1

ANDR LUIZ BOSCOLO DE SOUZA

SEGURANA DA INFORMAO: ANLISE DE RISCO E POLTICA DE SEGURANA

UNIVERSIDADE DO VALE DO SAPUCA POUSO ALEGRE - MG 2013

ANDR LUIZ BOSCOLO DE SOUZA

SEGURANA DA INFORMAO: ANLISE DE RISCO E POLTICA DE SEGURANA

Projeto de Pesquisa apresentado disciplina de TCC I para a banca de qualificao como requisito parcial para obteno de crditos. Orientador: Prof. Ms. Andr Luiz Martins de Oliveira.

UNIVERSIDADE DO VALE DO SAPUCA POUSO ALEGRE - MG 2013

LISTA DE ILUSTRAES

Figura 1 Princpios bsicos em segurana da informao ......................................................9 Figura 2 Aspectos a considerar em projetos de segurana ....................................................11 Figura 3 Processos de gerenciamento de riscos ....................................................................14

SUMRIO

1 2
3

INTRODUO ......................................................................................................... 5 OBJETIVOS .............................................................................................................. 7 JUSTIFICATIVA ...................................................................................................... 8 QUADRO TERICO ................................................................................................ 9 4.1 4.2 4.3 4.4 4.5 Segurana da Informao ................................................................................... 9 Anlise de Risco ............................................................................................... 10 Poltica de Segurana ....................................................................................... 11 ABNT NBR ISO/IEC 27002 ............................................................................ 12 PMBOK ............................................................................................................ 13

QUADRO METODOLGICO ............................................................................... 16 5.1 5.2 5.3 5.4 5.5 5.6 5.7 Tipo de Pesquisa............................................................................................... 16 Contexto ........................................................................................................... 16 Participantes ..................................................................................................... 17 Intrumentos de Pesquisa ................................................................................... 18 Procedimentos .................................................................................................. 18 Cronograma ...................................................................................................... 19 Oramento ........................................................................................................ 20

REFERNCIAS ...................................................................................................... 21

INTRODUO

O homem, desde o princpio, direciona suas aes com base em informaes que, no incio, eram adquiridas em experincias de vida. Essas informaes foram sendo guardadas em formas de desenhos, escrituras em pedras, smbolos e diversos outros mtodos de sua poca. Tudo isso, ao longo dos anos, foi passado de gerao em gerao, ocorrendo constante evoluo na forma de exposio e armazenamento de tais informaes. Nos dias atuais, informaes so recursos que movem o mundo e, devido a sua importncia, necessitam de especial ateno ao serem armazenadas, pois em muitos casos sua perda pode trazer enormes prejuzos a pessoas, organizaes e at mesmo para toda a humanidade. Considerando tamanha importncia, corporaes vem buscando implantar projetos de segurana da informao em seus ambientes fsicos e lgicos, com o objetivo de manter a integridade desse recurso to vital para suas empresas. Como j foi dito, uma organizao dependente das informaes que giram em torno dela, seja uma empresa comercial ou um rgo pblico. A perda, roubo ou destruio dessas informaes pode ser prejudicial, trazendo diversos problemas a essas corporaes. Neste sentido, a implantao de medidas de segurana se faz necessria, com a inteno de prevenir possveis dificuldades. Inmeras medidas de preveno buscam garantir a integridade desses ativos. No entanto, antes de implantar qualquer uma delas, necessrio localizar as possveis causas que podem chegar a danificar qualquer informao. Tal responsabilidade competir a Anlise de Risco nas empresas e sua concluso servir de base para organizaes traarem seus planos de controle. A norma ISO/IEC 27002 (ABNT, 2005) conceitua Anlise de Riscos como o uso sistemtico de informaes para identificar fontes e estimar riscos, ou seja, o processo que atribui valor ao impacto que um risco pode ter (consequncia) e a probabilidade de sua ocorrncia. Em outras palavras, o processo usado para identificar as possveis ameaas que poderiam danificar a informao, qualquer que seja sua natureza. Portanto, com o resultado obtido por meio da anlise, possvel direcionar os investimentos em implementaes para controle desses riscos.

Uma das medidas de controle consiste na implantao de uma Poltica de Segurana que ir estabelecer regras cabveis aos funcionrios, conscientizando-os do que pode ou no ser feito, bem como a manipulao desses ativos, evitando que sejam danificados. Pois conforme o enunciado de FONTES (p. 11, 2006),Segurana da Informao o conjunto de orientaes, normas, procedimentos, polticas e demais aes que tem por objetivo proteger o recurso informao, possibilitando que o negcio da organizao seja realizado e a sua misso seja alcanada. Por tanto, a proteo das informaes deve ser uma preocupao e objetivo a ser buscado por todos os envolvidos em seu processo, e no s pelos gestores. Segundo SILVA (2010), pelo grande aumento do uso da tecnologia da informao e tambm de sua ampla disseminao, os crimes cibernticos cresceram na mesma proporo. Em sua pesquisa, o autor busca compreender a importncia de implantar controles de segurana da informao nas empresas. J SOUZA (2007), em seu trabalho trata os componentes necessrios para elaborao de um sistema de gesto de segurana da informao, descrevendo vrios aspectos tericos ligados a segurana da informao. Neste trabalho, alm de abordagem terica, sero demonstrados na prtica dois pontos importantes: anlise de risco e polticas de segurana da informao. Levando em conta a importncia dos controles de segurana da informao, ser feito a elaborao e implantao de uma Poltica de Segurana da Informao para Cmara Municipal de Pouso Alegre, objetivando a atender as necessidades do rgo. Para tanto, ser necessrio percorrer as fases supracitadas, quais sejam: realizar uma Anlise de Risco na infra-estrutura da

Cmara documentando os possveis riscos do ambiente, para ao final iniciar a fase de elaborao e implantao da poltica.

2 OBJETIVOS

Neste captulo sero apresentados os objetivos desse projeto.

2.1 Objetivo Geral

- Implantar uma Poltica de Segurana na Cmara Municipal.

2.2 Objetivos Especficos

- Realizar uma Anlise de Risco na infra-estrutura do setor de T.I, documentando os possveis riscos do ambiente. - Elaborar uma Poltica de Segurana com base nas informaes levantadas na Anlise de Risco.

3 JUSTIFICATIVA

Para a Cmara Municipal, este projeto ir propor normas de segurana na rea de T.I., pois at o momento no h uma Poltica de Segurana implementada. De acordo com a norma ISO/IEC 17799 (ABNT, 2005, p.8), polticas de segurana da informao tm por objetivo fornecer uma orientao e apoio da direo para prover a segurana da informao de acordo com os requisitos do negcio e com as leis e regulamentaes relevantes. Portanto, para que a poltica implantada seja eficiente, necessrio tambm que seja realizado um trabalho de conscientizao junto aos funcionrios que manipulam ativos, esclarecendo sobre a importncia de sua proteo. De acordo com SOUZA (2007),
o simples fato de existir uma poltica de segurana da informao j considerado um fator crtico de sucesso, pois a sua elaborao deve estar em sincronismo com os objetivos e atividades do negcio, para que no haja proteo em demasia, mantendo assim as atividades comuns do negcio (p.25).

Os benefcios, portanto, sero vrios, pois a partir da implantao da poltica de segurana especialmente adaptada s necessidades da Cmara Municipal, no s ser garantida a segurana das informaes, mas tambm se dar confiana e tranquilidade ao ambiente de trabalho tornando-o mais agradvel, seguro e produtivo para todos. Alm dos benefcios agregados a Cmara, essa pesquisa ir contribuir com a Universidade e o curso de Sistemas de Informao, pois verificando o acervo, nota-se que so poucos os trabalhos, bem como bibliografia relacionados a Segurana da Informao, assim espera-se que essa pesquisa sirva como auxlio para futuros trabalhos na rea de Segurana da Informao. Levando em considerao outras reas abrangidas pelo curso, a Segurana de Informao pouco abordada, porm de vital importncia para continuidade de qualquer empresa que utiliza sistemas informatizados em seu dia a dia.

4 QUADRO TERICO

Neste captulo ser apresentada a parte terica a ser aplicada nesse projeto.

4.1 Segurana da Informao

De acordo com FONTES (2006), Segurana da Informao,

o conjunto de orientaes, normas, procedimentos, polticas e demais aes que tem por objetivo proteger o recurso informao, possibilitando que o negcio da organizao seja realizado e a sua misso seja alcanada (p.11).

Segundo a norma ISO/IEC 27002 (ABNT, 2005) alguns princpios bsicos devem ser respeitados para que se possa garantir a Segurana da Informao:

Fig. 1 Princpios bsicos em segurana da informao Fonte: Macdo em (http://www.diegomacedo.com.br, Acessado: 15/04/2013)

10

Confidencialidade: significa que a informao deve ser protegida contra sua divulgao para pessoas no autorizadas interna ou externamente. Consiste em proteger a informao contra cpias e distribuio no autorizada. Dessa forma, a informao deve ser confidencial e sua utilizao dever ser feita por pessoas previamente autorizadas. Integridade: consiste em garantir que a informao gerada no seja modificada sem a devida autorizao da(s) pessoa(s) responsvel por ela. Isto implica que no deve ser permitido que a informao original sofra nenhum tipo de violao seja ela escrita, de contedo, alterao de status, remoo e criao de informaes. Disponibilidade: garantir que a informao esteja disponvel s pessoas autorizadas sem nenhum tipo de modificao e sempre que elas necessitarem. Pode ser chamado tambm de continuidade do servio.

Segurana da Informao ser o tema central desse trabalho, e para conseguir atingir os objetivos desse projeto, de vital importncia que os riscos sejam localizados, para que em seguida algumas das falhas comecem a ser sanadas, utilizando a Poltica de Segurana implantada, que como j dito, objetivo principal do presente trabalho.

4.2 Anlise de Risco

A norma ISSO/IEC 27002 (ABNT, 2005), define anlise de risco como sendo uso sistemtico de informaes para identificar fontes e estimar o risco. Ainda segundo a norma ISO/IEC 27002 (ABNT, 2005, p.10) Por meio da anlise/avaliao de riscos, so identificadas as ameaas aos ativos, as vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrncia das ameaas e do impacto potencial ao negcio..

11

Segundo FREITAS (2009, p.49) existem trs aspectos que no podem ser desconsiderados em qualquer projeto de segurana: Pessoas (cultura, capacitao e conscientizao), Processos (metodologias, normas e procedimentos) e Tecnologia (ferramentas que comportam os recursos fsicos e lgicos).. Ento uma anlise de risco que deixe de fora esses elementos, sofre grandes chances de fracassar durante o seu processo.

Fig. 2 Aspectos a considerar em projetos de segurana. Fonte: Portfolio da Mdulo Security (s.p)

4.3 Poltica de Segurana

A norma tcnica SGR-PR/001:10 (ATI, 2010) define Poltica de Segurana como sendo,
um conjunto de definies, diretrizes, restries e requisitos que servem para nortear o uso de boas prticas no trato com os ambientes, recursos e ativos de segurana da informao, em aspectos fsicos, lgicos e de pessoal, com a finalidade de proporcionar maior segurana s informaes (p. 8).

Com base nessa definio fica claro que no se deve apenas dar ateno a aspectos lgicos da empresa, mas tambm aos aspectos fsicos e de pessoal.

12

De acordo com a norma ISO/IEC 27002 (ABNT, 2005), o documento da poltica de segurana da informao deve ser publicado e comunicado para todos os funcionrios e pessoas externas que apresentam relevncia para organizao, podendo ser uma parte de um documento da poltica geral da empresa. Ainda segundo a norma ISO/IEC 27002 (ABNT, 2005),
convm que a direo estabelea uma clara orientao da poltica, alinhada com os objetivos do negcio e demonstre apoio e comprometimento com a segurana da informao por meio da publicao e manuteno de uma poltica de segurana da informao para toda a organizao (p.20).

Neste trabalho sero utilizadas normas de segurana para auxiliar a definir diretrizes para elaborao de uma Poltica de Segurana adequada ao ambiente que ser implantada, e tambm outras Polticas como auxlio e quando possvel fazer uma adaptao de regras para o ambiente da Cmara Municipal.

4.4 ABNT NBR ISO/IEC 27002

De acordo com a ISO/IEC 27002 (2005), a norma,

estabelece diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao. Os objetivos definidos nesta Norma provm diretrizes gerais sobre metas geralmente aceitas para gesto da segurana da informao (p.13).

A estrutura da norma contm 11 sees de controles de segurana da informao, que somados totalizam 39 categorias principais de segurana. Os 11 temas apresentados na norma esto organizados da seguinte forma; 1 Poltica de Segurana da Informao; 2 Organizando a Segurana da Informao; 3 Gesto de Ativos; 4 Segurana em Recursos Humanos; 5 Segurana Fsica e do Ambiente; 6 Gesto das Operaes e Comunicaes; 7 Controle de Acesso;

13

8 Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao; 9 Gesto de Incidentes de Segurana da Informao; 10 Gesto da Continuidade do Negcio; 11 Conformidade. O contedo presente na norma ser frequentemente utilizado neste projeto com o fim de atingir os objetivos apresentados.

4.5 PMBOK

Neste projeto tambm ser utilizado o PMBOK para auxiliar no gerenciamento do projeto, mais especificamente na parte da Anlise de Riscos. De acordo com o livro PMBOK (2008), o guia um conjunto de normas, mtodos, processos e prticas estabelecidas. As boas prticas contidas no PMBOK so reconhecidas de profissionais da rea de gerenciamento de projetos, que auxiliaram para o seu desenvolvimento. O PMBOK trata o Gerenciamento de Riscos em projetos, mas neste trabalho ser adaptado a rea de Gerenciamento de Riscos em um ambiente coorporativo. Segundo o PMBOK (2008), o gerenciamento de riscos contm processos, que so: planejamento, identificao, anlise, planejamento de respostas, monitoramento e controle de riscos. Com o objetivo de aumentar as chances de sucessos do presente projeto, sero identificados os riscos e com o controle que ser implantado, no caso a Poltica de Segurana, haver uma diminuio de chances de danos informaes.

14

Fig. 3 Processos de gerenciamento de riscos. Fonte: PMBOK (2008, p.227)

15

Na imagem acima retirada do PMBOK, so mostrados os processos e subprocessos do Gerenciamento de Riscos. O guia ainda descreve brevemente cada processo; Planejar o Gerenciamento dos riscos: O processo de definio de como conduzir as atividades de gerenciamento dos riscos de um projeto. Identificar os riscos: O processo de determinao dos riscos que podem afetar o projeto e de documentao de suas caractersticas. Realizar a anlise qualitativa dos riscos: priorizao dos riscos para anlise ou ao adicional atravs da avaliao e combinao de sua probabilidade de ocorrncia e impacto. Realizar a anlise quantitativa dos riscos: analisar numericamente o efeito dos riscos identificados, nos objetivos gerais do projeto. Planejar as respostas aos riscos: O processo de desenvolvimento de opes e aes para aumentar as oportunidades de reduzir as ameaas aos objetivos do projeto. Monitorar e controlar os riscos: O processo de implementao de planos de respostas aos riscos, acompanhamento dos riscos identificados, monitoramento dos riscos residuais, identificao de novos riscos e avaliao da eficcia dos processos de tratamento dos riscos durante todo o projeto. PMBOK (2008, p. 226) Ainda segundo o guia PMBOK (2008), apesar dos processos parecerem ser elementos distintos, na prtica iro interagir entre si.

16

5 QUADRO METODOLGICO

Neste captulo ser abordado os mtodos metodolgicos do projeto.

5.1 Tipo de pesquisa

Analisando que este projeto busca a resoluo de problemas prticos, ou seja, identificar os riscos que as informaes que circulam dentro da Cmara Municipal podem ter e, a partir deles, elaborar e implantar uma Poltica de Segurana, como forma de controle a esses riscos, para isso usar conceitos prticos de Segurana da Informao, conclui-se ento que essa ser uma pesquisa intervencionista. Segundo MORESI (2003),
a pesquisa intervencionista tem como principal objetivo interpor-se, interferir na realidade estudada, para modific-la. No se satisfaz, portanto, em apenas explicar. Distingue-se da pesquisa aplicada pelo compromisso de no somente propor resolues de problemas, mas tambm de resolv-los (p.9).

5.2 Contexto

A Cmara Municipal, tambm conhecida como Cmara dos Vereadores o rgo onde exercido o Poder Legislativo de um municpio, onde os vereadores se renem. A Cmara, no exerccio da sua funo legislativa, participa da elaborao de leis de interesse do muncipio. Em sua funo fiscalizadora serve para controlar o exerccio da administrao do municpio, ou seja, controlar as aes do prefeito. E ainda exerce funo deliberativa, que desempenha os atos administrativos internos, como criao de quadro de pessoal, fixao dos

17

vencimentos de seus servidores, elaborao de regimento interno, posse ao prefeito e ao viceprefeito entre outras atividades. De acordo com informaes retiradas do site da Cmara Municipal de Pouso Alegre, o rgo foi instalado no dia 7 de maio de 1832, sete meses aps a elevao de Pouso Alegre categoria de Vila. De sua instalao, at o ano de 2008 a Cmara teve sua sede localizada em vrios pontos da cidade, at que em 2008 com a presena de personalidades polticas, militares e da sociedade em geral, foi inaugurado a nova sede da Cmara Municipal de Pouso Alegre. Como falhas de segurana podem variar de local para local, esse projeto visa abranger a Cmara Municipal de Pouso Alegre, porm no impede que os mtodos utilizados nessa pesquisa no possam ser aplicados em locais diferentes.

5.3 Participantes

Andr Luiz Boscolo de Souza, estagirio na Cmara Municipal de Pouso Alegre e acadmico do 7 perodo do curso de Bacharelado de Sistemas de Informao pela Universidade do Vale do Sapuca. Possui conhecimentos em redes estruturadas, sistema operacional e servidores Linux, famlia Microsoft Windows e Windows Server e infraestrutura em T.I, atuar como desenvolvedor nesse projeto. Andr Luiz Martins de Oliveira, bacharel em Cincias da Computao pela Pontifcia Universidade Catlica de Minas Gerais (2005), especialista em Tecnologia de Redes pela UFLA (Universidade Federal de Lavras; 2007), MBA em Governana de Tecnologia da Informao tambm pela UFLA (2008), professor do curso de Sistemas de Informao da Univs (Universidade do Vale do Sapuca), responsvel pelas disciplinas de Organizao e Arquitetura de Computadores, Redes Computadores I e II, Gerncia de Redes de Computadores, Sistemas Operacionais e Segurana e Auditoria de Sistemas de Informao, atuar como orientador nesse projeto. Alan Fernandes Pinto, bacharel em Sistema de Informao pela Universidade do Vale do Sapuca de Minas Gerais (2010), Assessor de Tecnologia da Informao na Cmara Municipal de Pouso Alegre MG , Responsvel pelo Departamento de TI , com atuao nas

18

reas de Infraestrutura e Gerncia de Rede, Projetos, Telecomunicaes e TV Digital, atuar como colaborador nesse projeto.

5.4 Instrumentos de Pesquisa

Essa pesquisa far uso dos seguintes instrumentos; Reunies: as reunies iro acontecer com o gestor de T.I. Sero realizadas duas reunies, a primeira com o fim de conhecer as necessidades do gestor para administrao do setor, a segunda reunio ter como objetivo apresentar as informaes levantadas no processo da anlise de risco. Questionrios: ser aplicado aos funcionrios da Cmara Municipal para saber suas necessidades em utilizar os recursos de T.I, e como eles utilizam esses recursos.

5.5 Procedimentos

Anlise na infra-estrutura da rede de dados da Cmara, incluindo servidores e ativos de redes. Reunio com o gestor de T.I, com o objetivo de conhecer suas necessidades para administrao do setor. Conversa com os usurios para identificar a necessidade de usar a infraestrutura tecnolgica da Cmara. Reunio com o gestor de T.I para apresentar todas as informaes levantadas. Iniciar a elaborao da Poltica de Segurana junto ao gestor de T.I. Iniciar a implantao da Poltica de Segurana na Cmara e divulgao da mesma para os funcionrios. Acompanhar os resultados e mudanas depois de implantada a Poltica.

19

5.6 Cronograma

ETAPAS

Fevereiro Maro

Abril Maio

Junho Julho

Agosto -

Outubro

Setembro Novembro

Definio de pr-projeto Levantamento bibliogrfico Primeira entrega do Pr-projeto Orientao sobre Introduo / Objetivos / Justificativas Entrega da Introduo Orientao sobre Quadro Terico Entrega do Quadro Terico Orientao sobre Quadro Metodolgico Entrega do Quadro Metodolgico

X X X X X X

X X X X

Reviso de Referncias Entrega do Projeto para Qualificao Bancas de Qualificao de Projeto de TCC Anlise e levantamento de informaes Reunio com gestor de T.I Elaborao da Poltica de Segurana Implantao da Poltica Pr-Banca Banca

X X

X X

X X

X X X

20

5.7 Oramento

Valores previstos para o desenvolvimento do projeto.

Livros - R$132,00 Impresses e cpias R$30,00 Encadernao R$20,00 Impresso em capa dura R$75,00

Chegando a um total de R$257,00 previstos.

21

6 REFERNCIAS

ABNT Associao Brasileira de Normas Tcnicas. ABNT NBR ISO/IEC 17799 Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto de segurana da informao. ABNT, 2005.

ABNT Associao Brasileira de Normas Tcnicas. ABNT NBR ISO/IEC 27002 Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto de segurana da informao. ABNT, 2005.

ATI Agncia Estadual de Tecnologia da Informao. Norma Tcnica ATI-SGRPR/001:10 Poltica de segurana da informao Diretrizes gerais. ATI, 2010.

FONTES, Edson. Segurana da Informao: O usurio faz a diferena. 1.Ed. So Paulo: Saraiva, 2006.

FREITAS, Eduardo Antnio Mello. Gesto de Riscos Aplicada a Sistemas de Informao: Segurana estratgia da informao. Braslia: Universidade Candido Mendes, 2009.

MORESI, Eduardo. Metodologia da Pesquisa. Braslia: Universidade Catlica de Braslia(UCB),2003 <http://www.unisc.br/portal/upload/com_arquivo/metodologia_da_pesquisa..pd

f>. Acesso em: 13/05/2013 16:29.

PMI Project Management Institute. Um Guia do Conhecimento em Gerenciamento de Projetos PMBOK, Quarta edio. PMI, 2008.

SILVA, Adrielle. Segurana da Informao. Cuiab: Departamento de Cincia da Computao Instituto Cuiabano de Educao (ICE), 2010.

SOUZA, Rhonan Carlos. Segurana da Informao nas Organizaes. Pouso Alegre: Universidade do Vale do Sapuca (UNIVS), 2007.