Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
CÂMPUS CAMBORIÚ
Trabalho de Segurança da Informação
PLANO SEGURANÇA DA INFORMAÇÃO
Alunos: Vitória Francisco Ramos e Raphael Correa Dias
Orientador: Prof. Dr. Aujor Tadeu
CÂMPUS CAMBORIÚ
1. Introdução
O trabalho aborda um plano de segurança da informação para uma
determinada empresa, que deseja implementar mecanismos de segurança
para prevenir eventuais incidentes de segurança.
2. OBJETIVOS
2.1 Objetivo Geral
Levantar os requisitos de segurança necessário para elaboração do
plano de segurança e estabelecer o que será implementado.
2.2 Objetivos Específicos
Definir os pontos críticos do processo através da análise de risco e
estabelecer as estratégia de segurança.
3. METODOLOGIA.
Perguntas para planejamento do plano de segurança
1. Referente a Pessoas:
Os funcionários têm acesso a documentação de segurança?
R: Não há documentação de segurança
Os usuários têm conhecimento e boas práticas de segurança?
R: Não possuem treinamento
Existem políticas de acesso aos locais estratégicos da empresa ?
R: Não
É usado perfil dos usuários/acesso?
R: Não
Qual formato de senha?
R: Não
2. Referente a Redes
A rede tem firewall?
R: sim
CÂMPUS CAMBORIÚ
CÂMPUS CAMBORIÚ
Utiliza cloud?
R: Sim
3. Referente a Software
Qual o sistema operacional utilizado?
R: Windows e Ubuntu
As máquinas possuem anti virus?
R: Sim
Os usuários têm permissão para instalar programas (adm/usuario/nivel)?
R: Sim
Há controle de acesso a web?
R: Não
4. Referente a Física
Faz BKP?
R: Sim
Tem STORAGE?
R: Não
Tem NOBREAK?
R: Sim
Tem SERVIDOR?
R: Sim
Tem refrigeração?
R: Sim
4. OBJETO DO ESTUDO
4.1 Apresentação da Empresa
Para o plano de segurança ser pensado, é necessário termos uma uma
empresa como modelo, para este trabalho adotaremos uma empresa fictícia
do ramo de desenvolvimento de software, que está localizada na cidade de
balneário camboriú, em uma sede própria na localidade do centro. Seu foco é
CÂMPUS CAMBORIÚ
fonte: imagem feita pelos autores
b)Endereçamento de rede
A empresa utiliza DHCP para distribuir ips dinamicos na rede, os únicos
ips fixos são o servidor e o firewall.
c)Listar os Componentes de Rede: equipamentos,
computadores e cabeamento utilizados
● Roteador
● Computador rodando PfSense
CÂMPUS CAMBORIÚ
CÂMPUS CAMBORIÚ
CÂMPUS CAMBORIÚ
CÂMPUS CAMBORIÚ
fonte: imagem feita pelos autores
Procedimento: Implantação de 2 firewalls 1 antes da DMZ e
outro após a DMZ para isolar as aplicações da da internet e da
rede interna.
● Implantação do proxy
Objetivo: Melhorar a segurança do controle de acesso da rede
Procedimento: Implantação de Proxy não transparente para
acesso a rede.
● Criação de políticas de acesso externo
Objetivo: Definir quais são as políticas de acesso externo, como
quem poderá acessar e quando.
CÂMPUS CAMBORIÚ
CÂMPUS CAMBORIÚ
Desenvolvedores X X X X
TI X X X
Comercial X X
b) Estratégia de Infraestrutura (física e lógica; - novos
equipamento, cabeamento, storage, nobreak, VLAN ou
estratégia lógica – mecanismo e criptografias;
● Servidor
● Rack Fechado 44U
● Nobreak: Nobreak SMS 3000VA Power Vision Bivolt 27747 2 unidades +
banco de baterias de 96V (8 unidades)
● Gravador LTO: Dell LTO7 mídia de fita
● Nas Assustor V2 com 4 TB de espaço em discos.
● Switch Gerenciavel 48 Portas Hp Aruba 1920S Poe+ 4 Sfp L2 Jl386A
com possibilidade de VLAN para segmentar a rede
c) Ferramenta de Segurança Técnicas; - antivírus, firewall, IDS,
controle por RFID;
● Firewall e Proxy: Usará VMs dentro do servidor, a versão escolhida é o
PFSense pois é uma das melhores aplicações freeware e open source
desta categoria.
● Antivírus: Corporativo Kaspersky
● Nagios: Software de monitoramento de rede ( Hosts e serviços)
ferramenta freeware.
CÂMPUS CAMBORIÚ
Servidor R$
Total:
CÂMPUS CAMBORIÚ
9. PLANOS DE CONTINGÊNCIA
a)Monitoramento e controle;
O monitoramento da rede será feito pelo software Nagios e o controle
de acesso a rede será feito via proxy e firewall
b)Resposta Emergencial;
Em caso de emergência, o plano é avaliar a situação e avaliar o nível do
problema, a partir disso tomar medidas necessárias mobilizando pessoas e
recursos para solucionar o problema.
10. CONSIDERAÇÕES FINAIS (posicionar-se em relação à
viabilidade do projeto, à importância da implantação das ações
estratégicas e ao resultado para a empresa)
Fica evidente que o plano de segurança é de extrema importância em
qualquer organização, no nosso exemplo a organização não possuía nenhum
plano e estava propensa a enfrentar um colapso caso aparecesse uma
adversidade.
No nosso modelo adotamos características comuns em micro e
pequenas empresas presentes no mercado pois muitas delas não possuem os
mínimos requisitos de segurança. Os critérios adotados para o plano de
segurança foram pensados de forma que a empresa possa crescer facilmente
ao longo do tempo e não sofrer com deficiências na área de segurança.
Apesar valor inicial da implantação dos mecanismos de segurança
poder impactar fortemente a receita da empresa uma falha de segurança
pode ser fatal, além disso para ajudar no baixo custo procuramos sempre
utilizar ferramentas freeware.