Académique Documents
Professionnel Documents
Culture Documents
FORTALEZA
2010
FORTALEZA
2010
TERMO DE APROVAO
Este estudo monogrfico foi apresentado no dia 21 de Dezembro de 2010, como requisito parcial
para a obteno do grau de bacharel em CINCIAS DA COMPUTAO da Faculdade Loureno
Filho, tendo sido aprovado pela Banca Examinadora composta pelos professores:
BANCA EXAMINADORA
____________________________________________________
____________________________________________________
____________________________________________________
AGRADECIMENTOS
RESUMO
13
ABSTRACT
This monographic work tries to explain the Physical Security deployment in an organization
drawing upon ABNT NBR ISO / IEC 27002:2005 standard, the main source of research used.
All proposed aspects in the rule are described here. The final objective of this monograph is to
propose a generic Checklist for verification of compliance of an organization with the ABNT
NBR ISO / IEC 27002:2005 standard. In recent decades, the disorderly growth of the Internet
has created an environment conducive to the development of many threats. Such threats are
worth, in most cases, the total absence of a secure environment and the lack of security
policies. Initially, the connectivity at any cost and speed were the main objectives. With the
big losses made in recent years due to lack of security, there the concern in investing in the
Information Security. The Information Security is intended to protect the assets of network,
trying to minimize as much as possible the risks to which the asset is exposed. It can be
divided into two parts that are Logical Security and Physical Security. The Physical Security,
another important research object of this monographic project, is as important as the Logical
Security, and plays an important role in protecting the assets of a company.
Key-Words: Information Security. Physical Security. ABNT NBR ISO/IEC 27002:2005.
Checklist.
14
LISTA DE FIGURAS
15
SUMRIO
1 INTRODUO ............................................................................................. 13
1.1 Contextualizao do problema ..................................................................... 13
1.2 Objetivo geral ............................................................................................... 14
1.3 Objetivos especficos ................................................................................... 14
1.4 Justificativa................................................................................................... 14
1.5 Hipteses ...................................................................................................... 15
1.6 Metodologia ................................................................................................. 16
1.7 Estrutura da monografia ............................................................................... 16
1.8 Referencial terico ....................................................................................... 17
2 REVISO BIBLIOGRFICA..................................................................... 18
2.1 Conceituao ................................................................................................ 18
2.1.1 Informao ................................................................................................ 18
2.1.2 Segurana da Informao ......................................................................... 19
2.2 Evoluo da Internet nos ltimos anos ........................................................ 20
2.3 Necessidade de segurana ............................................................................ 22
2.4 Ameaas ....................................................................................................... 23
2.5 Ataques ......................................................................................................... 24
2.5.1 Principais ataques ..................................................................................... 24
2.6 Estatsticas que justificam o investimento em segurana ............................ 27
2.7 Snteses de trabalhos que versam sobre Segurana da Informao ............. 29
2.7.1 Trabalho 1: Uma abordagem sobre poltica da segurana da informao
implantada .......................................................................................................... 29
2.7.2 Trabalho 2: Segurana da informao na rede interna com certificados
digitais e seus aspectos legais ............................................................................ 30
2.7.3 Trabalho 3: Hackers. Como se proteger? ................................................ 30
11
12
13
1 INTRODUO
14
engenharia civil e eltrica, j a segurana lgica compreende-se em programas, onde
mecanismos de proteo baseados em softwares so aplicados, ambas podem ser planejadas e
implantadas em paralelo.
1.4 Justificativa
15
Entretanto, ainda hoje a segurana tratada de maneira superficial por grande
parte das organizaes. No recebendo a devida importncia e sem a definio de uma boa
estratgia de segurana, so utilizadas tcnicas parciais ou incompletas que podem aumentar a
vulnerabilidade da organizao. (NAKAMURA; GEUS, 2003).
Os tipos de perdas que as empresas podem experimentar por causa de lapsos na
segurana dos computadores podem ser contabilizados das seguintes maneiras (BURNETT,
2002) e (STEVE, 2002):
Perdas financeiras: Alm dos roubos financeiros diretos, a perda de dados e a perda de
reputao resultaro em perdas financeiras.
1.5 Hipteses
A norma ABNT NBR ISO/IEC 27002:2005 uma forte referncia para a implantao
adequeda e eficaz da Segurana da Informao;
16
O Checklist aqui proposto pode ser utilizado para medir o grau de conformidade da
segurana fsica de uma organizao com esta norma.
1.6 Metodologia
Grficos comparativos.
17
No terceiro captulo, o Checklist proposto, oriundo desta pesquisa ento
disponibilizado e comentado.
J no ltimo captulo, descrito as consideraes finais e sugestes de trabalhos
futuros.
18
2 REVISO BIBLIOGRFICA
2. 1 Conceituao
2.1.1 Informao
19
ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios
eletrnicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada
ou o meio atravs do qual a informao compartilhada ou armazenada, recomendado que
ela seja sempre protegida adequadamente.
A informao representa a inteligncia competitiva dos negcios e reconhecido
como ativo crtico para a continuidade operacional da empresa (SMOLA, 2003).
Nem toda informao vital, porm determinadas informaes podem ser to
importantes e necessrias que qualquer custo aplicado para manter sua integridade seria nada
se comparado ao custo de no dispor de tais informaes. Para medir o grau de importncia de
uma informao, Wadlow (2000) classifica-a em nveis de prioridade. Tais nveis respeitam a
necessidade de cada empresa, bem como a importncia da classe de informao para a
manuteno das atividades da empresa. Seriam:
Pblica: Informao que pode vir a pblico sem maiores conseqncias danosas ao
funcionamento normal da empresa, e cuja integridade no vital.
Interna: O acesso livre a este tipo de informao deve ser evitado, embora as
conseqncias do uso no autorizado no sejam por demais srias. Sua integridade
importante, mesmo que no seja vital.
Secreta: Informao crtica para as atividades da empresa, cuja integridade deve ser
preservada a qualquer custo e cujo acesso deve ser restrito a um nmero reduzido de
pessoas. A segurana desse tipo de informao vital para a companhia.
20
De acordo com Smola (2003), pode-se definir Segurana da Informao como
uma rea do conhecimento dedicada proteo de ativos da informao contra acessos no
autorizados, alteraes indevidas ou sua indisponibilidade.
A segurana da informao obtida a partir da implementao de um conjunto de
controles adequados, incluindo polticas, processos, procedimentos, estruturas organizacionais
e funes de software e hardware (ABNT NBR ISO/IEC 27002, 2005).
Para Krause (1999), Pereira (2000) e Albuquerque (2002), h trs princpios
bsicos para garantir a Segurana da Informao:
Integridade: A informao deve ser recuperada em sua forma original (no momento
em que foi armazenada). a proteo dos dados ou informaes contra modificaes
intencionais ou acidentais no-autorizadas.
Nas ltimas dcadas a Internet, bem como o seu uso tem crescido de forma
acelerada. Tornando-se assim muito presente no dia-a-dia das pessoas de forma quase que
indispensvel. No se pode mais imaginar o mundo, a rotina das pessoas, as empresas e os
negcios sem a Internet.
Segundo Honeycutt (1998), o crescimento da Internet tem sido explosivo. Em
1985, haviam mais de 2.000 computadores host na Internet. Agora h bem mais de 9 milhes
de computadores host que suportam milhes de usurios. A cada ms, a Internet incorpora
milhes de novos usurios.
A Internet no de modo algum uma rede, mas sim um vasto conjunto de redes
diferentes que utilizam certos protocolos comuns e fornecem determinados servios comuns.
um sistema pouco usual no sentido de no ter sido planejado nem ser controlado por
ningum (TANENBAUM,2003).
21
A seguir, na Figura 1, temos algumas estatsticas do aumento de usurios,
domnios e servidores na Internet, o que vem a confirmar tais afirmaes.
22
23
2.4 Ameaas
Revelao da informao;
Interrupo de servios.
J para Salgado et al. (2004), uma lista das ameaas de segurana fsica poderia
conter os seguintes itens:
Tempestades, furaces;
Terrorismo;
Sabotagem e vandalismo;
Exploses;
Roubos, furtos;
Desmoronamento de construes;
Materiais txicos;
24
Falhas em equipamentos;
Outros.
2.5 Ataques
Quanto mais protegido o computador, melhor. Desta forma, fica mais difcil sofrer
um ataque. So diversos os tipos de ataque.
25
A seguir, so enumeradas as principais formas de ataques. So elas:
Exploit: Programa criado para explorar uma falha de segurana de um sistema. Pode
servir para obter acesso indevido ou tirar o sistema do ar (ANDRADE, 2005);
Estouro de Buffer (Buffer Overflow): Um tipo de ataque que faz com que um
programa invada o final de uma rea de armazenamento de dados. O resultado que o
26
invasor pode sobrescrever parte do programa e executar seu cdigo. Isso um
problema principalmente com software escrito em C e C ++. Outras linguagens como
Java esto imunes a ele (ANDRADE, 2005);
Spoofing: o ato de usar uma mquina para personificar outra. Isso feito forjando o
endereo de origem de um ou mais hosts empenhados na autenticao das mquinas
individualmente. Para realizar uma sesso bem sucedida de spoofing, alguns crakers
temporariamente matam ou anestesiam a mquina que eles esto personificando
(ANDRADE, 2005). O IP Spoofing uma tcnica na qual o endereo real do atacante
mascarado, de forma a evitar que ele seja encontrado (NAKAMURA; GEUS, 2003);
Scanners de portas: Os scanners so programas que buscam portas TCP abertas por
onde pode ser feita uma invaso. Para que a varredura no seja percebida pela vtima,
alguns scanners testam as portas de um computador durante muitos dias em horrios
aleatrios. Um dos mais conhecidos o Nmap, existe tambm outro tipo de Scanner
chamado
scanner
de
vulnerabilidades
que
so
capazes
de descrever as
vulnerabilidades nos servios oferecidos pelas portas dos computadores, um dos mais
famoso o Nessus (ANDRADE, 2005);
Denial of service (DoS): Ataque que consiste em sobrecarregar um servidor com uma
quantidade excessiva de solicitaes de servios. H muitas variantes como os ataques
distribuidos de negao de servio (DDoS) que paralisam vrios sites ao mesmo
tempo. Nessa variante, o agressor invade muitos computadores e instala neles um
software zumbi. Quando recebem a ordem para iniciar o ataque, os zumbis
bombardeiam o servidor alvo, tirando-o do ar (ANDRADE, 2005);
Ping Of Death: (Ping da Morte) Consiste em enviar um pacote IP com tamanho maior
que o mximo permitido (65.535 bytes), para a mquina que se deseja atacar. O pacote
enviado na forma de fragmentos (a razo que nenhum tipo de rede permite o
trfego de pacotes deste tamanho) e quando a mquina destino tenta montar estes
fragmentos, inmeras situaes podem ocorrer: a maioria da mquinas trava, algumas
27
reinicializam, outras abortam e mostram mensagens de erro. Praticamente todas as
plataformas eram afetadas por este ataque, e todas as que no tiveram correes de
segurana instalados, ainda o so vulnerveis. Este ataque recebeu o nome de Ping da
Morte porque as primeiras ocorrncias deste ataque foram a partir do programa ping,
entretanto, qualquer pacote IP com mais de 65.535 bytes (pacote invlido) provoca o
mesmo efeito (ANDRADE, 2005);
28
29
pelo modesto percentual - apenas 2% - nota-se que as empresas ainda no percebem que a no
conformidade com a nova Legislao especfica para rea de segurana uma possvel causa
de perdas financeiras.
Para o futuro, a expectativa dos gestores que aumentem os problemas
relacionados Segurana da Informao (77%) e as companhias acreditam que podem
enfrentar problemas com vrus (10%), spam (11%), vazamento de informaes (7%) e acesso
remoto indevido (7%), entre outros.
A maioria (55%) considera a falta de conscientizao dos executivos e usurios o
principal obstculo para a implementao da segurana na empresa, seguido pela falta de
oramento (28%). E o maior motivador para a tomada de decises visando a segurana o
nvel de conscincia dos executivos e usurios (31%), segundo os pesquisados. A imagem da
empresa no mercado (23%) e o valor agregado aos produtos e negcios (19%) tambm
influenciam.
Nesse item realizei o estudo de 5 monografias que tem como principal assunto
Segurana da Informao, abordando diversas tpicos como: Riscos, Principais Polticas e
Normas de Segurana, Leis, Ameaas e Vulnerabilidades, Hackers, Certificados Digitais,
dentre outros assuntos pertinentes ao tema Segurana da Informao.
30
Nesse trabalho o autor abordou como funciona e como criada e implantada uma
Poltica de Segurana da Informao em uma empresa, citando e descrevendo rapidamente
algumas normas de Segurana da Informao como, NBR ISO/IEC 27001:2005, Cobit e ITIL.
Abordando mais amplamente as formas de ataques, ameaas e vulnerabilidades que uma
empresa hoje em dia corre o risco, porm focando em um estudo de caso de uma empresa de
grande porte no ramo de papel e celulose, focando em seu setor de TI, mais especificamente
no de Segurana da Informao, analisando como funciona sua Poltica de Segurana da
Informao
31
bsico obteno do grau de Bacharel em Cincia da Computao, sob a orientao do
Professor Clayder Cristiam Colho. Assunto: Hackers. Como se proteger?
Nesse trabalho o autor visa mostrar como obter uma segurana confivel e
satisfatria para se proteger de Hackers, dando uma breve descrio de Segurana em Redes e
focando em dois pontos, o primeiro detalha os Hackers (Interesses, Tipos, ticas,
Motivaes), Tipos de Ataques e Mtodos de Proteo e o segundo detalha a Invaso em
Sistemas Operacionais (ambientes de testes, invases, propostas para minimizar as invases).
Mostrando que para se ter uma segurana satisfatria necessrio primeiramente ter
conhecimento e uma boa poltica de proteo aplicada ao seu ambiente.
32
Bruno Falco. Assunto: COBIT, ITIL e ISO/IEC 27002 Melhores Prticas para Governana
de Tecnologia da Informao.
Nesse trabalho o autor tem como principal inteno fornecer uma viso geral das
melhores prticas existentes. Dando uma breve descrio de Gerenciamento de Servios em
TI e Segurana da Informao. Detalhando minuciosamente as metodologias ITIL, COBIT e
ISO/IEC 27002. Mostrando tambm que embora algumas das melhores prticas sejam
adequadas h uma determinada organizao, ao mesmo tempo podem no ser apropriadas h
outra organizao, mostrando que se deve levar em conta o conhecimento sobre o
funcionamento da empresa onde se pretende utiliz-las, de forma que se possam gerar
oportunidades de melhoria, resultando em ganhos reais para o negcio.
33
34
Segundo a ABNT NBR ISO/IEC 17799 (2005), a ABNT NBR ISO/IEC 17799 foi
elaborada no Comit Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21),
pela Comisso de Estudo de Segurana Fsica em Instalaes de Informtica (CE-21:204.01).
O Projeto circulou em Consulta Nacional conforme Edital n 03, de 31.03.2005,
com o nmero de Projeto NBR ISO/IEC 17799. Esta Norma equivalente ISO/IEC
17799:2005. Hoje publicada com a nomeclatura de ABNT NBR ISO/IEC 27002.
Uma famlia de normas de sistema de gesto de segurana da informao (SGSI)
est sendo desenvolvida no ISO/IEC JTC 1/SC 27. A famlia inclui normas sobre requisitos
de sistema de gesto da segurana da informao, gesto de riscos, mtricas e medidas, e
diretrizes para implementao. Esta famlia adotar um esquema de numerao usando a srie
de nmeros 27000 em seqncia.
2.8.1.1 Objetivos
35
2.8.1.2 Abrangncia
Conformidade (3 categorias).
A ordem das sees no significa o seu grau de importncia. Dependendo das
circunstncias, todas as sees podem ser importantes. Entretanto, cada organizao que
utilize a norma deve identificar quais as sees aplicveis, quo importante elas so e a sua
aplicao para os processos especficos do negcio. Todas as alneas na NBR ISO
27002:2005 tambm no esto ordenadas por prioridade, a menos que explicitado (ABNT
NBR ISO/IEC 27002, 2005).
2.8.1.3 Importncia
36
maior e mais rpido acesso s informaes, a preocupao em relao ao sigilo e a segurana
da informao aumentou.
A Norma ABNT NBR ISO/IEC 27002:2005 permite que uma empresa construa de
forma muito rpida uma poltica de segurana baseada em controles de segurana eficientes.
Os outros caminhos para se fazer o mesmo, sem a norma, so constituir uma equipe para
pesquisar o assunto ou contratar uma consultoria para realizar essa tarefas. Ambas opes so
caras e demoradas (INFORMABR, 2007).
Ela serve como referncia para a criao e implementao de prticas de segurana
reconhecidas internacionalmente, incluindo: Polticas, Diretrizes, Procedimentos, Controles.
um conjunto completo de recomendaes para: Gesto da Segurana da Informao e
Controles e Prticas para a Segurana da Informao.
37
Segundo Ferreira e Arajo (2006), o papel da rea de segurana nos negcios tem
se tornado diferencial competitivo, pois embora alguns acreditem ser burocracia, podemos
considerar que os controles aumentam de forma significativa a capacidade da organizao no
estar to exposta a perdas financeiras provenientes de fraudes, erros de processamentos, entre
outras possibilidades.
O estabelecimento da Poltica de Segurana da Informao somente o estgio
inicial do processo de mudana de cultura quanto ao tema, sendo assim, a preparao de
polticas para o estabelecimento de um ambiente seguro somente se efetiva por meio do
comprometimento de seus profissionais e do desenvolvimento de processos que utilizam
tecnologias e prticas aderentes poltica.
A norma ABNT NBR ISO/IEC 27002 sugere que uma consultoria especializada
seja envolvida, a fim de auxiliar no entendimento de tais requerimentos particulares, em cada
organizao (FERREIRA e ARAJO, 2006).
De acordo com a ABNT NBR ISO/IEC 27002 (2005), o objetivo de uma rea
Segura prevenir o acesso fsico no autorizado, danos e interferncias com as instalaes e
informaes da organizao.
Convm que as instalaes de processamento da informao crticas ou sensveis
sejam mantidas em reas seguras, protegidas por permetros de segurana definidos, com
barreiras de segurana e controles de acesso apropriados. Convm ainda, que sejam
fisicamente protegidas contra o acesso no autorizado, danos e interferncias.
Tambm, a proteo oferecida deve ser compatvel com os riscos identificados.
Ferreira e Arajo (2006), dizem que a funo bsica da rea de Segurana da
Informao proteger o ativo de informao, minimizando os riscos a nveis aceitveis. Em
38
algumas organizaes, esta rea tambm responsvel pela elaborao do plano de
continuidade do negcio.
39
Seja implantada uma rea de recepo, ou um outro meio para controlar o acesso
fsico ao local ou ao edifcio; o acesso aos locais ou edifcios deve ficar restrito
somente ao pessoal autorizado;
Sejam construdas barreiras fsicas, onde aplicvel, para impedir o acesso fsico no
autorizado e a contaminao do meio ambiente;
Abaixo, segue algumas informaes adicionais sugeridas pela Norma ABNT NBR
ISO/IEC 27002 (2005):
Pode-se obter proteo fsica criando uma ou mais barreiras fsicas ao redor das
instalaes e dos recursos de processamento da informao da organizao. O uso de
barreiras mltiplas proporciona uma proteo adicional, uma vez que neste caso a
falha de uma das barreiras no significa que a segurana fique comprometida
imediatamente.
Uma rea segura pode ser um escritrio trancvel ou um conjunto de salas rodeado por
uma barreira fsica interna contnua de segurana. Pode haver necessidade de barreiras
e permetros adicionais para o controle do acesso fsico, quando existem reas com
requisitos de segurana diferentes dentro do permetro de segurana.
Convm que sejam tomadas precaues especiais para a segurana do acesso fsico no
caso de edifcios que alojam diversas organizaes.
40
Aos terceiros que realizam servios de suporte, seja concedido acesso restrito s reas
seguras ou s instalaes de processamento da informao sensvel somente quando
necessrio; este acesso deve ser autorizado e monitorado;
41
Uma rea de segurana pode ser um escritrio fechado ou diversas salas dentro de
um permetro de segurana fsica, que podem estar fechadas ou podem conter armrios
fechados ou cofres. Convm que a seleo e o projeto de uma rea de segurana levem em
considerao as possibilidades de dano causado por fogo, inundaes, exploses,
manifestaes civis e outras formas de desastres naturais ou causados pelo homem. Convm
que tambm sejam levados em considerao as regulamentaes e padres de segurana e
sade. Tambm devem tratar qualquer ameaa originada em propriedades vizinhas, como por
exemplo vazamento de gua de outras reas (SALGADO et al., 2004).
Segundo a ABNT NBR ISO/IEC 27002 (2005), deve ser projetada e aplicada
segurana fsica para escritrios, salas e instalaes.
As seguintes diretrizes devem ser levadas em considerao para proteger
escritrios, salas e instalaes:
Os edifcios sejam discretos e dem a menor indicao possvel da sua finalidade, sem
letreiros evidentes, fora ou dentro do edifcio, que identifiquem a presena de
atividades de processamento de informaes, quando for aplicvel;
Segundo a norma ABNT NBR ISO/IEC 27002 (2005), convm que sejam
projetadas e aplicadas proteo fsica contra incndios, enchentes, terremotos, exploses,
perturbaes da ordem pblica e outras formas de desastres naturais ou causados pelo homem.
42
Todas as ameaas segurana representadas por instalaes vizinhas, por
exemplo, um incndio em um edifcio vizinho, vazamento de gua do telhado ou em pisos do
subsolo ou uma exploso na rua, devem ser levadas em considerao.
Convm que sejam levadas em considerao as seguintes diretrizes para evitar
danos causados por incndios, enchentes, terremotos, exploses, perturbaes da ordem
pblica e outras formas de desastres naturais ou causados pelo homem:
Convm que seja projetada e aplicada proteo fsica, bem como diretrizes para o
trabalho em reas seguras (ABNT NBR ISO/IEC 27002, 2005).
Segundo a ABNT NBR ISO/IEC 27002 (2005), as seguintes diretrizes devem ser
levadas em considerao:
43
As normas para o trabalho em reas seguras incluem o controle dos funcionrios,
fornecedores e terceiros que trabalham em tais reas, bem como o controle de outras
atividades de terceiros nestas reas.
Segundo a NBR ISO/IEC 27002 (2005), convm que os pontos de acesso, tais
como reas de entrega e de carregamento e outros pontos em que pessoas no autorizadas
possam entrar nas instalaes, sejam controlados e, se possvel, isolados das instalaes de
processamento da informao, para evitar o acesso no autorizado.
Convm que sejam levadas em considerao as seguintes diretrizes (NBR ISO/IEC
27002, 2005):
As reas de entrega e carregamento sejam projetadas de tal maneira que seja possvel
descarregar suprimentos sem que os entregadores tenham acesso a outras partes do
edifcio;
Os materiais entregues sejam registrados por ocasio de sua entrada no local, usandose procedimentos de gerenciamento de ativos;
As remessas entregues sejam segregadas fisicamente das remessas que saem, sempre
que possvel.
44
Os itens que exigem proteo especial devem ser isolados para reduzir o nvel geral de
proteo necessrio;
45
Sejam adotados controles para minimizar o risco de ameaas fsicas potenciais, tais
como furto, incndio, explosivos, fumaa, gua (ou falha do suprimento de gua),
poeira, vibrao, efeitos qumicos, interferncia com o suprimento de energia eltrica,
interferncia com as comunicaes, radiao eletromagntica e vandalismo;
Sejam estabelecidas diretrizes quanto a comer, beber e fumar nas proximidades das
instalaes de processamento da informao;
Todos os edifcios sejam dotados de proteo contra raios e todas as linhas de entrada
de fora e de comunicaes tenham filtros de proteo contra raios;
2.9.10 Utilidades
Segundo a norma ABNT NBR ISO/IEC 27002 (2005), os equipamentos devem ser
protegidos contra falta de energia eltrica e outras interrupes causadas por falhas das
utilidades.
Convm que todas as utilidades, tais como suprimento de energia eltrica,
suprimento de gua, esgotos, calefao/ventilao e ar-condicionado sejam adequados para os
sistemas que eles suportam. Convm que as utilidades sejam inspecionadas em intervalos
regulares e testadas de maneira apropriada para assegurar seu funcionamento correto e reduzir
os riscos de defeitos ou interrupes do funcionamento. Convm que seja providenciado um
suprimento adequado de energia eltrica, de acordo com as especificaes do fabricante dos
equipamentos.
Recomenda-se o uso de UPS (Uninterruptible Power Supply) para suportar as
paradas e desligamento dos equipamentos ou para manter o funcionamento contnuo dos
equipamentos que suportam operaes crticas dos negcios. Convm que hajam planos de
46
contingncia de energia referentes s providncias a serem tomadas em caso de falha do UPS.
Convm que seja considerado um gerador de emergncia caso seja necessrio que o
processamento continue mesmo se houver uma interrupo prolongada do suprimento de
energia. Convm que esteja disponvel um suprimento adequado de combustvel para garantir
a operao prolongada do gerador. Convm que os equipamentos UPS e os geradores sejam
verificados em intervalos regulares para assegurar que eles tenham capacidade adequada, e
sejam testados de acordo com as recomendaes do fabricante. Alm disto, deve ser
considerado o uso de mltiplas fontes de energia ou de uma subestao de fora separada, se o
local for grande.
Convm que as chaves de emergncia para o desligamento da energia fiquem
localizadas na proximidade das sadas de emergncia das salas de equipamentos, para facilitar
o desligamento rpido da energia em caso de uma emergncia. Convm que seja
providenciada iluminao de emergncia para o caso de queda da fora.
Convm que o suprimento de gua seja estvel e adequado para abastecer os
equipamentos de arcondicionado e de umidificao, bem como os sistemas de extino de
incndios (quando usados). Falhas de funcionamento do abastecimento de gua podem
danificar o sistema ou impedir uma ao eficaz de extino de incndios. Convm que seja
analisada a necessidade de sistemas de alarme para detectar falhas de funcionamento das
utilidades, instalando os alarmes, se necessrio.
Convm que os equipamentos de telecomunicaes sejam conectados rede
pblica de energia eltrica atravs de pelo menos duas linhas separadas, para evitar que a
falha de uma das conexes interrompa os servios de voz. Convm que os servios de voz
sejam adequados para atender s exigncias legais locais relativas a comunicaes de
emergncia.
Abaixo, segue algumas informaes adicionais:
As opes para assegurar a continuidade do suprimento de energia incluem
mltiplas linhas de entrada, para evitar que uma falha em um nico ponto comprometa o
suprimento de energia.
47
Seja utilizada uma lista de documentao das conexes para reduzir a possibilidade de
erros;
48
Segundo a norma ABNT NBR ISO/IEC 27002 (2005), os equipamentos devem ter
uma manuteno correta para assegurar sua disponibilidade e integridade permanentes.
As seguintes diretrizes para a manuteno dos equipamentos devem ser levadas em
considerao:
Segundo a ABNT NBR ISO/IEC 27002 (2005), devem ser tomadas medidas de
segurana para equipamentos que operem fora do local, levando em conta os diferentes riscos
decorrentes do fato de se trabalhar fora das dependncias da organizao.
Convm que, independentemente de quem seja o proprietrio, a utilizao de
quaisquer equipamentos de processamento de informaes fora das dependncias da
organizao seja autorizada pela gerncia.
As seguintes diretrizes para a proteo de equipamentos usados fora das
dependncias da organizao devem ser levadas em considerao:
49
portteis sejam carregados como bagagem de mo e disfarados, sempre que possvel,
quando se viaja;
Haja uma cobertura adequada de seguro para proteger os equipamentos fora das
dependncias da organizao.
Ainda segundo a ABNT NBR ISO/IEC 27002 (2005), os riscos de segurana, por
50
observadas:
Podem ser feitas inspees aleatrias para detectar a retirada no autorizada de bens e
a existncia de equipamentos de gravao no autorizados, armas etc., e impedir sua
entrada no local. Convm que tais inspees aleatrias sejam feitas de acordo com a
legislao e as normas aplicveis. Convm que as pessoas sejam avisadas da
realizao das inspees, e elas s podem ser feitas com a devida autorizao, levando
em conta as exigncias legais e regulamentares.
51
3 CHECKLIST PROPOSTO
CHECKLIST PROPOSTO PARA VERIFICAO DA SEGURANA FSICA BASEADO NA NORMA ABNT NBR ISO/IEC 27002:2005
Item
1
1.1
Seo
Segurana Fsica e do Ambiente
reas de Segurana
1.1.1
1.1.2
1.1.3
1.1.4
1.1.5
1.2
1.2.1
1.2.2
Fornecimento de energia
1.2.3
Segurana do cabeamento
1.2.4
Manuteno de equipamentos
1.2.5
1.2.6
1.3
Controles Gerais
1.3.1
1.3.2
Remoo de propriedade
Questes a auditar
Sim?
No?
Se barreiras fsicas, como recursos de segurana, foram implementadas para proteger o servio
de processamento da informao.
Alguns exemplos de tais recursos de segurana so o controle por carto do porto de entrada,
muros, presena de um funcionrio na recepo, etc.
Se existem controles de entrada para permitir somente a entrada do pessoal autorizado dentro
de vrias reas da organizao.
Se as salas, que possuem o servio de processamento de informao ou contm armrios
fechados ou cofres, so trancadas.
Se o servio de processamento de informao protegido contra desastres naturais ou causados
pelo homem.
Se existe alguma ameaa potencial de propriedades vizinhas.
Se existe algum controle de segurana para prestadores de servio ou funcionrios trabalhando
em rea de segurana. A informao s deve ser fornecida quando necessrio.
Se as reas de expedio e carga e de processamento de informao so isoladas uma da
outra, para evitar acesso no autorizado.
Se uma avaliao de risco foi realizada para determinar a segurana de tais reas.
Se o equipamento foi instalado em local apropriado para minimizar acesso no autorizado rea
de trabalho.
Se os itens que requerem proteo especial foram isolados para reduzir o nvel geral de proteo
exigida.
Se os controles foram adotados para minimizar o risco de ameaas potenciais, como roubo, fogo,
exploso, fumaa, gua, poeira, vibrao, efeitos qumicos, interferncia no fornecimentos de
energia, radiao eletromagntica, inundao.
Se existe uma poltica especial para alimentao, bebida e fumo nas proximidades das
instalaes de processamento da informao.
Se os aspectos ambientais so monitorados para evitar condies que possam afetar de maneira
adversa a operao das instalaes de processamento da informao.
Se o equipamento protegido contra falhas de energia e outras anomalias na alimentao
eltrica., utilizando fornecimento de energia permanente como alimentao mltipla, no-break,
gerador de reserva, etc.
Se o cabeamento eltrico e de telecomunicaes que transmite dados ou suporta os servios de
informao protegido contra interceptao ou dano.
Se existe algum controle de segurana adicional para informaes sensveis ou crticas.
Se os equipamentos tm manuteno de acordo com os intervalos e especificaes do
fabricante.
Se a manuteno realizada apenas pelo pessoal autorizado.
Se so mantidos registros com todas as falhas suspeitas ou ocorridas e de toda a manuteno
corretiva e preventiva.
Se os controles apropriados so utilizados quando do envio de equipamentos para manuteno
fora da instalao fsica.
Se todos os requisitos impostos pelas aplices de seguro so atendidos.
Se um equipamento autorizado pela direo quando necessitar ser utilizado fora das
instalaes da organizao.
Se dispositivos de armazenamento contendo informaes sensveis so fisicamente destrudos
ou sobrescritos de maneira segura.
Se um servio de bloqueio automtico de tela de computador est ativo. Isso ir travar o
computador sempre que for deixado ocioso por um determinado tempo.
Se os empregados so avisados para deixar qualquer material confidencial de forma segura e
trancada.
Se os equipamentos, informaes ou software podem ser retirados em adequada autorizao.
Se inspees regulares so realizadas para detectar remoo de propriedade no autorizada.
Se as pessoas esto cientes que estas inspees regulares esto realizadas.
FIGURA 4 Checklist baseado na Norma NBR ISO 27002. Fonte: NBR ISO/IEC 27002:2005
52
A Norma ABNT NBR ISO/IEC 27002:2005 a principal referncia para assegurar
a implantao adequada e eficaz da Segurana da Informao em uma organizao,
abordando a verificao de conformidade de uma organizao segundo a norma no quesito
Segurana Fsica. Todos os aspectos propostos no Checklist foram descritos anteriormente no
segundo captulo, subitem 2.9.
Esse Checklist poder servir de termmetro para que as organizaes consigam
checar o seu nvel de conformidade com a norma, e assim corrigir os pontos falhos.
Algumas observaes devem ser levadas em considerao aps a aplicao do
Checklist:
o Deve-se levar em conta que no obrigatoriamente todos os controles e
diretrizes contidos na Norma ABNT NBR ISO/IEC 27002:2005 tero que ser
aplicados, devendo ser realizado um estudo de anlise e avaliao de risco
considerando-se os objetivos e as estratgias globais de negcio da
organizao.
o Uma consultoria externa especializada pode ser necessria para ajudar no
planejamento e na implantao da Norma ABNT NBR ISO/IEC 27002:2005
na organizao.
o Controles adicionais e recomendaes no includas nesta Norma podem ser
necessrios, como por exemplo, a implementao de um sistema de medio,
que seja usado para avaliar o desempenho da gesto da segurana da
informao e obteno de sugestes para a melhoria.
o Distribuio e divulgao de diretrizes e normas sobre a poltica de segurana
da informao de forma eficiente para todos os gerentes, funcionrios e outras
partes envolvidas para se alcanar a conscientizao, com isso ganhando um
comprometimento e apoio visvel de todos nveis gerenciais.
53
4 CONSIDERAES FINAIS
4.1 Concluso
54
so baseados somente na Segurana Fsica da Informao, tendo ficado de fora dos estudos
a Segurana Lgica e outros aspectos que so tambm abordados pela Norma ABNT NBR
ISO/IEC 27002:2005.
55
REFERNCIAS
56
FERREIRA, Fernando Nicolau Freitas; ARAJO, Marcio Tadeu, Poltica de segurana da
informao: Guia prtico para embalagem e implementao. Rio de Janeiro: Cincia
Moderna, 2006.
GOMES, George; OLIVEIRA, Suelene. Guia para Elaborao de Textos Acadmicos
Projeto de Monografia e Monografia. Fortaleza: Faculdade Loureno Filho - FLF, 2010.
HONEYCUTT, Jerry. Usando a internet. Rio de Janeiro: Campus, 1998.
HONRIO, Paulo Henrique Arajo. HACKERS Como se proteger?. 2003. Monografia
(Graduao em Cincias da Computao), Centro Universitrio do Tringulo, Uberlndia,
2003. Disponvel em:
<http://www.computacao.unitri.edu.br/downloads/monografia/28211129128857.pdf>. Acesso
em: 10 Out. 2007.
INFORMA
BR,
Segurana
da
informao,
2007,
Disponvel
<http://www.informabr.com.br/nbr.htm#13>, Acesso em: 06 Nov. 2007.
em:
57
Trabalho de concluso de curso (Tecnlogo em Tecnologia da Segurana da Informao).
Faculdades Integradas ICESP, Braslia, 2004.
SMOLA, Marcos. Gesto da segurana da informao: Uma viso executiva. Rio de
Janeiro: Campus, 2003.
SOARES, Luiz Fernando Gomes; LEMOS, Guido; COLCHER, Srgio. Redes de
computadores: das LANs, MANs e WANs s redes ATM. Rio de Janeiro: Campus, 1995.
VANZOLINE. Portal da fundao carlos alberto vanzolina. Disponvel em:
<http://portal.vanzolini.org.br/areas/certificacao/auditores/pdf/PROCED/p.com.34.pdf>,
Acesso em: 06 Nov. 2007.
WADLOW, Thomas. Segurana de Redes. Rio de Janeiro: Campus, 2000.