Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIVERSIDADE NOVE DE JULHO - UNINOVE NORMAS E POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO PROF. ADRIANO JOSE CORREA Alan Sanches RA: 616101829 Erick Avelino RA: 616101656 Diego Gaspar RA: André Dias RA: Thiago Oliver RA: 1. POLITICA DE SEGURANÇA DA INFORMAÇÃO (PSI) Sabemos que a informação nos dias de hoje, tornou-se um elemento básico para que todo o desenvolvimento humano se realize de forma completa (COURY,2001). Para CAMPOS, (2007, p21) "A informação é elemento essencial para todos os processos de negócio da organização, sendo, portanto, um bem ou ativo de grande valor”. Fica claro, que com o passar do tempo a informação se tornou o ativo mais valioso de uma organização, e com isso surgem uma série de ameaças, em um mercado tão competitivo, é possível dizer que se explorada as vulnerabilidades podem causar prejuízos imensuráveis. Diante desses fatores, é indispensável a criação de uma política de segurança, só assim será possível diminuir as chances de fraudes ou perda de informações. A Política de Segurança da Informação (PSI) é um documento que deve conter um conjunto de normas, métodos e procedimentos, devendo ser comunicados aos funcionários, sendo por meio de avisos em murais, integrações com os colaboradores e workshops. É importante dizer que todo esse processo exige uma análise e revisão crítica, de preferência em intervalos regulares ou em caso de atualizações no processo. O SGSI[footnoteRef:1] tem a função de garantir a viabilidade do processo implantado e que somente pessoas autorizadas e capacitadas para realizar as funções dentro da organização. (Fontes, 2006). [1: Sistema de Gestão de Segurança da Informação] Para Dantas (2001), a política pode ser definida como um documento que estabelece princípios, valores, compromissos, requisitos, orientações e responsabilidades de todos os envolvidos, assim, é possível criar um padrão e um objetivo a ser alcançado para que haja a proteção de todo o processo, resultará em basicamente no manual que tem como função descrever os recursos de TI que devem ser protegidos e utilizados. Se não houver uma regra pré-estabelecida, podem surgir vulnerabilidades e tonar a política inconsistente de modo que irá atrapalhar todo o processo. Algumas ocorrências que podem acontecer por exemplo, indisponibilidade de serviço, furto de informações ou até a perda das informações. Segundo Freitas e Araújo (2008), o tempo médio para revisão da política, são de 6 meses a um ano, exceto em casos novos e mudança de processos internos que não foram informados na política. Seguindo a norma NBR ISO/IEC27002 (2005) é recomendado revisar a política periodicamente. Segundo Campos (2007, p3, 131) a grande maioria das empresas estão adotando a criação de uma Política de Segurança da Informação, inclusive no Brasil, mesmo empresas de porte pequeno que não criaram a política, sabem que precisam seguir as normas para terem um ambiente seguro. A política de Segurança, tem como uma das funções estabelecer como serão feitos os acessos as informações, os métodos e caminhos que serão utilizados, o acesso poderá ser feito internamente ou externamente buscando por qual mídia será utilizada, importante também é saber qual será o transporte dessas informações. Na elaboração de uma Política de Segurança da Informação será necessário a realização de um comitê, importante que todas as áreas da empresa participem, segundo Ferreira e Araújo (2008), esse comitê tem como responsabilidade divulgar e estabelecer os procedimentos de segurança, fazendo reuniões periodicamente e expondo suas ideias e pontos importante a serem levantados, todo esse processo requer sigilo total para que haja segurança das áreas envolvidas. Neste trecho da norma fica mais claro qual a boa prática a ser seguida, “Convêm que a política de segurança da informação tenha um gestor que tenha responsabilidade de gestão aprovada para desenvolvimento, análise crítica e avaliação da política de segurança da informação”.( ISO/IEC 27002:2005, 2005. P. 9). 2. ESCOPO DO TRABALHO O escopo deste trabalho é definido pelo cliente, que além de ser um caso real, necessita de implementação a partir do zero de políticas e processos em Segurança da Informação, visto que ultimamente o número de incidentes tem crescido substancialmente. Neste caso, utilizaremos uma empresa real, com políticas reais e sua aplicabilidade, exceto quando estivermos envolvendo valores financeiros, esses sim serão fictícios e fora do padrão de mercado, por não ser o foco deste trabalho. 2.1. Empresa A empresa referida nesse trabalho é a Sapphire Office, nacional, de porte médio, prestadora de serviços administrativos com foco em gestão de recebíveis e controle financeiro. 2.2. Organograma [[[[ O cliente ficou de enviar ]]] 2.3. Abordagem e Justificativa A empresa em questão possui a necessidade de aplicabilidade de gestão em Segurança da Informação, e por possuir uma equipe técnica que não detém conhecimento nesse ramo, solicitou o apoio de terceiros. O objetivo é efetuar a aplicabilidade de políticas de Segurança da Informação e conscientização de todos os colaboradores e terceiros, focando neste trabalho apenas na área de Política de Senhas. 2.4. Estado Atual O estado atual da empresa, ao qual observou a necessidade da aplicabilidade de Segurança da Informação, não possui investimento algum e muito menos cultura ou preocupação na manipulação ou transmissão de informação. Recentemente sofreram ataques de furto de informação, causando um prejuízo financeiro imensurável e a partir daí começaram a entender a necessidade de uma política. Atualmente a empresa não possui nenhuma política, controle e muito menos experiência nesse ramo, a tal ponto de não possuir antivírus nas estações de trabalho e em seus servidores. As senhas são repassadas a seus funcionários seguindo um padrão simples e de fácil memorização, preocupados apenas com o número de chamados que seus usuários poderiam abrir, caso esquecessem uma senha. Sendo assim, iniciaremos o projeto desde o zero, principalmente no estudo das necessidades, análise de vulnerabilidades já existentes e criação de uma política, processos e controle, além de auditorias periódicas para constatar a aplicabilidade constante das mesmas. 2.5. Objetivo O objetivo deste trabalho é apresentar o processo de criação de uma política de Segurança da Informação com foco em política de senhas, visto que o processo da apresentação integral da política, apresentando todos os itens que deve-se contar numa política de Segurança da Informação seria moroso e inviável de acordo com o tempo disponibilizado para a execução desse exercício. 2.6. Investimento Proposto Como é tradicional em empresas de médio porte nacional, o objetivo é obter o menor gasto possível para esse projeto, porém, sabemos que isso não é possível, mesmo que não sejam realizados investimentos em equipamentos, mas em mão de obra é inevitável. Temos que entender que, mesmo que o cliente tome a decisão de realizar isso com seus próprios profissionais, teríamos o gasto de tempo x salário desses profissionais. 3. ANALISE SWOT É uma ferramenta utilizada para fazer análise de cenários internos e externos ou a própria análise de um ambiente por completo, utilizado como o foco no planejamento e gestão estratégica de uma organização, a análise swot possibilita avaliar as situações que podem gerar ameaças ao planejamento estratégico da organização. O objetivo principal desse processo é efetuar as análises necessárias e identificar os fatores chaves para uma gestão assertiva, com isso, é possível verificar os pontos de melhoria, estabelecer prioridades e preparar os caminhos estratégicos. A análise swot é imprescindível para uma elaboração de uma política de segurança, após essa analise ficará mais claro qual será as ações a serem realizadas, e a base que será criada com as informações coletadas após a análise trarão consequentemente mais informações paraa busca de soluções. Utilizando o tema do trabalho, abaixo podemos ver alguns exemplos de como seria uma análise swot sobre política de credencias. Forças · Credenciais (Usuário para login) pelo registro funcional: Dificultando assim as possibilidades de acesso indevido, visto que, o departamento com acesso a essa informação geralmente é o RH. · Criação de senhas: a primeira senha de acesso é o RG do colaborador, pois também se trata de uma informação restrita ao mesmo e de difícil acesso a pessoas externas. Importante também a mensagem de “primeiro acesso”. · Primeiro acesso: após o primeiro acesso será já é solicitado a troca de senha, com algumas regras a serem seguidas, não é permitido senhas com informações de fácil descoberta, por exemplo, nomes, endereços, números de telefones, datas em geral, números sequenciais e etc. Número mínimo de caracteres são 8, pelo menos um caractere maiúsculo, caractere especial, ao menos 4 números. Fraquezas · Usuários Genéricos: existem usuários genéricos, tais como Administrador, TI, suporte e Monitoramento. · Limitação de horário: Não é limitado o horário de acesso a rede do colaborador. · Bloqueio de férias e afastamento: Não é bloqueado o acesso do colaborador quando o mesmo está de férias ou afastado. Oportunidades · Processo de entrega de senhas. · Criação de formulário de credenciais de acesso. · Definir quem será o aprovador do formulário. · Definir processo em caso de esquecimento de senhas. Ameaças · Auditoria de usuário, como existem usuários genéricos não é possível auditar qual colaborador fez acesso em caso de acessos e alterações indevidas no sistema. · Roubo de informações. · Utilização de usuários por terceiros. 4. BUSINESS IMPACT ANALYSIS 5. CRONOGRAMA 6. REUNIÃO DE KICK OFF 7. DESENVOLVIMENTO DA POLITICA 8. APRESENTAÇÃO EXECULTIVA 9. REUNIÃO COM ÁREA DE COMUNICAÇÃO E RH 10. TREINAMENTO 11. IMPLEMENTAÇÃO 12. PDCA E RESPONSABILIDADES 13. CONCLUSÃO Bibliografia OLIVEIRA, Paulo Cesar. Política de segurança da informação: definição, importância, elaboração e implementação. Disponível em: https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/. Acesso em: 31 Jan 2017 10:30 Casa da Moeda – PDTI 2013-2014 Disponível em: http://www.casadamoeda.gov.br/arquivos/portalCMB/menu/cmb/sobreCMB/governancaTI/PDTI-2013-2014.pdf. Acesso em: 26 Jan 2017 7:30 8
Compartilhar