LAVRAS MG
2014
rea de Concentrao:
Segurana da Informao
Orientador:
Prof. Rmulo Maia Alves
LAVRAS - MG
2014
LAVRAS - MG
2014
AGRADECIMENTOS
Deus primeiramente, por ter sempre me mostrado claramente os
caminhos e me ajudado em todos os aspectos da minha vida, me abenoando
sempre.
Ao meu orientador Rmulo Maia Alves, que com seu conhecimento e
sabedoria colaborou enormemente durante a elaborao deste trabalho, obrigada
por tudo.
Ao pessoal do DGTI, que durante toda a minha graduao dividiram
comigo suas experincias e me ensinaram muito, o que contribuiu para minha
formao pessoal e profissional. Em especial, Clayton Ferreira Santos que
colaborou imensamente para este trabalho.
minha irm Sheila e seu esposo Edgar por acreditarem na minha
capacidade me dando a possibilidade da concretizao de um sonho, e pela
gentileza de ajudar-me em minha pesquisa.
minha famlia por participar de toda essa caminhada, me apoiando
sempre, e me dando fora para continuar e no desistir. Em especial a minha
me, que sempre cuidou e me amou incondicionalmente, estando sempre
presente em todos os momentos de minha vida.
Ao meu namorado Diego, que esteve cada segundo ao meu lado no me
deixando desanimar e me dando todo seu amor. Pela sua pacincia e
compreenso nos meus momentos difceis e por partilhar comigo a sua vida.
Obrigada meu amor, por tudo.
Aos amigos que me acompanharam durante essa caminhada longa e
cheia de desafios.
Por fim, agradeo a todos que no citei aqui, mas que colaboraram direta
ou indiretamente.
RESUMO
ABSTRACT
Information security has become a crucial point for the survival of companies in
the market, given the increasing use of the Internet and the rampant growth of
new technologies. This monograph presents a case study about the information
security management in a private company, the control objectives and controls
related to information security were analyzed. Information through site visits
was collected and photos were taken from security flaws. The main problems are
presented, and it is suggested solutions to the major problematic points found.
Analyses are made about the conformity of the company information security
management in relation to ISO 27000 family standards, particularly ABNT NBR
ISO/IEC 27001 Information Security Management Systems Requirements,
ABNT NBR ISO/IEC 27002 - Code of Practice for Information Security
Management, ABNT NBR ISO/IEC 27005 Risk management and information
security models, and other risk management and information security methods.
Finally, a report was produced based on the risk management.
LISTA DE FIGURAS
Figura 1: Quadro de Ameaas............................................................................... 8
Figura 2: Composio dos Riscos ....................................................................... 10
Figura 3: PDCA .................................................................................................. 20
Figura 4: Processo de Gesto de Riscos de Segurana da Informao ............... 23
Figura 5: Organograma Geral ............................................................................ 29
Figura 6: Organograma TI .................................................................................. 30
LISTA DE QUADROS
Quadro 1: Anlise SWOT ................................................................................... 31
Quadro 2: Controles selecionados do COBIT .................................................... 72
Quadro 3: Controles da Norma ABNT NBR 27001 ........................................... 90
LISTA DE GRFICOS
Grfico 1: Distribuio dos Ativos ..................................................................... 44
Grfico 2: Impactos ............................................................................................ 45
Grfico 3: Quantidade de Riscos ........................................................................ 46
Grfico 4: Riscos Residuais ................................................................................ 47
SUMRIO
1 INTRODUO ................................................................................................. 1
1.1 Motivao .......................................................................................... 3
1.2 Objetivos ............................................................................................ 3
1.3 Estrutura do Trabalho......................................................................... 4
2 SEGURANA DA INFORMAO ................................................................ 5
2.1 Consideraes iniciais ........................................................................ 5
2.2 Viso Geral ........................................................................................ 5
2.3 Princpios da Segurana da Informao ............................................. 7
2.4 Vulnerabilidades ............................................................................... 7
2.5 Ameaas Segurana da Informao ................................................ 8
2.5.1 Tipos de Ameaas .............................................................. 8
2.6 Mecanismos de proteo .................................................................... 9
2.6.1 Poltica de Segurana da Informao ................................. 9
2.6.2 Avaliao de Riscos ........................................................... 9
2.6.3 A Segurana fsica............................................................ 10
2.7 Gesto de Riscos .............................................................................. 11
2.8 Segurana da Informao e sua importncia dentro do ambiente
empresarial ............................................................................................. 12
2.9 COBIT (Control Objectives for Information and Related
Technology) ........................................................................................... 13
2.9.1 Os critrios de informao do COBIT ............................. 14
2.9.2 Caractersticas do COBIT ................................................ 15
2.9.3 Tipos de Controle ............................................................. 15
2.9.4 Medies ......................................................................... 16
2.9.5 Modelo de maturidade do COBIT .................................... 16
2.10 Normas ABNT NBR ISO/IEC da srie 27000 ............................... 17
2.10.1 Consideraes Iniciais .................................................... 17
2.10.2 ABNT NBR ISO/IEC 27001 .......................................... 18
2.10.3 ABNT NBR ISO/IEC 27002 .......................................... 19
2.10.4 ABNT NBR ISO/IEC 27005 .......................................... 21
2.11 Poltica de Segurana da Informao ............................................. 24
2.11.1 Caractersticas e benefcios da poltica .......................... 25
3 METODOLOGIA ............................................................................................ 27
3.1 Tipos de Pesquisa ............................................................................. 27
3.2 Procedimentos Metodolgicos ......................................................... 27
3.3 Misso .............................................................................................. 28
3.4 Caracterizao da empresa ............................................................... 28
3.5 Definio do Escopo do projeto ....................................................... 30
3.6 Anlise SWOT ................................................................................. 31
3.6.1 Pontos positivos da empresa ............................................ 32
1.
INTRODUO
3
1.1
Motivao
1.2 Objetivos
5
2. SEGURANA DA INFORMAO
6
restrito a um nmero reduzido de pessoas. A segurana desse tipo de
informao vital para a companhia.
7
2.3 Princpios da Segurana da Informao
2.4 Vulnerabilidades
8
2.5 Ameaas Segurana da Informao
9
2.6 Mecanismos de proteo
10
informaes que esto sujeitas as vulnerabilidades, conforme a Figura 2, que
mostra a composio dos riscos.
11
Para a segurana fsica e de ambiente, o objetivo impedir
o acesso fsico no autorizado, dano ou interferncia nas
instalaes e informaes da organizao. Os servios de
processamento de informaes sensveis devem ser realizados
em reas seguras e protegidas, em um permetro de
segurana definido por barreiras e controles de entrada
adequada. Estas reas devem ser fisicamente protegidas
contra acesso no autorizado, danos e interferncias. A
proteo fornecida deve ser proporcional aos riscos
identificados. Para evitar a perda, dano, roubo ou
comprometimento de ativos e interrupo das atividades da
organizao, os equipamentos devem ser protegidos contra
ameaas fsicas e ambientais. A proteo dos equipamentos
necessria para reduzir o risco de acesso no autorizado
informao e proteo contra perda ou roubo. Da mesma
forma, deve-se a considerar controles especiais para proteo
contra ameaas contra estruturas fsicas e a garantia de
servios como eletricidade e infraestrutura local.
12
2.8 Segurana da Informao e sua importncia dentro do ambiente
empresarial
13
2.9 COBIT (Control Objectives for Information and Related Technology)
14
de alto nvel e 215 objetivos de controle detalhados (processos), sendo
atualmente o framework mais completo para Governana de TI. O COBIT
tambm orienta sobre as melhores prticas de gesto para cada rea da
organizao de TI. Entretanto, o COBIT no descreve detalhadamente os
procedimentos,
mesmo
porque
cada
organizao
tem
suas
prprias
15
16
2.9.4 Medies
De acordo com o ITGI (2007), no COBIT, existe uma forma que auxilia
os gestores saber como sua organizao se situa no mercado, em relao aos
concorrentes, as melhores prticas existentes e identificar o que necessrio
para alcanar um nvel de gesto adequado para os processos de TI.
Para cada processo de TI relacionado um dos nveis do modelo de maturidade:
17
definido, tendo prticas Governana como meta. As informaes
concentram-se nos indivduos.
18
atuando junto ISO 27001 em casos de certificao ou atravs da ISO 27002 em
casos de somente implantao.
19
A norma ISO/IEC 27001 adota o modelo de processo "Plan-Do-CheckAct (PDCA), que aplicado para estruturar todos os processos do SGSI. Um
SGSI considera as entradas de requisitos de segurana de informao e as
expectativas das partes interessadas, e como as aes necessrias e processos de
segurana da informao produzidos resultam no atendimento a estes requisitos
e expectativas (ISO/IEC 27001, 2006, p.2).
O SGSI projetado para assegurar a seleo de controles de segurana
adequados para proteger os ativos de informao e proporcionar confiana s
partes interessadas (ISO/IEC 27001, 2006, p.3).
A norma ISO/IEC 27001 ser utilizada como auxlio na avaliao de
conformidade e na sugesto de melhorias, pois ela enfoca objetivos de controles
importantes no contexto empresarial.
20
21
Identificao de riscos;
22
23
.
Figura 4: Processo de gesto de riscos de segurana da informao.
Fonte: ABNT ISO/IEC 27005 (2008, pg 8)
24
que se determine de forma eficaz as aes necessrias para reduzir os riscos a
um nvel aceitvel, ento a tarefa est completa e o tratamento do risco pode
suceder-se. Por outro lado, se as informaes forem insuficientes, executa-se
outra iterao da anlise/avaliao de riscos, revisando-se o contexto (ISO/IEC
27005, 2008, p.9).
25
Elaborao
dos
Procedimentos
de
Segurana
da
Informao:
Vlida para todos: deve ser cumprida por todos os usurios que
utilizam a informao da empresa.
26
humano fundamental para que a Poltica de Segurana seja implementada
eficazmente.
27
3. METODOLOGIA
Este captulo abordar a caracterizao da empresa, bem como a
definio de escopo do projeto, anlise SWOT e outros pontos acerca da
organizao.
bibliogrfico.
Foram
feitas
visitas
na
empresa
para
28
Foi utilizada como instrumento para elaborao da Gesto de Riscos,
uma planilha no Excel baseada na norma ISO/IEC 27005, criada por Edson
Kowask Bezerra para o curso de Gesto de Riscos na Escola Superior de Redes
(RNP) e cedida para a realizao deste estudo.
3.3 Misso
29
Cabos de Velocmetro
Cabos de Freio
Cabos de Acelerador
Cabos de Embreagem
Cabos de Comando de Ar
30
3.5 Definio do Escopo do projeto
Analista de
Suporte
Analista de
Suporte
Tcnico de
Informtica
Terceirizado
Figura 6: Organograma TI
31
disponibilidade de recursos da organizao. A Alta Administrao centraliza as
decises da empresa.
Segundo pesquisa da Gartner (2005), ideal seria que a cada 100
funcionrios, houvesse de 5 a 7 funcionrios de TI. O que ocorre de fato
sobrecarga de trabalho dada a demanda de servio, e com isso as dificuldades
em se definir o papel de cada funcionrio nesse setor.
rente 1
Concor-
Anonimous Corporation
Empresa
Fortes
Fracos
Falta
de
novos
lanamentos devido
empresa concorrente 1
ter patenteado a maioria
deles
No possui equipe de
vendas que atuam nos
distribuidores nacionais,
regionais.
Concorrente 2
32
Possuem maiores variedades em produtos da
linha leve e menores preos no mercado.
33
Como foi visto no tpico anterior sobre controles essenciais para toda
organizao, deve-se considerar tambm a dificuldade em estabelecer esses
controles dentro da empresa. Os seguintes fatores so geralmente crticos para o
34
sucesso da implementao da segurana da informao dentro de uma
organizao (ISO/IEC 27002:2005):
35
Edson Kowask Bezerra1 para o curso de Gesto de Riscos na Escola Superior de
Redes (RNP), cedida para a realizao deste estudo e disponibilizada em
formato digital, gravado em um CD.
Com base nas informaes recolhidas na empresa e as informaes
encontradas na norma NBR ISO/IEC 27005:2008 Tecnologia da informao
Tcnicas de segurana Gesto de riscos de segurana da informao foi
possvel o preenchimento da tabela. A tabela possui oito sees, baseadas na
NBR ISO/IEC 27005:2008, sendo as atividades divididas conforme a seguir:
Seo 2 Definir o contexto, Identificar as restries, Definir o Escopo e
Definir os critrios.
36
o
instruo,
experincia
profissional,
opinies,
filosofia.
o
conscientizao
em
segurana,
motivao,
disponibilidade.
o
Restries
territoriais:
Relacionado
localizao
distribuio geogrfica.
37
o
Restries
organizacionais:
Operao,
manuteno,
gerenciamento administrativo.
Critrios de probabilidade:
Relevncia do ativo:
38
Impacto:
39
40
41
42
Definir tratamento:
o
43
44
4. RESULTADOS OBTIDOS
Quant
7%
20%
46%
0%
27%
CRTICO
IMPORTANTE
BAIXO
INSIGNIFICANTE
SIGNIFICANTE
CRTICO
IMPORTANTE
SIGNIFICANTE
BAIXO
INSIGNIFICANTE
45
TI, Comunicao linha telefnica e internet, instalaes fsicas, Organizao
Subcontratados, fornecedores, fabricantes). Trs ativos de nvel Baixo
(Equipamento Mvel, Perifricos de Processamento, Outros tipos de mdias).
Quatro ativos de nvel Importante (Equipamento Fixo, Software de prateleira,
Recursos Humanos Alta Administrao, Usurios) e um ativo de nvel
Insignificante (Mdia eletrnica).
O segundo grfico gerado relativo aos Impactos das vulnerabilidades
dos ativos para a empresa:
IMPACTO
45
40
35
30
25
20
15
10
5
0
Desastre
Desastre
11
Importante
41
Significativo
21
Baixo
19
Desprezvel
22
Desprezvel
Grfico 2: Impactos
46
QUANTIDADE de RISCOS
60
Extremo
Alto
Mdio
Baixo
Irrelevante
50
40
Quantidade 30
20
0
8
52
36
18
10
0
Categoria de Risco
Extremo
Alto
Mdio
Baixo
Irrelevante
47
imagem pblica de forma significativa. Prejuzos financeiros elevados,
aes na justia.
Riscos Residuais
Nenhum Risco
Mdio
41
35
Baixo
37
Irrelevante
35
Mdio
Irrelevante
Baixo
1
41
37
Riscos Residuais
48
Comparando os grficos de Risco Residual e Quantidade de Riscos, os
riscos de nvel Alto deixaro de existir. Os de nvel mdio sero reduzidos
significativamente a 1. Os riscos de nvel Baixo tero pouca variao de 36
ativos anteriormente, para 37. O risco de nvel Irrelevante ir ser modificado de
18 ativos para 35. E, 41 ativos no tero mais riscos. Ou seja, se implantados
alguns controles bsicos, por exemplo, instalao de sensores de incndio, o
risco em relao a essa vulnerabilidade deixa de existir.
Esses grficos comprovam a necessidade de mudana na empresa,
principalmente do departamento de tecnologia. Mostram tambm, que se forem
seguidas as orientaes demonstradas nesse projeto, atravs do uso de normas e
procedimentos, os riscos podem ser diminudos consideravelmente.
De forma geral, este projeto contribuiu para que houvesse na empresa
uma conscientizao da importncia do setor de TI, que antes era considerado
um setor tcnico, e no como uma estratgia de negcios. Foi possvel
identificar os pontos fortes e fracos na Gesto da Segurana da Informao e nos
processos da empresa coletando dados atravs da observao e pesquisa.
Foi elaborada uma verso inicial da Poltica de Segurana (APNDICE
A), para um escopo definido previamente, o setor de Tecnologia da Informao.
A Poltica de Segurana foi baseada na Norma ISO/IEC 27002. O entendimento
do que deve ser protegido abrangeu alm de hardware e software, mas as
pessoas e os processos de negcio. Buscou-se ser simples, clara e concisa na
escrita da poltica, sendo que posteriormente a mesma deve ser atualizada e
homologada pela Alta Administrao, e inserida na documentao da empresa.
Embora a organizao Anonimous Corporation tenha dado um grande
passo abrindo espao para este estudo e, colaborar para a elaborao da poltica
de segurana da informao, a mudana de cultura para que a segurana da
informao seja vista como organizacional e no apenas como algo imposto pela
TI um fator importante que deve ser observado.
49
A empresa ainda no gerencia os riscos de segurana da informao aos
quais est exposto, o que pode ser decorrente da ausncia da poltica de
segurana da informao e tambm pelo fato da segurana da informao ainda
no ser tratada como estratgica. Existem apenas medidas emergenciais que
tentam tratar estes riscos e na maioria das vezes acontecem de forma intuitiva,
no chegando a ser um processo formal definido.
A tecnologia est diretamente ligada ao andamento da empresa, como
vendas, comunicao interna e externa, e balanos financeiros. Em todos os
departamentos ela est presente. Por isso, os objetivos de se ter um plano de
melhorias, so:
Infelizmente
processo
de
adaptao
50
Sugere-se que o Termo de Confidencialidade seja atualizado para conter
tpicos importantes que, analisado o documento (ANEXO B) foi constatada a
falta de informaes poderiam prejudicar a empresa em caso de roubo ou furto
de informaes, mesmo depois do desligamento de funcionrios. necessrio
detalhar as clusulas para que o funcionrio tenha conhecimento claro do termo.
Os tpicos abaixo so as sugestes de melhoria:
51
No Apndice D esto os controles da norma 27001 que foram sugeridos
para auxlio nas boas prticas de gesto da empresa. A norma 27001, aborda
pontos importantes como Gerenciamento de acesso ao usurio, e mostra a
melhor forma que pode ser feita uma atividade.
Os controles da norma 27001 foram selecionados aps ter sido feita uma
visita na empresa e percebido as deficincias nas atividades dirias da empresa.
A norma 27001 vai ajudar a empresa a melhorar a gesto de segurana da
informao.
No Apndice E encontra-se o Termo de Aceite dos Riscos, elaborada
para que a empresa tenha cincia dos Riscos a que est submetida mesmo aps o
tratamento atravs de controles sugeridos.
52
5. CONSIDERAES FINAIS
funcionrios
do
setor
de
tecnologia
da
informao
se
53
Enfim, todos os funcionrios, inclusive a alta administrao da empresa,
esto conscientes que preciso mudar para competir no mercado, e que este
projeto apenas um passo inicial.
Como trabalhos futuros ficam as propostas de estudo, analisando o
trabalho desenvolvido, a implantao e acompanhamento da Poltica de
Segurana na empresa. Mapear e modelar os processos do setor de TI, bem
como sua defini-los. A atualizao deste estudo para as novas normas 27001 e
27002 na verso 2013.
54
REFERNCIAS BIBLIOGRFICAS
e-Security
Magazine.
So
Paulo,
agosto.
Disponvel
em
em
55
http://www.ppgia.pucpr.br/~euclidesfjr/SEGURANCA_DA_INFORMACAO/ec
onomia_tecnologia_seguranca_2005.pdf. Acesso em: 30 mar. 2013.
BORAN,
Sean.
IT
Security
Cookbook,
1996.
Disponvel
em
em
Segurana
da
informao
neste
ano.
Disponvel
em:
http://convergecom.com.br/tiinside/04/10/2013/empresas-brasileiras-pretendeminvestir-ate-r-110-mil-seguranca-informacao-neste-ano/#.Ulm2JtKsiSo. Acesso
em 07 Out 2013.
56
FERREIRA, F. N. F.; ARAJO, M. T. de. Poltica de Segurana da
Informao: Guia prtico para elaborao e implementao. 2. ed. Rio de
Janeiro: Cincia Moderna, 2008.
Paulo SP,
Disponvel em http://www.mar.mil.br/sdms/artigos/6956.pdf.
de
maturidade.
EUA,
abr.
2010.
Dispon-vel
em:
<http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders1/COBI
T6/Obtain_COBIT/Obtain_COBIT.htm>. Acesso em: 02 fev. 2013.
57
ITGI (2008). IT Governance Institute. COBIT 4.1: Control Objectives
/Management Guidelines / Maturity Models. ITGI, USA.
Management.
Auerbach
Publications.
Disponvel
https://www.cccure.org/Documents/HISM/ewtoc.html. Acesso em
em
17 mar.
2013.
So
Leopoldo-RS,
2008.
Disponvel
http://sbseg2008.inf.ufrgs.br/proceedings/data/pdf/st02_03_wticg.pdf.
em
Acesso
em 03 fev. 2013.
58
SCHEIN, Edgar. Organizational Culture and Leadership. San Francisco,
Jossey Bass Publications. 2 Ed. 1989
teses.
Lavras,
2010.
Disponvel
em:
59
Wikipdia. A enciclopdia livre. <http://pt.wikipedia.org/wiki/Wikip%C3%A
9d ia:P%C3%A1gina_principal> . Acesso em 10 Dez 2013.
60
APNDICE A POLTICA DE SEGURANA
CAPTULO I
DA POLTICA DE SEGURANA DA INFORMAO
II.
III.
IV.
V.
61
VI.
VII.
Ferramentas
conjunto
de
equipamentos,
programas,
IX.
X.
CAPTULO II
DOS OBJETIVOS E DA ABRANGNCIA
II.
III.
IV.
62
1 Para efeitos desta Resoluo, entende-se como ativo de
tecnologia da informao qualquer informao que tenha valor para
a empresa, tais como sistemas de informao, banco de dados,
imagens do sistema de segurana eletrnica, correspondncias
eletrnicas, contedo de pginas Web, telefonia VoIP, ou qualquer
outra informao armazenada e transmitida por meio digital, entre
outros.
2 As responsabilidades sobre os ativos sero definidos em normas
e procedimentos especficos elaborados pelo setor de TI e
submetidos aprovao da Alta Administrao da empresa.
I.
II.
III.
IV.
CAPTULO III
DO GERENCIAMENTO DE RISCOS E INCIDENTES DE SEGURANA
DA INFORMAO
II.
63
III.
CAPTULO IV
DOS DEVERES E RESPONSABILIDADES
II.
III.
IV.
V.
64
VI.
II.
III.
IV.
V.
II.
III.
IV.
V.
VI.
65
CAPITULO V
DISPONIBILIDADE
DOS
RECURSOS
DE
TECNOLOGIA
DA
INFORMAO
66
2. Determinados recursos tecnolgicos da empresa podem ser acessados
apenas mediante ao fornecimento de uma senha vlida, ou seja, as
senhas so utilizadas para prevenir acessos no autorizados
informao e no conferem ao colaborador nenhum direito de
privacidade.
3. Os colaboradores devem manter suas senhas como informao
confidencial. No permitido compartilh-la, nem acessar sistemas de
outros colaboradores sem expressa autorizao, conforme a hierarquia
interna de responsabilidade para autorizaes e aprovaes. Nestes
casos, somente o diretor ou o gerente (responsvel pelo funcionrio),
que tenha autorizado formalmente a quebra de sigilo de um colaborador,
pode acessar essas informaes, de modo a garantir o sigilo das demais
informaes.
4. Os colaboradores que tentarem burlar ou desabilitar os dispositivos de
segurana, que asseguram a integridade dos recursos tecnolgicos da
organizao, devem estar sujeitos a aes disciplinares.
CAPITULO VIII
SIGILO DAS INFORMAES
67
criptografados atravs de uma rede privada de dados, neste caso, em
nenhuma hiptese o cdigo de acesso (ou chave do cdigo) ser
transmitido junto com os dados confidenciais.
CAPITULO IX
68
Ressalvo que as estaes so configuradas para bloqueio automtico,
como forma de proteo adicional, aps um perodo de inatividade.
2. Como forma de proteger a entrada e, principalmente, a sada de
informao da organizao, dispositivos USB e CD tem uso controlado
e autorizado formalmente.
ESTAES MVEIS DE TRABALHO
69
instalao de software de propriedade da empresa alm da quantidade de
licenas adquiridas ou em equipamentos de terceiros.
2. Todos os programas de computador (software) em uso na empresa
possuem licenas de uso oficial e so homologados, sendo proibida a
instalao de qualquer software nas estaes de trabalho pelo prprio
usurio, sem conhecimento e autorizao do setor de TI.
REUTILIZAO E ALIENAO SEGURA DE EQUIPAMENTOS
CAPITULO XI
PROCEDIMENTOS PARA ACESSO INTERNET
Identidade do usurio;
Protocolos utilizados;
70
CAPITULO XII
PROCEDIMENTOS EM CASOS DE VIOLAO
Difamao
Artigo 139 do
Cdigo Penal
Divulgao de segredo
Artigo 153 do
Cdigo Penal
Dano
Artigo 163 do
Cdigo Penal
Violao
autoral
do
direito
Artigo 184 do
Cdigo Penal
Falsa identidade
Artigo 307 do
Cdigo Penal
Artigo 313-A do
Cdigo Penal
Crime
contra
propriedade industrial
Artigo 195
Lei 9.279/96
Interceptao
de
comunicaes
da
informtica
Crimes contra Software
Pirataria
Artigo 313-B do
Cdigo Penal
da
Artigo 10 da Lei
9.296/96
Artigo 12 da Lei
9.609/98
71
APENDICE B RELATRIO FINAL PARA A EMPRESA
Bem
como
se
sugere a utilizao das normas 27001 e 27002 como auxlio nas tarefas dirias.
A planilha utilizada para elaborar a Gesto de Risco ser repassada a
empresa, para tenha informaes detalhadas sobre os riscos que est sujeita e
como trata-las utilizando controles presentes nas normas da srie 27000.
Controles do COBIT tambm foram sugeridos no Captulo 3.6 e podem
ser consultados pela empresa.
De maneira geral, o primeiro passo definir pessoas responsveis que
faro parte de um comit para discutir junto a Alta Administrao as
necessidades do setor de TI e mostrar como isso afetaria no bom andamento da
empresa. O segundo passo, utilizar a Poltica de Segurana elaborada como
base e adicionar itens de interesse da empresa. Comunicar a Poltica o passo
seguinte. O projeto pode ser utilizado como uma base para que as mudanas
ocorram.
72
APNDICE C CONTROLES DO COBIT
Objetivos de controle
Justificativas
Modelo
Maturidade
PO1.1 Gerenciamento
de Valor da TI
PO1
PO1.2 Alinhamento
entre TI e Negcio
PO1.3 Avaliao da
Capacidade
e
Desempenho
Correntes
PO1.4
Plano
Estratgico de TI
PO1.5 Planos Tticos
de TI
Definir a Arquitetura da
Informao
PO2
PO1.6 Gerenciamento
do Portflio de TI
PO2.1 Modelo de
Arquitetura
da
informao
da
organizao
PO2.3 Esquema de
Classificao
de
Dados
PO2.4 Gerenciamento
de Integridade
Controles
Falta um plano de
investimento em pessoal e
sistemas de informao
PO3.3 Monitoramento
de Regulamentos e
Tendncias Futuras
Monitorar as tendncias
de
tecnologia,
infraestrutura.
PO4.1 Estrutura
Processos de TI
de
PO4.2
Comit
Estratgico de TI
PO4.3
Comit
Executivo de TI
PO4.4 Posicionamento
Organizacional
da
rea de TI
PO4.5
Estrutura
Organizacional de TI
PO4.6 Definio de
Papis
e
Responsabilidades
PO4.8
Responsabilidades por
Riscos,
Segurana,
Conformidade
PO 4.9 Proprietrios
de Dados e sistemas
Falta
definir
um
responsvel para tomar
de um planejamento de infraestrutura.
de
PO3.2
Plano
Infraestrutura
Tecnolgica
PO4
PO3
73
74
PO 4.10 Superviso
PO4.11 Segregao de
Funes
PO4.12 Recrutamento
de pessoal de TI
PO4.14 Polticas e
Procedimentos
para
Pessoal Contratado
PO4.15
Relacionamentos
decises
sobre
a
classificao
da
informao
Falta
controle
para
assegurar que os papis e
responsabilidades sejam
exercidos adequadamente.
separar
papis
e
responsabilidades
que
reduza a possibilidade de
um
nico
indivduo
subverter um processo
crtico.
A
gerncia
tambm deve se certificar
de que o pessoal esteja
executando apenas tarefas
autorizadas relevantes aos
seus respectivos cargos e
posies.
Avaliar os requisitos de
contratao e garantir que
a rea de TI tenha
quantidade suficiente de
pessoal para suportar de
forma
adequada
os
objetivos e metas de
negcios.
Falta definir pessoalchave e minimizar o
excesso de confiana em
um nico individuo
Definir e implementar
polticas e procedimentos
para
controlar
as
atividades de consultores
e outros contratados da
rea de TI visando
assegurar a proteo dos
ativos de informao da
organizao
e
o
cumprimento
das
exigncias
contratuais
firmadas
Estabelecer e manter uma
estrutura otimizada de
coordenao,
PO6.1 Poltica de TI e
Ambiente de Controle
Falta
poltica
segurana
PO6.2 Risco de TI
Corporativo
e
Estrutura Interna de
Controle
PO6.3 Gerenciamento
de Polticas de TI
PO6.4 Distribuio da
Poltica
Falta gerenciamento de
polticas de TI
Falta assegurar que as
polticas de TI sejam
impostas e distribudas
para todo o pessoal
Falta comunicao para
conscientizao
e
entendimento
dos
objetivos
Falta
padro
na
contratao do pessoal de
TI
Falta
avaliao
de
competncia pessoal
Falta definir, monitorar e
supervisionar funes
Falta treinamento eficaz
PO6.5 Comunicao
dos
objetivos
e
Diretrizes de TI
PO 7.1 Recrutamento
e Reteno de Pessoal
PO 7.2 Competncias
Pessoais
PO7.3 Preenchimento
de Vagas
PO 7.4 Treinamento
de Pessoal
de
1
Inicial:
A
organizao
reconhece
a
necessidade
de
gerenciar
o
investimento em
TI,
mas
comunicada
inconsistentement
e. As decises so
focadas
operacionalmente.
0 Inexistente: Direo no estabeleceu um
ambiente de controle da informao. No h
reconhecimento da necessidade de estabelecer um
conjunto de polticas, padres, procedimentos e
processos de conformidade.
PO5.1 Estrutura da
Administrao
Financeira
PO5.2
Priorizao
dentro do Oramento
de TI
PO5.3 Processo de
Oramento de TI
PO5.4 Gerenciamento
de Custo
comunicao e conexo
entre a funo de TI e
diversos outros interesses
dentro ou fora da rea de
TI;
Falta estabelecer uma
estrutura financeira
a
Inicial:
1
administrao
a
reconhece
de
necessidade
dos
gerenciamento
recursos humanos de
TI
Gerenciar os investimentos de
TI
Comunicar as Diretrizes e Expectativas da
Diretoria
Gerenciar os Recursos
Humanos de TI
PO7
PO6
PO5
75
PO 7.5 Dependncia
de Indivduos
PO 7.6 Procedimentos
de
Liberao
de
Pessoal
PO 7.7 Avaliao de
Desempenho
Profissional
PO 7.8 Mudana e
Desligamento
de
Cargo
PO 9.1 Alinhamento
da gesto de riscos de
TI e de negcios
PO
9.2
Estabelecimento
do
Contexto de risco
Falta
estabelecer
o
contexto ao qual a
estrutura de avaliao de
riscos aplicada
Falta manter histrico dos
riscos relevantes
PO 9.3 Identificao
de Eventos
PO 9.4 Avaliao de
Risco
PO 9.5 Resposta ao
risco
PO 9.6 Manuteno e
monitoramento
do
plano de ao de risco
AI1
Definio
e
Manuteno
de
Requisitos Tcnicos e
funcionais de negcio
AI1
Identificar
Solues
Automatiz
adas
PO9
76
0
Inexistente:
Gerenciar riscos
no considerado
relevante
para
adquirir solues
ou
entregar
servios de TI
1 Inicial: Os
requisitos no so
documentados.
H
uma
conscincia
da
AI3
77
AI1.2 Relatrio
Anlise de Risco
de
AI3.1
Plano
Aquisio
Infraestrutura
tecnolgica
de
de
AI3.2 Infraestrutura de
recursos, proteo e
disponibilidade
AI4
AI 3.3 Manuteno da
infraestrutura
AI 4.1 Planejamento
para
solues
operacionais
AI 4.2 Transferncia de
Conhecimento ao
gerenciamento do
negcio
AI4.3 Transferncia de
conhecimentos
dos
usurios finais
necessidade
definir
requisitos
identificar
solues.
de
os
e
as
1 Inicial: Existe
conscincia
de
que
a
infraestrutura de
TI importante,
no h nenhuma
abordagem
consistente.
1 Inicial: H
conscincia de
que a
documentao de
processos
necessria. A
documentao
ocasionalmente
produzida e
inconsistentement
78
Adquirir recursos de TI
Gerenciar Mudanas
Instalar e Homologar
Solues e Mudanas
AI7
AI6
AI5
AI 4.4 Transferncia de
conhecimento
s
equipes de operaes e
suporte
AI5.1 Controle de
Aquisies
AI 5.3 Seleo
Fornecedores
de
AI 5.4 Aquisio de
Recursos de TI
AI 6.1 Padres e
Procedimentos
de
Mudana
AI 6.2 Avaliao de
Impacto, priorizao e
autorizao.
AI 6.3 Mudanas de
Emergncia
AI
6.4
Acompanhamento de
Status e Relatrios de
Mudanas
AI 6.5 Finalizao da
Mudana
e
Documentao
AI 7.1 Treinamento
AI 7.2 Plano de teste
AI 7.5 Converso de
dados e sistemas
possam exercer
responsabilidades.
suas
Falta acompanhamento
para assegurar que a
aquisio
de
infraestrutura, hardware,
software satisfaa os
requisitos de negcios.
Falta uma seletiva de
fornecedores com opes
viveis.
Falta uma documentao
para
aquisio
de
recursos de TI.
Falta acompanhamento e
documentao.
Falta
treinamento
consistente.
Falta definir papis e
responsabilidade na TI
Falta planejamento na
migrao de dados e
procedimentos de retorno
situao anterior e de
recuperao de falhas.
e distribuda a
grupos limitados.
0 Inexistente: No
h
nenhum
processo definido
de aquisio de
recursos de TI.
0 Inexistente: No
h um processo
de gerenciamento
de
mudanas
formalmente
estabelecido, e as
mudanas podem
ser
feitas
praticamente sem
nenhum controle.
1 Inicial: Existe a
conscincia
da
necessidade. As
abordagens
de
testes variam.
de
de
DS 1.2 definio de
servios
DS 1.5 monitoramento e
relatrio de realizaes
de nvel de servio
Falta um controle de
desempenho
e
andamento de servio
DS 2.1 Identificao do
relacionamento
com
todos os fornecedores
DS 2.3 Gerenciamento
dos riscos do fornecedor
DS 2.4 Monitoramento
de
desempenho
do
fornecedor
Estabelecer um processo
para monitorar a prestao
do servio de modo a
assegurar
que
o
fornecedor atenda aos
requisitos
atuais
do
DS1.1
Estrutura
gesto de nveis
servios
DS2
DS1
79
80
DS 3.1 desempenho e
planejamento
de
capacidade
DS3
DS 3.2 capacidade e
desempenho atuais
DS 3.3 capacidade e
desempenho futuros
DS 3.4 Disponibilidade
de recursos de TI
DS 3.5 monitoramento e
relatrio
Falta Estabelecer um
processo
de
planejamento para a
realizao de anlise
crtica do desempenho e
da capacidade dos
recursos de TI,
Realizar
a
anlise
crtica do desempenho e
a capacidade atual dos
recursos de TI
Identificar
as
tendncias de carga de
trabalho e realizar
previses para orientar
o plano de capacidade e
desempenho.
A
Direo
deve
assegurar que os planos
de
contingncia
viabilizem
apropriadamente
a
disponibilidade,
a
capacidade
e
o
desempenho de cada
recurso de TI.
Monitorar
constantemente
o
desempenho
e
a
capacidade dos recursos
de TI
negcio.
DS 4.1 estrutura
continuidade
de
DS 4.2 Planos
continuidade de TI
de
Desenvolver planos de
continuidade de TI com
base na estrutura e
projetados para reduzir o
impacto de uma grande
interrupo de funes e
processos de negcio
fundamentais.
DS 4.4 Manuteno do
plano de continuidade de
TI
1 Inicial: as responsabilidades pela continuidade dos servios so informais e a autoridade ra exercer essas responsabilidades
limitada.
DS4
81
82
DS 4.7 Distribuio do
plano de continuidade
DS5
DS 4.8 Recuperao e
retomada dos servios de
TI
DS 4.9 Armazenamento
de cpias de segurana
em locais remotos
Armazenar remotamente
todas as mdias de cpias
de segurana crticas,
documentao e outros
recursos de TI necessrios
para a recuperao da TI e
os planos de continuidade
de negcio.
DS 5.1 gesto da
segurana de TI
DS 5.2 plano de
segurana de TI
DS 5.3 Gesto de
identidade
DS 5.4 gesto de contas
de usurio
DS
5.5
teste
de
segurana, vigilncia e
monitoramento
Falta documentao
1 Inicial: A organizao
reconhece a necessidade de
segurana de TI. A conscincia
da necessidade de segurana
depende principalmente das
pessoas. A segurana de TI
tratada de forma reativa e no
mensurada. As falhas de
segurana de TI detectadas
geram acusaes internas, pois a
atribuio de responsabilidades
obscura. As respostas s falhas
de segurana de TI so
imprevisveis.
DS 4.6 treinamento do
plano de continuidade de
TI
ser
efetivamente
recuperados
Assegurar que todas as
partes
envolvidas
recebam
treinamento
regular
sobre
os
procedimentos, papis e
respectivas
responsabilidades
no
caso de um incidente ou
desastre.
Falta gerenciar para que
os
planos
estejam
apropriadamente
disponveis s partes
interessadas
e
autorizados quando e
onde necessrio.
Planejar as aes a
serem executadas nos
momentos
de
recuperao
e
retomadas dos servios
de TI. Isto pode incluir
ativao de backup
sites,
DS 6.2 Contabilidade de
TI
DS7
DS 7.2 Entrega de
treinamento e ensino
DS 7.3 Avaliao do
treinamento recebido
Identificar todos os
custos de TI e associlos aos servios de TI,
sustentando um modelo
transparente de custeio.
Coletar e alocar os
custos vigentes de
acordo com o modelo
de custo definido.
Estabelecer e atualizar
regularmente
um
currculo para cada
grupo-alvo
de
empregados,
Registrar
inscries
(incluindo
prrequisitos), frequncia
de
participao
e
avaliaes
de
desempenho.
Avaliar o contedo do
ensino e do treinamento
recebidos no que diz
respeito a relevncia,
qualidade, efetividade,
absoro e reteno do
conhecimento, custo e
valor.
1 Inicial: Os custos de TI so
custo
como
alocados
operacional geral.
DS 5.6 Definio de
Incidente de segurana
DS 5.7 Proteo da
tecnologia de segurana
DS 5.8 gesto de chave
criptogrfica
DS
5.9
preveno,
deteco e correo de
software malicioso
DS 5.10 Segurana de
rede
DS 5.11 comunicao de
dados confidenciais
DS 6.1 definio de
servios
DS6
83
DS 8 Central de servio
DS8
DS 8.3 Escalonamento
de incidentes
DS 8.4 Encerramento de
incidentes
0 Inexistente: H uma completa falta de processo de gerenciamento de incidente. A organizao no reconhece que h uma
questo a ser tratada.
84
DS 9.2 identificao e
manuteno dos itens de
configurao
DS 9.3 reviso
integridade
configurao
da
de
Gerenciar os problemas
Gerencia
r os
dados
DS11
DS10
DS 10.1 Identificar e
classificar os problemas
DS 10.2 Rastreamento e
resoluo de problemas
DS 11.1 Requisitos de
negcio
para
o
gerenciamento de dados
0 Inexistente: No h conscientizao da
necessidade de gerenciamento de problemas
tampouco h diferenciao entre problemas e
incidentes. Portanto, no h tentativa de
identificar a origem dos incidentes.
Gerenciar a configurao
DS9
DS 9.1 repositrio de
configurao e perfis
bsicos
Gerar relatrios de
atividades da central de
servio,
Estabelecer
uma
ferramenta de suporte e
um repositrio central
para conter todas as
informaes relevantes
sobre os itens de
configurao.
Implantar
procedimentos
de
configurao
para
suportar a Direo e
registrar
todas
as
alteraes
no
repositrio
de
configuraes.
Periodicamente revisar
os
dados
de
configurao
para
verificar e confirmar a
integridade
da
configurao atual e
histrica.
Implementar processos
para
reportar
e
classificar os problemas
identificados
como
parte do gerenciamento
de incidentes
O sistema de
gerenciamento de
problemas deve
fornecer recursos de
trilha de auditoria
adequados que
permitam o
rastreamento, a anlise
e a identificao da
causa-raiz de todos os
problemas reportados,
Estabelecer
arranjos
para assegurar que
todos
os
dados
esperados
sejam
1 Inicial:
responsa
bilidade
final
pelo
gerencia
mento
dos
dados
no
clara.
Existem
procedi
mentos
de cpia
de
seguran
DS 8.5 Relatrios e
anlises de tendncias
85
86
DS 11.2 Arranjos de
armazenamento
e
reteno
DS 11.3 Sistemas de
gerenciamento
de
biblioteca de mdia
DS 11.5 Backup e
restaurao
DS 11.6 Requisitos de
segurana
para
o
gerenciamento de dados
recebidos, processados
de maneira completa,
precisa e no tempo
apropriado e que toda
sada seja entregue de
acordo
com
os
requisitos de negcio.
Definir e implementar
procedimentos para um
efetivo
e
eficiente
armazenamento
de
dados,
reteno
e
arquivamento
para
atender aos objetivos de
negcio, poltica de
segurana
da
organizao
e
s
exigncias regulatrias.
Definir e implementar
procedimentos
para
manter um inventrio
de
mdia
local,
assegurando
sua
usabilidade
e
integridade.
Falta
documentao
mais detalhada.
Definir e estabelecer
polticas
e
procedimentos
para
identificar e aplicar
requisitos de segurana
aplicveis
ao
recebimento,
processamento,
armazenamento fsico e
sada de dados para
atender aos objetivos de
negcio, poltica de
segurana
da
organizao
e
a
exigncias regulatrias
Definir e selecionar o
local
para
os
equipamentos de TI.
DS 12.2 Medidas de
segurana fsica
Definir e implementar
medidas de segurana
fsica alinhadas com os
requisitos de negcio
para proteger o local e
os ativos fsicos
Os acessos a
instalaes, prdios e
reas devem ser
justificados,
autorizados, registrados
e monitorados.
Projetar e implementar
medidas de proteo
contra
fatores
ambientais
Gerenciar as instalaes
fsicas,
incluindo
equipamentos
de
energia e comunicao,
Definir, implementar e
manter procedimentos
padronizados para as
operaes de TI e
assegurar que a equipe
de operaes esteja
familiarizada com todas
as
atividades
operacionais relevantes
Definir e implementar
procedimentos
para
monitorar
a
infraestrutura de TI e
eventos relacionados.
Estabelecer
proteo
fsica
apropriada,
prticas de controle e
gerenciamento
de
inventrio sobre ativos
crticos de TI
DS 12.5 gerenciamento
de instalaes fsicas
Gerenciar as operaes
DS13
DS 13.1 procedimentos e
instrues de operaes
DS 13.3 monitoramento
da infraestrutura de TI
DS 13.4 documentos
confidenciais
e
dispositivos de sada
DS12
87
ME 1.4 avaliao de
desempenho
Analisar periodicamente o
desempenho com base nas
metas, executar anlise de
causa-raiz dos problemas e
iniciar ao corretiva para
tratar as causas ocultas.
Identificar e iniciar aes
corretivas com base no
monitoramento,
na
avaliao e nos relatrios
de desempenho.
o
Inicial:
1
Normalmente
monitoramento implementado
como resposta a um incidente que
tenha causado algum tipo de perda
ou embarao organizao.
ME 2.1 monitoramento
da estrutura de controles
internos
Falta monitoramento
ME
2.2
Reviso
Gerencial
ME 2.5 garantia dos
controles internos
ME 2.7 aes corretivas
A Direo de TI no atribuiu
formalmente a responsabilidade pela
eficcia do monitoramento dos controles
internos.
ME 4.1 estabelecimento
de uma estrutura de
governana de TI
Falta
avaliao
dos
controles internos de TI
Garantir a abrangncia dos
controles internos
Identificar,
iniciar,
monitorar e implementar
aes corretivas com base
nas avaliaes e nos
relatrios de controle
Definir,
estabelecer
e
alinhar a estrutura de
governana de TI com a
governana organizacional
e o ambiente de controle.
1 Inicial:
H
reconheci
mento de
que
existem
questes
sobre a
governana
de TI que
precisam
ser
tratadas.
Definir e implementar
procedimentos
para
assegurar a manuteno
da infraestrutura em
tempo
hbil
para
reduzir a frequncia e o
impacto de falhas ou
degradao
de
desempenho.
Monitorar e Avaliar o
Desempenho
DS 13.5 Manuteno
preventiva de hardware
Prover a
Governan
a de TI
ME4
ME2
ME1
88
89
ME 4.2 alinhamento
estratgico
ME 4.4 gerenciamento
de recursos
de
90
APNDICE D SUGESTES DECONTROLES DA NORMA 27001
Falta na empresa
Poltica de Segurana
Apoio da Alta
Administrao
Faltam responsveis
Atualizao de
Confidencialidade
Identificar requisitos antes
de conceder acesso aos
ativos ou s informaes
Responsveis pelos ativos
Classificao das
informaes
RH antes da contratao
RH Durante a contratao
Desligamento de
funcionrios
Segurana fsica e do
ambiente
91
Segurana de
equipamentos
Gerenciamento das
operaes
Planejamento e aceitao
dos sistemas
Proteo contra cdigos
maliciosos
Cpias de segurana
Gerenciamento da
segurana em redes
Manuseio de mdias
Troca de informaes
92
Monitoramento
Controle de acessos
Gerenciamento de acesso
do usurio
Responsabilidades dos
usurios
93
Controle de acesso ao
sistema operacional
Computao mvel e
trabalho remoto
Segurana dos arquivos do
sistema
Segurana em processos de
desenvolvimento e de
suporte
Gesto de incidentes de
segurana da informao
Gesto de incidentes de
segurana da informao e
melhorias
Gesto da continuidade do
negcio
Conformidade com
requisitos legais
Conformidade com normas
e polticas de segurana da
informao e conformidade
tcnica
94
APNDICE E MODELO TERMO DE ACEITAO DO RISCO
______________________________
Responsvel pelo setor de TI
______________________________
Diretor Geral
Data (XX/XX/XXXX).
95
ANEXO A FOTOS DE PONTOS CRTICOS DA EMPRESA
96
97
98
99
Foto 8: Setor de TI
100
101
102
103
104
105
Que o no cumprimento desse termo de sigilo acarretar todos os efeitos de
ordem penal, civil e administrativa contra seus transgressores, assumindo as
respectivas responsabilidades.
Por meio de minha assinatura declaro ter lido e compreendido este termo, bem
como me comprometo a cumprir todas as responsabilidades nelas contidas, sob
pena de ter o meu contrato de trabalho rescindido por justa causa, a teor do art.
482 letra g da CLT, como tambm estou ciente de que posso ser acionado
judicialmente a indenizar a EMPRESA por danos ocasionados, na Forma da
Legislao Vigente.
Local, Data.
___________________________________
Chapa:
CPF:
Carimbo CNPJ:
__________________________________
REPRESENTANTE DO EMPREGADOR