estudo de caso da implantação de uma política corporativa de segurança da informação

SISTEMAS DE INFORMAÇÃO

ADRIANO RÉGISERIVAN DE SENA RAMOSFREDERICO CLAUDINO

JOSÉ RILDO LESSAREGINALDO DAMÁSIO

POLITICA DE SEGURANÇA DA INFORMAÇÃO

FORTALEZA

2009

ADRIANO RÉGISERIVAN DE SENA RAMOSFREDERICO CLAUDINO

JOSÉ RILDO LESSAREGINALDO DAMÁSIO

POLITICA DE SEGURANÇA DA INFORMAÇÃO

Estudo de caso da implantação de uma política corporativa de segurança da informação, baseado na norma ABNT NBR ISO/IEC 17799:2005, apresentado ao curso de Sistemas de Informações da Faculdade Integrada do Ceará como requisito parcial para aprovação na disciplina de Segurança da Informação, sob orientação do Professor Esp. Clayton Felipe Reymão Soares.

FORTALEZA

2009

RESUMO

O presente trabalho aborda um estudo sobre política de segurança da

informação que é uma das principais medidas de segurança adotadas pelas

organizações com o objetivo de garantir a segurança da informação.

Atualmente existem algumas metodologias e melhores práticas em segurança

da informação, dentre elas está a ABNT NBR ISO/IEC 17799:2005, esta norma

foi usada durante este estudo e, por meio dela, será possível verificar o que

devemos seguir para a elaboração de uma política de segurança da

informação, as principais dificuldades para criação e implementação, os

princípios de segurança da informação, a necessidade de envolvimento de toda

a organização, sendo que se pretende elaborar uma proposta modelo de

política de segurança da informação. O objetivo deste trabalho é apresentar

algumas diretrizes básicas de uma Política de Segurança para uma empresa,

utilizando como base os conceitos adquiridos pelo estudo na revisão

bibliográfica.

Palavras Chave: Informação; Segurança da Informação; Medidas de

Segurança; Política de Segurança.

ABSTRACT

The present work approaches a study on Security Policies of the information

that is one of the main measures of security of the information. Currently there

are some practical better methodologies and in security of the information ,

amongst them are ABNT NBR ISO/IEC 17799:2005, this norm was used during

this study and, for way of it, it will be possible to verify what we must follow for

the elaboration of one politics of security of the information, the main difficulties

for creation and implementation, the principles of security of the information, the

necessity of envolvement of all the organization, being been that it is intended

to elaborate a proposal model of Security Policies of the information. The

objective of this work is to present some basic lines of direction of one Security

Policies for a company, being used as base the concepts acquired for the study

in the bibliographical revision.

Words Key: Information; Security of the Information; Measures of Security;

Security

Policies.

SUMÁRIO1 INTRODUÇÃO 11.1 Objetivo do Trabalho 1

1.2 Referencia Normativa 1

2 SEGURANÇA DA INFORMAÇÃO 22.1 Breve Histórico e Necessidade da Segurança 2

2.2 Política de Segurança da Informação 4

3 VISÃO GERAL DO AMBIENTE 63.1 Desenho e Caracterização do Ambiente 6

3.2 Detalhamento dos Serviços Existentes 7

4 ANÁLISE E TRATAMENTO DO RISCOS 84.1 Modelo e Classificação da Criticidade dos Riscos 8

4.2 Levantamento e Classificação dos Riscos 10

4.3 Abrangência 15

5 DOCUMENTOS 165.3 Políticas de Segurança 16

5.3.1 Política de Acesso à Internet 17

5.3.2 Política Acesso à Rede e Sistemas 20

5.3.3 Política de Backup 22

5.3.4 Política de Autenticação (Senhas) 23

5.3.5 Política de Correio Eletrônico 24

6 CONCLUSÃO 26

BIBLIOGRAFIA 27

ANEXOS 28Anexo I – Declaração de ciência e concordância com a 28

Política de Segurança

Anexo II – Termo de Confidencialidade da Informação 29

1 INTRODUÇÃO

Atualmente a informação é considerada por muitas organizações

como o ativo mais valioso, e isso impõem que seja realizada uma proteção

adequada. De forma crescente, as organizações, seus sistemas de

informações e suas redes de computadores apresentam-se diante de uma

série de ameaças, sendo que, algumas vezes, estas ameaças podem resultar

em prejuízos para as empresas.

A segurança da informação visa proteger a empresa de um grande

número de ameaças para assegurar a continuidade do negócio. Esta

segurança é obtida a partir da implementação de uma série de controles, que

podem ser políticas, práticas e procedimentos, os quais precisam ser

estabelecidos para garantir que os objetivos de segurança específicos da

organização sejam atendidos. Para a COMEFO – Cooperativa dos Médicos de

Fortaleza, empresa que atua há 10(dez) anos no mercado no seguimento de

plano de saúde, localizada na na cidade de Fortaleza-CE é imprescindível a

adoção de medidas e procedimentos que contemplem a garantia da segurança

informação.

1.1 Objetivo do Trabalho

O presente trabalho tem como objetivo fazer um estudo sobre

segurança da informação, bem como o desenvolvimento de uma proposta

modelo de política de segurança, desenvolvida para a COMEFO, com medidas

definidas para garantir um nível de segurança coerente de acordo com o

negócio da referida empresa.

1.2 Referencia Normativa

A política de segurança da informação a ser implementada na

COMEFO – Cooperativa dos Médicos de Fortaleza é fundamentada na norma

brasileira ABNT NBR ISO/IEC 17799:2005 - Tecnologia da informação —

Técnicas de segurança — Código de prática para a gestão da segurança da

informação, segunda edição de 31.08.2005.

1

2 SEGURANÇA DA INFORMAÇÃO

A informação é um ativo importante para os negócios, que tem um

valor para a organização e conseqüentemente necessita ser adequadamente

protegido.

“A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.”(ABNT NBR ISO/IEC 17799:2005)

A segurança é a direção em que se pretende chegar, é um

processo, que se pode aplicar visando melhorar a segurança dos sistemas.

2.1 Breve Histórico e Necessidade da Segurança

Embora a segurança da informação seja algo que sempre existiu na

história da humanidade, somente na sociedade moderna, com o advento do

surgimento dos primeiros computadores houve uma maior atenção para a

questão da segurança das informações, e com o surgimento das máquinas de

tempo compartilhado (computadores "time-sharing"), a preocupação de

proteger as informações, se tornou mais evidente.

Nas décadas de 70 e 80 o enfoque principal da segurança era o

sigilo dos dados. Em 1972 J. P. Anderson escreve: "Computer Security

Technologs Planning Study", relatório que descreve “todos” os problemas

envolvidos no processo da segurança de computadores. Este documento,

combinado com os materias produzidos por D.E. Bell e por L. J. La Padula, e

denominados "Secure Computer Systens: Mathematical Fundations",

"Mathemathical Model", e "Refinament of Mathematical Model", deram origem a

matéria “Doctrine”, que seria a base de vários trabalhos posteriores na área de

segurança.

2

Em 1978, foi lançado pelo Departamento de Defesa dos Estados

Unidos, o “The Orange Book”, conjunto de regras para avaliação de segurança.

Entre 80 e 90, com o surgimento das redes de computadores, a

proteção era feita não pensando nos dados, mas sim nas informações. O

Governo Britânico instituiu o Comercial Computer Security Centre, que publica

a BS-799, norma que apresentava soluções para o tratamento da informação

de forma mais vasta.

A partir da década de 90, com o crescimento comercial das redes

baseadas em Internet Protocol (IP) o enfoque muda para a disponibilidade. A

informática torna-se essencial para a organização, o conhecimento precisa ser

protegido. Em 2000, é homologada a Norma Internacional de Segurança da

Informação ISSO/IEC 17799. Em abril de 2001, é homologada pela BNT a

norma NBR ISSO/IEC 17799:2000, que deu origem a edição atualizada NBR

ISSO/IEC 17799:2005, elaborada pelo Comitê Brasileiro de Computadores e

Processamento de Dados e pela Comissão de Estudo de Segurança Física em

Instalações de Informática.

Hoje em dia, a segurança da informação e os negócios estão

estritamente ligados.

“Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.”(ABNT NBR ISO/IEC 17799:2005)

O profissional de segurança da informação precisa ouvir as pessoas,

de modo a entender e saber como aplicar as tecnologias para a organização,

sua estratégia de negócio, suas necessidades e sua estratégia de segurança.

3

2.2 Política de Segurança da Informação

A política de segurança de uma empresa é, provavelmente, o

documento mais importante em um sistema de gerenciamento de segurança da

informação. Seu objetivo é normatizar as práticas e procedimentos de

segurança da empresa.

“Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização.” (ABNT NBR ISO/IEC 17799:2005)

Isso significa que deve ser simples, objetiva, de fácil compreensão e

aplicação. Os controles de segurança, de um modo geral, e a política, em

particular, devem ser definidos para garantir um nível de segurança coerente

com o negócio da empresa.

“Em um país, temos a legislação que deve ser seguida para que tenhamos um padrão de conduta considerado adequado às necessidades da nação para garantia de seu progresso e harmonia. Não havia como ser diferente em uma empresa. Nesta precisamos definir padrões de conduta para garantir o sucesso do negócio.” (ABREU, 2002)

Política de segurança pode ser comparada com a legislação que

todos devemos seguir, de modo que o cumprimento da legislação nos garante

que o padrão de conduta esta sendo seguida, a política de segurança também

deve ser seguida por todos os funcionários de uma organização, garantindo

assim a proteção das informações e o sucesso do negócio.

Segundo a Wilkipédia(2009), a política de segurança deve

considerar os seguintes elementos:

• A Disponibilidade: o sistema deve estar disponível de forma que

quando o usuário necessitar possa usar. Dados críticos devem

estar disponíveis ininterruptamente.

• A Utilização: o sistema deve ser utilizado apenas para os

determinados objetivos.

4

• A Integridade: o sistema deve estar sempre íntegro e em

condições de ser usado.

• A Autenticidade: o sistema deve ter condições de verificar a

identidade dos usuários, e este ter condições de analisar a

identidade do sistema.

• A Confidencialidade: dados privados devem ser apresentados

somente aos donos dos dados ou ao grupo por ele liberado.

A política de segurança deve fornecer um enquadramento para a

implementação de mecanismos de segurança, definindo procedimentos de

segurança adequados, processos de auditoria à segurança e estabelecer uma

base para procedimentos legais na sequência de ataques.

5

3 VISÃO GERAL DO AMBIENTE

A COMEFO, estando ciente sobre a importância da existência de

uma legítima segurança das informações para que todos os usuários dos

recursos de informática tenham conhecimento de suas responsabilidades, e

para auxiliar na manutenção da integridade dos dados da empresa, almejando

adotar uma política de segurança. O modelo aqui proposto visa atender a essa

necessidade, tendo como análise o atual panorama apresentado pela empresa

no que se diz respeito a segurança da informação.

3.1 Desenho e Caracterização do Ambiente

A COMEFO – Cooperativa dos Médicos de Fortaleza, se encontra

localizada na Avenida Desembargador Gomes Moreira, nº. 2896, Aldeota,

Fortaleza-CE, atuando no seguimento de plano de saúde.

Atualmente concentra o total de 50 (cinquenta) funcionários fixos na

sede da empresa, sendo a locação destes, distribuídas da seguinte forma:

• Setor Administrativo e Financeiro: 20 funcionários;

• Setor de Atendimento ao Usuário: 20 funcionários;

• Setor Recursos Humanos: 05 funcionários; e

• Núcleo de Tecnologia da Informação: 05 funcionários.

A estrutura tecnológica da COMEFO é composta de 04 (quatro)

servidores, 01 (um) roteador, 03 (três) switches; tendo ainda distribuídos entre

os setores acima descritos: 46 (quarenta e seis) computadores, 05 (cinco)

impressoras e 02 (duas) fotocopiadoras, além de 01 (uma) central telefônica

com PABX, e 01 (um) sistema ERP, que integra os setores integrantes da

empresa.

6

3.2 Detalhamento dos Serviços Existentes

Os serviços e recursos existentes na COMEFO são os

descriminados abaixo, com o respectivo estado atual apresentado em cada

serviço.

• Acesso a Internet:

Atualmente a empresa possui acesso a internet através de link

dedicado 2Mb da Embratel; e não dispõe de nenhuma política de segurança

para acesso à internet, permitindo acesso irrestrito à web, também não

havendo regras para downloads e uploads.

• Correio Eletrônico:

Quanto ao uso do correio eletrônico, não existe nenhum controle

para envio e/ou recebimento de e-mails corporativos e pessoais; a empresa

não utiliza serviços de antivirus/antispam, para os emails; além do servidor de

email não contar com ma política eficaz contra spam.

• ERP com Banco de Dados:

O sistema ERP existente na empresa, e seu respectivo Banco de

Dados apresentam senhas de usuário únicas por setor; além de não haver log

para auditoria; não havendo rotinas de backup pré-definidas.

• Servidor de Arquivos:

Para o servidor de arquivos não existe uma política de acesso, todos

têm acesso a todos os arquivos do servidor; a sala dos servidores não tem

acesso restrito; não havendo também uma política de backup para os arquivos;

e o anti-vírus é ineficiente pois não é atualizado automaticamente.

• Serviço de Intranet:

O serviço de intranet não dispõe de login, tendo todos o acesso à

aplicativos de todos os setores; a aplicação não utiliza normas de segurança

para um Sistema Web; tendo ainda o processo de testes da equipe de

desenvolvimento no mesmo banco de produção.

7

4 ANÁLISE E TRATAMENTO DO RISCOS

4.1 Modelo e Classificação da Criticidade dos Riscos

O modelo e classificação da criticidade dos riscos, apresentados

neste trabalho tem como finalidade identificar os riscos e apontar soluções

apropriadas para a correção das vulnerabilidades e ameaças apresentadas

pelos serviços expostos. O modelo segue os preceitos da ABNT NBR ISO/IEC

17799:2005, onde se aplica os seguintes termos e definições:

Ativo: qualquer coisa que tenha valor para a organização.

Evento: ocorrência identificada de um sistema, serviço ou rede, que

indica uma possível violação da política de segurança da informação ou

falha de controles, ou uma situação previamente desconhecida, que

possa ser relevante para a segurança da informação.

Ameaça: causa potencial de um incidente indesejado, que pode resultar

em dano para um sistema ou organização.

Risco: combinação da probabilidade de um evento e de suas

conseqüências.

Riscos Projetados: Riscos que poderão acontecer depois das políticas

aplicadas.

Os riscos estão classificados de acordo com os seguintes critérios:

8

As ameaças estão classificadas de acordo com os seguintes critérios:

9

4.2 Levantamento e Classificação dos Riscos

Computador que faz o roteamento da internet para a rede interna

AtivoComputador que faz o roteamento da internet

para a rede interna

Avaliação da ameaça

Agente/Evento Infecção por vírus Defeito no equipamento

Invasão por Hackers

Classificação da ameaça

Interrupção do serviço

Interrupção do serviço

Quebra de sigilo/Remoção ou

perda de dados

Probabilidade de ocorrência

Alta Médio Médio

Conseqüência da ocorrência

Paralisação do serviço de

internet. Perda do equipamento

Paralisação do serviço de internet

Dados confidenciais da empresa são

expostos

Impacto Excepcionalmente grave

Sério Sério

Taxa de exposição 8 4 5

Política de segurança a ser

aplicada

Acesso à Internet - AIN e Acesso à Rede e Sistemas

- ARS

Acesso à Internet - AIN

Autenticação (Senhas) - AUS;

Ativo Computador que faz o roteamento da internet para a rede interna

Avaliação dos Riscos

Contramedidas existentes

Anti-vírus sem atualização automática

Não existe contramedida


Vulnerabilidades Infecção da rede por vírus

Negocio da empresa parado durante o

evento

Dados da empresa expostos para

terceiros / Indisponibilidade dos serviços de

internet

Riscos Alto Médio Alto


aplicada

Acesso à Internet - AIN e Acesso à Rede e Sistemas

- ARS

Acesso à Rede e Sistemas - ARS

Acesso à Rede e Sistemas - ARS e Acesso à Internet -

AIN

Recomendações

Contramedidas propostas

Troca do Sistema Operacional para Linux e instalação de um anti-vírus

Disponibilizar uma máquina para backup / Fazer manutenção

preventiva no equipamento

Implantar um sistema de Firewall

e detecção de invasão

Riscos Projetados Baixo Baixo Baixo

Avaliação de contramedidas

Completamente Satisfatória

Satisfatória na maioria dos aspectos

Satisfatória na maioria dos

aspectos


aplicada

Nenhuma Política Aplicada - NPA



10

Ativo Serviço de Email


Agente/EventoAcesso a e-mails

pessoais pela ferramenta Outlook

Recebimento de Spam e vírus pelo

email

Exceder espaço do servidor de e-mails


Quebra de sigilo: ameaça os dados da

empresa

Interrupção do serviço / Ameaça a

integridade da informação

Interrupção do serviço ao usuário


Alta Médio Alta


Problema no computador do usuário / Roubo de informação

Problema no computador do

usuário / Roubo de informação / Distribuir

vírus pela rede

Usuário não tem acesso ao serviço de

email

Impacto Sério Sério Sério

Taxa de exposição

6 4 4

Política de

segurança a ser aplicada

Correio Eletrônico - COE, Autenticação

(Senhas) - AUS

Correio Eletrônico - COE, Autenticação

(Senhas) - AUS


Ativo Serviço de Email




Anti vírus sem atualização automática


Vulnerabilidades

Roubo de informaçãoNegocio da empresa

parado durante o evento

Informações prioritárias não são

recebidasRiscos Alto Médio Alto

Política de segurança a ser aplicada

Autenticação (Senhas) - AUS e Acesso à Rede e Sistemas -

ARS


Acesso à Rede e Sistemas – ARS

Recomendações


Bloqueio para uso da ferramenta Outlook para email pessoal

Instalar outra ferramenta de anti vírus e anti spam.

Implantar um sistema de cota por conta de email, informando ao

usuário a porcentagem

utilizada da caixa

Riscos Projetados

Baixo Baixo Baixo


Completamente Satisfatória


Completamente satisfatória

Política de segurança a ser aplicada



Nenhuma Política Aplicada – NPA

11

Ativo Servidor de Arquivos e Domínio


Agente/Evento Acesso indevido aos arquivos Infecção por vírus Falta de energia

elétrica


Ameaça a integridade da informação / acesso

indevido

Interrupção do serviço / Modificação de

arquivos

Interrupção do serviço ao usuário / Corromper Sistema Operacional


Média Alta Alta


Roubo de informação Serviço e dados indisponíveis

Serviço indisponível / Perda de dados

Impacto Sério Excepcionalmente grave

Excepcionalmente grave

Taxa de exposição

6 9 8

Política de



Acesso à Rede e Sistemas - ARS e Acesso à Internet -

AIN


Ativo Servidor de Arquivos e Domínio



Todos acessam o mesmo

compartilhamento

Anti vírus sem atualização automática

e sem anti spam


Vulnerabilidades Acesso indevido a informação

Perda de arquivos / Sem acesso aos dados

Negocio da empresa fica parado durante o

evento

Riscos Alto Alto AltoPolítica de





Recomendações


Criar acompanhamento por setor

Instalar sistema de anti vírus e anti spam atual

que atualize automaticamente

Instalar um no-break com autonomia de 2

horas no caso falta de energia

Riscos Projetados

Baixo Baixo Baixo






aplicada




12

Ativo Sistema ERP com banco dados


Agente/Evento Acesso indevido ao Sistema

Perda de dados por falha na aplicação

Acesso físico ao servidor



indevido

Interrupção do serviço / Ameaça a integridade da

informação



Média Médio Alta


Roubo de informação Inconsistência nos dados disponíveis. Serviço indisponível

Impacto Sério Sério Excepcionalmente grave

Taxa de exposição

6 5 8

Ativo Sistema ERP com banco dados



Senha única por setor Não existe contramedida Não existe contramedida

Vulnerabilidades Roubo de informação A empresa trabalha com dados inconsistentes


evento

Riscos Alto Médio AltoPolítica de


Autenticação (Senhas) - AUS e Acesso à Rede e

Sistemas - ARS



Recomendações


Criar política de senha por usuário

Analisar o código com a empresa de

desenvolvimento, para seguir padrões de

segurança

Instalar uma porta com acesso restrito,

somente a pessoas autorizadas

Riscos Projetados

Baixo Baixo Baixo





13

Ativo Serviço de intranet


Agente/Evento Acesso indevido ao aplicativo

Aplicação com falhas de segurança

Acesso físico ao servidor



indevido

Interrupção do serviço / Modificação dos dados



Média Baixo Alta


Exposição e alteração dos dados por pessoas

indevidas

Serviço e dados indisponíveis Serviço indisponível

Impacto Sério Sério Excepcionalmente grave

Taxa de exposição

5 6 8

Ativo Serviço de intranet



Senha única para acesso a aplicação Não existe contramedida Não existe

contramedida

Vulnerabilidades Acesso indevido a informação Perda de dados


evento

Riscos Alto Alto AltoPolítica de


Autenticação (Senhas) - AUS e Acesso à Rede e

Sistemas - ARS

Acesso à Rede e Sistemas - ARS Acesso à Internet - AIN

Recomendações


Criar política de senha por usuário

Analisar a aplicação e alterar onde for

necessário seguindo padrões de segurança

Instalar uma porta com acesso restrito,

somente a pessoas autorizadas

Riscos Projetados

Baixo Baixo Baixo





14

4.3 Abrangência

A abrangência da Política de Segurança da Informação é definida

pela Comissão de Segurança da Informática, divisão instituída pela COMEFO,

no tocante das responsabilidades e aplicações das normas estabelecidas

No escopo definido pela Comissão de Segurança da Informática, os

quesitos da Política de Segurança devem ser aplicados de maneira

mandatória. Fora desse escopo, eles devem servir de recomendações,

podendo ser aplicados pelos departamentos ou outros setores integrantes da

empresa.

A COMEFO institui que a presente Política de Segurança tem

abrangência somente no que se refere aos riscos classificados como ‘Médio’ e

‘Alto’, tendo a Comissão de Segurança da Informação da empresa, a

responsabilidade da aplicação das contramedidas recomendadas, para a

completa resolução do problema.

Aos riscos definidos como ‘Baixo’, a COMEFO, com a justificativa de

que há irrelevância nos danos que venha a incidir contra a empresa, justapõe a

não realização de qualquer medida preventiva a ser aplicada por essa Política

de Segurança, e se responsabiliza por qualquer agravo ocorrido devido os

referidos riscos.

15

5 DOCUMENTOS

5.3 Políticas de Segurança

O modelo apresentado para as Políticas de Segurança da COMEFO,

não tem objetivo de impor restrições contrárias à cultura de abertura e

confiança da empresa, mas proteger a mesma, funcionários e parceiros, de

ações ilegais ou danosas praticadas por qualquer indivíduo, de forma proposital

ou inadvertidamente.

Sistemas relacionados à Internet/Intranet/Extranet - incluídos, mas

não limitados, os equipamentos de computação, software, sistemas

operacionais, dispositivos de armazenamento, contas de rede que permitem

acesso ao correio eletrônico, consultas WWW e FTP a partir de IP’s (endereços

de protocolo da internet) e o sistema de telefonia - são propriedades da

COMEFO, devendo ser utilizados com o exclusivo propósito de servir aos

interesses da empresa e de seus clientes, no desempenho de suas atividades

empresariais. A segurança efetiva é um trabalho de equipe envolvendo a

participação e colaboração de todos os funcionários e cooperados da empresa

que manipulam informações e/ou sistemas de informações. É de

responsabilidade de cada usuário de computador conhecer esta política e

conduzir suas atividades de acordo com a mesma.

As Políticas de Segurança da Informação da COMEFO se

distinguem nos seguintes parâmetros:

• Acesso à Internet - AIN;

• Acesso à Rede e Sistemas - ARS;

• Backup - BKP;

• Autenticação (Senhas) - AUS;

• Correio Eletrônico - COE; e

• Nenhuma Regra Aplicada - NRA

16

5.3.1 Política de Acesso à Internet - AIN

O propósito dessa política é assegurar o uso apropriado da Internet na

COMEFO

O uso da Internet pelos empregados da COMEFO é permitido e

encorajado desde que seu uso seja aderente aos objetivos e atividades fins do

negócio da COMEFO.

Entretanto, a COMEFO tem uma política para o uso da Internet

desde que os funcionários/cooperados assegurem que cada um deles:

• Siga a legislação corrente (sobre pirataria, pedofilia, ações

discriminatórias)

• Use a Internet de uma forma aceitável

• Não crie riscos desnecessários para o negócio para a COMEFO

• Se você tem alguma dúvida ou comentários sobre essa Política

de Uso da Internet, por favor entre em contato com seu

supervisor.

Concorrentemente ao descrito acima, será considerado

totalmente inaceitável tanto no uso quanto no comportamento dos

empregados:

• Visitar sites da Internet que contenha material obsceno e/ou

pornográfico;

• Usar o computador para executar quaisquer tipos ou formas de

fraudes, ou software/musica pirata;

• Usar a Internet para enviar material ofensivo ou de assédio para

outros usuários;

• Baixar (download) de software comercial ou qualquer outro

material cujo direito pertença a terceiros (copyright), sem ter um

contrato de licenciamento ou outros tipos de licença;

• Atacar e/ou pesquisar em areas não autorizadas (Hacking);

• Criar ou transmitir material difamatório;

• Executar atividades que disperdice os esforços do pessoal técnico

17

ou dos recursos da rede;

• Introduzir de qualquer forma um virus de computador dentro da

rede corporativa;

• É proibido utilizar os recursos da COMEFO para fazer downloads

(mp3, vídeos,programas diversos)

• distribuição de softwares ou dados não legalizados, bem como a

distribuição destes;

• É proibida a divulgação de informações confidenciais da

COMEFO em grupos de

• Discussão, listas ou bate-papo, não importando se a divulgação

foi deliberada ou inadvertida, sendo possível sofrer as

penalidades previstas nas políticas e procedimentos internos e/ou

na forma da lei;

• Poderá ser utilizada a Internet para atividades não relacionadas a

atividades profissionais fora do expediente, desde que dentro das

regras de uso definidas nesta política;

• Os funcionários com acesso à Internet podem baixar somente

programas ligados diretamente às atividades da empresa e

devem solicitar ao setor de TI o que for necessário para instalar e

regularizar a licença e o registro desses programas;

• Funcionários com acesso à Internet não podem efetuar upload de

quaisquer dados e/ou softwares de propriedade e licenciados à

COMEFO, sem expressa autorização da Administração;

• Caso a COMEFO julgue necessário haverá bloqueios de acesso a

arquivos, domínios e serviços de Internet que comprometam o

uso de banda, a segurança do servidor de internet ou o bom

andamento dos trabalhos;

• Haverá geração de relatórios para análise de segurança dos sites

acessados pelos usuários;

• Acessar e-mail pessoal;

• É proibida a utilização de softwares de peer-to-peer (P2P), tais

como Kazaa, Morpheus, E-Mule e afins;

18

• Criar blogs e comunidades na Internet, ou qualquer ambiente

virtual semelhante, utilizando-se, sem autorização expressa, da

logomarca da Empresa;

• É proibida a utilização de serviços de streaming, tais como rádios

on-line e afins, a não ser que o acesso seja inerente a trabalhos,

pesquisas, negócios da COMEFO.

A COMEFO reafirma que o uso da Internet é uma ferramenta valiosa

para seus negócios. Entretanto, o mau uso dessa facilidade pode ter impacto

negativo sobre a produtividade dos funcionários e a própria reputação do

negócio.

Em adição, todos os recursos tecnológicos da COMEFO existem

para o propósito exclusivo de seu negócio. Portanto, a empresa se dá ao direito

de monitorar o volume de tráfico na Internet e na Rede, juntamente com os

endereços web (http://) visitados.

A falha em não seguir a política irá resultar em sanções que variarão

desde procedimentos disciplinares, com avisos verbais ou escritos, até a

demissão, não obstante as sanções cíveis e criminais decorrentes da não

observância das mesmas.

19

5.3.2 Política Acesso à Rede e Sistemasc - ARS

O propósito dessa política é assegurar o uso apropriado da Rede e Sistema

Os usuários da rede corporativa têm as seguintes obrigações:

• Responder pelo uso exclusivo de sua conta pessoal de acesso à

rede corporativa;

• Identificar, classificar e enquadrar as informações da rede

corporativa relacionadas às atividades por si desempenhadas;

• Zelar por toda e qualquer informação armazenada na rede

corporativa contra alteração, destruição, divulgação, cópia e

acessos não autorizados;

• Guardar sigilo das informações confidenciais, mantendo-as em

caráter restrito;

• Manter, em caráter confidencial e intransferível, a senha de

acesso aos recursos computacionais e de informação da

organização, informando-a formalmente ao Administrador da

Rede;

• Informar imediatamente à Gerência sobre quaisquer falhas ou

desvios das regras estabelecidas neste documento, bem como

sobre a ocorrência de qualquer violação às mesmas, praticada

em atividades relacionadas ao trabalho, dentro ou fora das

dependências da Empresa;

• Responder cível e criminalmente pelos danos causados em

decorrência da não observância das regras de proteção da

informação e dos recursos computacionais da rede corporativa;

• Fazer uso dos recursos computacionais para trabalhos de

interesse exclusivo da organização;

• Fazer a emissão de pedidos de compra de recursos

computacionais e a confirmação do recebimento das compras à

administração, via e-mail, com cópia ao gestor.

É estritamente proibido e inaceitável:

20

• Acessar, copiar ou armazenar programas de computador ou

qualquer outro material (músicas, fotos e vídeos) que violem a lei

de direitos autorais (copyright), bem como aqueles de conteúdo

ilegal, pornográfico, discriminatório, homofóbico, racista ou que

faça apologia ao crime;

• Utilizar os recursos computacionais ou quaisquer outros de

propriedade da Empresa, colocados à disposição do colaborador

em razão do exercício de sua função, para constranger,

assediar, prejudicar ou ameaçar a mesma ou terceiros, sejam

eles indivíduos ou organizações;

• Alterar os sistemas padrões, sem autorização;

• Divulgar quaisquer informações confidenciais para concorrentes

e/ou qualquer pessoa não ligada às atividades da Empresa;

• Efetuar qualquer tipo de acesso ou alteração não autorizada a

dados dos recursos computacionais pertencentes à Empresa;

• Violar os sistemas de segurança dos recursos computacionais,

no que tange à identificação de usuários, senhas de acesso,

fechaduras automáticas, sistemas de alarme e demais

mecanismos de segurança e restrição de acesso;

• Utilizar acesso discado através de modem, ou qualquer outra

forma de conexão não autorizada, quando conectado às redes

instaladas nas dependências da Empresa;

• Acessar e-mail pessoal;

• Utilizar quaisquer recursos ou equipamentos da Empresa para

fins diversos daqueles necessários ao desempenho da função

contratada;





21

5.3.3 Política de Backup - BKP

O propósito dessa política é assegurar a consistência dos dados da COMEFO.

O backup é feito exclusivamente da área de rede do usuário (drive

H:). Dados em estações de trabalho ou perfil do usuário podem ser apagados a

qualquer momento e são perdidos em caso de reinstalação da estação. Caso

não queira utilizar sua área de rede, a responsabilidade pelos dados é

totalmente do usuário.

A política de backup da COMEFO obedece ao seguinte esquema:

• Backup Completo a cada 30 dias;

• Backup Incremental semanal;

• Backup Incremental diário

OBSERVAÇÃO: Por backup incremental entende-se aquele que

copia apenas os arquivos alterados durante determinado período. Desta forma,

o arquivo somente será copiado se foi alterado durante o dia ou a semana. O

backup completo, por outro lado, copia todo o conteúdo da área do usuário,

independentemente do mesmo haver sido trabalhado ou não. Na prática, isso

significa que é possível recuperar:

• A última versão do dia de qualquer arquivo até uma semana

atrás. Versões intermediárias não são recuperáveis porque o

backup é realizado apenas uma vez durante a noite;

• A última versão da semana de arquivos até quatro semanas

atrás;

• Todo o conteúdo armazenado na data do último backup

completo.

22

5.3.4 Política de Autenticação (Senhas) - AUS

O propósito dessa política é assegurar a correta autenticação dos usuários nos

sistemas de informação da COMEFO.

A política de autenticação da COMEFO obedece às seguintes

determinações:

• Somente poderão acessar a Internet usuários que tenham

sido credenciados com suas senhas de acesso.

• Cada setor deverá, através de memorando, indicar novos

servidores que deverão ser credenciados para tal serviço,

justificando quanto a necessidade do referido funcionário

utilizar-se deste recurso.

• A senha de acesso tem caráter pessoal, e é intransferível,

cabendo ao seu titular total responsabilidade quanto seu

sigilo.

• A prática de compartilhamento de senhas de acesso é

terminantemente proibida e o titular que fornecer sua senha a

outrem responderá pelas infrações por este cometidas,

estando passível das penalidades aqui previstas. Caso o

usuário desconfie que sua senha não é mais segura, ou de

seu domínio exclusivo, poderá solicitar à Gerência de

Informática a alteração desta.

O usuário que infringir qualquer uma das diretrizes de segurança

expostas neste instrumento estará passível das seguintes penalidades (sem

prévio aviso): Descredenciamento da senha de acesso a Internet;

Cancelamento da caixa de e-mail; Desativação do ponto de rede do setor;

Suspensão; Multa e Demissão;

O(s) usuário(s) infrator poderá ser notificado e a ocorrência da

transgressão imediatamente comunicada ao seu chefe imediato, à diretoria

correspondente e à Presidência.

23

5.3.5 Política de Correio Eletrônico - COE

O propósito dessa política é assegurar o bom uso do correio eletrônico na

COMEFO.

• O número de mensagens com permissão para serem enviadas

por hora, por usuário, é de 350 mensagens.

• O usuário não deve tentar esconder, forjar ou representar de

maneira errada o remetente do e-mail e o domínio do site.

• E-mails em massa devem exibir especificamente como os

endereços de e-mail da pessoa foram obtidos e deve indicar a

frequencia de envio.

• E-mails em massa devem conter mecanismos de

descadastramento simples e óbvios. Nós recomendamos que

isso esteja em forma de um link para um sistema de

descadastramento de um único clique. Po outro lado, um

endereçco "reply-to" válido pode ser usado como alternativa.

• Todo cadastramento baseado em e-mail deve ter informações de

contato válidas e não eletrônicas da organização que está

enviando o e-mail no texto de cada e-mail, incluindo um número

de telefone ou um endereço físico válido.

• Todo e-mail em massa deve ser solicitado, quer dizer, o

remetente tem uma relação existente e que se pode provar com

o e-mail remetente e o receptor não requisitou não receber

futuros e-mails desse remetente. A documentação da relação

entre o remetente e o receptor deve ser disponível quando

requisitado.

• Usos Proibidos dos Sistemas de Rede da COMEFO(ou sub-

contratada) e Serviços Relativos a Spam

24

• Envio de E-mail Lixo Não Solicitado ("UBE", "spam") O envio de

qualquer forma de E-mail Lixo Não Solicitado através dos

servidores da COMEFO(ou sub-contratada) é proibido. Do

mesmo modo, o envio de spam a partir de outro provedor de

serviço fazendo propaganda de um site, endereço de email ou a

utilização de qualquer recurso hospedado nos servidores da

COMEFO(ou sub-contratada) é proibido. As contas ou serviços

da COMEFO não devem ser usados para solicitar clientes ou

coletar 'replies to' de mensagens enviadas a partir de outro

Provedor de Serviço de Internet onde essas mensagens violam

essa Política ou de outro provedor.

• Executar Listas de E-mail Não Confirmadas, Inscrever endereços

de e-mail para qualquer lista de e-mail sem a permissão

expressa e verificável do dono do endereço de e-mail é poibido.

Todas as listas de e-mail executadas por clientes da COMEFO

devem ser Closed-loop ("Confirmed Opt-in"). A mensagem

confirmação de inscrição recebida de cada dono do endereço

deve ser mantida em arquivo pela duração da existência da lista

de e-mail. Comprar listas de endereços de e-mail de terceiros

para enviar e-mails a partir dos domínios da COMEFO, ou

referenciar qualquer conta da COMEFO, é proibido.





25

6 CONCLUSÃO

Este estudo procurou abranger a segurança da informação, tendo

seu objetivo voltado para política de segurança da informação, sendo

desenvolvido um modelo de política de segurança para a empresa COMEFO.

A dependência progressiva das organizações com relação aos

sistemas de informações computadorizados as torna cada vez mais vulneráveis

a ameaças. Na sociedade da informação, ao mesmo tempo em que as

informações são consideradas um dos principais ativos de uma organização,

elas estão, também sobre constantes riscos. Com isso a segurança da

informação tornou-se um ponto extremamente importante para a sobrevivência

das organizações. Dentre as medidas de segurança implantadas pelas

organizações, para garantir a segurança da informação, está a política de

segurança que tem por objetivo definir normas, procedimentos, ferramentas e

responsabilidades que devem ser seguidas pelos usuários das organizações,

de modo a garantir a segurança da informação. A política de segurança é a

base para todas as questões relacionadas à proteção da informação,

desempenhando um papel importante nas organizações. Para o

desenvolvimento do modelo de política de segurança foi utilizada a norma

ABNT NBR ISO/IEC 17799:2005. Esta norma trata da Gestão de segurança da

informação cobre os mais diversos tópicos da área de segurança, possuindo

um grande número de controles e requerimentos que devem ser atendidos

para garantir a segurança das informações de uma empresa.

É importante para os usuários da rede de computadores da

COMEFO, a definição de regras que devem ser seguidas para a utilização de

maneira adequada dos recursos de informática, assim como para a garantia da

segurança física. O modelo de política de segurança desenvolvido visa a

descrição destas regras de modo acessível ao entendimento dos usuários.

Fica a certeza que este trabalho trouxe contribuições importantes,

como: Identificação do cenário atual da segurança da informação e das

medidas de segurança necessárias a serem utilizadas pela COMEFO; Estudo

da utilização e da importância da política da segurança como uma importante

medida de segurança utilizada pelas empresas; Desenvolvimento de um

modelo de política de segurança.

26

BIBLIOGRAFIA

ABREU, Dimitri. Melhores práticas para classificar as informações. Disponível

em: www.modulo.com.br. Acessado em 19 de março de 2009.

GONÇALVES, Luis Rodrigo de Oliveira. Pequeno histórico sobre o surgimento

das Normas de Segurança. Disponível em http://www.lockabit.coppe.ufrj.br.

Acessado em 19 de março de 2009.

WILKEPEDIA, A enciclopédia livre. Segurança da Informação. Disponível em:

http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o.

Acessado em 19de março de 2009.

SPANCESKI, Francini Reitz. Política de Segurança da Informação –

Desenvolvimento de um modelo voltado para instituições de Ensino, 2004.

Monografia (Graduação em Sistemas de Informação) Instituto Superior Tupy.

Joinville.

ABNT NBR ISO/IEC 17799:2005 - Tecnologia da informação – Técnicas de

segurança - Código de prática para a gestão de segurança da informação. 2ª.

ed., ABNT, 2005.

27

http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o

http://www.lockabit.coppe.ufrj.br/

ANEXOS

Anexo I – Declaração de ciência e concordância com a Política de Segurança

DECLARAÇÃO DE CIÊNCIA E CONCORDÂNCIA DA PSI/COMEFO

Pelo presente instrumento, eu, ____________________________,

matrícula/identidade no __________________, perante COMEFO –

Cooperativa dos Médicos de Fortaleza, na qualidade de usuário dos recursos

de processamento da informação da referida empresa, declaro estar ciente e

concordar com a Política de Segurança da Informação – PSI/COMEFO composta por suas Diretrizes Gerais, Normas, Procedimentos e Instruções, que

estão disponíveis na INTRANET da empresa, seção Política de Segurança.

Declaro, também, estar ciente de que os acessos por mim realizados à internet,

bem como o conteúdo das mensagens enviadas através do Correio Eletrônico

corporativo são monitorados automaticamente.

Declaro, ainda, estar ciente das minhas responsabilidades descritas

nas normas da Política de Segurança da Informação e que, a não observância

desses preceitos, implicará na aplicação das sanções previstas nas Diretrizes

Gerais desta Política.

______________, _______________________Local e data

______________________________________________Nome legível por extenso

______________________________________________Assinatura do funcionário

28

Anexo II – Termo de Confidencialidade da Informação

TERMO DE CONFIDENCIALIDADE DA INFORMAÇÃO

Declaro que, ao utilizar os recursos computacionais do ambiente tecnológico da COMEFO – Cooperativa dos Médicos de Fortaleza, estou ciente das responsabilidades inerentes às minhas atribuições, assumindo, no que me enquadrar, o compromisso de:

a. Acessar os sistemas informatizados somente por necessidade de serviço ou por determinação expressa de superior hierárquico, realizando as tarefas e operações em estrita observância aos procedimentos, normas e disposições contidas na política de segurança da informação da empresa;

b. Não revelar, fora do âmbito profissional, fato ou informação de qualquer natureza de que tenha conhecimento por força de minhas atribuições ou por fontes secundárias, salvo em decorrência de decisão competente na esfera legal ou judicial, bem como de autoridade superior;

c. Manter a necessária cautela quando da exibição de dados em tela, impressora ou na gravação em meios eletrônicos, a fim de evitar que deles venham a tomar ciência pessoas não autorizadas;

d. Para garantir a impossibilidade de acesso indevido por terceiros, não deverei me ausentar do terminal sem encerrar ou bloquear a sessão do sistema;

e. Não revelar as minhas senhas de login da rede e de acesso aos sistemas a ninguém e seguir as recomendações de segurança em relação à criação de uma senha forte, conforme política vigente, de forma a possibilitar que ela continue secreta;

f. Responder, em todas as instâncias, pelas conseqüências das ações ou omissões de minha parte que possam pôr em risco ou comprometer a exclusividade de conhecimento de minha senha ou das transações e informações a que tenha acesso.

g. Manter estrita observância à Política de Segurança da Informação da COMEFO;

Declaro, ainda, estar plenamente esclarecido e consciente de que:h. É minha responsabilidade cuidar da integridade, confidencialidade e

disponibilidade dos dados, informações e sistemas aos quais tenho acesso, devendo comunicar, por escrito, à chefia imediata quaisquer indícios ou possibilidades de irregularidades, de desvios ou de falhas identificadas nos sistemas, sendo proibida a exploração de falhas ou vulnerabilidades porventura existentes nos sistemas;

i. O acesso à informação não me garante direito sobre ela, nem me confere autoridade para liberar acesso a outras pessoas;

29

j. O descumprimento das disposições deste Termo de Confidencialidade caracteriza infração funcional, a ser apurada em processo administrativo disciplinar, sem prejuízo da responsabilidade penal e civil;

k. O acesso aos sistemas com fins escusos ou imotivados constitui, sem prejuízo da responsabilidade civil e penal, infração funcional de falta de zelo e dedicação às atribuições do cargo, e descumprimento de normas legais ou regulamentares tipificadas em Lei;

l. Constitui descumprimento de normas legais e regulamentares e quebra de sigilo funcional, a divulgação de dados obtidos dos sistemas informatizados ou quaisquer outras informações pertinentes à COMEFO que tenha conhecimento por força de minhas atribuições, para outros servidores não envolvidos nos trabalhos executados;

m. Ressalvadas as hipóteses de requisições legalmente autorizadas, constitui infração de revelação de sigilo funcional do qual me apropriei em razão do cargo, a divulgação, a quem não tenha a devida autorização, de informações dos sistemas fazendários ou quaisquer outras informações pertinentes, protegidas pelo sigilo fiscal, sujeitando-me à penalidade de demissão;

n. Sem prejuízo da responsabilidade penal e civil e de outras infrações disciplinares, constitui falta de zelo e dedicação às atribuições do cargo e descumprimento de normas legais e regulamentares, não proceder com cuidado na guarda e utilização de senha ou emprestá-la a outro funcionário.

o. Constitui infração funcional de minha parte, inserir ou facilitar a inserção de dados falsos, alterar ou excluir indevidamente dados nos sistemas informatizados ou bancos de dados, bem como modificar ou alterar o sistema de informações ou programas de informática sem autorização ou solicitação de autoridade competente, sujeitando-me à punição, conforme Política da empresa.

p. Devo prestar estrita obediência às normas e recomendações da Política de Segurança da Informação - PSI/COMEFO, bem como manter-me ciente de suas atualizações, que serão devidamente homologadas e publicadas na Intranet da empresa, submetendo-me, em caso de descumprimento, às penalidades administrativas previstas na própria Política de Segurança e no Regimento Interno, sem prejuízo da responsabilidade penal e civil.

______________, _______________________Local e data

______________________________________________Nome legível por extenso______________________________________________Assinatura do funcionário

30

estudo de caso da implantação de uma política corporativa de segurança da informação

Technology