1

ANDR LUIZ BOSCOLO DE SOUZA

SEGURANA DA INFORMAO: ANLISE DE RISCO E POLTICA DE SEGURANA

Projeto de Pesquisa apresentado disciplina de TCC I para a banca de qualificao como requisito parcial para obteno de crditos. Orientador: Prof. Ms. Andr Luiz Martins de Oliveira.

UNIVERSIDADE DO VALE DO SAPUCA POUSO ALEGRE - MG 2013

ANDR LUIZ BOSCOLO DE SOUZA

SEGURANA DA INFORMAO: ANLISE DE RISCO E POLTICA DE SEGURANA

Projeto de Pesquisa apresentado disciplina de TCC I para a banca de qualificao como requisito parcial para obteno de crditos. Orientador: Prof. Andr Luiz Martins de Oliveira.

UNIVERSIDADE DO VALE DO SAPUCA POUSO ALEGRE - MG 2013

LISTA DE ILUSTRAES

Figura 1 Princpios bsicos em segurana da informao ......................................................9 Figura 2 Aspectos a considerar em projetos de segurana ....................................................11 Figura 3 Processos de gerenciamento de riscos ....................................................................14

SUMRIO

1 2
3

INTRODUO ......................................................................................................... 5 OBJETIVOS .............................................................................................................. 7 JUSTIFICATIVA ...................................................................................................... 8 QUADRO TERICO ................................................................................................ 9 4.1 4.2 4.3 4.4 4.5 Segurana da Informao ................................................................................... 9 Anlise de Risco ............................................................................................... 10 Poltica de Segurana ....................................................................................... 11 ABNT NBR ISO/IEC 27002 ............................................................................ 12 PMBOK ............................................................................................................ 13

QUADRO METODOLGICO ............................................................................... 16 5.1 5.2 5.3 5.4 5.5 5.6 5.7 Tipo de Pesquisa............................................................................................... 16 Contexto ........................................................................................................... 16 Participantes ..................................................................................................... 17 Intrumentos de Pesquisa ................................................................................... 18 Procedimentos .................................................................................................. 18 Cronograma ...................................................................................................... 19 Oramento ........................................................................................................ 20

REFERNCIAS ...................................................................................................... 21

4 QUADRO TERICO

Neste captulo ser apresentada a parte terica a ser aplicada nesse projeto.

4.1 Segurana da Informao

De acordo com FONTES (2006), Segurana da Informao,

o conjunto de orientaes, normas, procedimentos, polticas e demais aes que tem por objetivo proteger o recurso informao, possibilitando que o negcio da organizao seja realizado e a sua misso seja alcanada (p.11).

Segundo a norma ISO/IEC 27002 (ABNT, 2005) alguns princpios bsicos devem ser respeitados para que se possa garantir a Segurana da Informao:

Fig. 1 Princpios bsicos em segurana da informao Fonte: Macdo em (http://www.diegomacedo.com.br, Acessado: 15/04/2013)

O texto abaixo descreve os trs pilares da segurana da informao apresentando na imagem acima (Fig. 1).

Confidencialidade: significa que a informao deve ser protegida contra sua divulgao para pessoas no autorizadas interna ou externamente. Consiste em proteger a informao contra cpias e distribuio no autorizada. Dessa forma, a informao deve ser confidencial e sua utilizao dever ser feita por pessoas previamente autorizadas.

De acordo com OLIVEIRA (XXXX), a confidencialidade pode ser ainda classificada em nveis levando em conta as necessidades da empresa, podendo ser; Confidencial A manipulao de tais informaes permitida somente a um nmero restrito de pessoas ou setor. Restrita Uma quantidade maior de pessoas tem permisso para manipular as informaes, ou permisses por nveis hierrquicos. Interna As informaes so limitadas somente funcionrios da empresa, como lista de ramais, normas internas, manuais e etc.; Pblica So informaes que podem ser expostas a qualquer tipo de pblico, que podem ser divulgadas pela mdia e etc. Integridade: consiste em garantir que a informao gerada no seja modificada sem a devida autorizao da(s) pessoa(s) responsvel por ela. Isto implica que no deve ser permitido que a informao original sofra nenhum tipo de violao seja ela escrita, de contedo, alterao de status, remoo e criao de informaes.

Este conceito no garante que os dados estejam corretos, pois se forem armazenados errados, assim permanecero at que uma entidade autorizada os corrija. (XXXXXXXXX). Disponibilidade: garantir que a informao esteja disponvel s pessoas autorizadas sem nenhum tipo de modificao e sempre que elas necessitarem. Pode ser chamado tambm de continuidade do servio.

A informao s ter valor para empresa caso esteja disponvel sempre que for requisitada, porm diversas so as formas de ataque ou problemas que podem comprometer isso, como ataques de negao de servios (DoS ou DDoS) que interrompem o acesso aos

servios e informaes das empresas, problemas como falta de energia e etc., problemas ou ataque esses que precisam de contramedidas para que as informaes estejam sempre disponveis quando solicitadas. OLIVEIRA (xxxxx), ainda fala em outras trs divises da segurana da informao que sero abordadas abaixo.

Fig. 2 Diviso da Segurana da Informao Fonte: Oliveira em Normas e Polticas de Segurana da Informao (p.20).

Segundo FREITAS (2009) existem trs aspectos que no podem ser desconsiderados em nenhuma hiptese quando se fala em projeto de segurana: Pessoas (cultura, capacitao e conscientizao), Processos (metodologias, normas e procedimentos) e Tecnologia (ferramentas que comportam os recursos fsicos e lgicos).. OLIVEIRA (XXXX) ainda fala que a segurana fsica e do ambiente, segurana tecnolgica e segurana em pessoas quando aplicadas em conjunto a Segurana da Informao com foco na gesto dos riscos inerentes aos negcios, tanto diretos quanto indiretos. Nos textos e tpicos abaixo ser abordado cada uma dessas divises;

- Segurana Fsica e do Ambiente; A Segurana Fsica e do Ambiente composta por:

Segurana pessoal: Medidas que procuram garantir a segurana dos funcionrios. Segurana patrimonial: Medidas implantadas para garantir a segurana dos patrimnios necessrios continuidade operacional. Segurana das edificaes: Medidas como processos de manuteno, brigadas de incndio, controle ambiental e controle de pestes e etc.

Segurana de infraestruturas: Toda parte de infraestrutura da organizao como o cabeamento de rede, eltrico, tubulao de gua, condicionamento de ar para manter a temperatura em reas crticas estveis e etc. Classificao de permetros de segurana: Determinar o nvel de segurana de acordo com cada rea da organizao.

Controle de acessos: Deve-se monitorar e controlar todos os acessos aos ambientes da organizao. Eventos naturais: Atividades naturais como raios, alagamentos, calor intenso, entre outros podem afetar a continuidade operacional, ento importante mensurar tais riscos para poder ter um controle sobre isso. Eventos sociais: Muitos eventos sociais podem acabar por afetar a segurana das empresas, em diversos nveis e situaes. A disponibilidade pode ser afetada caso haja, por exemplo, uma mobilizao social nas imediaes da empresa, seja por greve, revolta, baderna e etc.

- Segurana Lgica e Sistmica; Segundo OLIVEIRA (XXXX), aes de funcionrios, hackers e crackers, parceiros, clientes, fornecedores de responsabilidade da segurana lgica e sistmica prever para que no haja quaisquer riscos como: espionagem, sabotagem, erros, facilitao, roubo, e etc. Essa diviso ainda se subdivide em quatro partes, que so;

Permetro lgico de segurana: Nada mais que a composio lgica das redes e os nveis de segurana estabelecido entre cada rede. Redes: Nesta parte esto inclusas as ferramentas para monitoramento, deteco e proteo das redes.

Segurana de sistemas e Hosts: parte onde se deve dar ateno aos softwares que iro garantir a segurana dos sistemas da organizao, como antivrus, sistemas de controle de acesso, e verses e atualizaes dos sistemas. Controle de acesso: A parte onde se deve prever funcionalidades como autenticao, autorizao e auditoria.

http://olhardigital.uol.com.br/noticia/pessoas-s-o-maior-desafio-seguran-a-da-informa-o-nasempresas/18752 (16/07/2013 21:25)

- Segurana em Pessoas; O blog especializado em tecnologias OLHAR DIGITAL publicou um artigo em 2011 onde o ttulo era Pessoas so o maior desafio a segurana da informao nas empresas, no artigo o redator afirma que aps grandes empresas como Sony e Nintendo sofrerem diversos ataques causados por informaes vazadas pelos prprios funcionrios, estimulou muitas companhias a repensar suas estratgias de segurana da informao, onde os especialistas em segurana alertam que o grande desafio para vencer o cybercrime estava em preparar as pessoas corretamente para manipular as informaes. O fato de se dar ateno nas pessoas em segurana da informao se d porque impossvel prever as atitudes das mesmas, e tambm porque nelas que comea e termina a segurana da informao. Abaixo alguns dos principais pontos da segurana em pessoas;

10

Engenharia Social: Uma das principais tcnicas utilizadas hoje por hackers, crackers, espies e etc., onde a pessoa procura ganhar a ateno e confiana de uma pessoa chave, e em sua maioria das vezes o engenheiro social se passa por outras pessoas para conquistar o que deseja. Conscientizao: dar aos funcionrios a noo da importncia da segurana da informao dentro da organizao, o impacto que uma violao poder gerar pra ela e para empresa.

Poltica de Segurana: Conjunto de normas que tem como finalidade regulamentar as atividades para que essas fiquem em nveis de riscos aceitveis.

Quebra de paradigma social: Conscientizar os funcionrios que os bens da empresa, so da empresa e no deles, facilitando assim mudanas e implantaes de novos controles de segurana.

em base nesses princpios que os profissionais de segurana se direcionam para realizar suas auditorias.

4.2 ABNT NBR ISO/IEC 27002

De acordo com a ISO 27002 (2005), a norma,

estabelece diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao. Os objetivos definidos nesta Norma provm diretrizes gerais sobre metas geralmente aceitas para gesto da segurana da informao (p.13).

A estrutura da norma contm 11 sees de controles de segurana da informao, que somados totalizam 39 categorias principais de segurana, porm nesse projeto ser utilizado trs sesses da norma que sero apresentados abaixo.

11

Poltica de Segurana da Informao;

Este tpico j foi definido na pgina 10 e ser abordado com mais detalhes mais abaixo em um ttulo especfico.

Segurana Fsica e do Ambiente;

A norma coloca que o objetivo deste tpico prevenir o acesso fsico no autorizado, danos e interferncias com as instalaes e informaes da organizao. Na pgina 8 deste trabalho mostra a composio existente dentro da segurana fsica e do ambiente e as define.

Controle de Acesso;

Este captulo abordado pela norma divido da seguinte forma;

Requisitos de negcio para controle de acesso: Tem como objetivo controlar o acesso informao. E esse controle feito com base nos requisitos de negcio e segurana da informao. E se subdivide;

- Poltica de controle de acesso: Trata sobre regras de controle de acesso e direitos para cada usurio ou grupos de usurios, sendo considerados acesso lgico e fsico de forma conjunta.

Gerenciamento de acesso do usurio: Tem como objetivo assegurar acesso de usurio autorizado e prevenir acesso no autorizado a sistemas de informao. Trata de procedimentos formais para controlar a distribuies de acesso a sistemas de informao, desde a fase da inscrio inicial do usurio at o cancelamento final do registro de usurios. E se subdivide;

- Registro de usurio: Como j dito, tem como objetivo normatizar a fase de registro e cancelamento de usurio. - Gerenciamento de privilgios: Controlar a concesso e o uso de privilgios aos usurios.

12

- Gerenciamento de senha do usurio: Controlar a concesso de senhas atravs de um gerenciamento formal. - Anlise crtica dos direitos de acesso de usurio: Analisar de forma crtica os direitos de acesso dos usurios atravs de um processo formal.

Responsabilidades dos usurios: Tem como objetivo prevenir o acesso no autorizado dos usurios e evitar o comprometimento ou furto de informaes. importante ressaltar que a cooperao dos usurios autorizados essencial para uma efetiva segurana, e que esses estejam conscientes de suas responsabilidades para manter efetivo controle de acesso. Este tpico ainda subdivide da seguinte forma;

- Uso de senhas: Solicitar que os usurios sigam boas prticas de segurana na hora de escolher as senhas. - Equipamento de usurio sem monitorao: Garantir uma proteo adequada para equipamentos no monitorados. - Poltica de Mesa e Tela limpa: Adotar uma poltica de mesa limpa de papis e mdias de armazenamento removvel, e que tais papeis e mdias fiquem em locais seguros, e o computador sempre que no estiver sendo utilizado adote sistema de bloqueio de tela para que seja solicitada senha para ser reutilizado.

Controle de Acesso rede: Tem como objetivo prevenir o acesso no autorizado aos servios de rede, que seja controlado os acessos a servios internos e externos. Segue com os seguintes subtpicos;

- Poltica de uso dos servios de rede: Os usurios s devem receber acesso para os servios que forem previamente autorizados a usarem. - Autenticao para conexo externa do usurio: Mtodos de autenticao apropriados para controlar o acesso de usurios remotos. - Identificao de equipamento em redes: Identificao automtica de equipamentos como um meio de autenticar conexes vindas de localizaes e equipamentos especficos. - Proteo de portas de configurao e diagnstico remotos: Controlar os acessos fsicos e lgicos a portas de diagnsticos e configuraes.

13

- Segregao de redes: Separar a rede em vrios domnios de acordo com o nvel de segurana exigido para os setores. - Controle de conexo de rede: Convm que seja monitorado e controlado o acesso a redes que se estendam pelos limites da organizao, que esses acessos tenham uma capacidade restrita. - Controle de roteamento de redes: O objetivo da implantao do controle de roteamento na rede para assegurar que as conexes de computador e fluxos de informao no violem a poltica de controle de acesso das aplicaes do negcio.

Controle de acesso ao sistema operacional: Tem como objetivo prevenir o acesso no autorizado aos sistemas operacionais. Recomenda-se que sejam usados recursos de segurana da informao para prevenir, monitorar e controlar os acessos aos sistemas operacionais. Trabalhando com as seguintes categorias abaixo;

- Procedimentos seguros de entrada no sistema (log-on): Ter o controle de acesso aos sistemas atravs de ferramentas de log-on onde se utilize nomes de usurios e senhas. - Identificao e autenticao de usurio: Garantir que todos usurios possuam um nome de usurio nico e exclusivo e que seja adotadas tcnicas adequadas para validar se aquele usurios que est tentando conectar no sistema ou no. - Sistema de gerenciamento de senha: Recomenda-se que os sistemas que gerenciam as senhas sejam interativos e que assegurem senhas de qualidade. - Uso de utilitrios de sistema: Recomenda-se que seja restrito o uso de utilitrios do sistema que possa comprometer os controles de segurana. - Limite de tempo de sesso: Sesses que estiverem inativas depois de um determinado tempo sejam encerradas. - Limitao de horrio de conexo: Estabelecer restries quanto aos horrios de conexes para aplicaes de alto risco, garantindo segurana extra.

Controle de acesso aplicao e informao: Tem como objetivo prevenir o acesso no autorizado informao contida nos sistemas de aplicao, que esses sistemas somente sejam acessados por usurios autorizados. Segue abaixo a composio desse tpico;

14

- Restrio de acesso informao: Consiste em restringir o acesso informao e funes dos sistemas a usurios e pessoal de suporte de acordo com o que for definido na poltica de controle de acesso. - Isolamento de sistemas sensveis: Dedicar ambientes computacionais a sistemas sensveis.

Computao mvel e trabalho remoto: Tem como objetivo dar garantia de segurana quando se utiliza a computao mvel e recursos de trabalho remoto. A proteo tem que ser proporcional aos riscos que iro se expor. Abaixo a composio do tpico;

- Computao e comunicao mvel: Recomenda-se estabelecer uma poltica para utilizao dos recursos mveis, medidas de segurana apropriadas para evitar se expor quando tiver em ambientes desprotegidos. - Trabalho Remoto: Recomenda-se somente autorizar trabalhos remotos quando a organizao tiver implantada medidas apropriadas para evitar furto ou roubo de informaes.

Todos esses pontos citados acima que fazem parte da norma sero seguidos nesse trabalho para que a segurana da informao da CMPA possa ficar em um nvel razovel. Observando que a norma ISO 27002 composta por outros tpicos no citados aqui, isso d respaldo para que esse projeto possa futuramente ter continuao.

4.3 Anlise de Risco

A norma ISSO 27002 (ABNT, 2005), define anlise de risco como sendo uso sistemtico de informaes para identificar fontes e estimar o risco. Ainda segundo a norma ISSO 27002 (ABNT, 2005, p.10) Por meio da anlise/avaliao de riscos, so identificadas as ameaas aos ativos, as vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrncia das ameaas e do impacto potencial ao negcio..

15

de extrema importncia lembrar dos trs pontos citados no tpico de Segurana da Informao deste trabalho, que so, a segurana fsica e de ambiente, tecnolgica e segurana de pessoas. Tendo a anlise de riscos como ponto de partida para esse trabalho, desconsiderar os aspectos citados faria com que o projeto no atingisse o nvel de segurana pretendido. Neste projeto tambm ser utilizado o PMBOK para auxiliar no gerenciamento do projeto, nessa rea de anlise de riscos. De acordo com o livro PMBOK (2008), o guia um conjunto de normas, mtodos, processos e prticas estabelecidas. As boas prticas contidas no PMBOK so reconhecidas de profissionais da rea de gerenciamento de projetos que auxiliaram para o seu desenvolvimento. Abaixo no tpico especfico ser detalhado as boas prticas utilizadas.

4.3.1 PMBOK

O PMBOK trata o Gerenciamento de Riscos em projetos, mas neste trabalho ser adaptado a rea de Gerenciamento de Riscos em um ambiente coorporativo. Segundo o PMBOK (2008), o gerenciamento de riscos contm processos, que so: planejamento, identificao, anlise, planejamento de respostas, monitoramento e controle de riscos. Com o objetivo de aumentar as chances de sucessos do presente projeto, sero identificados os riscos e com o controle que ser implantado, no caso a Poltica de Segurana, haver uma diminuio de chances de danos informaes. A imagem abaixo mostra os processos presentes no manual.

16

Fig. 3 Processos de gerenciamento de riscos. Fonte: PMBOK (2008, p.227)

17

Na imagem acima retirada do PMBOK, so mostrados os processos e subprocessos do Gerenciamento de Riscos. Abaixo ser explicado cada processo e sub processo do guia;

Planejar o gerenciamento dos riscos: Consiste em definir em como sero as atividades de gerenciamento dos riscos. importante realizar esta etapa, pois com ela pode-se garantir que o grau, o tipo e a visibilidade do gerenciamento dos riscos sejam proporcionais aos riscos presente na organizao, e no s, como em tambm para fornecer tempo e recursos suficientes para todo processo. Abaixo as etapas;

- Entradas: Realizar a declarao do escopo do projeto, fazer o plano de gerenciamento dos custos para definir como os recursos sero gastos, plano de gerenciamento das comunicaes para definir como ser o compartilhamento de informaes sobre os riscos e respostas, fatores ambientais da empresa e ativos de processos organizacionais que so categorias de riscos, definies comuns de conceitos e termos, formatos da declarao de riscos, modelos padro, papis e responsabilidades, nveis de autoridades para tomada de decises, lies aprendidas e registros de partes interessadas. - Ferramentas e tcnicas: So feitas reunies para desenvolver o plano de gerenciamento dos riscos. So definidos nessas reunies planos de alto nvel para conduzir as atividades de gerenciamento de riscos, assim como elementos de custos e atividades do cronograma. - Sadas: Consiste em descrever no plano de gerenciamento dos riscos como o gerenciamento dos riscos ser estruturado e executado. O plano deve conter informaes como metodologia, papis e responsabilidades, oramento, prazos, categorias de riscos, definies de probabilidade e impacto dos riscos, matriz de probabilidade e impacto, tolerncias revisadas das partes interessadas, formatos dos relatrios e acompanhamento.

Identificar os riscos: Consiste na localizao dos riscos, e da documentao de suas caractersticas. Abaixo as etapas;

- Entradas; - Plano de gerenciamento dos riscos: Nessa parte so atribudas os papis e responsabilidades, o que ser necessrio para as atividades, e as categorias de riscos. - Estimativas de custos das atividades: Estimativa do custo necessrio para concluso das atividades programadas.

18

- Estimativas de durao das atividades: Como o prprio nome diz, d a estimativa de tempo necessria para concluso das atividades. - Registro de partes interessadas: Consiste em identificar as pessoas interessadas no projeto e consequentemente um controle pra poder entrevista-las durante o processo de identificao dos riscos. - Fatores ambientas da empresa. - Ferramentas e tcnicas; - Revises de documentao: Consiste em rever documentos da organizao, no caso de segurana da informao, so levados em conta, plantas da rede de dados, eltrica e etc. - Tcnicas de coleta de informaes: Realizao de brainstorming, entrevistas e anlise da causa-raiz que consiste em identificar um problema, descobrir a causa desse problema e criar aes preventivas. - Anlise de listas de verificao: Desenvolver uma lista de riscos ou problemas que j aconteceram, e em cima dessa lista fazer a verificao se a causa desses problemas ainda existe. -

Ainda segundo o guia PMBOK (2008), apesar dos processos parecerem ser elementos distintos, na prtica iro interagir entre si.

4.3 Poltica de Segurana

A norma tcnica SGR-PR/001:10 (ATI, 2010) define Poltica de Segurana como sendo,
um conjunto de definies, diretrizes, restries e requisitos que servem para nortear o uso de boas prticas no trato com os ambientes, recursos e ativos de segurana da informao, em aspectos fsicos, lgicos e de pessoal, com a finalidade de proporcionar maior segurana s informaes (p. 8).

19

Com base nessa definio fica claro que no se deve apenas dar ateno a aspectos lgicos da empresa, mas tambm aos aspectos fsicos e de pessoal. De acordo com a norma ISO/IEC 27002 (ABNT, 2005), o documento da poltica de segurana da informao deve ser publicado e comunicado para todos os funcionrios e pessoas externas que apresentam relevncia para organizao, podendo ser uma parte de um documento da poltica geral da empresa. Ainda segundo a norma ISO/IEC 27002 (ABNT, 2005),
convm que a direo estabelea uma clara orientao da poltica, alinhada com os objetivos do negcio e demonstre apoio e comprometimento com a segurana da informao por meio da publicao e manuteno de uma poltica de segurana da informao para toda a organizao (p.20).

Neste trabalho sero utilizadas normas de segurana para auxiliar a definir diretrizes para elaborao de uma Poltica de Segurana adequada ao ambiente que ser implantada, e tambm outras Polticas como auxlio e quando possvel fazer uma adaptao de regras para o ambiente da Cmara Municipal.