Maio de 2015

Segurana da Informao

Marcelo Gonalves | Joo Lucas Pecin | Marcos Antnio | Guilherme Nogueira

FACULDADE DE TECNOLOGIA SENAC - GESTO EM TECNOLOGIA DA INFORMAO

Sumrio
1.

Introduo ............................................................................................................................. 3

2.

Escopo ................................................................................................................................... 3

3.

Reviso .................................................................................................................................. 3

4.

Ativos Crticos Para o Sucesso do Negcio ............................................................................ 4

5.

Ativos de Software ................................................................................................................ 4

6.

Servios ................................................................................................................................. 4

7.

Recursos Humanos ................................................................................................................ 4

8.

Identificao e tratamento dos riscos ................................................................................... 5

8.1.

Tabela de Classificao da Probabilidade de Riscos...................................................... 5

8.2.

Tabela de Classificao de Impacto dos Riscos ............................................................. 5

8.3.

Matriz de exposio de risco ......................................................................................... 5

9.

Tabela de riscos ..................................................................................................................... 1

10.

Diretrizes ........................................................................................................................... 1

10.1.

Classificaes das informaes ................................................................................. 1

10.2.

Tratamento das Informaes .................................................................................... 2

10.3.

Informao Confidencial ........................................................................................... 2

10.4.

Manuseio ................................................................................................................... 2

10.5.

Transporte ................................................................................................................. 2

10.6.

Descarte .................................................................................................................... 2

10.7.

Manuseio ................................................................................................................... 3

10.8.

Transporte ................................................................................................................. 3

10.9.

Descarte .................................................................................................................... 3

10.10.

Informao Pblica.................................................................................................... 3

Uso do Correio Eletrnico ......................................................................................................... 4

10.11.

Uso da Internet.......................................................................................................... 5

10.12.

Uso dos Recursos de TI.............................................................................................. 5

10.13.

Monitorao de Uso e Acesso aos Sistemas ............................................................. 6

10.14.

Aceitao da Poltica de Segurana da Informao .................................................. 6

11.

Violaes e Sanes .......................................................................................................... 6

11.1.

Violaes ................................................................................................................... 6

11.2.

Sanes...................................................................................................................... 7

12.

Concluso .......................................................................................................................... 7

1. Introduo
Atender as regras de Segurana da Informao da empresa constitui uma das mais importantes
contribuies dos colaboradores para proteger os ativos da empresa.
Os ativos de informao englobam todas as informaes da empresa, os objetos que as
suportam e as pessoas que as utilizam. Desta forma, as informaes da empresa devem ser
protegidas em todos os meios, sejam eles tecnolgicos, impressos e tcitos. As informaes
devem ser classificadas e disponibilizadas somente a quem tenha a necessidade e autorizao
em virtude de sua funo ou cargo e de acordo com suas responsabilidades na companhia.
Proteger estes ativos de informao significa, tambm, mant-los seguros contra ameaas que
possam afetar sua funcionalidade.
Assim, a Segurana da Informao visa proteger estes ativos com base na preservao de trs
princpios bsicos:

Confidencialidade: Ter confidencialidade garantir que o que foi dito a algum ou

escrito em algum lugar somente ser escutado ou lido por quem tiver direito.
Integridade: Uma informao ntegra uma informao original que no tenha sido
alterada indevidamente (sem autorizao) ou danificada.
Disponibilidade: Para que uma informao possa ser utilizada ela precisa estar
disponvel. Garantir a disponibilidade permitir que quem necessite da informao e
esteja autorizado a tenha no momento de fazer uso dela.

A fim de gerenciar estes ativos de informao da Web Rock, sero utilizados todos os meios
tecnolgicos ou no para monitorar e controlar seu uso por todos os colaboradores, no
devendo haver expectativa de privacidade por parte dos mesmos.
Todas as informaes produzidas, geradas, criadas e armazenadas na empresa e por seus
colaboradores so de propriedade da Web Rock, que poder usar para qualquer propsito e em
qualquer momento.

2. Escopo
Esta poltica abrange todos os colaboradores (funcionrios e prestadores de servio) que
tenham qualquer tipo de acesso, tecnolgico ou no, s informaes da empresa.

3. Reviso
de responsabilidade do Departamento de TI manter, disseminar e atualizar esta poltica
semestralmente e os documentos a ela relacionados, a contar de sua data de vigncia ou sempre
que houver uma mudana de qualquer natureza que se julgue necessria a reviso para refletir
eventuais alteraes nos objetivos de negcios ou no ambiente de risco (ameaas de segurana
e medidas de proteo para mitigar estas ameaas).

4. Ativos Crticos Para o Sucesso do Negcio

Bases de dados e arquivos;

Documentaes de sistemas;
Informaes sobre pesquisas;
Planos de continuidade do negcio;
Procedimentos de recuperao;
Trilhas de auditoria e informaes armazenadas.

5. Ativos de Software

Sistemas;
Aplicativos;
Ferramentas de desenvolvimento;
Utilitrios.
5.3 Ativos de Hardware
Servidores de banco de dados;
Servidores de arquivos;
Servidores de aplicaes;
Estruturas de rede corporativa;
Estaes de trabalho;
Dispositivos de comunicao;
Dispositivos e ferramentas de armazenamento.

6. Servios

Link de internet;
Servios de telefonia fixa e mvel;
Eletricidade.

7. Recursos Humanos

Pessoas e suas qualificaes, habilidades e experincias.

8. Identificao e tratamento dos riscos

A identificao dos riscos foi feita por meio de reunies usando o mtodo do brainstorm, com
a participao dos responsveis pelo departamento de TI. Cada item foi identificado os riscos
relevantes, sua descrio, probabilidade de impacto, consideramos os grupos de aes
definidos para cada meta.

8.1.

Probabilidade
Inerente (> 80%)
Muito Provvel (60% a 80%)
Provvel (40% a 60%)
Pouco Provvel (20% < 40%)
Improvvel (< 20%)

8.2.
Pontos
5
4
3
2
1

Impacto
Muito Alto
Alto
Mdio
Baixo
Muito Baixo

8.3.

Tabela de Classificao de Impacto dos Riscos

Critrios de Classificao (Riscos Negativos)
Impede o funcionamento do sistema de forma crtica.
Interfere na base de dados e na continuidade do negcio
Interfere no procedimento de recuperao do sistema
Afeta o recuso humano, causando lentido para o desenvolvimentos das atividades
Afeta o funcionamento das maquinas do usurios

Matriz de exposio de risco

Probabilidade

Pontos
5
4
3
2
1

Tabela de Classificao da Probabilidade de Riscos

5
4
3
2
1

5
4
3
2
1
1

10
8
6
4
2
2

15 20
12 16
9 12
6 8
3 4
3 4
Impacto

25
20
15
10
5
5

9. Tabela de riscos
Ativos

Base de Dados

Risco
Invaso e roubo de
informaes
Perca dos dados
Base de dados
danificada

Falta de energia

Queda do sistema
geral

Falta de mo de obra

Paradas de servios

Documentaes de
sistemas

Perda da
continuidade do
negcio

Informaes sobre
pesquisas

Queda de vendas

Controle
Revisar as regras do firewall.
Manter um backup atualizado.
Manter um backup atualizado.
Manter o gerador de energia de pequeno
porte conectado ao servidor em perfeito
estado de funcionamento.
Ter pessoas capazes de trabalhar em mais
de uma tarefa
Manter o documento atualizado e
armazenado em mais de um lugar em
segurana.
Somente pessoas autorizadas podem
acessar as informaes

10. Diretrizes
10.1.

Classificaes das informaes

As informaes devem ser classificadas para indicar a necessidade, prioridade e o nvel esperado
de proteo quanto ao tratamento da informao.
A informao possui vrios nveis de sensibilidade e criticidade. Alguns itens podem necessitar
um nvel adicional de proteo ou tratamento especial. Assim, um sistema de classificao deve
ser usado para definir um conjunto apropriado de nveis de proteo e determinar a necessidade
de medidas especiais de tratamento. Desta forma, todas as informaes da empresa devem ser
classificadas em termos do seu valor, requisitos legais, sensibilidade e criticidade.
Na Web Rock as informaes devem ser classificadas de acordo com os trs nveis abaixo:

Informao Confidencial: So aquelas que devem ser utilizadas somente por

colaboradores autorizados e protegidas do pblico externo. Se divulgadas a pessoas no
autorizadas podem causar danos financeiros, imagem, reputao, jurdicos e de
competitividade a empresa.
Informao Interna: So informaes utilizadas normalmente dentro da empresa por
seus colaboradores para suas atividades rotineiras, no se destinando, contudo, ao
pblico externo. Apesar de seu contedo no causar graves consequncias ao negcio
se divulgadas, devem ser protegidas e acessadas somente pelo pblico interno da
empresa.
Informao pblica: So informaes criadas para fins de distribuio pblica,
livremente disponveis fora da empresa ou que a empresa determinou que fosse
1

liberado o acesso como tal. Estas informaes no necessitam nenhum tipo de proteo
ou tratamento especfico.

10.2.

Tratamento das Informaes

Todas as informaes da empresa devem ser tratadas adequadamente em todo seu ciclo de
vida, assim aps a sua criao ou gerao, esteja ela em meio fsico ou eletrnico, deve ser
armazenada, manuseada, transportada e descartada ao final de sua vida til adequadamente.

10.3.

Informao Confidencial

Meio Eletrnico Devem ser armazenados em diretrios de servidores da rede da empresa com
acesso concedido criteriosamente somente s pessoas ou grupos necessrios.
Mdias Fsicas Devem ser armazenadas em armrios ou gavetas de mesas que possam ser
trancados e sob a manuteno de vigilncia nas dependncias internas da empresa.

10.4.

Manuseio

Devem ser manuseadas somente pelas pessoas ou grupos autorizados no ambiente interno da
empresa, preferencialmente longe do fluxo de circulao normal de pessoas, de forma
cuidadosa, verificando sempre se no h pessoas no autorizadas observando.

10.5.

Meio Eletrnico Devem preferencialmente trafegar no ambiente interno da empresa

entre as pessoas com acessos concedidos. Se necessrio trafegar para ambiente
externo, as informaes devem obrigatoriamente ser enviadas criptografadas a
destinatrios autorizados e de preferncia atravs de SFTP da empresa, nunca atravs
de FTP pblicos, blogs, Messenger ou qualquer outro meio considerado de acesso
pblico, principalmente internet.
Mdias Fsicas No caso de mdias fsicas com contedo eletrnico (CDs. DVDs, Pen
Drives, Fitas de Backup, etc.) este contedo deve estar criptografado. Caso sejam mdias
impressas, estas devem estar acondicionadas adequadamente em volumes lacrados,
livre de observao de contedo ou parte deste atravs de incidncia de luz e/ou de
outros mecanismos. O transporte deve ser realizado por empresa prestadora de servio
em regime de contrato pactuado com clusulas de confidencialidade. A parte
recebedora deve ser instruda a comunicar imediatamente o recebimento de volumes
violados.

10.6.

Transporte

Descarte

Meio Eletrnico Destruir fisicamente, se possvel, ou utilizar meios eletrnicos que

tornem as informaes irrecuperveis.
Meio Eletrnico Devem ser armazenados em diretrios de servidores da rede da
empresa com acesso concedido criteriosamente somente s pessoas ou grupos
necessrios.
2

Mdias Fsicas Devem ser armazenadas em armrios ou gavetas de mesas sem acesso
do pblico externo.

10.7.

Manuseio

Devem ser manuseadas somente por colaboradores da empresa dentro do permetro interno
da empresa.

10.8.

Transporte

Devem ser enviados somente a colaboradores da empresa. Caso a informao interna tenha que
ser enviada para o meio externo, ela dever ser reclassificada como Confidencial.

10.9.

Descarte

Meio Eletrnico Destruir fisicamente, se possvel, ou utilizar meios eletrnicos que tornem as
informaes irrecuperveis.
Mdias Fsicas Triturar, incinerar ou reduzir a mdia em partes que no possam ser recompostas
de modo que as informaes no possam ser recuperadas.

10.10. Informao Pblica

No requer proteo.
O Controle de Acesso Lgico a base da proteo de todas as informaes residentes em
sistemas eletrnicos da empresa.
O acesso informao, recursos de processamento das informaes e processos de negcios
devem ser controlados com base nos requisitos de negcio e segurana da informao.
Cabe ao Departamento de Tecnologia da Informao o controle de acesso a todos os sistemas
de informao de forma a conceder, bloquear, suspender e excluir acessos de quaisquer
colaboradores (empregados, terceiros ou prestadores de servio).
Deve ser assegurado que todo colaborador ao acessar sistemas da empresa tenha um
identificador e senha.
a) Este identificador deve ser nico, exclusivo e intransfervel em cada sistema.
b) No devem ser usadas contas e senhas em grupo, compartilhadas ou genricas em
quaisquer equipamentos ou sistemas. Equipamentos ou sistemas onde no seja possvel
desativar os usurios de administrao ou de servio, as senhas devero ser guardadas
sob dupla custdia ou sob o conhecimento de uma nica pessoa que ser a nica
responsvel por todos os atos realizados com esta conta.
Devem existir mecanismos para cadastramento do tempo de vida das contas de acesso
(bloqueando e/ou excluindo ao final do prazo) para prestadores de servios (auditores,
consultores, terceirizados), de acordo com o contrato estabelecido entre a empresa prestadora
do servio e a empresa.
3

Deve haver uma interao entre a Diretoria de Recursos Humanos e a Diretoria de Tecnologia
da Informao de forma a, mensalmente, verificar a existncia de colaboradores demitidos,
afastados (por qualquer motivo) ou transferidos nas bases de colaboradores ativos de todos os
sistemas.
Toda conta de acesso rede ou sistemas deve ter uma senha configurada, considerando:

Tamanho mnimo de 8 caracteres alfanumricos.

Dever conter caracteres maisculos e minsculos.
Dever conter, pelo menos, um nmero ou caractere especial (!, $, #, %, etc.).
Senha inicial expirada e nica para cada colaborador.
Troca peridica e obrigatria a cada 120 dias ou a qualquer momento pelo prprio
colaborador. Caso o colaborador no troque a senha neste prazo a conta ser
bloqueada.
Restrio de reutilizao das ltimas 3 senhas.
Bloqueio por 3 tentativas de acesso malsucedidas. O bloqueio perdurar at a ao de
desbloqueio realizado atravs de chamado via telefone ou sistema de helpdesk) ou por
sistema de autoatendimento de recuperao de senhas.

Deve-se assegurar que todos os sistemas e ferramentas de rede que armazenem e transmitam
senhas, utilizem criptografia robusta tornando-as ilegveis.
Contas no utilizadas por 90 (noventa) dias devem ser bloqueadas. O bloqueio perdurar at a
ao de desbloqueio. As contas bloqueadas por falta de utilizao, se no desbloqueadas em 90
(noventa) dias devero ser eliminadas dos sistemas.
Nenhum nome de conta revogada (bloqueada ou suspensa) pode ser reutilizado para um
colaborador diferente do qual a conta foi criada.
Deve, ainda, ser utilizada a premissa Tudo proibido, a menos que expressamente permitido
na concesso de acessos.

Uso do Correio Eletrnico

O correio eletrnico da empresa uma ferramenta de trabalho e deve ser utilizada somente
para este fim.
Desta forma, podero ser bloqueados o envio e o recebimento de mensagens com anexos de
determinadas extenses que possam conter arquivos maliciosos (vrus, trojans, etc.) ou com
contedo no apropriado aos negcios da empresa.
O correio eletrnico no deve ser utilizado para:
a)
b)
c)
d)
e)

Distribuir mensagens no solicitadas a outras pessoas, caracterizando SPAM.

Enviar mensagens com remetente forjado.
Enviar mensagens do tipo corrente ou pirmide.
Transmitir material ofensivo, abusivo, antitico, ertico e pornogrfico.
Qualquer outra atividade no relacionada aos negcios da empresa.

Mensagens de Correio Eletrnico com informaes confidenciais enviadas via internet (para
endereos externos), devem ser protegidas contra leitura ou adulterao. Desta forma, no
envie informaes confidenciais por e-mail sem criptograf-las.
O uso do correio eletrnico monitorado e no deve ser esperada privacidade do contedo das
mensagens enviadas ou recebidas.

10.11. Uso da Internet

Da mesma forma que o correio eletrnico, a Internet uma ferramenta de trabalho e tem por
finalidade a obteno de informaes relativas s atividades da empresa.
proibido seu uso para outras atividades, especialmente para:
Qualquer tipo de programa de mensagens instantneas, com exceo de programas
disponibilizados pela empresa.
Acesso a sites que contenham material ofensivo, antitico, racista, ertico ou pornogrfico.
Acesso a sites de armazenamento de arquivos externos (Personal Network Storage and Backup
e Peer-to-Peer File Sharing) e de colaborao web (Web collaboration) no providos pela
empresa.
Acesso a sites de relacionamento, fruns e blogs.
Cpia de msicas, filmes, imagens, softwares ou qualquer material protegido por direitos
autorais.
Utilizao de rdios e TVs on-line.
Download de arquivos executveis.
O uso da internet monitorado e no deve ser esperada privacidade do histrico de navegao
ou de outros servios utilizados.

10.12. Uso dos Recursos de TI

proibida a conexo de quaisquer dispositivos e equipamentos particulares rede corporativa
da empresa
proibida a gravao de informaes confidenciais em mdias removveis de armazenamento
(USB Pendrives, CDs e DVDs gravveis e regravveis, HDs externos, cartes de memria, etc.). A
gravao somente ser permitida para necessidades comprovadas de negcio, com aprovao
do gestor e, obrigatoriamente, criptografada ou em dispositivos criptografados.
Dispositivos mveis (Smartphones, Tablets, etc.) que no sejam de propriedade da empresa no
podero, tambm, ser conectados aos equipamentos corporativos para fins de sincronismo ou
qualquer outro fim. O acesso destes dispositivos rede corporativa deve se limitar ao uso do
sistema de e-mails da empresa e serem formalmente autorizados pelo Diretor responsvel.
Somente o Departamento de TI podero instalar programas e aplicaes, desde que
devidamente homologados e licenciados pela empresa (para obter informaes sobre
5

programas homologados, entre em contato com o Departamento de TI). proibida a instalao

de quaisquer softwares particulares nos equipamentos da empresa, mesmo que licenciados.

10.13. Monitorao de Uso e Acesso aos Sistemas

Sero utilizados todos os meios, tecnolgicos ou no, para monitorar as atividades nos sistemas
e aos ambientes fsicos da empresa.
Este monitoramento visa o controle e a deteco de atividades no autorizadas com as
informaes da empresa e o cumprimento do disposto nesta Poltica e demais procedimentos
relacionados Segurana da Informao.
As trilhas de auditoria (logs) de todos os sistemas e controles de acesso devero ser mantidas
por, no mnimo, um ano on-line (consulta imediata) e cinco anos off-line (backup).
Estas trilhas de auditoria sero analisadas de maneira crtica diariamente a fim de detectar e
alertar as equipes de Segurana da Informao e Tecnologia da Informao sobre desvios
importantes que possam indicar a explorao de ameaas a eventuais vulnerabilidades da
empresa.

10.14. Aceitao da Poltica de Segurana da Informao

Todos os funcionrios e prestadores de servios envolvidos com informaes da empresa
devero aceitar formalmente o conhecimento e seu compromisso em cumprir esta poltica e
demais documentos relacionados Segurana da Informao e suas alteraes e revises
quando publicadas e divulgadas.
Sem esta aceitao formal no devem ser concedidos novos acessos s informaes da empresa
e bloqueados todos os acessos j concedidos.

11. Violaes e Sanes

11.1.

Violaes

So consideradas violaes poltica, s normas ou aos procedimentos de segurana da

informao as seguintes situaes, no se limitando s mesmas:
a) Quaisquer aes ou situaes que possam expor a Web Rock ou seus clientes perda
financeira e de imagem, direta ou indiretamente, potenciais ou reais, comprometendo
seus ativos de informao;
b) Utilizao indevida de dados corporativos, divulgao no autorizada de informaes,
segredos comerciais ou outras informaes sem a permisso expressa do Gestor da
Informao;
c) Uso de dados, informaes, equipamentos, software, sistemas ou outros recursos
tecnolgicos, para propsitos ilcitos, que possam incluir a violao de leis, de
regulamentos internos e externos, da tica ou de exigncias de organismos reguladores
da rea de atuao da Web Rock ou de seus clientes;
d) A no comunicao imediata rea de Segurana da Informao de quaisquer
descumprimentos da poltica, de normas ou de procedimentos de Segurana da
6

Informao, que porventura um empregado, estagirio, aprendiz ou prestador de

servios venha a tomar conhecimento ou chegue a presenciar.

11.2.

Sanes

A violao poltica, s normas ou aos procedimentos de segurana da informao ou a no

aderncia poltica de segurana da informao da Web Rock so consideradas faltas graves,
podendo ser aplicadas penalidades previstas em lei.

12. Concluso
Toda empresa nos dias atuais, necessita de um departamento de T.I, no apenas para
informatizar a empresa, mas para fazer com que atravs do departamento de T.I, alcance
maiores resultados e com isso fazer com que a empresa continue crescendo com segurana de
a garantia de que todos os servios propostos ao clientes sejam entregue, proporcionando um
atendimento de qualidade de maneira que o cliente fidelize com a Web Rock.
Pensar no departamento de T.I como um investimento, far com que a empresa trabalhe de
forma harmnica e que todos os problemas que possam surgir sejam resolvido dentro do
documento de planejamento de riscos e que de uma forma geral, todos saiam ganhando, a
empresa com seu crescimento significativo, os usurios por trabalharem com conforto e de
forma mais produtiva, assim todos podem alcanar seus objetivos de forma sucinta e
gratificante.