ISO17799 Modulo2

Entendendo e implementando a Norma NBR ISO/IEC 17799
Academia Latino-Americana de Segurana da Informao Aspectos tericos e prticos da Norma NBR ISO/IEC 17799:2005
Mdulo 2
Entendendo e implementando a Norma NBR ISO/IEC 17799

AUTORES Edison Fontes Fernando Srgio Santos Fonseca Srgio Toscano Dias Pereira
Apostila desenvolvida pelo Instituto Online em parceria com a Microsoft Informtica
http://www.instonline.com.br/
Reviso 1.0 Abril de 2006
COORDENADORES TCNICOS Arthur Roberto dos Santos Jnior Fernando Sergio Santos Fonseca Paulo Eustquio Soares Coelho
Academia Latino-Americana de Segurana da Informao Introduo ABNT NBR ISO/IEC 17799:2005 - Mdulo 2
Pgina 2
COMO USAR ESSE MATERIAL

Este um material de apoio para o curso Entendendo e implementando a NBR ISO/IEC 17799 ministrado pela Academia Latino-americana de Segurana da Informao. Durante o curso sero apresentados vrios Webcasts com o contedo deste material acompanhado de slides e voz para ilustrar os conceitos e prticas. A cpia desses slides est em destaque na apostila, seguida de textos com informaes que sero abordadas pelo instrutor nos respectivos Webcasts.
LABORATRIO : TTULO AQUI

Os laboratrios de cada mdulo do curso so identificados dessa forma e seu roteiro est especificado sob o ttulo.
VDEO
Indica que ser apresentado um filme para ilustrar as prticas ou conceitos
Pgina 3
NDICE
7 GESTO DE ATIVOS........................................................................................................................................................6 Objetivos......................................................................................................................................................................7 7.1 Responsabilidade pelos ativos .........................................................................................................................8 7.1.1 Inventrio dos ativos.......................................................................................................................................9 7.1.2 - Proprietrio dos ativos..................................................................................................................................11 7.1.3 Uso aceitvel dos ativos..............................................................................................................................12 7.2 Classificao da informao............................................................................................................................14 7.2.1 Recomendaes para classificao da informao..................................................................................15 7.2.2 Rtulos e tratamento da informao ...........................................................................................................17 8 SEGURANA EM RECURSOS HUMANOS .........................................................................................................................19 Objetivos....................................................................................................................................................................20 8.0 Segurana em recursos humanos .................................................................................................................21 8.1 Antes da contratao.......................................................................................................................................22 8.1.1 Papis e responsabilidades .........................................................................................................................23 8.1.2 Seleo .........................................................................................................................................................24 8.1.3 Termos e condies de contratao...........................................................................................................26 8.2 Durante a contratao......................................................................................................................................27
8.2.1 Responsabilidade da direo......................................................................................................................................................... 27 8.2.2 Conscientizao, educao e treinamento em segurana da informao................................................................................... 28 8.2.3 Processo disciplinar........................................................................................................................................................................ 29
8.3 Encerramento ou mudana da contratao....................................................................................................30

8.3.1 Encerramento das atividadades ................................................................................................................................................... 31 8.3.2 Devoluo dos Ativos..................................................................................................................................................................... 32 8.3.3 Retirada dos Direitos de Acesso.................................................................................................................................................... 32
9 SEGURANA FSICA DO AMBIENTE ................................................................................................................................32
Pgina 4
Objetivos....................................................................................................................................................................33 9.1 Introduo Segurana Fsica.......................................................................................................................34 9.1.1 Ameaas Segurana Fsica......................................................................................................................35 9.2 reas seguras..................................................................................................................................................37 9.2.1 Permetro de Segurana Fsica...................................................................................................................38 9.2.2 Controle de entrada fsica .............................................................................................................................40 9.2.3 Segurana em escritrios, salas e instalaes............................................................................................41 9.2. 4 Proteo contra ameaas externas e do meio ambiente .........................................................................42 9.2. 5 Trabalhando em reas seguras .................................................................................................................43 9.2. 6 Acesso do pblico, reas de entrega e de carregamento ........................................................................44 9.3 Segurana de equipamentos...........................................................................................................................45 9.3.1 Instalao e proteo do equipamento .......................................................................................................46 9.3. 2 Utilidades......................................................................................................................................................47 9.3. 3 Segurana do cabeamento.........................................................................................................................48 9.3. 4 Manuteno dos equipamentos .................................................................................................................49 9.3. 5 Segurana de equipamentos fora das dependncias da organizao ....................................................50 9.3. 6 Reutilizao e alienao segura dos equipamentos .................................................................................52 9.3. 7 Remoo de propriedade ...........................................................................................................................53
Pgina 5
Capitulo
7
7 GESTO DE ATIVOS
POR FERNANDO FONSECA
NESTE CAPTULO, ESTUDAREMOS COMO EFETUAR A GERNCIA DOS ATIVOS DE INFORMAO, DISCUTIREMOS COMO PROTEG-LOS IDENTIFICANDO SEUS PROPRIETRIOS, CLASSIFICANDO-OS E MANTENDO O CONTROLE SOBRE OS MESMOS.
Pgina 6
OBJETIVOS
Os ativos de uma organizao, so os bens mveis, imveis e at mesmos intangveis, como a informao armazenada em meios diversos. Este captulo aborda as responsabilidades pelos ativos, como inventari-los, classific-los e como rotular a informao. Ao final deste captulo voc estar apto a: Entender o que so os ativos de informao; Porque eleger um responsvel pelos ativos; Como classificar a informao; Como rotular a informao de forma segura.
Pgina 7
7.1 RESPONSABILIDADE PELOS ATIVOS
Ativos: . Informaes (dados, manuais, projetos, etc) . Equipamentos . Softwares . Servios . Reputao e imagem da organizao . Pessoas e suas qualificaes
As informaes (base de dados, manuais, software, etc) de uma organizao podem ser identificadas como um ativo como tantos outros tradicionais (imveis, mveis, equipamentos, etc...). Assim, ele possui um valor e deve ser classificado e valorado. Existem vrios tipos de ativos: Ativos de informao: base de dados de contratos e acordos, documentao de sistema e infra-estrutura, manuais, material de treinamento, procedimentos de suporte e operao, planos de continuidade de negcio, etc...; Ativos de softwares: aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios; Ativos fsicos: equipamentos computacionais, de comunicao, mdias removveis; Servios: servios de computao, comunicaes, refrigerao, iluminao, eletricidade; Pessoas e suas qualificaes, habilidades e experincias; Ativos intangveis: reputao, credibilidade e imagem da organizao. Para que os ativos sejam protegidos, necessrio que possua um proprietrio. O proprietrio pode ser uma pessoa ou entidade autorizada controlar o uso e a segurana dos ativos, tornando-se o responsvel pelos mesmos.
Pgina 8
7.1.1 INVENTRIO DOS ATIVOS
Objetivo: procura classificar os ativos de informao, de acordo com sua importncia para o negcio em si.
Algumas ferramentas para levantamento e controle dos ativos: Sistemas de gerenciamento de redes Sistemas de inventrios de computadores Sistemas operacionais de rede Ferramentas de gerncia de documentos Sistemas de controle de backup Ferramentas de gesto empresarial
O ponto inicial para a gesto dos ativos a identificao do que um ativo e quais so eles dentro de nossa organizao. Para se ter um levantamento mais fidedigno, podemos agrup-los por rea e solicitar que a alta direo nomeie um gestor (proprietrio) da informao. Cada rea deve realizar um levantamento, ou inventrio, destes ativos. Para o sucesso desta etapa torna-se importante que os gestores sejam instrudos quanto aos tipos de ativos e como classific-los, para manter um controle de seu estado e numa segunda etapa conceder as permisses de acesso adequadas a cada um. Pelo dicionrio Aurlio o termo inventrio significa Lista discriminada, registro, relao, rol de mercadorias, bens, etc.... Quando se fala em inventrio, o termo lembra os longos perodos de levantamento de itens em um estoque fsico e o confronto com o estoque registrado no sistema (ou o lendrio fichrio carbex, para quem est a mais tempo no mercado ou no acredita nessa tal de informtica). Essa analogia explica em linhas gerais o que um inventrio, mas olhando pelo lado de ativos, o inventrio vai alm do estoque e procura classificar os ativos de informao, de acordo com sua importncia para o
Pgina 9
negcio em si. Existem diversas ferramentas que nos auxiliam no levantamento e controle dos ativos. A seguir destacamos algumas: Sistemas de gerenciamento de redes: Estes sistemas podem monitorar a existncia e o estado de ativos da rede como servidores, switches, roteadores, etc. Existem implementaes proprietrias e um protocolo padro especfico para realizar esta tarefa chamada SNMP (Simple Network Manager Protocol). Com o SNMP possvel criar quantos controles forem necessrios, alm dos bsicos (uso de CPU, espao em disco, etc). Sistemas de inventrios de computadores: Realizam um levantamento de todos os computadores conectados rede com uma relao de software e hardware existentes nesses equipamentos.. Estes sistemas so teis para se identificar qual o parque da empresa e quais ativos (softwares licenciados ou gratuitos) e passivos (softwares comerciais sem a devida licena) esto instalados nestes computadores. Estes softwares tambm so teis para avisar ao administrador quando houver alguma alterao nos dados de inventrio. Sistemas operacionais de rede: Os sistemas operacionais de rede possuem DACLs (Discretionary Access Control Lists) que atravs de um banco de dados central de contas de usurios fornece acesso aos seus recursos (ativos de informao) somente a quem efetivamente necessita deste acesso. Ferramentas de gerncia de documentos: Estas ferramentas servem como uma camada adicional de proteo dos documentos limitando as aes que os usurios autorizados podem realizar com os ativos de informao (Ex: Pode ler, mas no imprimir). Alm de limitar o acesso estas ferramentas podem tambm manter um registro das aes realizadas por cada usurio e das tentativas de executar aes no permitidas. Sistemas de controle de backup: O Backup uma cpia fiel de seus ativos de informao mais importantes. Por este motivo desejvel que se controle exatamente o que acontece com cada uma das mdias destinadas a este fim. Existem vrias ferramentas capazes de control-las assim como seu uso e as informaes contidas em cada uma delas. Ferramentas de gesto empresarial: Estas ferramentas controlam toda a gesto da empresa. Uma boa ferramenta deste tipo capaz de separar os proprietrios para cada processo dentro da empresa.
Pgina 10
7.1.2 - PROPRIETRIO (GESTOR) DOS ATIVOS
Responsvel por: . Responder pelo ativo . Cuidar da manuteno dos ativos . Classific-lo quanto a: - Confidencialidade, - Integridade e - Disponibilidade
Para que se tenha um controle efetivo dos ativos essencial que cada ativo de informao dentro de uma organizao possua uma pessoa responsvel, essa pessoa denominada proprietrio do ativo. Apesar de a palavra proprietrio expressar posse, o proprietrio apenas uma pessoa designada pela empresa para responder pelo ativo e classific-lo quanto sua necessidade de confidencialidade, integridade e disponibilidade. Por estes motivos muitos autores preferem cham-lo de gestor do ativo. A utilizao do termo gestor ao invs do termo proprietrio pode evitar futuros problemas de interpretao. Sendo assim, este autor recomenda o uso do termo gestor da informao. Os proprietrios so os responsveis por cuidar da manuteno dos ativos, e mesmo que parte deste processo seja delegada pelo proprietrio a um terceiro, ele ainda continua sendo o responsvel primrio pela proteo adequada dos ativos.
Pgina 11
7.1.3 USO ACEITVEL DOS ATIVOS
Internet
Correio eletrnico
Regras para uso da informao
Notebooks e estaes
Informaes
Alm de proprietrio, os ativos da empresa possuem usurios. importante que sejam criadas regras que iro compor a poltica da empresa quanto a permisses de uso das informaes e de ativos associados aos recursos de processamento das informaes. Cada usurio deve conhecer e cumprir essa poltica para uso dos recursos, a fim de no comprometer a empresa e ao prprio usurio. Exemplos de ativos que necessitam de cuidados especiais quanto ao seu uso so:
Internet: Dentro de uma organizao os usurios utilizam um sistema que est registrado para uso da mesma. Qualquer ato realizado em qualquer computador dentro da empresa informado como proveniente do endereo IP destinado para o para uso dessa empresa. importante que se especifique e divulgue a todos os usurios quais os tipos de acesso so permitidos ou proibidos, de acordo com a lei e com a poltica de segurana corporativa, alm de manter o registro adequado de todas as comunicaes oriundas da empresa.
Pgina 12
Correio eletrnico: O correio eletrnico uma ferramenta de comunicao que identifica o funcionrio e a empresa perante o mundo como um nome e sobrenome separados pelo @ (leia-se at que no ingls significa em ) Esta ferramenta deve ser utilizada somente para uso profissional e nunca, em hiptese alguma, dever ser utilizada em alguma ao suspeita, ou isso poder acarretar em comprometimento do usurio assim como da empresa, pois essa a provedora do recurso que possibilita a comunicao com a Internet. Existem ferramentas para monitorar contedo imprprio em correio eletrnico, mas o indispensvel que todos os usurios evidenciem de que conhecem a poltica da empresa em relao ao uso de seus recursos, no processo de integrao ou de solicitao de acesso. Estaes de trabalho: A estao de trabalho do usurio, assim como sua mesa ou cadeira pertence exclusivamente empresa e deve ser tratado como um recurso precioso, sujeito poltica corporativa e s normas estabelecidas para seu uso. O mau uso de estaes de trabalho podem impactar na produtividade do usurio, na manuteno da confidencialidade dos dados por ele manipulados e na adequao da empresa s leis de direitos autorais dentre outros problemas. Notebooks: Os dispositivos mveis circulam livremente dentro e fora do permetro da empresa. necessrio nesse caso que a poltica seja bem definida quanto ao uso desses equipamentos e que esta seja bem divulgada e conhecida por todos os usurios de dispositivos mveis. Sempre que possvel esta poltica deve ser reforada por recursos de tecnologia uma vez que seu mau uso pode trazer ameaas a esses dispositivos e outros ativos quando este retornar para dentro do permetro de proteo da empresa.
Pgina 13
7.2 CLASSIFICAO DA INFORMAO
Quantos segredos que voc guardava, hoje so bobos ningum quer saber
A Lista, Oswaldo Montenegro

Um dos maiores desafios da segurana da informao a necessidade de termos a informao ntegra, correta e ao mesmo tempo disponvel somente para os usurios que realmente devem acess-la. No haveria muita dificuldade em se proteger uma informao se ela no precisasse estar disponvel para os usurios legtimos. Uma vez que garantimos que a informao est disponvel somente para os usurios corretos, necessrio garantir que eles faam o uso adequado dessas informaes. Para alcanar este objetivo necessrio que um processo eficiente de classificao da informao seja estabelecido, garantindo que os usurios desses ativos conheam a sua real importncia para a corporao. Outro aspecto relevante da informao que ela no mantm o mesmo valor ao longo do tempo. Algumas tendem a se tornarem pblicas ou simplesmente no interessar a mais ningum.
Pgina 14
7.2.1 RECOMENDAES PARA CLASSIFICAO DA INFORMAO
. Identifique quem o proprietrio da informao; . Especifique quais critrios sero utilizados para sua classificao; . Converse com o proprietrio da informao esta deve ser enquadrada em alguma das categorias estipuladas; . Indique qual o nvel de segurana necessrio para proteger cada categoria; . Documente excees; . Crie rtulos para a informao impressa e digital; . Defina o mtodo que ser utilizado para transferir a custdia da informao; . Indique um procedimento para a desclassificao da informao; . Treine e conscientize os usurios.
Cada informao dentro da empresa possui a necessidade de estar disponvel para uma pessoa ou equipe, ao mesmo tempo em que h a necessidade de um controle que garanta que ela estar realmente disponvel para os usurios legtimos. A classificao deve levar em conta estas premissas e principalmente o impacto nos negcios pela quebra na disponibilidade, integridade ou confidencialidade das mesmas. Para alcanarmos este objetivo de forma eficaz necessrio definir categorias de informaes que sejam bem objetivas quanto criticidade de cada informao. Esta classificao deve ser feita pelo proprietrio (gestor) de cada uma delas, em um momento inicial e posteriormente em prazos pr-definidos, onde uma informao pode ser reclassificada de acordo com os requisitos de confidencialidade que ainda representa para a organizao. Alguns ativos de informao perdem totalmente o valor depois de um determinado evento. O vencedor de um Oscar, por exemplo, passa de um dos segredos mais bem guardados do mundo para uma informao de domnio pblico em questo de horas. Esta informao j poderia ser classificada originalmente como Top Secret at a noite da entrega e Unclassified aps esta data.
Pgina 15
Para uma eficiente classificao da informao, a empresa necessita identificar o gestor do ativo, responsvel por definir a classificao do mesmo. Uma empresa 1 pode conduzir este processo conforme os critrios como os da lista abaixo [ ]: Identifique quem o proprietrio da informao; Especifique quais critrios sero utilizados para sua classificao; Converse com o proprietrio da informao esta deve ser enquadrada em alguma das categorias estipuladas; Indique qual o nvel de segurana necessrio para proteger cada categoria; Documente excees; Crie rtulos para a informao impressa e digital; Defina o mtodo que ser utilizado para transferir a custdia da informao; Indique um procedimento para a desclassificao da informao; Treine e conscientize os usurios importante que todos saibam como classificar e manusear diferentes tipos de informao.
Pgina 16
7.2.2 RTULOS E TRATAMENTO DA INFORMAO
. Sensveis . Confidenciais . Privadas . Proprietrias . Pblicas
Requisitos de Confidencialidade
Conforme visto anteriormente, os proprietrios dos ativos so os responsveis por atribuir as permisses de acesso aos ativos e revis-las periodicamente para assegurar-se que o controle mais apropriado seja aplicado quela informao. Esta classificao deve garantir que o princpio do mnimo privilgio (least privilege) seja aplicado, ou seja, cada usurio somente ter acesso ao que realmente necessita e as permisses conferidas a este sero somente as necessrias para a execuo de sua tarefa relacionada quela informao. A classificao dos ativos deve ser clara e objetiva, estando presente em todas as informaes, independente de seu meio de armazenamento. Os documentos eletrnicos confidenciais, por exemplo, devem conter dispositivos como mensagens de rodap que garantam que a classificao da informao sobreviver passagem de seu contedo do meio digital para o meio fsico impresso. Cabe a cada empresa analisar quantos e quais nveis de classificao devero ser utilizados para classificar seus ativos de informao quanto sua confidencialidade,no existindo uma forma nica definida para tal. Uma vez definidos estes nveis, deve haver procedimentos para tratamento e manuseio das informaes associados a cada nvel de classificao criado pela organizao.
Pgina 17
Na tabela 1 vemos alguns exemplos de classificao de ativos.
Decreto Federal 4.553/2002 para administrao pblica

Ultra-secretos: Informaes cujo conhecimento possa acarretar em dano excepcionalmente grave segurana nacional Secretos: Informaes cujo conhecimento possa acarretar em dano grave segurana nacional. Confidenciais: Aquele cuja revelao pode frustrar seus objetivos ou causar dano segurana da sociedade e ao estado Reservados: Aquele cuja revelao pode frustrar seus objetivos ou causar dano segurana da sociedade e ao estado.
Classificao da informao comercial

Confidencial: Se for revelada pode afetar seriamente a empresa. .
Classificao Militar
Ultra secretos (Top Secret)
Privada: Informao sobre o Secreto (secret) corpo funcional. Sensvel: Requer precaues especiais Confidencial (Confidential)
Proprietria: se revelada, pode reduzir a margem competitiva. Pblica: se revelada no afetar a organizao.
Sensvel mas no Classificada (Sensitive but unclassified) No classificada (Unclassified)
Requisitos de Integridade
Uma outra classificao que se deve fazer dos ativos quanto sua integridade. As necessidades de integridade podem ter vrios nveis (baixo, mdio, alto, crtico, etc), de acordo com a necessidade da empresa.
Requisitos de Disponibilidade
Pela tica da disponibilidade, a classificao da informao acontece de acordo com a extenso do impacto que sua falta ocasionar para a organizao. Novamente no temos categorias pr-definidas, mas podemos classificar por intervalo de tempo (minutos, horas ou dias) ou por categorias que correspondam a estes intervalos (curto, mdio, longo). Estes critrios podem definir tambm o tempo de reteno de uma determinada informao, muitas vezes estabelecido por clausulas legais.
Pgina 18
Captulo
8
8 SEGURANA EM RECURSOS HUMANOS
POR EDISON FONTES
QUAIS AS RESPONSABILIDADES DE CADA FUNCIONRIO E DE TERCEIROS PARA

COM A SEGURANA DA INFORMAO
TRATAREMOS NESTE CAPTULO SOBRE OS ASPECTOS HUMANOS DA SEGURANA DA INFORMAO. QUAIS OS CUIDADOS NA CONTRATAO E DEMISSO DE PESSOAL, NO QUE TANGE SEGURANA DA INFORMAO
Pgina 19
OBJETIVOS
A implantao da segurana depende mais das pessoas que a conduzem do que dos recursos utilizados. No basta que se utilizem as melhores ferramentas, sem que os usurios estejam comprometidos com a segurana da informao. Este captulo aborda a segurana em recursos humanos. Ao final deste captulo voc estar apto a: Selecionar candidatos para contratao avaliando suas caractersticas e alinhamento com regras pr-definidas; Conscientizar o profissional contratado sobre suas responsabilidades quanto poltica de segurana da informao; Conduzir o processo de encerramento ou mudana de contratao.
Pgina 20
8.0 SEGURANA EM RECURSOS HUMANOS
Leva em conta os usurios em trs momentos: . Antes da contratao . Durante a execuo das funes . No encerramento da atividade profissional
O processo de segurana da informao deve contemplar a pessoa humana que o recurso que faz efetivamente acontecer a proteo. Segundo Edison Fontes [2] "... a implementao de regras, regulamentos, polticas, normas, bem como o uso de programas de proteo da informao, so aes importantes. No entanto, so partes da soluo. Essas aes conseguem construir apenas metade da ponte que nos leva efetiva proteo. A parte restante, crucial, para que a ponte cumpra o seu objetivo construda quando as pessoas da organizao (funcionrios, prestadores de servio, executivos e acionistas) tornam-se conscientes desse assunto." Tambm complementa [3] "Neste processo de segurana, a atitude de cada pessoa fundamental. De certa forma, o sucesso da implantao da segurana depende da pessoa humana. Podemos ter os melhores esquemas e ferramentas, mas se no tivermos cada pessoa comprometida com a segurana da informao, a possibilidade de fracasso aumenta. Desta forma necessrio que consideremos os usurios (funcionrios, fornecedores e terceiros) em trs momentos de sua vida profissional na organizao: antes da contratao, durante a execuo das suas funes profissionais e quando do encerramento de suas atividades profissionais para a organizao. Para esta ltima fase devemos considerar tambm situaes de mudana de tipo de atividade que exigir diferentes acessos informao.
Pgina 21
8.1 ANTES DA CONTRATAO

. Explique ao candidato sua funo profissional e o papel que ir desempenhar. . Defina em documento, as responsabilidades do cargo e suas caractersticas. . Avalie se o candidato est alinhado com as regras.
Cada funo profissional deve ter suas responsabilidades explicitamente definidas e de conhecimento das pessoas que vo exercer um cargo na organizao. Antes da contratao o candidato deve entender sua funo profissional e concordar com o papel que vai desempenhar. As responsabilidades do cargo e suas caractersticas devem estar definidas em um documento que descreve as condies de contratao. Todo candidato a exercer uma atividade profissional na organizao deve ser analisado em relao sua capacidade de exerc-la, inclusive considerando: caractersticas pessoais, alinhamento s regras, exerccio da responsabilidade, experincia profissional, tratamento adequado de informaes de diferentes nveis de confidencialidade e concordncia com a poltica de segurana da organizao.
Pgina 22
8.1.1 PAPIS E RESPONSABILIDADES

Crie descrio de funo, incluindo: . Exigncias a seguir quanto a poltica de segurana; . Requisitos de proteo de ativos; . Executar tarefas de segurana da informao; . Responsabilidades por relatar situaes de risco.
Na descrio da funo profissional, as responsabilidades relativas segurana da informao devem incluir exigncias de seguir a poltica de segurana, proteger ativos, executar as orientaes e relatar situaes de riscos.
Pgina 23
8.1.2 SELEO
Deve-se levar em considerao os aspectos relativos a: . Privacidade; . Legislao; . Proteo de dados pessoais; . Referncias pessoais e profissionais; . Exatido de informaes fornecidas; . Verificaes de ordem financeira e criminal.
Quando da seleo da pessoa deve-se considerar que todas as verificaes obedeam s leis vigentes, as regulamentaes e os princpio ticos. Essas verificaes devem considerar o respeito privacidade aos dados pessoais de quem ser contratado. Em relao anlise das informaes prestadas pelo candidato, devemos verificar; a. Se as informaes da experincia profissional esto adequadas ao cargo/funo; b. Se as informaes prestadas so verdadeiras: dados acadmicos, documentos de identificao pessoal; c. A situao de crdito na praa e registros criminais.
A seleo deve ser feita por profissionais qualificados, sejam da prpria organizao ou sejam prestadores de servio. Quando feito por terceiros importante que exista um contrato para essa prestao, que descreva a responsabilidade desse prestador em relao ao profissional que ele est selecionando para a organizao. As responsabilidades e aes em relao segurana da informao devem estar destacadas na descrio das responsabilidades de cada funo profissional.
Pgina 24
importante que a pessoa formalize o conhecimento dessas regras assinando um documento. Algumas dessas responsabilidades devem continuar um certo tempo aps o trmino de relao profissional entre a organizao e a pessoa. Algumas empresas se resguardam juridicamente solicitando que o candidato autorize formalmente que uma verificao dos dados apresentados seja conduzida para a continuidade do processo de seleo.
Pgina 25
8.1.3 TERMOS E CONDIES DE CONTRATAO
Devem refletir a poltica de segurana, esclarecendo e declarando a funcionrios, fornecedores e outros usurios: . Assinatura de termo de confidencialidade; . Responsabilidades legais e direitos; . Responsabilidades pela classificao da informao e pelo gerenciamento de ativos; . Responsabilidade pelo tratamento da informao recebida; . Responsabilidades fora da organizao; . Aces em caso de desrespeito aos requisitos de segurana.
A existncia de um Cdigo de Conduta ou Cdigo de tica facilita o entendimento e esclarecimento de vrios aspectos relativos segurana da informao bem como explcita mais ainda como a filosofia da organizao para o tratamento de seus recursos. O objetivo que as pessoas que estejam na organizao saibam claramente as regras da mesma, a responsabilidade de cada funo e possa de maneira consciente ser um profissional na organizao, desde que esteja de acordo com todo esse ambiente de controle.
Pgina 26
8.2 DURANTE A CONTRATAO
Deve ser observado: . Responsabilidades da direo; . Conscientizao, educao e treinamento em segurana da informao; . Processo disciplinar
Durante o exerccio das funes profissionais para a organizao, precisamos garantir que a pessoa: Esteja consciente dos controles necessrios para a manuteno do nvel adequado de segurana; Saiba quais so suas responsabilidades; Apie a poltica de segurana e demais regulamentos. Isto , a pessoa precisa estar conscientizada em segurana da informao.
8.2.1 RESPONSABILIDADE DA DIREO

A direo da empresa deve estar engajada no processo de segurana da informao e deve solicitar aos funcionrios e parceiros que sigam as diretrizes da poltica de segurana, da informao, assegurando que todos estejam instrudos de suas responsabilidades.
Pgina 27
8.2.2 CONSCIENTIZAO, EDUCAO E TREINAMENTO EM SEGURANA DA

INFORMAO
Como conscientizar, define Edison Fontes [2, XIII] "Defino essa conscientizao como sendo mais do que um simples conhecimento: estar conscientizado em proteo da informao internalizar os conceitos e agir com naturalidade no cumprimento dos regulamentos. Significa que a segurana da informao deve fazer parte do dia-a-dia e no ser considerada um peso em nossas responsabilidades profissionais para com a organizao. Significa tambm que os executivos da organizao devem avaliar e estar comprometidos com o nvel estabelecido para a proteo." As pessoas devem ser constantemente: a. instrudas sobre suas responsabilidades e uso correto quando do acesso informao; b. motivadas a cumprir todos os regulamentos de segurana da informao; c. conscientizadas em relao segurana da informao; d. capacitadas para atender os requisitos de segurana exigidos. Segundo Fontes [2, pg. 131] um dos dez direitos do usurio : "Receber treinamento adequado sobre os mecanismos de segurana de informao, que devem ser de fcil utilizao. Deve existir um processo de conscientizao, educao e treinamento em segurana. da informao. Esse processo deve contemplar todos os usurios e deve ter como contedo os conceitos gerais de segurana da informao e as regras especficas da organizao. A conscientizao pode variar de aes simples at campanhas de grande porte. O mais importante que a conscientizao e treinamento em segurana da informao sejam atividades peridicas e que existam enquanto existir a organizao. Contar com a participao da rea de Recursos Humanos e com especialistas em comunicao (Marketing e Publicidade) uma ao positiva e que deve ser levada em considerao. O profissional de segurana conhece os conceitos e regras que devem ser comunicadas, porm a forma de como comunicar deve ser definida e executada por profissionais que entendem de comunicao e so responsveis pelo fator humano dentro da organizao.
Pgina 28
8.2.3 PROCESSO DISCIPLINAR

No treinamento e conscientizao deve estar especificado que o no cumprimento dos regulamentos acarretar sanes e eventual processo disciplinar. importante que esse processo disciplinar esteja esclarecido, que seja justo, feito de forma correta e tenha como objetivo principal sempre: Fazer com que a organizao atravs das pessoas que a formam , esteja conscientizada e alcance/mantenha o nvel de proteo adequado ao negcio.
Pgina 29
8.3 ENCERRAMENTO OU MUDANA DA CONTRATAO
Aes a serem tomadas para: . Encerramento de atividades . Devoluo de ativos . Retirada de direitos de acesso
O processo que acontece quando as pessoas (funcionrios, fornecedores e terceiros) deixam a organizao ou mudam o tipo de trabalho, deve ser realizado de forma ordenada e controlada. As pessoas relacionadas a esses procedimentos devem estar cientes da suas responsabilidades. O usurio que est saindo da organizao ou mudando o seu tipo de trabalho internamente deve conhecer as regras relacionadas segurana da informao.
8.3.1 ENCERRAMENTO DE ATIVIDADES

Quando do encerramento do trabalho ou mudana do tipo de atividade o usurio deve perder o acesso aos recursos de informao que no mais precisar acessar. Deve-se ter definido como ficaro as informaes da organizao que eram utilizadas pelo usurio que est encerrando suas atividades ou mudando de tipo de trabalho. A orientao bsica que o funcionamento do negcio no pode ser impactado. Quando da situao de mudana, os acessos atuais para a informao, bem como os acessos fsicos, devem ser eliminados e os novos acessos devem ser concedidos para o usurio exercer sua nova funo, desde que autorizado pelo Gestor da respectiva informao. Normalmente o processo geral de desligamento realizado pela rea de recursos humanos. Desta forma as questes de segurana da informao devem ser um dos itens desse processo.
Pgina 30
8.3.2 DEVOLUO DE ATIVOS

importante que os bens de informao que so de responsabilidade do usurio que est sendo desligado ou transferido, sejam devolvidos e/ou repassados a outras pessoas autorizadas dentro da organizao para que o processo de negcio no sofra interrupo.
8.3.3 RETIRADA DE DIREITOS DE ACESSO

Devemos ter cuidado com a situao real que acontece em vrias organizaes: o usurio possui vrias identificaes para o acesso lgico informao nas diversas plataformas. Nessa situao o corte do acesso deve acontecer em todas as identificaes relacionadas ao usurio no momento em que o mesmo tome conhecimento de seu desligamento. Para que a retirada de direitos seja eficiente, a rea de RH deve ser instruda a comunicar o fato com determinada antecedncia s reas envolvidas para que as mesmas tomem as providncias necessrias em tempo hbil.
8.4 - CONCLUSO
O recurso humano crtico para que o processo de segurana funcione de forma adequada e que possibilite que a organizao tenha um nvel de proteo suficiente para o tipo do negcio da organizao. Devemos dar ateno a todos os eventos relacionados pessoa humana. Esse um aspecto fundamental para alcanarmos o nvel de proteo adequado para a organizao. Como o Fontes [2, pg. XV] acredita:.. Quando o usurio conhece os motivos da segurana da informao ele segue os procedimentos e as aes para efetivar essa proteo."
Pgina 31
Captulo
9
AMBIENTE 9 SEGURANA FSICA DO AMBIENTE
POR SRGIO DIAS
TRATAREMOS NESTE CAPTULO SOBRE COMO PROTEGER O AMBIENTE E AS ESTRUTURAS FSICAS QUE SUPORTAM A OPERAO DOS EQUIPAMENTOS.
Pgina 32
OBJETIVOS
O objetivo de segurana fsica o de prover um ambiente seguro para todos os ativos da organizao, incluindo atividades envolvendo sistemas de informao. Ao final deste captulo voc estar apto a: Determinar quais so as ameaas segurana fsica da informao; Estabelecer o permetro de segurana fsica; Empregar controles de entrada e sada dos ambientes; Estabelecer mtodos de segurana dos locais onde ocorrem atividades envolvendo segurana da informao; Proteger o ambiente fsico contra ameaas externas e de desastres do meio ambiente; Trabalhar com reas seguras; Proteo das instalaes que garantem a operao dos equipamentos.
Pgina 33
9.1 INTRODUO A SEGURANA FSICA
Objetivo: Proteo ao ambiente onde esto os ativos.
Com a evoluo da computao, os ativos de informao, que na poca dos mainframes estavam centralizados e faziam uso de uma nica sala com poucos acessos, se espalharam pela empresa. Nos atuais ambientes distribudos e de computao mvel, a abrangncia e demanda de proteo fsica do ambiente aumentou significativamente. A Segurana Fsica prev proteo ao ambiente onde esto hospedados os ativos da empresa, utilizando-se de recursos como trancas, guardas, alarmes, cmeras de vigilncia, entre outros. A importncia da Segurana Fsica que uma vez que ela esteja subjugada, pode-se contornar vrios controles de segurana lgicos, concedendo acesso direto ao ativo. Um exemplo disso que, mesmo com vrios controles, como Firewalls, Antivrus, etc. uma pessoa m intencionada pode, atravs do uso de disquetes, CDs, e atualmente Pen-Drives, reiniciar um servidor com outro sistema operacional e ter acesso irrestrito aos dados. A Disponibilidade e integridade dos dados so facilmente destrudas caso se ultrapasse os dispositivos de segurana fsica.
Pgina 34
9.1.1 AMEAAS A SEGURANA FSICA
. Efeitos da natureza . Falhas em sistemas de suprimento . Ameaas humanas (sabotagens, armas, etc) . Ameaas por motivao poltica (terrorismo, espionagem industrial)
As seguintes ameaas podem comprometer o ambiente fsico das organizaes e so objetos dos controles de segurana fsica: Naturais e do ambiente: Estas ameaas so de difcil controle quando ocorrem e no temos como antecip-las. Exemplos so: tempestades, erupes vulcnicas, furaces, tornados, incndios e enchentes. No Brasil no temos muitos efeitos naturais como em outros pases, mas as chuvas trazendo enchentes e o calor gerando incndios em nossas matas so preocupaes que o profissional de segurana deve estar atento; Sistemas de suprimento (utilidades): Correspondem aos elementos que fazem a operao funcionar e so essenciais em toda a infra-estrutura fsica. Como exemplo temos: energia, comunicao e encanamento. importante que a disposio desses elementos esteja protegida, pois existem casos conhecidos de tratores que partiram fibras ticas subterrneas que ligavam prdios, ou um cano estourar nas instalaes que contenham equipamentos eltricos ou mesmo no datacenter. A energia eltrica deve ser sempre mensurada para suportar o ambiente fsico e elementos crticos devem ter protees adicionais como veremos ainda neste mdulo. Humanas: As diversas pessoas internas ou externas que tenham acesso direto ou indireto aos ativos da empresa com a possibilidade de afet-los esto
Pgina 35
includos em ameaas de origem humana. Como exemplo desses tipos de ameaas, temos: sabotagens, armas ou agentes qumicos, ataque cracker. Motivaes Polticas: Muitas vezes uma empresa pode, dependendo de sua posio no mercado, sofrer ameaas de terroristas ou competio acirrada. Isso aumenta com a presena no mercado global, com os produtos que fabrica e com suas posies poltico-econmicas. Por exemplo, a empresa pode sofrer com ataques a bombas ou espionagem industrial, entre outros. A melhor forma de identificar nosso grau de exposio s diversas ameaas a segurana fsica atravs da realizao de uma anlise de riscos.
Pgina 36
9.2 REAS SEGURAS

Chamamos reas seguras todo o ambiente que suporta os ativos da organizao, incluindo o Datacenter. importante que o profissional de segurana da informao defina qual a rea que deve ser protegida e utilize como forma de proteo controles adequados organizao e ao ativo a ser protegido. Podemos considerar cada local (rea) a ser protegido como Site. Uma organizao pode ter vrias localidades (sites) e todos estes devem ser devidamente e individualmente protegidos. Uma vez que todos os sistemas esto interconectados, a sua segurana final ser to forte como a segurana de seu site menos seguro. Imagine por exemplo que sua empresa possui um servidor de servios de diretrio (como um domain controller do Windows) em uma localidade remota para que os usurios se autentiquem. Este servidor possui os mesmos dados que o servidor principal que se encontra em uma sala cofre com vigilncia 24 horas, e podemos dizer que a segurana fsica dos dados de seus usurios equivale segurana aplicada quele servidor da filial.
Pgina 37
9.2.1 PERMETRO DE SEGURANA FSICA
. reas exteriores das instalaes: use cercas, portes de acesso, monitoramento de entrada e sada; . Fronteiras (reas externas): use vigilncia armada e cmeras; . Entradas das instalaes: restries de acesso de entrada por janelas, portas e outros locais de acesso; . Andares e escritrios: use identificao de pessoas com crachs, e restries de acesso a reas de processamento de dados; . Locais de trabalho e processamento: use travas, racks, cadeados para equipamentos
O ambiente de segurana fsica disposto de forma a proteger a infra-estrutura do site contra roubo, destruio e acessos no autorizados, atravs da adoo de medidas e controles que garantam a proteo dos diversos ambientes internos organizao. Quando tratamos a proteo de permetro de segurana fsica, podemos estruturar o ambiente em diversas camadas, conforme a seguir: 1. reas exteriores das instalaes: Esta rea a que tem menos controle. Normalmente recomenda-se o uso de cercas, portes de acesso e monitorao de entrada do local at a rea sob domnio da organizao; 2. Fronteiras (reas externas): a rea sob responsabilidade da empresa, mas que no possuem ativos a serem protegidos. So normalmente estacionamentos, jardins e o uso de controles de vigilncia armada e cmeras de monitorao so suficientes; 3. Entradas das instalaes: Todos os locais de acesso, incluindo portas, janelas, escadas de incndio e outros que podem no ser to comuns mas que permitem acesso organizao. Devem ter controles que trate o acesso e identifique o acesso indevido a uma dessas entradas; 4. Andares e escritrios: reas de acesso aos locais onde possui dados sensveis. Todas as pessoas, incluindo funcionrios, terceiros e visitantes
Pgina 38
devem estar identificados, sendo que pelo menos os funcionrios e terceiros devem possuir identificao com foto. Os visitantes s podero ter acesso a reas de processamento e manipulao de dados acompanhados de funcionrio ou terceiro identificado, que seja responsvel pelo visitante. O Acesso a estas reas depender tambm de uma autorizao de acesso para o colaborador e seu convidado; 5. Locais de trabalho e processamento: So os recursos tecnolgicos propriamente ditos, que ficam dentro dos escritrios, incluindo computadores, fax, sistemas de comunicao, entre outros. Esses ativos devem ser protegidos contra o acesso indevido, alm de roubo dos mesmos. O uso de travas nos Racks dos servidores, bem como cadeado para desktops, notebooks e impressoras vem crescendo nas organizaes.
Pgina 39
9.2.2 CONTROLE DE ENTRADA FSICA

Uso de: . Funcionrios e terceiros sempre identificados atravz de crach com foto; . Visitantes devem ser identificados e acompanhados por um responsvel; . Controles adicionais em locais com informaes sensveis; . Reviso peridica dos controle de acesso.
Conforme visto anteriormente, todos os acessos devem ser controlados e protegidos. Como forma de controle de acesso s diversas reas da organizao devemos registrar quem est acessando e o que pode ser acessado. O acesso comea com a entrada na empresa. Funcionrios e terceiros devem estar sempre identificados com o uso de documento com fotos. O acesso de terceiros a reas seguras deve ser monitorado. Os visitantes devem tambm ser identificados e sempre acompanhados por uma pessoa responsvel da empresa, sempre que estiver em uma rea no pblica (exemplos de reas pblicas so recepes e salas de reunio). Mesmo em uma rea pblica pode-se encontrar diversas informaes sensveis em papis de rascunho, flip charts, etc. O acesso a reas que contenham informaes sensveis, como o datacenter, deve possuir controles adicionais, desde autorizao justificada, controles biomtricos, at monitorao e auditoria. Recomenda-se que os acessos sejam revisados periodicamente para verificar se acessos no mais utilizados ainda esto presentes, bem como remover acessos indevidos.
Pgina 40
9.2.3 SEGURANA EM ESCRITRIOS, SALAS E INSTALAES

Os escritrios, salas e instalaes so locais onde ocorrem atividades envolvendo a manipulao das informaes em diversas mdias. As informaes esto nas telas dos computadores, nos papis deixados nas impressoras ou em cima de uma mesa e at mesmo em rascunho ou em simpticos lembretes amarelos colados em lugares diversos. Nesses locais deve-se garantir que protees adicionais sejam implementadas a fim de evitar a identificao de quais locais ou que funcionrios esto envolvidos com esse tipo de atividade. Outra preocupao importante assegurar a sade e segurana das pessoas que trabalhem nas instalaes da empresa. Os colaboradores das empresas so valiosos ativos de informao.,e alm de garantir um ambiente saudvel a todos, a empresa deve garantir que nenhum sistema de proteo poder ser adotado se em algum momento ameaar a integridade de seus colaboradores. Isso fica mais claro quando vemos centros de pesquisas de uma nova tecnologia ou produto ou mesmo em bases militares aonde existe o planejamento estratgico. Todos os ativos de informao, incluindo pessoas so objetos de segurana fsica.
Pgina 41
9.2. 4 PROTEO CONTRA AMEAAS EXTERNAS E DO MEIO AMBIENTE

. Revise as instalaes eltricas e hidrulicas; . Evite material de fcil combusto nessas reas; . Se possvel use sala-cofre para proteo mxima; . Crie backups e armazene-os em local distante deste ambiente.
Conforme visto no item de ameaas, vrias so suas origens e vrios so os meios de ataque aos ativos de informao a serem protegidos. Recomenda-se que seja dada especial ateno ao ambiente fsico onde as informaes estaro armazenadas, de forma a evitar que ele seja afetado por esses tipos de ameaas. Para garantir esta proteo deve-se revisar periodicamente as instalaes eltricas e hidrulicas, evitar que material de fcil combusto fique prximo a reas protegidas,e garantir que os equipamentos de proteo como mangueiras e extintores de incndio estejam em local de fcil acesso e sejam revisados periodicamente. Deve-se dar especial importncia ao armazenamento de mdias de backup nestes locais. O correto que as mesmas sejam removidas periodicamente para reas distantes geograficamente e igualmente protegidas para que sejam resgatadas em caso de perda de parte ou de todo o site. Uma considerao importante a se fazer quanto ao local de armazenamento das mdias de backup que elas possuem o conjunto das informaes mais importantes para seu negcio e caso sejam interceptadas em seu transporte ou furtadas em seu local de armazenamento representam uma grande quebra de confidencialidade.
Pgina 42
9.2. 5 TRABALHANDO EM REAS SEGURAS
Datacenter
uivo Arquivo morto somente oal pessoal riza autorizado do
Como vimos as reas seguras devem ser protegidas ao mximo. A melhor forma de fazer isso utilizarmos o conceito de necessidade de conhecimento (Need to Know). Ambientes considerados seguros no devem ser identificados a fim de dificultar sua localizao por quem no autorizado para estar l. Somente aqueles que precisarem acess-lo devem conhecer sua localizao dentro da organizao e quais os mtodos de acesso e mecanismos de proteo dos mesmos. Na estruturao de um datacenter, devemos colocar a rea de operao em local separado dos equipamentos que esto processando os dados. No caso de uma visita essa primeira seria a nica a ser apresentada aos visitantes. Deve-se evitar e at proibir registros de imagens (fotos e filmes) destes locais. Manutenes em equipamentos, sistemas eltricos, sistema de refrigerao, ou qualquer outro sistema que suporte a operao da empresa s podero ser feitas aps a programao ser aprovada pelo responsvel por TI e com superviso ininterrupta de algum colaborador da empresa.
Pgina 43
9.2. 6 ACESSO DO PBLICO, REAS DE ENTREGA E DE CARREGAMENTO

O acesso a rea de entrega deve: . Materiais sejam inspecionados e registrados; . No dar acesso a outras reas; . Protegidas enquanto abertas; . Separar o que entra e o que sai. . Ser restrito a pessoal autorizado;
comum que a rea de carga e descarga de materiais esteja localizada prximo s reas seguras e o acesso e controle destas reas no seja to eficaz como o aplicado s reas seguras. A norma bem clara quanto ao cuidado especial que deve ser feito a este tipo de acesso s instalaes. O acesso das pessoas que esto levando o material deve ser feito em local protegido do acesso a rea interna da organizao e o material deve ser inspecionado, verificado e autorizado antes do mesmo ter sua entrada permitida. Em especial, recomenda-se que esta rea seja distante das reas consideradas seguras.
Pgina 44
9.3 SEGURANA DE EQUIPAMENTOS
9 4 6 5 3 10 2
1. Conduite de Telecomunicaes 2. Caixa de Telecomunicaes 3. Conduite de Facilidade de entrada 4. Facilidade de entrada de Telecomunicaes 5. Sala de equipamentos de Telecomunicaes
6. Backbone vertical 7. Sala de Telecomunicaes 8. Cabeamento horizontal 9. Backbone entre prdios 10. Facilidades de entrada eltrica
O permetro de segurana fsica termina na proteo dos equipamentos em si. Nesta parte, veremos com mais detalhes as protees aos equipamentos (ou ativos e informao) de Tecnologia da Informao.
Pgina 45
9.3.1 INSTALAO E PROTEO DO EQUIPAMENTO

Nos locais de instalao de equipamentos, deve-se observar: . Devem ser instalados em locais que dificultem a viso . Se possvel isolar equipamentos que requerem proteo especial . Instalados em locais com proteo fsica contra incndios, roubo, fumaa, gua, etc . Controlar uso de alimentos e cigarro . Monitorar temperatura e umidade . Proteo contra descarga eltrica
Assim como temos vrios controles lgicos de segurana (normalmente chamados Hardening ou fortalecimento) durante a implementao de equipamentos, tambm temos que nos preocupar com controles fsicos. Esses controles comeam com a disponibilizao do equipamento. Deve ser evitado que os dados que esto sendo manipulados sejam facilmente visualizados pelo pblico ou por transeuntes (mesmo que funcionrios identificados) e que os dados de armazenamento fiquem em locais protegidos. Os controles continuam com a disponibilizao de infra-estrutura eltrica, cabeamento, refrigerao, umidificao e todos aqueles que visem manter o ativo em perfeito funcionamento. Controles que vimos para proteo de reas seguras devem estar disponveis para proteger os equipamentos, como protees eltricas e hidrulicas. Adicionalmente deve se evitar o consumo de alimentos e fumo prximo aos equipamentos a ser protegidos. Este trabalho feito inicialmente pela poltica de segurana e reforado pela campanha de conscientizao. Para equipamentos que processem dados sensveis importante que tenham segurana fsica reforada, como alojar os mesmos em locais de difcil acesso e controlar esses acessos, atravs de identificao e auditorias.
Pgina 46
9.3. 2 UTILIDADES
Definio: sistemas que suportam a operao dos equipamentos. Deve-se inspecionar e proteger as instalaes contra interrupes de fornecimento de: . Energia eltrica (uso de no-breaks, geradores e linhas alternativas); . Suprimento de gua (o ar condicionado e sistemas de umidificao dependem da gua); . Ventilao e calefao.
Quando abordamos as ameaas vimos que muitas delas afetam as instalaes (facilities em ingls). Estas utilidades garantem a operao dos equipamentos atravs do fornecimento de energia e de outros componentes como fornecimento de gua (para refrigerao) e comunicao. O fornecimento de energia vital para a operao dos equipamentos, bem como para funcionamento de outras utilidades como ar-condicionado. A interrupo abrupta pode causar a perda dos dados que estavam sendo processados no momento da interrupo nos equipamentos de computao. Para garantir o fornecimento de energia deve-se fazer uso de sistemas de UPS (do ingls uninterruptible power supply ou suprimento ininterrupto de energia) por um perodo suficiente para continuar a operao at o desligamento normal dos equipamentos. Para equipamentos que no possam ficar parados, deve-se considerar o uso de geradores eltricos, que contemplem inclusive o sistema de refrigerao do datacenter. O fornecimento de gua tambm importante, pois abastece os sistemas de umidificao e refrigerao (ar-condicionado). O fornecimento de utilidades deve ser monitorado continuamente e o no fornecimento ou fornecimento inadequado deve ser alertado (pode se considerar o uso de alarmes).
Pgina 47
9.3. 3 SEGURANA DO CABEAMENTO
Proteja o cabeamento com: . Cabos externos subterrneos

7
. Afastando-o de interferncias eletromagnticas ou usando fibra ptica . Fazendo inspeo fsicas peridicas em busca de traps . Identifique os cabos . Crie documentao das conexes
6 10
9 4 5 3 2
1. Conduite de Telecomunicaes 2. Caixa de Telecomunicaes 3. Conduite de Facilidade de entrada 4. Facilidade de entrada de Telecomunicaes 5. Sala de equipamentos de Telecomunicaes
6. Backbone vertical 7. Sala de Telecomunicaes 8. Cabeamento horizontal 9. Backbone entre prdios 10. Facilidades de entrada eltrica
Tanto o fornecimento de energia quanto a comunicao dos dados (lembremos que hoje existem ambientes de tecnologia da informao distribudos e convergentes) so feitos normalmente atravs de cabos ou de comunicao em redes sem fio. Todo o cabeamento deve ser, portanto, protegido quanto a sua interrupo, devendo os mesmo passar por locais protegidos fisicamente e recomenda-se que cheguem ao datacenter pelo subterrneo, longe do conhecimento pblico. Os princpios de cabeamento estruturado exigem distncia entre os cabos lgicos (redes) e eltricos (energia) para evitar que o campo magntico do cabo eltrico afete a transmisso dos dados (nos caso dos cabos passarem por campos eltricos devese usar fibra tica que evita a interferncia eltrica). Deve-se dar especial ateno aos cabos de comunicao, para evitar que o mesmo no seja usado para interceptao no autorizada dos dados. Para tanto se deve fazer uso de passagens protegidas por canaletas e/ou condutes. Periodicamente deve-se fazer uma inspeo fsica para verificar se equipamentos espies (chamados de traps) foram colocados irregularmente devendo os mesmos ser removidos. Para complementar a segurana fsica e pode-se utilizar de alguns controles lgicos adicionais como o IPSec e a autenticao 802.1X, ambos nativos nos principais sistemas de redes atuais. Conhea mais em: http://www.microsoft.com/brasil/technet/Artigos/Seguranca/sm121504.mspx http://www.microsoft.com/brasil/security/guidance/topics/ipsec/default.mspx) http://www.microsoft.com/brasil/technet/artigos/Seguranca/AvisoSeguranca/303.aspx)
Pgina 48
9.3. 4 MANUTENO DOS EQUIPAMENTOS

. Devem ser peridicas e haver registros de execuo . Obedecer recomendaes de fabricantes . Feitas por pessoal autorizado . Falhas devem ser registradas
Como os equipamentos so mecnicos e esto sujeitos a uma srie de efeitos externos (como poeira, umidade, etc.) os mesmos devem sofrer reviso e manuteno preventiva periodicamente. Esta medida tem por finalidade a garantia de integridade e disponibilidade dos equipamentos. Como forma de controle de falhas, todas as ocorrncias devem ser registradas e casos repetidos devem ser tratados o mais breve possvel (normalmente atravs da substituio do componente falho). Deve-se tomar cuidado adicional com a manuteno de equipamentos que armazenem informaes sensveis de forma que os mesmos sejam manuseados por pessoas de confiana (ou monitorados em suas atividades), e ainda se assegurar que as informaes sensveis foram removidas dos equipamentos antes da manuteno.
Pgina 49
9.3. 5 SEGURANA DE EQUIPAMENTOS FORA DAS DEPENDNCIAS DA

ORGANIZAO
Deve haver: . Autorizao da gerncia . Proteo contra exposio eletromagntica . Transportados de maneira disfarada . Acessos remotos atravs de comunicao criptografada . Armazenagem de dados criptografada . Seguro dos equipamentos
A computao atual est cada vez mais porttil. Isso se reflete dentro e fora da empresa. Muitas vezes equipamentos so levados para reas de campo, em viagens a trabalho ou para as residncias dos colaboradores. Normalmente as posies de maior responsabilidade dentro da organizao fazem uso de equipamentos mveis, como notebooks. Essas pessoas so as que justamente tm acesso s informaes mais sensveis e as levam consigo em viagens e para suas residncias, onde muitas vezes acessam informaes da empresa remotamente. Nos locais de grande trfego de executivos (aeroportos o principal alvo) est crescendo o mercado de roubo de notebooks. Sendo assim recomendvel que eles sejam sempre levados em bagagens que no evidenciem o que est sendo transportado. Tambm se recomenda que estes equipamentos no sejam abertos em locais pblicos (isso deve constar na poltica de segurana e fazer parte do treinamento dos funcionrios e terceiros). Como soluo para mitigar o prejuzo com o roubo de equipamentos, deve-se considerar do ponto de vista fsico, o seguro desses ativos, e do ponto de vista lgico, a criptografia dos dados armazenados localmente (veja como criptografar dados no Windows XP em http://www.technetbrasil.com.br/Artigos/Seguranca/AvisoSeguranca/202.aspx ou ainda: http://www.microsoft.com/brasil/windowsxp/pro/usando/artigos/comp_cripto.mspx).
Pgina 50
Para os equipamentos de uso em campo se deve verificar com os fabricantes as especificaes tcnicas dos mesmos, principalmente relacionado resistncia contra campos eletromagnticos. Os trabalhos realizados em casa por funcionrios devem obedecer poltica de segurana (que pode usar conceitos como o de mesa limpa, que o de no deixar documentos visveis quando ausente do ambiente de trabalho, entre outros). Muitas vezes necessrio realizar acesso remoto para atividades de trabalho, que deve ser feito atravs de comunicao segura. Como forma de proteo nestas comunicaes, o uso de autenticao forte e IPSec em redes VPN hoje a melhor opo disponvel. Alm disso, o uso de recursos de quarentena que fazem inspees lgicas podem ser utilizados. Mais informaes neste documento de Liou Kuo Chin para a Rede Nacional de Ensino e Pesquisa (RNP): http://www.rnp.br/newsgen/9811/vpn.html.
Pgina 51
9.3. 6 REUTILIZAO E ALIENAO SEGURA DOS EQUIPAMENTOS
No descarte substituio ou recuperao de equipamentos: . Remova todos os dados sensveis . Destrua fisicamente em caso de descarte . Em caso de recuperao, avalie a necessidade real
Quando o equipamento fica obsoleto o mesmo precisa ser descartado. No entanto esse descarte deve ser feito com as preocupaes devidas dentro dos padres da segurana da informao. A principal a de remoo completa das informaes armazenadas em discos de armazenamentos. Atualmente uma srie de tcnicas para recuperao de dados, mesmo em discos defeituosos esto crescendo aceleradamente. Isso til quando no caso do famoso desastre de 11 de setembro de 2000, muitas informaes foram recuperadas, mas pode ser perigoso quando dados so recuperados com o intuito de usar a informao para fins ilcitos como espionagem industrial por exemplo. Dependendo do grau de sensibilidade dos dados, os dispositivos de armazenamento devem ser completamente destrudos de forma controlada. Outra situao no caso de falha de equipamentos. Deve ser avaliado se os eles sero recuperados ou substitudos. Nos casos de recuperao, essa deve seguir os mesmos passos usados na manuteno de equipamentos e nos casos de substituio, deve-se tomar os mesmos cuidados que temos para o descarte como vimos h pouco.
Pgina 52
9.3. 7 REMOO DE PROPRIEDADE
Deve ser feita: . Com autorizao especfica do proprietrio do ativo . Por tempo limitado . Registro de sada e devoluo . Identificao de quem autorizou
Identifique-se
Toda retirada de equipamento da organizao deve ser feita de forma controlada e protegida, evitando-se que equipamentos que contenham informaes sensveis sejam retirados da empresa sem a devida autorizao. Muitas vezes a entrada e sada de equipamentos dentro da empresa no so devidamente controladas ou por se tratar de pessoa conhecida, essa sada permitida. Para que os equipamentos possam sair da empresa devem possuir autorizao especfica que dever ser dada por pessoas claramente identificada e que essa identificao seja pblica. Como forma adicional de controle, pode-se estabelecer limites para perodo de sada de equipamentos alm do registro do mesmo ocorre a retirada dele e o seu retorno.
Pgina 53
Referncias:
1
Artigo publicado em http://www.infoguerra.com.br/infonews/talk/1027662193,47860,.shtml de autoria de F.F. Ramos.

2
Fontes, Edison. Segurana da Informao: O usurio faz a diferena!, Editora Saraiva, 2006, So Paulo, 173pp.
3
Fontes, Edison. Vivendo a Segurana da Informao. Editora Sicurezza, 2000, So Paulo, 207pp
Pgina 54

ISO17799 Modulo2

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

ISO17799 Modulo2

Caricato da

Copyright:

Formati disponibili

Entendendo e implementando a Norma NBR ISO/IEC 17799

Entendendo e implementando a Norma NBR ISO/IEC 17799

Apostila desenvolvida pelo Instituto Online em parceria com a Microsoft Informtica

Reviso 1.0 Abril de 2006

COMO USAR ESSE MATERIAL

LABORATRIO : TTULO AQUI

8.3 Encerramento ou mudana da contratao....................................................................................................30

9 SEGURANA FSICA DO AMBIENTE ................................................................................................................................32

7.1 RESPONSABILIDADE PELOS ATIVOS

7.1.1 INVENTRIO DOS ATIVOS

7.1.2 - PROPRIETRIO (GESTOR) DOS ATIVOS

7.1.3 USO ACEITVEL DOS ATIVOS

Regras para uso da informao

7.2 CLASSIFICAO DA INFORMAO

A Lista, Oswaldo Montenegro

7.2.1 RECOMENDAES PARA CLASSIFICAO DA INFORMAO

7.2.2 RTULOS E TRATAMENTO DA INFORMAO

. Sensveis . Confidenciais . Privadas . Proprietrias . Pblicas

Na tabela 1 vemos alguns exemplos de classificao de ativos.

Decreto Federal 4.553/2002 para administrao pblica

Classificao da informao comercial

Sensvel mas no Classificada (Sensitive but unclassified) No classificada (Unclassified)

QUAIS AS RESPONSABILIDADES DE CADA FUNCIONRIO E DE TERCEIROS PARA

8.0 SEGURANA EM RECURSOS HUMANOS

8.1 ANTES DA CONTRATAO

8.1.1 PAPIS E RESPONSABILIDADES

8.1.3 TERMOS E CONDIES DE CONTRATAO

8.2 DURANTE A CONTRATAO

8.2.1 RESPONSABILIDADE DA DIREO

8.2.2 CONSCIENTIZAO, EDUCAO E TREINAMENTO EM SEGURANA DA

8.2.3 PROCESSO DISCIPLINAR

8.3 ENCERRAMENTO OU MUDANA DA CONTRATAO

8.3.1 ENCERRAMENTO DE ATIVIDADES

8.3.2 DEVOLUO DE ATIVOS

8.3.3 RETIRADA DE DIREITOS DE ACESSO

9.1 INTRODUO A SEGURANA FSICA

Objetivo: Proteo ao ambiente onde esto os ativos.

9.1.1 AMEAAS A SEGURANA FSICA

9.2 REAS SEGURAS

9.2.1 PERMETRO DE SEGURANA FSICA

9.2.2 CONTROLE DE ENTRADA FSICA

9.2.3 SEGURANA EM ESCRITRIOS, SALAS E INSTALAES

9.2. 4 PROTEO CONTRA AMEAAS EXTERNAS E DO MEIO AMBIENTE

9.2. 5 TRABALHANDO EM REAS SEGURAS

uivo Arquivo morto somente oal pessoal riza autorizado do

9.2. 6 ACESSO DO PBLICO, REAS DE ENTREGA E DE CARREGAMENTO

9.3 SEGURANA DE EQUIPAMENTOS

9.3.1 INSTALAO E PROTEO DO EQUIPAMENTO

9.3. 3 SEGURANA DO CABEAMENTO

Proteja o cabeamento com: . Cabos externos subterrneos

9.3. 4 MANUTENO DOS EQUIPAMENTOS

9.3. 5 SEGURANA DE EQUIPAMENTOS FORA DAS DEPENDNCIAS DA

9.3. 6 REUTILIZAO E ALIENAO SEGURA DOS EQUIPAMENTOS

9.3. 7 REMOO DE PROPRIEDADE

Artigo publicado em http://www.infoguerra.com.br/infonews/talk/1027662193,47860,.shtml de autoria de F.F. Ramos.

Potrebbero piacerti anche