Escolar Documentos
Profissional Documentos
Cultura Documentos
Dissertao
apresentada
Faculdade
de
So Paulo
2010
USP/FM/DBD-353/10
DEDICATRIA
Dedico este trabalho ao meu pai Paulo Ribas (em memria) e a minha
me Glacira Ribas como retribuio aos anos de dedicao, sacrifcios e
renncias em prol da minha formao e da minha educao.
Dedico tambm a minha esposa Laila Massad Ribas e a nossa filha
que est por vir, Isabela Massad Ribas, por estarem sempre ao meu lado,
me incentivando e ajudando em todos os momentos. Amo vocs!
AGRADECIMENTOS
Aos meus amigos Marcio Biczyk do Amaral, Jose Sergio Gonalves Soares,
Aurlio Jose Vitorino, Pedro Jose Pimentel, Newton George dos Santos Lima
e Simone Bracalle Ambrogi Cunha pela ajuda na realizao deste trabalho.
Ao Prof. Dr. Eduardo Massad pelo incentivo, pela ajuda na reviso do artigo
e pela ajuda com a anlise estatstica.
Aos meus irmos, amigos e a todos que de alguma forma colaboraram para
a realizao deste projeto.
NORMALIZAO ADOTADA
SUMRIO
Lista de siglas
Lista de tabelas
Lista de figuras
Resumo
Summary
1 INTRODUO............................................................................................ 1
1.1 Sistema de Gesto de Segurana da Informao................................ 1
1.2 Justificativas ......................................................................................... 6
2 REVISO DA LITERATURA ....................................................................... 7
2.1 Segurana da Informao .................................................................... 7
2.2 Segurana em Rede de Computadores ............................................... 8
2.3 Segurana da informao na rea da sade...................................... 13
2.4 Os Componentes Bsicos .................................................................. 14
2.4.1 Ativo ............................................................................................. 14
2.4.2 Ameaa........................................................................................ 15
2.4.3 Vulnerabilidade ............................................................................ 15
2.4.4 Risco............................................................................................ 15
2.4.5 Impacto ........................................................................................ 16
2.4.6 Negcio........................................................................................ 16
2.4.7 Interao entre os componentes ................................................. 16
2.5 Normas de Segurana da Informao................................................ 17
LISTA DE SIGLAS
ABNT
CERT.br
COBIT
Control
Objectives
for
Information
and
related
Technology
HCFMUSP
HIPAA
IEC
ISO
ISRAM
ITIL
NBR
Norma Brasileira
NETI
PDCA
SGSI
LISTA DE TABELAS
LISTA DE FIGURAS
RESUMO
visando
assegurar
confidencialidade,
integridade
SUMMARY
1 INTRODUO
fornecedores,
sociedade,
funcionrios,
acionistas,
Fortalecimento
da
rea
profissionais
de
segurana
da
informao da organizao.
A Figura 2 mostra um levantamento do nmero de empresas
certificadas na norma ISO 27001, no mundo entre julho de 2005 e janeiro de
2010 (iso27001security).
1.2 Justificativas
2 REVISO DA LITERATURA
de
controles
adequados,
incluindo
polticas,
processos,
foram
usadas
principalmente
por
pesquisadores
10
Objetivo
Divertir-se bisbilhotando as mensagens de correio
eletrnico de outras pessoas
Hacker/Cracker
Testar o sistema de segurana de algum; roubar
dados
Executivo
Descobrir a estratgia de marketing do concorrente
Ex-funcionrio
Vingar-se por ter sido demitido
Contador
Desviar dinheiro de uma empresa
Vigarista
Roubar nmeros de carto de crditos e vende-los
Espio
Descobrir segredos militares ou industriais de um
inimigo
Terrorista
Roubar segredos de armas bacteriolgicas
FONTE: Tanenbaum A. Redes de Computadores. 2003. p.768
11
12
um
software
geralmente
instalado
na
mquina
sem
13
Por
14
2.4.1 Ativo
Qualquer coisa que tenha valor para a organizao (ISO/IEC 133351:2004). No contexto da segurana da informao na sade, segundo a ISO
27799 os ativos podem ser:
15
Hardware
Software
2.4.2 Ameaa
2.4.3 Vulnerabilidade
2.4.4 Risco
16
2.4.5 Impacto
2.4.6 Negcio
17
18
Nome
Introduo
Objetivo
Referencia normativa
Termos e definies
19
20
21
22
3 OBJETIVOS
23
4 MTODO
24
1- Planejamento
diagnstico (4.2.3);
(8.1);
3- Avaliao
2- Implantao
(4.2.2);
b) Implantao dos controles (4.2.2);
c) Realizar treinamentos e implementar
programas de conscientizao (4.2.2 e 5.2.2);
d) Controle de documentos (4.3.2);
25
4.3 Planejamento
da
norma
analisados. As
diferenas
foram
consideradas
26
27
Pontos
0
1
2
3
4
5
28
4.3.1.2 Questionrio
29
30
31
32
Consultor de Segurana
Analista de Segurana
33
motivos:
34
35
que
tem
finalidade
de
atribuir
legalmente
36
Probabilidade de explorao
Consequncia da explorao
Muito
Baixo
Baixo
Mdio
Alto
Muito
Alto
P - Probabilidade
C - Consequncia
R Relevncia para o
Negcio
37
Interpretao
Possveis Valores
(PxCxR)
Muito alto
Alto
Mdio
Baixo
Muito baixo
1, 2, 3, 4, 5, 6
38
39
4.4 Implantao
4.4.3
Realizar
treinamentos
implementar
programas
de
conscientizao
40
criou
alguns
documentos
considerados
obrigatrios
por
41
descartados
sejam
conforme
transferidos,
os
armazenados
procedimentos
finalmente
aplicveis
sua
classificao;
g) Assegurar que documentos de origem externa sejam identificados;
h) Assegurar que a distribuio de documentos seja controlada;
i) Prevenir o uso no intencional de documentos obsoletos; e
j) Aplicar identificao adequada nos casos em que sejam retidos para
qualquer propsito.
4.5 Avaliao
42
43
5 RESULTADOS
44
NETI
Gerencia de Tecnologia
Rotinas de Backup
Datacenter
Servidores
Equipamentos de rede
Mdias
Documentao dos
procedimentos de operao
Gerencia da Informao
Levantamento de dados e
Definio das fases do projeto
Desenvolvimento
Homologao
Treinamento e testes
Implantao
Suporte e manuteno
Pessoas
Suporte Tcnico
Projetos Interno/Externo
45
46
S.O.
Apl./B.D. Verso
Observao
Descrio
Modelo
Descrio
Volumes
Cargo
Setor/Seo
47
12
representa
tabela
criada
para
executar
na
organizao,
os
possveis
controles
contra
estas
48
Controle
Detalhe do Controle
Ameaas
Relacionadas
Risco
(PxCxR)
Controle
Ser
Imp.?
Motivo da no implementao ou
Descrio da implementao
Controles
Anexo A
Prazo
Resp.
49
5.2 Indicadores
Max
10
Inic
3
Fin
10
P
0,001548*
48
17
8,78
0,0030503
22
16
18,79
0,0000146
39
16
12,21
0,0004765
58
12
18
1,12
0,2890521
126
23
37
3,7
0,0545145
101
30
37
0,8
0,369906
64
11
11
0,05
0,8147653
21
0,5*
20
0,1153846*
41
550
0
86
4
170
35,07
0,0578997*
<0,00000001
50
Inic
1
Fin
2
P
0,5*
0,3175586*
0,0238095*
0,0656109*
1,0
11
16
1,11
0,2923600
12
15
0,32
0,5703716
0,15
0,7029176
-**
0,5*
0
37
1
59
7,28
0,5*
0,0069619
51
Tabela
16
Anlise estatstica
implementados
Item
Max
Poltica de Segurana
2
Organizando a Segurana da
11
Informao
Gesto de Ativos
5
Segurana nos Recursos
9
Humanos
Segurana Fsica e do
13
Ambiente
Gerenciamento das Operaes
29
e Comunicaes
Controle de Acesso
25
Aquisio, Desenvolvimento e
Manuteno de Sistemas de
16
Informao
Gesto de Incidentes de
5
Segurana da Informao
Gesto de Continuidade de
5
Negcios
Conformidade
10
Total 130
dos
controles
parcialmente
Inic
0
Fin
0
P
-
0,5*
0,5*
0,5*
0,5*
0,3335504*
0,7580645*
0,5*
0
9
1
9
0,06
0,5*
0,8069901
52
Inic
1
Fin
0
P
0,5*
0,1807276*
0,1031746*
0,0656109*
0,16
0,6868652
17
13
0,62
0,4305169
1,0
10
10
0,13
0,7150007
0,5*
0,5*
10
84
8
62
6,89
0,2368421
0,0086729
53
Tot
30
Inic
5
5
20
Fin
19
6
5
11,74
0,0
13,44
P
0,0006130
1,0
0,0002463
Tot = quantidade de controles obrigatrios, Inic = valor inicial encontrado, Fin = valor final
encontrado, = valor do qui-quadrado, P = nvel de significncia
de
(16,6%)
para
19
(63,3%),
controles
parcialmente
30
Total de controles
25
ago/09
jun/10
20
15
10
jun/10
ago/09
ago/09
Implementados
Parcialmente
implementados
jun/10
5
0
No implementados
54
5.2.2 Questionrio
Anlise inicial
2
6
7
3
18
Anlise final
1
6
7
1
15
55
Conc totalmente
Inic
Fin
P
77%
93% 0,229
28%
46% 0,447
28%
40% 0,710
94% 100% 0,545
55%
59% 0,923
50%
45% 0,585
70%
78% 0,555
90%
78% 0,458
90%
78% 0,458
30%
45% 0,429
40%
33% 0,570
50%
78% 0,219
0%
22% 0,210
60%
56% 0,605
0%
22% 0,210
0%
23% 0,210
60%
67% 0,570
20%
22% 0,667
40%
67% 0,242
Conc parcialmente
Inic
Fin
P
17%
7%
0,373
33%
27% 0,488
32%
46% 0,672
6%
0%
0,545
16%
20% 0,577
50%
45% 0,585
30%
0%
0,123
10%
11% 0,736
10%
22% 0,458
40%
22% 0,369
30%
22% 0,555
20%
11% 0,541
30%
34% 0,630
30%
44% 0,429
30%
22% 0,555
10%
22% 0,458
40%
22% 0,369
40%
45% 0,605
40%
22% 0,369
Disc parcialmente
Inic
Fin
P
0%
0%
11%
7%
0,570
17%
7%
0,373
0%
0%
6%
7%
0,710
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
11% 0,473
10%
0%
0,526
0%
0%
20%
11% 0,541
10%
22% 0,458
0%
0%
0%
0%
0%
0%
-
Disc totalmente
Inic
Fin
P
6%
0%
0,545
17%
0%
0,149
17%
0%
0,149
0%
0%
17%
7%
0,373
0%
0%
0%
0%
0%
0%
0%
0%
10%
33% 0,249
10%
45% 0,119
10%
0%
0,526
20%
33% 0,444
0%
0%
20%
11% 0,541
50%
22% 0,219
0%
0%
20%
0%
0,263
0%
0%
-
Qst = nmero da questo, Conc totalmente = concordo totalmente, Conc parcialmente = concordo parcialmente, No conc nem disc = no concordo
nem discordo, Disc parcialmente = discordo parcialmente, Disc totalmente = discordo totalmente, Inic = porcentagem inicial encontrada, Fin =
porcentagem final encontrada, P = nvel de significncia.
56
maioria
dos
funcionrios
(77%)
considera
ter
alguma
77%
Concordo totalmente
Concordo parcialmente
No concordo nem discordo
Discordo parcialmente
6%
0%
17%
Discordo totalmente
57
11%
11%
17%
Concordo totalmente
Concordo parcialmente
No concordo nem discordo
Discordo parcialmente
33%
28%
Discordo totalmente
17%
6%
17%
Concordo totalmente
Concordo parcialmente
No concordo nem discordo
32%
28%
Discordo parcialmente
Discordo totalmente
58
94%
Concordo totalmente
Concordo parcialmente
No concordo nem discordo
Discordo parcialmente
0%
Discordo totalmente
6%
40%
Concordo totalmente
Concordo parcialmente
30%
0%
20%
Discordo totalmente
59
10%
20%
Concordo totalmente
0%
Concordo parcialmente
No concordo nem discordo
30%
40%
Discordo parcialmente
Discordo totalmente
Ningum
concordou
totalmente
apenas
30%
concordaram
20%
Concordo totalmente
0%
20%
Concordo parcialmente
No concordo nem discordo
30%
30%
Discordo parcialmente
Discordo totalmente
60
30%
10%
Concordo totalmente
10%
Concordo parcialmente
No concordo nem discordo
0%
Discordo parcialmente
50%
Discordo totalmente
61
6 DISCUSSO
62
procedimentos
peridicos
para
checar
63
64
65
66
7 CONCLUSES
67
8 ANEXOS
Anexo A Amostra da planilha gerada com base nos controles do Anexo A da ISO 27001
Nr
Controle
Poltica de
Segurana
Controles
implementados
Sim
Atende aos
requisitos da norma
Requisito
obrigatrio 4
SGSI
Obs.5
---
Nmero do controle
Anlise dos controles em utilizao. Sim representa que o controle est implementado, Par representa que o controle est parcialmente
implementado, No representa que o controle no est implementado e N/A representa que o controle no se aplica ao estudo de caso.
Anlise do atendimento do controle com a norma de referncia. Sim representa que o controle atende aos requisitos da norma, Par representa
que o controle atende parcialmente aos requisitos da norma, No representa que o controle no atende aos requisitos da norma e N/A representa
que o controle no se aplica ao estudo de caso.
4
Controles considerados obrigatrios pela ISO 27001 ou pelo escopo escolhido para o projeto.
5
Campo para observaes. Foi utilizado para indicar os itens da norma que cobram a implementao do controle.
6
Pontuao mxima e pontuao obtida no momento da avaliao.
Pontuao6
Mx
Atual
68
Exemplo de documento
1.0
27/08/2009
Carlos Eduardo Ribas
Pblica
Histrico do documento
Verso
Data
Autor
1.0
28/08/2009 Carlos E. Ribas
Descrio da atualizao
Aprovao do documento
1. Introduo
2. Objetivos
3. Descrio
...
Aprovado por:
____________________________
Gestor de Segurana da Informao
69
Histrico do documento
Verso
Data
Autor
1.0
04/09/2009 Carlos E. Ribas
Descrio da atualizao
Aprovao do documento
1. Introduo
2. Objetivos
70
Analista de Segurana
Aprovado por:
______________________
Diretor do NETI
Nome
xxx
xxx
xxx
xxx
xxx
xxx
xxx
xxx
71
Escopo
1.1
10/09/2009
Carlos Eduardo Ribas
Pblica
Histrico do documento
Verso
Data
Autor
1.0
11/09/2009 Carlos E. Ribas
1.1
17/05/2010 Carlos E. Ribas
Descrio da atualizao
Aprovao do documento
Conformidade com a declarao
de aplicabilidade
1. Introduo
2. Objetivos
3. Escopo
72
____________________________
____________________________
Diretor do NETI
73
Histrico do documento
Data
Autor
Verso
1.0
25/05/2010 Carlos Ribas
Descrio da atualizao
Aprovao do regulamento
1. Introduo
74
2. Objetivos
3. Referncias utilizadas
4. Responsabilidades
Da direo:
a) Aprovar este regulamento e suas revises;
b) Tomar as decises administrativas referentes aos casos de
descumprimento
deste
Regulamento
e/ou
da
Poltica
de
continua
75
ajustes,
aprimoramentos
modificaes
deste
Regulamento;
b) Propor projetos e iniciativas relacionados melhoria da segurana
da informao.
5. Classificao da Informao
continua
76
77
7.0 Violaes
78
1. Introduo
2. Objetivo
continua
79
______________________________
Nome:
RG:
80
Poltica de
Segurana
Seleo
Sim/No
Nmero Controle
5.1.1
5.1.2
Justificativas / Documentos
comprobatrios
X
X
Ref. RISI
Ref. Gesto de Polticas
Sim
Sim
No
No
No
No
No
Sim
81
9 REFERNCIAS
Ahmad R, Samy GN, Ibrahim NK, Bath PA, Ismail Z. Threats identification in
healthcare information systems using genetic algorithm and cox regression.
In: IAS 09 - Fifth International Conference on Information Assurance and
Security. 2009. p. 757-60.
ITSim 2008 -
82
83
84
ISO/IEC 13335-1:2004 - Information technology - Security techniques Management of information and communications technology security - Part
1: Concepts and models for information and communications technology
security management.
85
Ku CY, Chang YW, Yen DC. National information security policy and its
implementation: A case study in Taiwan. Telecommunications Policy. 2009;
33(7):371-84.
Laribee L, Barnes DS, Rowe NC, Martell CH. Analysis and defensive tools for
social-engineering attacks on computer systems. In: Proceedings of the IEEE
Workshop on Information Assurance. 2006. p.388-9.
Lau F, Rubin SH, Smith MH, Trajkovic L. Distributed denial of service attacks.
In: ICSMC 2000 - IEEE International Conference on Systems, Man and
Cybernetics. 2000. p.2275-80.
McGee AR, Bastry FA, Chandrashekhar U, Vasireddy SR, Flynn LA. Using
the bell labs security framework to enhance the ISO 17799/27001 information
86
Miller HG., Murphy RH. Secure cyberspace: answering the call for intelligent
action. IT Professional. 2009;11(3):60-3.
Samy GN, Ahmad R, Ismail Z. Threats to health information security. In: IAS
09 - Fifth International Conference on Information Assurance and Security.
2009. p. 540-3.
87