Trabalho PSI - Professor Adriano - Politica de Credenciais-1

Prévia do material em texto

UNIVERSIDADE NOVE DE JULHO - UNINOVE
NORMAS E POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO 
PROF. ADRIANO JOSE CORREA
Alan Sanches RA: 616101829
Erick Avelino RA: 616101656
Diego Gaspar RA:
André Dias RA:
Thiago Oliver RA:
1. POLITICA DE SEGURANÇA DA INFORMAÇÃO (PSI)
Sabemos que a informação nos dias de hoje, tornou-se um elemento básico para que todo o desenvolvimento humano se realize de forma completa (COURY,2001). Para CAMPOS, (2007, p21) "A informação é elemento essencial para todos os processos de negócio da organização, sendo, portanto, um bem ou ativo de grande valor”. Fica claro, que com o passar do tempo a informação se tornou o ativo mais valioso de uma organização, e com isso surgem uma série de ameaças, em um mercado tão competitivo, é possível dizer que se explorada as vulnerabilidades podem causar prejuízos imensuráveis. Diante desses fatores, é indispensável a criação de uma política de segurança, só assim será possível diminuir as chances de fraudes ou perda de informações.
A Política de Segurança da Informação (PSI) é um documento que deve conter um conjunto de normas, métodos e procedimentos, devendo ser comunicados aos funcionários, sendo por meio de avisos em murais, integrações com os colaboradores e workshops. É importante dizer que todo esse processo exige uma análise e revisão crítica, de preferência em intervalos regulares ou em caso de atualizações no processo. O SGSI[footnoteRef:1] tem a função de garantir a viabilidade do processo implantado e que somente pessoas autorizadas e capacitadas para realizar as funções dentro da organização. (Fontes, 2006). [1: Sistema de Gestão de Segurança da Informação] 
Para Dantas (2001), a política pode ser definida como um documento que estabelece princípios, valores, compromissos, requisitos, orientações e responsabilidades de todos os envolvidos, assim, é possível criar um padrão e um objetivo a ser alcançado para que haja a proteção de todo o processo, resultará em basicamente no manual que tem como função descrever os recursos de TI que devem ser protegidos e utilizados. Se não houver uma regra pré-estabelecida, podem surgir vulnerabilidades e tonar a política inconsistente de modo que irá atrapalhar todo o processo. Algumas ocorrências que podem acontecer por exemplo, indisponibilidade de serviço, furto de informações ou até a perda das informações.
Segundo Freitas e Araújo (2008), o tempo médio para revisão da política, são de 6 meses a um ano, exceto em casos novos e mudança de processos internos que não foram informados na política. Seguindo a norma NBR ISO/IEC27002 (2005) é recomendado revisar a política periodicamente.
Segundo Campos (2007, p3, 131) a grande maioria das empresas estão adotando a criação de uma Política de Segurança da Informação, inclusive no Brasil, mesmo empresas de porte pequeno que não criaram a política, sabem que precisam seguir as normas para terem um ambiente seguro. A política de Segurança, tem como uma das funções estabelecer como serão feitos os acessos as informações, os métodos e caminhos que serão utilizados, o acesso poderá ser feito internamente ou externamente buscando por qual mídia será utilizada, importante também é saber qual será o transporte dessas informações. 
Na elaboração de uma Política de Segurança da Informação será necessário a realização de um comitê, importante que todas as áreas da empresa participem, segundo Ferreira e Araújo (2008), esse comitê tem como responsabilidade divulgar e estabelecer os procedimentos de segurança, fazendo reuniões periodicamente e expondo suas ideias e pontos importante a serem levantados, todo esse processo requer sigilo total para que haja segurança das áreas envolvidas. Neste trecho da norma fica mais claro qual a boa prática a ser seguida, “Convêm que a política de segurança da informação tenha um gestor que tenha responsabilidade de gestão aprovada para desenvolvimento, análise crítica e avaliação da política de segurança da informação”.( ISO/IEC 27002:2005, 2005. P. 9).
2. ESCOPO DO TRABALHO
O escopo deste trabalho é definido pelo cliente, que além de ser um caso real, necessita de implementação a partir do zero de políticas e processos em Segurança da Informação, visto que ultimamente o número de incidentes tem crescido substancialmente.
Neste caso, utilizaremos uma empresa real, com políticas reais e sua aplicabilidade, exceto quando estivermos envolvendo valores financeiros, esses sim serão fictícios e fora do padrão de mercado, por não ser o foco deste trabalho.
2.1. Empresa
A empresa referida nesse trabalho é a Sapphire Office, nacional, de porte médio, prestadora de serviços administrativos com foco em gestão de recebíveis e controle financeiro.
2.2. Organograma
[[[[ O cliente ficou de enviar ]]]
2.3. Abordagem e Justificativa
A empresa em questão possui a necessidade de aplicabilidade de gestão em Segurança da Informação, e por possuir uma equipe técnica que não detém conhecimento nesse ramo, solicitou o apoio de terceiros. O objetivo é efetuar a aplicabilidade de políticas de Segurança da Informação e conscientização de todos os colaboradores e terceiros, focando neste trabalho apenas na área de Política de Senhas.
2.4. Estado Atual
O estado atual da empresa, ao qual observou a necessidade da aplicabilidade de Segurança da Informação, não possui investimento algum e muito menos cultura ou preocupação na manipulação ou transmissão de informação. 
Recentemente sofreram ataques de furto de informação, causando um prejuízo financeiro imensurável e a partir daí começaram a entender a necessidade de uma política.
Atualmente a empresa não possui nenhuma política, controle e muito menos experiência nesse ramo, a tal ponto de não possuir antivírus nas estações de trabalho e em seus servidores.
	As senhas são repassadas a seus funcionários seguindo um padrão simples e de fácil memorização, preocupados apenas com o número de chamados que seus usuários poderiam abrir, caso esquecessem uma senha.
	Sendo assim, iniciaremos o projeto desde o zero, principalmente no estudo das necessidades, análise de vulnerabilidades já existentes e criação de uma política, processos e controle, além de auditorias periódicas para constatar a aplicabilidade constante das mesmas.
2.5. Objetivo
O objetivo deste trabalho é apresentar o processo de criação de uma política de Segurança da Informação com foco em política de senhas, visto que o processo da apresentação integral da política, apresentando todos os itens que deve-se contar numa política de Segurança da Informação seria moroso e inviável de acordo com o tempo disponibilizado para a execução desse exercício.
2.6. Investimento Proposto
Como é tradicional em empresas de médio porte nacional, o objetivo é obter o menor gasto possível para esse projeto, porém, sabemos que isso não é possível, mesmo que não sejam realizados investimentos em equipamentos, mas em mão de obra é inevitável.
Temos que entender que, mesmo que o cliente tome a decisão de realizar isso com seus próprios profissionais, teríamos o gasto de tempo x salário desses profissionais. 
3. ANALISE SWOT
É uma ferramenta utilizada para fazer análise de cenários internos e externos ou a própria análise de um ambiente por completo, utilizado como o foco no planejamento e gestão estratégica de uma organização, a análise swot possibilita avaliar as situações que podem gerar ameaças ao planejamento estratégico da organização. 
O objetivo principal desse processo é efetuar as análises necessárias e identificar os fatores chaves para uma gestão assertiva, com isso, é possível verificar os pontos de melhoria, estabelecer prioridades e preparar os caminhos estratégicos. 
A análise swot é imprescindível para uma elaboração de uma política de segurança, após essa analise ficará mais claro qual será as ações a serem realizadas, e a base que será criada com as informações coletadas após a análise trarão consequentemente mais informações paraa busca de soluções.
Utilizando o tema do trabalho, abaixo podemos ver alguns exemplos de como seria uma análise swot sobre política de credencias. 
Forças
· Credenciais (Usuário para login) pelo registro funcional: Dificultando assim as possibilidades de acesso indevido, visto que, o departamento com acesso a essa informação geralmente é o RH.
· Criação de senhas: a primeira senha de acesso é o RG do colaborador, pois também se trata de uma informação restrita ao mesmo e de difícil acesso a pessoas externas. Importante também a mensagem de “primeiro acesso”. 
· Primeiro acesso: após o primeiro acesso será já é solicitado a troca de senha, com algumas regras a serem seguidas, não é permitido senhas com informações de fácil descoberta, por exemplo, nomes, endereços, números de telefones, datas em geral, números sequenciais e etc. Número mínimo de caracteres são 8, pelo menos um caractere maiúsculo, caractere especial, ao menos 4 números.
Fraquezas
· Usuários Genéricos: existem usuários genéricos, tais como Administrador, TI, suporte e Monitoramento.
· Limitação de horário: Não é limitado o horário de acesso a rede do colaborador.
· Bloqueio de férias e afastamento: Não é bloqueado o acesso do colaborador quando o mesmo está de férias ou afastado.
Oportunidades
· Processo de entrega de senhas.
· Criação de formulário de credenciais de acesso.
· Definir quem será o aprovador do formulário.
· Definir processo em caso de esquecimento de senhas.
Ameaças
· Auditoria de usuário, como existem usuários genéricos não é possível auditar qual colaborador fez acesso em caso de acessos e alterações indevidas no sistema.
· Roubo de informações.
· Utilização de usuários por terceiros.
4. BUSINESS IMPACT ANALYSIS
5. CRONOGRAMA
6. REUNIÃO DE KICK OFF
7. DESENVOLVIMENTO DA POLITICA
8. APRESENTAÇÃO EXECULTIVA
9. REUNIÃO COM ÁREA DE COMUNICAÇÃO E RH
10. TREINAMENTO
11. IMPLEMENTAÇÃO
12. PDCA E RESPONSABILIDADES 
13. CONCLUSÃO
Bibliografia
OLIVEIRA, Paulo Cesar. Política de segurança da informação: definição, importância, elaboração e implementação. Disponível em: https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/. Acesso em: 31 Jan 2017 10:30 
 
Casa da Moeda – PDTI 2013-2014 
Disponível em: http://www.casadamoeda.gov.br/arquivos/portalCMB/menu/cmb/sobreCMB/governancaTI/PDTI-2013-2014.pdf. Acesso em: 26 Jan 2017 7:30 
8