Atividade Supervisionada AV2 SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

CENTRO UNIVERSITÁRIO CARIOCA
 
Jorgina de Castro Baptista 
Elton Araujo Oliveira
Luan Mesquita
Tarso Lisboa Alvarenga
SEGURANÇA DA INFORMAÇÃO
RIO DE JANEIRO
2013
Jorgina de Castro Baptista
Elton Araujo Oliveira
Luan Mesquita
Tarso Lisboa Alvarenga
SEGURANÇA DA INFORMAÇÃO
 
 Atividade Supervisionada 
 apresentado ao Centro 
 Universitário Carioca, como
 requisito de avaliação para AV2.
 
Orientador: Prof. Fabio Henrique Silva
RIO DE JANEIRO
2013
LISTA DE INLUSTRAÇÕES
Figura 1 – Segurança da Informação......................................................................................7
Figura2 – Estrutura de TI........................................................................................................9
 
SUMÁRIO
Resumo.........................................................................................................................5
Introdução...................................................................................................................5
Objetivo........................................................................................................................5
Justificativa..................................................................................................................6
Segurança da Informação............................................................................................6 
Responsabilidade sobre os Ativos..............................................................................7
Proprietário dos Ativos...............................................................................................7
Uso Aceitável dos Ativos.............................................................................................8
Contabilizando os Ativos............................................................................................8
Classificando os Ativos................................................................................................8
Classificação da Informação Quanto aos Requisitos de Segurança.......................8
Classificação de Relevância dos Ativos......................................................................8
Solução......................................................................................................................................9
Referências.............................................................................................................................12
�
Resumo
 O foco do estudo será as Empresas que hospedam seus dados em nuvens, que necessitam de informações seguras e confiáveis para tomada de decisão. Novos modelos para tratar de segurança têm sido propostos, mas são sempre voltados para parte tecnológica, esquecendo que a mudança de cultura, programas de conscientização e o apoio da alta direção são fatores primordiais para alcançar o sucesso. 
 Na solução, apresenta sugestões de medidas a serem tomadas para aprimorar a Segurança da Informação, podendo até servir para varias outras organizações.
Introdução
 Diante do avanço tecnológico imposto ao mundo moderno, as organizações tiveram que se adequar, estabelecendo políticas e procedimentos de segurança fundamentais para a gestão da segurança da informação e comunicações. A segurança da informação evoluiu e não está apenas focada na confidencialidade da informação como anteriormente. Atende também os requisitos de assegurar disponibilidade, integridade, a autenticidade das informações. Todas as organizações estão em busca de comunicações seguras, dos sistemas seguros e de técnicas que permitam manipulação e armazenamentos seguros das informações estratégicas.
Neste cenário, a pergunta problema a ser respondida é:
Com base na proteção das informações, o que ocorreria se uma Empresa não tivesse o controle e acompanhamento constante de seus dados?
 Este trabalho visa à realização da análise das informações estratégicas existentes, com base nas orientações estabelecidas pela Norma ABNT NBR ISO/IEC 27002, demonstrar os equívocos hoje existentes no armazenamento e tratamento destes dados. Como resultado, será apresentado um modelo para o correto tratamento das informações, tornando-as seguras, sem torná-las inacessíveis ou ineficazes.
 A importância deste estuda é garantir que as informações estratégicas estejam protegidas e prontamente disponíveis ao processo estratégico do negócio, permitindo garantir o planejamento nas ações que sustentam as necessidades do negócio.
Objetivo
Identificar as informações consideradas estratégicas para a AGU;
Levantar os procedimentos de segurança existentes na AGU com relação ao trato de suas informações estratégicas;
Identificar os pontos em desacordo com a norma ABNT NBR SO/IEC 27002;
Apresentar novos procedimentos, seguindo as orientações da norma ABNT NBR ISO/IEC 27002, de forma a diminuir ou eliminar os problemas detectados.
Justificativa
 Deste modo, este trabalho se justifica no sentido de atender essa necessidade seguindo as orientações das melhores práticas adotadas no mercado de maneira a garantir que as informações estratégicas estejam protegidas e prontamente disponíveis aos processos estratégicos do negócio da Organização.
Segurança da Informação
 A informação é um dos principais ativos da organização e como tal deve ser preservada em um ambiente seguro. Aplicar a Segurança da Informação não é mais um modismo, hoje se refere a uma necessidade estabelecida por normas e padrões técnicos. Para Ferreira (2003) à implantação de um conjunto de boas práticas em segurança da informação minimiza as chances de ocorrem problemas de segurança e facilita a administração das redes e dos recursos de forma segura. considera a informação como um ativo capaz de ter fluidez semelhante à de bens acabados, bens intermediários e outros bens e no caso da informação elas circulam sem a proteção devida.
“A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegida. Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectado. Como um resultado deste incrível aumento da interconectividade, a informação está agora exposta a um crescente número e a uma grande variedade de ameaças e vulnerabilidades (ver OECD Diretrizes para a Segurança de Sistemas de Informações e Redes).”
A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente. Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. (ABNT NBR ISO/IEC 27002). A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, paragarantir que os objetivos do negócio e de segurança da organização sejam atendidos. “Convém que isto seja feito em conjunto com outros processos de gestão do negócio, ABNT NBR 27002.”
Figura 1 – Segurança da Informação
Responsabilidade Sobre os Ativos
 Segundo a ABNT NBR ISO/IEC 27001:2006 (p. 16) o objetivo de identificar os responsáveis pelos ativos é “alcançar e manter a proteção adequada dos ativos da organização”.
Proprietário dos Ativos
 Para que os ativos sejam protegidos, é necessário identificar o proprietário. O proprietário pode ser uma pessoa ou entidade autorizada a controlar o uso e a segurança dos ativos, tornando-se o responsável pelos mesmos. Ele vai classificar e valorar a informação de acordo com o que ela representa para a organização.
Uso Aceitável dos Ativos
 Além de proprietário, os ativos da organização possuem usuários. É importante que sejam criadas regras que irão compor a política da empresa quanto a permissões de uso das informações e de ativos associados aos recursos de processamento das informações. Cada usuário deve conhecer e cumprir essa política para uso dos recursos, a fim de não comprometer a empresa e ao próprio usuário. Exemplos de ativos que necessitam de cuidados especiais quanto ao seu uso são: Internet, Correio eletrônico, Estações de trabalho (a estação de trabalho do usuário, assim como sua mesa ou cadeira pertence exclusivamente à empresa e deve ser tratado como um recurso precioso), Notebooks, entre outros.
Contabilizando os Ativos
 Os ativos de informação podem estar associados aos sistemas de informação como, por exemplo: base de dados, arquivos e meio magnético, documentação de sistemas, manuais diversos.
Classificando Ativos
 Depois de concluído o inventário dos ativos de informação existentes é necessário classificar de acordo com a sensibilidade que ela representa para o negócio da organização.
Classificação da informação quanto aos requisitos de segurança
 Não existe um modelo de classificação que possa ser utilizado em todas as organizações, pois cada organização possui sua característica.
 Classificação de Relevância dos Ativos 
 Caso existam regulamentações que exijam a proteção do ativo, a aplicação do controle independe da análise de risco. Pode-se classificar a relevância dos ativos em três níveis: alto, médio ou baixo.
Solução
Figura 2 – Estrutura de TI
Trazer a estrutura de TI para uma instalação própria da Empresa, para manter um controle mais confiável das informações, mantendo as informações restritas a organização e pessoas autorizadas e não estaria a mercê de terceiros.
Criar Um comitê de Segurança da Informação, que será o órgão permanente que conduzirá toda a gestão do presente Regulamento de Segurança e será representado pelo Gestor de Segurança.
Comitê, e todos juntos constituirão um grupo de trabalho para tratar de questões ligadas à Segurança da Informação e propor soluções específicas sobre Segurança da Informação, que envolvam direta ou indiretamente a Organização. 
Portanto, todo e qualquer evento que coloque em risco a Segurança da Informação, assim como quaisquer outros incidentes relacionados que violem o presente Regulamento, deverão ser comunicados, de imediato, pela supervisão de segurança, pelo suporte ou por qualquer usuário que tenha conhecimento do mesmo, ao Comitê de Segurança da Informação para que analise e recomende as medidas necessárias, sendo que, na omissão ou inércia daquele que tiver ciência, ou que desconfie da ocorrência de incidente relacionado à segurança da informação, este será responsabilizado na medida de sua omissão.
Procedimentos De Uso de Rede Interna, Hardwares e Softwares: A utilização da infra-estrutura tecnológica é fundamental para o desenvolvimento das atividades profissionais pelas quais os usuários da organização foram contratados, sendo disponibilizada exclusivamente como ferramenta de trabalho. Com isso, alguns procedimentos devem ser adotados para delinear o que é permitido ou não, bem como garantir o adequado desempenho dessas atividades. Assim, toda a rede interna, hardwares e softwares estão sujeitos à monitoração e, portanto, a organização poderá manter, a seu critério, histórico de acessos realizados aos seus sistemas. Para que esses procedimentos sejam adotados, é importante entender que os termos rede interna, hardware e software, se referem a todos os equipamentos da organização, tais como, mas não se limitando a: computadores desktop, notebooks, softwares homologados (vide relação no anexo III), cabos de rede, backbones, equipamentos de discagem (modems), equipamentos de roteamento (roteadores), equipamentos de distribuição (switches e hubs), servidores, firewalls, proxies, impressoras, scanners, smartphones ou qualquer outro equipamento pertencente à infraestrutura tecnológica da organização.
Toda conta de usuário tem sua respectiva senha, que provê acesso aos recursos autorizados, a cada usuário da organização, de acordo com seu perfil, que deverá mantê-la em segurança. As solicitações de criação, exclusão e alteração de usuários deverão ser feitas através de formulário padrão, definido pelo Comitê de Segurança da Informação, e encaminhadas pelo gerente do departamento solicitante, por e-mail à área de Infraestrutura de Informática, que fornecerá a senha diretamente para o usuário.
Uso e Controle de Informações, Dados e Arquivos: Todos os documentos eletrônicos, dados e informações da atividade laborativa dos usuários devem estar centralizados no servidor, no diretório específico para cada usuário, para arquivos de trabalho, ou nos diretórios classificados e restritos por assunto. O uso da capacidade de armazenagem de dados no servidor deve ser feito com tolerância em relação aos documentos da organização, no sentido de armazenar arquivos sem duplicações, salvo quando estas forem exigidas. Não é permitida a utilização do servidor para armazenar dados e ativos pessoais dos usuários, assim entendidos como aqueles que não são de interesse, uso ou propriedade da Organização.
A organização disponibiliza para seus usuários um conjunto de softwares exclusivamente para o desempenho de suas atividades profissionais, assim, é vedada a utilização de quaisquer softwares não homologados pela organização. 
 Dessa forma, os usuários somente poderão instalar programas que sejam autorizados pela Diretoria de Infra-Estrutura da organização, e cientificado o Comitê de Segurança da Informação. Fica, portanto, vedado ao usuário a instalação de qualquer software, sem autorização prévia e expressa da Diretoria retro citada, excetuando-se aquele usuário que tem permissão expressa em razão de seu cargo.
A organização disponibiliza para seus usuários um conjunto de equipamentos e máquinas exclusivamente para o desempenho de suas atividades profissionais, assim, o uso inadequado desses equipamentos e para fins que não sejam os delineados pela empresa, é proibido. 
 É vedado o uso de quaisquer equipamentos que não sejam de propriedade da organização para conexão em sua rede corporativa, especialmente os notebooks particulares, vez que comprometem a Segurança da Informação.
O acesso a redes externas, principalmente a Internet, é fundamental para o desempenho de algumas atividades relacionadas ao trabalho, assim, o uso da Internet deve estar voltado para o acesso à informações relacionadas somente com as atividades de interesse da empresa. Os acessos originados na rede interna da empresa com destino a qualquer rede externa, só podem ser realizados através dos equipamentos da organização destinados a realizar o roteamento das redes, as conexões deverão ocorrer exclusivamente através de acesso autenticado.
Caso o usuário tenha seu acesso a sites de e.mail gratuitos ou pagos, que disponibilizem o envio e recebimento de e.mails através da tecnologia de webmail, o usuário fica ciente que tais acessos podem comprometer a segurança das informações da organização, motivo pelo qual tais acessosdevem ser extremamente cautelosos e feitos de forma moderada.
Os usuários concordam que todas as informações obtidas na execução de suas atividades junto a organização, em virtude de sua natureza, deverão ser tratadas como sigilosas e restritas, e que não deverão divulgar as referidas informações a terceiros. Neste sentido, os usuários concordam em manter sigilo sobre todas as informações que venham a tomar conhecimento em virtude das atividades profissionais, o que deverá permanecer em vigor e vincular legalmente as partes enquanto vigorar seu vínculo, vigorando, ainda, após a eventual rescisão, a qualquer título, por qualquer das partes, de maneira permanente, sob pena do direito da organização pleitear o ressarcimento das perdas e danos decorrentes da violação do sigilo pelo usuário, sem prejuízo da responsabilidade criminal, em especial como incurso nas penas dos artigos 183, 184 e 195, da Lei 9.279/96, e dos artigos 153 e 154, do Código Penal Brasileiro, bem como todas as demais leis e disposições cabíveis, inclusive no que toca aos servidores da administração pública.
Encerramento: A tolerância de uma parte para com a outra, relativamente a descumprimento de qualquer das obrigações ora assumidas, não será considerada novação, renúncia ou perdão tácito a qualquer direito, constituindo mera liberalidade, que não impedirá a parte tolerante de exigir da outra o fiel cumprimento deste Regulamento, a qualquer tempo. Para publicidade e conhecimento geral dos usuários da organização, este documento será publicado na rede interna, bem como será afixado em murais instalados em pontos estratégicos de circulação nas dependências da empresa. 
“Quem tem o conhecimento e sabe como
utilizá-lo em seu beneficio, tem o poder.”
POLLONI (2000)
Referências:
ALBUQUERQUE, Fabio S. de. A nova visão da área de segurança da informação. Modulo Security Magazine. 2006. Disponível em:< http://www.modulo.com.br>.
ASCIUTTI, César Augusto, Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública – USP, São Paulo (SP), 2006. Disponível em: http://www.security.usp.br/palestras/Normas-Encontro-USP-Seguranca- Computacional-II-V-1-02.pdf.. 
Associação Brasileira de Normas Técnicas - ABNT. Norma NBR 27002. 
Associação Brasileira de Normas Técnicas - ABNT. Norma NBR ISO/IEC 27001:2006.
Axur Information Security,, Especializada em Segurança da Informação, Porto Alegre. Disponível em: <http://www.axur.com.br/page1b.html>.
Beal, Adriana. Gestão Estratégica da Informação: como transformar a informação e a tecnologia da informação em fatores de crescimento e de alto desempenho nas organizações. São Paulo: Atlas, 2008.
BRASILIANO, Antonio Celso Ribeiro Brasiliano , Método brasiliano de Análise de Risco. Disponível em: <http://www.brasiliano.com.br/blog/?p=377>.
FERREIRA, Fernando Nicolau Freit. Segurança da Informação. Rio de Janeiro; Editora Ciência Moderna, 2003.
� PAGE \* MERGEFORMAT �10�