Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
FORTALEZA
2007
FORTALEZA
2007
FORTALEZA
2007
RESUMO
Na medida em que ocorre o incremento freqente da eficincia dos sistemas de
informao, cada vez mais ocorre um considervel aumento da complexidade deste
cenrio o que proporcionalmente repercute num ambiente altamente inseguro.
Preocupaes primordiais com a segurana da informao tornam-se ponto
obrigatrio, levando empresas, profissionais de TI e mesmo pessoas fsicas a buscar
conhecimentos de no mnimo conceitos bsicos sobre segurana da informao.
Vrios textos foram criados com o decorrer do tempo, modelos e referncias gerais
para melhores prticas de segurana bsica em ambientes tecnolgicos. Tais
atitudes culminaram na criao, atravs de rgos e instituies pblicas, de normas
especficas, a fim de buscar padronizaes dessas melhores prticas. Buscamos
com este trabalho demonstrar a utilizao de tais padres em ambiente corporativo,
baseando-se na norma NBR ISO/IEC 17799:2005, que visa demonstrar conjunto de
normas sobre requisitos de sistema de gesto da segurana da informao, gesto
de riscos, mtricas e medidas, e diretrizes para a sua implantao.
Palavras-chave: Complexidade, segurana da informao, ambiente inseguro,
17799:2005, riscos.
ABSTRACT
In the measure in that it happens the frequent increment of the efficiency of the
systems of information, more and more it happens a considerable increase of the
complexity of this scenery that proportionally echoes in an atmosphere highly
insecure. Primordial concerns with the safety of the information become obligatory
point, taking companies, professionals of IT and even natural persons to look for
knowledge of in the minimum basic concepts on safety of the information. Several
texts were created with elapsing of the time, models and general references for
practical best of basic safety in technological atmospheres. Such attitudes
culminated in the creation, through organs and public institutions, of specific norms,
in order to look for standardizations of those practical best. We looked for with this
work to demonstrate the use of such patterns in corporate atmosphere, basing on the
norm NBR ISO/IEC 17799:2005, that it seeks to demonstrate group of norms on
requirements of system of administration of the safety of the information,
administration of risks, metric and measured, and guidelines for his/her implantation.
Key-words: Complexity, safety of the information, insecure atmosphere, 17799:2005,
risks.
LISTA DE FIGURAS
Excludo: 10
LISTA DE TABELAS
SUMRIO
1 INTRODUO........................................................................................1
1.1 Objetivo ................................................................................................1
1.2 Referencia Normativa ..........................................................................1
2 POLTICA DE SEGURANA DA INFORMAO ................................2
2.1 Segurana da Informao ...................................................................2
2.2 Para que Serve ....................................................................................3
2.3 Histrico ...............................................................................................3
3 VISO GERAL DO AMBIENTE.............................................................5
3.1 Desenho do Ambiente .......................................................................10
4 ANALISE E TRATAMENTO DE RISCOS ...........................................11
4.1 Modelo de Classificao da Criticidade dos Riscos..........................11
4.2 Levantamento de Riscos e Classificao..........................................13
4.4 Documentos.......................................................................................16
Excludo: 16
BIBLIOGRAFIA .......................................................................................28
Excludo: 27
ANEXOS ..................................................................................................29
1 INTRODUO
A Companhia Enerlux, localizada na Rodovia CE 333, km 12, no
Complexo Industrial, foi inaugurada em Dezembro de 2006.
A usina termeltrica do tipo Ciclo Combinado, empregando gs natural
como combustvel, e possui uma potncia total instalada de 310,7MW. O gs
fornecido pela Petrobrs, atravs de sistema de gasodutos, com interligao pelo
City-Gate situado a aproximadamente 600 metros a leste do terreno da usina.
A Companhia tem por objetivo produzir e comercializar energia eltrica no
Estado do Cear, reduzindo a vulnerabilidade em relao ao dficit de energia
eltrica da regio, conforme identificado pela Eletrobrs.
A Usina est interligada com o sistema de transmisso e distribuio de
energia eltrica atravs de Subestao da Companhia Hidroeltrica do So
Francisco CHESF, situada a aproximadamente 700 metros ao sul da rea do
empreendimento.
A Companhia est autorizada pela ANEEL Agncia Nacional de Energia
Eltrica para estabelecer-se como produtor independente de energia eltrica,
conforme Resoluo 433, de 19 de outubro de 2001.
1.1 Objetivo
Este trabalho tem por objetivo descrever os elementos que compem a
poltica de segurana da informao da Companhia Enerlux, bem como sua
interao e fazer referencia aos documentos associados, que demonstram a
adequao desta com o modelo normativo adotado.
da
informao;
adicionalmente,
outras
2.2 Objetivos
Segundo Data Security (2006), a Poltica de Segurana da Informao
serve como base ao estabelecimento de normas e procedimentos que garantem a
segurana da informao, bem como determina as responsabilidades relativas
segurana dentro da empresa.
Ainda segundo Data Security (2006), a elaborao de uma Poltica de
Segurana da Informao deve ser o ponto de partida para o gerenciamento dos
riscos associados aos sistemas de informao.
Para atender as principais necessidades da empresa, uma Poltica de
Segurana da Informao deve ser:
Clara e concisa
De fcil compreenso
Amplamente divulgada
Revisada periodicamente
2.3 Histrico
Na sociedade moderna, com o advento do surgimento dos primeiros
computadores houve uma maior ateno para a questo da segurana das
informaes, inicialmente esta preocupao era ainda muito rudimentar, porm com
o passar do tempo este processo mudou.
A partir da dcada de 90, o boom da internet trouxe tambm o boom dos
ataques s redes de computadores. A segurana de dados deixou de ser apenas
uma preocupao com a perda da informao devido a um acidente com os meios
de armazenamento ou a uma operao indevida do usurio. Tem-se agora a
ameaa de ataques via rede, podendo haver roubo das informaes, vandalismos
que as destruam ou simplesmente tcnicas de navegao de servios impedindo o
acesso aos dados (JUNIOR, 2006, p.16).
Outra grande fonte de ameaas o ataque interno, esse muitas vezes at
mais difcil de ser contido devido ao nvel de acesso e a proximidade que usurio
tem rede e aos seus recursos fsicos. Neste caso, como resolver o problema de
permitir
acesso
certas
informaes
aos
usurios
autorizados
e,
Escopo de localizao:
Principais processos:
Rede Wifi;
Consiste de equipamentos de ponto de acesso (Access Point) instalados
nos setores de Administrao, Manuteno Eletroeletrnica, Operao, Capacitao
da empresa. Os acessos so realizados a partir de notebooks da Empresa cedidos a
supervisores, gerentes e diretores, no sendo abertos a acessos de visitantes
tampouco a notebooks pessoais de funcionrios.
Os pontos de acesso so controlados pelo setor de informtica e no
contm qualquer controle de segurana de acesso tampouco criptografia nos
modelos que utilizam protocolos 802.11b e 802.11g, bem como no utilizam
filtragem MAC address, sendo portanto uma rede aberta..
Ativos de rede;
Compreende-se como ativos de rede todos os equipamentos de
interconexo que fazem parte da rede da empresa, sendo eles Switchs, Roteadores,
Servidores, UPS com conexo rede ou a algum ativo da rede, impressoras de
rede, dentre outros. At o momento no existe controle quanto a manutenes
programadas, apenas aes reativas em caso de falhas.
A empresa possui nove (4) switchs de core conectadas a anel tico que
circunda a empresa contendo redundncia, e cinco (5) switchs de distribuio
espalhadas pelos diversos racks de servio instalados nos quatro principais prdios
da empresa.
Um roteador instalado no rack de comunicao no setor de painis da
operao, em ambiente com temperatura controlada e acesso restrito.
Servidor
de
arquivos
contendo
todas
pastas
administrativas
Backup;
A empresa possui biblioteca de backup responsvel por realizar o backup
previsto na poltica de backup da empresa, que ainda est em processo de
confeco, e ser controlada e administrada pelo setor de TI.
Esta biblioteca tem capacidade para 8 fitas denominadas AIT-4 e
capacidade para aproximadamente 4 Terabytes de dados, fica instalada em rack de
equipamentos no prdio da operao, em sala climatizada e com acesso restrito ao
pessoal de TI da empresa.
PBX;
Central Telefnica PBX da Ericsson de grande porte, denominada MD110,
onde centraliza-se o link de voz e todos os ramais disponveis na Usina. Possui Nobreak prprio com autonomia para 24horas sem alimentao eltrica.
Nela est interligado link de 1Mb multiplexado do link principal E1 de 2Mb
da empresa.
CFTV;
Sistema de monitoramento patrimonial atravs de cmeras analgicas,
conectadas a dispositivos denominados encoders que codificam o sinal analgico
para sinal digital.
O Sistema conta com administrao centralizada em servidor denominado
Servidor CFTV, contendo software da SmartSight e banco de dados SQL Server
2000, tal sistema no encontra-se em nenhuma poltica de backup at o momento.
Possui suporte a 16 cmeras controladas a partir de dois clientes
instalados na guarita e setor de operaes da empresa respectivamente.
O acesso tambm possvel atravs de pgina web disponvel apenas
atravs da rede da empresa (no sendo possvel acesso externo mesma). Este
acesso restrito apenas Diretoria da empresa (atravs de poltica de senha),
contudo percebe-se um aumento significativo nos acessos via web, o que poderia
indicar alguma falha de segurana ou roubo de senhas.
10
11
12
De 3 a 7 Risco Baixo;
De 9 a 11 Risco Mdio;
De 13 a 15 Risco Alto.
13
14
Total
5
Significncia Tratativa
Baixa
NO
9
9
5
Alta
Alta
Baixa
P03
P05
NO
Alta
P02
Total
5
Significncia Tratativa
Baixa
NO
9
9
5
Alta
Alta
Baixa
P03
P05
NO
9
9
Alta
Alta
P04
P02
Total
5
Significncia Tratativa
Mdia
Analise
11
3
5
Alta
Baixa
Mdia
P04
NO
Analise
Alta
P06
Total
5
Significncia Tratativa
Mdia
Analise
7
9
5
Alta
Alta
Mdia
P04
P02
Analise
Mdia
Analise
Total
9
Significncia Tratativa
Alta
P03
Alta
P03
5
7
Mdia
Alta
Analise
P01
Alta
P03
15
backup
Falta de testes de
3
5
3
11
restaurao
PBX
Risco
Abrang. Grav. Prob. Total
Falta de Alimentao
1
3
1
5
eltrica
Defeito nas baterias
1
3
1
5
Erros de configurao
1
3
1
5
Defeito de Hardware
1
3
1
5
Falta de contrato de
1
1
1
3
manuteno
CFTV
Risco
Abrang. Grav. Prob. Total
Falta de Alimentao
1
3
1
5
eltrica
Defeito na cmera
1
3
3
7
Defeito no Encoder
1
3
1
5
Erro de Software
1
3
1
5
Defeito de Hardware
1
3
1
5
Acesso indevido ao
3
5
1
9
sistema
Utilizao de Computadores e Notebooks
Risco
Abrang. Grav. Prob. Total
Acesso Indevido
3
3
1
7
Movimentao
de
3
3
3
9
equipamentos
no
autorizada
Alterao
de
1
5
1
7
Hardware
Furto
de
1
5
1
7
Equipamentos
(Desktops)
Furto
de
3
5
3
11
Equipamentos
(Notebooks)
Alta
P03
Significncia Tratativa
Mdia
Analise
Mdia
Mdia
Mdia
Baixa
Analise
Analise
Analise
NO
Significncia Tratativa
Mdia
Analise
Alta
Mdia
Mdia
Mdia
Alta
P05
Analise
Analise
Analise
P02
Significncia Tratativa
Alta
P02
Alta
P01
Alta
P05
Alta
P04
Alta
P04
16
4.4 Documentos
Seguem relacionados documentos denominados polticas de segurana a
serem implantados na organizao para mitigar os riscos assinalados no
levantamento realizado, conforme tabela de Polticas abaixo:
P01
P02
P03
P04
P05
P06
17
Acompanhar as visitas.
Alertas de segurana.
18
19
20
21
22
23
restabelecer
os
servios,
porm
sempre
que
possvel,
os
24
auditorias
sero
realizadas
principalmente
em
servidores
25
profissionais
autorizados
podem
fazer
manuteno
nos
manuteno
de
redes
da
rea
de
Informtica
da
empresa,
sendo
26
27
28
BIBLIOGRAFIA
GOLDIM, Jos; Kennedy Institute of Ethics. Bioethics Thesaurus. Washington: KIE,
1995.
JUNIOR,
Arthur;
FONSECA,
Fernando;
COELHO,
Paulo;
Entendendo
em:
<http://www.lockabit.coppe.ufrj.br/rlab/rlab_textos.php?id=69>.
So
Paulo,
1997.
Disponvel
em:
<http://www.security.usp.br/
29
ANEXOS
30
000000,
abaixo
firmado,
assume
compromisso
de
manter
no
repassar
conhecimento
das
Informaes
confidenciais,
tecnologia acima descrita, atravs da execuo de suas funes, a respeito de, ou,
associada com a Avaliao, sob a forma escrita, verbal ou por quaisquer outros
meios.
operaes,
processos,
planos
ou intenes,
informaes
sobre produo,
especializadas,
projetos,
mtodos
metodologia,
fluxogramas,
31
____________________________
Colaborador
TESTEMUNHAS:
_____________________________
Nome:
CPF:
_____________________________
Nome:
CPF:
______________________________
Responsvel pelo Setor de TI
32
1 Informaes Gerais:
2. Obrigaes do Colaborador
33
3. Proibies:
4. Penalidades:
34
____________________________
Colaborador
TESTEMUNHAS:
_____________________________
Nome:
CPF:
_____________________________
Nome:
CPF:
______________________________
Responsvel pelo Setor de TI