Modelo Trabalho Politica de Segurança

1
TECNOLOGIA EM REDES DE COMPUTADORES

CARLOS WILTEMAR DE FREITAS ALVES
FRANCISCO HLIO DE OLIVEIRA LIMA JUNIOR
ROBERTO BRUNO NETO
POLITICA DE SEGURANA DA INFORMAO
FORTALEZA
2007

ROBERTO BRUNO NETO
FORTALEZA
2007

ROBERTO BRUNO NETO
Estudo de caso da implantao de

poltica de segurana da empresa
Enerlux
baseado
na
metodologia
empregada pela norma ABNT NBR
ISO/IEC 17799:2005 apresentado ao
curso de Tecnologia de Redes de
Computadores da faculdade Integrada
do Cear como objetivo para concluso
da disciplina de
Segurana
da
Informao, sob orientao do Professor
Esp. Clayton Felipe Reymo Soares.
FORTALEZA
2007
RESUMO
Na medida em que ocorre o incremento freqente da eficincia dos sistemas de
informao, cada vez mais ocorre um considervel aumento da complexidade deste
cenrio o que proporcionalmente repercute num ambiente altamente inseguro.
Preocupaes primordiais com a segurana da informao tornam-se ponto
obrigatrio, levando empresas, profissionais de TI e mesmo pessoas fsicas a buscar
conhecimentos de no mnimo conceitos bsicos sobre segurana da informao.
Vrios textos foram criados com o decorrer do tempo, modelos e referncias gerais
para melhores prticas de segurana bsica em ambientes tecnolgicos. Tais
atitudes culminaram na criao, atravs de rgos e instituies pblicas, de normas
especficas, a fim de buscar padronizaes dessas melhores prticas. Buscamos
com este trabalho demonstrar a utilizao de tais padres em ambiente corporativo,
baseando-se na norma NBR ISO/IEC 17799:2005, que visa demonstrar conjunto de
normas sobre requisitos de sistema de gesto da segurana da informao, gesto
de riscos, mtricas e medidas, e diretrizes para a sua implantao.
Palavras-chave: Complexidade, segurana da informao, ambiente inseguro,
17799:2005, riscos.
ABSTRACT
In the measure in that it happens the frequent increment of the efficiency of the
systems of information, more and more it happens a considerable increase of the
complexity of this scenery that proportionally echoes in an atmosphere highly
insecure. Primordial concerns with the safety of the information become obligatory
point, taking companies, professionals of IT and even natural persons to look for
knowledge of in the minimum basic concepts on safety of the information. Several
texts were created with elapsing of the time, models and general references for
practical best of basic safety in technological atmospheres. Such attitudes
culminated in the creation, through organs and public institutions, of specific norms,
in order to look for standardizations of those practical best. We looked for with this
work to demonstrate the use of such patterns in corporate atmosphere, basing on the
norm NBR ISO/IEC 17799:2005, that it seeks to demonstrate group of norms on
requirements of system of administration of the safety of the information,
administration of risks, metric and measured, and guidelines for his/her implantation.
Key-words: Complexity, safety of the information, insecure atmosphere, 17799:2005,
risks.
LISTA DE FIGURAS
Figura 1 - Empresa Enerlux - Representao do Ambiente .........Erro! Indicador no

definido.
Excludo: 10
LISTA DE TABELAS
TABELA 1 - AVALIAO DA RELEVNCIA DO RISCO ........................................ 12

TABELA 2 LEVANTAMENTO DE RISCOS E CLASSIFICAO ......................... 13
TABELA 3 POLTICAS DE SEGURANA ............................................................ 16
LISTA DE ABREVIATURAS E SIGLAS
BIOS Basic Input/Output System

CFTV Circuito Fechado de Televiso
ETC Etecetera
GPO Group Policy Objects
MAC - Media Access Control
PBX Private Branch Exchange
PC Personal Computer
PST Formato de arquivos Microsoft Outlook
SQL Structured Query Language
TI Tecnologia da Informao
UPS Uninterruptible power supply
WEB - World Wide Web
WEP Wired Equivalent Privacy
WI-FI wireless fidelity
WPA Wi-Fi Protected Access
WSUS Windows Server Update Services
SUMRIO
1 INTRODUO........................................................................................1
1.1 Objetivo ................................................................................................1
1.2 Referencia Normativa ..........................................................................1
2 POLTICA DE SEGURANA DA INFORMAO ................................2
2.1 Segurana da Informao ...................................................................2
2.2 Para que Serve ....................................................................................3
2.3 Histrico ...............................................................................................3
3 VISO GERAL DO AMBIENTE.............................................................5
3.1 Desenho do Ambiente .......................................................................10
4 ANALISE E TRATAMENTO DE RISCOS ...........................................11
4.1 Modelo de Classificao da Criticidade dos Riscos..........................11
4.2 Levantamento de Riscos e Classificao..........................................13
4.4 Documentos.......................................................................................16
Excludo: 16
4.4.1 P01 Poltica de Segurana Patrimonial .........................................................17

Excludo: 18
4.4.2 P02 Poltica de Controle de Acesso ..............................................................19

Excludo: 20
4.4.3 P03 Poltica de Backup .................................................................................22

Excludo: 21
4.4.4 P04 Poltica de tratamento de incidentes ......................................................23

Excludo: 23
4.4.5 P05 Poltica de Manuteno de Equipamentos.............................................25

Excludo: 24
4.4.6 P06 Poltica de Correio Eletrnico.................................................................26

Excludo: 26
BIBLIOGRAFIA .......................................................................................28
Excludo: 27
ANEXOS ..................................................................................................29
1 INTRODUO
A Companhia Enerlux, localizada na Rodovia CE 333, km 12, no
Complexo Industrial, foi inaugurada em Dezembro de 2006.
A usina termeltrica do tipo Ciclo Combinado, empregando gs natural
como combustvel, e possui uma potncia total instalada de 310,7MW. O gs
fornecido pela Petrobrs, atravs de sistema de gasodutos, com interligao pelo
City-Gate situado a aproximadamente 600 metros a leste do terreno da usina.
A Companhia tem por objetivo produzir e comercializar energia eltrica no
Estado do Cear, reduzindo a vulnerabilidade em relao ao dficit de energia
eltrica da regio, conforme identificado pela Eletrobrs.
A Usina est interligada com o sistema de transmisso e distribuio de
energia eltrica atravs de Subestao da Companhia Hidroeltrica do So
Francisco CHESF, situada a aproximadamente 700 metros ao sul da rea do
empreendimento.
A Companhia est autorizada pela ANEEL Agncia Nacional de Energia
Eltrica para estabelecer-se como produtor independente de energia eltrica,
conforme Resoluo 433, de 19 de outubro de 2001.
1.1 Objetivo
Este trabalho tem por objetivo descrever os elementos que compem a
poltica de segurana da informao da Companhia Enerlux, bem como sua
interao e fazer referencia aos documentos associados, que demonstram a
adequao desta com o modelo normativo adotado.
1.2 Referencia Normativa

A poltica de segurana da informao da Companhia Enerlux se baseia
na norma NBR ISO/IEC 17799:2005 Tecnologia da Informao Tcnicas de
Segurana Cdigo de prtica para a gesto da segurana da informao.
2 POLTICA DE SEGURANA DA INFORMAO
2.1 Segurana da Informao

Segurana da informao a proteo da informao de vrios tipos de
ameaas para garantir a continuidade do negcio, minimizar o risco ao negcio,
maximizar o retorno sobre os investimentos e as oportunidades de negcio (NBR
ISO/IEC 17799:2005, p.ix).
Preservao da confidencialidade, da integridade e da
disponibilidade
da
informao;
adicionalmente,
outras
propriedades, tais como autenticidade, responsabilidade, no

repdio e confiabilidade, podem tambm estar envolvidas.
(NBR ISO/IEC 17799:2005, pg.1).
Segundo Wikipdia (2007), a Segurana da Informao est relacionada

com mtodos de proteo aplicados sobre um conjunto de dados no sentido de
preservar o valor que possui para um indivduo ou uma organizao.
So caractersticas bsicas da segurana da informao os aspectos de
confidencialidade, integridade e disponibilidade, no estando restritos somente a
sistemas computacionais, informaes eletrnicas ou sistemas de armazenamento.
O conceito se aplica a todos os aspectos de proteo de informaes e dados.
Conforme Goldim (2003), a definio clssica de confidencialidade a
garantia do resguardo das informaes dadas pessoalmente em confiana e a
proteo contra a sua revelao no autorizada, ou seja, (Wikipdia, 2007).deve
garantir que a informao no esteja disponvel ou mesmo seja divulgada a
indivduos, entidades ou processos sem autorizao.
Conforme Wikipdia (2007), em segurana da informao, integridade
significa ter a disponibilidade de informaes confiveis, corretas e dispostas em
formato compatvel com o de utilizao, ou seja, informaes ntegras.
Disponibilidade tem por objetivo manter os servios disponibilizados o
mximo de tempo possvel.
2.2 Objetivos
Segundo Data Security (2006), a Poltica de Segurana da Informao
serve como base ao estabelecimento de normas e procedimentos que garantem a
segurana da informao, bem como determina as responsabilidades relativas
segurana dentro da empresa.
Ainda segundo Data Security (2006), a elaborao de uma Poltica de
Segurana da Informao deve ser o ponto de partida para o gerenciamento dos
riscos associados aos sistemas de informao.
Para atender as principais necessidades da empresa, uma Poltica de
Segurana da Informao deve ser:
Clara e concisa
De fcil compreenso
Coerente com as aes da empresa
Amplamente divulgada
Revisada periodicamente
A Poltica de Segurana da Informao visa preservar a confidencialidade,

integridade e disponibilidade das informaes. Descrevendo a conduta adequada
para o seu manuseio, controle, proteo e descarte.
2.3 Histrico
Na sociedade moderna, com o advento do surgimento dos primeiros
computadores houve uma maior ateno para a questo da segurana das
informaes, inicialmente esta preocupao era ainda muito rudimentar, porm com
o passar do tempo este processo mudou.
A partir da dcada de 90, o boom da internet trouxe tambm o boom dos
ataques s redes de computadores. A segurana de dados deixou de ser apenas
uma preocupao com a perda da informao devido a um acidente com os meios
de armazenamento ou a uma operao indevida do usurio. Tem-se agora a
ameaa de ataques via rede, podendo haver roubo das informaes, vandalismos
que as destruam ou simplesmente tcnicas de navegao de servios impedindo o
acesso aos dados (JUNIOR, 2006, p.16).
Outra grande fonte de ameaas o ataque interno, esse muitas vezes at
mais difcil de ser contido devido ao nvel de acesso e a proximidade que usurio
tem rede e aos seus recursos fsicos. Neste caso, como resolver o problema de
permitir
acesso
certas
informaes
aos
usurios
autorizados
e,
simultaneamente, como negar o acesso aos usurios no autorizados?

Segundo Gonalves (2003):
A questo da segurana no mbito dos computadores ganha
fora com o surgimento das mquinas de tempo compartilhado,
tambm conhecidas como computadores "time-sharing", ou
seja, que permitiam que mais de uma pessoa, ou usurio,
fizessem uso do computador ao mesmo tempo, processo
comum na atualidade mas que at ento no era possvel.
Em 1978, o Departamento de Defesa dos Estados Unidos, publicou um

conjunto de regras para avaliao de segurana das, este conjunto de regras ficou
conhecido como The Orange Book.
Mais tarde surgiu a primeira norma homologada a apresentar solues
para o tratamento da informao de maneira mais ampla. Segundo a norma todo
tipo de informao deve ser protegido, independente da sua forma de
armazenamento, seja analgica ou digital, e de seu valor para a organizao, sendo
ela a BS-799 publicada pelo comit Comercial Computer Security Centre, criado
pelo governo britnico.
Em 2000 houve a homologao da BS-7799 que deu origem Norma
Internacional de Segurana da Informao ISO/IEC 17799, e j em abril de 2001, a
verso brasileira da norma ISO homologada pela ABNT, que passou a ser
denominada NBR ISO/IEC 17799:2000 e em 30 de setembro de 2005, passou a ser
validada a segunda edio atualizada da norma brasileira a NBR ISO/IEC
17799:2005.
3 VISO GERAL DO AMBIENTE

A Enerlux decidiu criar uma poltica de segurana que permitisse garantir
que o processo interno da empresa seguisse as idias de melhores prticas em TI,
permitindo que empresa receber certificaes comerciais de qualidade de servio
e assim permitir sua entrada em novos mercados
Os limites da poltica de segurana da informao acham-se abaixo descriminados:
Escopo de localizao:
A Companhia est localizada na Rodovia CE 333, km 12, no Complexo

Industrial
Escopo de produtos e servios:
Gerao de energia eltrica a partir da queima do gs e do

aproveitamento dos gases resultantes para mover uma turbina a vapor.
Principais processos:
Enlaces de dados e voz (rdio);

Consiste de um rdio situado no setor da Operao, interligado com
sistema do provedor de acesso, utiliza roteador com conexo E1 de 2MB, sendo que
este sinal multiplexado (via multiplexador da prpria empresa) dividindo este sinal
em 1MB para trafego de dados e 1MB para trafego de voz, interligado a placa ISDN
na central PBX e ao Roteador da empresa.
Estes equipamentos localizam-se em sala de racks de ativos no setor da
Operao da Usina, no tendo controle de acesso, tampouco sistema de deteco
de incndios.
Rede Wifi;
Consiste de equipamentos de ponto de acesso (Access Point) instalados
nos setores de Administrao, Manuteno Eletroeletrnica, Operao, Capacitao
da empresa. Os acessos so realizados a partir de notebooks da Empresa cedidos a
supervisores, gerentes e diretores, no sendo abertos a acessos de visitantes
tampouco a notebooks pessoais de funcionrios.
Os pontos de acesso so controlados pelo setor de informtica e no
contm qualquer controle de segurana de acesso tampouco criptografia nos
modelos que utilizam protocolos 802.11b e 802.11g, bem como no utilizam
filtragem MAC address, sendo portanto uma rede aberta..
Controle de acesso fsico e lgico;

Acessos rede so realizados via pontos de rede cabeada (tomadas
localizadas nos diversos setores da empresa) atravs apenas de computadores
instalados na Empresa, no sendo permitido acesso de equipamento de terceiros
rede, contudo, no existe um controle efetivo dos equipamentos de terceiros que
adentram a empresa. Os acessos so realizados atravs de chaves de acesso
disponibilizadas a cada usurio (usurio e senha de rede), sendo de cunho pessoal
e intransfervel, percebe-se entretanto que alguns usurios compartilham algumas
senhas entre si.
Este controle feito mediante Servidor Controlador de Domnio baseado
em plataforma Microsoft (Active Directory), onde ficam armazenadas as contas dos
usurios que podem efetuar acesso rede da empresa.
Ativos de rede;
Compreende-se como ativos de rede todos os equipamentos de
interconexo que fazem parte da rede da empresa, sendo eles Switchs, Roteadores,
Servidores, UPS com conexo rede ou a algum ativo da rede, impressoras de
rede, dentre outros. At o momento no existe controle quanto a manutenes
programadas, apenas aes reativas em caso de falhas.
A empresa possui nove (4) switchs de core conectadas a anel tico que
circunda a empresa contendo redundncia, e cinco (5) switchs de distribuio
espalhadas pelos diversos racks de servio instalados nos quatro principais prdios
da empresa.
Um roteador instalado no rack de comunicao no setor de painis da
operao, em ambiente com temperatura controlada e acesso restrito.
Servios de rede (servidor de arquivos, servio de diretrio, correio,

aplicativos);
A Empresa tem os seguintes servios de rede:

-
Servidor
de
arquivos
contendo
todas
pastas
administrativas
(Administrativo, Manuteno, Operao, Terceiros, GestaoUsina) controladas

atravs de polticas de grupos de acesso, e pastas pessoais dos usurios da rede
(Users), bem como pasta de domnio pblico (sem restries de acesso)
denominada Pblico, algumas destas pastas ainda no fazem parte de nenhum
esquema de backup.
O acesso realizado atravs da rede da empresa, e o acesso aos dados
controlado atravs de grupos de acesso determinados pelo setor de TI em
conjunto com as gerencias setoriais da empresa.
Este Servidor tambm contm as filas de impresso que so utilizadas
pelos setores da empresa e determinadas a cada usurio atravs de scripts
acionados no momento do logon e determinado via GPO (Group Policy Objects).
- Servidor de diretrios que armazena os objetos do domnio da empresa

(Active Directory) e prov a liberao do acesso aos recursos de rede.
Este servidor tem seu acesso administrativo restrito apenas ao
Administrador da rede da empresa, no podendo ser acessado, portanto, por
nenhum outro funcionrio.
Nele esto contidas todas as contas de usurio da empresa, bem como
suas senhas e informaes adicionais, bem como outros objetos como
computadores, impressoras, grupos de acessos, etc., este banco centralizado de
informaes permite a administrao centralizada do Domnio da empresa.
A incluso de registros neste banco como contas de usurios efetuada

mediante solicitao formal das gerencias dos setores da empresa rea de TI.
Computadores, notebooks e demais ativos de rede que podem ser
inseridos no domnio so feitos apenas pelo setor de TI.
Tambm a insero de usurios a grupos de segurana (acesso) so
efetuadas mediante solicitao formal das gerencias dos setores da empresa ao
setor de TI.
- Servidor de correio, que prov todo o servio de envio e recebimento de

e-mails internos e externos da empresa, utilizando-se do software Exchange.
O Servidor de correio est instalado em servidor prprio da empresa,
utiliza o Microsoft Exchange Server para gerenciar as caixas de correios dos
usurios e encontra-se integrado ao Active Directory da empresa.
A administrao deste servidor realizada pelo setor de TI da empresa e
o acesso dos usurios a suas caixas de correio efetuado atravs de cliente
Microsoft Outlook instalado nos micros/notebooks da empresa, configurados pelo
pessoal de TI. As mensagens so armazenadas em arquivos PST configurados em
pasta padro no disco do usurio (para facilitar backups futuros).
Existe trfego intenso de correio no corporativo por parte dos usurios
que utilizam suas contas tambm para assuntos pessoais.
- Servidor de aplicaes, contendo banco de dados que suporta sistema

de registro e calculo cientifico de probabilidade de falha denominado Autolab, onde
realizado todo o cadastro de instrumentos (instrumentao) que fazem parte da rea
industrial, e insero dos dados de acompanhamento de alteraes nas medies
destes equipamentos, tal sistema no possui contrato de manuteno, tampouco
existe qualquer procedimento de recuperao em caso de falha.
Neste servidor tambm est localizado o Servio denominado WSUS que
efetua as atualizaes de segurana de todos os micros/notebooks inseridos no
domnio a empresa.
Contm tambm o software de coleta de tarifao telefnica (STI On-line),
sistema de gravao de voz (Mirra Racal).
Backup;
A empresa possui biblioteca de backup responsvel por realizar o backup
previsto na poltica de backup da empresa, que ainda est em processo de
confeco, e ser controlada e administrada pelo setor de TI.
Esta biblioteca tem capacidade para 8 fitas denominadas AIT-4 e
capacidade para aproximadamente 4 Terabytes de dados, fica instalada em rack de
equipamentos no prdio da operao, em sala climatizada e com acesso restrito ao
pessoal de TI da empresa.
PBX;
Central Telefnica PBX da Ericsson de grande porte, denominada MD110,
onde centraliza-se o link de voz e todos os ramais disponveis na Usina. Possui Nobreak prprio com autonomia para 24horas sem alimentao eltrica.
Nela est interligado link de 1Mb multiplexado do link principal E1 de 2Mb
da empresa.
CFTV;
Sistema de monitoramento patrimonial atravs de cmeras analgicas,
conectadas a dispositivos denominados encoders que codificam o sinal analgico
para sinal digital.
O Sistema conta com administrao centralizada em servidor denominado
Servidor CFTV, contendo software da SmartSight e banco de dados SQL Server
2000, tal sistema no encontra-se em nenhuma poltica de backup at o momento.
Possui suporte a 16 cmeras controladas a partir de dois clientes
instalados na guarita e setor de operaes da empresa respectivamente.
O acesso tambm possvel atravs de pgina web disponvel apenas
atravs da rede da empresa (no sendo possvel acesso externo mesma). Este
acesso restrito apenas Diretoria da empresa (atravs de poltica de senha),
contudo percebe-se um aumento significativo nos acessos via web, o que poderia
indicar alguma falha de segurana ou roubo de senhas.
10
Utilizao de computadores e notebooks;

Os computadores e notebooks so de carter puramente corporativo,
sendo, portanto, controlados atravs de polticas de acesso definidas neste

documento, e implementadas de forma automtica atravs da rea de TI da
empresa.
Em virtude da no consolidao das polticas de segurana da empresa,
os equipamentos, eventualmente, vem sendo utilizados por terceiros com a
anuncia dos colaboradores da empresa.
Por vezes percebeu-se alterao do hardware de alguns equipamentos,
uma vez que inexiste um efetivo controle, alguns usurios acessam o hardware dos
equipamentos para efetuar reparos no solicitando portanto rea de TI.
Percebe-se que os notebooks no tem seus dados criptografados, o que
pode ocasionar falha de segurana caso sejam roubados.
11
4 ANALISE E TRATAMENTO DE RISCOS

A Enerlux efetua anlise dos eventos presentes em seus processos, que
possam gerar riscos, de forma sistemtica. Posteriormente, estes possveis pontos
de criticidade so analisados para determinao do grau de abrangncia desses
elementos crticos, classificando-os conforme sua significncia.
4.1 Modelo de Classificao da Criticidade dos Riscos

O objetivo identificar atravs de uma avaliao, os riscos que os ativos
esto expostos e identificar e selecionar uma correo de segurana justificada e
apropriada.
Porm existem diferentes tipos de metodologias de anlise, baseada em
determinao de valores dos ativos, vulnerabilidades e ameaas, inclusive com
softwares para automatizar esta anlise.
Para a anlise dos riscos ser adotado um modelo para identificao e
classificao dos riscos envolvidos em cada um dos processos listados no item
ESCOPO deste documento.
Risco: combinao da probabilidade de um evento e de suas conseqncias.
ABNT ISO/IEC Guia 73:2005;
Evento: ocorrncia identificada de um sistema, servio ou rede, que indica uma
possvel violao da poltica de segurana da informao ou falha de controles, ou uma
situao previamente desconhecida, que possa ser relevante para a segurana da
informao. ISO/IEC TR 18044:2004;
Anlise de riscos: uso sistemtico de informaes para identificar fontes e
estimar o risco. ABNT ISO/IEC Guia 73:2005;
Avaliao de riscos: processo de comparar o risco estimado com critrios de
risco pr-definidos para determinar a importncia do risco. ABNT ISO/IEC Guia 73:2005;
Abaixo, segue a classificao:
12
TABELA 1 - AVALIAO DA RELEVNCIA DO RISCO

Abrangncia (do risco)
Gravidade (do risco)
Nota
Grau
Nota
Grau
Atinge somente o ponto
Danos pouco
1
Pontual de gerao,
1
Baixa significativos, reversveis
armazenamento, etc.
em curto prazo
Dentro dos limites da
empresa, alm do
Danos considerveis,
3
Local
3
Mdia
ponto de gerao,
reversveis a mdio prazo
armazenamento. etc.
Danos severos, efeitos
Regional / Atinge reas fora dos
5
5
Alta irreversveis no mdio
Global
limites da empresa.
prazo
Freqncia (do evento) ou Probabilidade (do risco)
Nota
Grau
Situao Normal/Anormal
Situao potencial de risco
Ocorre uma ou mais vezes por
Pouco provvel de ocorrer,
1
Baixa
ms
remota
Ocorre uma ou mais vezes por
3
Mdia
Provvel que ocorra
semana
Ocorre uma ou mais vezes por dia
5
Alta
Muito provvel ou j ocorreu
ou continuamente
Resultado da relevncia = soma das notas obtidas na avaliao
Observe-se que freqncia e probabilidade so dois fatores excludentes

entre si, pois, se a anlise se refere a um evento que ocorre efetivamente, vai-se
avaliar sua freqncia; se a anlise se refere a um risco (pode ou no ocorrer), vaise avaliar sua probabilidade.
Um risco pode ter, portanto, um mnimo de 3 e um mximo de 15 pontos.
Os riscos identificados sero tratados conforme descrito abaixo:
De 3 a 7 Risco Baixo;
De 9 a 11 Risco Mdio;
De 13 a 15 Risco Alto.
Risco Baixo: Nvel aceitvel, ser assumido pela empresa;

Mdio: Ser analisado quanto a sua abrangncia pelo comit de
segurana da informao da empresa;
Alto: Tratados atravs das polticas (PXX, onde cada X representa nmero
de 0 a 9).
13
4.2 Levantamento de Riscos e Classificao

TABELA 2 LEVANTAMENTO DE RISCOS E CLASSIFICAO
Enlace de dados e Voz
Risco
Abrang. Grav. Prob. Total Significncia Tratativa
Pane
eltrica
no
1
3
1
5
Baixa
NO
circuito que alimenta o
Roteador
Defeito no Roteador
3
3
1
7
Mdia
Analise
Erros de configurao
1
1
1
3
Baixa
NO
Pane eltrica no rdio
1
3
1
5
Baixa
NO
de enlace
Pane
eltrica
da
1
3
1
5
Baixa
NO
repetidora
Indisponibilidade
no
3
3
1
7
Mdia
Analise
servio da operadora
Ataques de DDNS
3
3
1
7
Mdia
Analise
Incndio no local dos
3
5
1
9
Alta
P01
equipamentos
Rede Wi-fi
Risco
Acesso Indevido
3
5
1
9
Alta
P02
Indisponibilidade
3
1
1
5
Baixa
NO
Erro de Configurao
1
1
1
3
Baixa
NO
Segurana do trafego
3
3
1
7
Mdia
Analise
Acesso Fsico
Risco
Acesso
no
1
3
1
5
Baixa
NO
autorizado sala de
Servidores
Danos integridade
3
3
1
7
Mdia
Analise
dos equipamentos
Acesso Lgico
Risco
Acesso
no
3
3
1
7
Mdia
Analise
autorizado
aos
sistemas
Acesso indevido aos
3
5
1
9
Alta
P02
dados
Alterao
de
3
5
1
9
Alta
P02
informaes
Ativos de Rede
Risco
Erro de Configurao
1
1
1
3
Baixa
NO
Pane
eltrica
no
1
3
1
5
Baixa
NO
circuito que alimenta
os ativos
Defeito no ativo
3
3
1
7
Mdia
Analise
14
Servios de Rede (File Servers)

Risco
Abrang. Grav. Prob.
Problema de pane
1
3
1
eltrica
Perda de dados
3
5
1
Defeito de Hardware
3
5
1
Erro
de
Sistema
1
3
1
Operacional
Acesso Indevido
3
5
1
Servios de Rede (Servidor de Diretrio)
Risco
Abrang. Grav. Prob.
Problema de pane
1
3
1
eltrica
Perda de dados
3
5
1
Defeito de Hardware
3
5
1
Erro
de
Sistema
1
3
1
Operacional
Indisponibilidade
3
5
1
Acesso indevido
3
5
1
Servios de Rede (Servidor de Correio)
Risco
Abrang. Grav. Prob.
Problema de pane
1
3
1
eltrica
Ataque de ddns
3
5
3
Erro de configurao
1
1
1
Falta de atualizaes
1
3
1
de segurana
Utilizao inadequada
3
3
3
por parte dos usurios
Servios de Rede (Servidor de Aplicaes)
Risco
Abrang. Grav. Prob.
Problema de pane
1
3
1
eltrica
Erro nos sistemas
3
3
1
Acesso indevido
3
5
1
Problema
de
1
3
1
Hardware
Erro de configurao
1
3
1
Backup
Risco
Abrang. Grav. Prob.
Falta de poltica de
3
5
1
backup
Classificao errada
3
3
1
dos dados
Localizao das fitas
1
1
3
Acesso indevido s
1
5
1
fitas
Pessoal tcnico no
3
3
1
apto a realizar o
Total
5
Significncia Tratativa
Baixa
NO
9
9
5
Alta
Alta
Baixa
P03
P05
NO
Alta
P02
Total
5
Baixa
NO
9
9
5
Alta
Alta
Baixa
P03
P05
NO
9
9
Alta
Alta
P04
P02
Total
5
Mdia
Analise
11
3
5
Alta
Baixa
Mdia
P04
NO
Analise
Alta
P06
Total
5
Mdia
Analise
7
9
5
Alta
Alta
Mdia
P04
P02
Analise
Mdia
Analise
Total
9
Alta
P03
Alta
P03
5
7
Mdia
Alta
Analise
P01
Alta
P03
15
backup
Falta de testes de
3
5
3
11
restaurao
PBX
Risco
Abrang. Grav. Prob. Total
Falta de Alimentao
1
3
1
5
eltrica
Defeito nas baterias
1
3
1
5
Erros de configurao
1
3
1
5
Defeito de Hardware
1
3
1
5
Falta de contrato de
1
1
1
3
manuteno
CFTV
Risco
Falta de Alimentao
1
3
1
5
eltrica
Defeito na cmera
1
3
3
7
Defeito no Encoder
1
3
1
5
Erro de Software
1
3
1
5
Defeito de Hardware
1
3
1
5
Acesso indevido ao
3
5
1
9
sistema
Utilizao de Computadores e Notebooks
Risco
Acesso Indevido
3
3
1
7
Movimentao
de
3
3
3
9
equipamentos
no
autorizada
Alterao
de
1
5
1
7
Hardware
Furto
de
1
5
1
7
Equipamentos
(Desktops)
Furto
de
3
5
3
11
Equipamentos
(Notebooks)
Alta
P03
Mdia
Analise
Mdia
Mdia
Mdia
Baixa
Analise
Analise
Analise
NO
Mdia
Analise
Alta
Mdia
Mdia
Mdia
Alta
P05
Analise
Analise
Analise
P02
Alta
P02
Alta
P01
Alta
P05
Alta
P04
Alta
P04
4.3 Escopo da Poltica

Todos os riscos assinalados como sendo de significncia Alta sero
tratados conforme sua abrangncia pelo comit de segurana da informao da
empresa e atravs dos procedimentos referenciadas no campo Tratativa da tabela
de Levantamento de Riscos e Classificao.
Os de significncia Mdia sero analisados pelo Comit de Segurana
junto s gerencias de cada rea afetada e ao gerente de TI da empresa para
16
determinar qual poltica de segurana ser enquadrado o incidente e qual tratativa

dever ser utilizada para mitigar o problema.
Aos demais riscos, assinalados com sendo de grau baixo, entende-se que
no tem grande significncia para a segurana da empresa, ou sua abrangncia no
afeta suas operaes, ficando assim sob total responsabilidade da empresa os
danos causados pelas mesmas.
4.4 Documentos
Seguem relacionados documentos denominados polticas de segurana a
serem implantados na organizao para mitigar os riscos assinalados no
levantamento realizado, conforme tabela de Polticas abaixo:
P01
P02
P03
P04
P05
P06
TABELA 3 POLITICAS DE SEGURANA

Poltica de Segurana Patrimonial
Poltica de Controle de Acesso
Procedimento de Backup
Poltica de tratamento de incidentes
Poltica de Manuteno de Equipamentos
Poltica de Correio Eletrnico
17
4.4.1 P01 Poltica de Segurana Patrimonial

Dispor-se- das medidas necessrias de controle de acesso fsico aos
prdios e reas de segurana, bem como a sala de Servidores, equipamentos de
comunicao, etc., para proteo dos ativos de informtica neles armazenados.
Para salvaguardar o conjunto de ativos da empresa, a unidade de
Segurana Fsica e Patrimonial implantar uma srie de medidas de controle de
acesso fsico de pessoas externas Empresa para acessar as dependncias da
empresa, dependendo do nvel de segurana exigido. Estas medidas so teis para
controlar o acesso aos ativos de informao, equipamentos de suporte e de
comunicao. Por sua amplitude, estas medidas no so objetos deste documento,
mas devem ser utilizadas caso necessrio, para estabelecer um nvel mnimo de
controle. Estas so algumas delas:
Verificar a identidade das pessoas que acessam os edifcios.
Registrar entradas e sadas de visitantes.
Controle de visitantes mediante passes/autorizaes.
Controles fsicos (crachs, catracas, etc.).
No permitir o acesso a zonas restritas s visitas.
Acompanhar as visitas.
Alertas de segurana.
Mediante algumas destas ltimas medidas se efetuar o controle do

acesso a salas de servidores, racks de equipamentos de comunicao e para
qualquer outro componente fundamental ao sistema de informao que possa por
em risco a disponibilidade de seus servios.
Quando afastar-se por vrias horas do posto de trabalho, ou ao final da
jornada, desligar o Terminal ou PC, conforme concordado pelos sistemas
corporativos. Isto evitar acessos no autorizados informao e seus processos.
O usurio no alterar a configurao de seus equipamentos de acesso,
sem a solicitao de interveno por parte do suporte de informtica, do contrrio
poder ocorrer interrupo de seus servios, e inclusive afetar outros usurios.
18
No ser permitida sada de nenhum material da rea de segurana (sala

de servidores, almoxarifados de suporte,...), sem autorizao pelo responsvel da
rea tcnica em questo.
Tambm deve ser verificado estado de extintores de incndio instalados
no local (validade da recarga, gatilho, localizao, etc.), observando sua
classificao para que seja compatvel com o tipo de equipamentos instalados na
sala de servidores.
Recomenda-se ainda que sensores de controle destes fatores como
incndio, fumaa, poeira, vibrao, umidade, e gua, estejam integrados a um
sistema que permita a monitorao remota, assim como o disparo de alarmes.
Que sejam adotados, ainda, procedimentos restringindo comida, bebida e
fumo dentro das Instalaes da sala de servidores e rea de comunicao.
19
4.4.2 P02 Poltica de Controle de Acesso

Com o objetivo de controlar o acesso a informao restrita, se dispor de
um sistema que autentique a identidade de quem solicita acesso informao,
mediante a aplicao de um sistema de senhas eficaz e fcil de utilizar. Este sistema
ser integrado e nico para todos os subsistemas, na medida que a tecnologia
permita, devendo assim justificar seu custo de implantao. Por ltimo, da
possibilidade de introduzir o cdigo (senha) apenas uma nica vez, ou seja, o cdigo
e sua senha associada a cada usurio cada vez que acesse o terminal ou PC de
acesso aos sistemas.
Existir uma relao de usurios e seus respectivos acessos autorizados.
Esta relao dever ser includa no documento de segurana correspondente. Sem
esta relao, no dever ser disponibilizada senha de acesso. Se estiver em
dispositivo magntico, a senha associada dever estar cifrada (criptografada).
A programao e distribuio de contra-senhas dever seguir o
procedimento seguinte:
Quando o destinatrio da contra-senha no dispor de acesso a correio
eletrnico ou PC, lhe ser enviada contra-senha provisria como informao
reservada em envelope fechado com a indicao externa de PESSOAL E
RESERVADA, entregando-a diretamente e em mos ao destinatrio. O usurio
dever alterar esta senha imediatamente quando de seu primeiro acesso aos
sistemas de informtica.
Quando o destinatrio dispuser de correio eletrnico, receber a contrasenha em forma cifrada (criptografada). O usurio dever alter-la, imediatamente, e
apagar a mensagem que lhe foi enviada.
Todas as pessoas devero manter a confidencialidade e integridade de
suas contra-senhas configuradas. Deve-se alterar periodicamente a contra-senha,
segundo perodo determinado no item 5o deste documento.
Cumprir-se-o as especificaes referentes aos requisitos do cdigo do
usurio e contra-senha associada conforme descrito abaixo:
1. O cdigo de usurio nico, pessoal e intransfervel, com objetivo de
auditoria dos acessos.
20
2. O cdigo e senha do usurio sero os mesmo utilizados em todos os

sistemas e aplicativos, salvo os softwares que no permitirem (Single sign-on).
3. No caso da utilizao de senhas de grupo, cdigos e senhas de
softwares especficos onde h a utilizao por vrias pessoas, o usurio possui
inteira responsabilidade sobre a preservao do login e senha frente o
compartilhamento da mesma.
4. O cdigo do usurio ser constitudo do modelo composto pelos
seguintes caracteres: HRC#XXXXXXXXX, onde X representa o cdigo nmero dos
primeiros 9 dgitos do CPF do usurio.
5. Automaticamente, ser solicitada alterao de senha de usurio, sendo
que a mesma valer durante um perodo de 40 dias, deixando de acessar o sistema
caso no seja alterada.
6. Devendo ser diferente das ltimas doze contra-senhas.
7. A contra-senha inicial configurada pelo administrador, ser temporria
at que o usurio entre pela primeira vez. Nesse momento, o sistema exigir nova
chave.
8. A senha no ser visvel ao ser introduzida.
9. O usurio ser o nico que selecionar e modificar sua contra-senha
interativamente. O sistema lhe pedir confirmao da mesma ao alter-la. O
administrador somente configurar a contra-senha ao habilitar o usurio ou quando
o usurio esquecer a contra-senha, a qual ir expirar depois do primeiro acesso.
10. Dever ser formada por um conjunto de caracteres numricos e
alfanumricos intercalados, igual a sete posies.
11. Automaticamente, sempre que a tecnologia permitir, ser exigido sua
troca peridica, previamente fixada.
12. A senha no deve ter correspondncia com datas, nomes prprios, ou
vocabulrios de dicionrios e/ou da rea de informtica.
13. A nova contra-senha se diferenciar da anterior, nos caracteres que a
compe e na posio dos mesmos.
14. Aps trs tentativas invalidas de introduzir a contra-senha associada a
um cdigo de usurio, produzir bloqueio temporal deste usurio (30 minutos),
registrando-se este incidente e provocando o alarme correspondente no posto de
monitoramento.
21
15. As contra-senhas sero armazenadas em diretrio especfico para este

fim, em forma cifrada (criptografadas) no podendo ser recuperada, apenas
alterada.
16. O acesso ao diretrio de contra-senhas deve estar reservado
exclusivamente ao administrador.
22
4.4.3 P03 Poltica de Backup

Dispor-se- das medidas necessrias de controle da segurana da
informao.
Recomenda-se a adoo das seguintes medidas que visem proteger a
integridade das informaes da empresa:
A empresa se compromete a adquirir cofre especial para a guarda das
mdias contendo as cpias de segurana (back-up). Este cofre especial deve ser
resistente a incndio, umidade, interferncia eletromagntica, poeira, fumaa e
vandalismo.
O acesso s mdias de back-up deve ser restrito ao pessoal autorizado da
rea de TI da empresa.
O acesso ao aplicativo de back-up deve ser restrito ao pessoal autorizado
da rea de TI da empresa, deve possibilitar a copia de arquivos abertos (cpia de
sombra), verificao automtica do back-up realizado. O pessoal de TI deve efetuar
a guarda dos logs de back-up realizados pelo prazo mnimo de 1 ano para posterior
conferencia.
Equipamentos, informaes ou software no devem ser retirados da
organizao sem autorizao.
Toda informao, quer em mdia eletro-eletrnica ou papel, deve ficar
sempre guardada em locais apropriados e de acesso restrito, especialmente fora
dos horrios de trabalho normal.
recomendado que uma outra cpia seja guardada fora do site,
semanalmente, por meio do gerente de TI ou um funcionrio autorizado.
Aconselha-se que seja feita uma vez por semana o back-up completo dos
sistemas e, diariamente, de preferncia noite ou madrugada, a cpia incremental,
ou seja, o que foi modificado, salvo informaes crticas organizao, essas, se
vivel, deve ser feito backup completo todos os dias em mdia diferenciada.
A restaurao deve ocorrer da ltima cpia completa at as cpias com as
alteraes incrementais (layered over), at o momento do evento. Esses testes de
restaurao devem ocorrer diariamente e os logs devem ser guardados pelo pessoal
de TI pelo prazo mnimo de 1 ano para posterior conferencia.
23
4.4.4 P04 Poltica de tratamento de incidentes

Deve-se atender s seguintes diretrizes para lidar com os incidentes que
porventura venham a ocorrer:
Devem-se efetuar todos os registros de incidentes bem como as suas
solues propostas, sendo submetidos ao gerente de rede, ou ao administrador de
TI e este ao Comit de Segurana da empresa.
A anlise do incidente dever ser discutida em uma reunio em grupo
como comit de segurana da empresa para identificar os pontos fracos, visando
prevenir incidentes futuros, procurando sempre contar com o apoio da rea de TI e
demais reas de empresa atingidas pelo evento.
No caso de visitante no autorizado, o funcionrio deve notificar
imediatamente o departamento de segurana e solicitar auxlio para remoo do
mesmo.
Caso o visitante seja pego cometendo furto, ataque ou destruio da
propriedade deve-se notificar o departamento de segurana para que ele entre em
contato com as autoridades competentes.
Todas as testemunhas devem fornecer aos responsveis pela segurana
um depoimento detalhado do incidente que indique a presena de um visitante no
autorizado e devem estar disponveis para interrogatrio posterior pela segurana e
pelas autoridades competentes.
Todas as portas, fechaduras e mtodos de acesso que no estejam
funcionando devem ser informados ao departamento de segurana. A segurana
coordenar com o departamento de manuteno a correo do equipamento
defeituoso.
Os gerentes devem ser notificados quando um funcionrio estiver
envolvido em uma brecha de segurana.
Os funcionrios no devem tratar destas situaes sozinhos, mas devem
notificar a segurana e permitir que o pessoal da segurana controle a situao.
Se uma invaso (a sistemas) causar parada ou ruptura de servios, a
prioridade
restabelecer
os
servios,
porm
sempre
que
possvel,
os
administradores devem tentar identificar a origem do problema, preservando as

evidncias.
24
No caso de uma invaso aconselhvel rever as regras dos filtros dos

roteadores e firewalls, modificando-as para controlar os efeitos.
Em caso de incidente que resulte em perda de dados, o funcionrio deve
notificar ao responsvel pela rede imediatamente.
O responsvel pela rede deve sempre relatar os incidentes ao Comit de
Segurana.
Em caso de incidentes, como falha de hardware, comprometimento do
sistema ou invases de um servidor ou outro ativo, deve-se remov-lo da rede e
deix-lo em seu estado atual a fim de permitir um trabalho de investigao eficiente.
importante que a empresa adote um esquema de Auditorias. Neste
caso, os funcionrios devem ler e entender e cooperar com os procedimentos e
diretivas adotadas.
As
auditorias
sero
realizadas
principalmente
em
servidores
equipamentos de rede para assegurar a configurao e atualizao adequadas.

Os auditores podem ser funcionrios internos ou de rgos externos, com
ou sem o conhecimento dos administradores.
Quanto possibilidade de roubo de equipamentos mveis, os notebooks
devem utilizar senhas de BIOS para evitar acesso no autorizado.
Os usurios jamais devem deixar sesses abertas, efetuando o logout
quando ele no estiver em uso.
Recomenda-se que dados importantes sejam protegidos por senhas e
criptografia.
fortemente recomendado que o usurio utilize senhas diferentes para os
sistemas e equipamentos, defendendo-se em caso de roubo de alguma senha.
Estes equipamentos portteis devem estar presos fisicamente atravs de
cabos, correntes ou outro dispositivo de segurana, ou ainda, trancados em gavetas
ou armrios quando fora de uso.
25
4.4.5 P05 Poltica de Manuteno de Equipamentos

A manuteno de equipamentos de Informtica deve ser de acordo com
intervalos e especificaes do fabricante. Se essas recomendaes no forem
conhecidas, procedimentos de manuteno devem ser elaborados e aplicados;
Apenas
profissionais
autorizados
podem
fazer
manuteno
nos
equipamentos, ou seja, o prprio fabricante, empresas autorizadas por ele e equipes

de
manuteno
de
redes
da
rea
de
Informtica
da
empresa,
sendo
terminantemente proibido ao usurio efetuar qualquer alterao e/ou interveno no

hardware do equipamento.
Caso ocorra a necessidade de interveno por empresas terceiras, o
servio somente poder ter sua realizao permitida mediante acompanhamento de
pessoal autorizado do Setor de Informtica da empresa.
Devem ser mantidos registros de todas as falhas suspeitas ou ocorridas
em toda manuteno preventiva e corretiva. recomendado o uso de um sistema
computacional com um banco de dados para estas informaes, preferencialmente
com acesso via web.
Equipamentos enviados para manuteno de terceiros e que possuem
meios de armazenamento (disco rgido, fitas, etc) devem ter seus itens checados
para assegurar que toda informao sensvel, sigilosa e software licenciado foi
removido ou sobreposto antes da alienao do equipamento.
Um hardware sobressalente deve estar disponvel caso a criticidade do
equipamento seja alta.
Dispositivos de armazenamento danificados, assim como equipamentos,
devem sofrer uma avaliao de riscos para verificar se eles devem ser destrudos,
reparados ou descartados. Recomenda-se que cada ativo ou parte dele seja
avaliado pela Comisso constituda pelo comit de segurana da informao da
empresa, qual caber dar o devido destino.
26
4.4.6 P06 Poltica de Correio Eletrnico

O USURIO dever abster-se de utilizar a conta de correio cedida pela
empresa para:
Enviar, transmitir ou disponibilizar, de qualquer forma, mensagens
publicitrias ou de natureza comercial a uma pluralidade de pessoas, sem a prvia
solicitao destas, sobretudo se forem ilcitas ou que constituam concorrncia
desleal.
Enviar, transmitir ou disponibilizar, de qualquer forma, quaisquer
mensagens no solicitadas ou no consentidas a uma ou mais pessoas.
Enviar, transmitir ou disponibilizar, de qualquer forma, "correntes",
mensagens tipo 'pirmides' ou qualquer outro tipo de apelo, que cresam em
progresso geomtrica, causando congestionamento do servio de correio eletrnico
ou dos Grupos de Notcias ('Newsgroups'), exceto nas reas reservadas para esse
fim.
Disponibilizar os dados de identificao pessoal de outros usurios, que
eventualmente lograr coletar pela Internet, para terceiros.
Enviar mensagem para uma ou mais pessoas com qualquer contedo
que, em geral, seja contrrio lei, ordem, s condies de uso aqui determinadas
e aos bons costumes, inclusive aquelas que disseminem discriminao e
preconceitos de qualquer ordem, ou induzam a um estado psquico ou emocional
insalubre.
Enviar mensagens que contenham palavras, termos, expresses,
imagens, figuras, smbolos ou fotos de carter obsceno ou pornogrfico, bem como
de carter difamatrio, degradante, infame, violento, injurioso, de divulgao de
pirataria de software ou que afetem a intimidade pessoal e/ou familiar de outrem.
Enviar pluralidade de mensagens para um mesmo endereo eletrnico,
conhecido como 'mail bombing' ('bombardeio de mensagens eletrnicas') com
contedo de qualquer natureza.
Enviar ou divulgar mensagens de contedos falsos ou exagerados que
possam induzir a erros o seu receptor.
Enviar ou divulgar mensagens que infrinjam normas sobre o segredo das
comunicaes.
27
Enviar, disponibilizar ou transmitir mensagens que transmitam vrus ou

outro cdigo, arquivo ou objeto que possam causar danos de qualquer natureza ao
servio utilizado e/ou s pessoas que dele se utilizam.
Postar mensagens e/ou advertncias que violem as regras de um
determinado Grupo de Notcias ('Newsgroups') ou Lista de Mala Direta ('Mailing
List'), sendo reservado empresa Enerlux ou ao Administrador de tal servio, a
adoo das medidas cabveis julgadas necessrias.
Empresa Enerlux reserva-se o direito, em caso de no atendimento
poltica aqui disposta, da aplicao das punies previstas no documento Termo de
Cincia das Polticas e Penalidades .
28
BIBLIOGRAFIA
GOLDIM, Jos; Kennedy Institute of Ethics. Bioethics Thesaurus. Washington: KIE,
1995.
JUNIOR,
Arthur;
FONSECA,
Fernando;
COELHO,
Paulo;
Entendendo
implementando a Norma ABNT NBR ISO/IEC 17799:2005 - Academia Latino

Americana de segurana; 2006.
LOCKABIT - Pequeno histrico sobre o surgimento das Normas de Segurana.

Disponvel
em:
<http://www.lockabit.coppe.ufrj.br/rlab/rlab_textos.php?id=69>.
Acessado em: 20/11/07.
SECURITY, Data - Poltica De Segurana Da Informao, 2006. Disponvel em:

<http://www.brdatanet.com.br/solucoes/politica.htm>. Acessado em: 20/11/07.
USPNET, Comisso de Segurana da - NORMA DE SEGURANA PARA A

USPNET,
So
Paulo,
1997.
Disponvel
em:
<http://www.security.usp.br/
normas/pseg01.html>. Acessado em:12/11/07.
WIKIPEDIA; Segurana da informao, 2007; Disponvel em: <http://pt.wikipedia.org/

wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o>. acessador em: 27/11/07.
29
ANEXOS
30
ANEXO A - TERMO DE CONFIDENCIALIDADE DA INFORMAO
XXX , nacionalidade, estado civil, funo, inscrito(a) no CPF/MF

sob
000000,
abaixo
firmado,
assume
compromisso
de
manter
confidencialidade e sigilo sobre todas as informaes tcnicas e outras relacionadas

ao trabalho e sistemas computacionais da Empresa Enerlux, do qual sou
(funcionrio, estagirio, terceirizado), a que tiver acesso durante o perodo de meu
contrato, relacionados ao desenvolvimento de minhas funes.
Por este Termo de Confidencialidade compromete-se:

1.
a no utilizar as informaes confidenciais a que tiver acesso, para gerar
benefcio prprio exclusivo e/ou unilateral, presente ou futuro, ou para uso de

terceiros;
2.
a no efetuar nenhuma gravao ou cpia da documentao confidencial a
que tiver acesso relacionada a tecnologia da informao da empresa Enerlux;

3.
a no apropriar-se para si ou para outrem de material confidencial e/ou
sigiloso que venha a ser disponvel atravs da tecnologia ora mencionada;

4.
no
repassar
conhecimento
das
Informaes
confidenciais,
responsabilizando-se por todas as pessoas que vierem a ter acesso s informaes,

por seu intermdio, e obrigando-se, assim, a ressarcir a ocorrncia de qualquer dano
e/ou prejuzo oriundo de uma eventual quebra de sigilo das informaes fornecidas.
Neste Termo, as seguintes expresses sero assim definidas:
Informao Confidencial significar toda informao revelada relacionada a
tecnologia acima descrita, atravs da execuo de suas funes, a respeito de, ou,
associada com a Avaliao, sob a forma escrita, verbal ou por quaisquer outros
meios.
Informao Confidencial inclui, mas no se limita, informao relativa s
operaes,
processos,
planos
ou intenes,
informaes
sobre produo,
instalaes, equipamentos, segredos de negcio, segredos de fbrica, dados,

habilidades
especializadas,
projetos,
mtodos
metodologia,
fluxogramas,
31
especificaes, componentes, frmulas, produtos, amostras, diagramas, desenhos,

desenhos de esquema industrial, patentes, oportunidades de mercado e questes
relativas a negcios revelados durante a execuo de qualquer projeto da empresa.
Avaliao significar todas e quaisquer discusses, conversaes ou
negociaes entre, ou com as partes, de alguma forma relacionada ou associada

com a apresentao da proposta acima mencionada.
A vigncia da obrigao de confidencialidade, assumida pela minha pessoa por meio

deste termo, ter validade por 20 anos, ou enquanto a informao no for tornada de
conhecimento pblico por qualquer outra pessoa, ou ainda, mediante autorizao
escrita, concedida minha pessoa pelas partes interessadas neste termo.
Pelo no cumprimento do presente Termo de Confidencialidade, fica o abaixo

assinado ciente de todas as sanes judiciais que podero advir.
Fortaleza, __________ de ______________________ de 200__.
____________________________
Colaborador
TESTEMUNHAS:
_____________________________
Nome:
CPF:
_____________________________
Nome:
CPF:
______________________________
Responsvel pelo Setor de TI
32
ANEXO B - TERMO DE CINCIA DAS POLITICAS E PENALIDADES
1 Informaes Gerais:
Este termo se refere ao uso devido dos equipamentos e da rede de

computadores da Empresa Enerlux, estando sob a responsabilidade do setor de TI.
A Empresa Enerlux reserva-se o direito de cancelar qualquer tarefa que
possa comprometer a performance dos servidores. Neste caso, podendo sem aviso
prvio efetuar o bloqueio ao usurio ao link e/ou sistemas de informtica da
empresa.
Diariamente efetuado backup dos dados contidos nos Servidores da
Empresa, no se responsabilizando, portanto por perdas de informaes no
contidas em seu ambiente de rede.
A Enerlux reserva-se o direito de, a qualquer momento, fazer uma anlise
dos equipamentos e recursos que so utilizados pelos colaboradores (dados,
internet, correio, telefonia e etc.).
2. Obrigaes do Colaborador
Zelar pela eficincia e efetividade da rede, adotando junto a todos os

usurios todas as medidas necessrias para evitar prejuzos ao funcionamento da
mesma de acordo com as Polticas de segurana adotadas pela empresa.
Fornecer ao setor de TI todas as informaes solicitadas quando
necessrio.
Colaborar com o setor de TI quando solicitado a desligar o equipamento e
quanto ao uso racional das informaes contidas no ambiente de rede.
Informar ao setor de TI sempre que identificar qualquer anormalidade no
funcionamento da rede.
Manter pastas e documentos importantes da empresa em ambiente de
rede, sempre zelando pela organizao das mesmas.
Manter a senha de acesso rede atualizada.
33
3. Proibies:
Transmitir ou armazenar qualquer informao, dado ou material que viole

qualquer lei federal, estadual ou municipal, do Brasil e de outros pases.
Promover ou prover informao instrutiva sobre atividades ilegais, que
promovam ou induzam a dano fsico ou moral contra qualquer grupo ou indivduo.
Disponibilizar, utilizar ou armazenar qualquer material de contedo
grotesco ou ofensivo s pessoas, empresa ou sociedade.
Enviar abusiva e generalizadamente e-mails ou envi-los sem solicitao
do(s) destinatrio(s), partindo de um servidor da empresa, sob pena de
sobrecarregar os servidores, prejudicando o desempenho, s vezes, de toda rede.
Transferir a senha a terceiros ou permitir que se utilizem sua conta, que
de uso exclusivo do colaborador.
Tentar ou efetivamente quebrar as senhas ou invadir contas pertencentes
a outros colaboradores.
Utilizar equipamentos e recursos da rede para tarefas particulares dentro
do horrio de expediente.
Desligar o computador em perodo em que o antivrus estiver ativo.
4. Penalidades:
O no cumprimento das Polticas de Segurana da Informao da

empresa Enerlux acarretar as punies cabveis constantes em regulamento
interno da empresa Enerlux, ou de acordo com a CLT, a saber:
1. Advertncia Verbal;
2. Advertncia Escrita;
3. Suspenso ou
4. Demisso.
Bem como Assim, o mesmo responder por qualquer ao legal
apresentada empresa Enerlux e que o envolva.
Declaro que estou ciente e concordo com todas as informaes contidas
neste documento, bem como com as Polticas de Segurana da Informao da
empresa Enerlux.
34
Fortaleza, __________ de ______________________ de 200__.
____________________________
Colaborador
TESTEMUNHAS:
_____________________________
Nome:
CPF:
_____________________________
Nome:
CPF:
______________________________
Responsvel pelo Setor de TI

Modelo Trabalho Politica de Segurança

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Modelo Trabalho Politica de Segurança

Caricato da

Copyright:

Formati disponibili

1

TECNOLOGIA EM REDES DE COMPUTADORES

POLITICA DE SEGURANA DA INFORMAO

CARLOS WILTEMAR DE FREITAS ALVES

POLITICA DE SEGURANA DA INFORMAO

CARLOS WILTEMAR DE FREITAS ALVES

POLITICA DE SEGURANA DA INFORMAO

Estudo de caso da implantao de

Figura 1 - Empresa Enerlux - Representao do Ambiente .........Erro! Indicador no

TABELA 1 - AVALIAO DA RELEVNCIA DO RISCO ........................................ 12

LISTA DE ABREVIATURAS E SIGLAS

BIOS Basic Input/Output System

4.4.1 P01 Poltica de Segurana Patrimonial .........................................................17

4.4.2 P02 Poltica de Controle de Acesso ..............................................................19

4.4.3 P03 Poltica de Backup .................................................................................22

4.4.4 P04 Poltica de tratamento de incidentes ......................................................23

4.4.5 P05 Poltica de Manuteno de Equipamentos.............................................25

4.4.6 P06 Poltica de Correio Eletrnico.................................................................26

1.2 Referencia Normativa

2 POLTICA DE SEGURANA DA INFORMAO

2.1 Segurana da Informao

propriedades, tais como autenticidade, responsabilidade, no

Segundo Wikipdia (2007), a Segurana da Informao est relacionada

Coerente com as aes da empresa

A Poltica de Segurana da Informao visa preservar a confidencialidade,

simultaneamente, como negar o acesso aos usurios no autorizados?

Em 1978, o Departamento de Defesa dos Estados Unidos, publicou um

3 VISO GERAL DO AMBIENTE

A Companhia est localizada na Rodovia CE 333, km 12, no Complexo

Escopo de produtos e servios:

Gerao de energia eltrica a partir da queima do gs e do

Enlaces de dados e voz (rdio);

Controle de acesso fsico e lgico;

Servios de rede (servidor de arquivos, servio de diretrio, correio,

A Empresa tem os seguintes servios de rede:

(Administrativo, Manuteno, Operao, Terceiros, GestaoUsina) controladas

- Servidor de diretrios que armazena os objetos do domnio da empresa

A incluso de registros neste banco como contas de usurios efetuada

- Servidor de correio, que prov todo o servio de envio e recebimento de

- Servidor de aplicaes, contendo banco de dados que suporta sistema

Utilizao de computadores e notebooks;

sendo, portanto, controlados atravs de polticas de acesso definidas neste

4 ANALISE E TRATAMENTO DE RISCOS

4.1 Modelo de Classificao da Criticidade dos Riscos

Abaixo, segue a classificao:

TABELA 1 - AVALIAO DA RELEVNCIA DO RISCO

Observe-se que freqncia e probabilidade so dois fatores excludentes

Risco Baixo: Nvel aceitvel, ser assumido pela empresa;

4.2 Levantamento de Riscos e Classificao

Servios de Rede (File Servers)

4.3 Escopo da Poltica

determinar qual poltica de segurana ser enquadrado o incidente e qual tratativa

TABELA 3 POLITICAS DE SEGURANA

4.4.1 P01 Poltica de Segurana Patrimonial

Verificar a identidade das pessoas que acessam os edifcios.

Registrar entradas e sadas de visitantes.

Controle de visitantes mediante passes/autorizaes.

Controles fsicos (crachs, catracas, etc.).

No permitir o acesso a zonas restritas s visitas.

Mediante algumas destas ltimas medidas se efetuar o controle do

No ser permitida sada de nenhum material da rea de segurana (sala

4.4.2 P02 Poltica de Controle de Acesso

2. O cdigo e senha do usurio sero os mesmo utilizados em todos os

15. As contra-senhas sero armazenadas em diretrio especfico para este

Fortaleza, de __________ de 200.

Fortaleza, de __________ de 200.