UNIVERSIDADE ANHEMBI MORUMBI
JORGE AUGUSTO MENDES FERREIRA
MARIANA CICERO TABACOW
TIAGO ELIAS SARTORI
ELABORAÇÃO DE UMA POLÍTICA DE SEGURANÇA PARA UMA
MICROEMPRESA DE IMPORTAÇÃO DE COMPONENTES ELETRÔNICOS
São Paulo
2009
JORGE AUGUSTO MENDES FERREIRA
MARIANA CICERO TABACOW
TIAGO ELIAS SARTORI
ELABORAÇÃO DE UMA POLÍTICA DE SEGURANÇA PARA UMA
MICROEMPRESA DE IMPORTAÇÃO DE COMPONENTES ELETRÔNICOS
Trabalho de Conclusão de Curso apresentado como exigência parcial
para a obtenção de título de Graduação do Curso de Sistemas de
Informação da Universidade Anhembi Morumbi.
Orientador: Prof. Luciano Freire
São Paulo
2009
F441
Ferreira, Jorge Augusto Mendes
Elaboração de uma política de segurança para uma
microempresa de importação de componentes eletrônicos / Jorge
Augusto Mendes Ferreira, Mariana Cicero Tabacow, Tiago Elias
Sartori. – 2009.
98f.: il.; 30 cm.
Orientador: Luciano Freire.
Trabalho de Conclusão de Curso (Graduação em Sistemas da
Informação) – Universidade Anhembi Morumbi, São Paulo, 2009.
Bibliografia: f.98.
1. Sistemas da Informação. 2. Segurança da Informação. 3.
Política de Segurança. 4. Análise de Riscos. 5. NBR ISO/IEC
17799. I. Título.
CDD 658.4038
2
JORGE AUGUSTO MENDES FERREIRA
MARIANA CICERO TABACOW
TIAGO ELIAS SARTORI
ELABORAÇÃO DE UMA POLÍTICA DE SEGURANÇA PARA UMA
MICROEMPRESA DE IMPORTAÇÃO DE COMPONENTES ELETRÔNICOS
Trabalho de Conclusão de Curso apresentado como exigência parcial
para a obtenção de título de Graduação do Curso de Sistemas de
Informação da Universidade Anhembi Morumbi.
Aprovado em 26 de Novembro de 2009
________________________________________________________
Prof. Luciano Freire
Universidade Anhembi Morumbi
________________________________________________________
Profª Roberta Beatriz Aragon Bento
Universidade Anhembi Morumbi
________________________________________________________
Prof. Jorge Makoto Shintani
Universidade Anhembi Morumbi
3
AGRADECIMENTOS
Agradecemos ao professor Luciano Freire, pela forma como nos orientou e apoiou neste
trabalho e também por compartilhar seus conhecimentos com o grupo.
Agradecemos à esposa, namorada e namorado pela paciência, por caminharem junto a
nós, por passar todos os momentos bons e difíceis neste ano durante o desenvolvimento deste
trabalho de conclusão de curso.
Agradecemos também às nossos pais e familiares pelo apoio em nossa formação
acadêmica.
4
Para podermos escolher as ferramentas da informação
precisamos pensar em questões não-tecnológicas, como
as organizacionais e culturais. (TOFFLER, 1999)
5
RESUMO
O presente trabalho aborda a elaboração de uma política de segurança que é uma das
principais medidas adotadas pelas organizações com o objetivo de diminuir a probabilidade
de incidentes relacionados à segurança.
Atualmente existem algumas metodologias e melhores práticas em segurança da
informação, dentre elas está a NBR ISO/IEC 17799, que é baseada na norma BS7799, esta
norma foi usada durante este estudo e, por meio dela, foi possível verificar os passos para a
elaboração de uma política de segurança da informação.
Para desenvolver este trabalho, uma microempresa de importação de componentes
eletrônicos foi utilizada como objeto de estudo. Durante este processo, suas características e
processos foram detalhados e mapeados para que os problemas relacionados à segurança da
informação nesta empresa fossem identificados.
O objetivo deste trabalho é desenvolver uma política de segurança para a empresa
estudada, utilizando como base os conceitos adquiridos pelo estudo na revisão bibliográfica.
Palavras-Chave: Política de Segurança, Segurança da Informação, Norma NBR ISO/IEC
17799, Análise de riscos.
6
ABSTRACT
This paper discusses the development of a policy of information security is one of the
main measures taken by organizations in order to decrease the likelihood of security-related
incidents.
Currently there are some methodologies and best practices in information security,
among them is the NBR ISO/IEC 17799, which is based on BS7799 standard, this standard
was used during this study and, through it, it was possible to verify the steps for preparation a
policy of information security.
To develop this work, a micro import of electronic components was used as an object of
study. During this process, its characteristics and processes are detailed and mapped to the
problems related to information security in this company were identified.
The objective of this work is to develop a security policy for the company studied, using
as basis the concepts acquired by studying the literature review.
Keywords: Security Policy, Information Security, Standard NBR ISO/IEC 17799, Hazard
Analysis.
7
LISTA DE FIGURAS
Figura 1 Total de incidentes reportados .................................................................................. 13
Figura 2 Organograma da empresa ....................................................................................... 36
Figura 3 Fluxo de consulta do cliente.................................................................................... 40
Figura 4 Fluxo de consulta ao fornecedor............................................................................. 41
Figura 5 Fluxo de análise da consulta pelo cliente................................................................. 41
Figura 6 Fluxo do retorno do cliente...................................................................................... 42
Figura 7 Fluxo de verificação e análise de crédito................................................................. 43
Figura 8 Fluxo do envio das notas a contabilidade................................................................ 43
Figura 9 Fluxo de recebimento da nota a contabilidade.......................................................... 44
Figura 10 Topologia da rede................................................................................................... 45
8
LISTA DE TABELAS
Tabela 1 Propriedades básicas de uma política de segurança.................................................. 17
Tabela 2 Definição dos níveis de probabilidade...................................................................... 24
Tabela 3 Definição dos níveis de impacto............................................................................... 25
Tabela 4 Matriz dos níveis de risco......................................................................................... 26
Tabela 5 Definição dos níveis de risco.................................................................................... 26
Tabela 6 Exemplo de tabela para a análise de riscos............................................................... 27
Tabela 7 Ícones da linguagem BPM........................................................................................ 34
Tabela 8 Descrição dos equipamentos..................................................................................... 45
Tabela 9 Análise de risco do processo 1.................................................................................. 49
Tabela 10 Análise de risco do processo 2..................................................................... 51
Tabela 11 Análise de risco do processo 3..................................................................... 53
Tabela 12 Análise de risco do processo 4..................................................................... 55
Tabela 13 Análise de risco do processo 5..................................................................... 57
Tabela 14 Análise de risco do processo 6..................................................................... 59
Tabela 15 Análise de risco do processo 7..................................................................... 59
9
LISTA DE SIGLAS
5E
Cabo de par trançado categoria 5
ABNT
Associação Brasileira de Normas Técnicas
BPM
Business Process Management
CERT.BR
Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança
no Brasil.
CNPJ
Cadastro Nacional de Pessoal Jurídica
COFINS
Contribuição para o Financiamento da Seguridade Social
CSLL
Contribuição Social sobre o Lucro Líquido
FGTS
Fundo de Garantia por Tempo de Serviço
ICMS
Imposto sobre Circulação de Mercadorias e Serviços
IEC
International Eletroteclimical Comission
INSS
Instituto Nacional de Seguridade Social
IPI
Imposto sobre Produto Industrializado
IRPJ
Imposto de Renda Pessoa Jurídica
ISO
Organização Internacional para Normalização
ISS
Imposto Sobre Serviços
MAC
Media Access Control
Mbps
Megabit por Segundo
NBR
Norma Brasileira
NIST
National Institute of Standards and Technology
PIS
Programa de Integração Social
SERASA
Centralização dos Serviços Bancários S/A
TI
Tecnologia da Informação
UTP
Cabo de Par Trançado Não Blindado
10
SUMÁRIO
1
INTRODUÇÃO .......................................................................................................... 13
1.1
OBJETIVO ................................................................................................................... 14
1.2
JUSTIFICATIVA ......................................................................................................... 14
1.3
ABRANGÊNCIA ......................................................................................................... 14
1.4
ESTRUTURA DO TRABALHO ................................................................................. 14
2
POLÍTICA DE SEGURANÇA ................................................................................. 16
2.1
DESENVOLVIMENTO DA POLÍTICA ..................................................................... 16
2.2
ASPECTOS DA POLÍTICA DE SEGURANÇA ........................................................ 17
2.3
FASES PARA O DESENVOLVIMENTO DA POLÍTICA ........................................ 18
2.3.1
Levantamento de informações ................................................................................ 18
2.3.2
Desenvolvimento do conteúdo da Política de Segurança ..................................... 19
2.3.3
Elaboração dos procedimentos de segurança da informação .............................. 20
2.3.4
Revisão, aprovação e implantação da Política de Segurança .............................. 20
2.4
RESULTADO DA IMPLANTAÇÃO ......................................................................... 21
3
ANÁLISE QUALITATIVA DOS RISCOS.............................................................. 22
3.1
METODOLOGIA DE ANÁLISE DE RISCO ............................................................. 22
3.1.1
Caracterização dos ativos ....................................................................................... 23
3.1.2
Identificação das ameaças ....................................................................................... 23
3.1.3
Identificação de vulnerabilidades .......................................................................... 24
3.1.4
Determinação da probabilidade ............................................................................. 24
3.1.5
Análise de impacto ................................................................................................... 25
3.1.6
Determinação de risco ............................................................................................. 25
3.1.7
Matriz de nível de risco ........................................................................................... 25
3.2
APRESENTAÇÃO DE RESULTADOS ..................................................................... 27
4
NORMA NBR ISO/IEC 17799 .................................................................................. 28
4.1
ESTRUTURA DA NORMA ........................................................................................ 28
4.2
SEÇÕES ....................................................................................................................... 29
4.2.1
Política de segurança ............................................................................................... 29
11
4.2.2
Organização da segurança da informação ............................................................ 29
4.2.3
Gestão dos ativos ...................................................................................................... 29
4.2.4
Segurança em recursos humanos ........................................................................... 29
4.2.5
Segurança física e do ambiente............................................................................... 30
4.2.6
Gestão das operações e comunicações ................................................................... 30
4.2.7
Controle de acesso ................................................................................................... 30
4.2.8
Aquisição, desenvolvimento e manutenção de sistemas de informações ............ 31
4.2.9
Gestão de Incidentes de segurança da Informação .............................................. 31
4.2.10
Gestão da continuidade do negócio ........................................................................ 31
4.2.11
Conformidade .......................................................................................................... 31
4.3
DIRETRIZES ............................................................................................................... 32
5
BUSINESS PROCESS MANAGEMENT .................................................................. 33
5.1
LINGUAGEM BPM .................................................................................................... 33
6
DESCRIÇÃO DA EMPRESA ................................................................................... 36
6.1
ÁREA DE ATUAÇÃO ................................................................................................ 37
6.2
CARACTERÍSTICAS OPERACIONAIS ................................................................... 37
6.3
ESTRUTURA ORGANIZACIONAL.......................................................................... 37
7
MAPEAMENTO DOS PROCESSOS E INFRA-ESTRUTURA DA EMPRESA 38
7.1
MAPEAMENTOS DOS PROCESSOS ....................................................................... 38
7.2
MODELO DE PROCESSO DE NEGÓCIO ................................................................ 40
7.3
INFRA-ESTRUTURA DA EMPRESA ....................................................................... 44
8
METODOLOGIA....................................................................................................... 47
9
ANALISE DE RISCO DOS PROCESSOS DA EMPRESA ................................... 48
9.1
RESULTADO DA ANALISE DE RISCO .................................................................. 48
10
ELABORAÇÃO DA POLÍTICA DE SEGURANÇA ............................................. 60
10.1
ESTRUTURA DA POLÍTICA..................................................................................... 60
11
CONCLUSÃO............................................................................................................. 64
REFERENCIAS BIBLIOGRÁFICAS...................................................................... 65
APÊNDICE A – POLÍTICA DE SEGURANÇA DESENVOLVIDA .................... 67
12
APÊNDICE B – CARACTERÍSTICAS DOS EQUIPAMENTOS ........................ 73
ANEXO 1 – AUTORIZAÇÃO DA EMPRESA ....................................................... 89
ANEXO 2 – CONTROLES DA NORMA NBR ISO/IEC 17799 ............................ 90
13
1
INTRODUÇÃO
A necessidade de proteger as informações nas corporações tem aumentado nos últimos
anos (SÊMOLA, 2003), onde muitos sistemas não foram feitos para serem seguros.
Com o surgimento de novas tecnologias, pode-se melhorar o controle, mas toda nova
tecnologia não é suficiente para manter a segurança da informação quando o elemento
humano faz parte de seus requisitos. Com este cenário, faz-se necessário o desenvolvimento e
a implantação de uma importante ferramenta para a segurança da informação, a criação de
uma Política de Segurança, que tem o objetivo de orientar e conscientizar os funcionários,
fornecedores e colaboradores sobre as normas, diretrizes e procedimentos a serem seguidos,
buscando minimizar os riscos e evitar incidentes (FARIAS JUNIOR, 2002).
A não prevenção ou má administração da segurança da informação podem manchar a
imagem da empresa ou até mesmo arruinar o negócio, como por exemplo, com o vazamento
de segredos comerciais. Com isto, pode ser observada a necessidade da criação de políticas de
segurança para corporações de micro a grande porte.
A figura 1 ilustra o crescimento de incidentes de segurança da informação reportados ao
CERT, o qual é um indicativo da necessidade das empresas em se preocuparem com as
questões de segurança. Conseqüentemente, a política de segurança é fundamental neste
processo.
Figura 1: Total de incidentes reportados. Fonte: CERT (2009)
14
1.1
OBJETIVO
O objetivo deste trabalho é desenvolver uma política de segurança para as necessidades
e peculiaridades de uma microempresa de importação de componentes eletrônicos. A política
será guiada pela norma NBR ISO/IEC 17799 e visa a diminuição da probabilidade de
incidentes relacionados à segurança da informação.
1.2
JUSTIFICATIVA
Pequenas empresas, em geral, não se preocupam com segurança, não tem percepção dos
riscos e, normalmente, não tem recursos para contratar consultorias qualificadas, mas estão
sujeitas aos mesmos problemas de grandes empresas. Conseqüentemente, este trabalho pode
servir como auxílio para outras empresas criarem a sua política de segurança a partir dos
resultados que serão obtidos.
1.3
ABRANGÊNCIA
Este trabalho estuda e analisa os riscos de segurança em uma microempresa de
importação de componentes eletrônicos. Para alcançar o objetivo do trabalho, será
desenvolvida uma política de segurança guiada pela norma NBR ISO/IEC 17799. O trabalho
não contempla a implantação da política de segurança desenvolvida.
1.4
ESTRUTURA DO TRABALHO
Este trabalho está estruturado da seguinte forma. O capítulo dois esclarece o que é
política de segurança e seus principais aspectos. O capítulo três aborda a metodologia de
análise de risco escolhida para a proposta desenvolvida. O capítulo quatro é um resumo da
norma NBR ISO/IEC 17799 abordando termos e componentes. O capítulo cinco detalha a
linguagem Business Process Management que foi utilizada no mapeamento dos processos. O
capítulo seis descreve a empresa analisada bem como, sua área de atuação, características
operacionais e a estrutura organizacional. O capítulo sete expõe o mapeamento dos processos
e a infra-estrutura da empresa. O capítulo oito trata os métodos utilizados para o mapeamento
15
de processos, a análise e o desenvolvimento da política de segurança. O capítulo nove
sobressalta os resultados da análise de risco. O capítulo dez apresenta a descrição do processo
de elaboração da política de segurança proposta. O capítulo onze contempla a conclusão do
trabalho.
16
2
POLÍTICA DE SEGURANÇA
A política de segurança é um conjunto de normas, diretrizes e procedimentos que
devem ser seguidos por funcionários, fornecedores e colaboradores que tenham acesso aos
recursos e ao uso das informações de uma organização.
O objetivo de uma política de segurança é de preservar as informações que são
consideradas como o ativo mais valioso da empresa. Estas informações podem ser
comprometidas ou vazadas por despreparo de seus utilizadores, atividades ilegais ou
procedimentos não autorizados.
As medidas de uma política de segurança devem visar a prevenção, que tem um custo
muito abaixo dos custos de reparação dos danos ocasionados pela falta de segurança. Mesmo
com as medidas se ainda ocorrer algum dano a segurança, os efeitos devem ser reduzidos ao
mínimo utilizando-se planos de contingência.
A elaboração da política de segurança deve ser criteriosa e técnica. Além da elaboração
de suas normas ela também deverá sugerir alterações na configuração de equipamentos,
escolha de tecnologias e definição de responsabilidades. A política de segurança também
deverá estar em conformidade com as expectativas dos gestores da empresa e de seus recursos
(FONTES, 2008).
2.1
DESENVOLVIMENTO DA POLÍTICA
A política deve ser desenvolvida de acordo com as necessidades e peculiaridades de
cada empresa. Em empresas de médio a grande porte poderão ser criadas políticas específicas
para cada área, permitindo assim a criação de diretrizes específicas a cada setor. A política
deve ser abrangente e considerar hardware, software, dados e documentação.
Para uma política de segurança ser bem sucedida, ela deverá possuir as seguintes
características: (FONTES, 2008)
a) Linguagem simples;
b) Fácil compreensão e aplicação;
c) Clareza e concisão;
d) Estar de acordo com a realidade da empresa;
e) Revisões periódicas;
17
f) Estar implementada.
Uma política de segurança deve possuir três propriedades básicas indicadas em seu
contexto. A tabela 1 indica e detalha os objetivos e riscos de cada propriedade:
Tabela 1: Propriedades básicas de uma política de segurança. Fonte: O AUTOR (2009)
Propriedades
Objetivos
Consequências
Falhas no processamento, fraude,
Integridade
Evitar
perdas
e
alterações erros dos usuários e ambientais
indevidas ou não autorizadas
(incêndio, enchentes e outros
desastres naturais)
Evitar
Confidencialidade
a
divulgação
das
informações sem a autorização
prévia de seu proprietário
Divulgações
acidentais
ou
premeditadas
Garantir a disponibilidade da
Disponibilidade
informação para as pessoas que Falhas
nos
sistemas
e
necessitam dela para desempenhar indisponibilidade de serviços
seu trabalho
2.2
ASPECTOS DA POLÍTICA DE SEGURANÇA
A política de segurança deve conter as normas e procedimentos a respeito, pelo menos,
dos seguintes aspectos (CARUSO; STEFFEN, 1999):
a) Objetivo: breve descrição sobre a finalidade da política;
b) A quem se destina: definição de quais as estruturas às quais a mesma se aplica;
c) Recursos: definição das regras aplicadas aos diversos aspectos relacionados com aos
ativos de informações;
d) Responsabilidades: definição dos tipos de responsabilidades envolvidas com o
manuseio de informações, a quem as mesmas devem ser atribuídas e os mecanismos
de transferência;
18
e) Requisitos de acesso: indicação de quais os requisitos a serem atendidos para o
acesso as informações;
f) Responsabilização: medidas a serem tomadas nos casos de quebra às normas;
g) Generalidades: neste aspecto podem ser incluídas características que não caibam nos
demais.
2.3
FASES PARA O DESENVOLVIMENTO DA POLÍTICA
O desenvolvimento e a implementação podem ser divididos em quatro fases
(FERREIRA; ARAÚJO, 2008, p. 38 - 40):
2.3.1 Levantamento de informações
Nesta fase são obtidas as informações sobre a empresa analisada para identificar os
controles existentes e informações sobre os ambientes de negócio e tecnológico. Com base
nestas informações é possível identificar a atual situação da segurança da informação e suas
necessidades:
a) Obtenção dos padrões, normas e procedimentos de segurança já existentes para
análise;
b) Entendimento das necessidades e uso dos recursos da tecnologia da informação:
sistemas, equipamentos e dados, nos processos de negócios;
c) Obtenção de informações sobre os ambientes de negócios:
i.
Processos de negócios;
ii.
Tendências de mercado;
iii.
Controles e área de risco.
d) Obtenção de informações sobre o ambiente tecnológico:
i.
Fluxo de trabalho entre ambientes;
ii.
Redes de aplicações;
iii.
Plataformas computacionais.
19
2.3.2 Desenvolvimento do conteúdo da Política de Segurança
Nesta fase inicia-se o conteúdo da política, são definidas as regras e responsabilidades,
as informações a serem classificadas e são definidos os controles que serão tratados:
a) Gerenciamento da política de segurança;
i.
Definição da segurança da informação;
ii.
Objetivo do gerenciamento;
iii.
Fatores críticos de sucesso;
iv.
Gerenciamento da versão e manutenção da política;
v.
Referência para outras políticas, padrões e procedimentos.
b) Atribuição de regras e responsabilidades;
i.
Comitê de segurança da informação;
ii.
Proprietário das informações;
iii.
Área de segurança da informação;
iv.
Usuários de informações;
v.
Recursos humanos;
vi.
Auditoria interna.
c) Critérios para classificação das informações;
i.
Introdução;
ii.
Classificando a informação;
iii.
Níveis de classificação;
iv.
Reclassificação;
v.
Armazenamento e descarte;
vi.
Armazenamento e saídas.
d) Procedimentos de segurança de informações.
i.
Classificação e tratamento de informações;
ii.
Notificação e gerenciamento de incidentes de segurança da informação;
iii.
Processo disciplinar;
iv.
Aquisição e uso de hardware e software;
v.
Proteção contra software malicioso;
vi.
Segurança e tratamento de mídias;
vii.
Uso de internet;
viii. Uso de correio eletrônico;
20
ix.
Utilização dos recursos de TI;
x.
Backup;
xi.
Manutenção de teste e equipamentos;
xii.
Coleta e registro de falhas;
xiii. Gerenciamento e controle da rede;
xiv. Monitoração do uso e acesso aos sistemas;
xv.
Uso de controles de criptografia e gerenciamento de chaves;
xvi. Controle de mudanças operacionais;
xvii. Inventário dos ativos de informação;
xviii. Controle de acesso físico às áreas sensíveis;
xix. Segurança física;
xx.
Supervisão de visitantes e prestadores de serviço.
2.3.3 Elaboração dos procedimentos de segurança da informação
Nesta fase são pesquisadas as práticas utilizadas pelo mercado e baseado nestas são
desenvolvidos os procedimentos para cada controle selecionado na fase anterior:
a) Pesquisas sobre as melhores práticas em segurança da informação utilizadas no
mercado;
b) Desenvolvimento de procedimentos e padrões, para discussão com a alta
administração, de acordo com as melhores práticas de mercado e com as necessidades
e metas da organização;
c) Formalização dos procedimentos para integrá-los às políticas corporativas.
2.3.4 Revisão, aprovação e implantação da Política de Segurança
Nesta última fase, os procedimentos criados são revisados, a política é implantada e seu
conteúdo e regras são divulgados aos funcionários:
a) Revisão e aprovação das políticas, normas e procedimentos de segurança da
informação;
b) Efetiva implantação das políticas, normas e procedimentos de segurança da
informação por meio das seguintes iniciativas:
21
i. Atuação junto à área responsável pela comunicação, ou área correspondente, na
orientação para a preparação do material promocional, de divulgação e de
consulta;
ii. Divulgação das responsabilidades dos colaboradores, bem como da
importância das políticas, normas e procedimentos de segurança da
informação;
iii. Realização de palestras executivas referentes às políticas, normas e
procedimentos de segurança da informação desenvolvidas, tendo por públicoalvo a presidência, diretorias e gerências;
iv. Realização de palestras referentes às políticas, normas e procedimentos de
segurança, tendo por público-alvo outros colaboradores da organização.
2.4
RESULTADO DA IMPLANTAÇÃO
Ao final da implantação, a política de segurança conterá os seguintes elementos:
a) Diretrizes da Política;
b) Declaração de Comprometimento da Alta Direção;
c) Normas de Segurança;
d) Exemplos de Procedimentos;
e) Modelo de Termos de Sigilo, Confidencialidade e Responsabilidade.
22
3
ANÁLISE QUALITATIVA DOS RISCOS
A análise de riscos tem como objetivo estudar a probabilidade de ocorrência e o
impacto dos riscos identificados, para poder viabilizar a priorização individualizada ou em
grupo dos mesmos (DINIZ, 2004). Esta é uma etapa importante no processo de
desenvolvimento da política de segurança, pois, a partir desta serão criadas as diretrizes para o
tratamento dos riscos identificados.
Para que a análise de riscos possa ser iniciada, é necessário que os riscos estejam
identificados e tenham suas causas descritas. Com estes dados, a classificação será possível
através da elaboração de uma matriz do nível de risco descrita no item 3.1.7 matriz do nível
de risco. A matriz deverá ser elaborada de acordo com as características da empresa.
3.1 METODOLOGIA DE ANÁLISE DE RISCO
A metodologia de análise de risco deve priorizar os riscos e identificar as áreas para
melhorias imediatas, (FERREIRA, 2003). Esta técnica analisa através da avaliação e a
combinação da probabilidade de ocorrência e impacto. A análise qualitativa de riscos
identifica as probabilidades da ocorrência, se o impacto correspondente realmente ocorrerem.
Essa metodologia deve seguir as seguintes etapas:
1ª Etapa - Caracterização dos ativos
Input: Hardware, Software, Informações e Pessoas
Output: Limitações dos sistemas, funcionalidades, criticidades e sensibilidade dos
sistemas
2ª Etapa - Identificação das ameaças
Input: Histórico de ataques e dados informativos e estatísticos
Output: Declaração de ameaças
3ª Etapa - Identificação das Vulnerabilidades
Input: Relatório de avaliação de riscos anteriores, comentários da auditoria,
requerimentos da segurança e resultado dos testes de segurança
Output: Relação de potencias vulnerabilidades
4ª Etapa - Analise dos controles de segurança
23
Input: Controles atuais e planejados
Output: Relação dos controles de segurança atuais e planejados
5ª Etapa - Determinação da probabilidade
Input: Determinação das fontes das ameaças, capacidade da ameaça e natureza das
vulnerabilidades
Output: Probabilidade de ocorrência
6ª Etapa - Analise de Impacto
Input: Missão da análise de impacto, avaliação crítica dos ativos e criticidade e
sensibilidade dos dados
Output: Determinação do impacto
7ª Etapa - Determinação do risco
Input: Probabilidade da exploração da ameaça, impacto e ajuste de controle de
segurança atual
Output: Níveis de risco
8ª Etapa - Recomendação do controle
Output: Controles de segurança recomendados
9ª Etapa - Documentação dos resultados
Output: Relatório de avaliação dos riscos
3.1.1 Caracterização dos ativos
O bom senso é requerido no ato de classificar informações corporativas, quando
baseadas nos riscos que elas oferecem. Os ativos foram agrupados em cenários comerciais
como, por exemplo, transações bancárias online ou pesquisa de fornecedores. Depois, iniciase a discussão sobre ativos em seus cenários comerciais. Em seguida documentam-se os
ativos específicos dentro de cada cenário.
3.1.2 Identificação das ameaças
Ameaça é a possibilidade de um evento inesperado explorar uma vulnerabilidade de
forma eficaz. Vulnerabilidade é uma fraqueza que pode ser acidentalmente utilizada ou
intencionalmente explorada. Uma fonte de ameaça não representa risco quando não existe
vulnerabilidade que possa ser utilizada. O objetivo deste passo é apontar as fontes de ameaças
24
que contempla todo ambiente tecnológico da empresa, incluindo hábitos de funcionários, que
podem contemplar ameaças.
Abaixo listamos as fontes mais comuns de ameaça, suas motivações e ações
preventivas. (FERREIRA, 2003)
3.1.3 Identificação de vulnerabilidades
O foco desta etapa é listar as vulnerabilidades que podem ser exploradas pelas
potenciais fontes de ameaça. Para isto, as seguintes ferramentas que auxiliam essa
identificação são: (FERREIRA, 2003)
a) Repositórios de vulnerabilidades que podem ser relatórios anteriores de avaliação de
risco, comentários de auditoria, listas de vulnerabilidade como a fornecida pela
NIST, divulgação do fabricante, entre outros.
b) Testes de segurança do sistema como ferramentas automatizadas de scanning;
avaliação e testes detalhados de segurança; testes de ataque de invasão.
3.1.4 Determinação da probabilidade
Para determinar a probabilidade da ocorrência de uma potencial vulnerabilidade a ser
explorada, os seguintes pontos devem ser considerados: motivação, natureza, existência e
eficácia de controles de segurança. A tabela 2 define os níveis de probabilidade.
Tabela 2: definição dos níveis de probabilidade. Fonte: FERREIRA (2003)
Nível
Definição
Fonte de ameaça esta totalmente motivada e possui conhecimento
Alto
suficiente para a execução do ataque. Os controles de segurança para
prevenir que a vulnerabilidade seja explorada são ineficazes.
Fonte de ameaça está totalmente motivada e possui conhecimento
Médio
suficiente para a execução do ataque. Os controles de segurança para
prevenir que a vulnerabilidade seja explorada são eficazes.
Fonte de ameaça não está totalmente motivada e possui conhecimento
Baixo
suficiente para a execução do ataque. Os controles de segurança para
prevenir que a vulnerabilidade seja explorada são eficazes.
25
3.1.5 Análise de impacto
O impacto de um incidente de segurança pode ser descrito em termos de perda,
degradação qualquer, ou combinação das principais metas que devem ser alcançados no
contexto segurança da informação quanto à disponibilidade, integridade e confidencialidade.
Alguns impactos podem ser medidos quantitativamente por meio da determinação de
perdas financeiras e custos para a realização de manutenção corretiva. A tabela 3 detalha os
níveis de impacto e suas definições.
Tabela 3: definição dos níveis de impacto. Fonte: FERREIRA (2003)
Nível
Definição
Perda significante dos principais ativos e recursos
Alto
Perda de reputação, imagem e credibilidade
Impossibilidade de continuar com as atividades do negócio
Médio
Baixo
Perda dos principais ativos e recursos
Perda de reputação, imagem e credibilidade
Perda dos alguns ativos e recursos
Perda de reputação, imagem e credibilidade
3.1.6 Determinação de risco
O objetivo desta etapa é avaliar o nível do risco. A determinação do risco pode ser
expressa pela probabilidade de ocorrência, pelo nível do impacto causado devido ao sucesso
da exploração da vulnerabilidade e pela eficácia dos controles de segurança.
Para determinar os riscos, deve ser desenvolvida uma matriz de nível de riscos.
3.1.7 Matriz de nível de risco
Nesta etapa vamos avaliar o nível de risco dos processos, com a determinação do risco
das suas ameaças/vulnerabilidade especifica pode ser apresentada da seguinte forma (Ferreira,
2003):
a) Probabilidade de ocorrência;
b) Nível de impacto causado pelo sucesso da exploração de uma vulnerabilidade;
26
c) Eficácia dos controles de segurança existentes para minimizar o risco.
Para o levantamento dos riscos é necessário desenvolver uma matriz de risco. Para a
determinação dos riscos obtida pela multiplicação de classificação da probabilidade da
ocorrência versus o impacto na organização (Ferreira, 2003).
Na tabela 4 pode ser mostrado como as avaliações de risco podem ser determinadas. Ela
mostra como o nível alto, médio e baixo são apresentados.
Tabela 4: matriz dos níveis de risco. Fonte: FERREIRA (2003)
Impacto
Probabilidade
Baixo (10)
Médio (50)
Alto (100)
Alto (1,0)
Baixo 10 * 1,0 = 10
Médio 50 * 1,0 = 50
Alto 100 * 1,0 = 100
Médio (0,5)
Baixo 10 * 0,5 = 5
Médio 50 * 0,5 = 25
Alto 100 * 0,5 = 50
Baixo (0,1)
Baixo 10 * 0,1 = 1
Médio 50 * 0,1 = 5
Alto 100 * 0,1 = 10
Baseado na tabela a escala é utilizada da seguinte forma: Alta – pontuação entre 50 e
100, Média – pontuação entre 10 e 50 e Baixa – pontuação entre 1 e 10.
Para diminuir a exposição dos riscos mais relevantes, deve ser adotada uma estratégia de
identificação do impacto que os riscos oferecem a organização assim como a sua
probabilidade de ocorrências (FERREIRA, 2003). Esta métrica será usada para identificar os
ativos que devem ser protegidos. Ativos que não relevantes não passam por esse processo.
Tabela 5: definição dos níveis de risco. Fonte: FERREIRA (2003)
Nível
Descrição do Risco e Ações Necessárias
Alto
Se uma possibilidade de melhoria for avaliada como sendo de alto risco, existe
necessidade imediata para contramedidas serem adotadas. Os sistemas podem
continuar operando, entretanto, ações corretivas devem ser iniciadas o mais
breve possível!
Médio
Se uma possibilidade de melhoria for classificada como sendo de média, ações
corretivas estabelecidas em um plano de ação, devem ser realizadas em um
curto período de tempo.
Baixo
Se uma observação for classificada como sendo de baixo risco, os
administradores e proprietários das informações devem avaliar a necessidade de
efetuar manutenção corretiva ou assumir o risco.
27
3.2
APRESENTAÇÃO DE RESULTADOS
O resultado da análise de riscos é apresentado através de uma tabela para melhor
visualização e deve conter os seguintes campos:
a) Ativo: a informação em si e tudo que faz sua manipulação
b) Ameaça: as possíveis condições que podem causar perdas de ativos
c) Probabilidade: as chances de uma situação de ameaça que podem ocorrer
d) Impacto: resultado de um dano ou perda causados por uma ameaça
e) Vulnerabilidade: pontos que podem permitir que uma ameaça se torne real
f) Risco: situações que podem ocorrer na incidência da ameaça
g) Controles: controle da norma NBR ISO/IEC 17799 aplicável ao ativo
h) Controles existentes: controle de segurança existente na empresa
A tabela 6 mostra o modelo da tabela descrita acima.
Tabela 6: de tabela para a análise de riscos. Fonte: O AUTOR (2009)
Ativo Ameaça Probabilidade
Impacto
Vulnerabilidade Risco
Controles Controles
da norma existentes
28
4
NORMA NBR ISO/IEC 17799
A norma NBR ISO IEC 17799 é um conjunto de controles e diretrizes para a gestão da
segurança da informação que foi publicada no Brasil em setembro/2001 pela ABNT
(Associação Brasileira de Normas Técnicas). A norma fornece regras, diretrizes e
procedimentos para reduzir as ocorrências de perda de informação nas corporações,
garantindo a continuidade do negócio.
A segurança da informação é constantemente ameaçada por diversos fatores como:
problemas físicos no equipamento, vírus de computador e seus derivados, acidentes em geral,
desastres naturais e principalmente pelo usuário de forma involuntária ou maliciosa. Diante
destes fatores, a utilização de políticas de segurança pelas corporações reduz a ocorrência de
incidentes
e
assim
preservando
os
três
componentes
básicos
da
informação:
confidencialidade, integridade e disponibilidade.
Esta Norma pode ser considerada como um ponto de partida para o desenvolvimento de diretrizes
específicas para a organização. Nem todos os controles e diretrizes contidos nesta Norma podem
ser aplicados. Além disto, controles adicionais e recomendações não incluídas nesta Norma podem
ser necessários. Quando os documentos são desenvolvidos contendo controles ou recomendações
adicionais, pode ser útil realizar uma referência cruzada para as seções desta norma, onde
aplicável, para facilitar a verificação da conformidade por auditores e parceiros de negócio (NBR
ISO IEC 17799, 2005).
As informações protegidas pela implantação da norma são (FARIAS JUNIOR, 2002):
a) Os dados armazenados nos computadores;
b) As informações transmitidas por meio de redes;
c) As conversações telefônicas;
d) As informações impressas ou escritas no papel;
e) As informações enviadas por fax;
f) Os dados armazenados em fitas, discos ou microfilmes.
4.1
ESTRUTURA DA NORMA
A norma NBR ISO IEC 17799 possui sua estrutura dividida em onze seções de controle
de segurança da informação. As seções abrangem a segurança nos escopos físico, ambiente e
recursos humanos. Cada seção possui uma ou mais categorias principais de segurança que
29
somadas totalizam trinta e nove. As seções e os controles principais estão detalhados no item
4.2 Seções (NBR ISO IEC 17799, 2005, p. 5 - 6):
4.2
SEÇÕES
As seções da norma estão detalhadas abaixo com suas respectivas categorias principais
de segurança da informação. (NBR ISO IEC 17799, 2005):
4.2.1 Política de segurança
Fornece diretrizes de apoio para a segurança de informação baseada nos requisitos, leis e
regulamentações indispensáveis:
a) Política de segurança da informação.
4.2.2 Organização da segurança da informação
Gerir a segurança de informação da empresa:
a) Infra-estrutura da segurança da informação;
b) Partes externas.
4.2.3 Gestão dos ativos
Alavancar e mandar a segurança adequada aos ativos da empresa:
a) Responsabilidades pelos ativos;
b) Classificação da informação.
4.2.4 Segurança em recursos humanos
Certificar que funcionários, fornecedores e colaboradores assimilem a profundidade de
suas responsabilidades para reduzir incidentes de segurança da informação como roubo,
fraude ou mau uso:
30
a) Antes da contratação;
b) Durante a contratação;
c) Encerramento ou mudança da contratação.
4.2.5 Segurança física e do ambiente
Evitar o acesso não autorizado, tanto quanto perdas e intervenção de algum bem da
empresa:
a) Áreas seguras;
b) Segurança de equipamentos.
4.2.6 Gestão das operações e comunicações
Assegurar o bom uso dos recursos de informação e seu processamento:
a) Procedimentos e responsabilidades operacionais;
b) Gerenciamento de serviços terceirizados;
c) Planejamento e aceitação dos sistemas;
d) Proteção contra códigos maliciosos e códigos móveis;
e) Cópias de segurança;
f) Gerenciamento da segurança em redes;
g) Manuseio de mídias;
h) Troca de informações;
i) Serviços de comércio eletrônico;
j) Monitoramento.
4.2.7 Controle de acesso
Monitorar e restringir o acesso à informação:
a) Requisitos de negócio para controle de acesso;
b) Gerenciamento de acesso de usuário;
c) Responsabilidades dos usuários;
d) Controle de acesso a rede;
31
e) Controle de acesso ao sistema operacional;
f) Controle de acesso à aplicação e a informação;
g) Computação móvel e trabalho remoto.
4.2.8 Aquisição, desenvolvimento e manutenção de sistemas de informações
Reforçar que a segurança é um item indispensável a um sistema de informação integro:
a) Requisitos de segurança de sistemas de informação;
b) Processamento correto de aplicações;
c) Controles criptográficos;
d) Segurança dos arquivos do sistema;
e) Segurança em processos de desenvolvimento e de suporte;
f) Gestão de vulnerabilidades técnicas.
4.2.9 Gestão de Incidentes de segurança da Informação
Para que uma ação corretiva seja efetiva, devemos garantir que a comunicação de uma
eventualidade seja eficaz:
a) Notificação de fragilidades e eventos de segurança da informação;
b) Gestão de incidentes de segurança da informação e melhorias.
4.2.10 Gestão da continuidade do negócio
Para o caso de alguma eventualidade, são necessárias medidas que se tomadas em tempo
hábil garantam a continuidade do negócio:
a) Aspectos da gestão da continuidade do negócio, relativos à segurança da
informação.
4.2.11 Conformidade
Resguardar-se de quais tipos de violação da lei civil ou criminal, seguindo as
regulamentações e ou obrigações contratuais:
32
a) Conformidade com requisitos legais;
b) Conformidade com a política de segurança, normas e conformidade técnica;
c) Considerações quanto à auditoria de sistemas de informação.
4.3
DIRETRIZES
Para a utilização da norma, os requisitos de segurança da informação são identificados
através de uma análise de riscos. Os resultados obtidos contribuirão na determinação das
ações e prioridades. Com os requisitos identificados, os controles aplicáveis aos processos
específicos do negocio são selecionados com base nas decisões da corporação.
Além de a norma estabelecer diretrizes e princípios gerais para iniciar, implementar,
manter e melhorar a gestão de segurança da informação em uma organização, ela também
pode ser considerada como ponto de partida para o desenvolvimento de diretrizes específicas
para a organização (NBR ISO IEC 17799, 2005, p. 4).
33
5
BUSINESS PROCESS MANAGEMENT
Atualmente, os executivos estão amplamente acostumados a visualizar processos na
forma de fluxograma. Grande parte deles estuda a maneira com que as companhias trabalham,
muitas vezes definindo processos de negócios com fluxogramas simples. Isso cria uma lacuna
entre forma inicial do processo de negócios e os formatos de linguagem como a do Business
Process Execution Language for Web Services, que o executam.
Esta lacuna precisa ser preenchida com um mecanismo formal que oferece a
visualização mais adequada para o processo de negócio com um formato apropriado.
BPM surgiu da necessidade de uma linguagem que fizesse com que executivos
compreendessem e fossem capazes de desenvolver processos, que seriam interpretados e até
mesmo otimizados por programas que processam essa linguagem.
Business Process Modeling Notation fornece um diagrama do processo de negócio, que
é um diagrama projetado para ser utilizado pelos profissionais que projetam e controlam
processos de negócio (WHITE, 2009).
Business Process Modeling Notation fornece ao negócio a capacidade de compreender
seus procedimentos internos do negócio em um gráfico e dará a organizações a habilidade de
comunicar estes procedimentos em uma maneira padrão.
Uma notação gráfica padrão como descrita no BPM, facilita a compreensão das
colaborações, do desempenho e das transações de negócio, dentro e entre organizações. Isto
assegura que o negócio se compreenda e que parceiros também o compreendam.
A adoção desse padrão também permite que a organização se ajuste rapidamente a
novas circunstâncias internas do negocio (WHITE, 2009).
A linguagem BPM forneceu uma notação pratica e simples, adequada ao detalhamento
dos processos da empresa objeto.
5.1
LINGUAGEM BPM
A linguagem BPM possui ícones com aparência amigável para a para representar
processos de negócios. A tabela 7 exibe a imagem, o nome e uma breve descrição de cada
elemento.
34
Tabela 7: Ícones da linguagem BPM. Fonte: O AUTOR (2009)
Ícone
Nome
Recebe mensagem
Envia mensagem
Descrição
Elemento que indica o recebimento de uma
mensagem de um participante externo.
Elemento que indica o envio de uma mensagem
para um participante externo.
Tarefa que apresenta algum tipo de serviço que
Serviço
pode ser através da web ou de uma aplicação
automática.
Tarefa
Representa uma atividade que está incluída dentro
de um processo.
Elemento que indica onde vai iniciar o fluxo do
Inicia um processo
processo e, portanto, não recebe qualquer
seqüência de fluxo.
Sinal de início
Evento condicional
Evento de comunicação
Evento intermediário
Recebe o sinal transmitido por outro processo e
inicia o processo.
Este tipo de evento é desencadeado quando uma
condição é verdadeira.
Este elemento é utilizado para enviar ou receber.
É de uso geral em todo processo de comunicação.
Indica quando ocorre um evento entre o início e o
fim do processo.
Elemento que indica que uma mensagem foi
Mensagem enviada
enviada a um participante na conclusão do
processo.
Este tipo de final indica que é necessária uma
Complementação final
complementação, se uma atividade é identificada
e, em seguida, que a atividade vai ser
complementada.
Elemento que indica onde finaliza o fluxo do
Finaliza o processo
processo e, portanto, não tendo qualquer
seqüencia de fluxo.
35
Ícone
Nome
Encerramento
Descrição
Elemento que indica que todas as atividades do
processo devem ser encerradas imediatamente.
Representa um ponto de ramificação do processo
em que as alternativas são baseadas em eventos
Evento exclusivo
que ocorre nesse momento no processo, mais do
que o processo de avaliação de expressões
utilizando dados.
Anotação
Anotação de texto para fornecer informações
adicionais ao leitor do diagrama.
Fornecem informações sobre como documentos,
Objeto de dados
dados e outros objetos são utilizados e atualizados
durante o processo.
36
6
DESCRIÇÃO DA EMPRESA
A descrição fornece informações importantes sobre a história da empresa e sua
formação, que permitem identificar particularidades que serão consideradas para o
desenvolvimento da política de segurança específica para este negócio.
A empresa nasceu em 1985 para atuar na representação comercial no ramo de
componentes eletro-eletrônicos, nacionais e importados, tendo como sede a residência de seu
fundador.
Em Julho de 1987 alterou a sua razão social e transferiu-se de endereço para uma área
comercial de 150 metros quadrados, contratou seis funcionários e ampliou a sua atuação para
a comercialização direta compra, venda e estoques de componentes eletrônicos e de
informática.
Devido às constantes mudanças nas políticas cambiais brasileiras, rápida evolução e
miniaturização dos produtos eletrônicos e a chegada das empresas globais, ela redirecionou o
seu foco para o atendimento ágil das necessidades específicas de seus clientes que fabricam
equipamentos para a área de automação industrial, onde os volumes são menores e não
programados e as margens são melhores.
A VCI Componente Eletrônicos LTDA autorizou a divulgação de sua razão social e das
demais informações para o desenvolvimento deste trabalho. A autorização está localizada no
Anexo 1.
A empresa tem uma estrutura pequena. Seu organograma é representado pela figura 2.
Figura 2: Organograma da empresa. Fonte: O AUTOR (2009)
37
6.1
ÁREA DE ATUAÇÃO
A empresa atua na importação e comércio de produtos e componentes eletrônicos. A
VCI Comercial Eletrônica Ltda. fornece estes produtos a empresas que fabricam
equipamentos para a área de automação industrial.
6.2
CARACTERÍSTICAS OPERACIONAIS
Ela tem como características operacionais atender seus clientes com a rapidez na
importação dos componentes eletrônicos. Devido a seus clientes fabricarem produtos
relacionados à tecnologia e com a mudança da mesma o principal diferencial é a agilidade na
importação.
6.3
ESTRUTURA ORGANIZACIONAL
Hoje a VCI Componentes Eletrônicos LTDA, tem como estrutura dois escritórios,
sendo um na cidade de São Paulo e outro nos Estados Unidos na Florida. No escritório da
cidade de São Paulo é onde concentra as principais operações. No escritório dos Estados
Unidos onde é feita a compra e o recebimento dos componentes eletrônicos. As principais
operações do escritório de São Paulo estão detalhadas no capítulo 7.
38
7
MAPEAMENTO DOS PROCESSOS E INFRA-ESTRUTURA DA EMPRESA
O mapeamento dos processos e infra-estrutura é uma fase importante no
desenvolvimento da política de segurança, que é necessário para identificar as rotinas e
características operacionais da empresa.
7.1
MAPEAMENTOS DOS PROCESSOS
A rotina de trabalho da VCI Comercial Eletrônica Ltda. tem seu início no recebimento
da cotação enviada pelo cliente ao setor comercial, que consulta seus fornecedores locais e no
exterior, normalmente nos Estados Unidos, onde solicita preço, prazo de entrega, condições
de pagamento e frete.
A VCI Comercial Eletrônica Ltda. responde ao cliente sobre as condições gerais de
fornecimento obtidas junto aos seus fornecedores, e aguarda a análise e confirmação do
cliente. Caso ele confirme o pedido, inicia-se o processo de compra e venda da mercadoria ou
venda direta de terceiros.
A venda pode ser feita de duas maneiras: a vista, o que raramente ocorre, ou a prazo.
Quando à vista, a nota fiscal da fatura sai carimbada como recebido onde é mencionado o
número do cheque ou que o pagamento foi efetuado em dinheiro. Já quando o cliente escolhe
por pagar a prazo, acima do limite de crédito estipulado, a empresa reavalia o histórico de
crédito e, se necessário atualiza as informações cadastrais.
Caso seja um novo cliente, para a análise de crédito, a empresa solicita ao cliente, cópia
do contrato social e suas alterações se houver, do cartão do CNPJ, último balanço contábil
anual e relação dos principais fornecedores, clientes e bancos que operam para consulta. Com
uma consulta ao SERASA verificam-se pagamentos a fornecedora e impostos, a Junta
Comercial oferece um breve relato para verificação dos dados do Contrato Social e alterações,
e aos fornecedores e bancos para verificação dos limites de créditos concedidos e históricos
de pagamentos.
Após levantamento do potencial de compra do cliente em produto e quantidade
fabricada, pelo setor comercial, na análise dos dados acima é concedido um limite crédito
para 28 dias. Por tratar-se de uma empresa comercial, as compras são efetuadas de acordo
com as vendas em sua maioria, levando a desembolsar os pagamentos dos fornecedores após
o recebimento do cliente, tendo, portanto uma boa liquidez.
39
O seu setor financeiro, de crédito, emissão de notas fiscais, contas a receber, contas à
pagar, organização dos documentos para envio para escrituração fiscal, arquivo e projeção do
fluxo de caixa, são feitos por dois funcionários e dois estagiários, alternando as tarefas, para
uma melhor compreensão do setor como um todo, e subordinados a diretoria. A escrituração
fiscal e assessoria tributária são terceirizadas.
Diariamente, as notas fiscais faturadas são emitidas em cinco vias, por computador,
sendo que a primeira, terceira e quarta acompanham a mercadoria, as demais depois de
reconferidas, são encaminhadas, uma para o arquivo fiscal e outra, após a emissão das
duplicatas e lançamento de comissões de vendas, é enviada para escrituração na
contabilidade. As duplicatas mercantis emitidas, são encaminhadas através de arquivo
eletrônico, para cobrança bancária ou ficam em carteira, para depósito direto em conta
corrente, pelo cliente. No início do dia é verificado, via internet, o resumo de movimentação
de duplicatas de entrada, baixas de liquidações e vencidas do dia anterior, e saldos em conta
corrente e de investimentos, para efetivação dos pagamentos e acompanhamento do fluxo de
caixa. No caso das duplicatas vencidas é feito um contato com o cliente, e quando necessário
é feita uma renegociação de prazo, com a cobrança de juros.
As contas a pagar da empresa são projetadas mensalmente, acompanhadas diariamente e
dividas em sete grupos: fornecedores, funcionários, impostos, encargos sociais, despesas
gerais, comissões e pró-labores.
O fornecedor recebe um pedido de compra e envia a mercadoria para a VCI Comercial
Eletrônica Ltda. Quando do recebimento e conferência, pela expedição, são enviadas as três
vias da nota fiscal do fornecedor local ou de entrada, junto com a invoice, do fornecedor
internacional para o setor financeiro que arquivará a primeira via, encaminhará a segunda para
a escrituração contábil e a terceira para lançamento no setor de contas a pagar. Normalmente
após alguns dias chega do fornecedor local, o respectivo boleto bancário, que é checado com
o valor lançado e arquivado na pasta de futuros pagamentos por ordem cronológica e efetivados na data do vencimento. Os pagamentos internacionais são concentrados e uma ou duas
remessas mensais, para diluir os custos fixos bancários da remessa. O prazo médio de
pagamento aos fornecedores é de 42 dias.
A folha de pagamento dos funcionários, comissões e pró-labores é preparada e
calculada pela contabilidade e depositada em conta salário no dia 15, adiantamento de 40%, e
no dia 30, o saldo, menos os encargos sociais como INSS e IRPF.
40
A empresa recolhe os encargos sociais INSS, FGTS e PIS, e também os impostos
ICMS, IPI, ISS, COFINS, IRPJ e CSLL no regime de lucro presumido, sendo que todas as
guias de recolhimento são calculadas e preparadas pela contabilidade.
As principais despesas gerais, tais como: aluguel do imóvel, condomínio, leasing,
seguros, contrato de manutenção de equipamentos de informática, são lançadas como previsão
no início do mês e confrontadas quando do efetivo recebimento dos boletos de pagamentos,
arquivadas na pasta de futuros pagamentos por ordem cronológica. Os pagamentos menores,
tais como combustível, alimentação e cópias de documentos são pagos em espécie, por um
pequeno caixa na tesouraria, que é conciliado semanalmente.
Após a efetivação dos pagamentos, na sua maioria via bancária, são copiados para
lançamentos contábeis, ficando os originais arquivados na empresa.
7.2
MODELO DE PROCESSO DE NEGÓCIO
No modelo de processo de negócio, foram mapeados e detalhados os principais
processos da empresa que estão representados nas figuras 3 a 9 modeladas na linguagem
BPM:
No processo um, o cliente ou futuro cliente, entra em contato com a VCI Comercial
Eletrônica LTDA. para consultar se a empresa fornece o produto desejado. A figura 3
representa o fluxo deste processo:
Figura 3: Fluxo de consulta do cliente. Fonte: O AUTOR (2009)
No processo dois, A VCI Comercial Eletrônica LTDA. recebe a solicitação do cliente e
consulta seus fornecedores. Quando a empresa obtém o retorno, repassa ao seu cliente. A
figura 4 representa o fluxo deste processo:
41
Figura 4: Fluxo de consulta ao fornecedor. Fonte: O AUTOR (2009)
No processo três, o cliente recebe a consulta enviada pela empresa, faz a análise da
mesma e informa a VCI comercial eletrônica LTDA. se irá efetuar a compra ou não. A figura
5 representa o fluxo deste processo:
Figura 5: Fluxo de análise da consulta pelo cliente. Fonte: O AUTOR (2009)
No processo quatro, assim que o cliente envia a resposta a VCI Comercial Eletrônica
LTDA. se o resultado for positivo, a empresa inicia o processo de compra com seus
fornecedores estrangeiros e verifica com o cliente como será a forma de pagamento. Caso seja
à vista, emite a nota fiscal e entrega a mercadoria. Se a resposta do cliente for negativa, a
empresa arquiva a consulta. A figura 6 representa o fluxo deste processo:
42
Figura 6: Fluxo do retorno do cliente. Fonte: O AUTOR (2009)
No processo cinco, quando o pagamento for a prazo, a VCI comercial eletrônica LTDA.
verifica se o cliente é novo ou não. No caso de ser novo, a empresa solicita documentação
para análise e faz consulta no SERASA e na Junta Comercial.
Com a conclusão desta análise, os integrantes da área administrativa e diretoria,
decidem se liberam o crédito para o cliente efetuar a compra. Se o crédito não for concedido,
o cliente é informado. Se o crédito for aprovado, é iniciado o processo de emissão da nota
fiscal e entrega dos produtos.
Para os clientes antigos, a empresa atualiza seus históricos de crédito e analisa sua
solicitação e informa o cliente. A figura 7 representa o fluxo deste processo:
43
Figura 7: Fluxo de verificação e análise de crédito. Fonte: O AUTOR (2009)
No processo seis, a VCI comercial eletrônica LTDA. envia a nota fiscal a contabilidade
assim que a mesma é emitida. A figura 8 representa o fluxo deste processo:
Figura 8: Fluxo do envio das notas a contabilidade. Fonte: O AUTOR (2009)
No processo sete, assim que contabilidade recebe na nota fiscal, contabiliza e em
seguida faz o arquivamento. A figura 9 representa o fluxo deste processo:
44
Figura 9: Fluxo de recebimento da nota a contabilidade. Fonte: O AUTOR (2009)
7.3
INFRA-ESTRUTURA DA EMPRESA
A VCI Comercial Eletrônica Ltda. atualmente não possui sistema de gerenciamento,
todo o controle e feito manualmente através de softwares da Microsoft, apresentados abaixo:
a) Software de e-mail: Windows mail;
b) Editor de texto: Word;
c) Planilhas eletrônicas: Excel.
A infra-estrutura de informática e suas formas de acesso à rede de informação é
composta por uma rede local, com conexão a internet por um link de banda larga Net Virtua
de 2 Mbps.
A rede local esta estruturada com a topologia estrela, com quatro pontos de acesso,
sendo dois conectados através de cabo UTP com categoria 5E e os outros dois conectados via
wireless, distribuídos entre seu escritório, usando a tecnologia Ethernet com velocidade de
tráfego de 10/100 Mbps.
Os usuários estão conectados à internet e têm instalado suítes de aplicativos Microsoft
Office, Messenger, programa de abertura de impostos entre outros aplicativos.
Os computadores da empresa estão conectados à Internet por meio de um link de banda
larga Net Virtua, localizado no escritório em São Paulo, com a velocidade de 2 Mbps.
Os dois pontos conectados através de cabo, e dois pontos conectados via wireless e
software. Esta estrutura é representada pela figura 10.
45
Figura 10: Topologia da Rede. Fonte: O AUTOR (2009)
A tabela 8 contém as características e as quantidades de cada desktop, notebook,
impressora e equipamento.
Tabela 8: Descrição dos equipamentos. Fonte: O AUTOR (2009)
Especificação
Equipamento
Equipamento
Equipamento
Características
Impressora Multifuncional HP (Photosmart
2570 series)
Impressora Matricial EPSON
Roteador Linksys - wrt54g (Firmware Version:
v1.01.1)
Quantidade
1
1
1
Processador 1,80 gigahertz Intel Pentium 4
8 kilobyte primary memory cache
512 kilobyte secondary memory cache
40,02 Gigabytes Usable Hard Drive Capacity
Microcomputador
HL-DT-ST CD-RW GCE-8320B [CD-ROM
1
drive]
Unidade de disquete [Floppy drive]
Hard drive 40,03 Gigabytes
480 Megabytes Installed Memory
Windows XP Home Edition Service Pack 3
Softwares
AVG Internet Security Version 8.5.0.329
Microsoft - Office XP Professional
1
46
Especificação
Características
Quantidade
Sony Corporation VGN-FZ190N R5284818
1,80 gigahertz Intel Core2 Duo
64 kilobyte primary memory cache
Notebook
2048 kilobyte secondary memory cache
1
Hard Drive 100,03 Gigabytes
PIONEER DVD-RW [CD-ROM drive]
2038 Megabytes Installed Memory
Windows Vista Business Service Pack 1
Softwares
AVG Internet Security Version 8.0.0.223
1
Microsoft - Office XP Standard
Hewlett-Packard HP Pavilion dv2700
2,00 gigahertz Intel Core2 Duo
64 kilobyte primary memory cache
Notebook
2048 kilobyte secondary memory cache
1
Hard drive 160,04 Gigabytes
3062 Megabytes Installed Memory
Optiarc DVD RW [CD-ROM drive]
Windows Vista Business Service Pack 1
Softwares
Microsoft - Office XP Professional
AVG Internet Security Version 8.5.0.329
1
47
8
METODOLOGIA
Este trabalho foi guiado por uma metodologia através da qual foram abrangidos todos
os detalhes que definem a política de segurança criada.
No processo de elaboração de uma política de segurança foi necessário fazer uma
análise detalhada da estrutura atual da empresa, para identificar a área de atuação,
características operacionais e estrutura organizacional visando compreender o funcionamento
desta. Este levantamento já foi realizado e descrito nos capítulos anteriores.
Para que a política de segurança desenvolvida fosse adequada e viável a esta
corporação, foi realizado um mapeamento de processos, mapeamento modelo de processo de
negócio, levantamento da infra-estrutura e sua topologia, os quais são necessários para
identificar o fluxo de informações na estrutura da empresa.
Após todo o levantamento de dados, foi realizada uma análise qualitativa de riscos
sobre os escopos tecnológico, processo e físico. Através deste identificam-se e classificam-se
prioridades e pontos críticos relacionados ao fluxo e armazenamento de informações.
Para a análise de riscos, foi adotado um método qualitativo que é mais adequado a este
estudo e às características desta organização.
Para complementar a análise de riscos, foi utilizada a metodologia Business Impact
Analysis (HILES, 2002), que analisa o impacto causado no negócio por pontos críticos nos
processos de tecnologia da informação que são necessários a continuidade do negócio.
Com o resultado da análise de riscos, as ações e medidas de prevenção ou correção das
possíveis falhas detectadas, foram determinadas de acordo com a caracterização do risco.
A análise de riscos teve uma grande importância no processo de desenvolvimento da
política de segurança, pois, a partir desta foram criadas as diretrizes para o tratamento dos
riscos identificados para garantir a qualidade do resultado do trabalho.
A partir do mapeamento da empresa e a análise de riscos, uma política norteada pela
norma NBR ISO/IEC 17799 foi desenvolvida, com o intuito de abordar aspectos
imprescindíveis e aplicáveis da norma à empresa, com a ciência de que somente uma parte
das diretrizes da norma é aplicável a uma empresa de pequeno porte.
48
9
ANALISE DE RISCO DOS PROCESSOS DA EMPRESA
Para identificar as vulnerabilidades de segurança da informação na empresa, uma
análise de risco foi efetuada em cada um dos processos que estão detalhados no capítulo sete.
Inicialmente foram identificados os ativos envolvidos, as ameaças, os níveis de probabilidade,
impacto e vulnerabilidade, os riscos, os controles da norma e os controles de segurança
existentes. As informações obtidas foram tabuladas em planilhas que foram utilizadas no
desenvolvimento da política de segurança. Os níveis de probabilidade, impacto e
vulnerabilidade foram determinados através da aplicação da metodologia de análise de risco
descrita no capítulo três. Com os riscos identificados, foram selecionados os controles da
norma para tratar estes riscos e a partir destes, os procedimentos da política de segurança
foram criados.
9.1 RESULTADO DA ANALISE DE RISCO
As informações obtidas durante a análise de riscos e o resultado estão descritos nas
tabelas 9 a 15.
49
Tabela 9: Análise de risco do processo 1. Fonte: O AUTOR (2009)
Processo 1 – Fluxo de consulta do cliente
Ativo
Ameaça
Probabilidade Impacto Vulnerabilidade
SO do
notebook
Sony
Ataques externos
Baixo
Alto
Alto
Vaio
Roubo do
equipamento
Alto
Alto
Alto
Risco
Controles da norma ISO 177991
Controles
existentes
11.2.1
11.6.2
11.6.29
11.2.3
11.6.3
11.6.30
11.2.10
11.6.4
11.6.31
Perda de dados /
11.2.11
11.6.5
11.7.3
Roubo de informação /
11.5.13
11.6.7
11.7.4
Acesso não autorizado (internet / externo) /
11.5.14
11.6.8
11.7.6
Indisponibilidade do equipamento /
11.5.15
11.6.11
11.7.7
Prejuízo financeiro /
11.5.16
11.6.17
11.7.11
Inventário de serviços e vulnerabilidades
11.5.17
11.6.18
11.7.12
11.5.18
11.6.19
11.7.19
11.5.19
11.6.21
11.7.21
11.5.20
11.6.22
Perda de dados /
11.4.3
11.4.8
11.4.13
Informações da máquina /
11.4.4
11.4.9
11.8.5
Prejuízo financeiro /
11.4.5
11.4.10
11.9.5
Acesso não autorizado aos dados
11.4.7
11.4.12
11.4.3
11.4.8
11.4.13
Perda de dados /
11.4.4
11.4.9
11.8.5
Tem manutenção
Perda de informações e pedidos do cliente
11.4.5
11.4.10
11.9.5
corretiva
11.4.7
11.4.12
11.10.6
Nenhum
Nenhum
Notebook
Sony
Vaio
Quebra do
equipamento
1
Médio
Alto
Alto
A definição dos itens desta coluna encontra-se descrito no anexo 2 na página 90.
50
Ativo
Ameaça
Probabilidade Impacto Vulnerabilidade
Softwares e
arquivos do
notebook
Vírus
Médio
Médio
Médio
Sony Vaio
Risco
Controles da norma ISO 17799
11.2.1
11.6.3
11.6.31
11.2.3
11.6.4
11.7.3
11.2.10
11.6.5
11.7.4
11.2.11
11.6.7
11.7.6
11.5.13
11.6.8
11.7.7
Roubo de dados e informações /
11.5.14
11.6.11
11.7.11
Falta de usabilidade de algum serviço /
11.5.15
11.6.17
11.7.12
Comprometimento dos dados
11.5.16
11.6.18
11.7.19
11.5.17
11.6.19
11.7.21
11.5.18
11.6.21
11.7.22
11.5.19
11.6.22
11.8.5
11.5.20
11.6.29
11.6.2
11.6.30
Controles
existentes
Tem antivírus
1.1.5.25
11.5.26
Mensagens
Vírus / spam e
de e-mail
Invasão
Baixo
Médio
Médio
Roubo de dados e informações /
11.5.27
Falta de usabilidade de algum serviço
11.5.30
11.7.6
11.7.7
Antivírus e
-
-
backup uma
vez por mês
51
Tabela 10: Análise de risco do processo 2. Fonte: O AUTOR (2009)
Processo 2 – Fluxo de consulta ao fornecedor
Ativo
Ameaça
Probabilidade Impacto Vulnerabilidade
Risco
11.6.31
11.2.3
11.6.4
11.7.3
11.2.10
11.6.5
11.7.4
11.2.11
11.6.7
11.7.6
11.5.13
11.6.8
11.7.7
11.5.14
11.6.11
11.7.11
11.5.15
11.6.17
11.7.12
11.5.16
11.6.18
11.7.19
11.5.17
11.6.19
11.7.21
11.5.18
11.6.21
11.7.22
11.5.19
11.6.22
11.8.5
11.5.20
11.6.29
11.6.2
11.6.30
Perda de dados /
11.4.3
11.4.8
11.4.13
Informações da maquina /
11.4.4
11.4.9
11.8.5
Prejuízo financeiro /
11.4.5
11.4.10
11.9.5
Acesso não autorizado aos dados
11.4.7
11.4.12
11.4.3
11.4.8
11.4.13
Perda de dados /
11.4.4
11.4.9
11.8.5
Tem manutenção
Perda de informações e pedidos do cliente
11.4.5
11.4.10
11.9.5
corretiva
11.4.7
11.4.12
11.10.6
Roubo de informação /
notebook
Acesso não autorizado (internet / externo) /
Baixo
Alto
Alto
Vaio
Indisponibilidade do equipamento /
Prejuízo financeiro /
Inventário de serviços e vulnerabilidades
Roubo do
equipamento
Alto
Alto
Alto
existentes
11.6.3
SO do
Ataques externos
Controles
11.2.1
Perda de dados /
Sony
Controles da norma ISO 17799
Nenhum
Nenhum
Notebook
Sony
Vaio
Quebra do
equipamento
Médio
Alto
Alto
52
Ativo
Ameaça
Probabilidade Impacto Vulnerabilidade
Risco
11.2.1
11.6.3
11.6.31
11.2.3
11.6.4
11.7.3
11.2.10
11.6.5
11.7.4
11.2.11
11.6.7
11.7.6
11.5.13
11.6.8
11.7.7
Roubo de dados e informações /
11.5.14
11.6.11
11.7.11
Falta de usabilidade de algum serviço /
11.5.15
11.6.17
11.7.12
Comprometimento dos dados
11.5.16
11.6.18
11.7.19
11.5.17
11.6.19
11.7.21
11.5.18
11.6.21
11.7.22
11.5.19
11.6.22
11.8.5
11.5.20
11.6.29
11.6.2
11.6.30
Softwares e
arquivos do
notebook
Vírus
Médio
Médio
Médio
Sony
Controles da norma ISO 17799
Vaio
Controles
existentes
Tem antivírus
11.5.25
11.5.26
Mensagens
Vírus / spam e
de e-mail
Invasão
Baixo
Médio
Médio
Roubo de dados e informações /
11.5.27
Falta de usabilidade de algum serviço
11.5.30
11.7.6
11.7.7
Antivírus e
-
-
backup uma vez
por mês
53
Tabela 11: Análise de risco do processo 3. Fonte: O AUTOR (2009)
Processo 3 – Fluxo de análise da consulta pelo cliente
Ativo
Ameaça
Probabilidade Impacto Vulnerabilidade
Risco
11.2.3
11.6.4
11.6.31
11.2.10
11.6.5
11.7.3
11.2.11
11.6.7
11.7.4
11.5.13
11.6.8
11.7.6
11.5.14
11.6.11
11.7.7
11.5.15
11.6.17
11.7.11
11.5.16
11.6.18
11.7.12
11.5.17
11.6.19
11.7.19
11.5.18
11.6.21
11.7.21
11.5.19
11.6.22
11.7.22
11.5.20
11.6.29
11.8.5
11.6.2
11.6.30
Perda de dados /
11.4.3
11.4.8
11.4.13
Informações da maquina /
11.4.4
11.4.9
11.8.5
Prejuízo financeiro /
11.4.5
11.4.10
11.9.5
Acesso não autorizado aos dados
11.4.7
11.4.12
11.4.3
11.4.8
11.4.13
Perda de dados /
11.4.4
11.4.9
11.8.5
Tem manutenção
Perda de informações e pedidos do cliente
11.4.5
11.4.10
11.9.5
corretiva
11.4.7
11.4.12
11.10.6
Roubo de informação /
notebook
Acesso não autorizado (internet / externo) /
Baixo
Alto
Alto
Vaio
Indisponibilidade do equipamento /
Prejuízo financeiro /
Inventário de serviços e vulnerabilidades
Roubo do
equipamento
Alto
Alto
Alto
existentes
11.6.3
SO do
Ataques externos
Controles
11.2.1
Perda de dados /
Sony
Controles da norma ISO 17799
Nenhum
Nenhum
Notebook
Sony
Vaio
Quebra do
equipamento
Médio
Alto
Alto
54
Ativo
Ameaça
Probabilidade Impacto Vulnerabilidade
Risco
11.2.1
11.6.3
11.6.31
11.2.3
11.6.4
11.7.3
11.2.10
11.6.5
11.7.4
11.2.11
11.6.7
11.7.6
11.5.13
11.6.8
11.7.7
Roubo de dados e informações /
11.5.14
11.6.11
11.7.11
Falta de usabilidade de algum serviço /
11.5.15
11.6.17
11.7.12
Comprometimento dos dados
11.5.16
11.6.18
11.7.19
11.5.17
11.6.19
11.7.21
11.5.18
11.6.21
11.7.22
11.5.19
11.6.22
11.8.5
11.5.20
11.6.29
11.6.2
11.6.30
Softwares e
arquivos do
notebook
Vírus
Médio
Médio
Médio
Sony
Controles da norma ISO 17799
Vaio
Controles
existentes
Tem antivírus
11.5.25
11.5.26
Mensagens
Vírus / spam e
de e-mail
Invasão
Baixo
Médio
Médio
Roubo de dados e informações /
Falta de usabilidade de algum serviço
11.5.27
11.5.30
11.7.6
11.7.7
-
-
Antivírus e backup
uma vez por mês
55
Tabela 12: Análise de risco do processo 4. Fonte: O AUTOR (2009)
Processo 4 – Fluxo de retorno do cliente
Ativo
Ameaça
Probabilidade Impacto Vulnerabilidade
Risco
11.6.31
11.2.3
11.6.4
11.7.3
11.2.10
11.6.5
11.7.4
11.2.11
11.6.7
11.7.6
11.5.13
11.6.8
11.7.7
11.5.14
11.6.11
11.7.11
11.5.15
11.6.17
11.7.12
11.5.16
11.6.18
11.7.19
11.5.17
11.6.19
11.7.21
11.5.18
11.6.21
11.7.22
11.5.19
11.6.22
11.8.5
11.5.20
11.6.29
11.6.2
11.6.30
Perda de dados /
11.4.3
11.4.8
11.4.13
Informações da maquina /
11.4.4
11.4.9
11.8.5
Prejuízo financeiro /
11.4.5
11.4.10
11.9.5
Acesso não autorizado aos dados
11.4.7
11.4.12
11.4.3
11.4.8
11.4.13
Perda de dados /
11.4.4
11.4.9
11.8.5
Tem manutenção
Perda de informações e pedidos do cliente
11.4.5
11.4.10
11.9.5
corretiva
11.4.7
11.4.12
11.10.6
Notebook
Roubo de informação /
Sony
Acesso não autorizado (internet / externo) /
Baixo
Alto
Alto
Indisponibilidade do equipamento /
notebook HP
Prejuízo financeiro /
e Terminal 1
Inventário de serviços e vulnerabilidades
Roubo do
Notebook
equipamento
Alto
Alto
Alto
Sony
existentes
11.6.3
Perda de dados /
Ataques externos
Controles
11.2.1
SO do
Vaio,
Controles da norma ISO 17799
Nenhum
Nenhum
Vaio,
notebook HP,
Terminal 1
e Matricial
Epson
Quebra do
equipamento
Médio
Alto
Alto
56
Ativo
Ameaça
Probabilidade Impacto Vulnerabilidade
Risco
Controles da norma ISO 17799
11.2.1
11.6.3
11.6.31
11.2.3
11.6.4
11.7.3
11.2.10
11.6.5
11.7.4
Softwares e
11.2.11
11.6.7
11.7.6
arquivos do
11.5.13
11.6.8
11.7.7
Roubo de dados e informações /
11.5.14
11.6.11
11.7.11
Falta de usabilidade de algum serviço /
11.5.15
11.6.17
11.7.12
Comprometimento dos dados
11.5.16
11.6.18
11.7.19
notebook HP
11.5.17
11.6.19
11.7.21
e Terminal 1
11.5.18
11.6.21
11.7.22
11.5.19
11.6.22
11.8.5
11.5.20
11.6.29
11.6.2
11.6.30
notebook
Sony
Vírus
Médio
Médio
Médio
Vaio,
Controles
existentes
Tem antivírus
11.5.25
11.5.26
Mensagens
Vírus / spam e
de e-mail
Invasão
Baixo
Médio
Médio
Roubo de dados e informações /
Falta de usabilidade de algum serviço
11.5.27
11.5.30
11.7.6
11.7.7
-
-
Antivírus e backup
uma vez por mês
57
Tabela 13: Análise de risco do processo 5. Fonte: O AUTOR (2009)
Processo 5 – Fluxo de verificação e análise de crédito
Ativo
Ameaça
Probabilidade Impacto Vulnerabilidade
Risco
11.2.1
11.6.3
11.6.31
11.2.3
11.6.4
11.7.3
11.2.10
11.6.5
11.7.4
11.2.11
11.6.7
11.7.6
11.5.13
11.6.8
11.7.7
11.5.14
11.6.11
11.7.11
11.5.15
11.6.17
11.7.12
11.5.16
11.6.18
11.7.19
11.5.17
11.6.19
11.7.21
11.5.18
11.6.21
11.7.22
11.5.19
11.6.22
11.8.5
11.5.20
11.6.29
11.6.2
11.6.30
11.4.3
11.4.10
Perda de dados /
11.4.4
11.4.12
Informações da maquina /
11.4.5
11.4.13
Prejuízo financeiro /
11.4.7
11.8.5
Acesso não autorizado aos dados
11.4.8
11.9.5
Perda de dados /
Roubo de informação /
SO notebook
HP e Terminal Ataques externos
Baixo
Alto
Alto
1
Acesso não autorizado (internet / externo) /
Indisponibilidade do equipamento /
Prejuízo financeiro /
Inventário de serviços e vulnerabilidades
Roubo do
equipamento
Alto
Alto
Alto
Controles da norma ISO 17799
-
Controles
existentes
Nenhum
Nenhum
11.4.9
Notebook HP,
Terminal 1 e
Impressora
Matricial
11.4.3
11.4.8
11.4.13
Perda de dados /
11.4.4
11.4.9
11.8.5
Tem manutenção
Perda de informações e pedidos do cliente
11.4.5
11.4.10
11.9.5
corretiva
11.4.7
11.4.12
11.10.6
Epson
Quebra do
equipamento
Médio
Alto
Alto
58
Ativo
Ameaça
Probabilidade Impacto Vulnerabilidade
Softwares e
arquivos do
notebook HP e
Vírus
Médio
Médio
Médio
Terminal 1
Risco
Controles da norma ISO 17799
11.2.1
11.6.3
11.6.31
11.2.3
11.6.4
11.7.3
11.2.10
11.6.5
11.7.4
11.2.11
11.6.7
11.7.6
11.5.13
11.6.8
11.7.7
Roubo de dados e informações /
11.5.14
11.6.11
11.7.11
Falta de usabilidade de algum serviço /
11.5.15
11.6.17
11.7.12
Comprometimento dos dados
11.5.16
11.6.18
11.7.19
11.5.17
11.6.19
11.7.21
11.5.18
11.6.21
11.7.22
11.5.19
11.6.22
11.8.5
11.5.20
11.6.29
11.6.2
11.6.30
Controles
existentes
Tem antivírus
11.5.25
11.5.26
Mensagens
Vírus / spam e
de e-mail
Invasão
Baixo
Médio
Médio
Roubo de dados e informações /
Falta de usabilidade de algum serviço
11.5.27
11.5.30
11.7.6
11.7.7
-
-
Antivírus e backup
uma vez por mês
59
Tabela 14: Análise de risco do processo 6. Fonte: O AUTOR (2009)
Processo 6 – Fluxo do envio de nota a contabilidade
Ativo
Ameaça
Probabilidade Impacto Vulnerabilidade
Risco
Notebook
Perda de dados /
Sony Vaio,
Informações da maquina /
Notebook HP,
Roubo do
equipamento
Alto
Alto
Alto
Prejuízo financeiro /
Terminal,
Acesso não autorizado aos dados /
Impressora
Acesso físico de terceiros
Matricial Epson
e
Quebra do
Multifuncional
equipamento
Perda de dados /
Médio
Alto
Alto
Perda de informações e pedidos do cliente /
Acesso físico de terceiros
HP
Controles da norma ISO 17799
Controles
existentes
11.4.3
11.4.8
11.4.13
11.4.4
11.4.9
11.8.5
11.4.5
11.4.10
11.9.5
11.4.7
11.4.12
11.4.3
11.4.8
11.4.13
11.4.4
11.4.9
11.8.5
Tem manutenção
11.4.5
11.4.10
11.9.5
corretiva
11.4.7
11.4.12
11.10.6
Nenhum
Tabela 15: Análise de risco do processo 7. Fonte: O AUTOR (2009)
Processo 7 – Fluxo de recebimento da nota a contabilidade
Ativo
Ameaça
Probabilidade Impacto Vulnerabilidade
Risco
Perda de dados /
Notebook
Sony Vaio,
Notebook HP,
Roubo do
equipamento
Informações da maquina /
Alto
Alto
Alto
Prejuízo financeiro /
Acesso não autorizado aos dados /
Terminal,
Acesso físico de terceiros
Controles da norma ISO 17799
Controles
existentes
11.4.3
11.4.8
11.4.13
11.4.4
11.4.9
11.8.5
11.4.5
11.4.10
11.9.5
11.4.7
11.4.12
11.4.3
11.4.8
11.4.13
11.4.4
11.4.9
11.8.5
Tem manutenção
11.4.5
11.4.10
11.9.5
corretiva
11.4.7
11.4.12
11.10.6
Nenhum
Impressora
Matricial
Epson e
Multifuncional
HP
Quebra do
equipamento
Perda de dados /
Médio
Alto
Alto
Perda de informações e pedidos do cliente /
Acesso físico de terceiros
60
10 ELABORAÇÃO DA POLÍTICA DE SEGURANÇA
Para iniciar o desenvolvimento da política de segurança da VCI Comercial Eletrônica
LTDA, foi necessária a elaboração do mapeamento dos processos da empresa, com estes, foi
possível visualizar o fluxo de informações nas rotinas de trabalho da empresa para seus
clientes, da empresa para seus fornecedores, e também, o fluxo entre os processos internos
(Capítulo 7).
Com os processos mapeados, uma análise de riscos foi elaborada e analisada, e com o
resultado obtido, foram identificados os riscos, suas probabilidades de ocorrência, os níveis
do impacto e vulnerabilidades que cada um representa no negócio (Capítulo 9).
A partir do resultado da análise de riscos, foram selecionados os controles da norma
mais adequados ao tratamento de cada risco (Capítulo 9).
Com os controles identificados, foram desenvolvidas regras e procedimentos que
seguem as especificações destes. Estes também foram elaborados com o objetivo de criar uma
cultura nova no que diz respeito à segurança da informação.
Um dos maiores desafios na elaboração desta política foi a tarefa de adequar os
controles da norma às necessidades da empresa, e principalmente, que as regras e
procedimentos criados fossem aplicáveis à sua realidade.
A política criada não só oferece soluções para a atual situação da empresa, mas também
dá base para seu crescimento e assegura a continuidade do negócio.
10.1 ESTRUTURA DA POLÍTICA
A política desenvolvida está na íntegra no Apêndice A e foi dividida em cinco seções:
Segurança Física e do Ambiente, Aquisição Desenvolvimento e Manutenção de Sistemas de
Informações, Conformidade, Controle de Acesso e Gestão das Operações e Comunicações.
Para cada seção, será citado como exemplo um dos controles desenvolvidos e sua
justificativa.
61
1) Segurança Física e do Ambiente
Exemplo de controle: quanto aos equipamentos que estiverem fora das dependências da
empresa, notebooks devem ser levados em mochilas adequadas e no porta-malas do veículo.
Equipamentos como impressora e desktop devem ser transportados em caixas e envolvidos
em plástico bolha.
Justificativa: através da análise de riscos, verificou-se que a possibilidade de roubo ou
quebra do equipamento, oferecem alta vulnerabilidade para o negócio. Para minimizar o risco
ou até mesmo evitá-lo, este controle cria condições para a saída e o transporte de
equipamentos.
Processos relacionados: este controle está relacionado aos processos 6 e 7 da empresa
detalhados no capítulo 7.
2) Aquisição, Desenvolvimento e Manutenção de Sistemas de Informações
Exemplo de controle: os usuários terão privilégio apenas para uso do equipamento, a
instalação de novos aplicativos, deverá ser solicitada a área técnica de informática. Os
sistemas operacionais deverão ser sempre atualizados, para que não haja erros nos sistemas
operacionais.
Justificativa: através da análise de riscos, verificou-se que a livre instalação de
softwares pelos funcionários oferecia um alto risco. Estes poderiam conter vírus, ser ilegais e
deixar portar abertas nos computadores que poderiam ser utilizadas para invasão. Quanto a
atualização freqüente dos sistemas operacionais pode-se evitar erros e aumentar a segurança.
Os pacotes liberados pelos fabricantes corrigem problemas de segurança e de funcionamento.
Processos relacionados: este controle está relacionado aos processos 1 ao 5 da empresa
detalhados no capítulo 7.
3) Conformidade
Exemplo de controle: o uso de qualquer informação, restrita da empresa, deverá ser
aprovado pela direção. Para o uso de qualquer informação da empresa, o funcionário deverá
62
assinar um termo de responsabilidade. Caso a quebra deste termo ocorra, o funcionário poderá
sofrer sansões administrativas, ser demitido ou até mesmo responder judicialmente.
Justificativa: este controle previne a empresa do vazamento ou uso indevido de
informações e caso estes problemas ocorram, o termo de responsabilidade permite que
medidas internas e legais sejam aplicadas ao funcionário que descumprir esta obrigação.
Processos relacionados: este controle está relacionado aos processos 1 ao 5 da empresa.
4) Controle de Acesso
Exemplo de controle: os funcionários deverão acessar o sistema operacional com o
perfil de usuário. As contas de usuários serão particulares e suas senhas devem ser
alfanuméricas de no mínimo oito dígitos e com prazo de expiração a cada trinta dias. Ao se
ausentar de sua estação de trabalho, o funcionário deverá fazer logoff do sistema operacional e
possuir proteção de tela com senha de liberação, a proteção de tela é habilitada após 2 minutos
de inatividade. A instalação de softwares deverá ser bloqueada aos usuários.
Justificativa: este controle previne que os usuários dos sistemas operacionais alterem as
configurações dos equipamentos e estas causem o mau funcionamento dos mesmos. As regras
para as senhas permitem que o usuário tenha uma maior segurança na guarda de sua senha,
proteção do sistema contra acessos não autorizados e também permite a identificação e
responsabilização no caso de uma operação indevida ser realizada.
Processos relacionados: este controle está relacionado aos processos 1 ao 5 da empresa.
5) Gestão das Operações e Comunicações
Exemplo de controle: todos os computadores (desktop e notebooks) deverão possuir
programas de antivírus instalados. O software deve ter proteção ativa para o download de
arquivos, e-mails, vírus, cavalo de Tróia, links perigosos e spyware. O antivírus deverá estar
configurado para atualizações automáticas diárias e varredura completa diária do computador.
Justificativa: através da análise de riscos, verificou-se que os vírus e seus derivados
oferecem alto risco ao negócio, como por exemplo, danificando ou até mesmo destruindo os
63
dados de clientes da empresa. Este controle protege as informações armazenadas nos
computadores e minimiza o risco da entrada e vírus e outros softwares maliciosos no
equipamento.
Processos relacionados: este controle está relacionado aos processos 1 ao 5 da empresa.
A política de segurança desenvolvida possui um número maior de controles por seção,
neste capítulo foram indicados os exemplos dos principais.
A norma NBR ISO/IEC 17799 possui muito mais controles e através do levantamento
dos processos e da análise de risco foi possível selecionar os controles necessários para
atender as necessidades de segurança da empresa.
64
11 Conclusão
Pode-se concluir que a VCI Comercial Eletrônica LTDA. mesmo levando em
consideração o seu porte, tem a necessidade de assegurar a integridade de seus ativos de
informação, por não possuir nenhum tipo de prevenção contra eventualidades relacionada à
segurança da informação.
Com o intuito de proteger suas informações e seus recursos computacionais as empresas
criam políticas de segurança que devem ser seguidas por todos os seus integrantes. Tal
política deve estar voltada para itens como segurança física dos recursos tecnológicos,
segurança lógica dos dados e privacidade em relação aos dados do usuário.
A segurança das informações é essencial para a sobrevivência de qualquer empresa.
Atualmente empresas inserem seu bem mais precioso, que é a informação no mundo virtual,
fazendo com que suas informações fiquem expostas em um ambiente vulnerável.
Proteger-se de hackers, vírus e outras ameaças tem uma grande importância e um ponto
que deve ser lembrado, é que a segurança deve ser encarada como um processo contínuo de
aperfeiçoamento. Com isso, os agentes envolvidos devem estar atentos a possíveis falhas na
segurança para que seja possível corrigi-las o mais rápido possível.
A forma como o trabalho foi conduzido levou a política de segurança criada e isso vai
melhorar a qualidade nos processos da empresa em termos de segurança.
Assim, espera-se que este trabalho possa contribuir como uma referência de pesquisa
em projetos que envolvam a segurança dos recursos de informação de qualquer empresa de
pequeno porte.
Trabalhos Futuros: como possíveis atividades futuras, pode-se apontar a criação de um
plano de ação a ser utilizado na incidência de uma ou mais ameaças e também abordar a
implantação da política de segurança que é um fator crítico de sucesso.
65
REFERENCIAS BIBLIOGRÁFICAS
CARUSO, Carlos A. A.; STEFFEN, Flávio D. Segurança em Informática e de Informações.
2. ed. São Paulo: SENAC, 1999.
DINIZ, Lúcio J. Análise de Riscos em Projetos: Uma Abordagem Qualitativa ou
Quantitativa? Disponível em:
<http://www.pmimg.org.br/downloads/GestaoRiscosProjetos_LucioDiniz_31082004.pdf>.
Acesso em: 14 jan. 2009.
ESTATÍSTICAS dos incidentes reportados ao Cert.br. Cert.br, São Paulo, 01 mai. 2009.
Disponível em: <http://www.cert.br/stats/incidentes/inc-stats.png>. Acesso em: 01 mai. 2009.
FARIAS JUNIOR, Ariosto. Nova norma garante segurança da informação. Serasa. São Paulo,
05 mai. 2009. Disponível em: <http://www.serasa.com.br/serasalegal/05-fev-02_m2.htm>.
Acesso em: 05 mai. 2009.
FERREIRA, Fernando Nicolau Freitas. Segurança da informação. Rio de Janeiro: Ciência
Moderna, 2003.
FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de segurança
da informação – guia prático para elaboração e implementação. Rio de Janeiro: Ciência
Moderna, 2008.
FONTES, Edison Luiz Gonçalves. Praticando a segurança da informação. Rio de Janeiro:
Brasport, 2008.
HILES, Andrew. Enterprise Risk Assessment and Business Impact Analysis. England:
Rothstein Associates, 2002.
NBR ISO/IEC 17799. Associação Brasileira de Normas Técnicas. Rio de Janeiro, mar. 2005.
66
SCALIONI, Fabrício. Análise Qualitativa de Riscos e as Bases de Conhecimento. Ietec. São
Paulo, 31 mai. 2009. Disponível em:
<http://www.ietec.com.br/site/techoje/categoria/detalhe_artigo/686>. Acesso em: 31 mai.
2009.
SÊMOLA, Marcos. Gestão de segurança da informação – uma visão executiva. Rio de
Janeiro: Elsevier, 2003.
WHITE, Stephen A. Introduction to BPMN. IBM Corporation. 15 mai. 2009. Disponível em:
<http://www.bpmn.org/Documents/Introduction%20to%20BPMN.pdf>. Acesso em: 15 mai.
2009.
67
APÊNDICE A – POLÍTICA DE SEGURANÇA DESENVOLVIDA
A VCI Comercial Eletrônica, visando proteger seus ativos de informação e garantir a
continuidade do negócio, desenvolveu esta política de segurança, com o objetivo de evitar
incidentes e, caso ocorram, foram criadas regras que determinam os procedimentos para a
minimização do impacto.
Esta política foi criada não apenas para regular o uso dos recursos e informações da
empresa, mas também com o intuito educar e conscientizar os funcionários através da
utilização de boas práticas. O funcionário não fica privado de utilizar a internet, um fonte rica
de pesquisa, mas seus acessos são monitorados para que não haja mal-uso deste recurso.
Este documento também oferece regras para as instalações físicas e dos equipamentos
visando proteger os recursos de eventuais problemas como roubo, incêndio e danos físicos.
A VCI também terá um papel importante no alcance do objetivo principal deste
documento, oferecendo condições adequadas, recursos e a manutenção constante desta
política de segurança.
SEGURANÇA FÍSICA E DO AMBIENTE
Visando proteger os ativos da empresa serão adotadas as seguintes medidas:
a) A sala deverá ser protegida com uma trava Multilock, a tranca será instalada na porta
de entrada do escritório.
b) O escritório possuirá duas câmeras que capturam imagens 24 horas ao dia, sendo que
uma irá monitorar a porta de entrada e a outra o interior da empresa. Também será
instalado um sistema de alarme.
c) As instalações deverão conter extintores de incêndio, um a pó e o outro à água em
paredes estratégicas para combater incêndios.
d) O conjunto está localizado em um prédio comercial onde o acesso somente poderá
ser permitido para pessoas autorizadas pela empresa e anunciadas previamente.
e) Equipamentos como notebook e desktop, deverão ter um seguro contra roubo e
incêndio.
f) Os equipamentos deverão ser colocados em locais adequados e protegidos com cabos
de segurança, no caso do desktop, deve ser colocado em suporte para CPU.
68
g) Todos os equipamentos e suprimentos de energia elétrica, água, esgotos,
ventilação/calefação e ar condicionado da empresa, deverão passar por manutenção
preventiva a cada seis meses, caso necessário, esta deverá ser feita de forma
emergencial.
h) Quanto aos equipamentos que estiverem fora das dependências da empresa,
notebooks devem ser levados em mochilas adequadas e no porta-malas do veículo.
Equipamentos como impressora e desktop devem ser transportados em caixas e
envolvidos em plástico bolha.
AQUISIÇÃO, DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS DE
INFORMAÇÕES
Visando que todos os requisitos de segurança sejam identificados e definidos, para
garantir que a segurança dos sistemas de informação:
a) Deverá ser feita a manutenção preventiva a cada três meses do hardware para
prevenir a ocorrência de erros e problemas, tais como modificações de software e
hardware não autorizadas. O responsável por esta manutenção será o técnico de
informática.
b) Os usuários terão privilégio apenas para uso do equipamento, a instalação de novos
aplicativos, deverá ser solicitada a área técnica de informática. Os sistemas
operacionais deverão ser sempre atualizados, para que não ocorram erros nos
sistemas.
c) O tráfego de informações entre a rede interna e a externa deverá ser controlado por
um sistema de filtro de pacotes. O tráfego permitido entre a rede interna e a externa é
somente o acesso a internet e envio/recebimento de e-mails. As máquinas não são
acessíveis externamente a partir da internet.
d) Manter um inventário completo e atualizado dos ativos de informação como, dados
dos usuários, máquinas e configuração das mesmas. Este deverá ser atualizado a cada
noventa dias.
e) O responsável para área de TI deverá realizar testes de verificação de
vulnerabilidades mensalmente utilizando um roteiro e ferramentas homologadas por
seu setor para detectar e corrigir vulnerabilidades nos notebooks e desktop na rede
local.
69
CONFORMIDADE
Garantir que não seja violação de qualquer lei criminal ou civil, de quaisquer requisitos
de segurança.
a) O uso de qualquer informação, restrita da empresa, deverá ser aprovado pela direção.
Para o uso de qualquer informação da empresa, o funcionário deverá assinar um
termo de responsabilidade. Caso a quebra deste termo ocorra, o funcionário poderá
sofrer sansões administrativas, ser demitido ou até mesmo responder judicialmente.
b) Para controlar o mal uso dos equipamentos da empresa, o funcionário deverá assinar
um termo de compromisso com a VCI, onde ele se responsabiliza por qualquer tipo
de dano físico ou lógico aos equipamentos da empresa. O termo será elaborado por
uma empresa jurídica.
CONTROLE DE ACESSO
Todos os acessos a informação, recursos de processamento e processos de negócio,
sejam controlados com base nos requisitos do negócio.
a) Todos os controles de acesso devem ser estabelecidos, documentados e revisados
com base na necessidade do negócio e em acordo com a diretoria. Haverá uma regra
para cada controle de acesso e cada usuário ou grupos de usuários.
b) Assegurar que todos os usuários façam somente acessos autorizados pela direção da
empresa, utilizando um sistema de monitoração. Os usuários existentes e os novos
devem passar por um procedimento formal de registro e cancelamento de usuário,
este procedimento será feito através de um formulário que será desenvolvido pela
diretoria.
c) Usuários terão somente privilegio para utilizar a máquina, e não poderá fazer
nenhuma instalação sem autorização da diretoria.
d) Os usuários devem fazer a troca de senha a cada trinta dias, sua senha é pessoal e
intransferível. As senhas devem possuir no mínimo oito caracteres, sendo números e
letras, e que nunca sejam armazenadas no computador ou em qualquer outro
dispositivo da rede. A senha será bloqueada após a terceira tentativa de erro no login
ou após vencer o prazo de troca.
70
e) Usuários não poderão circular com pessoas não autorizadas dentro das dependências
da empresa.
f) Os funcionários deverão manter sempre a mesa e a tela limpas para reduzir o risco de
acesso não autorizado a dados, documentos, mídias e recursos da empresa.
g) Usuários devem seguir as boas praticas na troca de sua senha, mantê-la sempre
confidencial, evitar anotar em papéis e celular, fáceis de memorizar, não utilizar data
de aniversário ou número de celular.
h) Só os usuários terão acesso a rede e internet dentro da empresa, todos os acessos
devem ser monitorados através de um sistema.
i) O usuário que tenha acesso deve autenticar-se no servidor para ter acesso aos dados.
j) Todo o usuário será monitorado através dos gateways que filtram o tráfego por meio
de regras definidas pela diretoria e a área de tecnologia de informação. Aplicativos
que serão filtrados, mensagens instantâneas, correio eletrônico, transferência de
arquivos, acesso a sites e aplicações não autorizadas. Qualquer novo pedido de
acesso a rede deverá ser solicitada à diretoria e poderá ser negado.
Serão criadas restrições na conexão dos usuários para prevenir roubo de informações.
k) O acesso e utilização da rede deverão ser limitados por filtros e funcionalidades do
equipamento de roteamento, que deverá habilitar à quantidade de conexões/portas a
quantidade de máquinas da empresa. Estas máquinas serão configuradas com um IP
fixo, não sendo possível utilizar outro endereço que não esteja liberado. O acesso à
rede deverá ser bloqueado também com o uso de senhas.
l) Os funcionários deverão acessar o sistema operacional com o perfil de usuário. As
contas de usuários serão particulares e suas senhas devem ser alfanuméricas de no
mínimo oito dígitos e com prazo de expiração a cada trinta dias. Ao se ausentar de
sua estação de trabalho, o funcionário deverá fazer logoff do sistema operacional e
possuir proteção de tela com senha de liberação, a proteção de tela é habilitada após 2
minutos de inatividade. A instalação de softwares deverá ser bloqueada aos usuários.
m) Cada usuário deverá possuir senha de acesso particular a rede, internet, sistema
operacional e outros softwares de uso, possibilitando o rastreamento de suas
atividades nos ambientes tecnológicos da empresa.
n) Os notebooks somente poderão acessar a web através de dispositivos de conexão da
empresa como banda larga 3G e quando necessário utilizar a rede de terceiros,
somente se for protegida e possuir conexão segura. Os portadores destas máquinas
não devem fazer seu uso em ambientes abertos, públicos e desprotegidos ou deixar o
71
equipamento dentro de veículos. Todos os seus arquivos destes equipamentos
deverão ser protegidos com senha e ter seu backup efetuado e armazenado na
empresa, antes de sua saída.
o) Todo funcionário ficará obrigado a comunicar a direção e ao responsável técnico
sobre qualquer evento ou incidente de segurança da informação como perda de
equipamento, mau funcionamento, violação de acesso, mau funcionamento de
software e hardware. O comunicado será feito imediatamente quando ocorrido e
também deverá ser formalizado com o envio de um e-mail contendo mais detalhes
sobre o ocorrido.
GESTÃO DAS OPERAÇÕES E COMUNICAÇÕES
Proteger a integridade do software e da informação:
a) Todos os computadores (desktop e notebooks) deverão possuir programas de
antivírus instalados. O software deve ter proteção ativa para o download de arquivos,
e-mails, vírus, cavalo de Tróia, links perigosos e spyware. O antivírus deverá estar
configurado para atualizações automáticas diárias e varredura completa diária do
computador
b) Os computadores deverão ter backup de e-mails, catálogo de endereços, documentos
de texto, planilhas eletrônicas e do banco de dados do sistema de faturamento. O
backup destes itens deve ser executado semanalmente após o término do expediente.
A cópia será armazenada em uma HD externa e em DVD. A HD ficará armazenada
no próprio escritório e o DVD será guardado na residência do proprietário da
empresa, garantindo a continuidade do negócio em casos de incêndio e roubo. Os
dados guardados no DVD deverão ficar protegidos com senha e criptografados, para
um eventual extravio do mesmo. A cópia da HD ficará sempre na empresa garantindo
a rapidez na restauração dos sistemas e arquivos. As mídias dos sistemas
operacionais e outros softwares, também deverão cópias de segurança.
c) A rede deverá possuir um firewall que bloqueará todo o acesso externo não
autorizado e também o acesso interno a sites potencialmente perigosos como de
downloads, compartilhamento de arquivos e de conteúdo pornográfico. A rede deverá
manter um log por cinco anos de todos os acessos dos usuários.
72
d) A documentação deverá ser guardada em local fechado, tendo seu acesso restringido
e somente com autorização da direção. Os documentos também deverão ser
digitalizados e armazenados de forma eletrônica.
e) A rede wireless deverá ser protegida com senha de acesso, acesso somente para
máquinas com o endereço MAC Address autorizado e a quantidade de usuários será
limitada à quantidade de equipamentos que acessam a este recurso.
f) O software de e-mail deverá possuir senha de acesso e bloquear o download e
abertura de anexos potencialmente perigosos. A caixa postal deverá ter filtro antispam ativado e verificação de vírus no servidor.
73
APÊNDICE B – CARACTERÍSTICAS DOS EQUIPAMENTOS
Nome do computador: Valter (in MSHOME)
Login do Windows: Valter Inocencio
Modelo do computador
Sony Corporation VGN-FZ190N R5284818
System Serial Number: 28399137-3000021
Enclosure Type: Notebook
Sistema Operacional
Windows Vista Business Service Pack 1 (build 6001)
Processador
1,80 gigahertz Intel Core2 Duo
64 kilobyte primary memory cache
2048 kilobyte secondary memory cache
Placa-mãe
Board: ASUSTeK Computer INC. P4S333VM REV 1.xx
Bus Clock: 100 megahertz
BIOS: Award Software, Inc. ASUS P4S333-VM ACPI BIOS Revision 1005 03/05/2002
Drives
40,02 Gigabytes Usable Hard Drive Capacity
23,22 Gigabytes Hard Drive Free Space
HL-DT-ST CD-RW GCE-8320B [CD-ROM drive]
Unidade de disquete [Floppy drive]
MAXTOR 6L040J2 [Hard drive] (40,03 GB)
drive 0, s/n 662217646458, rev A93.0500, SMART Status: Healthy
Memória
2038 Megabytes Installed Memory
Slot 'SODIMM1' has 1024 MB
Slot 'SODIMM2' has 1024 MB
Disco Rígido
c: (NTFS on drive 0) 100,03 GB
74
Usuários
local user accounts
Valter Inocencio (Admin)
Impressoras
HP Photosmart 2570 series on 192.168.1.102_1
HP PSC 1500 series on USB001
Microsoft Shared Fax Driver on SHRFAX:
Microsoft XPS Document Writer on XPSPort:
Controladores
Canal de IDE [Controller] (5x)
Intel(R) ICH8M Ultra ATA Storage Controllers - 2850
Standard AHCI 1.0 Serial ATA Controller
Video
LogMeIn Mirror Driver [Display adapter]
Mobile Intel(R) 965 Express Chipset Family [Display adapter] (2x)
Monitor Genérico PnP
Adaptadores
Texas Instruments PCI-8x12/7x12/6x12 CardBus Controller
Iniciador Microsoft iSCSI
Intel(R) ICH8 Family USB Universal Host Controller - 2830
Intel(R) ICH8 Family USB Universal Host Controller - 2831
Intel(R) ICH8 Family USB Universal Host Controller - 2832
Intel(R) ICH8 Family USB Universal Host Controller - 2834
Intel(R) ICH8 Family USB Universal Host Controller - 2835
Intel(R) ICH8 Family USB2 Enhanced Host Controller - 2836
Multimedia
SigmaTel High Definition Audio CODEC
Comunicações
HDAUDIO SoftV92 Data Fax Modem with SmartCP
Modem padrão de 33600 bps
Bluetooth Personal Area Network
Dhcp Server: none responded
Physical Address: 00:19:C1:A1:2A:D6
75
Generic Marvell Yukon Chipset based Ethernet Controller
Dhcp Server: none responded
Physical Address: 00:13:A9:BF:C3:4F
Intel(R) Wireless WiFi Link 4965AGN
Auto IP Address: 192.168.1.100 / 24
Gateway: 192.168.1.1
Dhcp Server: 192.168.1.1
Physical Address: 00:13:E8:10:04:AF
isatap.{180FAAFA-4C1C-469F-BF4B-A171A618F608}
isatap.{CA5EF00E-A174-4A4E-B568-411E89C30192}
isatap.{CA5EF00E-A174-4A4E-B568-411E89C30192}
isatap.{CA5EF00E-A174-4A4E-B568-411E89C30192}
isatap.{F2C1BA09-3F59-45DA-BAFB-F8A51302570F}
isatap.{F2C1BA09-3F59-45DA-BAFB-F8A51302570F}
Teredo Tunneling Pseudo-Interface
Networking Dns Servers: 200.204.0.10 /200.204.0.138
Outros comunicadores
Texas Instruments OHCI Compliant IEEE 1394 Host Controller
Adaptador de CA da Microsoft
Bateria de Método de Controle Compatível com ACPI da Microsoft
Bluetooth RFBNEP
Bluetooth RFBUS
Bluetooth RFCOMM
Bluetooth RFHID
Bluetooth USB Controller (ALPS/UGPZ6)
Dispositivo de interface humana USB
HID Non-User Input Data Filter
Sony Notebook Control Device
Sony Visual Communication Camera VGP-VCC4
Xerox WorkCentre Pro Scanner
Teclado Padrão PS/2 [Keyboard]
Alps Pointing-device for VAIO [Mouse]
Mouse compatível com HID
76
Texas Instruments PCIxx12 Integrated FlashMedia Controller
Photosmart 2570 series
USB Composite Device
USB Root Hub (7x)
Cópia de sombra de volume genérica
Driver de Volume de Sistemas de Arquivos Microsoft WPD (2x)
Proteção de Vírus
AVG Anti-Virus Free Version 8.0
Realtime File Scanning On
Norton Internet Security Version 2007
Realtime File Scanning On
Versões dos Softwares
AC3 configuration tool
Adobe Acrobat Version 8.0.0.0
Adobe Reader Version 8.1.0.2007051100
Ahead Software AG - Nero BackItUp Restore Version 1, 2, 0, 61
Ahead Software AG - Nero BackItUp Scheduler Version 1, 2, 0, 61
Ahead Software AG - Nero BackItUp Version 1, 2, 0, 61
Ahead Software AG - Nero Burning ROM Version 6, 6, 0, 19
Ahead Software AG - Nero StartSmart Version 2, 0, 0, 29
Alexander Roshal - WinRAR archiver Version 3.71.0.0
Alps Pointing-device Driver Version 7.0.7.152
AVG Internet Security Version 8.0.0.223
Belarc, Inc. - Advisor Version 7.2x
Bluetooth Stack for Windows by TOSHIBA Version 1, 0, 1402, 0
Bluetooth Stack for Windows by Toshiba Version 5, 0, 0, 0
Bluetooth Stack for Windows by TOSHIBA Version 5.0.0.2
Bluetooth Stack for Windows by TOSHIBA Version 5.00.00.35
Conexant Systems, Inc. - SoftK56 Modem Driver Version 1.00.00
DESINST Version 1.0.001
Hewlett-Packard - HP Installer Version 8,5,0,70
Hewlett-Packard - HP Software Update Client Version 4, 0, 2, 1
Hewlett-Packard Co. - hp digital imaging - hp all-in-one series Version 082.000.173.000
77
Hewlett-Packard Company - HP Solution Center Version 074.000.017.000
Hewlett-Packard, Co. - HP PhotoSmart Essential Version 1.12.0.46
I.R.I.S. SA - Registration Wizard Version 5, 0, 0, 2
Intel(R) Common User Interface Version 7.14.10.1230
IRPF2008 Windows - Declaração de Ajuste Anual
LogMeIn Version 3.0.596
LogMeIn Version 4.0.784
Microsoft (R) Windows Script Host Version 5.7.0.6000
Microsoft Application Error Reporting Version 10.0.2609
Microsoft Clip Organizer Version 10.0.6308
Microsoft Corp. - Windows Live Writer Version 14.0.8064.0206
Microsoft Corporation - digital locker assistant Version 1.6.5
Microsoft Corporation - Internet Explorer Version 7.00.6000.16386
Microsoft Corporation - Windows Defender Version 1.1.1600.0
Microsoft Corporation - Windows Installer - Unicode Version 4.0.6000.16386
Microsoft Corporation - Windows Live Call Version 14.0.8064.0206
Microsoft Corporation - Windows Live Mail Version 14.0.8064.0206
Microsoft Corporation - Windows Live Messenger Version 14.0.8064.0206
Microsoft Corporation - Windows Live® Galeria de Fotos Version 14.0.8064
Microsoft Office Document Imaging Version 1.03.2349.1
Microsoft Office Isolated Converter Environment Version 12.0.6211.1000
Microsoft Office XP Version 10.0.6852
Microsoft Open XML Converter Version 12.0.6211.1000
Microsoft Outlook Version 10.0.6838
Microsoft Photo Editor Version 10.0
Microsoft Search Enhancement Pack Version 1.2.123.0
Microsoft® .NET Framework Version 2.0.50727.3053
Microsoft® .NET Framework Version 3.0.6920.1453
Microsoft® Schedule+ for Windows 95(TM) Version 7.5
Microsoft® Visual Studio .NET Version 7.00.9466
Microsoft® Windows Media Services Version 4.1.00.3917
MONOGRAM Multimedia, s.r.o. - DSConfig Version 1.0.0.1
Mozilla Corporation - Firefox Version 3.0.8
78
MultiView MFC Application Version 8, 2, 0, 0
Nero AG - Cover Designer Version 2, 3, 1, 3
Nero AG - InfoTool Application Version 3, 0, 7, 0
Nero AG - SpecialOffer Application Version 1, 0, 0, 3
Nero CD - DVD Speed Version 4, 0, 6, 0
Nero DriveSpeed Version 3, 0, 6, 0
NirSoft - InstalledCodec Version 1.05
reset Version 5.0
SERPRO - Serviço Federal de Processamento de Dados
Receitanet Application Version 2008, 0, 0, 3
Shop for HP Supplies Version 2.1.3.0000
Skype Extras Manager Version 1.0.0.0
Skype Version 3.6
Sony - AML Version 1.0.00.03210
Sony - AMLSetting Version 1.0.00.03210
Sony Corporation - VAIO Camera Capture Utility Version 2.2.00.22110
Sony Corporation - VAIO Event Service Version 3.1.00
Sun Microsystems, Inc. - Java(TM) Platform SE 6 U3 Version 6.0.30.5
Synergy
Nome do computador: Carol_inocencio (in WORKGROUP)
Login do Windows: Carol Inocencio
Modelo do computador
Hewlett-Packard HP Pavilion dv2700 F.2B
System Serial Number: BRG830F2WY
Asset Tag: BRG830F2WY
Enclosure Type: Notebook
Sistema Operacional
Windows Vista Business Service Pack 1 (build 6001)
Processador
2,00 gigahertz Intel Core2 Duo
64 kilobyte primary memory cache
2048 kilobyte secondary memory cache
79
Placa-mãe
Board: Wistron 30CD 80.52
Bus Clock: 667 megahertz
BIOS: Phoenix F.2B 05/07/2008
Drives
160,04 Gigabytes Usable Hard Drive Capacity
98,35 Gigabytes Hard Drive Free Space
Optiarc DVD RW AD-7561A ATA Device [CD-ROM drive]
FUJITSU MHZ2160BH G2 [Hard drive] (160,04 GB) -- drive 0
Memórias
3062 Megabytes Installed Memory
Slot 'M1' has 2048 MB (serial number 1234-B0)
Slot 'M2' has 1024 MB (serial number 1234-B1)
Disco Rígido
c: (NTFS on drive 0) 160,04 GB
Usuários
local user accounts
Carol inocencio (Admin)
Impressoras
HP Photosmart 2570 series on 192.168.1.102_11
PDF995 Printer Driver on PDF995PORT
Controladores
Canal de IDE [Controller] (2x)
Intel(R) 82801HEM/HBM SATA AHCI Controller
Intel(R) ICH8M Ultra ATA Storage Controllers - 2850
Ricoh Memory Stick Controller
Ricoh SD/MMC Host Controller
Ricoh xD-Picture Card Controller
Video
LogMeIn Mirror Driver [Display adapter]
Mobile Intel(R) 965 Express Chipset Family [Display adapter] (2x)
Monitor Genérico PnP (DPMS) (14,0"vis)
80
Adaptadores
Iniciador Microsoft iSCSI
Intel(R) ICH8 Family USB Universal Host Controller - 2830
Intel(R) ICH8 Family USB Universal Host Controller - 2831
Intel(R) ICH8 Family USB Universal Host Controller - 2832
Intel(R) ICH8 Family USB Universal Host Controller - 2834
Intel(R) ICH8 Family USB Universal Host Controller - 2835
Intel(R) ICH8 Family USB2 Enhanced Host Controller - 2836
Intel(R) ICH8 Family USB2 Enhanced Host Controller - 283A
Multimedia
Conexant High Definition SmartAudio 221
Áudio Bluetooth
Áudio Bluetooth de alta qualidade
Comunicações
HDAUDIO Soft Data Fax Modem with SmartCP
Modem Padrão em ligação Bluetooth #2
Modem Padrão em ligação Bluetooth #3
Dispositivo Bluetooth (Rede Pessoal)
Dhcp Server: none responded
Physical Address: 00:21:86:03:69:C7
Dispositivo Bluetooth (TDI de Protocolo RFCOMM)
Intel(R) Wireless WiFi Link 4965AGN
Auto IP Address: 192.168.1.3 / 24
Gateway: 192.168.1.1
Dhcp Server: 192.168.1.1
Physical Address: 00:1F:3B:96:BA:3D
isatap.{007879AE-84F5-4764-953C-860003F2DE82}
isatap.{0182E435-61A0-4357-B06E-78B518DC4F89}
isatap.{AAF7B087-EFC3-4D5D-BF22-E9F0DE1EDB6C}
Marvell Yukon 88E8039 PCI-E Fast Ethernet Controller
Dhcp Server: none responded
Physical Address: 00:22:64:35:68:2A
Teredo Tunneling Pseudo-Interface
81
Networking Dns Server: 192.168.1.1
Outros comunicadores
RICOH OHCI Compliant IEEE 1394 Host Controller
Adaptador de CA da Microsoft
Bateria de Método de Controle Compatível com ACPI da Microsoft
AuthenTec Inc. AES2501A
Enumerador Bluetooth da Microsoft
HP Integrated Module with Bluetooth 2.0 Wireless Technology
Bluetooth AV Source
Bluetooth FTP
Bluetooth Headset AG
Bluetooth OPP
Bluetooth Remote Control
Bluetooth SYNC
Bluetooth SyncML
Bluetooth Remote Control
Dispositivo HID Bluetooth (2x)
HID-compliant consumer control device (2x)
HID-compliant device
HP Remote Control HID Device
HP Webcam
Dispositivo de teclado HID [Keyboard]
Standard 101/102-Key or Microsoft Natural PS/2 Keyboard with HP QLB
Alps Pointing-device (2-way) [Mouse]
Photosmart 2570 series
Controlador de host SD compatível com padrão SDA
USB Composite Device
USB Root Hub (7x)
Cópia de sombra de volume genérica
Proteção de Virus
AVG Anti-Virus Free Version 8.0
Realtime File Scanning On
Versões de Softwares
82
Adobe Acrobat Version 8.0.0.0
Adobe Reader Version 8.1.0.2007051100
Ahead Software AG - Nero BackItUp Restore Version 1, 2, 0, 61
Ahead Software AG - Nero BackItUp Scheduler Version 1, 2, 0, 61
Ahead Software AG - Nero BackItUp Version 1, 2, 0, 61
Ahead Software AG - Nero Burning ROM Version 6, 6, 0, 19
Ahead Software AG - Nero StartSmart Version 2, 0, 0, 29
Alps Pointing-device Driver Version 7.0.1.251
Apple Inc. - Bonjour Version 1,0,6,2
Apple Inc. - iTunes Version 8.1.0.52
Apple Inc. - QuickTime QuickTime 7.6 (1292)
Apple Mobile Device Service Version 2.12.36.0
Apple Software Update Version 2.1.1.116
AVG Internet Security Version 8.5.0.329
Belarc, Inc. - Advisor Version 7.2x
Bluetooth Stack for Windows by TOSHIBA Version 1, 0, 1031, 0
Broadcom Corporation. - Bluetooth Software Version 6.0.1.6000
CLCapSvc Module Version 5.00.2922
CLSched Module Version 5.00.2922
Conexant Systems, Inc. - SoftK56 Modem Driver Version 1.00.15.00
CyberLink - DZM Version 2.00.0222
CyberLink Corp. - HP QuickPlay Version 3.07.5531
CyberLink Corp. - StartMen Application Version 1.00.0913
CyberLink YouCam Version 1.00.1816
DigitalPersona Pro for Active Directory Version 4.2.1.988
DigitalPersona Pro Version 3.0.0.2598
F.J. Wechselberger - MyPhoneExplorer Version 1.07.0002
Hewlett-Packard - HP Health Check Service Version 2.3.0.2
Hewlett-Packard - HP Installer Version 8,5,0,70
Hewlett-Packard - HP Software Update Client Version 4, 0, 10, 1
Hewlett-Packard Co. - hp digital imaging - hp all-in-one series Version 082.000.173.000
Hewlett-Packard Co. - hp digital imaging - hp all-in-one series Version 111.000.006.000
Hewlett-Packard Company - HP Solution Center Version 074.000.017.000
83
Hewlett-Packard Development Company, L.P. - HP Quick Launch Buttons Version
1.0.0.1
Hewlett-Packard Development Company, L.P. - HP Quick Launch Buttons Version 6, 3,
9, 1
Hewlett-Packard Development Company, L.P. - HP QuickTouch On Screen Display
Version 1.0.8
Hewlett-Packard Development Company, L.P. - hpqwmiex Module Version 2, 00, 2, 3
Hewlett-Packard, Co. - HP PhotoSmart Essential Version 1.12.0.46
I.R.I.S. SA - Registration Wizard Version 5, 0, 0, 2
Intel Corporation - RAID Monitor Version 7.8.0.1013
Intel(R) Common User Interface Version 7.14.10.1437
Intel(R) Corporation - Uninstset Installation Utility Version 0, 0, 0, 0
LogMeIn Version 3.0.596
LogMeIn Version 4.0.784
Macrovision Corporation - Software Manager Version 6, 1
Microsoft (R) Windows Script Host Version 5.7.0.6000
Microsoft Application Error Reporting Version 10.0.2609
Microsoft Clip Organizer Version 10.0.6308
Microsoft Corporation - digital locker assistant Version 1.6.5
Microsoft Corporation - Internet Explorer Version 8.00.6001.18702
Microsoft Corporation - Windows Defender Version 1.1.1600.0
Microsoft Corporation - Windows Installer - Unicode Version 4.0.6000.16386
Microsoft Corporation - Windows Live Call Version 14.0.8064.0206
Microsoft Corporation - Windows Live Messenger Version 14.0.8064.0206
Microsoft Office Document Imaging Version 1.03.2349.1
Microsoft Office Isolated Converter Environment Version 12.0.6413.1000
Microsoft Office XP Version 10.0.6853
Microsoft Open XML Converter Version 12.0.6413.1000
Microsoft Outlook Version 10.0.6838
Microsoft Photo Editor Version 10.0
Microsoft® .NET Framework Version 2.0.50727.3053
Microsoft® .NET Framework Version 3.0.6920.1453
Microsoft® Schedule+ for Windows 95(TM) Version 7.5
84
Microsoft® Visual Studio .NET Version 7.00.9466
Microsoft® Windows Media Services Version 4.1.00.3917
Microsoft® Windows® PowerShell Version 6.0.6000.16386
MONOGRAM Multimedia, s.r.o. - DSConfig Version 1.0.0.1
Mozilla Corporation - Firefox Version 3.0.10
MultiView MFC Application Version 8, 2, 0, 0
Nero AG - Cover Designer Version 2, 3, 1, 3
Nero AG - InfoTool Application Version 3, 0, 7, 0
Nero AG - SpecialOffer Application Version 1, 0, 0, 3
Nero CD - DVD Speed Version 4, 0, 6, 0
Nero DriveSpeed Version 3, 0, 6, 0
NirSoft - InstalledCodec Version 1.06
PrintCuca
reset Version 5.13
Scopus Tecnologia Ltda - scpVista Version 1, 0, 9, 6
Shark007 Settings Application Version 3.3.0.0
Shop for HP Supplies Version 2.1.3.0000
Skype Extras Manager Version 1.0.0.0
Skype Version 3.8
Sun Microsystems, Inc. - Java(TM) Platform SE 6 U7 Version 6.0.70.6
Synergy
WinZip Version 11.2 (8094)
Intel(R) Matrix Storage Console Version 7.8.0.1013
LimeWire Version 1, 0, 0, 2
Nome do computador: Carol (in MSHOME)
Login do Windows: VCI
Modelo do computador
Enclosure Type: Desktop
Sistema Operacional
Windows XP Home Edition Service Pack 3 (build 2600)
Processador
1,80 gigahertz Intel Pentium 4
85
8 kilobyte primary memory cache
512 kilobyte secondary memory cache
Memória
480 Megabytes Installed Memory
Slot 'DIMM 1' has 256 MB
Slot 'DIMM 2' has 256 MB
Placa-mãe
Board: ASUSTeK Computer INC. P4S333VM REV 1.xx
Bus Clock: 100 megahertz
BIOS: Award Software, Inc. ASUS P4S333-VM ACPI BIOS Revision 1005 03/05/2002
Drives
40,02 Gigabytes Usable Hard Drive Capacity
23,22 Gigabytes Hard Drive Free Space
HL-DT-ST CD-RW GCE-8320B [CD-ROM drive]
Unidade de disquete [Floppy drive]
MAXTOR 6L040J2 [Hard drive] (40,03 GB)
drive 0, s/n 662217646458, rev A93.0500, SMART Status: Healthy
Disco Rígido
c: (NTFS on drive 0) 40,02 GB
Usuários
Local user accounts
VCI (Admin)
Impressoras
EPSON FX-890 ESC/P on LPT1:
HP Photosmart 2570 series on Photosmart2570series
Controladores
Controlador padrão de disquete [Controller]
Canal IDE primário [Controller]
Canal IDE secundário [Controller]
SiS PCI IDE Controller
Video
SiS 650 [Display adapter]
Samsung SyncMaster [Monitor] (15,7"vis, s/n HXAT608674, junho 2002)
86
Adaptadores
SiS 7001 PCI to USB Open Host Controller (2x)
Multimedia
Porta de jogo padrão
SiS 7012 Audio Driver
Comunicações
SiS 900-Based PCI Fast Ethernet Adapter
Auto IP Address: 192.168.1.103 / 24
Gateway: 192.168.1.1
Dhcp Server: 192.168.1.1
Physical Address: 00:E0:18:78:A4:68
Networking Dns Servers: 201.6.0.42
Outros comunicadores
HID-compliant device
HP Photosmart 2570
Dispositivo de teclado HID [Keyboard]
Standard 101/102-Key ou Microsoft Natural PS/2 Keyboard
Mouse compatível com HID
Mouse compatível com PS/2
USB Root Hub (2x)
Proteção de Vírus
AVG Anti-Virus Free Version 8.5
Realtime File Scanning On
Versões de Softwares
Adobe Reader Version 7.0.8.2006051600
AVG Internet Security Version 8.5.0.329
Belarc, Inc. - Advisor Version 7.2x
Bitrate Calculator
Cinematronics - Pinball 3D Version 5.1.2600.5512
Conversor de Dados
Desinstalador
Desinstalador do Santander Line
DivXNetworks Inc. - Config App. Version 2, 0, 0, 1
87
FourCC Code Changer
Gabest - Media Player Classic Version 6, 4, 9, 0
Gerador de Arquivos
Gerenciador de Arquivos
GSpot Codec Information Appliance Version 2, 6, 0, 161
Hewlett-Packard - HP Software Update Client Version 3, 0, 4, 2
Hewlett-Packard - Install Consumer Experience Version 5,3,0,75
Hewlett-Packard Co. - hp digital imaging - hp all-in-one series Version 053.000.013.000
Hewlett-Packard Co. - HP Image Zone Express Version 1.5.1.29
Hewlett-Packard Company - HP Solution Center Version 050.000.152.000
HP PML Version 9, 0, 0, 0
HpqPhUnl Application Version 5.0.0.247
I.R.I.S. SA - Registration Wizard Version 5, 0, 0, 2
Inno Setup Version 51.43.0.0
LameDropXPd
Lavasoft Ad-Aware SE SE 106
Macromedia Dreamweaver 8 Version 8.0.0.2734
Macromedia Extension Manager Version 1.7.240
Macromedia, Inc. - Shockwave Flash Version 7,0,19,0
Microsoft (R) Windows Script Host Version 5.7.0.18066
Microsoft Application Error Reporting Version 10.0.2609
Microsoft Clip Organizer Version 10.0.6308
Microsoft Corporation - DirectShow Version 9.04.78.0000
Microsoft Corporation - Internet Explorer Version 7.00.6000.16827
Microsoft Corporation - Messenger Version 4.7.3001
Microsoft Corporation - Messenger Version 8.1.0178
Microsoft Corporation - Windows Installer - Unicode Version 3.1.4001.5512
Microsoft Corporation - Windows Movie Maker Version 2.1.4026.0
Microsoft Corporation - Windows® NetMeeting® Version 3.01
Microsoft Corporation - Zone.com Version 1.2.626.1
Microsoft Data Access Components Version 3.525.1132.0
Microsoft Office Document Imaging Version 1.03.2349.1
Microsoft Office XP Version 10.0.6853
88
Microsoft Outlook Version 10.0.6838
Microsoft Photo Editor Version 10.0
Microsoft Windows Version 3.10.425
Microsoft® Schedule+ for Windows 95(TM) Version 7.5
Microsoft® Visual Studio .NET Version 7.00.9466
Microsoft® Windows Media Services Version 4.1.00.3917
nf.exe
NirSoft - MMCompView Version 1.10
OggDropXPd
Piriform Ltd - CCleaner Version 1.37.0456
PRINCUCA.EXE
Santander Line
sie - AVI Fixed v2.0B1 Version 2.0 Beta1
Silicon Integrated Systems Corporation - audioUtl Application Version 1, 0, 0, 1
Silicon Integrated Systems Corporation - SiS (R) Compatible Super VGA
SiSTray application for Windows NT4.0/2000/XP Version 0.0.0.2040
Sistema de comunicações da Microsoft (R) MSN (R) Version 6.10.0016.1624
Skype Extras Manager Version 1.0.0.0
Skype Version 3.1
StatsReader Version 2, 1, 0, 0
VobSubStrip
WinZip Version 8.1 SR-1 (5266)
89
ANEXO 1 – AUTORIZAÇÃO DA EMPRESA
90
ANEXO 2 – CONTROLES DA NORMA NBR ISO/IEC 17799
11.1 Política de Segurança da Informação
11.1.1 Política de segurança da informação
11.1.2 Documentação da política de segurança da informação
11.1.3 Análise crítica da política de segurança da informação
11.2 Organizando a Segurança da Informação
11.2.1 Infra-estrutura da segurança da informação
11.2.2 Comprometimento da direção com a segurança da informação
11.2.3 Coordenação da segurança da informação
11.2.4 Atribuição de responsabilidades para a segurança da informação
11.2.5 Processo de autorização para os recursos de processamento da informação
11.2.6 Acordos de confidencialidade
11.2.7 Contato com autoridades
11.2.8 Contato com grupos especiais
11.2.9 Análise crítica independente de segurança da informação
11.2.10 Partes externas
11.2.11 Identificação dos riscos relacionados com partes externas
11.2.12 Identificando a segurança da informação, quando tratando com clientes
11.2.13 Identificando
segurança
da
informação
11.3 SEGURANÇA EM RECURSOS HUMANOS
11.3.1 Antes da Contratação
nos
acordos
com
terceiros
91
11.3.2 Papéis e responsabilidades
11.3.3 Seleção
11.3.4 Termos e condições de contratação
11.3.5 Durante a contratação
11.3.6 Responsabilidades da direção
11.3.7 Conscientização, educação e treinamento em segurança da informação
11.3.8 Processo disciplinar
11.3.9 Encerramento ou mudança da contratação
11.3.10 Encerramento de atividades
11.3.11 Evolução de ativos
11.3.12 Retirada de direitos de acesso
11.4 SEGURANÇA FÍSICA E DO AMBIENTE
11.4.1 Áreas seguras
11.4.2 Perímetro de segurança
11.4.3 Controles de entrada física
11.4.4 Segurança em escritórios, salas e instalações
11.4.5 Proteção contra ameaças externas e do meio ambiente
11.4.6 Trabalhando em áreas seguras
11.4.7 Acesso do público, áreas de entrega e de carregamento
11.4.8 Segurança de equipamentos
11.4.9 Instalação e proteção do equipamento
11.4.10 Utilidades
92
11.4.11 Segurança do cabeamento
11.4.12 Manutenção dos equipamentos
11.4.13 Segurança de equipamentos fora das dependências da organização
11.4.14 Reutilização e alienação segura
11.5 GESTÃO DAS OPERAÇÕES E COMUNICAÇÕES
11.5.1 Procedimentos e responsabilidades operacionais
11.5.2 Documentação dos procedimentos de operação
11.5.3 Gestão de mudanças
11.5.4 Segregação de funções
11.5.5 Separação dos recursos de desenvolvimento, teste e de produção
11.5.6 Gerenciamento de serviços terceirizados
11.5.7 Entrega de serviços
11.5.8 Monitoramento e análise crítica de serviços terceirizados
11.5.9 Gerenciamento de mudanças para serviços terceirizados
11.5.10 Planejamento e aceitação dos sistemas
11.5.11 Gestão de capacidade
11.5.12 Aceitação de sistemas
11.5.13 Proteção contra códigos maliciosos e códigos móveis
11.5.14 Controles contra códigos maliciosos
11.5.15 Controles contra códigos móveis
11.5.16 Cópias de segurança
11.5.17 Cópias de segurança da informação
93
11.5.18 Gerenciamento da segurança em redes
11.5.19 Controles de redes;
11.5.20 Segurança dos serviços de redes
11.5.21 Manuseio de mídias
11.5.22 Gerenciamento de mídias removíveis
11.5.23 Descarte de mídias
11.5.24 Procedimentos para tratamento de informação
11.5.25 Segurança da documentação dos sistemas
11.5.26 Troca de informações
11.5.27 Políticas e procedimentos para a troca de informações
11.5.28 Acordos para a troca de informações
11.5.29 Mídias em trânsito
11.5.30 Mensagens eletrônicas
11.5.31 Sistemas de informação do negócio
11.5.32 Serviços de comércio eletrônico
11.5.33 Comércio eletrônico
11.5.34 Transações on-line
11.5.35 Informações publicamente disponíveis
11.5.36 Monitoramento
11.5.37 Registros de auditoria
11.5.38 Monitoramento do uso de sistema
11.5.39 Proteção das informações dos registros (log)
11.5.40 Registros (log) de administrador e operador
94
11.5.41 Registros (log) de falhas
11.5.42 Sincronização dos relógios
11.6 CONTROLE DE ACESSO
11.6.1 Requisitos de negócio para controle de acesso
11.6.2 Política de controle de acesso
11.6.3 Gerenciamento de acesso do usuário
11.6.4 Gerenciamento de privilégios
11.6.5 Gerenciamento de senha do usuário
11.6.6 Análise crítica dos direitos de acesso de usuário
11.6.7 Responsabilidade dos usuários
11.6.8 Uso de senhas
11.6.9 Equipamento de usuário sem monitoração
11.6.10 Política de mesa limpa e tela limpa
11.6.11 Controle de acesso à rede
11.6.12 Política de uso dos serviços de rede
11.6.13 Autenticação para conexão externa do usuário
11.6.14 Identificação de equipamento em redes
11.6.15 Proteção e configuração de portas de diagnóstico remotas
11.6.16 Segregação de redes
11.6.17 Controle de conexão de rede;
11.6.18 Controle de roteamento de redes
11.6.19 Controle de acesso ao sistema operacional;
95
11.6.20 Procedimentos seguros de entrada no sistema (log-on)
11.6.21 Identificação e autenticação de usuário
11.6.22 Sistema de gerenciamento de senha
11.6.23 Uso de utilitários de sistema
11.6.24 Desconexão de terminal por inatividade
11.6.25 Limitação de horário de conexão
11.6.26 Controle de acesso à aplicação e à informação
11.6.27 Restrição de acesso à informação
11.6.28 Isolamento de sistemas sensíveis
11.6.29 Computação móvel e trabalho remoto
11.6.30 Computação e comunicação móvel
11.6.31Trabalho remoto
11.7 AQUISIÇÃO, DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS DE
INFORMAÇÃO
11.7.1 Requisitos de segurança de sistemas de informação
11.7.2 Análise e especificação dos requisitos de segurança
11.7.3 Processamento correto nas aplicações
11.7.4 Validação dos dados de entrada
11.7.5 Controle do processamento interno
11.7.6 Integridade de mensagens
11.7.7 Validação de dados de saída
11.7.8 Controles criptográficos
11.7.9 Política para o uso de controles criptográficos
96
11.7.10 Gerenciamento das chaves
11.7.11 Segurança dos arquivos do sistema
11.7.12 Controle de software operacional
11.7.13 Proteção dos dados para teste de sistema
11.7.14 Controle de acesso ao código-fonte de programa
11.7.15 Segurança em processos de desenvolvimento e de suporte
11.7.16 Procedimentos parar controle de mudanças
11.7.17 Análise crítica técnica das aplicações após mudanças n sistema operacional
11.7.18 Restrições sobre mudanças em pacotes de software
11.7.19 Vazamento de informações
11.7.20 Desenvolvimento de terceirizado de software
11.7.21 Gestão de vulnerabilidades técnicas
11.7.22 Controle de vulnerabilidades técnicas
11.8 GESTÃO DE INCIDENTES E SEGURANÇA DA INFORMAÇÃO
11.8.1 Notificação de fragilidades e eventos de segurança da informação;
11.8.2 Notificação de eventos de segurança da informação
11.8.3 Notificando fragilidades de segurança da informação
11.8.4 Gestão de incidentes de segurança da informação e melhorias
11.8.5 Responsabilidades e procedimentos
11.8.6 Aprendendo com os incidentes de segurança da informação
11.8.7 Coleta de evidências
97
11.9 GESTÃO DA CONTINUIDADE DO NEGÓCIO
11.9.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da
informação
11.9.2 Incluindo segurança da informação no processo de gestão da continuidade de
negócio
11.9.3 Continuidade de negócios e análise/ avaliação de riscos
11.9.4 Desenvolvimento e implantação de planos de continuidade relativos à segurança
da informação
11.9.5 Estrutura do plano de continuidade do negócio
11.9.6 Testes, manutenção e reavaliação dos planos de continuidade do negócio
11.10
CONFORMIDADE
11.10.1Conformidade com requisitos legais
11.10.2 Identificação da legislação vigente
11.10.3 Direitos de propriedade intelectual
11.10.4 Proteção de registros organizacionais
11.10.5 Proteção de dados e privacidade de informações pessoais
11.10.6 Prevenção de mau uso de recursos de processamento da informação
11.10.7 Regulamentação de controles de criptografia
11.10.8 Conformidade com normas e políticas de segurança da informação e
conformidade técnica
11.10.9 Conformidade com as políticas e normas de segurança da informação
11.10.10 Verificação da conformidade técnica
11.10.11 Considerações quanto à auditoria de sistemas de informação
98
11.10.12 Controles de auditoria de sistemas de informação
11.10.13 Proteção de ferramentas de auditoria de sistemas de informação