Escolar Documentos
Profissional Documentos
Cultura Documentos
2019
Introdução
O presente relatório sobre segurança da informação na instituição Fatec Araraquara,
apontam que o prédio foi entregue com uma estrutura que atende apenas ao essencial exigido
para funcionamento de algumas aulas, porém as instalações não foram devidamente planejadas a
fim de atender certas especificidades.
Este relatório fornece um detalhamento sobre os problemas mais acentuados encontrados,
juntamente da apresentação de recomendações para que os problemas sejam sanados o mais
brevemente.
De um modo geral caso as recomendações sejam devidamente seguidas, haverá uma
grande melhoria para a instituição que ficará mais protegida, e também seguirá corretamente ao
que se é exigido em lei, evitando assim sanções e outros problemas burocráticos.
Metodologia
O relatório foi criado a partir de observações de itens que apresentavam problemas na
faculdade sendo que as mais graves encontradas estão listadas neste documento, como a maioria
das respostas dependem de pessoas de fora da instituição a pesquisa não pode ser efetuada da
maneira desejada e por se tratar de instituição pública, as aplicações dependem muito de
licitações de projetos e verbas para a implementação destas.
No caso dos laboratórios foi possível constatar as vulnerabilidades às quais as máquinas
estão expostas, e em uma vistoria às instalações da instituição foi possível o levantamento de
certos pontos.
Lista de Problemas
Problema 1: Falta de controle de Acesso aos Computadores
Problema 2: Falta de controle de acesso a rede
Problema 3: Falta de controle no acesso ao estacionamento
Problema 4: Problema de acessibilidade ao elevador
Problema 5: Segurança Patrimonial
2
Descrição dos Problemas e Riscos
Falta de Controle de Acesso nos Computadores
Solução:
● As senhas devem conter caracteres alfanuméricos, símbolos, não pode conter nenhuma
parte do nome do usuário e precisa ter no mínimo 8 dígitos;
● Limite de tentativas de login na estação;
● Troca de senha periódica (a cada 3 meses);
● Não deixar o usuário repetir as 5 últimas senhas;
● Usuários dos alunos, ou visitantes não terão permissões administrativas como acesso a
instalar remover programas ou alterar configurações de firewall, rede, etc;
● Restringir os horários que pode fazer login de acordo com os horários e cronogramas de
aulas.
3
Falta de controle de acesso a rede
Qualquer aluno ou pessoa que consiga acesso a um ponto de rede na instituição, consegue
se conectar a rede. O risco relacionado a esse problema implica que se houver uma pessoa mal
intencionada, ela pode escanear a rede e procurar falhas, interceptar informações usando técnica
man-in-the-middle. Nessa falta de controle a instituição não tem uma rastreabilidade de quem se
conectou na rede, o que impossibilita o rastreio ou identificação de um determinado usuário que
está conectado a rede.
Solução:
A caracterização desse problema é lógico, e para diminuir o risco existe duas opções
conhecidas, sendo a primeira a implantação de um servidor DHCP Windows onde é possível
habilitar lista de permissões, onde só será atribuído IP para o endereço MAC cadastrado nessa
lista. E a segunda a implantação de um Portal Cativo, onde o usuário precisa ser cadastrado para
fazer o login que permite se conectar na rede, essa opção pode ser implantada através de uma
opção contida no firewall pfSense.
Solução:
Uma possível solução para este problema físico da instituição, seria a implementação de
um sistema de cadastro para a liberação do acesso ao estacionamento em horário de
funcionamento das atividades acadêmicas.
O único elevador da instituição está localizado no centro do prédio e não possui outra
alternativa além das escadas para transitar entre os andares. Considerando a quantidade de
alunos que atualmente utiliza o elevador, um apenas é suficiente, pois não há um grande fluxo
porém como a instituição promove eventos para a comunidade a inclusão, as possibilidades de
4
falta de energia e a manutenção preventiva devem ser consideradas para não ocorrer situações
indesejadas como alguém ficar preso entre os andares.
Segurança Patrimonial
Ativos:
Ameaças:
Tratamento e solução
5
04. Instalação de catracas que permitam acesso ao interior do prédio apenas por pessoas com
biometria cadastrada, com um vigia treinado para controle e registro de pessoas sem
cadastro.
05. Criar alternativas ao elevador para não restringir a locomoção de usuários que não podem
utilizar as escadas.
01.Nas estações, existe algum aviso informando que somente pessoas autorizadas
podem ter acesso?
☐ Sim
☐ Não
05.Existe uma exigência por parte dos softwares de uma senha forte?
☐ Sim
☐ Não
07.Existem programas utilitários de sistema que podem ser capazes de sobrepor os controles dos
sistemas e aplicações?
☐ Sim
6
☐ Não
Obs: Mas há o risco de isso ocorrer, pois em alguns laboratórios os usuários têm permissões
administrativas e podem instalar softwares.
01. Existe algum controle de acesso das pessoas que utilizam o estacionamento?
☐ Sim
☐ Não
Segurança Patrimonial
7
03. As instalações da instituição sofrem vistorias periódicas para constatação das condições
de instalações elétricas?
☐ Sim
☐ Não
Acessibilidade do elevador
01. Caso ocorra falta de energia, há algum recurso que supra energia para o elevador?
☐ Sim
☐ Não
03. O elevador tem algum meio de comunicação caso alguém fique preso?
☐ Sim
☐ Não
05. Há alguma alternativa para o elevador caso esse entre em uma manutenção não preventiva,
além das escadas?
☐ Sim
☐ Não
8
Métodos utilizados
Diagrama de Ishikawa
Problema 1
Problema 2
9
Problema 3
Problema 4
10
Diagrama de Árvore
Problema 1
Problema 2
11
Problema 3
Problema 4
12
Matriz GUT (Gravidade, Urgência, Tendência)
Problema G U T GxUxT
Falta de controle de Acesso aos Computadores 9 9 9 27
Segurança Patrimonial 9 8 5 22
Conclusão
No presente relatório podemos observar que já houveram ocorrências de alteração de
senhas indevidas, o que pode aumentar a tendência, com o passar dos semestres e a chegada de
mais alunos, e com mais alunos, também aumentará o fluxo de entrada de pessoas pelo
estacionamento (entrada principal da Fatec Araraquara), o que é extremamente alarmante, pois a
tendência é perder o controle de quem entra e sai das dependências da instituição, isso pode
acarretar também o aumento de riscos relacionados a subtração de ativos.
Ainda se tratando do aumento dos alunos com o passar dos semestres, há a possibilidade
da instituição ter matriculado em um dos seus cursos alunos cadeirantes ou portadores de
necessidades especiais sendo essas temporárias ou definitivas, o que torna importante pensar no
bem estar e segurança dos mesmos com mais criticidade.
A implantação de políticas e medidas de segurança pode evitar males acidentais ou
intencionais e estabelecer um controle para que a instituição funcione e continue entregando
ensino com qualidade e segurança .
13