Plano de Segurança em TI

MINISTÉRIO DA EDUCAÇÃO
SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA

INSTITUTO FEDERAL CATARINENSE
CÂMPUS CAMBORIÚ

Trabalho de Segurança da Informação

PLANO SEGURANÇA DA INFORMAÇÃO

Alunos: Vitória Francisco Ramos e Raphael Correa Dias
Orientador: Prof. Dr. Aujor Tadeu

R. Joaquim Garcia, s/n - Centro, Camboriú - SC, 88340-055

Camboriú - SC

CÂMPUS CAMBORIÚ
1. Introdução
O trabalho aborda um plano de segurança da informação para uma
determinada empresa, que deseja implementar mecanismos de segurança
para prevenir eventuais incidentes de segurança.

2. OBJETIVOS
2.1 Objetivo Geral
Levantar os requisitos de segurança necessário para elaboração do
plano de segurança e estabelecer o que será implementado.

2.2 Objetivos Específicos
Definir os pontos críticos do processo através da análise de risco e
estabelecer as estratégia de segurança.

3. METODOLOGIA.

Perguntas para planejamento do plano de segurança

1. Referente a Pessoas:
Os funcionários têm acesso a documentação de segurança?
R: Não há documentação de segurança

Os usuários têm conhecimento e boas práticas de segurança?
R: Não possuem treinamento

Existem políticas de acesso aos locais estratégicos da empresa ?
R: Não

É usado perfil dos usuários/acesso?
R: Não

Qual formato de senha?
R: Não

2. Referente a Redes
A rede tem firewall?
R: sim

Camboriú - SC

CÂMPUS CAMBORIÚ
A rede tem proxy?

R: não

Tem acesso externo?
R: sim

Permite acesso remoto?
R: sim

Existe AD?
R: não

Existem protocolos de redes bloqueados?
R: não

Quais tipos de meio (wifi/cabeada)? Qual tipo de criptografia utiliza?
R: Utiliza wifi e rede cabeada. Utiliza criptografia aes 256

Ip (manual/dinâmico)?
R: ip dinamico

Utiliza serviço (smtp, http…)?
R: sim

Utiliza filtros web?
R: não

Utiliza rede segmentada?
R: não

Qual classe ip?
R: classe C

Tem diferentes necessidades de largura de banda (balanceamento de carga)?
R: não

Utiliza vpn (transmissão segura de dados)?
R: sim

Camboriú - SC

CÂMPUS CAMBORIÚ
Utiliza cloud?
R: Sim

3. Referente a Software
Qual o sistema operacional utilizado?
R: Windows e Ubuntu

As máquinas possuem anti virus?
R: Sim

Os usuários têm permissão para instalar programas (adm/usuario/nivel)?
R: Sim

Há controle de acesso a web?
R: Não

4. Referente a Física
Faz BKP?
R: Sim

Tem STORAGE?
R: Não

Tem NOBREAK?
R: Sim

Tem SERVIDOR?
R: Sim

Tem refrigeração?
R: Sim

4. OBJETO DO ESTUDO
4.1 Apresentação da Empresa
Para o plano de segurança ser pensado, é necessário termos uma uma
empresa como modelo, para este trabalho adotaremos uma empresa fictícia
do ramo de desenvolvimento de software, que está localizada na cidade de
balneário camboriú, em uma sede própria na localidade do centro. Seu foco é

Camboriú - SC

CÂMPUS CAMBORIÚ
no desenvolvimento de websites e hospedagem dos mesmos. É uma empresa

de porte pequeno pois tem aproximadamente 22 funcionários.
Seu serviço é crítico, pois o website dos seus clientes devem funcionar
24 horas por dia.

5. DIAGNÓSTICO
5.1. Relatório técnico da estrutura de redes
A estrutura de redes da empresa se apresenta da seguinte maneira: um
link dedicado 500 MB de fibra óptica da operadora vivo.
Seu ponto de acesso a internet é da seguinte forma: um roteador de
borda que recebe a fibra, após o roteador há um firewall protegendo a rede
interna e a partir dele um switch 48 portas distribui a rede internamente.

a)Diagrama da Topologia de Rede

fonte: imagem feita pelos autores

b)Endereçamento de rede
A empresa utiliza DHCP para distribuir ips dinamicos na rede, os únicos
ips fixos são o servidor e o firewall.

c)Listar os Componentes de Rede: equipamentos,
computadores e cabeamento utilizados
● Roteador
● Computador rodando PfSense

Camboriú - SC

CÂMPUS CAMBORIÚ
● Switch HP 1820-48G 48 portas

● Servidor Ubuntu Server
● Roteador Wifi Tp-link Archer C60

d)Serviços de rede disponíveis
● SMTP
● SSH
● FTP
● HTTP

5.2. Descrição dos sistemas operacionais utilizados: versões
usadas, atualizações.
● Servidor Ubuntu Server 18.04
● Firewall PfSense 2.4.4
● Maquinas dos usuarios: Windows 7 e Ubuntu 18.4

6. ANÁLISE
4.1 Análise de Risco
a) Análise de riscos quantitativa e qualitativa

Análise de Risco de Pessoas
Grau de
Probabilidade Consequência Total
Os funcionários terem acesso a
documentação 2 2 4
Os funcionários não cumprirem as boas
práticas de segurança 4 3 12
Não possuir políticas de acesso aos locais
estratégicos 3 3 9
Não ter perfil usuário/acesso 3 3 9
Não ter senha 4 3 12


Camboriú - SC

CÂMPUS CAMBORIÚ
Análise de Risco de Redes

Grau de
Firewall configurado de forma incorreta ou
incompleta 4 3 12
Não ter proxy 4 4 16

Ter acesso externo 4 4 16
Permitir acesso remoto 2 3 6
Não utilizar filtros web 3 3 9
Não ter protocolos de redes bloqueados 3 2 6
Utilizar cloud 2 3 6

Análise de Risco de Software
Grau de
O sistema operacional possuir
vulnerabilidade 4 3 12
O antivírus desatualizado 4 3 12

O usuário ter permissão de instalar
programas 3 3 9


Camboriú - SC

CÂMPUS CAMBORIÚ
Análise de Risco Físico

Grau de
O backup é implementado de forma
incorreta 4 4 16
Não ter storage 4 4 16

Nobreak nao compativel com o nível de uso 4 3 12
Servidor não compatível com o nível de uso 4 3 12

7. ESTRATÉGIAS DE SEGURANÇA DAS INFORMAÇÕES

7.1 Etapa Conceitual

a) Políticas de Segurança/Diretrizes
1. Pessoas:
● Criar documentação de segurança
Objetivo: criar a diretriz de segurança da organização
Procedimento: baseado na iso 27001, escrever documento com
as diretrizes de segurança que se aplicam a organização

● Treinamento basico de boas praticas de segurança
Objetivo: Capacitar os colaboradores sobre as boas práticas de
segurança.
Procedimento: Treinamento mensal de 1 hora

● Criação de políticas de acesso aos locais estratégicos da empresa
Objetivo: Após determinar os locais críticos da organização,
definir as melhores políticas de acesso a esses locais.
Procedimento: A sala dos servidores, será trancada com leitura
biométrica, e somente os sysadmins terão permissão de adentrar
ao local.

● Criação do perfil de acesso dos usuários

Camboriú - SC

CÂMPUS CAMBORIÚ
Objetivo: Determinar os perfis de acesso dos usuários, por

função.
Procedimento: em entrevista aos colaboradores perguntar quais
são suas necessidades e acesso, após a coleta das informações
verificar com a gerência se as atribuições coletadas
anteriormente correspondem aos acessos necessários para
correta atribuição da função
2. Rede:
● Configuração adequada do firewall
Objetivo: Melhorar as políticas de acesso com implantação de
DMZ e duplo firewall conforme a imagem a seguir:

fonte: imagem feita pelos autores

Procedimento: Implantação de 2 firewalls 1 antes da DMZ e
outro após a DMZ para isolar as aplicações da da internet e da
rede interna.

● Implantação do proxy
Objetivo: Melhorar a segurança do controle de acesso da rede
Procedimento: Implantação de Proxy não transparente para
acesso a rede.

● Criação de políticas de acesso externo
Objetivo: Definir quais são as políticas de acesso externo, como
quem poderá acessar e quando.

Camboriú - SC

CÂMPUS CAMBORIÚ
Procedimento: Após a definição dos papéis, definir quem poderá

acessar e de qual forma.

● Criação de políticas de protocolo de rede
Objetivo: Definir quais os protocolos que serão bloqueados
Procedimento: Após a definição dos protocolos a serem
bloqueados, implementar as ACLs no proxy e firewall

● Criação de políticas de filtros web
Objetivo: Definir quais os filtros web que serão bloqueados
Procedimento: Após a definição dos filtros web a serem
bloqueados, implementar as ACLs no proxy

3. Software:
● Atualização de antivirus nas maquinas windows (4
computadores).
Objetivo: Definir qual será o antivirus que será instalado nas
maquinas Windows, realizar a instalação e atualização.
Procedimento: Instalar a última versão do Kaspersky versão
paga.

● Criação de usuarios e grupos nas maquinas windows/ubuntu
Objetivo: Definir o que cada usuário pode fazer na máquina
Procedimento: criação de usuários com perfil não administrador

4. Fisica:
● Implementação do sistema de backup
Objetivo: Proteger os dados de possíveis perdas, definir a
quantidade de backups (redundancia)
Procedimento: implementar as rotinas estabelecidas

● Adequação do nobreak
Objetivo: Adequar o equipamento ao uso da empresa
Procedimento: Substituir a unidade que não atende por duas
unidades adequadas

● Adequação do servidor
Objetivo: Adequar o equipamento ao uso da empresa

Camboriú - SC

CÂMPUS CAMBORIÚ
Procedimento: Substituir a unidade que não atende por um

servidor blade

7.2 Acessos Lógicos e Físicos

a) Banco de Dados de segurança;

Perfil HTTP FTP acesso remoto SMTP SSH
Desenvolvedores X X X X
TI X X X
Comercial X X

b) Estratégia de Infraestrutura (física e lógica; - novos
equipamento, cabeamento, storage, nobreak, VLAN ou
estratégia lógica – mecanismo e criptografias;
● Servidor
● Rack Fechado 44U
● Nobreak: Nobreak SMS 3000VA Power Vision Bivolt 27747 2 unidades +
banco de baterias de 96V (8 unidades)
● Gravador LTO: Dell LTO7 mídia de fita
● Nas Assustor V2 com 4 TB de espaço em discos.
● Switch Gerenciavel 48 Portas Hp Aruba 1920S Poe+ 4 Sfp L2 Jl386A
com possibilidade de VLAN para segmentar a rede

c) Ferramenta de Segurança Técnicas; - antivírus, firewall, IDS,
controle por RFID;
● Firewall e Proxy: Usará VMs dentro do servidor, a versão escolhida é o
PFSense pois é uma das melhores aplicações freeware e open source
desta categoria.
● Antivírus: Corporativo Kaspersky
● Nagios: Software de monitoramento de rede ( Hosts e serviços)
ferramenta freeware.


Camboriú - SC

CÂMPUS CAMBORIÚ
h) Segurança dos meios de Armazenamento; - Rotinas de

Backup - forma (tipo mídia, armazenamento) Criptografia do
Backup
A rotina de backup que será implementada consiste em criar mecanismo
redundantes de backup, entre eles estão:
● Backup Server em Disco Raid 10
● Backup em fita LTO diário
● Duplicação do Backup para NAS

Todos os Backups serão criptografados pela ferramenta VeraCrypt,
ferramenta freeware, disponível para Linux e Windows.

8. ANÁLISE DA VIABILIDADE ECONÔMICO/FINANCEIRA

Equipamento Custo
Servidor R$
Nobreak SMS 3000VA Power Vision R$ 2692,00

Bivolt 27747
8 unidades baterias de 12V 36A 8X R$ 209,00

(96V)
Switch 48P Hp Aruba 1920S Poe+ 4 R$ 4.000,00

Sfp L2 Jl386A
gravador LTO Dell LTO7 (5 fitas R$ 5.000,00

inclusas)
NAS Storage com disco 4 TB R$ 2.379,00
4 licenças Kaspersky Windows 4X R$ 49,00 anual
Rack Fechado 44U R$2.109,75
Total:


Camboriú - SC

CÂMPUS CAMBORIÚ
9. PLANOS DE CONTINGÊNCIA
a)Monitoramento e controle;
O monitoramento da rede será feito pelo software Nagios e o controle
de acesso a rede será feito via proxy e firewall

b)Resposta Emergencial;
Em caso de emergência, o plano é avaliar a situação e avaliar o nível do
problema, a partir disso tomar medidas necessárias mobilizando pessoas e
recursos para solucionar o problema.

10. CONSIDERAÇÕES FINAIS (posicionar-se em relação à
viabilidade do projeto, à importância da implantação das ações
estratégicas e ao resultado para a empresa)
Fica evidente que o plano de segurança é de extrema importância em
qualquer organização, no nosso exemplo a organização não possuía nenhum
plano e estava propensa a enfrentar um colapso caso aparecesse uma
adversidade.
No nosso modelo adotamos características comuns em micro e
pequenas empresas presentes no mercado pois muitas delas não possuem os
mínimos requisitos de segurança. Os critérios adotados para o plano de
segurança foram pensados de forma que a empresa possa crescer facilmente
ao longo do tempo e não sofrer com deficiências na área de segurança.
Apesar valor inicial da implantação dos mecanismos de segurança
poder impactar fortemente a receita da empresa uma falha de segurança
pode ser fatal, além disso para ajudar no baixo custo procuramos sempre
utilizar ferramentas freeware.


Camboriú - SC

Plano de Segurança em TI

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Plano de Segurança em TI

Enviado por

Direitos autorais:

Formatos disponíveis

MINISTÉRIO DA EDUCAÇÃO

SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA

R. Joaquim Garcia, s/n - Centro, Camboriú - SC, 88340-055

SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA

R. Joaquim Garcia, s/n - Centro, Camboriú - SC, 88340-055

SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA

A rede tem proxy?

R. Joaquim Garcia, s/n - Centro, Camboriú - SC, 88340-055

SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA

R. Joaquim Garcia, s/n - Centro, Camboriú - SC, 88340-055

SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA

no desenvolvimento de websites e hospedagem dos mesmos. É uma empresa

R. Joaquim Garcia, s/n - Centro, Camboriú - SC, 88340-055

SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA

● Switch HP 1820-48G 48 portas

R. Joaquim Garcia, s/n - Centro, Camboriú - SC, 88340-055

SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA

Análise de Risco de Redes

Não ter proxy 4 4 16

O antivírus desatualizado 4 3 12

R. Joaquim Garcia, s/n - Centro, Camboriú - SC, 88340-055

SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA

Análise de Risco Físico

Não ter storage 4 4 16

R. Joaquim Garcia, s/n - Centro, Camboriú - SC, 88340-055

SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA

Objetivo: Determinar os perfis de acesso dos usuários, por

R. Joaquim Garcia, s/n - Centro, Camboriú - SC, 88340-055

SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA

Procedimento: Após a definição dos papéis, definir quem poderá

R. Joaquim Garcia, s/n - Centro, Camboriú - SC, 88340-055

SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA

Procedimento: Substituir a unidade que não atende por um

R. Joaquim Garcia, s/n - Centro, Camboriú - SC, 88340-055

SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA

h) Segurança dos meios de Armazenamento; - Rotinas de

Nobreak SMS 3000VA Power Vision R$ 2692,00

8 unidades ​baterias de 12V 36A 8X R$ 209,00

Switch 48P Hp Aruba 1920S Poe+ 4 R$ 4.000,00

gravador LTO Dell LTO7 (5 fitas R$ 5.000,00

NAS Storage com disco 4 TB R$ 2.379,00

4 licenças Kaspersky Windows 4X R$ 49,00 anual

Rack Fechado 44U R$2.109,75

R. Joaquim Garcia, s/n - Centro, Camboriú - SC, 88340-055

SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA

R. Joaquim Garcia, s/n - Centro, Camboriú - SC, 88340-055

Você também pode gostar

8 unidades baterias de 12V 36A 8X R$ 209,00