Você está na página 1de 63

Universidade Federal de Lavras

DEPARTAMENTO DE CINCIA DA COMPUTAO

Ps Graduao Lato Sensu


MBA-EXECUTIVO EM GOVERNANA DE TECNOLOGIA DA INFORMAO

Edson de Albuquerque Matos Neto

Anlise de Risco da Segurana da Informao no Ambiente da Empresa ACE-PE

LAVRAS MG 2010

EDSON DE ALBUQUERQUE MATOS NETO

Anlise de Risco da Segurana da Informao no Ambiente da Empresa ACE-PE

Monografia apresentada ao Departamento de Cincia da Computao da Universidade Federal de Lavras, como parte das exigncias do Curso de PsGraduao Latu Sensu MBA Executivo em Governana de Tecnologia da Informao, para a obteno do ttulo de especializao.

Orientador Prof. Andr Luiz Zambalde

LAVRAS MINAS GERAIS-BRASIL 2010

EDSON DE ALBUQUERQUE MATOS NETO

Anlise de Risco da Segurana da Informao no Ambiente da Empresa ACE-PE

Monografia apresentada ao Departamento de Cincia da Computao da Universidade Federal de Lavras, como parte das exigncias do Curso de PsGraduao Latu Sensu MBA Executivo em Governana de Tecnologia da Informao, para a obteno do ttulo de especializao.

APROVADA em ______de _____________de________

Prof.__________________________________________

Prof. __________________________________________

___________________________________________________ Prof. Andr Luiz Zambalde

LAVRAS MINAS GERAIS-BRASIL 2010

Aos meus pais, Jurilo ("in memoriam") e Sizenaide Aos meus filhos, Lucas e Alexandre minha mulher, Ana Paula Ao meu estimado sobrinho Pedro Henrique

AGRADECIMENTOS

O xito de uma conquista o resultado de um conjunto de fatores, o qual dificilmente alcanado sem o apoio, a solidariedade e os conselhos das pessoas que acreditam no nosso trabalho.

Agradeo a Deus, autor da minha vida.

A minha me por estar sempre ao meu lado e por ter me acompanhado nessa caminhada de altos e baixos, proporcionando-me apoio incondicional e oportunidades para eu chegar aonde cheguei.

Aos professores por terem compartilhado com todos ns seus conhecimentos, e em especial ao Professor Andr Zambalde por suas preciosas orientaes, contribuindo assim para minha formao profissional.

E, a ACE-PE, que me incentivou financeiramente para a realizao deste trabalho.

SUMRIO LISTA DE FIGURAS ................................................................................................................ i LISTA DE QUADROS ............................................................................................................. ii LISTA DE ABREVIATURAS.................................................................................................iii RESUMO/ABSTRACT ........................................................................................................... iv 1 INTRODUO...................................................................................................................... 1 1.1 Contextualizao e motivao ............................................................................................. 1 1.2 Objetivos e estrutura do trabalho......................................................................................... 3 1.2.1 Objetivo Geral .................................................................................................................. 3 1.2.2 Objetivos Especficos ....................................................................................................... 3 1.2.3 Estrutura do trabalho ........................................................................................................ 3 2 REVISO DE LITERATURA .............................................................................................. 4 2.1 Princpios bsicos da Segurana da Informao.................................................................. 4 2.2 O Processo da Segurana da Informao ............................................................................ 7 2.3 O Risco no contexto da Segurana da Informao.............................................................. 9 2.4 Normas Tcnicas de Segurana da Informao................................................................. 15 2.4.1 CobIT.............................................................................................................................. 16 2.4.2 ITIL................................................................................................................................. 17 2.4.3 ABNT NBR ISO/IEC 27002 .......................................................................................... 19 2.4.4 ABNT NBR ISO/IEC 27005 .......................................................................................... 20 2.5 Mecanismos de Segurana................................................................................................. 21 2.6 Estado da Arte ................................................................................................................... 24 3 METODOLOGIA................................................................................................................. 27 3.1 Tipo de pesquisa ................................................................................................................ 27 3.2 Procedimentos metodolgicos........................................................................................... 27 4 RESULTADOS E DISCUSSO ......................................................................................... 28 4.1 Descrio da organizao .................................................................................................. 28 4.2 Diagnstico da Segurana da Informao ......................................................................... 30 4.3 Estratgia e interveno..................................................................................................... 38 5 CONCLUSES .................................................................................................................... 42 6 REFERNCIAS BIBLIOGRFICAS ................................................................................. 44 7 APNDICE .......................................................................................................................... 47 7.1 Apndice 1 - Painis da apresentao ............................................................................... 47

LISTA DE FIGURAS FIGURA 1.1 FIGURA 2.1 FIGURA 2.2 FIGURA 2.3 FIGURA 2.4 FIGURA 2.5 FIGURA 2.6 FIGURA 2.7 FIGURA 2.8 FIGURA 2.9 FIGURA 2.10 FIGURA 2.11 FIGURA 3.1 Potencial de proliferao das ameaas .................................................. Relao entre os princpios da Segurana da Informo....................... Trplice da Segurana da Informao.................................................... Processo do Gerenciamento da Segurana da Informao.................... Relao do risco ao ambiente corporativo ............................................ Componentes da declarao de riscos................................................... ndices de Segurana da informa no Brasil ....................................... Fluxo de impacto da vulnerabilidade ao negcio.................................. Mudana de abordagem da TI............................................................... Ciclo do CobIT nos seus 4 domnios .................................................... Ciclo do ITIL nos seus 5 domnios ....................................................... Ciclo PDCA........................................................................................... Organograma da empresa ACE-PE....................................................... 2 6 8 9 10 11 13 14 15 16 18 25 28

LISTA DE QUADROS QUADRO 2.1 Exemplo de classificao de ameaas ................................................... 12 24 31 32

QUADRO 2.2 - Etapas PDCA para a soluo de problemas .......................................... QUADRO 4.1 QUADRO 4.2 Quadrante risco vs impacto ................................................................... Matriz de risco.......................................................................................

ii

LISTA DE ABREVIATURAS ABNT - Associao Brasileira de Normas Tcnicas ACE - Empresa de Servios Avanados de TI no Estado de Pernambuco BI - Business Intelligence BPM - Business Process Management BS - British Standard CRM - Customer Relationship Management COBIT - Control Objectives for Information and Related Technology GRC - Governance, Risk Management and Compliance ISACA - Information Systems Audit and Control Association ISMTB - Information Security Management Toolbox ISO/IEC - International Organization for Standardization/ International Electrotechnical Commission ITIL - Information Technology Infrastructure Library ITSMF - Foundation of IT Service Management MSF - Microsoft Solution Framework NBR - Norma Brasileira de Referncia PDCA - Plan, Do, Check and Action ROI - Return on Investment SLA - Service Level Agreement ISMTB - Information Security Management Toolbox TI - Tecnologia da Informao

iii

ANLISE DE RISCO DA SEGURANA DA INFORMAO NO AMBIENTE DA EMPRESA ACE-PE Edson de Albuquerque Matos Neto RESUMO Este trabalho foi desenvolvido com base em um estudo um de caso da empresa ACE-PE que trata de problemas relacionados ao ambiente computacional relacionados segurana da informao com nfase na anlise de risco. Nele, o leitor encontrar importantes temas que abordam o assunto, tais como: os fundamentos da segurana informao, os conceitos de vulnerabilidade, ameaas, integridade e confidencialidade e suas interdependncias, o processo da segurana da informao, normas tcnicas e melhores prticas do mercado e um diagnstico da maturidade da segurana, por meio de uma anlise de risco, alm de uma srie de aes que minimizaro os impactos ao negcio, todas fundamentadas nos principais controles ITIL e COBIT e das normas ISO 27002 e ISO 27005. O principal objetivo do estudo de caso foi o mapeamento das fragilidades computacionais e tecnolgicas, que foram realizadas com base no framework 4As. O resultado final apontou 64 falhas, e para cada item foi apresentado uma soluo. O desfecho deste trabalho se deu por meio da mobilizao total da empresa, onde processos e procedimentos de segurana foram implantados, tornando a ACE-PE mais segura em seus negcios.

Palavras-chave: Segurana da Informao, Normas Tcnicas e Anlise de Riscos.

INFORMATION SECURITY RISK ANALYSIS WITHIN THE COMPANY ACE-PE

Edson de Albuquerque Matos Neto ABSTRACT This work was developed based on a study of one case of PE-ACE company that deals with problems related to the computing environment related to information security with emphasis on risk analysis. In it, the reader will find important topics about the subject, such as: the fundamentals of information security, the concepts of vulnerability, threat, integrity and confidentiality, and their interdependencies, the process of information security, technical standards and industry best practices and a diagnosis of the maturity of security through risk analysis, plus a series of actions that will minimize impacts to the business, all based in the main controls ITIL and COBIT and ISO 27002 and ISO 27005. The main objective of the case study was the mapping of the computational and technological weaknesses, which were based on the 4As framework. The final result showed 64 failures, and each item was presented a solution. The outcome of this work was achieved through the mobilization of the entire business, which processes and safety procedures were implemented, making ACE-PE safer in their businesses.

Key words: Information Security, Technical Standards and Risk Analysis.


iv

1 INTRODUO

1.1 Contextualizao e motivao

Por um perodo longo a segurana da informao foi amplamente ignorada no ambiente corporativo, tema que no reflete o cenrio atual, ao contrrio, encontra-se em fase evolutiva, sendo um dos principais desafios da administrao moderna nos prximos anos. O interesse por esse assunto tem aumentando fortemente no s nas organizaes como tambm em ambientes no corporativos, visto o crescimento do uso da Internet e principalmente do comrcio eletrnico. Um nmero cada vez maior de empresas est publicando portais eletrnicos de seus negcios, e isso insere um risco ainda maior, o qual prope algumas questes importantes para o negcio. Quais riscos correr e que atitudes adotar agora e no prximo oramento? Por esse motivo maior a exposio das organizaes, tornando necessrios investimentos em solues que aumentem a segurana dos negcios. A tecnologia da informao capaz de apresentar parte da soluo a este problema, no sendo, contudo, capaz de resolv-lo integralmente, e se mal aplicada, at mesmo contribuir, para agrav-lo.

A gesto da TI (Tecnologia da Informao) precisa tomar decises, e isso s ser possvel atravs de uma criteriosa anlise do ambiente, a qual subsidiar o gerenciamento da segurana da informao para determinar suas aes estratgicas, tticas e operacionais de modo que o provedor de servios de TI esteja em conformidade aos acordos pr-estabelecidos e que os aspectos de segurana sejam atendidos em conformidade. Visando suprir essa necessidade, este trabalho apresenta uma anlise de risco que define um conjunto de aes consistentes que iro auxiliar na conduo do conhecimento e na reduo dos riscos relacionados segurana da informao.

A metodologia adotada baseada nas melhores prticas de execuo do Microsoft Solution Framework1 - MSF. Essa metodologia consiste em um conjunto de modelos, princpios e guias em anlise de segurana. E uma adaptao do Framework 4A desenvolvido por George Westerman. Ela auxilia no direcionamento dos objetivos de negcios e tecnologias da organizao, reduzindo os custos de implantao de novas tecnologias. O principal benefcio expor e controlar riscos crticos e destacar pontos importantes para o

Framework um conjunto de conceitos ou modelos usado para resolver um problema de um domnio especfico, (Wikipedia).

planejamento do negcio. O arcabouo final da anlise de risco consiste em um levantamento de informaes para identificao de riscos e impacto na organizao. A anlise realizada em trs esferas: tecnologia, processos e pessoas. No resultado final, descrito nos resultados e discusso, apresenta a situao de segurana da informao na empresa, o qual ajudar na tomada de deciso, por onde comear a investir em segurana da informao e como minimizar os riscos e impactos dentro da organizao a um nvel aceitvel.

O gerenciamento da segurana da informao composto por um conjunto de processos e procedimentos, baseado em normas e na legislao, que uma organizao utiliza para prover segurana no uso de seus ativos tecnolgicos. Tal sistema deve ser seguido por todos aqueles que se relacionam direta ou indiretamente com a infra-estrutura de TI da organizao, tais como: funcionrios, prestadores de servio, parceiros e terceirizados. Alm de possuir obrigatoriamente o aval da direo e do departamento jurdico da organizao para conferir sua legitimidade.

A preocupao em adquirir e inovar tecnologias em segurana advm das inmeras falhas no ambiente corporativo, onde o aumento das ameaas apresenta velocidade cada vez maior, a Figura 1.1 demonstra esse crescimento. Considerar s falhas humanas como um mecanismo presente no ambiente das empresas uma premissa.

Figura 1.1 Potencial de proliferao das ameaas Fonte: Zapater e Suzuki (2008). A implantao da segurana da informao envolve primeiramente a anlise de riscos na infra-estrutura de TI. Esta anlise permite identificar os pontos vulnerveis e as falhas nos sistemas que devero ser corrigidos. Alm disso, na gesto da segurana da informao, so definidos processos para detectar e responder a incidentes de segurana e procedimentos para auditorias.
2

A motivao para este trabalho a incluso das boas prticas em segurana da informao junto ao controle da informao que um fator crtico e determinante para sucesso dos negcios a qual fundamental para as corporaes do ponto de vista estratgico e empresarial. A implantao dessas diretrizes ir minimizar consideravelmente os impactos dos riscos da TI na vida da empresa.

1.2 Objetivos e estrutura do trabalho

1.2.1 Objetivo Geral

O objetivo geral desta pesquisa um estudo do ambiente tecnolgico e a anlise das falhas na segurana da informao na empresa ACE-PE, que medir o risco da TI na corporao, com propsito de identificar as condies ideais para reduzir os riscos que a informao esta exposta.

1.2.2 Objetivos Especficos

a) Diagnosticar as ameaas e vulnerabilidades ao sistema coorporativo; b) Apresentar o mapa das ameaas e vulnerabilidades atravs da anlise de risco; c) Classificar as informaes de acordo com o risco apresentado; d) Associar os riscos relatados ao potencial impacto empresa; e) Apresentar solues de melhorias e segurana ao ambiente.

1.2.3 Estrutura do trabalho

Este trabalho est estruturado da seguinte maneira: no Captulo 1, apresentada a contextualizao e objetivos para realizao deste estudo de caso. O resultado do levantamento referencial terico com toda a fundamentao dos conceitos bsicos de segurana da informao relatado no Captulo 2, buscando justificar o porqu da preocupao e o que pode ser feito para melhorar, baseado em normas tcnicas que contm requisitos para segurana da informao. O captulo 3 trata dos estudos relevantes para a metodologia deste trabalho. No Captulo 4, tratada toda descrio dos problemas e resultados do ambiente computacional, realando a importncia da segurana da informao ao negcio. Finalizando, no Captulo 5, so apresentadas as consideraes finais.
3

2 REVISO DA LITERATURA

Por se tratar de uma disciplina de abrangncia global nas empresas, onde a informao permeia pelos diversos departamentos, setores e reparties, a segurana da informao tem o papel presente nos processos, pessoas, fluxos de trabalho por meio de aplicativos integrados e suportados por uma estrutura composta por rede, base de dados, mensagens, colaborao e servidores de aplicativos para atender aos objetivos de negcios. Para muitas empresas, a anlise dos problemas relacionados segurana da informao ainda feita de modo desestruturado ou fragmentado, atravs de mtodos que muitas vezes falham por no estar integrada a Governana da TI. A fim de alinhar o campo do conhecimento com o qual lida a segurana da informao so apresentados a seguir algumas das abordagens apontadas na literatura.

2.1 Princpios bsicos da Segurana da Informao

Segundo Rezende e Abreu (2000), os processos de negcio de uma corporao dependem plenamente do fornecimento de informaes. Na verdade esses processos compem-se de um ou mais sistemas de informao. A informao um patrimnio da empresa, tido como qualquer outro ativo importante para os negcios, de valor para a organizao e que por sua vez necessita ser protegida de maneira. O gerenciamento da segurana da informao um processo fundamental que visa controlar a oferta das informaes e impedir o uso no autorizado.

A informao tem forte influencia tanto na concepo quanto na execuo de uma estratgia. Desta forma apia os executivos a identificar as ameaas e as oportunidades para a empresa e cria um ambiente apropriado para respostas mais competitiva e eficaz. A informao funciona tambm como um recurso primordial para a definio de estratgias alternativas, e essencial para uma organizao flexvel na qual o processo de mudana esta sempre em evidncia (REZENDE e ABREU 2000).

Segurana base da credibilidade das empresas, a liberdade necessria para a criao de novas oportunidades de negcio. Os negcios esto cada vez mais dependentes das tecnologias e estas precisam estar de tal forma a proporcionar confidencialidade, integridade e disponibilidade que conforme (NBR 17999, 2003; Smola, 2003; Albuquerque e Ribeiro, 2002; Fontes, 2000), so os princpios bsicos para garantir a segurana das informaes:

Confidencialidade a informao apenas pode ser acessada e utilizada por pessoas explicitamente autorizadas. a proteo de sistemas de informao para impedir que pessoas no autorizadas tenham acesso ao mesmo;

Disponibilidade a informao ou sistema de computacional deve estar disponvel no momento em que a mesma for necessria para a empresa ou para realizao do negcio;

Autenticidade garante que a informao ou o usurio da mesma autntico, atesta com exatido, a origem do dado ou informao;

No repdio garante que ao usar ou enviar uma informao o usurio no possa negar (no sentido de dizer que no foi feito) uma operao ou servio que criou, modificou, envio ou recebeu uma informao;

Legalidade garante que a informao est de acordo com as leis aplicveis, regulamento, licenas e contratos, a aderncia de um sistema legislao, alinhados aos princpios ticos;

Privacidade diferente do aspecto de confidencialidade, pois uma informao pode ser considerada confidencial, mas no privada. Uma informao privada deve ser vista / lida / alterada somente pelo seu dono. Garante ainda, que a informao no ser disponibilizada para outras pessoas (neste caso atribudo o carter de confidencialidade a informao);

Auditoria consiste no exame do histrico, de forma a rastrear os eventos dentro de um sistema para determinar quando e onde ocorreu uma violao de segurana, ou que informao foi submetida, identificando os participantes os locais e horrios de cada etapa;

Integridade a informao deve ser correta, ser verdadeira em sua forma original no momento em que foi armazenada. a proteo dos dados ou informaes contra modificaes intencionais ou acidentais no-autorizadas.

Segundo Albuquerque e Ribeiro (2002), e Smola (2003), sugerido que a segurana somente alcanada por meio da relao e correta implementao de quatro princpios da segurana: confidencialidade, integridade, disponibilidade e auditoria. A Figura 2.1 ilustra a relao desses princpios.

Figura 2.1 Relao entre os princpios da Segurana da Informao Fonte: Smola (2003). Os itens integridade e confiabilidade so distintos e no podem ser confundidos. Uma informao pode ser imprecisa, mas deve permanecer integra, ou seja, no deve sofrer alteraes por pessoas no autorizadas. A segurana visa tambm aumentar a produtividade dos usurios atravs de um ambiente mais organizado, proporcionando maior controle sobre os recursos de informtica, viabilizando at o uso de aplicaes de misso crtica. A combinao em propores apropriadas dos itens confidencialidade, disponibilidade e integridade facilitam o suporte para que as empresas alcancem os seus objetivos, pois seus sistemas de informao sero mais confiveis, (ALBUQUERQUE e RIBEIRO 2002).

De acordo com Smola (2003), a confidencialidade dependente da integridade, pois se a integridade de um sistema for perdida, os mecanismos que controlam a confidencialidade no so mais confiveis.

Ainda na anlise de Smola (2003), a integridade dependente da confidencialidade, pois se alguma informao confidencial for perdida (senha de administrador do sistema, por exemplo) os mecanismos de integridade podem ser desativados.

Smola (2003) completa que a auditoria e disponibilidade so dependentes da integridade e confidencialidade, pois estes mecanismos garantem a auditoria do sistema (registros histricos) e a disponibilidade do sistema (nenhum servio ou informao vital alterado).

2.2 O Processo da Segurana da Informao

Com base em Baldam et al. (2008), at pouco tempo atrs a maioria absoluta dos assuntos relacionados implantao dos processos de TI era de completa de responsabilidade de uma funo especfica, do diretor de TI, do superintendente de TI, ou mesmo do prprio departamento de TI, inclusive a transcrio do negcio para a ferramenta escolhida. Em pouqussimas oportunidades o dono do processo tinha a participao na escolha. Somente no incio do sculo XX foi que esse cenrio mudou, em funo dos altos investimentos com TI e dos baixos resultados. Desta forma os usurios passaram a entender melhor seus processos e participarem das tomadas de deciso.

Os modelos de referencia apresentam forma prpria de caracterizar seus processos para determinado propsito. Uma maneira fcil de entender os variados processos de uma organizao agrupando-os em basicamente trs grupos:

Processos de negcio incluem os processos como gerenciamento de conformidades, riscos, BI2, BPM3, desenvolvimento de estratgia, de negcios e arquitetura empresarial;

Processos de gerenciamento envolvem as atividades rotineiras e mais comuns ao dia a dia do gerenciamento da organizao: Gerenciamento Financeiro, controladoria, gerenciamento da informao, qualidade e ativos, entre outros;

Business Intelligence (BI), pode ser traduzido como Inteligncia de Negcios, refere-se ao processo de coleta, organizao,

anlise, compartilhamento e monitoramento de informaes que oferecem suporte a gesto de negcios (Wikipedia, 2009).
3

Business Process Modeling (BPM), ou Modelagem de Processos de Negcio, o conjunto de conceitos e tcnicas que visam a

criao de um modelo com os processos de negcio existentes em uma organizao. Esta "modelagem" utilizada no contexto da gesto de processos de negcio (Wikipedia, 2009).

Processos operacionais direcionados para atividades fim da corporao: CRM4, logstica, desenvolvimento de produtos, gesto de material.

Oliveira (2005) defende o que intitula de trplice PPT Pessoas, Processos e Tecnologias. Para o autor, a segurana da informao s ser alcanada plenamente se esses trs aspectos estiverem envolvidos na estratgia de segurana, a Figura 2.2, ilustra a proposta do autor.

Figura 2.2 Trplice da Segurana da Informao Fonte: Oliveira (2005). Para Baldam et al. (2008), o atual interesse por gerenciamento de processos nas organizaes se d em funo da crescente transparncia na execuo de suas transaes. notrio o valor agregado pelo mercado financeiro as aes de corporativas que se submetem a iniciativas para gerencia de risco de tal forma que j existe um nmero substancial de projetos em BPM. Esta tendncia j acompanhada por vrios organismos da iniciativa pblica e privada, onde criam normas, regulamentaes e leis para os diversos setores.

De acordo com OGC (2007), a segurana da informao um processo, e deve ser gerenciado por meio do ciclo de melhoria continua, podendo-se aplicar o processo na empresa de forma horizontal, ou seja, um nico processo permeia pelos diversos departamentos e dessa maneira, melhora a segurana dos sistemas de forma abrangente, o processo de segurana da informao se d conforme a representao da Figura 2.3.

O Customer Relationship Management (CRM), ou Gesto de Relacionamento com o Cliente uma abordagem que coloca o

cliente no centro do desenho dos processos do negcio (Wikipedia, 2009).

Figura 2.3 Processo do gerenciamento da Segurana da Informao Fonte: OGC (2007). 2.3 O Risco no contexto da Segurana da Informao

Para Fontes (2000), toda tomada de deciso, simples ou complexa, envolve riscos, de maior ou menor proporo e que se feita sem critrio ou de forma inapropriada influenciar diretamente nos resultados esperados pela empresas. Quando a frente de situaes mais racionais apropriado planos de mdio e longo prazo, pois naturalmente h tempo para refletir sobre as questes.

Risco algo que deve ser tratado de forma individual para cada objetivo de negcio, de modo que no aja empecilho para sua realizao, a Figura 2.4 apresenta uma viso mais ampla da relao do risco ao ambiente como um todo. As disciplinas essenciais para reduo do risco so: Alicerce de TI bem estruturado, o processo de governana do risco bem projetado e executado, e uma Cultura de conscincia do risco transparente na corporao. A anlise preliminar e a abrangncia dos riscos de uma corporao podem ser extremamente significativas para gerenciar e programar prioridades, observando a relao custo versos benefcio (FONTES, 2000).

Figura 2.4 Relao do risco ao ambiente corporativo Fonte: Moreira (2001).

Westerman e Hunter (2008) defendem trs disciplinas centrais para a gesto do risco que de maneira harmnica reduzem o risco para empresa:

Alicerce conjunto de ativos, procedimentos e funcionrios que sustentam e possibilitam os processos de negcio;

Processo de governana do risco estrutura e processos necessrios para identificar e administrar riscos sistematicamente;

Cultura de conscincia responsabilidade pessoal e comportamental.

Essas disciplinas complementam o Framework 4As para administrar o risco de TI:

Avaliabilit (Disponibilidade) manter os sistemas em operao e recuper-los em caso de interrupo;

Access (Acesso) assegurar o acesso apropriado aos dados e sistemas de modo que as pessoas certas tenham e as pessoas erradas no;

Accuray (Preciso) proporcionar informaes corretas, oportunas e completas;

Agitility (Agilidade) capacidade de mudar com rapidez e custo administrado.


10

De acordo com Westerman e Hunter (2008), risco a probabilidade de acontecer algum dano potencial empresa, e o principal objetivo da gesto de riscos prevenir e evitar impactos negativos aos negcios. Os elementos chaves composto ao risco so observados na Figura 2.5, e devem ser avaliados, neutralizados ou minimizados.

Figura 2.5 Componentes da declarao de riscos Fonte: Microsoft (2009).

Ativo os bens e direitos das empresas incluem a segurana da informao, pois a informao um ativo, possui um valor e precisa de proteo;

Ameaa expectativa de acontecimento acidental ou proposital, causada por um agente, que pode afetar um ambiente, sistema ou ativo de informao;

Impacto efeito ou conseqncia de um ataque ou incidente para a organizao;

Vulnerabilidade fragilidade que poderia ser explorada por uma ameaa para concretizar um ataque;

Atenuao ao a ser executada para reduzir a probabilidade ou o impacto de um risco;

Probabilidade o processo de analisar os riscos, relacionado aos controles de segurana, avaliando a possibilidade da uma perda da informao, da disponibilidade, integridade ou confidencialidade.

11

Conforme descrito em Smola (2003), as ameaas segurana da informao ocorrem tanto de fora como de dentro de uma organizao ao ativo que se quer proteger. O ativo qualquer coisa que manipule direta ou indiretamente uma informao. As ameaas podem ser classificadas quanto a sua intencionalidade e ser divididas em grupos:

Naturais ameaas decorrentes de fenmenos da natureza, como incndios naturais, enchentes, terremotos, tempestades, poluio, entre outros;

Involuntrias

ameaas

inconscientes,

quase

sempre

causadas

pelo

desconhecimento. Podem ser causados por acidentes, erros, falta de energia;

Voluntrias

ameaas propositais causadas por agentes humanos como

invasores, espies, ladres, disseminadores de vrus de computador.

O Quadro 1.1 apresenta alguns exemplos de ameaas aos sistemas de informao:

Quadro 2.1 Exemplo de classificao de ameaas


Tipo de Ameaa Falha de hardware ou software Aes pessoais Invaso pelo terminal de acesso Incndio Problemas eltricos Mudanas no programa Problemas de telecomunicao Raio Classificao Involuntrias Voluntrias Voluntrias Voluntrias/Involuntrias Involuntrias Voluntrias/Involuntrias Voluntrias/Involuntrias Naturais

Fonte: Adaptado de Smola (2003).

Esses problemas podem originar-se de fatores tcnicos, organizacionais e ambientais, agravados por ms decises administrativas e ingerncia na TI (LOPES, SAUV e NICOLLETI, 2003). Na Figura 2.6, apresentado os ndices de incidentes acorridos no Brasil nos ltimos 8 anos, onde observado que nos ltimos 3 anos houve reduo bastante consistente em funo das medidas preventivas da corporaes, (TIINSIDE, 2009, p. 57).

12

Figura 2.6 ndices de Segurana da Informao no Brasil Fonte: TIINSIDE (2009, p. 57). O principio em que no existe ambiente 100% seguro, reflete a presena de vulnerabilidades de acordo com o grau de maturidade de cada empresa. As vulnerabilidades esto presentes e se apresentam em todas as reas de uma organizao, sobretudo na TI (FONTES, 2008).

Na concepo de Westerman e Hunter (2008), um ponto de partida interessante para evitar incidentes de segurana identificar as vulnerabilidades, atravs de uma anlise de risco, e mapear e apresentar solues de medidas adequadas de segurana em curto, mdio e logo prazo de acordo com a estratgia corporativa.

Ainda para Westerman e Hunter (2008), as vulnerabilidades podem ter uma ou vrias causas. A negligncia por parte da alta direo, a falta de foco por parte dos administradores de rede, e o baixo conhecimento tcnico so exemplos tpicos presentes na maioria da empresas. Este relacionamento entendido na razo de n para n, ou seja, cada vulnerabilidade pode estar relacionada com um ou mais ambientes computacionais.

O nvel de vulnerabilidade reduz proporo em que so inseridos controles e medidas de proteo adequadas, minimizando tambm os riscos ao negcio. Assim, certo afirmar que os riscos esto relacionados ao nvel de vulnerabilidades ao qual o ambiente possui, logo para se determinar os riscos e as aes a serem implantas, mandatrio que as vulnerabilidades precisam ser identificadas, classificadas e priorizadas (FONTES, 2008).

13

Para Ramos (2008), a vulnerabilidade uma condio falha encontrada em recursos, processos ou configuraes de modo que esses sistemas esto sujeitos a ataques. Este fluxo representado na Figura 2.7.

Figura 2.7 Fluxo de impacto da vulnerabilidade ao negcio Fonte: Moreira (2001).

Na concepo de Zapater e Suzuki (2008), cada vez mais comum a adoo de mtricas de avaliao de investimento, que considerem os custos e benefcios atrelados a uma iniciativa de segurana, suportando a tomada de deciso e a priorizao das aes. Uma das mtricas mais comuns o retorno sobre investimento, ROI (Return on Investment), em que os benefcios so mensurados por meio de processos de avaliao de riscos e consistem, fundamentalmente, em custos que podem ser minimizados, provindos de possveis incidentes.

A rea de TI no mais vista como suporte ao negcio, mas sim como parte fundamental para que o negcio funcione, a Figura 2.8 apresenta a viso dessa nova abordagem. Desta forma, minimizar riscos de paradas ou incidentes nos sistemas de TI incorporou na rotina dos gestores desta rea. O principio bsico alinhar a TI ao negcio, traduzindo a tecnologia das operaes coorporativas em uma linguagem de negcio. So vrias as solues de mercado, todas direcionadas ao mesmo foco, com pequenas variaes. Alm do desdobramento da estratgia, do mapeamento dos negcios da organizao, da anlise de eficincia dos servios crticos e do entendimento dos impactos de um determinado defeito a anlise de risco o ponto principal para as tomadas de deciso, seja para reforo do alicerce, seja para os processos de governana, (TIINSIDE, 2009, p. 8).

14

Figura 2.8 Mudana de abordagem da TI Fonte: Zapater e Suzuki (2008).

2.4 Normas Tcnicas de Segurana da Informao

Os departamentos de tecnologia da Informao, a cada dia, precisam de maior alinhamento aos negcios da empresa, para tanto preciso manter-se forte e atualizado para prover informaes direo da organizao de uma forma dinmica, rpida e com os menores custos possveis. Nesse intuito, a melhoria dos processos de negcio suporta e garante o retorno dos investimentos atravs do movimento chamado Governana de TI (MANSUR, 2007).

Governana de TI estabelecida como um conjunto de relaes e processos que controla e dirige uma organizao focada em alcanar seu objetivo, que de agregar valor ao negcio por meio do gerenciamento balanceado do risco com o retorno do investimento de TI (FAGUNDES, 2004). Como forma de entender e controlar os riscos pertencentes ao uso das tecnologias foi criado guias e normas para auxiliar no processo de gerenciamento dos processos de TI. A seguir so apresentadas as principais normas e guias utilizadas atualmente para gerenciamento de risco, da segurana da informao e processos de TI (FERNANDES, 2008).

15

2.4.1 CobIT

O Control Objectives for Information and Related Technology (CobiT) um guia de melhores prticas criado pela Information Systems Audit and Control Association (ISACA5) para prover um modelo para o gerenciamento da Governana de TI. O CobiT possui 210 objetivos de controle divididos em 34 processos agrupados em 4 domnios (LAHTI, 2006). So eles:

Planejamento e organizao (PO); Aquisio e implementao (AI); Entrega e suporte (DS); Monitorao e avaliao (ME).

Segundo Mansur (2007), a escala de importncia de cada um dos domnios do CobIT uma funo do negcio e do ambiente em que a organizao trabalha. Na Figura 2.9 possvel visualizar esses domnios.

Figura 2.9 Ciclo do CobIT nos seus 4 domnios Fonte: Adaptado de Fernandes (2008).

Information Systems Audit and Control Association (ISACA), ou Associao de Auditoria e Controle de Sistemas de

Informao, uma associao internacional que suporta e patrocina o desenvolvimento de metodologias e certificaes para o desempenho das atividades de auditoria e controle em sistemas de informao (Wikipedia, 2009).

16

O domnio de Planejamento e Organizao (PO) composto de 10 processos e trata do desenvolvimento dos planos estratgicos de TI e fornece suporte aos objetivos e metas empresariais. Os planos devem visar o futuro, alinhados com o planejamento corporativo.

O domnio de Aquisio e Implementao (AI) composto de 7 processos e trata da aquisio de novas tecnologias, contratao e desenvolvimento de uma equipe qualificada para executar os planos estratgicos de TI. Esta fase tem por objetivo a manuteno, teste, certificao e identificao das alteraes que possam atingir a disponibilidade das informaes.

O domnio de Entrega e Suporte (DS) composto de 13 processos e diz respeito entrega dos servios de TI, de modo a assegurar que os servios sejam executados conforme definido em sua concepo por meio de acordos de nvel de servio (SLA - Service Level Agreement). Os processos devem ser executados de forma eficiente e efetiva.

O domnio de Monitorao e Avaliao (ME) composto de 4 processos e tem como papel principal o monitoramento, atravs dos SLAs, verificando se o que foi proposto est sendo realizado. Auditorias internas e externas so realizadas atravs de anlises dos processos de negcio e o resultado da auditoria permite ajustes nos processos a fim de atender as expectativas da direo da organizao.

2.4.2 ITIL

O Information Technology Infrastructure Library (ITIL) teve sua origem no final da dcada de 80 pela Cmara de Comrcio Britnico (OGC - Office of Government Commerce) com o objetivo de padronizar e permitir a comparao entre as propostas dos diversos candidatos a prestadores de servios de TI para o governo britnico. Tinha na sua composio uma biblioteca com 31 volumes com as melhores prticas para o Gerenciamento dos Servios de TI.

Em 2002 a biblioteca sofreu uma grande reviso e foi reestruturada e consolidada em 8 volumes, sendo eles:

17

Suporte aos servios (Service support); Entrega de servios (Service delivery); Planejamento e implementao (Planning and implemention); Gerenciamento de aplicaes (Applications management); Gerenciamento da segurana (Security management); Gerenciamento da infra-estrutura de TI e de comunicaes (Information and communication technology infrastructure management);

Perspectiva do negcio (Business perspective); Gerenciamento dos ativos de software (Software asset management).

Em maio de 2007 foi lana a terceira verso do framework ITIL composta agora por apenas por 5 livros, sua principal mudana foi a incluso do ciclo de vida para o Gerenciamento de Servios de TI. O ITIL era baseado em processos com uma viso vertical do servio, e agora est direcionado para o alinhamento estratgico da TI com o negcio, conforme exibe a Figura 2.10 (MAGALHES, 2007).

Figura 2.10 Ciclo do ITIL nos seus 5 domnios Fonte: Adaptado de Magalhes (2007).

18

Os cinco livros do ITIL na verso 3 so:

Estratgia de servios - definio de objetivos, conceitos e regras sobre a estratgia de servios, anlise do impacto dos servios necessrios para as funes vitais do negcio, definio e mtodos de gesto do risco. Orientaes para os processos de gerenciamento financeiro, gerenciamento de demanda e

gerenciamento de portflio de servios;

Desenho de servios - descreve os objetivos, planos e cria um desenho de servios, detalhando cada um dos processos relativos ao gerenciamento: de nvel de servio, catlogo de servios disponibilidade, capacidade, segurana informao, continuidade dos servios e o dos fornecedores; da

Transio de servios - descreve as formas para garantir o desenho de servios na forma pretendida. Inclui os processos de gerenciamento: de mudanas, da configurao e ativos dos servios, e o de liberao e distribuio;

Operao de servios - descreve a gerncia do servio atravs do ciclo de vida de produo, discutida a classificao e priorizao de chamados, o modelo de comunicao e o gerenciamento de conflitos. Inclui os gerenciamentos de: evento, de incidentes, de problemas de acesso e as requisies de servios;

Melhoria continua de servios - descreve formas para garantir a entrega dos servios de forma eficaz e eficiente, so realizadas anlises para identificar, compreender e medir os pontos fracos e fortes e orientar na implantao de melhoria dos servios atravs, por exemplo, de indicadores chaves de desempenho.

2.4.3 ABNT NBR ISO/IEC 27002

Criada pela Brisith Standard (BS) em 1999, a norma foi definida como BS 7799 Code of Practice for Information Security Management (Cdigo de Prticas para gerenciamento da segurana da Informao) e era composta por um guia contendo 36 objetivos de controle e decomposta em 127 medidas de controle. No ano 2000 foi homologada pela International Organization
19

for

Standardization/International

Electrotechnical Commision (ISO/IEC) tornando-se um padro internacional denominada ISO/IEC 17799. No Brasil a norma foi traduzida e definida como ABNT NBR ISO/IEC 17799 no ano 2000 e passou por uma reviso e atualizao no ano de 2005. Em 2007 a norma novamente submetida a reviso e atualizao e passa a chamar-se ABNT NBR ISO/IEC 27002.

A norma ABNT NBR ISO/IEC 27002 foi criada com a inteno de estabelecer diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao (ABNT NBR ISO/IEC 27002, 2007). A norma deve ser utilizada como um guia para elaborao de uma poltica de segurana e no tem o propsito de ser o nico material na sua elaborao, a definio dos controles que sero avaliados e monitorados depende da necessidade e dos processos de negcios utilizados em cada organizao (MDULO, 2008).

2.4.4 ABNT NBR ISO/IEC 27005

Criada em julho de 2008, a norma ABNT NBR ISO/IEC 27005, fornece as diretrizes para o processo de gesto de riscos em segurana da informao, a mesma foi criada para dar suporte s especificaes e conceitos estabelecidos na norma ABNT NBR ISO/IEC 27001:2006. Define os requisitos para a criao de um sistema de gesto da segurana da informao (SGSI) (ABNT NBR ISO/IEC 27001, 2006).

A norma ABNT NBR ISO/IEC 27005 define de forma objetiva e estruturada as atividades de gesto de riscos, identificando as entradas no SGSI bem como as informaes necessrias para o desempenho da atividade. Tambm orienta na elaborao de aes que descrevem a atividade, as diretrizes para implementao fornecendo as diretrizes para a execuo da ao e as sadas que so as informaes resultantes da execuo da atividade (MDULO, 2008).

20

2.5 Mecanismos de Segurana

Segundo Ramos (2008), de acordo com a estratgia de cada empresa, existem diversas medidas que podem ser aplicada em um ambiente computacional. As mais presentes nos ambientes corporativos so:

Medida preventiva foco na preveno de ocorrncia de incidentes de segurana. Todas as diretrizes so baseadas na precauo;

Medida detectiva utilizada quando se pretende obter auditabilidade, monitoramento e deteco em tempo real dos sistemas;

Medida corretiva o enfoque oferecer mecanismos para a continuidade das operaes, ela prope ferramentas e procedimentos necessrios para a recuperao e a continuidade dos negcios.

Ainda na anlise de Ramos (2008), freqentemente surgem novas tecnologias voltadas para solues os problemas da Segurana da Informao, as principais estratgias utilizadas no mercado so recomendaes de segurana direcionadas para controles:

Controles fsicos so barreiras que impedem o contato ou acesso direto a informao ou a infra-estrutura. Os mecanismos de segurana que apiam os controles fsicos so: Portas / trancas / paredes / blindagem / guardas / entre outros;

Controles lgicos so barreiras que bloqueiam ou limitam o acesso a informao, que est em ambiente controlado, geralmente eletrnico. Os principais mecanismos de segurana que apiam os controles lgicos so:

o Mecanismos de criptografia permitem, atravs de chaves secretas, a transformao da informao de forma a torn-la ininteligvel a terceiros, mas reversvel para quem possui a chave;

21

o Assinatura digital um conjunto de dados associados a um documento de forma criptografada que garante a integridade do documento associado;

o Funo de checagem ou Hashing mecanismo de garantia da integridade da informao consistindo na entrada da informao e em sua sada;

o Controle de acesso palavras-chave, sistemas biomtricos, firewalls, cartes inteligentes;

o Mecanismos de certificao uma espcie de reconhecimento de firma digital que atesta a validade de um documento;

o Honeypot o objetivo detectar ou de impedir a ao de agente externo estranho ao sistema, enganando-o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema. Segundo Rasmussen (2009), o desafio do GRC6 (Governance Risk Management, and Compliance), ou Governana da Gerencia de Riscos e Conformidades, que a ptica que o compem GRC seja a mesma dentro da mesma organizao, pois a governana corporativa permeia toda organizao, seja ela a governana de TI, o risco financeiro, o risco estratgico, o risco operacional ou o risco de TI.

O GRC de fato uma filosofia de negcios. Trata-se de funes individuais de GRC trabalhando em harmonia ao longo de toda a organizao de modo a gerar uma viso completa de governana, risco e conformidades. Tem a ver com a colaborao e o compartilhamento de informaes, com avaliaes, medidas, riscos, investigaes e perdas em todos estes papis profissionais. O objetivo do GRC demonstrar uma viso integral da situao de risco e conformidades na organizao e identificar inter-relaes no complexo e

Governance, Risk and Compliance, (GRC). Iintegrao das reas de conhecimento de Gesto de Riscos, Governana Corporativa

e prticas de auditoria e controle que visa garantir a conformidade com leis, regulamentos, imposies de padres (Wikipedia, 2009).

22

distribudo ambiente de negcios atual. Individualmente, a integridade corporativa utiliza as seguintes definies gerais para os componentes do GRC:

Governana o conjunto formado pela cultura, as polticas, os processos, as leis e as instituies que definem a estrutura segundo a qual as empresas so comandadas e administradas;

Risco constitui o efeito de incertezas sobre os objetivos do negcio;

Gerenciamento do Risco o grupo de atividades coordenadas no sentido de conduzir e controlar a organizao visando realizao das oportunidades e o gerenciamento dos eventos negativos;

Conformidade consiste em aderir s leis e outras formas de regulamentao, assim como em tornar explcita esta adeso, tanto com relao a leis e regulamentaes externas quanto a polticas e procedimentos corporativos.

O GRC constitui um trip formado por governana, risco e conformidade, sendo todos os trs ingredientes necessrios ao gerenciamento e conduo eficaz da organizao. Em suma a boa governana somente poder ser alcanada atravs do gerenciamento cuidadoso do risco e da conformidade. No ambiente de negcios atual, o resultado da ausncia de uma viso integrada do GRC so processos de negcios, parceiros, funcionrios. O GRC alinha estes elementos de forma a torn-los mais eficientes e fceis de manejar. Ineficcia, erros e riscos em potencial podem ser identificados, revertidos ou contidos, reduzindo a exposio da organizao ao risco, o que acaba resultando em um aumento do desempenho nos negcios (RASMUSSEN, 2009).

23

2.6 Estado da Arte

Com o crescimento das publicaes de normas relacionadas segurana da informao e as exigncias cada vez maior do mercado corporativo em proteger um dos seus maiores ativos, a informao, cada vez mais comum estudos sobre esse tema, e por meio deles so apresentados novas metodologias para incorporar o sistema de gesto de segurana da informao. A seguir sero abordados dois desses estudos os quais apresentam total relevncia para este trabalho.

Segundo Martins e Santos (2005), o resultado da implantao de um sistema de gesto da segurana da informao a composio da documentao dos procedimentos e sua padronizao, ferramentas e tcnicas utilizadas, a criao de indicadores e evidencias como tambm a definio de um processo cultural dentro da organizao e seus parceiros. Este autor apresenta uma metodologia terico-conceitual baseado no ciclo de melhoria continua PDCA como apoio na gesto da segurana da informao, conforme Quadro 2.2.

Quadro 2.2 Etapas PDCA para a soluo de problemas


PDCA P FLUXO ETAPA 1 Identificao do Problema 2 Observao OBJETIVO Definir claramente o problema/processo e reconhecer sua importncia. Investigar as caractersticas especficas do problema/processo com uma viso ampla e sob vrios pontos de vista. 3 4 D C A 5 6 7 8 Anlise Plano de ao Execuo Verificao Padronizao Concluso Descobrir a causa fundamental. Conceber um plano para bloquear a causa fundamental. Bloquear a causa fundamental. Verificar se o bloqueio foi efetivo. Prevenir contra o reaparecimento do problema. Recapitular todo o mtodo de soluo do problema para trabalhos futuros.

Fonte: Campos, 1992, p. 62

24

De acordo com a Wikipdia (2009):

O PDCA, ilustrado na Figura 2.11, aplicado para se atingir resultados dentro de um sistema de gesto e pode ser utilizado em qualquer empresa de forma a garantir o sucesso nos negcios, independente da rea de atuao da empresa.

Figura 2.11 Ciclo PDCA Fonte: Adaptado Wikipdia (2009). O ciclo comea pelo planejamento, em seguida a ao ou conjunto de aes planejadas so executadas, checa-se se o que foi feito estava de acordo com o planejado, constantemente e repetidamente (ciclicamente), e toma-se uma ao para eliminar ou ao menos mitigar defeitos no produto ou na execuo. Os passos so os seguintes:

Planejar (Plan) estabelecer uma meta ou identificar o problema; analisar o fenmeno (analisar os dados relacionados ao problema); analisar o processo (descobrir as causas fundamentais dos problemas) e elaborar um plano de ao;

Executar (Do) realizar, executar as atividades conforme o plano de ao;

Controlar (Check) monitorar e avaliar periodicamente os resultados, avaliar processos e resultados, confrontando-os com o planejado, objetivos, especificaes e estado desejado,

consolidando as informaes, eventualmente confeccionando relatrios;


25

Agir (Act) de acordo com o avaliado e de acordo com os relatrios, eventualmente determinar e confeccionar novos planos de ao, de forma a melhorar a qualidade, eficincia e eficcia, aprimorando a execuo e corrigindo eventuais falhas.

Vermeulen e Solms (2002) apresentam um guia para o processo de implantao de uma metodologia de gesto de segurana da informao por meio de um framework. A ferramenta denominada de ISMTB (Information Security Management Toolbox), que consiste em um conjunto de questionrios com base nos controles da norma BS 7799 (1999), o qual auxilia no entendimento e caracterizao da organizao mapeando o nvel de segurana atual e servindo como orientador para quais medidas de segurana que sero tomadas a partir desta anlise.

As metodologias apresentadas por Vermeulen e Solms (2002) e Martins e Santos (2005), balizam a importncia da gesto de riscos como essencial no contexto da execuo do processo de gesto da segurana, porem, a anlise de riscos acontece aps a etapa de criao e da poltica de segurana da informao, o que, em muitos casos projetos da rea de TI falham pela ineficcia por no priorizarem a etapa de gesto de riscos.

O entendimento destas metodologias conduz ao conhecimento atualizado do estado da arte na rea de segurana de informao. Assim, alguns pontos mais relevantes mostrados nestes estudos como a criao de indicadores e a cultura para o processo de conscientizao da organizao sugerido por Martins e Santos (2005) e que tambm levantado por Vermeulen e Solms (2002) atravs de questionrios baseados nos controles da norma BS 7799 (1999).

26

3 METODOLOGIA

3.1 Tipo de pesquisa

A estratgia usada para o desenvolvimento deste trabalho foi um estudo de caso realizado na empresa ACE-PE (Empresa de Servios Avanados de TI no Estado de Pernambuco), foi utilizado o ambiente de contingncia da matriz em Recife para todo estudo e testes, j que a mesma dispe dualidade operacional.

3.2 Procedimentos metodolgicos

Os dados foram coletados a partir de instrumentos (questionrios e entrevistas) e ferramentas (softwares) de deteco de falhas, junto aos usurios e gestores de sistemas de informao, j que a grande maioria dos funcionrios tem acesso aos sistemas corporativos ou ferramentas computacionais. Os testes tcnicos foram realizados no ambiente de contingncia da matriz em Recife-PE, sendo que toda pesquisa foi realizada no perodo de quatro semanas.

Na parte inicial do trabalho foi realizado um levantamento da literatura e dos fundamentos bsico da segurana da informao.

Na fase seguinte, foram utilizadas ferramentas para deteco de falhas e vulnerabilidades de hardware e software.

Na fase das entrevistas foi construdo um instrumento para avaliar o nvel de segurana denominado de anlise de risco, apresentado no Apndice A.

Por fim, uma anlise das melhores prticas baseado em normas de segurana para alinhamento dos processos e anlise de risco.

4 RESULTADOS E DISCUSSO

4.1 Descrio da organizao

O desdobramento deste estudo se deu em uma organizao que presta servios de BPO (Business Process Outsourcing) na gesto de pessoas e terceirizao, Solues em TI e Contact Center, a ACE-PE (Empresa de Servios Avanados de TI no Estado de Pernambuco) que atualmente consta em seu quadro de funcionrios 10.500 colaboradores.

A empresa formada por quatro scios, que fazem parte de um conselho diretor. Existe a Presidncia da Empresa, que exercida por um dos scios eleito pelos demais e com mandato de 2 anos, renovveis. Cada scio ocupa uma diretoria da empresa, alm de outros diretores contratados. Abaixo de cada diretoria (focada nos assuntos estratgicos), existe uma superintendncia, focada nos assuntos ttico-operacionais, conforme organograma

apresentado na Figura 3.1. O Sistema de Governana se baseia em informaes gerenciais provenientes do sistema ERP (Enterprise Resource Planning), Sistemas de Recursos Humanos, Sistema de CRM (Customer Relationship Management) e de BPMS (Business Process Management System).

Figura 3.1 - Organograma da empresa ACE-PE Fonte: Informado pela empresa.

28

A empresa atua em seus clientes, desenvolvendo atividades meio e assume a gesto e responsabilidade pelos resultados. Dentre as principais atividades desempenhadas esto as de atendimento ao pblico-alvo dos clientes, podendo ser atravs de atendimento presencial e/ou tele-atendimento, sempre com o fornecimento de toda a infra-estrutura, hardware e software necessrios. Alguns dos softwares so desenvolvidos pela prpria organizao. Conta com profissionais especializados, solues baseadas em projetos, tecnologia direcionada ao negcio e alinhamento dos requisitos, prazos e conformidade s especificaes.

A cultura da empresa combina tecnologia da informao gesto de pessoas, garantindo resultados aos seus clientes. A marca de trabalho da organizao significa agilidade e competitividade, que so valores apoiados na qualidade do conjunto de servios que disponibiliza.

O diferencial esperado sempre no pronto atendimento, no envolvimento com as metas do cliente e na experincia das solues. O aumento de produtividade atravs de solues tecnolgicas e treinamentos especficos, aliados a um alto ndice de motivao dos colaboradores um diferencial que marca a prestao de servios.

Sua Misso: Ampliar a competitividade das instituies e empresas clientes, implementando e desenvolvendo solues integradas de Tecnologia da Informao e Contact Center, oferecendo profissionais de informtica, atendimento e backoffice, com percepo de benefcios para a sociedade e oportunidades para os colaboradores.

Sua Viso: Estar entre as 100 maiores e melhores empresas de Tecnologia da Informao e Comunicao do Brasil, com atuao internacional, buscando sempre a excelncia na gesto e nos servios prestados.

Seus Valores: Qualidade, tica e transparncia, Perseverana e Trabalho com qualidade de vida.

Os principais perfis de clientes da organizao so: Governo, Empresas do setor financeiro (bancos, financeiras e operadoras de carto de crdito), Empresas Concessionrias (Energia, gua, Gs, Telecomunicaes).

29

4.2 Diagnstico da Segurana da Informao

Como resultado deste estudo de caso observou-se que havia diversas falhas de segurana da informao no ambiente computacional em que se aplicou a anlise de risco. As falhas encontradas somaram um total de 64 (sessenta e quatro) itens que so apresentadas no capitulo resultado e discusso, e que foram agrupadas em 4 (quatro) grupos de risco e impacto, conforme apresentado na quadro 3, esses itens agrupados totalizam 25 (vinte e cinco) atividades em desconformidade as boas prticas da segurana da informao, sendo considerados os aspectos humanos, processos, tecnologia ou infra-estrutura e segurana da informao, sendo elas:

- Processo de troca de senha; - Switchs com senha padro; - Falta de processo de atualizao de patch; - Servidor de arquivos com cota de disco insuficiente para algumas reas; - Servidores com vulnerabilidades; - Inexistncia de um plano de continuidade de negcios; - Inexistncia de processo de documentao da rede; - Informao no classificada; - Ausncia de poltica de destruio do lixo; - Funcionrios da rea de TI sobrecarregados; - Inexistncia de poltica de segurana escrita e formalizada pela alta gesto; - Vulnerabilidades de Segurana fsica do CPD e sala do PC-Expanion (principalmente contra incndio); - Ferramenta de filtro de Anti-Spam e compliance no filtram sada de e-mail; - Rede no possui um gateway de e-mail; - Informaes sigilosas transmitem via e-mail sem criptografia e assinatura digital; - Usurios no treinados para receber um ataque de engenharia social e em melhores prticas de segurana; - Mquinas no so autenticadas ao entrar na rede; - Arquivos sigilosos impressos guardados em locais destrancados; - Notebooks com informaes confidenciais no possuem ferramenta de criptografia de disco; - Mquinas de supervisores e gestores expostas sem filtro de tela;
30

- Firewall que conecta LAN a WAN e Internet no possui redundncia; - Rede no possui ferramenta de proteo a vazamento de dados; - Antivrus com mau funcionamento nas estaes de trabalho (baixa amostragem, se no tratado o impacto tende a aumentar); - Servidores sem fonte redundante e tolerncia a falha de disco; - Rede no possui VLAN especifica para visitantes.

Muitas vulnerabilidades apontadas na matriz de risco pertencem ao mesmo problema, ou possuem uma soluo em conjunto com os demais problemas. O quadrado de risco vs impacto, apresentado no Quadro 4.1, agrupa esses problemas, e aponta se o mesmo possui risco alto e impacto alto, risco baixo e impacto alto, risco alto e impacto baixo, ou risco baixo e impacto baixo, facilitando assim a tomada de deciso. Quadro 4.1 Quadrado risco vs impacto
Risco Alto Impacto Alto - Processo de troca de senha - Switchs com senha padro - Falta de processo de atualizao de patch - Servidor de arquivos com cota de disco insuficiente para algumas reas - Poltica de destruio do lixo - Funcionrios da rea de TI sobrecarregados - No existe poltica de segurana escrita e formalizada pela alta gesto - Usurios no treinados para receber um ataque de engenharia - Social e em melhores prticas de segurana Risco Baixo Impacto Alto - Servidores com vulnerabilidades - No existe um plano de continuidade de negcios - No existe processo de documentao da rede - Informao no classificada - Vulnerabilidades de Segurana fsica do CPD e sala do PC-Expanion (principalmente contra incndio) - Anti-Spam no filtram sada de e-mail - Rede no possui um gateway de e-mail - Informaes sigilosas transmitem via e-mail sem criptografia e assinatura digital - Mquinas no so autenticadas ao entrar na rede - Arquivos sigilosos impressos guardados em locais destrancados - Notebooks no possuem criptografia de disco - Mquinas dos gestores expostas sem filtro de tela Risco Alto Impacto Baixo - Antivrus com mau funcionamento nas estaes de trabalho (baixa amostragem, se no tratado o impacto tende a aumentar) - Firewall LAN a WAN e Internet sem redundncia Risco Baixo Impacto Baixo - Rede no possui ferramenta de proteo a vazamento de dados - Servidores sem fonte redundante e tolerncia a falha de disco - Rede no possui VLAN especifica para visitantes

Fonte: Resultado da pesquisa de anlise de risco da empresa ACE-PE.


31

Para o tratamento destas falhas, e conseqentemente reduo dos impactos aos negcios, foram propostas solues para cada problema especfico. Apresentou-se assim, um total de 64 (sessenta e quatro) factveis aes direcionadas para as solues das falhas encontradas no ambiente pesquisado. As aes foram distribudas levando em conta a prioridade determinada pela organizao de acordo com o grau de impacto ao negcio. Essas aes so apresentadas no Quadro 4.2 e fazem parte da anlise de risco. A Matriz de Risco A matriz de risco trata-se de uma matriz onde esto registrados todos os riscos e impactos encontrados na organizao, apontando o nvel de gravidade dos mesmos. A matriz tambm contm recomendaes de como efetuar correo sobre os problemas encontrados;

Quadro 4.2 - Matriz de risco


E P Ativo de informao Informao da empresa Todos Vulnerabilidade Informao no classificada Ameaa Vazamento de informaes confidenciais Roubo, vazamento, indisponibilidade ou perda das informaes Impacto Informaes chegarem ao concorrente Prejuzos financeiros Agente de ameaa Funcionrio descuidado R 4 GI 9 TR 36 Soluo Classificar informaes da empresa

No existe poltica de segurana escrita e apoiada pela alta gesto

Funcionrio descuidado ou descontente, hacker, engenheiro social, espio profissional, sabotador, ladro, falha de hardware, acidentes e catstrofes Ex-Funcionrio descontente

63

Implementar poltica de segurana da informao na empresa

Monitoramento de ativos de informao rea de TI

Funcionrios no assinaram termo de aceite sobre monitoramento dos ativos de informao Funcionrios da rea de TI sobrecarregados Rede parcialmente documentada No existe um processo de atualizao da documentao da rede

Empresa perder processos judiciais por invaso de privacidade Manuteno preventiva da rede no ser realizada Aumento do tempo de manuteno da rede Aumento do tempo de manuteno da rede

Prejuzos financeiros, impacto na imagem da empresa Indisponibilidade ou roubo de informaes Aumento do tempo de resposta em incidentes na rede Aumento do tempo de resposta a incidentes na rede

3*

21

Criar termo de aceite aos funcionrios

Hacker, espio profissional

49

Segregar funo ou contratar pessoas especficas para trabalhos preventivos na rede Documentar e manter atualizada a documentao da rede Documentar e manter atualizada a documentao da rede

Rede ACE-PE

Falha de hardware ou software Falha de hardware ou software

24

Rede ACE-PE

27

32

Rede ACE-PE

No existe um processo de comunicao de mudanas na rede Switch configurado com senha padro

Aumento do tempo de manuteno da rede Invaso do switch, sabotagens e sniffers

Aumento do tempo de resposta a incidentes na rede Perda de comunicao das mquinas ligadas aquele switch, roubo de informaes Roubo de conta

Falha de hardware ou software Hacker sabotador, cdigo malicioso

12

Implementar processo de comunicao de mudana na rede Revisar e alterar todas as senhas do switch

Switch Furukawa 5026b Conta de usurios da ACE-PE Servidores ACE-PE e estaes de trabalho Backup ACEPE Servidores da ACE-PE

63

No existe autenticao do usurio no processo de troca de senha No existe processo de atualizao de atualizao de patchs Backup no criptografado

Ataque de engenharia social Invaso, ataques de negao de servio, infeco por cdigo malicioso, sabotagens Acesso as informaes em caso de roubo da mdia Tempo elevado de manuteno do servidor Problema nos servidores passar despercebido e se agravar Parada por tempo elevado dos servios de Tecnologia da Informao da ACEPE Parada simultnea de 10 postos de atendimento Parada dos servidores em caso de quebra da fonte Parada do servidor em caso de quebra do disco

Engenheiro social, espio profissional, funcionrio mal intencionado Hacker, sabotador, cdigo malicioso

81

P.S / Implementar autenticao no processo de troca de senhas da ACE-PE Implementar processo de atualizao de pacths

Roubo, indisponibilidade ou perda das informaes Roubo de informaes

63

Ladro, espio profissional

18

Criptografar backup

Servidores de baixa criticidade, no esto protegidos por ferramenta de disaster recovery No existe processo de reviso de logs

Indisponibilidade das informaes

Falha de hardware

21

Implementar ferramentas de disaster recovery nos servidores

Logs dos servidores (exceto os de banco de dados) CPD da ACEPE

Indisponibilidade das informaes

Falha de hardware ou software

21

Implementar processo de reviso de logs

No existe plano de recuperao de desastre

Parada das operaes de call center

Catstrofes

10

10

Elaborar plano de recuperao de desastres

Servidores dos Postos de Atendimento Servidores

Servidores dos postos de atendimento no possuem soluo de alta disponibilidade Servidores esto sem fonte redundante Servidores no possuem tolerncia a falha de disco

Parada da operao do call-center

Falha de hardware e/ou picos de energia

27

Implementar soluo de alta disponibilidade nos postos de atendimento

Indisponibilidade das informaes Indisponibilidade das informaes

Falha de hardware

Providenciar fonte redundante para os servidores Implementar tolerncia a falha de disco

Servidores

Falha de hardware

12

33

E-mail

E-mail transmite informaes confidenciais da empresa sem utilizar criptografia E-mail no tem assinatura digital para autenticidade de remetente Servidor de e-mail descarrega os e-mails na mquina dos usurios, no mantm backup dos mesmos Servidor de e-mail no protegido por gateway de email Ferramenta de Anti-Spam no filtra sada de e-mails

Sniffers de rede capturarem o e-mail contendo informaes estratgicas Ataques de E-mail Spoofing Perda dos e-mails em caso de problemas na mquina do usurio Sobrecarga no servidor de e-mail, invaso Spam ou e-mail com contedo ilcito ser enviado atravs da ACE-PE Mquinas no autorizadas serem usadas para roubar informaes, ou contaminarem a rede com cdigo malicioso Queda da conexo com a internet em caso de falha de software ou hardware Visitante descuidado infectar a rede da ACE-PE.Visitante mal intencionado invadir ou sabotar a rede Funcionrio mal intencionado copiar ou enviar arquivos para locais no autorizados (Internet, pendrive, etc.)

Roubo de informaes

Hacker ou espio profissional

18

Implementar certificado digital no e-mail

E-mail

Funcionrios serem enganados por e-mail com identidade forjada Perda de informao

Hacker ou sabotador

27

Implementar certificado digital no e-mail

E-mail

Falha de hardware ou software

28

Implementar backup para e-mail dos usurios

Servidor de email Sistema de Anti-Spam

Indisponibilidade e roubo das informaes ACE-PE ser responsabilizada juridicamente pelo incidente Roubo e indisponibilidade de informaes

Spammer, hacker

32

Implementar gateway de e-mail

Spammer ou funcionrio malicioso

32

Implememtar filtragem de spam, e regras de conformidade no envio de e-mail

Rede LAN

Mquinas no so autenticadas para acessar a rede

Funcionrio, visitante malicioso ou descuidado

32

Implementar servidor raidus para autenticao das mquinas

Acesso a internet

Firewall de conexo entre rede LAN e internet no tem redundncia Rede da ACE-PE no possui rede isolada para visitantes

Indisponibilidade de acesso a internet

Falha de hardware

18

Implementar redundncia de firewall de internet

Rede ACE-PE

Indisponibilidade e roubo de informaes

Visitante descuidado ou mal intencionado

12

Implementar rede para visitantes

Arquivos da ACE-PE

Arquivos no so protegidos com ferramenta de proteo a vazamento de informaes

Vazamento intencional de informao

Funcionrio mal intencionado

16

Implementar ferramenta de proteo a vazamento de dados

34

Roteadores

Roteador no tem banner de aviso com mensagem de acesso restrito Sistema ERP no possui troca peridica de senha Analistas no so treinados em cdigo seguro Poltica de domnio com auditoria desabilitada Contas no bloqueiam aps cinco tentativas invlidas Servidor de arquivos e DC rodando servios desnecessrios (SMTP, WWW e NFS) Contas de domnio de muitos usurios no expiram Servio de SSH rodando no servidor em verses 1.33 e 1.5 que possuem criptografia fraca O Oracle TNSLSNR no possui um password definido O host responde a ICMP timestamp

Invaso, sabotagem

Indisponibilidade do ativo de informao Roubo de senhas Roubo de informaes

Hacker

21

Configurar banners nos roteadores

P P

Sistema Pirmide Analista de sistemas Servidores Contas de domnio Servidor de arquivos, Controlador de Domnio (DC) e Oracle Contas de domnio Servidores *UX

Ataques de fora bruta Sistemas internos podem vir a ser produzidos com Perda de rastreabilidade Ataques de fora bruta e dicionrio de senhas Explorao de vulnerabilidade atravs de servios desnecessrios Ataques de fora bruta Quebra de criptografia

Hacker Hacker

3 3

8 6

24 26

Implementar troca peridica de senha no sistema da ERP Treinar analistas de sistemas em desenvolvimento Implementar auditoria nos servidores Implementar bloqueio de contas aps 5 tentativas invlidas de login Desabilitar servios desnecessrios nos servidores

P P

Ataques passarem despercebidos Roubo de senhas

Hacker Hacker

4 3

8 8

32 24

Invaso, ataques de negao de servio

Hacker

21

T T

Roubo de contas Roubo de informaes

Hacker Hacker

3 3

8 8

24 24

Configurar as contas para expirarem em um perodo de 30 dias Configurar o Servidor para aceitar apenas conexes com verses superiores (2.0 preferencialmente) Definir um password para o TNSLSNR

Servidores *UX

Ataque parar o servio de TNSLSNR do servidor Um cracker pode saber a hora exata definida no seu servidor Ataques de buffer overflow e negao de servio

Indisponibilidade do banco de dados Informaes serem utilizadas para quebrar os protocolos baseados em data Invaso com permisso de root ou indisponibilidade do servidor Roubo de informaes Encorajamento de ataques e invases

Hackers

72

Servidor *UX

Hackers

Bloquear respostas a ICMP timestamp

Servidor AXS

O servio statd est executando no servidor

Hackers

64

Desabilitar o servio caso no seja necessrio, desabilitar o mesmo, caso seja necessrio atualizar para ltima verso disponvel Desabilitar os mtodos no servidor Implementar controles sobre os logs dos servidores

T T

serweb.ace.local Servidores *UX

O servidor suporta os mtodos TRACK e/ou TRACE Servidores *UX permitem edio de arquivos de log

Ataques cross-sitescript Queima de provas e perda de rastreabilidade

Hacker Hacker ou funcionrio mal intencionado

7 6

4 8

28 48

35

T P

Servidores *UX Servidores de arquivo Estaes de trabalho

Servios no rodam em chroot Servidor de arquivos possui cotas de disco insuficientes para algumas reas Estaes de trabalho possuem trava para pen-drive para usurios que necessitam do recurso Estao de trabalho apresentou mal funcionamento de antivrus Estaes de trabalho expostas sem filtro de tela Usurios utilizam notebooks pessoais como ferramenta de informao Notebooks no esto protegidos por criptografia de disco

Invaso com permisso de root Usurios gravarem arquivos locais na mquina Indisponibilidade do recurso

Comprometimento do servidor Diminuio do nvel de segurana Diminuio do nvel de segurana

Hacker Erro na poltica e falta de processo Erro na poltica

6 10

3 8

18 80

Configurar os servios para rodarem em chroot P.S. / Rever poltica de cota de pastas

10

80

P.S. / Rever poltica

Estao de trabalho Estaes de trabalho Informaes da ACE-PE Notebooks

Infeco de cdigo malicioso Ataques de surf shoulder Diminuio do nvel de segurana Responsvel pelo roubo do notebook ter acesso as informaes de seu disco Grampos telefnicos

Indisponibilidade do recurso e danos no funcionamento da rede Vazamento de informaes Roubo e perda das informaes Roubo de informaes

Cdigo malicioso

24

Reparar antivrus com mal funcionamento

P P

Funcionrio descontente Hacker, ladro e cdigo malicioso Ladro e concorrente desonesto

6 7

7 8

42 56

Implementar filtro de tela nas estaes expostas P.S. / Proibir o uso de notebooks pessoais para fins de trabalho Implementar criptografia de disco

24

Informaes da ACE-PE

Usurios transmitem informaes confidencias via telefone analgico e celular Usurios compartilham senhas

Roubo de informaes

Espio profissional

P.S. / Trocar linha analgica por digital, proibir transmisso de informao confidencial via celular P.S. / Proibir o compartilhamento de senhas entre usurios/campanha de conscientizao

Funcionrios

Usurio cometer ao ilcita com conta de outro usurio Conversa ser escutada por pessoas indesejadas Ataques de dicionrio de senha forte Funcionrios digitarem login e senha da empresa em site clonado

Perda de rastreabilidade

Funcionrio descontente ou mal intencionado

2*

16

Funcionrios

Funcionrios conversam de assuntos de trabalho em locais pblicos Funcionrios no tm instruo de como compor uma senha Funcionrios no sabem reconhecer quando esto entrando em um site clonado

Vazamento de informaes Roubo da conta Roubo de contas

Espio profissional ou funcionrio do concorrente Engenheiro social ou hacker Hacker ou engenheiro social

21

P.S. / Proibir a conversa de assuntos de trabalho em locais pblicos / Campanha de conscientizao P.S. / Obrigar e instruir o usurio a compor senhas Campanha de conscientizao

H H

Funcionrios Funcionrios

3 7

8 8

24 56

36

Funcionrios

Funcionrios no bloqueiam a mquina quando no esto prximos Funcionrios no esto aptos a reconhecer um ataque de engenharia social Arquivos impressos ficam em local destrancado

Acesso fsico indevido na estao do usurio Ataque de engenharia social ser bem sucedido Roubo do documento em papel

Roubo de informaes e sabotagens Roubo de informaes

Espio profissional e/ou funcionrio descontente Espio profissional ou engenheiro social Espio profissional ou funcionrio descontente

4*

32

P.S. / Campanha de conscientizao

Funcionrios

48

P.S. / Campanha de conscientizao

Arquivos impressos

Vazamento de informaes

3*

21

P P P

Arquivos impressos Arquivos impressos Arquivos impressos

No existe poltica de mesa limpa No existe processo correto de destruio do lixo Arquivos impressos viram rascunho

Roubo do documento em papel Ataques de trash scan Pessoas indesejadas terem acesso a informaes sigilosas Acesso indevido em caso de perda ou roubo do crach Ao ilcita no ser detectada Incndio destruir ativos de informao Incndio de fora se alastrar ao CPD e destruir ativos de informao Poeira e maresia causar danos aos equipamentos Danos, roubo e sabotagem do equipamento Problemas judiciais

Vazamento de informaes Vazamento de informaes Vazamento de informaes

Espio profissional ou funcionrio descontente Espio profissional Funcionrio descontente ou terceiros mal intencionado

3* 7 4

7 7 7

21 49 28

P.S. / Providenciar locais com tranca para arquivos e obrigar os funcionrios a guardarem neste local / Campanha de conscientizao P.S. / Implementar poltica de mesa limpa P.S. / Implementar poltica de destruio do lixo P.S. / Classificao da informao e poltica de destruio do lixo

CPD

Porta do CPD abre apenas com o crach Cmeras possuem pontos cegos considerveis CPD no tem sistema AntiIncndio de gs fm200 CPD no tem porta corta fogo

Roubo de informaes e/ou sabotagens Sabotagens ou roubo de informaes Indisponibilidade e perda das informaes Indisponibilidade e perda das informaes

Funcionrio descontente ou sabotador Sabotador ou espio profissional Incndio Incndio

18

Implementar mtodo de autenticao com senha no acesso ao CPD Implementar mais cmeras no CPD Instalar sistema Anti-Incndio de gs fm200 Instalar porta corta fogo no CPD

T T T

CPD CPD CPD

2 1 1

3 10 10

6 10 10

CPD

CPD no tem pressurizao positiva Um dos sistemas de UPS se encontra em sala destrancada, em ambiente no monitorado No existe placa de aviso de ambiente filmado

Indisponibilidade ou perda de informaes Indisponibilidade do recurso Perda de processos, anulao de provas e prejuzos financeiros

Poeira e maresia

Implementar pressurizao positiva no CPD

Sistema de UPS

Ladro ou sabotador

27

Colocar o sistema de UPS no CPD

Ambiente ACEPE

Colocar placa de aviso de ambiente filmagem

4*

28

Colocar placa de aviso sobre ambiente filmado nas entradas da empresa

Fonte: Resultado da pesquisa de anlise de risco da empresa ACE-PE.

37

Legenda: E Esfera da segurana da informao T = Tecnolgica ou infra-estrutura R = Risco (escala de 0-10) TR = Total de risco X impacto H = Humana P = Processos GI = Gravidade do impacto (escala de 0-10) * Este risco pode piorar.

4.3 Estratgia e interveno

Com a apresentao do resultado alta direo da empresa, foi determinada pela diretoria de TI a busca da melhoria de seus processos quanto segurana da informao. Para tanto, foi requisitado palestras por meios de profissionais da TI da prpria empresa como tambm por consultores externos especialistas na rea, com intuito de despertar a conscientizao em vrios assuntos pertinentes a esse tema, tais como:

A informao como maior ativo da organizao; Conhea os possveis agentes infratores da segurana em TI; O fator humano como ameaa ou preveno; Como mitigar o risco dentro da organizao; A engenharia social e como cuidar do patrimnio da empresa em relao aos seus dados; Qual a sua responsabilidade com as informaes da empresa.

No ciclo de palestras foram apresentados alguns vdeos sobre a segurana da informao de exemplos de empresas nacionais e internacionais, e o quanto investido nesse tipo de consultoria bem como os impactos causados por falha na segurana da informao. Aps o ciclo de palestras, que teve durao de quatro semanas, sobre os aspectos de segurana, os colaboradores chegaram concluso que era preciso se adequar as normas e
38

regras pretendidas pela empresa, a fim de garantir a continuidade e o crescimento do grupo como um todo. O que mais surpreendeu, foi que a maior parte do grupo tinha a conscincia da necessidade dos processos de seguranas, mas que no praticavam por no se achar includo como membro da TI, e por no se achar responsvel por outra rea. A parte positiva foi predisposio de todos em quererem contribuir para melhoria da segurana, principalmente os gestores do alto escalo, de forma a proteger o maior bem da empresa que so suas informaes.

Uma ao conjunta entre o departamento de Marketing e a TI foi elaborao de textos para mensagens via correio eletrnico, Jornal Corporativo, Intranet para distribuio com os usurios. Esta atividade exigiu grande interao com a rea de Recursos Humanos.

Para os profissionais do departamento de TI, foram realizados mini-cursos com foco especfico em cada rea: suporte ao usurio, a infra-estrutura e softwares aplicativos, onde foi possvel sensibilizar que o descaso com a segurana digital pode causar muitos prejuzos a empresa, sobretudo financeiro e com sua imagem, a partir da perda ou vazamento de dados, ou indisponibilidade dos servios. O ambiente e as solues realizadas contaram com a estrutura abaixo:

Aes baseadas na Norma NBR ISO/IEC 27002 Tecnologia da Informao Cdigo de Prtica para a Gesto da Segurana da Informao;

Os processos foram observados sob o ponto de vista do COBIT (Control Objectivesfor Informationand Related Technology) e com o ITIL (Best Practicefor SecurityManagement);

A Sede do Grupo ACE-PE foi Cidade do Recife-PE;

As solues aplicadas consideraram os recursos de informao (pessoas, elementos de tecnologia, processos de proteo) da matriz;

39

Foi disponibilizado acesso aos recursos do Grupo ACE-PE para a realizao dos levantamentos e definies de controles, preservando informaes confidenciais e estratgicas;

A rea de Tecnologia da Informao foi a de maior demanda de tempo, porm houve necessidade de disponibilizao de tempo de executivos das reas de negcio, recursos humanos, jurdico e presidncia;

Houve um profissional de TI (ponto focal) do Grupo ACE-PE que concentrou as necessidades de contados e obteno de informao;

Foi contratado um consultor em Segurana da Informao que orientou e apoiou nas implementaes das solues;

Esforo: 64 (sessenta e quatro) horas/ms, durao de 4 (quatro) meses;

Despesas de deslocamento (So Paulo-Recife-SoPaulo) e hospedagem do consultor, por conta do Grupo ACE-PE;

Ocorreram mudanas de prioridade das aes planejadas, visto as prioridades do negcio.

Os principais benficos para a empresa foram imediatamente percebidos pelos diversos departamentos da empresa, alem de perceptveis tambm dos clientes e fornecedores:

A TI do Grupo ACE-PE tornou-se mais eficiente, com melhor resposta s demandas e mais focada nos objetivos Corporativos;

Houve mudana cultural no manuseio e trato da informao;

O gerenciamento de TI permitiu maior controle sobre os acessos e disponibilidade as informaes;


40

As aes no processo de segurana facilitaram o relacionamento com clientes e fornecedores no que tange aos servios de TI;

Os profissionais de TI passaram a se interessar por certificaes em segurana da informao;

Houve aumento substancial da maturidade dos objetivos de controle do CobiT;

O oramento para segurana da informao foi revisto e ampliado.

Naturalmente, h uma tendncia, dos executivos afirmarem que a segurana da informao de seus negcios assunto primordial na empresa, o que no refletiu nos resultados obtidos aps a anlise de risco. O estudo forneceu subsdios para atingir o primeiro objetivo que era mapear qual era o risco relacionado segurana da informao no ambiente interno e externo da empresa.

A conscientizao foi chave para reverter esse quadro. O apoio pela priorizao do tema foi comear pela direo da empresa e ser disseminada por todos os funcionrios. Isso, para que a alta direo aderisse firmemente, e refletisse no comportamento dos funcionrios de modo a no apresentem reaes opostas s mudanas. O processo de conscientizao lento e gradual, mas foi encarado como prioritrio. No foi possvel fazer comparaes temporais, j que este tipo de estudo no prove de histricos. Muito embora, espera-se que ao longo dos prximos meses, os ndices de incidentes com segurana reduzam significativamente.

Por fim, foi despertada uma reserva do oramento para segurana da informao, antes inexiste. Aps esse trabalho ser observado com ateno especial investimentos para esta subrea da TI.

41

5 CONCLUSES

A ACE-PE tem uma grande necessidade de confidencialidade e disponibilidade das informaes, pois a quebra de acordo de um desses itens resulta em punio por parte do cliente e conseqentemente perda de faturamento, ou at mesmo quebra de contrato. Para atingir estes objetivos, primeiro preciso alocar recursos de TI com funes apenas preventivas para evitar futuros problemas e cuidar de projetos, implementar controles que so mais urgentes e indispensveis e posteriormente elaborar e aplicar uma poltica de segurana, seguido de um plano de continuidade de negcios, plano esse embasado na governana de TI alinhado ao negcios da empresa.

Os resultados das entrevistas, testes de segurana e questionrios recolhidos foram de grande importncia para a ACE-PE, e servir como base para a elaborao de um projeto de segurana da informao e riscos o qual servir de modelo para as filiais em todo Brasil.

Adicionalmente, com a ajuda deste trabalho, ser criado um conjunto de terminologia que padronizar a comunicao entre os diversos departamentos da empresa no que diz respeito a riscos. A adeso s melhores prticas pela metodologia ITIL e CobIT, despertaram os seguintes fruns diretos na organizao:

Suporte aos processos de negcios s atividades desenvolvidas pelos responsveis pelas decises relacionadas a TI;

Definio de funes, regras e responsabilidades no setor de servios TI; Anlise dos investimentos dos processos de segurana e risco; Mapeamento dos servios de TI para atender aos requisitos de um negcio especfico.

E como benefcios futuros, so esperados:

Satisfao do cliente atravs de maior qualidade, na disponibilidade e no desempenho dos servios de TI;

Melhoria da produtividade e eficincia atravs do uso planejado do conhecimento e experincia armazenados;

Transparncia para uma abordagem sistemtica do gerenciamento da qualidade no gerenciamento dos servios de TI;

Melhoria na comunicao e troca de informaes entre o pessoal de TI e dos clientes (internos e externos);

Treinamento e certificao dos profissionais de TI.

6 REFERNCIAS BIBLIOGRFICAS

ABNT NBR ISO/IEC 27002 Tecnologia da Informao Cdigo de prtica para gesto da segurana da informao. Associao Brasileira de Normas Tcnicas. Rio de Janeiro, 2007.

ALBUQUERQUE, Ricardo e RIBEIRO, Bruno. Segurana no Desenvolvimento de Software Como desenvolver sistemas seguros e avaliar a segurana de aplicaes desenvolvidas com base na ISO 15.408. Rio de Janeiro, Editora Campus, 2002.

BALDAM, Roquemar; VALLE, Rogrio; PEREIRA, Humberto; HILST, Sergio; AREU, Mauricio e SOBRAL, Valmir. Gerenciamento de Processos de Negcios. 2 Edio, 2 reimpresso, So Paulo, Editora Erica, 2008.

CAMPOS, Vicente F. Gerenciamento pelas Diretrizes. Belo Horizonte, Fundao Christiano Ottoni, Escola de Engenharia da Universidade Federal de Minas Gerais, 1996.

FAGUNDES, E. M. CobIT Um kit de ferramentas para a excelncia de TI. So Paulo, 2004. Disponvel em: <HTTP://www.efagundes.com/artigos/COBIT.htm>. Acesso em: agosto de 2009.

FERNANDES, Aguinaldo A. Implantando a Governana de TI da estratgia a gesto dos processos e servios. 2 Ed., Rio de Janeiro, Brasport, 2008.

FONTES, Edison Luiz Gonalves. Vivendo a Segurana da Informao orientaes prticas para pessoas e organizaes. So Paulo, Editora Sicurezza, 2000.

_________ Praticando a Segurana da Informao. Rio de Janeiro, Brasport, 2008.

LAUDON, Kenneth C. e LAUDON, Jane P. Sistemas de Informao Gerenciais. Prentice Hall; So Paulo, 2004.

LAHTI, C.B.; PETERSON, R. Sarbanes-Oxley. Conformidades TI usando CobIT e Ferramentas Open Source. So Paulo, Atlas Books, 2006.

LOPES, Raquel Vigolvino; SAUV, P. Jacques; NICOLLETI, S. Pedro. Melhores Prticas para Gerncia de redes de Computadores. 2 tiragem, Rio de Janeiro, Editora Campus, 2003.

MAGALHAES, I. L.; PINHEIRO W. B. Gerenciamento de Servios de TI na prtica Uma abordagem com base no ITIL. Porto Alegre, Novatec, 2007.

MANSUR. R. Governana de TI. So Paulo, Brasport, 2007.

MARTINS, A. B.; SANTOS. C.A.S. Uma Metodologia para implantao de um Sistema de Gesto de Segurana da Informao. Revista de Gesto e Tecnologia e Sistema de Informao. Vol. 2, No. 2, 2005, pp. 121-136.

MICROSOFT - Guia de Gerenciamento de Riscos de Segurana. Disponvel em: <http://www.microsoft.com/brasil/security/guidance/riscos/default.mspx> Acesso em : maro de 2009.

MDULO Normas de Segurana. Disponvel em: <http://www.modulo.com.br> Acesso em : outubro de 2008.

MOREIRA, Nilson S. Segurana Mnima - Uma viso Corporativa de Segurana da Informao. Rio de Janeiro, Axcel Books, 2001.

OGC (Office of Government Commerce). Best Practice Introduo ao ITIL - . Norwich, United Kingdom: TSO (The Stationary Office), 2006.

OLIVEIRA, S. de. As Trplices da Segurana da Informao. Disponvel em: <http://www.salomao.adm.br/Triplices.html> Acesso em: junho de 2009.

RAMOS, Anderson (Org). Security Officer 2: Guia oficial para formao de gestores em Segurana da Informao; 2 ed. Porto Alegre, Editora Zouk, 2008.

RASMUSSEN, M. GRC - Governana da Gerencia de Riscos e Conformidades. Disponvel em: <http://www.corp-ntegrity.com/about/grc.html> Acesso em: novembro de 2009.

REZENDE, Denis Alcides e ABREU, Aline Frana. Tecnologia da Informao Aplicada a Sistemas de Informao Empresariais. So Paulo, Editora Atlas, 2000.

SMOLA, Marcos. Gesto da Segurana da Informao uma viso executiva. Rio de Janeiro, Editora Campus, 2003.

TIINSIDE. Anurio de Segurana da Informao e Gesto de Risco. Converge Comunicaes. Nmero um, 2008/2009.

VERMEULEN, Clive; SOLMS, R.V. The Information Security Management Tollbox taking the pain out of security management. Information Management & Computer Security.10/3, pp. 119-125, 2002.

ZAPATER, Marcio e SUZUKI, Rodrigo. Segurana da Informao Um diferencial determinante na competitividade das corporaes. So Paulo, 2008. Disponvel em: <http://www.promon.com.br>. Acesso em: dezembro de 2008.

WESTERMAN, George; HUNTER, Richard. O Risco de TI Convertendo Ameaas em Vantagem Competitiva. So Paulo, M. Books do Brasil Editora LTDA, 2008.

WIKIPEDIA. A enciclopdia livre. Disponvel em: <http://pt.wikipedia.org>. Acesso em: agosto de 2009.

7 APNDICE

7.1 Apndice 1 - Painis da apresentao

Painel 1

ANLISE DE RISCO DA SEGURANA DA INFORMAO NO AMBIENTE DA EMPRESA ACE-PE

EDSON MATOS GTI DCC / UFLA

Painel 2

Estrutura da apresentao 1. Introduo 2. Referencial Terico 3. Metodologia 4. Resultados e discusso 5. Concluso

Painel 3

1 INTRODUO
1.1 Contextualizao e motivao Segurana da informao nas organizaes; Tomada de decises; Boas prticas e controle. 1.2 Objetivos e Objetivos Especficos O principal objetivo deste trabalho foi o estudo do ambiente tecnolgico e a anlise das falhas na segurana da informao, que mediu o risco da TI na Empresa ACE-PE. Identificar as ameaas e vulnerabilidades; Apresentar o mapa das falhas da analise de risco; Classificar as informaes de acordo com o risco; Associar os riscos relatados ao potencial impacto empresa; Apresentar solues de melhorias e segurana ao ambiente.

Painel 4

1 INTRODUO
1.2.3 Estrutura do trabalho Referencial Terico; Metodologia; Resultados; Concluso.

Painel 5

2 REFERENCIAL TERICO
2 Reviso da Literatura Princpios bsicos da Segurana da Informao; Relao entre os princpios da segurana; Processo da Segurana da Informao - Trplice PPT; Risco da TI e sua relaes; Normas Tcnicas: ITIL, COBIT, ABNT NBR ISO/IEC 27002 e 27005; Mecanismos de Segurana; Estado da Arte Metodologia de Vermeulen e Solms (2002) e Martins e Santos (2005) GRC Gesto de Riscos e Conformidade.

Painel 6

2 REFERENCIAL TERICO
2.3 O Risco no contexto da Segurana da Informao Alicerce conjunto de ativos, procedimentos e funcionrios que sustentam e possibilitam os processos de negcio;

Processo de governana do risco estrutura e processos necessrios para identificar e administrar riscos sistematicamente;

Cultura de conscincia responsabilidade pessoal e comportamental.

Painel 7

3 METODOLOGIA
3.1 Tipo de pesquisa Estudo de caso. 3.2 Procedimentos metodolgicos
Na parte inicial do trabalho foi realizado um levantamento da literatura e dos fundamentos; Na fase seguinte, foram utilizadas ferramentas para deteco de falhas e vulnerabilidades de hardware e software; Na fase das entrevistas foi construdo um instrumento para avaliar o nvel de segurana denominado de anlise de risco; Por fim, uma anlise das melhores prticas baseado em normas de segurana para alinhamento dos processos e anlise de risco.

Painel 8

3 METODOLOGIA
3.2.1 Metodologia da Anlise de Risco (Framework 4As) Avaliabilit (Disponibilidade); Access (Acesso); Accuray (Preciso); Agitility (Agilidade).

Painel 9

4 RESULTADOS E DISCUSSO
4.1 A Empresa Empresa de terceirizao, Solues em TI e Contact Center, a ACE-PE (Empresa de Servios Avanados de TI no Estado de Pernambuco) que atualmente consta em seu quadro de funcionrios 10.500 colaboradores. O Sistema de Governana se baseia em informaes gerenciais provenientes do sistema ERP , Sistemas de Recursos Humanos, Sistema de CRM e de BPMS. Organograma:

Painel 10

4 RESULTADOS E DISCUSSO
4.2 O Diagnstico As falhas encontradas somaram um total de 64 (sessenta e quatro) itens; Foram agrupadas em 4 (quatro) grupos de risco e impacto;

Risco Alto Impacto Alto Risco Alto Impacto Baixo

Risco Baixo Impacto Alto Risco Baixo Impacto Baixo

Esses itens agrupados totalizam 25 (vinte e cinco) atividades em desconformidade as boas prticas da segurana da informao.

Painel 11

4 RESULTADOS E DISCUSSO
4.3 Estratgia e interveno Requisitado palestras por meios de profissionais da TI da prpria empresa como tambm por consultores externos especialistas na rea segurana de TI; No ciclo de palestras foram apresentados alguns vdeos sobre a segurana da informao de exemplos de empresas nacionais e internacionais; Uma ao conjunta entre o departamento de Marketing e a TI foi a elaborao de textos para mensagens via correio eletrnico, Jornal Corporativo, Intranet para distribuio com os usurios; Para os profissionais do departamento de TI, foram realizados mini-cursos com foco especfico em cada rea; Para as 64 falhas encontradas foram apresentadas 64 solues, apresentada na matriz de risco (70% j implementadas).

Painel 12

4 RESULTADOS E DISCUSSO
4.3 Estratgia e interveno As Aes foram baseadas na Norma NBR ISO/IEC 27002 Tecnologia da Informao Cdigo de Prtica para a Gesto da Segurana da Informao; Os processos foram observados sob o ponto de vista do COBIT e ITIL; As solues aplicadas consideraram os recursos de informao (pessoas, elementos de tecnologia, processos de proteo) da matriz em Recife - PE; Foi contratado um consultor em Segurana da Informao que orientou e apoiou nas implementaes das solues; Esforo: 64 (sessenta e quatro) horas/ms, durao de 4 (quatro) meses; Ocorreram mudanas de prioridade das aes planejadas, visto as prioridades do negcio.

Painel 13

5 CONCLUSES
A ACE-PE tem uma grande necessidade de confidencialidade e disponibilidade das informaes, pois a quebra de um desses fatores resulta em menor faturamento por ms, ou at mesmo quebra de contrato. Para atingir estes objetivos, primeiro preciso alocar recursos de TI com funes apenas preventivas para evitar futuros problemas e cuidar de projetos, implementar controles que so mais urgentes e indispensveis e posteriormente elaborar e implementar uma poltica de segurana, seguido de um plano de continuidade de negcios, plano esse embasado na governana de TI alinhado ao negcios da empresa.