CONFECÇÃO DE UMA MINI-POLÍTICA DE SEGURANÇA DA INFORMAÇÃO                   / ANÁLISE DE RISCOS           PROF. JOSÉ FERNA...
2Avaliação de Grau B com peso 10.Requisito para conclusão da disciplina deSegurança da Informação – FTEC / Caxias do Sul
Índice1     Sumário Executivo ....................................................................................... 52  ...
6.6.1       Risco Vulnerável ................................................................................................
1 Sumário Executivo    A informação como qualquer outro ativo de grande valor, deve seradequadamente utilizada e protegida...
3 Objetivos      O objetivo do presente documento éauxiliar os profissionais e usuáriosdos recursos de TI a ter um entendi...
resultados da empresa nas suas áreas de negócio, bem como projeções     destes resultados, projetos para lançamentos futur...
6 Riscos Identificados:         Após a equipe de TI ter feito uma análise criteriosa das     vulnerabilidades, ameaças e r...
6.2.2 Ameaça             Softwares que não passam por um período de homologação      estão em desacordo, pondo em risco a ...
6.4 Formato de anexo do correio eletrônico não é restrito             Devemos ter ciência de que determinados arquivos rec...
6.6 Procedimentos não documentados            A eficiência com que os serviços são prestadosmuito se deve ao     fato de o...
6.8.2 Ameaça             Neste caso em específico, o elevado grau de umidade pode      causar oxidação dos contatos elétri...
treinar outro profissional (de preferência de uma área afim) para que      esse possa vir a suprir a demanda caso houver n...
Próximos SlideShares
Carregando em…5
×

Mini política de Segurança da Informação - Análise de Riscos

3.261 visualizações

Publicada em

Exemplo de mini política de segurança da informação feita em aula.

Publicada em: Educação
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
3.261
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
170
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Mini política de Segurança da Informação - Análise de Riscos

  1. 1. CONFECÇÃO DE UMA MINI-POLÍTICA DE SEGURANÇA DA INFORMAÇÃO / ANÁLISE DE RISCOS PROF. JOSÉ FERNANDO MARQUES WEEGE ALUNO: ANDERSON ZARDO CAXIAS DO SUL NOVEMBRO 2011
  2. 2. 2Avaliação de Grau B com peso 10.Requisito para conclusão da disciplina deSegurança da Informação – FTEC / Caxias do Sul
  3. 3. Índice1 Sumário Executivo ....................................................................................... 52 Justificativa .................................................................................................. 53 Objetivos ...................................................................................................... 64 Classificação das Informações .................................................................... 6 4.1 Informações Públicas .................................................................................................... 6 4.2 Informações Internas .................................................................................................... 6 4.3 Informações Confidenciais ............................................................................................ 6 4.4 Informações Restritas ................................................................................................... 75 Os pilares da Segurança da Informação:..................................................... 7 5.1 Pilar da Integridade ....................................................................................................... 7 5.2 Pilar da Disponibilidade ................................................................................................. 7 5.3 Pilar da Confidencialidade ............................................................................................. 76 Riscos Identificados: .................................................................................... 8 6.1 Nível de privilégios elevado sem necessidade .............................................................. 8 6.1.1 Risco Vulnerável .................................................................................................... 8 6.1.2 Ameaça .................................................................................................................. 8 6.1.3 Ações para Mitigar os Riscos ................................................................................. 8 6.2 Versões de Software não homologadas para uso na companhia ................................. 8 6.2.1 Risco Vulnerável .................................................................................................... 8 6.2.2 Ameaça .................................................................................................................. 9 6.2.3 Ação para mitigar riscos ........................................................................................ 9 6.3 Demandas de Infraestrutura levantadas e executadas sem o envolvimento da TI. ..... 9 6.3.1 Risco Vulnerável .................................................................................................... 9 6.3.2 Ameaça .................................................................................................................. 9 6.3.3 Ação para mitigar riscos ........................................................................................ 9 6.4 Formato de anexo do correio eletrônico não é restrito ............................................. 10 6.4.1 Risco Vulnerável .................................................................................................. 10 6.4.2 Ameaça ................................................................................................................ 10 6.4.3 Ação para mitigar riscos ...................................................................................... 10 6.5 Ativos de rede fora do período da garantia ................................................................ 10 6.5.1 Risco Vulnerável .................................................................................................. 10 6.5.2 Ameaça ................................................................................................................ 10 6.5.3 Ação para mitigar ................................................................................................ 10 6.6 Procedimentos não documentados ............................................................................ 11 3
  4. 4. 6.6.1 Risco Vulnerável .................................................................................................. 11 6.6.2 Ameaça ................................................................................................................ 11 6.6.3 Ação para mitigar ................................................................................................ 11 6.7 A TI não é mencionada no processo de integração .................................................... 11 6.7.1 Risco vulnerável................................................................................................... 11 6.7.2 Ameaça ................................................................................................................ 11 6.7.3 Ação para mitigar ................................................................................................ 11 6.8 Datacenter em local inapropriado (umidade excessiva) ............................................. 11 6.8.1 Risco vulnerável................................................................................................... 11 6.8.2 Ameaça ................................................................................................................ 12 6.8.3 Ação para mitigar ................................................................................................ 12 6.9 Documentos impressos abandonados ou esquecidos ................................................ 12 6.9.1 Risco vulnerável................................................................................................... 12 6.9.2 Ameaça ................................................................................................................ 12 6.9.3 Ação para mitigar ................................................................................................ 12 6.10 Fuga de expertise ........................................................................................................ 12 6.10.1 Risco Vulnerável .................................................................................................. 12 6.10.2 Ameaça ................................................................................................................ 12 6.10.3 Ação para mitigar ................................................................................................ 127 Considerações finais.................................................................................. 13 4
  5. 5. 1 Sumário Executivo A informação como qualquer outro ativo de grande valor, deve seradequadamente utilizada e protegida contra as ameaças e riscos. A presentemini política de análise de riscos visa antes de tudo garantir a adoção demelhores práticas para lidar com as situações que foram selecionadas pelaequipe de TI por representar uma potencial ameaça a Confiabilidade,Integridade e Disponibilidade da Informação, reduzindo-se os riscos quepossam ocasionar prejuízostanto de ordem material/financeira quanto àreputação da organização. Na elaboração do presente documento, houve a preocupação de que osassuntos, métricas e casos aqui abordados fossem expostos com o maior nívelde clareza possível, possibilitando até mesmo o entendimento por pessoal nãofamiliarizado com as questões técnicas da Tecnologia da Informação,aplicando-se, portanto no desenvolvimento do trabalho diário dos usuários eprofissionais de TI da companhia. A vigência da presente mini política se dará automaticamente àpublicação da mesma, devendo todos os colaboradores firmar termo de ciênciae concordância, atividade essa que ficará sobre responsabilidade do setor derecursos humanos, bem como demais colaboradores já vinculados àcompanhia e que fazem uso dos recursos de TI da companhia. O uso impróprio, bem como a não observância ou ainda, qualquerdificuldade imposta no intuito de dificultar o cumprimento das regras aquitratadas implicarão em medidas disciplinares, como advertência por escrito, eno caso de reincidência, poderá implicar em desligamento do colaborador porjusta-causa. A companhia, se assim desejar, pode fazer alterações na presentepolítica, exclusivamente a partir da sua própria vontade, devendo a mesmaestar disponível para consulta a qualquer tempo pelos colaboradores dacompanhia, passando a validar as alterações no momento da publicação danova versão.2 Justificativa A importância da presente Mini Política reside em tornar deconhecimento dos usuários e profissionais da área de Tecnologia daInformação os riscos aqui elencados e as ações para mitiga-los, tento em vistao potencial que cada um desses riscos tem de ameaçar a Confidencialidade,Disponibilidade e Integridade da informação.Somente tendo conhecimento dasvulnerabilidades do ambiente que nos cerca é que podemos tomar precauçõesassertivas no intuito de prover segurança no ambiente de TI, mitigando riscosque ameaçam a solidez da Segurança da Informação como um todo. 5
  6. 6. 3 Objetivos O objetivo do presente documento éauxiliar os profissionais e usuáriosdos recursos de TI a ter um entendimento dos riscos a que o seu ambiente estáexposto, bem como propor estratégias para que as situações que favoreçam asameaças em potencial que esses riscos proporcionam não ocorram. Procura-se também formalizar o compromisso da companhia com aproteção da informação, devendo, portanto, ser cumprida pelos colaboradorese por fim, fornecer diretrizes e melhore-práticas a serem seguidas, buscandouma compreensão e redução do potencial de dano atribuído aos riscos aquielencados.4 Classificação das Informações A Classificação das informações é feita de acordo com a sua relevância,grau de confidencialidade e criticidade para o negócio da companhia, sendo,em ordem crescente: Informações Públicas, Informações Internas, InformaçõesConfidenciais e Informações Restritas.4.1 Informações Públicas As informações oriundas de ambiente externo (sites externos, servidores externos, entre outras cuja hospedagem não é de responsabilidade da companhia) passam por filtros de conteúdo (antivírus, firewall, anti-spam e demais serviços que se julgar necessário), sendo o usuário que fez o login na estação onde esta sendo destinadas essas informações, responsável pelas mesmas.4.2 Informações Internas Informações que dizem respeito apenas à companhia, não tendo qualquer valor, relevância ou aplicabilidade fora dela. São em geral, informações que não representam risco caso seja levado a conhecimento público. .4.3 Informações Confidenciais São informações em caráter sigiloso, sendo portanto proibida a exposição das mesmas fora do ambiente da companhia, sob pena de acarretar sansões disciplinares ao responsável, como demissão por justa causa ou outra penalidade à critério do gestor imediato. Fazem parte desse grupo todas as informações que envolvem análises e 6
  7. 7. resultados da empresa nas suas áreas de negócio, bem como projeções destes resultados, projetos para lançamentos futuros, etc.4.4 Informações Restritas São informações que estão disponíveis apenas para seu dono e/ou criador ou a um determinado grupo. Pode ser qualquer tipo de informação, desde que seu acesso esteja limitado apenas a determinado(s)colaboradores(s). A violação da restrição de acesso acarretará em medidas disciplinares.5 Os pilares da Segurança da Informação: O avanço da tecnologia e das formas de comunicação e troca deinformação nos possibilitam realizar as nossas tarefas com bastantepraticidade, porém as brechas e precedentes para ocorrerem fuga destasinformações também aumentaram consideravelmente. Por mais avançadosque sejam as tecnologias, elas ainda dependem do fator humano para quepossam ser usadas de maneira eficaz. Os pilares da informação tratados neste documento são:5.1 Pilar da Integridade Um dado íntegro não necessariamente representa um dado que possua informações corretas. Um dado íntegro é o dado que quando foi resgatado, é idêntico ao mesmo dado no momento de sua armazenagem, não tendo ocorrido qualquer ação nesse intervalo que possa alterar as suas características.5.2 Pilar da Disponibilidade Um dado deve estar disponível no exato momento em que for solicitado, ou seja, deve estar disponível a qualquer momento. Para isso, deve-se prover de qualquer recurso que torne isso possível, como por exemplo, links de acesso confiável, permissões de acesso, etc.5.3 Pilar da Confidencialidade Um dado deve estar disponível apenas às pessoas ou grupos que tenham permissão para acessá-lo, sendo vetado o seu acesso aos demais. Um dado confidencial é disponível apenas a quem possui permissão para acessá-lo. 7
  8. 8. 6 Riscos Identificados: Após a equipe de TI ter feito uma análise criteriosa das vulnerabilidades, ameaças e riscos presentes no ambiente da companhia, foi elaborada uma Matriz de Segurança, onde elencamos dez riscos em potencial e os descreveremos abaixo:6.1 Nível de privilégios elevado sem necessidade Esta situação relata o caso em que um usuário possui permissões para realizar alterações nas características de sua estação de trabalho, bem como permissão de acesso a arquivos e documentos, sem que haja necessidade destes privilégios para que o colaborador possa desempenhar corretamente o seu trabalho.6.1.1 Risco Vulnerável Informações de cunho confidencial e estabilidade do sistema como um todo6.1.2 Ameaça Acesso a informações confidenciais e alterações em configurações que comprometam a estabilidade e segurança do sistema. Poderá ocorrer vazamento de informações, bem como comprometimento da estabilidade, causando prejuízos a integridade do sistema devido a ação de programas maliciosos e outras ameaças.6.1.3 Ações para Mitigar os Riscos Devem ser revisados os acessos e permissões do usuário, de modo que todos devem ter o de permissão mínimo necessário para desempenho de suas atividades. Dessa forma, evita-se o comprometimento da estabilidade do sistema, que impacta na produtividade do usuário, bem com riscos de acesso sem permissão a dados confidenciais, bem como a ameaça que isso representa no vazamento dessas informações.6.2 Versões de Software não homologadas para uso na companhia Todos os softwares oficialmente utilizados pela empresa passam por um período de testes para prevenir problemas como incompatibilidade com outros softwares já estabelecidos ou defeitos (bugs) que possam impactar na produtividade devido às panes que possam a vir ocorrer no sistema operacional.6.2.1 Risco Vulnerável Sistemas Operacionais e aplicativos 8
  9. 9. 6.2.2 Ameaça Softwares que não passam por um período de homologação estão em desacordo, pondo em risco a integridade do sistema operacional e demais aplicativos. Panes que ocorrerem pode impactar em perda de produtividade e/ou corrupção de dados, causando prejuízos.6.2.3 Ação para mitigar riscos Realizar inventário de softwares através de ferramenta apropriada, devendo essa,levantar informações como nome, fabricante e versão, devendo esses dados, portantocoincidir com as versões liberadas para uso pelos usuários da companhia. Impedir a livre instalação de programas através de ferramentas de controle e permissões de acesso do Sistema Operacional ou outra forma de controle.6.3 Demandas de Infraestrutura levantadas e executadas sem o envolvimento da TI. Demandas que envolvem instalação e/ou ampliação de infraestrutura de rede, elétrica ou equipamentos devem ser solicitadas ao setor competente da TI, que irá proceder com a solicitação ou selecionar fornecedores que sejam capazes de fazê-lo, caso não haja recursos internos para tal. Ao setor competente de TI, portanto, cabe a responsabilidadede negociar aspectos técnicos, observando o cumprimento das normas e boas práticas, cabendo ao setor solicitante autorizar ou não a execução após a apresentação da proposta formal pela TI.6.3.1 Risco Vulnerável Infraestrutura de rede, elétrica e equipamentos que dão apoio ao funcionamento dos ativos de TI da companhia.6.3.2 Ameaça Não cumprimento das normas e boas práticas para este tipo de projeto, podendo ocasionar instabilidades no funcionamento dos ativos. Expansão fora do controle e não documentada acaba ocasionando também lentidão na resolução de problemas caso eles ocorram, pois ficará cada vez mais difícil identificar a causa.6.3.3 Ação para mitigar riscos Deve-se buscar um apoio da alta-administração da companhia no intuito de não autorizar modificações na infraestrutura sem o laudo da ti. Toda e qualquer modificação na infraestrutura deve seguir o fluxo: Solicitação ao setor competente da TI > Avaliação técnica inicial > Execução do trabalho (no caso de se tratar de serviço possível de ser executado internamente) > Encerramento. Caso contrário, o fluxo é este: Solicitação ao setor competente da TI > Avaliação técnica inicial > Contratação de terceiro para elaboração de projeto e orçamento junto a TI> Aprovação por parte do setor solicitante > Encerramento. 9
  10. 10. 6.4 Formato de anexo do correio eletrônico não é restrito Devemos ter ciência de que determinados arquivos recebidos por e-mail podem possuir conteúdo malicioso, podendo causar transtornos ao usuário e a companhia. A restrição destes formatos visa além de garantir a segurança, coibir o uso da ferramenta de e-mail para propagação de mensagens que não tenham relação com os interesses da companhia, impactando nodesempenho e nos recursos dos ativos que sustentam a ferramenta.6.4.1 Risco Vulnerável Desempenho da ferramenta de correio eletrônico e integridade do sistema operacional e aplicativos das estações e servidores.6.4.2 Ameaça Anexos maliciosos de determinados formatos enviados por e- mails maliciosos podem conter malwares e outras ameaças com potencial de causar danos à integridade dos sistemas e dados da companhia. Pode ocorrer também sobrecarga dos recursos devido ao fluxo de informação que não têm a ver com as atividades da companhia residentes em anexos como, por exemplo, formatos de arquivo de música, foto e vídeo ou formatos de apresentação do Microsoft Power Point.6.4.3 Ação para mitigar riscos Usar Filtros e controles que previnem determinados formatos de circularem por e-mail, bem como fazer uso de ferramentas (Antivírus, etc.) que analisem o conteúdo anexo do e-mail a procura de ameaças.6.5 Ativos de rede fora do período da garantia Ativos de rede que não estão cobertos pela garantia do fabricante podem apresentar problemas de estabilidade por questões de desgaste natural, entre outros.6.5.1 Risco Vulnerável Redes de computadores e demais serviços e recursos apoiados por ela.6.5.2 Ameaça Ao acontecer um evento de falha, haverá prejuízo e demora no reestabelecimento do serviço, pois deverão ser obedecidos fluxos internos que são necessários para aquisição de equipamento substituto ou peças de reposição.6.5.3 Ação para mitigar Buscar acordo com os fabricantes para ampliação e, quando for o caso, renovação do período de garantia dos equipamentos. Desenvolver uma política de obsolescência programada (ajuda na previsão de gastos com equipamentos). 10
  11. 11. 6.6 Procedimentos não documentados A eficiência com que os serviços são prestadosmuito se deve ao fato de os processos para realizar determinadas tarefas estarem documentados, de modo que a realização das tarefas seguindo as orientações destes procedimentos é altamente recomendado.6.6.1 Risco Vulnerável Eficiência dos serviços de suporte da TI.6.6.2 Ameaça Demora na execução de tarefas pelo desconhecimento da prática dos procedimentos, bem como a falta de garantia de que os procedimentos e o serviço sejam realizadoscorretamente.6.6.3 Ação para mitigar Criar documentação de procedimentos com aprovação da gerência da área de TI, instruindo com clareza e exatidão os processos tratados, de modo que possa auxiliar na execução de tarefas a melhor maneira possível.6.7 A TI não é mencionada no processo de integração Ao se contratar novos colaboradores, deve-se dar a devida importância de que eles estejam cientes da correta utilização dos serviços da TI, seus direitos e deveres como utilizador dos recursos, prevenindo assim problemas futuros.6.7.1 Risco vulnerável Integridade e eficiência dos ativos e recursos da infraestrutura e sistemas de informação6.7.2 Ameaça Consiste em uma ameaça deste caso o uso de ativos para fins que não representam interesse da organização, alocando recursos que poderiam estar sendo usados para o interesse da companhia.6.7.3 Ação para mitigar Desenvolver as políticas, sempre envolvendo a gerência e a área de recursos humanos (colaborador toma conhecimento ao entrar na empresa), manter as normas e informações a esse respeito sempre acessível a qualquer tempo.6.8 Datacenter em local inapropriado (umidade excessiva) O correto funcionamento de toda a estrutura de serviços da TI se deve à localização dos ativos de TI em local apropriado, livre de acesso externo de pessoal não autorizado e não estando sujeito a condições adversas de clima, vibrações e etc.6.8.1 Risco vulnerável Ativos e informações 11
  12. 12. 6.8.2 Ameaça Neste caso em específico, o elevado grau de umidade pode causar oxidação dos contatos elétricos e mecânicos dos ativos de rede, bem como demais avarias que podem interferir no correto funcionamento dos equipamentos.6.8.3 Ação para mitigar Instalar condicionadores de ar que atenuem o problema, ou mesmo migrar a estrutura para um novo local caso o problema não seja possível de contornar ou os custos de adequação sejam acima do projeto de um novo local.6.9 Documentos impressos abandonados ou esquecidos Impressos não resgatados no momento de sua impressão poderão conter informações de caráter sigiloso, portanto não autorizado seu conhecimento por outros colaboradores que não sejam o seu proprietário/criador, além de causar acúmulo de papel e desperdício.6.9.1 Risco vulnerável Informações confidenciais, que podem representar vazamento se o seu destino for desviado.6.9.2 Ameaça Revelação de informações confidenciais da companhia, seus projetos, previsões futuras, dados contábeis e outras informações dessa monta.6.9.3 Ação para mitigar Instalar controle de cópia e impressão, de modo que a impressão seja liberada apenas quando o solicitante estiver próximo ao local onde a impressora se encontra e liberou o trabalho de impressão através de autenticação (biométrica ou por chave numérica).6.10 Fuga de expertise O conhecimento deve estar acessível a todos a qualquer hora, não sendo propriedade ou exclusividade de um determinado profissional.6.10.1 Risco Vulnerável Colaboradores chave para uma determinada tarefa ou conhecedores de um determinado processo podem vir a deixar a companhia ou mesmo podem estar inacessíveis por um período de tempo (férias, adoecimento, motivo de força maior, etc...).6.10.2 Ameaça Dificuldade na execução de processos e perda de conhecimento.6.10.3 Ação para mitigar Elencar todos os procedimentos essências a manutenção do ambiente e exigir a documentação dos procedimentos. Deve-se também 12
  13. 13. treinar outro profissional (de preferência de uma área afim) para que esse possa vir a suprir a demanda caso houver necessidade.7 Considerações finais Acreditamos que este documento pode contribuir para criarmos umambiente onde a eficiência e o respeito predomine, auxiliando à companhia naobtenção dos resultados almejados da melhor maneira possível. 13

×