CONFECO DE UMA MINI-POLTICA DE SEGURANA DA INFORMAO / ANLISE DE RISCOS

ndice
1 2 3 4 Sumrio Executivo ....................................................................................... 4 Justificativa .................................................................................................. 5 Objetivos ...................................................................................................... 5 Classificao das Informaes .................................................................... 5
4.1 4.2 4.3 4.4 Informaes Pblicas .................................................................................................... 5 Informaes Internas .................................................................................................... 6 Informaes Confidenciais ............................................................................................ 6 Informaes Restritas ................................................................................................... 6

Os pilares da Segurana da Informao:..................................................... 6

5.1 5.2 5.3 Pilar da Integridade ....................................................................................................... 6 Pilar da Disponibilidade ................................................................................................. 7 Pilar da Confidencialidade ............................................................................................. 7

Riscos Identificados: .................................................................................... 7

6.1 Nvel de privilgios elevado sem necessidade .............................................................. 7 Risco Vulnervel .................................................................................................... 7 Ameaa .................................................................................................................. 7 Aes para Mitigar os Riscos ................................................................................. 7 6.1.1 6.1.2 6.1.3 6.2

Verses de Software no homologadas para uso na companhia ................................. 8 Risco Vulnervel .................................................................................................... 8 Ameaa .................................................................................................................. 8 Ao para mitigar riscos ........................................................................................ 8

6.2.1 6.2.2 6.2.3

6.3

Demandas de Infraestrutura levantadas e executadas sem o envolvimento da TI. ..... 8 Risco Vulnervel .................................................................................................... 8 Ameaa .................................................................................................................. 9 Ao para mitigar riscos ........................................................................................ 9

6.3.1 6.3.2 6.3.3 6.4

Formato de anexo do correio eletrnico no restrito ............................................... 9 Risco Vulnervel .................................................................................................... 9 Ameaa .................................................................................................................. 9 Ao para mitigar riscos ........................................................................................ 9

6.4.1 6.4.2 6.4.3 6.5

Ativos de rede fora do perodo da garantia .................................................................. 9 Risco Vulnervel .................................................................................................. 10 Ameaa ................................................................................................................ 10 Ao para mitigar ................................................................................................ 10

6.5.1 6.5.2 6.5.3 6.6

Procedimentos no documentados ............................................................................ 10 Risco Vulnervel .................................................................................................. 10 Ameaa ................................................................................................................ 10 Ao para mitigar ................................................................................................ 10

6.6.1 6.6.2 6.6.3 6.7

A TI no mencionada no processo de integrao .................................................... 10 Risco vulnervel................................................................................................... 10 Ameaa ................................................................................................................ 11 Ao para mitigar ................................................................................................ 11

6.7.1 6.7.2 6.7.3 6.8

Datacenter em local inapropriado (umidade excessiva) ............................................. 11 Risco vulnervel................................................................................................... 11 Ameaa ................................................................................................................ 11 Ao para mitigar ................................................................................................ 11

6.8.1 6.8.2 6.8.3 6.9

Documentos impressos abandonados ou esquecidos ................................................ 11 Risco vulnervel................................................................................................... 11 Ameaa ................................................................................................................ 11 Ao para mitigar ................................................................................................ 11

6.9.1 6.9.2 6.9.3 6.10

Fuga de expertise ........................................................................................................ 12 Risco Vulnervel .................................................................................................. 12 Ameaa ................................................................................................................ 12 Ao para mitigar ................................................................................................ 12

6.10.1 6.10.2 6.10.3

Consideraes finais.................................................................................. 12

1 Sumrio Executivo
A informao como qualquer outro ativo de grande valor, deve ser adequadamente utilizada e protegida contra as ameaas e riscos. A presente mini poltica de anlise de riscos visa antes de tudo garantir a adoo de melhores prticas para lidar com as situaes que foram selecionadas pela equipe de TI por representar uma potencial ameaa a Confiabilidade, Integridade e Disponibilidade da Informao, reduzindo-se os riscos que possam ocasionar prejuzos tanto de ordem material/financeira quanto reputao da organizao. Na elaborao do presente documento, houve a preocupao de que os assuntos, mtricas e casos aqui abordados fossem expostos com o maior nvel de clareza possvel, possibilitando at mesmo o entendimento por pessoal no familiarizado com as questes tcnicas da Tecnologia da Informao, aplicando-se, portanto no desenvolvimento do trabalho dirio dos usurios e profissionais de TI da companhia. A vigncia da presente mini poltica se dar automaticamente publicao da mesma, devendo todos os colaboradores firmar termo de cincia e concordncia, atividade essa que ficar sobre responsabilidade do setor de recursos humanos, bem como demais colaboradores j vinculados companhia e que fazem uso dos recursos de TI da companhia. O uso imprprio, bem como a no observncia ou ainda, qualquer dificuldade imposta no intuito de dificultar o cumprimento das regras aqui tratadas implicaro em medidas disciplinares, como advertncia por escrito, e no caso de reincidncia, poder implicar em desligamento do colaborador por justa-causa. A companhia, se assim desejar, pode fazer alteraes na presente poltica, exclusivamente a partir da sua prpria vontade, devendo a mesma estar disponvel para consulta a qualquer tempo pelos colaboradores da 4

companhia, passando a validar as alteraes no momento da publicao da nova verso.

2 Justificativa
A importncia da presente Mini Poltica reside em tornar de conhecimento dos usurios e profissionais da rea de Tecnologia da Informao os riscos aqui elencados e as aes para mitiga-los, tento em vista o potencial que cada um desses riscos tem de ameaar a Confidencialidade, Disponibilidade e Integridade da informao. Somente tendo conhecimento das vulnerabilidades do ambiente que nos cerca que podemos tomar precaues assertivas no intuito de prover segurana no ambiente de TI, mitigando riscos que ameaam a solidez da Segurana da Informao como um todo.

3 Objetivos
O objetivo do presente documento auxiliar os profissionais e usurios dos recursos de TI a ter um entendimento dos riscos a que o seu ambiente est exposto, bem como propor estratgias para que as situaes que favoream as ameaas em potencial que esses riscos proporcionam no ocorram. Procura-se tambm formalizar o compromisso da companhia com a proteo da informao, devendo, portanto, ser cumprida pelos colaboradores e por fim, fornecer diretrizes e melhore-prticas a serem seguidas, buscando uma compreenso e reduo do potencial de dano atribudo aos riscos aqui elencados.

4 Classificao das Informaes

A Classificao das informaes feita de acordo com a sua relevncia, grau de confidencialidade e criticidade para o negcio da companhia, sendo, em ordem crescente: Informaes Pblicas, Informaes Internas, Informaes Confidenciais e Informaes Restritas.

4.1 Informaes Pblicas

As informaes oriundas de ambiente externo (sites externos, servidores externos, entre outras cuja hospedagem no de responsabilidade da companhia) passam por filtros de contedo (antivrus, firewall, anti-spam e demais servios que se julgar 5

necessrio), sendo o usurio que fez o login na estao onde esta sendo destinadas essas informaes, responsvel pelas mesmas.

4.2 Informaes Internas

Informaes que dizem respeito apenas companhia, no tendo qualquer valor, relevncia ou aplicabilidade fora dela. So em geral, informaes que no representam risco caso seja levado a conhecimento pblico. .

4.3 Informaes Confidenciais

So informaes em carter sigiloso, sendo portanto proibida a exposio das mesmas fora do ambiente da companhia, sob pena de acarretar sanses disciplinares ao responsvel, como demisso por justa causa ou outra penalidade critrio do gestor imediato. Fazem parte desse grupo todas as informaes que envolvem anlises e resultados da empresa nas suas reas de negcio, bem como projees destes resultados, projetos para lanamentos futuros, etc.

4.4 Informaes Restritas

So informaes que esto disponveis apenas para seu dono e/ou criador ou a um determinado grupo. Pode ser qualquer tipo de informao, desde que seu acesso esteja limitado apenas a determinado(s) colaboradores(s). A violao da restrio de acesso acarretar em medidas disciplinares.

5 Os pilares da Segurana da Informao:

O avano da tecnologia e das formas de comunicao e troca de informao nos possibilitam realizar as nossas tarefas com bastante praticidade, porm as brechas e precedentes para ocorrerem fuga destas informaes tambm aumentaram consideravelmente. Por mais avanados que sejam as tecnologias, elas ainda dependem do fator humano para que possam ser usadas de maneira eficaz. Os pilares da informao tratados neste documento so:

5.1 Pilar da Integridade

Um dado ntegro no necessariamente representa um dado que possua informaes corretas. Um dado ntegro o dado que quando foi resgatado, idntico ao mesmo dado no momento de sua

armazenagem, no tendo ocorrido qualquer ao nesse intervalo que possa alterar as suas caractersticas.

5.2 Pilar da Disponibilidade

Um dado deve estar disponvel no exato momento em que for solicitado, ou seja, deve estar disponvel a qualquer momento. Para isso, deve-se prover de qualquer recurso que torne isso possvel, como por exemplo, links de acesso confivel, permisses de acesso, etc.

5.3 Pilar da Confidencialidade

Um dado deve estar disponvel apenas s pessoas ou grupos que tenham permisso para acess-lo, sendo vetado o seu acesso aos demais. Um dado confidencial disponvel apenas a quem possui permisso para acess-lo.

6 Riscos Identificados:
Aps a equipe de TI ter feito uma anlise criteriosa das vulnerabilidades, ameaas e riscos presentes no ambiente da companhia, foi elaborada uma Matriz de Segurana, onde elencamos dez riscos em potencial e os descreveremos abaixo:

6.1 Nvel de privilgios elevado sem necessidade

Esta situao relata o caso em que um usurio possui permisses para realizar alteraes nas caractersticas de sua estao de trabalho, bem como permisso de acesso a arquivos e documentos, sem que haja necessidade destes privilgios para que o colaborador possa desempenhar corretamente o seu trabalho. 6.1.1 Risco Vulnervel Informaes de cunho confidencial e estabilidade do sistema como um todo 6.1.2 Ameaa Acesso a informaes confidenciais e alteraes em configuraes que comprometam a estabilidade e segurana do sistema. Poder ocorrer vazamento de informaes, bem como comprometimento da estabilidade, causando prejuzos a integridade do sistema devido a ao de programas maliciosos e outras ameaas. 6.1.3 Aes para Mitigar os Riscos Devem ser revisados os acessos e permisses do usurio, de modo que todos devem ter o de permisso mnimo necessrio para desempenho de suas atividades. Dessa forma, evita-se o 7

comprometimento da estabilidade do sistema, que impacta na produtividade do usurio, bem com riscos de acesso sem permisso a dados confidenciais, bem como a ameaa que isso representa no vazamento dessas informaes.

6.2 Verses de Software no homologadas para uso na companhia

Todos os softwares oficialmente utilizados pela empresa passam por um perodo de testes para prevenir problemas como incompatibilidade com outros softwares j estabelecidos ou defeitos (bugs) que possam impactar na produtividade devido s panes que possam a vir ocorrer no sistema operacional. 6.2.1 Risco Vulnervel Sistemas Operacionais e aplicativos 6.2.2 Ameaa Softwares que no passam por um perodo de homologao esto em desacordo, pondo em risco a integridade do sistema operacional e demais aplicativos. Panes que ocorrerem pode impactar em perda de produtividade e/ou corrupo de dados, causando prejuzos. 6.2.3 Ao para mitigar riscos Realizar inventrio de softwares atravs de ferramenta apropriada, devendo essa, levantar informaes como nome, fabricante e verso, devendo esses dados, portanto coincidir com as verses liberadas para uso pelos usurios da companhia. Impedir a livre instalao de programas atravs de ferramentas de controle e permisses de acesso do Sistema Operacional ou outra forma de controle.

6.3 Demandas de Infraestrutura levantadas e executadas sem o envolvimento da TI.

Demandas que envolvem instalao e/ou ampliao de infraestrutura de rede, eltrica ou equipamentos devem ser solicitadas ao setor competente da TI, que ir proceder com a solicitao ou selecionar fornecedores que sejam capazes de faz-lo, caso no haja recursos internos para tal. Ao setor competente de TI, portanto, cabe a responsabilidade de negociar aspectos tcnicos, observando o cumprimento das normas e boas prticas, cabendo ao setor solicitante autorizar ou no a execuo aps a apresentao da proposta formal pela TI. 6.3.1 Risco Vulnervel Infraestrutura de rede, eltrica e equipamentos que do apoio ao funcionamento dos ativos de TI da companhia.

6.3.2 Ameaa No cumprimento das normas e boas prticas para este tipo de projeto, podendo ocasionar instabilidades no funcionamento dos ativos. Expanso fora do controle e no documentada acaba ocasionando tambm lentido na resoluo de problemas caso eles ocorram, pois ficar cada vez mais difcil identificar a causa. 6.3.3 Ao para mitigar riscos Deve-se buscar um apoio da alta-administrao da companhia no intuito de no autorizar modificaes na infraestrutura sem o laudo da ti. Toda e qualquer modificao na infraestrutura deve seguir o fluxo: Solicitao ao setor competente da TI > Avaliao tcnica inicial > Execuo do trabalho (no caso de se tratar de servio possvel de ser executado internamente) > Encerramento. Caso contrrio, o fluxo este: Solicitao ao setor competente da TI > Avaliao tcnica inicial > Contratao de terceiro para elaborao de projeto e oramento junto a T I > Aprovao por parte do setor solicitante > Encerramento.

6.4 Formato de anexo do correio eletrnico no restrito

Devemos ter cincia de que determinados arquivos recebidos por e-mail podem possuir contedo malicioso, podendo causar transtornos ao usurio e a companhia. A restrio destes formatos visa alm de garantir a segurana, coibir o uso da ferramenta de e-mail para propagao de mensagens que no tenham relao com os interesses da companhia, impactando no desempenho e nos recursos dos ativos que sustentam a ferramenta. 6.4.1 Risco Vulnervel Desempenho da ferramenta de correio eletrnico e integridade do sistema operacional e aplicativos das estaes e servidores. 6.4.2 Ameaa Anexos maliciosos de determinados formatos enviados por emails maliciosos podem conter malwares e outras ameaas com potencial de causar danos integridade dos sistemas e dados da companhia. Pode ocorrer tambm sobrecarga dos recursos devido ao fluxo de informao que no tm a ver com as atividades da companhia residentes em anexos como, por exemplo, formatos de arquivo de msica, foto e vdeo ou formatos de apresentao do Microsoft Power Point. 6.4.3 Ao para mitigar riscos Usar Filtros e controles que previnem determinados formatos de circularem por e-mail, bem como fazer uso de ferramentas (Antivrus, etc.) que analisem o contedo anexo do e-mail a procura de ameaas.

6.5 Ativos de rede fora do perodo da garantia

Ativos de rede que no esto cobertos pela garantia do fabricante podem apresentar problemas de estabilidade por questes de desgaste natural, entre outros. 6.5.1 Risco Vulnervel Redes de computadores e demais servios e recursos apoiados por ela. 6.5.2 Ameaa Ao acontecer um evento de falha, haver prejuzo e demora no reestabelecimento do servio, pois devero ser obedecidos fluxos internos que so necessrios para aquisio de equipamento substituto ou peas de reposio. 6.5.3 Ao para mitigar Buscar acordo com os fabricantes para ampliao e, quando for o caso, renovao do perodo de garantia dos equipamentos. Desenvolver uma poltica de obsolescncia programada (ajuda na previso de gastos com equipamentos).

6.6 Procedimentos no documentados

A eficincia com que os servios so prestados muito se deve ao fato de os processos para realizar determinadas tarefas estarem documentados, de modo que a realizao das tarefas seguindo as orientaes destes procedimentos altamente recomendado. 6.6.1 Risco Vulnervel Eficincia dos servios de suporte da TI. 6.6.2 Ameaa Demora na execuo de tarefas pelo desconhecimento da prtica dos procedimentos, bem como a falta de garantia de que os procedimentos e o servio sejam realizados corretamente. 6.6.3 Ao para mitigar Criar documentao de procedimentos com aprovao da gerncia da rea de TI, instruindo com clareza e exatido os processos tratados, de modo que possa auxiliar na execuo de tarefas a melhor maneira possvel.

6.7 A TI no mencionada no processo de integrao

Ao se contratar novos colaboradores, deve-se dar a devida importncia de que eles estejam cientes da correta utilizao dos servios da TI, seus direitos e deveres como utilizador dos recursos, prevenindo assim problemas futuros. 6.7.1 Risco vulnervel Integridade e eficincia dos ativos e recursos da infraestrutura e sistemas de informao 10

6.7.2 Ameaa Consiste em uma ameaa deste caso o uso de ativos para fins que no representam interesse da organizao, alocando recursos que poderiam estar sendo usados para o interesse da companhia. 6.7.3 Ao para mitigar Desenvolver as polticas, sempre envolvendo a gerncia e a rea de recursos humanos (colaborador toma conhecimento ao entrar na empresa), manter as normas e informaes a esse respeito sempre acessvel a qualquer tempo.

6.8 Datacenter em local inapropriado (umidade excessiva)

O correto funcionamento de toda a estrutura de servios da TI se deve localizao dos ativos de TI em local apropriado, livre de acesso externo de pessoal no autorizado e no estando sujeito a condies adversas de clima, vibraes e etc. 6.8.1 Risco vulnervel Ativos e informaes 6.8.2 Ameaa Neste caso em especfico, o elevado grau de umidade pode causar oxidao dos contatos eltricos e mecnicos dos ativos de rede, bem como demais avarias que podem interferir no correto funcionamento dos equipamentos. 6.8.3 Ao para mitigar Instalar condicionadores de ar que atenuem o problema, ou mesmo migrar a estrutura para um novo local caso o problema no seja possvel de contornar ou os custos de adequao sejam acima do projeto de um novo local.

6.9 Documentos impressos abandonados ou esquecidos

Impressos no resgatados no momento de sua impresso podero conter informaes de carter sigiloso, portanto no autorizado seu conhecimento por outros colaboradores que no sejam o seu proprietrio/criador, alm de causar acmulo de papel e desperdcio. 6.9.1 Risco vulnervel Informaes confidenciais, que podem representar vazamento se o seu destino for desviado. 6.9.2 Ameaa Revelao de informaes confidenciais da companhia, seus projetos, previses futuras, dados contbeis e outras informaes dessa monta. 6.9.3 Ao para mitigar Instalar controle de cpia e impresso, de modo que a impresso seja liberada apenas quando o solicitante estiver prximo ao local onde a 11

impressora se encontra e liberou o trabalho de impresso atravs de autenticao (biomtrica ou por chave numrica).

6.10 Fuga de expertise

O conhecimento deve estar acessvel a todos a qualquer hora, no sendo propriedade ou exclusividade de um determinado profissional. 6.10.1 Risco Vulnervel Colaboradores chave para uma determinada tarefa ou conhecedores de um determinado processo podem vir a deixar a companhia ou mesmo podem estar inacessveis por um perodo de tempo (frias, adoecimento, motivo de fora maior, etc...). 6.10.2 Ameaa Dificuldade na execuo de processos e perda de conhecimento. 6.10.3 Ao para mitigar Elencar todos os procedimentos essncias a manuteno do ambiente e exigir a documentao dos procedimentos. Deve-se tambm treinar outro profissional (de preferncia de uma rea afim) para que esse possa vir a suprir a demanda caso houver necessidade.

7 Consideraes finais
Acreditamos que este documento pode contribuir para criarmos um ambiente onde a eficincia e o respeito predomine, auxiliando companhia na obteno dos resultados almejados da melhor maneira possvel.

12