Escolar Documentos
Profissional Documentos
Cultura Documentos
GRUPO 6:
ALAN CASSIANO DE CARVALHO
JULIANO ALVES DE LIMA PEREIRA
LUIZ OCTVIO FELICIANO
PAULO VICTOR SALTARELLI
PEDRO HENRIQUE NOGUEIRA
ABRIL
2013
Sumrio
1.
Introduo .............................................................................................................................. 1
2.
Objetivos ................................................................................................................................. 2
3.
Misso .............................................................................................................................. 3
3.2.
Situao Gerencial............................................................................................................ 3
3.3.
Contato ............................................................................................................................. 3
4.
5.
Cronograma ......................................................................................................................... 16
6.
Custo ..................................................................................................................................... 17
8.
9.
1. Introduo
A informao tem um valor altamente significativo e pode representar grande poder para
quem a possui. A informao contm valor, pois est integrada com os processos, pessoas e
tecnologias. A informao um ativo que, como qualquer outro ativo importante para os
negcios, tem um valor para a organizao e consequentemente necessita ser adequadamente
protegida (NBR 17999, 2003).
Um computador (ou sistema computacional) dito seguro se este atende a trs requisitos
bsicos relacionados aos recursos que o compem: confidencialidade, integridade e
disponibilidade. A confidencialidade diz que a informao s est disponvel para aqueles
devidamente autorizados; a integridade diz que a informao no destruda ou corrompida e o
sistema tem um desempenho correto, e a disponibilidade diz que os servios/recursos do sistema
esto disponveis sempre que forem necessrios.
Para melhorar a proteo das informaes preciso analisar os riscos, definir uma
poltica de segurana e fazer um plano de contingncia. A anlise de riscos o processo de
identificao e avaliao dos fatores de risco presentes. Atravs deste relatrio, a empresa ter
conhecimento das ameaas e de qual ser o investimento necessrio. , basicamente, uma
maneira de prever problemas e ter conhecimento dos pontos vulnerveis da empresa. A partir
desta anlise, desenvolvida uma poltica de segurana da empresa, cuja principal funo
estipular normas e diretrizes destinadas proteo dos dados, ou seja, estipular regras para que
haja o uso seguro de todo sistema de informao. Com as falhas identificadas e a elaborao de
uma poltica de segurana hora de traar um plano de contingncia. Trata-se da descrio de
qual ser a providncia a ser tomada caso haja algum problema com as informaes da empresa,
isto , os procedimentos e as capacidades necessrias para a recuperao de aplicaes
especficas ou sistemas complexos.
Este trabalho ser focado em uma empresa de tecnologia que possui uma sede em Lavras,
que atua na rea de desenvolvimento de software. Um trabalho de anlise de planejamento de
estratgias de segurana ser feito, com base nas informaes que sero obtidas na empresa, para
obter um melhor gerenciamento da empresa para a tomada de deciso.
2. Objetivos
Realizar coleta de informaes da empresa; elaborar um roteiro de investigao e fazer a
anlise situacional da segurana da informao na empresa e oferecer um plano de segurana
propondo atividades de melhoria juntamente com o cronograma.
3. Contexto da empresa
A SWFactory Consultoria e Sistemas surgiu em 2003 dentro de um ambiente acadmico,
com o objetivo de suprir a demanda por softwares de qualidade nos departamentos didticos e
cientficos da Universidade Federal de Lavras. Alm da produo de softwares existia ainda
demanda pelo desenvolvimento de pesquisas e trabalhos relacionados educao a distncia e
melhoria de processo de software.
Diante desse cenrio a empresa rapidamente se destacou dentro e fora da universidade e
se especializou nas seguintes reas de negcio:
Fbrica de software;
Ensino a distncia;
3.1.
Misso
Maximizar os resultados e superar as expectativas dos seus clientes por meio de produtos,
servios e solues em TI (Tecnologia da Informao), tendo como premissa a qualidade de seus
processos e o incentivo capacitao, cooperao e motivao profissional.
3.2.
Situao Gerencial
A empresa SWFactory Consultoria e Sistemas tem sua matriz em Lavras e conta com
uma filial em Belo Horizonte junto a Montreal Informtica.
A empresa hoje conta com trs scios, seis Analistas de Sistemas, sete Programadores,
seis estagirios e um administrador de empresas totalizando 23 funcionrios. A empresa
caracterizada como uma micro empresa.
A empresa trabalha com vrios clientes como: Montreal Informtica, Oi, CEMIG,
Expresso Nepomuceno, UFLA, etc. A principal atividade da SWFactory Fbrica de Software,
ou seja, ela desenvolve sistemas a partir de uma necessidade da empresa. Existe sempre uma
anlise do que o cliente necessita, pois, talvez no seja interesse da empresa, pois, pode fugir o
foco de Fbrica de Software.
3.3.
Contato
Matriz Lavras
Avenida Juscelino Kubitschek, 420, Centro
Centro - Lavras - Minas Gerais
CEP 37.200-000
Telefax (35)3822-8148
4.
Plano de segurana
Recomendaes
Deve-se escolher um responsvel por manter e analisar a politica de segurana; ele deve
ser capaz de reformular, adaptar ou incluir novos itens periodicamente; sua preocupao
principal dever ser de manter a politica alinhada aos objetivos da empresa, de tal forma que,
qualquer mudana no acarrete em falhas e os custos dessas mudanas devem ser estimados
previamente.
A.6 Organizando a segurana da informao
A.6.1 Infra-estrutura da segurana da informao
Objetivo
Gerenciar a segurana da informao dentro da organizao.
A.6.1.1 Comprometimento da direo com a segurana da informao
Controle
A direo deve apoiar ativamente a segurana da informao dentro da organizao, por
meio de um claro direcionamento, demonstrando o seu comprometimento, definindo as
atribuies de forma explcita e reconhecendo as responsabilidades pela segurana da
informao.
Situao
A direo tem conscincia e demonstra grande preocupao com a segurana da
informao; porm no h tanto comprometimento com a execuo dos procedimentos e
politicas at mesmo porque no h nenhuma politica homologada.
Recomendaes
A diretoria precisa assumir mais a responsabilidade sobre as questes que envolvem
segurana da informao a fim de conscientizar os funcionrios e atribuir responsabilidades.
A.6.1.5 Acordos de Confidencialidade
Controle
Os requisitos para confidencialidades ou acordos de no divulgao que reflitam as
necessidades da organizao para proteo da informao devem ser identificados e analisados
criticamente, de forma regular.
Situao
A empresa no possui documentos que explicitam a confidencialidade das informaes
da organizao. Existe apenas um controle de acesso para cada usurio em determinado sistema;
porm mesmo os que tm acesso, no assinam ou reconhecem algum termo de
confidencialidade.
Recomendaes
de alta prioridade, a elaborao de documentos especficos que atestam a
confidencialidade das informaes; esse processo se faz de grande urgncia pois a empresa
desenvolve aplicaes para terceiros, onde alguns dados de outras empresas ficam expostos a
desenvolvedores e testadores.
A.6.2 Partes externas
Objetivo
Manter a segurana dos recursos de processamento da informao e da informao da
organizao, que so acessados, processados, comunicados ou gerenciados por partes externas.
A.6.2.1 Identificao dos riscos relacionados com partes externas
Controle
Os riscos para os recursos de processamento da informao e para informao da
organizao oriundos de processos do negcio que envolvam as partes externas devem ser
identificados e controles apropriados devem ser implementados antes de se conceder o acesso.
Situao
Alguns usurios utilizam o acesso remoto do Windows, para acesso ao servidor e
atualizao de sistemas. Cada usurio utiliza uma mesma senha restrita, logo, no existe um
controle de quem est usando o servidor. O acesso ao servidor feito apenas diretamente
empresa, em outros locais no possvel fazer este acesso.
Recomendaes
Fiscalizar o acesso e elaborar um documento, contendo as atividades restritamente
proibidas de serem realizadas via acesso remoto, como por exemplo, a abertura de e-mails;
downloads, atualizaes de sistemas e etc. Esse procedimentodeve fazer parte do documento de
poltica de segurana da informao (item A.5.1.1)
Situao
A empresa possui uma forma de controle de todos os ativos fsicos, entretanto os ativos
de software no so claramente identificados na empresa.
Recomendaes
Identificar e classificar todos os ativos relevantes segurana da informao da empresa.
A.7.2 - Classificao da informao
Objetivo
Assegurar que a informao receba um nvel adequado de proteo.
A.7.2.1 - Recomendaes para classificao
Controle
A informao deve ser classificada em termos do seu valor, requisitos legais,
sensibilidade e criticidade para a organizao.
Situao
Ainda no existe na empresa um sistema funcional para a classificao da informao em
que todos os funcionrios da empresa possa acessar e ter conhecimento do que realmente ele est
fazendo e quais podero ser seus impactos.
Recomendaes
Buscar em implantar um sistema de classificao de informaes.
10
11
12
13
Situao
Os usurios criam as senhas que acham mais adequada, e no so notificados a criar
senhas com maior padro de segurana.
Recomendaes
Primeiramente deve ser utilizado um sistema de gerenciamento de senha. Aps esse
passo os usurios devem ser instrudos a criar senhas melhores. Esse procedimentodeve fazer
parte do documento de poltica de segurana da informao (item A.5.1.1).
14
15
5. Cronograma
A empresa levar cinco semanas para concluir a implementao do plano de segurana, dado
pelo cronograma abaixo:
Atividade/
Semana
Primeira
Semana
Segunda
Semana
Apresentao
do PS para a
empresa:
Apresentao
com
os
pontos
principais
que
a
empresa ir
lucrar
Levantamento
dos
pontos
principais em
que a empresa
perde
sem
segurana
Incio
do
levantamento
dos pontos de
controle
falhos
Correo das
falhas
e
ameaas
Finalizao,
reviso
e
apresentao
dos
resultados
Terceira
Semana
Quarta
Semana
Planejamento
das correes
e falhas e
exposio das
mesmas
Planejamento
das correes
e falhas e
exposio das
mesmas
Quinta
Semana
Sexta
Semana
Atualizao
dos softwares
de controle
de
rede,
softwares de
antivrus,
configurao
correta
do
firewall
Treinamento
dos
funcionrios
para o uso
consciente
das
mdias
removveis e
dos sites e
downloads
acessados
Stima
Semana
Oitava
Semana
Finazlizao
das ltimas
correes,
reviso de
tudo que foi
feito.
Apresentao
dos
resultados e
colocao do
quo segura a
empresa
estar
diretoria da
empresa,
16
6. Custo
Aquisio de Normas e Treinamento/Conscientizao dos Colaboradores
O primeiro passo adquirir a Norma ABNT NBR 27001, cujo valor de R$108,10.
Catlogo
ABNT:
ISO
27001.
http://www.abntcatalogo.com.br/norma.aspx?ID=1492
Disponvel
em:
17
Como um funcionrio da empresa ficar responsvel pelo plano, o custo com funcionrio
ser apenas o custo da contratao de uma consultoria.
Devido a dificuldade em encontrar fontes confiveisque forneam os valores exatos da
consultoria, foi feito uma mdia entre os valores encontrados na internet, que foi
aproximadamente R$210,00 (duzentos e dez reais) a hora. Sendo assim, analisamos que em cada
etapa do projeto, necessrio pelo menos 5 horas de participao de um consultor. Teremos
ento 3 etapas que so de suma importncia a participao do consultor: Inicio da implantao;
no decorrer da implantao e por fim na anlise dos resultados.
Portanto os custos com consultoria externa sero:
15(horas) x R$210,00 = R$3150,00 (Trs mil, cento e cinquenta reais)
Custo com Tecnologia/Equipamentos
18
7. Resultados esperados
Espera-se que a empresa aceite e realize as atividades propostas para melhorar a forma
como ela lida com a segurana e com seus ativos de informao. A segurana se torna um ponto
crucial a ser tratado dentro de uma empresa, pois, caso algum desses controles no seja cumprido
e ocorra o inesperado, o prejuzo pode ser grande e o principal, a relao com o cliente pode ser
duvidosa.
Com essas solues propostas, esperado que, possveis ameaas contra a empresa possa
sercombatida ou at eliminada com maior facilidade.
8. Consideraes Finais
As organizaes sempre esto vulnerveis a inmeras ameaa e problemas e na literatura
fornecida vrias maneira para se resolver, analisar e tentar amenizar. O gestores devem sempre
dar ateno sobre segurana, pois, um ponto crtico para as empresas.
A literatura engloba diversas normas e ferramentas para que possa auxiliar o
melhoramento contnuo dos processos de uma instituio qualquer.
Este trabalho est limitado a resolver os problema de Segurana da Informao em um
ambiente de Fbrica de Software (Desenvolvimento de Software). Esse trabalho mostra que
conhecido o impacto que se tem quando se utiliza os controles bem definidos na organizao.
Fica exposto que, muitas vezes, os gestores conhecem seus problemas mas os ignoram, com um
pensamento de que problemas de determinado aspecto nunca ir acontecer na instituio, ou
apenas por confiar em seus funcionrios e pode ser tambm, por no haver um plano bem
definido quanto a segurana.
Quando se tem uma boa elaborao da proposta a ser encaminhada aos gestores,
mostrando os pontos de maior vulnerabilidade, as suas consequncias e ricos, essa proposta se
torna melhor aceita e a sua aplicao vista como uma grande necessidade. Este trabalho
mostrou que as normas sugerem processos contnuos para a evoluo, crescimento e qualidade
dos processos em geral.
O interessante do trabalho foi a associao dos funcionrios perante a anlise feita.
Mesmo no usando a proposta, alguns funcionrio j comearam a praticar alguns controles.
Por fim, apesar de algumas limitaes nas informaes, foi satisfatrio o presente
trabalho, pois a experincia vivenciada demonstrou a aplicabilidade de contedos aprendidos em
sala de aula, contrapondo a rotina das atividades tericas.
19
9. Referncias Bibliogrficas
Cartilha de Segurana para Internet, verso 3.1 / CERT.br So Paulo: Comit Gestor da
Internet no Brasil, 2006.
Laureano, Marcos A. P. Apostila de Gesto de Segurana da Informao, 2005. Visualizado
em 24/03/2013, s 21h50min. Disponvel em:
http://www.vazzi.com.br/moodle/pluginfile.php/225/mod_resource/content/1/apostila_LAUREA
NO.pdf
NBR ISO/IEC 17799 Tecnologia da Informao. Cdigo de Prtica para Gesto da Segurana
da Informao. Associao Brasileira de Normas Tcnicas. Rio de Janeiro, 2003.
NBR ISO/IEC 27001:2006 Tecnologia da informao Tcnicas de segurana Sistemas de
gesto da segurana da informao Requisitos. Associao Brasileira de Normas Tcnicas. Rio
de Janeiro, 2006.
SwFactory, 2013: visualizado em 24/03/2013, s 21h10min. Disponvel em:
http://www.swfactory.com.br/principal/index.php
Trueaccess, 2013: visualizado em 24/03/2013, s 21h10min. Disponvel em:
http://trueaccess.com.br/blog/2011/08/importancia-seguranca-informacao-era-virtual/
20