Jailson Évora ESI - Biblioteca digital da UniPiaget
Contents
1. cs Identifica o de Risco e Q ayay An lise de Risco a 1 O o w v TAA R SO PO seino P 2 P 2 P 2 z z MAUS q E a Avalia o de Risco E TA mume P zemi Q Figura 5 Etapas de G R AS NZS 4360 2004 adaptado AS NZS 4360 2004 3 7 3 Modelo segundo o IT Governance Institute COBIT 4 1 O IT Governance Institute com a publica o do Control Objectives for Information and related Technology COBITO 4 1 fornece boas pr ticas por meio de uma estrutura de processos dom nios e actividades de controle voltadas para a boa governa o nos servi os de TI 50 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos O modelo Cobit 4 1 apresenta as seguintes etapas Estabelecer a estrutura de gest o de riscos a estrutura para gerir os riscos de TI tem de estar alinhada com a estrutura de gest o de riscos da organiza o Estabelecer o contexto dos riscos s o desenvolvidas actividades para que o resultado da avalia o de riscos produza resultados apropriados Identificar os eventos s o identificados com as suas probabilidades e consequ ncias Avaliar os riscos ocorre a avalia o dos riscos identificados Responder aos riscos ocorre o tratamento dos riscos para evitar reduzir compartilhar ou aceitar OS riscos Manter e monitorar o plano de ac o dos riscos acontece a monitoriza o de todas as a2. A revis o deve incluir avalia o de oportunidades para melhoria da organiza o da PSI e abordagem de gest o de seguran a da informa o em resposta a mudan as no ambiente organizacional circunst ncias de neg cios condi es legais ou ambiente t cnico ainda segundo a norma ISO IEC 27002 2005 Continuando com as recomenda es da norma ISO IEC 27002 2005 a entrada para a revis o pela gest o deve incluir informa es sobre e Realimenta o das partes interessadas 63 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos e Os resultados de avalia es independentes Situa o das ac es preventivas e correctivas Resultados de an lises cr ticas anteriores Desempenho de processo e informa es sobre a conformidade pol tica de seguran a e Mudan as que possam afectar a abordagem da organiza o para a seguran a e Tend ncias relacionadas a amea as e vulnerabilidades Incidentes de seguran a reportados de informa o e Recomenda es fornecidas por autoridades relevantes A sa da da revis o pela gest o deve incluir quaisquer decis es e ac es relacionadas Melhoria da abordagem da organiza o para a seguran a da informa o e sua gest o processos Melhoria de objectivos de controlo e controles e Melhoria na aloca o de recursos e ou responsabilidades Um registo da an lise da gest o deve se
3. 0 0 K Manuten o insuficiente Instala o defeituosa de dispositivos de armazenamento Falta de uma rotina de substitui o peri dica Sensibilidade humidade poeira sujeira Sensibilidade radia o electromagn tica Inexist ncia de um invent rio peri dico de equipamentos Alguns bastidores sem protec es apenas fechados com pinos de seguran a de f cil remo o e outros sem partes lateral e frontal Pouca seguran a a n vel de acesso barreiras contra acesso f sico Facilidade de acesso n o autorizado aos Computadores instalados nas salas de inform tica Defici ncia em normas pol ticas e procedimentos de seguran a Acesso descontrolado Divis o Tecnol gica N o se respeita o prazo de vida dos Hardwares Inexist ncia de um controle eficiente de mudan a de configura o Sensibilidade a varia es de voltagem Sensibilidade a varia es de temperatura Armazenamento n o protegido adequadamente Falta de cuidado durante o descarte Realiza o de c pias n o controlada Uso inadequado ou sem os cuidados necess rios dos mecanismos de controlo do acesso f sico 115 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de k O X O X X X X X X Xx X X lt Riscos Localiza o em rea suscept vel a inunda es Fornecimento de energia inst vel Inexi
4. Inexist ncia de evid ncias que Rep dio de Ac es Pessoal interno comprovem o envio ou o recebimento de mensagens Linhas de Comunica o Sniffer na rede Hacker desprotegidas Roubo de dados Espionagem industrial Tr fego sens vel desprotegido Sniffer na rede Hacker Roubo de dados Espionagem industrial Tabela 10 Vulnerabilidades L gicas e amea as relacionadas 78 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos 5 2 1 2 Estimativa do Risco Tal como apresentado no Capitulo 3 Gest o de Riscos independentemente do modelo escolhido para a avalia o de risco deve se como parte do processo estimar os riscos ou seja identificar o n vel de exposi o do risco mediante a probabilidade de ocorr ncia das amea as relacionados as vulnerabilidades sendo multiplicado pelo impacto consequ ncia Foi utilizado o m todo qualitativo para estimar o risco pois entende se que a mais adequada fazendo face aos dados anteriormente recolhidos Sendo m todo nominal utilizou se a escala de medi o proposta pela norma Australiana Nova Zelandesa AS NZS 4360 2004 HB 436 2004 As escalas de Probabilidades e a das Consequ ncias impacto est o abaixo apresentados N vel Descritivo Defini o 5 Grave catastr fico A maioria dos objectivos n o pode ser atingida 4 Maior alto Alguns objectivos importantes n o podem ser atingidos 3 Moderado m
5. Consistente a pol tica de seguran a deve estar em conformidade com as leis vigentes Defini o de metas a pol tica de seguran a deve estabelecer expectativas espec ficas de seguran a ou seja meta Defini o de responsabilidades deve se definir os respons veis pela informa o e pela sua correcta utiliza o Defini o de penalidades a pol tica deve explicar a forma de puni o advert ncias e puni es Por sua vez Boavida et al 2000 entende que as principais regras para a defini o de uma boa pol tica de seguran a podem resumir se no seguinte 4 3 Ser facilmente acess vel a todos os membros da organiza o Definir os objectivos de seguran a Definir objectivamente todos os aspectos abordados Definir a posi o da organiza o em cada quest o Justificar as op es tomadas Definir as circunst ncias em que aplicada cada uma das regras Definir os pap is dos diversos agentes da organiza o Especificar as consequ ncias do n o comprimento das regras definidas Definir o n vel de privacidade garantido aos utilizadores Identificar os contactos para esclarecimento de quest es duvidosas Import ncia de uma pol tica de seguran a A norma ISO IEC 27002 2005 entende que objectivo de uma PSI fornecer orienta o e apoio a gest o de seguran a da informa o de acordo com requisitos de neg cio e as leis e regulamentos pertinentes 57 121 Desenvolvi
6. Equa o de risco adaptado Landoll 2011 33 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Por outro lado Casada et al 2003 apud Dantas 2011 apresenta uma equa o diferente para o risco representando o como o produto da frequ ncia quantidade de eventos em determinado per odo pela consequ ncia ou impacto do evento R Risco C Consequ ncia P Frequ ncia Ainda segundo Dantas 2011 para o c lculo baseado na combina o de eventos externos utiliza se a combina o da amea a com a vulnerabilidade podendo vir a ser representado por P T x V em que T amea a e V vulnerabilidade Um outro autor tem uma equa o diferente para o c lculo do risco S mola 2003 apud Dantas 2011 apresenta a seguinte equa o para o risco diferenciando se por acrescentar as medidas de seguran a que segundo ele devem ser consideradas na aferi o do risco R risco V vulnerabilidade x A amea a x I impacto M medidas de seguran a Apesar das mais diversas equa es poss veis para calcular o risco o importante compreende lo na sua forma alargada transpondo a clareza aos elementos vitais que influenciam na identifica o para uma melhor an lise Dantas 2011 Para al m deste ponto tamb m de import ncia a probabilidade de identificar a sua origem tornando poss vel a sua classifica o em categorias
7. No segundo cap tulo inicia a contextualiza o te rica ocupando se da quest o de conceitualiza o da seguran a da informa o classifica o da informa o pilares de um sistema seguro amea as vulnerabilidades e por fim de mecanismo de seguran a No terceiro cap tulo ocupa se do tema Gest o de Riscos definindo benef cios e factores cr ticos de sucesso modelo de gest o de riscos o processo de avalia o de riscos identifica o dos riscos an lise dos riscos avalia o dos riscos No quarto cap tulo apresenta se a tem tica da Pol tica de Seguran a da informa o Nesta perspectiva aborda se as caracter sticas de uma pol tica import ncia de uma pol tica modelos de seguran a tipos de pol ticas diagrama de conceito da PSI e formula o de PSI E por fim o quinto cap tulo dedica se apresenta o do estudo pr tico efectuado sobre o desenvolvimento de um modelo de pol tica de seguran a informa o na Uni Piaget onde caracteriza se as suas estruturas organiza es as infra estruturas das TIC s passando pela realiza o de uma Avalia o An lise de risco bem como os resultados chegados Por ltimo apresenta se as conclus es deste estudo sobre assuntos anteriormente levantadas na etapa introdut ria Como parte integrante deste trabalho monogr fico tende se ainda a bibliografia de apoio os ap ndices para um melhor esclarecimento dos dados 17 121 Desenvolvimento de um m
8. Tabela 11 Escala de consequ ncia adaptado AS NZS 4360 2004 HB 436 2004 19 Tabela 12 Escala de probabilidade adaptado AS NZS 4360 2004 HB 436 2004 19 Tabela 13 Matriz de Risco P vs I adaptado AS NZS 4360 2004 HB 436 2004 80 Tabela 14 N vel de Risco Identificados c ie erererereeereaeneerreerereeeaeneneteeeess 81 Tabela 15 Membros da Divis o Tecnol gica DT 2013 105 12 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Figuras Figura 1 Equa o de risco adaptado Landoll 2011 33 Figura 2 Diagrama de Ishikawa adaptado Dantas 2011 40 Figura 3 M todo OCTAVE adaptado Dantas 2011 e 41 Figura 5 Etapas de G R ISO IEC Guide 73 2002 adaptado ISO IEC Guide 73 2002 49 Figura 6 Etapas de G R AS NZS 4360 2004 adaptado AS NZS 4360 2004 50 Figura 7 Etapas G R BS 7799 3 2006 adaptado BS 7799 3 2006 53 Figura 8 Rela o dos objectivos de PSI adaptado Wadlow 2000 58 Figura 9 Diagrama de conceito dos componentes da pol tica adaptado Spanceski 2004 60 Figura 10 Modelo de Formula o de PSI adaptado Ferreira 1995 63 13 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Ges
9. 25 01 2013 Pol tica de Seguran a da Informa o Uri pdf dispon vel em lt wuw fw uri br Pol ticao20de 20Seguran a 20da 20nforma gt consultado em 22 01 2013 Pol tica de Seguran a da Informa o Instituto Mato Grosso do Sul pdf dispon vel em lt www ifins edu br wp 05 pol tica de seguran a da informa o pdf gt consultado em 16 01 2013 Pol tica de Seguran a da Informa o Senac pdf dispon vel em lt www sp senac br psi normas administrativas pdf gt consultado em 15 01 2013 Regulamento Disciplinar Uni Piaget dispon vel em lt http www unipiaget cv doc regdisciplinar pdf gt consultado em 28 01 2013 Request for Comments RFC 2196 dispon vel em lt www ietf org rfc rfc2196 txt gt consultado em 22 01 2013 114 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Anexo Riscos Lista de verifica o A elabora o da lista de verifica o foi baseada no anexo D da norma de boas pr tica seguran a da informa o NBR ISO IEC 27005 Para o seu preenchimento utilizou se m todos de procura de vulnerabilidade tais como teste ao sistema de informa o ferramentas de procura de vulnerabilidades avalia o testes de seguran a entre outros Vulnerabilidades f sicas O X XI X O X X Xx X X X X X X
10. 33 3 2 Origem e classifica o dos riscos s ssesssesessseesseessersseeessresseetssresseesseesseeesseressressesset 34 3 21 Riscos NAUTAS enne A E E A E 35 3 22 ARISCOS D O EAE OAS a E DS 35 3 2 3 Ri co intencionais operos ess esi pa ba e E E aa Egip 36 3 3 Benef cios e factores cr ticos de sucesso para a gest o de risco ssessssesssseesseessesese 36 3 3 1 Factores cr ticos dE SUCESSO nan na E pai a E NERA 37 3 3 2 Benef CIOS crater CRIE UR NR RS OR RS DRA SAR 37 3 4 Etapas da avalia o de riscos sesesseesseesseeessetesseesseesseessetesseeesseesseesseesseeessseessesseesset 38 3 5 AAAA ET E o E E E E EN AT Aa 43 ed M todos deanalise ss a ohen e E E E E EE GR O 43 3 6 M todo guantitatiy onsin a E a UA E E a 44 3 62 Metodo qualitativo scr en a a E ada 46 3 Modelos de sesto de risos sninen e a a AE E 48 3 7 1 Modelo segundo a norma ISO Guide 73 2002 rea 48 3 7 2 Modelo segundo a norma AS NZS 4360 2004 een 49 3 7 3 Modelo segundo o IT Governance Institute COBIT 4 1 50 3 7 4 Modelo segundo a norma ISO 27005 2008 e reerenaa 51 3 7 5 Modelo segundo a norma BS 7799 3 2006 nn reeeeeenaa 52 Cap tulo 4 Pol tica de Seguran a da Informa o eee 54 4 1 Pol ticas de Seguran a da Informa o ss smsntgauats Ilan auabigada porag o detngaesao Tahen panela dada ah sda 55 4 2 Caracter sticas de uma pol tica as ansi
11. 7 1 Pol tica de utiliza o de Impressora s nsseesseesseessesesseessseesseesseesseresseee 97 o PoP CRP EA E E E E da 97 Aid Poltica deb ck p cretini oaa E 98 DDD Virus E MalWafe eicecien ninina ini 99 5 3 5 9 1 Pol tica de v rus e c digo malicioso sesessseesseessesseessseesseesseesseessee 100 5 3 0 _Pol iti c s d Seguranca PiSiCa a cassinos ada a E RE E pad 100 5 36 Controlo de aCesSOisinissssisiesniasissin tessi nia enki ia sni aia 100 5 3 6 1 1 Pol tica de controlo de acesso sssesssessseeeesseesseesseesseeesseeesseesseesseessee 101 5 3 6 2 Mesa limpa e Bloqueio de ecr clear desk and lock screen 101 5 3 6 2 1 Pol tica de mesa limpa e bloqueio de ecr 101 5 3 6 3 Utiliza o de laborat rios de inform tica i 102 5 3 6 3 1 Pol tica de utiliza o de laborat rios de inform tica 102 10 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos 537 Ambito Socialan e a ra Da 104 5 3 7 1 Continuidade dos neg cios ss sssessessesssesessettsstesseesseesseeesseeesseessresseessee 104 5 3 7 1 1 Membros da Divis o Tecnol gica sesseeesssesseesseessesesseessseesseesseessee 105 5 58 Termo de Concord ncia sata erolia ssitasisa iatanaisadaa do peqata died aaa Rad aca a oe tdta add 105 5 3 9 Verifica o da utiliza o da pol tica saes
12. Erros humanos Degrada o de materiais provocados Fraude Erro durante a utiliza o Erro durante a utiliza o Erro durante a utiliza o Processamento ilegal dos dados Furto de dispositivos e ou documentos Uso n o autorizado de equipamentos Abuso de direitos 72 121 Riscos industrial Pessoal interno Pessoal interno Hacker Criminoso digital Espionagem industrial Pessoal interno Hacker Criminoso digital Pessoal interno Pessoal interno Hacker Criminoso digital Pessoal interno Hacker Pessoal interno Pessoal interno Hacker Criminoso digital Espionagem industrial Hacker Pessoal interno Hacker Pessoal interno Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de de utilizadores Inexist ncia de processo formal para a an lise cr tica dos direitos de acesso supervis o Provis es relativas seguran a insuficientes ou inexistentes em contratos com clientes e ou terceiros Inexist ncia de auditorias peri dicas supervis o Inexist ncia de procedimentos para a identifica o e an lise avalia o de riscos Inexist ncia de relatos de falha nos arquivos logs de auditoria das actividades de administradores e operadores Inexist ncia de um processo formal para a autoriza o das informa es dispon veis publicamente Inexist ncia de um plano formal de continuidade Inexis
13. Processo refere se a protec o dos dados como esta a ser usada pelo sistema ou aplica o Em Repouso foca se na protec o dos dados no local do armazenamento Tipicamente o controle para este estado inclui Controlo de Acesso Criptografia e a Protec o F sica No entender de Wheeler 2011 cada estado que os dados possam tomar h uma lista de amea as a informa o Descrevendo os em quatro categorias principais sendo que os tr s primeiros mapeiam em Confidencialidade Integridade e Disponibilidade e a quarta pertencente a Responsabilidade Divulga o n o autorizada como uma viola o de dados Corrup o tais como uma modifica o acidental de um registo de dados Nega o de servi o tal como um ataque que faz com que uma indisponibilidade de recurso 25 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos e Dispon vel para provar a Origem de um Ataque tais como o uso de uma conta partilhada para realizar uma actividade n o autorizada Wheeler 2011 define amea as no contexto da seguran a da informa o como sendo a fonte dos ataques e tamb m a actividade ou meios do ataque Normalmente considera a fonte de amea as o potencial de prejudicar o recurso enquanto que a actividade no seu entender a maneira pela qual vai ser prejudicado Ainda segundo Wheeler 2011 qualquer amea a a seguran a da informa o enquadr
14. Seguran a da Informa o em linha dispon vel em lt www mlaureano org aulas material gst apostila versao 20 pdf gt consultado 28 05 2012 113 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos NBR ISO IEC 27001 dispon vel em lt http www vazzi com br moodle pluginfile php 135 mod resource content 1 ISO IEC 27001 pdf gt consultado em 06 09 2012 NBR ISO IEC 27002 dispon vel em lt http freepdfdb com pdf nbr iso 27002 gt consultado em 03 09 2012 NBR ISO IEC 27005 dispon vel em lt http www brunomoraes com br governanca em ti wp content uploads 2010 11 NBR ISO027005 ConsultaABNTI pdf gt consultado em 04 09 2012 Pol ticas Modelos e Mecanismos de Seguran a s d dispon vel em lt www catalao ufg br gt consultado em 05 09 2012 Pol ticas de Seguran a s d dispon vel em lt penta ufrgs br gt consultado em 03 09 2012 Pol tica de Seguran a da Informa o Directrizes Gerais s d dispon vel em lt www2 ati pe gov br gt consultado em 03 09 2012 Pol tica de Seguran a da Informa o Unicamp pdf dispon vel em lt www gastrocentro unicamp br download politica pdf gt consultado em 15 01 2013 Pol tica de seguran a e utiliza o dos recursos de rede e computacionais dos laborat rios LCI e LEA pdf dispon vel em lt www inffurb br info Politica Seguranca pdf gt consultado em
15. Todas essas entidades devem participar no processo de implementa o de seguran a Por ser verde o desenvolvimento do presente modelo de PSI levou em considera o esse aspecto Como fonte bibliogr fica utilizado na realiza o deste modelo de PSI tivemos e A norma ISO IEC 27001 2005 ISO IEC 27002 2005 e Documentos e informa es disponibilizados pela divis o tecnol gica e Al m de diversos modelos de Pol tica de Seguran a da Informa o tamb m consultados De real ar que a institui o em causa n o possui nenhuma Pol tica de Seguran a da Informa o implementada no ceio da organiza o 5 1 Organiza o A Universidade Jean Piaget de Cabo Verde um estabelecimento de ensino superior criado pelo Instituto Piaget e tem como miss o contribuir para a forma o dos recursos humanos em Cabo Verde bem como para o desenvolvimento de compet ncias locais imprescind veis para o desenvolvimento do pa s Hoje a Universidade acolhe cerca de 2000 alunos afectos aos 16 dos 26 cursos homologados O n mero de docentes ronda os 380 repartidos por v rios regimes de contrata o e graus acad micos 67 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos 5 1 1 rg os de governo da Universidade A Uni Piaget constitui se como uma estrutura acad mica e administrativa Ela est sujeita a um sistema misto de governo que re ne as responsabilid
16. a a maneira em que as vari veis de decis o s o determinados ou calculados sendo estes incluem pelo menos os seguintes aspectos Valor do activo Probabilidade de que uma vulnerabilidade seja explorada e Gravidade do impacto 3 6 1 M todo quantitativo Na perspectiva de Wheeler 2011 abordagens de an lise quantitativa incidem sobre n meros concretos e c lculos para determinar a exposi o ao risco Muitas f rmulas t m sido propostas incluindo e Sensibilidade x Impacto x Probabilidade Exposi o de Risco e Taxa de Exposi o Impacto x Amea as Wheeler 2011 afirma que pesquisadores t m at mesmo f rmulas que inclui seis vari veis e Vulnerabilidade e Popularidade e Exposi o e Amea as e Valor dos activos e Sistema Ainda segundo Wheeler 2011 h muitos factores a considerar quando se quer medir o risco Ele define o pr ximo exemplo como sendo um dos c lculos mais comum na medi o dos riscos Expectativa de Perda nica x Taxa Anual de Ocorr ncia Expectativa de Perda Anual A f rmula calcula a expectativa de perda anual com base em uma expectativa de perda nica e Taxa Anual de Ocorr ncia 44 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Por sua vez Landoll 2011 define a an lise quantitativa como uma abordagem que se baseia em f rmulas e c lculos espec ficos para determinar o valor das vari veis de de
17. a Gest o de 2 3 Riscos Amea as e Vulnerabilidades Podemos definir a amea a como sendo um evento com um impacto indesejado que pode resultar na perda dano divulga o de um activo organizacional Landoll 2011 define uma lista parcial de amea as Erros e Omiss es erros por funcion rios autorizados utilizadores desenvolvedores e profissional de teste que podem levar a falta de dados e de integridade do sistema e mesmo a divulga o de informa es confidenciais Fraude e Roubo acto de fraudar activos institucionais pondo em causa as caracter sticas de um sistema seguro Sabotagem funcion rios autorizados podem utilizar a confian a depositada para sabotar a institui o pode incluir dano f sico destrui o de processos exclus o de dados ou perda de integridade de dados Perda do suporte f sico e da infra estrutura amea a de varias origem que incluem falhas de energia tempestades de inverno greves e ataques terroristas Espionagem acto de adquirir roubar dados alheios para o prop sito de ajudar outra 2 organiza o Espionagem realizada por governos estrangeiros e organiza es competitivas C digo Malicioso aplicativos maliciosos pode ser um v rus cavalos de Tr ia Worms bombas l gicas Divulga o perda de confidencialidade da informa o 2 Um agente de amea a a entidade que pode causar uma amea a acontecer Amea as e agentes de amea a est o int
18. a norma mais completa nos dias que correm tal acontece tamb m com a norma 107 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos utilizada para a realiza o do modelo de PSI a norma ISO IEC 27001 2005 ISO IEC 27002 2005 Sendo assim ignorar os riscos n o os faz deixar de existir A informa o um activo da organiza o cuja seguran a deve fazer parte de sua gest o Pode se dizer que cada vez mais as organiza es est o dependentes da informa o muitas vezes esquecem que tamb m os equipamentos podem estar sujeitos a falhas devendo esses equipamentos serem levados em considera o no plano de continuidade dos neg cios Aspectos cruciais tais como o valor da informa o a competitividade da empresa o alinhamento estrat gico dir o na ntegra a justificativa ou n o do investimento em SI Tal como Dantas 2011 a gest o de riscos um processo que comporta um conjunto de actividades voltadas para o controle dos riscos Sendo assim a gest o de riscos assenta em fazer com que os riscos n o venham a superar aqueles que a Alta administra o esteja sujeita a suportar Esses riscos dependem do contexto envolvendo uma vasta gama de entidades processos e tecnologia Dantas 2011 entende que em um cen rio de incertezas as amea as e oportunidades t m o potencial de produzir perdas ou aumentar os ganhos onde os resultados positivos s o obt
19. a ocorr ncia dos eventos Caminhando para o final do cap tulo de grande import ncia retratar os m todos utilizados na avalia o dos riscos m todos que englobam o quantitativo e o qualitativo M todos destintos de avaliar os recursos no processo de avalia o de risco sendo cada uma com sua import ncia A Finalizar o cap tulo importante real ar os modelos ess ncias utilizados no processo de gest o de riscos Segundo diversas normas tais como a ISO IEC a AS NZS o IT Governance Institute passando pelo British Standard todas elas com modelos espec ficos 3 1 Conceito do risco Dantas 2011 define o risco como sendo algo que cria oportunidades ou produz riscos Em rela o seguran a os riscos s o compreendidos como condi es que criam ou aumentam o potencial de danos e perdas V rios conceitos e defini es podem ser encontrados para a defini o dos riscos A norma AS NZS 4360 2004 define risco como a chance de acontecer algo que vai ter um impacto sobre os objectivos considerando que os riscos podem ter impacto negativo ou positivo Por sua vez Wheeler 2011 define o risco aplicado a seguran a da informa o como sendo a expectativa da perda da confidencialidade integridade disponibilidade e responsabilidade da informa o 32 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Ainda segundo Jack Jones apud Wheele
20. acordo com as necessidades do organismo por exemplo uma situa o simples requer uma solu o SGSI simples ISSO IEC 27001 2005 52 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de l usula 5 Avalia o de Risco Cl usula 6 Tratamento de Riscos e gest o de tomada de decis o Acessar e avaliar os riscos Selecionar implementar e operar controlos para tratar os riscos Riscos Cl usula 7 Actividades de Manter e Gest o de Risco em curso melhorar os controlos de Risco Monitorar e rever os riscos Cl usula 7 Actividades de Gest o de Risco em curso Figura 6 Etapas G R BS 7799 3 2006 adaptado BS 7799 3 2006 53 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Cap tulo 4 Pol tica de Seguran a da Informa o A abordagem desse cap tulo inicia pela defini o do conceito de pol tica de seguran a da informa o e o prop sito da mesma Entendido o conceito da PSI igualmente importante retratar as caracter sticas que a mesma deve possuir baseado na vis o de dois autores diferentes Siewert s d e Boavida 2000 Como todo objecto de estudo deve se entender a import ncia da mesma sendo verdade encontra se diversos pontos de vista em rela o a import ncia de uma PSI Conhecendo a import ncia de uma PSI resta tamb m descrever os tipos de po
21. amea as seguran a da informa o e escolha e a utiliza o do m todo de an lise dos riscos e Os crit rios de par metro para a classifica o dos riscos e as medidas de tratamento e A implementa o das medidas para o tratamento dos riscos O controlo e a monitoriza o constante do processo 3 3 2 Benef cios A norma HB 436 2004 associada a AS NZS 4360 2004 entende que os princ pios fundamentais da gest o de risco s o de natureza gen rica e em grande parte independente de qualquer tipo individual de estrutura organizacional apresentando os seguintes benef cios da gest o de riscos Poucas surpresas e Explora o de oportunidades 37 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Melhora o planeamento desempenho e efic cia e Economia e efici ncia e Melhora o relacionamento com stakeholder e Melhora informa o para a tomada de decis o e Melhora a reputa o e Protec o dos directores e Responsabilidade garantia e governa o Bem estar pessoal 3 4 Etapas da avalia o de riscos As etapas da avalia o de riscos variam de acordo com o modelo escolhido As normas ISO IEC Guide 73 e BSI 7799 3 2005 estabelecem duas etapas para a avalia o de riscos a an lise do risco e a avalia o do risco risk evaluation J a norma AS NZS 4360 2004 apresenta 3 etapas para a avalia o de riscos id
22. ao se deixar uma esta o de trabalho desassistida Descarte ou reutiliza o de dispositivos de armazenamento sem a execu o dos procedimentos apropriados de remo o dos dados Inexist ncia de auditoria 116 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de X X O k O 0 g X X X k 0 dl X X X k o g X X X E g Riscos Atribui o errada de direitos de acesso Software amplamente distribu do Utilizar programas aplicativos com um conjunto errado de dados referentes a um outro per odo Interface de utilizador complicada Documenta o inexistente Configura o de par metros incorrecta Datas incorrectas Inexist ncia de mecanismos de autentica o e identifica o como por exemplo para a autentica o de utilizadores Tabelas de palavra passe desprotegidas Gest o de palavra passe mal feito Servi os desnecess rios permanecem habilitados Software novo ou imaturo Especifica es confusas ou incompletas para os desenvolvedores Inexist ncia de um controle eficaz de mudan a Inexist ncia de uma pol tica anti fraude Antenas de transmiss o de rede telem vel dentro do espa o da Universidade que podem fazer grande interfer ncia nos sistemas inform ticos Uso n o controlado de software Inexist ncia de c pias de seguran a I
23. ao sistema de outros autentica o ao sistema que podem utilizadores desencadear ac es Venda ou destrui o de informa es criticas por parte de funcion rios mal intencionados Utilizadores deixam suas sec es Erros humanos Espionagem por parte Hacker nas suas contas abertas da concorr ncia Espionagem 71 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Falta de sensibiliza o da parte da alta direc o da Universidade sobre quest es relativas seguran a da informa o Funcion rios mal informados e pouco sensibilizados relativamente a quest es de seguran a Pouca responsabiliza o por parte dos utilizadores do sistema em termos do uso do sistema de informa o Inexist ncia de um acordo de confidencialidade celebrado entre a organiza o e o funcion rio Treinamento insuficiente em seguran a Uso incorrecto de software e hardware Falta de conscientiza o em seguran a Inexist ncia de mecanismos de monitoriza o Trabalho n o supervisionado de pessoal de limpeza ou de terceiriza es Inexist ncia de pol ticas para o uso correto de meios de telecomunica o e de troca de mensagens Inexist ncia de um procedimento formal para o registo e a remo o Venda ou destrui o de informa es criticas por parte de funcion rios mal intencionados Greve de pessoal inform tico Engenharia Social
24. contas passando pela autentica o a utiliza o do correio electr nico o acesso a internet a utiliza o da rede da institui o as estac es de trabalho a utiliza o de impressora a realiza o de backups e a preven o contra os v rus e malware Na sec o seguran a f sica elaborou se politicas e procedimentos que devem ser seguidos no controlo de acesso nas pol ticas de mesa limpa e bloqueio de ecr utiliza o dos laborat rios de inform tica Finalizando tenta se conscientizar os intervenientes sobre a utiliza o da engenharia social por pessoas mal intencionadas para conseguir informa es importantes da institui o Tamb m tenta se conscientizar a import ncia que todos os intervenientes do processo de implementa o de seguran a possuem na colabora o com a equipa de seguran a de forma a garantir a continuidade dos neg cios e que a seguran a da informa o seja algo que aplicado de forma horizontal e consistente 5 3 1 Objectivos Garantir a seguran a da informa o tem sido um dos assuntos que mais preocupa es t m trazido para as institui es A confidencialidade integridade disponibilidade e responsabilidade da informa o est o intimamente ligados seguran a O documento actual estabelece um conjunto de normas instru es e procedimentos com o objectivo de normalizar e melhorar a actua o dos intervenientes na preserva o dos activos institucionais ao que se re
25. de nega o de servi o uma tentativa de fazer um recurso de m quina ou rede ficar indispon vel para seus utilizadores DNS Domain Name System sistema de gest o de nomes hier rquico e distribu do operando segundo duas defini es examinar e actualizar a base de dados resolver nomes de dom nios em endere os de rede IP Firewall baseado em software ou hardware usado para ajudar a manter uma rede segura For a bruta algoritmo trivial mas de uso muito geral que consiste em enumerar todos os poss veis candidatos de uma solu o e verificar se cada um satisfaz o problema Gateway ou ponte de liga o m quina intermedi ria geralmente destinada a interligar redes separar dom nios de colis o ou mesmo traduzir protocolos GR Gest o de Riscos de Seguran a da Informa o HB Handbook Risk Management Guidelines Companion to AS NZS 4360 2004 ou manual de Gest o de Riscos ISMS Information Security Management System ou Sistema de Gest o de Seguran a da Informa o ISO IEC norma de seguran a da informa o publicada pela Organiza o Internacional de Normaliza o ISO e pela International Electro technical Commission IEC IP Internet Protocol sequ ncia de n meros composta de 32 bits que consiste em um conjunto de quatro sequ ncias de 8 bits IT Governance Institute Cobit Control Objectives for Information and related Technology Ldap Lightweight Directory Access Protocol p
26. de seguran a f sica para a constru o de uma organiza o inclui uma an lise dos riscos naturais e humanos 3 2 2 Riscos n o intencionais Dantas 2011 afirma que a identifica o da sua origem tem rela o directa com as vulnerabilidades humanas f sicas de hardware de software Ainda segundo Dantas 2011 alguns factores devem ser considerados em rela o aos riscos involunt rios tais como Falha nos equipamentos de preven o e detec o e Descuido no cumprimento de normas para guarda transporte e manuseio de material inflam vel e Material de f cil combust o empregado na constru o 35 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Equipamentos ligados 24 horas Aus ncia de treinamento em medidas contingenciais Inexist ncia de processos de qualidade Inexist ncia de controlos internos Inexist ncia de programa de capacita o continuada Cultura organizacional 3 2 3 Riscos intencionais Dantas 2011 descreve alguns factores que devem ser considerados em rela o aos riscos intencionais tais como 3 3 Situa o do sistema de controlo interna Atractividade do produto e sua f cil recepta o no mercado paralelo rea em que a empresa est instalada sujeita a eventos da natureza de propor es catastr ficas Situa o da criminalidade na regi o em que a empresa est instalada Sensa
27. dio Alguns objectivos atingidos 2 Menor baixo Efeitos secund rios que s o facilmente corrigidas 1 Negligenci vel insignificante Impacto insignificante sobre os objectivos Tabela 11 Escala de consequ ncia adaptado AS NZS 4360 2004 HB 436 2004 N vel Descritivo Descri o Frequ ncia prevista A Quase certo O evento ir ocorrer em uma base anual Uma vez por ano ou mais frequente B Prov vel O evento ocorreu v rias vezes ou mais em sua uma vez a cada 3 anos carreira C Poss vel O evento pode ocorrer uma vez em sua carreira Uma vez em cada 10 anos D Improv vel O evento ocorre algures ao longo do tempo Uma vez em cada 30 anos E Raro remota Ouviu falar de algo parecido com o que ocorre em Uma vez em cada 100 anos outros lugares F Muito raro Nunca ouviste falar disso acontecer Uma vez em cada 1000 anos G Inacredit vel Teoricamente poss vel mas n o se espera que Uma vez em cada 10 000 anos ocorra Tabela 12 Escala de probabilidade adaptado AS NZS 4360 2004 HB 436 2004 79 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Estando as probabilidades e consegu ncias com escalas pr prias de medi o depara se com a necessidade de utilizar uma matriz de risco capaz de calcular o n vel de cada risco Para isso utilizou se tamb m como referencia a matriz de determina o do n vel de risco da norma AS NZS 4360 2004 HB 436 2004 Probabilidade Cons
28. do BI Utilizador Funcion rio Entende se por utilizador Funcion rio empregados da Universidade que exercem actividades t cnico administrativas Permiss es e Acesso a rede interna e Internet e Acesso apenas a seus documentos de utilizador em unidade local ou remota 87 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos e Acesso a documentos do sector em unidade local ou remota e Acesso e utiliza o de aplicativos e softwares instalados A cria o altera o e desativa o do utilizador Funcion rio de inteira responsabilidade da divis o tecnol gica A altera o de palavra passe ser realizada pessoalmente na divis o tecnol gica mediante apresenta o do BI Utilizador Aluno Entende se por utilizador Aluno todos os alunos regularmente matriculados na Universidade Permiss es e Acesso a rede interna e Internet e Acesso apenas a seus documentos de utilizador em unidade local ou remota e Acesso e utiliza o de aplicativos e softwares instalados A cria o altera o e desativa o do utilizador Aluno de inteira responsabilidade da divis o tecnol gica A altera o de palavra passe ser realizada pessoalmente na divis o tecnol gica mediante apresenta o do cart o de estudante ou BI Utilizador de Projecto Colaborador Entende se por utilizador Projecto colaborador todos os terceiros ou vigentes em progra
29. duos previamente definidos A sua divulga o pode levar a perdas financeiras instabilidade operacional da organiza o at a perda da confiabilidade perante os clientes na perspectiva de Laureano 2005 19 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos O acesso n o autorizado h estas informa es podem causar danos financeiros ou perdas de fatia de mercado para o concorrente entende Spanceski 2004 2 1 3 Interna Segundo Laureano 2005 essas informa es s devem ser divulgadas dentro das empresas Apesar do seu conte do n o ser vital para a organiza o pertinente preservar a sua integridade 2 1 4 P blicas Laureano 2005 define como sendo divulgadas dentro e fora das empresas sem consequ ncias danosa e cuja integridade n o vital para a informa o Por sua vez Spanceski 2004 entende que podem ser divulgadas para o p blico em geral incluindo clientes fornecedores imprensa e n o possuem restri es para divulga o 2 2 Pilares de Sistema Seguro Segundo o modelo original um sistema seguro deve garantir para a informa o tr s caracter sticas fundamentais a confidencialidade a integridade e a disponibilidade Esses devem ser preservados pois s o os pilares de sistemas seguro Preserva o da confidencialidade da integridade e da disponibilidade da informa o adicionalmente outras propriedades
30. equipa de TIC Desenvolvem adquirem e mant m as aplica es para garantir a seguran a 10 Existe alguma pol tica de seguran a sendo utilizada 11 Como feita a manuten o dos computadores servidores 120 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos 12 Caso n o exista uma PSI implementada quais dos seguintes itens abaixo interessa no desenvolvimento de uma PSI para a Uni Piaget que abrangesse a realidade actual da institui o Seguran a L gica x Utiliza o de Rede x Administra o de Contas x Utiliza o de E mail x acesso de internet x Uso de Impressoras x Uso de estac o de trabalhos x V rus e c digos maliciosos x uso de Notebook dispositivos m veis utiliza o de softwares x Uso de Intranet acesso remoto x Senhas x Backups outros que acharem pertinentes Outros Seguran a F sica x Controle de acesso x Mesa Limpa e Blg De Ecr x Utiliza o de laborat rios de Inf e salas de projec o outros que acharem pertinentes Outros Seguran a dos RH x Continuidade de neg cios disponibilizar contactos da equipa de seguran a x social cair na Eng Social outros que acharem pertinentes Outros 121 121
31. es pessoais f ceis de serem obtidas como o n mero de telefone nome da rua nome do bairro cidade data de nascimento etc e N o utilize palavra passe somente com d gitos ou com letras Utilize palavra passe com pelo menos oito caracteres e Misture caracteres mai sculos e min sculos Misture n meros letras e caracteres especiais e Inclua pelo menos um car cter especial Utilize um m todo pr prio para lembrar da palavra passe de modo que ela n o precise ser escrita em nenhum local em hip tese alguma N o anote sua palavra passe em papel ou em outros meios de registo de f cil acesso e N o utilize o nome do utilizador 89 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos N o utilize o primeiro nome o nome do meio ou o sobrenome N o utilize nomes de pessoas pr ximas como da esposa o dos filhos de amigos e N o utilize palavra passe com repeti o do mesmo d gito ou da mesma letra N o forne a sua palavra passe para ningu m por raz o alguma e Utilize palavra passe que podem ser digitadas rapidamente sem a necessidade de olhar para o teclado As palavras passe para os servi os disponibilizadas pela universidade devem ser sigilosas individuais e intransfer veis n o podendo ser divulgadas em nenhuma hip tese Ela deve ser redefinida pelo menos a cada dois meses 5 3 5 3 Correio electr nico A grand
32. o de forma o por encomenda 68 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Gabinete de Comunica o e Imagem GCI Promove a comunica o interna e externa divulga a Universidade e suas actividades com os meios de comunica o Departamento de Interc mbio e Forma o Avan ada DIFA Promove a investiga o cient fica e a forma o p s graduada Divis o Tecnol gica DT Assegura o funcionamento e a gest o de toda a infra estrutura das tecnologias de informa o e comunica o Constitu da por 3 sec es e Suporte garante a assist ncia t cnica aos utilizadores Desenvolvimento respons vel pelos softwares de gest o e pelo desenvolvimento de pequenas aplica es e Sistema garante o funcionamento normal dos servidores e da rede multim dia da Universidade 5 1 3 Infra estruturas das Tecnologias de informa o Em rela o a infra estruturas das TIC s a universidade est servida por um total de 278 computadores de mesa 17 impressoras 42 switch e 19 servidores distribu dos num total de 37 unidades organizacionais Em termos de liga o a Internet a universidade possui 4 linhas ADSL com uma largura de banda de 12 MB cada Os campus da universidade disp em de servi o de rede wireless a toda comunidade universit ria A universidade tamb m est dotada de ERPs tais como a Primavera Bibliosade e So
33. operativos Bibliosade Procedimentos de autentica o Procedimentos de C pias de Seguran a 70 121 Alunos T cnicos da divis o tecnol gico Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Bastidores Computadores Servidores Routers Switch s UPS Dispositivos de c pias seguran a Documenta o e historial de alunos Documenta o da rede Documentos financeiros Contabil sticos e administrativos Tabela 7 Recursos Activos Identificados Depois de identificar os recursos activos foram identificados as vulnerabilidades de acordo com as classes definidas e suas amea as relacionadas No processo de identifica o das vulnerabilidades foram utilizados m todos tais como lista de verifica o teste ao sistema de informa o ferramentas de procura de vulnerabilidades avalia o e testes de seguran a As vulnerabilidades encontradas est o representadas nas tabelas que se seguem sendo cada vulnerabilidade relacionado com as suas amea as os agentes de amea as e a origem dessas amea as Os caracteres LN A nas colunas de origem representam N origem natural I origem intencional A origem n o intencional Vulnerabilidades de RH Amea as Agentes de Origem Organiza o amea as Muitos utilizadores t m Ex funcion rios ex colaboradores ou Pessoal interno conhecimentos dos c digos de ex alunos com credenciais de acesso
34. para determinar o n vel de protec o das suas informa es de maneira que a seguran a seja resguarda O objectivo da Classifica o da Informa o assegurar que os activos da informa o recebam um n vel adequado de protec o A informa o deve ser classificada para indicar a import ncia a prioridade e o n vel de protec o A informa o possui v rios n veis de sensibilidade e criticidade Alguns itens podem necessitar um n vel adicional de protec o ou tratamento especial Um sistema de classifica o da informa o deve ser usado para definir um conjunto apropriado de n veis de protec o e determinar a necessidade de medidas especiais de tratamento segundo a descri o do item 5 2 da NBR ISO 17799 apud Spanceski 2004 Actualmente a divis o da informa o feita em quatro n veis diferentes secreta confidencial interna e p blica segundo Dias 2000 apud Spanceski 2004 2 1 1 Secreta Entende se por informa es secretas aquelas que uma vez divulgadas colocam em risco os neg cios da organiza o ou seja informa es cr ticas cujo acesso deve ser restrito a um n mero reduzido de pessoas e deve ser preservada a sua integridade Segundo Spanceski 2004 o acesso interno ou externo por pessoas n o autorizadas a esse tipo de informa o extremamente cr tico para a institui o 2 1 2 Confidencial As informa es confidenciais devem ser disseminadas somente para indiv
35. seguran a da informa o Tabela 6 ISMS ISO IEC 27005 2008 adaptado ISO IEC 27005 2008 3 7 5 Modelo segundo a norma BS 7799 3 2006 A norma British Standard BS 7799 3 2006 fornece orienta o e recomenda es para as actividades de gest o de riscos do sistema de gest o de seguran a da informa o ISMS Avalia o de Risco compreende o processo de avalia o de riscos e inclui a an lise e a avalia o evaluation dos riscos Tratamento de Riscos decis es para gerir os riscos por meio de controlos de preven o e detec o al m de medidas para se evitarem e transferirem riscos Monitorar e rever os riscos actividades que garantem o funcionamento eficaz dos controles implementados s o estabelecidas Manter e melhorar os controlos de Risco s o implementados ac es preventivas e correctivas 2 Esta norma internacional foi preparada para fornecer um modelo para estabelecer implementar operar monitorar revisar manter e melhorar um sistema de informa o de Gest o de seguran a SGSI O adop o da SGSI deve ser uma decis o estrat gica de uma organiza o A concep o e implementa o de SGSI de uma organiza o s o influenciadas por suas necessidades e objectivos requisitos de seguran a os processos empregados e o tamanho e estrutura da organiza o Estes e os seus sistemas de suporte devem mudar ao longo do tempo Espera se que uma aplica o ISMS seja dimensionada de
36. seguran a de toda a organiza o Sabendo disso a formula o deste documento pretende conscientizar e preparar os intervenientes no processo de implementa o da seguran a da informa o sobre a import ncia da preserva o da informa o Ainda o referido documento inclui pol ticas que descreve a forma adequada de utiliza o dos recursos as responsabilidades dos intervenientes apresenta o que deve ser protegidos os procedimentos a manter e desenvolver segundo o proposto por Carneiro 2002 N o esquecendo tamb m que os intervenientes devem estar a par das regras impostas pela institui o sabendo como se comportar nos mais diferentes aspectos dentro da organiza o sabendo inclusive o que podem ou n o fazer tudo com o objectivo de garantir a seguran a A seguran a l gica f sica e de recursos humanos deve ser levado muito a s rio quando se fala da preserva o da informa o 82 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos A formula o deste documento de Pol tica de Seguran a da Informa o levou em conta a necessidade de preservar os recursos fulcrais da institui o sendo dividida em tr s partes fundamentais a seguran a l gica a seguran a f sica e a seguran a dos recursos humanos Na sec o seguran a l gica podemos encontrar normas e procedimentos que auxiliam os intervenientes no processo de administra o de
37. suspeitos se n o tiver solicitado N o devem ser enviadas mensagens de correio electr nico cujo conte do seja confidencial Aconselha se a manuten o da caixa de correio electr nico evitando ac mulo de ficheiros desnecess rios Cada conta de utilizador tem direito 100 MB de armazenamento no servidor de correio electr nico 5 3 5 4 Acesso a Internet A Internet uma colec o de milhares de redes interligados por um conjunto comum de protocolos de comunica es que tornam poss vel para os utilizadores de qualquer uma das redes comunicar ou utilizar os servi os localizados em qualquer uma das outras redes segundo RFC 2196 A Internet uma ferramenta de trabalho e deve ser usada para este fim pelos funcion rios e alunos da Uni Piaget n o permitido o seu uso para fins recreativos durante o hor rio de trabalho ou de aulas Abaixo est o definidos normas de utiliza o da Internet que engloba desde a navega o a sites downloads e uploads de ficheiros 91 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos 5 3 5 4 Pol tica de acesso a Internet Regras Gerais A utiliza o da internet deve ser racionalizado evitando excessos que sobrecarreguem a rede e provoquem lentid o no processo de upstream e downstream de informa es e preju zo para a universidade Em caso de necessidade que exijam outros tipos de servi os co
38. todo de avalia o Dantas 2011 define v rios par metros utilizados na escolha dos crit rios para se avaliarem os riscos como por exemplo e Financeiros e Imagem organizacional e Social e ambiental e Pessoal normativo etc 3 5 Preven o vs Reac o Segundo Dantas 2011 dois aspectos devem ser levados em considera o no estudo do risco a preven o e a reac o A preven o engloba o conjunto de ac es que objectiva evitar e detectar a possibilidade de eventos danosos aos neg cios enquanto que a reac o caracterizada pelas ac es de resposta e diz respeito adop o de medidas a partir da ocorr ncia de um evento segundo Dantas 2011 3 6 M todos de an lise A escolha do m todo deve ser realizada sob 2 prismas o qualitativo e o quantitativo Segundo Dantas 2011 a an lise qualitativa geralmente utilizada quando n o existe a disponibilidade de dados ou quando eles s o prec rios e a sua an lise realizada com base em valores referenciais Por outro lado a an lise quantitativa utilizada quando os dados s o confi veis e est o dispon veis e a sua an lise realizada com base em valores absolutos relata Dantas 2011 43 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Landoll 2011 entende que uma das diferen as mais not veis entre as v rias t cnicas de avalia o de risco de seguran
39. uma s rie de mecanismo Inspec o da comunica o canais encriptados tamb m passam pela inspec o mas t cnicas como a estenografia s o utilizadas para driblar esse mecanismo Valida o da comunica o comunica es fora do padr o ser o rejeitadas pode se abrir excep es desde de que se saiba a origem Filtragem da comunica o este fornece o mecanismo de distin o entre a informa o autorizada e a n o autorizada Aplica es de pol ticas as pol ticas podem ser implementadas em algumas reas da seguran a da informa o Gest o de sess o sess o permite que aplica es mantenham estados Ataques como roubo de sess o podem comprometer a integridade Wheeler 2011 define alguns princ pios da Gest o de Sess o que devem ser de execu o universal embora alguns detalhes podem variar Y Controlo de sess o Simult nea sistema de informa o limita o n mero de sess o simult neo para qualquer utilizador Y Bloqueio de sess o previne mais acessos aos sistemas inicia o bloqueio de sess o depois do per odo de sess o inactivo que permanece at que o utilizador reestabele a o acesso O bloqueio permanente pode ser utilizado para realizar ataques DOS contra o sistema Y Enceramento de sess o o sistema automaticamente termina uma sess o local ou remoto depois de um per odo de inactividade ou o tempo m ximo de dura o excedido Autentica o valida o da i
40. 1 2 Estimativa do RISCO o her n e R E E EINE 79 Doda Ayalar O RISCO e ads E E o AE E AER AEA RAER a ESES 82 5 3 Modelo de Politica de Seguran a da Informa o desenvolvido 82 53l ODJECU VOS int noes aea A E E A E AE E E RA aaa 83 J AOA O a a a SOS 84 5 3 3 Princ pios da Seguran a da Informa o ssssesseessensseessseesseeesstesseesseesseeeseressressseesse 84 5 3 4 Pol tica de Seguran a da Informa o sesseeesseesseessesessressseesseesseesseessseessseessresseessee 84 Idi Politicas d Seguran a L DICA isivest rer eriaren on EON E E SeS ESEA 85 SINA Administracao de Contas nE E A E T A 85 Dede od Caracteriza o geral scncscniniiisiriiisii sis aia iia ERa 85 DSO Autentica aO esie E A a a EE ER 89 Sed Politica de palavra PASSE sis estrado a E R E 89 SS Lomreo cICCiONICO SA ss ss A a fg 90 5 3 5 3 1 Pol tica de correio electr nico seis isfes sua agass als pas sapo lg Bless aa fel il aa 90 394 Acesso a nt rnet asninn rni naa sesi 91 5 3 5 4 1 Pol tica de acesso a InlermeL qe a Dias DL as 92 dO UBZAD O OR OO cr aan n dci AD da AA LR 93 5 3 5 5 1 Pol tica de utiliza o de Redes Wired 93 5 3 5 5 2 Pol tica de utiliza o de Redes Wireless 95 Saco Esta es de Trabalhos ara a E A 96 5 3 5 6 1 Pol tica de utiliza o de estac o de Trabalho iii 96 5 3 7 ADPRESSOrA snes an STO a a A aaa cr Di S 97 5 3 5
41. 3 2 Origem e classifica o dos riscos Dantas 2011 entende que o risco pode ter v rias origens pode ser oriundo de eventos da natureza pode ser decorrente de problemas t cnicos bem como ser o resultado de uma ac o intencional Desta forma Dantas 2011 classifica os riscos em tr s categorias destintas os riscos classificados como naturais s o aqueles oriundos de fen menos da natureza os involunt rios resultam de ac es n o intencionais relacionados com vulnerabilidades humanas f sicas de 34 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos hardware de software entre outros e os intencionais s o aqueles derivados de ac es deliberadas para causarem danos 3 2 1 Riscos naturais Segundo Dantas 2011 alguns factores devem ser considerados em rela o aos riscos naturais e A rea em que a empresa est instalada sujeita a eventos da natureza constantes ou n o de propor es catastr ficas ou n o e Falta de acompanhamento de boletins meteorol gicos Material empregado na constru o de baixa resist ncia e ou qualidade Equipamentos de preven o a sinistros de origem na natureza sem inspec o peri dica e de m qualidade e Aus ncia de plano de recupera o de desastres e de continuidade dos neg cios e Falta de treinamento em ac es contingenciais Landoll 2011 entende que a determina o de riscos
42. 5 3 9 Verifica o da utiliza o da pol tica As normas e procedimentos estabelecidos neste documento dever o ser seguidos por todos os funcion rios colaboradores e alunos e se aplicam informa o em qualquer estado meio ou suporte Para garantir as regras mencionadas acima a Uni Piaget se reserva no direito de e Instalar sistemas para monitorar o uso da Internet atrav s da rede e das esta es de trabalho da institui o 105 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos e Inspeccionar dados armazenado na rede localizados no disco local da esta o ou nas reas privadas da rede e As instala es est o monitoradas por c maras de circuito interno assegurando a identifica o de qualquer delito f sico efectuado dentro da institui o 5 3 10 Viola o da Pol tica advert ncia e puni es Ao detectar uma viola o da pol tica a primeira coisa a fazer determinar a sua raz o ou seja a viola o pode ter ocorrido por neglig ncia acidente ou erro por falta de conhecimento da pol tica ou por ac o previamente determinada ignorando a pol tica estabelecida Um processo de investiga o deve determinar as circunst ncias da viola o como e porque ela ocorreu Nos termos da Pol tica a Uni Piaget proceder ao bloqueio do acesso ou o cancelamento do utilizador caso seja detectado uso em n o conformidade com q
43. Jailson Eduardo Ramos Brito vora Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Estudo do caso Uni Piaget CV Universidade Jean Piaget de Cabo Verde Campus Universit rio da Cidade da Praia Caixa Postal 775 Palmarejo Grande Cidade da Praia Santiago Cabo Verde 21 6 13 Jailson Eduardo Ramos Brito vora Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Estudo do caso Uni Piaget CV Universidade Jean Piaget de Cabo Verde Campus Universit rio da Cidade da Praia Caixa Postal 775 Palmarejo Grande Cidade da Praia Santiago Cabo Verde 21 6 13 Jailson Eduardo Ramos Brito vora autor da monografia intitulada Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos declaro que salvo fontes devidamente citadas e referidas o presente documento fruto do meu trabalho pessoal individual e original Cidade da Praia ao 21 de Junho de 2013 Jailson Eduardo Ramos Brito Evora Mem ria Monogr fica apresentada Universidade Jean Piaget de Cabo Verde como parte dos requisitos para a obten o do grau de Licenciatura em Engenharia de Sistemas e Inform tica Sum rio Este trabalho foi realizado no mbito do regulamento dos Cursos de Gradua o da Universidade Jean Piaget de Cabo Verde apresenta a concep o de um Modelo de Pol t
44. NT NBR ISO IEC 27002 2005 apud Dantas 2011 Laureano 2005 por sua vez define a como a protec o da informa o contra modifica es intencionais ou acidentes n o autorizadas Mamede 2006 relaciona a integridade garantia de que tudo est como deve estar e assim se mant m ao longo do tempo A integridade tamb m um sin nimo para consci ncia externa 2 2 4 Disponibilidade A disponibilidade a garantia de que os utilizadores autorizados obtenham acesso informa o e aos activos correspondentes sempre que necess rio referenciado pela norma ABNT NBR ISO IEC 27002 2005 apud Dantas 2011 Manter a disponibilidade requer o rep dio de ac es que visem a rejei o de acesso a determinados servi os ou informa o em tempo til Wheeler 2011 define a como em caso de necessidade ela seja acessado em tempo til confi vel por utilizadores autorizados A disponibilidade pode estar comprometida quando a informa o n o esta dispon vel para acesso em tempo til a ser utilizada por utilizadores e destinat rios ou seja a informa o n o circula A disponibilidade responsabiliza se por garantir que os recursos est o dispon veis na altura em que s o necess rios entende Mamede 2006 Garantir a disponibilidade requer o xito no carregamento transporte e armazenamento da informa o 23 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com
45. P2P per to per uTorrent kTorrent bitTorrent etc e Ouvir m sica com volume de som aud vel a outras pessoas pode se utilizar auscultador e Utilizar qualquer programa que possa comprometer a seguran a da rede e dos servidores internos ou externos e o seu bom desempenho programas sniffer for a bruta port scanner malware DDOS etc e Obter acesso n o autorizado aos servidores da rede interna ou externa e Fazer autentica o com uma conta que n o seja a do pr prio utilizador e Consumir alimentos bebidas ou fumar cigarros Cada utilizador respons vel pelo equipamento no per odo em que estiver fazendo uso deste O acesso deve ser controlado somente sendo permitido o uso dos mesmos com um funcion rio respons vel Ser o de inteira responsabilidade do professor orientador e dos alunos no per odo no qual estiverem fazendo uso do laborat rio e n o houver um funcion rio estagi rio respons vel no local O funcion rio respons vel deve verificar se todos os computadores est o funcionando correctamente ap s a utiliza o esta verifica o deve ser repetida qualquer problema a equipe t cnica deve ser informada para que a solu o possa ser providenciada o mais r pido poss vel Os equipamentos devem ser trancados e em seguran a quando deixados sem supervis o n o sendo permitida a utiliza o de laborat rios sem supervis o Se a utiliza o do laborat rio n o estiver agendada es
46. a numa dessas categorias Desastre Natural e Falta de Infra estrutura Abuso Interno e Acidente e Ataque com alvo externo e Ataque externo em massa Vulnerabilidades As vulnerabilidades s o pontos em que o sistema suscept vel a ataques Freitas 2009 Entende se por vulnerabilidade como sendo o estado de um componente que compromete a seguran a de todo o sistema uma vulnerabilidade existe sempre enquanto n o for corrigida Existem vulnerabilidades que s o intr nsecas ao sistema N o existem ataques bem sucedidos sem a exist ncia de um sistema vulner vel Uma vulnerabilidade pode ser uma simples fraqueza ou uma s rie de pontos fracos que acabam permitindo uma ou v rias amea as 26 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos No entender de Landoll 2011 a vulnerabilidade uma falha num controle existente que pode eventualmente permitir que um agente de amea a possa explor lo para ganhar acesso n o autorizado aos activos organizacionais A vulnerabilidade o ponto onde qualquer sistema suscept vel a um ataque ou seja uma condi o encontrada em determinados recursos processos configura es etc Laureano 2005 Para S mola 2003 apud Dantas 2011 as vulnerabilidades s o fragilidades presentes ou associadas a activos de informa o que ao serem exploradas permitem a ocorr ncia de incid
47. a organiza o e Falhas no processo de comunica o com a alta administra o e Perda de prazos de compromissos importantes para os neg cios da organiza o Informativa No entender de Spanceski 2004 a pol tica informativa possui car cter apenas informativo nenhuma ac o desejada e n o existem riscos caso n o seja cumprida 59 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Spanceski 2004 d um exemplo a pol tica pode ressaltar que o uso de um determinado sistema restrito a pessoas autorizadas e qualquer funcion rio que realizar algum tipo de viola o ser penalizado 4 5 Diagrama de conceito da Pol tica de Seguran a Segundo Dimitri 2002 apud Spanceski 2004 podemos dividir a pol tica de seguran a em tr s tipos n vel estrat gico n vel t ctico e n vel operacional Pol tica ou Estrat gico Diretrizes Normas Procedimentos e instru es Operacional Tecnol gicos E S sa ed s 2 5 5 E 5 gt Ss E zZ lt E Sp 5 zZ Humanos Ativos Figura 8 Diagrama de conceito dos componentes da pol tica adaptado Spanceski 2004 N vel estrat gico refere se ao alinhamento nos valores da empresa ou seja no rumo a ser seguido N vel t ctico para o n vel t ctico deve se pensar em padroniza o de ambiente N vel operacional deve se gara
48. ada o do hardware Inc ndio provocado por curtos circuitos Avaria de equipamentos inform ticos Acesso indevido aos recursos da rede I 74 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos servidores Circula o de pessoas estranha na Assalto departamentos Hacker I Universidade sem identifica o Pastas f sicas que cont m Acesso de pessoas n o autorizadas a Hacker I informa es cr ticas em locais de informa es importantes f cil acesso dentro da Divis o Tecnol gica e LED Facilidade de desvios de Roubos furtos Hacker I equipamentos dentro da Divis o Pessoal interno Tecnol gica Inexist ncia de um invent rio Roubos furtos Hacker I peri dico de equipamentos Pessoal interno Portas e janelas da Divis o Assalto Divis o Tecnol gica Hacker Tecnol gica um dos sectores Acesso de pessoas n o autorizadas a Pessoal interno mais cr ticos da Universidade informa es importantes feita de vidro e madeira Cabos desarrumados e Degrada o do hardware Pessoal interno entrela ados dentro dos bastidores Inc ndio provocado por curtos e em toda a Divis o tecnol gica circuitos Avaria de equipamentos inform ticos Falta de arruma o dos Roubos furtos Hacker equipamentos e das ferramentas Degrada o do hardware Pessoal interno dentro da Divis o tecnol gica Inexist ncia de extintores de fogo Inc
49. ades que decorrem dos estatutos de cada inst ncia Os rg os de governo s o constitu dos por rg os individuais e rg os colegiais 5 1 2 Unidades Organizacionais A estrutura administrativa e t cnica constitu da por um conjunto de servi os que d o suporte s necessidades funcionais e operacionais da Universidade Servi os de Documenta o SD Exercem fun es nos dom nios da aquisi o de obras e publica es de car cter pedag gico cient fico e cultural da recolha tratamento e difus o de documenta o e informa o al m da gest o da Mediateca Servi os Administrativos e Auxiliares SAA Asseguram o suporte administrativo adequado ao funcionamento normal da Universidade nas suas vertentes acad mica e de presta o de servi os auxiliares Servi os Financeiros e Sociais SFS Encarregada da gest o financeira e patrimonial da Universidade disponibilizam servi os de car cter social e a gest o das resid ncias para docentes e entre outros Secretariado Executivo SE Presta servi o de assessoria e secretariado Administra o Reitoria e rg os Colegiais Gabinete de Estudos e Planeamento GEP Auxilia a Administra o e a Reitoria no planeamento e organiza o dos recursos t cnicos e humanos e no desenvolvimento de estudos espec ficos Gabinete de Forma o Permanente GFP Espa o promotor de ac es de capacita o profissional O gabinete oferece tamb m um servi
50. administra o de contas abrange aspectos desde cria o manuten o desativa o de contas Em seguida est o definidas normas e procedimentos que devem auxiliar neste processo KRILA Caracteriza o geral Utilizador Administrador Entende se por utilizador Administrador o respons vel m ximo pela gest o dos recursos da Rede Permiss es e Acesso a Internet e rede interna e Acesso e gest o total dos recursos e servi os da rede e Acesso total a dados e informa es dentro da rede interna e Acesso e administra o de base de dados 85 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos e Configura o de sistemas operacionais aplicativos e Administra o de computadores servidores e clientes e Gest o da rede interna e o acesso a Internet e Cria o e altera o de contas e palavra passe de utilizadores Administradores Suporte Desenvolvedores Docentes Funcion rios Alunos e de Projecto colaboradores A cria o altera o e desativa o do utilizador Administrador de inteira responsabilidade do director da divis o tecnol gica Assim como a delega o de permiss es Utilizador Desenvolvedor Entende se por utilizador Desenvolvedor os membros do Sector de Desenvolvimento de Sistemas Permiss es e Acesso a rede interna e Internet Acesso e administra o de base de dados e Acesso a documentos do seu resp
51. al2 tcu gov br portal pls portal docs 2059162 PDF gt consultado em 18 09 2012 BS 7799 3 2006 dispon vel em lt www iso staratel com BS 207799 3 2006 pdf gt consultado em 03 09 2012 Campos A s d Auditoria em tecnologia da informa o dispon vel em lt www 4shared com gt consultado em 30 09 2012 Da Rosa Isa as s d Seguran a de Sistemas de Informa o na Cidade da Praia dispon vel em lt http bdigital cv unipiaget org 8080 jspui handle 10964 241 gt consultado em 30 09 2012 HB 436 2004 dispon vel em lt bch cbd int database attachment id 12285 gt consultado em 03 09 2012 ISO IEC 27001 2005 dispon vel em lt webstore iec ch info isoiec27001 7Bed1 0 gt consultado em 03 09 2012 ISO IEC 27002 2005 dispon vel em lt torrent gt consultado em 03 09 2012 ISO IEC 27005 2008 dispon vel em lt http pdf4share net isoiec 270022005 information technology security techniques code of practice for information security management redesignation of isoiec 1777992005 gt consultado em 03 09 2012 ISO IEC Guide 73 2002 dispon vel em lt http www 4shared com get V FINSJ S ISO IEC Guide 73 2002 Risk Man html gt consultado em 05 09 2012 IT Governance Instituten Cobit 4 1 dispon vel em lt http praktische informatik fh luebeck de sites default files CobiT 4 1 pdf gt consultado em 10 09 2012 Laureano P A M 2005 Gest o de
52. alitativa e Resultados subjectivos e Valor Patrimonial Subjectiva Recomenda es subjectivas e Dificuldade para Tra ar Melhorias 3 7 Modelos de gest o de riscos Na perspectiva de Dantas 2011 a gest o de riscos um processo que comporta um conjunto de actividades voltadas para o controlo dos riscos Esse processo possui fases espec ficas que variam de acordo com o modelo escolhido 3 7 1 Modelo segundo a norma ISO Guide 73 2002 Segundo a norma ISO IEC Guide 73 2002 a gest o de riscos envolve as seguintes etapas a avalia o de riscos risk assessment o tratamento do risco a aceita o do risco e a comunica o do risco Avalia o de Risco risk assessment envolve a an lise de riscos risk analysis e a sua avalia o risk evaluation para se estabelecer o n vel do risco Tratamento de Risco risk treatment compreende as ac es para modificar o risco decis es a respeito dos riscos que afectam a organiza o s o tomadas 48 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Aceita o do Risco risk acceptance est relacionada com a capacidade da empresa de aceitar determinado risco Comunica o do Risco envolve a troca de informa o dos seus riscos respons veis da alta administra o stakeholders e grupos de respostas a incidentes Gest o de Risco 3 1 7 Avalia o de Risco 3 3 1 An lise de Risc
53. amento qualitativo adaptado Wheeler 2011 Landoll 2011 entende que quando um m todo de an lise qualitativa utiliza n meros como valores das vari veis de risco estes n meros s o considerados n meros ordinais Ainda segundo Landoll 2011 os n meros ordinais t m ordem significativa por exemplo Alto gt M dio gt Baixo mas n o h nenhuma m trica para determinar a dist ncia entre as categorias Vari veis de equa o de risco de seguran a qualitativas n o s o expressas em termos de valores monet rios mas como uma categoria ordenada de perda monet ria tais como cr tica Alta M dia e Baixa Landoll 2011 N vel de Probabilidade de ocorr ncia de Vulnerabilidade Gravidade do Impacto A Frequente B Provav l C Conceb vel D Improv vel E Remoto 1 Risco 1 Risco 1 Risco 1 Risco 2 Risco 3 2 Risco 1 Risco 1 Risco 2 Risco 2 Risco 3 3 Risco 1 Risco 2 Risco 3 Risco 3 Risco 3 4 Risco 3 Risco 3 Risco 4 Risco 4 Risco 4 Tabela 5 Determina o do risco qualitativo adaptado Landoll 2011 Landoll 2011 relata as vantagens e desvantagens da an lise qualitativa 47 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Vantagens da an lise qualitativa Simples Valores de medi o simples e F cil de compreender e transmitir e Fornece adequada identifica o de reas problem ticas Desvantagens da an lise qu
54. are A 3 Alto Utiliza o n o autorizada de equipamentos B 3 Alto Rep dio de Ac es D 3 M dio Sniffer na rede A 4 Extremo Tabela 14 N vel de Risco Identificados Nota Os valores do impacto e da probabilidade atribu dos foram baseados na opini o subjectiva derivada da escolha do m todo utilizado M todo Qualitativo 81 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos 5 2 2 Avaliar o Risco O processo de avaliar o risco risk evaluate incide na compara o entre a classifica o de cada risco analisado e o crit rio de avalia o estabelecido pela organiza o quando da escolha do m todo de avalia o relata Dantas 2011 A norma AS NZS 4360 2004 HB 436 2004 define como crit rio de avalia o o n vel de aten o de administra o ou a escala de tempo de resposta necess ria Por exemplo Extremo ou Alto risco necess ria a aten o da alta administra o planos de ac o e responsabilidade de gest o espec fica Risco M dio gerir pela monitoriza o espec fica ou procedimentos de resposta com a responsabilidade de gest o espec fica Baixo risco gest o de rotina dificilmente precisar aplica o espec fica de recursos 5 3 Modelo de Politica de Seguran a da Informa o desenvolvido Toda a organiza o precisa elaborar pol ticas restritivas e mecanismo para proteger as suas informa es e garantir a
55. as Plano de continuidade de servi os Planejamento de capacidade Outros projetos Figura 7 Rela o dos objectivos de PSI adaptado Wadlow 2000 58 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos 4 4 Tipos de pol ticas Spanceski 2004 define a exist ncia de tr s tipos de pol ticas diferentes a regulat ria a consultiva a informativa Refutat ria Ferreira 2003 apud Spanceski 2004 afirma que pol ticas refutat rias s o implementadas devido s necessidades legais que s o impostas organiza o Ainda segundo Ferreira 2003 apud Spanceski 2004 as pol ticas refutat rias devem assegurar que a organiza o est seguindo os procedimentos e normas para seu ramo de actua o provendo conforto para a organiza o na execu o de suas actividades Consultiva Spanceski 2004 afirma que as Pol ticas consultivas n o s o obrigat rias mas recomendadas As organiza es devem conscientizar seus funcion rios a considerar este tipo de pol tica como se fosse obrigat ria Continuando com a vis o do mesmo autor Spanceski 2004 entende que importante que os utilizadores estejam por dentro dessas ac es assim facilitando a realiza o de suas tarefas evitando riscos do n o cumprimento das mesmas tais como Possibilidade de omiss o de informa es importantes para tomada de decis es cr ticas aos neg cios d
56. as responsabilidades ligadas seguran a da informa o nas descri es de cargos e fun es Inexist ncia de um processo disciplinar no caso de incidentes relacionados seguran a da informa o Inexist ncia de uma pol tica formal sobre o uso de computadores m veis Inexist ncia de controlo sobre activos fora das depend ncias Pol tica de mesas e telas limpa clear desk and clear screen inexistente ou insuficiente Inexist ncia de autoriza o para as instala es de processamento de informa es Inexist ncia de mecanismos completo estabelecidos para o monitoriza o de viola es da seguran a Inexist ncia de an lises cr ticas peri dicas por parte da direc o Inexist ncia de procedimentos para o relato de fragilidades ligadas seguran a Inexist ncia de procedimentos para garantir a conformidade com os direitos de propriedade intelectual Gui o de entrevista Qual a estrutura organizacional da equipe de TI da Uni Piaget CV Quantos servidores possuem a institui o Quem s o as entidades que utilizam os recursos de TI Como s o divididos os computadores dom nios estac o de trabalhos entre laborat rios e departamentos da rede A institui o utiliza ERP sistemas acad micos base de dados Quais Como feita a comunica o entre unidades Utilizam VPN para troca de informa es de forma segura Mais mecanismos s o utilizados para mitigar os riscos firewall etc Cada Campus possui a sua
57. belecidas para benef cio do SI e portanto dos seus pr prios n veis de desempenho profissional Mamede 2006 tem a mesma vis o onde entende que o processo de seguran a n o algo meramente executado por um pequeno grupo de pessoas no seio da organiza o mas pelo contr rio envolve todas as pessoas da organiza o A seguran a n o deve ser entediada como um conjunto de elementos tecnol gicos de ponta mas antes como algo que aplicado de forma horizontal e consistente na organiza o sendo regularmente monitorizado e avaliada Hartley amp Locke 2001 apud Mamede 2006 62 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Ferreira 1995 tem uma vis o mais alargada do processo de desenvolvimento onde podemos notar a diferen a no acr scimo de mais processos importantes tais como a revis o da PSI MODELO gi Defini o da Pol tica An lise de Seguran a dos Riscos Implementa o Planos da Pol tica de Seguran a Manuais de Seguran a Figura 9 Modelo de Formula o de PSI adaptado Ferreira 1995 4 6 4 Revis o A pol tica de seguran a da informa o deve ser revisto a intervalos planeados ou se mudan as significativas ocorrer para assegurar a sua permanente aptid o adequa o e efic cia segundo a norma ISO IEC 27002 2005 A pol tica de seguran a da informa o deve possuir um respons vel pela gest o
58. cis o de risco de seguran a Existem v rias f rmulas que s o comummente associados com a an lise quantitativa de riscos de seguran a Landoll 2011 define tr s f rmulas cl ssicas para an lise quantitativa de riscos de seguran a expectativa de perda anual a expectativa de perda nica e o valor salvaguardado 1 Expectativa de Perda Anual ALE Expectativa de Perda nica x Taxa Anual de Ocorr ncia 2 Expectativa de Perda nica Valores do Activo x Factor de Exposi o 3 Valor Salvaguardado ALE Antes x ALE Depois x Custo Anual Salvaguardado Expectativa de perda nica LES a perda esperada como resultado de um nico incidente Landoll 2011 Expectativa de Perda nica Valores do Activo x Factor de Exposi o Landoll 2011 entende que alguns eventos de risco de seguran a por exemplo v rus acontecem v rias vezes por ano enquanto outros como um inc ndio em um armaz m acontecem apenas uma vez a cada 20 Expectativa de Perda Anual ALE Expectativa de Perda nica x Taxa Anual de Ocorr ncia Na perspectiva de Landoll 2011 uma medida preventiva qualquer mecanismo de seguran a administrativa f sica ou t cnica que reduz o risco de seguran a para os activos da organiza o Valor Salvaguardado ALE Antes ALE Depois Custo Anual de Contra medida Landoll 2011 relata as vantagens e desvantagens da an lise quantitativa 45 121 Desenvolvimento de um model
59. ctividades de controlo de modo a se fazerem as altera es necess rias a gest o dos riscos 3 7 4 Modelo segundo a norma ISO 27005 2008 A ISO 27005 2008 fornece directrizes para o processo de gest o de riscos de seguran a da informa o de uma organiza o atendendo particularmente aos requisitos de um sistema de gest o de seguran a da informa o de acordo com o padr o da norma ISO 27001 2005 Esse modelo apresenta as seguintes etapas e Defini o do contexto e Avalia o de riscos risk assessment com as etapas de an lise de riscos e avalia o de riscos risk evaluate e Tratamento de risco e Aceita o do risco Comunica o do risco e a Monitora o e an lise cr tica de riscos 51 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos O processo de gest o de riscos alinhado com o processo do sistema de gest o de seguran a da informa o de acordo com o padr o estabelecido na norma ISO 27001 2005 que adopta o sistema PDCA Processo ISMS Processo de Gest o de Seguran a da Informa o Planear P Defini o do Contexto avalia o risk assessment defini o do plano de tratamento do risco aceita o do risco Executar D Implementa o do plano de tratamento do risco Verificar C Monitoriza o cont nua e an lise cr tica de riscos Agir A Manter e melhorar o processo de gest o de riscos de
60. dentidade de um individuo ou sistemas com o prop sito de proteger os dados contra o acesso n o autorizado e estabelecendo a responsabilidade Autoriza o a autoriza o define os tipos de acessos permitidos e quais os recursos que o acesso deve ser aplicada Auditoria Registo capta o de eventos significativos em um sistema em um aplicativo ou em uma rede 29 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos e Criptografia a criptografia fornece muitas ferramentas essenciais para o exerc cio de controlos de seguran a que preservam a integridade responsabilidade e confidencialidade dos dados e Resili ncia resili ncia pode ser implementada em v rios n veis a partir de sistemas operacionais para aplica es e da infra estrutura de rede para a infra estrutura f sica que o suporta Y F sico as fontes de alimenta o e outros componentes f sicos de sistemas devem proporcionar um certo n vel de redund ncia integrada no dispositivo yY L gico podemos considerar que de certa forma imposs vel projectar um sistema que imperme vel a DDoS Tanto faz o poder da m quina h sempre uma maneira de gerar tr fego suficiente para dominar os recursos Monitoriza o de eventos entradas not veis ir apontar para a actividade anormal ou n o autorizados que podem indicar uma viola o de seguran a Wheeler 2011 demost
61. devem ser consideradas as actividades e os crit rios definidos para os requisitos de confidencialidade integridade e disponibilidade nessas actividades 40 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Ainda segundo Dantas 2011 o m todo OCTAVE Operational Critical Threat Asset and Vulnerability Evaluation apresenta um esquema simples que pode facilitar a identifica o de impactos Resultado divulga o modifica o perdas destrui o interrup o divulga o modifica o perdas destrui o interrup o divulga o Impacto Activo Acessar Actor Motivo acidental interior deliberado network acidental exterior deliberado divulga o modifica o perdas destrui o interrup o Figura 3 M todo OCTAVE adaptado Dantas 2011 Analisar os riscos A an lise de riscos desenvolve um entendimento sobre os riscos e os seus impactos nas actividades de neg cios e activos envolvidos no sentido de orientar as melhores estrat gias para o tratamento dentro da rela o custo benef cio Dantas 2011 entende que tr s factores s o fundamentais os controlos a probabilidade e as consequ ncias devendo ser elaborada uma matriz de risco 1 Operational Critical Threat Asset and Vulnerability Evaluation um m todo de avalia o de riscos de seguran a da informa o que foi desenvolvido pelo Softwar
62. do A identifica o dos activos por si s n o suficiente pois se torna necess rio atribuir lhe um valor de import ncia que ele representa para a organiza o em rela o aos poss veis danos de um evento indesej vel Dantas 2011 Identificar as amea as aos activos De maneira geral as amea as s o tidas como agentes ou condi es que exploram as vulnerabilidades e provocam danos segundo Dantas 2011 Segundo Dantas 2011 uma t cnica que pode ser utilizada para facilitar a identifica o das amea as considerar a actividade de neg cio e fazer as seguintes indaga es o qu quando onde e qual o agente motivador 39 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Identificar as vulnerabilidades Dantas 2011 entende que uma t cnica utilizada para a identifica o de vulnerabilidades o emprego do diagrama de causa e efeito Esse diagrama tamb m conhecido pela denomina o de diagrama de Ishikawa porque foi desenvolvido por Kaoro Ishikawa em 1943 na Universidade de T quio AMEA A Figura 2 Diagrama de Ishikawa adaptado Dantas 2011 A auditoria tamb m uma outra ferramenta que pode ser utilizada para avaliar se os controles s o eficazes e assim mensurar se est o ou n o vulner veis Identificar os impactos Segundo Dantas 2011 ao se identificarem os impactos
63. e Engineering Institute da Carnegie Mellon University Patrocinado pelo U S Department of Defense esse m todo baseado num conjunto de crit rios Ele define os elementos fundamentais para uma avalia o de riscos de seguran a de uma organiza o Dantas 2011 41 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Valor do activo N veis de amea as Baixo B M dio M Alto A N veis de Vulnerabilidade B M A B M A B M A 0 0 1 2 1 2 3 2 3 4 1 1 2 3 2 3 4 3 4 5 2 2 3 4 3 4 5 4 5 6 3 3 4 5 4 5 6 5 6 7 4 4 5 6 5 6 7 6 7 8 Tabela 1 Matriz de riscos V A vs N A e V adaptado BS 7799 3 2006 Consequ ncias Possibilidade Insignificante Menor Moderado Maior Catastr fico 2 3 4 A Frequente A A E E B Prov vel M M A A E C Ocasional B M A A A D Remota B B M M A E Improv vel B B M M A Tabela 2 Matriz de riscos P vs C adaptado HB 436 2004 N veis de amea as Baixo B M dio M Alto A N veis B M A B M A B M A vulnerabilidade Valor 0 1 2 1 2 3 2 3 4 possibilidade Tabela 3 Matriz de riscos A V e P adaptado HB 436 2004 42 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Avaliar os riscos E realizada uma compara o entre a classifica o de cada risco analisado e o crit rio de avalia o estabelecido pela organiza o quando da escolha do m
64. e maioria das comunica es actuais tem sido feita a partir do correio electr nico O correio electr nico possui processos que englobam o envio recep o e a gest o de contas Devemos estar cientes que a utiliza o desta ferramenta acarreta contrapartidas desde ataques inform ticos burla ass dio etc 5 3 5 3 1 Pol tica de correio electr nico O correio electr nico deve ser utilizado de forma consciente evitando qualquer tipo de perturba o seja atrav s da linguagem utilizada frequ ncia ou tamanho das mensagens Recomenda se a conten o no envio de grande quantidade de mensagens spam que provoque o congestionando da rede Evite utilizar o correio electr nico da institui o para assuntos pessoais Recomenda se o envio de mensagens no m ximo para 10 destinat rio de uma nica vez 90 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Os ficheiros para anexos com mais de 10 MB devem ser compactados Para garantir a seguran a nos servidores de correio electr nico procedeu se ao bloqueio das seguintes extens es exe bat src Ink com dll mpe mpeg mpg pif shs vbs Aconselha se activar o relat rio de envio das mensagens para certificar se que a mensagem foi recebida pelo destinat rio N o execute ou abra ficheiros anexados com as extens es bat exe src Ink e com enviados por remitentes desconhecidos ou
65. eanaeitas ada poseia cepas vaso saia ago taa tado Poda Tas sda can ad ea da nadgad 56 4 3 Import ncia de uma pol tica de seguran a reeeerereeerercareaa 57 9 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos dd Tipos te politicas idas a ssa is a Ia O da a E a a GA 59 4 5 Diagrama de conceito da Pol tica de Seguran a sesseseesseesseesseessersseeersseessresseessee 60 4 6 Formula o de Pol tica de Seguran a da Informa o s 61 46 1 Finalidade seccina Lidas LG pesar sas RAE epa EEA a Os pisa das dad lada ditas 61 4 6 2 CANUDO aciona iso s op eiaffo E EE oRAGO A anca b ias a SEO ar raca cia R o Ma Sa 61 463 IMplennia o sacas es pagan na a E eaa oe e E E AAA o EEE 62 404 REVIS O n inisieer enasini oni e es e E aS OEA AKSE AE EENE ESEE SEESE Ei 63 4 7 Modelos de Seguranca eie r a R E E o AAE r a a iait 64 Cap tulo 5 Desenvolvimento de um modelo de PSI o caso da Uni Piaget CV 66 5 1 ORIVE E O EE EA A 67 5 1 1 rg os de governo da Universidade eres eeeeeeeens 68 5 1 2 Unidades Organizacionais cssapaeitenensa ii vefeaca sp aneia is esa rasas aa ra afasta ias tra Sa assa nie re cegas 68 5 1 3 Infra estruturas das Tecnologias de informa o 69 5 2 Avaliacao de RISCO a a O E ND E E EE 69 5 2 An lise de RISCO sssiisin srin tesari a AE EA aE aa aiia 70 5 211 Identiica o de RISCOS cerceii ieee SA E a 70 52
66. ectivo utilizador em unidade local ou remota Acesso aos documentos do sector e outros sectores espec ficos para a realiza o do trabalho e Instala o e configura o de sistemas operacionais aplicativos A cria o altera o e desativa o do utilizador Desenvolvedor de inteira responsabilidade da divis o tecnol gica Utilizador Suporte Entende se por utilizador suporte os membros do Sector de suporte de Sistemas os funcion rios t cnico administrativos e estagi rios 86 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Permiss es e Acesso a rede interna e Internet e Instala o e configura o de sistemas operacionais aplicativos e Administra o de computadores clientes A cria o altera o e desativa o do utilizador Suporte de inteira responsabilidade da divis o tecnol gica Utilizador Docente Entende se por utilizador Docente os empregados que exercem a fun o de professor da Universidade Permiss es e Acesso a rede interna e Internet e Acesso aos seus documentos na unidade local ou remota e Acesso a documentos do sector e Acesso e utiliza o de aplicativos A cria o altera o e desativa o do utilizador Docente de inteira responsabilidade da divis o tecnol gica A altera o de palavra passe ser realizada pessoalmente na divis o tecnol gica mediante apresenta o
67. edimentos de recrutamento inadequados Treinamento insuficiente em seguran a Uso incorrecto de software e hardware Falta de conscientiza o em seguran a Inexist ncia de mecanismos de monitoriza o Trabalho n o supervisionado de pessoal de limpeza ou de terceiriza es Inexist ncia de pol ticas para o uso correto de meios de telecomunica o e de troca de mensagens Muitos utilizadores t m conhecimentos dos c digos de acesso ao sistema de outros utilizadores Utilizadores deixam suas sec es nas suas contas abertas Falta de sensibiliza o da parte da alta direc o da Universidade sobre quest es relativas seguran a da informa o 118 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de X X X X X X O X X X O Riscos Funcion rios mal informados e pouco sensibilizados relativamente a quest es de seguran a Pouca responsabiliza o por parte dos utilizadores do sistema em termos do uso do sistema de informa o Inexist ncia de um procedimento formal para o registo e a remo o de utilizadores Inexist ncia de processo formal para a an lise cr tica dos direitos de acesso supervis o Provis es relativas seguran a insuficientes ou inexistentes em contratos com clientes e ou terceiros Inexist ncia de procedimento de monitoriza o das instala es de proc
68. eja para testes Somente ser concedido direito mediante solicita es pr vias encaminhadas para a divis o tecnol gica proibido qualquer tentativa de acesso n o autorizado a qualquer servidor rede ou conta da institui o ou terceiros proibido desenvolver manter utilizar ou divulgar meios que possibilitem a viola o de computadores da rede N o s o permitidas altera es das configura es b sicas de rede IP Gateway DNS Proxy etc e a instala o de qualquer Router Access Point ou equipamento de propaga o de sinal nas instala es 95 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos A divis o tecnol gica pode acessar aos ficheiros dos utilizadores quando for indispens vel para a manuten o do sistema e em falhas de seguran a Ser o responsabilizados utilizadores por qualquer dano causado rede onde suas credenciais estiverem contidas em logs de acesso OBS a Pol tica de utiliza o de Redes Wireless complementada com as seguintes pol ticas retratadas neste documento Pol tica de acesso a Internet e Pol tica de utiliza o de estac o de Trabalho 5 3 5 6 Esta es de Trabalho As esta es de trabalho possuem c digos internos os quais permitem que ela seja identificada na rede Qualquer ac o efectuada ser de responsabilidade do utilizador Sempre que deixares de utilizar a estac o de t
69. em causa pois entende se que a PSI o ponto de partida no processo de implementa o da seguran a da informa o Tamb m sendo este trabalho monogr fico assente na tem tica de Gest o de Riscos n o deixamos de considerar a realiza o deste modelo de PSI como sendo ac es espec ficas para reduzir perdas potenciais e aumentar os seus benef cios Tratamento de risco pois um dos objectivos da etapa do tratamento de riscos no processo de avalia o de risco assegurar a conformidade com a pol tica de seguran a da informa o Como sabido o processo de Gest o de risco abarca v rias etapas A necessidade da identifica o dos recursos capitais da institui o levou a realiza o de uma avalia o an lise de risco a priori sendo utilizado como base duas normas internacionais o modelo fornecido pela norma ISO IEC 27005 2008 e a da norma AS NZS 4360 2004 HB 436 2004 66 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Com a realiza o da avalia o an lise al m de ter ajudado a identificar os recursos pertinentes a serem preservados ela tamb m p s a nu as amea as e vulnerabilidades que os activos est o sujeitos podendo ainda determinar o n vel de cada risco incidente na institui o Uma institui o universit ria possui v rias entidades que fazem parte do quotidiano tais como funcion rios docentes alunos e colaboradores
70. em conformidade com a Gest o de Softwares e Sistemas Operativos piratas Inexist ncia de um sistema de classifica o para identificar quais as informa es cr ticas e quais dever o ser mais protegidas e menos protegidas In meros ataques de v rus cavalos de Tr ia worms nos postos Inexist ncia de uma pol tica anti fraude Antenas de transmiss o de rede telem vel dentro do espa o da Universidade que podem fazer grande interfer ncia nos sistemas inform ticos Falta de auditoria regular aos softwares Procedimentos de teste de software insuficientes ou inexistentes Falhas conhecidas no software N o execu o do logout ao se deixar uma esta o de trabalho desassistida Ataques e tentativas de quebras de palavra chave Ataques a partir da rede interna Ataques a partir da rede externa Acesso indevido aos recursos da rede Falha na C pia de seguran a Acesso indevido aos recursos da rede Base de Dados corrompido Falhas Nega o dos servi os cr ticos do sistema Falha generalizada do sistema Ataques DOS ou DDOS Ataque de v rus spyware e spam Acesso indevido aos recursos da rede Ataques a partir da rede externa Ataques a partir da rede interna Perda acidental de dados cr ticos Falhas Nega o dos servi os cr ticos do sistema Falha generalizada do sistema Ataques a partir da rede externa Ataques a partir da rede interna Abuso de direit
71. emos restringir o acesso a escrita de dados para um determinado utilizador deixando apenas o acesso a leitura caso a sua actividade n o tiver privilegio para tal n o possui actividades como a actualiza o editar Wheeler 2011 Este controle utilizado normalmente em sistemas de aplica o onde cada responsabilidade concedida acesso a privil gios e dados espec ficos Controle de Acesso Baseado em Regras o acesso ao recurso controlado a partir regras previamente definidas Utilizados em dispositivos tais como firewall ou routers Controle de Acesso Baseado no Conte do pode ser entendido como a expans o do controle baseado em regras O acesso tamb m controlado a partir da filtragem em protocolos de comunica es Wheeler 2011 relata que o fluxo de comunica es pode ajudar a prevenir ataques comuns usando t cnicas de disfar ar ou abusar de ambiguidade em protocolos padr o mas isso tamb m pode adicionar mais sobrecarga e lat ncia para fun es de inspec o Mecanismos de controlo de seguran a Segundo Laureano 2005 os mecanismos de controlo de seguran a s o e Autentica o e autoriza o e Combate a ataques e invas es e Firewall e Detector de Intrusos 28 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Por sua vez Wheeler 2011 tem uma vis o mais alargada definindo a partir de servi os de seguran a
72. ente na seguran a da informa o Landoll 2011 defende a exist ncia de tr s conceitos chaves de vulnerabilidade a vulnerabilidade administrativa a vulnerabilidade t cnica e a vulnerabilidade f sica A vulnerabilidade administrativa consiste em lacunas nas pol ticas de seguran a nos procedimentos ou actividades de seguran a Ele tamb m define a vulnerabilidade t cnica como sendo falhas nos controles l gicos ou seja nos softwares mal configurados portas em sistemas abertos sem utilidade Por sua vez tamb m fala a respeito da vulnerabilidade f sica considerando os como sendo falhas nos sistemas da infra estrutura f sica da organiza o por exemplo buracos na cerca de veda o 2 4 Modelos de Controlo de Acesso e Mecanismo de Seguran a Na perspectiva de Wheeler 2011 existem quatro modelos de controlo de acesso utilizados nos mais variados ambientes Controle de Acesso Discricion rio o acesso controlado pelo propriet rio onde restringe o acesso a recursos a partir da identidade e necessidade de saber a respeito de utilizadores ou grupos Utilizado em grande escala nas comunica es usando o protocolo P2P 27 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Controle de Acesso Baseados na Fun o baseado nas actividades dos utilizadores Utiliza fun es responsabilidades de trabalho para definir o acesso ao recurso Pod
73. entende que o apoio da alta administra o no processo de implementa o fundamental Ao mesmo tempo conclui se que a universidade n o possui um documento de PSI logo a gest o de risco n o esta delineado em conformidade com a PSI 109 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Desta forma o caso pr tico realizado na Universidade Jean Piaget mostra nos o quanto ainda deve ser investido na seguran a da informa o pela alta administra o da universidade A gest o de risco onde foi dado maior enf se nos processos de avalia o e an lise de risco mostra as vulnerabilidades que os activos institucionais est o sujeitos vulnerabilidades essas que podem desencadear amea as com um n vel muito alto de risco A estimativa dos riscos mostrou nos o n vel de cada risco de referir alguns onde necess ria a aten o da alta administra o planos de ac o e responsabilidade de gest o espec fica pois s o riscos de n vel extremo ou alto Tamb m foram identificados riscos de n vel m dio que devem ser geridos pela monitoriza o espec fica ou procedimentos de resposta com a responsabilidade de gest o espec fica Por ltimo foram identificados riscos de n veis baixo onde precisar o de procedimentos de rotina e dificilmente de aplica o espec fica de recursos Como referido anteriormente concluiu se que a institui o n o possui
74. entificar os riscos analisar os riscos e avaliar os riscos risk evaluate A escolha de um m todo de avalia o um dos requisitos exigidos pela norma ISO 27001 2005 para se estabelecer um sistema de gest o da seguran a da informa o Segundo Dantas 2011 independentemente da escolha do modelo 3 fases destacam se durante a avalia o de riscos e Identificar os riscos e Analisar os riscos e Avaliar OS riscos 38 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Identificar os riscos As actividades s o direccionadas para identificar onde quando o porqu e como os eventos podem ocorrer de forma a prejudicar as actividades de neg cio da organiza o A norma ISO 27001 2005 estabelece que ao identificar os riscos a organiza o deve 1 Identificar os activos dentro do escopo do ISMS e os propriet rios desses activos 2 Identificar as amea as a esses activos 3 Identificar as vulnerabilidades que podem ser exploradas pelas amea as 4 Identificar os impactos que as perdas de confidencialidade integridade e disponibilidade podem causar aos activos Identificar os activos e seus propriet rios Dantas 2011 afirma que nesta fase resulta em levantamento de todos os activos do ISMS seus propriet rios e um valor atribu do para cada activo que expresse a sua import ncia em rela o perda do requisito de seguran a estabeleci
75. equ ncias impacto 1 2 3 4 5 A M dio Alto Alto Extremo Extremo B M dio M dio Alto Alto Extremo c Baixo M dio Alto Alto Alto D Baixo Baixo M dio M dio Alto E Baixo Baixo M dio M dio Alto Tabela 13 Matriz de Risco P vs adaptado AS NZS 4360 2004 HB 436 2004 A import ncia da matriz de risco depara na necessidade de visualizar graficamente a rela o entre as probabilidades e suas consequ ncias e possibilitar uma identifica o mais f cil dos riscos J com as bases estabelecidas resta apenas determinar o n vel de risco apresentado no quadro seguinte Amea as Probabilidade Impacto N vel de Risco Ex Funcion rios com credenciais de Autentica o de Sistemas D 3 M dio que desencadeia ac es Ex Alunos com credenciais de Autentica o de Sistemas que C 3 Alto desencadeia ac es Ex Colaboradores com credenciais de Autentica o de Sistemas D 3 M dio que desencadeia ac es Erros humanos B 4 Alto Espionagem por parte da concorr ncia D M dio Venda ou destrui o de informa es criticas por parte de C 5 Alto funcion rios mal intencionados Greve de pessoal inform tico C 2 M dio Engenharia Social B 4 Alto Degrada o de materiais C 2 M dio Fraude C 4 Alto Erro durante a utiliza o A 3 Alto Processamento ilegal dos dados C 4 Alto 80 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Furto de dispositiv
76. essamento de informa es Inexist ncia de auditorias peri dicas supervis o Inexist ncia de procedimentos para a identifica o e an lise avalia o de riscos Inexist ncia de relatos de falha nos arquivos logs de auditoria das actividades de administradores e operadores Resposta inadequada do servi o de manuten o Acordo de n vel de servi o SLA da sigla do termo em ingl s inexistente ou insuficiente Inexist ncia de procedimento de controlo de mudan as Inexist ncia de um procedimento formal para o controle da documenta o do SGSI Inexist ncia de um procedimento formal para a supervis o dos registos do SGSI Inexist ncia de um processo formal para a autoriza o das informa es dispon veis publicamente Atribui o inadequada das responsabilidades pela seguran a da informa o Inexist ncia de um plano formal de continuidade Inexist ncia de pol tica de uso de correio electr nico e mail Inexist ncia de procedimentos formal para a instala o de software em sistemas operacionais Aus ncia de registos nos arquivos de auditoria logs de administradores e operadores 119 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de X X X Xx X X X X Go de RD ui da 8 9 Riscos Inexist ncia de procedimentos para a manipula o de informa es classificadas Aus ncia d
77. fere seguran a da informa o 83 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos 5 3 2 A Informa o A informa o um activo que como qualquer outro importante para os neg cios tem um valor para a institui o e consequentemente necessita ser adequadamente protegida Segundo Wheeler 2011 a informa o pode ser encontrada de diversas formas desde em formatos pap is a formatos digitais Independentemente do seu estado em tr nsito no processo ou em repouso aconselh vel que ela seja protegida adequadamente 5 3 3 Princ pios da Seguran a da Informa o De acordo com o modelo padr o um sistema seguro deve garantir para a informa o tr s caracter sticas fundamentais a confidencialidade a integridade e a disponibilidade Por outro lado diversos t cnicos e estudiosos ligados a Seguran a da Informa o entendem que a evolu o da seguran a abriu a necessidade do acr scimo de mais conceitos a responsabilidade a autenticidade a aus ncia de rejei o entre outros A norma ISO IEC 27001 2005 define essas tr s caracter sticas de um sistema seguro Confidencialidade a propriedade de que a informa o n o esteja dispon vel ou revelada a indiv duos n o autorizados entidades ou processos Integridade a propriedade de salvaguardar a exactid o e plenitude dos activos Disponibilidade a propriedade de ser e uti
78. guran a Inform tica nas Organiza es FCA Editora Inform tica Lda Mcclure Stuart Scambray Joel Kurtz George 2009 Hacking Exposed 6 Network Security Secrets amp Solutions McGraw Hill Companies Monteiro Edmundo Boavida Fernando 2000 Engenharia de Redes Inform ticas 4 Edi o FCA Editora de Inform tica Lda Siewert Vanderson C s d Integra o da pol tica de seguran a da informa o com o Firewall p s gradua o lato sensu publicada Faculdade de Tecnologia do SENAI de Florian polis Spanceski Francini Reitz 2004 Pol tica de Seguran a da Informa o Desenvolvimento de um modelo voltado para Institui es de ensino monografia de Bacharelato publicada Instituto Superior Tupy Tipton Harold F Krause Micki 2008 Information Security Management Handbook CRC Press Taylor amp Francis Group LLC 112 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Wheeler Evan 2011 Security Risk Management Building an Information Security Risk Management Program from the Ground Up Elsevier Inc Young Carl S 2010 Metrics and Methods for Security Risk Management Elsevier Inc Dispon veis em linha AS NZS 4360 2004 dispon vel em lt www mwds com AS NZS 204360 2004 20 gt consultado em 2 01 2013 Boas pr ticas em Seguran a da Informa o 2 edi o pdf dispon vel em lt port
79. ica de Seguran a da Informa o em conformidade com a Gest o de Riscos evidenciado a import ncia que a mesma possui como mecanismo de protec o da informa o Apresenta assim um modelo desenvolvido na Universidade Jean Piaget de Cabo Verde a fim de preservar os recursos pertinentes da organiza o ao que se refere a seguran a da informa o onde a partir de uma Avalia o An lise de Risco efectuado previamente desenvolveu se um modelo de PSI que assegure a conformidade com a Gest o de Risco sendo este PSI o ponto de partida no processo de implementa o da seguran a da informa o Os objectivos tra ados foram atingidos com sucesso sem grandes sobressaltos Palavras chaves Pol tica de Seguran a da Informa o e Gest o de Riscos Agradecimentos A Deus Aos meus Pais Um especial agradecimento ao professor Jair Delgado pela sua orienta o pela sua disponibilidade e pela sua motiva o na realiza o deste trabalho monogr fico Por ltimo mas n o menos importante vai um especial agradecimento ao tutor Jairson Mendes Gloss rio ABNT Associa o Brasileira de Normas T cnicas AS NZS Australian New Zealand Standard ou padr o t cnico Austr lia Nova Zel ndia Backup c pia dos dados do computador de modo que possa ser usada para restaurar o original ap s um evento de perda de dados BS British Standart Padr o Brit nico de Normas T cnicas DDOS distribu dos ataque
80. idos com uma boa gest o de incertezas e de seus riscos optimizando as suas oportunidades e estabelecimento de estrat gias para o crescimento na busca da maximiza o dos resultados Entende ainda que os resultados negativos s o oriundos da falta ou da fragilidade dessa gest o onde os resultados podem trazer perdas de grandes propor es Pois desta forma o estudo de risco assume o protagonismo nas organiza es actuais proporcionando lhes um processo de gest o baseado nos ricos onde o desenvolvimento de um documento de Pol tica de Seguran a da Informa o deve estar em conformidade com o processo de tratamento do risco Tal como referenciado no estudo das artes deste trabalho a PSI segundo Carneiro 2002 incluem documentos que descrevem a forma adequada de utiliza o dos recursos as 108 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos responsabilidades dos intervenientes apresentam o que devem ser protegidos e descrevem os procedimentos a manter e desenvolver tudo com o objectivo de garantir a seguran a A PSI al m de incluir esses prop sitos ela tamb m deve ser capaz de fornecer orienta o e apoio a gest o de seguran a da informa o de acordo com requisitos de neg cio e as leis e regulamentos pertinentes entende a norma ISO IEC 27002 2005 Tamb m ela deve ser capaz de fornecer a todos o conhecimento das regras impostas pela empresa sabe
81. ientes apresentam o que devem ser protegidos e descrevem os procedimentos a manter e desenvolver tudo com o objectivo de garantir a seguran a A Pol tica de Seguran a apenas a formaliza o dos anseios da empresa quanto protec o das informa es Abreu 2002 apud Laureano 2005 Em um pa s temos a legisla o que deve ser seguida para que tenhamos um padr o de conduta considerado adequado s necessidades da na o para garantia de seu progresso e harmonia N o havia como ser diferente em uma empresa Nesta precisamos definir padr es de conduta para garantir o sucesso do neg cio Abreu 2002 apud Spanceski 2004 Tal como Abreu 2002 apud Laureano 2005 podemos considerar a PSI como sendo conjunto de directrizes normas ou leis que regem o bom funcionamento das actividades dentro da organiza o lutando pela seguran a dos activos da mesma A exist ncia de uma boa pol tica dentro da organiza o pode repudiar as m s pr ticas que levam por sua vez a exist ncia de vulnerabilidades no ceio da institui o 55 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos A pol tica de seguran a um mecanismo preventivo de protec o dos dados e processos importantes de uma organiza o que define um padr o de seguran a a ser seguido pelo corpo t cnico e ger ncia e pelos usu rios internos ou externos Pode ser usada pa
82. iiedasni santas aaa daa leads qd 105 5 3 10 Viola o da Pol tica advert ncia e puni es ii rreeeeea 106 CONCIUS O ssa aos a ia DUETOS SS nO On VA TTA 107 Bibi Bra gs E E EEE E AE a E E E E 112 ANEXO e e SR E NE SR a E RR E E SG 115 I Lista de verificag o as ias a Dea RN E A E ol 115 II Cuiao ide Ene asia ss E A E a RN Ea 120 11 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Tabelas Tabela 1 Matriz de riscos V A vs N A e V adaptado BS 7799 3 2006 42 Tabela 2 Matriz de riscos P vs C adaptado HB 436 2004 42 Tabela 3 Matriz de riscos A V e P adaptado HB 436 2004 42 Tabela 4 Tabela de mapeamento qualitativo adaptado Wheeler 2011 47 Tabela 5 Determina o do risco qualitativo adaptado Landoll 2011 47 Tabela 6 ISMS ISO IEC 27005 2008 adaptado ISO IEC 27005 2008 52 Tabela 7 Recursos Activos Identificados n nnsosonseneoeeeessssosoreseessssnseseoeesessssesereesesssssseree 71 Tabela 8 Vulnerabilidades RH Organiza o e amea as relacionadas s sssssseeeseeeeseeessee 74 Tabela 9 Vulnerabilidades F sicas e amea as relacionadas iis 76 Tabela 10 Vulnerabilidades L gicas e amea as relacionadas iiis 78
83. imamente ligadas na medida em que o agente de amea a que causa o acontecimento de uma amea a na perspectiva de Landoll 2011 Segundo Landoll 2011 Agentes de amea a s o o catalisador da amea a Ele apresenta uma lista de agentes de amea as Natural tempestades ou inunda es terramoto etc Landoll 2011 entende que ent o a natureza pode ser considerado o agente de amea a 24 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Empregados um empregado pode cometer um erro cr tico pode de forma intencional ou n o divulgar dados propriet rios ou at decidir em fraudar a organiza o Black Hackers apesar de n o estar conectada a internet os activos da institui o podem estar sob amea as a partir de ataques de engenharia social entre outros tipos de ataques off line perpetuado por hackers Industrial Spies a espionagem industrial pode resultar em perda de lucros vantagem competitiva entre outros Foreign Government Spies governos estrangeiros utilizam da espionagem para conseguir avan ar as suas habilidades ou at mesmo restringir o desenvolvimento do outro governo espionado Segundo Wheeler 2011 quando se fala na seguran a dos dados devemos pensar no controlo de tr s estados da informa o Em Tr nsito refere aos dados que est o a ser transmitidos electronicamente entre sistemas ou em transporte f sico No
84. is necess rio preserva la independentemente do estado que se encontre em transito no processo ou em repouso O processo de seguran a n o algo meramente executado por um pequeno grupo de pessoas no seio da organiza o mas pelo contr rio envolve todas as entidades de dentro da institui o ou seja algo que aplicado de forma horizontal e consistente segundo Mamede 2006 104 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Para garantir a continuidade dos neg cios a divis o tecnol gica conta com a colabora o de todos os envolvidos 5 3 7 1 1 Membros da Divis o Tecnol gica Nome Correio electr nico Telefone Cargo Jairson Mendes jmendes cv UniPiaget org 108 Director da DT Carlos Tavares ctavares cv unipiaget org 110 Administrador de Sistemas Ibraltino Moreno imoreno cv unipiaget org 111 Chefe da equipa de suporte Ismael da Rosa igrosa cv unipiaget org 111 T cnico de suporte Admar Correia a04208 alunos cv unipiaget org 111 T cnico de suporte estagi rio Tabela 15 Membros da Divis o Tecnol gica DT 2013 5 3 8 Termo de Concord ncia Declaro estar ciente das determina es acima compreendendo que qualquer n o comprimento dessas normas pode implicar na aplica o das san es disciplinares cab veis Identifica o do Funcion rio Colaborador Aluno Nome N de Identifica o Assinatura
85. isponibilidade acrescenta que a seguran a evoluiu e que h necessidade de acrescentar mais uma caracter stica aos pilares de sistemas seguro a responsabilidade Ele define a responsabilidade como Accountability describes the need for the ability to trace activities to a responsible source Wheeler 2011 2 2 1 Autenticidade Spanceski 2004 define a como a medida de protec o de um servi o informa o contra a personifica o por intrusos Quando referimos a autenticidade logo associamos a identifica o do utilizador A autenticidade pode ser definida como sendo a protec o de informa o e servi os contra a personifica o por indiv duos n o autorizados O servi o de autentica o em um sistema deve assegurar ao receptor que a mensagem realmente procedente da origem informada em seu conte do relata Spanceski 2004 21 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos O objectivo principal assenta no reconhecimento e evitar personifica o assegurar que quem diz ser realmente a correcta A informa o de quem a assinou 2 2 2 Confidencialidade E mesmo que proteger a informa o ou servi o contra o acesso a intrusos A confidencialidade da informa o quebrada quando o seu conte do for acessado por pessoas n o autorizados Garantir a confidencialidade requer evitar a divulga o n o autorizada da info
86. izados a recursos institucionais envolvendo aspectos como a preven o contra falhas de equipamentos inc ndios acesso de pessoas a locais restritos enchentes desastres naturais acidentes roubos e demais aspectos f sicos Essas pol ticas englobam normas e procedimentos para o controlo de acesso a mesa limpa o bloqueio de ecr e a utiliza o de laborat rios de inform tica 5 3 6 1 Controlo de acesso O controlo de acesso incide em reas onde cont m informa es e equipamentos que devem ser protegidos As salas de servidores os servi os financeiros e sociais sector documental gabinete de estudos e planeamento sala de coordenadores e directores s o reas onde o controle de entrada mais restrito mas isto n o significa que as demais reas n o est o contempladas 100 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos 5 3 6 1 1 Pol tica de controlo de acesso A divis o tecnol gica s devera ser frequentada por pessoas autorizadas sendo que os funcion rios devem usar cart es de identifica o Tamb m nos departamentos que trabalham com informa es confidenciais da institui o sector documental gabinete de estudos e planeamento sala de coordenadores e directores salas de servidores servi os financeiros e sociais unidades acad micas o acesso deve ser restrito a pessoas autorizadas A climatiza o das instala es
87. l ticas que podem ser implementados numa organiza o tais como refutat ria consultiva e informativa J entrando no processo de formula o de uma PSI o cap tulo retrata os n veis que uma pol tica esta sujeita n veis essas que englobam a alta administra o passando por t cnicos e demais intervenientes no processo de seguran a Cada n vel est relacionado a defini o de directrizes normas e procedimentos demostrado no diagrama de conceito da pol tica de seguran a da informa o 54 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos O processo de formula o de uma PSI abarca os conceitos chaves onde Carneiro 2002 entende a inclus o de tr s cap tulos importantes na formula o de uma PSI a finalidade o conte do e a implementa o Mas al m de Carneiro 2002 tamb m pode se encontrar neste capitulo as recomenda es do c digo de boas pr ticas a gest o de seguran a da informa o a ISO IEC 27001 2005 Finaliza se o cap tulo com uma breve exemplifica o dos modelos de seguran a modelos tais como Bell LaPadula de David Bell e Len LaPadula Biba de Kenneth J passando pelo modelo Chinese Wall de Brewer and Nash 4 1 Pol ticas de Seguran a da Informa o Na perspectiva de Carneiro 2002 as pol ticas de seguran a incluem documentos que descrevem a forma adequada de utiliza o dos recursos as responsabilidades dos interven
88. lar ou comercial e A utiliza o deve ser feita de forma racional e procurando n o desperdi ar recursos e Caso a impressora emita alguma folha em branco recoloque a na bandeja e Antes de solicitar a impress o verifique na impressora se o que foi solicitado j est impresso e Deve ser retirada com a maior brevidade da impressora os documentos que tenha solicitado para imprimir que possam conter informa es sens veis da institui o e N o permitido deixar impress es de qualquer informa o junto s impressoras ou impress es erradas na mesa das impressoras e Impress es que contenham informa es sens veis que n o tenham mais utilidade devem ser destru das visando preservar o sigilo 5 3 5 8 Backup O procedimento de cria o de c pias de seguran a uma parte cl ssica de operar um sistema inform tico segundo RFC 2196 Diversos c digos de boa pr tica seguran a da informa o recomendam a realiza o de backups regularmente nos dados e aplicativos essenciais aos neg cios de forma a garantir a recupera o ap s um desastre ou problemas em dispositivos magn ticos Tamb m 97 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos recomendam se testes regulares aos backups dos sistemas individuais garantindo a satisfa o dos requisitos do plano de continuidade dos neg cios 5 3 5 8 1 Pol tica de backup Na im
89. liz vel sob demanda por uma entidade autorizada 5 3 4 Pol tica de Seguran a da Informa o A pol tica de seguran a inclui documentos que descrevem a forma adequada de utiliza o dos recursos as responsabilidades dos intervenientes apresentam o que devem ser protegidos e descrevem os procedimentos a manter e desenvolver tudo com o objectivo de garantir a seguran a segundo Carneiro 2002 84 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos O C digo de pr tica para a Gest o da Seguran a da Informa o ISO IEC 27001 2005 define como objectivos de uma PSI de fornecer orienta o e apoio a gest o de seguran a da informa o de acordo com os requisitos de neg cios e as leis e regulamentos pertinentes 5 3 5 Pol ticas de Seguran a L gica A seguran a l gica um processo em que um sujeito activo deseja acessar um objecto passivo envolve aspectos de preven o contra intercepta o e modifica o de informa es desde sigilo no tr fego dos dados na rede altera es de softwares invas es em sistema acessos n o autorizados a informa o entre outros Essas pol ticas englobam normas e procedimentos para a administra o de contas a autentica o o correio electr nico o acesso a internet a utiliza o de rede estac es de trabalho a impressora backup v rus e malware 5 3 5 1 Administra o de Contas O processo de
90. mas projectos e ou estagi rios que necessitem de acesso aos recursos da rede Permiss es e Acesso a rede interna e Internet e Acesso apenas a seus documentos de utilizador em unidade local ou remota Acesso a documentos do sector em unidade local ou remota e Acesso e utiliza o de aplicativos e softwares instalados 88 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos A cria o altera o e desativa o do utilizador Projecto colaborador de inteira responsabilidade da divis o tecnol gica A altera o de palavra passe ser realizada pessoalmente na divis o tecnol gica mediante apresenta o do cart o de estudante ou BI 5 3 5 2 Autentica o Em praticamente todos os sistemas actuais de autentica o utilizam se palavra passe Elas s o utilizadas porque possuem um baixo custo Em contrapartida a sua ma defini o e utiliza o podem torna la numa vulnerabilidade para o sistema Muitas vezes depende do propriet rio que pode escolher palavras passe de f cil dedu o facilitando a descoberta da mesma por pessoas mal intencionados ou ainda compartilhar palavras passe com amigos e conhecidos Ea Ho ARA Pol tica de palavra passe A Request for Comments RFC 2196 define normas para a cria o de uma palavra passe consistente N o utilize palavras que est o no dicion rio nacionais ou estrangeiros N o utilize informa
91. mento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Outro benef cio que todos podem conhecer as regras impostas pela empresa sabendo como se comportar nos mais diferentes aspectos dentro da organiza o sabendo inclusive o que podem ou n o fazer Siewert s d considera que qualquer funcion rio cliente fornecedor ou parceiro pode conhecer a pol tica de seguran a da informa o e n o apenas determinado grupo de pessoas na organiza o Segundo Campos 2006 apud Siewert s d a pol tica contribui n o somente para a redu o de incidentes de seguran a da informa o mas tamb m para o aumento da produtividade De acordo com Silva 2004 apud Siewert s d a pol tica deve ir al m dos aspectos de sistemas de informa o e recursos computacionais integrando as pol ticas institucionais relativas seguran a em geral s metas de neg cios da organiza o e ao plano estrat gico de inform tica Ainda segundo Silva 2004 apud Siewert s d o objectivo atingido quando o relacionamento da estrat gia da organiza o o plano estrat gico de inform tica e demais projectos estiverem sincronizados Estrat gia Geral da Organiza o Contribui para Estabelece o atingimento da Define Pol tica de seguran a de informa es Plano estrat gico de inform tica Especifica Gera impactos sobre Planos de desenvolvimento de sistem
92. mo download de ficheiros dever o ser solicitados directamente a divis o tecnol gica com autoriza o do administrador de rede Os downloads de ficheiros da Internet devem ser realizados atrav s de sites confi veis e somente os que forem necess rios ao desempenho das actividades Ser o registados em log todos os acessos a sites possibilitando auditorias futuras e n o permitido burlar a estrutura de TI da institui o proibido a utiliza o de software de comunica o instant nea aplicativos que utilizam o protocolo P2P per to per uTorrent kTorrent bitTorrent etc O acesso a sites com conte do pornogr fico jogos instant messenger redes s cias bloqueado e as tentativas de acesso ser o monitorados N o permitido acesso a sites de proxy e tamb m a utiliza o de servi os de streaming youtube etc proibido utilizar recursos da rede para deliberadamente realizar propagar qualquer tipo de malware penetration test ass dio perturba o ou ainda a distribui o de softwares cracked Regras para funcion rios colaboradores Os equipamentos tecnologia e servi os fornecidos para o acesso internet s o de propriedade da institui o que pode analisar e se necess rio bloquear qualquer ficheiro site correio 92 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos electr nico dom nio ou aplica o a
93. naturais os n o intencionais e os intencionais Tamb m s o retratados factores que podem levar a estes acontecimentos medidas que devem ser tomadas para mitigar esses riscos A necessidade de atingir os objectivos no processo de gest o dos riscos torna se necess rio identificar os seus factores cr ticos de sucesso Sendo verdade pretende se demostrar os factores que influenciam na realiza o de uma gest o de riscos adequado a realidade da institui o igualmente importante antes de efectuar uma GR conhecer as etapas da avalia o de riscos Retrata se as fases b sicas de an lise avalia o de riscos independentemente do modelo escolhido fases essas que incluem a identifica o dos riscos a an lise dos riscos e a 31 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos avalia o dos riscos Apesar de n o ter dado enf se as restantes etapas do processo de GR tais como o tratamento de risco aceita o a comunica o do risco e a monitoriza o por n o considerar se como fundamentais para a realiza o do caso pratico Mas mesmo assim pode se consultar essas fazes na parte Modelos de GR j de uma forma menos aprofundada N o esquecendo a preven o e a reac o o actual cap tulo engloba as onde pretende se compreender as duas situa es que uma an lise de risco esta sujeita a antecipa o de eventos e a outra durante e ap s
94. ndio Hacker em algumas reas cr ticas ou a Pessoal interno aus ncia de um documento que indica a sua localiza o f sica em toda a Universidade Falta de manuten o peri dica Inc ndio provocado por curtos Hacker aos equipamentos de ar circuitos Pessoal interno condicionado Inexist ncia de uma defini o das Assalto Divis o Tecnol gica Hacker horas que dever o ser permitidas Acesso de pessoas n o autorizadas a Pessoal interno o acesso a pessoas estranha informa es importantes Divis o Tecnol gica Avaria de equipamentos inform ticos Avaria propositados de equipamentos inform ticos Inexist ncia de uma Pol tica de Degrada o do hardware Hacker manuten o peri dica a todos os Avaria de equipamentos inform ticos Pessoal interno 75 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de equipamentos da Universidade Riscos Falta de auditoria regular e peri dica rede f sica e hardware Alguns equipamentos est o expostos incid ncia de raios solares durante o dia Falta de uma rotina de substitui o peri dica Sensibilidade humidade poeira sujeira Sensibilidade radia o electromagn tica Alguns bastidores sem protec es apenas fechados com pinos de seguran a de f cil remo o e outros sem partes lateral e frontal Inexist ncia de um controle eficiente de mudan a de configura
95. ndo como se comportar nos mais diferentes aspectos dentro da organiza o sabendo inclusive o que podem ou n o fazer Mamede 2006 tem a mesma vis o onde entende que o processo de seguran a n o algo meramente executado por um pequeno grupo de pessoas no seio da organiza o mas pelo contr rio envolve todas as pessoas da organiza o No final deste estudo conclui se que em primeiro lugar o desenvolvimento de uma Pol tica de Seguran a deve estar em conformidade com a gest o de risco Respondendo as perguntas de partida elaboradas no in cio deste trabalho monogr fico pode se concluir que a institui o n o esta dotada de um documento de Pol tica de Seguran a da Informa o sendo este o ponto de partida na implementa o da seguran a da informa o recomendado que a institui o adopte um documento formal onde descreve a forma adequada de utiliza o dos recursos as responsabilidades dos intervenientes apresentam o que devem ser protegidos e descrevem os procedimentos a manter e desenvolver tudo com o objectivo de garantir a seguran a segundo Carneiro 2002 2 N o basta apenas a elabora o do documento tamb m recomendado a correcta implementa o onde Carneiro 2002 entende que implementa o deve ser feita por conjunto de hardware e software Ainda segundo Carneiro 2002 uma correcta implementa o depende do conhecimento e coopera o dos utilizadores A norma ISO IEC 27002 2005
96. nenhum documento formal de PSI adoptado Espera se que o modelo de PSI desenvolvido possa servir como base para uma futura implementa o de PSI na institui o Sendo assim o modelo levou em considera o pontos espec ficos de uma institui o universit ria entidades que fazem parte do quotidiano tais como funcion rios docentes alunos e colaboradores Todas essas entidades devem participar no processo de implementa o de seguran a Tamb m o documento sugeriu a cria o de pol ticas espec ficas divididos em pol ticas l gicas pol ticas f sicas e politicas no mbito social Estas pol ticas devem ser disponibilizadas a todos os funcion rios al m de serem divulgados para os alunos e demais envolvidos Recomenda se tamb m se necess rio treinamentos a funcion rios e demais entidades conscientizando o envolvimento de cada um na utiliza o adequada e na divulga o da pol tica de seguran a A norma ISO IEC 27002 2005 recomenda que a pol tica de seguran a da informa o deve ser revisto a intervalos planeados ou se mudan as significativas ocorrer para assegurar a sua 110 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos permanente aptid o adequa o e efic cia Tamb m a norma recomenda ser mantido um registo da gest o Finalizando a norma ISO IEC recomenda que a PSI deve ser devidamente formalizada perante a administra o at
97. nexist ncia de mecanismos de protec o f sica no pr dio portas e janelas Inexist ncia de relat rios de gest o equipamentos Inexist ncia de evid ncias que comprovem o envio ou o recebimento de mensagens Linhas de Comunica o desprotegidas Tr fego sens vel desprotegido Jun es de cabeamento mal feitas Ponto nico de falha N o identifica o e n o autentica o do emissor e do receptor 117 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de X E O DP g X X X lt Riscos Arquitectura insegura da rede Transfer ncia de palavra passe em claro Gest o de rede inadequado quanto flexibilidade de roteamento Satura o do sistema de informa o Conex es de redes p blicas desprotegidas Inexist ncia de uma pol tica de cria o e renova o de palavras chave Softwares e Sistemas Operativos piratas Inexist ncia de um sistema de classifica o para identificar quais as informa es cr ticas e quais dever o ser mais protegidas e menos protegidas In meros ataques de v rus cavalos de Tr ia worms Falta de auditoria regular aos softwares Vulnerabilidades de RH e Organiza o k 0 dl X X X X X X X X Inexist ncia de um acordo de confidencialidade celebrado entre a organiza o e o funcion rio Aus ncia de recursos humanos Proc
98. ntir a perfei o no atendimento e continuidade dos neg cios 60 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos 4 6 Formula o de Pol tica de Seguran a da Informa o As pessoas possuem conhecimentos diferentes e aposto todas as minhas fichas que em qualquer empresa sem uma pol tica de seguran a a configura o de uma cidade n o ser igual configura o de uma outra Wadlow 2000 apud Laureano 2005 Carneiro 2002 define como necessidade a inclus o de tr s cap tulos importantes na formula o de uma pol tica de seguran a da informa o e Finalidades Conte do e Implementa o 4 6 1 Finalidade A Finalidade segundo Carneiro 2002 deve Y Estar integrada nas pol ticas globais da empresa Y Considerar e obedecer aos objectivos Apresentar o programa global da seguran a em rede Mostrar a import ncia da sua determina o de lutar contra os riscos poss veis Definir as responsabilidades da implementa o e manuten o Nas CAS Ra Apresentar as normas e padr es de comportamentos perante o SI no que se refere aos seus utilizadores 4 6 2 Conte do O Conte do ainda segundo o autor deve Y Indicar os recursos a proteger v Indicar os softwares permitidos e a sua localiza o f sica na rede vY Descrever os acontecimentos na presen a de programas e dados que n o est o homologados no sistema operativ
99. nvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Conte do ClOSSATIO aa RD ARS DNS N GN ao 7 Cap tulo 1 IntrOdu O einni ps fadada i ado A E SATA ASR DO da ag 14 1 1 E ONICRIMANIZA O zanen r VI a S 14 L2 Relevancia de esttdo eosin enee ann a nd E N R A 15 1 3 ODJECUVOS seiiet peenaa EEEa e R E AA E EEA EEE is EAI EE cega 16 14 Metodologia ein eine a ea e Tags 16 1 5 Estrut ra dotrabalho sis e a e TEE E A E E E E 17 Cap tulo 2 Conceitualiza o da Seguran a da Informa o 18 2al Classifica o da iformat io nnna Sae aa N iaa 19 Bill S S E r EA EE E EE aaa AR na nepal rasa Sa Sana nad aaa 19 2 1 2 Co fidencial zeti kta iniae a neasi nii e E a ee ssa qua 19 AS CIDA as a DO a a A a e 20 21 43 Publicas iai REAR RG RD Sd OT N EA 20 2 2 Pilares dC SIS Seguro nina a ana GAR e ARSE 20 22 Autenticidade areaeeami grass seres pais jaS da Bed bunduda DAE LUA Danda anta aaa EE Saia ga ana sa iih 21 APOE OEO AEE Ade A SATO E E EA Up 22 22 3 Mntesidades reren Rd EE E E E EA A 22 224 Disp nibilidaden pennun a a R E a E a 23 2 3 Amea as e Vulnerabilidades asas asi ges a AEE aaa OEA STS CURAS e 24 2 4 Modelos de Controlo de Acesso e Mecanismo de Seguran a ii 27 Capitnlo 3 Gest o de RISCOS Saens na gaga GSE da ap 31 3 1 Conceito dO FISCO caspa e a RE E A EOE E 32 JL Equa o do TISCO assa uretra rei nmeniaa trens n R R NR R EA R E N aaa
100. o 61 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos v Indicar a autoria do processo de aprova o dos privil gios gerados e das autoriza es de acesso aos diversos componentes do SI v Apresenta o dos procedimentos necess rios para garantir a informa o sobre qualquer viola o de seguran a que possa ocorrer v Indica o dos gestores e a responsabilidade do ambiente operacional e dos respectivos procedimentos de controlo y Explicita perante os utilizadores o valor da adop o dos procedimentos de seguran a a fim de implica los em todas as ac es que garantam a seguran a do SI 4 6 3 Implementa o Carneiro 2002 entende que a implementa o deve ser feita por conjunto de hardware e software Programas devem possuir fun es de identifica o dos utilizadores controlo de acessos e de opera es al m de permitir a autoria do sistema e dos procedimentos Ainda segundo Carneiro 2002 uma correcta implementa o de uma pol tica de seguran a depende do conhecimento e coopera o dos utilizadores Todos devem ser instru dos no sentido de saberem y Adoptar comportamentos adequados perante poss vel viola o do SI YA quem devem recorrer em situa es que provoquem perguntas ou suspeitas v O que devem fazer no sentido de obterem a minimiza o dos riscos de seguran a V Que pol ticas e medidas de seguran a s o esta
101. o Sensibilidade a varia es de voltagem Armazenamento n o protegido adequadamente Uso inadequado ou sem os cuidados necess rios dos mecanismos de controlo do acesso f sico Fornecimento de energia inst vel Avaria de equipamentos inform ticos Acesso indevido aos recursos da rede Malware hackers Degrada o do hardware Inc ndio Avaria de equipamentos inform ticos Destrui o de equipamento Poeira corros o congelamento Radia o electromagn tica Acesso indevido aos recursos da rede Avaria de equipamentos inform ticos Acesso de pessoas n o autorizadas a informa es importantes Avaria propositados de equipamentos inform ticos Erro durante a utiliza o Interrup o de energia Furto de dispositivos e documentos Destrui o de equipamento Vandalismo Hacker Pessoal interno Pessoal interno Hacker Pessoal interno Hacker Pessoal interno Hacker Pessoal Interno Interrup o de energia DD I Tabela 9 Vulnerabilidades F sicas e amea as relacionadas Vulnerabilidades L gicos Inexist ncia de uma pol tica de cria o e renova o de palavras chave Amea as Ataques a partir da rede externa Ataques a partir da rede interna Acesso indevido aos recursos da rede 76 121 Agentes de Origem amea as Hacker Espionagem industrial Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o
102. o 3 3 2 Identifica o de Fontes 3 3 4 Estimativa do Risco 3 3 5 Avalia o de Risco 3 3 6 Tratamento de Risco 3 4 1 Evitar Riscos 3 4 6 Optimiza o de Riscos 3 4 3 Transfer ncia de Risco 3 4 7 Reten o de Risco 3 4 9 Aceita o de Risco 3 4 10 Comunica o de Risco 3 2 4 Figura 4 Etapas de G R ISO IEC Guide 73 2002 adaptado ISO IEC Guide 73 2002 3 7 2 Modelo segundo a norma AS NZS 4360 2004 A norma AS NZS 4360 2004 estabelece as seguintes etapas para o processo de gest o de riscos comunica o e consulta estabelecer o contexto avaliar o risco risk assessment tratar o risco monitorar e rever Comunicar e Consultar estabelece a troca de informa es constante e interactiva entre as partes envolvidas durante todo o processo de gest o dos riscos Estabelecer o contexto abarca actividades de estabelecimento do contexto interno externo e de gest o de riscos Avalia o de Riscos identificada analisados e avaliada os riscos de acordo com crit rios previamente estabelecidos 49 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Tratamento de Risco compreende ac es espec ficas para reduzir perdas potenciais e aumentar os seus benef cios Monitorar e Rever possui a caracter stica espec fica de interagir em todas as fases do processo de gest o de risco Estabelecer o Contexto o
103. o de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Vantagens da an lise quantitativa Objectivo Expresso em n mero real De mais f cil compreens o Estat sticas significativas Credibilidade Fornece uma base para a An lise Custo Benef cio Suporte a Decis es de Or amento Desvantagens da an lise quantitativa Complexo Os c lculos d ficel de entender Resultados n o confi veis Muito trabalho Falsa sensa o de Precis o 3 6 2 M todo qualitativo Riscos Segundo Wheeler 2011 a maioria das abordagens qualitativas utilizam uma escala relativa por exemplo baixa moderada a alta para classificar os riscos com base em alguns crit rios pr definidos para cada n vel Por outro lado Wheeler 2011 entende que muitos modelos quantitativos t m sido propostos mas isto depende sobre tudo dos dados hist ricos precisos sobre viola es anteriores e em compreender alguns conceitos avan ados matem ticos Uma alternativa para a abordagem quantitativa a constru o de um modelo simples em torno de uma escala qualitativa e utilizar a matriz de risco para determinar o n vel de exposi o final risco 46 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Impacto Alto M dio Baixo 5 Alto Alto Alto M dio Ee as G a M dio Alto M dio Baixo a Baixo M dio Baixo Baixo Tabela 4 Tabela de mape
104. o de impunidade Pagamento efectuado em esp cie aos funcion rios da empresa Funcion rios insatisfeitos com sal rios em atraso e sem perspectiva de continuidade no emprego Mercado altamente competitivo Informa es de alto poder estrat gico Benef cios e factores cr ticos de sucesso para a gest o de risco Na perspectiva de Dantas 2011 atingir os objectivos torna se necess rio identificar as principais vari veis que influenciam directamente no seu desempenho ou seja os seus factores cr ticos de sucesso 36 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos 3 3 1 Factores cr ticos de sucesso Dantas 2011 identifica os principais factores de sucesso para a gest o de riscos e O patroc nio da direc o da organiza o e A defini o dos requisitos da gest o alinhado com a miss o e os objectivos da empresa e O estabelecimento do escopo de todo o processo e O ambiente das actividades de neg cios e a criticidade do produto e A defini o de uma equipa multidisciplinar para o macroprocesso e suas responsabilidades definidas e defini o dos colaboradores de diversas reas da organiza o e as suas atribui es no processo e forma da comunica o interna e A cultura da seguran a da informa o e A identifica o dos principais activos e processos de neg cios e A confiabilidade da lista das principais
105. odelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Cap tulo 2 Conceitualiza o da Seguran a da Informa o Sendo este o primeiro cap tulo do estudo das artes procura se expor conhecimentos relacionados a seguran a da informa o Primeiramente apresenta se as vis es de v rios autores referentes a classifica o da informa o retratando a divis o que esta est sujeita divis o essa que passa pela informa o secreta confidencial interna ou p blica E igualmente importante conhecer os pilares de sistema seguro conceitos tais como a autenticidade a confidencialidade a integridade e a disponibilidade da informa o Ainda neste mesmo cap tulo apresenta se os conceitos de amea as e vulnerabilidade dando enf se em amea as e vulnerabilidades comuns a partir da consulta efectuado a v rias literaturas e normas de implementa o da seguran a da informa o Finaliza se o cap tulo com os Modelos de Controlo de Acesso e Mecanismo de Seguran a onde apresenta se a partir de servi os de seguran a uma s rie de mecanismo e controlos de acessos necess rios para a implementa o do processo de seguran a 18 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos 2 1 Classifica o da Informa o A import ncia da classifica o da informa o depara na necessidade que as organiza es possuem
106. ola es da seguran a Inexist ncia de an lises cr ticas peri dicas por parte da direc o Inexist ncia de procedimentos para o relato de fragilidades ligadas seguran a Inexist ncia de procedimentos para garantir a conformidade com os direitos de propriedade intelectual Riscos Pessoal interno Furto de equipamentos Hacker Pessoal interno Hacker Furto de equipamentos Pessoal interno Uso n o autorizado de equipamentos Hacker Pessoal interno Hacker Uso n o autorizado de equipamentos Uso n o autorizado de equipamentos Pessoal interno Tabela 8 Vulnerabilidades RH Organiza o e amea as relacionadas Vulnerabilidades F sicas Pouca seguran a a n vel de acesso barreiras contra acesso f sico Facilidade de acesso n o autorizado aos Computadores instalados nas salas de inform tica Defici ncia em normas pol ticas e procedimentos de seguran a Acesso descontrolado Divis o Tecnol gica N o se respeita o prazo de vida dos Hardwares Facilidade de acesso aos Amea as Agentes de Origem amea as Assalto Divis o Tecnol gica Hacker I Acesso indevido aos recursos da rede Acesso indevido aos recursos da rede Hacker I Avaria de equipamentos inform ticos Pessoal interno Co Pessoal interno Avaria de equipamentos inform ticos Acesso indevido aos recursos da rede Assalto Divis o Tecnol gica Degr
107. orma o em conformidade com a Gest o de Riscos A seguran a l gica f sica e de recursos humanos deve ser levado muito a s rio quando se fala da preserva o da informa o As vulnerabilidades encontradas tanto na seguran a l gica como na seguran a f sica e de recursos humanos levaram a que seja poss veis tais acontecimentos amea arem os pilares de um sistema seguro Todas as organiza es precisam elaborar pol ticas restritivas que assegure a conformidade com a gest o de risco para proteger as suas informa es e garantir a seguran a de toda a organiza o Actualmente as tecnologias de informa o est o dotadas de mecanismos e procedimentos que implementadas de maneira correcta e de acordo com o cen rio mitigar os riscos intencionais e n o intencionais Sabendo disso elaborou se algumas perguntas de partida onde pretende se at o final do referido estudo responder se as mesmas Eis as seguintes perguntas de partida que se colocam na realiza o deste trabalho monogr fico e Existem Pol ticas de Seguran a da Informa o adequadas e aprovados para a protec o da informa o voltada para a seguran a da informa o e gest o de riscos tratamento de riscos est previamente delineada em conformidade com as pol ticas de seguran a da informa o 1 2 Relev ncia de estudo Na era actual em que vivemos era da informa o depara se com uma quest o pertinente Como preservar um d
108. os Abuso de direitos Altera o de software Abuso de direitos 71 121 Riscos Pessoal interno Hacker Espionagem industrial Hacker Espionagem industrial Pessoal interno Hacker Espionagem industrial Hacker Espionagem industrial Hacker Espionagem industrial Hacker Espionagem industrial Pessoal interno Hacker Espionagem industrial Hacker Espionagem industrial Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Pessoal interno Inexist ncia de auditoria Abuso de direitos Hacker Espionagem industrial Pessoal interno Atribui o errada de direitos de Abuso de direitos Hacker acesso Espionagem industrial Pessoal interno Software amplamente distribu do Comprometimento dos dados Documenta o inexistente Erro durante a utiliza o Pessoal interno I Tabelas de palavra passe Fraudar direito de aceso Hacker I desprotegidas Servi os desnecess rios Processamento ilegal de dados Hacker permanecem habilitados Fraudar direito de aceso Espionagem industrial Inexist ncia de um controle eficaz Defeito de software Hacker de mudan a Espionagem industrial Pessoal interno Uso n o controlado de software Altera o de software Hacker Espionagem industrial Inexist ncia de relat rios de Utiliza o n o autorizada de Pessoal interno gest o equipamentos equipamentos
109. os e ou documentos C 4 Alto Uso n o autorizado de equipamentos B 3 Alto Abuso de direito B 4 Alto Dados de fontes n o confi veis C 3 Alto Falha de equipamentos C 3 Alto Roubo de dados ou informa es C 5 Alto Assalto Divis o Tecnol gica B 5 Extremo Acesso indevido aos recursos da rede A 3 Alto Degrada o do hardware D 2 Baixo Inc ndio provocado por curtos circuitos D 3 M dio Assalto departamentos C 5 Alto Acesso de pessoas n o autorizadas a informa es importantes C 5 Alto Avaria de equipamentos C 3 Alto Inc ndio D 3 M dio Avaria propositados de equipamentos inform ticos D 3 M dio Malware hackers A 4 Extremo Destrui o de equipamento D 3 M dio Poeira corros o congelamento D 2 Baixo Radia o electromagn tica C 4 Alto Interrup o de energia A 4 Extremo Furto de dispositivos e documentos B 5 Extremo Vandalismo D 2 Baixo Ataques a partir da rede externa A 3 Alto Ataques a partir da rede interna A 4 Extremo Ataques e tentativas de quebras de palavra chave B 4 Alto Falha na C pia de seguran a C 5 Alto Base de Dados corrompido D 5 Alto Falhas Nega o dos servi os cr ticos do sistema C 4 Alto Falha generalizada do sistema C 5 Alto Ataques DOS ou DDOS A 3 Alto Ataque de v rus spyware e spam A 4 Extremo Perda acidental de dados cr ticos C 5 Alto Altera o de software B 3 Alto Comprometimento dos dados B 4 Alto Fraudar direito de aceso A 3 Alto Processamento ilegal de dados C 3 Alto Defeito de softw
110. os maiores activos de uma organiza o a informa o A Seguran a da Informa o tem estado debaixo de varias amea as amea as essas que colocam em risco a integridade da informa o N o esquecendo de que essas amea as podem ser atenuadas e combatidas a partir da implementa o de medidas de seguran a tais como pol ticas de seguran a da informa o Pretende se a partir de uma Avalia o An lise de Risco efectuado previamente desenvolver um modelo de PSI que assegure a conformidade com a GR sendo uma PSI o ponto de partida no processo de implementa o da seguran a da informa o 15 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos 1 3 Objectivos Esta mem ria tem como objectivo geral e Desenvolver um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos focada no ambiente organizacional da Universidade Jean Piaget O objectivo espec fico assenta Em conhecer a import ncia de uma PSI como medida de preven o e se a mesma est delineada em conformidade com a gest o de riscos tratamento de risco Em realizar uma Avalia o An lise de risco a seguran a da informa o da institui o e E desenvolver um modelo de pol tica de seguran a da informa o adequado a realidade da institui o levando em conta a an lise de riscos efectuado a priori 1 4 Metodologia A metodologia a ser ado
111. phia 5 2 Avalia o de Risco A norma ISO Guide 73 2002 entende que a Avalia o de Risco risk assessment envolve a an lise de riscos risk analysis e a sua avalia o risk evaluation para estabelecer o n vel do risco 69 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos 5 2 1 An lise de Risco Segundo Ferreira 1995 o desenvolvimento de PSI deve levar em considera o a realiza o da an lise de risco para identificar os recursos que a PSI deve preservar e conhecer os riscos aos quais a institui o esta sujeito 5 2 1 1 Identifica o de Riscos Na realiza o da an lise de risco foram identificados recursos activos pertinentes que merecem ser resguardados pois estes cont m valores e informa es relevantes da institui o Os recursos activos identificados foram divididos em classes Recursos activos Humanos Docentes Recursos activos F sicos Recursos activos L gicos DT Software de Gest o Primavera LED Sistema de Gest o Acad mica Funcion rios Laborat rio de Inform tica Procedimentos de solicita o de Colaboradores informa o SD SAA SFS SE GEP Unidade Ci ncia e Tecnologia Sala de docentes Mediateca Reprografia Casa de m quinas PBX e extens es Sistemas de cablagens de rede e comunica o Sistema de alimenta o el ctrica Sistema de ventila o e AC Software Sofia Sistemas
112. plementa o da c pia de seguran a deve se levar em considera o a import ncia da informa o n vel de classifica o utilizado sua periodicidade de actualiza o e tamb m sua volatilidade conforme as seguintes premissas e Realizar backup visando diminuir os riscos de continuidade e Manter os backups em local f sico distante da localidade de armazenamento dos dados originais e Verificar a integridade da informa o armazenada e Avaliar a funcionalidade dos procedimentos e Identificar procedimentos desactualizados ou ineficazes e Identificar falhas ou defeitos S o de responsabilidade da divis o tecnol gica os procedimentos relacionados pol tica de backup e Documentar testar e avaliar regularmente as tarefas de backup e Aplicar testes de recupera o e valida o dos backups mensalmente e Realizar pesquisas frequentes para identificar actualiza es novas vers es do produto ciclo de vida sugest es de melhorias entre outros e Posicionar o servidor de backup em local seco climatizado seguro e isolado visando seguran a integridade e inviolabilidade dos dados e Os dispositivos de backup devem ser devidamente identificadas inclusive quando for necess rio efectuar altera es nas etiquetas e Monitorar e controlar o tempo de vida e uso dos dispositivos de backup com o objectivo de excluir dispositivos que possam apresentar riscos de grava o ou de restaura o decorrentes do uso
113. prolongado ou expirando o prazo de validade 98 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos e Formatar e testar dispositivos que apresentam erros Caso o erro persista dever o ser inutilizadas Dever haver um formul rio de controlo r gido de execu o dessas rotinas Implementar procedimentos de c pias de seguran a e recupera o de informa es e Incluir no or amento anual a renova o dos dispositivos em raz o de seu desgaste natural bem como dever ser mantido um estoque constante dos dispositivos para qualquer uso de emerg ncia A pol tica de backups de acordo com o servi o dever ocorrer da seguinte maneira Di rio e de prefer ncia incremental nos servidores de base de dados e Devem ser autom ticos e preferencialmente em per odos em que n o haja actividade intensa na rede Semanal do conte do dos servidores web dns Idap pdc samba proxy firewall e vpn 5 3 5 9 V rus e Malware Segundo Mcclure et al 2009 Malware geralmente aceite dentre as mais populares t cnicas como um termo que engloba todas as formas de software malicioso incluindo e V rus programas infecciosas que podem reproduzir se mas exigem interac o para se propagar Worms programas infecciosas que podem se auto propagar atrav s da rede e Rootkits e back doors destinados a infiltrar em sistema esconder a sua pr pria pre
114. ptada neste trabalho enquadra na tipologia de estudo de caso onde a partir da descri o e interpreta o de caso em estudo procura se responder aos objectivos tra ados al m da pesquisa documental e bibliogr fica A pesquisa de campo estudo de caso ou seja o conhecimento na pr tica sobre gest o de riscos implementa o de pol ticas vulnerabilidades amea a riscos e formas de protec o A recolha de dados baseia se no primeiro momento numa revis o da literatura onde ser o abordados os conceitos te ricos que serviram para analisar os pontos chaves e fundamentais para compreens o do tema e a partir daqui formular o instrumento de colecta de dados No segundo momento realiza se uma pesquisa fundamentada nas t cnicas de question rio e entrevista na recolha de informa es direccionado aos respons veis da rea de seguran a da informa o da institui o Finaliza com uma Avalia o de Riscos e o desenvolvimento de um modelo de pol tica de seguran a da informa o 16 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos 1 5 Estrutura do trabalho O trabalho inicia se pelo cap tulo 1 Introdu o onde faz refer ncia ao tema em estudo a contextualiza o a relev ncia do estudo defini o dos objectivos gerais e espec ficos s hip teses s metodologias utilizada e por fim breve explica o da estrutura do trabalho monogr fico
115. que abrigam equipamentos de inform tica e de comunica es devem obedecer a padr es t cnicos especificado nos manuais de utiliza o Perante a perda de chaves de departamentos ou laborat rios deve ser informada a coordena o respons vel para que possa providenciar a troca da fechadura 5 3 6 2 Mesa limpa e Bloqueio de ecr clear desk and lock screen Os funcion rios devem considerar as pol ticas de mesa limpa e de bloqueio de ecr de modo que dispositivos remov veis pap is e a quando da n o utiliza o das informa es nos computadores elas sejam salvaguardados da exposi o diminuindo o risco de acesso n o autorizado perda e danos informa o 5 3 6 2 1 Pol tica de mesa limpa e bloqueio de ecr Os dispositivos magn ticos e pap is contendo informa es n o devem ser deixados sobre as mesas se n o estiverem a ser utilizados devem ser guardados de maneira adequada A quando da n o utiliza o das informa es nos computadores elas devem ser salvaguardados da exposi o evitando a visualiza o por outras pessoas que estiverem no departamento por exemplo pode efectuar o bloqueio de ecr 101 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Material contendo informa es pessoais ou institucionais devem ser guardadas em lugares seguros As chaves de acesso a departamentos laborat rios etc tamb m devem
116. r 2011 a defini o do risco pode ser ainda entendido como sendo a probabilidade de ocorr ncia e magnitude de futuras perdas A partir destas duas defini es Wheeler 2011 define o foco pretendido para a fun o da seguran a da informa o The probable frequency and probable magnitude of future loss of confidentiality integrity availability or accountability A partir das defini es dos diversos autores acima citados conclui se que o risco esta intimamente associado a probabilidade de ocorr ncia dum evento e suas consequ ncias negativas 3 1 1 Equa o do risco A determina o de risco de seguran a portanto dependente das amea as identificadas medidas e vulnerabilidades e baseado na probabilidade de amea a vulnerabilidade o valor do activo afectado e do impacto que amea a vulnerabilidade ter sobre o activo segundo Landoll 2011 Na perspectiva de Landoll 2011 a equa o b sica para calcular o risco Risco Activos x Amea as x Vulnerabilidade Landoll 2011 entende que esta simples equa o uma mera ilustra o do princ pio do c lculo do risco baseado no conhecimento do valor do activo estendido a amea as e a probabilidade de amea as explorar uma vulnerabilidade existente Risco Activos Amea as s Vulnerabilidade Criticidade de activos Componentes de amea as Administrativo Avalic o de activos Declara es de amea as T cnico F sico Figura 1
117. r armazenadas apenas informa es comuns a todos 93 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos E proibido criar e ou remover ficheiros fora da rea pertencente ao utilizador e ou que venham a comprometer o desempenho e funcionamento do sistema O acesso a sistemas deve ser controlado pela identifica o do utilizador e pela palavra passe sendo as palavras passe compartilhadas excepcionais e autorizadas pela divis o tecnol gica Regras para funcion rios E obrigat rio armazenar os ficheiros pertencentes institui o no servidor de ficheiros para garantir a c pia de seguran a dos mesmos S tem a compet ncia de efectuar a repara o dos equipamentos inform ticos os profissionais da divis o tecnol gica A utiliza o de equipamentos de inform tica de particulares dever o ser comunicados a coordena o do departamento e a divis o tecnol gica A quando da rescis o do funcion rio deve se informar a divis o tecnol gica para providenciar a desativa o dos acessos do utilizador qualquer recurso da rede Regras para alunos No final de cada semestre procede se a remo o dos conte dos nas contas de utilizador contudo o aluno ou professor que desejar manter suas informa es deve providenciar a c pia dos ficheiros sempre ao final do semestre Quanto a utiliza o de equipamentos de inform tica particulares o al
118. r mantido Aprova o de Gest o para a pol tica revista deve ser obtida segundo a ISO IEC 27002 2005 4 7 Modelos de Seguran a Mamede 2006 entende que um modelo de seguran a constitui um meio de formaliza o de pol ticas de seguran a Denning amp Denning 1998 ou seja para a completa formula o de uma pol tica de seguran a recorre se a modelos onde s o descritas as entidades controladas pela pol tica e as regras que a constituem Ainda segundo Mamede 2006 os modelos podem ser tipificadas Summers 1997 segundo o seu enfoque principal da seguinte forma e Confidencialidade e Integridade 64 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos e H bridos e Composi o e n o interfer ncia e Baseados em crit rios de senso comum Como exemplos de modelos de seguran a podemos referir os modelos e Bell LaPadula de David Bell e Len LaPadula e Biba de Kenneth J e Chinese Wall de Brewer and Nash 65 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Cap tulo 5 Desenvolvimento de um modelo de PSI o caso da Uni Piaget CV O presente cap tulo consiste no modelo de Pol tica de Seguran a da Informa o desenvolvido na Universidade Jean Piaget que pretende ser um mecanismo preventivo de protec o da informa o e processos importantes na institui o
119. ra alguns dos importantes requisitos para o monitoriza o de eventos Y As entradas de log devem ser normalizadas em um formato comum Y Servi os de monitoriza o de eventos devem responder por diferen as de fusos hor rios Y Os registos devem ser correlacionados entre sistemas de origem e localiza es yY Deve incluir o monitoriza o em tempo real e alerta significativa Gest o de vulnerabilidades monitoriza o de servi os em tempo real do entorno para as vulnerabilidades emergentes e tamb m executar regularmente avalia es profundas Wheeler 2011 entende qua a verifica o inclui N veis de patch Servi os n o autorizados ou vulner veis Software n o autorizado ou vulner vel Configura es n o autorizadas ou vulner veis Controles de seguran a insuficiente ou fracos So SE SM Mo AE SN Credenciais de autentica o fraca e Protocolos vulner veis 30 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Cap tulo 3 Gest o de Riscos Sendo este um cap tulo direccionado a gest o de riscos pretende se percorrer todos os conceitos chaves relacionado a mesma Primeiramente o cap tulo inicia se com o conceito do risco ou seja a defini o do risco onde apresenta se a equa o do risco e suas vari veis Depois de entender o conceito de riscos segue se a origem dos riscos e suas classifica es tais como os riscos
120. ra definir as interfaces entre usu rios fornecedores e parceiros e para medir a qualidade e a seguran a dos sistemas atuais Dias 2000 apud Laureano 2005 Para Laureano 2005 uma pol tica de seguran a atende a v rios prop sitos Descreve o qu e porqu esta sendo protegido Define prioridades e custo do que esta sendo protegido Estabelece um acordo com v rias partes na empresa no que diz respeito ao valor da seguran a CLAN e Define regras v lidas para dizer n o quando necess rio Proporciona ao departamento de seguran a a autoridade necess ria para sustentar o n o e Impede um desempenho f til do departamento de seguran a Na vis o de Carneiro 2002 as pol ticas devem garantir o cumprimento de todos os servi os de seguran a e A Autentica o e A Confidencialidade e A Integridade e A Aus ncia de rejei o e A Disponibilidade dos recursos a entidades devidamente credenciados e E o Controlo de acesso 4 2 Caracter sticas de uma pol tica Segundo Siewert s d uma pol tica de seguran a da informa o n o deve ser elaborada se n o tiver as seguintes caracter sticas e Simples de f cil leitura e entendimento 56 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Objectiva deve especificar os objectos que a pol tica retrata e estabelecer normas pontuais devendo n o ser extensas
121. rabalho certifique se que terminaste a sec o 5 3 5 6 1 Pol tica de utiliza o de estac o de Trabalho Pro be se nas estac es e Instalar jogos e aplicativos de qualquer natureza sem autoriza o da divis o tecnol gica e Executar aplicativos que n o sejam os instalados nos dispositivos e Personificar as configura es pr definidas das esta es de trabalho e Movimentar ou trocar os perif ricos rato teclado monitor etc ou dispositivos do lugar original Mantenha na sua esta o somente o que for sup rfluo ou pessoal Todos os dados relativos institui o devem ser mantidos no servidor onde existe um sistema de backup di rio e confi vel 96 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos 5 3 5 7 Impressora Sendo uma importante ferramenta no aux lio realiza o dos trabalhos o uso da mesma requer defini o de normas pois as impressoras da institui o s o partilhadas pelos diversos funcion rios a partir da rede interna A seguir est o definidos normas de utiliza o das impressoras 5 3 5 7 1 Pol tica de utiliza o de Impressora e Devem ser utilizadas exclusivamente para impress o de documentos ou outras informa es que sejam de interesse da universidade ou que estejam relacionados com o desempenho de suas actividades acad micas e proibida a impress o de material estritamente de interesse particu
122. rav s de um documento formal que expresse as preocupa es da organiza o e estabele a as linhas mestras para a gest o da seguran a da informa o aprovado pela Direc o publicado e comunicado de forma adequada a todos os intervenientes no processo de seguran a da informa o 111 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Bibliografia Carneiro Alberto 2002 Introdu o Seguran a dos Sistemas de Informa o Seguran a um factor de sucesso Auditoria Politicas e Benef cios da Seguran a Lisboa FCA Editora de inform tica Dantas Marcus Leal 2011 Seguran a da Informa o uma abordagem focada em gest o de riscos Livro R pido Olinda PE Ed Skoudis and Tom Liston 2005 Counter Hack reloaded Prentice Hall NJ Ferreira Jorge colabora o de Alves Sebasti o 1995 Manual T cnico de Seguran a dos Sistemas e Tecnologias de Informa o Instituto de Inform tica Freitas Eduardo Mello 2009 Gest o de riscos Aplicada a sistemas de informa o Seguran a estrat gica da informa o Universidade Candido Mendes Brasil Hadnagy Christopher 2011 Social Engineering The Art of Human Hacking Wiley Publishing Inc Indianapolis Indiana Landoll Douglas J 2011 The Security Risk Assessment Handbook a complete guide for performing Risk Assessment CRC Press Mamede S Henrique 2006 Se
123. rma o e assegurando o valor da mesma Segundo a norma ABNT NBR ISO IEC 27002 2005 apud Dantas 2011 a confidencialidade a garantia de que a informa o acess vel somente por pessoas autorizadas a terem acesso A informa o somente pode ser acessado por pessoas explicitamente autorizadas E a protec o de sistemas de informa o para impedir que pessoas n o autorizadas tenham acesso ao mesmo Laureano 2005 Wheeler 2011 entende que a confidencialidade da informa o deve ser garantida na medida que elas n o devem ser divulgadas a pessoas n o autorizadas processos e dispositivos Segundo Mamede 2006 a confidencialidade tem a ver com o estabelecimento de segredo assegurando que algo ou algu m n o tem autoriza o 2 2 3 Integridade A integridade assenta na protec o da informa o ou servi o contra a modifica o danos por indiv duos n o autorizados e tem por objectivos evitar e detectar altera es nas informa es A quebra da integridade acontece quando a informa o falsificada destru da roubada ou corrompida A informa o deve manter no seu estado original Impedir que ela seja criada modificada ou destru da na perspectiva de Wheeler 2011 22 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos A integridade a garantia da exactid o e informa o completa dos m todos de processamento AB
124. rmazenados na rede internet estejam eles em disco local na esta o ou em reas privadas da rede visando assegurar o cumprimento de sua Pol tica de Seguran a da Informa o A internet disponibilizada pela institui o aos seus funcion rios colaboradores independentemente de sua rela o contratual pode ser utilizada para fins pessoais desde que n o prejudique o andamento dos trabalhos nas unidades Ser o realizados relat rios dos s tios acessado se necess rio a publica o desse relat rio e presta o de contas E proibida a divulga o e ou o compartilhamento no dom nio p blico na internet de informa es da rea administrativa ou qualquer outra respeitante a universidade sem a autoriza o da alta administra o 5 3 5 5 Utiliza o de Rede Garantir a seguran a depende muito das protec es existentes na rede portanto para a utiliza o da rede est o definidas normas que abrangem a autentica o a manuten o de ficheiros no servidor e a tentativas n o autorizadas de acesso Essas normas s o tanto para a rede wireless quanto para a rede wired 5 3 5 5 1 Pol tica de utiliza o de Redes Wired Regras Gerais Aconselha se aos utilizadores a fazerem manuten o no direct rio pessoal evitando ac mulo de ficheiros desnecess rios Armazenamentos compartilhados n o dever o ser utilizados para guardar ficheiros que contenham assuntos sigilosos ou de natureza sens vel devem se
125. rotocolo para actualizar e pesquisar direct rios sobre TCP IP NBR Norma Brasileira abreviatura de Associa o Brasileira de Normas T cnicas P2P arquitectura de sistemas distribu dos caracterizada pela descentraliza o das fun es na rede onde cada nodo realiza tanto fun es de servidor quanto de cliente Port Scanner aplicativo desenhado para varrer portas em host na rede PSI Pol tica de Seguran a da Informa o RFC 2196 Request for Comments guia para a defini o de pol ticas de seguran a de computadores e procedimentos para s tios que possuem sistemas na Internet Samba servidor utilizado em sistemas operacionais do tipo Unix que simula um servidor Windows permitindo que seja feito a opera es em rede Microsoft Servidor Pdc Primary Domain Controller servidor em dom nio do Windows tem uma conta de administra o que tem total controlo dos recursos do dom nio Servidor Proxy servidor intermedi rio que atende a requisi es transmitindo os dados do cliente Servidor www servidor respons vel por aceitar pedidos HTTP de clientes Sniffer analisador de pacotes geralmente aplicativo que pode interceptar e registar o tr fego ao longo de uma rede ou parte de uma rede Spam mensagem electr nica n o solicitada enviada em massa Vpn virtual private network estende se uma rede privada e os recursos contidos na rede atrav s de redes p blicas como a Internet Dese
126. sen a e fornecer controlo administrativo e funcionalidade de monitoriza o para um utilizador n o autorizado ou atacante e Bots e zombies muito semelhante ao rootkits e back doors mas focado adicionalmente em usurpar os recursos do sistema da v tima para executar uma determinada tarefa ou tarefas e Software Cavalos de Tr ia que faz outra coisa do que ou em adi o a a sua funcionalidade pretendida Normalmente isso significa a instala o de um rootkits ou back doors 99 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos 5 3 5 9 1 Pol tica de v rus e c digo malicioso Mantenha o antiv rus do seu dispositivo actualizado Nas estac es de trabalho cabe a equipe de seguran a efectuar a actualiza o dos antiv rus mas caso n o tenha sido efectuado ou perceba que a actualiza o n o est funcional entre em contacto com a divis o tecnol gica para que a situa o possa ser corrigida N o recomendado trazer dispositivos magn ticos remov veis de fora da institui o Se n o houver outra forma certifique se n o cont m c digo malicioso Informe atitudes suspeitas em seu sistema a equipe t cnica para que poss veis amea as sejam identificadas no menor espa o de tempo poss vel 5 3 6 Pol ticas de Seguran a F sica A seguran a f sica tem como objectivo proteger equipamentos e informa es contra utilizadores n o autor
127. ser guardadas em lugares seguros 5 3 6 3 Utiliza o de laborat rios de inform tica S o permitidos acesso aos laborat rios somente aos alunos regularmente matriculados nos cursos de gradua o e p s gradua o registados na divis o tecnol gica funcion rios t cnico administrativos e aos docentes Os demais interessados que n o constam do grupo acima referido devem solicitar permiss o perante o respons vel pela coordena o dos laborat rios dispon vel na sec o Membros da divis o tecnol gica 5 3 6 3 1 Pol tica de utiliza o de laborat rios de inform tica A utiliza o dos Laborat rios de Inform tica tem como objectivo proporcionar suporte no processo ensino aprendizagem desenvolvido nos cursos proibida a utiliza o de laborat rios de inform tica para os seguintes efeitos e Instalar jogos e aplicativos de qualquer natureza Executar aplicativos que n o sejam os instalados nos dispositivos e Personificar as configura es pr definidas das esta es de trabalho e Movimentar ou trocar os perif ricos rato teclado monitor etc ou dispositivos do lugar original Acessar a sites de conte do pornogr fico e Acessar redes s cias e Utilizar telem veis e Retirar material ou equipamento do Laborat rio 102 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos e Executar aplicativos que utilizam o protocolo
128. st ncia de mecanismos de protec o f sica no pr dio portas e janelas Facilidade de acesso aos servidores Circula o de pessoas estranha na Universidade sem identifica o Pastas f sicas que cont m informa es cr ticas em locais de f cil acesso dentro da Divis o Tecnol gica e LED Facilidade de desvios de equipamentos dentro da Divis o Tecnol gica Portas e janelas da Divis o Tecnol gica um dos sectores mais cr ticos da Universidade feita de vidro e madeira Cabos desarrumados e entrela ados dentro dos bastidores e em toda a Divis o tecnol gica Falta de arruma o dos equipamentos e das ferramentas dentro da Divis o tecnol gica Inexist ncia de extintores de fogo em algumas reas cr ticas ou a aus ncia de um documento que indica a sua localiza o f sica em toda a Universidade Falta de manuten o peri dica aos equipamentos de ar condicionado Inexist ncia de uma defini o das horas que dever o ser permitidas o acesso a pessoas estranha Divis o Tecnol gica Inexist ncia de uma Pol tica de manuten o peri dica a todos os equipamentos da Universidade Falta de auditoria regular e peri dica rede f sica e hardware Alguns equipamentos est o expostos incid ncia de raios solares durante o dia Vulnerabilidades l gicas X X X O X Procedimentos de teste de software insuficientes ou inexistentes Falhas conhecidas no software N o execu o do logout
129. t ncia de pol tica de uso de correio electr nico e mail Inexist ncia de procedimentos formal para a instala o de software em sistemas operacionais Inexist ncia de um processo disciplinar no caso de incidentes relacionados seguran a da informa o Inexist ncia de uma pol tica formal sobre o uso de computadores m veis Inexist ncia de controlo sobre activos fora das depend ncias Pol tica de mesas e telas limpa Abuso de direitos Abuso de direitos Abuso de direitos Abuso de direitos Abuso de direitos Dados de fontes n o confi veis Falha de equipamentos Erro durante a utiliza o Erro durante a utiliza o Furto de equipamentos Furto de equipamentos Furto de equipamentos Roubo de informa o I 73 121 Hacker Pessoal interno Hacker Pessoal interno Hacker Pessoal interno Hacker Pessoal interno Hacker Pessoal interno Hacker Pessoal interno Hacker Pessoal interno Hacker Pessoal interno Hacker Pessoal interno Hacker Pessoal interno Hacker Pessoal interno Hacker Pessoal interno Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de clear desk and clear screen inexistente ou insuficiente Inexist ncia de autoriza o para as instala es de processamento de informa es Inexist ncia de mecanismos completo estabelecidos para a monitoriza o de vi
130. t o de Riscos Cap tulo 1 Introdu o 1 1 Contextualiza o As tecnologias de informa o transformaram e de que maneira as estruturas organizacionais N o podemos esquecer que al m de trazer melhorias significativas ela tamb m trouxe consigo novas amea as integridade da informa o As amea as intencionais e n o intencionais colocam em risco a autenticidade confidencialidade integridade e disponibilidade da informa o A 11 de Setembro de 2001 um ataque terrorista devastou um dos maiores centros econ micos do mundo actual em Dezembro de 2004 a f ria da natureza provocou uma das maiores cat strofes naturais o Tsunami Ambos tiveram consequ ncias em comum a perda do maior activo de uma organiza o a informa o Varias institui es sediadas na World Trade Center acabaram por fechar depois dos ataques devido a inexist ncia de planeamento e medidas eficientes capazes de colmatar as perdas relata Dantas 2011 Ainda segundo Dantas 2011 ataques recentes a sites governamentais norte americano demostraram a fraqueza de sistemas inform ticos vulner veis Documentos confidenciais foram divulgados no site da Wikileaks Actualmente uma das maiores empresas petrol feras teve a sua seguran a f sica violada onde foram roubados computadores que continham informa es confid ncias Esta falha p s em risco uma receita astron mica 14 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Inf
131. ta utiliza o devera ser feita somente mediante a reserva garantindo assim que exista um registo de utiliza o 103 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos 5 3 7 mbito Social A engenharia social o processo de explorar a fraqueza humana que inerente a todas as organiza es O objectivo do atacante fazer com que o empregado divulgue algumas informa es que devem ser mantidas em sigilo entende Hadnagy 2011 Os seguintes procedimentos devem ser seguidos pelos funcion rios com o intuito de prevenir a engenharia social e Evite dialogar sobre a pol tica de seguran a da informa o com pessoas de fora da institui o e em locais p blicos Jamais divulgue a sua palavra passe a terceiros A equipa t cnica nunca ir solicitar a sua palavra passe Evite fazer a autentica o de servi os em dispositivos de terceiros particularmente fora da institui o e Nunca execute procedimentos t cnicos cujas instru es tenham sido enviados por correio electr nico Deixe a equipa t cnica informada a respeito de solicita es que contradiz os t picos anteriormente referidos 5 3 7 1 Continuidade dos neg cios Uma informa o s valorizada se for disponibilizado em tempo til por isso n o adianta uma informa o salvaguardada se a mesma estiver inacess vel Sendo as informa es activos instituciona
132. tais como autenticidade responsabilidade n o rep dio e confiabilidade podem tamb m estar envolvidas NBR ISO IEC 27002 2005 apud Dantas 2011 Apesar do modelo original ser CID isto n o significa a inexist ncia de outros modelos Segundo a norma ABNT NBR ISO IEC 27002 2005 adicionalmente outras propriedades tais como autenticidade e responsabilidade 20 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos A seguran a da informa o segundo a norma ABNT NBR ISO IEC 27002 2005 apud Dantas 2011 assenta na protec o da informa o contra v rios tipos de amea as e riscos de forma a garantir a continuidade e maximizar os lucros do neg cio Por sua vez S mola 2003 apud Freitas 2009 define a seguran a da informa o como ci ncia dedicado a protec o de activos da informa o contra intrusos a falta de autenticidade ou sua indisponibilidade Wheeler 2011 entende que The goal of Information Security must be to ensure the confidentiality integrity availability and accountability of the resources for which we are responsible The desirable level of assurance varies between organizations between industries and may be even between departments within the same organization Wheeler 2011 afirma que os tr s pilares fundamentais da seguran a da informa o s o comummente conhecidas como confidencialidade integridade e d
133. ue foi estabelecido ou de forma prejudicial Rede sendo a aplica o de san es disciplinares executada de acordo com o definido nos estatutos disciplinares desta universidade dispon vel em http www unipiaget cv doc regdisciplinar pdf 106 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos Conclus o O aumento crescente ao longo dos anos de ataques a seguran a da informa o nos mais variados sectores leva a interrogar o caso espec fico da universidade Ser que ela est imune a estes poss veis ataques Sendo a universidade portadora de informa es confidenciais tal como qualquer outra organiza o do mundo moderno pensa se ser necess rio a elabora o de pol ticas restritivas que assegure a conformidade com a gest o de risco Neste contexto uma das principais motiva es para a realiza o deste trabalho foi o de investigar detalhadamente o qu o vulner vel amea as estar a seguran a da informa o da universidade Com a realiza o de uma avalia o de risco utilizando as normas ISO IEC 27005 2008 e a AS NZS 4360 2004 HB 436 2004 como refer ncia pretendeu se classificar os riscos presentes na institui o servindo como base para o desenvolvimento de um modelo de PSI que esteja em conformidade com a gest o de riscos A escolha da norma AS NZS 4360 2004 HB 436 2004 n o foi por acaso pois a mesma considerado
134. uno dever comunicar a coordena o de ensino respons vel Regras para colaboradores O acesso as informa es feito atrav s da conta criada pela divis o tecnol gica atrav s de solicita o do coordenador respons vel Se n o existir necessidade o colaborador ou estagi rio pode n o ter conta de acesso a rede de computadores 94 121 Desenvolvimento de um modelo de Pol tica de Seguran a da Informa o em conformidade com a Gest o de Riscos O acesso a direct rios ou compartilhamento dos departamentos deve ser fornecido somente em caso de necessidade de acesso OBS a Pol tica de utiliza o de Redes Wired complementada com as seguintes pol ticas retratadas neste documento Pol tica de acesso a Internet e Pol tica de utiliza o de estac o de Trabalho 5 3 5 5 2 Pol tica de utiliza o de Redes Wireless O acesso e utiliza o da rede wireless s poder ser realizada dentro das instala es da universidade mesmo que seja poss vel captar o sinal dessa rede fora do per metro do campus O acesso a rede wireless s ser poss vel mediante autentica o e apenas para alunos regularmente matriculados docentes e funcion rios colaboradores da institui o previamente registados na divis o tecnol gica A utiliza o da rede wireless permitida somente para actividades acad micas de pesquisa e de extens o N o permitido qualquer tipo de scanner na rede wireless mesmo que s
Download Pdf Manuals
Related Search