Upload
vannguyet
View
213
Download
0
Embed Size (px)
Citation preview
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2950
TSI
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA A EMPRESA MG COMÉRCIO DE FERRAGENS
EMIVAL CÂNDIDO MESQUITA JÚNIOR RUBBIANY CAVIQUIOLI DE SOUZA CID BENDAHAN COELHO CINTRA
Resumo Este trabalho tem por objetivo propor uma política de segurança da informação para a MG Comércio de Ferragens para os setores de vendas, sala do proprietário e financeiro/sala do servidor. Foi realizado o desenvolvimento do referencial teórico baseado em livros, trabalhos técnicos, artigos da internet e Normas técnicas, para melhor execução deste trabalho. Após o referencial teórico, foram realizadas duas análises da MG Comércio de Ferragens sendo a primeira de âmbito estrutural físico e a segunda de âmbito estrutural lógico. O objetivo destas análises é verificar os ativos físicos e lógicos encontrados no local e a vulnerabilidades a que estes ativos estão expostos, e através de uma matriz de risco baseada no modelo de Ferreira; Araújo (2008, p. 179), calcular o grau de consequência caso ocorra uma exploração maliciosa dessas vulnerabilidades. Em acordo com essa matriz de risco, é apresentada uma política de segurança da informação contendo propostas de melhorias nos ambientes físico e lógico para maior preservação e segurança dos ativos da empresa em conformidade com a Norma ABNT NBR ISO/IEC 27002:2005. Palavras chaves: Política, Segurança, Informação, matriz, ativos, risco, vulnerabilidade Abstract This document propose an information security policy to MG Comércio de Ferragens to the sale department, owner room and financial server. This theoretical referential was developed based on books, technical works, internet articles and technical standards. After the theoretical referential, two analysis of MG Comércio de Ferragens were made, first one based on its physical structure and second one based on its logical structure. The object of these analysis is check physical and logical devices found on local and its vulnerabilities and through a risk matrix, based in the Ferreira; Araújo’s (2008, p. 179) model, calculate the rate of consequences of a malicious exposure. Based on risk matrix, this document present an information security policy that contain proposals for improvements on physical and logical environments with the object to preserve the security of devices of this company, in accordance with the Standard ABNT NBR ISO/IEC 27002:2005. Key words: Politics, Security, Information, matrix, risk, asset, vulnerability INTRODUÇÃO
Com as recentes e disponíveis possibilidades de estudo, pesquisas e investimento, o avanço tecnológico tem facilitado o acesso e a transmissão de informação. Assim, as informações ficam cada vez mais expostas, vulneráveis e de fácil acesso, principalmente no meio online, a exemplo das redes sociais.
Tal vulnerabilidade também é identificada no meio empresarial e, sendo a informação o principal tesouro de negócio para desde os pequenos empreendedores até as grandes empresas transnacionais, tornar restrito e seguro o acesso a essas informações importantes tem se tornado cada vez mais necessário e desafiador.
Quando se há contato com o mundo, qualquer pessoa pode visualizar as suas “portas” de acesso (vulnerabilidades) e mesmo que essa pessoa não tenha a chave, se ela souber como abrir, ela poderá abrir.
Para maior resguardo desses ativos, as empresas desenvolvem Políticas de Segurança da Informação voltadas para o sistema utilizado, para o meio físico de trabalho, para o acesso dos usuários internos e externos, a exemplo dos funcionários, clientes, etc., e principalmente, focadas nas vulnerabilidades com maior probabilidade de exploração.
Segurança não significa apenas proteger a informação a sete chaves, mas também garantir a disponibilidade do ativo ao usuário. Os problemas de segurança geram a não disponibilidade. E quando se fala em disponibilidade, é importante saber que esse termo se refere à disponibilidade
da informação para seus devidos responsáveis ou utilizadores, de maneira que só poderá acessar a informação se houver permissão de acesso.
No desenvolvimento do trabalho, será apresentada uma proposta de política de segurança da informação voltada aos ambientes físico e lógico da MG Comércio de Ferragens, em conformidade com a Norma ABNT NBR ISO/IEC 27002:2005. Serão identificados os principais ativos de informação e mensurados e citados os riscos que cada ativo está exposto, e ainda, propostas para minimização dos riscos pontuais com vistas à continuidade do negócio. JUSTIFICATIVA
O valor da informação é tão importante para a instituição mencionada que é preciso tratá-la e garantir a segurança de dados dos ativos através de uma política de segurança física e lógica eficaz, para que a instituição tenha sucesso.
Seguindo a política de segurança física e lógica corretamente é possível garantir um aumento de segurança em todos os setores, que se encontram em situação precária pois não possuem qualquer meio seguro dentro do ambiente estudado.
A justificava do trabalho observa a necessidade e a importância da implantação da política de segurança física e lógica no ambiente organizacional analisado, contendo vários pontos críticos a serem corrigidos.
A empresa possui diversas vulnerabilidades nas quais serão corrigidas com a implantação da política de segurança da
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2951
informação. A finalidade dessa política é diminuir drasticamente os riscos e incidentes existentes dentro da organização, afim de melhorar o ambiente de trabalho e os negócios da organização. OBJETIVOS OBJETIVO GERAL
Elaborar uma proposta de política de segurança com base nas diretrizes da Norma ABNT NBR ISO/IEC 27002 utilizando informações e orientações para criação de uma política eficaz. OBJETIVOS ESPECÍFICOS
Pesquisar bibliografias que orientem e direcionem à criação de Políticas de Segurança;
Verificar os aspectos físicos e lógicos da empresa MG Comércio de Ferragens;
Analisar os riscos do ambiente, físico e lógico, conforme classificação do nível da Matriz de Risco;
Comparar com as diretrizes contidas na Norma ABNT NBR ISO/IEC 27002:2005;
Elaborar uma proposta de Política de Segurança da Informação, que sigam diretrizes e ações contidas na Norma ABNT NBR ISO/IEC 27002:2005, do ambiente onde estão os ativos computacionais e adquirir segurança e responsabilidade, em acordo com o resultado da Análise de Riscos feita no ambiente referido. METODOLOGIA Seguem os procedimentos metodológicos utilizados para o desenvolvimento deste trabalho: a) Pesquisa do conteúdo referente a Política de Segurança física e lógica e análises literárias. b) Visita ao local foco da política de segurança da informação para identificação dos ativos físicos e lógicos, estabelecendo valores para a identificação das vulnerabilidades para a continuidade do negócio. c) Elaboração de matrizes de risco em conformidade com o modelo proposto por Ferreira; Araújo (2008, p.179), considerando o levantamento de ativos e definição dos riscos e probabilidade de impacto causados por incidentes. d) Elaboração de uma política de segurança da informação em conformidade com a Norma ABNT NBR ISSO/IEC 27002:2005, de acordo com as análises física e lógica realizadas. REFERENCIAL TEÓRICO INFORMAÇÃO
Pela ideia de Fontes (2006, p. 02) a informação é um importante recurso que move o mundo e forma todo conhecimento de como o universo está caminhando. Desde o nosso nascimento, uma das primeiras informações
passadas é a ação de chorar ao nascer, informando que há vida.
Assim, “informação é muito mais que um conjunto de dados. Transformar esses dados em informação é transformar algo com pouco significado em um recurso de valor para a nossa vida pessoal ou profissional” (FONTES, 2006, p. 02).
“Do ponto de vista profissional, é necessário proteger a informação da empresa porque ela é o sangue que move a organização. Sem ela, nada existe” (FONTES, 2006, P. 03).
Conforme a norma ABNT NBR ISO/IEC
27002 (2005 p. x),
A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegia. Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectado. Como um resultado deste incrível aumento da interconectividade, a informação está agora exposta a um crescente número e a uma grande variedade de ameaças e vulnerabilidades.
SEGURANÇA DA INFORMAÇÃO
Segundo Fontes (2006, p. 11), segurança da informação possibilita que o negócio seja realizado e com isso o objetivo final alcançado, utilizando procedimentos, normas, conjuntos de orientações, políticas e ações que possuem por objetivo promover a proteção do recurso informação. Ainda, na mesma ideia, afirma que a existência da segurança da informação se baseia na minimização do risco do negócio em função da dependência do uso dos recursos de informação para o bom funcionamento da organização. O retorno e o bom funcionamento do negócio podem ser comprometidos caso a informação seja utilizada de forma incorreta.
Assevera Sêmola (2003, p.43),
Podemos definir segurança da informação como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade. De forma mais ampla, podemos também considerá-la como a prática de gestão de riscos de incidentes que impliquem no comprometimento dos três principais conceitos da segurança: confidencialidade, integridade e disponibilidade da informação. Desta forma estaríamos falando da definição de regras que incidiram sobre todos os momentos do ciclo de vida da informação: manuseio, armazenamento, transporte e descarte, viabilizando a identificação e o controle de ameaças e vulnerabilidades.
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2952
Conforme a norma ABNT NBR ISO/IEC 27002 (2005 p. x).
Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.
A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão de negócio.
Alguns dos principais pilares da segurança da informação são de extrema importância para atender aos princípios básicos para a proteção do ativo, definidos a seguir por Pinheiro (2008, p. 8):
Confidencialidade ou privacidade – proteger as informações contra o acesso de qualquer pessoa não autorizada. Este objetivo envolve medidas como controle de acesso físico e lógico. Integridade dos dados – evitar que dados sejam apagados ou alterados sem a permissão do gestor da informação. Disponibilidade – garantir o funcionamento pleno do sistema computacional e dos seus recursos aos usuários autorizados.
Junto à tríade da segurança da informação, segundo Pinheiro (2008, p.8 e 9) outros objetivos básicos importantes para a melhor proteção do ativo são definidos a seguir:
Consistência – Certificar-se de que o sistema atua de acordo com a expectativa dos usuários. Isolamento ou uso legítimo – Controlar o acesso e garantir que somente usuários autorizados utilizem os recursos do sistema. Auditoria – proteger os sistemas contra erros e atos cometidos por usuários autorizados. Para identificar autores e ações são utilizadas trilhas de auditorias e logs, que registram o que foi executado no sistema, por quem e quando. Confiabilidade – garantir que, mesmo em condições adversas, o sistema atuará conforme esperado. Legalidade – garantir que a informação deva estar em conformidade com os preceitos da Política de Segurança em vigor.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Assevera Ferreira; Araújo (2008, p. 36),
A Política de Segurança define o conjunto de normas, métodos e procedimentos utilizados para a manutenção da segurança da informação,
devendo ser formalizada e divulgada a todos os usuários que fazem uso dos ativos de informação. Deve-se utilizar uma visão metódica, criteriosa e técnica em seu desenvolvimento e elaboração, de forma que possam ser sugeridas alterações na configuração de equipamentos, na escolha de tecnologia, na definição de responsabilidades e, por fim, na elaboração das políticas com o perfil da empresa e dos negócios que ela pratica. Não podemos esquecer que ela deve expressar os anseios dos proprietários ou acionistas, que são responsáveis por decidir os destinos de todos os recursos da organização em relação ao uso da informação por todos aqueles que têm acesso a este bem.
Ainda pela ideia de Ferreira; Araújo (2008, p. 37) a política de segurança deve ser criada antes que ocorra um incidente de segurança, ou depois, para que não haja reincidências.
O entendimento daquilo que precisa ser protegido está além do simples hardware e software que compõem os sistemas, abrangendo, também, as pessoas e os processos de negócio. Deve-se considerar o hardware, software, dados e documentação, identificando de quem estes elementos necessitam ser protegidos. (FEREIRA; ARAÚJO, 2008, p. 37).
Assevera Beal (2005, p. 43),
A elaboração de uma política de segurança (PSI) representa um passo fundamental no estabelecimento de um sistema de gestão de segurança da informação eficaz. A PSI é o documento que registra os princípios e as diretrizes de segurança adotado pela organização, a serem observados a todos os sistemas de informação e processos corporativos. A PSI estabelece as linhas-mestras a serem seguidas na implementação da segurança da informação, formalizando todos os aspectos relevantes para a proteção, o controle e o monitoramento de seus ativos de informação. Por meio dela a direção da organização demonstra seu comprometimento com a proteção da informação, e cria a base para a colaboração de todos os integrantes com os processos de identificação e tratamento dos riscos.
OBJETIVOS DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Beal (2005, p. 49) traz por ideia que a medida principal de uma Política de Segurança da Informação (PSI) deve ser de caráter preventivo, ou seja, os eventuais riscos devem ser premeditadamente verificados e eliminados. Pode-se dizer:
De forma geral, aas estruturas organizacionais conhecem limites das atribuições e responsabilidades dentro de suas áreas de atuação e os riscos envolvidos, mesmo quando não existem normas a respeito da segurança. As
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2953
medidas de prevenção são, em princípio, essencialmente de cunho normativo. (BEAL, 2005, p. 49)
A Norma ABNT NBR ISO/IEC 27002 (2005, p.08) traz por objetivo:
Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes. Convém que a direção estabeleça uma clara orientação da política, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização.
Ainda sobre a Norma ABNT NBR ISO/IEC 27002 (2005, p. xii e xiii) são fatores críticos de sucesso de uma política de segurança da informação: a) política de segurança da informação, objetivos e atividades, que reflitam os objetivos de negócio; b) uma abordagem e uma estrutura para a implementação, manutenção, monitoramento e melhoria da segurança da informação que seja consistente com a cultura organizacional; c) comprometimento e apoio visível de todos os níveis gerenciais; d) um bom entendimento dos requisitos de segurança da informação, da análise/avaliação de riscos e da gestão de risco; e) divulgação eficiente da segurança da informação para todos os gerentes, funcionários e outras partes envolvidas para se alcançar a conscientização; f) distribuição de diretrizes e normas sobre a política de segurança da informação para todos os gerentes, funcionários e outras partes envolvidas; g) provisão de recursos financeiros para as atividades da gestão de segurança da informação; h) provisão de conscientização, treinamento e educação adequados; i) estabelecimento de um eficiente processo de gestão de incidentes de segurança da informação; j) implementação de um sistema de medição, que seja usado para avaliar o desempenho da gestão da segurança da informação e obtenção de sugestões para a melhoria. CONCEITOS RELACIONADOS À SEGURANÇA DA INFORMAÇÃO ATIVO
“Ativo é todo elemento que compõe os processos que manipulam e processam a informação, a contar a própria informação, o meio em que ela é armazenada, os equipamentos em que ela é manuseada, transportada e descartada”. (SÊMOLA, 2003, p.45).
Conforme a Norma ABNT NBR ISO/IEC 27002 (2005, p.21) existem diversos tipos de ativos, incluindo: I. Ativos de informação: base de dados e arquivos, contratos e acordos, documentação de
sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas; II. Ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários; III. Ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos; IV. Serviços: serviços de computação e comunicações, utilidades gerais, por exemplo, aquecimento, iluminação, eletricidade e refrigeração; V. Pessoas e suas qualificações, habilidades e experiências; VI. Intangíveis, tais como a reputação e imagem da organização. CLASSIFICAÇÃO DOS ATIVOS DE INFORMAÇÕES
De acordo com Ferreira; Araújo (2008, p. 78) classificar a informação é o processo onde se estabelece o grau de importância das informações ao que se refere ao negócio. Quanto mais decisiva, importante e estratégica para o negócio, maior será sua importância. A classificação deve ser realizada constantemente referente a qualquer meio de armazenamento.
Conforme a Norma ABNT NBR ISO/IEC 27002 (2005, P. 23),
Convém que a classificação da informação e seus respectivos controles de proteção levem em consideração as necessidades de compartilhamento ou restrição de informações e os respectivos impactos nos negócios, associados com tais necessidades. Convém que as diretrizes de classificação incluam convenções para a classificação inicial e reclassificação ao longo tempo, de acordo com algumas políticas de controle de acesso predeterminadas. Convém que cuidados sejam tomados com a quantidade de categorias de classificação e com os benefícios obtidos pelo seu uso. Esquemas excessivamente complexos podem tornar o uso incômodo e ser inviáveis economicamente ou impraticáveis. Convém que atenção especial seja dada na interpretação dos rótulos de classificação sobre documentos de outras organizações, que podem ter definições diferentes para rótulos iguais ou semelhantes aos usados.
De acordo com a Norma ABNT NBR ISO/IEC 27002 (2005, p. 21),
Convém que todos os ativos sejam claramente identificados e um inventário de todos os ativos importantes seja estruturado e mantido. Convém que a organização identifique todos os ativos e documente a importância destes ativos. Convém que o inventário do ativo inclua todas as informações necessárias que permitam recuperar
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2954
de um desastre, incluindo o tipo de ativo, formato, localização, informações sobre cópias de segurança, informações sobre licenças e a importância do ativo para o negócio. Convém que o inventário não duplique outros inventários desnecessariamente, porém ele deve assegurar que o seu conteúdo está coerente.
Adicionalmente, convém que o proprietário e a classificação da informação sejam acordados e documentados para cada um dos ativos. Convém que, com base na importância do ativo, seu valor para o negócio e a sua classificação de segurança, níveis de proteção proporcionais à importância dos ativos sejam identificados.
Para ter como parâmetro a classificação dos ativos, pode-se realizar um inventário como no Quadro
1 a seguir exemplificado:
Quadro 1: Inventário de ativos NATUREZA DO
ATIVO ATIVOS DA INFORMAÇÃO
Informação
• Banco de dados e arquivos magnéticos • Documentação de sistemas e manual do usuário • Material de treinamento • Procedimentos operacionais de recuperação • Planos de continuidade
Documentos em papel • Contratos • Documentação de empresa • Relatórios confidenciais
Software
• Aplicativos • Sistemas operacionais • Ferramentas de desenvolvimento • Utilitários do sistema
Físico
• Servidores, desktops e notebooks • Impressoras e copiadoras • Equipamentos de comunicação • Mídias magnéticas • Gerador, no-break e ar-condicionado • Móveis, prédios e salas
Pessoa • Empregados, estagiários, terceiros e fornecedores
Serviço ou atividade • Computação (aplicação de patches, backup) • Comunicação (ligações telefônicas, videoconferências) • Utilidades gerais
Fonte: Ferreira; Araújo (2008, p. 78 e 79)
Segundo Ferreira; Araújo (2008, p. 79) é necessário conhecer as atividades realizadas, processos e compreender o negócio da organização para se dar início ao processo de classificação. RISCO
Assevera Moreira (2001, p. 21):
Todos os ativos da empresa estão sujeitos a vulnerabilidade em maior ou menor escala e, neste caso, estas vulnerabilidades proporcionam riscos
para a empresa, e são causados muitas vezes por falhas nos seus controles. Logo, podemos dizer que os riscos surgem em decorrência da presença de fraqueza e, por conseguinte, vulnerabilidade.
“Risco é a probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando possivelmente, impacto ao negócio.” (SÊMOLA, 2003, p 50).
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2955
VULNERABILIDADE Afirmam Ferreira; Araújo (2008, p. 171) se
torna uma vulnerabilidade toda fraqueza que pode ser explorada de forma acidental ou intencional.
Conforme Sêmola afirma (2003, p.48), Vulnerabilidade é a fraqueza presente ou associada a ativos que manipulam e/ou processam informações que, ao ser explorada por ameaças, permite ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios da segurança da informação: confidencialidade, integridade e disponibilidade. As vulnerabilidades por si só não provocam incidentes, pois são elementos passivos necessitando para tanto de um agente causador ou condição favorável, que são ameaças.
AMEAÇA
Ferreira; Araújo (2008, p. 171) afirma dar-se por ameaça a possibilidade de uma vulnerabilidade ser explorada de forma eficaz por um invasor ou evento inesperado.
Dispõe Sêmola (2003, p. 47 e 48):
Ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidade, provocando perdas de confidencialidade, integridade e disponibilidade e, consequentemente, causando impactos aos negócios de uma organização. Classificando as ameaças quanto a sua intencionalidade, elas podem ser divididas nos seguintes grupos: • Naturais – Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremoto, tempestades eletromagnéticas, maremotos, aquecimento, poluição etc. • Involuntárias – Ameaças inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causadas por acidentes, erros, falta de energia etc. • Voluntárias – Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários.
ATAQUE
Ferreira; Araújo (2008, p. 171) define por ataque através de duas perspectivas sendo a primeira em relação à tentativa por forma maliciosa de obter acesso não autorizado a uma informação comprometendo a tríade confidencialidade, integridade e a disponibilidade; a segunda se baseia apenas na obtenção de alguma informação por suporte ou consulta, mas de maneira que burle a segurança.
Fato (evento) decorrente da ação de uma ameaça, que explora uma ou mais vulnerabilidades, levando à perda de princípios da segurança da informação: confidencialidade, integridade e disponibilidade.
Um incidente gera impactos aos processos de negócios da empresa sendo ele o elemento a ser evitado em uma cadeia de gestão de processos e pessoas. (SÊMOLA, 2003, p. 50)
Conforme a Cartilha Cert.br (2012, p. 17) os motivos pelos quais são realizados os ataques podem ser diversos desde diversão, prestígio ou até mesmo por ideologia, visando diversos alvos e utilizando variadas técnicas.
Conforme encontra-se na Cartilha Cert.br (2012, p. 17 e 18),
Demonstração de poder : mostrar a uma empresa que ela pode ser invadida ou ter os serviços suspensos e, assim, tentar vender serviços ou chantageá-la para que o ataque não ocorra novamente. Prestígio : vangloriar-se, perante outros atacantes, por ter conseguido invadir computadores, tornar serviços inacessíveis ou desfigurar sites considerados visados ou difíceis de serem atacados; disputar com outros atacantes ou grupos de atacantes para revelar quem consegue realizar o maior número de ataques ou ser o primeiro a conseguir atingir um determinado alvo. Motivações financeiras : coletar e utilizar informações confidenciais de usuários para ampliar golpes. Motivações ideológicas : tornar inacessível ou invadir sites que divulguem conteúdo contrário à opinião do atacante; divulgar mensagens de apoio ou contrários a uma determinada ideologia. Motivações comerciais : tornar inacessível ou invadir sites e computadores de empresas concorrentes, para tentar impedir o acesso dos clientes ou comprometer a reputação destas empresas.
Para alcançar algum dos objetivos citados, os atacantes podem utilizar de alguma das principais técnicas de exploração de vulnerabilidades ainda segundo a Cartilha Cert.br (2012, p. 18 à 21):
Varredura em redes ( Scan): Varredura em redes, ou scan, é uma técnica que consiste em efetuar buscas minuciosas em redes, com o objetivo de identificar computadores ativos e coletar informações sobre eles como, por exemplo, serviços disponibilizados e programas instalado. Com base nas informações coletadas, é possível associar possíveis vulnerabilidades aos serviços disponibilizados e aos programas instalados nos computadores ativos detectados. Falsificação de e-mail ( E-mail spoofing): Falsificação de e-mail, ou e-mail spoofing é uma técnica que consiste em alterar campos do cabeçalho de um e-mail, de forma a aparentar que foi enviado de uma determinada origem quando, na verdade, foi enviado de outra. Interceptação de tráfego ( Sniffing): Interceptação de tráfego, ou sniffing, é uma técnica que consiste em inspecionar os dados trafegados
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2956
em redes de computadores, por meio de uso de programas específicos chamados de sniffers. Força bruta ( Brute force): Um ataque de força bruta, ou brute force, consiste em adivinhar, por tentativa e erro, um nome de usuário e senha e, assim, executar processos e acessar sites, computadores e serviços em nome e com os mesmos privilégios deste usuário. Desfiguração de página ( Defacement): Desfiguração de página, defacement ou pichação, é uma técnica que consiste em alterar o conteúdo da página Web de um site. Negação de serviço ( DoS e DDoS): Negação de serviço, ou DoS (Denial of Service), é uma técnica pela qual um atacante utiliza um computador para tirar de operação um serviço, um computador ou uma rede conectada à internet. Quando utilizada de forma coordenada e distribuída, ou seja, quando um conjunto de computadores é utilizado no ataque, recebe o nome de negação de serviço distribuído, ou DDoS (Distributed denial of Service).
A Cartilha Cert.br (2012, p. 23), informa que os ataques podem ser realizados através de códigos maliciosos (malware) que são desenvolvidos com o intuito de executar ações que causem danos a um ou a um conjunto de computadores. Estes podem explorar vulnerabilidades que existem em programas instalados no computador; infecção através de mídias removíveis que estejam infectadas, sendo pen-drives os mais comuns; pela utilização de navegadores vulneráveis, o acesso a sites maliciosos; ataques diretos pela invasão do computador e inserção de códigos maliciosos; arquivos executáveis contidos em mensagens eletrônicas.
Conforme a Cartilha Cert.br (2012, p. 24 à 29), seguem alguns dos principais códigos maliciosos (malware) existentes: Vírus : Vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos. Worm: é um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador.
Bot e botnet: é um programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente. Possui processo de infecção e propagação similar ao do worm, ou seja, é capaz de se propagar automaticamente, explorando vulnerabilidades existentes em programas instalados em computadores. Spyware: é um programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas para terceiros. Backdoor: é um programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços criados ou modificados para este fim. Cavalo de Troia ( Trojan): é um programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário. Rootkit: é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido.
MATRIZ DE RISCO
“A melhor forma de determinar o grau de risco é relacionar em detalhes quais seriam os impactos para a organização, se uma ameaça conseguir explorar uma vulnerabilidade”. (FERREIRA; ARAÚJO, 2008, p.177)
Assevera Sêmola (2003, p. 112),
Calculada a probabilidade e severidade de uma ameaça, explorar cada uma das vulnerabilidades encontradas em cada ativo, obtemos o nível de risco final de cada ativo. De posse desses resultados parciais, podemos projetar o nível de risco de cada processo de negócio, considerando os riscos de cada ativo que o sustenta. A partir desse momento, podemos estimar o risco do negócio como um todo, calculando de forma ponderada os riscos de cada um dos processos de que o negócio que o suporta.
O nível de probabilidade de uma ocorrência, pode ser expressado conforme o Quadro 2:
Quadro 2: Definição do nível de probabilidade
NÍVEL DEFINIÇÃO
Alto
A fonte de ameaça está altamente motivada e possui conhecimento suficiente para a execução do ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada são ineficazes.
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2957
Médio
A fonte de ameaça está motivada e possui conhecimento suficiente para a execução do ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada são eficazes.
Baixo
A fonte de ameaça não está altamente motivada e não possui conhecimento suficiente para a execução do ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada são eficazes.
Fonte: Ferreira; Araújo (2008, p. 177)
“Alguns impactos podem ser medidos quantitativamente por meio da determinação da perda financeira e custo para a realização de manutenção corretiva”. (FERREIRA; ARAÚJO, 2008, p. 178)
O Quadro 3 a seguir especifica as categorias de impacto:
Quadro 3: Definição do nível de impacto
NÍVEL DEFINIÇÃO
Alto • Perda significante dos principais ativos e recursos • Perda da reputação, imagem e credibilidade • Impossibilidade de continuar com as atividades de negócio
Médio • Perda dos principais ativos e recursos • Perda da reputação, imagem e credibilidade
Baixo • Perda de alguns dos principais ativos e recursos • Perda da reputação, imagem e credibilidade
Fonte: Ferreira; Araújo (2008, p. 178)
Como podemos notar no Quadro 4 a seguir, “o risco pode ser determinado pela multiplicação da classificação da probabilidade de ocorrência versus o impacto da organização”. (FERREIRA; ARAÚJO, 2008, p. 179)
Quadro 4: Matriz do nível de risco
PROBABILIDADE
IMPACTO
Baixo Médio Alto
-50 -50 -100
Alto (1,0) Baixo Médio Alto
10 x 1,0 = 10 50 x 1,0 = 50 100 x 1,0 = 100
Médio (0,5) Baixo Médio Médio
10 x 0,5 = 5 50 x 0,5 = 25 100 x 0,5 = 50
Baixo (0,1) Baixo Baixo Baixo
10 x 0,1 = 1 50 x 0,1 = 5 100 x 0,1 = 10
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2958
Escala de risco:
• Alto – pontuação entre 51 e 100
• Médio – pontuação entre 11 e 50
• Baixo – pontuação entre 1 e 10
Fonte: Ferreira; Araújo (2008, p. 179) “Após a determinação da matriz de riscos, deve ser especificada a descrição do nível do risco (Alto,
Médio e Baixo), bem como as ações necessárias para diminuí-lo”. (FERREIRA; ARAÚJO, 2008, p. 180) Segue o Quadro 5 contendo as definições dos níveis de riscos:
Quadro 5: Definição do nível de risco
NÍVEL DO RISCO DESCRIÇÃO DO RISCO E AÇÕES NECESSÁRI AS
Alto
Se uma possibilidade de melhoria for avaliada como sendo de alto risco, existe necessidade imediata para contramedidas serem adotadas. Os sistemas podem continuar operando, entretanto, ações corretivas devem ser iniciadas o mais breve possível.
Médio Se uma possibilidade de melhoria for classificada como sendo de médio risco, ações corretivas estabelecidas em um plano de ação, devem ser realizadas em um curto período de tempo.
Baixo Se uma observação for classificada como sendo de baixo risco, os administradores e proprietários das informações devem avaliar a necessidade de efetuar manutenção corretiva ou assumir o risco.
Fonte: Ferreira; Araújo (2008, p.180)
SEGURANÇA DO AMBIENTE FÍSICO
Pinheiro (2008, p. 21) traz a ideia de que para coibir acessos físicos não autorizados e evitar danos aos equipamentos da empresa devem ser implementados processos e recursos de segurança.
A segurança física está diretamente relacionada aos aspectos associados a disponibilidade e acesso físico aos recursos computacionais, sejam esses recursos as próprias informações, seus meios de suporte e armazenamento ou os mecanismos de controle de acesso. Além disso, envolve as técnicas de preservação e recuperação das informações e seus meios de transmissão. (PINHEIRO, 2008, p. 22)
O objetivo da implementação da segurança no ambiente físico, conforme a Norma ABNT NBR ISO/IEC 27002 (2005, p. 32), consiste: Prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Convém que as instalações de processamento da informação críticas ou sensíveis sejam mantidas em áreas seguras, protegidas por perímetros de
segurança definidos, com barreiras de segurança e controles de acesso apropriados. Convém que sejam fisicamente protegidas contra o acesso não autorizado, danos e interferências. Convém que a proteção oferecida seja compatível com os riscos identificados.
“Pode-se obter proteção física criando uma ou mais barreiras físicas ao redor das instalações e dos recursos de processamento da informação da organização. ” (ABNT NBR ISO/IEC 27002:2005, p. 33).
CONTROLE DE ACESSO FÍSICO
É necessário que haja controle de acesso físico de maneira que haja restrição de acesso a locais e equipamentos de valor, observando a colocação de Pinheiro (2008, p. 23) não é necessária apenas a restrição de acesso de pessoas externas, mas também, muitas vezes, limitar o acesso de pessoas internas, considerando a funcionalidade desenvolvida e nível hierárquico. Sendo então, o objetivo de controle físico baseado na permissão de usuários autorizados a acessarem seus respectivos ambientes e a impossibilidade de acesso a ambientes não autorizados por usuários não pertinentes.
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2959
Ainda sobre a ideia de Pinheiro (2008, p.23)
Os sistemas de controle são desenvolvidos visando automatizar o processo de verificação de acesso físico ou ajudar em outras tarefas relativas à proteção de patrimônios críticos. Quando usados para autenticação, consistem de uma base de dados contendo informações sobre o nível de acesso dos usuários e um esquema para garantir a identificação dos mesmos.
Informam os itens “b” e “c” das Diretrizes para implementação da Norma ABNT NBR ISSO/IEC 27002 (2005, p. 33) b) O acesso às áreas em que são processadas ou armazenadas informações sensíveis seja controlado e restrito às pessoas autorizadas; convém que sejam utilizados controles de autenticação, por exemplo, cartão de controle de acesso mais PIN (personal identification number), para autorizar e validar todos os acessos; deve ser mantido de forma segura um registro de todos os acessos para fins de auditoria; c) Seja exigido que todos os funcionários, fornecedores e terceiros, e todos os visitantes, tenham alguma forma visível de identificação, e eles devem avisar imediatamente o pessoal de segurança caso encontrem visitantes não acompanhados ou qualquer pessoa que não esteja usando uma identificação visível;
SEGURANÇA DO AMBIENTE LÓGICO
“Segurança do ambiente lógico: Diretrizes para garantir a operação correta e segura dos recursos computacionais e proteger a integridade dos serviços.” (BEAL, 2005, p45)
Pela ideia de Pinheiro (2008, p. 22), a segurança lógica de um ambiente refere-se aos procedimentos, conjuntos de meios, para que haja restrições visando a integridade e controle de acesso aos ambientes lógicos dos recursos utilizados, tanto contidos nos servidores quanto computadores, para que não sejam movidos, alterados ou manipulados por pessoas sem autorização.
Pela Norma ABNT NBR ISO/IEC 27002 (2005, p. 65)
Convém que o acesso à informação, recursos de processamento das informações e processos de negócios sejam controlados com base nos requisitos de negócio e segurança da informação. Convém que as regras de controle de acesso levem em consideração as políticas para autorização e disseminação da informação. CONTROLE DE ACESSO LÓGICO
Pinheiro (2008, p. 26) informa que o controle de acesso lógico implica em afirmar que o usuário é quem diz ser, através de autenticação do usuário por senha. Tal identificação deve ser única, ou seja, cada usuário possui sua senha de identificação. O objetivo principal do controle de
acesso lógico dá-se por restringir os usuários a acessos necessários apenas à execução de suas tarefas o que implica na existência de meios que impeçam a execução de transações não pertinentes as próprias responsabilidades.
Ainda por Pereira (2008, p. 26)
Para cumprir esse objetivo, os controles de acesso lógico devem atender a procedimentos formais que contemplem todo o ciclo de vida do acesso do usuário, desde seu registro inicial, o gerenciamento dos privilégios e senhas, até sua exclusão. Estes procedimentos devem estar em conformidade com a política de disseminação da informação.
De acordo com a Norma ABNT NBR ISO/IEC 27002 (2005, p. 66)
Convém que procedimentos formais sejam implementados para controlar a distribuição de direitos de acesso a sistemas de informação e serviços. Convém que procedimentos cubram todas as fases do ciclo de vida de acesso do usuário, da inscrição inicial como novos usuários até o cancelamento final do registro de usuários que já não requerem acesso a sistemas de informação e serviços. Convém que atenção especial seja dada, onde apropriado, para a necessidade de controlar a distribuição de direitos de acesso privilegiado que permitem os usuários mudar controles de sistemas. Convém que exista um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços.
ENGENHARIA SOCIAL
Conforme a ideia de Rufino (2002, p. 26) para a execução da prática de engenharia social, basta ter um bom poder de persuasão e um breve conhecimento psicológico comportamental. É surpreendente sua eficiência e não costuma deixar rastros que possam identificar o autor da ação. Existem várias formas de obter informações valiosas para serem usadas nesse tipo de ataque e a internet é a fonte mais impressionante de informações, onde pode-se saber desde o básico como dados pessoais de determinado funcionário ao alto nível de informações como históricos de empregos, listas de discussões e etc. Um meio mais comum de obtenção de informações é através de perguntas bem-feitas, considerando que quanto mais baixo o nível hierárquico do funcionário na empresa, maior as chances de colaboração com ataques por engenharia social.
Informado pela Cartilha Cert.br (2012, p. 115) se define por:
Técnica por meio da qual uma pessoa procura persuadir outra a executar determinadas ações. No contexto desta Cartilha, é considerada uma
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2960
prática de má-fé ou abusar da ingenuidade e da confiança de outras pessoas, a fim de aplicar golpes, ludibriar ou obter informações sigilosas e importantes. O popularmente conhecido “conto do vigário” utiliza engenharia social. NORMA ABNT ISO/IEC 27002:2005
Conforme Ferreira; Araújo (2008, p.52) uma das metodologias e melhores práticas largamente conhecidas e aplicáveis em segurança da informação e governança para o ambiente tecnológico é a NBR ISSO/IEC 27002:2005 (Antiga NBR ISSO/IEC 17799). Houve a indispensabilidade da criação de um modelo padrão devido grande necessidade de atualização dos modelos de estruturas de controle tecnológicos, criados e implementados nas organizações, gerando dificuldades para as áreas de TI manterem seus modelos próprios.
Objetivos
A Norma ABNT NBR ISO/IEC 27002 (2005, p. 01), cujo título Tecnologia da informação – Técnicas de Segurança – Código de prática para a gestão da segurança da informação, estabelece:
[...] diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta Norma provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação. Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados por meio da análise/avaliação de riscos. Esta Norma pode servir como um guia prático para desenvolver os procedimentos de segurança da informação da organização e as eficientes práticas de gestão da segurança, e para ajudar a criar confiança nas atividades interorganizacionais.
Estrutura
A norma ABNT NBR ISO/IEC 27002:2005 possui uma estrutura de informações para melhor atender às necessidades, conforme Ferreira; Araújo (2008, p. 55 e 56):
A norma está distribuída da seguinte forma:
1. Escopo 2. Termos e definições 3. Estrutura da norma
4. Avaliação e tratamento dos riscos 5. Política de segurança da informação 6. Organizando a segurança da informação 7. Gestão de ativos 8. Segurança em recursos humanos 9. Segurança física e do ambiente 10. Gestão das operações e comunicações 11. Controle de acesso 12. Desenvolvimento e manutenção de sistemas 13. Gestão de incidentes 14. Gestão da continuidade dos negócios 15. Conformidade
CONTROLES E DIRETRIZES
Assevera a Norma ABNT NBR ISO/IEC 27002:2005 (2005, p. xiii)
Esta Norma pode ser considerada como um ponto de partida para o desenvolvimento de diretrizes específicas para a organização. Nem todos os controles e diretrizes contidos nesta Norma podem ser aplicados. Além disto, controles adicionais e recomendações não incluídos nesta Norma podem ser necessários. Quando os documentos são desenvolvidos contendo controles ou recomendações adicionais, pode ser útil realizar uma referência cruzada para as seções desta Norma, onde aplicável, para facilitar a verificação da conformidade por auditores e parceiros do negócio.
ESTUDO DE CASO EMPRESA
A empresa surgiu em 1992, situada em um escritório no bairro guará II Distrito Federal comercializando apenas ferragens e acessórios que compõe a fabricação de móveis.
A MG Comércio de Ferragens tem atuação em todo território local na função de comercialização de madeira de lei e ferragens em geral para fabricação de móveis, oferecendo sistema de plano de corte, atendendo tanto clientes pessoa jurídica quanto clientes pessoa física.
ESTRUTURA FÍSICA
As áreas dos ambientes a serem analisados estão situadas no térreo. Sendo: • Balcão de vendas • Sala do Proprietário/Gerente • Financeiro/Sala do servidor
A figura 01 mostra a Fachada da empresa sem nenhum tipo de controle ou monitoramento.
Figura 01 – Fachada da Empresa.
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2961
Fonte: Os autores
A Empresa possui loja própria em um lote situado no Polo de Modas e um galpão para
armazenamento de materiais situado na Colônia agrícola IAPI, ambos no bairro Guará II. Os setores são divididos em sala do proprietário/gerente, balcão de vendas e financeiro/servidor. A empresa funciona de 8:00h as 18:00h, de segunda à sexta e aos sábados das 8:00h as 13:00h
SEGURANÇA FÍSICA DA EMPRESA
Pode-se ver que a empresa possui apenas trancas comuns para segurança dos portões de acesso
(figura 02).
Figura 02 – Portões da empresa
Fonte: Os autores
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2962
O Balcão de vendas serve também como recepção. Possui câmera na parte interna (figura 03) onde seria possível filmar a entrada, porém a câmera não funciona.
Figura 03 - Câmera de vigilância
Fonte: Os autores
A porta para acesso ao balcão de vendas é improvisada (figura 04), permanece aberta e não possui
tranca, não inibindo qualquer ação maliciosa.
Figura – 04 Porta do balcão de vendas
Fonte: Os autores
A disposição dos computadores está inadequada (figura 05), sendo possível o acesso ou visualização por qualquer pessoa que não esteja autorizada a visualizar informações importantes.
Figura 05- Estrutura balcão de vendas
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2963
Fonte: Os autores
Um dos gabinetes do balcão de vendas (figura 06) encontra-se aberto, expondo os hardwares à poeira
ou qualquer dano físico.
Figura 06 – Gabinete aberto
Fonte: Os autores
A sala do financeiro/servidor não possui qualquer identificação (figura 07) e o acesso é facilitado à entrada de qualquer pessoa não havendo qualquer controle de acesso à mesma.
A Fiação, passando por cima da porta, fica exposta, causando risco de incêndio.
Figura 07 – Porta sala do servidor/financeiro
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2964
Fonte: Os autores
A sala do servidor/financeiro possui um rack de parede simples (figura 08) para armazenar o switch e o roteador WiFi.
O rack possui tranca, mas não está em um espaço físico adequado e seguro, possui fios expostos vulneráveis a danos físicos e incêndio.
O espaço do servidor também serve como deposito de objetos de limpeza e objetos pessoais do colaborador do financeiro. Possui sacos plásticos próximos a rede elétrica, podendo ocasionar incêndio.
Figura 08 – Rack simples
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2965
Fonte: Os autores
Todas as informações importantes de negócios são guardadas em gavetas e armários que não
possuem nenhum tipo de tranca ou segurança (figura 09) facilitando o acesso a qualquer pessoa, funcionário ou cliente.
O espaço onde ficam documentos importantes também armazena, na mesma sala, objetos pessoais dos colaboradores, mochila vassoura e vários fios expostos passando perto de informações valiosas, causando risco de incêndio e perda de dados importantes.
Figura 09 – Armário financeiro
Fonte: Os autores
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2966
O gaveteiro, onde são guardados outros documentos importantes, não possui tranca (figura 10) o que não garante a segurança e facilita o acesso por terceiros.
Figura 10 – Gaveteiro da sala do gerente
Fonte: Os autores
A mesa do Proprietário não segue a diretriz de mesa limpa, contendo garrafas de água próximas aos
documentos importantes (figura 11), facilitando a perda de informações valiosas e também possibilitando danos aos equipamentos.
Documentos estão em cima da impressora, gerando um risco muito alto de perda ou danos à documentos importantes que estão sobre a mesa.
Figura 11 – Mesa do proprietário
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2967
Fonte: Os autores
Até os dias atuais, a MG Comércio não possui uma política ou ferramenta de backup ou cópias de
segurança, mantendo as suas informações apenas em papéis. Estes, são arquivados em pastas e armazenadas em armários sem qualquer porta ou tranca para garantir a segurança e integridade dos documentos caso ocorra um desastre ou falha do sistema.
O local de armazenamento das pastas é de fácil acesso (figura 12) e encontram-se expostos perto da entrada e saída de pessoas e não há monitoramento eficaz caso ocorra uma tentativa de furto de informações.
Documentos em cima do gabinete do caixa, anotações afixadas na parede, de fácil acesso a qualquer pessoa.
Figura 12 - arquivo físico da empresa
Fonte: Os autores
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2968
Pode ser visto o setor financeiro/servidor com uma infraestrutura desorganizada e possui fios expostos, próximos a documentos de grande importância para a empresa, com alto risco de incêndio.
O servidor permanece em local de fácil acesso sem nenhuma segurança, sustentado apenas por suportes frágeis em madeira o que pode acarretar a queda e dano do equipamento.
O servidor fica no mesmo espaço que a sala do financeiro (figura 13) não havendo uma sala separada para cada um, deixando o ambiente desorganizado, ocasionando riscos à segurança de informação da empresa.
O espaço serve também como depósito de produtos para limpeza da loja, e possui um saco plástico próximo a fios expostos com alto rico de incêndio.
Figura 13 - O servidor da empresa
Fonte: Os autores
A Mesa do financeiro não segue a diretriz de mesa limpa (figura 14), contendo documentos
importantes expostos sobre a mesa causando risco às informações importantes.
Figura 14 – Mesa do financeiro
Fonte: Os autores
O Modem não fica dentro do rack (figura 15) o mesmo permanece pendurado na parede com risco de queda danificando o aparelho e próximo a fios expostos podendo causar interferência.
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2969
Os fios da rede elétrica estão misturados com os fios de telecomunicação podendo causar interferência e perda de desempenho na rede.
Figura 15 – Modem sala do servidor
Fonte: Os autores
A empresa possui apenas o extintor no estoque de mercadorias recebidas e o mesmo está situado
ao fundo da loja, longe dos computadores (figura 16) e o acesso a ele poderia até ser difícil caso ocorra incêndio visto que está próximo de madeiras que ajudariam a alastrar o fogo com rapidez.
Figura 16 – Extintor de incêndio
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2970
Fonte: Os autores
SEGURANÇA LÓGICA DA EMPRESA A Empresa não utiliza qualquer sistema de verificação de segurança, e ou, faz backup lógico de seus
arquivos. Não possui ponto eletrônico ou qualquer forma para comprovar o tempo de trabalho do colaborador.
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2971
O Acesso aos computadores não exige senha, possuindo apenas o usuário administrador (figura 17) permitindo o livre acesso para qualquer colaborador ou cliente.
Figura 17 – Tela de login
Fonte: Os autores A empresa utiliza Sistema Operacional Windows 7 como padrão para as máquinas, porém a máquina
para emissão de nota fiscal eletrônica possui Windows Vista (figura 18) e a Microsoft não presta mais suporte ao Windows Vista deixando o sistema operacional vulnerável pois não possui atualizações de segurança.
Figura 18 – Sistema operacional Windows Vista
Fonte: Os autores
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2972
O acesso a sites é liberado pois não existe qualquer bloqueio ou firewall instalado na empresa, permitindo também qualquer tipo de download.
As estações possuem antivírus gratuito (figura 19) não garantindo a segurança como um software pago.
Figura 19 – Software Antivírus
Fonte: Os autores
A empresa utiliza diversos sistemas no seu dia-a-dia. Sendo eles: CORTE CERTO – Sistema de otimização de planejamento de corte evitando desperdício do corte na
madeira (figura 20).
Figura 20 – Software Corte Certo
Fonte: Os autores
Clipp Store – Sistema para gestão de comércio “Automatizando e otimizando processos, atendendo as necessidades de sua empresa e a legislação fiscal. ” (figura 21).
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2973
Figura 21 – Software Clipp Store.
Fonte: Os autores
A empresa também utiliza da ferramenta do Banco do Brasil em alinhamento com a ferramenta Clipp Store para a realização de transações comerciais (figura22).
Conforme visto no site do Banco do Brasil (2017): Com o Gerenciador Financeiro, é possível transferir valores entre contas correntes, efetuar pagamentos, emitir DOC/TED, realizar aplicações financeiras, enviar a relação de Faturamento Bruto Anual, liberar crédito e controlar sua carteira de cobrança, tudo de forma on-line. E ainda, como o Gerenciador Financeiro, a gestão das contas a pagar e a receber fica muito mais fácil. Com os aplicativos BB, o recebimento de valores referentes às vendas dos produtos e serviços e o pagamento de seus compromissos são feitos de forma eletrônica, rápida e segura.
Figura 22 – Gerenciador financeiro
Fonte: Os autores
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2974
Ativos A MG Comércio de ferragens não possui um sistema de inventários de ativos. Os autores juntamente com o proprietário fizeram o inventário da empresa pela primeira vez, de ativos
físicos e ativos lógicos. Todos os ativos físicos da empresa foram listados e catalogados (quadro 06) para um melhor controle.
Quadro 06: Ativos Físicos Área
Sala do Proprietário
Área Caixa/Servidor
Balcão De Vendas
Total
Computadores 2 2 2 6 Armários 2 2 0 4 Pen Drives 1 1 0 2 Impressoras 1 2 1 4
Fonte: Os autores
O inventário de ativos lógicos (quadro 07) foi realizado pelos autores juntamente com o proprietário da empresa, para um controle de uso dos softwares ativos existentes no ambiente da organização.
Quadro 07: Ativos Lógicos
Sala do Proprietário
Área Caixa/Servidor
Balcão De Vendas
Total
Sistema Operacional (Windows 7)
1
2
2
5
Sistema Operacional (Windows Vista)
1 0
0
1
Microsoft Office 2010
2 2 2 6
Corte Certo 0 0 2 2
Gerenciador financeiro do BB
1 0 0 1
Fonte: Os autores
MATRIZ DE RISCO SEGURANÇA FÍSICA
Segue a matriz de risco física (quadro 08), desenvolvida e baseada nas vulnerabilidades encontradas na empresa MG Comércio, sendo elas classificadas em probabilidade, impacto e risco.
Com níveis de risco sendo eles: Baixo, Médio e alto. Baseado sempre em impacto 100 e utilizando multiplicadores de probabilidade 0,5 para médio 0,1 para baixo e 1,0 para alto.
Quadro 08: Matriz do nível de risco segurança Física Item Ameaça Probabilidade Impacto Risco
1
Disposição dos computadores do balcão de vendas é adequada?
0,5
100
Médio 50
2
Os funcionários ou visitantes possuem identificação?
0,5
100
Médio 50
3
Possui sistema ou equipamentos para combater incêndio?
0,1
100
Baixo
10 4
A sala do servidor é protegida contra acesso não autorizado?
1,0
100
Alto 100
5
Possui fios de energia ou de rede expostos?
1,0
100
Alto 100
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2975
6
A disposição da sala do servidor e switch são adequadas?
1,0
100
Alto 100
7
Possui monitoramento CFTV com DVR nas partes internas e externas?
1,0
100
Alto 100
8
Contém documentos importantes expostos sobre as mesas?
0,5
100
Médio
50
9
Existe uma Política de Segurança da Informação?
1,0
100
Alto 100
Fonte: Os autores SEGURANÇA LÓGICA
Matriz de risco de segurança lógica0 baseada nas vulnerabilidades encontradas na empresa MG Comércio, foram classificadas em probabilidade, impacto e risco. Impacto sempre 100 e utilizando multiplicadores 1,0 para alto, 0,5 para médio e 0,1 para baixo, após essa multiplicação avaliamos o grau de risco a empresa, como: Alto, médio e baixo. Quadro 09: Matriz do nível de risco segurança Lógica
Item Ameaça Probabilidade Impacto Risco
1
Todos os Colaboradores possuem login e senha para acesso ao sistema?
1,0
100
Alto 100
2
Possui sistema de backup de informações?
1,0
100
Alto 100
3
Possui sistema de antivírus?
0,5
100
Médio
50 4
Utiliza sistema operacional atual com suporte do fabricante?
1,0
100
100 Alto
5
Possui gerenciamento de privilégios ao acesso?
1,0
100
100 Alto
6
Possui restrição de acesso a sites externos?
1,0
100
100 Alto
7
O acesso ao access point corporativo é aberto aos clientes?
1,0
100
100 Alto
Fonte: Os autores
ANÁLISE DA MATRIZ DE RISCO Após mensurar os riscos físico e lógico, segue análise dos itens: Matriz de Risco – Segurança Física (Quadro 08)
Item 01: Disposição dos computadores do balcão de vendas é adequada? Os computadores são mal posicionados, a tela está exposta e qualquer pessoa pode visualizar. Encontram-se logo à frente da entrada e estão vulneráveis a acesso não autorizado.
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2976
Aplicação da Norma ABNT NBR ISO/IEC 27002/2005 Segurança física e do ambiente Áreas seguras Segurança em escritórios, salas e instalações Convém que seja projetada e aplicada segurança física para escritórios, salas e instalações. b) as instalações-chave sejam localizadas de maneira e evitar o acesso do público; Segurança de equipamentos Instalação e proteção do equipamento Convém que os equipamentos sejam colocados no local ou protegidos para reduzir os riscos de ameaças e perigos do meio ambiente, bem como as oportunidades de acesso não autorizado. c) as instalações de processamento da informação que manuseiam dados sensíveis sejam posicionadas de forma que o ângulo de visão seja restrito, de modo a reduzir o risco de que as informações sejam vistas por pessoal não autorizado durante a sua utilização, e os locais de armazenagem sejam protegidos, a fim de evitar o acesso não autorizado. Item 02: Os funcionários ou visitantes possuem identificação? Os funcionários não possuem identificação visível como crachás ou uniformes, podendo haver confusão entre clientes e vendedores.
Aplicação da Norma ABNT NBR ISO/IEC 27002/2005 Segurança física e do ambiente Áreas seguras Controles de entrada física Convém que as áreas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso. c) seja exigido que todos os funcionários, fornecedores e terceiros, e todos os visitantes, tenham alguma forma visível de identificação, e eles devem avisar imediatamente o pessoal de segurança caso encontrem visitantes não acompanhados ou qualquer pessoa que não esteja usando uma identificação visível;
Item 03: Possui sistema ou equipamentos para combater incêndio? Não possui sistema instalado de combate contra incêndio e há apenas um extintor localizado no fundo da MG comércio de ferragens.
Aplicação da Norma ABNT NBR ISO/IEC 27002/2005
Segurança física e do ambiente Áreas seguras Proteção contra ameaças externas e do meio ambiente Convém que sejam projetadas e aplicadas proteção física contra incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e outras formas de desastres naturais ou causados pelo homem. c) os equipamentos apropriados de detecção e combate a incêndios sejam providenciados e posicionados corretamente. Item 04: A sala do servidor é protegida contra acesso não autorizado? Não há proteção adequada para o servidor e este encontra-se em ambiente de fácil acesso.
Aplicação da Norma ABNT NBR ISO/IEC 27002/2005 Segurança física e do ambiente Áreas seguras Controles de entrada física Convém que as áreas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso. b) acesso às áreas em que são processadas ou armazenadas informações sensíveis seja controlado e restrito às pessoas autorizadas; convém que sejam utilizados controles de autenticação, por exemplo, cartão de controle de acesso mais PIN (personal identification number), para autorizar e validar todos os acessos; deve ser mantido de forma segura um registro de todos os acessos para fins de auditoria;
Item 05: Possui fios de energia ou de rede expostos? Há fios de energia e de rede expostos o que pode acarretar danos físicos ou até mesmo iniciar um incêndio por curto circuito.
Aplicação da Norma ABNT NBR ISO/IEC 27002/2005
Segurança física e do ambiente Segurança de equipamentos Segurança do cabeamento Convém que o cabeamento de energia e de telecomunicações que transporta dados ou dá suporte aos serviços de informações seja protegido contra interceptação ou danos. a) linhas de energia e de telecomunicações que entram nas instalações de
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2977
processamento da informação sejam subterrâneas (ou fiquem abaixo do piso), sempre que possível, ou recebam uma proteção alternativa adequada; b) cabeamento de redes seja protegido contra interceptação não autorizada ou danos, por exemplo, pelo uso de conduítes ou evitando trajetos que passem por áreas públicas. Item 06: A disposição da sala do servidor e switch são adequadas?
As salas são de fácil acesso, permanecem abertas e não possuem chaves.
Aplicação da Norma ABNT NBR ISO/IEC
27002/2005 Segurança física e do ambiente Áreas seguras Perímetro de segurança física Convém que sejam utilizados perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) para proteger as áreas que contenham informações e instalações de processamento da informação. g) as instalações de processamento da informação gerenciadas pela organização devem ficar fisicamente separadas daquelas que são gerenciadas por terceiros. Segurança física e do ambiente Segurança de equipamentos Instalação e proteção do equipamento Convém que os equipamentos sejam colocados no local ou protegidos para reduzir os riscos de ameaças e perigos do meio ambiente, bem como as oportunidades de acesso não autorizado. c) os itens que exigem proteção especial devem ser isolados para reduzir o nível geral de proteção necessário;
Item 07: Possui monitoramento CFTV com DVR nas partes internas e externas? A MG Comércio de Ferragens possui câmeras instaladas nas entradas, porém não estão instaladas e em funcionamento.
Aplicação da Norma ABNT NBR ISO/IEC 27002/2005 Segurança física e do ambiente Áreas seguras Perímetro de segurança física f) sistemas adequados de detecção de intrusos, de acordo com normas regionais, nacionais e internacionais, sejam instalados e testados em intervalos regulares, e cubram todas as portas externas e janelas acessíveis; as áreas não
ocupadas devem ser protegidas por alarmes o tempo todo; também deve ser dada a proteção a outras áreas, por exemplo, salas de computadores ou salas de comunicações; Item 08: Contém documentos importantes expostos sobre as mesas? Há uma grande quantidade de documentos importantes espalhados pelas mesas, de fácil acesso e perto de garrafas de água.
Aplicação da Norma ABNT NBR ISO/IEC
27002/2005 Segurança física e do ambiente Segurança de equipamentos Instalação e proteção do equipamento Convém que os equipamentos sejam colocados no local ou protegidos para reduzir os riscos de ameaças e perigos do meio ambiente, bem como as oportunidades de acesso não autorizado. e) sejam estabelecidas diretrizes quanto a comer, beber e fumar nas proximidades das instalações de processamento da informação; Controle de acessos Responsabilidades dos usuários Política de mesa limpa e tela limpa Convém que seja adotada uma política de mesa limpa e papéis e mídias de armazenamento removível e política de tela limpa para os recursos de processamento da informação. a) informações do negócio sensíveis ou críticas, por exemplo, em papel ou em mídia de armazenamento eletrônicas, sejam guardadas em lugar seguro (idealmente em um cofre, armário ou outras formas de mobília de segurança) quando não em uso, especialmente quando o escritório está desocupado; Item 09: Existe uma Política de Segurança da Informação? Não há uma Política de Segurança de Informação criada baseada nos ativos da empresa MG Comércios de Ferragens.
Aplicação da Norma ABNT NBR ISO/IEC
27002/2005 Políticas de segurança da informação Política de segurança da informação Documento da política de segurança da informação Convém que um documento da política de segurança da informação seja aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2978
Convém que o documento da política de segurança da informação declare o comprometimento da direção e estabeleça o enfoque da organização para gerenciar a segurança da informação. Matriz de Risco – Segurança Lógica (Quadro 09)
Item 01: Todos os Colaboradores possuem login e senha para acesso ao sistema?
Usuários não possuem login e senha, o único usuário disponível na máquina é o usuário administrador e não exige senha.
Aplicação da Norma ABNT NBR ISO/IEC
27002:2005
Controle de acesso ao sistema operacional Procedimentos seguros de entrada no sistema (log-on) Identificação e autenticação de usuário Convém que todos os usuários tenham um identificador único (ID de usuário) para uso pessoal e exclusivo, e convém que uma técnica adequada de autenticação seja escolhia para validar a identidade alegada por um usuário. Convém que este controle seja aplicado para todos os tipos de usuários (incluindo o pessoal de suporte técnico, operadores, administradores de rede, programadores de sistema e administradores de banco de dados). Item 02: Possui sistema de backup de informações?
A empresa não possui qualquer unidade de backup interna ou externa e não utiliza qualquer ferramenta para o mesmo.
Aplicação da Norma ABNT NBR ISO/IEC
27002:2005
Gerenciamento das operações e comunicações Cópias de segurança Cópias de segurança das informações Convém que as cópias de segurança das informações e dos softwares sejam efetuadas e testadas regularmente conforme a política de geração de copias de segurança definida. Convém recursos adequados para a geração de cópias de segurança sejam disponibilizadas para garantir que toda a informação e software essenciais possam ser recuperados após um desastre ou a falha de uma mídia. Item 03: Possui sistema de antivírus?
As estações de trabalho da empresa possuem antivírus gratuito da AVAST como mostra
a (figura 20) atualizado automaticamente pelo programa.
Aplicação da Norma ABNT NBR ISO/IEC
27002:2005
Gerenciamento das operações e comunicações Proteção contra códigos maliciosos e códigos móveis Controle contra códigos maliciosos d) instalar e atualizar regularmente softwares de detecção e remoção de códigos maliciosos para o exame de computadores e mídias magnéticas, de forma preventiva ou de forma rotineira; convém que as verificações realizadas incluam: 1) verificação, antes do uso, da existência de códigos maliciosos nos arquivos em mídias óticas ou eletrônicas, bem como nos arquivos transmitidos através de redes; Item 04: Utiliza sistema operacional atual com suporte do fabricante? A empresa até o momento utiliza Windows Vista como sistema operacional em uma de suas estações, não recebendo suporte algum da Microsoft. O sistema operacional citado foi descontinuado e não oferece mais suporte ao usuário e nem atualizações de segurança.
Aplicação da Norma ABNT NBR ISO/IEC
27002:2005
Aquisição, desenvolvimento Segurança dos arquivos do sistema Controle de software operacional Convém que procedimentos para controlar a instalação de software em sistemas operacionais sejam implementados. Convém que software adquirido de fornecedores e utilizado em sistemas operacionais seja mantido num nível apoiado pelo fornecedor. Ao transcorrer do tempo, fornecedores de software cessam o apoio as versões antigas do software. Convém que a organização considere os riscos associados à dependência de software sem suporte.
Item 05: Possui gerenciamento de privilégios ao acesso?
A empresa não possui qualquer privilégio
para acesso ao servidor ou a rede, qualquer usuário tem acesso total as maquinas da rede e a instalação de programas de qualquer tipo.
Aplicação da Norma ABNT NBR ISO/IEC
27002:2005
Controle de acessos
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2979
Gerenciamento de acesso do usuário Gerenciamento de privilégios Convém que a concessão e o uso de privilégios sejam restritos e controlados. Convém que os sistemas de multiusuários que necessitam de proteção contra acesso não autorizado tenham a concessão de privilégios controlada por um processo de autorização formal. Convém que os seguintes passos sejam considerados. b) os privilégios sejam concedidos a usuários conforme a necessidade de uso e com base em eventos alinhados a política de controle de acesso (ver 11.1.1), por exemplo, requisitos mínimos para sua função somente quando necessário. e) desenvolvimento e uso de programas que não necessitam funcionar com privilégios sejam estimulados;
Item 06: Possui restrição de acesso a sites externos?
A empresa não possui firewall, serviço de proxy ou qualquer bloqueio para controle de acesso e nenhum tipo de monitoramento é feito.
Aplicação da Norma ABNT NBR ISO/IEC 27002:2005
Controle de acessos Controle de acesso a rede Controle de roteamento de redes Convém que seja implementado controle de roteamento na rede, para assegurar que as conexões de computador e fluxos de informação não violem a política de controle de acesso das aplicações do negócio. Os gateways de segurança podem ser usados para validar endereços de origem e destino nos pontos de controle de rede interna ou externa se o proxy e/ou a tecnologia de tradução de endereço forem empregados. Convém que os implementadores estejam conscientes da força e deficiências de qualquer mecanismo implementado. Convém que os requisitos de controle de roteamento das redes sejam baseados na política de controle de acesso (ver 11.1).
Item 07: O acesso ao access point corporativo é aberto aos clientes?
A rede sem fio interna é a mesma dos clientes, podendo haver falha na segurança ou utilização dos equipamentos conectados à rede. Nenhum controle de monitoramento de dados é feito por não possuir nenhuma ferramenta de controle.
Aplicação da Norma ABNT NBR ISO/IEC 27002:2005
Controle de acessos Controle de acesso à rede Segregação de redes Convém que grupos de serviços de informação, em grandes redes é dividir em diferentes domínios de redes lógicas, por exemplo, os domínios de redes internas de uma organização e domínios externos de uma rede, cada um protegido por um perímetro de segurança definido. Um conjunto de controles reguláveis pode ser aplicado em domínios de redes lógicas diferentes para adicionar mais segurança aos ambientes de segurança de rede, por exemplo, sistemas publicamente acessíveis, redes internas e ativos críticos. Convém que os domínios sejam definidos com base em uma análise/avaliação de riscos e os requisitos de segurança diferentes dentro de cada um dos domínios. Podem também ser segregadas redes usando a funcionalidade de dispositivo de rede, por exemplo, IP switching. Os domínios separados podem ser implementados controlando os fluxos dedados de rede, usando as capacidades de roteamento/chaveamento (routing/switching). (ABNT NBR PROPOSTA DE POLÍTICA DE SEGURANÇA TÍTULO DA POLÍTICA DE SEGURANÇA
POLÍTICA DE SEGURANÇA DA
INFORMAÇÃO FÍSICA E LÓGICA PARA A EMPREGA MG COMÉRCIO DE FERRAGENS INSTITUIÇÃO A QUE SE DESTINA
Proposta de política de segurança
designada à empresa MG Comércio de Ferragens
OBJETIVO DA POLÍTICA
Criar uma política de segurança da informação para a empresa com o intuito de minimizar os riscos e incidentes ao qual a empresa está exposta, criar padrões e regras a serem seguidas pelos colaboradores para proteção de informações da organização.
ABRANGÊNCIA DA POLÍTICA
A proposta visa englobar todos os setores da empresa para melhoria de seus resultados e assegurar à informação da empresa. Os colaboradores estarão envolvidos e comprometidos a colaborar com os novos padrões.
REFERÊNCIAS
A política de segurança da informação seguirá as diretrizes contidas na Norma ABNT NBR ISO/IEC 27002:2005: Tecnologia da informação - técnicas de segurança – código de prática para a gestão da segurança da informação . 2 ed., 2005 120 p.
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2980
DIRETRIZES DA POLÍTICA Segurança Física Os computadores devem ser melhor posicionados nas bancadas e protegidos por repartições laterais restringindo o ângulo de visão apenas às pessoas autorizadas. Os funcionários devem estar devidamente uniformizados e com crachás para a identificação. Visitantes devem ser devidamente identificados ao transitar pelo local. O não cumprimento desta diretriz, deve ser reportado diretamente à segurança. A empresa deverá disponibilizar equipamentos adequados de proteção contra incêndios e posicioná-los em local estratégico levando em consideração o tamanho do local, materiais que se encontram na empresa, conforme as normas vigentes. Servidores devem ser reposicionados à ambientes próprios, adequados e seguros. Toda instalação tecnológica de comunicação de dados e energia devem estar adequadamente protegidas em tubulações e conduítes. As salas que dispõem de equipamentos sensíveis à segurança da informação como servidores e switches devem ser ambientes próprios e separados, devidamente assegurados por identificação de acesso, conforme norma vigente. A empresa deverá realizar a instalação do sistema de monitoramento conforme normas regionais, nacionais e internacionais na parte interna e externa da empresa. Documentos contendo informações sensíveis devem ser adequadamente armazenados reduzindo a probabilidade de dano físico por alimentos ou líquidos, e visualização por pessoas não autorizadas. A empresa deve possuir uma política de segurança estruturada em conformidade com o ambiente da empresa, assegurando os ativos. A política deve ser aprovada pela direção e de conhecimento de todos os funcionários.
Segurança Lógica
O proprietário deverá disponibilizar acessos únicos para os funcionários com contas padrões com login e senhas dentro dos padrões de segurança.
O proprietário deverá solicitar a criação de um servidor de banco de dados seguro para backup das informações importantes e testar o mesmo verificando a eficiência do backup e verificando se não há algum problema.
O proprietário deverá fazer a aquisição de antivírus proprietário pago, melhorando a segurança de suas estações e verificando a atualização do software periodicamente e renovação de suas licenças.
O proprietário deverá fazer a aquisição de uma licença do sistema operacional nova para
substituir o sistema antigo no qual não recebe atualização do fabricante, garantindo mais desempenho e segurança das informações utilizadas na estação em questão.
O proprietário deverá adquirir software ou ferramenta adequados para controle de privilégio, garantindo que cada informação seja designada a seu respectivo usuário.
O proprietário deverá adquirir um Firewall ou Proxy para controle de acesso a sites externos garantindo que os colaboradores utilizem a rede apenas para fins de negócios da empresa.
O proprietário deverá monitorar o acesso ao access point e solicitar a separação da rede corporativa da rede para clientes ou visitantes diminuindo o risco de invasão.
CONFORMIDADE
A ABNT NBR ISO/IEC 27002:2005 foi utilizada para estudo e desenvolvimento da política de segurança. PUNIÇÕES
Caso não sejam seguidas as informações contidas nessa política de segurança, o setor responsável tomará as medidas cabíveis: advertência verbal, suspensão do colaborador, demissão e/ou dependendo da gravidade do problema poderá ser levado a justiça para processo criminal ou civil.
DISPOSIÇÕES GERAIS
O proprietário deverá avaliar a punição adequada para cada caso e garantindo a integridade das suas informações, caso as mesmas tenham sido comprometidas.
A política de segurança da informação deverá ser verificada a cada 24 meses para garantia de sua utilização.
A política de segurança poderá receber alterações caso, a qualquer momento, caso o responsável julgue necessário, informando os colaboradores sobre a alterações realizadas, criando assim um ambiente com padrões e regras a serem seguidas pelos mesmos.
A Política precisa da assinatura do proprietário responsável pela empresa para que seja efetivada e validada. CONSIDERAÇOES FINAIS
A criação de uma política de segurança da informação na MG Comércio irá impactar uma melhora na segurança de dados e da informação.
O objetivo da política de segurança da informação física e lógica é propor a MG Comércio diretrizes contidas em normas de segurança, garantindo a diminuição de riscos e incidentes ocasionados por ativos internos e externos.
É fundamental que a gerência se comprometa com a divulgação da política de segurança da informação por meio de palestras ou treinamento entre os colaboradores, convencendo-os de que a política deve ser
Simp.TCC/Sem.IC.2017(12); 2950 -2981 2981
aplicada com eficiência e comprometimento com as regras e padrões nela contidos.
Apesar das várias vulnerabilidades encontradas foi identificado que várias empresas do ramo passam pelo mesmo problema e não tem qualquer tipo de política de segurança da informação, gerando um mercado carente com clientes de pequenas e médias empresas que nunca ouviram falar sobre a política de segurança e seus benefícios para as empresas e os negócios.
Fica claro a satisfação em executar um trabalho como este que, mesmo havendo contratempos, adicionou um extenso conhecimento sobre à política de segurança da informação. Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, ABNT NBR ISO/IEC 27002: Tecnologia da informação - técnicas de segurança – código de prática para a gestão da segurança da informação . 2 ed., Rio de Janeiro, 2005 120 p.
BEAL, Adriana; Segurança da informação : princípios e melhores práticas para a proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2005.
CAMPUFOUR; Produtos: Clipp Store. Disponível em: <https://www.campufour.com.br/produtos/clipp-store>. Acessado em: 10 de dezembro, 2017. CERT.BR. CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES de segurança no brasil. Cartilha de Segurança para Internet : São Paulo, 2012. Disponível em: <https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf>. Acesso em: novembro, 2017. FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de; Política de 00Segurança da Informação: Guia Prático para Elaboração e Implementação. 2.ed. Rio de Janeiro: Ciência Moderna, 2008.
FONTES, Edison; Segurança da informação: o usuário faz a diferença. São Paulo: Editora Saraiva, 2006.
BANCO DO BRASIL; Gerenciador Financeiro . Disponível em: <http://www.bb.com.br/pbb/pagina-inicial/cooperativas/cooperativas-urbana/vantagens/gerenciador-financeiro#/>. Acesso em: 11 de dezembro, 2017.
PINHEIRO, José Maurício; Biometria nos Sistemas Computacionais – Você é a senha. Rio de Janeiro: Ciência Moderna, 2008.
RUFINO, Nelson Murilo O.; Segurança Nacional : Técnicas e Ferramentas de Ataque e Defesa de
Redes de Computadores. São Paulo: Novatec, 2002.
SÊMOLA, Marcos; Gestão da segurança da informação: uma visão executiva; 12 ed. Rio de Janeiro: Elservier, 2003, 156 p.