CENTRO UNIVERSITÁRIO LUTERANO DE SANTARÉM
CURSO DE SISTEMAS DE INFORMAÇÃO
DALIANE CASTRO DA SILVA

ESTUDO DE CASO DOS GABI...
1

DALIANE CASTRO DA SILVA

ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM:
UMA ANÁLISE SOBRE A SEGURANÇA NA...
2

DALIANE CASTRO DA SILVA

ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM:
UMA ANÁLISE SOBRE A SEGURANÇA NA...
3

A todos que tem a humildade de
compartilhar o conhecimento.
4

AGRADECIMENTOS

Á Deus, pela a sua fidelidade e cuidado comigo, a minha família, pai Carlos
Alberto da Silva e mãe Mari...
5

“Se o conhecimento for útil a apenas a
uma pessoa, então o ensino não cumpriu o
seu objetivo” (Daliane Castro).
6

RESUMO

A informação é composta de dados e componentes do conhecimento. Dentro das
organizações as informações permeiam...
7

ABSTRACT

The
information consists of
data
and knowledge
components.
Inside
organizations information is passed around ...
8

LISTA DE ILUSTRAÇÕES
Figura 1 – Informação é base para todo o conhecimento........................................13
Fi...
9

SUMÁRIO
2.1 DEFINIÇÃO ....................................................................................................
10

6.3 FOCO DA PESQUISA: GABINETE DOS VEREADORES ................................... 41
6.4 ANÁLISE DO PROBLEMA.............
11

8.3.6 MENSAGENS ELETRÔNICAS.................................................................................. 78
8.3.7...
11

1 INTRODUÇÃO

Com o crescimento das organizações a tarefa de gerenciar informações tornouse mais complexa e isso impul...
12

O segundo capítulo descore sobre os conceitos relativos à importância, ciclo de
vida e classificação da informação, ap...
13

2 OS ASPECTOS DA INFORMAÇÃO

Este capítulo abordará os conceitos relativos ao ciclo de vida e classificação da
informa...
14

processamento e manipulação de dados, mas também assume o papel de capital
precioso, capaz de determinar o sucesso ou ...
15

sistema, os ativos que correspondem ao ambiente estão em relação aos ambientes
físicos da organização, por exemplo, a ...
16

caracterizados como informações de contas bancárias, histórico de salário,
histórico médico de empregados, benefícios ...
17

visuais ou fiscais de matérias primas durante o processo de recebimento de
materiais na área de estoque de uma organiz...
18

imagem, entre outras possibilidades; por apresentar essa variedade de formas faz
se necessário o uso de boas práticas ...
19

3 SEGURANÇA

Este capítulo abordará os conceitos referentes à segurança computacional e
seus princípios, explanando so...
20

3.2 PRINCIPIOS DA SEGURANÇA COMPUTACIONAL

Uma vez entendida a importância da informação, é necessário compreender as
...
21

3.3 VULNERABILIDADES

As vulnerabilidades são como portas abertas esquecidas elas podem ser
entendidas como vias de ac...
22

criptografia fraca, sistema operacional desatualizado, configuração imprópria de
firewall, links não redundantes, conf...
23

Para Peixoto (2006) em conformidade com Sêmola (2003), escreve que as
ameaças são muitas vezes conseqüências das vulne...
24

de port scanning consiste na análise de um sistema com intuito de descobrir
os serviços que estão disponíveis no mesmo...
25

apropriam de informações sigilosas ou comprometem um sistema que deveria ser
seguro, nesse tipo de ataque é

comum a u...
26

4 ENGENHARIA SOCIAL

Esse capítulo apresentará os conceitos referentes ao Engenharia Social, os
tipos, como se dá sua ...
27

falsa sensação de confiança, pois passa a impressão que o atacante está mandando
um arquivo importante e confiou a sen...
28

tecnologias sofisticadas, na verdade, os ataques podem ser simples, mas com
conseqüências devastadoras, e o principal ...
29

4.4 ENGENHARIA SOCIAL: MANIPULANDO SENTIMENTOS

Manipulador é a palavra mais adequada para descrever um Engenheiro Soc...
30

dentro de uma organização os funcionários novatos que por quererem mostrar
serviço estão mais vulneráveis a essa abord...
31

Consistência: As pessoas têm a tendência de atender após fazer um
comprometimento público ou adotar uma causa, isso oc...
32

computadores domésticos com o nome de usuário e a senha que foram
inseridos durante o processo de registro no site Web...
33


Finge ser do escritório remoto e pede acesso local ao correio
eletrônico;

Os disfarces são levados a sério pelos os...
34

5 GOVERNANÇA DE TI

Este capítulo apresenta as características e os componentes da Governança
de TI e os seus respecti...
35

Figura 6-Fatores Motivadores da Governança de TI

Fonte: FAGUNDES, 2005.

De acordo com o nível de acesso dos vários p...
36

Figura 7 – Os domínios e componentes da Governança de TI

Fonte: FAGUNDES, 2005.

5.3 ITIL

É o modelo de referência p...
37

A vantagem desta metodologia está na liberdade que está dá para o uso em
qualquer organização, inclusive em órgãos púb...
38

(Information Systems Audit and Control Foundation), é orientado a negócio, pois
detalha informações para gerenciar pro...
39

6 ESTUDO DE CASO

Esse capítulo apresentará o estudo de caso e a metodologia usada na
aplicação dos questionários da o...
40

exceção do último membro, que não aceitou a nomeação, este Conselho Municipal
de Intendência tomou posse em 21 de Març...
41

6.3 FOCO DA PESQUISA: GABINETE DOS VEREADORES

Os gabinetes destinados aos vereadores funcionam de maneira independent...
42

6.6 QUESTONÁRIO

A fim de se ter uma pesquisa mais fundada os dados pesquisados foram
transformados em gráficos para a...
43

Gráfico 2

Apenas sete por cento dos funcionários entrevistados responderam que
utilizam outro software que auxilia na...
44

Gráfico 4

Sete por cento dos entrevistados que utilizam outro software responderam que
todos os funcionários que mani...
45



Quanto à utilização da internet para uso pessoal no ambiente de
trabalho.

Gráfico 6

Noventa e três por cento dos ...
46

 Informações fornecidas em Redes Sociais (Internet). Sobre
situações cotidianas corriqueiras da organização. Comenta ...
47

Cinquenta e quatro por cento dos entrevistados responderam que os arquivos
digitais são armazenados em pastas do siste...
48

Cem por cento dos entrevistados mantêm as informações de papel em pastas
arquivos que ficam nas dependências do gabine...
49

 Quanto ao tratamento das Informações. A organização possuí
alguma política de segurança?

Gráfico 14

Cem por cento ...
50

apenas o bom senso e comum acordo do grupo de funcionários em tomar as
precauções necessárias na divulgação de informa...
51

Fonte: Dados da Pesquisa

Gráfico 17

Setenta e um por cento dos entrevistados responderam que fazem o download
do ane...
52

 Solicitação de Informações em relação ao trabalho em
abordagens Pessoais. Se alguém pessoalmente aborda e solicita
i...
53

Gráfico 20

Noventa e três por cento responderam que forneceriam informações
dependendo da pessoa que se identificasse...
54

7 NORMAS E PADRÕES DE SEGURANÇA

Esse capítulo abordará a importância e as características das normas e
padrões de seg...
55

7.3 A ASSOCIAÇÃO ABNT

A Associação Brasileira de Normas Técnicas, fundada em 1940 é a
organização responsável pela a ...
56

Ainda de acordo com Campos (2007) muitas melhorias foram sendo feitas ao
longo dos anos e a BS 7799 passou a ser adota...
57

ISO 27.004: Medidas e métricas utilizadas em segurança da
Informação
ISO 27.005: Gestão de riscos em sistemas de gestã...
58

As normas caracterizam se pelo o detalhamento específico de cada aspecto
abordado.
O objetivo da NBR/ISO/IEC 17799 é f...
59

conjunto de definições

importantes

para

a

proteção

de

organizações independente do seu porte ou tamanho de atuaç...
60

8 POLÍTICA E ORGANIZAÇÃO DE SEGURANÇA

Esse capítulo abordará os pontos de Política e organização de Segurança,
gestão...
61

8.1.1 Documento da Política de Segurança da Informação.

A Norma NBR ISO IEC 27002 define que um documento da política...
62

8.1.2 Análise Crítica da Política de Segurança da Informação

A norma NBR ISO IEC 27.002:2005, estabelece que convém q...
63

8.1.3 Organizando a Segurança Da Informação

Segundo a Norma NBR ISO 27. 002 é necessário organizar a Infra-estrutura ...
64

Dependendo do tamanho da organização, tais responsabilidades podem ser
conduzidas por um fórum de gestão exclusivo ou ...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA IN...
Upcoming SlideShare
Loading in …5
×

ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA INFORMAÇÃO E GESTÃO DE ATIVOS DE ACORDO COM A NORMA NBR ISO IEC 27002

898 views

Published on

aspectos que caracterizam a segurança em sistemas estão na confidencialidade, integridade e disponibilidade desta Informação. As vulnerabilidades são brechas, portas abertas que servem como meio de acesso ao atacante que é o responsável por executar os meios de ataque (são ações que colocam em ameaça ou em risco os princípios encontrados na segurança computacional); dentre as ameaças existentes a engenharia social é uma das mais usadas pelos os atacantes na tentativa ou ação de obter uma informação de caráter sigiloso, esta se caracteriza por não ser computacional e explorar vulnerabilidades encontradas no ativo humano. A governança de TI promove o bom governo das organizações e é indicada para auxiliar as organizações nas tomadas de decisão, esta por sua vez possuí modelos como ITIL e Cobit e Normas como a NBR/ISO/IEC 27.002 que são metodologias. O COBIT está para auditoria de processos e controles assim como a ITIL está para o gerenciamento de serviços de TI enquanto a NBR/ISO/IEC 27.002 é um conjunto de boas práticas.
Palavras-chave: Informação, Segurança, Norma. . . . .

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
898
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
34
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA INFORMAÇÃO E GESTÃO DE ATIVOS DE ACORDO COM A NORMA NBR ISO IEC 27002

  1. 1. CENTRO UNIVERSITÁRIO LUTERANO DE SANTARÉM CURSO DE SISTEMAS DE INFORMAÇÃO DALIANE CASTRO DA SILVA ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA INFORMAÇÃO E GESTÃO DE ATIVOS DE ACORDO COM A NORMA NBR ISO IEC 27002 SANTARÉM 2011
  2. 2. 1 DALIANE CASTRO DA SILVA ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA INFORMAÇÃO E GESTÃO DE ATIVOS DE ACORDO COM A NORMA NBR ISO IEC 27002 Trabalho de Conclusão de Curso apresentado para obtenção do Grau de Bacharel em Sistemas de Informação pelo Centro Universitário Luterano de Santarém. Orientador: Profº. Murilo Braga de Nóvoa SANTARÉM 2011
  3. 3. 2 DALIANE CASTRO DA SILVA ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA INFORMAÇÃO E GESTÃO DE ATIVOS DE ACORDO COM NORMA NBR ISO IEC 27.002 Trabalho de Conclusão de Curso apresentado para obtenção do Grau de Bacharel em Sistemas de Informação pelo Centro Universitário Luterano de Santarém. Data de Apresentação: _____/_____/_____. _________________________________ NOME Titulação – Instituição ____________ Conceito _________________________________ NOME Titulação - Instituição ____________ Conceito ________________________________ NOME Titulação – Instituição ____________ Conceito
  4. 4. 3 A todos que tem a humildade de compartilhar o conhecimento.
  5. 5. 4 AGRADECIMENTOS Á Deus, pela a sua fidelidade e cuidado comigo, a minha família, pai Carlos Alberto da Silva e mãe Maria Vaneide e a irmã Lidiane Castro e ao presente mais que especial que a nossa família poderia ganhar o meu irmão Paulo Gabriel pelo os momentos divertidos da minha vida. Aos mestres com carinho, pela a paciência por não perderem a fé no ensino. Aos meus amigos mais que simplesmente colegas de aula responsáveis pela a diversão e incentivo em destaque a Ana Luiza Silva. Amigo se faz em tempos de paz, mas é na angústia que se prova o seu valor, dentre os amigos que a cada dia provam seu valor o lugar de destaque a Lidianne Lima.
  6. 6. 5 “Se o conhecimento for útil a apenas a uma pessoa, então o ensino não cumpriu o seu objetivo” (Daliane Castro).
  7. 7. 6 RESUMO A informação é composta de dados e componentes do conhecimento. Dentro das organizações as informações permeiam sobre as pessoas, sistemas, em meios eletrônicos ou papel e adquirem uma importância grande se lhes é atribuído um valor. O ativo é o conjunto de bens e direitos à disposição de uma entidade, ou seja, expressa os direitos, posses e patrimônio de uma pessoa, ou organização. A informação é um ativo que como qualquer outro, é importante para os negócios, e tem valor para a organização. A segurança da Informação está atrelada a proteção existente ao ativo, os aspectos que caracterizam a segurança em sistemas estão na confidencialidade, integridade e disponibilidade desta Informação. As vulnerabilidades são brechas, portas abertas que servem como meio de acesso ao atacante que é o responsável por executar os meios de ataque (são ações que colocam em ameaça ou em risco os princípios encontrados na segurança computacional); dentre as ameaças existentes a engenharia social é uma das mais usadas pelos os atacantes na tentativa ou ação de obter uma informação de caráter sigiloso, esta se caracteriza por não ser computacional e explorar vulnerabilidades encontradas no ativo humano. A governança de TI promove o bom governo das organizações e é indicada para auxiliar as organizações nas tomadas de decisão, esta por sua vez possuí modelos como ITIL e Cobit e Normas como a NBR/ISO/IEC 27.002 que são metodologias. O COBIT está para auditoria de processos e controles assim como a ITIL está para o gerenciamento de serviços de TI enquanto a NBR/ISO/IEC 27.002 é um conjunto de boas práticas. Palavras-chave: Informação, Segurança, Norma. . . . .
  8. 8. 7 ABSTRACT The information consists of data and knowledge components. Inside organizations information is passed around about people, systems, electronically or on paper and information that is of great deal of importance is assigned a value. The asset is the set of goods and rights available to an entity, or express rights, property and assets of a person or organization. Information is an commodity like any other important business assets and has a value to the organization. Information security is tied to the existing protection activity that has a value, the aspects that characterize the safety systems a confidentiality, integrity and availability of this information. Vulnerabilities are open ports that serve as a means of access to the attacker that is running means of attack which are actions that pose a threat or endanger the principles found in computer security, threats. These threats that exist among the social engineering is one of most used by the attackers in an attempt or action to obtain information from a confidential nature, is characterized by computer and don’t exploit vulnerabilities found in human activity. IT governance promotes good government organizations and is indicated to help organizations in decision making, this in turn has models such as ITIL and COBIT and Standards as the NBR / ISO / IEC 27002 which are methodologies. COBIT is to audit processes and controls as well as the ITIL stands for IT service management while the NBR / ISO/ IEC 27002 is a set of best practices. Key-words: Information, Security, Norms
  9. 9. 8 LISTA DE ILUSTRAÇÕES Figura 1 – Informação é base para todo o conhecimento........................................13 Figura 2 – Relação entre os Ativos da Informação..................................................15 Figura 3 – Classificação das Informações...............................................................16 Figura 4 – Ciclos de Vida da Informação................................................................17 Figura 5 – Características de Segurança da Informação.........................................19 Figura 6 – Fatores Motivadores da Governança de TI............................................34 Figura 7 – Os domínios e componentes da Governança de TI...............................35 Figura 8 – O Núcleo da ITIL....................................................................................36 Figura 9 – Domínio do Cobit.................................................................................. 37 Gráfico 1– ................................................................................................................41 Gráfico 2– ................................................................................................................42 Gráfico 3 – ...............................................................................................................42 Gráfico 4- ................................................................................................................43 Gráfico 5 -................................................................................................................43 Gráfico 6 – ................................................................................................................44 Gráfico 7 – ................................................................................................................44 Gráfico 8 – ................................................................................................................45 Gráfico 9 – ...............................................................................................................45 Gráfico 10 - ...............................................................................................................46 Gráfico 11 – ...............................................................................................................46 Gráfico 12 – ...............................................................................................................47 Gráfico 13 – ...............................................................................................................47 Gráfico 14 – ...............................................................................................................48 Gráfico 15 – ...............................................................................................................48 Gráfico 16 – ...............................................................................................................49 Gráfico 17 – ...............................................................................................................50 Gráfico 18 –...............................................................................................................50 Gráfico 19 – ...............................................................................................................51 Gráfico 20 – ...............................................................................................................42
  10. 10. 9 SUMÁRIO 2.1 DEFINIÇÃO ......................................................................................................... 13 2.2 A IMPORTÂNCIA DA INFORMAÇÃO .................................................................. 13 2.3 OS ATIVOS DA INFORMAÇÃO ........................................................................... 14 2.4 CLASSIFICAÇÕES DA INFORMAÇÃO ............................................................... 15 2.5 O CICLO DE VIDA DA INFORMAÇÃO ................................................................ 16 3 SEGURANÇA ........................................................................................................ 19 3.1 SEGURANÇA COMPUTACIONAL ...................................................................... 19 3.2 PRINCIPIOS DA SEGURANÇA COMPUTACIONAL ........................................... 20 3.3 VULNERABILIDADES ......................................................................................... 21 3.4 AMEAÇAS ........................................................................................................... 22 3.5 ATAQUE .............................................................................................................. 23 3.6 ATACANTE ......................................................................................................... 24 4 ENGENHARIA SOCIAL ......................................................................................... 26 4.1 CONCEITO.......................................................................................................... 26 4.2 TIPOS DE ENGENHARIA SOCIAL ...................................................................... 26 4.3 OS ATIVOS PESSOAS E A ENGENHARIA SOCIAL ........................................... 27 4.4 ENGENHARIA SOCIAL: MANIPULANDO SENTIMENTOS ................................ 29 4.5 ENGENHEIROS SOCIAS E SUAS ESTRATÉGIAS DE ATAQUE ....................... 30 4.5 DISFARCES DE UM ENGENHEIRO SOCIAL ..................................................... 32 5 GOVERNANÇA DE TI ........................................................................................... 34 ESTE CAPÍTULO APRESENTA AS CARACTERÍSTICAS E OS COMPONENTES DA GOVERNANÇA DE TI E OS SEUS RESPECTIVOS MODELOS ITIL E COBIT. ....................................................... 34 5.1 CONCEITO.......................................................................................................... 34 5.2 COMPONENTES DA GOVERNANÇA DE TI ....................................................... 35 5.3 ITIL ...................................................................................................................... 36 5.4 COBIT.................................................................................................................. 37 6 ESTUDO DE CASO ............................................................................................... 39 6.1 HISTÓRICO DA ORGANIZAÇÃO PESQUISADA: CÂMARA MUNICIPAL DE SANTARÉM. ............................................................................................................. 39 6.2 ESTRUTURA ORGANIZACIONAL ...................................................................... 40
  11. 11. 10 6.3 FOCO DA PESQUISA: GABINETE DOS VEREADORES ................................... 41 6.4 ANÁLISE DO PROBLEMA................................................................................... 41 6.5 APLICAÇÃO DE QUESTIONÁRIOS .................................................................... 41 6.6 QUESTONÁRIO .................................................................................................. 42 7 NORMAS E PADRÕES DE SEGURANÇA ........................................................... 54 7.1 CONCEITO DE NORMAS E PADRÕES .............................................................. 54 7.2 A ORGANIZAÇÃO ISO ........................................................................................ 54 7.3 A ASSOCIAÇÃO ABNT ....................................................................................... 55 7.4 NORMA NBR ISO 17.799 (27.002) – UMA BREVE HISTÓRIA ............................ 55 7.5 A NORMA NBR/ISO/17.799:2005 ........................................................................ 57 7.6 A IMPORTÂNCIA DA NBR/ISO 27002 (17.799:2005).......................................... 58 8 POLÍTICA E ORGANIZAÇÃO DE SEGURANÇA ................................................. 60 8.1 POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO .............................................. 60 8.1.1 DOCUMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO. .................................. 61 8.1.2 ANÁLISE CRÍTICA DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ............................. 62 8.1.3 ORGANIZANDO A SEGURANÇA DA INFORMAÇÃO..................................................... 63 8.1.4 COMPROMETIMENTO DA DIREÇÃO COM A SEGURANÇA DA INFORMAÇÃO ................... 63 8.1.5 ATRIBUIÇÃO DE RESPONSABILIDADES PARA A SEGURANÇA DA INFORMAÇÃO ............. 64 8.2 GESTÃO DE ATIVOS ................................................................................................ 65 8.2.1 RESPONSABILIDADE PELOS ATIVOS ....................................................................... 65 8.2.2 INVENTÁRIO DOS ATIVOS ..................................................................................... 66 8.2.3 PROPRIETÁRIO DOS ATIVOS ................................................................................. 66 8.2.4 USO ACEITÁVEL DOS ATIVOS ............................................................................... 67 8.2.5 CLASSIFICAÇÃO DAS INFORMAÇÕES ...................................................................... 68 8.2. 6 RECOMENDAÇÕES PARA A CLASSIFICAÇÃO ........................................................... 68 8.2.7 PAPÉIS E RESPONSABILIDADES ............................................................................ 69 8.2.9 PROCESSO DISCIPLINAR ...................................................................................... 70 8.2.10 ENCERRAMENTO OU MUDANÇA DE CONTRATAÇÃO. .............................................. 71 8.2.11 DEVOLUÇÃO DOS ATIVOS ................................................................................... 72 8.2.12 RETIRADA DE DIREITOS DE ACESSO ................................................................... 72 8.3 MANUTENÇÃO E DESCARTE DA INFORMAÇÃO ........................................................... 72 8.3.1 MANUSEIO DE MÍDIAS .......................................................................................... 73 8.3. 4 TROCA DE INFORMAÇÕES.................................................................................... 75 8.3.5 MÍDIAS EM TRÂNSITO........................................................................................... 77
  12. 12. 11 8.3.6 MENSAGENS ELETRÔNICAS.................................................................................. 78 8.3.7 CONTROLE DE ACESSO AO SISTEMA OPERACIONAL ................................................. 78 8.3.8 PROCEDIMENTOS SEGUROS DE ENTRADA NO SISTEMA (LOG-ON) ............................. 79 8.3.9 IDENTIFICAÇÃO E AUTENTICAÇÃO DE USUÁRIO ....................................................... 80 9 CONCLUSÃO ........................................................................................................ 82 PESQUISADA, GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM. ........... 82 REFERÊNCIAS ......................................................................................................... 84 APÊNDICES ............................................................................................................. 86
  13. 13. 11 1 INTRODUÇÃO Com o crescimento das organizações a tarefa de gerenciar informações tornouse mais complexa e isso impulsionou o desenvolvimento de sistemas que auxiliam no processo de organização de dados. Para promover a segurança dessas informações, surgiu o campo de estudo relacionado a este tema, que se preocupa em criar metodologias e ferramentas a fim de promover a confidencialidade, disponibilidade e integridade da Informação. Um grande investimento financeiro e tecnológico é feito pelas as organizações para reparar as eventuais vulnerabilidades dos sistemas, porém é necessário entender que a segurança não se limita apenas a mecanismos e políticas, esta também engloba a participação humana como fator primordial nos processos de gerenciamento da Informação. As pessoas são peças importantes no gerenciamento de informações, porque interagem com os sistemas na manipulação de informaçoes; dados estes que dependendo da sua importância possuem valor e representam ativos para a organização. Este trabalho tem como objetivo mostrar primeiramente o conceito e a importância da Informação dentro dos Sistemas Computacionais dando ênfase nos conceitos e características de segurança, vulnerabilidade, ameaça e atacante, explanando sobre as técnicas e conceitos da Engenharia Social apresentando as possíveis causas, consequências, características e ações preventivas encontradas nas boas práticas da NBR/ISO/IEC 27.002 contra esse tipo de ataque no que diz respeito à gestão dos ativos na manutenção e descarte da informação, além disso, será apresentado um questionário de pesquisa aplicada na organização cujo objetivo é mostrar de maneira qualitativa e quantitativa os dados referentes à realidade da segurança da informação na instituição pesquisada. O presente estudo apresentará os modelos de governança de Tecnologia da Informação (TI) ITIL e Cobit e as boas práticas da NBR/ISO/IEC 27.002 como sugestão para auxilio na organização da informação na Instituição pesquisada. O primeiro capítulo é a introdução do trabalho, apresentando uma breve descrição dos assuntos a serem abordados.
  14. 14. 12 O segundo capítulo descore sobre os conceitos relativos à importância, ciclo de vida e classificação da informação, apresentando os ativos que esta possuí. O terceiro capítulo trata da Segurança Computacional apresentando os princípios e explanando os conceitos sobre vulnerabilidade, ataque e atacante. O quarto capítulo apresenta o conceito e as características presentes em ataques de engenharia social explanando sobre as vulnerabilidades encontradas no ativo humano, bem como os principais meios de ataque de engenheiros sociais. O quinto capítulo apresenta o conceito da governança de TI, apresentando os pontos que motivam o seu uso e os componentes do domínio da mesma, explanando sobre os modelos ITIL e Cobit. O sétimo capítulo apresenta a organização pesquisada, seu histórico, características e estrutura organizacional bem como a metodologia usada na aplicação dos questionários. O oitavo capítulo apresenta o conceito das normas e padrões de segurança com o foco no histórico da norma NBR ISO 17.799 até se tornar a atual NBR ISO 27.002 além de destacar os pontos da NBR ISO 27.002 relativos à gestão dos ativos, manutenção e descarte da informação como proposta a prevenção de ataques de engenharia social na organização pesquisada. O nono capítulo é referente às considerações finais.
  15. 15. 13 2 OS ASPECTOS DA INFORMAÇÃO Este capítulo abordará os conceitos relativos ao ciclo de vida e classificação da informação discorrendo sobre a sua importância e ativos. 2.1 DEFINIÇÃO Muitos conceitos existem para explicar o que é a Informação, mas para a maioria dos autores a informação é composta de dados e componentes do conhecimento. Segundo Campos (2007) a informação é constituída de um conjunto de dados que representam um ponto de vista diferente, trazendo um significado novo ou evidenciando relações antes desconhecidas sobre eventos ou objetos. Por tanto, a informação possui significado e causa impacto em grau menor ou maior, tornando-a o elemento essencial da extração e criação do conhecimento, como observado na figura 1. Figura 1- Informação é base para todo o conhecimento Dados Informação Conhecimento Fonte: CAMPOS, 2007 Diante disso, é possível concluir que o conhecimento só poderá ser formado a partir do momento em que a informação for exposta ao indivíduo e este poderá desenvolver o conhecimento que varia de pessoa para pessoa quanto ao grau qualitativo e quantitativo. 2.2 A IMPORTÂNCIA DA INFORMAÇÃO Com as evoluções econômicas e principalmente tecnológicas dos últimos anos, a informação expande o seu vasto conceito e não se restringe apenas a ideia de
  16. 16. 14 processamento e manipulação de dados, mas também assume o papel de capital precioso, capaz de determinar o sucesso ou o fracasso de uma Organização. Segundo Campos (2007) a utilização da informação alinhada á estratégia facilita a inovação para a diferenciação do produto, redução do custo e do risco do negócio, além de representar benefícios á imagem da organização, “A Informação é um elemento essencial para a geração do conhecimento, para a tomada de decisões, e que representa efetivamente valor para o negócio, dentro de cada um dos seus processos” (Campos, 2007). A importância da Informação para as organizações é universalmente aceita. Ela é um estimado bem, o qual é atribuído um valor; logo podemos dizer que a Informação que agrega um valor é denominado um ativo. Por possuir um valor para as organizações, a Informação deve ser protegida e guardada, por isso um dos grandes desafios de hoje, é a busca de soluções e meios que mantenham a segurança e proteção dos ativos referentes à ela. 2.3 OS ATIVOS DA INFORMAÇÃO Os bens que tem seu respectivo valor e importância para o negócio de uma organização é denominado ativo, portanto como dito anteriormente a Informação também é considerada um ativo. As organizações que se utilizam das tecnologias da Informação possuem respectivamente ativos da informação que abrangem hardware, software e dispositivos de armazenamento que fazem parte do patrimônio da Tecnologia da Informação. “O termo ativo possui esta denominação, oriunda da área financeira, por ser considerado um elemento de valor para um indivíduo ou organização, e que, por esse motivo, necessita de proteção adequada” (NBR/ISO/ IEC- 27002, 2005). Os ativos da Informação estão divididos em usuários, processos, informação, ambiente, equipamentos e aplicativos. Os bens que correspondem a usuários e processos estão nas pessoas, ou seja, nos funcionários da organização e os processos, sendo esses, as atividades realizadas, como por exemplo, a emissão de um boleto; enquanto os bens correspondentes a Informação estão nos dados que a organização confia ao
  17. 17. 15 sistema, os ativos que correspondem ao ambiente estão em relação aos ambientes físicos da organização, por exemplo, a sala do servidor; e os que correspondem a equipamentos e aplicativos estão no hardware e no software. É importante ressaltar que um dos ativos mais importantes são as pessoas que, pois, as mesmas que interagem com os sistemas, como mostrado na figura 2. Figura 2 – Relação entre os Ativos da Informação Fonte: CAMPOS, 2007. Dessa forma, é possível concluir que as pessoas são ativos tão importantes quantos equipamentos e informações e consequentemente também são alvos de ataques. 2.4 CLASSIFICAÇÕES DA INFORMAÇÃO As classificações da informação permitem uma visão mais detalhada da atribuição quanto a importância de cada uma delas dentro da organização. Para Peixoto (2006), as informações podem ser públicas, internas, particulares ou confidenciais como detalhado na figura três. Pública: São informações deliberadamente voltadas ao público, distribuídas livremente sem restrições para as pessoas, como forma de divulgação, por exemplo, internet, livros, revistas, jornais, dentre outras formas; Interna: São as informações voltadas mais especificamente ao interesse dos próprios funcionários da empresa, e que podem ser úteis ao Engenheiro Social, para se passar por um empregado autorizado, contratado ou por algum fornecedor, ou saber melhores horários para se infiltrar na empresa; Particular: É a categoria de informações de âmbito mais pessoal que, se cair em mãos erradas prejudicará não somente a empresa, como principalmente o próprio funcionário. Tais itens de dados particulares são
  18. 18. 16 caracterizados como informações de contas bancárias, histórico de salário, histórico médico de empregados, benefícios de saúde, ou qualquer tipo de informação pessoal que não deve ser pública; Confidencial: Tipo de Informação mais valorizada da empresa. Disponível a um número limitado de pessoas, de modo que se não tratada com devida importância, comprometerá ás vezes de forma irreversível toda a estrutura de gestão administrativa e, de diversos departamentos. Podem ser informações operacionais empresa, de estratégias de negócios, informações de marketing e financeiras, além de informações voltadas aos segredos comerciais da empresa, como códigos – fonte proprietário, especificações técnicas ou funcionais (PEIXOTO, 2006). Figura 3 – Classificação das Informações Fonte: PEIXOTO 2006. Ter conhecimento da classificação das informações é importante para a criação de estratégias da gestão de segurança que visem proteger os ativos da informação de acordo com o seu grau de importância. 2.5 O CICLO DE VIDA DA INFORMAÇÃO O ciclo de vida de uma informação corresponde aos processos vivenciados por ela, a cada etapa que esta passa e consequentemente se expondo a riscos. “O ciclo de vida é composto e identificado pelos momentos vividos pela informação que a colocam em risco. Os momentos são vivenciados justamente quando os ativos físicos, tecnológicos e humanos fazem uso da informação, sustentando processos que, por sua vez, mantêm a operação da empresa” (SÊMOLA, 2003) Campos (2007) afirma que a criação ou momento de aquisição da informação pode se dar por diversas maneiras, por exemplo, pela compra de informação de outras organizações ou pode ser resultado do cruzamento de diversos bancos de dados que geram um resultado de apoio a decisão. A informação pode ser o resultado de processos eletrônicos ou manuais, como o resultado de análises
  19. 19. 17 visuais ou fiscais de matérias primas durante o processo de recebimento de materiais na área de estoque de uma organização, por exemplo. Campos (2007) apresenta o ciclo de vida da informação em cinco fases que compreendem: a criação, transporte, publicação, armazenagem e descarte como mostra a figura quatro. Figura 4 Ciclos de Vida da Informação Fonte: CAMPOS, 2007. Segundo Sêmola (2003), os ciclos de vida das informações se dividem em quatro etapas. Manuseio: Momento em que a informação é criada e manipulada seja ao folhear um maço de papéis, ao digitar informações recém geradas em uma aplicação a internet, ou, ainda, ao utilizar sua senha de acesso para autenticação. Armazenamento: Momento em que a informação é armazenada seja em um banco de dados compartilhado, em uma anotação de papel posteriormente postada em um arquivo ferro, ou ainda, em uma mídia de disquete depositada na gaveta da mesa do trabalho. Transporte: Momento em que a Informação é transportada, seja ao caminhar informações por correio eletrônico (e-mail), ao postar um documento via aparelho de fax, ou ainda, a falar ao telefone uma informação confidencial. Descarte: Momento em que a informação é descartada, seja ao depositar na lixeira da empresa ou organização um material impresso, seja ao eliminar um arquivo eletrônico do computador, ou ainda, ao descartar uma mídia usada (SÊMOLA, 2003). Uma visão mais detalhada sobre o ciclo da informação permite entender que esta pode ser em formato de texto, informação digital, mensagem, planilha, som,
  20. 20. 18 imagem, entre outras possibilidades; por apresentar essa variedade de formas faz se necessário o uso de boas práticas de segurança que acompanhem a informação desde a sua criação até o descarte.
  21. 21. 19 3 SEGURANÇA Este capítulo abordará os conceitos referentes à segurança computacional e seus princípios, explanando sobre a vulnerabilidade, ameaça, ataque e atacante. 3.1 SEGURANÇA COMPUTACIONAL A utilização da tecnologia da Informação para a manipulação e armazenamento de dados nas organizações traz vantagens e preocupações, uma delas está na proteção dos ativos da informação. A segurança computacional esta atrelada a proteção existentes aos dados manipulados pela a organização. Segurança da Informação esta relacionada com proteção do conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou organização. (OFICINA DA NET, 2005). Para Howard (1997) apud Mota (2011) a quebra da segurança pode ser através do acesso não autorizado: Quando existe uma tentativa de acesso as informações ou recursos sem autoridade para o mesmo, ou seja, quando o atacante burla o sistema para obter recursos que não poderia obtê-los de outra forma; e do uso não autorizado: Quando se há autoridade para o acesso das informações e não para o uso das mesmas para outras finalidades que não corresponde ao interesse da organização. Prevenir que atacantes alcancem seus objetivos através do acesso não autorizado ou uso não autorizado dos computadores e suas redes. (HOWARD, 1997 apud MOTA, 2011). Toda a informação tem o seu valor, por isso é necessário que esta deva ser correta e precisa em estar disponível, a fim de que esta seja manipulada, processada e mantida de forma segura, e é por esse motivo que a segurança computacional tem sido tratada como uma questão primordial para o sucesso de uma organização.
  22. 22. 20 3.2 PRINCIPIOS DA SEGURANÇA COMPUTACIONAL Uma vez entendida a importância da informação, é necessário compreender as características referentes à sua segurança, que se divide em três princípios básicos: confidencialidade, integridade e disponibilidade. Para a não ocorrência de incidentes da informação é necessário que nenhum dos três princípios sejam violados, a segurança da informação só será de fato completa com o trabalho em conjunto desses princípios. “A Segurança em Sistema de Informação (SI) visa protegê-lo contra ameaças a confidencialidade, á integridade, e a disponibilidade das informações e dos recursos sob a sua responsabilidade”. (BRINKLEY e SCHELL, 1995 apud MOTA, 2011). Segundo Campos (2007) a confidencialidade está na garantia do não conhecimento da existência de determinada informação, no sigilo das informações ou recursos. Já a integridade diz respeito à violação da informação, na preservação dos dados no seu estado mais puro. A disponibilidade está na liberdade em acessar certo dado ou informação a qualquer momento. Figura 5 – Características de Segurança da Informação Fonte: CAMPOS, 2007.
  23. 23. 21 3.3 VULNERABILIDADES As vulnerabilidades são como portas abertas esquecidas elas podem ser entendidas como vias de acesso não protegidas onde os ativos podem ser alcançados pelos atacantes. As vulnerabilidades estão presentes nos mais diversos setores de uma organização e em ambientes computacionais não são diferentes, é preciso se preocupar com cada brecha na segurança, seja no sentido tecnológico computacional como nas vulnerabilidades encontradas nas próprias pessoas que fazem parte do dia-dia de uma empresa. Quando os ativos da informação possuem vulnerabilidades qualquer um dos princípios da segurança como confiabilidade, integridade e disponibilidade estão sobre a linha da ameaça. Para Campos (2007) os ativos da Informação, que suportam os processos de negócio, possuem vulnerabilidades. É importante destacar que essas vulnerabilidades estão presentes nos próprios ativos, a saber: computadores são vulneráveis por serem construídos para troca e armazenamento de dados seja por meio de disquetes, CDs, portas USB, ou outros de dispositivos de armazenamento como pen drives e etc. A vulnerabilidade é explorada principalmente por ataques de vírus, worms, cavalos de tróia, negação de serviço, etc. Arquivos de Aço como cofres, por exemplo, a vulnerabilidade a ser explorada está na sua própria construção, onde pessoas com conhecimento de arrombamento podem ter acesso ou até mesmo roubar todo o seu conteúdo. 1. Aparelhos tais como impressoras e fax, podem disponibilizar informações para qualquer pessoa que tenha acesso a elas. 2. Cabos de Rede, fibras ópticas e redes wireless, por sua própria construção, possibilitam interferência no sinal ou acesso aos dados que nele trafegam. 3. Aparelhos celulares podem ser facilmente roubados e dados da agenda, mensagens e outras informações podem ser facilmente acessadas. 4. Sistemas de Informação permitem a entrada e consulta de informações valiosas e podem ser indevidamente acessados. Sêmola (2003) mostra como as vulnerabilidades estão relacionadas aos seguintes ativos de informação: Tecnológica - equipamentos de baixa qualidade,
  24. 24. 22 criptografia fraca, sistema operacional desatualizado, configuração imprópria de firewall, links não redundantes, configuração imprópria de roteador, backdoor, bug nos softwares, autorização de acesso lógico inadequado; Física - ausência de gerador de energia, ausência de normas para senhas, ausência de fragmentador de papel, mídia de backup mal acondicionada, aterramento, falta de controles físicos de acesso, instalação elétrica imprópria, cabeamento desestruturado; Humana - Falta de treinamento, muitas vezes as organizações não possuem normas ou políticas que estabeleçam as permissões e negações nos processos de manipulação da informação. As vulnerabilidades podem ser reduzidas com contramedidas (são métodos que podem ser simples ou complexos), técnicas e individuais para que essas sejam realmente eficazes elas precisam abranger proteção, detecção e reação. 3.4 AMEAÇAS A ameaça é o ato de tentar explorar as vulnerabilidades dos ativos da informação. Quando existe uma ameaça já é configurado como uma violação na segurança; as ações dessas possíveis ameaças são chamadas ataques e os que executam esses ataques são denominados atacantes. “A ameaça é um agente externo ao ativo da Informação, que se aproveitando de suas vulnerabilidades poderá quebrar a confidencialidade, integridade ou disponibilidade da informação suportada ou utilizada por esse ativo” (CAMPOS, 2005). Segundo Shirey (1994) apud Mota (2011), as classes das ameaças são: Disclosure - acesso não autorizado à informação, ou seja, Snooping (bisbilhotar): ataque passivo – o grampo telefônico é o exemplo clássico; Deception - aceitação de dados falsos, indução ao erro, modificação (alteração), spoofing1 (masquerading ou logro), repudiação de origem, repudiação de recebimento; Disruption interrupção ou prevenção da operação correta de um sistema com modificação; Usurpação - Modificação, spoofing, delay2, recusa de serviço. 1 Spoofing: O procedimento que faz com que uma transmissão pareça ter sido enviada por um usuário autorizado. 2 Delay: Atraso de Serviço.
  25. 25. 23 Para Peixoto (2006) em conformidade com Sêmola (2003), escreve que as ameaças são muitas vezes conseqüências das vulnerabilidades existentes, provocando assim perdas de confidencialidade, integridade e disponibilidade, e estas ameaças podem classificadas nos seguintes grupos. (...) agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade e, consequentemente, causando impactos aos negócios de uma organização. (SÊMOLA, 2003). Ainda segundo Peixoto (2006), as ameaças naturais são fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades magnéticas, maremotos, aquecimento, poluição. Já as ameaças involuntárias são inconscientes, que ocorrem quase sempre devido ao desconhecimento. Podem ser causados por acidentes, erros, falta de energia etc. E as ameaças voluntárias são ameaças propositais que mais se relacionam com a Engenharia Social. Causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores de disseminadores de vírus de computador, incendiários. 3.5 ATAQUE Ataque são todas as ações do atacante que visam comprometer a integridade, disponibilidade e confiabilidade dos ativos da informação de uma organização, ou seja, são ameaças colocadas em prática (CARVALHO, 2005). Segundo Carvalho (2005), esses ataques podem ser classificados em: Ataque Físico: Roubo de equipamentos, fitas magnéticas, dispositivos de armazenamento removível etc.. são características desse tipo de ataque. Os dispositivos são retirados da organização ou roubados de executivos para posterior análise, onde as informações importantes são recuperadas dos mesmos e utilizadas ou de forma a prejudicar a empresa ou para utilizar esses dados de maneira a obter vantagens comerciais; Packet Snnifing: Esse tipo de ataque consiste na captura de pacotes que circulam na rede, que podem conter informações importantes e, portanto, 3 4 confidenciais, para a organização. Os serviços FTP e Telnet são vulneráveis a esse tipo de ataque, pois é possível obter facilmente as senhas dos usuários que utilizam esse serviço; Port Scanning: Um ataque 3 FTP: Protocolo que permite a transferência de arquivos através da rede. Telnet: O Telnet é um membro da família TCP/IP de protocolos e permite que um usuário estabeleça uma sessão remota em um servidor. 4
  26. 26. 24 de port scanning consiste na análise de um sistema com intuito de descobrir os serviços que estão disponíveis no mesmo através de análises das portas 5 6 de serviço TCP e UDP . De posse dessas informações obtidas através desse tipo de ataque, pode se concentrar esforços para comprometer 7 recursos específicos; Denial of Service: Os ataques de DOS , ou negação de serviço consistem na obtenção de perda de desempenho proposital de serviços ou sistemas de forma a impossibilitar o seu uso pelas as pessoas que tem permissão para acessá-los; Ataques no Nível de Aplicação: Os ataques no nível de aplicação envolvem basicamente a exploração de vulnerabilidades em aplicativos e protocolos na camada de aplicação da pilha dos protocolos TCP/IP, isto é, a camada mais próxima ao usuário; Ataques de Engenharia Social: É um dos mais perigosos e traiçoeiros ataques, por que este não limita se apenas a recursos computacionais, mas caracteriza-se nas vulnerabilidades encontradas nas pessoas que manuseiam os processos de manipulação de ativos da informação. Esse ataque será mais explanado nos capítulos seguintes desta pesquisa. 3.6 ATACANTE Atacante é o termo utilizado em Segurança de Sistemas para denominar uma pessoa ou um grupo de pessoas que realiza uma invasão a um sistema computacional alcançando seu objetivo ou não. Segundo Carvalho (2005) atualmente o termo mais conhecido para denominar atacantes é o termo Hacker, mas é possível ainda encontrar outros nomes relacionados como Script Kiddies, Crackers, Cyber punks, Insiders, Coders, White Hats, Black Hats e Preacker. A palavra Hacker possuí várias definições, desde um administrador de sistema corporativo perito o suficiente para descobrir como os computadores realmente funcionam até um criminoso adolescente com pouca ética que se diverte enquanto acaba com rede de uma empresa. (Scheneier, 2001). No grupo do White-hats, encontram- se os coders, que muitas das vezes são ex-Black hats que hoje utilizam seus conhecimentos dando palestras ou trabalhando com consultorias para empresas na área de segurança computacional, além desses atacantes destaca-se os insiders que se caracterizam pela a ameaça proveniente de ex-funcionários ou pessoas que possuem acesso ao interior da empresa e se 5 TCP: É um conjunto de protocolos de comunicação entre computadores em rede (também chamado de pilha de protocolos TCP/IP) 6 UDP: User Data Protocol é um protocolo de transporte de dados, que ao contrário do TCP, na faz nenhum tipo de conexão. 7 DOS: Denial of Service, negação de serviço.
  27. 27. 25 apropriam de informações sigilosas ou comprometem um sistema que deveria ser seguro, nesse tipo de ataque é comum a utilização de técnicas de Engenharia Social para a obter cópias de dados de softwares e documentos sigilosos, outro grupo destaque desta pesquisa que faz uso apenas de Engenharia Social em seus ataques são os Engenheiros Sociais que são assunto do capítulo a seguir.
  28. 28. 26 4 ENGENHARIA SOCIAL Esse capítulo apresentará os conceitos referentes ao Engenharia Social, os tipos, como se dá sua execução dos ataques feitos por engenheiros sociais na manipulação das pessoas como ativos da informação. 4.1 CONCEITO O termo Engenharia Social é utilizado para denominar a prática de induzir ou articular ações que levem o individuo acreditar em uma farsa, proporcionando ao atacante a vantagem necessária a suas ações fraudulentas. O termo é utilizado para descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. (Cartilha de Segurança na Internet, 2006). 4.2 TIPOS DE ENGENHARIA SOCIAL Segundo Assunção (2010) existem três maneiras básicas de ataques de Engenharia Social: por e-mail ou carta - o engenheiro envia um e-mail ou carta para seu alvo contendo informações que ele quer. Pode ser pedindo um documento importante ou fingindo ser do Centro de Processamento de Dados e requerendo uma mudança de senha. De qualquer maneira, seja correspondência eletrônica ou real, quase sempre ela fica perfeita. Com o logotipo da organização, marca d’agua e e-mail de origem parecendo que vem mesmo da empresa. Tudo para gerar confiança; E-mail Pishing - é mais uma forma de Engenharia Social usada na internet, o pishing é uma tentativa de obter dados com o uso de e-mails falsos, que fingem vir de empresas ou bancos, geralmente pedem informações e dão um link de um programa malicioso. Ainda segundo Assunção (2010), essa técnica é utilizada por Engenheiros Sociais, consiste em mandar um arquivo (anexo) compactado zip, com a senha para ser descompactado no corpo do e-mail, e essa ação barra o antivírus e fornece uma
  29. 29. 27 falsa sensação de confiança, pois passa a impressão que o atacante está mandando um arquivo importante e confiou a senha a vítima que ao digitar a senha encontrará um arquivo executável malicioso pronto para ser instalado no sistema da vítima, e muitas vezes esses e-mails estão camuflados de cartões virtuais, convites e até mesmo instituições financeiras. Messengers Instantâneos: é necessário ter um cuidado redobrado ao utilizar os serviços de mensagem instântanea como MSN, ICQ, Skype, Yahoo entre outros; pois os engenheiros sociais vem nesse tipo de serviço a oportunidade para atacar na tentativa de fazer a vítima aceitar um determinado arquivo que contendo um malware8 malicioso, esses engenheiros utilizam da confiança e simpatia para dizer que o arquivo um jogo interessante ou um projeto inacabado. Apesar das novas versões do MSN Messenger vir com bloqueio de envio de mensagens executáveis este pode ser facilmente burlado através de patchs 9 disponíveis na internet (ASSUNÇÃO, 2010). Pessoalmente: É o método mais arriscado, mas também o mais eficiente. Pode se passar por um cliente, por um funcionário ou mesmo um parceiro de negócios. As possibilidades são infinitas, já que as pessoas tendem a confiar mais em alguém muito bem vestido. Outra coisa que eles tendem a fazer pessoalmente: revirar lixo de uma empresa ou organização em busca de informações importantes, como listas de empregados ou qualquer coisa que beneficie a Engenharia Social (ASSUNÇÃO, 2010). Pelo Telefone: O engenheiro se passa por alguém importante, finge precisar de ajuda ou mesmo se oferece para ajudar. O interesse dele é mexer com o sentimento das pessoas, fazendo com que elas acabem entregando o que ele deseja, sem, muitas vezes, nem saberem disso (ASSUNÇÃO, 2010). 4.3 OS ATIVOS PESSOAS E A ENGENHARIA SOCIAL Ao contrário de que muitos imaginavam o principal risco no controle da segurança da Informação, não se encontra em ataques elaborados que utilizem 8 Malware: O termo malware é proveniente do inglês malicious software; é um software destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de informações (confidenciais ou não). 9 Patch: Pacote de atualizações.
  30. 30. 28 tecnologias sofisticadas, na verdade, os ataques podem ser simples, mas com conseqüências devastadoras, e o principal alvo desses ataques estão no sistema mais falho conhecido: O ser humano. O ser humano por si só é uma fonte de complicações, seres humanos são curiosos, são interativos e extremamente vulneráveis. Para Campos (2007), as pessoas são o elemento central de um sistema de segurança da informação e afirma que a organização é, na verdade, o conjunto de pessoas, que nela trabalham; para ele os incidentes da segurança da informação sempre envolvem pessoas, seja no lado das vulnerabilidades exploradas, quer no lado das ameaças que exploram essas vulnerabilidades. Além de todos os problemas técnicos que podem causar a falta na segurança, ainda temos, o pior deles, e justamente o não técnico. Através de técnicas de Engenharia Social, a manipulação do fator humano causa enormes desastres como: fazer o usuário rodar um cavalo de tróia sem saber, conseguir informações privilegiadas sobre a empresa, obter especificações de um novo produto etc (ASSUNÇÃO, 2010). A falta de segurança é um problema sério e, infelizmente, muitas universidades, empresas e muitos órgãos do governo não se exercitam, não se atualizam. Eles deixam seus sistemas vulneráveis a ataques e não têm o mínimo de perspicácia para perceber falhas humanas, cada vez mais exploradas por hackers (MITNICK, 2006). “Geralmente as pessoas são o ponto mais suscetível em um esquema de segurança. Um trabalhador malicioso, descuidado ou alheio a política de informação de uma organização pode comprometer até a melhor segurança” (COMMER, 1998). Mesmo nos incidentes que envolvem acidentes naturais, pessoas precisam prever acidentes e proteger os ativos, quer criando proteções, quer elaborando planos de recuperação do desastre. Portanto, o item pessoas de vê ser de relevância considerada em um sistema de gestão da segurança da informação (CAMPOS, 2010). Os engenheiros sociais sabem que as pessoas são uma das partes mais vulneráveis dos ativos da informação, por isso usam da persuasão para manipularem seus alvos.
  31. 31. 29 4.4 ENGENHARIA SOCIAL: MANIPULANDO SENTIMENTOS Manipulador é a palavra mais adequada para descrever um Engenheiro Social; dentre os sentimentos explorados em um ataque de Engenharia Social, destacamse: Curiosidade: é sem dúvida, um dos sentimentos humanos mais explorados por um engenheiro social, e é utilizando técnicas que despertem a curiosidade, é que o atacante consegue ludibriar suas vítimas. Sabendo que a curiosidade é um dos pontos mais vulneráveis do ser humano, o engenheiro social vai tentar atiçar de todas as maneiras a curiosidade da empresa-alvo (ASSUNÇÃO, 2010). Confiança: é um fator muito manipulado pelos os engenheiros sociais. Ela pode ser gerada de várias maneiras: onde o atacante pode se passar por um funcionário de outra filial, citar procedimentos técnicos do manual da empresa ou, simplesmente, oferecer-se para ajudar com algum problema, outra coisa comum é o recebimento de um e-mail com o endereço de origem de um amigo ou colega de trabalho e esse e-mail vir com um anexo e esses e-mails podem ser facilmente forjados, no geral todos esses fatores fazem com que a “resistência” do funcionário a entregar informações fique mais fraca (ASSUNÇÃO, 2010). Simpatia: outro modo de manipulação encontra-se na simpatia, onde a sensualidade é um dos pontos explorados, é muito mais fácil uma mulher se aproximar dos seguranças de uma empresa e ser bem sucedida ao utilizar as técnicas Engenharia Social que um homem, o mesmo ocorre em casos de Engenharia Social ao telefone, se a pessoa do outro lado da linha solicita informações de maneira simpática, voz suave, inconscientemente muitos funcionários tendem a ceder e assim passam informações (ASSUNÇÃO, 2010). Medo: Outro sentimento explorado pelos os Engenheiros Sociais é o medo, segundo Assunção (2010) a manipulação do medo é uma das mais poderosas, pois tende obter resultados muito rápidos. Isso porque ninguém quer agüentar a pressão o muito tempo e acaba entregando as informações rapidamente. Geralmente, as ameaças parecem vir de pessoas com uma hierarquia bem maior que do alvo dentro da organização. Culpa: Muitas vezes o que faz da Engenharia Social uma técnica bem sucedida é o poder que esta exerce sobre os sentimentos das pessoas, e um desses sentimentos é a culpa. Um bom engenheiro social sabe muito bem que
  32. 32. 30 dentro de uma organização os funcionários novatos que por quererem mostrar serviço estão mais vulneráveis a essa abordagem (ASSUNÇÃO, 2010). 4.5 ENGENHEIROS SOCIAS E SUAS ESTRATÉGIAS DE ATAQUE Mitnick (2003) em seu livro a Arte de Enganar destaca seis tendências usadas pelos os engenheiros sociais em suas tentativas de manipulação, são elas: Autoridade: As pessoas têm tendência de atender uma solicitação que é feita por uma pessoa com autoridade, alguém pode ser convencido a atender uma solicitação se ela acreditar que o solicitante é uma pessoa com autoridade ou que está autorizada a fazer tal solicitação. Um engenheiro social tenta impor autoridade alegando ser do departamento de TI ou dizendo ser um executivo ou uma pessoa que trabalha para um executivo da empresa. Afabilidade: As pessoas têm a tendência de atender uma pessoa que faz solicitação quando esta se passa por alguém agradável ou com interesses, crenças e atitudes semelhante as da mesma. É comum em ataques de Engenharia Social o atacante envolver a vítima em uma conversa e descobrir os gostos e interesses do alvo e usar isto na manipulação. Reciprocidade: Atender automaticamente a uma solicitação quando há promessa de receber algo de valor. O presente pode ser um item material, um conselho ou ajuda. Quando alguém faz algo para a vítima, esta se sente na inclinação de retribuir. Essa forte tendência de retribuir existe nas situações em que a pessoa que recebe o presente não pediu por ele sendo esta uma das maneiras mais eficazes do engenheiro social influenciar sua vítima como no caso a seguir. Um empregado recebe uma ligação de uma pessoa que se identifica como sendo do departamento de TI. O interlocutor explica que alguns computadores da empresa foram infectados por um vírus novo que não é reconhecido pelo software antivírus e que pode destruir todos os arquivos de um computador. Ele se oferece para instruir a pessoa a tomar algumas medidas para evitar problemas. Depois disso, o interlocutor pede que a pessoa teste um utilitário de software que acabou de ser atualizado recentemente, o qual permite que os usuários mudem as senhas. O empregado reluta em recusar, porque o interlocutor acabou de prestar ajuda que supostamente o protege contra um vírus. Ele retribui, atendendo à solicitação do interlocutor (MITNICK, 2003).
  33. 33. 31 Consistência: As pessoas têm a tendência de atender após fazer um comprometimento público ou adotar uma causa, isso ocorre porque o ser humano quer sempre ter a aceitação dos outros e se esforça para parecer mais confiável e ser coerente com suas promessas, principalmente em ambientes de trabalho, (Mitnick, 2003) a exemplo disso o caso a seguir): O atacante entra em contato com uma funcionária relativamente nova e a aconselha sobre o acordo para seguir determinadas políticas e procedimentos de segurança como uma condição para usar os sistemas de informações da empresa. Após discutir algumas práticas de segurança, o interlocutor pede à usuária para fornecer a sua senha "para verificar se ela entendeu" a política sobre selecionar uma senha difícil de adivinhar. Depois que a usuária revela a sua senha, o interlocutor faz uma recomendação para que ela crie senhas para que o atacante possa adivinhá-las. A vítima atende por causa do seu acordo anterior de seguir as políticas de segurança e porque supõe que o interlocutor está apenas verificando o seu entendimento (MITNICK, 2003). Validação social: é como o ditado popular bem ilustra: “Maria vai com as outras”, a vítima sente que deve cooperar com o engenheiro social porque outras pessoas de outros departamentos fizeram o mesmo. Quanto a essa ação Mitnick (2003) ilustra com o seguinte exemplo: O interlocutor diz que está realizando uma pesquisa e dá o nome das outras pessoas do departamento que diz já terem cooperado com ele. A vítima, acreditando que a cooperação dos outros valida a autenticidade da solicitação, concorda em tomar parte. Em seguida, o interlocutor faz uma série de perguntas, entre as quais estão perguntas que levam a vítima a revelar o seu nome de usuário e senha. Escassez: Pessoas têm tendência a cooperar quando sentem que estão em alguma competição a algum serviço ou produto que não estará disponível por muito tempo, esse tipo de abordagem é comumente feita na web. Quanto a esse tipo de abordagem Mitnick (2003) ilustra com o exemplo a seguir: O atacante envia e-mails dizendo que as primeiras 500 pessoas que se registrarem no novo site Web da empresa ganharão ingressos grátis para a premiere de um filme a que todos querem assistir. Quando um empregado desavisado se registra no site, ele tem de fornecer o endereço de e-mail da sua empresa e selecionar uma senha. Muitas pessoas, motivadas pela conveniência, têm a tendência de usar a mesma senha ou uma senha semelhante em todo sistema de computador que usam. Aproveitando-se disso, a atacante tenta comprometer o trabalho do alvo e os sistemas de
  34. 34. 32 computadores domésticos com o nome de usuário e a senha que foram inseridos durante o processo de registro no site Web. 4.5 DISFARCES DE UM ENGENHEIRO SOCIAL Uma característica dos ataques dos engenheiros sociais em ações de contato pessoal é a utilização de disfarces. Durante o processo de persuasão a criatividade do atacante não tem limites, seja desde um faxineiro que tem acesso ao lixo da organizaçãoo, uma fonte rica de informações ao presidente de uma multinacional que precisa do telefone do gerente do setor para tratar de assuntos de negócios. Mitnick (2003), enumera as abordagens mais comuns dos engenheiros sociais na criação de seus personagens.  Finge ser um colega de trabalho;  Finge ser um empregado de um fornecedor, empresa parceira ou autoridade legal;  Finge ser alguém com autoridade;  Finge ser um empregado novo que solicita ajuda;  Finge ser um fornecedor ou fabricante de sistemas que liga para oferecer um patch ou uma atualização de sistema;  Oferece ajuda quando ocorrer um problema e, em seguida, faz o problema ocorrer para manipular a vítima e fazer com que ela ligue pedindo ajuda;  Envia software ou patch grátis para que a vitima o instale;  Envia um vírus ou Cavalo de Tróia como um anexo de correio eletrônico; 10  Usa uma janela pop-up falsa que pede para o usuário fazer o login novamente ou digitar uma senha;  Captura as teclas digitadas pela vítima com um sistema ou programa de computador;  Deixa um disquete ou CD com software malicioso em algum lugar do local de trabalho;  Usa jargão e terminologia interna para ganhar a confiança;  Oferece um prêmio pelo registro em um site Web com um nome de usuário e a senha;  Deixa um documento ou arquivo na sala de correspondência para entrega interna;  Modifica o cabeçalho de uma máquina de fax para que ele venha de uma localização interna;  Pede que uma recepcionista receba e, em seguida, encaminhe um fax;  Pede que um arquivo seja transferido para uma localização aparentemente interna;  Configura uma caixa de correio para que as ligações de retorno percebam o atacante como alguém de dentro da empresa; 10 Pop-Up: É uma janela extra que abre no navegador ao visitar uma página ou clicar em um link específico.
  35. 35. 33  Finge ser do escritório remoto e pede acesso local ao correio eletrônico; Os disfarces são levados a sério pelos os engenheiros sociais, a exemplo disso podemos citar nomes de Engenheiros Sociais famosos como Kevin Mitnick conhecido hacker dos anos 90 que invadiu sistemas de companhias telefônicas e corporações do governo se disfarçando desde técnico de TI a Presidente de Multinacional, manipulando suas vítimas pessoalmente ou por telefone conseguindo informações para a execução os seus golpes; outro nome famoso, o considerado rei dos disfarces é Frank William Abagnale, Jr. que na década de 1960, já viajava o mundo de graça ao se passar por piloto da companhia área americana Pan Am; usando uniforme e documentos falsos, o golpe durou dois anos, além disso, trabalhou em um hospital como médico pediatra por onze meses ao fazer amizade com um médico residente que o indicou para o trabalho, como se não fosse o suficiente, Abagnale se passou também por advogado e professor tudo para pôr em prática os seus golpes de fraudes bancárias e criação de documentos falsos.
  36. 36. 34 5 GOVERNANÇA DE TI Este capítulo apresenta as características e os componentes da Governança de TI e os seus respectivos modelos ITIL e Cobit. Dentre os vários adjetivos que conceituam a Governança de TI, um deles é inegavelmente mais conhecido: bom governo, ou seja, a governança caracteriza-se por boas práticas; criar estruturas de governança significa definir ações estratégicas na gestão dos serviços da organização de maneira que venha diminuir as dificuldades encontradas ao gerenciar e criar controles na organização. 5.1 CONCEITO A Governança de TI é uma ferramenta que especifica os direitos de decisão e das responsabilidades e é uma estratégia de gestão a serviços, é um conjunto de práticas e padrões e relacionamentos estruturados que tem como objetivo expandir o desempenho e otimização dos recursos dando suporte para as melhores decisões, encoraja o comportamento desejável no uso da TI (FERNANDES, 2005). A Governança de TI além de buscar o compartilhamento de decisões de TI com os dirigentes da organização é responsável principalmente por estabelecer regras que abrangem a organização e os processos do uso da tecnologia da informação que envolve usuários, departamentos, divisões, negócios da organização. Segundo Fernandes (2005) a Governança de TI é motivada por vários fatores, como observado na figura seis, dentre os fatores que motivam a Governança da TI, podemos destacar a Segurança da Informação; é sabido que as organizações sofrem riscos diários de intrusão visando o roubo, principalmente de dados que podem afetar sobremaneira a operação da organização.
  37. 37. 35 Figura 6-Fatores Motivadores da Governança de TI Fonte: FAGUNDES, 2005. De acordo com o nível de acesso dos vários pontos da organização, maior é a necessidade de envolver todos os níveis a uma política de governança que dite as permissões e negações na gestão da segurança da informação. 5.2 COMPONENTES DA GOVERNANÇA DE TI Para Fernandes (2005) a Governança de TI compreende vários mecanismos e componentes ilustrados na figura sete que logicamente integrados permitem o desdobramento da estratégia de TI até a operação dos produtos e serviços correlatos. Destacando o processo de alinhamento estratégico e copilance da qual a Segurança da ação esta alocada, este procura determinar qual deve ser o alinhamento de TI em termos de arquitetura, infra-estrutura, aplicações, processos e organização com as necessidades presentes e futuras da organização. Outro componente importante do domínio do alinhamento estratégico que é importante destacar são princípios da TI, são regras que todos devem seguir, no âmbito da organização, e que subsidiam tomadas de decisão a cerca da arquitetura de TI, Infra-estrutura de TI, aquisição e desenvolvimento de aplicações, uso de padrões, gestão de ativos de TI e assim sucessivamente.
  38. 38. 36 Figura 7 – Os domínios e componentes da Governança de TI Fonte: FAGUNDES, 2005. 5.3 ITIL É o modelo de referência para gerenciamento de processos TI, ITIL (Information Tecnology Infrastructure) em português significa “Biblioteca para Infraestrutura de serviços de TI”. Essa metodologia foi criada em 1980 pela CCTA (Centro Computer and Telecommunications Agency) órgão ligado ao OGC (Office for Government Commerce) da Inglaterra, e com envolvimento de inúmeras organizações industriais e governamentais (FAGUNDES, 2005). A principal característica dessa metodologia é que esta está voltada a processos que visam atender qualquer tipo de organização na área de gestão de serviços de TI, pois sua filosofia considera o gerenciamento de serviços como um conjunto de processos fortemente relacionados e integrados. Mostrando que devem ser usadas: pessoas, processos e tecnologias para atingir os objetivos chaves do gerenciamento desses serviços. A ITIL é reconhecida em muitos países pela a sua metodologia voltada a operação de negócio e antes o que era apenas um conjunto de 60 livros de conjunto de melhores práticas se tornou padrão em gerenciamento de serviços.
  39. 39. 37 A vantagem desta metodologia está na liberdade que está dá para o uso em qualquer organização, inclusive em órgãos públicos e privados. Os documentos ITIL abordam: Gerenciamento da Configuração, Central de Serviços, Gerenciamento de Incidentes, Gerenciamento de Problemas, Gerenciamento de Mudanças, Gerenciamento de Liberações, Gerenciamento da Capacidade, Gerenciamento da Disponibilidade, Gerenciamento da Continuidade dos Serviços de TI, Gerenciamento Financeiro para Serviços de TI, Gerenciamento do Nível de Serviço, Gerenciamento da Infra-estrutura e Gerenciamento de Aplicações (FAGUNDES, 2005). Figura 8 – O Núcleo da ITIL Fonte: FAGUNDES, 2005. 5.4 COBIT O Cobit é um guia para a gestão de TI. COBIT (Control Objectives for Informationand Related Technology), que pode ser traduzido como “Objetivos de Controle para a Informação e Tecnologia Relacionada”, é recomendado ISACF
  40. 40. 38 (Information Systems Audit and Control Foundation), é orientado a negócio, pois detalha informações para gerenciar processos baseados em objetivos de negócio, outra característica é que este é um conjunto de diretrizes para gestão de processos, orientando o entendimento e o gerenciamento de riscos, a auditoria e as práticas de controles associadas ao uso do TI (ISACA, 2010). Ainda segundo ISACA (2010), o Cobit atende as demandas:  Administração e Gerência: buscando o equilíbrio entre os riscos e os investimentos em controles no ambiente dinâmico da Tecnologia da Informação.  Usuários: dependem dos serviços de TI e seus respectivos controles e mecanismos de segurança para executar suas atividades.  Auditores: validam suas opiniões ou recomendam melhorias dos controles internos à administração E está dividido em quatro domínios: 1. Planejamento e Organização 2. Aquisição e Implementação 3. Entrega e Suporte 4. Monitoração Figura 9 – Domínio do Cobit Fonte: ISACA, 2010
  41. 41. 39 6 ESTUDO DE CASO Esse capítulo apresentará o estudo de caso e a metodologia usada na aplicação dos questionários da organização pesquisada, apresentando o histórico, a estrutura organizacional, e por fim o dado percentual da pesquisa. 6.1 HISTÓRICO DA ORGANIZAÇÃO PESQUISADA: CÂMARA MUNICIPAL DE SANTARÉM. De acordo com Fonseca (2006) a Vila de Santarém, desde a sua instituição a 14 de Março de 1758, já possuía sua Câmara, composta por dois Juízes ordinários e três vereadores, denominada de Senado da Câmara, mas foi somente a partir de 1828, através da Lei Imperial, que o Legislativo passou a denominar-se Câmara Municipal. Em obediência à nova Lei, foram eleitos para o quadriênio de 1829 a 1832, os seguintes membros: Padre Raimundo José Auzier, presidente; João de Deus Leão, secretário; e mais os seguintes membros: Belchior Rodrigues Melo, Pedro José Bastos e José de Sousa e Silva Seixas. Essa primeira Câmara Municipal foi instalada em 1º. De Junho de 1829. Quando em 1848, Santarém foi elevada à categoria de cidade, era presidente da Câmara o cidadão Joaquim Rodrigues dos Santos. Com a Proclamação da República, ocorrida em 1889, a Câmara foi dissolvida pelo Decreto Nº. 81, de 06 de Março de 1890. Estava assim constituída: Francisco Caetano Correa, presidente, e mais os seguintes membros: José Leopoldo Pereira Macambira, Miguel Batista Belo de Carvalho, José Cláudio da Silva Rabelo, José Veloso Pereira, José Joaquim da Silva, Matias Afonso da Silva e Fausto Pinto Guimarães. Ainda no mesmo dia 06 de Março de 1890, o Decreto de Nº. 82 transformava a antiga Câmara Municipal em Conselho Municipal de Intendência, e nomeava os seguintes membros: Barão de Tapajós (Intendente), e os vereadores José Leopoldo Pereira Macambira, Ascendino Gonçalves Gentil, Turiano Lins Meira de Vasconcelos, Joaquim Lopes Bastos e Francisco Caetano Rodrigues dos Santos. À
  42. 42. 40 exceção do último membro, que não aceitou a nomeação, este Conselho Municipal de Intendência tomou posse em 21 de Março de 1890. Vitoriosa a Revolução de 1930, a Câmara Municipal foi mais uma vez extinta. Voltou a funcionar de 1935 a 1937, quando houve um golpe de Estado, o chamado Estado Novo, que dissolveu novamente. Com a volta ao regime Constitucional, a Câmara foi restabelecida em 1948, com a seguinte composição: Pedro Gonçalves Gentil, Braz de Alcântara Rebelo, Osman Bentes de Sousa, João Otaviano de Matos, Benedito de Oliveira Magalhães, Humberto de Abreu Frazão, Jonathas de Almeida e Silva, Flávio Flamarion Serique e Antonieta Dolores Texeira (suplente de Antônio Veloso Salgado, que renunciou). Do ano de 1955 a 1959, a Câmara passa a ter 11 Vereadores. Em 1967 passa a funcionar com 13 Parlamentares. No ano de 1969 a 1970, por ato da Presidência da República, a Câmara passa por um recesso. No ano de 1971, passou a funcionar rogando a proteção Divina. A partir de 1974, os Vereadores passam a ser remunerados pelo exercício do cargo. De 1983 a 1988, essa Legislatura teve a duração de 6 anos. De 01 de Janeiro de 1993, a Câmara passa a funcionar com 17 Vereadores; Em 01 de Junho de 2003, a Câmara comemora os seus 174 anos de cidadania, composta por 17 Vereadores. Em 01 de Janeiro de 2005, a Câmara passa a funcionar composta por 14 Vereadores, por força da Resolução do TSE de Nº. 21.702. 6.2 ESTRUTURA ORGANIZACIONAL A Organização Câmara Municipal de Santarém, é uma entidade governamental que possuí seis departamentos e quatorze gabinetes destinados a vereadores, a saber: 1. Departamento de Recursos Humanos 2. Departamento Legislativo 3. Departamento de Finanças 4. Departamento de Recursos Humanos 5. Setor de Informática 6. Central Telefônica
  43. 43. 41 6.3 FOCO DA PESQUISA: GABINETE DOS VEREADORES Os gabinetes destinados aos vereadores funcionam de maneira independente dos outros setores da câmara, ou seja, a responsabilidade organizacional é centralizada nos assessores e secretários delegados pelo o parlamentar. Cada gabinete é responsável pelas as medidas de segurança quanto à gestão de ativos, manutenção, controle e descarte das informações que entram e saem diariamente. 6.4 ANÁLISE DO PROBLEMA Muitas são as vulnerabilidades encontradas em ambientes governamentais como em gabinetes de uma câmara municipal, dentre essas vulnerabilidades destacam-se aquelas encontradas na gestão dos ativos, na manutenção e descarte da informação que são os pontos mais explorados em ataques de engenharia social que é o foco dessa pesquisa. 6.5 APLICAÇÃO DE QUESTIONÁRIOS Os questionários foram aplicados em forma de entrevista nos quatorze gabinetes destinados aos vereadores, foram entrevistados assessores e secretárias que convivem diariamente com as pessoas e informações que entram e saem. O objetivo da aplicação desse questionário é ter uma pesquisa de caráter qualitativo e quantitativo que apresentem as reais necessidades dos gabinetes em adotar as boas práticas encontradas na norma NBR ISO 27.002 na gestão de ativos e manutenção e descarte da informação que tão explorada em ataques, principalmente de engenharia social.
  44. 44. 42 6.6 QUESTONÁRIO A fim de se ter uma pesquisa mais fundada os dados pesquisados foram transformados em gráficos para a melhor visualização, o objetivo é mostrar de maneira quantitativa e qualitativa as vulnerabilidades e a necessidade da organização pesquisada em adotar boas práticas na gestão da segurança da informação. As vinte e três perguntas do questionário estão centradas apenas na manutenção e descarte da informação, na gestão dos ativos da informação com foco no ativo humano explorado em ataques de engenharia social. Os gráficos apresentados a seguir são baseados nas informações obtidas na pesquisa.  Na sua função você utiliza computador? Gráfico 1 Cem por cento dos funcionários entrevistados responderam que utilizam o computador em suas atividades diárias.  Utiliza outro software além do pacote do Office?
  45. 45. 43 Gráfico 2 Apenas sete por cento dos funcionários entrevistados responderam que utilizam outro software que auxilia na organização da informação em suas atividades diárias enquanto a maioria noventa e três por cento não fazem uso.  Se utiliza outro software, este contém senha? Gráfico 3 Cem por cento dos entrevistados que responderam que faziam uso de outro software específico responderam também que fazem uso de senha para acessar o software.  Todos fazem uso da mesma senha?
  46. 46. 44 Gráfico 4 Sete por cento dos entrevistados que utilizam outro software responderam que todos os funcionários que manipulam o software têm conhecimento e acesso a mesma senha enquanto noventa e três possuem senha individual.  Quanto à utilização de senha para acesso ao computador do trabalho? Gráfico 5 A maior parte setenta e dois por cento dos entrevistados responderam que não fazem uso de senha para acessar os computadores do ambiente de trabalho, apenas vinte e três por cento responderam que fazem uso de senha.
  47. 47. 45  Quanto à utilização da internet para uso pessoal no ambiente de trabalho. Gráfico 6 Noventa e três por cento dos funcionários entrevistados revelaram que acessam a internet do trabalho para uso pessoal, apenas sete por cento responderam não.  Possuí conta em Rede Sociais? Gráfico 7 Cem por cento dos entrevistados responderam que possuem conta em alguma rede social.
  48. 48. 46  Informações fornecidas em Redes Sociais (Internet). Sobre situações cotidianas corriqueiras da organização. Comenta com amigos nas redes sociais? Gráfico 8 Cinquenta por cento dos entrevistados responderam que comentam com seus contatos situações ocorridas nas organizações em uma conversa informal ou divulgado os trabalhos do parlamentar, outro cinqüenta por cento responderam que não comentam ou divulgam nada da organização em suas redes sociais.  Manutenção da Informação Digital. Os arquivos de computador são armazenados como? Em pastas criadas no próprio sistema operacional ou gravadas em mídias removíveis. Gráfico 9
  49. 49. 47 Cinquenta e quatro por cento dos entrevistados responderam que os arquivos digitais são armazenados em pastas do sistema operacional e quarenta e seis por cento em mídias removíveis.  Quanto ao descarte de mídias usadas. Gráfico 10 Cem por cento dos entrevistados descartam mídias usadas nos depósitos de lixo da própria organização.  Manutenção da Informação em Papel (documentos) Gráfico 11
  50. 50. 48 Cem por cento dos entrevistados mantêm as informações de papel em pastas arquivos que ficam nas dependências do gabinete e zero por cento faz uso de outra meio de manutenção dos documentos em papel.  Quanto ao descarte das informações em papel. Gráfico 12 Cem por cento dos entrevistados responderam que descartam as informações de papel nos depósitos de lixo da organização.  Existe controle do fluxo das pessoas que entram e saem do gabinete? Gráfico 13 Cem por cento dos entrevistados responderam que não existe nenhum tipo de controle das pessoas que entram e saem do gabinete.
  51. 51. 49  Quanto ao tratamento das Informações. A organização possuí alguma política de segurança? Gráfico 14 Cem por cento dos entrevistados responderam que não existe política de segurança na organização, apenas a confiança depositada no funcionário de que este fará o possível para manter as informações “protegidas”.  A organização orienta os funcionários na divulgação de informações sigilosas? Gráfico 15 Cem por cento dos entrevistados responderam que não existe orientação da direção no sentido da divulgação das informações sigilosas, nem treinamento,
  52. 52. 50 apenas o bom senso e comum acordo do grupo de funcionários em tomar as precauções necessárias na divulgação de informações que sejam de caráter confidencial.  E-mail: Ao receber um e-mail que solicita informações a respeito de sua conta bancária. Você abre o e-mail e checa para ver se é verdadeiro. Nem abre o e-mail apenas deleta ou sinaliza como spam? Gráfico 16 A maioria dos entrevistados, ou seja, setenta e nove por cento responderam que abrem o e-mail e checam se a procedência é de fato de uma instituição verdadeira, enquanto vinte um por cento responderam que não se dão ao trabalho de abrir e deletam imediatamente pois desconhecem ou desconfiam da procedência do mesmo.  Quanto ao download de anexos. Se o e-mail da pergunta anterior vier com um anexo: Você faz o download porque confia que o antivírus detectará se o arquivo for malicioso. Você nunca faz download de anexo?
  53. 53. 51 Fonte: Dados da Pesquisa Gráfico 17 Setenta e um por cento dos entrevistados responderam que fazem o download do anexo enquanto vinte e nove por cento nunca fazem download de anexos em caso parecidos com o exemplo dado na questão anterior.  Mensagens Instantâneas. Ao ser solicitado sobre alguma informação referente ao trabalho na organização em serviços de mensagem instantânea. Gráfico 18 A maioria dos entrevistados, ou seja, sessenta e quatro por cento marcaram que responderiam sem problemas desde que não fosse nenhuma informação sigilosa, enquanto trinta e seis por cento marcaram que não responderiam de forma alguma nenhuma informação solicitada mesmo que essa fosse de caráter público.
  54. 54. 52  Solicitação de Informações em relação ao trabalho em abordagens Pessoais. Se alguém pessoalmente aborda e solicita informações em relação à organização: Forneceria informações inclusive sigilosas se quem solicita tem alguma autoridade na organização. Forneceria qualquer informação a qualquer solicitante desde que não fosse de caráter sigiloso. Não forneceria nenhum tipo de informação? Gráfico 19 Sessenta e quatro por cento dos entrevistados responderam que só forneceriam informações apenas se a pessoa que a solicita exercesse função de autoridade na organização, trinta e seis por cento responderam que só responderiam se fossem informações não sigilosas e zero por cento não forneceriam nenhum tipo de informação.  Solicitação de Informações em relação ao trabalho em abordagens ao telefone. Ao atender um telefonema onde alguém solicita uma informação que pode ser de caráter sigiloso ou não. Você fornece a informação por telefone?
  55. 55. 53 Gráfico 20 Noventa e três por cento responderam que forneceriam informações dependendo da pessoa que se identificasse por telefone. E sete por cento responderam que não fornecem informações relativas a organização por telefone.
  56. 56. 54 7 NORMAS E PADRÕES DE SEGURANÇA Esse capítulo abordará a importância e as características das normas e padrões de segurança, além de apresentar o histórico da Norma NBR/ISO/IEC 27.002. 7.1 CONCEITO DE NORMAS E PADRÕES Normas e padrões são as bases fundamentais para assegurar a qualidade de processos, estas normas definem as melhores práticas e ações que as organizações podem adotar na gestão da segurança da Informação. 7.2 A ORGANIZAÇÃO ISO A Organização Internacional de Padronização, fundada em vinte e três de janeiro de 1947, é uma entidade não governamental que possuí cento e sessenta e dois países membros, com sede em Genebra na Suíça, atribuí-se a esta a competência da normalização e padronização dos países associados. A ISO caracteriza-se por intermediar os interesses das organizações privadas junto ao governo, em alguns casos, as associações dos países membros já fazem parte da estrutura governamental local, o objetivo primordial da ISO é alcançar um consenso em relação às soluções referentes às necessidades do negócio e as necessidades da sociedade. Por haver vários acrônimos com relação ao nome ISO em vários países, como em inglês IOS, os fundadores decidiram uniformizar nome da organização, e optaram por ISO que em grego que dizer igualdade, então independentemente do país o nome é ISO. Dentre os tipos de classificações da ISO, estão às normas técnicas, classificações que abrangem os códigos dos países e normas de procedimento.
  57. 57. 55 7.3 A ASSOCIAÇÃO ABNT A Associação Brasileira de Normas Técnicas, fundada em 1940 é a organização responsável pela a normalização técnica no Brasil, é uma entidade privada que além de ser membro fundador da ISO, é representante também de outras organizações como a IEC (International Eletrotechnical Comission); e das entidades de normalização regional COPANT (Comissão Panamericana de Normas Técnicas) e a AMN (Associação Mercosul de Normalização), além disso é reconhecida como único Foro Nacional de Normalização. 7.4 NORMA NBR ISO 17.799 (27.002) – UMA BREVE HISTÓRIA A preocupação em gerar uma norma sobre a Segurança da Informação surgiu na Inglaterra, no Departamento de Indústria e Comércio (DTI – Department of Trade and Industrys). O objetivo era criar um conjunto de normas, ou seja, critérios que pudessem proporcionar as organizações uma certificação valida da Segurança da Informação, além disso, era necessário elaborar um código de boas práticas, que orientasse a implantação desses critérios nas organizações, e então em 1989 o projeto gerou a publicação da primeira norma. (CAMPOS, 2007). Os trabalhos continuaram e com as revisões necessárias e sugestões dadas pela a área industrial inglesa, o código de práticas foi publicado como padrão Britânico para a Gestão de Segurança da Informação sob o título de PD 0003 e, finalmente em 1995, a norma foi publicada pela Britsh Standard, sob o código de BS-7799. Apesar do código de boas práticas ser bastante específico na orientação das aplicações de ações da segurança da Informação, ainda era difícil validar essas ações e assegurar que elas estavam mesmo sendo realizadas de forma correta. Por isso, foi construída uma espécie de checklist para verificar se as ações propostas haviam sido realmente implementadas de acordo com o código de boas práticas. Assim, o código passou a ser chamado de BS 7799-1 e o checklist para verificar, de BS 7799-2. Com a segunda parte da norma BS 7799 seria possível inclusive certificar organizações quando da implementação da Segurança da Informação. (CAMPOS, 2007).
  58. 58. 56 Ainda de acordo com Campos (2007) muitas melhorias foram sendo feitas ao longo dos anos e a BS 7799 passou a ser adotada por muitas organizações mesmo fora da Inglaterra, e isso contribui para que a ISO (International Organization for Standardization) homologasse a BS 7799 e a transformasse em uma norma de aplicação Internacional ampla e restrita. No ano 2000, a ISO lançou então a ISO 17.799 que é a versão internacional da BS 7799-1. Contudo, a segunda parte da norma BS 7799 não foi transformada em ISO, o que gerou uma demanda por uma norma internacional que permitisse a certificação das empresas. Não havendo um consenso para o lançamento através da ISO a própria Britsh Standard adequou a BS 7799-2 aos padrões já internacionalmente aceitos, tais como as famílias 9.000 e 14.000 da ISO, adotando também o conceito de melhoria continua pela a utilização do ciclo PDCA (Plan, Do, check, Act). Essa norma BS totalmente adequada aos padrões internacionais foi lançada em 2002 e passou a ser utilizada como norma para a certificação de segurança da informação em todo mundo. Mais do que uma simples checklist, a BS 7799-2 tornou-se um verdadeiro instrumento de orientação para a implantação de um sistema de gestão de segurança da informação. O Código de práticas homologado e publicado pela a ISO continuou evoluindo e foi republicada em 2005 com muitas melhorias, tendo os controles de segurança da informação mais claramente identificados, com os requisitos, forma de implantação e informações adicionais. Nesse mesmo ano, finalmente, a ISO homologou a parte 2 da BS 7799, que possibilita a certificação. No entanto, essa nova norma passou a se chamar ISO 27.001, sendo o objetivo criar uma nova família de normas de segurança da Informação, tal como acontece com as famílias 9.000 e 14.000. Segundo Campos (2007) em abril de 2007 a ISO 17.799 foi então renomeada para ISO 27.002. Ainda existe a possibilidade do lançamento de novas normas da família, formando a seguinte estrutura: ISO 27.001: Especificação do sistema de gestão de segurança da informação. ISO 27.002: Código de prática para gestão de segurança da informação (antiga ISSO 17.799) ISO 27.003: Guia de implementação dos Sistemas de gestão de segurança da informação
  59. 59. 57 ISO 27.004: Medidas e métricas utilizadas em segurança da Informação ISO 27.005: Gestão de riscos em sistemas de gestão de segurança da informação. ISO 27.006: Requisitos para auditoria e certificação de um sistema de gestão da segurança da Informação. (CAMPOS, 2007). Segundo Ferreira e Araújo (2006) apud Matos (2010) em dezembro de 2000 a ABNT (Associação Brasileira de Normas Técnicas) também resolveu acatar a norma ISO como padrão brasileiro sendo publicada em 2001 como: ABNT NBR 17799 – Código de Prática para a Gestão da Segurança da Informação. O importante é que a partir dessa publicação passamos a ter um referencial de aceitação internacional. No segundo semestre de 2005 foi lançada a nova versão da norma, a norma ISO / IEC 17799:2005, que cancela e substitui a edição anterior. A partir de 2007, a nova edição da NBR/ ISO/IEC 17799 foi incorporada ao novo esquema de numeração como ISO/IEC 27002. Segundo a ABNT esta edição da ABNT NBR ISO/IEC 27002 tem seu conteúdo técnico idêntico ao da versão corrigida de 02.07.2007 da ABNT NBR ISO/IEC 17799:2005. 7.5 A NORMA NBR/ISO/17.799:2005 Dentre as normas existentes destaca se a NBR/ISO/17799, que é a versão brasileira da BS7799 desenvolvida na Inglaterra pelo CCSC (Commercial Computer Security Centre) e que ao longo dos anos foi sofrendo alterações até o ano 2000 quando ganhou notoriedade internacional, sendo assim homologada em 2001 pela a ABNT, e se tornou a NBR/ISOIEC 17799. A ISO (International Organization for Stardarditation) e a IEC (Internacional Electritecchnical commission) formam o sistema especializado para a padronização mundial, assim as entidades nacionais que são membros da ISO ou IEC participam do desenvolvimento de padrões internacionais através de comitês específicos. As normas dentro das organizações representam uma base para a afirmação da qualidade, sendo assim organizações devidamente certificadas por estas normas, tendem a oferecer serviços e produtos de excelência.
  60. 60. 58 As normas caracterizam se pelo o detalhamento específico de cada aspecto abordado. O objetivo da NBR/ISO/IEC 17799 é fornecer recomendações para a gestão de segurança da Informação para o uso dos envolvidos responsáveis pela a introdução, implementação ou manutenção da segurança nas suas respectivas organizações. As informações e os processos, sistemas e redes que lhes dão suporte são ativos importantes para os negócios. “A confidencialidade, a integridade e a disponibilidade das informações podem ser essenciais para manter a competitividade, o fluxo de caixa, a rentabilidade, o atendimento à legislação e a imagem comercial.” (NBR/ISO/ IEC- 27002) A NBR ISO/IEC 27002 é um conjunto de práticas para a Gestão da Segurança de Informações está dividida em seções, a saber: 1. Política de Segurança da Informação 2. Organizando a Segurança da Informação 3. Gestão de Ativos 4. Segurança em Recursos humanos 5. Segurança Física e do Ambiente 6. Gestão das Operações e Comunicações 7. Segurança Física e Ambiental 8. Gerenciamento de Comunicação Operações 9. Controle de Acesso 10. Aquisição e Desenvolvimento e Manutenção de Sistemas de Informação 11. Gestão da Continuidade do negócio 12. Conformidade 7.6 A IMPORTÂNCIA DA NBR/ISO 27002 (17.799:2005) As normas publicadas pela Organização Internacional de Normalização, a ISO, tem respaldo internacional. Apesar da NBR ISO 27.002 não ser voltada para fins de certificação é um código de boas práticas para a segurança da informação que possuí um vasto
  61. 61. 59 conjunto de definições importantes para a proteção de organizações independente do seu porte ou tamanho de atuação. informações de
  62. 62. 60 8 POLÍTICA E ORGANIZAÇÃO DE SEGURANÇA Esse capítulo abordará os pontos de Política e organização de Segurança, gestão de ativos e manutenção e descarte da informação de acordo com a NBR/ISO/IEC 27.002, como proposta de boas práticas para a organização pesquisada. 8.1 POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO A política de segurança da informação desempenha um papel importante na organização, pois esta estabelece de forma documentada as permissões e negações na gestão da informação. Para Campos (2007), a Política de Segurança da Informação é um conjunto de regras, normas e procedimentos que determina qual deve ser o comportamento das pessoas que se relacionam com a organização no que se refere ao tratamento da informação. A Norma NBR ISO IEC 27.002 especifica que a Política de Segurança da Informação deve prover uma orientação e apoio da direção para a segurança da Informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Segundo Campos (2007) a política de segurança da informação proporciona coerência nas decisões e menos complexidade para se chegar a conclusões sobre assuntos diversos relacionados com a segurança da Informação. As decisões passam a ser mais justas e mais facilmente aceitas, já que se baseiam em uma política sólida e conhecida, e não apenas no critério pessoal daquele que decide. A Importância de uma Política de Segurança da Informação é que esta estabelece um padrão de comportamento que deve ser do conhecimento geral de todos e é base para decisões da alta direção em assuntos relacionados à segurança da Informação.
  63. 63. 61 8.1.1 Documento da Política de Segurança da Informação. A Norma NBR ISO IEC 27002 define que um documento da política de segurança da informação seja aprovado pela a direção, publicado e comunicado para todos os funcionários e parte extremas relevantes. Para Norma NBR ISO IEC 27.002 é necessário que o documento da política de segurança da informação declare o comprometimento da direção e estabeleça o enfoque da Organização para gerenciar a Segurança da Informação. Convêm que o documento da política contenha declarações relativas a: a) Uma definição de segurança da informação, suas metas globais, escopo e importância da segurança da informação como um mecanismo que habilita o compartilhamento da Informação. b) Uma declaração do comprometimento da direção, apoiando as metas e princípios da segurança da informação, alinhada com os objetivos e estratégias de negócio; c) Uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco d) Breve explanação das políticas, princípios e normas e) Definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança da informação; f) Referências à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários devem seguir. Convém que esta política de segurança da informação seja comunicada através de toda a organização para os usuários de forma que seja relevante acessível e compreensível para o leitor em foco . (NBR ISO IEC 27.002:2005)
  64. 64. 62 8.1.2 Análise Crítica da Política de Segurança da Informação A norma NBR ISO IEC 27.002:2005, estabelece que convém que política de Segurança da Informação seja analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua persistência, adequação e eficácia. Que a política de segurança da informação tenha um gestor que tenha aprovado a responsabilidade pelo desenvolvimento, análise crítica e avaliação da política de segurança da informação. Convém que a análise crítica da política de segurança da informação leve em consideração os resultados da análise crítica pela direção. definidos procedimentos para análise crítica pela Convém que sejam direção, incluindo uma programação ou um período para a análise crítica. Que as entradas para a análise crítica pela direção incluam informações sobre: a) realimentação das partes interessadas; b) resultados de análises críticas independentes. c) situação de ações preventivas e corretivas. d) resultados de análises críticas anteriores feitas pela direção; e) desempenho do processo e conformidade com a política de segurança da informação; f) mudanças que possam afetar o enfoque da organização para gerenciar a segurança da informação, incluindo mudanças no ambiente organizacional, nas circunstâncias do negócio, na disponibilidade dos recursos, nas questões contratuais, regulamentares e de aspectos legais ou no ambiente técnico; g) tendências relacionadas com as ameaças e vulnerabilidades; h) relato sobre incidentes de segurança da informação i) recomendações fornecidas por autoridades relevantes Convém que as saídas da análise crítica pela direção incluam quaisquer decisões e ações relacionadas a: a) melhoria do enfoque da organização para gerenciar a segurança da informação e seus processos; b) melhoria dos controles e dos objetivos de controles; c) melhoria na alocação de recursos e/ou de responsabilidades. (NBR ISO IEC 27.002:2005) Convém que um registro da análise crítica pela direção seja mantido e que a aprovação pela direção da política de segurança da informação revisada seja obtida.
  65. 65. 63 8.1.3 Organizando a Segurança Da Informação Segundo a Norma NBR ISO 27. 002 é necessário organizar a Infra-estrutura da Informação, ou seja, consiste no estabelecimento de uma estrutura de gerenciamento que tem como função controlar a implementação da segurança da Informação dentro da organização onde a direção da organização aprove a política de segurança, atribuindo funções da segurança e coordene e analise criticamente a implementação da mesma, se necessário convém que uma consultoria especializada em segurança da Informação seja estabelecida e organizada. 8.1.4 Comprometimento da direção com a Segurança da Informação Para a norma ISO NBR 27.002 é necessário que a direção apóie ativamente o segurança da Informação dentro da organização, por meio de um claro direcionamento, demonstrando o seu comprometimento, definindo atribuições de forma explicita e conhecendo as responsabilidades pela a segurança da informação. Convém que a direção: a) assegure que as metas de segurança da informação estão identificadas, atendem aos requisitos da organização e estão integradas nos processos relevantes; b) formule, analise criticamente e aprove a política de segurança da informação; c) analise criticamente a eficácia da implementação da política de segurança da informação; d) forneça um claro direcionamento e apoio para as iniciativas de segurança da informação; e) forneça os recursos necessários para a segurança da informação; f) aprove as atribuições de tarefas e responsabilidades específicas para a segurança da informação por toda a organização; g) inicie planos e programas para manter a conscientização da segurança da informação; h) assegure que a implementação dos controles de segurança da informação tem uma coordenação e permeia a organização. (NBR ISO IEC 27.002:2005) Convém que a direção identifique as necessidades para a consultoria de um especialista interno ou externo em segurança da informação, analise criticamente e coordene os resultados desta consultoria por toda a organização.
  66. 66. 64 Dependendo do tamanho da organização, tais responsabilidades podem ser conduzidas por um fórum de gestão exclusivo ou por um fórum de gestão existente, a exemplo do conselho de diretores. 8.1.5 Atribuição de responsabilidades para a segurança da informação A norma NBR ISO 27.002 estabelece que todas as responsabilidades pela segurança da informação, estejam claramente definidas. Convém que a atribuição das responsabilidades pela segurança da informação seja feita em conformidade com a política de segurança da informação. Convém que as responsabilidades pela proteção de cada ativo e pelo cumprimento de processos de segurança da informação específicos sejam claramente definidas. Convém que esta responsabilidade seja complementada, onde for necessário, com orientações mais detalhadas para locais específicos e recursos de processamento de informações. Convém que sejam claramente definidas as responsabilidades em cada local para a proteção dos ativos e para realizar processos de segurança da informação específicos, como, por exemplo, o plano de continuidade de negócios. Pessoas com responsabilidades definidas pela segurança da informação podem delegar as tarefas de segurança da informação para outros usuários. Todavia eles continuam responsáveis e convém que verifiquem se as tarefas delegadas estão sendo executadas corretamente. Convém que as áreas pelas quais as pessoas sejam responsáveis, estejam claramente definidas; em particular convém que os seguintes itens sejam cumpridos: a) os ativos e os processos de segurança da informação associados com cada sistema sejam identificados e claramente definidos; b) gestor responsável por cada ativo ou processo de segurança da informação tenha atribuições definidas e os detalhes dessa responsabilidade sejam documentados. c) os níveis de autorização sejam claramente definidos e documentados. Em muitas organizações um gestor de segurança da informação pode ser indicado para assumir a responsabilidade global pelo desenvolvimento e implementação da segurança da informação e para apoiar a identificação de controles. (NBR ISO IEC 27.002:2005) Entretanto, a responsabilidade pela obtenção dos recursos e implementação dos controles permanece sempre com os gestores. Uma prática comum é indicar um

×