Relatório de Análise Gestão de Riscos em

Segurança da Informação na Fatec

Araraquara

Jhenifer Rodrigues Gonçalves

Lucas Rodrigues de Sousa
Narlan de Oliveira Ramos
Welder Paulo da Silva

2019
Introdução
O presente relatório sobre segurança da informação na instituição Fatec Araraquara,
apontam que o prédio foi entregue com uma estrutura que atende apenas ao essencial exigido
para funcionamento de algumas aulas, porém as instalações não foram devidamente planejadas a
fim de atender certas especificidades.
Este relatório fornece um detalhamento sobre os problemas mais acentuados encontrados,
juntamente da apresentação de recomendações para que os problemas sejam sanados o mais
brevemente.
De um modo geral caso as recomendações sejam devidamente seguidas, haverá uma
grande melhoria para a instituição que ficará mais protegida, e também seguirá corretamente ao
que se é exigido em lei, evitando assim sanções e outros problemas burocráticos.

Metodologia
O relatório foi criado a partir de observações de itens que apresentavam problemas na
faculdade sendo que as mais graves encontradas estão listadas neste documento, como a maioria
das respostas dependem de pessoas de fora da instituição a pesquisa não pode ser efetuada da
maneira desejada e por se tratar de instituição pública, as aplicações dependem muito de
licitações de projetos e verbas para a implementação destas.
No caso dos laboratórios foi possível constatar as vulnerabilidades às quais as máquinas
estão expostas, e em uma vistoria às instalações da instituição foi possível o levantamento de
certos pontos.

Lista de Problemas
Problema 1: Falta de controle de Acesso aos Computadores
Problema 2: Falta de controle de acesso a rede
Problema 3: Falta de controle no acesso ao estacionamento
Problema 4: Problema de acessibilidade ao elevador
Problema 5: Segurança Patrimonial

2
Descrição dos Problemas e Riscos
Falta de Controle de Acesso nos Computadores

Os computadores dos Laboratórios da instituição possuem o mesmo usuário e

senha, o que inviabiliza o rastreio do usuário em caso de um uso mal intencionado. Além disso
em alguns laboratórios os usuários têm permissão de administradores, o risco nesse caso é de o
usuário instalar aplicativos piratas que muitas vezes podem ter vírus, ou infectar o computador
com vírus, worm, malwares e adwares. Houveram relatos de alunos do primeiro semestre, que no
laboratório conhecido como Lab. 1, foram trocadas as senhas de alguns usuários dos
computadores, impossibilitando alguns alunos de fazer suas atividades.
Nesse contexto também se perde o controle do que é instalado nas máquinas, tornando o
controle e administração dos softwares cadas vez mais trabalhoso e fora dos padrões de
softwares usados nos laboratórios.

Solução:

Esse problema se classifica como lógico e a remediação para tal, é a implantação de um

servidor com controlador domínio de rede o que irá possibilitar criar usuários e senhas para cada
aluno, e além disso estabelecer e implantar as seguintes diretivas de segurança para controle de
usuário e senha:

● As senhas devem conter caracteres alfanuméricos, símbolos, não pode conter nenhuma
parte do nome do usuário e precisa ter no mínimo 8 dígitos;
● Limite de tentativas de login na estação;
● Troca de senha periódica (a cada 3 meses);
● Não deixar o usuário repetir as 5 últimas senhas;
● Usuários dos alunos, ou visitantes não terão permissões administrativas como acesso a
instalar remover programas ou alterar configurações de firewall, rede, etc;
● Restringir os horários que pode fazer login de acordo com os horários e cronogramas de
aulas.

3
 Falta de controle de acesso a rede

Qualquer aluno ou pessoa que consiga acesso a um ponto de rede na instituição, consegue
se conectar a rede. O risco relacionado a esse problema implica que se houver uma pessoa mal
intencionada, ela pode escanear a rede e procurar falhas, interceptar informações usando técnica
man-in-the-middle. Nessa falta de controle a instituição não tem uma rastreabilidade de quem se
conectou na rede, o que impossibilita o rastreio ou identificação de um determinado usuário que
está conectado a rede.

Solução:
A caracterização desse problema é lógico, e para diminuir o risco existe duas opções
conhecidas, sendo a primeira a implantação de um servidor DHCP Windows onde é possível
habilitar lista de permissões, onde só será atribuído IP para o endereço MAC cadastrado nessa
lista. E a segunda a implantação de um Portal Cativo, onde o usuário precisa ser cadastrado para
fazer o login que permite se conectar na rede, essa opção pode ser implantada através de uma
opção contida no firewall pfSense.

Falta de Controle no Acesso ao Estacionamento

O estacionamento da Fatec Araraquara é de utilização dos docentes e discentes, porém

não existe hoje uma forma de validar se o condutor do veículo pertence a instituição, deixando
aberto a possibilidade de uma pessoa não autorizada entrar no prédio para cometer algum ato
indesejado, como furto/roubo de equipamentos por exemplo.

Solução:
Uma possível solução para este problema físico da instituição, seria a implementação de
um sistema de cadastro para a liberação do acesso ao estacionamento em horário de
funcionamento das atividades acadêmicas.

Problema de acessibilidade ao elevador

O único elevador da instituição está localizado no centro do prédio e não possui outra
alternativa além das escadas para transitar entre os andares. Considerando a quantidade de
alunos que atualmente utiliza o elevador, um apenas é suficiente, pois não há um grande fluxo
porém como a instituição promove eventos para a comunidade a inclusão, as possibilidades de

4
falta de energia e a manutenção preventiva devem ser consideradas para não ocorrer situações
indesejadas como alguém ficar preso entre os andares.

Segurança Patrimonial

Ativos:

● Computadores, monitores, teclados e mouses;

● Projetores e telas;
● Móveis;
● Elevador;
● Cabos, adaptadores e switch;
● Predio principal, secundario, guarita e outras instalações;
● Equipamentos contra incêndio;

Ameaças:

01. Possibilidade de furto e roubo de equipamentos;

02. Possibilidade de danos pela rede elétrica(oscilações, queda de energia, mal aterramento);
03. Possibilidade de danos pelo tempo (chuva, raio,vento, luz solar direta)
04. Possibilidade de acesso às instalações por pessoas que não fazem parte do grupo de
alunos e funcionários.
05. Possibilidade de restrição de acesso entre os andares do prédio.

Tratamento e solução

01. Instalação de cameras de vigilancia em todos os ambientes que possuírem equipamentos

que podem ser alvo de furto e roubo, no intuito de identificar possíveis culpados e, inibir
ações;
02. Realizar avaliação das condições das instalações elétricas por profissionais devidamente
treinados ao menos uma vez ao ano.
03. Verificação de instalação e de estado dos pára-raios, instalação de cortinas para bloquear
a luz solar direta em equipamentos sensíveis, verificar telhado, calhas e vedações de
janelas e portas para evitar que água da chuva infiltre no prédio de modo indesejado.

5
 04. Instalação de catracas que permitam acesso ao interior do prédio apenas por pessoas com
biometria cadastrada, com um vigia treinado para controle e registro de pessoas sem
cadastro.
05. Criar alternativas ao elevador para não restringir a locomoção de usuários que não podem
utilizar as escadas.

Questões para entrevistas

Controle de acesso aos computadores

01.Nas estações, existe algum aviso informando que somente pessoas autorizadas
podem ter acesso?
☐ Sim
☐ Não

02.Existe um limite de tentativas para entrar na estação?

☐ Sim
☐ Não

03.Existe o compartilhamento de usuários/senhas?

☐ Sim
☐ Não

04.A troca de senhas é periódica?

☐ Sim
☐ Não

05.Existe uma exigência por parte dos softwares de uma senha forte?
☐ Sim
☐ Não

06.Senhas antigas podem ser utilizadas?

☐ Sim
☐ Não

07.Existem programas utilitários de sistema que podem ser capazes de sobrepor os controles dos
sistemas e aplicações?
☐ Sim

6
 ☐ Não

Obs: Mas há o risco de isso ocorrer, pois em alguns laboratórios os usuários têm permissões
administrativas e podem instalar softwares.

08.Nos equipamentos de rede, o usuário é desconectado por tempo de inatividade?

☐ Sim
☐ Não

09.Existe restrição dos horários de conexão às horas normais de expediente?

☐ Sim
☐ Não

Falta de controle de acesso ao estacionamento

01. Existe algum controle de acesso das pessoas que utilizam o estacionamento?
☐ Sim
☐ Não

02. É feito algum cadastro para acesso do estacionamento?

☐ Sim
☐ Não

03. A instituição possui algum plano de contingência em caso de furto/roubo de equipamentos?

☐ Sim
☐ Não

04. Há uma padronização de uniforme para identificar os membros da Fatec?

☐ Sim
☐ Não

Segurança Patrimonial

01. As câmeras cobrem todas as áreas da instituição?

☐ Sim
☐ Não

02. Há uma ampla captura das imagens dos ambientes monitorados?

☐ Sim
☐ Não

7
 03. As instalações da instituição sofrem vistorias periódicas para constatação das condições
de instalações elétricas?
☐ Sim
☐ Não

04. Há vistorias para verificação de telhados e calhas, para evitar infiltrações?

☐ Sim
☐ Não

05. Há pára-raios instalados na instituição?

☐ Sim
☐ Não

Acessibilidade do elevador

01. Caso ocorra falta de energia, há algum recurso que supra energia para o elevador?
☐ Sim
☐ Não

02. O elevador possui acompanhamento de manutenção para não ocorrer falhas?

☐ Sim
☐ Não

03. O elevador tem algum meio de comunicação caso alguém fique preso?
☐ Sim
☐ Não

04. Tem limites de acesso para o usuário?

☐ Sim
☐ Não

05. Há alguma alternativa para o elevador caso esse entre em uma manutenção não preventiva,
além das escadas?
☐ Sim
☐ Não

06. Se não houver alternativas, além da escadas, há possibilidade de construir uma?

☐ Sim
☐ Não

8
Métodos utilizados
Diagrama de Ishikawa

Problema 1

Problema 2

9
Problema 3

Problema 4

10
Diagrama de Árvore

Problema 1

Problema 2

11
Problema 3

Problema 4

12
 Matriz GUT (Gravidade, Urgência, Tendência)

Problema G U T GxUxT
Falta de controle de Acesso aos Computadores 9 9 9 27

Falta de controle no acesso ao estacionamento 8 7 8 23

Segurança Patrimonial 9 8 5 22

Problema de acessibilidade ao elevador 7 8 6 21

Falta de controle de acesso a rede 7 8 5 20

Conclusão
No presente relatório podemos observar que já houveram ocorrências de alteração de
senhas indevidas, o que pode aumentar a tendência, com o passar dos semestres e a chegada de
mais alunos, e com mais alunos, também aumentará o fluxo de entrada de pessoas pelo
estacionamento (entrada principal da Fatec Araraquara), o que é extremamente alarmante, pois a
tendência é perder o controle de quem entra e sai das dependências da instituição, isso pode
acarretar também o aumento de riscos relacionados a subtração de ativos.
Ainda se tratando do aumento dos alunos com o passar dos semestres, há a possibilidade
da instituição ter matriculado em um dos seus cursos alunos cadeirantes ou portadores de
necessidades especiais sendo essas temporárias ou definitivas, o que torna importante pensar no
bem estar e segurança dos mesmos com mais criticidade.
A implantação de políticas e medidas de segurança pode evitar males acidentais ou
intencionais e estabelecer um controle para que a instituição funcione e continue entregando
ensino com qualidade e segurança .

13