FACULDADE LOURENO FILHO BACHARELADO EM CINCIAS DA COMPUTAO FRANCISCO MARCELO ALENCAR DE MATOS

PROPOSTA DE UM CHECKLIST PARA VERIFICAO DA SEGURANA FSICA DE UMA EMPRESA BASEADA NA NORMA ABNT NBR ISO/IEC 27002:2005

FORTALEZA 2010

FRANCISCO MARCELO ALENCAR DE MATOS

PROPOSTA DE UM CHECKLIST PARA VERIFICAO DA SEGURANA FSICA DE UMA EMPRESA BASEADA NA NORMA ABNT NBR ISO/IEC 27002:2005

Monografia apresentada ao curso de Cincias da Computao da Faculdade Loureno Filho como requisito para obteno do grau de bacharel. Sob a orientao do Professor Msc. Jos Alzir Bruno Falco.

FORTALEZA 2010

TERMO DE APROVAO

PROPOSTA DE UM CHECKLIST PARA VERIFICAO DA SEGURANA FSICA DE UMA EMPRESA BASEADA NA NORMA ABNT NBR ISO/IEC 27002:2005 Por FRANCISCO MARCELO ALENCAR DE MATOS

Este estudo monogrfico foi apresentado no dia 21 de Dezembro de 2010, como requisito parcial para a obteno do grau de bacharel em CINCIAS DA COMPUTAO da Faculdade Loureno Filho, tendo sido aprovado pela Banca Examinadora composta pelos professores:

BANCA EXAMINADORA

____________________________________________________

Prof. Msc. Jos Alzir Falco Orientador FLF

____________________________________________________

Prof. Carlos Roberto Vieira de Arago Examinador FLF

____________________________________________________

Prof. Jos Vigno Examinador FLF

AGRADECIMENTOS

A Deus primeiramente, por ter sempre me mostrado claramente os caminhos e me ajudado em todos os aspectos da minha vida, me abenoando sempre. A toda minha famlia, ao meu pai, Jos Clayton Rocha de Matos por ter me iniciado na rea de informtica, tendo me incentivado e ajudado sempre que necessrio, e em especial minha querida me, Maria do Socorro Alencar de Matos que sempre cuidou e me amou incondicionalmente, estando sempre presente em todos os momentos de minha vida e a minha esposa Camila Silva Alves de Matos por tanto ter me incentivado. Aos professores da Faculdade Loureno Filho pela pacincia e contribuio para a realizao deste trabalho monogrfico.

Na era da informao, ao mesmo tempo em que as informaes so consideradas o principal patrimnio de uma organizao, elas esto tambm sob permanente risco, como nunca estiveram antes. Com isso, a segurana da informao tornou-se crucial para a sobrevivncia das instituies.

Jos Batista Siqueira Filho Jos Bezerra da Silva Filho

RESUMO

Este trabalho monogrfico aborda a implantao da Segurana Fsica em uma organizao tendo como base a Norma ABNT NBR ISO/IEC 27002:2005, principal fonte de pesquisa utilizada. Todos os aspectos propostos na norma esto aqui descritos. O objetivo final desta monografia consiste em propor um Checklist genrico para verificao de conformidade de uma organizao com a Norma ABNT NBR ISO/IEC 27002:2005. Nas ltimas dcadas, o crescimento desordenado da Internet tem criado um ambiente propcio ao desenvolvimento de muitas ameaas. Tais ameaas se valem, na maioria dos casos, da total ausncia de um ambiente seguro e da deficincia de polticas de segurana. No incio, a conectividade a qualquer custo e velocidade eram os objetivos principais. Com os grandes prejuzos obtidos nos ltimos anos devido ausncia de segurana, que surgiu a preocupao em investir em Segurana da Informao. A Segurana da Informao tem como objetivo proteger os ativos de rede, tentando minimizar ao mximo os riscos a que o ativo est exposto. Ela pode ser dividida em duas partes que so Segurana Lgica e Segurana Fsica. A Segurana Fsica, outro importante objeto de pesquisa neste projeto monogrfico, to importante quanto a Segurana Lgica, e desempenha um importante papel na proteo aos ativos de uma empresa. Palavras-chave: Segurana da Informao. Segurana Fsica. ABNT NBR ISO/IEC 27002:2005. Checklist.

13

ABSTRACT

This monographic work tries to explain the Physical Security deployment in an organization drawing upon ABNT NBR ISO / IEC 27002:2005 standard, the main source of research used. All proposed aspects in the rule are described here. The final objective of this monograph is to propose a generic Checklist for verification of compliance of an organization with the ABNT NBR ISO / IEC 27002:2005 standard. In recent decades, the disorderly growth of the Internet has created an environment conducive to the development of many threats. Such threats are worth, in most cases, the total absence of a secure environment and the lack of security policies. Initially, the connectivity at any cost and speed were the main objectives. With the big losses made in recent years due to lack of security, there the concern in investing in the Information Security. The Information Security is intended to protect the assets of network, trying to minimize as much as possible the risks to which the asset is exposed. It can be divided into two parts that are Logical Security and Physical Security. The Physical Security, another important research object of this monographic project, is as important as the Logical Security, and plays an important role in protecting the assets of a company. Key-Words: Information Security. Physical Security. ABNT NBR ISO/IEC 27002:2005. Checklist.

14

LISTA DE FIGURAS

FIGURA 1 Evoluo do nmero de domnios .br ................................................................... 21 FIGURA 2 Internautas ativos em residncias e no trabalho em horas navegadas .................. 21 FIGURA 3 Principais ameaas Segurana ........................................................................... 28 FIGURA 4 Checklist baseado na Norma NBR ISO 27002 ..................................................... 51

15

LISTA DE ABREVIATURAS E SIGLAS

ABNT Associao Brasileira de Normas Tcnicas C Linguagem de Programao de alto nvel C++ Linguagem de programao criada no incio dos anos 70, a partir da linguagem C CB Comits Brasileiros CE Comisses de Estudo CEET Comisses de Estudos Especiais Temporrias DDoS Distributed Denial of Service DoS Denial of Service EUA Estados Unidos da Amrica IEC International Electrotechnical Commission IP Internet Protocol ISO International Standards Organization JTC Joint Technical Committee NBR Abreviatura que denota uma norma brasileira emitida pela ABNT NMAP Software livre que realiza port scan ONS Organismos de Normalizao Setorial PIN Personal Identification Number SGSI Sistema de Gesto da Segurana da informao TCP Transmission Control Protocol TI Tecnologia da Informao UNIX Sistema operacional desenvolvido em 1969, pela empresa americana AT&T UPS Uninterruptible Power Supply

SUMRIO

1 INTRODUO ............................................................................................. 13 1.1 Contextualizao do problema ..................................................................... 13 1.2 Objetivo geral ............................................................................................... 14 1.3 Objetivos especficos ................................................................................... 14 1.4 Justificativa................................................................................................... 14 1.5 Hipteses ...................................................................................................... 15 1.6 Metodologia ................................................................................................. 16 1.7 Estrutura da monografia ............................................................................... 16 1.8 Referencial terico ....................................................................................... 17 2 REVISO BIBLIOGRFICA..................................................................... 18 2.1 Conceituao ................................................................................................ 18 2.1.1 Informao ................................................................................................ 18 2.1.2 Segurana da Informao ......................................................................... 19 2.2 Evoluo da Internet nos ltimos anos ........................................................ 20 2.3 Necessidade de segurana ............................................................................ 22 2.4 Ameaas ....................................................................................................... 23 2.5 Ataques ......................................................................................................... 24 2.5.1 Principais ataques ..................................................................................... 24 2.6 Estatsticas que justificam o investimento em segurana ............................ 27 2.7 Snteses de trabalhos que versam sobre Segurana da Informao ............. 29 2.7.1 Trabalho 1: Uma abordagem sobre poltica da segurana da informao implantada .......................................................................................................... 29 2.7.2 Trabalho 2: Segurana da informao na rede interna com certificados digitais e seus aspectos legais ............................................................................ 30 2.7.3 Trabalho 3: Hackers. Como se proteger? ................................................ 30

11

2.7.4 Trabalho 4: Poltica de segurana da informao para redes corporativas. ............................................................................................................................ 31 2.7.5 Trabalho 5: COBIT, ITIL e ISO/IEC 27002 melhores prticas para Governana de Tecnologia da Informao. ...................................................... 31 2.7.6 Trabalho 6: Segurana como estratgia de gesto da informao .......... 32 2.8 Normas para Segurana da Informao ....................................................... 33 2.8.1 Norma ABNT NBR ISO/IEC 27002:2005 ................................................. 34 2.8.1.1 Objetivos................................................................................................. 34 2.8.1.2 Abrangncia ........................................................................................... 35 2.8.1.3 Importncia ............................................................................................ 35 2.8.2 Norma ISO/IEC FDIS 27001:2005 ........................................................... 36 2.9 Segurana Fsica e do Ambiente de Acordo com a Norma ABNT NBR ISO/IEC 27002:2005 .......................................................................................... 37 2.9.1 reas seguras ............................................................................................ 37 2.9.2 Permetro de segurana fsica .................................................................. 38 2.9.3 Controles de entrada fsica ....................................................................... 40 2.9.4 Segurana em escritrios, salas e instalaes .......................................... 41 2.9.5 Proteo contra ameaas externas e do meio ambiente........................... 41 2.9.6 Trabalhando em reas seguras ................................................................. 42 2.9.7 Acesso do pblico, reas de entrega e de carregamento.......................... 43 2.9.8 Segurana de equipamentos ...................................................................... 44 2.9.9 Instalao e proteo do equipamento ..................................................... 44 2.9.10 Utilidades ................................................................................................ 45 2.9.11 Segurana do cabeamento ...................................................................... 47 2.9.12 Manuteno dos equipamentos ............................................................... 48 2.9.13 Segurana de equipamentos fora das dependncias da organizao .... 48 2.9.14 Reutilizao e alienao segura de equipamentos ................................. 49 2.9.15 Remoo de propriedade ........................................................................ 50 3 CHECKLIST PROPOSTO .......................................................................... 51

12

4 CONSIDERAES FINAIS ....................................................................... 53 4.1 Concluso ..................................................................................................... 53 4.2 Trabalhos Futuros ......................................................................................... 54 REFERNCIAS ............................................................................................... 55

13

1 INTRODUO

Na era da tecnologia digital e do mundo virtual, as organizaes passam a ter a informao como um dos seus principais patrimnios. Sendo um dos principais ativos, a informao necessita ser protegida a qualquer custo de qualquer eventualidade. A perda das informaes de uma organizao acarreta um grande prejuzo para a mesma, e a proporo deste prejuzo aumenta medida que a importncia desta informao para a empresa tambm aumenta. No mundo hoje, existem muitas ameaas informao. Previnir-se contra essas ameaas essencial. de vital importncia que as organizaes criem mtodos de proteo contra tais ameaas. Para padronizar tais mtodos e assegurar sua eficcia, existem rgos responsveis por criar normas e regras que assegurem a Segurana a Informao. A norma ABNT NBR ISO/IEC 27002:2005 a principal referncia para assegurar a implantao eficaz da Segurana da Informao em uma organizao. Baseada nela, ser apresentado um Checklist que servir de termmetro para que as organizaes consigam checar o seu nvel de conformidade com a norma, e assim corrigir os pontos falhos.

1.1 Contextualizao do problema

A necessidade de segurana um fato que vem transcendendo o limite da produtividade e da funcionalidade. Enquanto a velocidade e a eficincia em todos os processos de negcios significam uma vantagem competitiva, a falta de segurana nos meios que habilitam a velocidade e a eficincia pode resultar em grandes prejuzos e falta de oportunidades de negcios. (NAKAMURA; GEUS, 2003). Para a segurana da informao, minimizar as possibilidades de ataques e conseqentes prejuzos s organizaes no dependem somente dos recursos tecnolgicos disponveis, mas tambm dos aspectos humanos, processuais, jurdicos e de negcios da organizao. A segurana fsica compreende-se no ambiente, ela abrange todo o ambiente onde os sistemas de informao esto instalados, normalmente se faz necessria a ajuda da

14 engenharia civil e eltrica, j a segurana lgica compreende-se em programas, onde mecanismos de proteo baseados em softwares so aplicados, ambas podem ser planejadas e implantadas em paralelo.

1.2 Objetivo geral

Apresentar um Checklist genrico para verificao da segurana fsica da informao em qualquer empresa, baseado na Norma ABNT NBR ISO/IEC 27002:2005.

1.3 Objetivos especficos

Analisar a Segurana da Informao, sua importncia e os fatores que a ameaam;

Apresentar e comentar a norma ABNT NBR ISO/IEC 27002:2005, sua importncia, objetivos e abrangncia;

Levantar todos os controles referentes Segurana Fsica da Informao de acordo com a norma ABNT NBR ISO/IEC 27002:2005.

1.4 Justificativa

O mundo da segurana marcado pela evoluo contnua, no qual novos ataques tm como resposta novas formas de proteo que levam ao desenvolvimento de novas tcnicas de ataques e assim sucessivamente. Esse mesmo comportamento pode ser observado no mundo da informao, onde tambm se deve ter em mente que a segurana deve ser contnua e evolutiva. (NAKAMURA; GEUS, 2003).

15 Entretanto, ainda hoje a segurana tratada de maneira superficial por grande parte das organizaes. No recebendo a devida importncia e sem a definio de uma boa estratgia de segurana, so utilizadas tcnicas parciais ou incompletas que podem aumentar a vulnerabilidade da organizao. (NAKAMURA; GEUS, 2003). Os tipos de perdas que as empresas podem experimentar por causa de lapsos na segurana dos computadores podem ser contabilizados das seguintes maneiras (BURNETT, 2002) e (STEVE, 2002):

Dados ou segredos: Perda de nmeros de carto de crdito do usurio, comprometimento de relatrios financeiros e acesso no-autorizado s informaes; Perda de reputao: s vezes uma avaliao negativa do analista pode causar um impacto to grande quanto prpria invaso. Isso pode ser uma das principais razes pelas quais as empresas raramente informam invases e roubo de dados;

Perdas financeiras: Alm dos roubos financeiros diretos, a perda de dados e a perda de reputao resultaro em perdas financeiras.

Os seguintes fatores justificam a preocupao com a segurana contnua: a natureza dos ataques, as novas vulnerabilidades das novas tecnologias, a criao de novas formas de ataques, o aumento da conectividade, a complexidade da defesa, o aumento dos crimes digitais e os grandes prejuzos ocasionados pela falta de segurana. (NAKAMURA; GEUS, 2003).

1.5 Hipteses

A Segurana da Informao realmente um ponto de vital importncia, pois ela defende um dos maiores patrimnios das organizaes, suas informaes;

A norma ABNT NBR ISO/IEC 27002:2005 uma forte referncia para a implantao adequeda e eficaz da Segurana da Informao;

16 O Checklist aqui proposto pode ser utilizado para medir o grau de conformidade da segurana fsica de uma organizao com esta norma.

1.6 Metodologia

Para desenvolver o estudo sobre Segurana Fsica da Informao e implantao da mesma em uma organizao em conformidade com a norma ABNT NBR ISO/IEC 27002:2005, bem como para propor o Checklist sero aplicadas as tcnicas de:

Estudo de Bibliografias relacionadas rea;

Grficos comparativos.

1.7 Estrutura da monografia

Este trabalho monogrfico compreende em 4 captulos. O primeiro captulo de introduo que contextualiza o problema, especifica os objetivos gerais e especficos, demonstra justificativas, hipteses, metodologia, estrutura e referencial terico abordado neste trabalho. O segundo captulo aborda os conceitos de Informao e Segurana da Informao, citando tambm a evoluo da Internet nos ltimos anos e sua importncia, o surgimento e justificativas da necessidade de segurana da informao e os conceitos e exemplos de ameaas e ataques, finalizando com algumas estatsticas que justificam a preocupao e os investimentos em Segurana da Informao, sntese de alguns trabalhos, as normas para segurana da informao so abordadas, bem como alguns importantes orgos criadores e gestores dessas normas. A Norma ABNT NBR ISO/IEC 27002:2005 tem seus objetivos, abrangncia e importncia comentados e explanados, so abordados tambm todos os controles da Norma ABNT NBR ISO/IEC 27002:2005. Cada controle explicado e as medidas a se tomar para haver a conformidade com a norma so enumeradas.

17 No terceiro captulo, o Checklist proposto, oriundo desta pesquisa ento disponibilizado e comentado. J no ltimo captulo, descrito as consideraes finais e sugestes de trabalhos futuros.

1.8 Referencial terico

Neste trabalho foram utilizadas referncias bibliogrficas de vital importncia para o seu desenvolvimento. A referncia mais utilizada foi, sem dvida, a prpria norma ABNT NBR ISO/IEC 27002:2005. Sendo o tema proposto um retrato da norma, no haveria, assim, referncia mais perfeita, tendo sido as outras referncias utilizadas como apoio e complemento terico prpria norma no decorrer deste trabalho.

18

2 REVISO BIBLIOGRFICA

O advento da Internet e das diversas aplicaes que passaram a ser desenvolvidas em ambiente web, assim como o paradigma de desenvolvimento de sistemas em ambiente distribudo podem representar um dos marcos iniciais para as preocupaes com os aspectos de segurana lgica e fsica em ambientes de tecnologia da informao. nesse instante quando comeam as preocupaes de gestores e desenvolvedores com invases de sistemas e, sobretudo, com a criao de estratgias e mecanismos que dificultem a violabilidade de tais informaes. Outro ponto extremamente significativo no processo de segurana lgica e fsica de ambientes de TI veio da quantidade de transaes bancrias realizadas na Internet.

2. 1 Conceituao

Abaixo so apresentadas separadamente os conceitos de Informao e de Segurana da Informao, deixando clara a distino de cada um, bem como a relao entre ambos.

2.1.1 Informao

Segundo a ABNT NBR ISO/IEC 27002 (2005), a informao um ativo que, como qualquer outro ativo importante, essencial para os negcios de uma organizao e conseqentemente necessita ser adequadamente protegida. Isto especialmente importante no ambiente dos negcios, cada vez mais interconectado. Como um resultado deste incrvel aumento da interconectvidade, a informao est agora exposta a um crescente nmero e a uma grande variedade de ameaas e vulnerabilidades. Como salienta Dias (2000), a informao o principal patrimnio da empresa e est sob constante risco. A informao pode existir em diversas formas. Ela pode ser impressa

19 ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrnicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio atravs do qual a informao compartilhada ou armazenada, recomendado que ela seja sempre protegida adequadamente. A informao representa a inteligncia competitiva dos negcios e reconhecido como ativo crtico para a continuidade operacional da empresa (SMOLA, 2003). Nem toda informao vital, porm determinadas informaes podem ser to importantes e necessrias que qualquer custo aplicado para manter sua integridade seria nada se comparado ao custo de no dispor de tais informaes. Para medir o grau de importncia de uma informao, Wadlow (2000) classifica-a em nveis de prioridade. Tais nveis respeitam a necessidade de cada empresa, bem como a importncia da classe de informao para a manuteno das atividades da empresa. Seriam: Pblica: Informao que pode vir a pblico sem maiores conseqncias danosas ao funcionamento normal da empresa, e cuja integridade no vital. Interna: O acesso livre a este tipo de informao deve ser evitado, embora as conseqncias do uso no autorizado no sejam por demais srias. Sua integridade importante, mesmo que no seja vital. Confidencial: Informao restrita aos limites da empresa, cuja divulgao ou perda pode levar a desequilbrio operacional, e eventualmente, a perdas financeiras ou de confiabilidade perante o cliente externo. Secreta: Informao crtica para as atividades da empresa, cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um nmero reduzido de pessoas. A segurana desse tipo de informao vital para a companhia.

2.1.2 Segurana da Informao

Segurana da informao a proteo da informao de vrios tipos de ameaas para garantir a continuidade do negcio, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e as oportunidades de negcio (ABNT NBR ISO/IEC 27002, 2005).

20 De acordo com Smola (2003), pode-se definir Segurana da Informao como uma rea do conhecimento dedicada proteo de ativos da informao contra acessos no autorizados, alteraes indevidas ou sua indisponibilidade. A segurana da informao obtida a partir da implementao de um conjunto de controles adequados, incluindo polticas, processos, procedimentos, estruturas organizacionais e funes de software e hardware (ABNT NBR ISO/IEC 27002, 2005). Para Krause (1999), Pereira (2000) e Albuquerque (2002), h trs princpios bsicos para garantir a Segurana da Informao: Confidencialidade: A informao somente pode ser acessada por pessoas explicitamente autorizadas. a proteo de sistemas de informao para impedir que pessoas no autorizadas tenham acesso; Disponibilidade: A informao deve estar disponvel no momento em que a mesma for necessria; Integridade: A informao deve ser recuperada em sua forma original (no momento em que foi armazenada). a proteo dos dados ou informaes contra modificaes intencionais ou acidentais no-autorizadas.

2.2 Evoluo da Internet nos ltimos anos

Nas ltimas dcadas a Internet, bem como o seu uso tem crescido de forma acelerada. Tornando-se assim muito presente no dia-a-dia das pessoas de forma quase que indispensvel. No se pode mais imaginar o mundo, a rotina das pessoas, as empresas e os negcios sem a Internet. Segundo Honeycutt (1998), o crescimento da Internet tem sido explosivo. Em 1985, haviam mais de 2.000 computadores host na Internet. Agora h bem mais de 9 milhes de computadores host que suportam milhes de usurios. A cada ms, a Internet incorpora milhes de novos usurios. A Internet no de modo algum uma rede, mas sim um vasto conjunto de redes diferentes que utilizam certos protocolos comuns e fornecem determinados servios comuns. um sistema pouco usual no sentido de no ter sido planejado nem ser controlado por ningum (TANENBAUM,2003).

21 A seguir, na Figura 1, temos algumas estatsticas do aumento de usurios, domnios e servidores na Internet, o que vem a confirmar tais afirmaes.

FIGURA 1 Evoluo do nmero de domnios .br. Fonte: Registro.br (2010)

O grfico abaixo, exibe o tempo mdio em que os internautas brasileiros utilizam a Internet (tempo conectado e navegando), ms a ms. O grfico tambm detalha a quantidade de usurios. Assim, pode-se comprovar o quanto a Internet necesria atualmente. Isso tambm um indcio do crescimento acelerado da Internet.

FIGURA 2 Internautas ativos em residncias e no trabalho em horas navegadas. Fonte: IBOPE NetRattings (2010)

22

2.3 Necessidade de Segurana

A informao e os processos de apoio, sistemas e redes so importantes ativos para os negcios. Definir, alcanar, manter e melhorar a segurana da informao podem ser atividades essenciais para assegurar a competitividade, o fluxo de caixa, a lucratividade, o atendimento aos requisitos legais e a imagem da organizao junto ao mercado. As organizaes, seus sistemas de informao e redes de computadores so expostos a diversos tipos de ameaas segurana da informao, incluindo fraudes eletrnicas, espionagem, sabotagem, vandalismo, incndio e inundao. Danos causados por cdigo malicioso, hackers e ataques de denial of service esto se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados. A segurana da informao importante para os negcios, tanto do setor pblico como do setor privado, e para proteger as infra-estruturas crticas. Em ambos os setores, a funo da segurana da informao viabilizar os negcios como o governo eletrnico (egov) ou o comrcio eletrnico (e-business), e evitar ou reduzir os riscos relevantes. A interconexo de redes pblicas e privadas e o compartilhamento de recursos de informao aumentam a dificuldade de se controlar o acesso. A tendncia da computao distribuda reduz a eficcia da implementao de um controle de acesso centralizado. Muitos sistemas de informao no foram projetados para serem seguros. A segurana da informao que pode ser alcanada por meios tcnicos limitada e deve ser apoiada por uma gesto e por procedimentos apropriados. A identificao de controles a serem implantados requer um planejamento cuidadoso e uma ateno aos detalhes. A gesto da segurana da informao requer pelo menos a participao de todos os funcionrios da organizao. Pode ser que seja necessria tambm a participao de acionistas, fornecedores, terceiras partes, clientes ou outras partes externas. Uma consultoria externa especializada pode ser tambm necessria (ABNT NBR ISO/IEC 27002, 2005).

23

2.4 Ameaas

O conhecimento das ameaas e ataques potenciais que podem enfraquecer o ambiente computacional das empresas fundamental antes de decidir sobre quais sero os investimentos na rea de segurana, pois tais ameaas podem comprometer gravemente a segurana do patrimnio tecnolgico da empresa como um todo. As ameaas internas podem ser consideradas como o risco nmero um segurana dos recursos computacionais. contra essas ameaas que a Segurana da Informao se prope. Ameaa a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao (ISO/IEC 13335-1:2004). Segundo Moreira (2001), ameaas so fatores/ocorrncias que podem violar sistemas e causar incidentes de segurana e, dessa forma, danos aos negcios da empresa. Para Soares et al. (1995), ameaa uma possvel violao da segurana de um sistema. Segundo os mesmos autores, existem os seguintes tipos de ameaas: Destruio de informao ou de outros recursos; Modificao ou deturpao da informao; Roubo ou perda da informao; Revelao da informao; Interrupo de servios.

J para Salgado et al. (2004), uma lista das ameaas de segurana fsica poderia conter os seguintes itens: Incndio (fogo e fumaa); gua (vazamentos, corroso, enchentes); Tremores e abalos ssmicos; Tempestades, furaces; Terrorismo; Sabotagem e vandalismo; Exploses; Roubos, furtos; Desmoronamento de construes; Materiais txicos;

24 Interrupo de energia (bombas de presso, ar-condicionado, elevadores); Interrupo de comunicao (links, voz, dados); Falhas em equipamentos; Outros.

2.5 Ataques

Segundo Barbosa (2004), um dos problemas mais comuns segurana a m configurao dos hosts, que acontece devido configurao default do sistema, que deixa muito a desejar, ou devido instalao e habilitao de servios de forma indiscriminada. Ainda segundo o mesmo autor, um outro problema so as falhas inerentes aos sistemas onde a culpa geralmente colocada nos fabricantes, por que seus sistemas possuem vulnerabilidades e falhas, quando no deveriam ter. As falhas, os bugs e as vulnerabilidades sempre iro existir, ento cabe a ns mantermo-nos atualizados quanto ao lanamento de correes, patches e updates. Conforme Honrio (2003), os ataques podem ser intencionais ou acidentais, podendo ser ativos ou passivos. Acidentais: So os ataques que no tem inteno, no foi planejado anteriormente. Intencionais: So os ataques que tem inteno, foi planejado anteriormente. Passivos: So os ataques que no interferem na informao, no fluxo no canal de escuta. Ativos: So os ataques que interferem no fluxo normal de informaes alterando o seu contedo, normalmente contra o intuito de alterar o sistema de segurana de uma empresa.

2.5.1 Principais ataques

Quanto mais protegido o computador, melhor. Desta forma, fica mais difcil sofrer um ataque. So diversos os tipos de ataque.

25 A seguir, so enumeradas as principais formas de ataques. So elas: Vrus: So pequenos programas que tm a propriedade de se juntar a outros arquivos, alterar seu funcionamento normal e se reproduzir, contaminando outros arquivos. Em princpio um vrus poderia contaminar qualquer arquivo. No entanto, s faz sentido contaminarem executveis, uma vez que estes so carregados e executados na memria (BARBOSA, 2004); Trojans ou Cavalos de Tria: Assim como na histria, so falsos presentes enviados s vtimas, geralmente via e-mail, ou seja, programas disfarados que, ao serem executados, efetuam tarefas malgnas, tais como capturas de senhas e outros dados sigilosos. A principal diferena entre os Trojans e os Vrus que o primeiro no se reproduz ou se replica, ele s executado e propagado atravs de interveno humana (BARBOSA, 2004) e (HONRIO, 2003); Worms: So programas que aproveitam falhas do sistemas para se propagar, e se replicar. Ao contrrio dos trojans, os worms no contaminam arquivos. O Primeiro worm que se tem notcia foi criado por Robert Morris, em 1988. Este programa aproveitaria uma falha do finger daemon do UNIX e do sendmail. Mais o worm de Morris tinha um bug que o fazia reinfectar mquinas j contaminadas. Isso provocou a queda de vrios computadores no EUA (BARBOSA, 2004); Sniffers: Os sniffings so programas que verificam o trfego na rede, so teis para o gerenciamento de rede e, nas mos dos hackers, so bons para roubarem senhas e informaes sigilosas. O sniffing uma invaso passiva, na qual uma mquina diferente do destino pretende ter informaes que se percorrem na rede, um ataque muito difcil de ser detectado. Contudo o sniffing no pode ser considerado um ataque porque so usados para diagnosticar problemas na rede de uma empresa (HONRIO, 2003); Exploit: Programa criado para explorar uma falha de segurana de um sistema. Pode servir para obter acesso indevido ou tirar o sistema do ar (ANDRADE, 2005); Honeypot (Pote de Mel): Armadilha para hackers. Configura-se um computador para servir de isca, deixando brechas para a invaso. Os softwares instalados coletam informaes sobre o invasor que so, depois, usadas para reforar as defesas (ANDRADE, 2005); Estouro de Buffer (Buffer Overflow): Um tipo de ataque que faz com que um programa invada o final de uma rea de armazenamento de dados. O resultado que o

26 invasor pode sobrescrever parte do programa e executar seu cdigo. Isso um problema principalmente com software escrito em C e C ++. Outras linguagens como Java esto imunes a ele (ANDRADE, 2005); Rootkit: uma coleo de softwares projetados para no deixar pistas de um invasor e fornecer portas de fundo para futuras invases no sistema, normalmente tambm contm limpadores de log. A defesa feita de um software de avaliao de integridade, mas se o Rootkit atacar o Kernel (Ncleo do Sistema) a defesa a preveno atravs de scanners de Rootkit, ou seja, fazer uma varredura no sistema a procura de Rootkit (ANDRADE, 2005); Spoofing: o ato de usar uma mquina para personificar outra. Isso feito forjando o endereo de origem de um ou mais hosts empenhados na autenticao das mquinas individualmente. Para realizar uma sesso bem sucedida de spoofing, alguns crakers temporariamente matam ou anestesiam a mquina que eles esto personificando (ANDRADE, 2005). O IP Spoofing uma tcnica na qual o endereo real do atacante mascarado, de forma a evitar que ele seja encontrado (NAKAMURA; GEUS, 2003); Scanners de portas: Os scanners so programas que buscam portas TCP abertas por onde pode ser feita uma invaso. Para que a varredura no seja percebida pela vtima, alguns scanners testam as portas de um computador durante muitos dias em horrios aleatrios. Um dos mais conhecidos o Nmap, existe tambm outro tipo de Scanner chamado scanner de vulnerabilidades que so capazes de descrever as

vulnerabilidades nos servios oferecidos pelas portas dos computadores, um dos mais famoso o Nessus (ANDRADE, 2005); Denial of service (DoS): Ataque que consiste em sobrecarregar um servidor com uma quantidade excessiva de solicitaes de servios. H muitas variantes como os ataques distribuidos de negao de servio (DDoS) que paralisam vrios sites ao mesmo tempo. Nessa variante, o agressor invade muitos computadores e instala neles um software zumbi. Quando recebem a ordem para iniciar o ataque, os zumbis bombardeiam o servidor alvo, tirando-o do ar (ANDRADE, 2005); Ping Of Death: (Ping da Morte) Consiste em enviar um pacote IP com tamanho maior que o mximo permitido (65.535 bytes), para a mquina que se deseja atacar. O pacote enviado na forma de fragmentos (a razo que nenhum tipo de rede permite o trfego de pacotes deste tamanho) e quando a mquina destino tenta montar estes fragmentos, inmeras situaes podem ocorrer: a maioria da mquinas trava, algumas

27 reinicializam, outras abortam e mostram mensagens de erro. Praticamente todas as plataformas eram afetadas por este ataque, e todas as que no tiveram correes de segurana instalados, ainda o so vulnerveis. Este ataque recebeu o nome de Ping da Morte porque as primeiras ocorrncias deste ataque foram a partir do programa ping, entretanto, qualquer pacote IP com mais de 65.535 bytes (pacote invlido) provoca o mesmo efeito (ANDRADE, 2005); Engenharia Social: a tcnica que explora as fraquezas humanas e sociais, em vez de explorar a tecnologia. Ela tem como objetivo enganar e ludibriar pessoas assumindo-se uma falsa identidade, a fim de que elas revelem senhas ou outras informaes que possam comprometer a segurana da organizao (NAKAMURA; GEUS, 2003).

2.6 Estatsticas que justificam o investimento em segurana

Algumas estatsticas sero mostradas aqui, com o objetivo de demonstrar o quanto a Segurana da Informao importante, principalmente nas grandes organizaes. Tais estatsticas retratam o cenrio existente, tal cenrio tem se mostrado em pleno crescimento nos ltimos anos, e para reverter este quadro, deve-se aplicar a Segurana da Informao em sua plenitude. A Figura 3 a seguir, demonstra bem o cenrio atual. Este grfico foi baseado em um questionrio aplicado durante a 10 Pesquisa de Segurana da Informao da Mdulo (2006).

28

FIGURA 3 Principais ameaas Segurana. Fonte: Mdulo (2006)

Segundo Mdulo (2006), a evoluo do mercado de tecnologia e a maior conscientizao sobre a necessidade de investimentos em Segurana da Informao ajudaram as empresas a estarem mais preparadas para enfrentar algumas falhas de segurana. No entanto, ainda grande o nmero de companhias (33%) que no sabem quantificar as perdas ou sequer identificar os responsveis pelo problema (21%). O motivo pode ser a falta de um planejamento formal de segurana, que muitas destas empresas no possuem (35%) ou usam h apenas um ano (31%). Por conta desta dificuldade em apontar responsveis, as companhias acabam se dedicando apenas a corrigir a falha (48%), quando descoberta, ou tomam providncias internas (25%), acionando por conta prpria o causador do problema. Quando conseguem identificar os responsveis, as empresas descobrem que a maioria das falhas de segurana causada por funcionrios (24%) e hackers (20%) e que problemas como vrus (15%), spam (10%) e fraudes (8%) so os que mais causam danos financeiros. E os prejuzos por conta destes problemas continuam considerveis. No entanto,

29 pelo modesto percentual - apenas 2% - nota-se que as empresas ainda no percebem que a no conformidade com a nova Legislao especfica para rea de segurana uma possvel causa de perdas financeiras. Para o futuro, a expectativa dos gestores que aumentem os problemas relacionados Segurana da Informao (77%) e as companhias acreditam que podem enfrentar problemas com vrus (10%), spam (11%), vazamento de informaes (7%) e acesso remoto indevido (7%), entre outros. A maioria (55%) considera a falta de conscientizao dos executivos e usurios o principal obstculo para a implementao da segurana na empresa, seguido pela falta de oramento (28%). E o maior motivador para a tomada de decises visando a segurana o nvel de conscincia dos executivos e usurios (31%), segundo os pesquisados. A imagem da empresa no mercado (23%) e o valor agregado aos produtos e negcios (19%) tambm influenciam.

2.7 Snteses de trabalhos que versam sobre segurana da informao

Nesse item realizei o estudo de 5 monografias que tem como principal assunto Segurana da Informao, abordando diversas tpicos como: Riscos, Principais Polticas e Normas de Segurana, Leis, Ameaas e Vulnerabilidades, Hackers, Certificados Digitais, dentre outros assuntos pertinentes ao tema Segurana da Informao.

2.7.1 Trabalho 1: Uma abordagem sobre poltica da segurana da informao implantada.

Monografia apresentada por Danilo Muniz Barreto no curso de Tecnologia em Informtica com nfase em Gesto de Negcios para obter o ttulo de Tecnlogo em Informtica com nfase em Gesto de Negcios na Faculdade de Tecnologia da Zona Leste em So Paulo, sob a orientao do Professor Leandro Colevati dos Santos. Assunto: Uma abordagem sobre poltica da segurana da informao implantada.

30 Nesse trabalho o autor abordou como funciona e como criada e implantada uma Poltica de Segurana da Informao em uma empresa, citando e descrevendo rapidamente algumas normas de Segurana da Informao como, NBR ISO/IEC 27001:2005, Cobit e ITIL. Abordando mais amplamente as formas de ataques, ameaas e vulnerabilidades que uma empresa hoje em dia corre o risco, porm focando em um estudo de caso de uma empresa de grande porte no ramo de papel e celulose, focando em seu setor de TI, mais especificamente no de Segurana da Informao, analisando como funciona sua Poltica de Segurana da Informao

2.7.2 Trabalho 2: Segurana da informao na rede interna com certificados digitais e seus aspectos legais.

Monografia apresentada por Ricardo Brito do Nascimento ao Departamento de Cincia da Computao da Universidade de Braslia como requisito parcial para a obteno do ttulo de Especialista em Cincia da Computao: Gesto da Segurana da Informao e Comunicaes, sob a orientao da Professora Maristela Terto de Holanda. Assunto: Segurana da Informao na Rede Interna com Certificados Digitais e seus Aspectos Legais. Nesse trabalho o autor visa apresentar uma metodologia como forma de mitigar consideravelmente o risco relacionado ao vazamento de informao aplicando os recursos legais e tecnolgicos. Utilizando como fundamentao terica Segurana de Dados, descrevendo detalhadamente procedimentos de Criptologia (abordando a Criptografia de Chave Pblica e seus padres, Certificados de Chave Pblica e a Certificao Digital), Ameaas e Vulnerabilidades, Engenharia Social, Polticas de Segurana da Informao e Legislaes Brasileiras relacionada Segurana da Informao e das Comunicaes.

2.7.3 Trabalho 3: Hackers. Como se proteger?

Monografia apresentada por Paulo Henrique Arajo Honrio ao Curso de Cincia da Computao do Centro Universitrio do Tringulo Unit em Uberlndia, como requisito

31 bsico obteno do grau de Bacharel em Cincia da Computao, sob a orientao do Professor Clayder Cristiam Colho. Assunto: Hackers. Como se proteger? Nesse trabalho o autor visa mostrar como obter uma segurana confivel e satisfatria para se proteger de Hackers, dando uma breve descrio de Segurana em Redes e focando em dois pontos, o primeiro detalha os Hackers (Interesses, Tipos, ticas, Motivaes), Tipos de Ataques e Mtodos de Proteo e o segundo detalha a Invaso em Sistemas Operacionais (ambientes de testes, invases, propostas para minimizar as invases). Mostrando que para se ter uma segurana satisfatria necessrio primeiramente ter conhecimento e uma boa poltica de proteo aplicada ao seu ambiente.

2.7.4 Trabalho 4: Poltica de segurana da informao para redes corporativas.

Monografia apresentada Csar Adriano Bauer ao Curso de Cincia da Computao do Centro Universitrio Feevale em Novo Hamburgo, como requisito bsico para obter o ttulo de Bacharel em Cincia da Computao, sob a orientao do Professor Marcelo Iserhardt Ritzel. Assunto: Poltica de Segurana da Informao para Redes Corporativas. Nesse trabalho o autor visa mostra que j no basta ter um Firewall e ter os servios bem implementados para se manter a rede segura, se faz necessrio a conscientizao e participao dos demais funcionrios da organizao. Com isso detalha conceitos de ativos, segurana fsica e da informao, polticas, riscos, ameaas, vulnerabilidades, recursos para defesa da rede e sugere um modelo para o incio de uma boa gesto da segurana na organizao.

2.7.5 Trabalho 5: COBIT, ITIL e ISO/IEC 27002 melhores prticas para governana de tecnologia da informao.

Monografia apresentada por Alexandre Cavalcante Alencar ao curso de Cincia da Computao da Faculdade Loureno Filho em Fortaleza, como requisito parcial para obteno do ttulo de Bacharel em Cincia da Computao, sob a orientao do Professor Jos Alzir

32 Bruno Falco. Assunto: COBIT, ITIL e ISO/IEC 27002 Melhores Prticas para Governana de Tecnologia da Informao. Nesse trabalho o autor tem como principal inteno fornecer uma viso geral das melhores prticas existentes. Dando uma breve descrio de Gerenciamento de Servios em TI e Segurana da Informao. Detalhando minuciosamente as metodologias ITIL, COBIT e ISO/IEC 27002. Mostrando tambm que embora algumas das melhores prticas sejam adequadas h uma determinada organizao, ao mesmo tempo podem no ser apropriadas h outra organizao, mostrando que se deve levar em conta o conhecimento sobre o funcionamento da empresa onde se pretende utiliz-las, de forma que se possam gerar oportunidades de melhoria, resultando em ganhos reais para o negcio.

2.7.6 Trabalho 6: Segurana como estratgia de gesto da informao.

Artigo escrito por Marcos Aurelio Pchek Laureano e Paulo Eduardo Sobreira Moraes e publicado na Revista Economia & Tecnologia. Assunto: Segurana como estratgia de gesto da informao. Nesse artigo os autores analisam a prtica da segurana como estratgia de gesto da informao. Explica a relao entre estratgia e segurana no que diz respeito a dados e gesto da informao. Discute-se a segurana como atitude inerente aos processos de gesto da informao com isso s organizaes ganha maior controle sobre os dados relevantes e uma conformao maior com os mecanismos de tomada de deciso e confidencialidade dentro das instituies.

33

2.8 Normas para Segurana da Informao

A ISO uma organizao internacional formada por um conselho e comits com membros oriundos de vrios pases. Seu objetivo criar normas e padres universalmente aceitos sobre a realizao de atividades comerciais, industriais, cientficas e tecnolgicas. A IEC uma organizao voltada ao aprimoramento da indstria da informao (FERREIRA e ARAJO, 2006). Conforme a Norma ABNT NBR ISO/IEC 27002 (2005), a Associao Brasileira de Normas Tcnicas (ABNT) o Frum Nacional de Normalizao. As Normas Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos de Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo Especiais Temporrias (ABNT/CEET), so elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros). Segundo Ferreira e Arajo (2006), em dezembro de 2000 a ABNT (Associao Brasileira de Normas Tcnicas) tambm resolveu acatar a norma ISO como padro brasileiro sendo publicada em 2001 como: ABNT NBR 17799 Cdigo de Prtica para a Gesto da Segurana da Informao. O importante que a partir dessa publicao passamos a ter um referencial de aceitao internacional. No segundo semestre de 2005 foi lanada a nova verso da norma, a norma ISO / IEC 17799:2005, que cancela e substitui a edio anterior. A partir de 2007, a nova edio da ISO/IEC 17799 foi incorporada ao novo esquema de numerao como ISO/IEC 27002. Segundo a ABNT esta edio da ABNT NBR ISO/IEC 27002 tem seu contedo tcnico idntico ao da verso corrigida de 02.07.2007 da ABNT NBR ISO/IEC 17799:2005.

34

2.8.1 Norma ABNT NBR ISO/IEC 27002:2005

Segundo a ABNT NBR ISO/IEC 17799 (2005), a ABNT NBR ISO/IEC 17799 foi elaborada no Comit Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21), pela Comisso de Estudo de Segurana Fsica em Instalaes de Informtica (CE-21:204.01). O Projeto circulou em Consulta Nacional conforme Edital n 03, de 31.03.2005, com o nmero de Projeto NBR ISO/IEC 17799. Esta Norma equivalente ISO/IEC 17799:2005. Hoje publicada com a nomeclatura de ABNT NBR ISO/IEC 27002. Uma famlia de normas de sistema de gesto de segurana da informao (SGSI) est sendo desenvolvida no ISO/IEC JTC 1/SC 27. A famlia inclui normas sobre requisitos de sistema de gesto da segurana da informao, gesto de riscos, mtricas e medidas, e diretrizes para implementao. Esta famlia adotar um esquema de numerao usando a srie de nmeros 27000 em seqncia.

2.8.1.1 Objetivos

O objetivo da Norma ABNT NBR ISO 27002:2005 segundo a prpria ABNT NBR ISO/IEC 27002 (2005), estabelecer diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao. Os objetivos definidos na norma provem diretrizes gerais sobre as metas geralmente aceitas para a gesto da segurana da informao. Os objetivos de controle e os controles tm como finalidade ser implementados para atender aos requisitos identificados por meio da anlise/avaliao de riscos. A norma pode servir como um guia prtico para desenvolver os procedimentos de segurana da informao da organizao e as eficientes prticas de gesto da segurana, e para ajudar a criar confiana nas atividades interorganizacionais.

35

2.8.1.2 Abrangncia

A ABNT NBR ISO 27002:2005 contm 11 sees de controles de segurana da informao, que juntas totalizam 39 categorias principais de segurana e uma seo introdutria que aborda a anlise/avaliao e o tratamento de riscos. Cada seo contm um nmero de categorias principais de segurana da informao. As 11 sees (acompanhadas com o respectivo nmero de categorias) so: Poltica de Segurana da Informao (1 categoria); Organizando a Segurana da Informao (2 categorias); Gesto de Ativos (2 categorias); Segurana em Recursos Humanos (3 categorias); Segurana Fsica e do Ambiente (2 categorias); Gesto das Operaes e Comunicaes (10 categorias); Controle de Acesso (7 categorias); Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao (6 categorias); Gesto de Incidentes de Segurana da Informao (2 categorias); Gesto da Continuidade do Negcio (1 categoria); Conformidade (3 categorias). A ordem das sees no significa o seu grau de importncia. Dependendo das circunstncias, todas as sees podem ser importantes. Entretanto, cada organizao que utilize a norma deve identificar quais as sees aplicveis, quo importante elas so e a sua aplicao para os processos especficos do negcio. Todas as alneas na NBR ISO 27002:2005 tambm no esto ordenadas por prioridade, a menos que explicitado (ABNT NBR ISO/IEC 27002, 2005).

2.8.1.3 Importncia

No de hoje a necessidade de proteger as informaes sigilosas nas empresas. Contudo, devido disponibilidade de novas tecnologias e a exigncia do mercado por um

36 maior e mais rpido acesso s informaes, a preocupao em relao ao sigilo e a segurana da informao aumentou. A Norma ABNT NBR ISO/IEC 27002:2005 permite que uma empresa construa de forma muito rpida uma poltica de segurana baseada em controles de segurana eficientes. Os outros caminhos para se fazer o mesmo, sem a norma, so constituir uma equipe para pesquisar o assunto ou contratar uma consultoria para realizar essa tarefas. Ambas opes so caras e demoradas (INFORMABR, 2007). Ela serve como referncia para a criao e implementao de prticas de segurana reconhecidas internacionalmente, incluindo: Polticas, Diretrizes, Procedimentos, Controles. um conjunto completo de recomendaes para: Gesto da Segurana da Informao e Controles e Prticas para a Segurana da Informao.

2.8.2 Norma ISO/IEC FDIS 27001:2005

A Norma ISO/IEC FDIS 27001:2005 cobre todos os tipos de organizaes (por exemplo, empreendimentos comerciais, agncias governamentais, organizaes sem fins lucrativos). Esta Norma especifica os requisitos para estabelecer e implementar, operar, monitorar, revisar, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negcio globais da organizao. Especifica requisitos para a implementao de controles de segurana customizados para as necessidades individuais de organizaes ou suas partes. O SGSI projetado para assegurar a seleo de controles de segurana adequados para proteger os ativos de informao e proporcionar confiana s partes interessadas (VANZOLINE, 2007).

37

2.9 Segurana Fsica e do Ambiente de acordo com a Norma ABNT NBR ISO/IEC 27002:2005

Segundo Ferreira e Arajo (2006), o papel da rea de segurana nos negcios tem se tornado diferencial competitivo, pois embora alguns acreditem ser burocracia, podemos considerar que os controles aumentam de forma significativa a capacidade da organizao no estar to exposta a perdas financeiras provenientes de fraudes, erros de processamentos, entre outras possibilidades. O estabelecimento da Poltica de Segurana da Informao somente o estgio inicial do processo de mudana de cultura quanto ao tema, sendo assim, a preparao de polticas para o estabelecimento de um ambiente seguro somente se efetiva por meio do comprometimento de seus profissionais e do desenvolvimento de processos que utilizam tecnologias e prticas aderentes poltica. A norma ABNT NBR ISO/IEC 27002 sugere que uma consultoria especializada seja envolvida, a fim de auxiliar no entendimento de tais requerimentos particulares, em cada organizao (FERREIRA e ARAJO, 2006).

2.9.1 reas seguras

De acordo com a ABNT NBR ISO/IEC 27002 (2005), o objetivo de uma rea Segura prevenir o acesso fsico no autorizado, danos e interferncias com as instalaes e informaes da organizao. Convm que as instalaes de processamento da informao crticas ou sensveis sejam mantidas em reas seguras, protegidas por permetros de segurana definidos, com barreiras de segurana e controles de acesso apropriados. Convm ainda, que sejam fisicamente protegidas contra o acesso no autorizado, danos e interferncias. Tambm, a proteo oferecida deve ser compatvel com os riscos identificados. Ferreira e Arajo (2006), dizem que a funo bsica da rea de Segurana da Informao proteger o ativo de informao, minimizando os riscos a nveis aceitveis. Em

38 algumas organizaes, esta rea tambm responsvel pela elaborao do plano de continuidade do negcio.

2.9.2 Permetro de segurana fsica

A segurana em tecnologia da informao pode ser compreendida por dois principais aspectos: segurana lgica e segurana fsica. A segurana fsica desempenha um papel to importante quanto a segurana lgica, porque a base para a proteo de qualquer investimento feito por uma organizao. Investir em diferentes aspectos da segurana sem observar suas devidas prioridades pode ocasionar uma perda de todos os recursos investidos em virtude de uma falha nos sistemas mais vulnerveis (FERREIRA e ARAJO, 2006). Convm que sejam utilizados permetros de segurana (barreiras tais como paredes, portes de entrada controlados por carto ou balces de recepo com recepcionistas) para proteger as reas que contenham informaes e instalaes de processamento da informao (ABNT NBR ISO/IEC 27002, 2005). Ainda segundo a ABNT NBR ISO/IEC 27002 (2005), as seguintes diretrizes devem ser levadas em considerao e implementadas para permetros de segurana fsica, quando apropriado. So elas: Os permetros de segurana sejam claramente definidos e que a localizao e a capacidade de resistncia de cada permetro dependam dos requisitos de segurana dos ativos existentes no interior do permetro, e dos resultados da anlise/avaliao de riscos; Os permetros de um edifcio ou de um local que contenha instalaes de processamento da informao sejam fisicamente slidos (ou seja, o permetro no deve ter brechas nem pontos onde poderia ocorrer facilmente uma invaso); convm que as paredes externas do local sejam de construo robusta e todas as portas externas sejam adequadamente protegidas contra acesso no autorizado por meio de mecanismos de controle, por exemplo, barras, alarmes, fechaduras etc.; convm que as portas e janelas sejam trancadas quando estiverem sem monitorao, e que uma proteo externa para as janelas seja considerada, principalmente para as que estiverem situadas no andar trreo;

39 Seja implantada uma rea de recepo, ou um outro meio para controlar o acesso fsico ao local ou ao edifcio; o acesso aos locais ou edifcios deve ficar restrito somente ao pessoal autorizado; Sejam construdas barreiras fsicas, onde aplicvel, para impedir o acesso fsico no autorizado e a contaminao do meio ambiente; Todas as portas corta-fogo do permetro de segurana sejam providas de alarme, monitoradas e testadas juntamente com as paredes, para estabelecer o nvel de resistncia exigido, de acordo com normas regionais, nacionais e internacionais aceitveis; elas devem funcionar de acordo com os cdigos locais de preveno de incndios e preveno de falhas; Sistemas adequados de deteco de intrusos, de acordo com normas regionais, nacionais e internacionais, sejam instalados e testados em intervalos regulares, e cubram todas as portas externas e janelas acessveis; as reas no ocupadas devem ser protegidas por alarmes o tempo todo; tambm deve ser dada proteo a outras reas, por exemplo, salas de computadores ou salas de comunicaes; As instalaes de processamento da informao gerenciadas pela organizao devem ficar fisicamente separadas daquelas que so gerenciadas por terceiros.

Abaixo, segue algumas informaes adicionais sugeridas pela Norma ABNT NBR ISO/IEC 27002 (2005): Pode-se obter proteo fsica criando uma ou mais barreiras fsicas ao redor das instalaes e dos recursos de processamento da informao da organizao. O uso de barreiras mltiplas proporciona uma proteo adicional, uma vez que neste caso a falha de uma das barreiras no significa que a segurana fique comprometida imediatamente. Uma rea segura pode ser um escritrio trancvel ou um conjunto de salas rodeado por uma barreira fsica interna contnua de segurana. Pode haver necessidade de barreiras e permetros adicionais para o controle do acesso fsico, quando existem reas com requisitos de segurana diferentes dentro do permetro de segurana. Convm que sejam tomadas precaues especiais para a segurana do acesso fsico no caso de edifcios que alojam diversas organizaes.

40

2.9.3 Controles de entrada fsica

Qualquer acesso s dependncias da organizao, desde reas de trabalho at quelas consideradas crticas (onde ocorre o processamento de informaes crticas e confidenciais) deve ser controlado sempre fazendo necessria sua formalizao (FERREIRA e ARAJO, 2006). Segundo a ABNT NBR ISO/IEC 27002 (2005), convm que as reas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso. As seguintes diretrizes para implementao devem ser levadas em considerao: A data e hora da entrada e sada de visitantes sejam registradas, e todos os visitantes sejam supervisionados, a no ser que o seu acesso tenha sido previamente aprovado; convm que as permisses de acesso sejam concedidas somente para finalidades especficas e autorizadas, e sejam emitidas com instrues sobre os requisitos de segurana da rea e os procedimentos de emergncia; Acesso s reas em que so processadas ou armazenadas informaes sensveis seja controlado e restrito s pessoas autorizadas; convm que sejam utilizados controles de autenticao, por exemplo, carto de controle de acesso mais PIN (personal identification number), para autorizar e validar todos os acessos; deve ser mantido de forma segura um registro de todos os acessos para fins de auditoria; Seja exigido que todos os funcionrios, fornecedores e terceiros, e todos os visitantes, tenham alguma forma visvel de identificao, e eles devem avisar imediatamente o pessoal de segurana caso encontrem visitantes no acompanhados ou qualquer pessoa que no esteja usando uma identificao visvel; Aos terceiros que realizam servios de suporte, seja concedido acesso restrito s reas seguras ou s instalaes de processamento da informao sensvel somente quando necessrio; este acesso deve ser autorizado e monitorado; Os direitos de acesso a reas seguras sejam revistos e atualizados em intervalos regulares, e revogados quando necessrio.

41

2.9.4 Segurana em escritrios, salas e instalaes

Uma rea de segurana pode ser um escritrio fechado ou diversas salas dentro de um permetro de segurana fsica, que podem estar fechadas ou podem conter armrios fechados ou cofres. Convm que a seleo e o projeto de uma rea de segurana levem em considerao as possibilidades de dano causado por fogo, inundaes, exploses, manifestaes civis e outras formas de desastres naturais ou causados pelo homem. Convm que tambm sejam levados em considerao as regulamentaes e padres de segurana e sade. Tambm devem tratar qualquer ameaa originada em propriedades vizinhas, como por exemplo vazamento de gua de outras reas (SALGADO et al., 2004). Segundo a ABNT NBR ISO/IEC 27002 (2005), deve ser projetada e aplicada segurana fsica para escritrios, salas e instalaes. As seguintes diretrizes devem ser levadas em considerao para proteger escritrios, salas e instalaes: Sejam levados em conta os regulamentos e normas de sade e segurana aplicveis; As instalaes-chave sejam localizadas de maneira a evitar o acesso do pblico; Os edifcios sejam discretos e dem a menor indicao possvel da sua finalidade, sem letreiros evidentes, fora ou dentro do edifcio, que identifiquem a presena de atividades de processamento de informaes, quando for aplicvel; As listas de funcionrios e guias telefnicos internos que identifiquem a localizao das instalaes que processam informaes sensveis no fiquem facilmente acessveis ao pblico.

2.9.5 Proteo contra ameaas externas e do meio ambiente

Segundo a norma ABNT NBR ISO/IEC 27002 (2005), convm que sejam projetadas e aplicadas proteo fsica contra incndios, enchentes, terremotos, exploses, perturbaes da ordem pblica e outras formas de desastres naturais ou causados pelo homem.

42 Todas as ameaas segurana representadas por instalaes vizinhas, por exemplo, um incndio em um edifcio vizinho, vazamento de gua do telhado ou em pisos do subsolo ou uma exploso na rua, devem ser levadas em considerao. Convm que sejam levadas em considerao as seguintes diretrizes para evitar danos causados por incndios, enchentes, terremotos, exploses, perturbaes da ordem pblica e outras formas de desastres naturais ou causados pelo homem: Os materiais perigosos ou combustveis sejam armazenados a uma distncia segura da rea de segurana. Suprimentos em grande volume, como materiais de papelaria, no devem ser armazenados dentro de uma rea segura; Os equipamentos para contingncia e mdia de backup fiquem a uma distncia segura, para que no sejam danificados por um desastre que afete o local principal; Os equipamentos apropriados de deteco e combate a incndios sejam providenciados e posicionados corretamente.

2.9.6 Trabalhando em reas seguras

Convm que seja projetada e aplicada proteo fsica, bem como diretrizes para o trabalho em reas seguras (ABNT NBR ISO/IEC 27002, 2005). Segundo a ABNT NBR ISO/IEC 27002 (2005), as seguintes diretrizes devem ser levadas em considerao: Pessoal s tenha conhecimento da existncia de reas seguras ou das atividades nelas realizadas, apenas se for necessrio; Seja evitado o trabalho no supervisionado em reas seguras, tanto por motivos de segurana como para prevenir as atividades mal intencionadas; As reas seguras no ocupadas sejam fisicamente trancadas e periodicamente verificadas; No seja permitido o uso de mquinas fotogrficas, gravadores de vdeo ou udio ou de outros equipamentos de gravao, tais como cmeras em dispositivos mveis, salvo se for autorizado.

43 As normas para o trabalho em reas seguras incluem o controle dos funcionrios, fornecedores e terceiros que trabalham em tais reas, bem como o controle de outras atividades de terceiros nestas reas.

2.9.7 Acesso do pblico, reas de entrega e de carregamento

Segundo a NBR ISO/IEC 27002 (2005), convm que os pontos de acesso, tais como reas de entrega e de carregamento e outros pontos em que pessoas no autorizadas possam entrar nas instalaes, sejam controlados e, se possvel, isolados das instalaes de processamento da informao, para evitar o acesso no autorizado. Convm que sejam levadas em considerao as seguintes diretrizes (NBR ISO/IEC 27002, 2005): Acesso a uma rea de entrega e carregamento a partir do exterior do prdio fique restrito ao pessoal identificado e autorizado; As reas de entrega e carregamento sejam projetadas de tal maneira que seja possvel descarregar suprimentos sem que os entregadores tenham acesso a outras partes do edifcio; As portas externas de uma rea de entrega e carregamento sejam protegidas enquanto as portas internas estiverem abertas; Os materiais entregues sejam inspecionados para detectar ameaas potenciais antes de serem transportados da rea de entrega e carregamento para o local de utilizao; Os materiais entregues sejam registrados por ocasio de sua entrada no local, usandose procedimentos de gerenciamento de ativos; As remessas entregues sejam segregadas fisicamente das remessas que saem, sempre que possvel.

44

2.9.8 Segurana de equipamentos

Segundo a ABNT NBR ISO/IEC 27002 (2005), o objetivo do item Segurana de Equipamentos impedir perdas, danos, furto ou comprometimento de ativos e interrupo das atividades da organizao. Os equipamentos devem ser protegidos contra ameaas fsicas e do meio ambiente. A proteo dos equipamentos (incluindo aqueles utilizados fora do local, e a retirada de ativos) necessria para reduzir o risco de acesso no autorizado s informaes e para proteger contra perdas ou danos. Tambm deve ser levada em considerao a introduo de equipamentos no local, bem como sua remoo. Podem ser necessrios controles especiais para a proteo contra ameaas fsicas e para a proteo de instalaes de suporte, como a infra-estrutura de suprimento de energia e de cabeamento.

2.9.9 Instalao e proteo do equipamento

Segundo a ABNT NBR ISO/IEC 27002 (2005), importante que os equipamentos sejam colocados no local ou protegidos para reduzir os riscos de ameaas e perigos do meio ambiente, bem como as oportunidades de acesso no autorizado. Devem ser levadas em considerao as seguintes diretrizes para proteger os equipamentos: Os equipamentos sejam colocados no local, a fim de minimizar o acesso desnecessrio s reas de trabalho; As instalaes de processamento da informao que manuseiam dados sensveis sejam posicionadas de forma que o ngulo de viso seja restrito, de modo a reduzir o risco de que as informaes sejam vistas por pessoal no autorizado durante a sua utilizao, e os locais de armazenagem sejam protegidos, a fim de evitar o acesso no autorizado; Os itens que exigem proteo especial devem ser isolados para reduzir o nvel geral de proteo necessrio;

45 Sejam adotados controles para minimizar o risco de ameaas fsicas potenciais, tais como furto, incndio, explosivos, fumaa, gua (ou falha do suprimento de gua), poeira, vibrao, efeitos qumicos, interferncia com o suprimento de energia eltrica, interferncia com as comunicaes, radiao eletromagntica e vandalismo; Sejam estabelecidas diretrizes quanto a comer, beber e fumar nas proximidades das instalaes de processamento da informao; As condies ambientais, como temperatura e umidade, sejam monitoradas para a deteco de condies que possam afetar negativamente os recursos de processamento da informao; Todos os edifcios sejam dotados de proteo contra raios e todas as linhas de entrada de fora e de comunicaes tenham filtros de proteo contra raios; Para equipamentos em ambientes industriais, o uso de mtodos especiais de proteo, tais como membranas para teclados, deve ser considerado; Os equipamentos que processam informaes sensveis sejam protegidos, a fim de minimizar o risco de vazamento de informaes em decorrncia de emanaes.

2.9.10 Utilidades

Segundo a norma ABNT NBR ISO/IEC 27002 (2005), os equipamentos devem ser protegidos contra falta de energia eltrica e outras interrupes causadas por falhas das utilidades. Convm que todas as utilidades, tais como suprimento de energia eltrica, suprimento de gua, esgotos, calefao/ventilao e ar-condicionado sejam adequados para os sistemas que eles suportam. Convm que as utilidades sejam inspecionadas em intervalos regulares e testadas de maneira apropriada para assegurar seu funcionamento correto e reduzir os riscos de defeitos ou interrupes do funcionamento. Convm que seja providenciado um suprimento adequado de energia eltrica, de acordo com as especificaes do fabricante dos equipamentos. Recomenda-se o uso de UPS (Uninterruptible Power Supply) para suportar as paradas e desligamento dos equipamentos ou para manter o funcionamento contnuo dos equipamentos que suportam operaes crticas dos negcios. Convm que hajam planos de

46 contingncia de energia referentes s providncias a serem tomadas em caso de falha do UPS. Convm que seja considerado um gerador de emergncia caso seja necessrio que o processamento continue mesmo se houver uma interrupo prolongada do suprimento de energia. Convm que esteja disponvel um suprimento adequado de combustvel para garantir a operao prolongada do gerador. Convm que os equipamentos UPS e os geradores sejam verificados em intervalos regulares para assegurar que eles tenham capacidade adequada, e sejam testados de acordo com as recomendaes do fabricante. Alm disto, deve ser considerado o uso de mltiplas fontes de energia ou de uma subestao de fora separada, se o local for grande. Convm que as chaves de emergncia para o desligamento da energia fiquem localizadas na proximidade das sadas de emergncia das salas de equipamentos, para facilitar o desligamento rpido da energia em caso de uma emergncia. Convm que seja providenciada iluminao de emergncia para o caso de queda da fora. Convm que o suprimento de gua seja estvel e adequado para abastecer os equipamentos de arcondicionado e de umidificao, bem como os sistemas de extino de incndios (quando usados). Falhas de funcionamento do abastecimento de gua podem danificar o sistema ou impedir uma ao eficaz de extino de incndios. Convm que seja analisada a necessidade de sistemas de alarme para detectar falhas de funcionamento das utilidades, instalando os alarmes, se necessrio. Convm que os equipamentos de telecomunicaes sejam conectados rede pblica de energia eltrica atravs de pelo menos duas linhas separadas, para evitar que a falha de uma das conexes interrompa os servios de voz. Convm que os servios de voz sejam adequados para atender s exigncias legais locais relativas a comunicaes de emergncia. Abaixo, segue algumas informaes adicionais: As opes para assegurar a continuidade do suprimento de energia incluem mltiplas linhas de entrada, para evitar que uma falha em um nico ponto comprometa o suprimento de energia.

47

2.9.11 Segurana do cabeamento

Segundo a ABNT NBR ISO/IEC 27002 (2005), o cabeamento de energia e de telecomunicaes que transportam dados ou d suporte aos servios de informaes deve ser protegido contra interceptao ou danos. As seguintes diretrizes para a segurana do cabeamento devem ser levadas em considerao: As linhas de energia e de telecomunicaes que entram nas instalaes de processamento da informao sejam subterrneas (ou fiquem abaixo do piso), sempre que possvel, ou recebam uma proteo alternativa adequada; Cabeamento de redes seja protegido contra interceptao no autorizada ou danos, por exemplo, pelo uso de condutes ou evitando trajetos que passem por reas pblicas; Os cabos de energia sejam segregados dos cabos de comunicaes, para evitar interferncias; Nos cabos e nos equipamentos, sejam utilizadas marcaes claramente identificveis, a fim de minimizar erros de manuseio, como, por exemplo, fazer de forma acidental conexes erradas em cabos da rede; Seja utilizada uma lista de documentao das conexes para reduzir a possibilidade de erros; Para sistemas sensveis ou crticos, os seguintes controles adicionais devem ser considerados: Instalao de condutes blindados e salas ou caixas trancadas em pontos de inspeo e pontos terminais; Uso de rotas alternativas e/ou meios de transmisso alternativos que proporcionem segurana adequada (contigncia); Utilizao de cabeamento de fibras pticas; Utilizao de blindagem eletromagntica para a proteo dos cabos; Realizao de varreduras tcnicas e inspees fsicas para detectar a presena de dispositivos no autorizados conectados aos cabos; Acesso controlado aos painis de conexes e s salas de cabos.

48

2.9.12 Manuteno dos equipamentos

Segundo a norma ABNT NBR ISO/IEC 27002 (2005), os equipamentos devem ter uma manuteno correta para assegurar sua disponibilidade e integridade permanentes. As seguintes diretrizes para a manuteno dos equipamentos devem ser levadas em considerao: A manuteno dos equipamentos seja realizada nos intervalos recomendados pelo fornecedor, e de acordo com as suas especificaes; A manuteno e os consertos dos equipamentos sejam realizados somente por pessoal de manuteno autorizado; Sejam mantidos os registros de todas as falhas, suspeitas ou reais, e de todas as operaes de manuteno preventiva e corretiva realizadas; Sejam implementados controles apropriados, na poca programada para a manuteno do equipamento, dependendo de a manuteno ser realizada pelo pessoal do local ou por pessoal externo organizao; onde necessrio, as informaes sensveis sejam eliminadas do equipamento, ou o pessoal de manuteno seja de absoluta confiana; Sejam atendidas todas as exigncias estabelecidas nas aplices de seguro.

2.9.13 Segurana de equipamentos fora das dependncias da organizao

Segundo a ABNT NBR ISO/IEC 27002 (2005), devem ser tomadas medidas de segurana para equipamentos que operem fora do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependncias da organizao. Convm que, independentemente de quem seja o proprietrio, a utilizao de quaisquer equipamentos de processamento de informaes fora das dependncias da organizao seja autorizada pela gerncia. As seguintes diretrizes para a proteo de equipamentos usados fora das dependncias da organizao devem ser levadas em considerao: Os equipamentos e suportes fsicos de dados removidos das dependncias da organizao no fiquem sem superviso em lugares pblicos; os computadores

49 portteis sejam carregados como bagagem de mo e disfarados, sempre que possvel, quando se viaja; Sejam observadas a qualquer tempo as instrues do fabricante para a proteo do equipamento, por exemplo, proteo contra a exposio a campos eletromagnticos intensos; Os controles para o trabalho em casa sejam determinados por uma anlise/avaliao de riscos, sendo aplicados controles adequados para cada caso, por exemplo, arquivos trancveis, poltica de "mesa limpa", controles de acesso a computadores, e comunicao segura com o escritrio (ver ISO/IEC 18028 Network security); Haja uma cobertura adequada de seguro para proteger os equipamentos fora das dependncias da organizao. Ainda segundo a ABNT NBR ISO/IEC 27002 (2005), os riscos de segurana, por exemplo, de danos, furto ou espionagem, podem variar consideravelmente de um local para outro e devem ser levados em conta para determinar os controles mais apropriados. Algumas informaes adicionais: Os equipamentos de armazenagem e processamento de informaes incluem todas as formas de computadores pessoais, agendas eletrnicas, telefones celulares, cartes inteligentes, papis e outros tipos, utilizados no trabalho em casa, ou que so removidos do local normal de trabalho (ABNT NBR ISO/IEC 27002, 2005).

2.9.14 Reutilizao e alienao segura de equipamentos

Segundo a ABNT NBR ISO/IEC 27002 (2005), todos os equipamentos que contenham mdias de armazenamento de dados devem ser examinados antes do descarte, para assegurar que todos os dados sensveis e softwares licenciados tenham sido removidos ou sobregravados com segurana. Convm tambm que os dispositivos que contenham informaes sensveis sejam destrudos fisicamente ou as informaes sejam destrudas, apagadas ou sobregravadas por meio de tcnicas que tornem as informaes originais irrecuperveis, em vez de se usarem as funes-padro de apagar ou formatar. Algumas informaes adicionais:

50 No caso de dispositivos defeituosos que contenham informaes sensveis, pode ser necessria uma anlise/avaliao de riscos para determinar se convm destruir fisicamente o dispositivo em vez de mand-lo para o conserto ou descart-lo. As informaes podem ser comprometidas por um descarte feito sem os devidos cuidados ou pela reutilizao do equipamento.

2.9.15 Remoo de propriedade

Convm que equipamentos, informaes ou software no sejam retirados do local sem autorizao prvia (ABNT NBR ISO/IEC 27002, 2005). Segundo a ABNT NBR ISO/IEC 27002 (2005), as seguintes diretrizes devem ser levadas em considerao: Os equipamentos, informaes ou software no sejam retirados do local sem autorizao prvia; Os funcionrios, fornecedores e terceiros que tenham autoridade para permitir a remoo de ativos para fora do local sejam claramente identificados; Sejam estabelecidos limites de tempo para a retirada de equipamentos do local, e a devoluo seja controlada; Sempre que necessrio ou apropriado, seja feito um registro da retirada e da devoluo de equipamentos, quando do seu retorno. Abaixo segue algumas informaes adicionais, tais informaes devem ser observadas: Podem ser feitas inspees aleatrias para detectar a retirada no autorizada de bens e a existncia de equipamentos de gravao no autorizados, armas etc., e impedir sua entrada no local. Convm que tais inspees aleatrias sejam feitas de acordo com a legislao e as normas aplicveis. Convm que as pessoas sejam avisadas da realizao das inspees, e elas s podem ser feitas com a devida autorizao, levando em conta as exigncias legais e regulamentares.

51

3 CHECKLIST PROPOSTO

A seguir pode ser verificado o Checklist genrico proposto para verificao da Segurana Fsica baseado na Norma ABNT NBR ISO/IEC 27002:2005.
CHECKLIST PROPOSTO PARA VERIFICAO DA SEGURANA FSICA BASEADO NA NORMA ABNT NBR ISO/IEC 27002:2005

CHECK-LIST PROPOSTO PARA VERIFICAO DA SEGURANA FSICA BASEADO NA NORMA ABNT NBR ISO/IEC 17799:2005 Questes a auditar

Item 1 1.1 1.1.1

Seo Segurana Fsica e do Ambiente reas de Segurana

Permetro da segurana fsica

Sim?

No?

1.1.2

Controles de entrada fsica

1.1.3

Segurana em escritrios, salas e instalaes de processamento

1.1.4 1.1.5 1.2

Trabalhando em reas seguras Isolamento das reas de expedio e cargas

Se barreiras fsicas, como recursos de segurana, foram implementadas para proteger o servio de processamento da informao. Alguns exemplos de tais recursos de segurana so o controle por carto do porto de entrada, muros, presena de um funcionrio na recepo, etc. Se existem controles de entrada para permitir somente a entrada do pessoal autorizado dentro de vrias reas da organizao. Se as salas, que possuem o servio de processamento de informao ou contm armrios fechados ou cofres, so trancadas. Se o servio de processamento de informao protegido contra desastres naturais ou causados pelo homem. Se existe alguma ameaa potencial de propriedades vizinhas. Se existe algum controle de segurana para prestadores de servio ou funcionrios trabalhando em rea de segurana. A informao s deve ser fornecida quando necessrio. Se as reas de expedio e carga e de processamento de informao so isoladas uma da outra, para evitar acesso no autorizado. Se uma avaliao de risco foi realizada para determinar a segurana de tais reas. Se o equipamento foi instalado em local apropriado para minimizar acesso no autorizado rea de trabalho. Se os itens que requerem proteo especial foram isolados para reduzir o nvel geral de proteo exigida. Se os controles foram adotados para minimizar o risco de ameaas potenciais, como roubo, fogo, exploso, fumaa, gua, poeira, vibrao, efeitos qumicos, interferncia no fornecimentos de energia, radiao eletromagntica, inundao. Se existe uma poltica especial para alimentao, bebida e fumo nas proximidades das instalaes de processamento da informao. Se os aspectos ambientais so monitorados para evitar condies que possam afetar de maneira adversa a operao das instalaes de processamento da informao. Se o equipamento protegido contra falhas de energia e outras anomalias na alimentao eltrica., utilizando fornecimento de energia permanente como alimentao mltipla, no-break, gerador de reserva, etc. Se o cabeamento eltrico e de telecomunicaes que transmite dados ou suporta os servios de informao protegido contra interceptao ou dano. Se existe algum controle de segurana adicional para informaes sensveis ou crticas. Se os equipamentos tm manuteno de acordo com os intervalos e especificaes do fabricante. Se a manuteno realizada apenas pelo pessoal autorizado. Se so mantidos registros com todas as falhas suspeitas ou ocorridas e de toda a manuteno corretiva e preventiva. Se os controles apropriados so utilizados quando do envio de equipamentos para manuteno fora da instalao fsica. Se todos os requisitos impostos pelas aplices de seguro so atendidos. Se um equipamento autorizado pela direo quando necessitar ser utilizado fora das instalaes da organizao. Se dispositivos de armazenamento contendo informaes sensveis so fisicamente destrudos ou sobrescritos de maneira segura. Se um servio de bloqueio automtico de tela de computador est ativo. Isso ir travar o computador sempre que for deixado ocioso por um determinado tempo. Se os empregados so avisados para deixar qualquer material confidencial de forma segura e trancada. Se os equipamentos, informaes ou software podem ser retirados em adequada autorizao.

Segurana dos Equipamentos

1.2.1

Instalao e proteo dos equipamentos

1.2.2 1.2.3

Fornecimento de energia

Segurana do cabeamento

1.2.4

Manuteno de equipamentos

1.2.5 1.2.6 1.3 1.3.1

Segurana de equipamentos fora das dependncias da organizao Reutilizao e alienao segura de equipamentos

Controles Gerais
Poltica de mesa limpa e tela limpa

1.3.2

Remoo de propriedade

Se inspees regulares so realizadas para detectar remoo de propriedade no autorizada. Se as pessoas esto cientes que estas inspees regulares esto realizadas.

FIGURA 4 Checklist baseado na Norma NBR ISO 27002. Fonte: NBR ISO/IEC 27002:2005

52 A Norma ABNT NBR ISO/IEC 27002:2005 a principal referncia para assegurar a implantao adequada e eficaz da Segurana da Informao em uma organizao, abordando a verificao de conformidade de uma organizao segundo a norma no quesito Segurana Fsica. Todos os aspectos propostos no Checklist foram descritos anteriormente no segundo captulo, subitem 2.9. Esse Checklist poder servir de termmetro para que as organizaes consigam checar o seu nvel de conformidade com a norma, e assim corrigir os pontos falhos. Algumas observaes devem ser levadas em considerao aps a aplicao do Checklist: o Deve-se levar em conta que no obrigatoriamente todos os controles e diretrizes contidos na Norma ABNT NBR ISO/IEC 27002:2005 tero que ser aplicados, devendo ser realizado um estudo de anlise e avaliao de risco considerando-se os objetivos e as estratgias globais de negcio da organizao. o Uma consultoria externa especializada pode ser necessria para ajudar no planejamento e na implantao da Norma ABNT NBR ISO/IEC 27002:2005 na organizao. o Controles adicionais e recomendaes no includas nesta Norma podem ser necessrios, como por exemplo, a implementao de um sistema de medio, que seja usado para avaliar o desempenho da gesto da segurana da informao e obteno de sugestes para a melhoria. o Distribuio e divulgao de diretrizes e normas sobre a poltica de segurana da informao de forma eficiente para todos os gerentes, funcionrios e outras partes envolvidas para se alcanar a conscientizao, com isso ganhando um comprometimento e apoio visvel de todos nveis gerenciais.

53

4 CONSIDERAES FINAIS

4.1 Concluso

Certamente o mundo nunca mais foi o mesmo aps o surgimento dos computadores e aps a evoluo da Internet. No mundo atual globalizado, a Internet presta um importante servio, contribuindo para agilizar ainda mais este processo de globalizao. As organizaes, habituadas cada vez mais a esta realidade digital, passam a depender dela de forma vital. A informao passa a ser considerada um ativo das empresas, um patrimnio. Nesta viso, percebemos o quanto importante e indispensvel Segurana da Informao para uma empresa. A proteo de seus dados a qualquer custo sob pena de grandes prejuzos um tema atual. Seguindo esta tendncia, surgem tecnologias que prometem elevado nvel de segurana e proteo, e a cada dia as organizaes se conscientizam mais e mais da importncia e necessidade de protegerem seus dados. Porm tal proteo deve ser tratada como um hbito continuo. Para apoiar as organizaes e os profissionais de TI na tarefa de implantao da Segurana da Informao, a Norma ABNT NBR ISO/IEC 27002:2005 se mostra como uma importante ferramenta. Atravs dela, possvel aplicar-se todos os controles referentes a segurana fsica promovendo assim a proteo desejada. Tais controles aqui mencionados podem acarretar um investimento de alto custo inicialmente, porm levando em considerao os grandes prejuzos que poderiam ser obtidos com a ausncia de segurana, o investimento fica plenamente justificado. Atravs de um Checklist baseado na ABNT NBR ISO/IEC 27002:2005, pode-se medir o nvel de conformidade de uma organizao com a norma, permitindo a checagem dos pontos falhos e sua correo. Uma total conformidade com a norma ABNT NBR ISO/IEC 27002:2005 confere organizao o ttulo de Organizao Certificada. Isso garante que a empresa est em plena conformidade com a norma, bem como a proteo eficaz de suas informaes. Outro ponto importante seria a valorizao diante do mercado de organizaes que possuem os Certificados ISO. Assim, conclumos que as hipteses aqui apresentadas foram confirmadas plenamente. Vale ressaltar que o estudo apresentado, bem como suas hipteses e o Checklist

54 so baseados somente na Segurana Fsica da Informao, tendo ficado de fora dos estudos a Segurana Lgica e outros aspectos que so tambm abordados pela Norma ABNT NBR ISO/IEC 27002:2005.

4.2 Trabalhos Futuros

Este trabalho poder ganhar novas contribuies e desdobramentos. A seguir so apresentados possveis desenvolvimentos futuros. o A realizao de um Checklist baseado na ABNT NBR ISO/IEC 27002:2005 onde se pode medir o nvel de conformidade de uma organizao com a norma em relao Segurana Lgica da Informao. o Aplicao do Checklist em diferentes ambientes. Como por exemplo, realizar um estudo comparativo dos resultados obtidos em uma instituio pblica, com resultados obtidos em organizaes de outros segmentos.

55

REFERNCIAS

ASSOCIAO BRASILEIRA DE NORMAS E TCNICAS ABNT. NBR ISO/IEC 17799:2005 Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto da segurana da Informao. Rio de Janeiro: ABNT, 2005. ASSOCIAO BRASILEIRA DE NORMAS E TCNICAS ABNT. NBR ISO/IEC 27002:2005 Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto da segurana da Informao. Rio de Janeiro: ABNT, 2005. ALBUQUERQUE, Ricardo e RIBEIRO, Bruno. Segurana no desenvolvimento de software Como desenvolver sistemas seguros e avaliar a segurana de aplicaes desenvolvidas com base na ISO 15.408. Rio de Janeiro: Campus, 2002. ALENCAR, Alexandre Cavalcante. COBIT, ITIL e ISO/IEC 27002. Melhores prticas para governana de tecnologia da informao. 2010. Monografia (Graduao em Cincia da Computao), Faculdade Loureno Filho, Fortaleza, 2010. ANDRADE, Thiago Felipe. Percia forense computacional baseada em sistema operacional windows. 2005. Monografia (Bacharelado em Sistemas de Informao), Centro Universitario de Jaragu do Sul, Jaragu do Sul, 2005. BAUER, Csar Adriano. Poltica de Segurana da Informao para Redes Corporativas. 2006. Monografia (Graduao em Cincia da Computao), Centro Universitrio Feevale, Novo Hamburgo, 2006. Disponvel em: <http://tconline.feevale.br/tc/files/621.pdf>, Acesso em: 24 Nov. 2010. BARBOSA, Andr Sarmento. Fundamentos de sistemas de segurana da informao, 2004, Disponvel em: <http://www.projetoderedes.com.br/artigos>, Acesso em: 27 Ago. 2007. BARRETO, Danilo Muniz. Uma Abordagem sobre Poltica de Segurana da Informao Implantada. 2009. Monografia (Tecnlogo em Informtica com nfase em Gesto de Negcios), FATEC-ZL, So Paulo, 2009. Disponvel em <http://www.fateczl.edu.br/TCC/2009-1/tcc-11.pdf>, Acesso em: 23 Nov. 2010. BURNETT, S.; Paine, S. Criptografia e segurana: O guia oficial RSA. Rio de Janeiro: Elsevier, 2002. CAVALCANTE, Sayonara de Medeiros. Segurana da informao no correio eletrnico baseadas na ISO/IEC 17799: Um estudo de caso em uma instituio de ensino superior, com foco no treinamento. 2003. Dissertao (Mestrado em Cincias em Engenharia de Produo), Universidade Federal do Rio Grande do Norte, Natal, 2003. Disponvel em: <http://bdtd.bczm.ufrn.br/tedesimplificado/tde_arquivos6/TDE-2006-10-03/T225216Z341/PublicoSayonaraMC.pdf>, Acesso em 19 set. 2007. DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Axcel Books, 2000.

56 FERREIRA, Fernando Nicolau Freitas; ARAJO, Marcio Tadeu, Poltica de segurana da informao: Guia prtico para embalagem e implementao. Rio de Janeiro: Cincia Moderna, 2006. GOMES, George; OLIVEIRA, Suelene. Guia para Elaborao de Textos Acadmicos Projeto de Monografia e Monografia. Fortaleza: Faculdade Loureno Filho - FLF, 2010. HONEYCUTT, Jerry. Usando a internet. Rio de Janeiro: Campus, 1998. HONRIO, Paulo Henrique Arajo. HACKERS Como se proteger?. 2003. Monografia (Graduao em Cincias da Computao), Centro Universitrio do Tringulo, Uberlndia, 2003. Disponvel em: <http://www.computacao.unitri.edu.br/downloads/monografia/28211129128857.pdf>. Acesso em: 10 Out. 2007. INFORMA BR, Segurana da informao, 2007, Disponvel <http://www.informabr.com.br/nbr.htm#13>, Acesso em: 06 Nov. 2007. em:

KRAUSE, Micki e TIPTON, Harold F. Handbook of information security management. Auerbach Publications, 1999. LAUREANO, Marcos Aurelio Pchek; MORAES, Paulo Eduardo Sobreira. Segurana como estratgia de gesto da informao. Artigo (Publicado na Revista Revista Economia & Tecnologia, Vol. 8 Fascculo 3 P. 38-44 Ano. 2005) Disponvel < http:// www.ppgia.pucpr.br/~euclidesfjr/SEGURANCA_DA_INFORMACAO/economia_tecnologia _seguranca_2005.pdf>, Acesso em: 23 Nov. 2010. MDULO SECURITY SOLUTION S/A. Pesquisa nacional de segurana da informao 10, 2006. Disponvel em: <http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf>, Acesso em 20 Out. 2010. MOREIRA, Nilton Stringasci. Segurana mnima: Uma viso corporativa da segurana de informaes. Rio de Janeiro: Axcel Books, 2001. NASCIMENTO, Ricardo Brito. Segurana da informao na rede interna com certificados digitais e seus aspectos legais. 2010. Monografia (Especializao em Cincia da Computao: Gesto da Segurana da Informao e Comunicaes), Universidade de Braslia, Braslia, 2010. Disponvel em <http://rbrito.googlecode.com/svn/diversos/UNB/monografia/Monografia_CEGSIC.pdf>. Acesso em: 24 Nov. 2010. NAKAMURA, Emilio Tissato; GEUS, Paulo Licio. Segurana de redes em ambientes cooperativos; So Paulo: Futura, 2003. PEREIRA, Cristiane Santos. Implementao de polticas e procedimentos de segurana em ambiente internet. 2000. Monografia (Ps-Graduao em Gesto da Tecnologia da Informao). Universidade de Braslia, Braslia, 2000. SALGADO, Ivan Jorge Chueri; BANDEIRA, Ronaldo; SILVA, Rivaldo Sanches da. Anlise de segurana fsica em conformidade com a norma ABNT NBR ISO/IEC 17799. 2004.

57 Trabalho de concluso de curso (Tecnlogo em Tecnologia da Segurana da Informao). Faculdades Integradas ICESP, Braslia, 2004. SMOLA, Marcos. Gesto da segurana da informao: Uma viso executiva. Rio de Janeiro: Campus, 2003. SOARES, Luiz Fernando Gomes; LEMOS, Guido; COLCHER, Srgio. Redes de computadores: das LANs, MANs e WANs s redes ATM. Rio de Janeiro: Campus, 1995. VANZOLINE. Portal da fundao carlos alberto vanzolina. Disponvel em: <http://portal.vanzolini.org.br/areas/certificacao/auditores/pdf/PROCED/p.com.34.pdf>, Acesso em: 06 Nov. 2007. WADLOW, Thomas. Segurana de Redes. Rio de Janeiro: Campus, 2000.