• Nenhum resultado encontrado

CONIC-SEMESP

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "CONIC-SEMESP"

Copied!
11
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 11 páginas )

Texto

(1)

TÍTULO: POLITICA DE SEGURANÇA DA INFORMAÇÃO E SUA APLICAÇÃO TÍTULO:

CATEGORIA: CONCLUÍDO CATEGORIA:

ÁREA: CIÊNCIAS EXATAS E DA TERRA ÁREA:

SUBÁREA: COMPUTAÇÃO E INFORMÁTICA SUBÁREA:

INSTITUIÇÃO: FACULDADE ENIAC INSTITUIÇÃO:

AUTOR(ES): THYAGO CAVALCANTE PAZINI GALVÃO AUTOR(ES):

ORIENTADOR(ES): CAO JI CAN ORIENTADOR(ES):

(2)

1.RESUMO

O objetivo desse artigo é apresentar uma visão técnica sobre o uso de ferramentas como a Politica de Segurança da Informação (PSI) a fim de sanar as vulnerabilidades na segurança da Informação e definir processos relacionados à área de Tecnologia e também dos demais usuários dentro de uma empresa Brasileira com custo condizente com a atual situação econômica do pais e aliando um melhor desempenho e garantias de um ambiente mais seguro e estável a todos usuários e detentores de informações chaves para o negocio. Devido ao pouco espaço de paginas analisaremos apenas estratégias de aplicação e a aplicação em processos da área de Tecnologia da Informação como no File Server, Controle de acesso a internet, ferramentas de antivírus e Firewall. Focaremos no ambiente inicial que podemos encontrar na maioria das empresas da atualidade e na sequencia o ambiente que foi desenhado e aplicado levando em conta as obrigações definidas na politica de segurança da informação na parte pertinente aos processos escolhidos.

2.INTRODUÇÃO

A informação é o elemento básico para que a evolução aconteça e o desenvolvimento humano se realize de forma. Para Campos, (2007, p. 21) “A informação é elemento essencial para todos os processos de negócio da organização, sendo, portanto, um bem ou ativo de grande valor”. Com base nessas afirmações, na vida moderna e no formato dos negócios atualmente podemos afirmar sem sombra de duvida que a informação se tornou o ativo mais valioso das empresas e companhias, e isso tende a atrair uma serie de ameaças que visam buscar e explorar as vulnerabilidades em busca dessas informações, o que tende a causar um prejuízo em muitos casos imensurável uma vez que a informação na maioria das situações é impossível de precificar. Portanto, não apenas é recomendável, mas sim é uma necessidade a implementação de politicas de segurança a informação com o fim de mitigar as chances de fraude, perda ou roubo de informações.

O estudo de caso será realizado em uma empresa guarulhense que é uma indústria que fabrica cabos, conectores, acessórios musicais e ferragens. La pudemos constar a falta de processos relacionados a Segurança da

(3)

Informação sejam eles processuais referente a área de TI ou mesmo quando falamos das atividades dos demais funcionários.

Sabendo disso foi feita uma analise da empresa onde constamos diversos problemas em seus controles e mesmo limitações que deveriam ser impostas quanto ao uso dos recursos tecnológicos.

Foram mapeados os seguintes problemas: Falta de controle no acesso a Internet; Ferramenta de e-mail instável;

Falta de controle no uso do e-mail; Acesso a arquivos de outros setores; Acesso indevido a material sigiloso;

Falta de uma camada de segurança efetiva envolvendo pessoas e tecnologias;

3.OBJETIVOS

Nosso objetivo será desenvolver e aplicar uma Politica de Segurança da Informação de maneira que possamos padronizar processos, definir níveis de segurança e de importância de cada informação para assim limitar os acessos. Tudo isso de maneira a não burocratizar demais os processos envolvidos, nem gerar novos custos, mas garantir um bom nível de Segurança para as informações envolvidas melhorando o processo.

4.METODOLOGIA

A metodologia que está sendo empregada no desenvolvimento deste trabalho é um estudo de caso e pesquisa bibliográfica.

Estudo de caso:

Um estudo de caso pode ser caracterizado como um estudo de uma entidade bem definida como um programa, uma instituição, um sistema educativo, uma pessoa, ou uma unidade social. Visa conhecer em profundidade o como e o porquê de uma determinada situação que se supõe ser única em muitos aspectos, procurando descobrir o que há nela de mais essencial e característico. (FONSECA, 2002, p.33).

(4)

Pesquisa Bibliográfica para Gil (2007, p.44): “os exemplos mais característicos desse tipo de pesquisa são sobre investigações sobre ideologias ou aquelas que se propõem à análise das diversas posições acerca de um problema”.

5. DESENVOLVIMENTO

5.1 SEGURANÇA DA INFORMAÇÃO

Segundo ABNT NBR ISO/IEC 17799:2005 (2005, p.9):

Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.

Podemos entender melhor a necessidade da Segurança da informação analisando, por exemplo, a base de dados de uma indústria, onde as informações contidas ali são de sigilosas. Nessa base de dados temos armazenado a lista de Clientes, Dados pessoais dos Funcionários, segredos industriais como, por exemplo, estrutura de um produto, quantidades de cada matéria prima, fornecedores, métodos de certificar qualidade entre outras informações cruciais para o negocio. Por conta da importância e necessidade de sigilo extremo dessas informações, exige-se uma segurança eficaz.

Em primeiro lugar, muitas vezes é difícil obter o apoio da própria alta administração da organização para realizar os investimentos necessários em segurança da informação. Os custos elevados das soluções contribuem para esse cenário, mas o desconhecimento da importância do tema é provavelmente ainda o maior problema. (CAMPOS, 2007, p.29).

Para proteger o ativo mais importante de uma empresa que é a informação, é necessário estabelecer regras e procedimentos das politicas de segurança, da mesma maneira que protegeríamos nossos recursos financeiros e patrimônio físico. Segundo Campos (2007, p. 17), “um sistema de segurança da informação baseia-se em três princípios básicos: confidencialidade, integridade e disponibilidade.”.

(5)

Quando falamos em segurança da informação, deve-se levar em consideração três princípios básicos, pois toda e qualquer ação que possa comprometer qualquer um desses princípios, independente de qual seja, estará atentando contra a sua segurança.

Confidencialidade

A confidencialidade se trata de garantir que as informações em questão estejam acessíveis apenas as pessoas que estão autorizadas a terem acesso a essas informações (NBR ISO/IEC 27002:2005). Em caso de a informação ser acessada seja intencionalmente ou não por uma pessoa que não tem tal permissão caracteriza quebra da confiabilidade.

Integridade

A integridade se trata de garantir a exatidão e completeza da informação e dos métodos de processamento da mesma (NBR ISO/IEC 27002:2005). “Garantir a integridade é permitir que a informação não fosse modificada, alterada ou destruída sem autorização, que ela seja legítima e permaneça consistente”. (DANTAS, 2011, p.11). Quando por algum motivo a informação é alterada, falsificada ou furtada, ocorre à quebra da integridade.

Disponibilidade

A disponibilidade se trata de garantir que as informações e os ativos correspondentes em questão estejam disponíveis aos usuários que foram previamente autorizados a acessar essas informações. (NBR ISO/IEC 27002:2005). Quando não conseguimos garantir que as informações estarão disponíveis para o acesso seja por falha em configurações, concessão de permissões ou mesmo por estar com os servidores off-line por conta de um ataque ou invasões consideramos um incidente de segurança da informação por quebra de disponibilidade.

5.2 Ameaça a Informação

Ameaça a uma empresa pode ser tudo aquilo que possa ameaçar suas tarefas e bens da empresa, podendo levar até o desligamento corporativo da

(6)

mesma. Sendo assim devemos ter cuidado com concorrentes de mercado e suas funções diante dos serviços prestados e formas de trabalho.

As ameaças podem ser, naturais: são aquelas que se originam de fenômenos da natureza; involuntárias: são as que resultam de ações desprovidas de intenção para causar algum dano e intencionais: são aquelas deliberadas, que objetivam causar danos, tais como hackers. (DANTAS, 2011) 5.3 Politicas de Segurança da Informação

A segurança da informação é responsável por um conjunto de processos contínuos, tais como a elaboração e manutenção de uma política, a gestão de risco em segurança da informação, a classificação e tratamento da informação, o plano de continuidade de serviços de TI, que abrangem ações em ativos de tecnologia, ambientes, processos de negócios e pessoas.

A política tende a estabelecer regras e normas de conduta com o objetivo de diminuir a probabilidade da ocorrência de incidentes que provoquem, por, exemplo a indisponibilidade do serviço, furto ou até mesmo a perda de informações. As políticas de segurança geralmente são construídas a partir das necessidades do negócio e eventualmente aperfeiçoadas pele experiência do gestor.

5.4. Elaboração da PSI

5.4.1 Levantamento de Requisitos

Havia a necessidade de definir corretamente o que seriam os ativos da empresa uma vez que não se trata apenas de bens tangíveis, mas sim a informação como seu ativo mais preciso. Após isso bem definido passamos a entrevistar os funcionários chave a fim de entender quais informações eram mais criticas e mais importantes e o mais importante quem deveria ter acesso a elas. Onde compreendemos que as informações cruciais do negocio é a composição de seus produtos o que encaramos como segredo industrial.

O ambiente original era composto por antivírus Grátis e em diversas maquinas simplesmente não havia nenhuma camada de segurança ou

(7)

simplesmente estavam desatualizados. Ainda pior era o fato de não haver nenhum controle quanto a dispositivos externos que possibilitariam que qualquer um plugasse um Hard Disk externo para roubar informações.

Quando falamos em controle no acesso a internet podemos afirmar que havia muito pouco controle. Pois havia um Firewall que sem integração nenhuma barrava alguns sites e com exceções para alguns IPS que podiam acessar qualquer coisa. Porém sem nenhum tipo de controle ou mesmo maior nível de detalhamento nas regras de acesso a internet e como bem sabemos o controle do acesso a internet é de extrema importância a fim de coibir o acesso há alguns conteúdos impróprios ao ambiente de trabalho além do monitoramento dos conteúdos acessados.

Outro ponto de melhoria foi no servidor de arquivos que anteriormente havia um mapeamento padrão chamado “Dados” onde todos criavam pastas e colocavam os arquivos o que gerava uma bagunça sem precedentes e não havia confidencialidade nenhuma. Um operário da Fabrica poderia ter acesso aos documentos de RH ou mesmo financeiro. E com o fato de na época não haver controle no acesso a internet. Poderiam facilmente ser enviados para fora.

5.4.2 Aprovações

Após esboço ser finalizado tecnicamente o documento foi enviado individualmente para cada gestor envolvido no processo de elaboração de requisitos. Os mesmos foram incumbidos de ler e sugerir mudanças ou adequações. Após todas as mudanças serem racionalizadas e aplicadas seja em sua inteireza ou parcialmente o documento foi para analise jurídica o que fez com que tivéssemos mais algumas mudanças.

Por fim o documento foi enviado para aprovação do corpo diretivo que aconteceu em aproximadamente dois meses. Todo o processo de revisões e aprovações durou quatro meses até alcançarmos o documento final.

(8)

5.4.3 Abrangência

A PSI desenvolvida abrange aspectos relacionados ao usuário e ao setor de TI.

Usuário: Entende-se que usuário é todo aquele que depende do

servisse desk do TI, sejam eles funcionários, gestores, terceirizados ou mesmo

consultores. No documento fica claro quais são suas obrigações com referencia ao uso de quaisquer recursos tecnológicos, sejam eles o e-mail, telefone, computador, celular ou mesmo o acesso a internet;

TI: Já com referencia ao setor de TI fica claro seu papel como controler por monitorar e controlar ferramentas como e-mail, terminais, impressoras, gerencia do antivírus, bloqueio de dispositivos não autorizados como pen drives, licenciamento de software, administrar acessos aos diretórios de cada setor a segurança de maneira geral e rotinas de backup e disaster recovery. 5.4.5 Implantação

Foram realizados diversos treinamentos e algumas campanhas de conscientização a fim de conscientizar os funcionários. Porém nesse aspecto analisaremos a PSI de forma a validar alguns processos gerenciados pelo TI como gerencia do Antivírus, Bloqueios de dispositivos externos, e-mail, além dos preceitos básicos de Confidencialidade, Integridade e Disponibilidade aplicados ao File Server.

6. RESULTADOS

6.1 Antivírus& Bloqueio que Dispositivos externos

Tendo em vista o Quadrante Magico de Gartner adotamos a solução da

Kaspersky. A ferramenta está entre as melhores opções de mercado já há

alguns anos com uma busca orgânica extremamente eficiente, além de oferecer um firewall de borda, o que ira garantir um maior nível de segurança.

Quando analisamos suas ferramentas também encontramos uma ferramenta que supri outro ponto destacado na PSI o bloqueio de dispositivos.

(9)

Com a implantação da ferramenta de antivírus aumentamos o nível de segurança de forma a proteger as informações de ataques externos.

6.2 Utilização da Internet

Foi implementada uma solução que utiliza o recurso Single sign-on. Nela utilizamos os dados vindos do Active Directory que já carrega os grupos de acesso que vai delimitar o que ele pode e o que ele não pode acessar na

internet. Foram criados grupos de segurança aos quais delimitamos o acesso

de internet que ele deve ter.

Aqui podemos ver o Agente Single Sing-on trabalhando fazendo o vinculo do usuário com nossa aplicação de Firewall que ira liberar ou bloquear o acesso há algum website.

Mas conforme listamos não se trata apenas de bloquear e liberar, mas também monitorar o que esta sendo acessado e por quem. Mensalmente geramos o relatório de acessos que esta anexa ao trabalho.

Com todas as atividades realizadas passamos a ter diversas regras de acesso a fim de bloquear acesso a sites indevidos sejam eles por conteúdo improprio ou mesmo que não tenham relação a atividade desempenhada, além de maior controle sobre o que é acessado e conseguimos gerar relatórios de controle.

Painel para monitorar consumo de dados diario

(10)

6.3 File Server

Com as ações tomadas foi possível segmentar as informações garantindo que cada funcionário tenha acesso apenas as informações necessárias a sua atividade. Por exemplo, a equipe de financeiro terá acesso apenas as pastas do setor financeiro e as pastas que sejam previamente configuradas para que esse grupo tenha acesso por exemplo a pasta “Controladoria-Financeiro”

7. CONSIDERAÇÕES FINAIS

Com base no momento econômico que vivemos é mais visível que nunca que o bem mais valioso é a informação e que é de extrema urgência zelar por ela pois é a diferença entre um negócio de sucesso e o fracasso por não tomar a decisão certa na hora certa. Na empresa em questão pudemos notar a falta de processos básicos que falham desde a contratação até rotinas do TI que eram realizadas de forma extremamente amadora. Com o desenvolvimento da PSI foi possível padronizar atividades como backup, inclusão de novos usuários ao Active Directory ou mesmo ao ERP. Além da regulamentação e monitoramento de ferramentas como acesso a Internet, dispositivos móveis, uso do e-mail.

Também aprimoramos as ferramentas de segurança que possibilitaram um antivírus estável e de boa qualidade uma aplicação de firewall além de controle sobre dispositivos externos para não ser conectada a rede sem permissão. Podemos afirmar que com o apoio da Diretoria, dos demais funcionários e com o investimento necessário é possível profissionalizar o TI de uma empresa e criar processos que tendem a melhorar o ambiente de trabalho. É cada vez mais importante para uma organização, mesmo em sua fase inicial, formalizar um documento com a sua análise de risco, o que provê alta administração um indicador sobre o futuro da própria empresa, em que serão relacionados os ativos que serão protegidos com investimentos adequados ao seu valor ao seu risco (LAUREANO, 2005).

(11)

7. FONTES CONSULTADAS

ABNT.NBR ISO/IEC 27002:2005 Tecnologia da Informação – Técnicas de Segurança – Código de Pratica para Gestão da Informação. Rio de janeiro: 2005.

ARANHA, A. C. (n.d.) A sociedade e a segurança da informação. MicrosoftTechNet. Disponível em: LINK Acessado em 02 de Março de 2017. BOLSHAKOVA, M. Kaspersky é líder no Quadrante da Gartner. Disponível em BLOG Kaspersky Acessado em 15 de Maio de 2017.

CAMPOS, A. Sistemas de Segurança da Informação.2.ed.Florianópolis: Visual Books, 2007.

CAMPOS, R. Informação é poder. Disponível em BLOG Ricardo Campos Acessado em 17 de Abril de 2017.

DANTAS, M. Segurança da Informação: Uma abordagem focada em Gestão de Riscos. 1.ed. Olinda: Livro rápido, 2011.

FONTES, E. Praticando a Segurança da Informação. Rio de Janeiro: Brasport, 2008.

FONSECA, J. J. S. Metodologia de Pesquisa Cientifica. Fortaleza: UEC, 2002.

FREITAS, F;ARAUJO, M. Politicas de Segurança da Informação: Guia pratico para elaboração e implementação. 2. ed. Rio de Janeiro: Ciência Moderna LTDA, 2008.

GIL, A. C. Como elaborar projetos de pesquisa. 4. ed. São Paulo: Atlas, 2007.

NETTO, A; SILVEIRA, M. Gestão de Segurança da Informação: Fatos que Influenciam sua adoção em Pequenas e Medias Empresas. Disponível em <UNIRIOJA> Acessado em 17 de Abril de 2017.

OLIVEIRA, P.C. Politica de Segurança da Informação: Definição, Importância, Elaboração e Implementação. Disponível em: Site Profissionais TI. Acesso em: 02 de Abril. 2017

Referências

Descarregar agora ( PDF - 11 páginas - 428.82 KB )

Documentos relacionados

Tendências do jornalismo impresso

A tem á tica dos jornais mudou com o progresso social e é cada vez maior a variação de assuntos con- sumidos pelo homem, o que conduz também à especialização dos jor- nais,

Custos dos atendimentos numa Associação de São Gabriel do Oeste- Mato Grosso do Sul

Na busca de uma resposta ao problema, que teve como questão norteadora desta pesquisa, levantamento dos gastos e despesas nos atendimentos realizados e identificar qual o custo que

“UM GOVERNO REVOLUCIONÁRIO POSSUI OS PODERES QUE QUER POSSUIR”: A TEORIA PURA DO DIREITO ENQUANTO TEORIA DA VIOLÊNCIA DIANTE DA ASSEMBLEIA NACIONAL CONSTITUINTE BRASILEIRA DE 1933/34 - DOI: 10.12818/P.0304-2340.2014v64p49

5 “A Teoria Pura do Direito é uma teoria do Direito positivo – do Direito positivo em geral, não de uma ordem jurídica especial” (KELSEN, Teoria pura do direito, p..

Monitoramento de redes de computadores com uso de ferramentas de software livre

Este capítulo tem uma abordagem mais prática, serão descritos alguns pontos necessários à instalação dos componentes vistos em teoria, ou seja, neste ponto

Colheita e pós-colheita.

Para preparar a pimenta branca, as espigas são colhidas quando os frutos apresentam a coloração amarelada ou vermelha. As espigas são colocadas em sacos de plástico trançado sem

O tempo religioso de Gil Vicente

da quem praticasse tais assaltos às igrejas e mosteiros ou outros bens da Igreja, 29 medida que foi igualmente ineficaz, como decorre das deliberações tomadas por D. João I, quan-

DIVULGAÇÃO DOS RESULTADOS 4T15 DIVULGAÇÃO DE RESULTADOS 1T14

Excluindo as operações de Santos, os demais terminais da Ultracargo apresentaram EBITDA de R$ 15 milhões, redução de 30% e 40% em relação ao 4T14 e ao 3T15,

Não dê nenhuma informação sobre o local aonde você nasceu ou de como entrou nos EUA.

Se você permanecer em silêncio e não der nenhuma informação, o Serviço de Imigração talvez não tenha nenhuma prova que você esteja aqui ilegalmente, eles talvez não