Universidade Federal do CearáSistemas de InformaçãoAuditoria e Segurança de Sistemas de InformaçãoProf.: Marcos OrtizPolít...
1 - Descrição da Empresa1.1 – Nome da EmpresaiSolutions1.2 - MISSÃO:Oferecer serviços de treinamento empresarial voltado p...
Consultor: Funcionários que irá fazer a prospecção e a fidelização de clientes.Auxiliar de Serviços Gerais: Funcionário re...
EquipamentosDescrição Quantidade Valor Unitário SubTotalComputadores 53 R$ 1.500,00 R$ 79.500,00Servidor 01 R$ 4.000,00 R$...
Matriz de RiscoClasse deAtivosItem DisponibilidadeIntegridadeConfidencialidadeImpacto Descrição doImpactoVulnerabilidadeAm...
os.ArCondicionadoMédio baixo baixo baixoOsequipamentos podem ficarsuperaquecidos.AparelhoAntigoOaparelhoqueimarou perdera ...
A.11.3.2A.11.5.1A.11.5.2A.11.5.3A.11.5.4A.11.5.5SistemaOperacionalAlto Médio Médio MédioDanificar ocomputador eimpedi-lo d...
7 – Um funcionário insatisfeito revelouinformações sigilosas da empresa.Informar o evento a alta gerencia da empresa. 1 – ...
Próximos SlideShares
Carregando em…5
×

Política de Segurança da Informação

273 visualizações

Publicada em

Trabalho da disciplina de Segurança da Informação.

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
273
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
6
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Política de Segurança da Informação

  1. 1. Universidade Federal do CearáSistemas de InformaçãoAuditoria e Segurança de Sistemas de InformaçãoProf.: Marcos OrtizPolítica de Segurança da InformaçãoAndré Luís PitombeiraFernando Helton Linhares SoaresQuixadá, Junho de 2010
  2. 2. 1 - Descrição da Empresa1.1 – Nome da EmpresaiSolutions1.2 - MISSÃO:Oferecer serviços de treinamento empresarial voltado para informática, com alto padrão de qualidade, atendendo aos clientes de forma personalizada,com eficiência e eficácia, buscando sempre aprimorar-se para melhor servir.1.3 - OBJETIVOS DA EMPRESA:A iSolutions pretende consolidar-se no mercado de capacitação de recursos humanos voltado para informática, crescendo em média 5% a.a nosprimeiros anos. Tem por objetivo construir uma imagem de excelência profissional. Depois de estabelecida, pretende em médio prazo, estender suaatuação para todo o Sertão Central.• A iSolutions pretende contribuir ativamente para o desenvolvimento sócio-econômico da região.• Constituir uma ampla e sólida rede de clientes.• Estabelecer diversas parcerias comerciais com empresas de âmbito tanto regional quanto estadual.• A organização da empresa vai crescer proporcionalmente à medida que a empresa esteja crescendo.• A garantia de qualidade nos serviços prestados serão prioridades estratégicas da empresa.1.4 - ESTRUTURA ORGANIZACIONAL E REGIME JURIDICO:1.4.1 - Regime Jurídico:A iSolutions será constituida como firma individual, sendo seu dono já citado neste texto. O seu faturamento mensal será abaixo de R$ 244.000,00,enquadrando-se no regime super simples. O que proporciona-lhe tratamento fiscal diferenciado.1.4.2 - Estrutura Organizacional:Gerente Geral: Responsável pela parte financeira e administrativa.Instrutor: Funcionário que irá ministrar as aulas.Secretária: Funcionária encarregada de auxiliar o Gerente Geral em suas atribuições e de recepcionar os clientes.
  3. 3. Consultor: Funcionários que irá fazer a prospecção e a fidelização de clientes.Auxiliar de Serviços Gerais: Funcionário responsável pela manutenção e limpeza da empresa.A iSolution terá uma estrutura simples, mas com conforto e equipada com recursos multimídias, funcionando em um prédio alugado pela empresa narua José Caetano, 5000. Serão dois laboratótios com 25 computadores cada. Todas as funções administrativas serão centralizadas pelo dono daempresa.2 - PLANO DE OPERAÇÕES:As aulas serão ministradas nos laboratórios da iSolutions. Os contatos serão feitos em visitas, feiras e eventos na região, internet(página na web), foneou fax.A iSolutions pretende criar uma rede de cadastros de ex-clientes, por meio de um banco de dados e utilizar uma estratégia de multi-níveis, para quecada novo cliente que for indicado por um ex-cliente, este último receberá descontos em novos cursos.A qualidades dos serviços será sempre constante, além disso a empresa pretende, para tal finalidade tirar uma certificação, do orgão regulador daqualidade dos serviços prestados.O Atendimento será personalizado, cada cliente será tratado pelo nome.A administração, devido ao porte inicial da empresa, será autocrática, pois como serão poucas as atividades administrativas, delegar estas funções paraoutras pessoas seria incorrer em um gasto desnecessário.3 - OS SERVIÇOS E A TECNOLOGIA:A iSolutions ofere três tipos de serviços de capacitação de recursos humanos:Cursos profissionalizantes: cursos mais voltados para empresas que desejam capacitar seus funcionários e aperfeiçoá-los em uma nova tecnologia, oscursos compreendem: programação em java e java para web, web designer, desenvolvimento de sites, montagem e manutenção de computadores,cabeamento de redes, entre outros;Cursos básicos: cursos básicos sobre informática, Windows, Linux, Office, entre outros;Cursos técnicos: cursos sobre o uso de determinadas ferramentas, como autocad, photoshop, dotproject, corew draw, entre outros.Em virtude de suas relações com associações comerciais e empresários da região, a iSolutions terá condições de oferecerr seus serviços a qualquerempresa da região.3.1 - Recursos de Infraestrutura Tecnológica:
  4. 4. EquipamentosDescrição Quantidade Valor Unitário SubTotalComputadores 53 R$ 1.500,00 R$ 79.500,00Servidor 01 R$ 4.000,00 R$ 4.000,00Projetores multi-midia 02 R$ 2.262,00 R$ 4.524,00Switch 01 R$ 80,00 R$ 80,00Acesses Point 03 R$ 389,00 R$ 1.167,00Impressora 01 R$ 250,00 R$ 250,00Total R$ 89.521,00Obs: 50 computadores (25 para cada laboratório), 1 administração, 1 para secretaria, 1 para atendimento. 1 projetor para cada laboratório. 1 AcessesPoint na laboratório I, 1 Acesses Point na laboratório II. 1 impressora e 1 Acesses Point na secretaria. 1 servidor e 1 switch na sala da administração.3.2 - Segurança da Informação:Controle de acesso:• Autenticação – Somente pessoas autorizadas podem ter acesso ao sistema após a autenticação.• Firewall• Antivírus• Rede sem fio criptografada.• Acesso físico ao servidor somente pelo administrador e técnicos de manutenção.
  5. 5. Matriz de RiscoClasse deAtivosItem DisponibilidadeIntegridadeConfidencialidadeImpacto Descrição doImpactoVulnerabilidadeAmeaça ProbabilidadeRisco Controle TolerânciaAtivoFísicoServidor Alto Alto Alto AltoParalisar ooperacionalda empresaServidor malconfiguradoInvasão Média MédioA.9.1.1,A.9.1.2,A.9.1.4,A.9.1.6,A.9.2.1,A.9.2.2,A.9.2.3,A.9.2.4,1 horaRoteadorAlto Médio Baixo MédioA rede daempresa ficacomprometidaFirmwareAntigoDDoS Médio Médio 1 horaAtivo deInformaçãoBancodeDadosAlto Alto Alto AltoOs dadospoderiam serperdidosSenhas FracasAcessoIndevidoBaixo MédioA.10.5.1,A.10.7.2,A.10.10.3,A.10.10.4,A.10.10.5,A.11.2.1,A.11.2.2,A.11.2.3,A.11.2.4,A.11.6.1,A.12.5.4,12horasManuaisdeUsuárioMédia Baixo Baixo BaixoAtrasaralgumprocedimentooperacionalda empresa.Local dearmazenamento inadequadoPerda Baixa Médio 1 diaServiços InstalaçõesElétricasAlto baixo baixo Alto Osequipamentos elétricospodem sercomprometidInstalaçõesantigasOcorrerum curtocircuitoBaixo Alto A.9.1.4,A.9.2.1,A.9.2.4,1 hora
  6. 6. os.ArCondicionadoMédio baixo baixo baixoOsequipamentos podem ficarsuperaquecidos.AparelhoAntigoOaparelhoqueimarou perdera potênciaBaixo Baixo 4 horasPessoasFuncionáriosAlto Alto Alto AltoOsfuncionáriospodem relatarinformaçõesconfidenciaisda empresaInsatisfaçãocom a empresaFornecerinformaçõesconfidenciais aterceirosMédio AltoA.8.1.2,A.8.1.3,A.8.2.2,A.8.2.3FuncionáriosAlto Alto Alto AltoOsfuncionáriospodemdanificar osequipamentos da empresaInsatisfaçãocom a empresaDanificarosequipamentos daempresaMédio Alto 1 diaIntangíveisImagem Alto Alto Alto Alto“Sujar” onome daempresa nomercadoInformaçõesarmazenadasem localdesprotegidoVazamento deInformaçõesSigilosasMédio AltoA.11.2.1A.11.2.2A.11.2.3A.11.2.4A.12.5.4A.15.1.4Ativos deSoftwareFerramentas deDesenvolvimentoMédio Médio baixo Médio Paralisar odesenvolvimento de umaatividadeFalta decontrole deacessoDesconfigurar osoftwareMédio Médio A.9.2.1A.10.1.3A.10.1.4A.11.3.14 horas
  7. 7. A.11.3.2A.11.5.1A.11.5.2A.11.5.3A.11.5.4A.11.5.5SistemaOperacionalAlto Médio Médio MédioDanificar ocomputador eimpedi-lo deser usadoAcessoRemotoAcessarconfiguraçõescríticasdosistemas.Médio Alto 4 horasPlano de ContigênciaContingência ProcedimentoEvento Ação Descrição1 – Um hacker descobrir umavulnerabilidade no servidor e conseguirinvadi-lo.A equipe de segurança da informação deve serinformada imediatamente.1 – Descobrir a vulnerabilidade.2 – Reconfigurar o servidor imediatamente de modoa eliminar a a vulnerabilidade descoberta.2 – O servidor está recebendo muitasrequisições, possivelmente um ataqueDDoS.A equipe de segurança da informação deve serinformada imediatamente.1 – Analisar os dados das requisições para descobrirse o servidor realmente está sendo atacado.2 – Prover mecanismos que eliminem o ataque.3 – O sistema da empresa está dandoacesso a usuários que não tem permissãopara ver tal informação.Informar o evento a equipe de desenvolvimento. 1 – Atualizar imediatamente o sistema para eliminara permissão indevida.4 – Os manuais de usuário impressos daempresa foram perdidos.Informar o evento a equipe técnica. 1 – Providenciar reimpressão de novos exemplaresde Manuais de Usuário e disponibilizá-los.5 – Ocorreu um curto-circuito na redeelétrica da empresa.Sair do local onde ocorreu o curto-circuito e avisara equipe técnica.1 – desligar a chave de energia geral.2 – Chamar um eletricista.3 – Comunicar a empresa responsável pelofornecimento de energia elétrica a empresa.6 – O ar condicionado parou de funcionardevido a um problema técnico.Informar o evento a equipe técnica. 1 – Desligá-lo imediatamente.2 – Chamar um eletricista para descobrir os danoscausados.3 – Providenciar o consertar do equipamento.
  8. 8. 7 – Um funcionário insatisfeito revelouinformações sigilosas da empresa.Informar o evento a alta gerencia da empresa. 1 – Demiti-lo imediatamente.2 – Abrir processo judicial de quebra de sigilocontra o mesmo.8 – Um funcionário insatisfeito danificoualgum equipamento da empresa.Informar o evento a equipe técnica e a alta gerenciada empresa.1 – Substituir o equipamento danificado.2 – Verificar se os danos causados foram propositaispara serem tomadas as medidas cabíveis.9 – Informações sigilosas saíram de dentroda empresa.Informar o evento a alta gerencia da empresa. 1 – Tomar as medidas necessárias para que aempresa não perca sua credibilidade.2 – Descobrir quem deixou as informações saíremda empresa e tomar medidas administrativas e/oujudiciais com os responsáveis.3 – Publicar em nota o que fez as informaçõessaírem da empresa e pedir desculpas aos clientes.10 – As ferramentas de desenvolvimentoforam desconfiguradas e paralisaram asatividades.Informar o evento a equipe técnica. 1 – Reconfigurar as maquinas com o estadoanterior.11 – Pessoa não autorizada conseguiuacessar os recursos computacionais daempresa.A equipe de segurança da informação deve serinformada imediatamente.1 – Descobrir a vulnerabilidade.2 – Corrigir o problema.

×