FACULDADE LOURENÇO FILHO
BACHARELADO EM CIÊNCIAS DA COMPUTAÇÃO
FRANCISCO MARCELO ALENCAR DE MATOS
PROPOSTA DE UM CHECKLIST PARA VERIFICAÇÃO DA
SEGURANÇA FÍSICA DE UMA EMPRESA BASEADA NA NORMA
ABNT NBR ISO/IEC 27002:2005
FORTALEZA
2010
FRANCISCO MARCELO ALENCAR DE MATOS
PROPOSTA DE UM CHECKLIST PARA VERIFICAÇÃO DA
SEGURANÇA FÍSICA DE UMA EMPRESA BASEADA NA NORMA
ABNT NBR ISO/IEC 27002:2005
Monografia apresentada ao curso de Ciências da
Computação da Faculdade Lourenço Filho como
requisito para obtenção do grau de bacharel.
Sob a orientação do Professor Msc. José Alzir Bruno
Falcão.
FORTALEZA
2010
TERMO DE APROVAÇÃO
PROPOSTA DE UM CHECKLIST PARA VERIFICAÇÃO DA
SEGURANÇA FÍSICA DE UMA EMPRESA BASEADA NA NORMA
ABNT NBR ISO/IEC 27002:2005
Por
FRANCISCO MARCELO ALENCAR DE MATOS
Este estudo monográfico foi apresentado no dia 21 de Dezembro de 2010, como requisito parcial
para a obtenção do grau de bacharel em CIÊNCIAS DA COMPUTAÇÃO da Faculdade Lourenço
Filho, tendo sido aprovado pela Banca Examinadora composta pelos professores:
BANCA EXAMINADORA
____________________________________________________
Prof. Msc. José Alzir Falcão
Orientador – FLF
____________________________________________________
Prof. Carlos Roberto Vieira de Aragão
Examinador – FLF
____________________________________________________
Prof. José Vigno
Examinador – FLF
AGRADECIMENTOS
A Deus primeiramente, por ter sempre me mostrado claramente os caminhos e me ajudado em
todos os aspectos da minha vida, me abençoando sempre.
A toda minha família, ao meu pai, José Clayton Rocha de Matos por ter me iniciado na área
de informática, tendo me incentivado e ajudado sempre que necessário, e em especial à minha
querida mãe, Maria do Socorro Alencar de Matos que sempre cuidou e me amou
incondicionalmente, estando sempre presente em todos os momentos de minha vida e a minha
esposa Camila Silva Alves de Matos por tanto ter me incentivado.
Aos professores da Faculdade Lourenço Filho pela paciência e contribuição para a realização
deste trabalho monográfico.
Na era da informação, ao mesmo tempo em que
as informações são consideradas o principal
patrimônio de uma organização, elas estão
também sob permanente risco, como nunca
estiveram antes. Com isso, a segurança da
informação
tornou-se
crucial
para
a
sobrevivência das instituições.
José Batista Siqueira Filho
José Bezerra da Silva Filho
RESUMO
Este trabalho monográfico aborda a implantação da Segurança Física em uma organização
tendo como base a Norma ABNT NBR ISO/IEC 27002:2005, principal fonte de pesquisa
utilizada. Todos os aspectos propostos na norma estão aqui descritos. O objetivo final desta
monografia consiste em propor um Checklist genérico para verificação de conformidade de
uma organização com a Norma ABNT NBR ISO/IEC 27002:2005. Nas últimas décadas, o
crescimento desordenado da Internet tem criado um ambiente propício ao desenvolvimento de
muitas ameaças. Tais ameaças se valem, na maioria dos casos, da total ausência de um
ambiente seguro e da deficiência de políticas de segurança. No início, a conectividade a
qualquer custo e velocidade eram os objetivos principais. Com os grandes prejuízos obtidos
nos últimos anos devido à ausência de segurança, é que surgiu a preocupação em investir em
Segurança da Informação. A Segurança da Informação tem como objetivo proteger os ativos
de rede, tentando minimizar ao máximo os riscos a que o ativo está exposto. Ela pode ser
dividida em duas partes que são Segurança Lógica e Segurança Física. A Segurança Física,
outro importante objeto de pesquisa neste projeto monográfico, é tão importante quanto a
Segurança Lógica, e desempenha um importante papel na proteção aos ativos de uma
empresa.
Palavras-chave: Segurança da Informação. Segurança Física. ABNT NBR ISO/IEC
27002:2005. Checklist.
13
ABSTRACT
This monographic work tries to explain the Physical Security deployment in an organization
drawing upon ABNT NBR ISO / IEC 27002:2005 standard, the main source of research used.
All proposed aspects in the rule are described here. The final objective of this monograph is to
propose a generic Checklist for verification of compliance of an organization with the ABNT
NBR ISO / IEC 27002:2005 standard. In recent decades, the disorderly growth of the Internet
has created an environment conducive to the development of many threats. Such threats are
worth, in most cases, the total absence of a secure environment and the lack of security
policies. Initially, the connectivity at any cost and speed were the main objectives. With the
big losses made in recent years due to lack of security, there the concern in investing in the
Information Security. The Information Security is intended to protect the assets of network,
trying to minimize as much as possible the risks to which the asset is exposed. It can be
divided into two parts that are Logical Security and Physical Security. The Physical Security,
another important research object of this monographic project, is as important as the Logical
Security, and plays an important role in protecting the assets of a company.
Key-Words: Information Security. Physical Security. ABNT NBR ISO/IEC 27002:2005.
Checklist.
14
LISTA DE FIGURAS
FIGURA 1 Evolução do número de domínios .br ................................................................... 21
FIGURA 2 Internautas ativos em residências e no trabalho em horas navegadas .................. 21
FIGURA 3 Principais ameaças à Segurança ........................................................................... 28
FIGURA 4 Checklist baseado na Norma NBR ISO 27002 ..................................................... 51
15
LISTA DE ABREVIATURAS E SIGLAS
ABNT – Associação Brasileira de Normas Técnicas
C – Linguagem de Programação de alto nível
C++ – Linguagem de programação criada no início dos anos 70, a partir da linguagem C
CB – Comitês Brasileiros
CE – Comissões de Estudo
CEET – Comissões de Estudos Especiais Temporárias
DDoS – Distributed Denial of Service
DoS – Denial of Service
EUA – Estados Unidos da América
IEC – International Electrotechnical Commission
IP – Internet Protocol
ISO – International Standards Organization
JTC – Joint Technical Committee
NBR – Abreviatura que denota uma norma brasileira emitida pela ABNT
NMAP – Software livre que realiza “port scan”
ONS – Organismos de Normalização Setorial
PIN – Personal Identification Number
SGSI – Sistema de Gestão da Segurança da informação
TCP – Transmission Control Protocol
TI – Tecnologia da Informação
UNIX – Sistema operacional desenvolvido em 1969, pela empresa americana AT&T
UPS – Uninterruptible Power Supply
SUMÁRIO
1 INTRODUÇÃO ............................................................................................. 13
1.1 Contextualização do problema ..................................................................... 13
1.2 Objetivo geral ............................................................................................... 14
1.3 Objetivos específicos ................................................................................... 14
1.4 Justificativa................................................................................................... 14
1.5 Hipóteses ...................................................................................................... 15
1.6 Metodologia ................................................................................................. 16
1.7 Estrutura da monografia ............................................................................... 16
1.8 Referencial teórico ....................................................................................... 17
2 REVISÃO BIBLIOGRÁFICA..................................................................... 18
2.1 Conceituação ................................................................................................ 18
2.1.1 Informação ................................................................................................ 18
2.1.2 Segurança da Informação ......................................................................... 19
2.2 Evolução da Internet nos últimos anos ........................................................ 20
2.3 Necessidade de segurança ............................................................................ 22
2.4 Ameaças ....................................................................................................... 23
2.5 Ataques ......................................................................................................... 24
2.5.1 Principais ataques ..................................................................................... 24
2.6 Estatísticas que justificam o investimento em segurança ............................ 27
2.7 Sínteses de trabalhos que versam sobre Segurança da Informação ............. 29
2.7.1 Trabalho 1: Uma abordagem sobre política da segurança da informação
implantada .......................................................................................................... 29
2.7.2 Trabalho 2: Segurança da informação na rede interna com certificados
digitais e seus aspectos legais ............................................................................ 30
2.7.3 Trabalho 3: Hackers. Como se proteger? ................................................ 30
11
2.7.4 Trabalho 4: Política de segurança da informação para redes corporativas.
............................................................................................................................ 31
2.7.5 Trabalho 5: COBIT, ITIL e ISO/IEC 27002 melhores práticas para
Governança de Tecnologia da Informação. ...................................................... 31
2.7.6 Trabalho 6: Segurança como estratégia de gestão da informação .......... 32
2.8 Normas para Segurança da Informação ....................................................... 33
2.8.1 Norma ABNT NBR ISO/IEC 27002:2005 ................................................. 34
2.8.1.1 Objetivos................................................................................................. 34
2.8.1.2 Abrangência ........................................................................................... 35
2.8.1.3 Importância ............................................................................................ 35
2.8.2 Norma ISO/IEC FDIS 27001:2005 ........................................................... 36
2.9 Segurança Física e do Ambiente de Acordo com a Norma ABNT NBR
ISO/IEC 27002:2005 .......................................................................................... 37
2.9.1 Áreas seguras ............................................................................................ 37
2.9.2 Perímetro de segurança física .................................................................. 38
2.9.3 Controles de entrada física ....................................................................... 40
2.9.4 Segurança em escritórios, salas e instalações .......................................... 41
2.9.5 Proteção contra ameaças externas e do meio ambiente........................... 41
2.9.6 Trabalhando em áreas seguras ................................................................. 42
2.9.7 Acesso do público, áreas de entrega e de carregamento.......................... 43
2.9.8 Segurança de equipamentos ...................................................................... 44
2.9.9 Instalação e proteção do equipamento ..................................................... 44
2.9.10 Utilidades ................................................................................................ 45
2.9.11 Segurança do cabeamento ...................................................................... 47
2.9.12 Manutenção dos equipamentos ............................................................... 48
2.9.13 Segurança de equipamentos fora das dependências da organização .... 48
2.9.14 Reutilização e alienação segura de equipamentos ................................. 49
2.9.15 Remoção de propriedade ........................................................................ 50
3 CHECKLIST PROPOSTO .......................................................................... 51
12
4 CONSIDERAÇÕES FINAIS ....................................................................... 53
4.1 Conclusão ..................................................................................................... 53
4.2 Trabalhos Futuros ......................................................................................... 54
REFERÊNCIAS ............................................................................................... 55
13
1 INTRODUÇÃO
Na era da tecnologia digital e do mundo virtual, as organizações passam a ter a
informação como um dos seus principais patrimônios. Sendo um dos principais ativos, a
informação necessita ser protegida a qualquer custo de qualquer eventualidade. A perda das
informações de uma organização acarreta um grande prejuízo para a mesma, e a proporção
deste prejuízo aumenta à medida que a importância desta informação para a empresa também
aumenta.
No mundo hoje, existem muitas ameaças à informação. Previnir-se contra essas
ameaças é essencial. É de vital importância que as organizações criem métodos de proteção
contra tais ameaças. Para padronizar tais métodos e assegurar sua eficácia, existem órgãos
responsáveis por criar normas e regras que assegurem a Segurança a Informação.
A norma ABNT NBR ISO/IEC 27002:2005 é a principal referência para assegurar
a implantação eficaz da Segurança da Informação em uma organização. Baseada nela, será
apresentado um Checklist que servirá de termômetro para que as organizações consigam
checar o seu nível de conformidade com a norma, e assim corrigir os pontos falhos.
1.1 Contextualização do problema
A necessidade de segurança é um fato que vem transcendendo o limite da
produtividade e da funcionalidade. Enquanto a velocidade e a eficiência em todos os
processos de negócios significam uma vantagem competitiva, a falta de segurança nos meios
que habilitam a velocidade e a eficiência pode resultar em grandes prejuízos e falta de
oportunidades de negócios. (NAKAMURA; GEUS, 2003).
Para a segurança da informação, minimizar as possibilidades de ataques e
conseqüentes prejuízos às organizações não dependem somente dos recursos tecnológicos
disponíveis, mas também dos aspectos humanos, processuais, jurídicos e de negócios da
organização.
A segurança física compreende-se no ambiente, ela abrange todo o ambiente onde
os sistemas de informação estão instalados, normalmente se faz necessária a ajuda da
14
engenharia civil e elétrica, já a segurança lógica compreende-se em programas, onde
mecanismos de proteção baseados em softwares são aplicados, ambas podem ser planejadas e
implantadas em paralelo.
1.2 Objetivo geral
Apresentar um Checklist genérico para verificação da segurança física da
informação em qualquer empresa, baseado na Norma ABNT NBR ISO/IEC 27002:2005.
1.3 Objetivos específicos
•
Analisar a Segurança da Informação, sua importância e os fatores que a ameaçam;
•
Apresentar e comentar a norma ABNT NBR ISO/IEC 27002:2005, sua importância,
objetivos e abrangência;
•
Levantar todos os controles referentes à Segurança Física da Informação de acordo
com a norma ABNT NBR ISO/IEC 27002:2005.
1.4 Justificativa
O mundo da segurança é marcado pela evolução contínua, no qual novos ataques
têm como resposta novas formas de proteção que levam ao desenvolvimento de novas
técnicas de ataques e assim sucessivamente. Esse mesmo comportamento pode ser observado
no mundo da informação, onde também se deve ter em mente que a segurança deve ser
contínua e evolutiva. (NAKAMURA; GEUS, 2003).
15
Entretanto, ainda hoje a segurança é tratada de maneira superficial por grande
parte das organizações. Não recebendo a devida importância e sem a definição de uma boa
estratégia de segurança, são utilizadas técnicas parciais ou incompletas que podem aumentar a
vulnerabilidade da organização. (NAKAMURA; GEUS, 2003).
Os tipos de perdas que as empresas podem experimentar por causa de lapsos na
segurança dos computadores podem ser contabilizados das seguintes maneiras (BURNETT,
2002) e (STEVE, 2002):
•
Dados ou segredos: Perda de números de cartão de crédito do usuário,
comprometimento de relatórios financeiros e acesso não-autorizado às informações;
•
Perda de reputação: Às vezes uma avaliação negativa do analista pode causar um
impacto tão grande quanto à própria invasão. Isso pode ser uma das principais razões
pelas quais as empresas raramente informam invasões e roubo de dados;
•
Perdas financeiras: Além dos roubos financeiros diretos, a perda de dados e a perda de
reputação resultarão em perdas financeiras.
Os seguintes fatores justificam a preocupação com a segurança contínua: a
natureza dos ataques, as novas vulnerabilidades das novas tecnologias, a criação de novas
formas de ataques, o aumento da conectividade, a complexidade da defesa, o aumento dos
crimes digitais e os grandes prejuízos ocasionados pela falta de segurança. (NAKAMURA;
GEUS, 2003).
1.5 Hipóteses
•
A Segurança da Informação é realmente um ponto de vital importância, pois ela
defende um dos maiores patrimônios das organizações, suas informações;
•
A norma ABNT NBR ISO/IEC 27002:2005 é uma forte referência para a implantação
adequeda e eficaz da Segurança da Informação;
16
•
O Checklist aqui proposto pode ser utilizado para medir o grau de conformidade da
segurança física de uma organização com esta norma.
1.6 Metodologia
Para desenvolver o estudo sobre Segurança Física da Informação e implantação da
mesma em uma organização em conformidade com a norma ABNT NBR ISO/IEC
27002:2005, bem como para propor o Checklist serão aplicadas as técnicas de:
•
Estudo de Bibliografias relacionadas à área;
•
Gráficos comparativos.
1.7 Estrutura da monografia
Este trabalho monográfico compreende em 4 capítulos. O primeiro capítulo de
introdução que contextualiza o problema, especifica os objetivos gerais e específicos,
demonstra justificativas, hipóteses, metodologia, estrutura e referencial teórico abordado neste
trabalho.
O segundo capítulo aborda os conceitos de Informação e Segurança da
Informação, citando também a evolução da Internet nos últimos anos e sua importância, o
surgimento e justificativas da necessidade de segurança da informação e os conceitos e
exemplos de ameaças e ataques, finalizando com algumas estatísticas que justificam a
preocupação e os investimentos em Segurança da Informação, síntese de alguns trabalhos, as
normas para segurança da informação são abordadas, bem como alguns importantes orgãos
criadores e gestores dessas normas. A Norma ABNT NBR ISO/IEC 27002:2005 tem seus
objetivos, abrangência e importância comentados e explanados, são abordados também todos
os controles da Norma ABNT NBR ISO/IEC 27002:2005. Cada controle é explicado e as
medidas a se tomar para haver a conformidade com a norma são enumeradas.
17
No terceiro capítulo, o Checklist proposto, oriundo desta pesquisa é então
disponibilizado e comentado.
Já no último capítulo, é descrito as considerações finais e sugestões de trabalhos
futuros.
1.8 Referencial teórico
Neste trabalho foram utilizadas referências bibliográficas de vital importância para
o seu desenvolvimento. A referência mais utilizada foi, sem dúvida, a própria norma ABNT
NBR ISO/IEC 27002:2005. Sendo o tema proposto um retrato da norma, não haveria, assim,
referência mais perfeita, tendo sido as outras referências utilizadas como apoio e
complemento teórico à própria norma no decorrer deste trabalho.
18
2 REVISÃO BIBLIOGRÁFICA
O advento da Internet e das diversas aplicações que passaram a ser desenvolvidas
em ambiente web, assim como o paradigma de desenvolvimento de sistemas em ambiente
distribuído podem representar um dos marcos iniciais para as preocupações com os aspectos
de segurança lógica e física em ambientes de tecnologia da informação. É nesse instante
quando começam as preocupações de gestores e desenvolvedores com invasões de sistemas e,
sobretudo, com a criação de estratégias e mecanismos que dificultem a violabilidade de tais
informações.
Outro ponto extremamente significativo no processo de segurança lógica e física
de ambientes de TI veio da quantidade de transações bancárias realizadas na Internet.
2. 1 Conceituação
Abaixo são apresentadas separadamente os conceitos de Informação e de
Segurança da Informação, deixando clara a distinção de cada um, bem como a relação entre
ambos.
2.1.1 Informação
Segundo a ABNT NBR ISO/IEC 27002 (2005), a informação é um ativo que,
como qualquer outro ativo importante, é essencial para os negócios de uma organização e
conseqüentemente necessita ser adequadamente protegida. Isto é especialmente importante no
ambiente dos negócios, cada vez mais interconectado. Como um resultado deste incrível
aumento da interconectvidade, a informação está agora exposta a um crescente número e a
uma grande variedade de ameaças e vulnerabilidades.
Como salienta Dias (2000), a informação é o principal patrimônio da empresa e
está sob constante risco. A informação pode existir em diversas formas. Ela pode ser impressa
19
ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios
eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada
ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que
ela seja sempre protegida adequadamente.
A informação representa a inteligência competitiva dos negócios e é reconhecido
como ativo crítico para a continuidade operacional da empresa (SÊMOLA, 2003).
Nem toda informação é vital, porém determinadas informações podem ser tão
importantes e necessárias que qualquer custo aplicado para manter sua integridade seria nada
se comparado ao custo de não dispor de tais informações. Para medir o grau de importância de
uma informação, Wadlow (2000) classifica-a em níveis de prioridade. Tais níveis respeitam a
necessidade de cada empresa, bem como a importância da classe de informação para a
manutenção das atividades da empresa. Seriam:
•
Pública: Informação que pode vir a público sem maiores conseqüências danosas ao
funcionamento normal da empresa, e cuja integridade não é vital.
•
Interna: O acesso livre a este tipo de informação deve ser evitado, embora as
conseqüências do uso não autorizado não sejam por demais sérias. Sua integridade é
importante, mesmo que não seja vital.
•
Confidencial: Informação restrita aos limites da empresa, cuja divulgação ou perda
pode levar a desequilíbrio operacional, e eventualmente, a perdas financeiras ou de
confiabilidade perante o cliente externo.
•
Secreta: Informação crítica para as atividades da empresa, cuja integridade deve ser
preservada a qualquer custo e cujo acesso deve ser restrito a um número reduzido de
pessoas. A segurança desse tipo de informação é vital para a companhia.
2.1.2 Segurança da Informação
Segurança da informação é a proteção da informação de vários tipos de ameaças
para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno
sobre os investimentos e as oportunidades de negócio (ABNT NBR ISO/IEC 27002, 2005).
20
De acordo com Sêmola (2003), pode-se definir Segurança da Informação como
uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não
autorizados, alterações indevidas ou sua indisponibilidade.
A segurança da informação é obtida a partir da implementação de um conjunto de
controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais
e funções de software e hardware (ABNT NBR ISO/IEC 27002, 2005).
Para Krause (1999), Pereira (2000) e Albuquerque (2002), há três princípios
básicos para garantir a Segurança da Informação:
•
Confidencialidade: A informação somente pode ser acessada por pessoas
explicitamente autorizadas. É a proteção de sistemas de informação para impedir que
pessoas não autorizadas tenham acesso;
•
Disponibilidade: A informação deve estar disponível no momento em que a mesma
for necessária;
•
Integridade: A informação deve ser recuperada em sua forma original (no momento
em que foi armazenada). É a proteção dos dados ou informações contra modificações
intencionais ou acidentais não-autorizadas.
2.2 Evolução da Internet nos últimos anos
Nas últimas décadas a Internet, bem como o seu uso tem crescido de forma
acelerada. Tornando-se assim muito presente no dia-a-dia das pessoas de forma quase que
indispensável. Não se pode mais imaginar o mundo, a rotina das pessoas, as empresas e os
negócios sem a Internet.
Segundo Honeycutt (1998), o crescimento da Internet tem sido explosivo. Em
1985, haviam mais de 2.000 computadores host na Internet. Agora há bem mais de 9 milhões
de computadores host que suportam milhões de usuários. A cada mês, a Internet incorpora
milhões de novos usuários.
A Internet não é de modo algum uma rede, mas sim um vasto conjunto de redes
diferentes que utilizam certos protocolos comuns e fornecem determinados serviços comuns.
É um sistema pouco usual no sentido de não ter sido planejado nem ser controlado por
ninguém (TANENBAUM,2003).
21
A seguir, na Figura 1, temos algumas estatísticas do aumento de usuários,
domínios e servidores na Internet, o que vem a confirmar tais afirmações.
FIGURA 1 – Evolução do número de domínios .br.
Fonte: Registro.br (2010)
O gráfico abaixo, exibe o tempo médio em que os internautas brasileiros utilizam a
Internet (tempo conectado e navegando), mês a mês. O gráfico também detalha a quantidade
de usuários. Assim, pode-se comprovar o quanto a Internet é necesária atualmente. Isso é
também um indício do crescimento acelerado da Internet.
FIGURA 2 – Internautas ativos em residências e no trabalho em horas navegadas.
Fonte: IBOPE NetRattings (2010)
22
2.3 Necessidade de Segurança
A informação e os processos de apoio, sistemas e redes são importantes ativos para
os negócios. Definir, alcançar, manter e melhorar a segurança da informação podem ser
atividades essenciais para assegurar a competitividade, o fluxo de caixa, a lucratividade, o
atendimento aos requisitos legais e a imagem da organização junto ao mercado.
As organizações, seus sistemas de informação e redes de computadores são
expostos a diversos tipos de ameaças à segurança da informação, incluindo fraudes
eletrônicas, espionagem, sabotagem, vandalismo, incêndio e inundação. Danos causados por
código malicioso, hackers e ataques de denial of service estão se tornando cada vez mais
comuns, mais ambiciosos e incrivelmente mais sofisticados.
A segurança da informação é importante para os negócios, tanto do setor público
como do setor privado, e para proteger as infra-estruturas críticas. Em ambos os setores, a
função da segurança da informação é viabilizar os negócios como o governo eletrônico (egov) ou o comércio eletrônico (e-business), e evitar ou reduzir os riscos relevantes. A
interconexão de redes públicas e privadas e o compartilhamento de recursos de informação
aumentam a dificuldade de se controlar o acesso. A tendência da computação distribuída
reduz a eficácia da implementação de um controle de acesso centralizado.
Muitos sistemas de informação não foram projetados para serem seguros. A
segurança da informação que pode ser alcançada por meios técnicos é limitada e deve ser
apoiada por uma gestão e por procedimentos apropriados. A identificação de controles a
serem implantados requer um planejamento cuidadoso e uma atenção aos detalhes. A gestão
da segurança da informação requer pelo menos a participação de todos os funcionários da
organização. Pode ser que seja necessária também a participação de acionistas, fornecedores,
terceiras partes, clientes ou outras partes externas. Uma consultoria externa especializada
pode ser também necessária (ABNT NBR ISO/IEC 27002, 2005).
23
2.4 Ameaças
O conhecimento das ameaças e ataques potenciais que podem enfraquecer o
ambiente computacional das empresas é fundamental antes de decidir sobre quais serão os
investimentos na área de segurança, pois tais ameaças podem comprometer gravemente a
segurança do patrimônio tecnológico da empresa como um todo. As ameaças internas podem
ser consideradas como o risco número um à segurança dos recursos computacionais. É contra
essas ameaças que a Segurança da Informação se propõe.
Ameaça é a causa potencial de um incidente indesejado, que pode resultar em dano
para um sistema ou organização (ISO/IEC 13335-1:2004).
Segundo Moreira (2001), ameaças são fatores/ocorrências que podem violar
sistemas e causar incidentes de segurança e, dessa forma, danos aos negócios da empresa.
Para Soares et al. (1995), ameaça é uma possível violação da segurança de um
sistema. Segundo os mesmos autores, existem os seguintes tipos de ameaças:
•
Destruição de informação ou de outros recursos;
•
Modificação ou deturpação da informação;
•
Roubo ou perda da informação;
•
Revelação da informação;
•
Interrupção de serviços.
Já para Salgado et al. (2004), uma lista das ameaças de segurança física poderia
conter os seguintes itens:
•
Incêndio (fogo e fumaça);
•
Água (vazamentos, corrosão, enchentes);
•
Tremores e abalos sísmicos;
•
Tempestades, furacões;
•
Terrorismo;
•
Sabotagem e vandalismo;
•
Explosões;
•
Roubos, furtos;
•
Desmoronamento de construções;
•
Materiais tóxicos;
24
•
Interrupção de energia (bombas de pressão, ar-condicionado, elevadores);
•
Interrupção de comunicação (links, voz, dados);
•
Falhas em equipamentos;
•
Outros.
2.5 Ataques
Segundo Barbosa (2004), um dos problemas mais comuns à segurança é a má
configuração dos hosts, que acontece devido à configuração default do sistema, que deixa
muito a desejar, ou devido à instalação e habilitação de serviços de forma indiscriminada.
Ainda segundo o mesmo autor, um outro problema são as falhas inerentes aos
sistemas onde a culpa geralmente é colocada nos fabricantes, por que seus sistemas possuem
vulnerabilidades e falhas, quando não deveriam ter. As falhas, os bugs e as vulnerabilidades
sempre irão existir, então cabe a nós mantermo-nos atualizados quanto ao lançamento de
correções, patches e updates.
Conforme Honório (2003), os ataques podem ser intencionais ou acidentais,
podendo ser ativos ou passivos.
•
Acidentais: São os ataques que não tem intenção, não foi planejado anteriormente.
•
Intencionais: São os ataques que tem intenção, foi planejado anteriormente.
•
Passivos: São os ataques que não interferem na informação, no fluxo no canal de
escuta.
•
Ativos: São os ataques que interferem no fluxo normal de informações alterando o seu
conteúdo, normalmente contra o intuito de alterar o sistema de segurança de uma
empresa.
2.5.1 Principais ataques
Quanto mais protegido o computador, melhor. Desta forma, fica mais difícil sofrer
um ataque. São diversos os tipos de ataque.
25
A seguir, são enumeradas as principais formas de ataques. São elas:
•
Vírus: São pequenos programas que têm a propriedade de se juntar a outros arquivos,
alterar seu funcionamento normal e se reproduzir, contaminando outros arquivos. Em
princípio um vírus poderia contaminar qualquer arquivo. No entanto, só faz sentido
contaminarem executáveis, uma vez que estes são carregados e executados na
memória (BARBOSA, 2004);
•
Trojans ou Cavalos de Tróia: Assim como na história, são falsos presentes enviados
às vítimas, geralmente via e-mail, ou seja, programas disfarçados que, ao serem
executados, efetuam tarefas malígnas, tais como capturas de senhas e outros dados
sigilosos. A principal diferença entre os Trojans e os Vírus é que o primeiro não se
reproduz ou se replica, ele só é executado e propagado através de intervenção humana
(BARBOSA, 2004) e (HONÓRIO, 2003);
•
Worms: São programas que aproveitam falhas do sistemas para se propagar, e se
replicar. Ao contrário dos trojans, os worms não contaminam arquivos. O Primeiro
worm que se tem notícia foi criado por Robert Morris, em 1988. Este programa
aproveitaria uma falha do finger daemon do UNIX e do sendmail. Mais o worm de
Morris tinha um bug que o fazia reinfectar máquinas já contaminadas. Isso provocou a
queda de vários computadores no EUA (BARBOSA, 2004);
•
Sniffers: Os sniffings são programas que verificam o tráfego na rede, são úteis para o
gerenciamento de rede e, nas mãos dos hackers, são bons para roubarem senhas e
informações sigilosas. O sniffing é uma invasão passiva, na qual uma máquina
diferente do destino pretende ter informações que se percorrem na rede, é um ataque
muito difícil de ser detectado. Contudo o sniffing não pode ser considerado um ataque
porque são usados para diagnosticar problemas na rede de uma empresa (HONÓRIO,
2003);
•
Exploit: Programa criado para explorar uma falha de segurança de um sistema. Pode
servir para obter acesso indevido ou tirar o sistema do ar (ANDRADE, 2005);
•
Honeypot (Pote de Mel): Armadilha para hackers. Configura-se um computador para
servir de isca, deixando brechas para a invasão. Os softwares instalados coletam
informações sobre o invasor que são, depois, usadas para reforçar as defesas
(ANDRADE, 2005);
•
Estouro de Buffer (Buffer Overflow): Um tipo de ataque que faz com que um
programa invada o final de uma área de armazenamento de dados. O resultado é que o
26
invasor pode sobrescrever parte do programa e executar seu código. Isso é um
problema principalmente com software escrito em C e C ++. Outras linguagens como
Java estão imunes a ele (ANDRADE, 2005);
•
Rootkit: É uma coleção de softwares projetados para não deixar pistas de um invasor
e fornecer portas de fundo para futuras invasões no sistema, normalmente também
contêm limpadores de log. A defesa é feita de um software de avaliação de
integridade, mas se o Rootkit atacar o Kernel (Núcleo do Sistema) a defesa é a
prevenção através de scanners de Rootkit, ou seja, fazer uma varredura no sistema a
procura de Rootkit (ANDRADE, 2005);
•
Spoofing: É o ato de usar uma máquina para personificar outra. Isso é feito forjando o
endereço de origem de um ou mais hosts empenhados na autenticação das máquinas
individualmente. Para realizar uma sessão bem sucedida de spoofing, alguns crakers
temporariamente “matam” ou anestesiam a máquina que eles estão personificando
(ANDRADE, 2005). O IP Spoofing é uma técnica na qual o endereço real do atacante
é mascarado, de forma a evitar que ele seja encontrado (NAKAMURA; GEUS, 2003);
•
Scanners de portas: Os scanners são programas que buscam portas TCP abertas por
onde pode ser feita uma invasão. Para que a varredura não seja percebida pela vítima,
alguns scanners testam as portas de um computador durante muitos dias em horários
aleatórios. Um dos mais conhecidos é o Nmap, existe também outro tipo de Scanner
chamado
scanner
de
vulnerabilidades
que
são
capazes
de descrever as
vulnerabilidades nos serviços oferecidos pelas portas dos computadores, um dos mais
famoso é o Nessus (ANDRADE, 2005);
•
Denial of service (DoS): Ataque que consiste em sobrecarregar um servidor com uma
quantidade excessiva de solicitações de serviços. Há muitas variantes como os ataques
distribuidos de negação de serviço (DDoS) que paralisam vários sites ao mesmo
tempo. Nessa variante, o agressor invade muitos computadores e instala neles um
software zumbi. Quando recebem a ordem para iniciar o ataque, os zumbis
bombardeiam o servidor alvo, tirando-o do ar (ANDRADE, 2005);
•
Ping Of Death: (Ping da Morte) Consiste em enviar um pacote IP com tamanho maior
que o máximo permitido (65.535 bytes), para a máquina que se deseja atacar. O pacote
é enviado na forma de fragmentos (a razão é que nenhum tipo de rede permite o
tráfego de pacotes deste tamanho) e quando a máquina destino tenta montar estes
fragmentos, inúmeras situações podem ocorrer: a maioria da máquinas trava, algumas
27
reinicializam, outras abortam e mostram mensagens de erro. Praticamente todas as
plataformas eram afetadas por este ataque, e todas as que não tiveram correções de
segurança instalados, ainda o são vulneráveis. Este ataque recebeu o nome de “Ping da
Morte” porque as primeiras ocorrências deste ataque foram a partir do programa ping,
entretanto, qualquer pacote IP com mais de 65.535 bytes (pacote inválido) provoca o
mesmo efeito (ANDRADE, 2005);
•
Engenharia Social: É a técnica que explora as fraquezas humanas e sociais, em vez
de explorar a tecnologia. Ela tem como objetivo enganar e ludibriar pessoas
assumindo-se uma falsa identidade, a fim de que elas revelem senhas ou outras
informações que possam comprometer a segurança da organização (NAKAMURA;
GEUS, 2003).
2.6 Estatísticas que justificam o investimento em segurança
Algumas estatísticas serão mostradas aqui, com o objetivo de demonstrar o quanto
a Segurança da Informação é importante, principalmente nas grandes organizações. Tais
estatísticas retratam o cenário existente, tal cenário tem se mostrado em pleno crescimento
nos últimos anos, e para reverter este quadro, deve-se aplicar a Segurança da Informação em
sua plenitude.
A Figura 3 a seguir, demonstra bem o cenário atual. Este gráfico foi baseado em
um questionário aplicado durante a 10ª Pesquisa de Segurança da Informação da Módulo
(2006).
28
FIGURA 3 – Principais ameaças à Segurança.
Fonte: Módulo (2006)
Segundo Módulo (2006), a evolução do mercado de tecnologia e a maior
conscientização sobre a necessidade de investimentos em Segurança da Informação ajudaram
as empresas a estarem mais preparadas para enfrentar algumas falhas de segurança. No
entanto, ainda é grande o número de companhias (33%) que não sabem quantificar as perdas
ou sequer identificar os responsáveis pelo problema (21%). O motivo pode ser a falta de um
planejamento formal de segurança, que muitas destas empresas não possuem (35%) ou usam
há apenas um ano (31%).
Por conta desta dificuldade em apontar responsáveis, as companhias acabam se
dedicando apenas a corrigir a falha (48%), quando descoberta, ou tomam providências
internas (25%), acionando por conta própria o causador do problema.
Quando conseguem identificar os responsáveis, as empresas descobrem que a
maioria das falhas de segurança é causada por funcionários (24%) e hackers (20%) e que
problemas como vírus (15%), spam (10%) e fraudes (8%) são os que mais causam danos
financeiros. E os prejuízos por conta destes problemas continuam consideráveis. No entanto,
29
pelo modesto percentual - apenas 2% - nota-se que as empresas ainda não percebem que a não
conformidade com a nova Legislação específica para área de segurança é uma possível causa
de perdas financeiras.
Para o futuro, a expectativa dos gestores é que aumentem os problemas
relacionados à Segurança da Informação (77%) e as companhias acreditam que podem
enfrentar problemas com vírus (10%), spam (11%), vazamento de informações (7%) e acesso
remoto indevido (7%), entre outros.
A maioria (55%) considera a falta de conscientização dos executivos e usuários o
principal obstáculo para a implementação da segurança na empresa, seguido pela falta de
orçamento (28%). E o maior motivador para a tomada de decisões visando a segurança é o
nível de consciência dos executivos e usuários (31%), segundo os pesquisados. A imagem da
empresa no mercado (23%) e o valor agregado aos produtos e negócios (19%) também
influenciam.
2.7 Sínteses de trabalhos que versam sobre segurança da informação
Nesse item realizei o estudo de 5 monografias que tem como principal assunto
Segurança da Informação, abordando diversas tópicos como: Riscos, Principais Políticas e
Normas de Segurança, Leis, Ameaças e Vulnerabilidades, Hackers, Certificados Digitais,
dentre outros assuntos pertinentes ao tema Segurança da Informação.
2.7.1 Trabalho 1: Uma abordagem sobre política da segurança da informação
implantada.
Monografia apresentada por Danilo Muniz Barreto no curso de Tecnologia em
Informática com ênfase em Gestão de Negócios para obter o título de Tecnólogo em
Informática com ênfase em Gestão de Negócios na Faculdade de Tecnologia da Zona Leste
em São Paulo, sob a orientação do Professor Leandro Colevati dos Santos. Assunto: Uma
abordagem sobre política da segurança da informação implantada.
30
Nesse trabalho o autor abordou como funciona e como é criada e implantada uma
Política de Segurança da Informação em uma empresa, citando e descrevendo rapidamente
algumas normas de Segurança da Informação como, NBR ISO/IEC 27001:2005, Cobit e ITIL.
Abordando mais amplamente as formas de ataques, ameaças e vulnerabilidades que uma
empresa hoje em dia corre o risco, porém focando em um estudo de caso de uma empresa de
grande porte no ramo de papel e celulose, focando em seu setor de TI, mais especificamente
no de Segurança da Informação, analisando como funciona sua Política de Segurança da
Informação
2.7.2 Trabalho 2: Segurança da informação na rede interna com certificados
digitais e seus aspectos legais.
Monografia apresentada por Ricardo Brito do Nascimento ao Departamento de
Ciência da Computação da Universidade de Brasília como requisito parcial para a obtenção
do título de Especialista em Ciência da Computação: Gestão da Segurança da Informação e
Comunicações, sob a orientação da Professora Maristela Terto de Holanda. Assunto:
Segurança da Informação na Rede Interna com Certificados Digitais e seus Aspectos Legais.
Nesse trabalho o autor visa apresentar uma metodologia como forma de mitigar
consideravelmente o risco relacionado ao vazamento de informação aplicando os recursos
legais e tecnológicos. Utilizando como fundamentação teórica Segurança de Dados,
descrevendo detalhadamente procedimentos de Criptologia (abordando a Criptografia de
Chave Pública e seus padrões, Certificados de Chave Pública e a Certificação Digital),
Ameaças e Vulnerabilidades, Engenharia Social, Políticas de Segurança da Informação e
Legislações Brasileiras relacionada à Segurança da Informação e das Comunicações.
2.7.3 Trabalho 3: Hackers. Como se proteger?
Monografia apresentada por Paulo Henrique Araújo Honório ao Curso de Ciência
da Computação do Centro Universitário do Triângulo – Unit em Uberlândia, como requisito
31
básico à obtenção do grau de Bacharel em Ciência da Computação, sob a orientação do
Professor Clayder Cristiam Coêlho. Assunto: Hackers. Como se proteger?
Nesse trabalho o autor visa mostrar como obter uma segurança confiável e
satisfatória para se proteger de Hackers, dando uma breve descrição de Segurança em Redes e
focando em dois pontos, o primeiro detalha os Hackers (Interesses, Tipos, Éticas,
Motivações), Tipos de Ataques e Métodos de Proteção e o segundo detalha a Invasão em
Sistemas Operacionais (ambientes de testes, invasões, propostas para minimizar as invasões).
Mostrando que para se ter uma segurança satisfatória é necessário primeiramente ter
conhecimento e uma boa política de proteção aplicada ao seu ambiente.
2.7.4 Trabalho 4: Política de segurança da informação para redes corporativas.
Monografia apresentada César Adriano Bauer ao Curso de Ciência da Computação
do Centro Universitário Feevale em Novo Hamburgo, como requisito básico para obter o
título de Bacharel em Ciência da Computação, sob a orientação do Professor Marcelo
Iserhardt Ritzel. Assunto: Política de Segurança da Informação para Redes Corporativas.
Nesse trabalho o autor visa mostra que já não basta ter um Firewall e ter os
serviços bem implementados para se manter a rede segura, se faz necessário a conscientização
e participação dos demais funcionários da organização. Com isso detalha conceitos de ativos,
segurança física e da informação, políticas, riscos, ameaças, vulnerabilidades, recursos para
defesa da rede e sugere um modelo para o início de uma boa gestão da segurança na
organização.
2.7.5 Trabalho 5: COBIT, ITIL e ISO/IEC 27002 melhores práticas para
governança de tecnologia da informação.
Monografia apresentada por Alexandre Cavalcante Alencar ao curso de Ciência da
Computação da Faculdade Lourenço Filho em Fortaleza, como requisito parcial para obtenção
do título de Bacharel em Ciência da Computação, sob a orientação do Professor José Alzir
32
Bruno Falcão. Assunto: COBIT, ITIL e ISO/IEC 27002 Melhores Práticas para Governança
de Tecnologia da Informação.
Nesse trabalho o autor tem como principal intenção fornecer uma visão geral das
melhores práticas existentes. Dando uma breve descrição de Gerenciamento de Serviços em
TI e Segurança da Informação. Detalhando minuciosamente as metodologias ITIL, COBIT e
ISO/IEC 27002. Mostrando também que embora algumas das melhores práticas sejam
adequadas há uma determinada organização, ao mesmo tempo podem não ser apropriadas há
outra organização, mostrando que se deve levar em conta o conhecimento sobre o
funcionamento da empresa onde se pretende utilizá-las, de forma que se possam gerar
oportunidades de melhoria, resultando em ganhos reais para o negócio.
2.7.6 Trabalho 6: Segurança como estratégia de gestão da informação.
Artigo escrito por Marcos Aurelio Pchek Laureano e Paulo Eduardo Sobreira
Moraes e publicado na Revista Economia & Tecnologia. Assunto: Segurança como estratégia
de gestão da informação.
Nesse artigo os autores analisam a prática da segurança como estratégia de gestão
da informação. Explica a relação entre estratégia e segurança no que diz respeito a dados e
gestão da informação. Discute-se a segurança como atitude inerente aos processos de gestão
da informação com isso às organizações ganha maior controle sobre os dados relevantes e
uma conformação maior com os mecanismos de tomada de decisão e confidencialidade dentro
das instituições.
33
2.8 Normas para Segurança da Informação
A ISO é uma organização internacional formada por um conselho e comitês com
membros oriundos de vários países. Seu objetivo é criar normas e padrões universalmente
aceitos sobre a realização de atividades comerciais, industriais, científicas e tecnológicas. A
IEC é uma organização voltada ao aprimoramento da indústria da informação (FERREIRA e
ARAÚJO, 2006).
Conforme a Norma ABNT NBR ISO/IEC 27002 (2005), a Associação Brasileira
de Normas Técnicas (ABNT) é o Fórum Nacional de Normalização. As Normas Brasileiras,
cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB), dos Organismos de
Normalização Setorial (ABNT/ONS) e das Comissões de Estudo Especiais Temporárias
(ABNT/CEET), são elaboradas por Comissões de Estudo (CE), formadas por representantes
dos setores envolvidos, delas fazendo parte: produtores, consumidores e neutros
(universidades, laboratórios e outros).
Segundo Ferreira e Araújo (2006), em dezembro de 2000 a ABNT (Associação
Brasileira de Normas Técnicas) também resolveu acatar a norma ISO como padrão brasileiro
sendo publicada em 2001 como: ABNT NBR 17799 – Código de Prática para a Gestão da
Segurança da Informação. O importante é que a partir dessa publicação passamos a ter um
referencial de aceitação internacional.
No segundo semestre de 2005 foi lançada a nova versão da norma, a norma ISO /
IEC 17799:2005, que cancela e substitui a edição anterior.
A partir de 2007, a nova edição da ISO/IEC 17799 foi incorporada ao novo
esquema de numeração como ISO/IEC 27002. Segundo a ABNT esta edição da ABNT NBR
ISO/IEC 27002 tem seu conteúdo técnico idêntico ao da versão corrigida de 02.07.2007 da
ABNT NBR ISO/IEC 17799:2005.
34
2.8.1 Norma ABNT NBR ISO/IEC 27002:2005
Segundo a ABNT NBR ISO/IEC 17799 (2005), a ABNT NBR ISO/IEC 17799 foi
elaborada no Comitê Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21),
pela Comissão de Estudo de Segurança Física em Instalações de Informática (CE-21:204.01).
O Projeto circulou em Consulta Nacional conforme Edital nº 03, de 31.03.2005,
com o número de Projeto NBR ISO/IEC 17799. Esta Norma é equivalente à ISO/IEC
17799:2005. Hoje publicada com a nomeclatura de ABNT NBR ISO/IEC 27002.
Uma família de normas de sistema de gestão de segurança da informação (SGSI)
está sendo desenvolvida no ISO/IEC JTC 1/SC 27. A família inclui normas sobre requisitos
de sistema de gestão da segurança da informação, gestão de riscos, métricas e medidas, e
diretrizes para implementação. Esta família adotará um esquema de numeração usando a série
de números 27000 em seqüência.
2.8.1.1 Objetivos
O objetivo da Norma ABNT NBR ISO 27002:2005 segundo a própria ABNT
NBR ISO/IEC 27002 (2005), é estabelecer diretrizes e princípios gerais para iniciar,
implementar, manter e melhorar a gestão de segurança da informação em uma organização.
Os objetivos definidos na norma provêem diretrizes gerais sobre as metas geralmente aceitas
para a gestão da segurança da informação.
Os objetivos de controle e os controles têm como finalidade ser implementados
para atender aos requisitos identificados por meio da análise/avaliação de riscos. A norma
pode servir como um guia prático para desenvolver os procedimentos de segurança da
informação da organização e as eficientes práticas de gestão da segurança, e para ajudar a
criar confiança nas atividades interorganizacionais.
35
2.8.1.2 Abrangência
A ABNT NBR ISO 27002:2005 contém 11 seções de controles de segurança da
informação, que juntas totalizam 39 categorias principais de segurança e uma seção
introdutória que aborda a análise/avaliação e o tratamento de riscos.
Cada seção contém um número de categorias principais de segurança da
informação. As 11 seções (acompanhadas com o respectivo número de categorias) são:
•
Política de Segurança da Informação (1 categoria);
•
Organizando a Segurança da Informação (2 categorias);
•
Gestão de Ativos (2 categorias);
•
Segurança em Recursos Humanos (3 categorias);
•
Segurança Física e do Ambiente (2 categorias);
•
Gestão das Operações e Comunicações (10 categorias);
•
Controle de Acesso (7 categorias);
•
Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação (6 categorias);
•
Gestão de Incidentes de Segurança da Informação (2 categorias);
•
Gestão da Continuidade do Negócio (1 categoria);
•
Conformidade (3 categorias).
A ordem das seções não significa o seu grau de importância. Dependendo das
circunstâncias, todas as seções podem ser importantes. Entretanto, cada organização que
utilize a norma deve identificar quais as seções aplicáveis, quão importante elas são e a sua
aplicação para os processos específicos do negócio. Todas as alíneas na NBR ISO
27002:2005 também não estão ordenadas por prioridade, a menos que explicitado (ABNT
NBR ISO/IEC 27002, 2005).
2.8.1.3 Importância
Não é de hoje a necessidade de proteger as informações sigilosas nas empresas.
Contudo, devido à disponibilidade de novas tecnologias e a exigência do mercado por um
36
maior e mais rápido acesso às informações, a preocupação em relação ao sigilo e a segurança
da informação aumentou.
A Norma ABNT NBR ISO/IEC 27002:2005 permite que uma empresa construa de
forma muito rápida uma política de segurança baseada em controles de segurança eficientes.
Os outros caminhos para se fazer o mesmo, sem a norma, são constituir uma equipe para
pesquisar o assunto ou contratar uma consultoria para realizar essa tarefas. Ambas opções são
caras e demoradas (INFORMABR, 2007).
Ela serve como referência para a criação e implementação de práticas de segurança
reconhecidas internacionalmente, incluindo: Políticas, Diretrizes, Procedimentos, Controles. É
um conjunto completo de recomendações para: Gestão da Segurança da Informação e
Controles e Práticas para a Segurança da Informação.
2.8.2 Norma ISO/IEC FDIS 27001:2005
A Norma ISO/IEC FDIS 27001:2005 cobre todos os tipos de organizações (por
exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins
lucrativos). Esta Norma especifica os requisitos para estabelecer e implementar, operar,
monitorar, revisar, manter e melhorar um SGSI documentado dentro do contexto dos riscos de
negócio globais da organização.
Especifica requisitos para a implementação de controles de segurança
customizados para as necessidades individuais de organizações ou suas partes.
O SGSI é projetado para assegurar a seleção de controles de segurança adequados
para proteger os ativos de informação e proporcionar confiança às partes interessadas
(VANZOLINE, 2007).
37
2.9 Segurança Física e do Ambiente de acordo com a Norma ABNT NBR
ISO/IEC 27002:2005
Segundo Ferreira e Araújo (2006), o papel da área de segurança nos negócios tem
se tornado diferencial competitivo, pois embora alguns acreditem ser burocracia, podemos
considerar que os controles aumentam de forma significativa a capacidade da organização não
estar tão exposta a perdas financeiras provenientes de fraudes, erros de processamentos, entre
outras possibilidades.
O estabelecimento da Política de Segurança da Informação é somente o estágio
inicial do processo de mudança de cultura quanto ao tema, sendo assim, a preparação de
políticas para o estabelecimento de um ambiente seguro somente se efetiva por meio do
comprometimento de seus profissionais e do desenvolvimento de processos que utilizam
tecnologias e práticas aderentes à política.
A norma ABNT NBR ISO/IEC 27002 sugere que uma consultoria especializada
seja envolvida, a fim de auxiliar no entendimento de tais requerimentos particulares, em cada
organização (FERREIRA e ARAÚJO, 2006).
2.9.1 Áreas seguras
De acordo com a ABNT NBR ISO/IEC 27002 (2005), o objetivo de uma Área
Segura é prevenir o acesso físico não autorizado, danos e interferências com as instalações e
informações da organização.
Convém que as instalações de processamento da informação críticas ou sensíveis
sejam mantidas em áreas seguras, protegidas por perímetros de segurança definidos, com
barreiras de segurança e controles de acesso apropriados. Convém ainda, que sejam
fisicamente protegidas contra o acesso não autorizado, danos e interferências.
Também, a proteção oferecida deve ser compatível com os riscos identificados.
Ferreira e Araújo (2006), dizem que a função básica da área de Segurança da
Informação é proteger o ativo de informação, minimizando os riscos a níveis aceitáveis. Em
38
algumas organizações, esta área também é responsável pela elaboração do plano de
continuidade do negócio.
2.9.2 Perímetro de segurança física
A segurança em tecnologia da informação pode ser compreendida por dois
principais aspectos: segurança lógica e segurança física. A segurança física desempenha um
papel tão importante quanto a segurança lógica, porque é a base para a proteção de qualquer
investimento feito por uma organização. Investir em diferentes aspectos da segurança sem
observar suas devidas prioridades pode ocasionar uma perda de todos os recursos investidos
em virtude de uma falha nos sistemas mais vulneráveis (FERREIRA e ARAÚJO, 2006).
Convém que sejam utilizados perímetros de segurança (barreiras tais como
paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas)
para proteger as áreas que contenham informações e instalações de processamento da
informação (ABNT NBR ISO/IEC 27002, 2005).
Ainda segundo a ABNT NBR ISO/IEC 27002 (2005), as seguintes diretrizes
devem ser levadas em consideração e implementadas para perímetros de segurança física,
quando apropriado. São elas:
•
Os perímetros de segurança sejam claramente definidos e que a localização e a
capacidade de resistência de cada perímetro dependam dos requisitos de segurança dos
ativos existentes no interior do perímetro, e dos resultados da análise/avaliação de
riscos;
•
Os perímetros de um edifício ou de um local que contenha instalações de
processamento da informação sejam fisicamente sólidos (ou seja, o perímetro não
deve ter brechas nem pontos onde poderia ocorrer facilmente uma invasão); convém
que as paredes externas do local sejam de construção robusta e todas as portas
externas sejam adequadamente protegidas contra acesso não autorizado por meio de
mecanismos de controle, por exemplo, barras, alarmes, fechaduras etc.; convém que as
portas e janelas sejam trancadas quando estiverem sem monitoração, e que uma
proteção externa para as janelas seja considerada, principalmente para as que
estiverem situadas no andar térreo;
39
•
Seja implantada uma área de recepção, ou um outro meio para controlar o acesso
físico ao local ou ao edifício; o acesso aos locais ou edifícios deve ficar restrito
somente ao pessoal autorizado;
•
Sejam construídas barreiras físicas, onde aplicável, para impedir o acesso físico não
autorizado e a contaminação do meio ambiente;
•
Todas as portas corta-fogo do perímetro de segurança sejam providas de alarme,
monitoradas e testadas juntamente com as paredes, para estabelecer o nível de
resistência exigido, de acordo com normas regionais, nacionais e internacionais
aceitáveis; elas devem funcionar de acordo com os códigos locais de prevenção de
incêndios e prevenção de falhas;
•
Sistemas adequados de detecção de intrusos, de acordo com normas regionais,
nacionais e internacionais, sejam instalados e testados em intervalos regulares, e
cubram todas as portas externas e janelas acessíveis; as áreas não ocupadas devem ser
protegidas por alarmes o tempo todo; também deve ser dada proteção a outras áreas,
por exemplo, salas de computadores ou salas de comunicações;
•
As instalações de processamento da informação gerenciadas pela organização devem
ficar fisicamente separadas daquelas que são gerenciadas por terceiros.
Abaixo, segue algumas informações adicionais sugeridas pela Norma ABNT NBR
ISO/IEC 27002 (2005):
•
Pode-se obter proteção física criando uma ou mais barreiras físicas ao redor das
instalações e dos recursos de processamento da informação da organização. O uso de
barreiras múltiplas proporciona uma proteção adicional, uma vez que neste caso a
falha de uma das barreiras não significa que a segurança fique comprometida
imediatamente.
•
Uma área segura pode ser um escritório trancável ou um conjunto de salas rodeado por
uma barreira física interna contínua de segurança. Pode haver necessidade de barreiras
e perímetros adicionais para o controle do acesso físico, quando existem áreas com
requisitos de segurança diferentes dentro do perímetro de segurança.
•
Convém que sejam tomadas precauções especiais para a segurança do acesso físico no
caso de edifícios que alojam diversas organizações.
40
2.9.3 Controles de entrada física
Qualquer acesso às dependências da organização, desde áreas de trabalho até
àquelas consideradas críticas (onde ocorre o processamento de informações críticas e
confidenciais) deve ser controlado sempre fazendo necessária sua formalização (FERREIRA
e ARAÚJO, 2006).
Segundo a ABNT NBR ISO/IEC 27002 (2005), convém que as áreas seguras
sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas
autorizadas tenham acesso.
As seguintes diretrizes para implementação devem ser levadas em consideração:
•
A data e hora da entrada e saída de visitantes sejam registradas, e todos os visitantes
sejam supervisionados, a não ser que o seu acesso tenha sido previamente aprovado;
convém que as permissões de acesso sejam concedidas somente para finalidades
específicas e autorizadas, e sejam emitidas com instruções sobre os requisitos de
segurança da área e os procedimentos de emergência;
•
Acesso às áreas em que são processadas ou armazenadas informações sensíveis seja
controlado e restrito às pessoas autorizadas; convém que sejam utilizados controles de
autenticação, por exemplo, cartão de controle de acesso mais PIN (personal
identification number), para autorizar e validar todos os acessos; deve ser mantido de
forma segura um registro de todos os acessos para fins de auditoria;
•
Seja exigido que todos os funcionários, fornecedores e terceiros, e todos os visitantes,
tenham alguma forma visível de identificação, e eles devem avisar imediatamente o
pessoal de segurança caso encontrem visitantes não acompanhados ou qualquer pessoa
que não esteja usando uma identificação visível;
•
Aos terceiros que realizam serviços de suporte, seja concedido acesso restrito às áreas
seguras ou às instalações de processamento da informação sensível somente quando
necessário; este acesso deve ser autorizado e monitorado;
•
Os direitos de acesso a áreas seguras sejam revistos e atualizados em intervalos
regulares, e revogados quando necessário.
41
2.9.4 Segurança em escritórios, salas e instalações
Uma área de segurança pode ser um escritório fechado ou diversas salas dentro de
um perímetro de segurança física, que podem estar fechadas ou podem conter armários
fechados ou cofres. Convém que a seleção e o projeto de uma área de segurança levem em
consideração as possibilidades de dano causado por fogo, inundações, explosões,
manifestações civis e outras formas de desastres naturais ou causados pelo homem. Convém
que também sejam levados em consideração as regulamentações e padrões de segurança e
saúde. Também devem tratar qualquer ameaça originada em propriedades vizinhas, como por
exemplo vazamento de água de outras áreas (SALGADO et al., 2004).
Segundo a ABNT NBR ISO/IEC 27002 (2005), deve ser projetada e aplicada
segurança física para escritórios, salas e instalações.
As seguintes diretrizes devem ser levadas em consideração para proteger
escritórios, salas e instalações:
•
Sejam levados em conta os regulamentos e normas de saúde e segurança aplicáveis;
•
As instalações-chave sejam localizadas de maneira a evitar o acesso do público;
•
Os edifícios sejam discretos e dêem a menor indicação possível da sua finalidade, sem
letreiros evidentes, fora ou dentro do edifício, que identifiquem a presença de
atividades de processamento de informações, quando for aplicável;
•
As listas de funcionários e guias telefônicos internos que identifiquem a localização
das instalações que processam informações sensíveis não fiquem facilmente acessíveis
ao público.
2.9.5 Proteção contra ameaças externas e do meio ambiente
Segundo a norma ABNT NBR ISO/IEC 27002 (2005), convém que sejam
projetadas e aplicadas proteção física contra incêndios, enchentes, terremotos, explosões,
perturbações da ordem pública e outras formas de desastres naturais ou causados pelo homem.
42
Todas as ameaças à segurança representadas por instalações vizinhas, por
exemplo, um incêndio em um edifício vizinho, vazamento de água do telhado ou em pisos do
subsolo ou uma explosão na rua, devem ser levadas em consideração.
Convém que sejam levadas em consideração as seguintes diretrizes para evitar
danos causados por incêndios, enchentes, terremotos, explosões, perturbações da ordem
pública e outras formas de desastres naturais ou causados pelo homem:
•
Os materiais perigosos ou combustíveis sejam armazenados a uma distância segura da
área de segurança. Suprimentos em grande volume, como materiais de papelaria, não
devem ser armazenados dentro de uma área segura;
•
Os equipamentos para contingência e mídia de backup fiquem a uma distância segura,
para que não sejam danificados por um desastre que afete o local principal;
•
Os equipamentos apropriados de detecção e combate a incêndios sejam
providenciados e posicionados corretamente.
2.9.6 Trabalhando em áreas seguras
Convém que seja projetada e aplicada proteção física, bem como diretrizes para o
trabalho em áreas seguras (ABNT NBR ISO/IEC 27002, 2005).
Segundo a ABNT NBR ISO/IEC 27002 (2005), as seguintes diretrizes devem ser
levadas em consideração:
•
Pessoal só tenha conhecimento da existência de áreas seguras ou das atividades nelas
realizadas, apenas se for necessário;
•
Seja evitado o trabalho não supervisionado em áreas seguras, tanto por motivos de
segurança como para prevenir as atividades mal intencionadas;
•
As áreas seguras não ocupadas sejam fisicamente trancadas e periodicamente
verificadas;
•
Não seja permitido o uso de máquinas fotográficas, gravadores de vídeo ou áudio ou
de outros equipamentos de gravação, tais como câmeras em dispositivos móveis, salvo
se for autorizado.
43
As normas para o trabalho em áreas seguras incluem o controle dos funcionários,
fornecedores e terceiros que trabalham em tais áreas, bem como o controle de outras
atividades de terceiros nestas áreas.
2.9.7 Acesso do público, áreas de entrega e de carregamento
Segundo a NBR ISO/IEC 27002 (2005), convém que os pontos de acesso, tais
como áreas de entrega e de carregamento e outros pontos em que pessoas não autorizadas
possam entrar nas instalações, sejam controlados e, se possível, isolados das instalações de
processamento da informação, para evitar o acesso não autorizado.
Convém que sejam levadas em consideração as seguintes diretrizes (NBR ISO/IEC
27002, 2005):
•
Acesso a uma área de entrega e carregamento a partir do exterior do prédio fique
restrito ao pessoal identificado e autorizado;
•
As áreas de entrega e carregamento sejam projetadas de tal maneira que seja possível
descarregar suprimentos sem que os entregadores tenham acesso a outras partes do
edifício;
•
As portas externas de uma área de entrega e carregamento sejam protegidas enquanto
as portas internas estiverem abertas;
•
Os materiais entregues sejam inspecionados para detectar ameaças potenciais antes de
serem transportados da área de entrega e carregamento para o local de utilização;
•
Os materiais entregues sejam registrados por ocasião de sua entrada no local, usandose procedimentos de gerenciamento de ativos;
•
As remessas entregues sejam segregadas fisicamente das remessas que saem, sempre
que possível.
44
2.9.8 Segurança de equipamentos
Segundo a ABNT NBR ISO/IEC 27002 (2005), o objetivo do item Segurança de
Equipamentos é impedir perdas, danos, furto ou comprometimento de ativos e interrupção das
atividades da organização.
Os equipamentos devem ser protegidos contra ameaças físicas e do meio ambiente.
A proteção dos equipamentos (incluindo aqueles utilizados fora do local, e a
retirada de ativos) é necessária para reduzir o risco de acesso não autorizado às informações e
para proteger contra perdas ou danos.
Também deve ser levada em consideração a introdução de equipamentos no local,
bem como sua remoção. Podem ser necessários controles especiais para a proteção contra
ameaças físicas e para a proteção de instalações de suporte, como a infra-estrutura de
suprimento de energia e de cabeamento.
2.9.9 Instalação e proteção do equipamento
Segundo a ABNT NBR ISO/IEC 27002 (2005), é importante que os equipamentos
sejam colocados no local ou protegidos para reduzir os riscos de ameaças e perigos do meio
ambiente, bem como as oportunidades de acesso não autorizado.
Devem ser levadas em consideração as seguintes diretrizes para proteger os
equipamentos:
•
Os equipamentos sejam colocados no local, a fim de minimizar o acesso desnecessário
às áreas de trabalho;
•
As instalações de processamento da informação que manuseiam dados sensíveis sejam
posicionadas de forma que o ângulo de visão seja restrito, de modo a reduzir o risco de
que as informações sejam vistas por pessoal não autorizado durante a sua utilização, e
os locais de armazenagem sejam protegidos, a fim de evitar o acesso não autorizado;
•
Os itens que exigem proteção especial devem ser isolados para reduzir o nível geral de
proteção necessário;
45
•
Sejam adotados controles para minimizar o risco de ameaças físicas potenciais, tais
como furto, incêndio, explosivos, fumaça, água (ou falha do suprimento de água),
poeira, vibração, efeitos químicos, interferência com o suprimento de energia elétrica,
interferência com as comunicações, radiação eletromagnética e vandalismo;
•
Sejam estabelecidas diretrizes quanto a comer, beber e fumar nas proximidades das
instalações de processamento da informação;
•
As condições ambientais, como temperatura e umidade, sejam monitoradas para a
detecção de condições que possam afetar negativamente os recursos de processamento
da informação;
•
Todos os edifícios sejam dotados de proteção contra raios e todas as linhas de entrada
de força e de comunicações tenham filtros de proteção contra raios;
•
Para equipamentos em ambientes industriais, o uso de métodos especiais de proteção,
tais como membranas para teclados, deve ser considerado;
•
Os equipamentos que processam informações sensíveis sejam protegidos, a fim de
minimizar o risco de vazamento de informações em decorrência de emanações.
2.9.10 Utilidades
Segundo a norma ABNT NBR ISO/IEC 27002 (2005), os equipamentos devem ser
protegidos contra falta de energia elétrica e outras interrupções causadas por falhas das
utilidades.
Convém que todas as utilidades, tais como suprimento de energia elétrica,
suprimento de água, esgotos, calefação/ventilação e ar-condicionado sejam adequados para os
sistemas que eles suportam. Convém que as utilidades sejam inspecionadas em intervalos
regulares e testadas de maneira apropriada para assegurar seu funcionamento correto e reduzir
os riscos de defeitos ou interrupções do funcionamento. Convém que seja providenciado um
suprimento adequado de energia elétrica, de acordo com as especificações do fabricante dos
equipamentos.
Recomenda-se o uso de UPS (Uninterruptible Power Supply) para suportar as
paradas e desligamento dos equipamentos ou para manter o funcionamento contínuo dos
equipamentos que suportam operações críticas dos negócios. Convém que hajam planos de
46
contingência de energia referentes às providências a serem tomadas em caso de falha do UPS.
Convém que seja considerado um gerador de emergência caso seja necessário que o
processamento continue mesmo se houver uma interrupção prolongada do suprimento de
energia. Convém que esteja disponível um suprimento adequado de combustível para garantir
a operação prolongada do gerador. Convém que os equipamentos UPS e os geradores sejam
verificados em intervalos regulares para assegurar que eles tenham capacidade adequada, e
sejam testados de acordo com as recomendações do fabricante. Além disto, deve ser
considerado o uso de múltiplas fontes de energia ou de uma subestação de força separada, se o
local for grande.
Convém que as chaves de emergência para o desligamento da energia fiquem
localizadas na proximidade das saídas de emergência das salas de equipamentos, para facilitar
o desligamento rápido da energia em caso de uma emergência. Convém que seja
providenciada iluminação de emergência para o caso de queda da força.
Convém que o suprimento de água seja estável e adequado para abastecer os
equipamentos de arcondicionado e de umidificação, bem como os sistemas de extinção de
incêndios (quando usados). Falhas de funcionamento do abastecimento de água podem
danificar o sistema ou impedir uma ação eficaz de extinção de incêndios. Convém que seja
analisada a necessidade de sistemas de alarme para detectar falhas de funcionamento das
utilidades, instalando os alarmes, se necessário.
Convém que os equipamentos de telecomunicações sejam conectados à rede
pública de energia elétrica através de pelo menos duas linhas separadas, para evitar que a
falha de uma das conexões interrompa os serviços de voz. Convém que os serviços de voz
sejam adequados para atender às exigências legais locais relativas a comunicações de
emergência.
Abaixo, segue algumas informações adicionais:
As opções para assegurar a continuidade do suprimento de energia incluem
múltiplas linhas de entrada, para evitar que uma falha em um único ponto comprometa o
suprimento de energia.
47
2.9.11 Segurança do cabeamento
Segundo a ABNT NBR ISO/IEC 27002 (2005), o cabeamento de energia e de
telecomunicações que transportam dados ou dá suporte aos serviços de informações deve ser
protegido contra interceptação ou danos.
As seguintes diretrizes para a segurança do cabeamento devem ser levadas em
consideração:
•
As linhas de energia e de telecomunicações que entram nas instalações de
processamento da informação sejam subterrâneas (ou fiquem abaixo do piso), sempre
que possível, ou recebam uma proteção alternativa adequada;
•
Cabeamento de redes seja protegido contra interceptação não autorizada ou danos, por
exemplo, pelo uso de conduítes ou evitando trajetos que passem por áreas públicas;
•
Os cabos de energia sejam segregados dos cabos de comunicações, para evitar
interferências;
•
Nos cabos e nos equipamentos, sejam utilizadas marcações claramente identificáveis,
a fim de minimizar erros de manuseio, como, por exemplo, fazer de forma acidental
conexões erradas em cabos da rede;
•
Seja utilizada uma lista de documentação das conexões para reduzir a possibilidade de
erros;
•
Para sistemas sensíveis ou críticos, os seguintes controles adicionais devem ser
considerados:
•
Instalação de conduítes blindados e salas ou caixas trancadas em pontos de
inspeção e pontos terminais;
•
Uso de rotas alternativas e/ou meios de transmissão alternativos que
proporcionem segurança adequada (contigência);
•
Utilização de cabeamento de fibras ópticas;
•
Utilização de blindagem eletromagnética para a proteção dos cabos;
•
Realização de varreduras técnicas e inspeções físicas para detectar a presença
de dispositivos não autorizados conectados aos cabos;
•
Acesso controlado aos painéis de conexões e às salas de cabos.
48
2.9.12 Manutenção dos equipamentos
Segundo a norma ABNT NBR ISO/IEC 27002 (2005), os equipamentos devem ter
uma manutenção correta para assegurar sua disponibilidade e integridade permanentes.
As seguintes diretrizes para a manutenção dos equipamentos devem ser levadas em
consideração:
•
A manutenção dos equipamentos seja realizada nos intervalos recomendados pelo
fornecedor, e de acordo com as suas especificações;
•
A manutenção e os consertos dos equipamentos sejam realizados somente por pessoal
de manutenção autorizado;
•
Sejam mantidos os registros de todas as falhas, suspeitas ou reais, e de todas as
operações de manutenção preventiva e corretiva realizadas;
•
Sejam implementados controles apropriados, na época programada para a manutenção
do equipamento, dependendo de a manutenção ser realizada pelo pessoal do local ou
por pessoal externo à organização; onde necessário, as informações sensíveis sejam
eliminadas do equipamento, ou o pessoal de manutenção seja de absoluta confiança;
•
Sejam atendidas todas as exigências estabelecidas nas apólices de seguro.
2.9.13 Segurança de equipamentos fora das dependências da organização
Segundo a ABNT NBR ISO/IEC 27002 (2005), devem ser tomadas medidas de
segurança para equipamentos que operem fora do local, levando em conta os diferentes riscos
decorrentes do fato de se trabalhar fora das dependências da organização.
Convém que, independentemente de quem seja o proprietário, a utilização de
quaisquer equipamentos de processamento de informações fora das dependências da
organização seja autorizada pela gerência.
As seguintes diretrizes para a proteção de equipamentos usados fora das
dependências da organização devem ser levadas em consideração:
•
Os equipamentos e suportes físicos de dados removidos das dependências da
organização não fiquem sem supervisão em lugares públicos; os computadores
49
portáteis sejam carregados como bagagem de mão e disfarçados, sempre que possível,
quando se viaja;
•
Sejam observadas a qualquer tempo as instruções do fabricante para a proteção do
equipamento, por exemplo, proteção contra a exposição a campos eletromagnéticos
intensos;
•
Os controles para o trabalho em casa sejam determinados por uma análise/avaliação de
riscos, sendo aplicados controles adequados para cada caso, por exemplo, arquivos
trancáveis, política de "mesa limpa", controles de acesso a computadores, e
comunicação segura com o escritório (ver ISO/IEC 18028 – Network security);
•
Haja uma cobertura adequada de seguro para proteger os equipamentos fora das
dependências da organização.
Ainda segundo a ABNT NBR ISO/IEC 27002 (2005), os riscos de segurança, por
exemplo, de danos, furto ou espionagem, podem variar consideravelmente de um local para
outro e devem ser levados em conta para determinar os controles mais apropriados.
Algumas informações adicionais:
•
Os equipamentos de armazenagem e processamento de informações incluem todas as
formas de computadores pessoais, agendas eletrônicas, telefones celulares, cartões
inteligentes, papéis e outros tipos, utilizados no trabalho em casa, ou que são
removidos do local normal de trabalho (ABNT NBR ISO/IEC 27002, 2005).
2.9.14 Reutilização e alienação segura de equipamentos
Segundo a ABNT NBR ISO/IEC 27002 (2005), todos os equipamentos que
contenham mídias de armazenamento de dados devem ser examinados antes do descarte, para
assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos ou
sobregravados com segurança.
Convém também que os dispositivos que contenham informações sensíveis sejam
destruídos fisicamente ou as informações sejam destruídas, apagadas ou sobregravadas por
meio de técnicas que tornem as informações originais irrecuperáveis, em vez de se usarem as
funções-padrão de apagar ou formatar.
Algumas informações adicionais:
50
•
No caso de dispositivos defeituosos que contenham informações sensíveis, pode ser
necessária uma análise/avaliação de riscos para determinar se convém destruir
fisicamente o dispositivo em vez de mandá-lo para o conserto ou descartá-lo.
•
As informações podem ser comprometidas por um descarte feito sem os devidos
cuidados ou pela reutilização do equipamento.
2.9.15 Remoção de propriedade
Convém que equipamentos, informações ou software não sejam retirados do local
sem autorização prévia (ABNT NBR ISO/IEC 27002, 2005).
Segundo a ABNT NBR ISO/IEC 27002 (2005), as seguintes diretrizes devem ser
levadas em consideração:
•
Os equipamentos, informações ou software não sejam retirados do local sem
autorização prévia;
•
Os funcionários, fornecedores e terceiros que tenham autoridade para permitir a
remoção de ativos para fora do local sejam claramente identificados;
•
Sejam estabelecidos limites de tempo para a retirada de equipamentos do local, e a
devolução seja controlada;
•
Sempre que necessário ou apropriado, seja feito um registro da retirada e da devolução
de equipamentos, quando do seu retorno.
Abaixo segue algumas informações adicionais, tais informações devem ser
observadas:
•
Podem ser feitas inspeções aleatórias para detectar a retirada não autorizada de bens e
a existência de equipamentos de gravação não autorizados, armas etc., e impedir sua
entrada no local. Convém que tais inspeções aleatórias sejam feitas de acordo com a
legislação e as normas aplicáveis. Convém que as pessoas sejam avisadas da
realização das inspeções, e elas só podem ser feitas com a devida autorização, levando
em conta as exigências legais e regulamentares.
51
3 CHECKLIST PROPOSTO
A seguir pode ser verificado o Checklist genérico proposto para verificação da
Segurança Física baseado na Norma ABNT NBR ISO/IEC 27002:2005.
CHECK-LIST PROPOSTO PARA VERIFICAÇÃO DA SEGURANÇA FÍSICA
BASEADO NA NORMA ABNT NBR ISO/IEC 17799:2005
CHECKLIST PROPOSTO PARA VERIFICAÇÃO DA SEGURANÇA FÍSICA BASEADO NA NORMA ABNT NBR ISO/IEC 27002:2005
Item
1
1.1
Seção
Segurança Física e do Ambiente
Áreas de Segurança
1.1.1
Perímetro da segurança física
1.1.2
Controles de entrada física
1.1.3
Segurança em escritórios, salas e instalações de processamento
1.1.4
Trabalhando em áreas seguras
1.1.5
Isolamento das áreas de expedição e cargas
1.2
Segurança dos Equipamentos
1.2.1
Instalação e proteção dos equipamentos
1.2.2
Fornecimento de energia
1.2.3
Segurança do cabeamento
1.2.4
Manutenção de equipamentos
1.2.5
Segurança de equipamentos fora das dependências da organização
1.2.6
Reutilização e alienação segura de equipamentos
1.3
Controles Gerais
1.3.1
Política de mesa limpa e tela limpa
1.3.2
Remoção de propriedade
Questões a auditar
Sim?
Não?
Se barreiras físicas, como recursos de segurança, foram implementadas para proteger o serviço
de processamento da informação.
Alguns exemplos de tais recursos de segurança são o controle por cartão do portão de entrada,
muros, presença de um funcionário na recepção, etc.
Se existem controles de entrada para permitir somente a entrada do pessoal autorizado dentro
de várias áreas da organização.
Se as salas, que possuem o serviço de processamento de informação ou contém armários
fechados ou cofres, são trancadas.
Se o serviço de processamento de informação é protegido contra desastres naturais ou causados
pelo homem.
Se existe alguma ameaça potencial de propriedades vizinhas.
Se existe algum controle de segurança para prestadores de serviço ou funcionários trabalhando
em área de segurança. A informação só deve ser fornecida quando necessário.
Se as áreas de expedição e carga e de processamento de informação são isoladas uma da
outra, para evitar acesso não autorizado.
Se uma avaliação de risco foi realizada para determinar a segurança de tais áreas.
Se o equipamento foi instalado em local apropriado para minimizar acesso não autorizado à área
de trabalho.
Se os itens que requerem proteção especial foram isolados para reduzir o nível geral de proteção
exigida.
Se os controles foram adotados para minimizar o risco de ameaças potenciais, como roubo, fogo,
explosão, fumaça, água, poeira, vibração, efeitos químicos, interferência no fornecimentos de
energia, radiação eletromagnética, inundação.
Se existe uma política especial para alimentação, bebida e fumo nas proximidades das
instalações de processamento da informação.
Se os aspectos ambientais são monitorados para evitar condições que possam afetar de maneira
adversa a operação das instalações de processamento da informação.
Se o equipamento é protegido contra falhas de energia e outras anomalias na alimentação
elétrica., utilizando fornecimento de energia permanente como alimentação múltipla, no-break,
gerador de reserva, etc.
Se o cabeamento elétrico e de telecomunicações que transmite dados ou suporta os serviços de
informação é protegido contra interceptação ou dano.
Se existe algum controle de segurança adicional para informações sensíveis ou críticas.
Se os equipamentos têm manutenção de acordo com os intervalos e especificações do
fabricante.
Se a manutenção é realizada apenas pelo pessoal autorizado.
Se são mantidos registros com todas as falhas suspeitas ou ocorridas e de toda a manutenção
corretiva e preventiva.
Se os controles apropriados são utilizados quando do envio de equipamentos para manutenção
fora da instalação física.
Se todos os requisitos impostos pelas apólices de seguro são atendidos.
Se um equipamento é autorizado pela direção quando necessitar ser utilizado fora das
instalações da organização.
Se dispositivos de armazenamento contendo informações sensíveis são fisicamente destruídos
ou sobrescritos de maneira segura.
Se um serviço de bloqueio automático de tela de computador está ativo. Isso irá travar o
computador sempre que for deixado ocioso por um determinado tempo.
Se os empregados são avisados para deixar qualquer material confidencial de forma segura e
trancada.
Se os equipamentos, informações ou software podem ser retirados em adequada autorização.
Se inspeções regulares são realizadas para detectar remoção de propriedade não autorizada.
Se as pessoas estão cientes que estas inspeções regulares estão realizadas.
FIGURA 4 – Checklist baseado na Norma NBR ISO 27002. Fonte: NBR ISO/IEC 27002:2005
52
A Norma ABNT NBR ISO/IEC 27002:2005 é a principal referência para assegurar
a implantação adequada e eficaz da Segurança da Informação em uma organização,
abordando a verificação de conformidade de uma organização segundo a norma no quesito
Segurança Física. Todos os aspectos propostos no Checklist foram descritos anteriormente no
segundo capítulo, subitem 2.9.
Esse Checklist poderá servir de termômetro para que as organizações consigam
checar o seu nível de conformidade com a norma, e assim corrigir os pontos falhos.
Algumas observações devem ser levadas em consideração após a aplicação do
Checklist:
o Deve-se levar em conta que não obrigatoriamente todos os controles e
diretrizes contidos na Norma ABNT NBR ISO/IEC 27002:2005 terão que ser
aplicados, devendo ser realizado um estudo de análise e avaliação de risco –
considerando-se os objetivos e as estratégias globais de negócio da
organização.
o Uma consultoria externa especializada pode ser necessária para ajudar no
planejamento e na implantação da Norma ABNT NBR ISO/IEC 27002:2005
na organização.
o Controles adicionais e recomendações não incluídas nesta Norma podem ser
necessários, como por exemplo, a implementação de um sistema de medição,
que seja usado para avaliar o desempenho da gestão da segurança da
informação e obtenção de sugestões para a melhoria.
o Distribuição e divulgação de diretrizes e normas sobre a política de segurança
da informação de forma eficiente para todos os gerentes, funcionários e outras
partes envolvidas para se alcançar a conscientização, com isso ganhando um
comprometimento e apoio visível de todos níveis gerenciais.
53
4 CONSIDERAÇÕES FINAIS
4.1 Conclusão
Certamente o mundo nunca mais foi o mesmo após o surgimento dos
computadores e após a evolução da Internet. No mundo atual globalizado, a Internet presta
um importante serviço, contribuindo para agilizar ainda mais este processo de globalização.
As organizações, habituadas cada vez mais a esta realidade digital, passam a depender dela de
forma vital. A informação passa a ser considerada um ativo das empresas, um patrimônio.
Nesta visão, percebemos o quanto é importante e indispensável à Segurança da
Informação para uma empresa. A proteção de seus dados a qualquer custo sob pena de
grandes prejuízos é um tema atual. Seguindo esta tendência, surgem tecnologias que
prometem elevado nível de segurança e proteção, e a cada dia as organizações se
conscientizam mais e mais da importância e necessidade de protegerem seus dados.
Porém tal proteção deve ser tratada como um hábito continuo. Para apoiar as
organizações e os profissionais de TI na tarefa de implantação da Segurança da Informação, a
Norma ABNT NBR ISO/IEC 27002:2005 se mostra como uma importante ferramenta.
Através dela, é possível aplicar-se todos os controles referentes a segurança física
promovendo assim a proteção desejada. Tais controles aqui mencionados podem acarretar um
investimento de alto custo inicialmente, porém levando em consideração os grandes prejuízos
que poderiam ser obtidos com a ausência de segurança, o investimento fica plenamente
justificado.
Através de um Checklist baseado na ABNT NBR ISO/IEC 27002:2005, pode-se
medir o nível de conformidade de uma organização com a norma, permitindo a checagem dos
pontos falhos e sua correção. Uma total conformidade com a norma ABNT NBR ISO/IEC
27002:2005 confere à organização o título de Organização Certificada. Isso garante que a
empresa está em plena conformidade com a norma, bem como a proteção eficaz de suas
informações. Outro ponto importante seria a valorização diante do mercado de organizações
que possuem os Certificados ISO.
Assim, concluímos que as hipóteses aqui apresentadas foram confirmadas
plenamente. Vale ressaltar que o estudo apresentado, bem como suas hipóteses e o Checklist
54
são baseados somente na Segurança Física da Informação, tendo ficado de fora dos estudos
a Segurança Lógica e outros aspectos que são também abordados pela Norma ABNT NBR
ISO/IEC 27002:2005.
4.2 Trabalhos Futuros
Este trabalho poderá ganhar novas contribuições e desdobramentos. A seguir são
apresentados possíveis desenvolvimentos futuros.
o A realização de um Checklist baseado na ABNT NBR ISO/IEC 27002:2005
onde se pode medir o nível de conformidade de uma organização com a norma
em relação à Segurança Lógica da Informação.
o Aplicação do Checklist em diferentes ambientes. Como por exemplo, realizar
um estudo comparativo dos resultados obtidos em uma instituição pública, com
resultados obtidos em organizaçôes de outros segmentos.
55
REFERÊNCIAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS E TÉCNICAS – ABNT. NBR ISO/IEC
17799:2005 – Tecnologia da informação – Técnicas de segurança – Código de prática para a
gestão da segurança da Informação. Rio de Janeiro: ABNT, 2005.
ASSOCIAÇÃO BRASILEIRA DE NORMAS E TÉCNICAS – ABNT. NBR ISO/IEC
27002:2005 – Tecnologia da informação – Técnicas de segurança – Código de prática para a
gestão da segurança da Informação. Rio de Janeiro: ABNT, 2005.
ALBUQUERQUE, Ricardo e RIBEIRO, Bruno. Segurança no desenvolvimento de software –
Como desenvolver sistemas seguros e avaliar a segurança de aplicações desenvolvidas com
base na ISO 15.408. Rio de Janeiro: Campus, 2002.
ALENCAR, Alexandre Cavalcante. COBIT, ITIL e ISO/IEC 27002. Melhores práticas para
governança de tecnologia da informação. 2010. Monografia (Graduação em Ciência da
Computação), Faculdade Lourenço Filho, Fortaleza, 2010.
ANDRADE, Thiago Felipe. Perícia forense computacional baseada em sistema operacional
windows. 2005. Monografia (Bacharelado em Sistemas de Informação), Centro Universitario
de Jaraguá do Sul, Jaraguá do Sul, 2005.
BAUER, César Adriano. Política de Segurança da Informação para Redes Corporativas.
2006. Monografia (Graduação em Ciência da Computação), Centro Universitário Feevale,
Novo Hamburgo, 2006. Disponível em: <http://tconline.feevale.br/tc/files/621.pdf>, Acesso
em: 24 Nov. 2010.
BARBOSA, André Sarmento. Fundamentos de sistemas de segurança da informação, 2004,
Disponível em: <http://www.projetoderedes.com.br/artigos>, Acesso em: 27 Ago. 2007.
BARRETO, Danilo Muniz. Uma Abordagem sobre Política de Segurança da Informação
Implantada. 2009. Monografia (Tecnólogo em Informática com ênfase em Gestão de
Negócios),
FATEC-ZL,
São
Paulo,
2009.
Disponível
em
<http://www.fateczl.edu.br/TCC/2009-1/tcc-11.pdf>, Acesso em: 23 Nov. 2010.
BURNETT, S.; Paine, S. Criptografia e segurança: O guia oficial RSA. Rio de Janeiro:
Elsevier, 2002.
CAVALCANTE, Sayonara de Medeiros. Segurança da informação no correio eletrônico
baseadas na ISO/IEC 17799: Um estudo de caso em uma instituição de ensino superior, com
foco no treinamento. 2003. Dissertação (Mestrado em Ciências em Engenharia de Produção),
Universidade Federal do Rio Grande do Norte, Natal, 2003. Disponível em:
<http://bdtd.bczm.ufrn.br/tedesimplificado/tde_arquivos6/TDE-2006-10-03/T225216Z341/PublicoSayonaraMC.pdf>, Acesso em 19 set. 2007.
DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel
Books, 2000.
56
FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Marcio Tadeu, Política de segurança da
informação: Guia prático para embalagem e implementação. Rio de Janeiro: Ciência
Moderna, 2006.
GOMES, George; OLIVEIRA, Suelene. Guia para Elaboração de Textos Acadêmicos –
Projeto de Monografia e Monografia. Fortaleza: Faculdade Lourenço Filho - FLF, 2010.
HONEYCUTT, Jerry. Usando a internet. Rio de Janeiro: Campus, 1998.
HONÓRIO, Paulo Henrique Araújo. HACKERS Como se proteger?. 2003. Monografia
(Graduação em Ciências da Computação), Centro Universitário do Triângulo, Uberlândia,
2003. Disponível em:
<http://www.computacao.unitri.edu.br/downloads/monografia/28211129128857.pdf>. Acesso
em: 10 Out. 2007.
INFORMA
BR,
Segurança
da
informação,
2007,
Disponível
<http://www.informabr.com.br/nbr.htm#13>, Acesso em: 06 Nov. 2007.
em:
KRAUSE, Micki e TIPTON, Harold F. Handbook of information security management.
Auerbach Publications, 1999.
LAUREANO, Marcos Aurelio Pchek; MORAES, Paulo Eduardo Sobreira. Segurança como
estratégia de gestão da informação. Artigo (Publicado na Revista Revista Economia &
Tecnologia, Vol. 8 – Fascículo 3 – P. 38-44 – Ano. 2005) Disponível < http://
www.ppgia.pucpr.br/~euclidesfjr/SEGURANCA_DA_INFORMACAO/economia_tecnologia
_seguranca_2005.pdf>, Acesso em: 23 Nov. 2010.
MÓDULO SECURITY SOLUTION S/A. Pesquisa nacional de segurança da informação 10,
2006. Disponível em: <http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf>,
Acesso em 20 Out. 2010.
MOREIRA, Nilton Stringasci. Segurança mínima: Uma visão corporativa da segurança de
informações. Rio de Janeiro: Axcel Books, 2001.
NASCIMENTO, Ricardo Brito. Segurança da informação na rede interna com certificados
digitais e seus aspectos legais. 2010. Monografia (Especialização em Ciência da Computação:
Gestão da Segurança da Informação e Comunicações), Universidade de Brasília, Brasília,
2010. Disponível em
<http://rbrito.googlecode.com/svn/diversos/UNB/monografia/Monografia_CEGSIC.pdf>.
Acesso em: 24 Nov. 2010.
NAKAMURA, Emilio Tissato; GEUS, Paulo Licio. Segurança de redes em ambientes
cooperativos; São Paulo: Futura, 2003.
PEREIRA, Cristiane Santos. Implementação de políticas e procedimentos de segurança em
ambiente internet. 2000. Monografia (Pós-Graduação em Gestão da Tecnologia da
Informação). Universidade de Brasília, Brasília, 2000.
SALGADO, Ivan Jorge Chueri; BANDEIRA, Ronaldo; SILVA, Rivaldo Sanches da. Análise
de segurança física em conformidade com a norma ABNT NBR ISO/IEC 17799. 2004.
57
Trabalho de conclusão de curso (Tecnólogo em Tecnologia da Segurança da Informação).
Faculdades Integradas ICESP, Brasília, 2004.
SÊMOLA, Marcos. Gestão da segurança da informação: Uma visão executiva. Rio de
Janeiro: Campus, 2003.
SOARES, Luiz Fernando Gomes; LEMOS, Guido; COLCHER, Sérgio. Redes de
computadores: das LAN’s, MAN’s e WAN’s às redes ATM. Rio de Janeiro: Campus, 1995.
VANZOLINE. Portal da fundação carlos alberto vanzolina. Disponível em:
<http://portal.vanzolini.org.br/areas/certificacao/auditores/pdf/PROCED/p.com.34.pdf>,
Acesso em: 06 Nov. 2007.
WADLOW, Thomas. Segurança de Redes. Rio de Janeiro: Campus, 2000.