FACULDADE DE ADMINISTRAÇÃO E NEGÓCIOS SERGIPE -

FANESE
NÚCLEO DE PÓS GRADUAÇÃO E EXTENSÃO - NPGE
CURSO DE PÓS-GRADUAÇÃO “LATO SENSU”
ESPECIALIZAÇÃO MBA EM GESTÃO DE REDES E SEGURANÇA
DA INFORMAÇÃO

CRISTIANO GOMES MENEZES

FABIANO OLIVEIRA LINHARES

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO BASEADO NA

NORMA 27002 DE UM ÓRGÃO MUNICIPAL

Aracaju - SE
2014
 2

CRISTIANO GOMES MENEZES

FABIANO OLIVEIRA LINHARES

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO BASEADO NA

NORMA 27002 DE UM ÓRGÃO MUNICIPAL

Trabalho de Conclusão do Módulo

Norma e Legislação de Segurança da
Informação apresentado ao Prof.º
Marcelo Menezes, como requisito para
obtenção de nota para aprovação do
mesmo.

Aracaju - SE
2014
 3

1 RESUMO

Este estudo apresenta uma política de segurança de um órgão municipal, no

ambiente de tecnologia da informação. A implantação dessa política tem um custo,
demanda e um tempo de implantação no ambiente. Tornando-o mais seguro em
virtude dos procedimentos a serem adotados e seguidos pelo órgão. Proporcionando
segurança na informação e uma melhor qualidade nos serviços prestados.

Palavras-chave: política de segurança, tecnologia e segurança da informação.

 4

Sumário

1 RESUMO ........................................................................................................................... 3
2 BREVE DESCRIÇÃO DA EMPRESA .............................................................................. 5
3 INTRODUÇÃO .................................................................................................................. 6
4 ÁREAS SEGURAS ............................................................................................................ 7
4.1 Controles de entrada física ........................................................................................... 7
4.2 Controles de acesso lógico ........................................................................................... 8
5 SEGURANÇA DOS EQUIPAMENTOS ........................................................................... 9
5.1 Controles de equipamentos .......................................................................................... 9
6 CONTROLES GERAIS .................................................................................................... 10
6.1 Responsabilidades específicas ................................................................................... 10
7 SEGURANÇA DE DOCUMENTOS ............................................................................... 11
7.1 Físicos e digitais......................................................................................................... 11
8 ACESSO A INTERNET ................................................................................................... 12
8.1 Políticas de acesso à internet...................................................................................... 12
9 CONTROLE DE DISPOSITIVOS MOVÉIS ................................................................... 13
9.1 Políticas de controle de dispositivos móveis ............................................................. 13
10 PLANO DE CONTINGÊNCIA .................................................................................... 14
11 PUNIÇÕES PARA VIOLAÇÃO DA PSI .................................................................... 15
 5

2 BREVE DESCRIÇÃO DA EMPRESA

O objeto de estudo desse trabalho é a prefeitura da pequena cidade de

Alabama, na região nordeste do Brasil e detentora do CNPJ 13.122.773/0001-04. O
município tem uma população de 20.000 habitantes e seu PIB está em torno de
100.000, o que demonstra que é um município com recursos financeiros limitados.

A função da prefeitura é a arrecadação de impostos para a manutenção do

munícipio, realização de investimentos e promoção do bem comum a todos os
moradores da cidade. O município deve fornecer serviços públicos, tais como:
segurança, educação, saúde, transporte, limpeza, urbanização, saneamento básico,
etc.

Os recursos de TI da prefeitura são compartilhados também com a Secretaria

de Obras e a Secretaria de Ação Social como forma de racionalizar investimentos na
área de tecnologia da informação. Dessa forma, os servidores e o acesso à internet,
ficam centralizados na prefeitura e os sistemas utilizados pelos três órgãos
concentrados nesses servidores.
 6

3 INTRODUÇÃO

Esse documento descreverá a Política de Segurança da Informação da

Prefeitura de Alabama que é parte integrante do Sistema de Gestão da Segurança
da Informação (SGSI) do mesmo órgão.
O objetivo é disciplinar a utilização dos recursos de tecnologia da informação
(TI), estabelecendo as diretrizes, regras e recomendações no uso da rede, seus
recursos, sistemas ou infraestrutura de forma a não comprometer a segurança, ou a
disponibilidade, integridade, autenticidade ou confidencialidade das informações da
prefeitura.
Todos os recursos da rede devem ser utilizados apenas com objetivos
colaborativos. Para tanto, a prefeitura se reservará o direito de implementar todos os
controles e monitoramento que julgar necessário com o objetivo de preservar a
segurança da rede.
Serão estabelecidos os paramentos para criação de senhas seguras e a
atribuição de responsabilidades dos usuários com todas as contas fornecidas a eles.
Contas para acesso à rede, internet, sistemas, ou de qualquer outro recurso,
poderão ser monitoradas e a preservação da confidencialidade das senhas é de
inteira responsabilidade do usuário.
Para cumprir os objetivos desse documento, toda a administração municipal,
o prefeito, seus secretários e diretores, declaram seu compromisso e apoio irrestrito
com as normas e regras estabelecidas na Política de Segurança da Informação
(PSI), da prefeitura de Alabama.
 7

4 ÁREAS SEGURAS

O prédio da prefeitura é composto de 02 pavimentos. No pavimento inferior

fica a copa, o almoxarifado, o setor de transporte, o setor de tecnologia da
informação, o CPD, a sala de reunião, o auditório e a recepção. No pavimento
superior ficam o gabinete do prefeito, o setor de Recursos Humanos (RH), o setor
financeiro e a secretaria do prefeito.
Dentre essas áreas, algumas são consideradas áreas seguras, pois não
devem ter a circulação de pessoas não autorizadas. Nos escritórios administrativos,
de forma geral, será permitido o acesso somente dos funcionários da prefeitura, ou
de pessoas autorizadas e acompanhas por eles. No entanto, o CPD onde ficam
instalados os servidores e toda a estrutura de telecomunicações, será permitido
acesso apenas dos pelos técnicos de TI responsáveis por esses equipamentos.
Da mesma forma, o acesso ao pavimento superior, onde ficam o gabinete do
prefeito, o setor de RH e o setor financeiro, será controlado e o visitante terá que
agendar a visita e se identificar na recepção no pavimento inferior, e da mesma
forma, a secretaria do prefeito no pavimento superior.]
Para controlar o acesso as áreas seguras, serão utilizados de acordo com a
conveniência da prefeitura, recursos tais como: crachá eletrônicos, catracas
eletrônicas, sistemas de controle de acesso por biometria com fechaduras elétricas,
etc.

4.1 Controles de entrada física

Para realizar o controle de o acesso físico as áreas seguras, serão utilizados

diversos dispositivos de acordo com a criticidade do perímetro a ser preservado.
Será obrigatório a utilização de crachás eletrônicos por todos que circularem dentro
da prefeitura, seja eles visitantes ou funcionários. No caso dos funcionários, os
crachás eletrônicos também servirão para registro de ponto e de acesso às áreas
seguras, armazenando datas, horários e identificação do funcionário. O acesso aos
escritórios será controlado por catracas eletrônicas que farão a leitura dos crachás.
O acesso ao CPD será autorizado somente aos técnicos de TI responsável por
servidores e estrutura de telecomunicação, ou de pessoas acompanhadas por eles,
 8

e o controle de acesso à sala será feito por sistema de biometria com fechadura
elétrica e software de controle de acesso.
O acesso ao gabinete do prefeito, ao setor de RH e ao setor financeiro
dependerá da liberação da recepção no pavimento inferior e da secretaria do
prefeito no pavimento superior, desde que previamente agendado. Os visitantes com
destino a esses setores, também receberão crachás e deverão registrar seu acesso
na catraca eletrônica existente na recepção. Esses acessos terão do dia, a hora a
identificação do visitante e o destino registrado.

4.2 Controles de acesso lógico

Todos os sistemas utilizados na prefeitura deverão estar preparados para

realizar o controle de acesso dos usuários. O acesso à rede deverá realizar a
autenticação dos usuários seja na rede cabeada ou wireless.
O acesso à rede dependerá de autenticação em servidor de serviço de
diretório, onde o usuário deverá estar previamente cadastrado e com perfil de
acesso previamente estabelecido. O acesso a rede wireless passará por servidor
radius e também dependerá da existência do usuário na base de dados do serviço
de diretório.
O acesso à internet também deverá ser autenticado e as páginas visitadas
deverão ficar registradas em log. O acesso a internet, será intermediado por
servidores firewall/proxy que farão o filtro de conteúdo e o registro dos acessos do
usuário.
 9

5 SEGURANÇA DOS EQUIPAMENTOS

Os equipamentos de TI da prefeitura deverão ser preservados, tanto na

utilização diária, quanto no descarte para evitar o vazamento de informações
sensíveis ou que possam comprometer a organização.

5.1 Controles de equipamentos

Todos os equipamentos da rede, sejam eles passivos ou ativos, deverão ser

patrimoniados para o controle da utilização e movimentação dos mesmos. Dentro do
que for possível, os equipamentos deverão ter um software cliente de controle de
inventario para monitorar a utilização dos recursos de hardware e software. Os
servidores e equipamentos de telecomunicação deverão ficar instalados em
ambientes separados, com controle de acesso mais rígido. O descarte de
equipamentos com informações sensíveis passará por um processo de sanatização
para evitar o roubo de informações privilegiadas.
 10

6 CONTROLES GERAIS

Para garantir a segurança da informação dentro da prefeitura de Alabama,

serão implementados os seguintes controles: controle de acesso às áreas seguras,
isolamento dos servidores e ativos de rede em ambiente específico com sistema de
controle de acesso, procedimento de sanitização para descarte dos equipamentos
de TI, exigência de autenticação para todos os sistemas e acessos a rede, seja ela
cabeada ou wireless, estabelecimento de uma rotina de backup, monitoração do
acesso à internet e registro de log nos sistemas críticos.

6.1 Responsabilidades específicas

Todos os usuários serão informados da sua responsabilidade com a

confidencialidade das senhas que lhes forem concedidas. Para isso, será
confeccionado um termo de responsabilidade que será assinado pelos usuários
dando ciência da importância da sua contribuição coma segurança da rede. A
responsabilidade da preservação da segurança dos equipamentos do CPD, será de
responsabilidades dos técnicos de TI. A responsabilidade do controle de acesso
físico será da recepção e da empresa de segurança contratada.
 11

7 SEGURANÇA DE DOCUMENTOS

Para preservar a segurança dos documentos dentro da prefeitura, será

implementada a “Política de mesa limpa e tela limpa”. O objetivo dessa política é
evitar a exposição desnecessária de documentos sensíveis que possam fragilizar a
segurança.

7.1 Físicos e digitais

Essa política se preocupa tanto com os documentos digitais quanto os

impressos. Dessa forma, os usuários deverão se preocupar em não deixar
documentos impressos em cima da mesa expostos desnecessariamente. Para isso,
os documentos devem ser classificados para ajudar na identificação de documentos
sensíveis. A tela do computador deve ser bloqueada toda vez que o usuário se
ausentar da sua mesa.
 12

8 ACESSO A INTERNET

A internet se tornou fundamental para o desenvolvimento de praticamente

quase todas as atividades laborais. No entanto, existem muitos perigos no mundo
virtual que podem comprometer seriamente a segurança das empresas. Para evitar
o comprometimento da segurança da prefeitura serão estabelecidas políticas de
acesso à internet.

8.1 Políticas de acesso à internet

Com o intuito de realizar filtro do conteúdo de acesso WEB, todo o trafégo

deverá passar por um servidor proxy. O acesso à internet fornecido pela prefeitura
tem objetivo laboral. Dessa forma, sites com conteúdo pornográfico, redes sociais,
webcast, ou qualquer outro conteúdo que não se relacionem com as atividades do
órgão serão bloqueados. Além disso, todos os acessos de todos os usuários da rede
serão monitorados e registrado os logs para consulta a qualquer momento que se
faça necessário.
 13

9 CONTROLE DE DISPOSITIVOS MOVÉIS

A evolução de smartphones e tablets, juntamente com a propagação das redes

sem fio dentro da empresa, vem propiciando aos profissionais mais autonomia e
flexibilidade para executar atividades laborais com uma maior mobilidade. No
entanto, criou um novo paradigma de segurança para as empresas que precisam
normatizar esse tipo de acesso para evitar a vulnerabilização da rede de forma
generalizada.

9.1 Políticas de controle de dispositivos móveis

Sempre que possível o acesso à rede sem fio da prefeitura por dispositivos
móveis pessoais, tais como, smartphones e tablets deverão ser evitados, pois é
difícil garantir a segurança nesses dispositivos. Nos casos que se fizerem
estritamente necessário, a validação de acesso a rede será feita através do
cadastramento de um usuário no serviço de diretório da rede. O acesso a internet
feito por esse usuário será monitorado e logado e sofrerá as mesmas políticas dos
outros usuários da rede.
 14

10 PLANO DE CONTINGÊNCIA

Em virtude da impossibilidade de implantação de um site backup, dado a

limitação de recursos da prefeitura, a continuidade do negócio será garantida
através da criação de uma política de backup bem elaborada e eficiente, com testes
regulares de restauração para garantir a integridade dos backups realizados. A
política de backup terá ocorrências diárias, semanais e mensais de acordo com a
criticidade da informação. As mídias ficaram armazenadas em 02 cofres anti-
chamas, o primeiro localizado na sede da prefeitura e outro localizado na Secretaria
de Finanças.
 15

11 PUNIÇÕES PARA VIOLAÇÃO DA PSI

Todos os usuários da rede deverão observar as normas e regras estabelecidas

nesse documento. A desobediência a qualquer norma prevista nessa política de
segurança significará violação a essas regras e o usuário estará sujeito às medidas
administrativas e legais cabíveis.