Você está na página 1de 36

UNIVERSIDADE TECNOLGICA FEDERAL DO PARAN

DEPARTAMENTO ACADMICO DE ELETRNICA


CURSO DE ESPECIALIZAO EM CONFIGURAO E GERENCIAMENTO DE
SERVIDORES E EQUIPAMENTOS DE REDES

CRISTIANO MONTEIRO LEITE

POLTICAS DE SEGURANA FSICA E LGICA EM AMBIENTES


INSTITUCIONAIS QUE UTILIZAM TECNOLOGIA DA INFORMAO

MONOGRAFIA

CURITIBA
2011

CRISTIANO MONTEIRO LEITE

POLTICAS DE SEGURANA FSICA E LGICA EM AMBIENTES


INSTITUCIONAIS QUE UTILIZAM TECNOLOGIA DA INFORMAO

Monografia apresentada como requisito


parcial obteno do ttulo de
Especialista
em
Configurao
e
Gerenciamento
de
Servidores
e
Equipamentos
de
Redes,
do
Departamento Acadmico de Eletrnica,
da Universidade Tecnolgica Federal do
Paran.
Orientador: Prof. Dr. Augusto Foronda

CURITIBA
2011

AGRADECIMENTOS

Agradeo as pessoas que de alguma maneira contriburam com incentivos, atitudes


e me apoiaram at o presente momento.
Agradeo a DEUS no pelo que tenho mais sim por quem ele na minha vida!
"Pela intercesso de So Miguel Arcanjo e do Coro Celeste dos Arcanjos, o Senhor
nos conceda o dom da perseverana na f e boas obras."
Aos meus pais, Heleno e Vanda, e irmo, Luciano, pela demonstrao de pacincia,
amor, carinho e alegria que despertam em meu corao quando lembro da sua
existncia. Por instruir e educar para que os valores da vida, como respeito e
dignidade possam ser realidades no meu dia a dia.
A Samantha Reikdal Oliniski, por ser esta pessoa to especial a quem tenho imensa
admirao pela disposio, competncia, inteligncia, solidariedade, simplicidade,
carinho e incentivo, que me faz sentir motivao para buscar novos objetivos na
vida.
Ao Professor e orientador Dr. Augusto Foronda, por dedicar seus ensinamentos e
colaborar para realizao deste trabalho.
Aos colegas de profisso em especial, Luiz domingos Caleffi, Denise Grossi,
Alexandre Batista, Roberson Arajo, Antonio Oliveira, Simone Cassemiro, Andre
Avila Kaminski, Rodrigo Gusso, Luiz Fabricius, Frederico T. Martins, Andre de
Barros, Flavio Mildenberg, Pablo, Altair Baptista.
Nunca deixe que lhe digam que no vale pena acreditar no sonho que se tem ou
que seus planos nunca vo dar certo ou que voc nunca vai ser algum Renato
Russo.

RESUMO

LEITE, Cristiano Monteiro. Polticas de segurana fsica e lgica em ambientes


institucionais que utilizam tecnologia da informao. 2011. 35 f. Monografia
(Especializao em Configurao e Gerenciamento de Servidores e Equipamentos
de Rede) Universidade Tecnolgica Federal do Paran, Curitiba, 2011.

Esta uma pesquisa explicativa aplicada a respeito de polticas de segurana para


ambientes empresariais, na qual ser utilizado o mtodo bibliogrfico. O objetivo
deste trabalho descrever diretrizes de segurana fsica e lgica para os ambientes
institucionais que utilizam recursos de tecnologia de informao, de modo que
possam por meio destas implantar ou implementar uma poltica de segurana e
assim proteger seus equipamentos e informaes. Com isso pretende-se minimizar
a vulnerabilidade dos equipamentos e ativos de TI de meio fsico e lgico, uma vez
que o desvio ou perda de informaes por falta de segurana pode comprometer o
desempenho das atividades realizadas pelas instituies e conseqentemente seu
desenvolvimento econmico e financeiro. Alm disso, profissionais de TI e
instituies podero aplicar estas diretrizes em seu ambiente profissional, podendo
proteger seu patrimnio de avarias e furtos.

Palavras-chave: Segurana de TI. Segurana fsica e lgica. Segurana em


ambientes institucionais. Tecnologia da Informao.

ABSTRACT

LEITE, Cristiano Monteiro. Physical and logical security policies in institutional


environments that use information technology. 2001. 35 p. Monograph.
(Specialization Curse in Management and Configuration of Servers and Network
Equipment) Universidade Tecnolgica Federal do Paran, Curitiba, 2011.

This is an explanatory and applied research about security policies to business


environment, in which the bibliographic method was used. The aim of this paper is to
describe guidelines of physical and logical security to institutional environments that
use resources of information technology, in such way through these they can apply
or implement a security policy and thus protecting their information and equipments.
This way is intended to minimize the vulnerability of equipments and information
technology assets of physical and logical means, since the deviation or loss of
information due to lack of security can compromise the performance of activities
undertaken by the institutions and therefore its economic and financial development.
In addition, institutions and professionals of information technology will be able to
apply these guidelines in their professional environment, and so protecting their
assets from damage and theft.

Key words: Security of information technology. Physical and logical security.


Security in institutional environments. Information Technology.

LISTA DE FIGURAS

Figura 1 - Especificao do MTBF para switches Cisco............................................14

SUMRIO

1 INTRODUO..........................................................................................................7
1.1 TEMA.....................................................................................................................7
1.2 PROBLEMA...........................................................................................................8
1.3 OBJETIVOS...........................................................................................................8
1.3.1 Objetivo geral....................................................................................................8
1.3.2 Objetivos especficos.......................................................................................8
1.4 JUSTIFICATIVA....................................................................................................9
1.5 PROCEDIMENTOS METODOLGICOS.............................................................10
2 EMBASAMENTO TERICO...................................................................................11
2.1 INFRAESTRUTURA FSICA EM TI......................................................................12
2.2 INFRAESTRUTURA LGICA EM TI....................................................................16
2.3 SEGURANA EM DATA CENTER......................................................................19
2.4 ENGENHARIA SOCIAL.......................................................................................22
3 POLTICAS DE SEGURANA EM TI....................................................................23
4 CONCLUSO.........................................................................................................33
REFERNCIAS..........................................................................................................34

1 INTRODUO

Neste capitulo apresentado o tema da pesquisa: polticas de segurana


fsica e lgica em ambientes institucionais que utilizam tecnologia da informao
(TI).

1.1 TEMA
Em virtude da grande disseminao de recursos de Tecnologia da
Informao (TI) pode-se enfatizar o aumento significativo das informaes
armazenadas, valorizao dos recursos arquivados e utilizados pelas instituies.
Diante de um cenrio em grande ascenso e necessidade de utilizar os recursos de
TI, no se deve esquecer ou deixar de se preocupar com a segurana que se deve
aplicar a configuraes lgicas e a infraestrutura fsica utilizada para acessar estas
informaes.
Ao refletir qual o alicerce para produo de um produto, pesquisa,
desenvolvimento ou aquisio de matria prima a fim de suprir o ciclo de fabricao
de um produto, normalmente esto relacionados valores como: criticidade,
investimento, conhecimento, informao e mo de obra qualificada. Para que se
possam colocar em prtica as aplicaes das atividades avaliando o objetivo
principal das organizaes com ou sem fins lucrativos de suma importncia o valor
da informao, para que desta forma se possa atingir o objetivo principal de cada
empresa, assim como, prospecto para crescimento e permanncia destas no
mercado.
Para Moresi (2000, p. 14) a importncia da informao para as organizaes
se constitui um dos recursos mais importante e diretamente relacionado ao sucesso
do empreendimento. De acordo com o autor ela tambm considerada e utilizada
como um fator estruturante e um instrumento de gesto. Para ele a gesto efetiva
de uma organizao requer a percepo objetiva e precisa dos valores da
informao e do sistema de informao.
Este estudo visa descrever como identificar e assegurar que os recursos (TI)
disponibilizados dentro de uma instituio, possam ser utilizados com uma poltica

bsica de segurana em tecnologia da informao, para que o impacto destes


acessos indevidos, infiltraes e roubos sejam minimizados no ambiente
institucional. Uma poltica de segurana bem estruturada e aprovada pelos gestores
e ou responsveis pode prevenir a entrada e a sada de pessoas, de recursos e de
informaes inadequadas com grau de criticidade delimitada no ambiente em
questo. As definies sobre o trabalho apresentado se limitam a indicaes de
procedimentos de segurana, devendo ser avaliado o grau de risco fsico, lgico e
vulnerabilidade dos ativos de (TI) para cada instituio.
1.2 PROBLEMA
A vulnerabilidade em ambientes institucionais que os equipamentos de TI e
acessos s informaes de instituies sofrem quando no h uma poltica de
segurana definida ou ainda quando esta possui dficits estruturais. Com isso
necessrio que as empresas invistam adequadamente em segurana de TI; para
que assim no percam, alm dos investimentos em recursos materiais e financeiros,
informaes essenciais para gesto e realizao de suas tarefas.
1.3 OBJETIVOS
Nesta sesso so apresentados os objetivos geral e especficos do trabalho.
1.3.1 Objetivo geral
Descrever diretrizes de aes de segurana fsica e lgica para os
ambientes institucionais que utilizam recursos de tecnologia de informao, de modo
que se facilite a implantao ou a implementao de uma poltica de segurana e
assim haja a proteo dos seus equipamentos e informaes.
1.3.2 Objetivos especficos

Identificar as principais vulnerabilidades descritas na literatura cientfica a que


esto submetidos os recursos de TI;

Selecionar os itens de maior relevncia para aplicao de polticas de


segurana sob o aspecto fsico em ambientes institucionais;

Selecionar os itens de maior relevncia para aplicao de polticas de


segurana sob o aspecto lgico em ambientes institucionais;

Descrever as diretrizes bsicas de segurana da estrutura fsica que se


aplicam aos ambientes institucionais que utilizam recursos de TI;

Descrever as diretrizes bsicas de segurana da estrutura lgica que se


aplicam aos ambientes institucionais que utilizam recursos de TI.

1.4 JUSTIFICATIVA
Em virtude da crescente utilizao e aplicao de recursos de TI no
cotidiano h necessidade de assegurar que as informaes contidas ou enviadas,
bem como os equipamentos utilizados no sofram ataques ou violaes por
terceiros. Com a ascenso deste uso as empresas confiam aos recursos de TI
facilitao de seus processos produtivos, da comunicao e do armazenamento de
informaes. Tais aplicaes apresentam relevncia em funo de seu teor e
funcionalidade utilizados nas instituies, ou seja, possuem grande valor para a
empresa, pois por meio deles que as informaes so mantidas e guardadas.
O valor da informao est relacionado ao tipo de dado gerado ou
armazenado pelos recursos de TI e ao sigilo empresarial ou segredo industrial que
envolve a marca ou processo. Por exemplo, quanto vale a frmula de um
refrigerante, cosmtico ou sistema de informao? Ou ento qual o lucro que uma
indstria automobilstica teve no ltimo ano? Ou ainda quanto vale uma planilha com
balano financeiro e outras informaes contbeis de um banco? Certamente, para
seus donos e acionistas estas informaes tm muito valor. Afinal, o acesso de uma
destas informaes por um concorrente ou a perda de dados utilizados em
processos internos pode representar prejuzos e danos imensurveis, seja sob o
aspecto financeiro ou comercial.
Portanto, quando se tem diretrizes de segurana fsica e lgica as
instituies podem aplic-las na prtica, de modo eficaz e efetivo, e com isso
proteger seu patrimnio financeiro e de informaes. Alm disso, com a aplicao de

10

uma poltica de segurana possvel aumentar a produtividade das empresas, pois


com o controle e monitoramento das informaes se restringe o acesso contedos
imprprios e de fins empresariais.
1.5 PROCEDIMENTOS METODOLGICOS
Esta uma pesquisa explicativa aplicada a respeito de polticas de segurana
para ambientes empresariais. Quanto ao mtodo predominantemente bibliogrfico.
Foram utilizados como fontes de pesquisa livros, artigos cientficos, revistas, normas
tcnicas, internet, catlogos de fabricantes e outros. Alm disso, foram investigadas
polticas de segurana em algumas instituies, as quais serviram de campo de
pesquisa.
Foram utilizadas as frases: segurana em TI, segurana em ativos de rede,
polticas de segurana em TI, vulnerabilidade de equipamentos de TI; como
descritores ou palavras-chave para a pesquisa em meios eletrnicos e bases de
dados cientficos. Foram selecionados como fontes de pesquisa os materiais
publicados entre 2000 e 2011.

11

2 EMBASAMENTO TERICO
A poltica de segurana deve ser estabelecida visando preveno de
incidentes, inviabilizando acessos indevidos, risco aos equipamentos e a estrutura
lgica dos ativos de TI.
Considerando os fatos atuais em que existem diversas formas de
criminalidades, no se pode deixar de citar os crimes cibernticos (fraudes que
utilizam recursos de eletrnica ou TI), que de um modo geral esto cada vez mais
presentes no cotidiano. Dentre as de operaes mais comuns a serem fraudadas se
destacam o acesso s contas bancrias, desvios de informao e invaso de
computadores.
Devido facilidade em acessar equipamentos de informtica e grande
evoluo de conhecimento tcnico, estas fraudes esto se disseminando, pois
normalmente tornam-se lucrativa delimitando assim um grande investimento. Os
especialistas em crimes cibernticos possuem uma viso estratgica e planejamento
para aplicar golpes e lesionar ose concorrentes do mercado comercial, afinal uma
simples falha de segurana pode representar uma infiltrao e conseqentemente o
roubo de informao ou falha no procedimento habitual das instituies.
A Gesto de Segurana da Informao a ao que protege a informao
de diversos tipos de ameaas para garantir a continuidade dos negcios, minimizar
os danos aos negcios e maximizar o retorno dos investimentos e as oportunidades
de negcio (ABNT ISO/IEC 17799).
No entanto, a poltica de segurana no define procedimentos especficos
de

manipulao

proteo

da

informao,

mas

atribuem

direitos

responsabilidades s pessoas (usurios, administradores de redes e sistemas,


funcionrios, gerentes, etc.) que lidam com essa informao (MENEGUITE, 2010,
p. 14). Por meio destas definies as pessoas podem saber as expectativas e
atribuies que lhe cabem em relao aos riscos a que as informaes esto
submetidas. Mediante a documentao e aprovao de uma poltica de segurana
possvel estabelecer tambm penalidades aos usurios dos recursos de TI.
Um dos aspectos fundamentais para o planejamento e implementao de
uma poltica de segurana a avaliao de risco, valores e vulnerabilidades. A
vulnerabilidade definida como um ponto potencial de falha, ou seja, um elemento
relacionado informao que passvel de ser explorado por alguma ameaa. Esta

12

ameaa pode estar relacionada a um servidor, sistema computacional, instalao


fsica, usurio ou gestor de informaes (MARCIANO, 2006, p. 49).
Para compreenso do tema so apresentadas a seguir algumas sesses
que tratam especificamente dos principais enfoques relacionados segurana de
redes de informao.

2.1 INFRAESTRUTURA FSICA EM TI


Para utilizar os recursos de informatizao de maneira eficaz e correta
necessrio manter os dispositivos de hardware e ativos de redes de forma segura e
restrita. Muitas vezes a facilidade no acesso aos ativos de rede deixa uma grande
vulnerabilidade ao sistema de informao. Desta forma, as informaes podem ser
capturadas de maneira indevida ou at mesmo sofrer uma sabotagem aos recursos
de TI.
Dentre os maiores riscos e preocupaes relacionados rede de informao
pode-se citar:

Roubos e furtos;

Sabotagem e vandalismo;

Sequestro e chantagem;

Terrorismo ideolgico ou criminoso;

Problemas em sistemas de suporte como ar-condicionado e ventilao;

Fogo e fumaa;

Vazamentos de gua e enchentes;

Fenmenos climticos como vento, chuva, granizo, neve ou furaces;

Desmoronamento de prdios.
Diante da necessidade em manter uma segurana e conforto para os

administradores e gestores da organizao, deve-se indicar que os equipamentos


sejam mantidos protegidos contra qualquer acesso indevido e no autorizado. No
entanto, tambm importante manter com segurana o fluxo de passagens de
cabos lgico e eltrico, obedecendo s normas especficas e de forma inacessvel
aos usurios e visitantes da empresa.

13

Recomenda-se observar os seguintes aspectos quanto s ameaas


ambientais e acesso no autorizado:
a) Instalao dos equipamentos de modo que o acesso rea de
trabalho seja reduzido;
b) Posicionamento dos equipamentos que processam e armazenam
informaes sensveis de maneira a reduzir os riscos de espionagem
durante o uso;
c)

Isolamento dos itens que precisam de proteo especial de forma a


reduzir o nvel de proteo exigida;

d) Adoo de controles para minimizar ameaas potenciais como roubo,


fogo, explosivos, fumaa, gua, poeira, vibrao, efeitos qumicos,
fornecimento eltrico e radiao eletromagntica;
e) Adoo de polticas organizacionais relacionadas alimentao,
bebida e fumo nas proximidades das instalaes de processamento
da informao;
f)

Monitoramento de aspectos ambientais para evitar situaes que


afetem de modo adverso o funcionamento dos equipamentos de TI;

g) Uso de proteo especial, como capas para teclados, para os


equipamentos instalados em ambiente industrial; e
h) Adoo de estratgias que reduzam o impacto de desastres
(incndios, vazamento de gua, exploses) nas proximidades das
instalaes de TI (SALGADO, BANDEIRA E SANCHES DA SILVA,
2004).

Outra ao que deve ser adotada a instalao de um sistema de


monitoramento, com gravao e se possvel um dispositivo de alarme 24h. Estas
imagens devem ser armazenas e arquivadas somente por uma pessoa ou equipe
autorizada, e as informaes devem ser registradas e repassadas aos responsveis.
Os equipamentos devem estar alojados dentro de uma estrutura adequada
para armazenamento com fechadura e ou acesso controlado, como por exemplo,
rack e brackets. Deve-se tambm respeitar a temperatura de funcionamento e
condicionamento indicada pelo fabricante do equipamento.

14

Esta prtica de condicionamento se faz necessria para manter um bom


funcionamento e performance do equipamento, e desta forma garantir a durabilidade
e garantia ofertada de acordo com as exigncias do fabricante. Para avaliar o tempo
mdio em que o aparelho pode apresentar falhas deve se observar o MTBF (Mean
Time Between Failure), ou seja, tempo mdio entre falhas, que um nmero que
indica a confiabilidade de um equipamento. Assim, quanto maior for este nmero,
melhor o desempenho do equipamento. De acordo com o guia de switches da
Cisco (2006) demonstrado na tabela abaixo a especificao do equipamento que
contm informaes referentes aos modelos de switches e a caracterstica requerida
do MTBF.

Figura 1 Especificao do MTBF para switches Cisco.


Fonte: Cisco, 2006.
Desta forma, enfatiza-se a importncia de manter os equipamentos como
Hub, Switches, Router e Access Point entre outros ativos de redes de maneira
adequada, condicionada, restrita e monitorada.
Considerando o grande nmero de ataques e tentativas de acessos
indevidos, infiltraes e vrus na internet, fundamental a utilizao de mecanismos
para bloquear e proteger a rede interna contra aplicativos prejudiciais aos sistemas
de informao como: vrus, trojan, spywares, keylogger,s entre outros malwares, que
podem paralisar, capturar informaes ou causar falhas nos sistemas. Para isso
necessrio manter uma soluo de antivrus atualizada e com mecanismos

15

eficientes para combater as diversas formas de ataques e ameaas encontradas nos


stios e arquivos disponveis na internet.
Atualmente existem algumas maneiras de criar barreiras, filtros de acesso
da rede externa para rede interna. Os meios mais comuns e utilizados na segurana
de TI so regras de bloqueio no acesso pacotes, portas e protocolos como, por
exemplo: HTTP, TCP, UDP, entre outros. Os equipamentos chamados de firewall
so utilizados para gerenciar e criar estas barreiras entre a rede externa para rede
interna tem como finalidade bloquear atravs de regras aplicadas no seu sistema de
gerenciamento o acesso indevido da rede externa (internet) para a rede interna.
possvel encontrar algumas formas de utilizar o dispositivo de firewall,
pode ser um computador normal utilizando um sistema operacional, como ipchains
ou iptables, com as funes e regras para bloqueio e liberao de portas e
protocolos de acesso internet; duas placas de rede para ter acesso externo e
interno para acessar a rede; ou um equipamento fisicamente projetado para realizar
tal funo, chamado de appliance. Existem diversos fornecedores e fabricantes de
firewall, os mais conhecidos so: Pix Firewall (Cisco), Sonic Wall,Checkpoint.
Pequenas e mdias empresas observaram que as principais ferramentas e
tcnicas para a gesto de segurana so: antivrus, sistema de backup e firewall
(SILVA NETTO E SILVEIRA, 2007).
Para proteo do patrimnio investido pelas empresas devem ser adotados
alguns padres e polticas com relao aos investimentos de TI. Todo equipamento
desktop deve ser instalado e remanejado somente pela equipe de TI ou caso
necessrio a remoo por outra pessoa, esta deve solicitar e receber autorizao
formal para executar tal procedimento, sob pena de advertncia verbal, escrita ou
demisso de acordo com a poltica de segurana estabelecida pela empresa. Os
equipamentos devem ser identificados, instalados e adequados ao ambiente de
maneira que permaneam fixos e com lacre nos gabinetes, evitando desta maneira o
acesso aos dispositivos de hardware como: memria, disco rgido, processador e
leitores de mdias.
Os equipamentos portteis devem ter ateno redobrada com relao
segurana fsica e lgica, uma vez que normalmente no permanecem somente nas
dependncias internas da empresa. Assim como nos desktops, os notebooks devem
possuir lacres adequados, senhas para acesso ao disco de armazenamento (HD) e
criptografia dos dados. Os funcionrios devem ter permisso formal dos

16

responsveis para entrar e sair com os equipamentos da empresa, o documento


deve conter informaes como: data de sada, entrada, localizao na empresa e o
responsvel.
Caso o funcionrio necessite deslocar o equipamento diariamente da
empresa, deve ser estabelecido na poltica de segurana da empresa um
documento mensal ou trimestral. Outro item importante que deve ser estabelecido
pela equipe de TI a poltica de backup, pois devido ao deslocamento dos
funcionrios maior a probabilidade e risco de furto, cabendo a TI intensificar a
cpia das informaes destes equipamentos a fim de prevenir e minimizar o impacto
com grandes perdas de informaes.
Recomenda-se observar os seguintes aspectos com equipamentos que so
utilizados fora da instituio:
a) No deixar os equipamentos e mdias desprotegidos em reas
pblicas. Carregar os computadores portteis como bagagem de mo
e disfarados quando utilizados em viagens;
b) Seguir

as

instrues

dos

fabricantes

para

proteo

dos

equipamentos, como por exemplo, proteo contra exposio a


campos magnticos intensos;
c) Determinar medidas para trabalho em casa por meio da avaliao de
risco e controles apropriados de acordo com a necessidade, como
gabinetes de arquivo fechados, poltica de mesa limpa e controle de
acesso aos computadores;
d) Ter uma cobertura de seguro para proteger estes equipamentos
(SALGADO, BANDEIRA E SANCHES DA SILVA, 2004).

2.2 INFRAESTRUTURA LGICA EM TI


Partindo da poltica de segurana estabelecida pela empresa, acredita-se
que o administrador de rede deve ser o nico a ter acesso completo a todas as
informaes, com exceo das solicitaes formalizadas atravs dos diretores e
proprietrios, ou seja, todo acesso rede e aos dispositivos de TI devem ser
realizado atravs de autenticao para acessar os diretrios compartilhados. O

17

objetivo da segurana lgica proteger as informaes, sistemas, programas e


aplicativos de acessos indevidos e no autorizados.
fundamental avaliar (quando, quem, como), relatar (eventos, ocorrncias
e situaes) e agir (reforar, implementar e rever medidas) para segurana em
informtica sistemtica e lgica empresarial. No se deve deixar intrusos acessar os
dados armazenados, caso estes sejam acessados no se deve deixar utiliz-los e
que a monitorao das ocorrncias fundamental (CRUDO et al, 2005, p. 4)
O administrador deve atribuir uma rotina de alterao da senha nos
equipamentos utilizados na rede. Devido ao grande nmero de softwares e
aplicativos para identificao e intruso s redes de comunicaes, deve-se adotar a
preveno e alterao de senhas periodicamente dos equipamentos que compe os
ativos de rede como: servidores, hub, switches, router, access point, entre outros.
As senhas devem ser alteradas em um perodo mdio de 15 dias, podendo o
administrador criar um procedimento e registro das alteraes de acordo com o seu
contedo. O cadastro e alterao ideal da senha de acesso devem ser estabelecidos
de acordo com sistema utilizado pelo fabricante.
Para realizar o cadastro das senhas aconselhvel no utilizar senhas com
fcil vinculo de descoberta como: nmero do RG, CPF, data de aniversrio,
casamento, repetir o mesmo nmero varias vezes, usar como senha o mesmo nome
do login ou cadastrar a senha como o login de forma inversa.
Para dificultar a descoberta das senhas e tornar esse cdigo mais difcil de
ser quebrado, deve se optar por um cadastro com mais de 6 caracteres utilizando
nmeros, letras maisculas e minsculas e expresses alfa numricas como por
exemplo: %, $, #, &.
A utilizao dos compartilhamentos e acesso ao servidor de arquivos
quando contemplado, deve ser realizado atravs de permisso autenticada do
usurio ou do equipamento utilizado para tal atividade, como notebook e desktops. A
rede que possui usurios com autenticao tambm recomendada que o usurio
realize a troca da senha no mnimo uma vez por ano, para que desta forma o cliente
tambm no se torne uma maneira exploratria de acessar a rede e dados da
empresa.
O controle de acesso fsico deve ter como regra bsica a capacidade de
diferenciar o usurio autorizado e o no autorizado mediante sua identificao e
atentar para as premissas: o que a pessoa : sua identificao ou caractersticas

18

biomtricas; o que a pessoa possui: uso de cartes ou chaves; o que a pessoa sabe:
uso de senha ou cdigos (SALGADO, BANDEIRA E SANCHES DA SILVA, 2004, p.
87).
Realizar uma cpia de segurana (backup), das informaes pode ser um
dos itens mais importantes da preservao dos dados da empresa. Com a utilizao
cada vez mais ascendente dos computadores e menos utilizao de arquivos em
papis e livros, pode-se dizer que o volume de dados armazenados cada vez
crescente, desta forma o armazenamento das informaes passa ser um item de
relevncia.
Um servidor que apresente falhas no disco, incndio, alagamento e outros
desastres podem levar a empresa falncia por falta de informao. Muitas vezes o
valor da informao muito mais relevante que a localizao e espao fsico
utilizado. Empresas que utilizam como fonte de renda a pesquisa e desenvolvimento
de novos produtos, como por exemplo: indstrias farmacuticas, laboratrios,
institutos de pesquisa e desenvolvimento de novas tecnologias, podem ter um fator
crtico com relao segurana e roubo de informao.
Mecanicamente pode-se dizer que equipamentos possuem segundo seus
fabricantes (MTBU) uma durabilidade mdia e desgaste fsico e lgico de acordo
com a condio de armazenamento e tempo de vida. Desta forma, as cpias
efetuadas devem ser testadas ao longo do tempo, respeitando-se a vida til das
mdias e o tempo mximo de regravaes estabelecidas pelo fabricante, pois
existem vrios registros de perda de informao por falta de cuidado com esses
itens (SOUZA, 2004, p. 22).
Entende-se que o equipamento ter comeo, meio e fim, cabendo ao
administrador de rede e demais responsveis avaliar, realizar manutenes
preventivas e corretivas para que desta forma torne possvel realizar um
planejamento e realizar a manuteno, substituio, aquisio de equipamentos e
dispositivos utilizados.
De acordo com um planejamento do corpo tcnico da empresa, deve ser
realizado um dimensionamento e levado em considerao o software utilizado para
restaurao, gerenciamento e que a realizao do backup acontece se possvel de
forma centralizada, ou seja, a cpia deve ser realizada em reas especificas.
Tambm deve ser levado em considerao como parte fundamental do

19

planejamento: a criticidade, velocidade, qualidade, crescimento do espao utilizado


para realizao do backup.
A seguir so apresentados alguns dispositivos e meios utilizados para
realizao de copias de segurana.
Dispositivos e mecanismo para backups:

Mdias de CDs, DVDs;

Pen drive;

Fitas magnticas (DAT);

Bibliotecas de fitas (LTO);

Discos externos (HDD);

Disquetes.

2.3 SEGURANA EM DATA CENTER


Devido criticidade e a necessidade de alta disponibilidade nos servios e
equipamentos lotados no interior de um Data Center ou tambm conhecido como
Centro de Processamento de Dados (CPD), faz-se necessria ateno redobrada
nas questes: acesso, monitoramento, distribuio de infraestrutura eltrica e lgica.
Tendo em vista que neste ambiente comum centralizar os equipamentos que
realizam gerenciamento e distribuio de aplicaes e servios de Tecnologia de
Informao e Comunicao (TIC).
A norma ANSI/EIA/TIA 942 trata sobre Data Center desde sua construo
at sua ativao. Dentre os requisitos mencionados estabelece a classificao de
segurana, mensurados em nvel TIER de 1 a 4.
A escolha do local para implantao do Data Center deve ser feita levandose em considerao a regio, compatvel com o Cdigo de Zoneamento do
Municpio, tamanho do terreno, acesso fcil para a entrega de equipamentos, reas
altas sem inundaes e existncia de infra estrutura bsica de esgoto, gua,
telefonia e energia eltrica (MORAES, s. d., p. 4). Portanto, a estrutura fsica do
Data Center deve contemplar os detalhes construtivos e arquitetnicos da
instalao para se obter o nvel adequado de segurana. Os principais aspectos a

20

este respeito a serem considerados so: piso, teto e paredes; iluminao e


programao visual; e acabamento e mobilirio (SOUZA, 2004, p. 10).
Estas

acomodaes

devem

ser

permanentemente

gerenciadas

monitoradas, pois neste ambiente esto os equipamentos e aplicaes que as


corporaes

julgam

de

maior

valor,

complexidade

importncia

como:

disponibilidade de servios de rede, link para acesso internet, e-mail, sitio, banco
de dados, servidores, reas de armazenamento (storages), switches, routers, entre
outras. Muitas vezes o gerenciamento e infraestrutura das centrais de telefone
tambm ficam alojadas neste local.
Com o crescimento, ascenso e velocidade em que as informaes devem
ser repassadas, ferramentas como editores de texto, planilhas eletrnicas, Sistemas
Integrados de Gesto Empresarial (SIGE), e-mail, acesso internet e utilizao de
telefone so servios imprescindveis para comunicao interna e externa entre
funcionrios, colaboradores e clientes.
De acordo com a importncia das aplicaes e equipamentos alocados em
um Data Center necessrio estabelecer algumas polticas de acesso e meios de
segurana, entre eles: Controle de acesso, monitoramento, combate e extino de
incndio, climatizao e energia. A seguir cada um destes itens detalhado:

Controle de acesso - deve ser implantado um controle de acesso aos


profissionais, terceiros e visitantes. Este controle pode ser realizado
atravs de leitores de proximidade, cdigos senhas, biometria e novas
tecnologias como o reconhecimento de face. No entanto, o ideal para
uma melhor segurana, o acesso deve ser realizado atravs de sistemas
biomtricos ou que dificultem a passagem de senhas e cartes,
reduzindo

assim

vulnerabilidade.

Por

exemplo,

sistemas

de

proximidade e cdigos deixam uma fragilidade no acesso e segurana,


uma vez que a senha possa ser descoberta e o acesso a um carto
pode ser obtido por meio de furto ou emprstimo. O sistema de controle
de acesso ao Data Center deve fornecer informaes de intruso,
violao e registrar os acessos liberados. Estas informaes devem ser
arquivadas e avaliadas pela equipe de segurana de TI.

Monitoramento o ambiente do Data Center deve ser monitorado vinte


e quatro horas por dia e disparar alertas para os responsveis. Os

21

principais meios de monitoramento utilizados so: cmeras, sensores de


abertura de porta, sistema de inundao, falta de energia, umidade e
temperatura do ar. Todo este acesso e monitoramento devem ser
registrados, armazenados e arquivados para auditorias, apreciaes e
possveis incidentes.

Combate e extino de incndio devido grande carga eltrica


disponibilizada para atender os equipamentos eletrnicos no interior de
um CPD o risco de aquecimento, curto circuito e incndio deve ser
valorizado. O Data Center deve conter um sistema de deteco de
incndio, porta corta fogo e solues que de forma automatizada
realizem o procedimento

de desligamento de energia (quando

necessrio) e extino de incndio como a utilizao dos gases


HFC227e a FM200 para extino e conteno de fogo. Diante de
qualquer alerta atravs do monitoramento, os responsveis devem ser
comunicados imediatamente.

Climatizao Com a grande dissipao de calor gerado pelos


equipamentos no interior do Data Center e devido necessidade de
atender as especificaes tcnicas de funcionamento dos equipamentos
a temperatura nestes ambientes deve ser climatizada e possuir recursos
para controle da umidade do ar. Deve ser realizado um clculo por um
profissional qualificado de acordo com o tamanho do ambiente, potncia
e dissipao de calor gerada pelos equipamentos. Com relao
infraestrutura os equipamentos devem ser especificados como mquinas
de preciso (industriais) ligadas a um circuito de energia separado e a
um gerador atuando como backup, uma vez que o ambiente
considerado critico.

Energia para atender a necessidade de alimentao eltrica dos


equipamentos e do ambiente necessrio realizar um clculo por um
profissional qualificado para o dimensionando da utilizao de
dispositivos como: lmpadas, cabo de energia, conectores, dijuntores e
o quadro eltrico. Este clculo deve levar em considerao tambm a
expanso de alguns equipamentos. A energia deve ser adequada,
estabilizada e monitorada, para que em caso de queda ou falha no
fornecimento o sistema de redundncia seja automaticamente acionado.

22

Normalmente, utiliza-se um no-break para estabilizar e alimentar o Data


Center, at que o gerador de energia assuma seu papel
restabelecimento da energia.

2.4 ENGENHARIA SOCIAL


um mtodo utilizado para realizar ataques a empresas atravs da
utilizao do fator humano. Esta tcnica explora as fraquezas humanas e sociais,
em vez de explorar a tecnologia. Ela tem como objetivo enganar, ludibriar pessoas
assumindo-se uma falsa identidade, a fim de que elas revelem senhas ou outras
informaes que possam comprometer a segurana da organizao (NAKAMURA e
GEUS, 2003, p. 70).
Existem duas formas de realizar este tipo de ataque: o meio fsico, que se d
atravs do processo de vasculhar lixos e mesas, entre outros mveis da empresa; e
o outro processo que se d por meio de contato telefnico ou via e-mail, para que
desta forma o usurio seja induzido a preencher falsas pesquisas e questionrios
com objetivo de capturar informaes relevantes, como por exemplo, senhas e
informaes de acesso rede.
As pessoas que praticam este tipo de ao so chamadas de engenheiros
sociais. Tm como caracterstica serem educados, simpticos, criativos,
astutos,

bem

articulados,

dinmicos

muito

envolventes.

So

especialistas na arte de persuadir, manipular e distrair aqueles que so


seus alvos (PEIXOTO, 2006).
Portanto, mesmo com uma segurana assdua em meios fsicos e lgicos
no existe ambiente 100% seguro. Deve-se manter o melhor padro de segurana
possvel, para que desta forma se minimize a vulnerabilidade e a indisponibilidade
de equipamentos, servios e dados relacionados paralisao ou captura de forma
indevida.
A empresa deve elaborar junto poltica de segurana termos de
compromisso e confidencialidade; e os funcionrios devem receber treinamento e
explanao da necessidade e importncia de no passar informaes pertinentes
aos termos estabelecidos. Diante deste cenrio a elaborao de uma poltica de
segurana de TI deve tambm atentar para interveno humana.

23

3 POLTICAS DE SEGURANA EM TI
Pode-se considerar que a poltica de segurana em TI o meio formal de
aplicar regras para a organizao, recomendando e explanando as necessidades
para diminuir o risco de acesso indevido s informaes. Uma poltica de segurana
deve conter de forma detalhada e clara as decises de inventrio dos equipamentos,
liberao e bloqueio no acesso ao sistema de informao da empresa.
Para tanto fundamental criar um grupo para gesto de segurana de TI e
estabelecer

os

principais

objetos

da

poltica

serem

considerados:

confidencialidade, integridade e disponibilidade. Esta medida dever ser definida e


apresentada ao conselho diretor da organizao, para que alm de aprovada a
poltica de segurana em TI, seja disseminada e valorizada em virtude de sua
importncia para a instituio. Os executivos, diretores, gestores da empresa e
profissionais da rea de TI devem ser informados e instrudos sobre a necessidade
de cumprir e manter periodicamente a poltica de segurana em TI atualizada.
crescente a preocupao com a implantao e gesto de uma atividade
envolvendo segurana em TI, pois as empresas esto a cada dia mais percebendo e
valorizando a estabilidade, controle, sigilo e cautela de suas informaes. Dentre os
principais focos de preocupao esto: a paralisao dos sistemas (SIGE), acesso
internet, dados pessoais, informaes financeiras, lista de funcionrios, folha de
pagamento, entrada e sada de profissionais, projetos, fornecedores, informaes de
clientes e novos produtos.
Se estas informaes forem capturadas de modo indevido, por exemplo, por
um concorrente, podem representar para ele um grande passo estratgico e at ser
utilizada para tomada de decises, inclusive para antecipar o desenvolvimento de
novos projetos e/ou at mesmo prejudicar a imagem e reputao da empresa fonte.
Assim, tendo em vista a necessidade de manter a disponibilidade,
confidencialidade e integridade das informaes institucionais, mediante a utilizao
de normas, pode-se fundamentar a estruturao de uma poltica de segurana em
TI. Esta poltica deve conter um inventario dos equipamentos, o levantamento do
ambiente e a classificao do nvel de criticidade da informao, bem como
considerar os fatores: processos, pessoas e ferramentas, os quais esto inclusos
como objetos de vulnerabilidade.

24

Ao realizar a avaliao do nvel de segurana fsico, lgico e humano deve


tambm ser considerado a rea e o permetro de segurana entre os ambientes que
acomodam equipamentos de TI; definir a passagem de pessoas e veculos; e
considerar fatores e riscos ambientais como a queda de rvores e inundaes de
lagos e rios.
A seguir so apresentados alguns exemplos, sugestes de informaes e
regras que devem estar contempladas na elaborao da estrutura de um documento
utilizado como poltica de segurana de TI.
Introduo
Nesta parte so apresentadas as diretrizes para a poltica de segurana da
tecnologia de informao para empresa em questo de forma regulatria.
Objetivos
De modo geral, os principais objetivos de uma poltica de segurana so:
a) Implantar e monitorar as diretrizes da segurana de TI;
b) Diminuir a vulnerabilidade no acesso aos dispositivos e sistemas de TI
preservando o sigilo, integridade e disponibilidade dos servios e
informaes;
c) Informar e explicar os riscos, importncia e necessidade de aplicar as
polticas estabelecidas neste documento.
Abrangncia
Neste item devem ser descritos os contedos que abrangero a poltica de
segurana. Neste trabalho sero tratados os aspectos envolvendo:
a) Segurana Fsica de TI;
b) Segurana Lgica de TI.
Patrimnio de TI
Fazem parte deste aspecto:
a) Todo equipamento ou ativo de TI que esta ou ser utilizado para
manipulao e acesso ao sistema informatizado da empresa;

25

b) Hardware e Software adquiridos ou desenvolvidos por profissionais


contratados ou terceirizado de acordo com recursos e necessidades estabelecidas
pela empresa;
c) Controle de Acesso permisso e restrio para acessar dispositivos,
ambientes e sistemas que estejam sob a responsabilidade do setor de TI. Estas
regras so vlidas somente para funcionrios e colaboradores de forma individual,
no cabendo, em nenhuma hiptese, o repasse de informao ou utilizao do
recurso por outra pessoa;
d) Emprstimo permisso para utilizar determinado equipamento, local ou
software. O emprstimo fica caracterizado como temporrio com data de inicio e fim
e sob a responsabilidade do solicitante;
e) Incidente de Segurana qualquer evento que altere o procedimento e
disponibilidade no funcionamento dos recursos estabelecidos nesta poltica de
segurana;
f) Criticidade de equipamentos e softwares equivale a sensibilidade,
relevncia e prioridade que definem determinado patrimnio.
Conselho de Gesto da Segurana de TI
A formao do conselho para gesto da poltica de TI deve ser realizada por
executivos responsveis pela administrao da empresa e profissionais de TI com
qualificao e experincia nas atividades correlatas a sua rea.
Ao conselho de gesto cabem algumas responsabilidades como:

Gerenciar e aprimorar as polticas estabelecidas no documento;

Participar de reunies, avaliar e tomar deciso com relao s


informaes discutidas;

Avaliar e atualizar normas e diretrizes legais sobre a poltica de


segurana da informao;

Executar e aplicar as normas, regras e definies descritas nesta


poltica de acordo com as diretrizes e polticas da empresa;

Administrar e zelar pelo patrimnio da empresa;

Participar e elaborar um planejamento estratgico para obter a


aprovao dos participantes e executivos responsveis quando

26

necessrio a alocao e disponibilizao de recursos humanos,


financeiros e tecnolgicos pertinentes a segurana de TI.
Em sua formao, o Conselho da Gesto de Segurana de TI ter como
membros:

Diretor/Gestor - Executivo de Operaes e TI;

Diretor/Gestor de TI Sistemas e desenvolvimento;

Diretor/Gestor de TI Infraestrutura;

Diretor/Gestor de Recursos Humanos;

Diretoria executiva, administrativa, tcnica, produo ou representantes


autorizados formalmente pelo diretor imediato.

As reunies do Conselho de Segurana de TI ficam sob a responsabilidade


do Diretor Executivo de Operaes de TI, ao qual cabe convocar os demais
representantes para reunies, em um perodo mximo de 90 dias. Este prazo pode
ser antecipado caso ocorra algum incidente de segurana, sugesto de melhoria,
deteco de vulnerabilidade ou motivos relevantes e importantes para a
organizao.
Toda reunio deve ser registrada e arquivada em local seguro. No ser
permitida a permanncia de outras pessoas salvo quando convidado formalmente
pelos membros do conselho. As decises s podem ser aprovadas com a
autorizao formal e quando decidida pela maior parte dos integrantes do conselho.
Regras da poltica de segurana de TI
A poltica se aplica aos recursos humanos, fsicos e lgicos da empresa.
Neste sentido as principais regras so:
1. Informar sobre a poltica de segurana de TI quando do ingresso de um
colaborador que necessite utilizar recursos de TI e realizar um treinamento na
contratao de um ou mais funcionrios. Em caso de contratao de servios
e profissionais terceirizados que utilizando os recursos por um perodo maior
que 20 dias tambm deve ser realizado um treinamento;

27

2. Realizar treinamento e conscientizao sobre segurana da informao de


acordo com a poltica estabelecida neste documento e conforme o
monitoramento dos recursos realizado na empresa;
3. Elaborar ata de reunio e treinamento a cada informao repassada aos
colaboradores convocados para treinamento ou conscientizao;
4. Formalizar e arquivar atravs de arquivo eletrnico ou outro mecanismo todo
remanejamento de colaborador ou mudana de atividade, com a finalidade de
registrar o fluxo e alterao de permisses utilizadas;
5. O documento de ingresso e responsabilidade deve conter informaes de
permisso de acesso, compartilhamento, privilgio no acesso rede, login,
conta de e-mail e aplicativos e ferramentas utilizadas para o trabalho;
6. Bloquear imediatamente quando ocorrer um incidente de segurana o acesso
a todos os recursos de responsabilidade da TI fsico, lgico, assim que
informado formalmente pelo setor de recursos humanos ou por usurio
participante do conselho de gesto da poltica de segurana de TI;
7. Toda aquisio de bens, aplicativos, e servio de TI deve ser homologada e
aprovada pela equipe ou responsvel da TI;
8. Proibir toda atividade que manipule recursos fsicos e lgicos por qualquer
pessoa sem o consentimento do gestor da TI ou responsvel pelo setor de TI;
9. Estabelecer como um dever o cumprimento da poltica de segurana em TI,
sob pena de incorrer sanes e legais cabveis;
10. Estabelecer como um dever o cumprimento das regras especficas de
proteo ao patrimnio de TI;
11. Manter o sigilo da senha de controle de acesso e recursos de TI;
12. Proibir a utilizao dos recursos e informaes internas ou de propriedade
intelectual da empresa, bem como a cpia, armazenamento de programas de
computador ou qualquer outro material, que no autorizado pelo gestor ou
responsvel imediato;
13. Proibir o roubo, desvio ou deslocamento de equipamentos, licenas de
software ou qualquer recurso de TI sem autorizao formal do gestor ou
responsvel pelo setor de TI;
14. O Gestor deve avaliar e monitorar o cumprimento da Poltica de Segurana
de TI dos seus subordinados e prestadores de servios;

28

15. dever do gestor aps o treinamento identificar os desvios praticados e


adotar as medidas apropriadas;
16. Preservar o patrimnio fsico e lgico de TI no interior e exterior da empresa;
17. O gestor deve informar formalmente o setor de recursos humanos ou
responsvel o desligamento ou afastamento de um colaborador que utilize os
recursos de TI na organizao.

Atualizao da Poltica de Segurana em TI


Neste item devem ser tratados os seguintes temas:

Inventrio anualmente deve ser realizado um inventrio dos dispositivos e


recursos de TI. Todo patrimnio descontinuado, danificado ou sem utilidade
para empresa deve ser baixado e registrado aps anlise do conselho de
gesto da segurana;

Atualizao e monitoramento deve ser realizada reunio para apresentao


dos registros, sugestes e avaliao do monitoramento coletado em no prazo
mximo de noventa dias;

Aquisio de patrimnio cada vez que detectada a necessidade de


aquisio de novas solues ou investimento em TI a compra dever ser
justificada com embasamento tcnico para o conselho de gesto de
segurana. Caso a necessidade torne aplicvel o conselho deve apresentar
para os executivos e diretores para aprovao e atualizao da poltica de
segurana;

Perodo de reviso de regras - anualmente revisar as regras de proteo


estabelecidas;

Arquivos de Logs os registros de acessos e monitoramento de portas, bem


como documentos, devem ser avaliados pelo gestor e armazenados de
acordo com a criticidade da empresa. Recomenda-se o arquivamento por no
mnimo dois anos;

Normas e leis manter a poltica de segurana atualizada de acordo com a


legislao, sem ferir os conceitos ticos e moral dos colaboradores e
prestadores de servio de acordo com a legislao vigente.

29

Treinamento e capacitao na utilizao de recursos de TI


Deve abordar os seguintes itens:

Objetivo conscientizar e explanar sobre a importncia da segurana em TI a


todos os envolvidos, enfocando o valor da informao e compromisso
individual

coletivo

para

atingir

os

melhores

recursos

do

sigilo,

disponibilidade e integridade da informao disponvel;

Erros humanos instruir e conscientizar os funcionrios sobre a


vulnerabilidade dos objetos descuidados sobre mesas, computadores, login
com sesso aberta quando no utilizado, furto, apropriao indbita, fraude
ou uso no apropriado do patrimnio;

Funcionrios e terceiros - capacitar todo o pessoal envolvido na realizao de


trabalhos diretamente relacionados empresa que utilizam recursos de TI,
permanentemente ou de modo temporrio.

Recursos Humanos: Ingresso, afastamento e desligamento


Neste item devem ser contemplados os aspectos abaixo:

Funcionrios todo funcionrio deve ser treinado e capacitado no momento


em que for integrado empresa sobre a poltica de segurana de TI. O
profissional

recm-contratado

deve

receber

um

documento

com

as

permisses e uma cpia da poltica de acesso da empresa;

Estagirios no deve ser realizada liberao de acesso para o estagirio


que no possuir autorizao da gerncia imediata para qualquer atividade
que utilize recursos sobre a responsabilidade da TI;

Termo de Responsabilidade todo funcionrio, estagirio ou terceiro deve


assinar um termo de compromisso assumindo o cumprimento da poltica de
segurana de TI da empresa, de acordo com os termos estabelecidos como o
sigilo e integridade elencados pela empresa.

Avaliao antes e depois do treinamento deve ser elaborada uma avaliao


bsica sobre segurana e sua importncia antes e aps o treinamento. O
resultado deve ser repassado
responsveis;

ao setor de

recursos humanos ou

30

Falha na utilizao dos recursos aps o treinamento deve ser analisada


junto ao setor responsvel a necessidade de um novo treinamento, ou
tomada deciso do que fazer com colaborador que mal utiliza os recursos de
TI;

Identificao - o funcionrio deve sempre usar nas dependncias internas ou


quando estiver representando a empresa externamente um crach para
identificao. De acordo como sistema de controle de acesso s portas e
ambientes sero realizadas regras de permisso e bloqueio do usurio;

Utilizao imprpria dos recursos o resultado de utilizao incompatvel com


a poltica de segurana estabelecida deve ser analisado e comunicado
chefia imediata;

Gestores

supervisores

os

responsveis

pelos

setores

consequentemente os colaboradores vinculados sua responsabilidade


devem assinar um termo de compromisso, confirmando que esto aptos e
conscientes sobre a poltica de segurana estabelecida pela empresa;

Frias e afastamento - todo colaborador ter o acesso restrito quando


afastado de suas atividades laborais, salvo quando solicitado formalmente por
seu gerente o acesso a determinados aplicativos ou recursos como e-mail. O
acesso interno ao ambiente de trabalho deve ser restrito ou bloqueado;

Desligamento do profissional o colaborador deve ser orientado e informado


sobre a restrio com relao ao acesso s informaes da empresa. Aps o
desligamento dever ser registrado e arquivado, por tempo determinado pelo
setor de recursos humanos ou responsvel, um documento formalizando o
trmino do contrato e excluso do usurio da rede e poltica de segurana em
TI.

Computadores e estaes Servidores


O acesso fsico e lgico a computadores e estaes servidores deve ser
monitorado de acordo com a criticidade estabelecida pelo conselho de segurana
em TI. Devem ser monitorados e arquivados os registros de acesso, bem como as
alteraes nas permisses de acessos dos usurios. Ao usurio deve ser

31

expressamente proibido acessar ou violar fsica ou logicamente qualquer recurso de


TI sem autorizao formal.
O backup deve ser avaliado de acordo com a estrutura e recursos da
empresa. O indicado centralizar as informaes em uma mquina dedicada ao
armazenamento, com a devida explorao de viabilidade de regras para acesso.
Entretanto, o cliente deve estar orientado com relao ao perodo e frequncia em
que realizada a cpia de segurana, seja esta diria, semanal ou mensal. Os
dados devem ser mantidos de forma que permaneam em segurana contra furtos e
condies climticas. comum empresas guardarem seus backups em outras
unidades, filiais ou na matriz para preveno de acidentes ou desastres causados
por incndio ou fenmenos naturais como, chuva, vento ou raios.
O acesso rede deve ser estabelecido de acordo com o sistema
operacional utilizado e de acordo com a criticidade e disponibilidade do servio a ser
executado. O ambiente de rede wireless (rede sem fio) deve ser restrito s
aplicaes e usurios com permisso formal da gerncia imediata. A disponibilidade
de acesso aos pontos de rede deve ser avaliada de acordo com a deciso de
controle de acesso estabelecida pelo conselho de gesto da segurana em TI.
Os recursos de acesso a pontos de rede normalmente so restritos e somente
com solicitao formal deve ser realizada a liberao para acessar a rede. De
acordo com a deciso do conselho de gesto de segurana pode ser acordado que
a melhor maneira de interagir bloquear todas as portas dos switches e liberar
somente conforme a solicitao e autorizao dos responsveis.
Recomenda-se a realizao de um inventario e mapeamento dos dispositivos
e recursos de infraestruturura de TI no prazo mximo de vinte 20 meses. Neste
indispensvel

conter:

cabeamento

lgico,

switches,

routers,

iluminao

estabilizadores de energia eltrica. A elaborao deste inventrio necessria para


realizao de um planejamento estratgico e consequente identificao da
necessidade de ampliao dos recursos e visualizao do aproveitamento dos
recursos existentes.
Riscos
Este item deve contemplar os principais riscos existentes na infraestrutura
de TI. Destacam-se os riscos:
1. Fsicos falha em equipamentos, disponibilidade, dispositivos e perifricos;

32

2. Lgicos falha na integridade, informaes, vrus, ataques aos sistemas,


acesso indevido, aplicativos e documentos;
3. Humanos furtos, vandalismo, engenharia social, integridade, excluso de
informao, sabotagem, imprudncia, negligncia, erro;
4. Naturais - Tempestades, terremotos, alagamento e incndio.
Decises sobre os riscos
Aps o levantamento dos riscos existentes devem ser planejadas aes a
respeito. Recomenda-se:

Riscos Naturais - avaliar a probabilidade e frequncia em que ocorrem, e


tomar deciso sobre a viabilidade do projeto;

Riscos Humanos adotar medidas e mtodos de acordo com a sistemtica


definidos pelos Recursos Humanos da empresa, por exemplo, sanes
quando da m utilizao dos recursos de TI, acesso informaes indevidas,
instalao de dispositivos ou softwares sem autorizao, entre outras;

Riscos Fsicos avaliar novos investimentos, recursos, tecnologias e deciso


com base na poltica de segurana em TI;

Riscos Lgicos avaliar impacto da vulnerabilidade, falha na segurana e


apresentar um novo planejamento para o conselho de gesto de segurana
em TI.

Ao se elaborar uma poltica de segurana TI essencial se considerar os


fatores: pessoas, processos e ferramentas. Alm disso, ela deve ser adaptada pelo
comit gestor de segurana TI de acordo com a realidade e necessidade da
empresa. importante que seja aprovada e apoiada pelo alto escalo executivo,
bem como esteja integrada com a poltica de qualidade da empresa.

33

4 CONCLUSO
Conforme as informaes descritas neste trabalho possvel identificar a
existncia de vrios dispositivos e mecanismos que so utilizados para manter o
acesso a recursos da tecnologia de informao com integridade, disponibilidade e
sigilo. Desta forma, pode se dizer que com a implantao ou melhoria de uma
poltica de segurana em TI, a empresa pode organizar, padronizar, administrar e
criar mecanismos para diminuir a vulnerabilidade que seus bens e valores ficariam
expostos.
A poltica de segurana de TI deve ser elaborada, avaliada, atualizada e
gerenciada constantemente. Para tanto, fundamental a criao de um conselho
composto por executivos e gestores que devem cumprir efetivamente as regras e
diretrizes estabelecidas no documento e assim alcanar suas metas e objetivos,
assegurar e minimizar o impacto relativo a falhas e vulnerabilidades fsicas, lgicas e
humanas para proteo do patrimnio e informaes relevantes da empresa.
Considerando que o investimento em segurana fsica e lgica
permanente, pois os equipamentos possuem um tempo de vida til e tambm h
necessidade de ampliao dos recursos de TI conforme a expanso, substituio e
atualizao do equipamento ou sistema. Diante deste cenrio, avalia-se de forma
positiva o investimento com infraestrutura, controle de acesso e segurana dos
recursos fsicos e lgicos na empresa, uma vez que aplicando este investimento os
posteriores ocorrero de forma gradativa.
Aps realizar pesquisas correlatas ao tema segurana em TI e desenvolver
este trabalho, despertou a preocupao com a fragilidade de riscos e situaes
relativas segurana envolvendo recursos humanos (pessoas). Enfatiza-se, ento
como de suma importncia monitorar, controlar, realizar cpias de segurana, treinar
e conscientizar os colaboradores sobre a relevncia e consequncias com relao
implantao da Poltica de Segurana em TI na empresa.
Para os prximos estudos se recomenda avaliar mecanismos para deteco
das

vulnerabilidades

nos

sistemas,

ferramentas

de

controle

de

acesso,

gerenciamento, monitoramento, bem como pesquisas com fundamentos tericos e


tcnicos para conscientizar, informar e auxiliar na tomada de deciso relacionada
aos riscos de segurana, investimento financeiro, profissional e tempo despendido
para implantar uma Poltica de Segurana em TI.

34

REFERNCIAS
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS, ABNT. NBR ISO/IEC 17799:
Tecnologia da informao - Cdigo de prtica para a gesto da segurana da
informao, 2001.
CRUDO, Adriana P. et al. Auditoria de segurana lgica e da confidencialidade em
computao. Anais do VII SemeAD. So Paulo: FEA-USP, realizado nos dias 11 e
12 ago. 2005.
GUIA de Switches Cisco Systems. Switches. Mude: So Paulo, jul. 2006.
MARCIANO, Joo Luiz P. Segurana da informao: uma abordagem social. 2006.
212 f. Tese (Doutorado em Cincia da Informao) Programa de Ps-Graduao
em Cincia da Informao do Departamento de Cincia da Informao e
Documentao, Universidade de Braslia, Braslia, 2006.
MENEGUITE, Ronaldo Louro. Segurana da informao. 2010, 37f. Trabalho de
concluso de curso (Curso Tcnico de Informao Industrial), Unidade de Ensino
Descentralizada de Leopoldina, Centro Federal de Educao Tecnolgica de Minas
Gerais. Leopoldina, 2010.
MORAES, Pollette B. de. Infra-estrutura de internet data Center (IDC). Disponvel
em: www.projetoderedes.com.br. Acesso em: 10 de novembro de 2011.
MORESI, Eduardo Amadeu D. Delineando o valor do sistema de informao de uma
organizao. Ci. Inf., Braslia, v. 29, n. 1, p. 14-24, jan./abr. 2000.
NAKAMURA, Emilio T.; GEUS, Paulo L. Segurana de redes em
ambientes cooperativos. Minas Gerais: Futura, 2003.
PEIXOTO, Mrio Csar P. Engenharia social e segurana da informao na
gesto corporativa. Rio de Janeiro: Brasport, 2006.

35

SALGADO, Ivan J. C.; BANDEIRA, Ronaldo; SANCHES DA SILVA, Rivanildo.


Anlise de segurana fsica em conformidade com a Norma ABNT NBR
ISO/IEC 17799. 2004, 325 f. Trabalho de concluso de curso (Graduao em
Tecnologia em Segurana da Informao), Instituto Cientfico de Ensino Superior e
Pesquisa, Faculdades Integradas ICESP. Guar, 2004.
SILVA NETTO, Abner da; SILVEIRA, Marco Antonio P. da. Gesto da segurana da
informao: fatores que influenciam sua adoo em pequenas e mdias empresas.
Rev. Gest. Tecn. Sist. Inf., So Paulo, v. 4, n. 3, p. 375-397, 2007.
SOUZA, Leonardo Henrique L. Segurana fsica de redes de computadores.
2004, 39 f. Monografia (Especializao em Informtica), Coordenao de PsGraduao, Universidade Estcio de S. Rio de Janeiro, 2004.