tecnolgico brasileiro. Trata-se de uma entidade privada e sem fins lucrativos fundada em 1940.
ISO/IEC 17799: uma norma de Segurana da Informao revisado em 2005 pela ISO e pela IEC. O padro um conjunto, de recomendaes para prticas na gesto de Segurana da Informao. Ideal para aqueles que querem criar, implementar e manter um sistema.
ISACA: o acrnimo para Information Systems Audit and Control Association (Associao de Auditoria e Controle de Sistemas de Informao), uma associao internacional que suporta e patrocina o desenvolvimento de metodologias e certificaes para o desempenho das atividades de auditoria e controle em sistemas de informao.
NIST: O National Institute of Standards and Technology ("Instituto Nacional de Padres e Tecnologia") ou NIST, anteriormente conhecido como The National
299
Bureau
of
Standards,
uma
agncia
governamental
no-regulatria
da
Administrao de Tecnologia do Departamento de Comrcio dos Estados Unidos. A misso do instituto promover a inovao e a competitividade industrial dos Estados Unidos, promovendo a metrologia, os padres e a tecnologia de forma que ampliem a segurana econmica e melhorem a qualidade de vida.
Nessus: um programa de verificao de falhas/vulnerabilidades de segurana. Ele composto por um cliente e servidor, sendo que o scan propriamente dito feito pelo servidor.
CobiT: Do ingls, Control Objectives for Information and related Technology, um guia, formulado como framework, dirigido para a gesto de tecnologia de informao (TI).
Backup: a cpia de dados de um dispositivo de armazenamento a outro para que possam ser restaurados em caso da perda dos dados originais, o que pode envolver apagamentos acidentais ou corrupo de dados.
IDS: Sistema de deteco de intrusos ou simplesmente IDS ( em ingls: Intrusion detection system) refere-se a meios tcnicos de descobrir em uma rede quando esta est tendo acessos no autorizados que podem indicar a aco hacker ou at mesmo funcionrios mal intencionados
IPS: Sistema de preveno de intrusos (em ingls: Intrusion Prevention System) um sistema, similar ao IDS (Intrusion Detection System), voltado para a preveno de ataques a redes de computadores.
Firewall: o nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma poltica de segurana a um determinado ponto de controle da rede. Sua funo consiste em regular o trfego de dados entre redes distintas e impedir a transmisso e/ou recepo de acessos nocivos ou no autorizados de uma
300
rede para outra. Este conceito inclui os equipamentos de filtros de pacotes e de proxy de aplicaes, comumente associados a redes TCP/IP.
IIS: Internet Information Services um servidor web criado pela Microsoft para seus sistemas operacionais para servidores.
Patches: Uma patch um programa de computador do sistema operacional UNIX que aplica as diferenas textuais entre dois programas e, mais freqentemente, a arquivos de computador contendo essas diferenas, ou arquivos diff.
Modem: A palavra Modem vem da juno das palavras modulador e demodulador. Ele um dispositivo eletrnico que modula um sinal digital em uma onda analgica, pronta a ser transmitida pela linha telefnica, e que demodula o sinal analgico e o reconverte para o formato digital original.
USB: Universal Serial Bus um tipo de conexo Plug and Play que permite a conexo de perifricos sem a necessidade de desligar o computador.
CDROM: Compact Disc Read-Only Memory. Uma forma de armazenamento caracterizada pela alta capacidade (aproximadamente 600 megabytes) e pelo uso de tcnicas ticas de laser em vez do eletromagnetismo para a leitura dos dados.
BIOS: onde ficam armazenadas informaes tcnicas do computador (HDs instalados, velocidade de processador, e etc) e aonde so configuradas algumas opes do processador e de perifricos instalados no micro.
HTTP: (acrnimo para Hypertext Transfer Protocol, que significa Protocolo de Transferncia de Hipertexto) um protocolo de comunicao (na camada de aplicao segundo o Modelo OSI) utilizado para transferir dados por intranets e pela World Wide Web.
301
SNMP: O protocolo SNMP (do ingls Simple Network Management Protocol Protocolo Simples de Gerncia de Rede) um protocolo de gerncia tpica de redes TCP/IP, da camada de aplicao, que facilita o intercmbio de informao entre os dispositivos de rede, como placas e comutadores (em ingls: switches)
DHCP: Dynamic Host Configuration Protocol, um protocolo de servio TCP/IP que oferece configurao dinmica de terminais, com concesso de endereos IP de host e outros parmetros de configurao para clientes de rede.
DNS: O Domain Name System (DNS) converte nomes Internet em seus nmeros correspondentes e vice versa.
802.1X: um padro IEEE para controle de acesso rede com base em portas
CFTV: Circuito fechado ou circuito interno de televiso (tambm conhecido pela sigla CFTV; do ingls: closed-circuit television, CCTV) um sistema de televiso que distribui sinais provenientes de cmeras localizadas em locais especficos, para um ou mais pontos de visualizao
Bluetooth: uma especificao industrial para reas de redes pessoais sem fio (Wireless personal area networks - PANs).
ISO 27005: um padro para sistema de gerncia da segurana da informao (ISMS - Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International
Electrotechnical Commision. Seu nome completo ISO/IEC 27001:2005 Tecnologia da informao - tcnicas de segurana - sistemas de gerncia da segurana da informao - requisitos mas conhecido como "ISO 27001".