Você está na página 1de 22

PLANO DE SEGURANÇA DE TI

GRUPO 6:

ALAN CASSIANO DE CARVALHO JULIANO ALVES DE LIMA PEREIRA LUIZ OCTÁVIO FELICIANO PAULO VICTOR SALTARELLI PEDRO HENRIQUE NOGUEIRA

SEGURANÇA E AUDITORIA DE SISTEMAS DE INFORMAÇÃO PROFESSOR: RÊMULO MAIA ALVES

ABRIL

2013

Sumário

1.

Introdução

1

2.

Objetivos

2

3.

Contexto da empresa

2

3.1. Missão

3

3.2. Situação Gerencial

3

3.3. Contato

3

4.

Plano de segurança

3

5.

Cronograma

16

6.

Custo

17

8.

Considerações Finais

19

9.

Referências Bibliográficas

20

1.

Introdução

A informação tem um valor altamente significativo e pode representar grande poder para quem a possui. A informação contém valor, pois está integrada com os processos, pessoas e tecnologias. A informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e consequentemente necessita ser adequadamente protegida (NBR 17999, 2003). Um computador (ou sistema computacional) é dito seguro se este atende a três requisitos básicos relacionados aos recursos que o compõem: confidencialidade, integridade e disponibilidade. A confidencialidade diz que a informação só está disponível para aqueles devidamente autorizados; a integridade diz que a informação não é destruída ou corrompida e o sistema tem um desempenho correto, e a disponibilidade diz que os serviços/recursos do sistema estão disponíveis sempre que forem necessários. Para melhorar a proteção das informações é preciso analisar os riscos, definir uma política de segurança e fazer um plano de contingência. A análise de riscos é o processo de identificação e avaliação dos fatores de risco presentes. Através deste relatório, a empresa terá conhecimento das ameaças e de qual será o investimento necessário. É, basicamente, uma maneira de prever problemas e ter conhecimento dos pontos vulneráveis da empresa. A partir desta análise, é desenvolvida uma política de segurança da empresa, cuja principal função é estipular normas e diretrizes destinadas à proteção dos dados, ou seja, estipular regras para que haja o uso seguro de todo sistema de informação. Com as falhas identificadas e a elaboração de uma política de segurança é hora de traçar um plano de contingência. Trata-se da descrição de qual será a providência a ser tomada caso haja algum problema com as informações da empresa, isto é, os procedimentos e as capacidades necessárias para a recuperação de aplicações específicas ou sistemas complexos. Este trabalho será focado em uma empresa de tecnologia que possui uma sede em Lavras, que atua na área de desenvolvimento de software. Um trabalho de análise de planejamento de estratégias de segurança será feito, com base nas informações que serão obtidas na empresa, para obter um melhor gerenciamento da empresa para a tomada de decisão.

2. Objetivos

Realizar coleta de informações da empresa; elaborar um roteiro de investigação e fazer a análise situacional da segurança da informação na empresa e oferecer um plano de segurança propondo atividades de melhoria juntamente com o cronograma.

3. Contexto da empresa

A SWFactory Consultoria e Sistemas surgiu em 2003 dentro de um ambiente acadêmico,

com o objetivo de suprir a demanda por softwares de qualidade nos departamentos didáticos e científicos da Universidade Federal de Lavras. Além da produção de softwares existia ainda demanda pelo desenvolvimento de pesquisas e trabalhos relacionados à educação a distância e melhoria de processo de software. Diante desse cenário a empresa rapidamente se destacou dentro e fora da universidade e se especializou nas seguintes áreas de negócio:

· Fábrica de software;

· Ensino a distância;

· Consultoria em melhoria de processo de software.

A SWFactory encontra-se em processo de implementação do MPS BR nível F em sua

Fábrica de Software, possuindo gerentes de projeto certificados Project Management Professional – PMP e vários analistas Java Sun CertifiedProgrammer - SCJP. A empresa possui clientes em diversas partes do país e, recentemente, inaugurou uma filial em Belo Horizonte. Possui também uma equipe com mais de 4 (quatro) anos de experiência em customização e implantação de metodologias e ferramentas de ensino a distância em universidades e ambientes coorporativos. A empresa conta ainda com consultores em melhoria de processo de software nos

modelos MPS.BR® e CMMI® em parceria com a SWQuality Consultoria e Sistemas. Nesse ramo de consultoria, a empresa trabalha também com a implantação de soluções de gerência integrada de projetos e implantação de escritórios de projetos em parceria com a empresa WBS Management & Training.

3.1.

Missão

Maximizar os resultados e superar as expectativas dos seus clientes por meio de produtos, serviços e soluções em TI (Tecnologia da Informação), tendo como premissa a qualidade de seus processos e o incentivo à capacitação, cooperação e motivação profissional.

3.2. Situação Gerencial

A empresa SWFactory Consultoria e Sistemas tem sua matriz em Lavras e conta com

uma filial em Belo Horizonte junto a Montreal Informática.

A empresa hoje conta com três sócios, seis Analistas de Sistemas, sete Programadores,

seis estagiários e um administrador de empresas totalizando 23 funcionários. A empresa é caracterizada como uma micro empresa.

A empresa trabalha com vários clientes como: Montreal Informática, Oi, CEMIG,

Expresso Nepomuceno, UFLA, etc. A principal atividade da SWFactory é Fábrica de Software, ou seja, ela desenvolve sistemas a partir de uma necessidade da empresa. Existe sempre uma análise do que o cliente necessita, pois, talvez não seja interesse da empresa, pois, pode fugir o foco de Fábrica de Software.

3.3. Contato

Matriz Lavras Avenida Juscelino Kubitschek, 420, Centro Centro - Lavras - Minas Gerais CEP 37.200-000 Telefax (35)3822-8148

4. Plano de segurança

De acordo com o contexto, consideramos as seguintes normas:

ABNT NBR ISO/IEC 27001:2006 ABNT NBR ISO/IEC 17799:2005 Escolhemos então, alguns objetivos de controle e controles, listados na ABNT NBR ISO/IEC 17799:2005 – seções 5 a 15. As listas na tabela A.1.

A.5 Política de Segurança Objetivo Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes.

A.5.1.1. Documentação da política de segurança da informação Controle Um documento da política de segurança da informação deve ser aprovado pela direção, publicado e comunicado para todos os funcionários e partes extremas relevantes.

Situação Existe sim uma preocupação da direção com relação a segurança, porém não há nenhum documento ou norma de Politica de Segurança, oficial a ser seguida. Muitas vezes, os funcionários apenas descobrem a politica da empresa, apenas no ato de descumprimento.

Recomendações Elaborar uma politica de segurança e entregar a todos os funcionários, assim como um termo de comprometimento a ser assinado por todos os colaboradores. O documento deve conter, as politicas de segurança assim como também as consequências no caso de violação dessa politica.

A.5.1.2. Análise crítica da política de segurança da informação

Controle A política de segurança da informação deve ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

Situação Não existe um responsável pela manutenção e análise crítica da politica; o processo é feito informalmente em comum acordo com os membros da direção e não é feito em intervalos pré definidos.

Recomendações Deve-se escolher um responsável por manter e analisar a politica de segurança; ele deve ser capaz de reformular, adaptar ou incluir novos itens periodicamente; sua preocupação principal deverá ser de manter a politica alinhada aos objetivos da empresa, de tal forma que, qualquer mudança não acarrete em falhas e os custos dessas mudanças devem ser estimados previamente.

A.6 Organizando a segurança da informação A.6.1 Infra-estrutura da segurança da informação

Objetivo Gerenciar a segurança da informação dentro da organização.

A.6.1.1 Comprometimento da direção com a segurança da informação

Controle

A

direção deve apoiar ativamente a segurança da informação dentro da organização, por

meio de um claro direcionamento, demonstrando o seu comprometimento, definindo as atribuições de forma explícita e reconhecendo as responsabilidades pela segurança da

informação.

Situação A direção tem consciência e demonstra grande preocupação com a segurança da informação; porém não há tanto comprometimento com a execução dos procedimentos e politicas até mesmo porque não há nenhuma politica homologada.

Recomendações

A diretoria precisa assumir mais a responsabilidade sobre as questões que envolvem

segurança da informação a fim de conscientizar os funcionários e atribuir responsabilidades.

A.6.1.5 Acordos de Confidencialidade

Controle Os requisitos para confidencialidades ou acordos de não divulgação que reflitam as necessidades da organização para proteção da informação devem ser identificados e analisados criticamente, de forma regular.

Situação A empresa não possui documentos que explicitam a confidencialidade das informações da organização. Existe apenas um controle de acesso para cada usuário em determinado sistema; porém mesmo os que têm acesso, não assinam ou reconhecem algum termo de confidencialidade.

Recomendações É de alta prioridade, a elaboração de documentos específicos que atestam a confidencialidade das informações; esse processo se faz de grande urgência pois a empresa desenvolve aplicações para terceiros, onde alguns dados de outras empresas ficam expostos a desenvolvedores e testadores.

A.6.2 Partes externas

Objetivo Manter a segurança dos recursos de processamento da informação e da informação da organização, que são acessados, processados, comunicados ou gerenciados por partes externas.

A.6.2.1 Identificação dos riscos relacionados com partes externas

Controle Os riscos para os recursos de processamento da informação e para informação da organização oriundos de processos do negócio que envolvam as partes externas devem ser identificados e controles apropriados devem ser implementados antes de se conceder o acesso.

Situação Alguns usuários utilizam o acesso remoto do Windows, para acesso ao servidor e atualização de sistemas. Cada usuário utiliza uma mesma senha restrita, logo, não existe um controle de quem está usando o servidor. O acesso ao servidor é feito apenas diretamente empresa, em outros locais não é possível fazer este acesso.

Recomendações Fiscalizar o acesso e elaborar um documento, contendo as atividades restritamente proibidas de serem realizadas via acesso remoto, como por exemplo, a abertura de e-mails; downloads, atualizações de sistemas e etc. Esse procedimentodeve fazer parte do documento de política de segurança da informação (item A.5.1.1)

A.7 Gestão de ativos A.7.1.1- Inventário dos ativos

Objetivo Alcançar e manter a proteção adequada dos ativos da organização

Controle Todos os ativos devem ser claramente identificados e uminventário de todos os ativos importantes deve ser estruturado e mantido

Situação A empresa possui uma forma de controle de todos os ativos físicos, entretanto os ativos de software não são claramente identificados na empresa.

Recomendações Identificar e classificar todos os ativos relevantes à segurança da informação da empresa.

A.7.2 - Classificação da informação

Objetivo Assegurar que a informação receba um nível adequado de proteção.

A.7.2.1 - Recomendações para classificação

Controle

A

informação

deve

ser

classificada

em

termos

do

seu

valor,

requisitos

legais,

sensibilidade e criticidade para a organização.

Situação Ainda não existe na empresa um sistema funcional para a classificação da informação em que todos os funcionários da empresa possa acessar e ter conhecimento do que realmente ele está fazendo e quais poderão ser seus impactos.

Recomendações Buscar em implantar um sistema de classificação de informações.

A.9 Segurança física e do ambiente A.9.1 Áreas seguras Objetivo Prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização.

A.9.1.2. Controles de entrada física Controle As áreas seguras devem ser protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso.

Situação Existe um controle com relação ao acesso de pessoas externas que é feito pelos próprios funcionários da empesa. Visto que a empresa é de pequeno porte, logo, se torna mais fácil essa identificação, porém, não é a maneira certa de agir. A empresa conta com câmeras de vigilância na área externa.

Recomendações Utilização de cartão magnético para entrada e saída de pessoas na empresa e utilização de interfone para comunicação externa antes de qualquer contato direto.

A.9.1.3. Segurança em escritórios salas e instalações

Controle Deve ser projetada e aplicada segurança física para escritórios, salas e instalações.

Situação A empresa possui alarmes de última geração caso haja roubos e arrombamentos, porém, não existe uma política de acesso das pessoas, sem câmeras de vigilância na área interna da empresa e não existe portaria para identificação das pessoas. É uma empresa de pequeno porte, então, essa identificação fica por conta dos próprios funcinários da empresa, o que não é difícil, porém, não tem um controle adequado das pessoas.

Recomendações Com o crescimento da empresa, o ideal seria criar cartões magnéticos para acesso a empresa, leitor digital e pessoas que específicas para fazer identificação de funcionário e visitantes.

A.9.2 Segurança de equipamentos

Objetivo Impedir perdas, danos, furto ou comprometimento de ativos e interrupção das atividades da organização.

A.9.2.4. Manutenção dos equipamentos Controle Os equipamentos devem ter manutenção correta, para assegurar sua disponibilidade e integridade permanente.

Situação Está disponível computadores, mesas, softwares para que possa executar as tarefas a que os funcionários foram delegados. Porém, não se sabe se o equipamento está sendo utilizado de maneira correta. Algum desses equipamentos pode falhar e causar uma perda de informação.

Recomendações Manutenções constantes em períodos já programados pela equipe nos equipamentos a fim de evitar perda de dados devido às falhas de software ou hardware.

A.9.2.7 Remoção de propriedade

Controle

Equipamentos,

autorização prévia.

informações

ou

software

não

devem

ser

retirados

do

local

sem

Situação Só há controle para retirada para usuários externos. Os usuários internos não há controle.

Recomendações Formalização nas regras internas e controle de utilização de equipamentos.Esse procedimento deve fazer parte do documento de política de segurança da informação (item

A.5.1.1)

A.10 Gerenciamento das operações e comunicações A.10.1 - Procedimento e responsabilidades operacionais

Objetivo Garantir a operação segura e correta dos recursos de processamento de informações.

A.10.1.2 - Gestão de mudanças Controle Modificações nos recursos de processamento da informação e sistemas devem ser controladas.

Situação Existe um controle quanto ao acesso a essas informações, nem todos tem acesso a tudo, mas ainda não foi definido com maior rigor quais as pessoas que podem ou não ter acesso, o que torna perigoso, pois acessos são liberados sem uma definição prévia.

Recomendações Definir os responsabilidades, classificar e separar grupos de profissionais dentro da empresa de acordo com suas necessidades de acesso.

A.10.4 Proteção contra códigos maliciosos e códigos móveis

Objetivo Proteger a integridade do software e da informação.

A.10.4.1 Controle contra códigos maliciosos Controle Devem ser implantados controles de detecção, prevenção e recuperação para proteger contra códigos maliciosos, assim como procedimentos para a devida conscientização dos usuários.

Situação Atualmente a empresa possui um para proteção contra vírus, e um anti-spyware, porém não há um procedimento para conscientização dos usuários. Sugestões Informar aos funcionários sobre os perigos e conseqüências que a execução de códigos maliciosos podem causar num ambiente empresarial.

A.10.5 Cópia de Segurança:

Objetivo Manter a integridade e disponibilidade da informação e dos recursos de processamento de informação

A.10.5.1 Cópias de segurança das informações Controle Cópias de segurança das informações e dos softwares devem ser efetuadas e testadas regularmente, conforme política de geração de cópias de segurança definida.

Situação É feito um backup no servidor localizado na empresa Montreal Informática de todos os arquivos, banco de dados, etc, porém, esse backup se torna defasado pelo grande movimento de informações que acontece no sistema.

Recomendações Manter e melhorar o processo quanto ao tempo em que será feito o backup e se certificar de sua eficácia.

A.10.6 Gerenciamento da segurança em redes

Objetivo Garantir a proteção das informações em redes e a proteção da infra-estrutura de suporte.

A.10.6.1 Controles de rede Controle Redes devem ser adequadamente gerenciadas e controladas, de forma a protegê-las contra ameaças e manter a segurança de sistemas e aplicações que utilizam estas redes, incluindo a informação em trânsito.

Situação Atual:

A situação da rede da empresa é controlada por um firewall que bloqueia os sites indevidos. E também há um programa de concientização dos usuários da rede para uma navegação e troca de arquivos seguros. Recomendações

Realizar a manutenção periódica das ferramentas utilizadas atualmente.

A.10.7 Manuseio de mídias

Objetivo

Prevenir contra divulgação não autorizada, modificação, remoção ou destruição aos ativos e interrupções das atividades do negócio.

A.10.7.1 Gerenciamento de mídias removíveis Controle

Devem

removíveis.

existir

procedimentos

implementados

para

o

gerenciamento

de

mídias

Situação Atual:

Há um programa de concientização para que todos os discos removíveis abertos dentro da empresa estejam livre de possíveis ameaças e há um programa antivírus funcionando corretamente em todas as máquinas.

Recomendações:

Fazer verificação de todas as mídias inseridas nas máquinas antes de acessar as informações presentes dentro das mesmas.

A.10.7.2 Descarte de mídias

Controle As mídias devem ser descartadas de forma segura e protegida quando não forem mais necessárias, por meio de procedimentos formais.

Situação Atual

A empresa não possui um sistema de descarte de mídias que não serão mais utilizadas.

Recomendações Recomenda-se que a empresa tenha um plano seguro de descarte de mídias da seguinte forma:

apagar todoas as informações contidas nas mídias que serão descartadas e logo após fazer o descarte. Caso não tenha como apagar as informações contidas, recomenda-se que destrua a mídia e depois faça o descarte. Tudo para impossibilitar a propagação das informações contidas.

A.11 Controles de acesso

A.11.2 Gerencimento de acesso do usuário

Objetivo Assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas de informação.

A.11.2.1 Registro do usuário

Controle Deve existir um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços.

Situação atual Atualmente toda a liberação ou bloqueio de acesso é efetuado apenas com Solicitações via telefone ou em conversas informais.

Recomendações Melhorar o processo de comunicação para que não ocorra falhas. O processo deve ser documentado com, por exemplo, a utilização de emails solicitando a liberação ou bloqueio de acesso.

A.11.3 Responsabilidade dos usuários

Objetivo Prevenir o acesso não autorizado dos usuários e evitar o comprometimento ou furto de informação e dos recursos de processamento da informação.

A.11.3.1 Uso de senhas

Controle Os usuários devem ser orientados a seguir boas práticas de segurança da informação na seleção e uso de senhas.

Situação

Os usuários criam as senhas que acham mais adequada, e não são notificados a criar senhas com maior padrão de segurança.

Recomendações Primeiramente deve ser utilizado um sistema de gerenciamento de senha. Após esse passo os usuários devem ser instruídos a criar senhas melhores. Esse procedimentodeve fazer parte do documento de política de segurança da informação (item A.5.1.1).

A.14 Gestão da continuidade do negócio

A.14.1

informação.

Aspectos

da

gestão

da

continuidade

do

negócio,

relativos

à

segurança

da

Objetivo Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso.

A.14.1.2 Continuidade de negócios e análise/avaliação de risco

Controle Devem ser identificados os eventos que podem causar interrupções aos processos de negócio, junto à probabilidade e impacto de tais interrupções e as consequências para a segurança da informação.

Situação atual Atualmente não existe nenhum evento documentado.

Recomendações Todos os serviços e processos críticos devem ser analisados, verificar os impactos que podem ocorrer no caso de interrupção, o tempo mínimo que esses serviços podem ficar indisponíveis e mensurar os prejuízos. Analisar também quais eventos podem causar interrupções no serviço e quais as possibilidades de eles acontecerem.

A.14.1.3 Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação

Controle Os planos devem ser desenvolvidos e implementados para a manutenção ou recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após a ocorrência da interrupções ou falhas dos processos críticos do negócio.

Situação atual Não há nenhum plano de contingencia documentado e homologado.

Recomendações Deverá ser criado um plano de contingência, para que os serviços essenciais possam voltar a funcionar em tempo hábil. Deverão ser estabelecidas as responsabilidades de cada funcionário da equipe.

5.

Cronograma

A empresa levará cinco semanas para concluir a implementação do plano de segurança, dado pelo cronograma abaixo:

Atividade/ Primeira Segunda Terceira Quarta Quinta Sexta Sétima Oitava Semana Semana Semana Semana Semana
Atividade/
Primeira
Segunda
Terceira
Quarta
Quinta
Sexta
Sétima
Oitava
Semana
Semana
Semana
Semana
Semana
Semana
Semana
Semana
Semana
Apresentação
Apresentação
do PS para a
empresa:
com
os
pontos
principais
que
a
empresa
irá
Levantamento
dos pontos
principais em
que a empresa
perde sem
segurança
lucrar
Início
do
Planejamento
Planejamento
levantamento
dos pontos de
das
correções
das
correções
e
falhas
e
e
falhas
e
controle
exposição das
exposição das
falhos
mesmas
mesmas
Correção das
Atualização
Treinamento
falhas
e
dos softwares
dos
ameaças
de
controle
funcionários
de
rede,
para
o
uso
softwares
de
consciente
antivírus,
das
mídias
configuração
removíveis
e
correta
do
dos
sites
e
firewall
downloads
acessados
Finalização,
Finazlização
Apresentação
revisão
e
das
últimas
dos
apresentação
correções,
resultados
e
dos
revisão
de
colocação
do
resultados
tudo que foi
feito.
quão segura a
empresa
estará
à
diretoria
da
empresa,

6.

Custo

Aquisição de Normas e Treinamento/Conscientização dos Colaboradores

O primeiro passo é adquirir a Norma ABNT NBR 27001, cujo valor é de R$108,10.

adquirir a Norma ABNT NBR 27001, cujo valor é de R$108,10. Catálogo http://www.abntcatalogo.com.br/norma.aspx?ID=1492

Catálogo

http://www.abntcatalogo.com.br/norma.aspx?ID=1492

ABNT:

ISO

27001.

Disponível

em:

Para treinamento e conscientização dos funcionários envolvidos, serão utilizados diversos videos disponíveis no youtube, o que acarretará numa redução no custo total da implementação da ISO 27001.

Custo com ajuda externa/consultoria

Será necessário contratar temporariamente um profissional externo, que irá auxiliar no processo e também irá treinar um funcionário da empresa que será o responsável pelo plano de segurança.

Como um funcionário da empresa ficará responsável pelo plano, o custo com funcionário será apenas o custo da contratação de uma consultoria. Devido a dificuldade em encontrar fontes confiáveisque forneçam os valores exatos da consultoria, foi feito uma média entre os valores encontrados na internet, que foi aproximadamente R$210,00 (duzentos e dez reais) a hora. Sendo assim, analisamos que em cada etapa do projeto, é necessário pelo menos 5 horas de participação de um consultor. Teremos então 3 etapas que são de suma importância a participação do consultor: Inicio da implantação; no decorrer da implantação e por fim na análise dos resultados. Portanto os custos com consultoria externa serão:

15(horas) x R$210,00 = R$3150,00 (Três mil, cento e cinquenta reais)

Custo com Tecnologia/Equipamentos

Aquisição de um interfone com camera de vigilancia e fechadura eletrônica, que será utilizada na porta da empersa para controlar a entrada e saída de pessoal. O valor aproximado deste item é de R$500,00 (quinhentos reais), incluindo o custo da instalação.

Custo Estimado

Como a empresa no momento, não pretende possuir o certificado que cumpriu com a norma ISO 270001, não será necessário contratar um organismo de certificação.

A empresa não pretende também contratar novos funcionários para auxiliar ou se

responsabilizar pelo plano de segurança, sendo assim o responsável por esse processo será um funcionário já contratado que irá atuar juntamente com os gerentes.

Os gastos imediatos, serão:

Aquisição da Norma ABNT: ISO 27001 : R$108,10

Tecnologia/Equipamentos: R$500,00 Contratação de Consultoria : R$3150,00

Total : R$ 3758,10 (Três mil, setecentos e cinquenta e oito reais e dez centavos)

7. Resultados esperados

Espera-se que a empresa aceite e realize as atividades propostas para melhorar a forma como ela lida com a segurança e com seus ativos de informação. A segurança se torna um ponto

crucial a ser tratado dentro de uma empresa, pois, caso algum desses controles não seja cumprido

e ocorra o inesperado, o prejuízo pode ser grande e o principal, a relação com o cliente pode ser duvidosa. Com essas soluções propostas, é esperado que, possíveis ameaças contra a empresa possa sercombatida ou até eliminada com maior facilidade.

8. Considerações Finais

As organizações sempre estão vulneráveis a inúmeras ameaça e problemas e na literatura

é fornecida várias maneira para se resolver, analisar e tentar amenizar. O gestores devem sempre

dar atenção sobre segurança, pois, é um ponto crítico para as empresas.

A literatura engloba diversas normas e ferramentas para que possa auxiliar o

melhoramento contínuo dos processos de uma instituição qualquer. Este trabalho está limitado a resolver os problema de Segurança da Informação em um ambiente de Fábrica de Software (Desenvolvimento de Software). Esse trabalho mostra que é conhecido o impacto que se tem quando se utiliza os controles bem definidos na organização. Fica exposto que, muitas vezes, os gestores conhecem seus problemas mas os ignoram, com um pensamento de que problemas de determinado aspecto nunca irá acontecer na instituição, ou apenas por confiar em seus funcionários e pode ser também, por não haver um plano bem definido quanto a segurança. Quando se tem uma boa elaboração da proposta a ser encaminhada aos gestores, mostrando os pontos de maior vulnerabilidade, as suas consequências e ricos, essa proposta se torna melhor aceita e a sua aplicação é vista como uma grande necessidade. Este trabalho mostrou que as normas sugerem processos contínuos para a evolução, crescimento e qualidade dos processos em geral. O interessante do trabalho foi a associação dos funcionários perante a análise feita. Mesmo não usando a proposta, alguns funcionário já começaram a praticar alguns controles. Por fim, apesar de algumas limitações nas informações, foi satisfatório o presente trabalho, pois a experiência vivenciada demonstrou a aplicabilidade de conteúdos aprendidos em sala de aula, contrapondo a rotina das atividades teóricas.

9. Referências Bibliográficas

Cartilha de Segurança para Internet, versão 3.1 / CERT.br – São Paulo: Comitê Gestor da Internet no Brasil, 2006.

Laureano, Marcos A. P. Apostila de Gestão de Segurança da Informação, 2005. Visualizado em 24/03/2013, às 21h50min. Disponível em:

http://www.vazzi.com.br/moodle/pluginfile.php/225/mod_resource/content/1/apostila_LAUREA

NO.pdf

NBR ISO/IEC 17799 – Tecnologia da Informação. Código de Prática para Gestão da Segurança da Informação. Associação Brasileira de Normas Técnicas. Rio de Janeiro, 2003.

NBR ISO/IEC 27001:2006 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Requisitos. Associação Brasileira de Normas Técnicas. Rio de Janeiro, 2006.

SwFactory, 2013: visualizado em 24/03/2013, às 21h10min. Disponível em:

http://www.swfactory.com.br/principal/index.php

Trueaccess, 2013: visualizado em 24/03/2013, às 21h10min. Disponível em:

http://trueaccess.com.br/blog/2011/08/importancia-seguranca-informacao-era-virtual/