Simp.TCC/Sem.IC.2017(12); 2950 -2981 2950

TSI

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA A EMPRESA MG COMÉRCIO DE FERRAGENS

EMIVAL CÂNDIDO MESQUITA JÚNIOR RUBBIANY CAVIQUIOLI DE SOUZA CID BENDAHAN COELHO CINTRA

Resumo Este trabalho tem por objetivo propor uma política de segurança da informação para a MG Comércio de Ferragens para os setores de vendas, sala do proprietário e financeiro/sala do servidor. Foi realizado o desenvolvimento do referencial teórico baseado em livros, trabalhos técnicos, artigos da internet e Normas técnicas, para melhor execução deste trabalho. Após o referencial teórico, foram realizadas duas análises da MG Comércio de Ferragens sendo a primeira de âmbito estrutural físico e a segunda de âmbito estrutural lógico. O objetivo destas análises é verificar os ativos físicos e lógicos encontrados no local e a vulnerabilidades a que estes ativos estão expostos, e através de uma matriz de risco baseada no modelo de Ferreira; Araújo (2008, p. 179), calcular o grau de consequência caso ocorra uma exploração maliciosa dessas vulnerabilidades. Em acordo com essa matriz de risco, é apresentada uma política de segurança da informação contendo propostas de melhorias nos ambientes físico e lógico para maior preservação e segurança dos ativos da empresa em conformidade com a Norma ABNT NBR ISO/IEC 27002:2005. Palavras chaves: Política, Segurança, Informação, matriz, ativos, risco, vulnerabilidade Abstract This document propose an information security policy to MG Comércio de Ferragens to the sale department, owner room and financial server. This theoretical referential was developed based on books, technical works, internet articles and technical standards. After the theoretical referential, two analysis of MG Comércio de Ferragens were made, first one based on its physical structure and second one based on its logical structure. The object of these analysis is check physical and logical devices found on local and its vulnerabilities and through a risk matrix, based in the Ferreira; Araújo’s (2008, p. 179) model, calculate the rate of consequences of a malicious exposure. Based on risk matrix, this document present an information security policy that contain proposals for improvements on physical and logical environments with the object to preserve the security of devices of this company, in accordance with the Standard ABNT NBR ISO/IEC 27002:2005. Key words: Politics, Security, Information, matrix, risk, asset, vulnerability INTRODUÇÃO

Com as recentes e disponíveis possibilidades de estudo, pesquisas e investimento, o avanço tecnológico tem facilitado o acesso e a transmissão de informação. Assim, as informações ficam cada vez mais expostas, vulneráveis e de fácil acesso, principalmente no meio online, a exemplo das redes sociais.

Tal vulnerabilidade também é identificada no meio empresarial e, sendo a informação o principal tesouro de negócio para desde os pequenos empreendedores até as grandes empresas transnacionais, tornar restrito e seguro o acesso a essas informações importantes tem se tornado cada vez mais necessário e desafiador.

Quando se há contato com o mundo, qualquer pessoa pode visualizar as suas “portas” de acesso (vulnerabilidades) e mesmo que essa pessoa não tenha a chave, se ela souber como abrir, ela poderá abrir.

Para maior resguardo desses ativos, as empresas desenvolvem Políticas de Segurança da Informação voltadas para o sistema utilizado, para o meio físico de trabalho, para o acesso dos usuários internos e externos, a exemplo dos funcionários, clientes, etc., e principalmente, focadas nas vulnerabilidades com maior probabilidade de exploração.

Segurança não significa apenas proteger a informação a sete chaves, mas também garantir a disponibilidade do ativo ao usuário. Os problemas de segurança geram a não disponibilidade. E quando se fala em disponibilidade, é importante saber que esse termo se refere à disponibilidade

da informação para seus devidos responsáveis ou utilizadores, de maneira que só poderá acessar a informação se houver permissão de acesso.

No desenvolvimento do trabalho, será apresentada uma proposta de política de segurança da informação voltada aos ambientes físico e lógico da MG Comércio de Ferragens, em conformidade com a Norma ABNT NBR ISO/IEC 27002:2005. Serão identificados os principais ativos de informação e mensurados e citados os riscos que cada ativo está exposto, e ainda, propostas para minimização dos riscos pontuais com vistas à continuidade do negócio. JUSTIFICATIVA

O valor da informação é tão importante para a instituição mencionada que é preciso tratá-la e garantir a segurança de dados dos ativos através de uma política de segurança física e lógica eficaz, para que a instituição tenha sucesso.

Seguindo a política de segurança física e lógica corretamente é possível garantir um aumento de segurança em todos os setores, que se encontram em situação precária pois não possuem qualquer meio seguro dentro do ambiente estudado.

A justificava do trabalho observa a necessidade e a importância da implantação da política de segurança física e lógica no ambiente organizacional analisado, contendo vários pontos críticos a serem corrigidos.

A empresa possui diversas vulnerabilidades nas quais serão corrigidas com a implantação da política de segurança da

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2951

informação. A finalidade dessa política é diminuir drasticamente os riscos e incidentes existentes dentro da organização, afim de melhorar o ambiente de trabalho e os negócios da organização. OBJETIVOS OBJETIVO GERAL

Elaborar uma proposta de política de segurança com base nas diretrizes da Norma ABNT NBR ISO/IEC 27002 utilizando informações e orientações para criação de uma política eficaz. OBJETIVOS ESPECÍFICOS

Pesquisar bibliografias que orientem e direcionem à criação de Políticas de Segurança;

Verificar os aspectos físicos e lógicos da empresa MG Comércio de Ferragens;

Analisar os riscos do ambiente, físico e lógico, conforme classificação do nível da Matriz de Risco;

Comparar com as diretrizes contidas na Norma ABNT NBR ISO/IEC 27002:2005;

Elaborar uma proposta de Política de Segurança da Informação, que sigam diretrizes e ações contidas na Norma ABNT NBR ISO/IEC 27002:2005, do ambiente onde estão os ativos computacionais e adquirir segurança e responsabilidade, em acordo com o resultado da Análise de Riscos feita no ambiente referido. METODOLOGIA Seguem os procedimentos metodológicos utilizados para o desenvolvimento deste trabalho: a) Pesquisa do conteúdo referente a Política de Segurança física e lógica e análises literárias. b) Visita ao local foco da política de segurança da informação para identificação dos ativos físicos e lógicos, estabelecendo valores para a identificação das vulnerabilidades para a continuidade do negócio. c) Elaboração de matrizes de risco em conformidade com o modelo proposto por Ferreira; Araújo (2008, p.179), considerando o levantamento de ativos e definição dos riscos e probabilidade de impacto causados por incidentes. d) Elaboração de uma política de segurança da informação em conformidade com a Norma ABNT NBR ISSO/IEC 27002:2005, de acordo com as análises física e lógica realizadas. REFERENCIAL TEÓRICO INFORMAÇÃO

Pela ideia de Fontes (2006, p. 02) a informação é um importante recurso que move o mundo e forma todo conhecimento de como o universo está caminhando. Desde o nosso nascimento, uma das primeiras informações

passadas é a ação de chorar ao nascer, informando que há vida.

Assim, “informação é muito mais que um conjunto de dados. Transformar esses dados em informação é transformar algo com pouco significado em um recurso de valor para a nossa vida pessoal ou profissional” (FONTES, 2006, p. 02).

“Do ponto de vista profissional, é necessário proteger a informação da empresa porque ela é o sangue que move a organização. Sem ela, nada existe” (FONTES, 2006, P. 03).

Conforme a norma ABNT NBR ISO/IEC

27002 (2005 p. x),

A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegia. Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectado. Como um resultado deste incrível aumento da interconectividade, a informação está agora exposta a um crescente número e a uma grande variedade de ameaças e vulnerabilidades.

SEGURANÇA DA INFORMAÇÃO

Segundo Fontes (2006, p. 11), segurança da informação possibilita que o negócio seja realizado e com isso o objetivo final alcançado, utilizando procedimentos, normas, conjuntos de orientações, políticas e ações que possuem por objetivo promover a proteção do recurso informação. Ainda, na mesma ideia, afirma que a existência da segurança da informação se baseia na minimização do risco do negócio em função da dependência do uso dos recursos de informação para o bom funcionamento da organização. O retorno e o bom funcionamento do negócio podem ser comprometidos caso a informação seja utilizada de forma incorreta.

Assevera Sêmola (2003, p.43),

Podemos definir segurança da informação como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade. De forma mais ampla, podemos também considerá-la como a prática de gestão de riscos de incidentes que impliquem no comprometimento dos três principais conceitos da segurança: confidencialidade, integridade e disponibilidade da informação. Desta forma estaríamos falando da definição de regras que incidiram sobre todos os momentos do ciclo de vida da informação: manuseio, armazenamento, transporte e descarte, viabilizando a identificação e o controle de ameaças e vulnerabilidades.

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2952

Conforme a norma ABNT NBR ISO/IEC 27002 (2005 p. x).

Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.

A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão de negócio.

Alguns dos principais pilares da segurança da informação são de extrema importância para atender aos princípios básicos para a proteção do ativo, definidos a seguir por Pinheiro (2008, p. 8):

Confidencialidade ou privacidade – proteger as informações contra o acesso de qualquer pessoa não autorizada. Este objetivo envolve medidas como controle de acesso físico e lógico. Integridade dos dados – evitar que dados sejam apagados ou alterados sem a permissão do gestor da informação. Disponibilidade – garantir o funcionamento pleno do sistema computacional e dos seus recursos aos usuários autorizados.

Junto à tríade da segurança da informação, segundo Pinheiro (2008, p.8 e 9) outros objetivos básicos importantes para a melhor proteção do ativo são definidos a seguir:

Consistência – Certificar-se de que o sistema atua de acordo com a expectativa dos usuários. Isolamento ou uso legítimo – Controlar o acesso e garantir que somente usuários autorizados utilizem os recursos do sistema. Auditoria – proteger os sistemas contra erros e atos cometidos por usuários autorizados. Para identificar autores e ações são utilizadas trilhas de auditorias e logs, que registram o que foi executado no sistema, por quem e quando. Confiabilidade – garantir que, mesmo em condições adversas, o sistema atuará conforme esperado. Legalidade – garantir que a informação deva estar em conformidade com os preceitos da Política de Segurança em vigor.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Assevera Ferreira; Araújo (2008, p. 36),

A Política de Segurança define o conjunto de normas, métodos e procedimentos utilizados para a manutenção da segurança da informação,

devendo ser formalizada e divulgada a todos os usuários que fazem uso dos ativos de informação. Deve-se utilizar uma visão metódica, criteriosa e técnica em seu desenvolvimento e elaboração, de forma que possam ser sugeridas alterações na configuração de equipamentos, na escolha de tecnologia, na definição de responsabilidades e, por fim, na elaboração das políticas com o perfil da empresa e dos negócios que ela pratica. Não podemos esquecer que ela deve expressar os anseios dos proprietários ou acionistas, que são responsáveis por decidir os destinos de todos os recursos da organização em relação ao uso da informação por todos aqueles que têm acesso a este bem.

Ainda pela ideia de Ferreira; Araújo (2008, p. 37) a política de segurança deve ser criada antes que ocorra um incidente de segurança, ou depois, para que não haja reincidências.

O entendimento daquilo que precisa ser protegido está além do simples hardware e software que compõem os sistemas, abrangendo, também, as pessoas e os processos de negócio. Deve-se considerar o hardware, software, dados e documentação, identificando de quem estes elementos necessitam ser protegidos. (FEREIRA; ARAÚJO, 2008, p. 37).

Assevera Beal (2005, p. 43),

A elaboração de uma política de segurança (PSI) representa um passo fundamental no estabelecimento de um sistema de gestão de segurança da informação eficaz. A PSI é o documento que registra os princípios e as diretrizes de segurança adotado pela organização, a serem observados a todos os sistemas de informação e processos corporativos. A PSI estabelece as linhas-mestras a serem seguidas na implementação da segurança da informação, formalizando todos os aspectos relevantes para a proteção, o controle e o monitoramento de seus ativos de informação. Por meio dela a direção da organização demonstra seu comprometimento com a proteção da informação, e cria a base para a colaboração de todos os integrantes com os processos de identificação e tratamento dos riscos.

OBJETIVOS DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Beal (2005, p. 49) traz por ideia que a medida principal de uma Política de Segurança da Informação (PSI) deve ser de caráter preventivo, ou seja, os eventuais riscos devem ser premeditadamente verificados e eliminados. Pode-se dizer:

De forma geral, aas estruturas organizacionais conhecem limites das atribuições e responsabilidades dentro de suas áreas de atuação e os riscos envolvidos, mesmo quando não existem normas a respeito da segurança. As

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2953

medidas de prevenção são, em princípio, essencialmente de cunho normativo. (BEAL, 2005, p. 49)

A Norma ABNT NBR ISO/IEC 27002 (2005, p.08) traz por objetivo:

Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes. Convém que a direção estabeleça uma clara orientação da política, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização.

Ainda sobre a Norma ABNT NBR ISO/IEC 27002 (2005, p. xii e xiii) são fatores críticos de sucesso de uma política de segurança da informação: a) política de segurança da informação, objetivos e atividades, que reflitam os objetivos de negócio; b) uma abordagem e uma estrutura para a implementação, manutenção, monitoramento e melhoria da segurança da informação que seja consistente com a cultura organizacional; c) comprometimento e apoio visível de todos os níveis gerenciais; d) um bom entendimento dos requisitos de segurança da informação, da análise/avaliação de riscos e da gestão de risco; e) divulgação eficiente da segurança da informação para todos os gerentes, funcionários e outras partes envolvidas para se alcançar a conscientização; f) distribuição de diretrizes e normas sobre a política de segurança da informação para todos os gerentes, funcionários e outras partes envolvidas; g) provisão de recursos financeiros para as atividades da gestão de segurança da informação; h) provisão de conscientização, treinamento e educação adequados; i) estabelecimento de um eficiente processo de gestão de incidentes de segurança da informação; j) implementação de um sistema de medição, que seja usado para avaliar o desempenho da gestão da segurança da informação e obtenção de sugestões para a melhoria. CONCEITOS RELACIONADOS À SEGURANÇA DA INFORMAÇÃO ATIVO

“Ativo é todo elemento que compõe os processos que manipulam e processam a informação, a contar a própria informação, o meio em que ela é armazenada, os equipamentos em que ela é manuseada, transportada e descartada”. (SÊMOLA, 2003, p.45).

Conforme a Norma ABNT NBR ISO/IEC 27002 (2005, p.21) existem diversos tipos de ativos, incluindo: I. Ativos de informação: base de dados e arquivos, contratos e acordos, documentação de

sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas; II. Ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários; III. Ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos; IV. Serviços: serviços de computação e comunicações, utilidades gerais, por exemplo, aquecimento, iluminação, eletricidade e refrigeração; V. Pessoas e suas qualificações, habilidades e experiências; VI. Intangíveis, tais como a reputação e imagem da organização. CLASSIFICAÇÃO DOS ATIVOS DE INFORMAÇÕES

De acordo com Ferreira; Araújo (2008, p. 78) classificar a informação é o processo onde se estabelece o grau de importância das informações ao que se refere ao negócio. Quanto mais decisiva, importante e estratégica para o negócio, maior será sua importância. A classificação deve ser realizada constantemente referente a qualquer meio de armazenamento.

Conforme a Norma ABNT NBR ISO/IEC 27002 (2005, P. 23),

Convém que a classificação da informação e seus respectivos controles de proteção levem em consideração as necessidades de compartilhamento ou restrição de informações e os respectivos impactos nos negócios, associados com tais necessidades. Convém que as diretrizes de classificação incluam convenções para a classificação inicial e reclassificação ao longo tempo, de acordo com algumas políticas de controle de acesso predeterminadas. Convém que cuidados sejam tomados com a quantidade de categorias de classificação e com os benefícios obtidos pelo seu uso. Esquemas excessivamente complexos podem tornar o uso incômodo e ser inviáveis economicamente ou impraticáveis. Convém que atenção especial seja dada na interpretação dos rótulos de classificação sobre documentos de outras organizações, que podem ter definições diferentes para rótulos iguais ou semelhantes aos usados.

De acordo com a Norma ABNT NBR ISO/IEC 27002 (2005, p. 21),

Convém que todos os ativos sejam claramente identificados e um inventário de todos os ativos importantes seja estruturado e mantido. Convém que a organização identifique todos os ativos e documente a importância destes ativos. Convém que o inventário do ativo inclua todas as informações necessárias que permitam recuperar

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2954

de um desastre, incluindo o tipo de ativo, formato, localização, informações sobre cópias de segurança, informações sobre licenças e a importância do ativo para o negócio. Convém que o inventário não duplique outros inventários desnecessariamente, porém ele deve assegurar que o seu conteúdo está coerente.

Adicionalmente, convém que o proprietário e a classificação da informação sejam acordados e documentados para cada um dos ativos. Convém que, com base na importância do ativo, seu valor para o negócio e a sua classificação de segurança, níveis de proteção proporcionais à importância dos ativos sejam identificados.

Para ter como parâmetro a classificação dos ativos, pode-se realizar um inventário como no Quadro

1 a seguir exemplificado:

Quadro 1: Inventário de ativos NATUREZA DO

ATIVO ATIVOS DA INFORMAÇÃO

Informação

• Banco de dados e arquivos magnéticos • Documentação de sistemas e manual do usuário • Material de treinamento • Procedimentos operacionais de recuperação • Planos de continuidade

Documentos em papel • Contratos • Documentação de empresa • Relatórios confidenciais

Software

• Aplicativos • Sistemas operacionais • Ferramentas de desenvolvimento • Utilitários do sistema

Físico

• Servidores, desktops e notebooks • Impressoras e copiadoras • Equipamentos de comunicação • Mídias magnéticas • Gerador, no-break e ar-condicionado • Móveis, prédios e salas

Pessoa • Empregados, estagiários, terceiros e fornecedores

Serviço ou atividade • Computação (aplicação de patches, backup) • Comunicação (ligações telefônicas, videoconferências) • Utilidades gerais

Fonte: Ferreira; Araújo (2008, p. 78 e 79)

Segundo Ferreira; Araújo (2008, p. 79) é necessário conhecer as atividades realizadas, processos e compreender o negócio da organização para se dar início ao processo de classificação. RISCO

Assevera Moreira (2001, p. 21):

Todos os ativos da empresa estão sujeitos a vulnerabilidade em maior ou menor escala e, neste caso, estas vulnerabilidades proporcionam riscos

para a empresa, e são causados muitas vezes por falhas nos seus controles. Logo, podemos dizer que os riscos surgem em decorrência da presença de fraqueza e, por conseguinte, vulnerabilidade.

“Risco é a probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando possivelmente, impacto ao negócio.” (SÊMOLA, 2003, p 50).

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2955

VULNERABILIDADE Afirmam Ferreira; Araújo (2008, p. 171) se

torna uma vulnerabilidade toda fraqueza que pode ser explorada de forma acidental ou intencional.

Conforme Sêmola afirma (2003, p.48), Vulnerabilidade é a fraqueza presente ou associada a ativos que manipulam e/ou processam informações que, ao ser explorada por ameaças, permite ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios da segurança da informação: confidencialidade, integridade e disponibilidade. As vulnerabilidades por si só não provocam incidentes, pois são elementos passivos necessitando para tanto de um agente causador ou condição favorável, que são ameaças.

AMEAÇA

Ferreira; Araújo (2008, p. 171) afirma dar-se por ameaça a possibilidade de uma vulnerabilidade ser explorada de forma eficaz por um invasor ou evento inesperado.

Dispõe Sêmola (2003, p. 47 e 48):

Ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidade, provocando perdas de confidencialidade, integridade e disponibilidade e, consequentemente, causando impactos aos negócios de uma organização. Classificando as ameaças quanto a sua intencionalidade, elas podem ser divididas nos seguintes grupos: • Naturais – Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremoto, tempestades eletromagnéticas, maremotos, aquecimento, poluição etc. • Involuntárias – Ameaças inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causadas por acidentes, erros, falta de energia etc. • Voluntárias – Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários.

ATAQUE

Ferreira; Araújo (2008, p. 171) define por ataque através de duas perspectivas sendo a primeira em relação à tentativa por forma maliciosa de obter acesso não autorizado a uma informação comprometendo a tríade confidencialidade, integridade e a disponibilidade; a segunda se baseia apenas na obtenção de alguma informação por suporte ou consulta, mas de maneira que burle a segurança.

Fato (evento) decorrente da ação de uma ameaça, que explora uma ou mais vulnerabilidades, levando à perda de princípios da segurança da informação: confidencialidade, integridade e disponibilidade.

Um incidente gera impactos aos processos de negócios da empresa sendo ele o elemento a ser evitado em uma cadeia de gestão de processos e pessoas. (SÊMOLA, 2003, p. 50)

Conforme a Cartilha Cert.br (2012, p. 17) os motivos pelos quais são realizados os ataques podem ser diversos desde diversão, prestígio ou até mesmo por ideologia, visando diversos alvos e utilizando variadas técnicas.

Conforme encontra-se na Cartilha Cert.br (2012, p. 17 e 18),

Demonstração de poder : mostrar a uma empresa que ela pode ser invadida ou ter os serviços suspensos e, assim, tentar vender serviços ou chantageá-la para que o ataque não ocorra novamente. Prestígio : vangloriar-se, perante outros atacantes, por ter conseguido invadir computadores, tornar serviços inacessíveis ou desfigurar sites considerados visados ou difíceis de serem atacados; disputar com outros atacantes ou grupos de atacantes para revelar quem consegue realizar o maior número de ataques ou ser o primeiro a conseguir atingir um determinado alvo. Motivações financeiras : coletar e utilizar informações confidenciais de usuários para ampliar golpes. Motivações ideológicas : tornar inacessível ou invadir sites que divulguem conteúdo contrário à opinião do atacante; divulgar mensagens de apoio ou contrários a uma determinada ideologia. Motivações comerciais : tornar inacessível ou invadir sites e computadores de empresas concorrentes, para tentar impedir o acesso dos clientes ou comprometer a reputação destas empresas.

Para alcançar algum dos objetivos citados, os atacantes podem utilizar de alguma das principais técnicas de exploração de vulnerabilidades ainda segundo a Cartilha Cert.br (2012, p. 18 à 21):

Varredura em redes ( Scan): Varredura em redes, ou scan, é uma técnica que consiste em efetuar buscas minuciosas em redes, com o objetivo de identificar computadores ativos e coletar informações sobre eles como, por exemplo, serviços disponibilizados e programas instalado. Com base nas informações coletadas, é possível associar possíveis vulnerabilidades aos serviços disponibilizados e aos programas instalados nos computadores ativos detectados. Falsificação de e-mail ( E-mail spoofing): Falsificação de e-mail, ou e-mail spoofing é uma técnica que consiste em alterar campos do cabeçalho de um e-mail, de forma a aparentar que foi enviado de uma determinada origem quando, na verdade, foi enviado de outra. Interceptação de tráfego ( Sniffing): Interceptação de tráfego, ou sniffing, é uma técnica que consiste em inspecionar os dados trafegados

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2956

em redes de computadores, por meio de uso de programas específicos chamados de sniffers. Força bruta ( Brute force): Um ataque de força bruta, ou brute force, consiste em adivinhar, por tentativa e erro, um nome de usuário e senha e, assim, executar processos e acessar sites, computadores e serviços em nome e com os mesmos privilégios deste usuário. Desfiguração de página ( Defacement): Desfiguração de página, defacement ou pichação, é uma técnica que consiste em alterar o conteúdo da página Web de um site. Negação de serviço ( DoS e DDoS): Negação de serviço, ou DoS (Denial of Service), é uma técnica pela qual um atacante utiliza um computador para tirar de operação um serviço, um computador ou uma rede conectada à internet. Quando utilizada de forma coordenada e distribuída, ou seja, quando um conjunto de computadores é utilizado no ataque, recebe o nome de negação de serviço distribuído, ou DDoS (Distributed denial of Service).

A Cartilha Cert.br (2012, p. 23), informa que os ataques podem ser realizados através de códigos maliciosos (malware) que são desenvolvidos com o intuito de executar ações que causem danos a um ou a um conjunto de computadores. Estes podem explorar vulnerabilidades que existem em programas instalados no computador; infecção através de mídias removíveis que estejam infectadas, sendo pen-drives os mais comuns; pela utilização de navegadores vulneráveis, o acesso a sites maliciosos; ataques diretos pela invasão do computador e inserção de códigos maliciosos; arquivos executáveis contidos em mensagens eletrônicas.

Conforme a Cartilha Cert.br (2012, p. 24 à 29), seguem alguns dos principais códigos maliciosos (malware) existentes: Vírus : Vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos. Worm: é um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador.

Bot e botnet: é um programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente. Possui processo de infecção e propagação similar ao do worm, ou seja, é capaz de se propagar automaticamente, explorando vulnerabilidades existentes em programas instalados em computadores. Spyware: é um programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas para terceiros. Backdoor: é um programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços criados ou modificados para este fim. Cavalo de Troia ( Trojan): é um programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário. Rootkit: é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido.

MATRIZ DE RISCO

“A melhor forma de determinar o grau de risco é relacionar em detalhes quais seriam os impactos para a organização, se uma ameaça conseguir explorar uma vulnerabilidade”. (FERREIRA; ARAÚJO, 2008, p.177)

Assevera Sêmola (2003, p. 112),

Calculada a probabilidade e severidade de uma ameaça, explorar cada uma das vulnerabilidades encontradas em cada ativo, obtemos o nível de risco final de cada ativo. De posse desses resultados parciais, podemos projetar o nível de risco de cada processo de negócio, considerando os riscos de cada ativo que o sustenta. A partir desse momento, podemos estimar o risco do negócio como um todo, calculando de forma ponderada os riscos de cada um dos processos de que o negócio que o suporta.

O nível de probabilidade de uma ocorrência, pode ser expressado conforme o Quadro 2:

Quadro 2: Definição do nível de probabilidade

NÍVEL DEFINIÇÃO

Alto

A fonte de ameaça está altamente motivada e possui conhecimento suficiente para a execução do ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada são ineficazes.

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2957

Médio

A fonte de ameaça está motivada e possui conhecimento suficiente para a execução do ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada são eficazes.

Baixo

A fonte de ameaça não está altamente motivada e não possui conhecimento suficiente para a execução do ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada são eficazes.

Fonte: Ferreira; Araújo (2008, p. 177)

“Alguns impactos podem ser medidos quantitativamente por meio da determinação da perda financeira e custo para a realização de manutenção corretiva”. (FERREIRA; ARAÚJO, 2008, p. 178)

O Quadro 3 a seguir especifica as categorias de impacto:

Quadro 3: Definição do nível de impacto

NÍVEL DEFINIÇÃO

Alto • Perda significante dos principais ativos e recursos • Perda da reputação, imagem e credibilidade • Impossibilidade de continuar com as atividades de negócio

Médio • Perda dos principais ativos e recursos • Perda da reputação, imagem e credibilidade

Baixo • Perda de alguns dos principais ativos e recursos • Perda da reputação, imagem e credibilidade

Fonte: Ferreira; Araújo (2008, p. 178)

Como podemos notar no Quadro 4 a seguir, “o risco pode ser determinado pela multiplicação da classificação da probabilidade de ocorrência versus o impacto da organização”. (FERREIRA; ARAÚJO, 2008, p. 179)

Quadro 4: Matriz do nível de risco

PROBABILIDADE

IMPACTO

Baixo Médio Alto

-50 -50 -100

Alto (1,0) Baixo Médio Alto

10 x 1,0 = 10 50 x 1,0 = 50 100 x 1,0 = 100

Médio (0,5) Baixo Médio Médio

10 x 0,5 = 5 50 x 0,5 = 25 100 x 0,5 = 50

Baixo (0,1) Baixo Baixo Baixo

10 x 0,1 = 1 50 x 0,1 = 5 100 x 0,1 = 10

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2958

Escala de risco:

• Alto – pontuação entre 51 e 100

• Médio – pontuação entre 11 e 50

• Baixo – pontuação entre 1 e 10

Fonte: Ferreira; Araújo (2008, p. 179) “Após a determinação da matriz de riscos, deve ser especificada a descrição do nível do risco (Alto,

Médio e Baixo), bem como as ações necessárias para diminuí-lo”. (FERREIRA; ARAÚJO, 2008, p. 180) Segue o Quadro 5 contendo as definições dos níveis de riscos:

Quadro 5: Definição do nível de risco

NÍVEL DO RISCO DESCRIÇÃO DO RISCO E AÇÕES NECESSÁRI AS

Alto

Se uma possibilidade de melhoria for avaliada como sendo de alto risco, existe necessidade imediata para contramedidas serem adotadas. Os sistemas podem continuar operando, entretanto, ações corretivas devem ser iniciadas o mais breve possível.

Médio Se uma possibilidade de melhoria for classificada como sendo de médio risco, ações corretivas estabelecidas em um plano de ação, devem ser realizadas em um curto período de tempo.

Baixo Se uma observação for classificada como sendo de baixo risco, os administradores e proprietários das informações devem avaliar a necessidade de efetuar manutenção corretiva ou assumir o risco.

Fonte: Ferreira; Araújo (2008, p.180)

SEGURANÇA DO AMBIENTE FÍSICO

Pinheiro (2008, p. 21) traz a ideia de que para coibir acessos físicos não autorizados e evitar danos aos equipamentos da empresa devem ser implementados processos e recursos de segurança.

A segurança física está diretamente relacionada aos aspectos associados a disponibilidade e acesso físico aos recursos computacionais, sejam esses recursos as próprias informações, seus meios de suporte e armazenamento ou os mecanismos de controle de acesso. Além disso, envolve as técnicas de preservação e recuperação das informações e seus meios de transmissão. (PINHEIRO, 2008, p. 22)

O objetivo da implementação da segurança no ambiente físico, conforme a Norma ABNT NBR ISO/IEC 27002 (2005, p. 32), consiste: Prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Convém que as instalações de processamento da informação críticas ou sensíveis sejam mantidas em áreas seguras, protegidas por perímetros de

segurança definidos, com barreiras de segurança e controles de acesso apropriados. Convém que sejam fisicamente protegidas contra o acesso não autorizado, danos e interferências. Convém que a proteção oferecida seja compatível com os riscos identificados.

“Pode-se obter proteção física criando uma ou mais barreiras físicas ao redor das instalações e dos recursos de processamento da informação da organização. ” (ABNT NBR ISO/IEC 27002:2005, p. 33).

CONTROLE DE ACESSO FÍSICO

É necessário que haja controle de acesso físico de maneira que haja restrição de acesso a locais e equipamentos de valor, observando a colocação de Pinheiro (2008, p. 23) não é necessária apenas a restrição de acesso de pessoas externas, mas também, muitas vezes, limitar o acesso de pessoas internas, considerando a funcionalidade desenvolvida e nível hierárquico. Sendo então, o objetivo de controle físico baseado na permissão de usuários autorizados a acessarem seus respectivos ambientes e a impossibilidade de acesso a ambientes não autorizados por usuários não pertinentes.

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2959

Ainda sobre a ideia de Pinheiro (2008, p.23)

Os sistemas de controle são desenvolvidos visando automatizar o processo de verificação de acesso físico ou ajudar em outras tarefas relativas à proteção de patrimônios críticos. Quando usados para autenticação, consistem de uma base de dados contendo informações sobre o nível de acesso dos usuários e um esquema para garantir a identificação dos mesmos.

Informam os itens “b” e “c” das Diretrizes para implementação da Norma ABNT NBR ISSO/IEC 27002 (2005, p. 33) b) O acesso às áreas em que são processadas ou armazenadas informações sensíveis seja controlado e restrito às pessoas autorizadas; convém que sejam utilizados controles de autenticação, por exemplo, cartão de controle de acesso mais PIN (personal identification number), para autorizar e validar todos os acessos; deve ser mantido de forma segura um registro de todos os acessos para fins de auditoria; c) Seja exigido que todos os funcionários, fornecedores e terceiros, e todos os visitantes, tenham alguma forma visível de identificação, e eles devem avisar imediatamente o pessoal de segurança caso encontrem visitantes não acompanhados ou qualquer pessoa que não esteja usando uma identificação visível;

SEGURANÇA DO AMBIENTE LÓGICO

“Segurança do ambiente lógico: Diretrizes para garantir a operação correta e segura dos recursos computacionais e proteger a integridade dos serviços.” (BEAL, 2005, p45)

Pela ideia de Pinheiro (2008, p. 22), a segurança lógica de um ambiente refere-se aos procedimentos, conjuntos de meios, para que haja restrições visando a integridade e controle de acesso aos ambientes lógicos dos recursos utilizados, tanto contidos nos servidores quanto computadores, para que não sejam movidos, alterados ou manipulados por pessoas sem autorização.

Pela Norma ABNT NBR ISO/IEC 27002 (2005, p. 65)

Convém que o acesso à informação, recursos de processamento das informações e processos de negócios sejam controlados com base nos requisitos de negócio e segurança da informação. Convém que as regras de controle de acesso levem em consideração as políticas para autorização e disseminação da informação. CONTROLE DE ACESSO LÓGICO

Pinheiro (2008, p. 26) informa que o controle de acesso lógico implica em afirmar que o usuário é quem diz ser, através de autenticação do usuário por senha. Tal identificação deve ser única, ou seja, cada usuário possui sua senha de identificação. O objetivo principal do controle de

acesso lógico dá-se por restringir os usuários a acessos necessários apenas à execução de suas tarefas o que implica na existência de meios que impeçam a execução de transações não pertinentes as próprias responsabilidades.

Ainda por Pereira (2008, p. 26)

Para cumprir esse objetivo, os controles de acesso lógico devem atender a procedimentos formais que contemplem todo o ciclo de vida do acesso do usuário, desde seu registro inicial, o gerenciamento dos privilégios e senhas, até sua exclusão. Estes procedimentos devem estar em conformidade com a política de disseminação da informação.

De acordo com a Norma ABNT NBR ISO/IEC 27002 (2005, p. 66)

Convém que procedimentos formais sejam implementados para controlar a distribuição de direitos de acesso a sistemas de informação e serviços. Convém que procedimentos cubram todas as fases do ciclo de vida de acesso do usuário, da inscrição inicial como novos usuários até o cancelamento final do registro de usuários que já não requerem acesso a sistemas de informação e serviços. Convém que atenção especial seja dada, onde apropriado, para a necessidade de controlar a distribuição de direitos de acesso privilegiado que permitem os usuários mudar controles de sistemas. Convém que exista um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços.

ENGENHARIA SOCIAL

Conforme a ideia de Rufino (2002, p. 26) para a execução da prática de engenharia social, basta ter um bom poder de persuasão e um breve conhecimento psicológico comportamental. É surpreendente sua eficiência e não costuma deixar rastros que possam identificar o autor da ação. Existem várias formas de obter informações valiosas para serem usadas nesse tipo de ataque e a internet é a fonte mais impressionante de informações, onde pode-se saber desde o básico como dados pessoais de determinado funcionário ao alto nível de informações como históricos de empregos, listas de discussões e etc. Um meio mais comum de obtenção de informações é através de perguntas bem-feitas, considerando que quanto mais baixo o nível hierárquico do funcionário na empresa, maior as chances de colaboração com ataques por engenharia social.

Informado pela Cartilha Cert.br (2012, p. 115) se define por:

Técnica por meio da qual uma pessoa procura persuadir outra a executar determinadas ações. No contexto desta Cartilha, é considerada uma

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2960

prática de má-fé ou abusar da ingenuidade e da confiança de outras pessoas, a fim de aplicar golpes, ludibriar ou obter informações sigilosas e importantes. O popularmente conhecido “conto do vigário” utiliza engenharia social. NORMA ABNT ISO/IEC 27002:2005

Conforme Ferreira; Araújo (2008, p.52) uma das metodologias e melhores práticas largamente conhecidas e aplicáveis em segurança da informação e governança para o ambiente tecnológico é a NBR ISSO/IEC 27002:2005 (Antiga NBR ISSO/IEC 17799). Houve a indispensabilidade da criação de um modelo padrão devido grande necessidade de atualização dos modelos de estruturas de controle tecnológicos, criados e implementados nas organizações, gerando dificuldades para as áreas de TI manterem seus modelos próprios.

Objetivos

A Norma ABNT NBR ISO/IEC 27002 (2005, p. 01), cujo título Tecnologia da informação – Técnicas de Segurança – Código de prática para a gestão da segurança da informação, estabelece:

[...] diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta Norma provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação. Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados por meio da análise/avaliação de riscos. Esta Norma pode servir como um guia prático para desenvolver os procedimentos de segurança da informação da organização e as eficientes práticas de gestão da segurança, e para ajudar a criar confiança nas atividades interorganizacionais.

Estrutura

A norma ABNT NBR ISO/IEC 27002:2005 possui uma estrutura de informações para melhor atender às necessidades, conforme Ferreira; Araújo (2008, p. 55 e 56):

A norma está distribuída da seguinte forma:

1. Escopo 2. Termos e definições 3. Estrutura da norma

4. Avaliação e tratamento dos riscos 5. Política de segurança da informação 6. Organizando a segurança da informação 7. Gestão de ativos 8. Segurança em recursos humanos 9. Segurança física e do ambiente 10. Gestão das operações e comunicações 11. Controle de acesso 12. Desenvolvimento e manutenção de sistemas 13. Gestão de incidentes 14. Gestão da continuidade dos negócios 15. Conformidade

CONTROLES E DIRETRIZES

Assevera a Norma ABNT NBR ISO/IEC 27002:2005 (2005, p. xiii)

Esta Norma pode ser considerada como um ponto de partida para o desenvolvimento de diretrizes específicas para a organização. Nem todos os controles e diretrizes contidos nesta Norma podem ser aplicados. Além disto, controles adicionais e recomendações não incluídos nesta Norma podem ser necessários. Quando os documentos são desenvolvidos contendo controles ou recomendações adicionais, pode ser útil realizar uma referência cruzada para as seções desta Norma, onde aplicável, para facilitar a verificação da conformidade por auditores e parceiros do negócio.

ESTUDO DE CASO EMPRESA

A empresa surgiu em 1992, situada em um escritório no bairro guará II Distrito Federal comercializando apenas ferragens e acessórios que compõe a fabricação de móveis.

A MG Comércio de Ferragens tem atuação em todo território local na função de comercialização de madeira de lei e ferragens em geral para fabricação de móveis, oferecendo sistema de plano de corte, atendendo tanto clientes pessoa jurídica quanto clientes pessoa física.

ESTRUTURA FÍSICA

As áreas dos ambientes a serem analisados estão situadas no térreo. Sendo: • Balcão de vendas • Sala do Proprietário/Gerente • Financeiro/Sala do servidor

A figura 01 mostra a Fachada da empresa sem nenhum tipo de controle ou monitoramento.

Figura 01 – Fachada da Empresa.

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2961

Fonte: Os autores

A Empresa possui loja própria em um lote situado no Polo de Modas e um galpão para

armazenamento de materiais situado na Colônia agrícola IAPI, ambos no bairro Guará II. Os setores são divididos em sala do proprietário/gerente, balcão de vendas e financeiro/servidor. A empresa funciona de 8:00h as 18:00h, de segunda à sexta e aos sábados das 8:00h as 13:00h

SEGURANÇA FÍSICA DA EMPRESA

Pode-se ver que a empresa possui apenas trancas comuns para segurança dos portões de acesso

(figura 02).

Figura 02 – Portões da empresa

Fonte: Os autores

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2962

O Balcão de vendas serve também como recepção. Possui câmera na parte interna (figura 03) onde seria possível filmar a entrada, porém a câmera não funciona.

Figura 03 - Câmera de vigilância

Fonte: Os autores

A porta para acesso ao balcão de vendas é improvisada (figura 04), permanece aberta e não possui

tranca, não inibindo qualquer ação maliciosa.

Figura – 04 Porta do balcão de vendas

Fonte: Os autores

A disposição dos computadores está inadequada (figura 05), sendo possível o acesso ou visualização por qualquer pessoa que não esteja autorizada a visualizar informações importantes.

Figura 05- Estrutura balcão de vendas

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2963

Fonte: Os autores

Um dos gabinetes do balcão de vendas (figura 06) encontra-se aberto, expondo os hardwares à poeira

ou qualquer dano físico.

Figura 06 – Gabinete aberto

Fonte: Os autores

A sala do financeiro/servidor não possui qualquer identificação (figura 07) e o acesso é facilitado à entrada de qualquer pessoa não havendo qualquer controle de acesso à mesma.

A Fiação, passando por cima da porta, fica exposta, causando risco de incêndio.

Figura 07 – Porta sala do servidor/financeiro

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2964

Fonte: Os autores

A sala do servidor/financeiro possui um rack de parede simples (figura 08) para armazenar o switch e o roteador WiFi.

O rack possui tranca, mas não está em um espaço físico adequado e seguro, possui fios expostos vulneráveis a danos físicos e incêndio.

O espaço do servidor também serve como deposito de objetos de limpeza e objetos pessoais do colaborador do financeiro. Possui sacos plásticos próximos a rede elétrica, podendo ocasionar incêndio.

Figura 08 – Rack simples

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2965

Fonte: Os autores

Todas as informações importantes de negócios são guardadas em gavetas e armários que não

possuem nenhum tipo de tranca ou segurança (figura 09) facilitando o acesso a qualquer pessoa, funcionário ou cliente.

O espaço onde ficam documentos importantes também armazena, na mesma sala, objetos pessoais dos colaboradores, mochila vassoura e vários fios expostos passando perto de informações valiosas, causando risco de incêndio e perda de dados importantes.

Figura 09 – Armário financeiro

Fonte: Os autores

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2966

O gaveteiro, onde são guardados outros documentos importantes, não possui tranca (figura 10) o que não garante a segurança e facilita o acesso por terceiros.

Figura 10 – Gaveteiro da sala do gerente

Fonte: Os autores

A mesa do Proprietário não segue a diretriz de mesa limpa, contendo garrafas de água próximas aos

documentos importantes (figura 11), facilitando a perda de informações valiosas e também possibilitando danos aos equipamentos.

Documentos estão em cima da impressora, gerando um risco muito alto de perda ou danos à documentos importantes que estão sobre a mesa.

Figura 11 – Mesa do proprietário

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2967

Fonte: Os autores

Até os dias atuais, a MG Comércio não possui uma política ou ferramenta de backup ou cópias de

segurança, mantendo as suas informações apenas em papéis. Estes, são arquivados em pastas e armazenadas em armários sem qualquer porta ou tranca para garantir a segurança e integridade dos documentos caso ocorra um desastre ou falha do sistema.

O local de armazenamento das pastas é de fácil acesso (figura 12) e encontram-se expostos perto da entrada e saída de pessoas e não há monitoramento eficaz caso ocorra uma tentativa de furto de informações.

Documentos em cima do gabinete do caixa, anotações afixadas na parede, de fácil acesso a qualquer pessoa.

Figura 12 - arquivo físico da empresa

Fonte: Os autores

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2968

Pode ser visto o setor financeiro/servidor com uma infraestrutura desorganizada e possui fios expostos, próximos a documentos de grande importância para a empresa, com alto risco de incêndio.

O servidor permanece em local de fácil acesso sem nenhuma segurança, sustentado apenas por suportes frágeis em madeira o que pode acarretar a queda e dano do equipamento.

O servidor fica no mesmo espaço que a sala do financeiro (figura 13) não havendo uma sala separada para cada um, deixando o ambiente desorganizado, ocasionando riscos à segurança de informação da empresa.

O espaço serve também como depósito de produtos para limpeza da loja, e possui um saco plástico próximo a fios expostos com alto rico de incêndio.

Figura 13 - O servidor da empresa

Fonte: Os autores

A Mesa do financeiro não segue a diretriz de mesa limpa (figura 14), contendo documentos

importantes expostos sobre a mesa causando risco às informações importantes.

Figura 14 – Mesa do financeiro

Fonte: Os autores

O Modem não fica dentro do rack (figura 15) o mesmo permanece pendurado na parede com risco de queda danificando o aparelho e próximo a fios expostos podendo causar interferência.

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2969

Os fios da rede elétrica estão misturados com os fios de telecomunicação podendo causar interferência e perda de desempenho na rede.

Figura 15 – Modem sala do servidor

Fonte: Os autores

A empresa possui apenas o extintor no estoque de mercadorias recebidas e o mesmo está situado

ao fundo da loja, longe dos computadores (figura 16) e o acesso a ele poderia até ser difícil caso ocorra incêndio visto que está próximo de madeiras que ajudariam a alastrar o fogo com rapidez.

Figura 16 – Extintor de incêndio

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2970

Fonte: Os autores

SEGURANÇA LÓGICA DA EMPRESA A Empresa não utiliza qualquer sistema de verificação de segurança, e ou, faz backup lógico de seus

arquivos. Não possui ponto eletrônico ou qualquer forma para comprovar o tempo de trabalho do colaborador.

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2971

O Acesso aos computadores não exige senha, possuindo apenas o usuário administrador (figura 17) permitindo o livre acesso para qualquer colaborador ou cliente.

Figura 17 – Tela de login

Fonte: Os autores A empresa utiliza Sistema Operacional Windows 7 como padrão para as máquinas, porém a máquina

para emissão de nota fiscal eletrônica possui Windows Vista (figura 18) e a Microsoft não presta mais suporte ao Windows Vista deixando o sistema operacional vulnerável pois não possui atualizações de segurança.

Figura 18 – Sistema operacional Windows Vista

Fonte: Os autores

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2972

O acesso a sites é liberado pois não existe qualquer bloqueio ou firewall instalado na empresa, permitindo também qualquer tipo de download.

As estações possuem antivírus gratuito (figura 19) não garantindo a segurança como um software pago.

Figura 19 – Software Antivírus

Fonte: Os autores

A empresa utiliza diversos sistemas no seu dia-a-dia. Sendo eles: CORTE CERTO – Sistema de otimização de planejamento de corte evitando desperdício do corte na

madeira (figura 20).

Figura 20 – Software Corte Certo

Fonte: Os autores

Clipp Store – Sistema para gestão de comércio “Automatizando e otimizando processos, atendendo as necessidades de sua empresa e a legislação fiscal. ” (figura 21).

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2973

Figura 21 – Software Clipp Store.

Fonte: Os autores

A empresa também utiliza da ferramenta do Banco do Brasil em alinhamento com a ferramenta Clipp Store para a realização de transações comerciais (figura22).

Conforme visto no site do Banco do Brasil (2017): Com o Gerenciador Financeiro, é possível transferir valores entre contas correntes, efetuar pagamentos, emitir DOC/TED, realizar aplicações financeiras, enviar a relação de Faturamento Bruto Anual, liberar crédito e controlar sua carteira de cobrança, tudo de forma on-line. E ainda, como o Gerenciador Financeiro, a gestão das contas a pagar e a receber fica muito mais fácil. Com os aplicativos BB, o recebimento de valores referentes às vendas dos produtos e serviços e o pagamento de seus compromissos são feitos de forma eletrônica, rápida e segura.

Figura 22 – Gerenciador financeiro

Fonte: Os autores

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2974

Ativos A MG Comércio de ferragens não possui um sistema de inventários de ativos. Os autores juntamente com o proprietário fizeram o inventário da empresa pela primeira vez, de ativos

físicos e ativos lógicos. Todos os ativos físicos da empresa foram listados e catalogados (quadro 06) para um melhor controle.

Quadro 06: Ativos Físicos Área

Sala do Proprietário

Área Caixa/Servidor

Balcão De Vendas

Total

Computadores 2 2 2 6 Armários 2 2 0 4 Pen Drives 1 1 0 2 Impressoras 1 2 1 4

Fonte: Os autores

O inventário de ativos lógicos (quadro 07) foi realizado pelos autores juntamente com o proprietário da empresa, para um controle de uso dos softwares ativos existentes no ambiente da organização.

Quadro 07: Ativos Lógicos

Sala do Proprietário

Área Caixa/Servidor

Balcão De Vendas

Total

Sistema Operacional (Windows 7)

1

2

2

5

Sistema Operacional (Windows Vista)

1 0

0

1

Microsoft Office 2010

2 2 2 6

Corte Certo 0 0 2 2

Gerenciador financeiro do BB

1 0 0 1

Fonte: Os autores

MATRIZ DE RISCO SEGURANÇA FÍSICA

Segue a matriz de risco física (quadro 08), desenvolvida e baseada nas vulnerabilidades encontradas na empresa MG Comércio, sendo elas classificadas em probabilidade, impacto e risco.

Com níveis de risco sendo eles: Baixo, Médio e alto. Baseado sempre em impacto 100 e utilizando multiplicadores de probabilidade 0,5 para médio 0,1 para baixo e 1,0 para alto.

Quadro 08: Matriz do nível de risco segurança Física Item Ameaça Probabilidade Impacto Risco

1

Disposição dos computadores do balcão de vendas é adequada?

0,5

100

Médio 50

2

Os funcionários ou visitantes possuem identificação?

0,5

100

Médio 50

3

Possui sistema ou equipamentos para combater incêndio?

0,1

100

Baixo

10 4

A sala do servidor é protegida contra acesso não autorizado?

1,0

100

Alto 100

5

Possui fios de energia ou de rede expostos?

1,0

100

Alto 100

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2975

6

A disposição da sala do servidor e switch são adequadas?

1,0

100

Alto 100

7

Possui monitoramento CFTV com DVR nas partes internas e externas?

1,0

100

Alto 100

8

Contém documentos importantes expostos sobre as mesas?

0,5

100

Médio

50

9

Existe uma Política de Segurança da Informação?

1,0

100

Alto 100

Fonte: Os autores SEGURANÇA LÓGICA

Matriz de risco de segurança lógica0 baseada nas vulnerabilidades encontradas na empresa MG Comércio, foram classificadas em probabilidade, impacto e risco. Impacto sempre 100 e utilizando multiplicadores 1,0 para alto, 0,5 para médio e 0,1 para baixo, após essa multiplicação avaliamos o grau de risco a empresa, como: Alto, médio e baixo. Quadro 09: Matriz do nível de risco segurança Lógica

Item Ameaça Probabilidade Impacto Risco

1

Todos os Colaboradores possuem login e senha para acesso ao sistema?

1,0

100

Alto 100

2

Possui sistema de backup de informações?

1,0

100

Alto 100

3

Possui sistema de antivírus?

0,5

100

Médio

50 4

Utiliza sistema operacional atual com suporte do fabricante?

1,0

100

100 Alto

5

Possui gerenciamento de privilégios ao acesso?

1,0

100

100 Alto

6

Possui restrição de acesso a sites externos?

1,0

100

100 Alto

7

O acesso ao access point corporativo é aberto aos clientes?

1,0

100

100 Alto

Fonte: Os autores

ANÁLISE DA MATRIZ DE RISCO Após mensurar os riscos físico e lógico, segue análise dos itens: Matriz de Risco – Segurança Física (Quadro 08)

Item 01: Disposição dos computadores do balcão de vendas é adequada? Os computadores são mal posicionados, a tela está exposta e qualquer pessoa pode visualizar. Encontram-se logo à frente da entrada e estão vulneráveis a acesso não autorizado.

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2976

Aplicação da Norma ABNT NBR ISO/IEC 27002/2005 Segurança física e do ambiente Áreas seguras Segurança em escritórios, salas e instalações Convém que seja projetada e aplicada segurança física para escritórios, salas e instalações. b) as instalações-chave sejam localizadas de maneira e evitar o acesso do público; Segurança de equipamentos Instalação e proteção do equipamento Convém que os equipamentos sejam colocados no local ou protegidos para reduzir os riscos de ameaças e perigos do meio ambiente, bem como as oportunidades de acesso não autorizado. c) as instalações de processamento da informação que manuseiam dados sensíveis sejam posicionadas de forma que o ângulo de visão seja restrito, de modo a reduzir o risco de que as informações sejam vistas por pessoal não autorizado durante a sua utilização, e os locais de armazenagem sejam protegidos, a fim de evitar o acesso não autorizado. Item 02: Os funcionários ou visitantes possuem identificação? Os funcionários não possuem identificação visível como crachás ou uniformes, podendo haver confusão entre clientes e vendedores.

Aplicação da Norma ABNT NBR ISO/IEC 27002/2005 Segurança física e do ambiente Áreas seguras Controles de entrada física Convém que as áreas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso. c) seja exigido que todos os funcionários, fornecedores e terceiros, e todos os visitantes, tenham alguma forma visível de identificação, e eles devem avisar imediatamente o pessoal de segurança caso encontrem visitantes não acompanhados ou qualquer pessoa que não esteja usando uma identificação visível;

Item 03: Possui sistema ou equipamentos para combater incêndio? Não possui sistema instalado de combate contra incêndio e há apenas um extintor localizado no fundo da MG comércio de ferragens.

Aplicação da Norma ABNT NBR ISO/IEC 27002/2005

Segurança física e do ambiente Áreas seguras Proteção contra ameaças externas e do meio ambiente Convém que sejam projetadas e aplicadas proteção física contra incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e outras formas de desastres naturais ou causados pelo homem. c) os equipamentos apropriados de detecção e combate a incêndios sejam providenciados e posicionados corretamente. Item 04: A sala do servidor é protegida contra acesso não autorizado? Não há proteção adequada para o servidor e este encontra-se em ambiente de fácil acesso.

Aplicação da Norma ABNT NBR ISO/IEC 27002/2005 Segurança física e do ambiente Áreas seguras Controles de entrada física Convém que as áreas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso. b) acesso às áreas em que são processadas ou armazenadas informações sensíveis seja controlado e restrito às pessoas autorizadas; convém que sejam utilizados controles de autenticação, por exemplo, cartão de controle de acesso mais PIN (personal identification number), para autorizar e validar todos os acessos; deve ser mantido de forma segura um registro de todos os acessos para fins de auditoria;

Item 05: Possui fios de energia ou de rede expostos? Há fios de energia e de rede expostos o que pode acarretar danos físicos ou até mesmo iniciar um incêndio por curto circuito.

Aplicação da Norma ABNT NBR ISO/IEC 27002/2005

Segurança física e do ambiente Segurança de equipamentos Segurança do cabeamento Convém que o cabeamento de energia e de telecomunicações que transporta dados ou dá suporte aos serviços de informações seja protegido contra interceptação ou danos. a) linhas de energia e de telecomunicações que entram nas instalações de

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2977

processamento da informação sejam subterrâneas (ou fiquem abaixo do piso), sempre que possível, ou recebam uma proteção alternativa adequada; b) cabeamento de redes seja protegido contra interceptação não autorizada ou danos, por exemplo, pelo uso de conduítes ou evitando trajetos que passem por áreas públicas. Item 06: A disposição da sala do servidor e switch são adequadas?

As salas são de fácil acesso, permanecem abertas e não possuem chaves.

Aplicação da Norma ABNT NBR ISO/IEC

27002/2005 Segurança física e do ambiente Áreas seguras Perímetro de segurança física Convém que sejam utilizados perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) para proteger as áreas que contenham informações e instalações de processamento da informação. g) as instalações de processamento da informação gerenciadas pela organização devem ficar fisicamente separadas daquelas que são gerenciadas por terceiros. Segurança física e do ambiente Segurança de equipamentos Instalação e proteção do equipamento Convém que os equipamentos sejam colocados no local ou protegidos para reduzir os riscos de ameaças e perigos do meio ambiente, bem como as oportunidades de acesso não autorizado. c) os itens que exigem proteção especial devem ser isolados para reduzir o nível geral de proteção necessário;

Item 07: Possui monitoramento CFTV com DVR nas partes internas e externas? A MG Comércio de Ferragens possui câmeras instaladas nas entradas, porém não estão instaladas e em funcionamento.

Aplicação da Norma ABNT NBR ISO/IEC 27002/2005 Segurança física e do ambiente Áreas seguras Perímetro de segurança física f) sistemas adequados de detecção de intrusos, de acordo com normas regionais, nacionais e internacionais, sejam instalados e testados em intervalos regulares, e cubram todas as portas externas e janelas acessíveis; as áreas não

ocupadas devem ser protegidas por alarmes o tempo todo; também deve ser dada a proteção a outras áreas, por exemplo, salas de computadores ou salas de comunicações; Item 08: Contém documentos importantes expostos sobre as mesas? Há uma grande quantidade de documentos importantes espalhados pelas mesas, de fácil acesso e perto de garrafas de água.

Aplicação da Norma ABNT NBR ISO/IEC

27002/2005 Segurança física e do ambiente Segurança de equipamentos Instalação e proteção do equipamento Convém que os equipamentos sejam colocados no local ou protegidos para reduzir os riscos de ameaças e perigos do meio ambiente, bem como as oportunidades de acesso não autorizado. e) sejam estabelecidas diretrizes quanto a comer, beber e fumar nas proximidades das instalações de processamento da informação; Controle de acessos Responsabilidades dos usuários Política de mesa limpa e tela limpa Convém que seja adotada uma política de mesa limpa e papéis e mídias de armazenamento removível e política de tela limpa para os recursos de processamento da informação. a) informações do negócio sensíveis ou críticas, por exemplo, em papel ou em mídia de armazenamento eletrônicas, sejam guardadas em lugar seguro (idealmente em um cofre, armário ou outras formas de mobília de segurança) quando não em uso, especialmente quando o escritório está desocupado; Item 09: Existe uma Política de Segurança da Informação? Não há uma Política de Segurança de Informação criada baseada nos ativos da empresa MG Comércios de Ferragens.

Aplicação da Norma ABNT NBR ISO/IEC

27002/2005 Políticas de segurança da informação Política de segurança da informação Documento da política de segurança da informação Convém que um documento da política de segurança da informação seja aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2978

Convém que o documento da política de segurança da informação declare o comprometimento da direção e estabeleça o enfoque da organização para gerenciar a segurança da informação. Matriz de Risco – Segurança Lógica (Quadro 09)

Item 01: Todos os Colaboradores possuem login e senha para acesso ao sistema?

Usuários não possuem login e senha, o único usuário disponível na máquina é o usuário administrador e não exige senha.

Aplicação da Norma ABNT NBR ISO/IEC

27002:2005

Controle de acesso ao sistema operacional Procedimentos seguros de entrada no sistema (log-on) Identificação e autenticação de usuário Convém que todos os usuários tenham um identificador único (ID de usuário) para uso pessoal e exclusivo, e convém que uma técnica adequada de autenticação seja escolhia para validar a identidade alegada por um usuário. Convém que este controle seja aplicado para todos os tipos de usuários (incluindo o pessoal de suporte técnico, operadores, administradores de rede, programadores de sistema e administradores de banco de dados). Item 02: Possui sistema de backup de informações?

A empresa não possui qualquer unidade de backup interna ou externa e não utiliza qualquer ferramenta para o mesmo.

Aplicação da Norma ABNT NBR ISO/IEC

27002:2005

Gerenciamento das operações e comunicações Cópias de segurança Cópias de segurança das informações Convém que as cópias de segurança das informações e dos softwares sejam efetuadas e testadas regularmente conforme a política de geração de copias de segurança definida. Convém recursos adequados para a geração de cópias de segurança sejam disponibilizadas para garantir que toda a informação e software essenciais possam ser recuperados após um desastre ou a falha de uma mídia. Item 03: Possui sistema de antivírus?

As estações de trabalho da empresa possuem antivírus gratuito da AVAST como mostra

a (figura 20) atualizado automaticamente pelo programa.

Aplicação da Norma ABNT NBR ISO/IEC

27002:2005

Gerenciamento das operações e comunicações Proteção contra códigos maliciosos e códigos móveis Controle contra códigos maliciosos d) instalar e atualizar regularmente softwares de detecção e remoção de códigos maliciosos para o exame de computadores e mídias magnéticas, de forma preventiva ou de forma rotineira; convém que as verificações realizadas incluam: 1) verificação, antes do uso, da existência de códigos maliciosos nos arquivos em mídias óticas ou eletrônicas, bem como nos arquivos transmitidos através de redes; Item 04: Utiliza sistema operacional atual com suporte do fabricante? A empresa até o momento utiliza Windows Vista como sistema operacional em uma de suas estações, não recebendo suporte algum da Microsoft. O sistema operacional citado foi descontinuado e não oferece mais suporte ao usuário e nem atualizações de segurança.

Aplicação da Norma ABNT NBR ISO/IEC

27002:2005

Aquisição, desenvolvimento Segurança dos arquivos do sistema Controle de software operacional Convém que procedimentos para controlar a instalação de software em sistemas operacionais sejam implementados. Convém que software adquirido de fornecedores e utilizado em sistemas operacionais seja mantido num nível apoiado pelo fornecedor. Ao transcorrer do tempo, fornecedores de software cessam o apoio as versões antigas do software. Convém que a organização considere os riscos associados à dependência de software sem suporte.

Item 05: Possui gerenciamento de privilégios ao acesso?

A empresa não possui qualquer privilégio

para acesso ao servidor ou a rede, qualquer usuário tem acesso total as maquinas da rede e a instalação de programas de qualquer tipo.

Aplicação da Norma ABNT NBR ISO/IEC

27002:2005

Controle de acessos

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2979

Gerenciamento de acesso do usuário Gerenciamento de privilégios Convém que a concessão e o uso de privilégios sejam restritos e controlados. Convém que os sistemas de multiusuários que necessitam de proteção contra acesso não autorizado tenham a concessão de privilégios controlada por um processo de autorização formal. Convém que os seguintes passos sejam considerados. b) os privilégios sejam concedidos a usuários conforme a necessidade de uso e com base em eventos alinhados a política de controle de acesso (ver 11.1.1), por exemplo, requisitos mínimos para sua função somente quando necessário. e) desenvolvimento e uso de programas que não necessitam funcionar com privilégios sejam estimulados;

Item 06: Possui restrição de acesso a sites externos?

A empresa não possui firewall, serviço de proxy ou qualquer bloqueio para controle de acesso e nenhum tipo de monitoramento é feito.

Aplicação da Norma ABNT NBR ISO/IEC 27002:2005

Controle de acessos Controle de acesso a rede Controle de roteamento de redes Convém que seja implementado controle de roteamento na rede, para assegurar que as conexões de computador e fluxos de informação não violem a política de controle de acesso das aplicações do negócio. Os gateways de segurança podem ser usados para validar endereços de origem e destino nos pontos de controle de rede interna ou externa se o proxy e/ou a tecnologia de tradução de endereço forem empregados. Convém que os implementadores estejam conscientes da força e deficiências de qualquer mecanismo implementado. Convém que os requisitos de controle de roteamento das redes sejam baseados na política de controle de acesso (ver 11.1).

Item 07: O acesso ao access point corporativo é aberto aos clientes?

A rede sem fio interna é a mesma dos clientes, podendo haver falha na segurança ou utilização dos equipamentos conectados à rede. Nenhum controle de monitoramento de dados é feito por não possuir nenhuma ferramenta de controle.

Aplicação da Norma ABNT NBR ISO/IEC 27002:2005

Controle de acessos Controle de acesso à rede Segregação de redes Convém que grupos de serviços de informação, em grandes redes é dividir em diferentes domínios de redes lógicas, por exemplo, os domínios de redes internas de uma organização e domínios externos de uma rede, cada um protegido por um perímetro de segurança definido. Um conjunto de controles reguláveis pode ser aplicado em domínios de redes lógicas diferentes para adicionar mais segurança aos ambientes de segurança de rede, por exemplo, sistemas publicamente acessíveis, redes internas e ativos críticos. Convém que os domínios sejam definidos com base em uma análise/avaliação de riscos e os requisitos de segurança diferentes dentro de cada um dos domínios. Podem também ser segregadas redes usando a funcionalidade de dispositivo de rede, por exemplo, IP switching. Os domínios separados podem ser implementados controlando os fluxos dedados de rede, usando as capacidades de roteamento/chaveamento (routing/switching). (ABNT NBR PROPOSTA DE POLÍTICA DE SEGURANÇA TÍTULO DA POLÍTICA DE SEGURANÇA

POLÍTICA DE SEGURANÇA DA

INFORMAÇÃO FÍSICA E LÓGICA PARA A EMPREGA MG COMÉRCIO DE FERRAGENS INSTITUIÇÃO A QUE SE DESTINA

Proposta de política de segurança

designada à empresa MG Comércio de Ferragens

OBJETIVO DA POLÍTICA

Criar uma política de segurança da informação para a empresa com o intuito de minimizar os riscos e incidentes ao qual a empresa está exposta, criar padrões e regras a serem seguidas pelos colaboradores para proteção de informações da organização.

ABRANGÊNCIA DA POLÍTICA

A proposta visa englobar todos os setores da empresa para melhoria de seus resultados e assegurar à informação da empresa. Os colaboradores estarão envolvidos e comprometidos a colaborar com os novos padrões.

REFERÊNCIAS

A política de segurança da informação seguirá as diretrizes contidas na Norma ABNT NBR ISO/IEC 27002:2005: Tecnologia da informação - técnicas de segurança – código de prática para a gestão da segurança da informação . 2 ed., 2005 120 p.

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2980

DIRETRIZES DA POLÍTICA Segurança Física Os computadores devem ser melhor posicionados nas bancadas e protegidos por repartições laterais restringindo o ângulo de visão apenas às pessoas autorizadas. Os funcionários devem estar devidamente uniformizados e com crachás para a identificação. Visitantes devem ser devidamente identificados ao transitar pelo local. O não cumprimento desta diretriz, deve ser reportado diretamente à segurança. A empresa deverá disponibilizar equipamentos adequados de proteção contra incêndios e posicioná-los em local estratégico levando em consideração o tamanho do local, materiais que se encontram na empresa, conforme as normas vigentes. Servidores devem ser reposicionados à ambientes próprios, adequados e seguros. Toda instalação tecnológica de comunicação de dados e energia devem estar adequadamente protegidas em tubulações e conduítes. As salas que dispõem de equipamentos sensíveis à segurança da informação como servidores e switches devem ser ambientes próprios e separados, devidamente assegurados por identificação de acesso, conforme norma vigente. A empresa deverá realizar a instalação do sistema de monitoramento conforme normas regionais, nacionais e internacionais na parte interna e externa da empresa. Documentos contendo informações sensíveis devem ser adequadamente armazenados reduzindo a probabilidade de dano físico por alimentos ou líquidos, e visualização por pessoas não autorizadas. A empresa deve possuir uma política de segurança estruturada em conformidade com o ambiente da empresa, assegurando os ativos. A política deve ser aprovada pela direção e de conhecimento de todos os funcionários.

Segurança Lógica

O proprietário deverá disponibilizar acessos únicos para os funcionários com contas padrões com login e senhas dentro dos padrões de segurança.

O proprietário deverá solicitar a criação de um servidor de banco de dados seguro para backup das informações importantes e testar o mesmo verificando a eficiência do backup e verificando se não há algum problema.

O proprietário deverá fazer a aquisição de antivírus proprietário pago, melhorando a segurança de suas estações e verificando a atualização do software periodicamente e renovação de suas licenças.

O proprietário deverá fazer a aquisição de uma licença do sistema operacional nova para

substituir o sistema antigo no qual não recebe atualização do fabricante, garantindo mais desempenho e segurança das informações utilizadas na estação em questão.

O proprietário deverá adquirir software ou ferramenta adequados para controle de privilégio, garantindo que cada informação seja designada a seu respectivo usuário.

O proprietário deverá adquirir um Firewall ou Proxy para controle de acesso a sites externos garantindo que os colaboradores utilizem a rede apenas para fins de negócios da empresa.

O proprietário deverá monitorar o acesso ao access point e solicitar a separação da rede corporativa da rede para clientes ou visitantes diminuindo o risco de invasão.

CONFORMIDADE

A ABNT NBR ISO/IEC 27002:2005 foi utilizada para estudo e desenvolvimento da política de segurança. PUNIÇÕES

Caso não sejam seguidas as informações contidas nessa política de segurança, o setor responsável tomará as medidas cabíveis: advertência verbal, suspensão do colaborador, demissão e/ou dependendo da gravidade do problema poderá ser levado a justiça para processo criminal ou civil.

DISPOSIÇÕES GERAIS

O proprietário deverá avaliar a punição adequada para cada caso e garantindo a integridade das suas informações, caso as mesmas tenham sido comprometidas.

A política de segurança da informação deverá ser verificada a cada 24 meses para garantia de sua utilização.

A política de segurança poderá receber alterações caso, a qualquer momento, caso o responsável julgue necessário, informando os colaboradores sobre a alterações realizadas, criando assim um ambiente com padrões e regras a serem seguidas pelos mesmos.

A Política precisa da assinatura do proprietário responsável pela empresa para que seja efetivada e validada. CONSIDERAÇOES FINAIS

A criação de uma política de segurança da informação na MG Comércio irá impactar uma melhora na segurança de dados e da informação.

O objetivo da política de segurança da informação física e lógica é propor a MG Comércio diretrizes contidas em normas de segurança, garantindo a diminuição de riscos e incidentes ocasionados por ativos internos e externos.

É fundamental que a gerência se comprometa com a divulgação da política de segurança da informação por meio de palestras ou treinamento entre os colaboradores, convencendo-os de que a política deve ser

Simp.TCC/Sem.IC.2017(12); 2950 -2981 2981

aplicada com eficiência e comprometimento com as regras e padrões nela contidos.

Apesar das várias vulnerabilidades encontradas foi identificado que várias empresas do ramo passam pelo mesmo problema e não tem qualquer tipo de política de segurança da informação, gerando um mercado carente com clientes de pequenas e médias empresas que nunca ouviram falar sobre a política de segurança e seus benefícios para as empresas e os negócios.

Fica claro a satisfação em executar um trabalho como este que, mesmo havendo contratempos, adicionou um extenso conhecimento sobre à política de segurança da informação. Referências

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, ABNT NBR ISO/IEC 27002: Tecnologia da informação - técnicas de segurança – código de prática para a gestão da segurança da informação . 2 ed., Rio de Janeiro, 2005 120 p.

BEAL, Adriana; Segurança da informação : princípios e melhores práticas para a proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2005.

CAMPUFOUR; Produtos: Clipp Store. Disponível em: <https://www.campufour.com.br/produtos/clipp-store>. Acessado em: 10 de dezembro, 2017. CERT.BR. CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES de segurança no brasil. Cartilha de Segurança para Internet : São Paulo, 2012. Disponível em: <https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf>. Acesso em: novembro, 2017. FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de; Política de 00Segurança da Informação: Guia Prático para Elaboração e Implementação. 2.ed. Rio de Janeiro: Ciência Moderna, 2008.

FONTES, Edison; Segurança da informação: o usuário faz a diferença. São Paulo: Editora Saraiva, 2006.

BANCO DO BRASIL; Gerenciador Financeiro . Disponível em: <http://www.bb.com.br/pbb/pagina-inicial/cooperativas/cooperativas-urbana/vantagens/gerenciador-financeiro#/>. Acesso em: 11 de dezembro, 2017.

PINHEIRO, José Maurício; Biometria nos Sistemas Computacionais – Você é a senha. Rio de Janeiro: Ciência Moderna, 2008.

RUFINO, Nelson Murilo O.; Segurança Nacional : Técnicas e Ferramentas de Ataque e Defesa de

Redes de Computadores. São Paulo: Novatec, 2002.

SÊMOLA, Marcos; Gestão da segurança da informação: uma visão executiva; 12 ed. Rio de Janeiro: Elservier, 2003, 156 p.