Manual de Gesto de Segurana da Informao Empresarial

SCM - Sistemas e Consultoria de Mercado Ltda.

Comit de Gesto de Segurana da Informao

Orientador do Projeto Prof. Jlio Luiz Nunes Carvalho juliolncarvalho@netbotanic.com.br Aluno Ronaldo do Couto Silva rcsilva@trf2.gov.br

Para quem desenvolvido uma Gesto de Segurana da Informao Empresarial ?

Para o Cliente !!

1 Parte
CONHECENDO A SEGURANA DA INFORMAO

2 Parte
CONSULTORIA PARA A EMPRESA SCM - Sistemas e Consultoria de Mercado Ltda.

1 Parte Conhecendo a Segurana da Informao

I Conceitos de Segurana da Informao II Como deve ser uma Poltica de Segurana da Informao III O que se deve esperar de uma Poltica de Segurana IV Etapas da avaliao para a Gesto de Segurana

1 Parte
I Conceitos de Segurana da Informao

O que Informao ?
Dados Subconjunto de dados Conhecimento Pessoas Dados descrevem atributos; Conhecimento <=> interpr. da Info Informao interpretao a luz do conhecimento

Informao

Informao
As informaes so ativos importantes para os negcios de qualquer empresa (tem valor) e precisam ser protegidos corretamente. As informaes podem existir na forma digital, impressa, no conhecimento das pessoas, em meio magntico e em diversas outras formas.

Ativo
Qualquer elemento que manipule e processa a informao, a contar a prpria informao, o meio em que ela armazenada, os equipamentos em que ela manuseada, transportada e descartada, ou seja, tudo que for de valor para a empresa.

Vulnerabilidade
Ponto pelo qual um ativo ou algum pode ser atacado, molestado ou ter suas nformaes corrompidas.

Ameaa
Algo que possa provocar danos segurana da informao, prejudicar as aes da empresa e sua sustentao no negcio, mediante a explorao de uma determinada vulnerabilidade.

Segurana da Informao
A informao deve ser protegida de maneira que no ocorra a possibilidade de acessos no autorizados, alteraes indevidas ou sua indisponibilidade. A segurana da Informao deve ser implementada em todas as reas da organizao.

A segurana da Informao tem como objetivo a preservao de quatro princpios bsicos, pelos quais se norteia a implementao na prtica:
Segurana da Informao

Confidencialidade

Integridade

Disponibilidade

Autenticidade

Confidencialidade
As informaes tem que ser protegidas de leituras ou divulgaes no autorizadas.

Integridade
As informaes tem que ser protegidas de modificaes no autorizadas.

Disponibilidade
As informaes tm que estar disponveis quando requerido pelos usurios autorizados.

Autenticidade
a garantia de que a informao autntica, ou seja, atesta a sua origem, por isso no pode ser contestada.

Risco
Risco tudo o que pode ameaar a segurana das informaes, abalarem sua confiana ou provocar perdas de confidencialidade, integridade e disponibilidade, causando algum tipo de problema ou impacto para a organizao. O conceito chave que devemos sempre considerar minimizar os riscos.

PCN (Plano de Continuidade de Negcios)

Uma srie de documentos que so elaborados com o propsito de se definir que aes sero tomadas em situaes de crise e de emergncia. Devem abordar desde a administrao de crise, contingncia operacional e recuperao situao normal de funcionamento da empresa dentro do contexto do negcio do qual ela faz parte.

Poltica de Segurana da Informao

um conjunto de diretrizes gerais destinadas a governar a proteo a ser dada a cada ativo da empresa, norteando e apoiando a administrao na implementao da segurana da informao. As conseqncias de uma poltica de segurana implementada e corretamente seguida podem ser resumidas em trs aspectos: Reduo da probabilidade de ocorrncia de alguma ameaa; Reduo dos danos provocados por eventuais riscos; Criao de procedimentos para se recuperar de eventuais danos. Convm que a administrao estabelea uma poltica clara e demonstre apoio e comprometimento.

Fatores crticos de sucesso

Poltica de segurana, objetivos e atividades, que reflitam os objetivos do negcio; Um enfoque para a implementao da segurana que seja consistente com a cultura organizacional Comprometimento e apoio visvel da administrao; Um bom entendimento dos requisitos de segurana, anlise de risco e gerenciamento de risco; Divulgao eficiente da segurana para todos os gerentes e funcionrios; Distribuio das diretrizes sobre as normas e poltica de segurana da informao para todos os funcionrios, prestadores de servio e fornecedores; Proporcionar educao e treinamento adequados; Um abrangente e balanceado sistema de medio, que usado para avaliar o desempenho da gesto de segurana da informao e obteno de sugestes para a melhoria.

II Como deve ser uma Poltica de Segurana da Informao

A poltica deve ter o jeito da organizao, porm alguns assuntos comuns a todas as organizaes devem ser tratados: A Informao como um Bem da Empresa; Uso profissional; Controle do acesso Informao; Gestor da Informao; Responsabilidades do Usurio, Gerncia e Gestor da Informao; Preparao para situaes de contingncia - continuidade operacional; Privacidade do usurio - arquivos pessoais, correio eletrnico; Medidas disciplinares que sero utilizadas caso a Poltica no seja cumprida.

Uma das caractersticas de uma boa poltica de segurana a lembrana pelos usurios dos principais pontos que ela transmite. A poltica de segurana da informao deve conter diretrizes que no fiquem desatualizadas ao longo do tempo. A poltica de segurana deve ser um elemento de um conjunto de aes que compem o Processo de Segurana da Organizao. Em uma Empresa precisamos definir padres de conduta para garantir o sucesso e a continuidade do negcio.

Fazendo um paralelo com a legislao que possui leis, decretos, medidas provisrias entre outras, no caso da poltica de segurana, podemos dividir essa documentao em trs tipos de texto a serem elaborados So eles:

1) Texto em nvel estratgico

A palavra chave quando falamos em nvel estratgico so os valores da empresa, ou seja, o que deve ser feito, desde que no comprometa a continuidade do negcio.

2) Texto em nvel ttico

A palavra chave para o nvel ttico : padronizao de ambiente.

3) Texto em nvel operacional

A palavra chave para o nvel operacional : detalhamento.

Poltica de Segurana
Texto em Nvel estratgico o qu Texto em Nvel Ttico padronizao Texto em Nvel Operacional detalhamento Monitoramento acompanhamento

s n e v

Por onde comeo a escrever uma Poltica de Segurana da Informao?

Uma poltica de segurana no possui frmula. No h um "produto de caixinha" que nos fornea um texto condizente com as necessidades do negcio. Para isso, necessrio que tenhamos pessoas qualificadas para levantar as vulnerabilidades, ameaas, mensurar riscos, mensurar impactos no negcio, pontos passivos de falhas de contingncia e, a partir da, baseado em conceitos de segurana, auditoria e no negcio da empresa, escrever um documento que reflita a realidade da empresa.

Conceitos de segurana? Que conceitos seriam esses?

Conceitos fundamentais de segurana que independem de empresa e que podem ser encaixados em todas elas. propriedade intelectual da informao segregao de tarefas termo de sigilo e responsabilidades classificao da informao limites da segurana da informao controle fsico de equipamentos investigao planos de contingncia planos para recuperao de desastres tratamento de informao pessoal tica no uso de recursos da empresa outros.

controle de acesso por nec. de conhecimento rastreamento

III O que se deve esperar de uma Poltica de Segurana ? Segurana e Eficincia

As empresas que possuem uma poltica de segurana conseguem manter seus computadores funcionando e operando com mais eficincia, esto menos sujeitas os ataques de diversos tipos, so mais produtivas, possuem melhor produtividade e lucro, minimizam riscos e prejuzos e so mais competitivas no mercado.

Tranqilidade
As empresas que conseguem antecipar situaes de risco e estabelecer medidas preventivas esto menos sujeitas a enfrentar problemas como a paralisao das atividades, a perda de informaes contbeis, financeiras e comerciais.

Boa imagem junto aos clientes

Os clientes sabem que se as informaes pessoais deles carem em mos erradas eles podero sofrer prejuzos pessoais, morais e financeiros. Se a empresa desenvolve uma poltica de segurana, com certeza seus clientes ficaro mais tranqilos, seguros e satisfeitos.

IV Etapas da avaliao para a Gesto de Segurana Visita tcnica

Na visita tcnica devero ser verificados e avaliados o nvel de segurana dos sistemas e dos ativos mais importantes, o nvel de conhecimento e de atuao dos funcionrios na rea de segurana, como tambm sero avaliados outros detalhes possveis.

Anlise de Segurana
A avaliao dever ser bastante abrangente, verificando diversos pontos chaves na segurana das informaes e dos ativos mais importantes, as vulnerabilidades, os riscos e os problemas possveis e os que j so existentes e tambm avaliar e ressaltar os pontos positivos que j fazem parte da empresa, sugerindo melhorias e controles para minimizar os riscos e as ameaas possveis.

Anlise de riscos para os ativos da empresa

Aps a identificao dos principais ativos da empresa dever ser feita a anlise de riscos baseada nestes ativos. Sero sugeridas solues para minimizar a atuao dos riscos e das ameaas possveis.

IV Etapas da avaliao para a Gesto de Segurana (cont.) Anlise de Vulnerabilidades

Dever ser feita anlise detalhada sobre as vulnerabilidades dos seus ativos com sugestes de melhorias e correes que podero ser feitas.

Anlise de segurana sobre o perfil da empresa na internet

Atravs do servio de anlise de segurana do perfil da empresa na internet, deveremos vasculhar a internet por todas as informaes que possam ser encontradas e que envolvam o nome da empresa. Desta forma a empresa vai poder ter conscincia das informaes que podem ser acessadas por terceiros e analisar o impacto da divulgao destas informaes pela internet nas suas atividades e na vida da empresa.

Relatrio Executivo de Segurana

Aps as etapas anteriores e na anlise de um questionrio com diversas perguntas dever ser emitido um relatrio detalhado com a anlise da segurana da informao da empresa. Este relatrio servir de base para avaliar o nvel de segurana atual na empresa, oferecer um panorama geral, para avaliar os riscos e a necessidade de implementar algumas solues de segurana.

IV Etapas da avaliao para a Gesto de Segurana (cont.)

Desenvolvimento e Implementao da Poltica de Segurana

Orientaes para a criao e para a implementao de uma Poltica de Segurana da Informao na empresa, conjuntamente com um Plano de Continuidade dos Negcios (BCP) e um Plano de Recuperao de Desastres (DRP).

Recuperao de desastres
Implementao de rotinas para recuperao de falhas, treinamento para recuperao do sistema operacional em caso de problemas, criao de procedimentos de segurana para recuperao das informaes em caso de desastre.

Treinamento, palestras e curso de segurana

Dever ser fornecido Treinamento, com palestras e curso de segurana para os funcionrios, clientes, profissionais autnomos e qualquer pessoa que tenha interesse em aprender sobre a rea de segurana da empresa.

Monitoramento contnuo e gerenciamento de segurana das informaes

Atravs de controles peridicos exercidos na prpria empresa e atravs de visitas tcnicas poder ser avaliado se o nvel de segurana pretendido est sendo alcanado e se podero ser implementadas correes e alteraes a partir de novas necessidades e novos riscos existentes.

Concluindo
Uma Poltica de Segurana uma ferramenta, na forma de documentao, que expressa a formalizao dos anseios da empresa para que suas informaes mantenham-se ntegras, disponveis e em sigilo. Pensar tambm alm da tecnologia.

2 Parte
Consultoria para a Empresa Informtica Objetiva Ltda.
I - Descrio da Empresa Contratante II - Poltica de Segurana III - Classificao das Informaes IV - Direito de Acesso V - Administrao da Segurana VI - Equipe do Projeto VII - Inventrio de Usurios e Recursos VIII - Ferramentas de Segurana IX - Comunicao de Dados X - Criptografia XI - Segurana para as Estaes de Trabalho XII - Segurana de Rede XIII - Hacking e Ferramentas XIV - Segurana Fsica XV - Plano de Continuidade

2 Parte
I Descrio da Empresa Contratante Razo Social
Informtica Objetiva Ltda.

Negcio
Softhouse especializada no Desenvolvimento e Implantao de solues informatizadas de gesto empresarial e que tambm atende ao seguimento de Consultorias Administrativas e de Informtica.

Misso
Desenvolver solues informatizadas de gesto empresarial e atender ao seguimento de Consultorias, sustentado pelo trinmio baixo custo, baixo preo e de excelncia na qualidade, atravs de solues inovadoras, buscando maximizar os resultados para nossos clientes, colaboradores e sociedade.

Viso de Futuro
Superar-se e ser reconhecida, at 2010, como a Softhouse que inovou em solues de gesto empresarial e Consultoria com qualidade excelente e preo baixo.

Caractersticas
Fundada em 1992, com sede na Cidade do Rio de Janeiro, a empresa Informtica Objetiva Ltda. desenvolve suas solues informatizadas de gesto empresarial totalmente integradas em ambiente multi-usurio com os diversos produtos comercializados pela empresa, com isto gerando um alto ndice de produtividade para as empresas de pequeno e mdio porte que adquire os seus produtos. Atua tambm na rea de consultoria para utilizao de metodologias, tecnologias e ferramentas de desenvolvimento, bem como, na definio de solues em ambiente micro, mainframe, internet e cliente-servidor.

Informaes relevantes atividade interna da empresa 1) Infra-estrutura de rede para at 50 pontos; 2) Acesso a Internet e acesso remoto usando VPN; 3) Sistema integrado de Cadastro de Clientes, Sistema de controle de verso e distribuio dos softwares comercializados e Vendas; 4) Sistemas de folha de pagamento, Sistema de contabilidade e Cobrana; 5) Sistema de help-desk para atendimento on-line aos Clientes; 6) Todos so funcionrios contratados, com a exceo de 3 estagirios.

Processos referentes ao principal Negcio da Empresa

1
1.1

Anlise da criao/implementao dos Sistemas/Programas:

Anlise de Requisitos funcionais 1.1.1 1.1.2 1.1.3 1.1.4 1.1.5 1.1.6 Escolha da Equipe de Analistas Definio e consideraes funcionais Definio do Mini-Mundo Definio de Glossrio de termos Definio dos Diagramas de Classe, Casos de uso e etc Confeco da Documentao Definio do Modelo Lgico Definio de Plataforma e Interfaces Definio de Integrao entre Sistemas Atualizao da Documentao

1.2

Projeto do Sistema 1.2.1 1.2.2 1.2.3 1.2.4

Processos referentes ao principal Negcio da Empresa (cont.)

2
2.1 2.2 2.3 2.4 2.5

Desenvolvimento dos Sistemas/Programas:

Escolha da equipe de Programadores Interpretao conjunta da documentao dos Sistemas/Programas com os Analistas Confeco Modularizada dos Programas Fontes individuais Testes de funcionamento dos Programas Individuais e de Modularizao Atualizao da Documentao

3
3.1 3.2 3.3

Homologao e Testes no funcionamento geral dos Sstemas/Programas em ambiente de produo criado para este fim.
Realizao de testes no funcionamento com Homologao Controle do Sistema de verso e distribuio dos softwares comercializados Concluso do Projeto/Sistema

Processos referentes ao principal Negcio da Empresa (cont.)

4
4.1

Divulgao e Venda pelo Departamento de Marketing do Projeto/Sistema

Divulgao do Projeto/Sistema 4.1.1 4.1.2 4.1.3 4.1.4 Confeco do Manual do Usurio conjuntamente com o Departamento de Suporte e Treinamento Confeco de Folders do Projeto/Sistema conjuntamente com o Departamento de Suporte e Treinamento Realizao de Seminrios, Palestras de Divulgao Realizao de visitas aos Clientes Controle do Cadastro de Clientes conjuntamente com o Departamento Financeiro 4.2.2 4.2.3 Escolha de forma de pagamento Entrega no Cliente do Projeto/Sistema

4.2

Venda do Projeto/Sistema 4.2.1

Processos referentes ao principal Negcio da Empresa (cont.)

5
5.1

Realizao de Suporte e Treinamento

Treinamento 5.1.1 Determinao junto ao Cliente de local e periodicidade do Treinamento. (Poder ser nas dependncias da Informtica Objetiva Ltda. ou em locais solicitados pelos prprios Clientes.) 5.1.2 Realizao agendada de Treinamento aos Clientes que adquirirem os Produtos

5.2

Suporte 5.2.1 5.2.2 Atendimento remoto de Suporte Tcnico atravs de Sistema de help-desk para os Clientes que contrataram este servio. Controle e Incluso de informaes na Base de Conhecimento do Sistema de help-desk.

Processos referentes ao principal Negcio da Empresa (cont.)

Observao
A Base de conhecimento do Sistema de help-desk um repositrio onde so registrados todos os possveis problemas encontrados nos Produtos pelos Clientes. Nela so registrados os problemas com as solues encontradas. Ela servir para melhorar cada vez mais a qualidade dos produtos.

6
6.1 6.2

Controle de Pagamentos dos Clientes

Emisso e Controle de Nota Fiscal de Servios Emisso e Controle de Boletos bancrios

Deteco de Pontos de Insegurana

A empresa no possui controle de acesso de pessoas; As salas no so fechadas a chave; O piso do cho das salas carpete; Existem poucos extintores de incndio; Os funcionrios podem comer, beber e fumar no ambiente de trabalho; Os servidores no so certificados e no possuem lacres de segurana; Os servidores ficam na rea de produo, perto dos funcionrios; No existe um processo automatizado de backup As mdias de backup no so armazenadas em local separado Os backups no so periodicamente testados; A Internet usada livremente; Alguns cabeamentos de rede no so estruturados No existe poltica de senhas No existe poltica de e-mail. O Diretor-Presidente no est ciente dos problemas Os funcionrios no assinaram Termo de Sigilo no ato da contratao

Criptografia
Este mtodo de criptografia se baseia na propriedade do operador binrio XOR (exclusive or) conforme descrito abaixo: <texto> XOR <senha> XOR <senha> = <texto>
Exemplo: 69483264715 ^ MINHA SENHA = A3DC&980BKS A3DC&980BKS ^ MINHA SENHA = 69483264715

Vantagens custo zero alto desempenho fcil implementao

Segurana de Rede
Riscos Falha de hardware ou software em algum servidor Falta de energia Falha nos equipamentos de rede (switch, roteador, etc.) Vrus Erro do(s) administrador(es) da rede Ataque

Segurana de Rede (cont.)

Vulnerabilidades Falta de auditoria Antivrus desatualizado Sistema de no-break sub dimensionado Vrus Administradores mal treinados

Segurana de Rede (cont.)

Medidas de segurana a serem implantadas Treinamento para os administradores da rede Poltica de conscientizao de todos os usurios Uso de ferramentas de segurana como firewall, proxy, etc

Hacking e Ferramentas
Principais tcnicas Sniffing Password cracking Spoofing Denial of service

Hacking e Ferramentas (cont.)

Procedimentos Bloquear tudo que no estiver explicitamente permitido Implantar Ferramenta IDS Atualizao patchs de segurana Implantar controle de acesso Web (proxy) Desabilitar servios desnecessrios Implantar ferramenta de varredura de porta

Hacking e Ferramentas (cont.)

Procedimentos (cont.) Administrao de antivirus centralizada Bloqueio de alguns tipos de arquivo Adoo de senhas complexas Restringir acesso por horrio e estao Implantar logs de auditoria O login deve ser diferente do email segurana

Hacking e Ferramentas (cont.)

Ferramentas iptables squid nessus ethreal snort openssh